Exfiltration (или утечка данных) - это завершающая фаза целевой кибератаки, в ходе которой злоумышленник тайно вывозит (экспортирует) конфиденциальную информацию из скомпрометированной сети или системы во внешнюю, контролируемую атакующим локацию. Её основная цель - совершить кражу данных, оставаясь как можно дольше незамеченным.
Процесс эксфильтрации является логическим завершением цепочки компрометации после разведки, проникновения, закрепления и перемещения по сети. Данные, представляющие интерес (например, интеллектуальная собственность, персональные данные, учетные записи или результаты внутренней разведки), предварительно собираются, упаковываются и часто шифруются или обфусцируются для маскировки. Сама передача осуществляется медленно и осторожно, имитируя легитимный трафик, чтобы избежать срабатывания систем защиты, основанных на аномалиях объема или типов передач.
Технически эксфильтрация может использовать различные каналы. Наиболее распространенным является сетевой канал, когда данные скрытно передаются через стандартные протоколы, такие как HTTP(S), DNS, SMTP или даже через популярные облачные хранилища и службы обмена сообщениями. Для этого трафик может маскироваться под обычные запросы к веб-серверам или DNS-резолвинг. В сценариях с высокой степенью изоляции (воздушный зазор) может применяться физическая эксфильтрация с использованием подключенных периферийных устройств (флеш-накопителей) или даже через побочные каналы, такие как акустические, тепловые или электромагнитные излучения компонентов системы.
Таким образом, эксфильтрация представляет собой критическую угрозу конфиденциальности информации, а её обнаружение и предотвращение требуют комплексного подхода. Эффективная защита включает мониторинг аномальных исходящих сетевых соединений, контроль и анализ объемов передаваемых данных, применение технологий предотвращения утечек данных, сегментацию сети для ограничения горизонтального перемещения и строгую политику на использование внешних носителей информации.
