مهاجمان می توانند به اشکال گوناگون حملات خود را انجام دهند و انواع مختلف رویه ها، تاکتیک ها و تکنیک های مختلف را توسعه دهند. برای دفاع از خود باید دشمن خود را به خوبی بشناسید.

در ادامه برخی از تاکتیک ها و تکنیک های مهاجمان در حملات چندگامی و APT ها تشریح شده است.

تشریح

تکنیک

تاکتیک

به مشخص کردن جزئیاتی درباره یک میزبان شامل درک زمینه کاری آن میزبان (یا کاربر) و پیکربندی سیستم میزبان است، اطلاق می شود. تعیین زمینه کاری میزبان به شکارچی تهدید یا به مهاجم این امکان را می دهد تا مشخص کند چه کاربری در حال حاضر به سیستم لاگین کرده و چه دسترسی دارد. مشخص کردن پیکربندی میزبان هم شامل اطلاعاتی راجع به خود میزبان از قبیل نام سیستم میزبان و آدرس IP و است.

Host Enumeration

Internal Reconnaissance

یافتن سایر میزبان هایی که از میزبان جاری به صورت از راه دور قابل دسترس است Network Enumeration گفته می شود. مهاجم پس از قربانی کردن یک میزبان، نیاز به مشخص کردن ادامه راه، یعنی مشخص کردن نحوه حرکت در شبکه و  سایر میزبان های قابل نفوذ در شبکه دارد.

Network Enumeration به مهاجم این امکان را می دهد تا دسترسی های میزبان جاری به سایر دارایی ها و سیستم ها در شبکه و همچنین اتصالات و ارتباطات فعال آن ها با یکدیگر را مشاهده کند. نکته حائز اهمیت این است که اقداماتی که در رده Network Enumeration جای می گیرند صرفا اقداماتی است که سایر دارایی های شبکه را شناسایی می کند و هنوز هیچگونه نفوذ از سیستم جاری (سیستم قربانی) به سایر سیستم ها در شبکه انجام نگرفته است.

Network Enumeration

این فرآیند شامل صف بندی برنامه ها و یا اسکریپت هایی است که می تواند در نقاط یا زمان های دیگر (به صورت متناوب) عملیاتی شود. این اقدامات می توانند به صورت از راه دور زمان بندی شوند البته با فرض اینکه مهاجم برای اجرای آن اسکریپت یا برنامه مجوزRPC یا فراخوانی از راه دور را دارد. این فرآیند (اجرای زمان بندی شده اقدامات مورد نظر) به مهاجمان این امکان را می دهد تا برنامه های مورد نظر خود در هنگام بالاآمدن سیستم به اجرا در آورند.

Scheduled Task Execution

Persistence

با استفاده از این تکنیک، مهاجمان کد مخرب مورد نظر خود را با سوء استفاده از یک پردازه دیگر اجرا می کنند؛ سوءاستفاده از پردازه دیگر با هدف بارگذاری و اجرای کدمخرب مورد نظر مهاجم است. در این تکنیک مهاجمان به واسطه فعالیت مخرب مورد نظر خود به عنوان بخشی از فرآیندهای عادی و روتین، آن را مخفی می کنند. این تکنیک به مهاجمان اجازه دسترسی به مجوزها[۱]  و حافظه پردازه سیستم را می دهد.

DLL Injection

مقادیر اضافه برای کلیدهای رجیستری RUNONCE و RUN امکان اجرای بدافزارهای باینری در زمان بوت شدن سیستم و یا لاگین را می دهد. این تکنیک رایج ترین تکنیک مشاهده شده در یک دهه اخیر برای ماندگاری در سیستم میزبان است.

 

Registry modifcation

 

مهاجمان با استفاده از پورت ها و پروتکل های رایج می توانند داده ها و فرامین مورد نظر خود را در قالب بسته های عادی شبکه به بدافزارهای تحت هدایت خود برسانند. در اکثر موارد، مهاجمان داده های خود را در قالب HTTPS، DNS Tunnelung و سایر موارد و پروتکل های پرکاربرد رد و بدل می کنند.

Common Protocol, Common Port

Command & Control

با به کارگیری این روش، مهاجمان می توانند مکانیزم مانیتورینگ پورت ها و بسته های رایج را دور بزنند و داده های مورد نظر خود را از طریق پورت های غیرمعمولی که مانیتور نمی شوند ارسال کنند. این روش به مهاجم این امکان را می دهد تا عملیات خود را مخفیانه پیش برده و از سیستم های تشخیص موجود در شبکه و اپراتورهای انسانی در امان باشد.

Uncommon Protocol, Uncommon Port

در این تکنیک، مهاجمان رشته های هش رمز عبور را ثبت و ضبط کرده و از آنها برای احراز هویت خود (به جای قربانی) استفاده می کنند. به بیان دیگر، بر اساس این روش مهاجمان دیگر نیازی به یافتن رشته بدون رمز[۲] کاربر قربانی ندارند و می توانند اقدامات خود را روی سیستم جاری و سیستم راه دور پیش ببرند.

Pass the Hash (PtH)

Lateral Movement

پروتکل RDP به کاربر امکان دسترسی به دسکتاپ یک کامپیوتر از طریق یک سیستم راه دور را می دهد. در صورتی که امکان RDP روی یک سیستم فعال باشد و مهاجم نام کاربری و رمز عبور آن سیستم را از قبل بداند، می تواند از این طریق به سیستم قربانی نفوذ کند.

Remote Desktop Protocol

در صورتی که قربانی یک شبکه یا وب سایت قابل دسترسی از اینترنت (یا حتی قابل دسترسی از داخل سازمان) داشته باشد مهاجم ممکن است بتواند محتوای مخرب مورد نظر خود را در آن شبکه یا به طور خاص تر وب سایت بارگذاری کند و سپس آن را با استفاده از یک مرورگر وب به اجرا در آورد. از آنجایی که محتوای مذکور تحت مجوز سرویس دهنده وب اجرا می شود ممکن است به مهاجم امکان دسترسی Local یا مدیریتی را بدهد.

Shared Webroot

این تکنیک مستلزم قرار دادن یک فایل اجرایی در یک مسیر خاص است به گونه ای که اشتباها توسط یک برنامه عادی اجرا شود. نمونه هایی از این تکنیک شامل سوءاستفاده از مسیرهای بسته نشده[۳] و متغیرهای محیطی است. مهاجمان با استفاده از این تکنیک می توانند سطح دسترسی خود را ارتقا دهند.

 

Path Interception

مهاجمان با استفاده از تکنیک هایی نظیر DNS Tunneling می توانند داده های خود را در قالب درخواست های DNS ردوبدل کنند. مهاجمان از این روش برای دور زدن کنترل های امنیتی رایج نظیر فایروال و و همچنین سرقت و استخراج اطلاعات از شبکه قربانی استفاده می کنند.

 

DNS Tunneling

Exfiltration

در این تکنیک مهاجمان، از SSL برای مخفی سازی جزئیات داده های مورد نظر خود بهره می برند. برای جلوگیری از این تکنیک، متخصصان امنیت نیاز به استفاده از یک پراکسی دارند تا بتوانند این نوع ترافیک و فعالیت ها را رهگیری و بررسی کنند.

SFTP/SCP Exfltration

 


[۱] Permissions

[۲] Plain Text

[۳] Unquoted Path

 

دسته‌ها: متفرقه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *