01 定义与手法
攻击者可以压缩、加密在泄露之前收集的数据。压缩数据可以帮助混淆收集到的数据,并尽量减少通过网络发送的数据量。加密可以用来隐藏在检测中泄漏出来的信息,或者在防御者检查时使泄漏不那么明显。
压缩和加密都是在泄露之前完成的,可以使用实用程序、第三方库或自定义方法来执行。
02 程序示例
03 缓解措施 名称 描述 审计 可以执行系统扫描以识别未经授权的归档实用程序。
04 检测方法 ID 数据来源 数据组件 检测方式 DS0017 命令 命令 执行 监视已执行的命令和操作参数,这些操作将有助于压缩或加密在泄漏之前收集的数据,例如tar。 DS0022 文件 文件 创建 监控使用与压缩或加密文件类型相关的扩展名、头文件写入的新建文件。检测工作可集中在后续的泄漏活动上,其中压缩或加密的文件可通过网络入侵检测或分析文件头的数据丢失预防系统检测到。 DS0009 进程 进程 创建 监视新构建的进程、命令行,这些进程、命令行有助于压缩或加密在泄漏之前收集的数据,例如7-Zip、WinRAR和WinZip。 DS0012 脚本 脚本 执行 监视启用在系统上运行的脚本尝试。如果脚本在系统上不常用,但是启用了,那么从修补程序或其他管理员功能中运行的脚本是可疑的。在可能的情况下,应该从文件系统中捕获脚本,以确定它们的操作和意图。
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们 云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。 云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
Comments are closed