Sites:

• https://mega.io/desktop

• https://anonfiles.com/

• https://m.sendspace.com/

• https://ufile.io/

7-zip

ressource: https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Exfiltration/7-zip-prep-for-exfiltration.md

Dead Drop Resolver

Il s'agit d'une technique par laquelle un attaquant place sur un site web existant et légitime du contenu redirigeant vers un serveur de Command & Control lui appartenant. Il s'agit notamment de domaines ou d'IP souvent obfusqués ou encodés qui vont permettre lorsqu'il aura réussi à compromettre une machine de lui faire établir une connexion via ce point.

L'utilisation de réseaux sociaux tels que Github, Twitter, Tik Tok en tant que dead drop resolver est très fréquente du fait que les utilisateurs compromis on souvent tendance à se connecter fréquemment à ses sites qui sont donc plus facilement susceptibles d'être reconnues comme des sites légitimes. Ce qui a pour effet à terme de ne pas provoquer de soupçons auprès des solutions de sécurité.

Passer par un site légitime permet également de passer par les protocoles SSL/TLS offrants une sécurité supplémentaire pour l'attaquant. Finalement, cela a pour effet de protéger le serveur C2 lors de l'analyse binaire du malware suite à une attaque.

Exemples: