<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Data Exfiltration on Tarragon</title><link>https://tarrragon.github.io/blog/tags/data-exfiltration/</link><description>Recent content in Data Exfiltration on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Thu, 30 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/data-exfiltration/index.xml" rel="self" type="application/rss+xml"/><item><title>MOVEit 2023：MFT 外送與通報壓力</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/moveit-2023-mft-exfiltration-pressure/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/moveit-2023-mft-exfiltration-pressure/</guid><description>&lt;p>本案例的責任是提供低頻資料外送與通報壓力素材。MOVEit Transfer exploitation 顯示，受管檔案傳輸系統一旦被利用，防守方需要同時處理資料範圍、受影響對象、IOC hunting 與外部通報。&lt;/p>
&lt;h2 id="來源">來源&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>來源&lt;/th>
 &lt;th>可引用範圍&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>&lt;a href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a">CISA/FBI：CL0P exploits MOVEit vulnerability&lt;/a>&lt;/td>
 &lt;td>CVE-2023-34362、LEMURLOOT web shell、data stealing、IOC、mitigations&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://www.cisa.gov/news-events/news/cisa-and-fbi-release-advisory-cl0p-ransomware-gang-exploiting-moveit-vulnerability">CISA press release&lt;/a>&lt;/td>
 &lt;td>recommended actions、reduce impact framing&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="defender-pressure">Defender Pressure&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>壓力&lt;/th>
 &lt;th>服務判讀&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Data scope pressure&lt;/td>
 &lt;td>需要快速界定哪些檔案、資料表與對象受影響&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>MFT ownership pressure&lt;/td>
 &lt;td>MFT 常跨業務、法務、資安與平台團隊&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Notification pressure&lt;/td>
 &lt;td>外送事件需要與通報、客戶溝通與證據保存對齊&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>IOC hunting pressure&lt;/td>
 &lt;td>web shell、帳號、連線與資料存取紀錄需要回查&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="control-gap">Control Gap&lt;/h2>
&lt;p>控制缺口的核心是檔案傳輸系統同時是入口與資料邊界。若資料分類、存取紀錄與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/retention/" data-link-title="Retention" data-link-desc="說明資料或事件保留多久，以及保留期限如何影響重放與成本">retention&lt;/a> 沒有對齊，事件期間會延長影響範圍判讀時間。&lt;/p>
&lt;h2 id="detection-route">Detection Route&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>訊號&lt;/th>
 &lt;th>判讀用途&lt;/th>
 &lt;th>下一步&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>MFT web shell indicator 命中&lt;/td>
 &lt;td>判斷 compromise 可能性&lt;/td>
 &lt;td>啟動 containment 與 forensic preserve&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>非預期大量檔案存取&lt;/td>
 &lt;td>判斷 data exfiltration 範圍&lt;/td>
 &lt;td>啟動 data scope review&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>外部來源通報受害&lt;/td>
 &lt;td>判斷 notification route&lt;/td>
 &lt;td>啟動 incident communication channel&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="exercise-hook">Exercise Hook&lt;/h2>
&lt;p>本案例可支撐 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/" data-link-title="Low-frequency Exfiltration Tabletop" data-link-desc="以受管檔案傳輸系統外送風險設計資料範圍與通報 tabletop">Low-frequency exfiltration tabletop&lt;/a>。演練重點是確認資料範圍判讀、法務通報、客戶溝通與 evidence chain 是否能同步運作。&lt;/p>
&lt;h2 id="write-back-target">Write-back Target&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">7.4 資料保護與遮罩治理&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-incident-write-back-to-product-and-architecture/" data-link-title="7.24 資安事故如何回寫產品與架構" data-link-desc="把事故教訓回寫到產品決策、架構控制與知識網，建立持續改進閉環">7.24 資安事故如何回寫產品與架構&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/evidence-chain-pattern/" data-link-title="Evidence Chain Pattern" data-link-desc="定義事故與演練需要保存的訊號、決策、artifact、timeline 與 retention 證據">Evidence chain pattern&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/exercise-write-back-pattern/" data-link-title="Exercise Write-back Pattern" data-link-desc="定義 tabletop 與 game day 如何把 finding 回寫成控制更新、runbook 更新與 [tripwire](/backend/knowledge-cards/tripwire/)">Exercise write-back pattern&lt;/a>&lt;/li>
&lt;/ul></description><content:encoded><![CDATA[<p>本案例的責任是提供低頻資料外送與通報壓力素材。MOVEit Transfer exploitation 顯示，受管檔案傳輸系統一旦被利用，防守方需要同時處理資料範圍、受影響對象、IOC hunting 與外部通報。</p>
<h2 id="來源">來源</h2>
<table>
  <thead>
      <tr>
          <th>來源</th>
          <th>可引用範圍</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a">CISA/FBI：CL0P exploits MOVEit vulnerability</a></td>
          <td>CVE-2023-34362、LEMURLOOT web shell、data stealing、IOC、mitigations</td>
      </tr>
      <tr>
          <td><a href="https://www.cisa.gov/news-events/news/cisa-and-fbi-release-advisory-cl0p-ransomware-gang-exploiting-moveit-vulnerability">CISA press release</a></td>
          <td>recommended actions、reduce impact framing</td>
      </tr>
  </tbody>
</table>
<h2 id="defender-pressure">Defender Pressure</h2>
<table>
  <thead>
      <tr>
          <th>壓力</th>
          <th>服務判讀</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Data scope pressure</td>
          <td>需要快速界定哪些檔案、資料表與對象受影響</td>
      </tr>
      <tr>
          <td>MFT ownership pressure</td>
          <td>MFT 常跨業務、法務、資安與平台團隊</td>
      </tr>
      <tr>
          <td>Notification pressure</td>
          <td>外送事件需要與通報、客戶溝通與證據保存對齊</td>
      </tr>
      <tr>
          <td>IOC hunting pressure</td>
          <td>web shell、帳號、連線與資料存取紀錄需要回查</td>
      </tr>
  </tbody>
</table>
<h2 id="control-gap">Control Gap</h2>
<p>控制缺口的核心是檔案傳輸系統同時是入口與資料邊界。若資料分類、存取紀錄與 <a href="/blog/backend/knowledge-cards/retention/" data-link-title="Retention" data-link-desc="說明資料或事件保留多久，以及保留期限如何影響重放與成本">retention</a> 沒有對齊，事件期間會延長影響範圍判讀時間。</p>
<h2 id="detection-route">Detection Route</h2>
<table>
  <thead>
      <tr>
          <th>訊號</th>
          <th>判讀用途</th>
          <th>下一步</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>MFT web shell indicator 命中</td>
          <td>判斷 compromise 可能性</td>
          <td>啟動 containment 與 forensic preserve</td>
      </tr>
      <tr>
          <td>非預期大量檔案存取</td>
          <td>判斷 data exfiltration 範圍</td>
          <td>啟動 data scope review</td>
      </tr>
      <tr>
          <td>外部來源通報受害</td>
          <td>判斷 notification route</td>
          <td>啟動 incident communication channel</td>
      </tr>
  </tbody>
</table>
<h2 id="exercise-hook">Exercise Hook</h2>
<p>本案例可支撐 <a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/" data-link-title="Low-frequency Exfiltration Tabletop" data-link-desc="以受管檔案傳輸系統外送風險設計資料範圍與通報 tabletop">Low-frequency exfiltration tabletop</a>。演練重點是確認資料範圍判讀、法務通報、客戶溝通與 evidence chain 是否能同步運作。</p>
<h2 id="write-back-target">Write-back Target</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">7.4 資料保護與遮罩治理</a></li>
<li><a href="/blog/backend/07-security-data-protection/security-incident-write-back-to-product-and-architecture/" data-link-title="7.24 資安事故如何回寫產品與架構" data-link-desc="把事故教訓回寫到產品決策、架構控制與知識網，建立持續改進閉環">7.24 資安事故如何回寫產品與架構</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/evidence-chain-pattern/" data-link-title="Evidence Chain Pattern" data-link-desc="定義事故與演練需要保存的訊號、決策、artifact、timeline 與 retention 證據">Evidence chain pattern</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/exercise-write-back-pattern/" data-link-title="Exercise Write-back Pattern" data-link-desc="定義 tabletop 與 game day 如何把 finding 回寫成控制更新、runbook 更新與 [tripwire](/backend/knowledge-cards/tripwire/)">Exercise write-back pattern</a></li>
</ul>
]]></content:encoded></item><item><title>Low-frequency Exfiltration Tabletop</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/</guid><description>&lt;p>本情境的責任是演練低頻資料外送的範圍判讀與通報。它以 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/moveit-2023-mft-exfiltration-pressure/" data-link-title="MOVEit 2023：MFT 外送與通報壓力" data-link-desc="把 MOVEit Transfer exploitation 轉成資料外送、影響範圍判讀與通報壓力的藍隊案例素材">MOVEit 2023 MFT exfiltration case&lt;/a> 為來源，轉成通用 MFT 與資料出口 tabletop。&lt;/p>
&lt;h2 id="scenario-trigger">Scenario Trigger&lt;/h2>
&lt;p>外部 advisory 指出受管檔案傳輸系統存在已被利用漏洞。內部稽核發現 MFT 上有異常 web shell indicator 與多筆低頻大量下載。&lt;/p>
&lt;h2 id="initial-hypothesis">Initial Hypothesis&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>假設&lt;/th>
 &lt;th>驗證資料&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>MFT 被植入 web shell&lt;/td>
 &lt;td>file integrity、web access log、IOC&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>特定資料集已被外送&lt;/td>
 &lt;td>download log、object access、database audit&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>通報義務已被觸發&lt;/td>
 &lt;td>data classification、customer mapping、legal review&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="control-surface">Control Surface&lt;/h2>
&lt;p>控制面包含 data classification、MFT ownership、audit trail、incident communication、forensic preserve 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/retention/" data-link-title="Retention" data-link-desc="說明資料或事件保留多久，以及保留期限如何影響重放與成本">retention&lt;/a>。&lt;/p>
&lt;h2 id="response-route">Response Route&lt;/h2>
&lt;ol>
&lt;li>Contain：隔離 MFT、保留 forensic image、暫停高風險傳輸。&lt;/li>
&lt;li>Scope：建立資料集、客戶、時間窗與存取主體映射。&lt;/li>
&lt;li>Notify：讓 legal、customer success 與 incident commander 對齊通報節奏。&lt;/li>
&lt;li>Recover：修補 MFT、輪替 credential、驗證 log coverage。&lt;/li>
&lt;li>Write-back：更新資料出口控制、retention 與 low-frequency exfiltration detection。&lt;/li>
&lt;/ol>
&lt;h2 id="evidence-target">Evidence Target&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>證據&lt;/th>
 &lt;th>用途&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>MFT access log&lt;/td>
 &lt;td>判斷資料外送時間窗&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>data classification map&lt;/td>
 &lt;td>判斷通報與影響等級&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>customer mapping&lt;/td>
 &lt;td>判斷受影響對象&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>forensic preserve record&lt;/td>
 &lt;td>支撐調查與法務回查&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="write-back-target">Write-back Target&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">7.4 資料保護與遮罩治理&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-incident-write-back-to-product-and-architecture/" data-link-title="7.24 資安事故如何回寫產品與架構" data-link-desc="把事故教訓回寫到產品決策、架構控制與知識網，建立持續改進閉環">7.24 資安事故如何回寫產品與架構&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/evidence-chain-pattern/" data-link-title="Evidence Chain Pattern" data-link-desc="定義事故與演練需要保存的訊號、決策、artifact、timeline 與 retention 證據">Evidence chain pattern&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/exercise-write-back-pattern/" data-link-title="Exercise Write-back Pattern" data-link-desc="定義 tabletop 與 game day 如何把 finding 回寫成控制更新、runbook 更新與 [tripwire](/backend/knowledge-cards/tripwire/)">Exercise write-back pattern&lt;/a>&lt;/li>
&lt;/ul></description><content:encoded><![CDATA[<p>本情境的責任是演練低頻資料外送的範圍判讀與通報。它以 <a href="/blog/backend/07-security-data-protection/blue-team/materials/field-cases/moveit-2023-mft-exfiltration-pressure/" data-link-title="MOVEit 2023：MFT 外送與通報壓力" data-link-desc="把 MOVEit Transfer exploitation 轉成資料外送、影響範圍判讀與通報壓力的藍隊案例素材">MOVEit 2023 MFT exfiltration case</a> 為來源，轉成通用 MFT 與資料出口 tabletop。</p>
<h2 id="scenario-trigger">Scenario Trigger</h2>
<p>外部 advisory 指出受管檔案傳輸系統存在已被利用漏洞。內部稽核發現 MFT 上有異常 web shell indicator 與多筆低頻大量下載。</p>
<h2 id="initial-hypothesis">Initial Hypothesis</h2>
<table>
  <thead>
      <tr>
          <th>假設</th>
          <th>驗證資料</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>MFT 被植入 web shell</td>
          <td>file integrity、web access log、IOC</td>
      </tr>
      <tr>
          <td>特定資料集已被外送</td>
          <td>download log、object access、database audit</td>
      </tr>
      <tr>
          <td>通報義務已被觸發</td>
          <td>data classification、customer mapping、legal review</td>
      </tr>
  </tbody>
</table>
<h2 id="control-surface">Control Surface</h2>
<p>控制面包含 data classification、MFT ownership、audit trail、incident communication、forensic preserve 與 <a href="/blog/backend/knowledge-cards/retention/" data-link-title="Retention" data-link-desc="說明資料或事件保留多久，以及保留期限如何影響重放與成本">retention</a>。</p>
<h2 id="response-route">Response Route</h2>
<ol>
<li>Contain：隔離 MFT、保留 forensic image、暫停高風險傳輸。</li>
<li>Scope：建立資料集、客戶、時間窗與存取主體映射。</li>
<li>Notify：讓 legal、customer success 與 incident commander 對齊通報節奏。</li>
<li>Recover：修補 MFT、輪替 credential、驗證 log coverage。</li>
<li>Write-back：更新資料出口控制、retention 與 low-frequency exfiltration detection。</li>
</ol>
<h2 id="evidence-target">Evidence Target</h2>
<table>
  <thead>
      <tr>
          <th>證據</th>
          <th>用途</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>MFT access log</td>
          <td>判斷資料外送時間窗</td>
      </tr>
      <tr>
          <td>data classification map</td>
          <td>判斷通報與影響等級</td>
      </tr>
      <tr>
          <td>customer mapping</td>
          <td>判斷受影響對象</td>
      </tr>
      <tr>
          <td>forensic preserve record</td>
          <td>支撐調查與法務回查</td>
      </tr>
  </tbody>
</table>
<h2 id="write-back-target">Write-back Target</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">7.4 資料保護與遮罩治理</a></li>
<li><a href="/blog/backend/07-security-data-protection/security-incident-write-back-to-product-and-architecture/" data-link-title="7.24 資安事故如何回寫產品與架構" data-link-desc="把事故教訓回寫到產品決策、架構控制與知識網，建立持續改進閉環">7.24 資安事故如何回寫產品與架構</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/evidence-chain-pattern/" data-link-title="Evidence Chain Pattern" data-link-desc="定義事故與演練需要保存的訊號、決策、artifact、timeline 與 retention 證據">Evidence chain pattern</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/exercise-write-back-pattern/" data-link-title="Exercise Write-back Pattern" data-link-desc="定義 tabletop 與 game day 如何把 finding 回寫成控制更新、runbook 更新與 [tripwire](/backend/knowledge-cards/tripwire/)">Exercise write-back pattern</a></li>
</ul>
]]></content:encoded></item></channel></rss>