数据过滤通常是针对有组织的有针对性攻击的最后一个阶段。虽然很多优秀的工具都具有相关的技术，但我们试图将这些技术结合起来。

大多数的技术都与数据从内部到外部的过滤有关。下面涉及的技术可能不是很全面，欢迎补充👏👏👏

·      Web

·      Email

·      Malware

·      Protocol Abuse

·      Internal Staging

·      File Types

·      Physical

·      Airgaps

Web

1.     许多组织没有任何类型的Web代理，如果是这样的话，哈哈您的工作很可能就完成了（省时省力省心）。

2.     像pastebin甚至github这样的网站提供了一个简单的渗透通道。

3.     如果存在代理和过滤，可能会费些力气，但许多常见的网站，如Dropbox，Google Drive和Box是允许的，特别是当一个组织外包给共享云服务时。

4.     通常不启用TLS拦截，在某个地方启动一个自定义域名，再加上LetsEncrypt，就完成了。

5.    即使启用了类似Websense的功能，许多类别也无法进行完整的TLS检查。例如财务和医疗等，用来保护员工的隐私。许多分类系统建议您选择自己适当的类别，因此通过一些预先的设置，攻击者可以搭建好自己的医疗保健站点以绕过过滤器。

6.    Flickr和YouTube也可以使用这些服务(包括使用隐写术)暂存相对较大的文件。

7.     也许您的组织拥有自己的Web服务器，可以通过Internet访问。你可以选择其中一个并将其用作临时中转站。

Email

1.     您可以访问其中一个主要的网络邮件提供商- Gmail，Outlook.com。如果您的目标组织外包到Office 365或GSuite（检查其MX或邮件标题），那就更容易实现啦。

2.     可以使用SMTP / POP3 / IMAP，检查未加密和加密的端口- 25/465 / 587,110 / 999,143 / 993。

显然，对于大量的数据特别是紧要关头的时候，这会是一个潜在的“noisy”路线。

3.    更棘手的是，如果邮箱被攻击攻击者 可以在Outlook中将自动转发规则设置为他们选择的外部地址。

Malware

通过HTTP / HTTPS / DNS

作为Metasploit框架一部分的Meterpreter使用多阶段有效负载，这是一小段代码，用于分配内存并打开网络端口来与框架通信并执行剩余的有效负载。https://www.offensive-security.com/metasploit-unleashed/meterpreter-basics/

为了克服反病毒和网络入侵检测，可以使用Metasploit框架中的几个编码器(例如Shikata Ga Nai)。当有一个工作负载时，避免了将其上传到VirusTotal或其他在线扫描器。https://www.offensive-security.com/metasploit-unleashed/msfencode/

Protocol Abuse

让我们先尝试一些更简单的工具：

1.    FTP/SSH/SCP/SFTP可能允许出站，因为它们通常用作数据交换协议。客户端工具也很容易在系统上使用，而不需要额外的二进制文件。

2.    DNS隧道通常是可行的，因为它很难完全阻塞。

3.    一些IDS/ idp能够发现DNS隧道，但是经常会错过通过DNS TXT记录发送的数据。这里有一个工具或许可以帮到您：https：//github.com/pentestpartners/Uninvited-Guest，还有一个更早的版本：https://github.com/pentestpartners/DNSTXT-encoder。

4.    可以尝试原始TCP套接字。

5.    数据包标头也可用于走私数据https://github.com/omkartotade/Data-Exfiltration

6.    老式的端口也是一个选项https://www.sans.org/reading-room/whitepapers/covert/portknockout-data-exfiltration-port-knocking-udp-37307

7.    像bittorrent这样的P2P协议可用吗?

8.    Tor和domain fronting也是绕过过滤器的好方法，其中HTTPS检查不会寻找外部和内部名称之间的不匹配。

9.    许多即时消息协议，如Skype、Facebook Messenger和IRC也可以利用。我的组织使用Skype进行业务，并与“常规”Skype和其他域名联合。https://www.sans.org/reading-room/whitepapers/covert/skype-data-exfiltration-34560

10.NTP和BGP协议通常是可以滥用来过滤数据：https://www.darknet.org.uk/2016/11/pyexfil-python-data-exfiltration-tools/

11.远程桌面通常可以用来映射驱动器和剪贴板，但即使、受到限制，PTP Rat也可以通过屏幕发送数据来提供帮助。

12.X509证书可以嵌入二进制数据，因此可用于传输数据https://github.com/fideliscyber/x509

Internal Staging

1.    WMI调用可用于初始化传输、设置备用数据流或获取影子卷副本，以隐藏登台系统上的数据：

https://github.com/secabstraction/WmiSploit

2.     Windows BITS可以用来调度传输或涓滴传输信息，以避免“高层谈话者”触发。

File Types

可能存在有效的过滤协议，例如电子邮件，但DLP可能会发现数据签名并阻止传输。尝试用以下文件类型封装数据来绕过DLP:

·      Plain Zip

·      Password protected (AES) Zip

·      Deeply nested Zips (many systems will stop scanning after 10-100 to avoid Zip Bombs)

·      7zip

·      RAR

·      CAB

·      Tar (+/- gzip)

·      WIM image·        

Physical

如果攻击者或恶意内部人员具有物理访问权限，则会打开各种选项。

1.     笔记本电脑和工作站USB端口是否被锁定，包括MP3播放器和智能手机。是否只允许经过批准/管理的加密u盘连接?

2.     如今，它们在商用机器上的使用频率越来越低，但光驱可能允许写入CD和DVD。它们比USB更难以走私出更大容量的数据。

3.     你的笔记本电脑资产贴纸是否会泄露？便携式设备是否具有完全磁盘加密？在垃圾桶或易趣上有没有处理不当的东西?

4.    大多数组织都可能提供打印功能，许多多功能打印机本身可以用来检索以前的打印作业，甚至可以通过传真线传输数据。http://seclists.org/bugtraq/2016/Sep/54

5.     攻击者是否可能会破坏企业Wi-Fi，尤其是在使用WPA-PSK的情况下。访客Wi-Fi网络是否与主要企业网络充分隔离？

6.     攻击者是否可以利用弱边缘端口安全性在网络上植入设备？

7.    摄像头

8.     手机

9.     硬拷贝

Airgaps

·      虽然有没有直接连接，但可以定位具有蓝牙功能的设备。进行恶意攻击，例如控制设备或在设备范围内传播恶意软件。https://blog.malwarebytes.com/cybercrime/2017/09/blueborne-bluetooths-airborne-influenza/

·      PC扬声器：通过利用特定的音频芯片功能将连接的扬声器反转为麦克风。该设备作为麦克风进入听音设备。https://thehackernews.com/2018/03/air-gap-computer-hacking.html

·      光学：使用硬盘驱动器的指示灯LED从没有直接连接设备窃取数据，每秒最多可以控制6000次闪烁。https://www.wired.com/2017/02/malware-sends-stolen-data-drone-just-pcs-blinking-led/

·      磁性：通过计算机处理器产生的磁信号对数据进行渗透。这些攻击使用低频磁场，因此绕过法拉第屏蔽。

·      电力线：通过电力线从开发的计算机中泄漏数据

·      “Fansmitter” - 占用计算机的风扇并修改其旋转速度以控制其产生的声音。https://www.technologyreview.com/s/601816/how-fansmitter-malware-steals-data-from-air-gapped-computers/

翻译自：https://www.pentestpartners.com/security-blog/data-exfiltration-techniques/