TA0010

استخراج داده

Exfiltration

توضیحات

مهاجم سعی می‌کند داده‌ها را از شبکه هدف بدزدد. تکنیک‌های استخراج داده شامل روش‌هایی برای سرقت داده‌ها است. کانال‌های استخراج معمولاً شامل پروتکل‌های فرمان و کنترل یا کانال‌های جایگزین مانند سرویس‌های وب می‌شوند.

تکنیک‌ها (8)

شناسهنام تکنیکزیرتکنیک

T1011

استخراج از طریق رسانه فیزیکی دیگرExfiltration Over Other Network Medium

مهاجمان داده‌ها را از طریق رسانه‌های شبکه‌ای غیر از کانال C2 اصلی استخراج می‌کنند، مانند Bluetooth، Wi-Fi و سایر پروتکل‌های بی‌سیم.

└T1011.001

استخراج از طریق BluetoothExfiltration Over Bluetooth

مهاجمان از Bluetooth برای انتقال داده‌های سرقت شده به دستگاه‌های نزدیک استفاده می‌کنند.

T1020

استخراج خودکارAutomated Exfiltration

مهاجمان از اسکریپت‌ها و ابزارهای خودکار برای استخراج مداوم داده‌ها از شبکه هدف استفاده می‌کنند.

└T1020.001

استخراج ترافیک شبکهTraffic Duplication

مهاجمان ترافیک شبکه را تکثیر می‌کنند تا داده‌ها را به صورت خودکار به مقصد خارجی ارسال کنند.

T1029

انتقال داده زمان‌بندی شدهScheduled Transfer

مهاجمان انتقال داده را در زمان‌های خاص مانند ساعات غیر کاری زمان‌بندی می‌کنند تا از شناسایی فرار کنند.

—

T1030

محدودیت انتقال دادهData Transfer Size Limits

مهاجمان داده‌ها را در قطعات کوچک‌تر تقسیم می‌کنند تا از آستانه‌های شناسایی مبتنی بر حجم فرار کنند.

—

T1041

استخراج از طریق کانال C2Exfiltration Over C2 Channel

مهاجمان داده‌های سرقت شده را از طریق همان کانال فرمان و کنترل که برای ارتباط با بدافزار استفاده می‌شود استخراج می‌کنند.

—

T1048

استخراج از طریق پروتکل جایگزینExfiltration Over Alternative Protocol

مهاجمان داده‌ها را از طریق پروتکل‌های جایگزین مانند DNS، ICMP، SMTP و FTP استخراج می‌کنند تا از کنترل‌های امنیتی فرار کنند.

└T1048.001

استخراج از طریق پروتکل رمزنگاری شده متقارنExfiltration Over Symmetric Encrypted Non-C2 Protocol

مهاجمان داده‌ها را از طریق پروتکل‌های رمزنگاری شده غیر از کانال C2 استخراج می‌کنند.

└T1048.002

استخراج از طریق پروتکل رمزنگاری نشدهExfiltration Over Asymmetric Encrypted Non-C2 Protocol

مهاجمان داده‌ها را از طریق پروتکل‌های رمزنگاری نشده یا ضعیف استخراج می‌کنند.

└T1048.003

استخراج از طریق پروتکل متن سادهExfiltration Over Unencrypted Non-C2 Protocol

مهاجمان داده‌ها را از طریق پروتکل‌های متن ساده مانند DNS و ICMP استخراج می‌کنند.

T1052

استخراج از طریق رسانه فیزیکیExfiltration Over Physical Medium

مهاجمان داده‌ها را از طریق رسانه‌های فیزیکی مانند USB، CD و درایوهای خارجی از شبکه air-gapped استخراج می‌کنند.

└T1052.001

استخراج از طریق USBExfiltration over USB

مهاجمان داده‌ها را از طریق دستگاه‌های USB به خارج از شبکه منتقل می‌کنند.

T1567

استخراج از طریق سرویس وبExfiltration Over Web Service

مهاجمان داده‌ها را از طریق سرویس‌های وب قانونی مانند Google Drive، Dropbox، GitHub و OneDrive استخراج می‌کنند تا از شناسایی فرار کنند.

└T1567.001

استخراج به Code RepositoryExfiltration to Code Repository

مهاجمان داده‌های سرقت شده را به مخازن کد مانند GitHub و GitLab آپلود می‌کنند.

└T1567.002

استخراج به ذخیره‌سازی ابریExfiltration to Cloud Storage

مهاجمان داده‌های سرقت شده را به سرویس‌های ذخیره‌سازی ابری مانند Dropbox، Google Drive و OneDrive آپلود می‌کنند.