| ID | Name |
|---|---|
| T1567.001 | Exfiltration to Code Repository |
| T1567.002 | Exfiltration to Cloud Storage |
Adversaries may exfiltrate data to a code repository rather than over their primary command and control channel. Code repositories are often accessible via an API (ex: https://api.github.com). Access to these APIs are often over HTTPS, which gives the adversary an additional level of protection.
Exfiltration to a code repository can also provide a significant amount of cover to the adversary if it is a popular service already used by hosts within the network.
Angreifer können Daten in ein Code-Repository und nicht über ihren primären Befehls- und Kontrollkanal exfiltrieren. Code-Repositories sind oft über eine API zugänglich (z.B. https://api.github.com). Der Zugriff auf diese APIs erfolgt häufig über HTTPS, was dem Angreifer einen zusätzlichen Schutz bietet.
Die Exfiltration zu einem Code-Repository kann dem Angreifer auch einen erheblichen Schutz bieten, wenn es sich um einen beliebten Dienst handelt, der bereits von Hosts innerhalb des Netzwerks genutzt wird.
Les adversaires peuvent exfiltrer des données vers un dépôt de code plutôt que sur leur canal principal de commande et de contrôle. Les dépôts de code sont souvent accessibles via une API (ex : https://api.github.com). L'accès à ces API se fait souvent via HTTPS, ce qui donne à l'adversaire un niveau de protection supplémentaire.
L'exfiltration vers un dépôt de code peut également fournir une couverture importante à l'adversaire s'il s'agit d'un service populaire déjà utilisé par les hôtes du réseau.
Gli avversari possono esfiltrare dati in un repository di codice piuttosto che sul loro canale primario di comando e controllo. I repository di codice sono spesso accessibili tramite un'API (es: https://api.github.com). L'accesso a queste API è spesso su HTTPS, il che dà all'avversario un ulteriore livello di protezione.
L'esfiltrazione ad un repository di codice può anche fornire una quantità significativa di copertura all'avversario se si tratta di un servizio popolare già usato da host all'interno della rete.
| ID | Name | Description |
|---|---|---|
| S0363 | Empire |
| ID | Mitigation | Description |
|---|---|---|
| M1021 | Restrict Web-Based Content |
Web proxies can be used to enforce an external network communication policy that prevents use of unauthorized external services. |
| ID | Data Source | Data Component |
|---|---|---|
| DS0017 | Command | Command Execution |
| DS0022 | File | File Access |
| DS0029 | Network Traffic | Network Traffic Content |
| Network Traffic Flow |
Analyze network data for uncommon data flows (e.g., a client sending significantly more data than it receives from a server) to code repositories. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. User behavior monitoring may help to detect abnormal patterns of activity.
Analysieren Sie die Netzwerkdaten auf ungewöhnliche Datenflüsse (z.B. ein Client, der deutlich mehr Daten sendet als er von einem Server empfängt) zu den Code-Repositories. Prozesse, die das Netzwerk nutzen, die normalerweise keine Netzwerkkommunikation haben oder noch nie gesehen wurden, sind verdächtig. Die Überwachung des Benutzerverhaltens kann helfen, abnormale Aktivitätsmuster zu erkennen.
Analysez les données du réseau pour détecter les flux de données inhabituels (par exemple, un client qui envoie beaucoup plus de données qu'il n'en reçoit d'un serveur) vers les dépôts de code. Les processus utilisant le réseau qui n'ont pas de communication réseau normale ou qui n'ont jamais été vus auparavant sont suspects. La surveillance du comportement des utilisateurs peut aider à détecter des modèles d'activité anormaux.
Analizzi i dati di rete alla ricerca di flussi di dati insoliti (ad esempio, un client che invia significativamente più dati di quanti ne riceva da un server) ai depositi di codice. I processi che utilizzano la rete che normalmente non hanno comunicazioni in rete o che non sono mai stati visti prima sono sospetti. Il monitoraggio del comportamento degli utenti può aiutare a rilevare modelli di attività anormali.