hunting-for-data-exfiltration-indicators

狩猎数据外泄指标

适用场景

• 在失陷环境中主动狩猎数据窃取行为时
• 检测到异常出站数据量或异常模式后
• 调查潜在的内部威胁数据窃取事件时
• 事件响应期间确认哪些数据遭到窃取时
• 威胁情报显示针对所在行业的数据外泄活动时

前置条件

• 包含字节级数据传输指标的网络代理/防火墙日志
• 具备云上传可见性的 DLP 解决方案或 CASB
• 用于检测 DNS 外泄的 DNS 查询日志
• 用于附件监控的邮件网关日志
• 具备数据量异常检测能力的 SIEM

工作流程

1. 定义外泄通道：识别潜在通道（HTTP/S 上传、DNS 隧道、邮件附件、云存储、可移动介质、加密协议）。
2. 建立正常数据流基线：在 30 天窗口内，按用户、主机和目标地址建立出站数据传输量基线。
3. 检测流量异常：识别向外部目标传输数据量显著超出基线的主机或用户。
4. 分析传输目标：针对威胁情报核查目标域名/IP，识别新注册域名、个人云存储及境外基础设施。
5. 检测协议滥用：寻找 DNS 隧道（大量/高频 TXT 查询）、ICMP 隧道或隐藏在允许协议中的数据。
6. 关联文件访问事件：将外泄指标与敏感文件共享、数据库或代码仓库上的文件访问事件进行关联。
7. 报告与遏制：记录含证据的调查结果、估算数据暴露范围，并提出遏制措施建议。

核心概念

概念	描述
T1041	通过 C2 通道外泄数据
T1048	通过替代协议外泄数据
T1048.001	通过对称加密非 C2 通道外泄
T1048.002	通过非对称加密非 C2 通道外泄
T1048.003	通过未加密/混淆非 C2 通道外泄
T1567	通过 Web 服务外泄数据
T1567.002	外泄至云存储
T1052	通过物理介质外泄
T1029	定时传输
T1030	数据传输大小限制（暂存）
T1537	转移数据至云账户
T1020	自动化外泄

工具与系统

工具	用途
Splunk	数据量分析与 SPL 查询的 SIEM
Zeek	用于数据流分析的网络元数据
Microsoft Defender for Cloud Apps	云外泄检测的 CASB
Netskope	云 DLP 与外泄检测
Suricata	协议异常检测的网络 IDS
RITA	DNS 外泄与信标检测
ExtraHop	数据流分析的网络流量分析

常见场景

1. 云存储外泄：用户通过浏览器将敏感文档上传至个人 Google Drive 或 Dropbox。
2. DNS 隧道：恶意软件将数据编码至 DNS 子域名查询，发送至攻击者控制的名称服务器。
3. HTTPS 上传：失陷系统通过加密 HTTPS 将大量数据 POST 至 C2 服务器。
4. 邮件附件外泄：内部人员将敏感文档转发至个人邮箱账户。
5. 暂存与压缩：攻击者将数据打包为压缩文件后缓慢外泄，以规避检测。

输出格式

狩猎 ID：TH-EXFIL-[日期]-[序号]
外泄通道：[HTTP/DNS/邮件/云/USB]
来源：[主机/用户]
目标：[域名/IP/服务]
数据量：[字节/MB/GB]
时间段：[开始 - 结束]
协议：[HTTPS/DNS/SMTP/SMB]
涉及文件：[数量/类型]
风险等级：[严重/高/中/低]
置信度：[高/中/低]