روابط لجميع الأجزاء:الجزء 1. الحصول على الوصول الأولي (الوصول الأولي)الجزء 2. التنفيذالجزء 3. التثبيت (المثابرة)الجزء 4. تصعيد الامتيازالجزء 5. التهرب من الدفاعالجزء 6. الحصول على بيانات الاعتماد (وصول بيانات الاعتماد)الجزء 7. الاكتشافالجزء 8. الحركة الجانبيةالجزء 9. جمع البيانات (جمع)الجزء 10 الاستخراجالجزء 11. القيادة والسيطرةمع هذا المنشور ، أبدأ سلسلة من المنشورات المخصصة لوصف التقنيات الرئيسية التي يستخدمها المهاجمون في مراحل مختلفة من هجمات القراصنة.
ستكون المادة المقدمة عبارة عن إعادة رواية مجانية لمحتوى المصفوفات التكتيكات العدائية والأساليب والمعارف المشتركة (ATT @ CK ) من The Mitre :
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات المذكورة أعلاه ، ويعتذر أيضًا عن عدم الدقة المحتمل في بعض الصيغ والمصطلحات. بالمناسبة ، هذه هي محاولتي الأولى للنشر على حبري ، لذلك آمل في انتقاد عادل في عنواني.سيبدأ الانغماس في الموضوع بأكبر مصفوفة
ATT & CK Matrix for Enterprise ، والتي تصف المراحل النشطة والأكثر خطورة للهجوم على شبكة الشركة:
- الحصول على الوصول الأولي (الوصول الأولي) ؛
- تنفيذ القانون (التنفيذ) ؛
- التثبيت في النظام المهاجم (المثابرة) ؛
- زيادة الامتيازات (تصعيد الامتياز) ؛
- حماية تجاوز (تهرب الدفاع) ؛
- الحصول على أوراق الاعتماد (الوصول إلى بيانات الاعتماد) ؛
- نظرة عامة (اكتشاف) ؛
- التقدم الأفقي (الحركة الجانبية) ؛
- جمع البيانات (جمع) ؛
- التسرب (الترشيح) ؛
- الإدارة والتحكم (القيادة والسيطرة).
الهدف من المهاجم في مرحلة الحصول على حق الوصول الأولي هو تسليم بعض التعليمات البرمجية الخبيثة إلى النظام المهاجم وضمان إمكانية تنفيذه.
النظام: Windows و Linux و macOS
الحقوق: المستخدم
الوصف: جوهر التقنية هو اكتشاف الضحية في متصفح مورد WEB حيث أعد المهاجم العديد من برامج المتصفح والمكونات الإضافية مسبقًا ،
الإطارات المخفية أو ملفات جافا الخبيثة التي ، بدون علم المستخدم ، سيتم تحميلها في النظام المهاجم.
توصيات الحماية: استخدم أحدث المتصفحات والمكونات الإضافية و
تطبيق برامج مكافحة الفيروسات. تقترح Microsoft استخدام
Windows Defender Explloit Guard (WDEG) ومجموعة
أدوات تجربة التخفيف المحسنة (EMET) . من المنطقي أيضًا مراعاة مدى ملاءمة تنفيذ الحظر في متصفح جافا سكريبت.
النظام: Windows و Linux و macOS
الوصف: تتضمن التقنية استخدام الأخطاء ومواطن الضعف ونقاط الضعف المعروفة في البرامج التي تحتوي على منافذ شبكة مفتوحة (خوادم الويب وخدمات الشبكة SSH و SMB2 و DBMS وما إلى ذلك).
أهم 10 نقاط ضعف في تطبيق الويب تم نشرها بواسطة OWASP.
توصيات الحماية: استخدام جدران الحماية ، وتقسيم الشبكة باستخدام DMZ ، واستخدام التوصيات لتطوير البرامج الآمنة ، وتجنب المشاكل الموثقة من قبل OWASP و CWE. افحص المحيط الخارجي بحثًا عن نقاط الضعف. مراقبة سجلات التطبيق وحركة المرور للسلوك غير الطبيعي.
النظام: Windows و Linux و macOS
الوصف: يمكن تضمين الوظائف الإضافية للأجهزة في ملحقات الكمبيوتر الإضافية ومعدات الشبكة وأجهزة الكمبيوتر لتزويد المهاجمين بوصول مبدئي. يمكن دمج فرص الاتصالات الشبكية السرية ، وتنفيذ هجمات الرجل في الوسط لكسر أنظمة التشفير ، وأداء حقن ضغط المفاتيح ، وقراءة ذاكرة kernel عبر DMA ، وإضافة شبكة لاسلكية جديدة ، وما إلى ذلك ، في المنتجات التجارية والمفتوحة المصدر.
توصيات الحماية: تنفيذ سياسات التحكم في الوصول إلى الشبكة ، مثل استخدام الشهادات للأجهزة ومعيار 802.1.x ، وتقييد استخدام DHCP للأجهزة المسجلة فقط ، وحظر تفاعل الشبكة مع الأجهزة غير المسجلة ، وحظر تثبيت الأجهزة الخارجية باستخدام أدوات حماية المضيف (وكلاء Endpoint Security للحد من اتصال الأجهزة).
النظام: Windows
الوصف: تتضمن التقنية تنفيذ برنامج ضار باستخدام وظيفة التشغيل التلقائي في Windows. لخداع المستخدم ، يمكن تعديل ملف "شرعي" مسبقًا أو استبداله ، ثم نسخه إلى جهاز قابل للإزالة بواسطة مهاجم. أيضًا ، يمكن تضمين الحمولة في البرامج الثابتة للجهاز القابل للإزالة أو من خلال برنامج تنسيق الوسائط الأولي.
توصيات الحماية: تعطيل ميزات التشغيل التلقائي في Windows. الحد من استخدام الأجهزة القابلة للإزالة على مستوى السياسة الأمنية للمؤسسة. تطبيق برامج مكافحة الفيروسات.
الوصف: استخدام البرامج الضارة المرفقة برسائل البريد الإلكتروني المخادعة. يحتوي نص الرسالة ، كقاعدة عامة ، على سبب معقول يدفع المستلم إلى فتح الملف في المرفق.
توصيات الحماية: استخدام أنظمة منع اختراق الشبكة (IDS) ومضادات الفيروسات المصممة لمسح وإزالة المرفقات الضارة في رسائل البريد الإلكتروني. تكوين سياسة لحظر تنسيقات المرفقات غير المستخدمة. تعليم المستخدمين قواعد مكافحة الصيد.
الوصف: استخدم روابط تنزيل البرامج الضارة في رسائل البريد الإلكتروني.
نصائح أمنية: يمكن أن يساعدك التحقق من عناوين URL لبريدك الإلكتروني في العثور على روابط لمواقع ضارة معروفة. استخدام أنظمة منع اختراق الشبكة (IDS) ومضادات الفيروسات. تعليم المستخدمين قواعد مكافحة الصيد.
الوصف: في هذا السيناريو ، يقوم المهاجمون بإرسال رسائل من خلال خدمات الشبكات الاجتماعية المختلفة والبريد الشخصي والخدمات الأخرى التي لا تتحكم فيها المؤسسة.
يمكن للمهاجمين استخدام ملفات تعريف مزيفة في الشبكات الاجتماعية. الشبكات ، على سبيل المثال ، لإرسال عروض عمل محتملة. يتيح لك هذا طرح أسئلة الموظف الضحية حول السياسات والبرامج في الشركة ، مما يجبر الضحية على فتح الروابط والمرفقات الخبيثة. عادةً ، يقوم المهاجم بإنشاء جهة اتصال أولية ، ثم يرسل محتوى ضارًا إلى البريد الذي يستخدمه موظف الشركة المهاجم في مكان العمل. إذا فشل الضحية في تشغيل الملف الضار ، فيمكنه إعطاؤه تعليمات بشأن المزيد من الإجراءات.
توصيات الحماية: حجب الوصول إلى الشبكات الاجتماعية وخدمات البريد الإلكتروني الشخصية ، إلخ. استخدام القوائم البيضاء للتطبيقات وأنظمة منع اختراق الشبكات (IDS) ومضادات الفيروسات. تعليم المستخدمين قواعد مكافحة الصيد.
الوصف: يتضمن السيناريو إدخال العديد من برمجيات إكسبلويت ، والخلفيات ، وأدوات القراصنة األخرى في البرمجيات ومعدات الكمبيوتر في مرحلة توريد البرمجيات ومعدات الكمبيوتر إلى الشركة المهاجمة. نواقل الهجوم المحتملة:
- التلاعب بالأدوات وبيئات تطوير البرمجيات ؛
- العمل مع مستودعات رمز المصدر ؛
- التلاعب بتحديث البرامج وآليات التوزيع ؛
- تسوية وإصابة صور نظام التشغيل ؛
- تعديل البرامج القانونية ؛
- بيع المنتجات المعدلة / المزيفة من قبل موزع قانوني ؛
- اعتراض في مرحلة الشحن.
عادةً ما يركز المهاجمون على إدخال المكونات الضارة في قنوات التوزيع وتحديثات البرامج.
توصيات الحماية: تطبيق نظام إدارة المخاطر في سلسلة التوريد (SCRM) ونظام إدارة دورة حياة تطوير البرمجيات (SDLC). استخدام إجراءات التحكم في سلامة الملفات الثنائية الثنائية ، وفحص التوزيعات ، وفحص البرامج والتحديثات قبل النشر ، والفحص المادي للمعدات المشتراة ، والوسائط مع توزيعات البرامج والوثائق المصاحبة لكشف الاحتيال.
الوصف: يمكن للمهاجمين استخدام المنظمات التي لديها إمكانية الوصول إلى البنية التحتية للضحية المزعومة. غالبًا ما تستخدم الشركات اتصال شبكة أقل أمانًا للتواصل مع جهة خارجية موثوقة من الوصول القياسي للشركة من الخارج. أمثلة لأطراف ثالثة موثوق بها: مقاولو خدمات تكنولوجيا المعلومات ، ومقدمو خدمات الأمن ، ومقاولو البنية التحتية. يمكن أيضًا اختراق الحسابات التي يستخدمها طرف موثوق به للوصول إلى شبكة الشركة واستخدامها للوصول الأولي.
توصيات الحماية: تقسيم الشبكة وعزل مكونات البنية التحتية الحيوية التي لا تتطلب وصولاً واسعًا من الخارج. إدارة الحساب
السجلات والأذونات المستخدمة من قبل أطراف علاقة الثقة. مراجعة السياسات والإجراءات الأمنية للمنظمات المتعاقدة التي تتطلب وصولاً مميزًا. أنشطة المراقبة التي يقوم بها الموردون والوكلاء الخارجيون.
الوصف: يمكن للمهاجمين سرقة بيانات اعتماد حساب مستخدم أو خدمة معينة باستخدام
بيانات اعتماد الوصول ، والتقاط بيانات الاعتماد في عملية الاستخبارات باستخدام الهندسة الاجتماعية. يمكن استخدام بيانات الاعتماد المخترقة لتجاوز أنظمة التحكم في الوصول والوصول إلى الأنظمة البعيدة والخدمات الخارجية ، مثل VPN و OWA و Remote Desktop أو للحصول على امتيازات مرتفعة على أنظمة ومناطق محددة من الشبكة. إذا نجح السيناريو ، يمكن للمهاجمين الرفض
برامج ضارة تجعل من الصعب اكتشافها. أيضًا ، يمكن للمهاجمين إنشاء حسابات باستخدام أسماء وكلمات مرور محددة مسبقًا للحفاظ على الوصول الاحتياطي في حالة محاولات فاشلة لاستخدام وسائل أخرى.
توصيات الحماية: قم
بتطبيق سياسة كلمة المرور ، واتبع التوصيات لتصميم وإدارة شبكة الشركة للحد من استخدام الحسابات المميزة على جميع المستويات الإدارية. التحقق المنتظم من المجال والحسابات المحلية وحقوقهم من أجل تحديد تلك التي يمكن أن تسمح للمهاجمين بالوصول على نطاق واسع. مراقبة نشاط الحساب باستخدام أنظمة SIEM.
يناقش الجزء التالي التكتيكات المستخدمة في مرحلة التنفيذ.