O que é Exfiltração de Dados? Tática de Exfiltração MITRE ATT&CK4 | TA0010

O processo de roubo de dados de um sistema corporativo também é conhecido como exfiltração. O MITRE ATT&CK® dedicou uma tática inteira para a cópia, download e transferência ilegais de dados internos das organizações com níveis significativos de sensibilidade. Exemplos de exfiltração de dados podem ser bastante óbvios, como copiar arquivos para um pen drive; e bastante furtivos, como o tunelamento DNS sobre HTTPS. Vamos olhar para a exfiltração mais de perto e encontrar maneiras de prevenir e detectar esta tática.

A equipe de segurança dedicada da SOC Prime, juntamente com uma comunidade mundial de Caçadores de Ameaças e Engenheiros de Detecção, trabalha continuamente para encontrar novas maneiras de detectar ameaças cibernéticas. Nosso Mecanismo de Busca de Ameaças Cibernéticas fornece acesso instantâneo ao contexto de CTI, mapeamento MITRE ATT&CK e detecções relevantes baseadas em Sigma. Clique no botão abaixo para ver toda a coleção de regras Sigma para detectar Exfiltração (TA0010).

EXPLORAR DETECÇÕES

Mude para a visualização da MITRE ATT&CK para explorar resultados de busca alinhados com o framework MITRE ATT&CK e aprofundar em todas as técnicas disponíveis da tática de Exfiltração.

Como Funciona a Exfiltração de Dados?

Um dos métodos mais amplamente utilizados de roubo de dados é transferi-los através de um canal de rede que conecta uma empresa com o mundo exterior. O tráfego da Internet, nesse caso, é utilizado de várias formas diferentes. Os atacantes geralmente tentam ofuscar os dados, compactar e encriptá-los antes de exfiltrar. Pequenos pedaços de informação podem ser embutidos em imagens de esteganografia, consultas DNS, metadados de pacotes e assim por diante. O tráfego também pode ser interceptado e analisado por adversários em tempo real.

Mais comumente, ataques cibernéticos são direcionados para exfiltrar os dados que as vítimas já possuem. No entanto, alguns tipos de malware também registram e coletam novos dados que não estão armazenados dentro da infraestrutura da organização. Por exemplo, os atacantes podem usar dispositivos e aplicativos que gravam áudio e vídeo, pressionamentos de tecla e cópias de área de transferência. Todas essas ações podem ser realizadas automaticamente ou manualmente através de ferramentas de acesso remoto.

Tipos de Exfiltração de Dados

Agora vamos nos aprofundar um pouco mais em explorar as maneiras particulares pelas quais os dados podem ser exfiltrados de infraestruturas digitais para locais de terceiros sem o consentimento ou conhecimento do proprietário.

Exfiltração Automatizada

Exfiltração de dados maliciosa raramente parece um filme de espião nos dias de hoje. Em vez disso, os arquivos podem silenciosamente baixar em segundo plano e se misturar com o tráfego legítimo. Além disso, sub-técnicas como a T1020.001 são usadas para espelhar o tráfego monitorado, que é uma função nativa em algumas ferramentas e dispositivos de análise de rede. Abaixo está um exemplo visualizado de uma exfiltração silenciosa.

Fonte da imagem: “Exfiltration Techniques: An Examination and Emulation” de Ryan C. Van Antwerp, Primavera de 2011

Exfiltração de Dados em Pequenos Tamanhos

Obviamente, volumes enormes de transferências de dados serão facilmente notados por especialistas em segurança. Os adversários sabem disso; por isso muitos tentam dividir os dados em pequenos pedaços e levá-los discretamente (T1030). Desta forma, os atacantes não mexem com limiares de transferência de dados e não geram alertas. Como resultado, a exfiltração pode permanecer sem ser detectada por um período significativo de tempo.

Por exemplo, Cobalt Strike primeiro constrói um beacon para comunicação lenta e silenciosa com um canal C2. Então, durante cada check-in, o beacon tem a tarefa de baixar um determinado arquivo. Ele divide o arquivo em pedaços e os baixa pouco a pouco. O tamanho do pedaço depende do canal de dados atual. Para HTTP/HTTPS, o tamanho é 512KB. E não é nem o menor tamanho. Um backdoor apelidado de Helminth envia dados em pedaços de 23 bytes em consultas DNS.

Canais de Exfiltração: C2 vs. Protocolo Alternativo

É razoável sugerir que os atacantes tentarão roubar dados através de um canal C&C já estabelecido. No entanto, isso nem sempre é o caso.

Aqui estão as técnicas do MITRE ATT&CK para cobrir:

• T1041 – Exfiltração sobre canal C2
• T1048 – Exfiltração sobre protocolo alternativo

Durante a análise, pode também ocorrer que os locais de destino para arquivos exfiltrados possam variar. Para esconder seus rastros, os adversários podem usar uma variedade de protocolos (todos diferentes do usado para comunicação de canal C2), como FTP/S, SMTP, HTTP/S, DNS, Net/SMB, e mais. Um protocolo alternativo também pode significar transferências dentro de serviços web, como armazenamento em nuvem. O tráfego pode ser criptografado com um algoritmo de criptografia simétrica, bem como um assimétrico. Os dados também podem ser ofuscados sem qualquer criptografia: é possível fazer isso usando algoritmos públicos de codificação e compressão, como base64, ou embutindo dados nos cabeçalhos/campos do protocolo, como HTTP POST. Utilitários embutidos podem ser explorados aqui também. Por exemplo, um implante de vigilância WindTail abusa de um macOS /usr/bin/curl.

Meio de Exfiltração – Sem Fio e Físico

Canais de rede sem fio não são os mais amplamente utilizados – o MITRE ATT&CK ainda não fornece exemplos de procedimentos. No entanto, se uma organização tiver um perímetro físico fechado e ainda não tiver transitado totalmente para BYOD, esse cenário permanece possível.

O meio alternativo pode incluir:

• Bluetooth
• Wi-Fi
• Modem
• Canal Celular
• Canal(is) de radiofrequência

Para a maioria desses canais, os atacantes devem estar fisicamente próximos o suficiente para que funcione. Além disso, essas conexões não são tão furtivas quanto os canais de Internet para comunicação C2. Aqui, os adversários não precisam realmente esconder seu tráfego porque não está sendo enviado através da rede da vítima. Como resultado, esse tráfego não será visível por firewalls ou qualquer outro meio de prevenção de perda de dados estabelecido dentro da infraestrutura da organização.

Quando se trata de um meio físico, a primeira coisa que vem à mente é um USB. E sim, eles ainda são usados pelos atacantes. Alternativamente, pode ser um disco rígido externo, um MP3 player, dispositivo móvel – qualquer coisa que tenha armazenamento físico. Se um sistema-alvo não tiver conexão à Internet e outras redes, então a exfiltração física é talvez o único caminho a seguir. As cenas de filmes de espião com pessoas se esgueirando em salas de servidor são aplicáveis aqui.

Serviços Web Explorados para Exfiltração

Serviços web legítimos e não comprometidos podem inadvertidamente se tornar bons canais para exfiltração por alguns motivos. Primeiro, os firewalls da organização podem ter regras para permitir troca de dados dentro de tal serviço. Pode ser algo como o Google Drive, que é muito utilizado pelos funcionários (APT28 usou esse canal para exfiltração). Segundo, a troca de dados em serviços web é muito provavelmente encriptada com SSL/TLS, então os atacantes podem baixá-lo e permanecer despercebidos.

Repositórios de código podem ser outro canal para exfiltração. Os dados podem ser despejados através API e sobre HTTPS.

Exfiltração Agendada

A exfiltração de dados pode ocorrer em um cronograma específico para evitar a detecção. Os adversários querem se misturar ao tráfego normal ou operar quando ninguém está assistindo. As opções podem variar. Um cronograma pode ser predeterminado ou personalizado. Entre outros, aqui estão os padrões que foram observados na natureza:

• ADVSTORESHELL – a cada 10 minutos
• Cobalt Strike – intervalos arbitrários e aleatórios
• LightNeuron – à noite ou horários comerciais
• ShimRat – modo de suspensão mediante instrução

A exfiltração agendada pode usar uma conexão C2 ou alternativa. Também pode usar uma mistura de diferentes rotas para permanecer indetectável.

Exfiltração Dentro da Nuvem

O monitoramento do tráfego da rede pode detectar potencialmente conexões programadas com o servidor C2. Para evitar isso, os atacantes podem tentar transferir os dados para uma conta mal-intencionada dentro do mesmo espaço de endereço de um provedor de nuvem. Backups maliciosos na nuvem foram observados pelos pesquisadores que então foram enviados através de conexões API.

Como Detectar Exfiltração de Dados?

A maior parte dos padrões podem ser detectados coletando e analisando logs de SIEM. No entanto, pode ser difícil quando se trata de tráfego de rede. Os períodos de retenção de dados para monitoramento de DNS não são tão longos, e além disso, a própria exfiltração pode ocorrer em minutos. Os atacantes contam com a dificuldade do monitoramento de tráfego de rede por isso desejam exfiltrar rapidamente. Vamos ver algumas das maneiras de detectar exfiltração tanto no fluxo de tráfego quanto nos logs de SIEM.

Fluxo de Tráfego de Rede

Alguns especialistas em segurança ignorariam a exfiltração através do tunelamento DNS porque a natureza desse canal é muito ruidosa. Aqui eles podem querer analisar padrões de tráfego em busca de atividade anômala. Isso poderia ser:

• Características anormais em consultas, como tipos de registros incomuns ou cadeias de caracteres longas
• Duração, frequência e tamanhos dos dados transmitidos através de determinados canais de solicitação/resposta
• Hosts e dispositivos anormais em novas conexões de rede
• Desvios de pacotes que não pertencem a fluxos estabelecidos
• Pacotes de dados fixos enviados em intervalos suspeitosamente regulares
• Padrões incomuns em canais de camada de aplicação criptografados (como SSL/TLS) – você não pode ver o que está dentro, mas pode analisar o comportamento
• Uso suspeito de portas comuns e incomuns

O canal DNS sobre HTTPS (DoH) criptografa o tráfego para privacidade, que é frequentemente abusado por atacantes. Se detectar a probabilidade de tunelamento DoH é crucial para a segurança da organização, considere estudar as últimas descobertas de pesquisas científicas. Por exemplo, é possível analisar impressões digitais TLS de clientes DoH e construir classificadores com características baseadas em fluxo, que é demonstrado experimentalmente.

Idéia de imagem: Al-kasassbeh Mouhammd & Khairallah, T. (2019). Táticas de vitória com tunelamento DNS. Segurança da Rede, 2019(12), 12–19. doi:10.1016/s1353-4858(19)30144-8

Regras Snort para IDS também ajudam a detectar tunelamento DNS. A pesquisa mostra que as seguintes regras geram alertas precisos:

• A regra que conta a frequência de solicitações DNS em cinco segundos
• A regra baseada em conteúdo de byte específico, que pode ser encontrado em fluxos de pacotes
• A regra que tem como alvo o pacote IP encapsulado na resposta DNS (procurando o cabeçalho IP começando com 0x4510 com base no número da porta e no destino de um pacote tunelado)

O tráfego para este experimento foi capturado via uma conexão SSH. Os analistas exportaram bytes de pacotes através do Wireshark em um arquivo binário e examinaram seu conteúdo.

Logs

Naturalmente, o processo de exfiltração pode ser iniciado a partir de estágios anteriores em uma cadeia de ataque. Como, por exemplo, a partir de um arquivo executável colocado em um local estranho ou um script PowerShell. Os dados também podem ser previamente coletados e embalados para serem exfiltrados mais tarde. Arquivos podem ser compartilhados ou copiados. E como podem haver milhões de tais eventos acontecendo na rede diariamente, é bastante difícil notar comportamento suspeito no início de um ciclo de vida de ataque.

Monitorar a possível exfiltração de dados em massa é possível usando ferramentas de automação especial para SIEM. Por exemplo, existem várias extensões em IBM QRadar e um playbook do Microsoft Sentinel da SOC Prime para o isolamento de worms em instâncias AWS EC2 que tentam exfiltrar dados.

Outras dicas de detecção da MITRE ATT&CK incluem:

• Verificação de arquivos, especialmente aqueles com extensões suspeitas e em locais incomuns, que tentam iniciar uma conexão via protocolos de rede
• Verificação de pontos de montagem para dispositivos de armazenamento e letras de unidade recém-atribuídas
• Monitoramento de acessos e novas criações de processos para mídias removíveis
• Monitoramento de metadados de rede local (como endereçamento MAC) e protocolos de gerenciamento de rede (como DHCP) para conexões de hardware incomuns

Finalmente, não vamos esquecer que diferentes atacantes podem usar exatamente o mesmo amostra de malware em diferentes vítimas. É por isso que os Indicadores de Compromisso (IOC) também valem a pena considerar. Como no caso do HYPERSCRAPE, descrito pela Google Threat Analysis Group (TAG) – este malware mostra um comportamento bastante complexo, mas os arquivos que ele usa são bastante detectáveis.

Como Prevenir a Exfiltração de Dados?

As equipes de segurança trabalham arduamente para fornecer múltiplos níveis de proteção de dados, como criptografia, VPN e proxy, rotação de segredos e mais. Infelizmente, os atacantes podem abusar precisamente desses controles exfiltrando dados por meio de conexões seguras. Então, como alcançar a melhor prevenção contra exfiltração de dados?

Prevenção de Perda de Dados (DLP)

DLP é uma abordagem estratégica complexa para prevenir vazamento, destruição e uso não autorizado de dados. Pode incluir múltiplas peças de tecnologia, processos específicos e envolvimento do pessoal de segurança.

Geralmente, começa com a criação de políticas de gerenciamento de riscos. Classificação de dados e princípios de governança, requisitos de retenção, planos de continuidade de negócios, recuperação de desastres – toda a documentação essencial, mas sem graça, é elaborada nesta etapa. A parte tecnológica inclui hardware, firmware e software, desde repetidores até chegar ao SIEM. Vale notar que alguns fornecedores de software como Microsoft já oferecem DLP como um conjunto de recursos nativos. E, finalmente, a segurança é impossível (ainda) sem supervisão humana, então profissionais qualificados e treinamento regular ajudarão a manter a estratégia de DLP. Para estendê-la além das limitações de uma equipe interna, as organizações aproveitam a defesa colaborativa cibernética. Confira os benefícios do nosso programa Threat Bounty para ver como Pesquisadores de Segurança independentes monetizam sua experiência profissional.

Gerenciamento de Identidade e Acesso

Para exfiltrar dados, os atacantes querem fazer alterações não autorizadas. Embora muitas vezes, seja mais fácil para eles sequestrar sessões e contas de usuários legítimos e agir a partir daí. Embora existam muitas maneiras de se passar por insiders, o gerenciamento de acesso pode ser tratado com a ajuda de alguns métodos conceitualmente simples.

Trata-se de coisas tradicionais: menor privilégio, necessidade de saber, separação de funções. Todos esses são úteis porque é mais fácil estabelecer padrões de comportamento legítimo do usuário. Especialistas em segurança também dizem que a separação de funções requer conluio. Não é como se os administradores quisessem que as pessoas conluissem, mas é um movimento inteligente. Digamos que uma cadeia de ações como ler um arquivo sensível E comunicar-se via conexão de saída é impossível de fazer no escopo de uma conta. Isso leva um usuário desonesto a conspirar e deixar rastros. Tais ações seriam mais fáceis de detectar.

Tecnologicamente, controles de autorização como tickets Kerberos, Amazon IAM, etc., mostraram várias falhas na natureza que foram alegremente exploradas por adversários. Nesse caso, uma equipe de SOC pode enfrentar perguntas difíceis, como se deve continuar usando este controle de segurança ou não. A verdade é que é impossível eliminar completamente os riscos, então geralmente se trata de proteger a infraestrutura com a melhor tecnologia disponível e então monitorar continuamente a situação. Além disso, coisas como criptografia híbrida e autenticação multifator devem ser implementadas de qualquer maneira, “apenas por precaução.”

Idéia de imagem: Shutterstock

Redes Definidas por Software (SDN)

Os dispositivos de segurança para monitoramento e filtragem de tráfego de rede ajudam a prevenir exfiltração, e muitos fornecedores fazem um excelente trabalho em fabricá-los. Mas se a equipe de SOC comprar esses dispositivos, eles estão sujeitos ao bloqueio do fornecedor? Eles estão limitados pela disponibilidade de patches? É só isso e há uma completa dependência de

uma versão particular? Acontece que há uma maneira deevitar dependências indesejadas

. SDN emprega controladores baseados em software e APIs para gerenciar diferentes níveis de segurança, ganhando visibilidade e controle granular de tráfego, arquivos, aplicativos e ativos. No entanto, como o plano de controle é baseado em software, é justo sugerir que requer um grande

monitoramento de segurança para si mesmo também. Idéia de imagem:

Idéia de imagem: Um dos meios práticos de alcançar coisas como menor privilégio e confiança zero é através da microsegmentação. Como o nome sugere, esta abordagem requer dividir redes em segmentos menores um desastre, então a microsegmentação pode ser uma solução viável. Além disso, pode ser razoável implementar (geralmente definidos por cargas de trabalho) e assegurar cada um separadamente. Isso permite configurar várias listas de controle de acesso (ACL) e isolar ativos, reduzindo assim a superfície de ataque. Nem é preciso dizer que uma única estrutura monolítica de uma rede é uma receita para defesa em profundidade quando as camadas de segurança impõem restrições

três fatores de MFA e não em paralelo.o autor de “A Arte da Guerra” Sun Tzu uma vez disse: “quando estamos perto, devemos fazer o inimigo acreditar que estamos longe.” Talvez, ele fosse o mestre do que agora é chamado de

plano de microsegmentação . Simplificando, deve ser extremamente difícil descobrir a colocação, bem como até mesmo o fato de existência de dados altamente confidenciais em uma determinada rede. Quando todas as medidas preventivas estiverem em vigor, agilize sua rotina de detecção de ameaças aproveitando uma abordagem de defesa cibernética colaborativa. Descubra