Che cos’è l’esfiltrazione di dati? MITRE ATT&CK2 Tattica di Esfiltrazione | TA0010

Il processo di furto di dati da un sistema aziendale è anche noto come esfiltrazione. MITRE ATT&CK® ha dedicato un’intera tattica alla copia illegale, al download e al trasferimento di dati interni delle organizzazioni con livelli significativi di sensibilità. Gli esempi di esfiltrazione di dati possono essere piuttosto ovvi, come la copia di file su una chiavetta USB; e piuttosto furtivi, come il tunneling DNS su HTTPS. Analizziamo più da vicino l’esfiltrazione e troviamo modi per prevenire e rilevare questa tattica.

Il team di sicurezza dedicato di SOC Prime, insieme a una comunità mondiale di Threat Hunters e Detection Engineers, lavora continuamente per trovare nuovi modi per rilevare le minacce informatiche. Il nostro motore di ricerca sulle minacce informatiche fornisce accesso immediato al contesto CTI, al mapping MITRE ATT&CK e alle rilevazioni pertinenti basate su Sigma. Clicca il pulsante qui sotto per vedere l’intera collezione di regole Sigma per rilevare l’esfiltrazione (TA0010).

ESPLORA LE RILEVAZIONI

Passa alla vista MITRE ATT&CK per esplorare i risultati di ricerca in linea con il framework MITRE ATT&CK e approfondire tutte le tecniche disponibili della tattica di esfiltrazione.

Come Funziona l’Esfiltrazione dei Dati?

Uno dei metodi più ampiamente utilizzati per rubare dati è di trasferirli tramite un canale di rete che collega un’azienda con il mondo esterno. Il traffico Internet, in questo caso, è utilizzato in varie modalità. Gli attaccanti solitamente cercano di offuscare i dati, comprimerli e cifrarli prima dell’esfiltrazione. Piccoli frammenti di informazioni possono essere incorporati in immagini di steganografia, query DNS, metadata di pacchetti e così via. Il traffico potrebbe anche essere intercettato e analizzato dagli avversari in tempo reale.

Più comunemente, gli attacchi informatici mirano a esfiltrare i dati che le vittime già possiedono. Tuttavia, alcuni tipi di malware registrano e raccolgono nuovi dati che non sono archiviati all’interno dell’infrastruttura dell’organizzazione. Ad esempio, gli attaccanti potrebbero utilizzare dispositivi e applicazioni che registrano audio e video, tasti premuti, e copie degli appunti. Tutte queste azioni possono essere eseguite automaticamente o manualmente tramite strumenti di accesso remoto.

Tipi di Esfiltrazione di Dati

Ora immergiamoci un po’ più a fondo nell’esplorare i modi particolari in cui i dati possono essere esfiltrati dalle infrastrutture digitali a località terze senza il consenso o la consapevolezza del proprietario.

Esfiltrazione Automatica

L’esfiltrazione di dati dannosi raramente assomiglia a un film di spionaggio oggigiorno. Invece, i file potrebbero scaricarsi tranquillamente in background e mescolarsi con il traffico legittimo. Inoltre, sub-tecniche come T1020.001 vengono utilizzate per rispecchiare il traffico monitorato, caratteristica nativa in alcuni strumenti e dispositivi di analisi di rete. Di seguito un esempio visualizzato di un’esfiltrazione silenziosa.

Fonte immagine: “Exfiltration Techniques: An Examination and Emulation” di Ryan C. Van Antwerp, Primavera 2011

Esfiltrazione di Dati in Piccoli Blocchi

Ovviamente, enormi volumi di trasferimenti di dati saranno facilmente notati dagli esperti di sicurezza. Gli avversari lo sanno; per questo motivo, alcuni di loro tentano di dividere i dati in piccoli frammenti e portarli via silenziosamente (T1030). In questo modo, gli attaccanti non interferiscono con le soglie di trasferimento dati e non generano avvisi. Di conseguenza, l’esfiltrazione potrebbe rimanere non rilevata per un periodo di tempo significativo.

Ad esempio, Cobalt Strike costruisce prima un beacon per una comunicazione lenta e bassa con un canale C2. Quindi, durante ogni check-in, il beacon ha il compito di scaricare un certo file. Divide il file in blocchi e li scarica poco a poco. La dimensione del blocco dipende dal canale di dati attuale. Per HTTP/HTTPS, la dimensione è di 512KB. E non è nemmeno la dimensione più piccola. Un backdoor chiamato Helminth invia dati in pezzi di 23 byte in query DNS.

Canali di Esfiltrazione: C2 vs. Protocolli Alternativi

È ragionevole suggerire che gli attaccanti tenteranno di rubare dati tramite un canale C&C già stabilito. Tuttavia, non è sempre questo il caso.

Ecco le tecniche di MITRE ATT&CK da coprire:

• T1041 – Esfiltrazione tramite canale C2
• T1048 – Esfiltrazione tramite protocollo alternativo

Durante l’analisi, potrebbe anche accadere che le destinazioni per i file esfiltrati possano variare. Per nascondere le loro tracce, gli avversari possono usare una varietà di protocolli (tutti diversi da quelli utilizzati per la comunicazione di un canale C2), come FTP/S, SMTP, HTTP/S, DNS, Net/SMB, e altro ancora. Un protocollo alternativo potrebbe anche significare trasferimenti all’interno dei servizi web come l’archiviazione cloud. Il traffico può essere criptato con un algoritmo di crittografia simmetrica, così come uno asimmetrico. I dati possono anche essere offuscati senza alcuna crittografia: è possibile farlo utilizzando algoritmi di codifica e compressione pubblica, come base64, o incorporare dati nelle intestazioni/campi di protocollo come HTTP POST. Anche le utilità integrate possono essere sfruttate qui. Ad esempio, un impianto di sorveglianza WindTail sfrutta un macOS /usr/bin/curl.

Mezzo di Esfiltrazione – Wireless e Fisico

I canali di rete wireless non sono i più ampiamente utilizzati – MITRE ATT&CK non fornisce ancora esempi di procedure. Tuttavia, se un’organizzazione ha un perimetro fisico chiuso come tale e non è passata completamente al BYOD, questo scenario rimane possibile.

Il mezzo alternativo potrebbe includere:

• Bluetooth
• Wi-Fi
• Modem
• Canale cellulare
• Canali di radiofrequenza

Per la maggior parte di questi canali, gli attaccanti devono essere fisicamente abbastanza vicini per farli funzionare. Inoltre, queste connessioni non sono così stealth rispetto ai canali Internet per la comunicazione C2. Qui, gli avversari non devono realmente nascondere il loro traffico perché non viene inviato attraverso la rete della vittima. Di conseguenza, questo traffico non sarà visibile tramite firewall o altri mezzi di prevenzione della perdita di dati stabiliti all’interno dell’infrastruttura dell’organizzazione.

Quando si tratta di un mezzo fisico, la prima cosa che viene in mente è un USB. E sì, sono ancora in uso da parte degli attaccanti. In alternativa, potrebbe essere un disco rigido esterno, un lettore MP3, un dispositivo mobile – qualsiasi cosa che abbia uno spazio di archiviazione fisico. Se un sistema target non ha connessione a Internet e ad altre reti, allora l’esfiltrazione fisica è forse l’unico modo per procedere. Qui sono applicabili le scene di film di spionaggio con persone che si infiltrano nelle sale server.

Servizi Web Sfruttati per l’Esfiltrazione

Servizi web legittimi e non compromessi possono involontariamente diventare buoni canali per l’esfiltrazione per vari motivi. Innanzitutto, i firewall dell’organizzazione possono avere regole per consentire lo scambio di dati all’interno di un tale servizio. Potrebbe essere qualcosa come Google Drive, che è ampiamente utilizzato dai dipendenti (APT28 ha usato questo canale per l’esfiltrazione). In secondo luogo, lo scambio di dati sui servizi web è molto probabilmente criptato con SSL/TLS, quindi gli attaccanti possono scaricarlo e rimanere inosservati.

Archivi di codice potrebbero essere un altro canale per l’esfiltrazione. I dati possono essere scaricati tramite API e tramite HTTPS.

Esfiltrazione Programmata

L’esfiltrazione di dati può avvenire su un certo programma per evitare il rilevamento. Gli avversari vogliono mescolarsi con il traffico normale o operare quando nessuno sta osservando. Le opzioni possono variare. Un programma può essere prestabilito o personalizzato. Tra gli altri, ecco i modelli osservati in natura:

• ADVSTORESHELL – ogni 10 minuti
• Cobalt Strike – intervalli arbitrari e casuali
• LightNeuron – di notte o durante l’orario lavorativo
• ShimRat – modalità di sospensione su istruzione

L’esfiltrazione programmata può utilizzare una connessione C2 o alternativa. Può anche usare un mix di percorsi diversi per rimanere inosservata.

Esfiltrazione Nel Cloud

Il monitoraggio del traffico di rete può potenzialmente rilevare connessioni pianificate con il server C2. Per evitarlo, gli attaccanti potrebbero tentare di trasferire i dati a un account canaglia all’interno dello stesso spazio di indirizzi di un provider cloud. Avevano luogo backup cloud dannosi osservati dai ricercatori che poi sono stati inviati tramite connessioni API.

Come Rilevare l’Esfiltrazione di Dati?

La parte del leone dei modelli può essere rilevata raccogliendo e analizzando i log di SIEM. Tuttavia, può essere difficile quando si tratta del traffico di rete. I periodi di conservazione dei dati per il monitoraggio del DNS non sono così lunghi, e inoltre, l’esfiltrazione stessa può accadere entro pochi minuti. Gli attaccanti fanno affidamento sulla difficoltà del monitoraggio del traffico di rete per questo motivo vogliono esfiltrare velocemente. Vediamo alcuni modi per rilevare l’esfiltrazione sia nel flusso di traffico che nei log di SIEM.

Flusso del Traffico di Rete

Alcuni specialisti della sicurezza trascurerebbero l’esfiltrazione tramite il tunneling DNS perché la natura di questo canale è molto rumorosa. Qui potrebbero voler analizzare i modelli di traffico alla ricerca di attività anomala. Potrebbe essere:

• Caratteristiche anomale nelle query, come tipi di record insoliti o stringhe di caratteri lunghe
• Durata, frequenza e dimensioni dei dati trasmessi attraverso determinati canali di richiesta/risposta
• Host e dispositivi anomali in nuove connessioni di rete
• Eccezioni di pacchetti che non appartengono a flussi stabiliti
• Pacchetti di dati a dimensione fissa inviati a intervalli sospettosamente regolari
• Modelli insoliti nei canali a livello applicativo criptati (come SSL/TLS) – non si può guardare dentro, ma è possibile analizzare il comportamento
• Uso sospetto delle porte comuni e non comuni

Il canale DNS su HTTPS (DoH) crittografa il traffico per la privacy, che è spesso sfruttato dagli attaccanti. Se rilevare la probabilità di tunneling DoH è cruciale per la sicurezza dell’organizzazione, considerate di studiare i risultati delle ultime ricerche scientifiche. Ad esempio, è possibile analizzare le impronte digitali TLS dei client DoH e costruire classificatori con caratteristiche basate sul flusso, che è dimostrato sperimentalmente.

Idea immagine: Al-kasassbeh Mouhammd, & Khairallah, T. (2019). Winning tactics with DNS tunneling. Network Security, 2019(12), 12–19. doi:10.1016/s1353-4858(19)30144-8

Regole Snort per IDS aiutano anche a rilevare il tunneling DNS. Le ricerche mostrano che le seguenti regole generano avvisi accurati:

• La regola che conta la frequenza delle richieste DNS entro cinque secondi
• La regola basata su un contenuto di byte specifico, che può essere trovato nei flussi di pacchetti
• La regola targeting il pacchetto IP incapsulato nella risposta DNS (cercando l’intestazione IP che inizia con 0x4510 basata sul numero di porta e destinazione del pacchetto tunnel)

Il traffico per questo esperimento è stato catturato tramite una connessione SSH. Gli analisti hanno esportato i byte del pacchetto tramite Wireshark in un file binario ed esaminato i suoi contenuti.

Log

Naturalmente, il processo di esfiltrazione può essere iniziato da fasi precedenti in una catena di uccisioni. Come, ad esempio, da un file eseguibile collocato in una posizione strana o da uno script PowerShell. I dati possono anche essere precedentemente raccolti e pacchettizzati per essere esfiltrati in seguito. I file possono essere condivisi o copiati. E poiché potrebbero esserci milioni di tali eventi che accadono sulla rete quotidianamente, è piuttosto difficile notare comportamenti sospetti nelle prime fasi del ciclo di vita di un attacco.

Monitorare l’esfiltrazione potenziale di dati in blocco è possibile utilizzando strumenti speciali di automazione per SIEM. Ad esempio, ci sono una serie di estensioni in IBM QRadar e un playbook di Microsoft Sentinel da SOC Prime per l’isolamento di worm in istanze AWS EC2 che tentano di esfiltrare dati.

Alcuni altri suggerimenti di rilevamento da MITRE ATT&CK includono:

• Controllare i file, soprattutto quelli con estensioni sospette e in posizioni inusuali, che tentano di stabilire una connessione tramite protocolli di rete
• Controllare i punti di montaggio per dispositivi di archiviazione e nuove lettere di unità assegnate
• Controllare accessi e nuove creazioni di processi per supporti rimovibili
• Monitorare i metadata della rete locale (come indirizzamento MAC) e i protocolli di gestione della rete (come DHCP) per connessioni hardware insolite

Infine, non dimentichiamo che diversi attaccanti potrebbero usare esattamente lo stesso campione di malware su diverse vittime. Ecco perché anche gli Indicatori di Compromissione (IOC) sono degni di considerazione. Come nel caso di HYPERSCRAPE, descritto da Google Threat Analysis Group (TAG) – questo malware mostra un comportamento piuttosto complesso, ma i file che utilizza sono piuttosto rilevabili.

Come Prevenire l’Esfiltrazione di Dati?

I team di sicurezza lavorano duramente per fornire molteplici livelli di protezione dei dati, come crittografia, VPN e proxy, rotazione delle chiavi, e altro ancora. Sfortunatamente, gli attaccanti possono sfruttare proprio quei controlli esfiltrando dati attraverso connessioni sicure. Quindi, come ottenere la migliore prevenzione dell’esfiltrazione di dati?

La prevenzione della perdita di dati (DLP)

DLP è un approccio strategico complesso per prevenire la perdita, la distruzione e l’uso non autorizzato dei dati. Può includere molteplici elementi tecnologici, processi specifici e il coinvolgimento del personale di sicurezza.

Solitamente inizia con la creazione di politiche di gestione del rischio. La classificazione dei dati e i principi di governo, i requisiti di conservazione, i piani di continuità aziendale, il recupero da disastri – tutta la documentazione noiosa ma essenziale viene redatta in questa fase. La parte tecnologica include hardware, firmware e software, dai ripetitori fino al SIEM. È utile sapere che alcuni fornitori di software come Microsoft offrono già DLP come un set nativo di funzionalità. E infine, la sicurezza è impossibile (ancora) senza supervisione umana, quindi professionisti qualificati e addestramento regolare aiuteranno a mantenere la strategia di DLP. Per estenderla oltre i limiti di un team interno, le organizzazioni sfruttano una difesa cibernetica collaborativa. Scopri i vantaggi del nostro programma Threat Bounty per vedere come i Ricercatori di Sicurezza indipendenti monetizzano la loro esperienza professionale.

Gestione dell’identità e dell’accesso

Per esfiltrare i dati, gli attaccanti vogliono apportare modifiche non autorizzate. Sebbene spesso, è più facile per loro dirottare sessioni e account di utenti legittimi e agire da lì. Sebbene ci siano molti modi per impersonare gli utenti interni, la gestione dell’accesso può essere gestita mediante l’aiuto di pochi metodi concettualmente semplici.

Si tratta tutto delle cose tradizionali: minimo privilegio, necessità di sapere, separazione dei compiti. Tutti questi sono utili perché è più facile stabilire parametri di base del comportamento legittimo degli utenti. Gli esperti di sicurezza dicono anche che la separazione dei compiti richiede collusione. Non è che gli amministratori vogliono che le persone colludano, ma è una mossa intelligente. Supponiamo che una catena di azioni come la lettura di un file sensibile E la comunicazione tramite connessione in uscita sia impossibile da fare all’interno della portata di un account. Questo spinge un utente canaglia a colludere e lasciare tracce. Tali azioni sarebbero più facili da rilevare.

Dal punto di vista tecnologico, controlli di autorizzazione come i biglietti Kerberos, Amazon IAM, ecc. hanno mostrato una serie di vulnerabilità al loro stato naturale che sono state felicemente sfruttate dagli avversari. In questo caso, un team SOC potrebbe affrontare domande difficili come se dovrebbero continuare a utilizzare questo controllo di sicurezza o meno. A dire il vero, è impossibile eliminare completamente i rischi, quindi spesso si tratta di proteggere l’infrastruttura con la migliore tecnologia disponibile e quindi monitorare continuamente la situazione. Inoltre, cose come la crittografia ibrida e l’autenticazione a più fattori dovrebbero essere implementate comunque, “per ogni evenienza”.

Idea immagine: Shutterstock

Rete Software-Defined (SDN)

I dispositivi di sicurezza per il monitoraggio e il filtraggio del traffico di rete aiutano a prevenire l’esfiltrazione, e molti fornitori fanno un ottimo lavoro nel produrli. Ma se il team SOC acquista questi dispositivi, sono legati a un vincolo del fornitore? Sono limitati dalla disponibilità delle patch? È qualcosa che non può essere superato e c’è una dipendenza completa da una particolare versione?

Si scopre che c’è un modo per evitare dipendenze indesiderate. SDN utilizza controller basati su software e API per gestire diversi livelli di sicurezza, ottenendo visibilità e controllo granulare del traffico, file, applicazioni e risorse. Tuttavia, poiché il piano di controllo è basato su software, è giusto suggerire che richiede un’attenzione di sicurezza considerevole anche per se stesso.

Microsegmentation

Idea immagine: Vembu

Uno dei modi pratici per ottenere cose come minimo privilegio e zero trust è la microsegmentazione. Come suggerisce il nome, questo approccio richiede la divisione delle reti in segmenti più piccoli (spesso definita da carichi di lavoro) e di proteggere ciascuno separatamente. Questo consente di configurare molteplici liste di controllo degli accessi (ACL) e isolare le risorse, riducendo così la superficie di attacco. Inutile dire che una singola struttura monolitica di rete è una ricetta per il disastro, quindi la microsegmentazione potrebbe essere una soluzione valida. Inoltre, potrebbe essere ragionevole implementare difesa in profondità quando i livelli di sicurezza impongono restrizioni in serie e non in parallelo.

L’autore dell'”Arte della Guerra” Sun Tzu una volta disse: “quando siamo vicini, dobbiamo far credere al nemico che siamo lontani.” Forse, era il maestro di ciò che ora si chiama nascondere i dati. In parole povere, dovrebbe essere estremamente difficile scoprire la posizione così come il fatto stesso dell’esistenza di dati altamente riservati su una certa rete.

Quando tutte le misure preventive sono in atto, semplifica la tua routine di rilevamento delle minacce sfruttando un approccio di difesa cibernetica collaborativa. Scopri il motore di ricerca sulle minacce informatiche di SOC Prime per una ricerca istantanea di più di 236 rilevazioni Sigma per la tattica di esfiltrazione. Le traduzioni in 26+ formati rendono queste regole applicabili a una moltitudine di soluzioni specifiche del fornitore per la gestione e il monitoraggio dei log. Ottieni 41 regole gratuitamente e una copertura completa a partire da $5,500 con un piano di abbonamento On-Demand.