ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1074

术语表: /attack/glossary

数据暂存

在渗漏数据 (Exfiltration) 之前,收集的数据被集中保存在一个位置或目录中。 数据可以保存在单独的文件中,也可以通过压缩数据或加密数据等技术组合成一个文件。 可以使用交互式命令 shell,并且可以使用 cmd 和 bash 中的常见功能将数据复制到暂存位置。

缓解

识别可能用于从可移动媒体收集数据的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单 工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。

检测

从不同位置读取文件并将其写入相同目录或文件的进程可能表明数据正在被暂存,特别它们正在对文件执行可疑的加密或压缩时。 监视可用于收集和组合文件操作的进程和命令行参数。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集数据和复制数据到某个位置。 也可以通过 Windows 系统管理工具获取和暂存数据,如 Windows 管理规范和 PowerShell。