Техники: T1074 , T1074.001 , T1074.002
Злоумышленники могут хранить данные, собранные с нескольких систем, в центральном месте или каталоге одной системы до начала эксфильтрации. Данные могут храниться в отдельных файлах или объединяться в один файл с помощью таких приемов, как Archive Collected Data. Для копирования данных в место хранения могут использоваться интерактивные командные оболочки, а также общие функции в cmd и bash.
В облачных средах злоумышленники могут хранить данные в определенном экземпляре или виртуальной машине до их утечки.Злоумышленник может Создать облачный экземпляр и поместить данные в этот экземпляр.(Цит. по Mandiant M-Trends 2020)
Помещая данные в одну систему перед эксфильтрацией, Злоумышленники могут минимизировать количество подключений к своему серверу C2 и лучше скрываться от обнаружения.
https://attack.mitre.org/techniques/T1074/002
Визуализация смежных техник для T1074.002
| № | Техника |
|---|
