ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1011

术语表: /attack/glossary

在其他网络媒介上数据渗漏

数据渗漏有可能发生在不同的网络媒介上,而不是命令与控制信道。如果命令与控制网络是有线因特网连接,那么可以通过例如 WiFi 连接,调制解调器,蜂窝数据连接,蓝牙或其他射频(RF)信道窃取数据。如果攻击者对目标具有足够的访问权限或距离够近,他可以选择执行此操作,并且该连接可能不会像主互联网连接信道一样安全,因为它没有通过同一企业网络路由。

缓解

确保基于主机的传感器可以查看所有网络适配器使用情况,并尽可能阻止创建新的网络适配器。 [2] [3]

检测

利用通常没有网络通信或以前从未出现过的网络的进程(是可疑的)。 通常需要用户驱动的事件才能访问网络(例如,单击鼠标或按键)但是在没有这些事件的情况下就访问网络的进程可能是恶意的。 监控并调查主机适配器设置的更改,如通信接口的添加和/或复制。