译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1002
术语表: /attack/glossary
攻击者可以压缩在渗漏之前收集的数据(例如,敏感文档),以使其更轻便并最小化通过网络发送的数据量。压缩独立于数据渗漏通道进行,并使用自定义程序或算法,或更常见的压缩库或工具(如 7zip,RAR,ZIP 或 zlib)执行。
识别那些可能用于压缩文件,审计或阻断,的不必要的系统实用程序,第三方工具或潜在的恶意软件,并在适当的情况下[38]使用白名单 [34]工具(如 AppLocker, [35] [36]或软件限制策略[37] )审核和/或拦截它们。
如果网络入侵防御或数据丢失防护工具设置为不允许特定文件类型通过未加密的通道离开网络,则攻击者可能会移动到加密通道。
可以通过多种方式检测压缩软件和压缩文件。可以通过过程监视和监视已知压缩实用程序的命令行参数来检测可能存在于系统上或由攻击者引入的公共实用程序。这可能会产生大量的良性事件,具体取决于通常使用环境中的系统的方式。
如果通信通道未加密,则可以在使用网络入侵检测或数据丢失防护系统分析文件头的数据渗漏期间检测传输中的压缩文件。 [39]