Descripcion de la Tecnica
Data from Removable Media es una técnica del MITRE ATT&CK que describe cómo los adversarios pueden buscar y recuperar datos sensibles de dispositivos de almacenamiento removible (como discos ópticos, USBs, etc.) en sistemas comprometidos. Este comportamiento ocurre comúnmente antes de la exfiltración de datos, durante el proceso de investigación de un ataque. Los adversarios pueden utilizar shells interactivas o herramientas automatizadas para identificar y extraer información de interés.
Como Funciona
La técnica implica que los atacantes accedan a un sistema comprometido y busquen dispositivos de almacenamiento físico conectados. Al encontrar estos dispositivos, el adversario puede escanear archivos o directorios para identificar datos sensibles. Este proceso se lleva a cabo antes de la fase de exfiltración, donde los datos recopilados se transfieren a un entorno seguro o a una ubicación controlada. Herramientas como cmd (en Windows) o técnicas automatizadas (como T1025) pueden ser utilizadas para automatizar la recolección de información.
Actores que la Utilizan
La descripción proporcionada no identifica específicamente actores o grupos asociados a esta técnica. Sin embargo, el MITRE ATT&CK documenta comportamientos comunes de adversarios cibernéticos que buscan aprovechar vulnerabilidades en dispositivos físicos para extraer datos sensibles.
Deteccion
La detección de esta técnica requiere monitoreo de accesos no autorizados a dispositivos removibles, análisis de transferencias de archivos sospechosas y uso de herramientas de seguridad como SIEM (sistema de información y seguridad) para identificar patrones anómalos. La detección también puede incluir la revisión de registros de sistemas que indiquen acceso a dispositivos externos o actividades de lectura/escritura en directorios críticos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigacion
Para mitigar el riesgo asociado a esta técnica, se recomienda: - Proteger dispositivos físicos: Limitar el acceso físico a dispositivos de almacenamiento removible y utilizar controles de autenticación para evitar su uso no autorizado. - Cifrado de datos: Implementar cifrado en dispositivos y archivos sensibles para prevenir la exposición de información crítica. - Monitoreo continuo: Configurar alertas basadas en comportamientos anómalos, como accesos a dispositivos no autorizados o transferencias de datos sospechosas. - Actualización constante: Mantener sistemas y software actualizados para cerrar vulnerabilidades que podrían ser explotadas por adversarios.