Эксфильтрация через вебхук

Злоумышленники могут осуществлять эксфильтрацию данных в конечную точку вебхука, а не через свой основной канал управления и контроля. Вебхуки — это простые механизмы, позволяющие серверу передавать данные через HTTP/S клиенту без необходимости постоянного опроса сервера клиентом. Многие публичные и коммерческие сервисы, такие как Discord, Slack и `webhook.site`, поддерживают создание конечных точек вебхуков, которые могут использоваться другими сервисами, такими как Github, Jira или Trello. Когда в связанных сервисах происходят изменения (например, обновление репозитория или изменение заявки), эти сервисы автоматически публикуют данные в конечную точку вебхука для использования потребляющим приложением. Злоумышленники могут связать среду, принадлежащую злоумышленнику, с SaaS-сервисом, принадлежащим жертве, для достижения повторной Автоматизированной эксфильтрации электронных писем, сообщений чата и других данных. В качестве альтернативы, вместо привязки конечной точки вебхука к сервису, злоумышленник может вручную опубликовать подготовленные данные непосредственно в URL для их эксфильтрации. Доступ к конечным точкам вебхуков часто осуществляется через HTTPS, что обеспечивает злоумышленнику дополнительный уровень защиты. Эксфильтрация с использованием вебхуков также может сливаться с обычным сетевым трафиком, если конечная точка вебхука указывает на часто используемое SaaS-приложение или сервис совместной работы.