| T1011 |
通过其它网络媒介进行数据泄露 |
数据泄漏有可能发生在不同的网络媒介上,而不只是C2信道上。如果C2网络是有线因特网连接,那么可以通过例如 WiFi 连接,调制解调器,蜂窝数据连接,蓝牙或其他射频(RF)信道窃取数据。如果攻击者对目标具有足够的访问权限或距离够近,他可以选择执行此操作,并且该连接可能不会像主互联网连接信道一样安全,因为它没有通过同一企业网络路由。 |
| T1011.001 |
通过其它网络媒介进行数据泄露:通过蓝牙进行数据泄露 |
攻击者可能会尝试通过蓝牙而不是C2通道来窃取数据。如果命令和控制网络是有线Internet连接,则攻击者可能选择使用Bluetooth通信通道来窃取数据。如果攻击者具有足够的访问权和比较近的距离,他们可以选择执行此操作。通常情况下蓝牙连接不是通过同一企业网络路由而没有保护,也不能像主要的Internet连接通道那样受到监控防护。 |
| T1020 |
自动化渗出 |
使用自动化渗出时,其它多种渗出技术可能同时用于信息传输到外网,例如T1041(通过C2通信通道渗出)和T1048(通过其他协议渗出) |
| T1020.001 |
自动化渗出:流量复制 |
镜像流量是某些网络设备本身具备的功能,用于网络分析,并且可以配置为复制流量并转发到另一个目标,以方便网络分析。攻击者可能滥用镜像流量来通过控制其它网络基础结构来镜像或重定向网络流量,通过T1542.004(ROMMONkit)和T1556.004(Patch System Image)可能会对网络设备进行恶意修改流量重定向,攻击者可能根据不同的攻击目标和目的,与T1040(网络嗅探)、T1056(输入捕获)、T1557(中间人)等技术结合使用。 |
| T1029 |
计划转换 |
攻击者可以计划仅在一天的特定时间或特定时间间隔执行数据泄露。这可以将流量模式与正常的活动或可用性混合起来。使用计划的渗透时,其他渗透技术也可能适用于将信息传输到网络之外,例如C2通道上的渗透或替代协议上的渗透。 |
| T1030 |
数据传输大小限制 |
攻击者可以以固定大小的块而不是整个文件来窃取数据,或者将数据包大小限制在特定阈值内。该方法可避免触发网络数据传输阈值的告警。 |
| T1041 |
通过C2隧道进行数据泄露 |
攻击者可能会通过在现有C2通道上进行窃取来窃取数据。攻击者使用与C2通信相同的协议,将被盗数据编码到正常通信通道中。 |
| T1048 |
备用协议上的数据数据泄露 |
攻击者使用与主要C2协议或信道不同的协议执行数据窃取。数据也可以从主C2服务器发送到备用网络位置。备用协议包括FTP,SMTP,HTTP/S,DNS,SMB或任何其他不用作主要C2通道的网络协议。不同的协议通道也可以包括Web服务,例如云存储。攻击者也可能选择加密和/或混淆这些备用渠道。可以使用各种常见的操作系统实用程序(例如Net / SMB或FTP)来执行“通过替代协议进行渗透”。 |
| T1048.001 |
备用协议上的数据数据泄露:通过对称加密的非C2协议进行数据泄露 |
攻击者可以通过除现有C2信道之外的对称加密网络协议窃取数据来窃取数据泄漏的数据可以从主C2服务器发送到备用网络位置。对称加密算法是在通道的每一端使用共享或相同密钥/秘密的算法。这需要交换或预先安排用于加密和解密数据的值的协议/所有权。使用非对称加密的网络协议通常会使用对称加密来进行密钥交换,但是攻击者可能会选择手动共享密钥并和实现相关对称密码算法(例如RC4,AES)。这样会达到多层加密(在本机加密的协议(例如HTTPS)中)或在通常未加密的协议(例如HTTP或FTP)中进行加密。 |
| T1048.002 |
备用协议上的数据数据泄露:通过非对称加密的非C2协议进行数据泄露 |
攻击者可以通过除现有C2通道之外的非对称加密网络协议窃取数据来窃取数据。非对称加密算法是在通道两端使用不同密钥的算法。也称为公钥加密,这需要成对的加密密钥,可以对相应密钥的数据进行加密/解密。通信通道的每一端都需要一个私钥(仅在该实体的进程中)和另一个实体的公钥。在加密通信开始之前,每个实体的公钥都要交换。一旦交换了密钥,使用非对称加密的网络协议(例如HTTPS/TLS/SSL)通常会使用对称加密。攻击者可能会选择使用嵌入协议的这些加密机制。 |
| T1048.003 |
备用协议上的数据数据泄露:通过未加密/混淆的非C2协议进行数据泄露 |
攻击者可以通过除现有C2通道之外的未加密网络协议窃取数据来窃取数据。攻击者可能会选择在本机未加密的网络协议(例如HTTP,FTP或DNS)中使用混淆数据。数据混淆的方式可能包括自定义或公开可用的编码/压缩算法(例如base64),以及将数据嵌入协议标头和字段中。 |
| T1052 |
通过物理媒介进行数据泄露 |
攻击者可能会尝试通过物理介质(例如可移动驱动器)窃取数据。在一些情况下,例如存在漏洞的网络,渗透可能会通过用户引入的物理介质或设备发生渗透和数据泄露。这些介质可以是外接硬盘驱动器,USB驱动器,移动电话,MP3播放器或其他可移动存储和处理设备。物理介质或设备可以用作最终的数据泄露点,也可以用于在一些隔离网络的跳板。 |
| T1052.001 |
通过物理媒介进行数据泄露:通过USB进行数据泄露 |
攻击者可能会尝试通过USB连接的物理设备窃取数据。在一些情况下,例如存在漏洞的网络,渗透可能会通过用户引入的USB设备发生。USB设备可以用作最终的数据泄露点,也可以在其他断开连接的系统之间的跳转点。 |
| T1537 |
将数据转移到云帐户 |
攻击者可能通过将数据(包括云环境的备份)转移到他们在同一服务上控制的另一个云帐户中来泄漏数据,从而避免典型的文件传输/下载和基于网络的渗透检测。监测通过正常文件传输或通过C&C通道向外部云环境进行大规模传输,管理者没有办法监测到同一云提供商内部帐户的数据传输。这样的传输可以利用现有的云提供商的API和云提供商的内部地址空间来融合到正常流量中。 |
| T1567 |
通过Web服务进行数据泄露 |
攻击者可以使用现有的合法外部Web服务来窃取数据。利用提供大量服务的Web服务来提供数据泄露功能,可能会给网络中数据泄露提供很大的覆盖范围,因为网络中的主机在入侵之前就已经在与Web服务器进行通信了。网络中的防火墙规则可能也已经存在,而且以允许访问这些服务。Web服务提供商通常还使用SSL / TLS加密,从而为攻击者提供了额外的保护。 |
| T1567.001 |
通过Web服务进行数据泄露:通过代码仓库进行数据泄露 |
攻击者可以将泄漏数据到代码存储库中,而不是通过其主C2通道。代码存储库通常可以通过API(例如:https://api.github.com)进行访问。对这些API的访问通常是通过HTTPS进行的,这为攻击者提供了额外的保护级别。 |
| T1567.002 |
通过Web服务进行数据泄露:通过云存储进行数据泄露 |
攻击者可以将泄漏数据到云存储服务中,而不是通过其主C2通道。云存储服务允许通过Internet从远端云存储服务器存储,编辑和检索数据。云存储服务的示例包括Dropbox和Google Docs。如果网络中的主机已经在与这些服务进行通信,则对这些云存储服务的渗透可以为攻击者提供大量的便利。 |