1. Home
  2. Techniques
  3. Enterprise
  4. 通过物理介质渗出

通过物理介质渗出

ID Name
T1052.001 隐蔽式微型存储介质植入
T1052.002 合法外设功能复合型渗出
T1052.003 无线近场非接触式数据迁移

通过物理介质渗出是指攻击者利用可移动存储设备或特殊硬件,将数据从目标系统转移至物理载体进行非法传输的技术手段。传统防御措施主要依赖物理访问控制、可移动存储设备监控以及介质挂载行为分析等手段,通过检测异常文件操作或未授权外设连接来阻断渗出行为。典型防护方案包括部署设备指纹识别系统、实施介质加密策略,以及监控USB接口的电力消耗模式。

面对传统防御体系对物理介质传输的有效管控,攻击者持续创新渗出技术形态,通过硬件功能伪装、信号载体隐匿、传输协议混淆等手法,将数据渗出过程深度融入设备正常业务流程。此类技术突破物理介质与数字系统间的传统交互边界,构建出"功能合规、传输隐形"的新型渗出范式,显著提升了攻击行为的隐蔽性与抗检测能力。

当前物理介质渗出匿迹技术的核心演进方向集中在三个维度:硬件实体隐匿化、信号交互无形化、协议逻辑合法化。隐蔽式存储介质通过微型化改造突破物理检测阈值,利用电子元件伪装技术实现"设备不可见";合法外设复合渗出将恶意功能与标准硬件功能深度融合,使数据渗出成为设备正常工作流程的衍生副产品;无线近场传输则完全摒弃物理接触需求,通过电磁场或光信号构建无形传输通道。三类技术的共性在于重构数据渗出链的物理实现方式,将传统基于显性介质交互的攻击模式,转化为依托硬件功能层、物理信号层、协议逻辑层的多维隐匿体系,使得传统基于行为规则或接口监控的防御机制面临实质性失效风险。

匿迹技术的发展迫使防御体系向硬件供应链安全检测、电磁信号异常感知、设备功能完整性验证等方向延伸。需构建覆盖物理层、协议层、应用层的多模态监测能力,引入基于硬件行为指纹的异常检测模型,并研发针对非标通信协议的深度解析技术,方能有效应对新型物理介质渗出威胁。

ID: T1052
Sub-techniques:  T1052.001, T1052.002, T1052.003
Tactic: 数据渗出
Platforms: Linux, Windows, macOS
System Requirements: Presence of physical medium or device
Contributors: William Cain
Version: 1.2
Created: 31 May 2017
Last Modified: 15 October 2021

匿迹效应

效应类型 是否存在
特征伪装
行为透明
数据遮蔽
时空释痕

特征伪装

攻击者通过硬件功能复合与外形仿造,使恶意介质在物理形态和功能表现上与合法设备完全一致。例如将数据渗出模块集成到经过认证的商用设备中,或仿制目标单位专用外设的外观标识。这种深度伪装使得常规物理检查与功能测试难以识别设备异常,实现"设备级"的特征隐匿。

行为透明

利用无线近场传输技术突破物理接触限制,使数据渗出过程无需触发系统接口操作。例如通过电磁辐射或光信号实现无痕传输,规避设备挂载监控与文件操作审计,在防御方无感知的情况下完成数据迁移。

数据遮蔽

采用分块加密存储与动态擦除技术,确保单个介质仅承载加密数据碎片且不保留完整元数据。在无线传输场景中,通过信号调制将数据隐藏在电磁噪声或合法信号载波中,使内容解析与特征提取难以实施。

时空释痕

通过间歇式微量传输与广域介质投放,将数据渗出行为分散在长时间跨度和多物理空间。例如在六个月周期内通过不同外设分批次渗出数据片段,或利用供应链渠道在多地理区域投放介质设备,稀释单一安全事件的威胁浓度。

Mitigations

ID Mitigation Description
M1057 Data Loss Prevention

Data loss prevention can detect and block sensitive data being copied to physical mediums.
M1042 Disable or Remove Feature or Program

Disable Autorun if it is unnecessary. [1] Disallow or restrict removable media at an organizational policy level if they are not required for business operations. [2]
M1034 Limit Hardware Installation

Limit the use of USB devices and removable media within a network.

Detection

ID Data Source Data Component Detects
DS0017 Command Command Execution

Monitor executed commands and arguments that may attempt to exfiltrate data via a physical medium, such as a removable drive.
DS0016 Drive Drive Creation

Monitor for newly assigned drive letters or mount points to a data storage device that may attempt to exfiltrate data via a physical medium, such as a removable drive.
DS0022 File File Access

Monitor file access on removable media that may attempt to exfiltrate data via a physical medium, such as a removable drive.
DS0009 Process Process Creation

Monitor for newly executed processes when removable media is mounted.

References

  1. Microsoft. (n.d.). How to disable the Autorun functionality in Windows. Retrieved April 20, 2016.
  1. Microsoft. (2007, August 31). https://technet.microsoft.com/en-us/library/cc771759(v=ws.10).aspx. Retrieved April 20, 2016.