Существуют необычные методы эксфильтрации данных, выявить их на уровне сети невозможно. Так, в 2017 году Алан Мони из компании Pen Test Partners описал метод эксфильтрации через кодирование данных в значениях цвета пикселей. Атакуемый хост мигает экраном, принимающая сторона захватывает видео и декодирует данные. При разрешении экрана 1920 × 1080 при 24-битном цвете можно кодировать почти 6 Мбайт.
Еще по теме: ICMP-туннелирование при пентесте
Эксфильтрация данных через изображения
Алан Мони создал и утилиту, реализующую этот метод. Захваченный хост мигает экраном и в каждой вспышке передает блок данных, который начинается с определенного заголовка. Как только приемник получает кадр без заголовка, он восстанавливает содержимое из уже полученных кадров и сохраняет результат в файл.
На принимающей стороне необходимо запустить утилиту в режиме Receiver.
На передающей стороне нужно открыть файл, который будет закодирован в пиксели и считан принимающей стороной.
После открытия файла экран начнет мигать. Принимающая сторона будет декодировать пиксели и сохранять файл.
Этот метод становится особенно актуальным во время пандемии, так как многие компании перешли на удаленку и используют для доступа к внутренней сети средства вроде RDP и Citrix.
Как детектировать эксфильтрацию данных через изображения?
Обнаружить такой специфический метод штатными средствами может быть проблематично. Однако утилита пока что встречается редко и не обросла большим числом модификаций. Так что можно защититься добавлением хеша исполняемого файла в базу антивируса.
Чтобы полноценно отслеживать запуск подобного передатчика, придется контролировать изображение рабочего стола сотрудников. Так как приемник ищет в кадрах специальный заголовок, его может искать и средство защиты.
Как обойти эксфильтрацию данных через изображения?
Вендорских решений, которые бы противодействовали такому способу эксфильтрации, пока что не существует, поэтому и запуск передатчика вряд ли будет обнаружен. Однако, если в компании используются системы, контролирующие активность сотрудников, есть определенная вероятность, что кто‑то может заметить странное мигание на рабочем столе. Так что перед использованием этого метода стоит заранее убедиться, смотрит ли дежурная служба за рабочими столами сотрудников или нет.
Заключение
Как известно, информацию нельзя извлечь только из выключенного компьютера в клетке Фарадея, залитой для надежности бетоном. По крайней мере, пока.
В современных реалиях компании не могут позволить себе быть полностью изолированными от мировой сети. Тем не менее наиболее эффективный и недорогой метод противодействия — это блокировка исходящего трафика. Если заблокировать облачные диски и мессенджеры на периметре компании, это остановит хотя бы сотрудников, не обладающих специальными знаниями.
Ведение белого списка внешних хостов, к которым разрешен трафик ICMP, ограничит возможность построения ICMP-туннеля.
Для эксфильтрации через веб‑сервисы можно использовать практически любой ресурс, позволяющий загружать данные. Но все ресурсы, где есть функция комментирования, заблокировать невозможно, не сделав инфраструктуру изолированной.
Профилирование трафика организации и выявление базового уровня позволит находить аномалии в количестве или размерах пакетов, которые могут свидетельствовать о попытке эксфильтрации данных. Использование же систем DLP эффективно ровно до того момента, пока злоумышленник не начнет применять шифрование.
В заключение напомню, что системы бесполезны, если у злоумышленника будет физический доступ к ПК, возможность вставить свою флешку, 3G-модем или выдернуть сетевой кабель и вставить в свой ноутбук или роутер.
Еще по теме: Проброс портов при пентесте и постэксплуатации