Ваше облако — их база. Теперь хакеры незаметно выносят информацию через «белый» софт
NewsMakerЗачем писать вирусы, если можно использовать админские утилиты для шпионажа?
Обычные утилиты, знакомые каждому администратору, всё чаще превращаются в инструмент кражи данных. Злоумышленники перестали полагаться на вредоносные программы и действуют куда проще: берут легальные средства , которые уже есть в инфраструктуре компании, и незаметно выносят информацию наружу.
Специалисты Cisco Talos описали такой подход в рамках проекта Exfiltration Framework. Работа показывает, как злоумышленники используют штатные возможности операционных систем, популярные сторонние программы и облачные клиенты для передачи данных. Такой подход серьёзно усложняет обнаружение, поскольку привычные признаки компрометации и блокировка по инструментам почти не работают.
Речь идёт не о редких или экзотических средствах. Для кражи данных применяют PowerShell , robocopy, curl, rclone, Syncthing, а также клиенты облачных платформ вроде AWS CLI или AzCopy. Все перечисленные программы активно используют в обычной работе, поэтому их запуск сам по себе не вызывает подозрений.
Главная проблема заключается в том, что злоумышленники маскируются под нормальную деятельность. Передача данных идёт через стандартные протоколы, чаще всего через HTTPS, с использованием разрешённых портов и шифрования. С точки зрения сети такой трафик выглядит как резервное копирование или синхронизация. Даже обращение к облачным сервисам не вызывает тревоги, поскольку компании сами активно ими пользуются.
Обычные утилиты, знакомые каждому администратору, всё чаще превращаются в инструмент кражи данных. Злоумышленники перестали полагаться на вредоносные программы и действуют куда проще: берут легальные средства , которые уже есть в инфраструктуре компании, и незаметно выносят информацию наружу.
Специалисты Cisco Talos описали такой подход в рамках проекта Exfiltration Framework. Работа показывает, как злоумышленники используют штатные возможности операционных систем, популярные сторонние программы и облачные клиенты для передачи данных. Такой подход серьёзно усложняет обнаружение, поскольку привычные признаки компрометации и блокировка по инструментам почти не работают.
Речь идёт не о редких или экзотических средствах. Для кражи данных применяют PowerShell , robocopy, curl, rclone, Syncthing, а также клиенты облачных платформ вроде AWS CLI или AzCopy. Все перечисленные программы активно используют в обычной работе, поэтому их запуск сам по себе не вызывает подозрений.
Главная проблема заключается в том, что злоумышленники маскируются под нормальную деятельность. Передача данных идёт через стандартные протоколы, чаще всего через HTTPS, с использованием разрешённых портов и шифрования. С точки зрения сети такой трафик выглядит как резервное копирование или синхронизация. Даже обращение к облачным сервисам не вызывает тревоги, поскольку компании сами активно ими пользуются.