译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1022
术语表: /attack/glossary
在进行数据渗漏之前加密数据,以便隐藏被窃取的信息,避免被检测到。或者在防御者审查时使本次窃取更加隐蔽。加密由工具,编程库或数据的自定义算法执行,并且独立于命令与控制或文件传输协议执行的任何加密。可以加密文件的通用文件存档格式是 RAR 和 zip。 通常也会使用其他数据渗漏技术来将信息传出网络,例如命令与控制信道上的数据渗漏和备用协议上的数据渗漏。
识别可能用于解密文件的不必要的系统实用程序、第三方工具或潜在的恶意软件,并在适当的情况下使用白名单工具(如 AppLocker 和软件限制策略 ) 审计和/或拦截它们。
可以通过多种方式检测加密软件和加密文件。 可以通过进程监控和监控已知加密实用程序的命令行参数来检测可能存在在系统中或由攻击者引入的公共实用程序。 这可能会产生大量良性事件,具体取决于环境中系统的典型使用方式。 加密密钥通常在软件的命令行调用中声明。 加载 Windows DLL crypt32.dll 的进程可用于执行加密、解密或验证文件签名。 还可以分析网络流量的熵以确定是否正在传输加密数据。 如果通信信道未加密,通过网络入侵检测或数据丢失防护系统分析文件头,可以检测到数据渗漏过程中传输的已知文件类型的加密文件。