Quá trình trích xuất dữ liệu bao gồm các kỹ thuật mà đối thủ có thể sử dụng để lấy cắp dữ liệu từ mạng của bạn. Khi họ đã thu thập dữ liệu, kẻ tấn công thường đóng gói dữ liệu đó lại để tránh bị phát hiện trong khi xóa dữ liệu đó. Điều này có thể bao gồm nén và mã hóa. Các kỹ thuật để lấy dữ liệu ra khỏi mạng mục tiêu thường bao gồm chuyển dữ liệu qua kênh chỉ huy và điều khiển của họ hoặc một kênh thay thế và cũng có thể bao gồm việc đặt giới hạn kích thước cho quá trình truyền.
ID Tên Mô tả
T1020 Trích xuất dữ liệu tự động
Kẻ tấn công có thể lấy cắp dữ liệu, chẳng hạn như các tài liệu nhạy cảm, thông qua việc sử dụng xử lý tự động sau khi được thu thập trong quá trình Thu thập
T1030 Giới hạn kích thước truyền dữ liệu
Kẻ tấn công có thể tách dữ liệu theo các phần có kích thước cố định thay vì toàn bộ tệp hoặc giới hạn kích thước gói dưới ngưỡng nhất định. Cách tiếp cận này có thể được sử dụng để tránh kích hoạt cảnh báo ngưỡng truyền dữ liệu mạng
T1048
Trích xuất dữ liệu qua giao thức thay thế
Kẻ tấn công có thể lấy cắp dữ liệu bằng cách lấy cắp dữ liệu qua một giao thức khác với giao thức của kênh điều khiển và chỉ huy hiện có. Dữ liệu cũng có thể được gửi đến một vị trí mạng thay thế từ máy chủ điều khiển và lệnh chính.
T1041 Trích xuất dữ liệu qua kênh C2
Kẻ tấn công có thể lấy cắp dữ liệu bằng cách lấy cắp dữ liệu qua kênh C&C. Dữ liệu bị đánh cắp được mã hóa vào kênh liên lạc thông thường bằng cách sử dụng cùng một giao thức như truyền thông lệnh và điều khiển.
T1011
Trích xuất dữ liệu qua phương tiện mạng khác
Kẻ tấn công có thể cố gắng lấy dữ liệu qua một phương tiện mạng khác với kênh chỉ huy và điều khiển. Nếu mạng chỉ huy và điều khiển là một kết nối Internet có dây, thì quá trình Trích xuất dữ liệu có thể xảy ra, ví dụ: qua kết nối WiFi, modem, kết nối dữ liệu di động, Bluetooth hoặc kênh tần số vô tuyến (RF) khác.
T1052
Trích xuất dữ liệu qua phương tiện vật lý
Kẻ tấn công có thể cố gắng lấy cắp dữ liệu thông qua một phương tiện vật lý, chẳng hạn như ổ đĩa di động. Trong một số trường hợp nhất định, chẳng hạn như sự xâm phạm mạng có lỗ hổng không khí, quá trình trích xuất dữ liệu có thể xảy ra thông qua phương tiện vật lý hoặc thiết bị do người dùng giới thiệu. Phương tiện đó có thể là ổ cứng ngoài, ổ USB, điện thoại di động, máy nghe nhạc MP3 hoặc thiết bị xử lý và lưu trữ di động khác. Phương tiện vật lý hoặc thiết bị có thể được sử dụng làm điểm trích xuất dữ liệu cuối cùng hoặc để nhảy giữa các hệ thống đã ngắt kết nối.
T1567 Trích xuất dữ liệu qua dịch vụ web
Kẻ tấn công có thể sử dụng một dịch vụ Web bên ngoài hợp pháp, hiện có để trích xuất dữ liệu dữ liệu chứ không phải là kênh điều khiển và chỉ huy chính của chúng. Các dịch vụ Web phổ biến hoạt động như một cơ chế trích xuất dữ liệu có thể cung cấp một lượng lớn sự che đậy do khả năng các máy chủ trong mạng đã giao tiếp với chúng trước khi bị xâm phạm. Các quy tắc tường lửa cũng có thể đã tồn tại để cho phép lưu lượng truy cập vào các dịch vụ này.
T1029 Scheduled Transfer
Kẻ tấn công có thể lập lịch trình trích xuất dữ liệu dữ liệu chỉ được thực hiện vào những thời điểm nhất định trong ngày hoặc vào những khoảng thời gian nhất định. Điều này có thể được thực hiện để kết hợp các mô hình lưu lượng truy cập với hoạt động bình thường hoặc tình trạng sẵn có.
T1537 Chuyển dữ liệu sang tài khoản đám mây
Kẻ tấn công có thể lấy cắp dữ liệu bằng cách chuyển dữ liệu, bao gồm cả các bản sao lưu của môi trường đám mây, sang một tài khoản đám mây khác mà chúng kiểm soát trên cùng một dịch vụ để tránh việc truyền / tải tệp điển hình và phát hiện xâm nhập dựa trên mạng.