Exfiltration Over Web Service

Adversaries may use an existing, legitimate external Web service to exfiltrate data rather than their primary command and control channel. Popular Web services acting as an exfiltration mechanism may give a significant amount of cover due to the likelihood that hosts within a network are already communicating with them prior to compromise. Firewall rules may also already exist to permit traffic to these services.

Web service providers also commonly use SSL/TLS encryption, giving adversaries an added level of protection.

Angreifer können einen bestehenden, legitimen externen Webdienst zum Exfiltrieren von Daten verwenden, anstatt ihren primären Befehls- und Kontrollkanal. Beliebte Webdienste, die als Exfiltrationsmechanismus fungieren, können einen erheblichen Schutz bieten, da die Wahrscheinlichkeit besteht, dass Hosts innerhalb eines Netzwerks bereits vor der Kompromittierung mit ihnen kommunizieren. Möglicherweise existieren auch bereits Firewall-Regeln, die den Datenverkehr zu diesen Diensten zulassen.

Anbieter von Webdiensten verwenden in der Regel SSL/TLS-Verschlüsselung, was für Angreifer einen zusätzlichen Schutz darstellt.

Les adversaires peuvent utiliser un service Web externe existant et légitime pour exfiltrer des données plutôt que leur principal canal de commande et de contrôle. Les services Web populaires servant de mécanisme d'exfiltration peuvent offrir une couverture importante en raison de la probabilité que les hôtes d'un réseau communiquent déjà avec eux avant la compromission. Des règles de pare-feu peuvent également déjà exister pour autoriser le trafic vers ces services.

Les fournisseurs de services Web utilisent aussi couramment le cryptage SSL/TLS, offrant aux adversaires un niveau de protection supplémentaire.

Gli avversari possono usare un servizio web esterno esistente e legittimo per esfiltrare dati piuttosto che il loro canale primario di comando e controllo. I servizi web popolari che fungono da meccanismo di esfiltrazione possono dare una copertura significativa grazie alla probabilità che gli host all'interno di una rete stiano già comunicando con loro prima della compromissione. Potrebbero anche esistere già regole di firewall per permettere il traffico verso questi servizi.

I fornitori di servizi web usano anche comunemente la crittografia SSL/TLS, dando agli avversari un ulteriore livello di protezione.

Law Assessment

Article Assessment
(Hacking)
Contribution Details
Last update: 2021-11-13
Autoren: Roman Kost, Viola Kost

Il est clair que l'exfiltration de données ne constitue pas un piratage ; aucun mécanisme de sécurité n'est contourné pour obtenir un accès non autorisé à un système de traitement de données.

L'esfiltrazione di dati non costituisce chiaramente hacking; nessun meccanismo di sicurezza viene aggirato per ottenere un accesso non autorizzato ad un impianto di elaborazione dati.

Exfiltration of data clearly does not constitute hacking; it does not circumvent security mechanisms to gain unauthorized access to a data processing facility.

Die Exfiltration von Daten stellt klarerweise kein Hacking dar; es werden keine Sicherheitsmechanismen umgangen, um unerlaubten Zugriff auf eine Datenverarbeitungsanlage zu erhalten.

(Datenbeschädigung)
Contribution Details
Last update: 2021-11-13
Autoren: Roman Kost

L'exfiltration de données en soi n'est pas pertinente pour la détérioration de données selon l'article 144bis du Code pénal.

L'esfiltrazione di dati di per sé non è rilevante per la corruzione di dati ai sensi dell'art. 144bis CP.

The exfiltration of data in itself is not relevant per se for data corruption under Art. 144bis SCC.

Das Exfiltrieren von Daten für sich genommen ist per se nicht für die Datenbeschädigung nach Art. 144bis StGB relevant.

Forensics

Forensic Domain Assessment

NIDS können Exfiltrationsvorgänge detektieren, in dem sie ungewöhnliche Datenmengen, ungewöhnliche Uhrzeiten für Traffic oder ganz grundsätzlich ungewöhnliche Zielhosts erkennen.

There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.

Les NIDS peuvent détecter des exfiltrations en identifiant des volumes de données inhabituels, des heures de trafic inhabituelles ou des hôtes de destination inhabituels.

Les NIDS peuvent détecter des exfiltrations en identifiant des volumes de données inhabituels, des heures de trafic inhabituelles ou des hôtes de destination inhabituels.

I NIDS possono rilevare eventi di esfiltrazione rilevando quantità insolite di dati, orari insoliti per il traffico o, più fondamentalmente, host di destinazione insoliti.

NIDS can detect exfiltration events by detecting unusual amounts of data, unusual times for traffic, or fundamentally unusual destination hosts.

Mutatis mutandis gilt das zu NIDS Gesagte.

There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.

Mutatis mutandis, ce qui a été dit à propos de NIDS s'applique.

Mutatis mutandis si applica ciò che è stato detto sui NIDS.

Mutatis mutandis, what has been said about NIDS applies.

Login
ID: T1567
Sub-techniques:  T1567.001, T1567.002
Tactic: Exfiltration
Platforms: Linux, Windows, macOS
Requires Network:  Yes
Contributors: William Cain
Version: 1.1
Created: 09 March 2020
Last Modified: 15 October 2021
Translations:  DE FR IT EN
Provided by LAYER 8

Procedure Examples

ID Name Description
G0007 APT28

APT28 can exfiltrate data over Google Drive.[1]

S0547 DropBook

DropBook has used legitimate web services to exfiltrate data.[2]

S0508 Ngrok

Ngrok has been used by threat actors to configure servers for data exfiltration.[3]

Mitigations

ID Mitigation Description
M1057 Data Loss Prevention

Data loss prevention can be detect and block sensitive data being uploaded to web services via web browsers.

M1021 Restrict Web-Based Content

Web proxies can be used to enforce an external network communication policy that prevents use of unauthorized external services.

Detection

ID Data Source Data Component
DS0017 Command Command Execution
DS0022 File File Access
DS0029 Network Traffic Network Traffic Content
Network Traffic Flow

Analyze network data for uncommon data flows (e.g., a client sending significantly more data than it receives from a server). Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. User behavior monitoring may help to detect abnormal patterns of activity.

Analysieren Sie die Netzwerkdaten auf ungewöhnliche Datenströme (z.B. ein Client, der deutlich mehr Daten sendet als er von einem Server empfängt). Prozesse, die das Netzwerk nutzen, die normalerweise keine Netzwerkkommunikation haben oder noch nie gesehen wurden, sind verdächtig. Die Überwachung des Benutzerverhaltens kann helfen, abnormale Aktivitätsmuster zu erkennen.

Analysez les données du réseau pour détecter les flux de données inhabituels (par exemple, un client qui envoie beaucoup plus de données qu'il n'en reçoit d'un serveur). Les processus utilisant le réseau qui n'ont pas de communication réseau normale ou qui n'ont jamais été vus auparavant sont suspects. La surveillance du comportement des utilisateurs peut aider à détecter des modèles d'activité anormaux.

Analizzi i dati di rete alla ricerca di flussi di dati insoliti (ad esempio, un cliente che invia molti più dati di quanti ne riceva da un server). I processi che utilizzano la rete che normalmente non hanno comunicazioni in rete o che non sono mai stati visti prima sono sospetti. Il monitoraggio del comportamento degli utenti può aiutare a rilevare modelli di attività anormali.

References