حتما ضرب المثل معروف نابرده رنچ گنج میسر نمی شود رو شنیدید. در دنیای شکار تهدیدات سایبری هم این گفته مصداق داره. نشانگرهای تهدید برای یک شکارچی مثل گنج می مونن! هرچی عیار این گنج بالاتر باشه، شکارچی سختی بیشتری هم برای بدست آوردنش باید تحمل کنه!

مفهوم هرم درد در شکار تهدیدات اولین بار در سال ۲۰۱۳ توسط آقای David Bianco معرفی شد. هرم درد یک دیاگرام ساده است که ارتباط بین انواع نشانگرهای مورد استفاده توسط شکارچی تهدید و میزان سختی برای بدست آوردن هر یک و نیز را نشان می دهد. البته در این مدل میزان سختی که مهاجم برای تغییر نشانگرهای حمله/نفوذ متحمل می شود نیز قابل نگاشت است.

هرم درد به شکارچی تهدید چگونگی تفکر درباره نشانگرهای نفوذ(IOCs) را می آموزد. نشانگرهای نفوذ گستره مختلفی از file hashes گرفته تا تاکتیک ها، فنون و رویه های(TTPs) مورد استفاده توسط مهاجمان را شامل می شوند. هرم درد نشانگرهای نفوذ را به دو شیوه در ذهن شما(به عنوان یک شکارچی) سازماندهی می کند:

۱. جمع آوری و به کارگیری نشانگرنفوذ برای دفاع سایبری چقدر سخت است؟ بدست آوردن انواع مقادیر هش شده فایل های بدافزار و آدرس های IP و به کارگیری آنها در ابزارهای امنیتی نسبتا آسان است. شناسایی و به کارگیری تاکتیک ها، فنون و رویه های(TTPs) مهاجمان بسیار دشوار است. اغلب ابزارهای امنیتی برای بهره برداری از این نشانگرهای نفوذ به خوبی طراحی نشده اند.
۲. نشان گرهای نفوذ(IOCs) جمع آوری شده توسط شما چه میزان مهاجمان سایبری به زحمت می اندازد؟ برای یک مهاجم سایبری مبهم سازی کد بدافزار مورد استفاده و تغییر مقادیرهش فایل های مخرب کار نسبتا آسانی است. آدرس های IP با هزینه کم به صورت پویا تغییر می یابند. در مقابل تاکتیک ها، فنون و رویه های(TTPs) مورد استفاده توسط مهاجمان به ندرت تغییر می کنند و تغییر در آنها هزینه زیادی را به مهاجم تحمیل می کند. از این رو ابزارهای امنیتی که می توانند از نشانگرهای تاکتیک ها، فنون و رویه های(TTPs) بهره ببرند، سختی(میزان درد) بیشتری به مهاجم تحمیل می کنند.
تصویر زیر سطوح مختلف این هرم را نمایش می دهد. در ادامه به معرفی هر یک از نشانگرهای موجود در این هرم می پردازیم.

 

هرم درد در بدست آوردن نشانگر حملات

 

مقادیر هش(Hash Values): مقادیر هش شده با الگوریتم SHA1، MD5 و غیره، که مرتبط با فایل های بدافزار یا مشکوک هستند. مقادیر هش اغلب به عنوان شناسه یکتایی برای بیان نمونه هایی از یک بدافزار خاص یا فایل های مرتبط با عملیات نفوذ هستند.
آدرس های IP: آدرس IP یا بلوک آدرس های شبکه یکی دیگر از نشانگرهای نفوذ قابل جمع آوری هستند. درصورتیکه یکی از آدرس های IP که مهاجم استفاده می نماید را مسدود شود، آن ها با آدرس های جدید دوباره اقدام به بازگشت به شبکه می کنند.
نام های دامنه(Domain Names): نام دامنه اصلی(bad.com) و حتی زیر دامنه ها (kheili.bad.com) را شامل می شود. تغییر این نشانگرها در مقایسه با آدرس های IP دشوارتر است.
شواهد مجازی شبکه(Network Artifact): این نشانگرها شامل مشاهدات(observables) بدست آمده از فعالیت های مهاجم در شبکه شما هستند. از لحاظ فنی، هر بایت که بر روی شبکه شما به عنوان نتیجه تعامل مهاجم جریان می یابد، می تواند یک Artifact باشد، اما در واقع این نشانگر بیانگر آن دسته از فعالیت هایی است که تمایل دارند فعالیت های مخرب را از فعالیت کاربران مشروع تمایز دهند. نمونه های نمونه ممکن است الگوهای URI باشند، اطلاعات C2 قرارگرفته در پروتکل های شبکه، نمایش عامل کاربری در فیلد HTTP User Agent، مقادیر SMTP Mailer و غیره.
شواهد مجازی میزبان(Host Artifact): مشاهدات(observables) بدست آمده از فعالیت های دشمن بر روی یک یا چند میزبان شما هستند. باز هم تمرکز بر روی مواردی است که فعالیت های مخرب را از موارد قانونی تشخیص دهند. این دسته از نشانگرها می توانند مواردی نظیر کلید های رجیستری یا مقادیری ایجاد شده توسط بدافزارها، فایل ها یا پوشه های ایجاد شده در مکان های خاص دیسک، استفاده از از نام ها یا توصیف های ویژه یا سرویس های مشکوک و تقریبا هر چیز قابل تمایز دیگر باشند.
ابزارها(Tools): نرم افزارهای مورد استفاده توسط مهاجم برای انجام ماموریت. این موارد اغلب شامل چیزهایی است که مهاجم بعد از ایجاد دسترسی بر روی سیستم یا شبکه فعال می کند(این موارد شامل نرم افزارها و یا دستوراتی که قبلا بر روی کامپیوتر اجرا شده نمی باشد). این موارد می توانند شامل ابزارهای طراحی شده برای ایجاد اسناد مخرب جهت اجرای حمله فیشینگ(spearphishing)، درب های پشتی استفاده شده برای ارتباط با C2، ابزارهای شکستن گذرواژه(password crackers) یا دیگر ابزارهای مبتنی بر میزبانی باشد که مهاجم برای اقدامات بعد از نفوذ(post-compromise) به آن نیاز دارد.
شیوه ها، فنون و رویه ها(TTPs): چگونه مهاجم ماموریت خود را شروع، اجرا و تکمیل می کند. این دسته از نشانگرها شامل همه گام های درگیر در یک حمله مهاجم از مرحله شناسایی هدف گرفته تا استخراج اطلاعات به بیرون و گام هایی مابین را شامل می شود. نشانگرهای مرتبط با حمله Spear phishing یک TTP رایج برای استفاده در شبکه است. برای مثال حمله Spear phishing به همراه یک فایل pdf آلوده به تروجان یا Spear phishing همراه با یک فایل zip که به یک فایل .SCR مخرب پیوند خورده است از موارد رایج شیوه ها، فنون و رویه ها(TTPs) مورد استفاده هستند. کشیدن اعتبارنامه های احراز هویت کاربر از حافظه و به کارگیری مجدد آن ها در حملات Pass-the-Hash نمونه دیگری از شیوه ها، فنون و رویه ها(TTPs) می باشد. توجه داشته باشید که ما در اینجا در مورد ابزارهای خاص صحبت نکردیم چرا که ابزارها و روش های زیادی برای آلوده کردن اسناد PDF (مسلح سازی) یا اجرای Pass-The-Hash وجود دارند.

 

 

 


مهدی صیاد

دانش آموخته کارشناسی ارشد کامپیوتر هستم. بیش از 7 سال در حوزه های مختلف امنیت سایبری ازجمله ارزیابی امنیت، آزمون نفوذ، کشف تهدیدات سایبری و امنیت سامانه های کنترل صنعتی فعالیت دارم. در اینجا از شکار تهدیدات سایبری و تحلیل امنیتی براتون خواهم نوشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *