روابط لجميع الأجزاء:الجزء 1. الحصول على الوصول الأولي (الوصول الأولي)الجزء 2. التنفيذالجزء 3. التثبيت (المثابرة)الجزء 4. تصعيد الامتيازالجزء 5. التهرب من الدفاعالجزء 6. الحصول على بيانات الاعتماد (وصول بيانات الاعتماد)الجزء 7. الاكتشافالجزء 8. الحركة الجانبيةتتمثل المهمة الرئيسية لتأمين الوصول في ضمان وجود مستمر في النظام الذي تمت مهاجمته ، لأنه يمكن فقد الوصول بسبب إعادة تشغيل النظام الذي تمت مهاجمته أو فقدان أوراق الاعتماد أو حظر أدوات الوصول عن بعد بسبب اكتشاف هجوم.
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، ويعتذر أيضًا عن عدم الدقة المحتمل في بعض الصيغ والمصطلحات. المعلومات المنشورة هي رواية مجانية لمحتويات MITER ATT & CK .يمكن تقسيم طرق ضمان الثبات في النظام إلى 3 فئات:
- الإنشاء غير المصرح به للحسابات أو سرقة أوراق الاعتماد الموجودة ؛
- التثبيت الخفي وإطلاق أدوات الوصول عن بعد ؛
- إجراء تغييرات على تكوين النظام الذي تمت مهاجمته بمساعدة من الممكن تشغيل العديد من التعليمات البرمجية الضارة. يمكن تشغيل التعليمات البرمجية الضارة تلقائيًا في كل مرة يقوم فيها النظام بالتمهيد أو يقوم كل مستخدم بتسجيل الدخول إلى النظام ، أو تشغيل خدمات معدلة أو ضارة ، أو تشغيل برامج معينة من قبل المستخدم ، أو بدء عملية تحديث النظام أو برنامج جهة خارجية.
علاوة على ذلك ، يتم تقديم تقنيات قفل الوصول التي تقدمها ATT & CK.
النظام: Linux و macOS
الحقوق: المستخدم ، المسؤول
الوصف: يمكن للمهاجمين تضمين التعليمات البرمجية في ملفات ~ / .bash_profile و ~ / .bashrc (
المصممة لإنشاء بيئة مستخدم في نظام التشغيل ) ، والتي سيتم تنفيذها عندما يقوم المستخدم بتسجيل الدخول أو بدء تشغيل غلاف جديد. يتم تنفيذ ملف ~ / .bash_profile عندما يقوم المستخدم بتسجيل الدخول ، يتم تنفيذ ~ / .bashrc عند فتح الأصداف بشكل تفاعلي. عندما يقوم المستخدم بتسجيل الدخول (محليًا أو عن بُعد ، على سبيل المثال عبر SSH) باستخدام اسم المستخدم وكلمة المرور ، يتم تنفيذ ~ / .bash_profile قبل إرجاع دعوة المستخدم. بعد ذلك ، في كل مرة يتم فيها فتح غلاف جديد ، يتم تنفيذ ~ / .bashrc.
على نظام macOS ، يختلف Terminal.app قليلاً من حيث أنه يقوم بتشغيل shell لتسجيل الدخول الافتراضي في كل مرة يتم فيها فتح نافذة المحطة الطرفية ، وبالتالي استدعاء ~ / .bash_profile في كل مرة.
توصيات الحماية: منح حقوق لتعديل الملفات ~ / .bash_profile و ~ / .bashrc فقط للمسؤولين المعتمدين.
النظام: Windows
الحقوق: المسؤول
الوصف: يمكن تشغيل تطبيقات إمكانية الوصول (مكبر الشاشة ولوحة المفاتيح على الشاشة وما إلى ذلك) باستخدام تركيبات المفاتيح قبل قيام المستخدم بتسجيل الدخول إلى النظام. يمكن للمهاجم استبدال ملفات بدء التشغيل لهذه البرامج أو تغيير طريقة إطلاقها وفتح وحدة تحكم الأوامر أو الحصول على باب خلفي دون تسجيل الدخول.
- C: \ Windows \ System32 \ sethc.exe - يتم تشغيله عن طريق الضغط على مفتاح Shift 5 أضعاف ؛
- C: \ Windows \ System32 \ utilman.exe - تم إطلاقه بالضغط على تركيبة Win + U.
في WinXP والإصدارات الأحدث ، يمكن استبدال sethc.exe و utilman.exe ، على سبيل المثال ، بـ cmd.exe ، ثم عند الضغط على تركيبة المفاتيح المطلوبة ، يبدأ cmd.exe قبل دخول Windows بامتيازات النظام.
في Vista والإصدارات الأحدث ، تحتاج إلى تغيير مفتاح التسجيل الذي يقوم بتكوين cmd.exe أو برنامج آخر كمصحح أخطاء ، على سبيل المثال ، لـ ultiman.exe. بعد تحرير التسجيل والضغط على تركيبة المفاتيح المطلوبة على شاشة تسجيل الدخول أو عند الاتصال بالمضيف عبر RDP ، سيتم تنفيذ cmd.exe بحقوق النظام.
هناك أيضًا برامج Windows التي يمكن استخدامها لتطبيق تقنية الهجوم هذه:
- C: \ Windows \ System32 \ osk.exe ؛
- C: \ Windows \ System32 \ Magnify.exe ؛
- C: \ Windows \ System32 \ Narrator.exe ؛
- C: \ Windows \ System32 \ DisplaySwitch.exe ؛
- C: \ Windows \ System32 \ AtBroker.exe.
توصيات الأمان: قم بتكوين بداية المصادقة الإلزامية على الشبكة للمستخدمين عن بُعد قبل إنشاء جلسة RDP وعرض شاشة تسجيل الدخول (
ممكّنة افتراضيًا في Windows Vista والإصدارات الأحدث ). استخدم بوابة سطح المكتب البعيد لإدارة الاتصالات وتكوين أمان RDP.
النظام: Windows
الحقوق: مسؤول النظام
الوصف: يتم تحميل مكتبات DLL المحددة في قيمة مفتاح AppCertDLLs في كل عملية تستدعي وظائف API المستخدمة بشكل متكرر:
CreateProcess و CreateProcessAsUser و CreateProcessWithLoginW و CreateProcessWithTokenW و WinExec . يمكن إساءة استخدام قيمة AppCertDLLs الرئيسية عن طريق التسبب في تحميل DLL ضار وتشغيل عمليات معينة. يتم تخزين AppCertDLLs في مفتاح التسجيل التالي:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager .
توصيات الحماية: استخدم جميع الوسائل الممكنة لحظر البرامج التي قد تكون خطيرة وتنزيل ملفات DLL غير المعروفة ، مثل AppLocker و DeviceGuard.
النظام: Windows
الحقوق: مسؤول النظام
الوصف: يتم تحميل مكتبات DLL المحددة في قيمة مفتاح AppInit_DLLs في كل عملية يقوم بتحميل user32.dll. عمليا ، هذا هو كل برنامج تقريبا.
يتم تخزين AppInit_DLLs في مفاتيح التسجيل التالية:
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows ؛
- HKEY_LOCAL_MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ Windows.
يمكن إساءة استخدام قيمة AppInit_DLLs لتجاوز الامتيازات عن طريق تحميل ملفات DLL الضارة وبدء عمليات معينة. تم تعطيل وظيفة AppInit_DLLs في نظام التشغيل Windows 8 والإصدارات الأحدث عند تنشيط التمهيد الآمن.
توصيات الحماية: ضع في اعتبارك استخدام إصدار نظام تشغيل قبل Windows 8 وتمكين التمهيد الآمن. استخدم جميع أنواع الوسائل لحظر البرامج التي يُحتمل أن تكون خطرة وتنزيل ملفات DLL غير المعروفة ، مثل AppLocker و DeviceGuard.
النظام: Windows
الحقوق: المسؤول
الوصف: تم إنشاء
البنية التحتية / إطار عمل توافق تطبيقات Microsoft Windows لضمان توافق البرامج مع تحديثات Windows وتغييرات رمز نظام التشغيل. يستخدم نظام التوافق ما يسمى shim ("gaskets") - المكتبات التي تعمل كعازل بين البرنامج ونظام التشغيل. باستخدام ذاكرة التخزين المؤقت الرقائق ، يحدد النظام الحاجة إلى حشوات الرقائق (المخزنة كقاعدة بيانات .sdb). تقوم ملفات sdb المختلفة بتخزين إجراءات مختلفة لاعتراض رمز التطبيق ومعالجته ثم إعادة توجيهه إلى نظام التشغيل. يتم تخزين قائمة جميع حشوات الرقائق المثبتة بواسطة المثبت (sdbinst.exe) بشكل افتراضي في:
- ٪ WINDIR٪ \ AppPatch \ sysmain.sdb ؛
- HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ InstalledSDB .
يتم تخزين قواعد بيانات الرقائق المخصصة في:
- ٪ WINDIR٪ \ AppPatch [64] \ مخصص ؛
- HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Custom .
لضمان الحماية في وضع المستخدم ، يتم استبعاد القدرة على تغيير نواة نظام التشغيل باستخدام shim-gaskets ، ويلزم حقوق المسؤول لتثبيتها. ومع ذلك ، يمكن استخدام بعض منصات الرقائق لتجاوز التحكم في حساب المستخدم (UAC) وحقن DLL وتعطيل
منع تنفيذ البيانات ومعالجة استثناء Srtucture ، بالإضافة إلى عناوين الذاكرة المعترضة. يمكن للمهاجم الذي يستخدم حشوات منع التسرب زيادة الامتيازات ، وتثبيت الأبواب الخلفية ، وتعطيل حماية نظام التشغيل ، مثل Windows Defender.
توصيات الحماية: لا توجد طرق عديدة لمنع تلمع التطبيق. لا يوصى بتعطيل توافق التطبيقات لتجنب مشاكل استقرار نظام التشغيل. أصدرت Microsoft
KB3045645 ، والتي ستزيل علامة "الرفع التلقائي" في ملف sdbinst.exe لمنع استخدام نظام الرقائق لتجاوز UAC.
النظام: Windows
الحقوق: المسؤول
الوصف: يتم تحميل ملفات DLL الخاصة بمصادقة Windows من خلال عملية هيئة الأمان المحلية (LSA) عند بدء تشغيل النظام وتوفر دعمًا لعمليات تسجيل الدخول المتعددة وبروتوكولات أمان نظام التشغيل المتعددة. يمكن للمهاجمين استخدام آلية التشغيل التلقائي LSA عن طريق وضع ارتباط بملف ثنائي في مفتاح التسجيل التالي:
حزم المصادقة HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \: [الهدف الثنائي] .
سيتم تشغيل [الهدف الثنائي] بواسطة النظام عند تنزيل
حزم المصادقة .
توصيات الحماية: في Windows 8.1 و Windows Server 2012 R2 والإصدارات الأحدث من LSAs ، يمكنك جعلها تعمل كعملية محمية (PPL) باستخدام مفتاح التسجيل:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL = DWORD: 00000001 ،
الذي يتطلب توقيع جميع مكتبات DLL التي تم تحميلها بواسطة LSAs بشهادة Microsoft الرقمية.
النظام: Windows
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: خدمة النقل الذكي في الخلفية (BITS) في Windows هي آلية لنقل الملفات بشكل غير متزامن من خلال طراز كائن المكون (COM) باستخدام نطاق ترددي منخفض. عادةً ما يتم استخدام BITS بواسطة برامج التحديث والمراسلات الفورية والتطبيقات الأخرى التي تفضل العمل في الخلفية دون مقاطعة تشغيل تطبيقات الشبكة الأخرى. يتم تمثيل مهام نقل الملفات كمهام BITS التي تحتوي على قائمة انتظار واحدة أو أكثر من عمليات الملف. تتوفر واجهة إنشاء مهام BITS وإدارتها في أداة PowerShell و BITSAdmin. يمكن للمهاجمين استخدام BITS للتنزيل والتشغيل ثم التنظيف بعد تنفيذ التعليمات البرمجية الضارة. يتم تخزين مهام BITS بشكل مستقل في قاعدة بيانات BITS ، بينما لا يقوم النظام بإنشاء ملفات جديدة أو إدخالات التسجيل ، وغالبًا ما يسمح BITS بواسطة جدار الحماية. باستخدام مهام BITS ، يمكنك الحصول على موطئ قدم في النظام من خلال إنشاء مهام طويلة (افتراضيًا 90 يومًا) أو عن طريق الاتصال ببرنامج عشوائي بعد إكمال مهمة BITS أو خطأ (بما في ذلك بعد إعادة تشغيل نظام التشغيل).
توصيات الحماية: BITS هي وظيفة نظام تشغيل قياسية ، يصعب التمييز بين استخدامها والنشاط الضار ، وبالتالي يجب توجيه موجه الحماية لمنع إطلاق الأدوات الضارة في بداية سلسلة الهجوم. يمكن أن يؤدي تعطيل BITS تمامًا إلى إيقاف تحديثات البرامج المشروعة ، ومع ذلك ، يمكنك التفكير في قصر الوصول إلى واجهة BITS على مستخدمين ومجموعات وصول محددة ، ويمكنك أيضًا تحديد عمر مهام BITS ، والتي يتم تعيينها عن طريق تغيير المفاتيح التالية:
- HKEY_LOCAL_MACHINE \ البرامج \ السياسات \ Microsoft \ Windows \ BITS \ JobInactivityTimeout ؛
- HKEY_LOCAL_MACHINE \ البرامج \ السياسات \ Microsoft \ Windows \ BITS \ MaxDownloadTime .
النظام: لينكس ، ويندوز
الحقوق: مسؤول النظام
الوصف: Bootkit هو نوع من البرامج الضارة التي يمكنها تغيير قطاعات التمهيد لمحرك الأقراص الثابتة ، بما في ذلك سجل التمهيد الرئيسي (MBR) وسجل التمهيد لوحدة التخزين (VBR). يمكن للمهاجمين استخدام Bootkit للإرساء على أنظمة أقل من نظام التشغيل. MBR - قسم السكة الحديد ، الذي يتم تحميله فور الانتهاء من تهيئة أجهزة Bios. يمكن للمهاجم الذي لديه حق الوصول إلى إعادة كتابة MBR استبدال رمز محمل الإقلاع بآخر ضار. VBR هو قسم القرص الثابت الذي يتلقى التحكم في عملية التمهيد من MBR. قياسا على خيار إعادة كتابة MBR ، يمكن للمهاجم تشغيل كود خبيث في مرحلة تمهيد النظام.
توصيات الحماية: استخدام أدوات التحكم في سلامة MBR و VBR. استخدام الوحدة النمطية للنظام الأساسي الموثوق به (TPM) والتمهيد الآمن.
النظام: Windows و Linux و macOS
الحقوق: المستخدم
الوصف: كقاعدة عامة ، تتمتع المكونات الإضافية بكل الحقوق والحقوق التي يمكن أن يحصل عليها المتصفح. يمكن تثبيت المكونات الإضافية الضارة عن طريق تنزيل التطبيقات الضارة المتخفية في شكل برامج شرعية باستخدام تقنيات الهندسة الاجتماعية ، أو التصيد الاحتيالي ، أو مهاجم قام بالفعل باختراق النظام. يمكن للمكونات الإضافية الضارة فتح مواقع الويب في الخلفية ، وسرقة المعلومات التي يدخلها المستخدم في المستعرض ، بما في ذلك بيانات الاعتماد ، لاستخدامها كمثبتات لأدوات الإدارة عن بعد (RATs) وإصلاحات للنظام.
توصيات الحماية: تثبيت الإضافات فقط من مصادر موثوقة. تحكم في المكونات الإضافية المثبتة باستخدام نهج المجموعة. منع تثبيت المكونات الإضافية من قبل المستخدمين العاديين. جرد ومراقبة الإضافات المثبتة.
النظام: Windows
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يمكن للمهاجمين تعديل اقترانات الملفات لتشغيل أوامر عشوائية. يتم تخزين اختيار اقترانات الملفات مع التطبيقات في سجل Windows ويمكن تحريرها من قبل المستخدمين والمسؤولين والبرامج التي لديها حق الوصول إلى التسجيل. يمكن للتطبيقات تعديل الجمعيات لاستدعاء البرامج التعسفية. يتم تخزين معلمات اقترانات النظام في التسجيل:
HKEY_CLASSES_ROOT \. [ملحق] ، على سبيل المثال ،
HKEY_CLASSES_ROOT \ .txt . يتم سرد الأوامر المتنوعة كأقسام فرعية:
HKEY_CLASSES_ROOT \ [handler] \ shell \ [action] \ [command] ، على سبيل المثال:
- HKEY_CLASSES_ROOT \ txtfile \ shell \ open \ [command] ؛
- HKEY_CLASSES_ROOT \ txtfile \ shell \ print \ [command] ؛
- HKEY_CLASSES_ROOT \ txtfile \ shell \ printto \ [command] ؛
حيث
[الأمر] هو الأمر الذي سيتم تنفيذه عند فتح الملف بالامتداد المحدد.
أفضل ممارسات
الأمان: اتبع
توصيات Microsoft لجمعيات الملفات. استخدم جميع الوسائل الممكنة لحظر البرامج التي يحتمل أن تكون خطرة ، مثل AppLocker و DeviceGuard.
النظام: Windows
الحقوق: النظام
الوصف: يمكن لبعض المجرمين الإلكترونيين استخدام أدوات معقدة للتغلب على مكونات الكمبيوتر وتثبيت البرامج الثابتة الضارة عليها والتي ستقوم بتشغيل التعليمات البرمجية الضارة خارج نظام التشغيل أو حتى البرامج الثابتة للنظام الأساسي (Bios). تتمثل التقنية في وميض مكونات الكمبيوتر التي لا تحتوي على نظام فحص تكامل مدمج ، على سبيل المثال ، محركات الأقراص الصلبة. يمكن أن يوفر جهاز يحتوي على برامج ثابتة ضارة وصولاً مستمرًا إلى النظام الذي تمت مهاجمته على الرغم من الفشل والكتابة فوق القرص الثابت. تم تصميم هذه التقنية للتغلب على حماية البرامج والتحكم في السلامة.
النظام: Windows
الحقوق: المستخدم
الوصف: Microsoft Component Object Model (COM) هي تقنية لإنشاء برامج تستند إلى تفاعل مكونات كائن ، يمكن استخدام كل منها في العديد من البرامج في وقت واحد. يمكن للمهاجمين استخدام COM لإدخال تعليمات برمجية ضارة يمكن تنفيذها بدلاً من واحد شرعي من خلال التقاط روابط وروابط COM. لاعتراض كائن COM ، تحتاج إلى استبدال الارتباط بمكون نظام شرعي في تسجيل Windows. سيؤدي استدعاء آخر لهذا المكون إلى تنفيذ تعليمات برمجية ضارة.
توصيات الحماية: لا يوصى بالتدابير الوقائية لمنع هذا الهجوم ، لأن كائنات COM هي جزء من نظام التشغيل ومثبتة في برنامج النظام. يمكن أن يؤثر حظر التغييرات على كائنات COM على استقرار نظام التشغيل والبرامج. ينصح ناقل الحماية لمنع البرمجيات الخبيثة والمحتملة.
النظام: Windows و Linux و macOS
الحقوق: المسؤول
الوصف: يمكن للمهاجمين الذين لديهم وصول كافٍ إنشاء حسابات محلية أو حسابات مجال لمزيد من الدمج في النظام. يمكن أيضًا استخدام أوامر مستخدم الشبكة لإنشاء حسابات.
توصيات الأمن: استخدام المصادقة متعددة العوامل. تكوين إعدادات الأمان على الخوادم المهمة ، وتكوين عناصر التحكم في الوصول ، والجدران النارية. حظر استخدام حساب مسؤول المجال لإجراء العمليات اليومية التي يمكن للمهاجم خلالها الحصول على معلومات الحساب. يمكن للمهاجمين الذين أنشأوا حسابات في النظام الحصول على وصول محدود فقط إلى الشبكة إذا تم حظر مستويات الوصول بشكل صحيح. قد تكون الحسابات مطلوبة فقط لتأمين الوصول إلى نظام منفصل.
النظام: Windows
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: تتمثل التقنية في استغلال الثغرات الأمنية في الخوارزمية للعثور على ملفات DLL التي تحتاجها للعمل (
MSA2269637 )
بواسطة التطبيقات . غالبًا ما يكون دليل بحث DLL هو دليل العمل الخاص بالبرنامج ، لذا يمكن للمهاجمين استبدال DLL المصدر بآخر ضار بنفس اسم الملف.
يمكن تنفيذ الهجمات عن بعد على عمليات بحث DLL عندما يقوم البرنامج بتثبيت دليله الحالي في دليل بعيد ، على سبيل المثال ، مشاركة شبكة. أيضًا ، يمكن للمهاجمين تغيير طريقة البحث عن ملفات DLL وتحميلها مباشرةً عن طريق استبدال ملفات .manifest أو. المحلية ، التي تصف معلمات بحث DLL. إذا كان البرنامج الذي تمت مهاجمته يعمل بمستوى عالي من الامتيازات ، فسيتم أيضًا تنفيذ ملف DLL الخبيث الذي تم تحميله به بحقوق عالية. في هذه الحالة ، يمكن استخدام التقنية لزيادة الامتيازات من المستخدم إلى المسؤول أو النظام.
توصيات الحماية: منع تحميل DLL عن بُعد (يتم تمكينه افتراضيًا في Windows Server 2012+ ومتاح مع تحديثات XP + و Server 2003+). تمكين وضع البحث الآمن لـ DLL ، والذي يقصر أدلة البحث على الدلائل مثل
٪ SYSTEMROOT٪ قبل إجراء بحث DLL في دليل التطبيق الحالي.
تمكين وضع البحث الآمن DLL:
تكوين الكمبيوتر> [السياسات]> قوالب الإدارة> MSS (القديم): MSS: (SafeDllSearchMode) تمكين وضع البحث الآمن DLL.مفتاح التسجيل المقابل:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SafeDLLSearchMode.ضع في اعتبارك مراجعة نظام محمي لإصلاح أوجه القصور في DLL باستخدام أدوات مثل PowerUP في PowerSploit. لا تنس حظر البرامج الضارة والخطيرة المحتملة ، بالإضافة إلى اتباع
توصيات Microsoft .
النظام: macOS
الحقوق: المستخدم
الوصف: تعتمد التقنية على
الثغرات الأمنية في خوارزميات البحث في مكتبة dylib الديناميكية على نظامي macOS و OS X.خلاصة القول هي تحديد dylib الذي يقوم التطبيق المهاجم بتحميله ثم وضع الإصدار الضار من dylib الذي يحمل نفس الاسم في دليل العمل الخاص بالتطبيق. سيؤدي ذلك إلى تحميل التطبيق dylib ، الموجود في دليل عمل البرنامج. في هذه الحالة ، سيتم تنفيذ Dylib الخبيث بحقوق الوصول للتطبيق الذي تمت مهاجمته. نصائح أمنية: منع المستخدمين من كتابة الملفات إلى دلائل بحث dylib. تدقيق الثغرات الأمنية باستخدام Dylib Hijacking Scanner من Objective-See.النظام: حقوق Windows :وصف المستخدم : يمكن للمهاجمين استخدام الخدمات الخارجية البعيدة للمؤسسة ، مثل VPN و Citrix و WinRM ، لتأمين أنفسهم داخل الشبكة التي تمت مهاجمتها. يمكن تنفيذ الوصول إلى الخدمات باستخدام حسابات صالحة تم الحصول عليها باستخدام تقنيات لإعادة توجيه المستخدمين إلى مواقع زائفة (فارمينغ) ، أو في مرحلة اختراق الشبكة.توصيات الحماية:تقييد الوصول إلى الخدمات عن بعد باستخدام مفاتيح مُدارة مركزيًا باستخدام VPN. حظر الوصول المباشر عن بعد إلى الشبكة الداخلية من خلال استخدام الوكلاء والبوابات والجدران النارية. تعطيل الخدمات التي يمكن استخدامها عن بعد ، مثل WinRM. استخدام المصادقة الثنائية. مراقبة نشاط استخدام الخدمات عن بعد خارج ساعات العمل.النظام: حقوق Windows : المستخدم ، المسؤولالوصف: جوهر التقنية هو استبدال الملفات القابلة للتنفيذ التي يتم تشغيلها تلقائيًا بواسطة عمليات مختلفة (على سبيل المثال ، عند تشغيل نظام التشغيل أو في وقت معين ، إذا تم تكوين الحقوق للملفات القابلة للتنفيذ بشكل غير صحيح). بعد الانتحال ، سيتم تشغيل الملف الضار بحقوق العملية ، لذلك إذا كانت العملية ذات مستوى وصول أعلى ، فسيكون المهاجم قادرًا على تصعيد الامتيازات. في هذه التقنية ، يمكن للمهاجمين محاولة معالجة الملفات الثنائية لخدمة Windows.يرتبط نوع آخر من الهجوم بنواقص الخوارزميات في عمل مثبِّتات الاستخراج الذاتي. أثناء عملية التثبيت ، غالبًا ما يقوم المثبتون بفك حزم الملفات المفيدة المختلفة ، بما في ذلك .dll و .exe ، في الدليل٪ TEMP٪ ، ومع ذلك ، قد لا يقوموا بتعيين الأذونات المناسبة لتقييد الوصول إلى الملفات غير المعبأة ، مما يسمح للمهاجمين بالانتحال للملفات و ، ونتيجة لذلك ، قم بزيادة الامتيازات أو تجاوز التحكم في الحساب ، مثل يعمل بعض المثبتات بامتيازات موسعة.توصيات الحماية:تقييد حقوق الحساب بحيث يمكن للمسؤولين فقط إدارة الخدمات والتفاعل مع الملفات الثنائية التي تستخدمها الخدمات. تعطيل خيارات تصعيد امتياز UAC للمستخدمين القياسيين. يتم تخزين إعدادات UAC في مفتاح التسجيل التالي:- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] .
لرفض طلبات تصعيد الامتيازات تلقائيًا ، يجب عليك إضافة مفتاح:- "ConsentPromptBehaviorUser" = الكلمة المزدوجة: 00000000.
للتحكم في عمل المثبتات ، تحتاج إلى إضافة مفتاح:- "EnableInstallerDetection" = dword: 00000001 ، الأمر الذي سيتطلب كلمة مرور لتثبيت البرامج.
النظام: Windows، Linux،حقوق macOS : وصف المستخدم:يمكن للمهاجمين استخدام القدرة على إخفاء الملفات والمجلدات حتى لا تجذب انتباه المستخدمين. في نظام التشغيل Windows ، يمكن للمستخدمين إخفاء الملفات باستخدام الأمر attrib. يكفي تحديد السمة + h <اسم الملف> لإخفاء الملف أو "+ s" لوضع علامة على الملف كنظام. بإضافة المعلمة "/ S" ، ستقوم أداة السمة بتطبيق التغييرات بشكل متكرر. على Linux / Mac ، يمكن للمستخدمين إخفاء الملفات والمجلدات ببساطة عن طريق تحديد "." في بداية اسم الملف. بعد ذلك ، سيتم إخفاء الملفات والمجلدات من تطبيق Finder مثل الأداة المساعدة "ls". على نظام التشغيل macOS ، يمكن وضع علامة UF_HIDDEN على الملفات ، والتي ستعطل ظهورها في Finder.app ، ولكنها لن تمنع ظهور الملفات المخفية في Terminal.app. تقوم العديد من التطبيقات بإنشاء ملفات ومجلدات مخفية حتى لا تزدحم مساحة عمل المستخدم. على سبيل المثالتقوم أدوات SSH بإنشاء مجلد .ssh مخفي يقوم بتخزين قائمة بالمضيفات ومفاتيح المستخدم المعروفة.توصيات الحماية: من الصعب منع إمكانية استخدام هذه التقنية نظرًا لأن إخفاء الملفات هي ميزة قياسية لنظام التشغيل.النظام: حقوق Windows : Administrator ،وصف النظام : يتم عادة تخزين وظائف Windows API في مكتبات DLL. تقنية التثبيت هي إعادة توجيه المكالمات إلى وظائف API من خلال:- إجراءات الخطاف - الإجراءات المضمنة في نظام التشغيل والتي تنفذ التعليمات البرمجية عندما يتم استدعاء الأحداث المختلفة ، على سبيل المثال ، ضغطات المفاتيح أو تحريك الماوس ؛
- تعديلات على جدول العنوان (IAT) ، الذي يخزن المؤشرات على وظائف API. سيسمح لك هذا بـ "خداع" التطبيق المهاجم ، مما يجبره على تشغيل وظيفة ضارة ؛
- التغيير المباشر للوظيفة (الربط) ، حيث يتم تغيير أول 5 بايت من الوظيفة ، بدلاً من ذلك يتم إدخال الانتقال إلى وظيفة ضارة أو وظيفة أخرى يحددها المهاجم.
مثل عمليات الحقن ، يمكن للمهاجمين استخدام التثبيت لتنفيذ التعليمات البرمجية الضارة ، وإخفاء تنفيذها ، والوصول إلى ذاكرة العملية التي تمت مهاجمتها وزيادة الامتيازات. يمكن للمهاجمين التقاط مكالمات API التي تتضمن المعلمات التي تحتوي على بيانات المصادقة. عادةً ما يستخدم الربط مجموعة أدوات لإخفاء النشاط الضار في النظام.توصيات الحماية:يعد اعتراض الأحداث في نظام التشغيل جزءًا من التشغيل العادي للنظام ، لذا فإن أي تقييد لهذه الوظيفة قد يؤثر سلبًا على استقرار التطبيقات المشروعة ، مثل برنامج مكافحة الفيروسات. يجب أن تركز الجهود المبذولة لمنع استخدام تقنيات الاعتراض على المراحل الأولى من سلسلة الهجوم. يمكنك الكشف عن نشاط الربط الخبيث عن طريق مراقبة المكالمات لوظائف SetWindowsHookEx و SetWinEventHook ، باستخدام كاشفات الجذور الخفية ، وتحليل السلوك الشاذ للعمليات.النظام: حقوق Windows : المسؤول ،وصف النظام : قد يكون المهاجم مُخترقًا من قِبل مهاجم وقد يكون قد تم إخفاء الجذور الخفية عن أنظمة الضيف.توصيات الأمان: منع الوصول الضار إلى الحسابات المميزة اللازمة لتثبيت وتكوين برنامج مراقبة الأجهزة الافتراضية.النظام: حقوق Windows : Administrator ،وصف النظام : تتيح لك آلية خيارات تنفيذ ملف الصورة (IFEO) تشغيل مصحح أخطاء برنامج بدلاً من برنامج ، تم تحديده مسبقًا بواسطة المطور في التسجيل:- HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ خيارات تنفيذ ملف الصورة / [قابل للتنفيذ]
- HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[executable] ,, [executable] — .
مثل عمليات الحقن ، يمكن إساءة استخدام القيمة [القابلة للتنفيذ] عن طريق تشغيل كود عشوائي لزيادة الامتيازات أو الحصول على موطئ قدم في النظام. يمكن للبرامج الضارة استخدام IFEO لتجاوز الحماية عن طريق تسجيل المصححين الذين يعيدون توجيه ويرفضون مختلف تطبيقات النظام والأمان.توصيات الحماية: تستند التقنية الموصوفة إلى إساءة استخدام أدوات تطوير نظام التشغيل العادية ، لذا فإن أي قيود يمكن أن تسبب عدم استقرار البرامج الشرعية ، على سبيل المثال ، تطبيقات الأمان. يجب أن تركز الجهود المبذولة لمنع استخدام تقنيات حقن IFEO على المراحل المبكرة من سلسلة الهجوم. يمكنك الكشف عن مثل هذا الهجوم من خلال مراقبة العمليات مع Debug_process وعملية تصحيح الأخطاء فقط .النظام: حقوق Linux و macOS : الجذرالوصف: وحدات kernel القابلة للتنزيل (LKM) هي برامج خاصة يمكن تحميلها وتفريغها من kernel دون الحاجة إلى إعادة تشغيل كاملة للنظام. على سبيل المثال ، يتضمن LKM برامج تشغيل الأجهزة. يمكن للمهاجمين تحميل LKMs الضارة باستخدام مجموعات الجذر المختلفة. عادة ، تكسر هذه الجذور الخفية نفسها ، والملفات ، والعمليات ، ونشاط الشبكة ، وسجلات التدقيق المزيفة ، وتوفر أبوابًا خلفية. مثل LKM على نظام macOS ، هناك ما يسمى KEXTs التي يتم تحميلها وتفريغها مع أوامر kextload و kextunload.توصيات الحماية:استخدم أدوات الكشف عن الجذور الخفية في Linux: rkhunter و chrootkit. تقييد الوصول إلى الحساب الجذر ، وهو مطلوب لتحميل الوحدات النمطية في النواة. استخدم SELinux التحكم في الوصول القسري.النظام: حقوق macOS :وصف المستخدم : تحتوي ملفات Mach-O على عدد من الرؤوس التي يتم استخدامها لإجراء عمليات معينة عند تنزيل ملف ثنائي. يخبر رأس LC_LOAD_DYLIB في ثنائيات Mach-O نظام التشغيل الذي يجب تحميل مكتبات dylib. ستؤدي التغييرات في الرؤوس إلى إبطال التوقيع الرقمي ، ومع ذلك ، يمكن للمهاجم حذف الأمر LC_CODE_SIGNATURE من الملف الثنائي ولن يتحقق النظام من صحة التوقيع عند تنزيله.توصيات الحماية: يجب أن يتم توقيع جميع الثنائيات باستخدام معرفات Apple Developer ID الصحيحة ، ويتم تجميع القوائم البيضاء للتطبيقات وفقًا للتجزئة المعروفة.النظام: حقوق Windows : Administrator،وصف النظام : Local Security Authority (LSA) - نظام فرعي لـ Windows يوفر مصادقة المستخدم. يتضمن LSA العديد من مكتبات DLL الديناميكية المترابطة التي يتم تشغيلها في عملية LSASS.exe. يمكن للمهاجمين مهاجمة LSASS.exe عن طريق استبدال أو إضافة برامج تشغيل LSA غير مشروعة ثم تنفيذ التعليمات البرمجية التعسفية. يتم تنفيذ هذه التقنية في البرامج الضارة Pasam و Wingbird ، والتي "ترفع" ملفات DLL المعدلة المستخدمة لتحميل LSASS. في هذه الحالة ، يتم تنفيذ التعليمات البرمجية الضارة قبل أن يتسبب DLL غير الشرعي في حدوث تعطل وتعطل خدمة LSASS اللاحق.توصيات الحماية: في Windows 8.1 و Server 2012 R2 ، قم بتمكين حماية LSA عن طريق تنشيط المفتاح المحدد:- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL = dword: 00000001.
تضمن هذه الحماية توقيع المكونات الإضافية وبرامج التشغيل التي يتم تحميلها بواسطة LSA رقميًا بواسطة Microsoft. على Windows 10 و Server 16 ، قم بتمكين Windows Defender Credential Guard لتشغيل lsass.exe في بيئة افتراضية معزولة. لتقليل مخاطر تحميل المكتبات الضارة إلى lsass.exe ، قم بتمكين وضع بحث DLL الآمن:- HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager \ SafeDllSearchMode.
النظام: حقوق macOS : المستخدم ، المسؤولالوصف: تتمثل التقنية في إساءة استخدام وظيفة الإنشاء والبدء من قبل المستخدمين تشغيل الوكلاء - خدمات التشغيل التلقائي على مستوى المستخدم. عندما يقوم كل مستخدم بتسجيل الدخول إلى النظام ، يقوم Launchd بتحميل معلمات عوامل التشغيل من ملفات * .plist. تحتوي ملفات Plist على بنية XML وتحتوي على إرشادات تخبر Launchd عن الملفات التنفيذية ومتى يتم تشغيلها. يمكن العثور على ملفات Plist في الدلائل التالية:- / النظام / المكتبة / LaunchAgents ؛
- / Library / LauncAgents؛
- $ الصفحة الرئيسية / المكتبة / LaunchAgents.
يمكن للمهاجمين أيضًا إخفاء أسماء عوامل الإطلاق الضارة باستخدام أسماء البرامج الشرعية. على سبيل المثال ، ينشئ Komplex Trojan وكيل تشغيل: $ HOME / Library / LaunchAgents / com.apple.updates.plist.توصيات الحماية: باستخدام نهج المجموعة ، قم بتكوين التقييد على المستخدمين الذين يقومون بإنشاء وكلاء الإطلاق. يتضمن إنشاء عوامل الإطلاق تحميل أو إنشاء ملفات plist على القرص ، لذا ركز جهودك الدفاعية على المراحل الأولى من الهجوم.النظام: حقوق macOS : المسؤولالوصف: تتمثل التقنية في تغيير معلمات خدمات مستوى تشغيل النظام - تشغيل البرنامج الخفي ، المحدد في ملفات plist ، بواسطة المهاجم. عند تشغيل النظام ، تقوم عملية Launchd بتحميل معلمات الخدمات (daemons) من ملفات plist الموجودة في الدلائل التالية:- / النظام / المكتبة / LaunchDeamons ؛
- / المكتبة / LaunchDeamons.
يمكن إنشاء Launch Daemon بامتيازات المسؤول ، ولكن يتم تشغيله تحت الحساب الجذر ، بحيث يمكن للمهاجم تصعيد الامتيازات. يجب أن تكون أذونات ملفات plist جذرية: بينما ، مع ذلك ، قد يكون لدى البرنامج النصي أو البرنامج المحدد فيه أذونات أقل صرامة. لذلك ، يمكن للمهاجم تعديل الملفات القابلة للتنفيذ المحددة في plist ، وبالتالي تعديل خدمات النظام الحالية لتأمين النظام أو تصعيد الامتيازات. تلميحاتالأمان: قم بتقييد امتيازات المستخدم حتى يتمكن المسؤولون المعتمدون فقط من إنشاء Launch Daemon. ضع في اعتبارك مراقبة كيفية إنشاء ملفات plist على نظامك باستخدام تطبيقات مثل KnockKnock.: نظام ماكحقوق: العضو، مديرالوصف: launchctl - أداة لإدارة Launchd الخدمة. باستخدام Launchctl ، يمكنك إدارة خدمات النظام والمستخدم (LaunchDeamons و LaunchAgents) ، بالإضافة إلى تنفيذ الأوامر والبرامج. Launchctl يدعم الأوامر الفرعية لسطر الأوامر التفاعلية أو المعاد توجيهها من الإدخال القياسي:launchctl إرسال -l [labelname] - / Path / to / thing / to / تنفيذ 'arg' '' arg '' 'arg'.بدء الخدمات وإعادة تشغيلها و الشياطين ، يمكن للمهاجمين تنفيذ التعليمات البرمجية وحتى تجاوز القائمة البيضاء إذا كانت عملية الإطلاق هي عملية مصرح بها ، ولكن قد يتطلب تحميل الخدمات وإلغاء تحميلها وإعادة تحميلها امتيازات مرتفعة.توصيات الحماية:تقييد حقوق المستخدم لإنشاء وكلاء الإطلاق وبدء تشغيل Deamons باستخدام نهج المجموعة. باستخدام تطبيق KnockKnock ، يمكنك اكتشاف البرامج التي تستخدم Launchctl لإدارة وكلاء التشغيل و Deamons Launch.النظام: Linux ،حقوق macOS : المستخدم ، المسؤول ، الجذرالوصف: يمكن للمهاجمين إنشاء مهام على الأنظمة التي تمت مهاجمتها لبدء البرامج غير المصرح بها عند تشغيل النظام أو وفقًا لجدول زمني. تدعم أنظمة Linux و Apple عدة طرق لجدولة إطلاق مهام الخلفية الدورية: cron ، at ، launchd. على عكس برنامج جدولة المهام لـ Windows ، لا يمكن إجراء جدولة المهام على أنظمة Linux عن بُعد ، باستثناء استخدام جلسات العمل عن بُعد مثل SSH.توصيات الحماية: تحديد حقوق المستخدم لإنشاء مهام مجدولة وحظر أدوات النظام والبرامج الأخرى التي يمكن استخدامها لجدولة المهام.النظام: حقوق macOS :وصف المستخدم : يمكن للمهاجمين لتأمين أنفسهم في النظام تكوين التعليمات البرمجية الخاصة بهم لبدء استخدام عناصر تسجيل الدخول تلقائيًا (إعدادات المستخدم لبدء تشغيل التطبيق عند كل تسجيل دخول). لا يتم عرض عناصر تسجيل الدخول التي تم إنشاؤها باستخدام إطار عمل إدارة الخدمة في إعدادات النظام ولا يمكن حذفها إلا من خلال التطبيق الذي تم إنشاؤها فيه. يمكن للمستخدمين فقط إدارة عناصر تسجيل الدخول التي يتم عرضها في إعدادات النظام. يتم تخزين إعدادات عناصر تسجيل الدخول هذه في ملف plist في دليل المستخدم:~ / Library / Preferences / com.apple.loginitems.plist.يمكن للتطبيقات التي تعد جزءًا من عنصر تسجيل الدخول عرض النوافذ التي تكون مرئية للمستخدم عند بدء التشغيل ، ولكن يمكنك إخفاؤها باستخدام خيار "إخفاء".توصيات الحماية: تقييد حقوق المستخدم لإنشاء عنصر تسجيل الدخول. تجدر الإشارة إلى أن الضغط على مفتاح shift أثناء تسجيل الدخول يمنع بدء التطبيقات تلقائيًا. تحكم في إعدادات عنصر تسجيل الدخول ( إعدادات النظام ← المستخدمون والمجموعات ← عناصر تسجيل الدخول ).النظام: Windows ، macOSالوصف: من أجل الدمج في النظام ، يمكن للمهاجم استخدام القدرة على إنشاء أو تعديل البرامج النصية لتسجيل الدخول الموجودة - البرامج النصية التي يتم تنفيذها عندما يقوم مستخدم أو مجموعة معينة من المستخدمين بتسجيل الدخول إلى النظام. إذا تمكن مهاجم من الوصول إلى برنامج نصي لتسجيل الدخول على وحدة تحكم مجال Windows ، فيمكنه تعديله لتنفيذ التعليمات البرمجية على جميع الأنظمة في المجال من أجل "نقل الجانب" للشبكة. اعتمادًا على إعدادات حقوق الوصول إلى ملفات البرنامج النصي لتسجيل الدخول (عادةً يتم تخزين هذه البرامج النصية في \\ [DC] \ NETLOGON \ ) ، قد يحتاج المهاجم إلى بيانات اعتماد محلية أو إدارية.في نظام التشغيل Mac ، مخطوطات تسجيل الدخول ( خطاف تسجيل الدخول / تسجيل الخروج)) ، على عكس عنصر تسجيل الدخول ، الذي يتم تشغيله في سياق المستخدم ، يمكن تشغيله كجذر.توصيات الأمان: تقييد امتيازات المشرف لإنشاء برامج نصية لتسجيل الدخول. تحديد وحظر البرامج التي يحتمل أن تكون خطرة والتي يمكن استخدامها لتعديل سيناريوهات تسجيل الدخول.النظام: حقوق Windows : المسؤول ،وصف النظام : لتشغيل التعليمات البرمجية الضارة بشكل متكرر في النظام ، يمكن للمهاجم تعديل تكوين الخدمات الموجودة باستخدام أدوات النظام أو أدوات للتفاعل مع واجهة برمجة تطبيقات Windows. يمكن للمهاجمين عمدًا إتلاف خدمة أو قتلها بسبب الاستدعاء اللاحق لبرنامج معدل أو أمر استعادة خدمة. يعد استخدام الخدمات الموجودة أحد تقنيات التنكر التي تجعل من الصعب اكتشاف النشاط الضار. يتم تخزين معلومات حول تكوين خدمات Windows ، بما في ذلك المسار إلى البرامج والأوامر لبدء الخدمة واستعادتها ، في التسجيل:- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services .
يمكنك تغيير تكوين الخدمات باستخدام أدوات وحدة التحكم sc.exe و Reg.توصيات الحماية: تحديد امتيازات المستخدمين والمجموعات لتغيير تكوينات الخدمة ، ومنح الحقوق فقط للمسؤولين المعتمدين. حظر البرامج الخطرة المحتملة. لدراسة التغييرات في خدمات النظام لتحديد محاولات تأمين مهاجم في النظام ، يمكنك استخدام الأداة المساعدة Sysinternals Autoruns.النظام: Windows
الحقوق: مسؤول النظام
الوصف: يمكن للمهاجمين تنفيذ التعليمات البرمجية باستخدام الأداة المساعدة Netsh console المدمجة ، والتي تسمح بتحميل ملفات DLL الإضافية لتوسيع الوظائف:
netsh> إضافة مساعد [مسار DLL]يتم تخزين معلومات حول المكتبات المسجلة التي يستخدمها netsh في التسجيل:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ NetShيمكن لبعض عملاء VPN للشركات ومرافق الشبكة استخدام netsh.exe ، بدء تشغيله نيابة عن النظام ، في هذه الحالة ، يمكن للمهاجم تسجيل أو تعديل DLL المساعد الذي سيتم تنفيذه عندما يستخدم عميل VPN netsh. يتم تضمين أدوات لتنفيذ هذا النوع من الهجوم مع
CobaltStrike (إطار اختبار الاختراق).
نصائح أمنية: قم بحظر البرامج التي يحتمل أن تكون خطرة باستخدام أدوات مثل AppLocker.
النظام: Windows
الحقوق: مسؤول النظام
الوصف: اسم الوصول إلى النظام ، يمكن للمهاجمين إنشاء خدمات جديدة وتكوينها لبدء التشغيل تلقائيًا. يمكن إخفاء اسم الخدمة باستخدام أسماء خاصة بنظام التشغيل. يمكن إنشاء الخدمات بامتيازات المسؤول ، ولكن يتم تشغيلها نيابة عن النظام. يمكن إنشاء الخدمات من سطر الأوامر ، باستخدام أدوات الوصول عن بعد مع إمكانية التشغيل التفاعلي مع Windows API ، أو باستخدام أدوات إدارة Windows و PowerShell القياسية.
توصيات الأمان: حدد حقوق المستخدم لإنشاء خدمات جديدة بحيث لا يتمكن سوى المسؤولين المخولين من القيام بذلك. تطبيق AppLocker
وسياسة تقييد البرامج .
النظام: Windows
الحقوق: المستخدم ، المسؤول
الوصف: يمكن استخدام بعض آليات عمل MS Office لتنفيذ التعليمات البرمجية عند تشغيل تطبيقات Office ، ونتيجة لذلك ، لتزويد المهاجمين بثباتهم في النظام:
• تضمين وحدات ماكرو VBA ضارة في قوالب Office الأساسية. يستخدم Word القالب Normal.dotm:
C: \ Users \ [اسم المستخدم] \ AppData \ Roaming \ Microsoft \ Templates \ Normal.dotm .
لا يوجد قالب افتراضي في Excel ، ولكن يمكنك إضافته يدويًا وسيتم تحميله تلقائيًا:
C: \ Users \ [اسم المستخدم] \ AppData \ Roaming \ Microsoft \ Excel \ XLSTART \ Personal.xls .
لا يمكن تنفيذ الهجوم إلا إذا تم تمكين خيار "
تشغيل كافة وحدات الماكرو " في مركز توثيق Office:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ [الإصدار] \ [التطبيق] \ الأمان \ VBAWarnings: 1 ؛• يؤدي وضع ارتباط DLL في قسم اختبار Office في سجل Windows إلى تنفيذ DLL المحدد في كل مرة يبدأ فيها تطبيق Office:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office Test \ Special \ Perf \ [افتراضي]: [حدد المسار إلى ملف DLL] ؛• إضافة وظائف إضافية إلى تطبيق Office باستخدام شفرة ضارة سيتم تنفيذها عند بدء تشغيل التطبيق المهاجم.
أفضل ممارسات الأمان : اتبع
أفضل ممارسات Microsoft عند تكوين إعدادات أمان الماكرو . لمنع تشغيل آلية اختبار Office ، قم بإنشاء القسم المحدد في التسجيل وقم بتعيين أذونات القراءة فقط عليه لمنع الوصول إليه بدون حقوق المسؤول. إذا أمكن ، قم بتعطيل وظائف Office الإضافية ، إذا كنت بحاجة إليها ، فاتبع
توصيات Microsoft عند تنظيم عملها.
النظام: Windows
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: أسلوب اعتراض المسار هو وضع الملف القابل للتنفيذ في دليل يقوم التطبيق بتشغيله بدلاً من الملف الهدف. يمكن للمهاجم استخدام الأساليب التالية:
- مسارات غير موجودة. يتم تخزين المسارات إلى الملفات القابلة للتنفيذ الخاصة بالخدمة في مفاتيح التسجيل ويمكن أن تحتوي على مسافة أو أكثر ، على سبيل المثال ، C: \ Program Files \ service.exe ، إذا قام المهاجم بإنشاء الملف C: \ Program.exe في النظام ، فسيبدأ Windows في تشغيله بدلاً من معالجة المسار ملف هدف الخدمة.
- التكوين غير الصحيح لمتغيرات البيئة. إذا كان المسار C: \ example في متغير PATH يسبق c: \ Windows \ System32 وكان الملف C: \ example \ net.exe موجودًا ، فعندما يتم استدعاء الأمر net ، سيتم تنفيذ C: \ example \ net.exe ، وليس c: \ Windows \ System32 \ net.exe .
- اعتراض أمر البحث (اختطاف أمر البحث). عندما لا يتم تحديد المسار الكامل للملف القابل للتنفيذ ، يقوم Windows ، كقاعدة ، بالبحث عن الملف بالاسم المحدد في الدليل الحالي ، ثم يبحث في دلائل النظام. على سبيل المثال ، الملف "example.exe" ، عند تنفيذه ، يبدأ cmd.exe باستخدام وسيطات لتنفيذ الأمر net use. يمكن للمهاجم وضع ملف net.exe في دليل موقع example.exe وسيتم تشغيله بدلاً من الأداة المساعدة c: \ Windows \ System32 \ net.exe . بالإضافة إلى ذلك ، إذا وضع المهاجم ملف net.com في الدليل بملف net.exe ، فسيقوم Windows بتنفيذ net.com وفقًا لأمر التنفيذ المحدد في متغير نظام PATHEXT.
يتم استخدام اعتراض ترتيب البحث عن الملفات أيضًا في تنفيذ مكتبات DLL باستخدام تقنية Search Hijacking DLL .توصيات الأمان: تشير علامات الاقتباس إلى المسارات المحددة في ملفات التكوين والبرامج النصية ومتغير PATH وإعدادات الخدمة والاختصارات. تذكر ترتيب البحث للملفات القابلة للتنفيذ واستخدم المسارات الكاملة فقط. قم بتنظيف مفاتيح التسجيل القديمة المتبقية من البرنامج البعيد حتى لا تترك أي مفاتيح في التسجيل تشير إلى الملفات غير الموجودة. إنشاء حظر على الكتابة من قبل مستخدمي النظام إلى الدليل الجذر C: \ ودلائل نظام Windows ، وقصر أذونات الكتابة على الدلائل بالملفات القابلة للتنفيذ.
النظام: macOS
الحقوق: المستخدم ، المسؤول
الوصف: يمكن للمهاجمين تعديل ملفات plist من خلال تحديد التعليمات البرمجية الخاصة بهم لتنفيذها في سياق مستخدم آخر. يتم تشغيل ملفات خاصية plist الموجودة في
/ Library / Preferences بامتيازات عالية ، ويتم تشغيل ملفات plist من
~ / Library / Preferences بامتيازات المستخدم.
نصائح أمنية
: امنع تعديل ملفات plist من خلال جعلها للقراءة فقط.
النظام: Linux و macOS
الحقوق: المستخدم
الوصف: يمكن للمهاجمين استخدام طرق Knocking Port لإخفاء المنافذ المفتوحة التي يستخدمونها للاتصال بالنظام.
نصائح
أمنية: يمكن أن يمنع استخدام جدران الحماية ذات الحالة من تنفيذ بعض خيارات طرقة المنفذ.
النظام: Windows
الحقوق: مسؤول النظام
الوصف: يمكن للمهاجم ترتيب تنفيذ ملف DLL تعسفي نيابة عن النظام في كل مرة يتم فيها تشغيل Windows باستخدام إساءة استخدام إعدادات إدارة الطباعة (Spoolsv.exe). للتفاعل مع أجهزة الطباعة ، يستخدم Spoolsv.exe ما يسمى بمراقبة المنفذ - وهي مكتبات DLL التي تستخدم أوامر منخفضة المستوى لإرسالها إلى أجهزة الطباعة عبر LAN أو USB أو LPT أو واجهة COM. يتم تخزين ملفات DLL المذكورة أعلاه في
C: \ windows \ system32 ويتم تسجيلها في التسجيل:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Print \ Monitors .
يمكن تثبيت Port Monitor باستخدام واجهة برمجة تطبيقات AddMonitor أو مباشرة عن طريق تحرير مفتاح التسجيل أعلاه.
توصيات الحماية: تنظيم حظر البرامج التي يحتمل أن تكون خطرة واستخدام أدوات التحكم في تشغيل التطبيق.
النظام: macOS
الحقوق: الجذر
الوصف: يمكن للمهاجم إضافة رمز إلى ملف
/etc/rc.common الذي سيتم تنفيذه في كل مرة يقوم فيها النظام بالتمهيد كجذر. Rc.common هو برنامج نصي يتم تشغيله أثناء تمهيد OC ، وهو رائد وكلاء التشغيل و Launh Deamons. هذه تقنية قديمة لبرامج التشغيل التلقائي ، لكنها لا تزال مدعومة على نظامي macOS و OS X.
توصيات الأمان: تقييد امتيازات المستخدم لتحرير ملف rc.common.
النظام: macOS
الحقوق: المستخدم
الوصف: في الأنظمة التي تبدأ بـ
OS X 10.7 (Lion) ، يمكن للمهاجم تنظيم تنفيذ ملف ضار في كل مرة يتم فيها إعادة تشغيل نظام التشغيل. تعتمد التقنية على إساءة استخدام وظيفة إعادة تشغيل التطبيقات بعد إعادة تشغيل النظام. باستخدام الأدوات المضمنة في واجهة المستخدم الرسومية ، يمكن للمستخدم إخبار النظام بالتطبيقات التي يجب إعادة تشغيلها في حالة إعادة تشغيل نظام التشغيل. يتم تخزين هذه الإعدادات في ملفات plist:
- ~ / Library / Preferences / com.apple.loginwindow.plist ؛
- ~ / Library / Preferences / ByHost / com.apple.loginwindows. *. Plist.
يمكن للمهاجم تعديل الملفات أعلاه لتنفيذ تعليمات برمجية ضارة في كل مرة يتم فيها إعادة تشغيل النظام.
توصيات الحماية: يمكن تعطيل وظيفة إعادة تشغيل التطبيق باستخدام أمر وحدة التحكم:
الإعدادات الافتراضية write -g ApplePersidence -bool no .
بالإضافة إلى ذلك ، يؤدي الضغط باستمرار على مفتاح shift أثناء التمهيد إلى منع التطبيقات من بدء التشغيل تلقائيًا.
النظام: Windows و Linux و macOS
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يمكن للمهاجمين في وقت واحد استخدام العديد من أدوات الوصول عن بعد مع بروتوكولات تحكم مختلفة من أجل تنويع مخاطر الكشف. لذا ، إذا تم الكشف عن إحدى أدوات الوصول عن بُعد وحظرها ، ولكن الطرف المدافع لم يحدد جميع أدوات المهاجم ، فسيظل الوصول عن بُعد إلى الشبكة التي تم الهجوم عليها محفوظًا. قد يحاول المهاجمون أيضًا الوصول إلى حسابات صالحة لخدمات الشركات البعيدة ، مثل شبكات VPN ، للحصول على وصول بديل إلى النظام في حالة حظر الأدوات الأساسية للوصول عن بُعد. يعد استخدام shell-web أيضًا إحدى طرق الوصول إلى شبكة عن بُعد من خلال خادم ويب.
توصيات الحماية: راقب وجود وحظر إطلاق أدوات الوصول عن بُعد المعروفة في شبكتك (AmmyAdmin و Radmin و RemotePC و VNC وما إلى ذلك) ، استخدم الأدوات للتحكم في تشغيل التطبيق وحظر البرامج التي يحتمل أن تكون خطرة. سيؤدي إدخال أنظمة IDS و IPS التي تكشف عن برامج ضارة معينة باستخدام التوقيعات إلى تقليل احتمالية حدوث هجوم ناجح ، ولكن بمرور الوقت ، سيعدل المهاجمون أدواتهم لتغيير التوقيع ، ونتيجة لذلك ، يتخطون أنظمة IDS و IPS.
النظام: Windows
الحقوق: المستخدم ، المسؤول
الوصف: يمكن للمهاجم إضافة "مفاتيح تشغيل" أو ارتباط إلى مجلد بدء التشغيل في تسجيل Windows لتشغيل ملف ضار عندما يقوم المستخدم بتسجيل الدخول إلى النظام. سيتم تنفيذ البرنامج مع حقوق المستخدم الحالي. يمكن للمهاجمين إخفاء مفاتيح بدء التشغيل في التسجيل بحيث تبدو وكأنها جزء من البرامج الشرعية.
يتم تخزين مفاتيح التشغيل في مفاتيح التسجيل التالية:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run ؛
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce ؛
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run ؛
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce.
توصيات الحماية: تحديد البرامج التي يحتمل أن تكون خطرة وحظرها ، ومراقبة التغييرات في مجلد بدء التشغيل وفروع التسجيل المذكورة أعلاه.
النظام: Windows
الحقوق: مسؤول النظام
الوصف: يمكن للمهاجمين تعديل مكونات البنية للتوقيع والتحقق من التوقيع الرقمي لرمز Windows لتجاوز وسائل التحكم في تشغيل البرامج التي تسمح بتشغيل التعليمات البرمجية الموقعة فقط. لإنشاء وتوقيع والتحقق من توقيع ملفات التنسيقات المختلفة في Windows ، يتم استخدام ما يسمى
حزمة واجهة الموضوع (SIP) - مواصفات البرامج الفريدة لكل نوع من الملفات ، والتي من خلالها التفاعل بين وظائف واجهة برمجة التطبيقات التي تبدأ إنشاء وحساب والتحقق من التوقيعات وبشكل مباشر الملفات. يتم تأكيد صحة التوقيع من قبل ما يسمى
بمزود الثقة - وهي مكونات برمجية لنظام التشغيل تقوم بإجراءات مختلفة تتعلق بحساب التوقيعات الرقمية والتحقق منها.
طرق الهجوم الشعبية:
- تعديل مفاتيح DLL و FuncName في قسم CryptSIPDllGetSignedDataMsg :
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ OID \ EncodingType 0 \ CryptSIPDllGetSignedDataMsg \ [SIP_GUID] .
يتم تنفيذ ذلك لاستبدال مكتبة DLL التي توفر دالة CryptSIPDllGetSignedDataMSG ، والتي تقوم بإرجاع الشهادة الرقمية المشفرة من الملف الموقع. يمكن للدالة المزيفة دائمًا إرجاع قيمة توقيع صالحة معروفة سابقًا (على سبيل المثال ، توقيع Microsoft لملفات النظام القابلة للتنفيذ) عند استخدام SIP المعدل. قد يحاول المهاجم تطبيق توقيع واحد صالح لجميع الملفات ، ومع ذلك ، على الأرجح ، سيؤدي ذلك إلى إلغاء صلاحية التوقيع ، لأن التجزئة التي تم إرجاعها بواسطة الوظيفة لن تتطابق مع التجزئة المحسوبة من الملف. - تعديل مفاتيح DLL و FuncName في القسم:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ OID \ EncodingType 0 \ CryptSIPDllVerifyIndirectData / [SIP_GUID] .
يتم إجراؤه لاستبدال مكتبة DLL التي توفر وظيفة CryptSIPDllVerifyIndirectData ، التي تتحقق من التجزئة التي تم حسابها من الملف باستخدام التجزئة المحددة في التوقيع الرقمي وترجع نتيجة التحقق (True / False). وبالتالي ، يمكن للمهاجم ضمان التحقق بنجاح من أي ملف باستخدام SIP المعدل. يمكن إعادة توجيه القيم الرئيسية المذكورة أعلاه إلى وظيفة مناسبة من مكتبة موجودة ، مما يلغي الحاجة إلى إنشاء ملف DLL جديد على القرص. - تعديل مفاتيح DLL و FuncName في القسم:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ Providers \ Trust \ FinalPolicy / [Trust Provider GUID] .
الغرض من ذلك هو استبدال مكتبة DLL التي توفر وظيفة FinalPolicy لمزود ثقة معين ، والذي يقوم بفك تشفير وتحليل التوقيع واتخاذ قرار بشأن الثقة. على غرار CryptSIPDllVerifyIndirectData ، يمكن إعادة توجيه قيمة المفاتيح المذكورة أعلاه إلى ملف DLL موجود.
من المهم ملاحظة أنه يمكن تنفيذ الهجوم الموصوف على آلية ثقة Windows باستخدام تقنية اختطاف ترتيب بحث DLL.توصيات الحماية: تأكد من أن مستخدمي النظام المحمي لا يمكنهم تعديل مفاتيح التسجيل المتعلقة بمكونات SIP و Trust Provider. ضع في اعتبارك إزالة SIPs غير الضرورية والمتقادمة. استخدم جميع أنواع الوسائل لمنع تنزيل ملفات DLL الضارة ، على سبيل المثال ، تلك المضمنة في Windows AppLocker و DeviceGuard.
النظام: Windows
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يمكن استخدام الأدوات المساعدة مثل at و schtasks و Windows Task Scheduler لجدولة البرامج والنصوص البرمجية ليتم تشغيلها في تاريخ ووقت محددين. يمكن جدولة مهمة على نظام بعيد ، شريطة استخدام RPC للمصادقة وتمكين مشاركة الملفات والطابعات. تتطلب جدولة المهام على نظام بعيد امتيازات المسؤول. يمكن للمهاجم استخدام تنفيذ التعليمات البرمجية عن بُعد للحصول على امتيازات النظام أو لبدء عملية تحت حساب محدد.
توصيات الحماية: تقييد امتيازات المستخدم. استخدام الأدوات ، مثل وحدة PowerUP في PowerSploit ، والتي يمكن استخدامها للعثور على نقاط الضعف في حل المهام المجدولة. تعطيل القدرة على بدء المهام نيابة عن النظام ، وتعطيل الخيار "
السماح لمشغلي الخادم بجدولة المهام " في سياسة الأمان ، وإعداد "
تعيين حقوق المستخدم: زيادة أولوية الجدولة "
النظام: Windows
الحقوق: المستخدم
الوصف: يمكن للمهاجمين استخدام إعدادات شاشة التوقف لتشغيل البرامج الضارة بعد فترة معينة من عدم نشاط المستخدم.
يقع تطبيق Windows Screensaver (scrnsave.exe) في
C: \ Windows \ System32 ، إلى جانب شاشات التوقف الأخرى المضمنة في تجميع نظام التشغيل الأساسي. يمكن للمهاجم معالجة معلمات شاشة البداية في
مفتاح التسجيل
HKEY_CURRENT_USER \ Control Panel \ Desktop :
- SCRNSAVE.EXE - تحديد المسار إلى الملف القابل للتنفيذ الضار ؛
- ScreenSaveActivr - قم بتعيين القيمة إلى "1" لتنشيط شاشة التوقف ؛
- ScreenSaverISSecure - قم بتعيين القيمة على "0" بحيث لا يتطلب النظام كلمة مرور لإلغاء تأمين سطح مكتب Windows بعد إيقاف شاشة التوقف ؛
- ScreenSaverTimeout - قم بتعيين فترة عدم النشاط قبل بدء شاشة التوقف.
توصيات الحماية: قم بحظر القدرة على تشغيل ملفات * .scr من مواقع غير قياسية. إدارة إعدادات شاشة التوقف الخاصة بك باستخدام "نهج المجموعة" ، الذي يمنع التغييرات المحلية على إعدادات شاشة التوقف الخاصة بك.
النظام: Windows
الحقوق: المسؤول
الوصف: يمكن للمهاجمين تكوين تعليمات برمجية ضارة ليتم تنفيذها في كل مرة يتم فيها تشغيل النظام أو استدعاء وظيفة AddSecurityPackage API عن طريق إضافة موفر دعم أمان مزيف (SSP) إلى تكوين هيئة الأمان المحلية (LSA). SSP - وحدات البرنامج (DLL) التي تحتوي على واحد أو أكثر من أنظمة المصادقة والتشفير التي يتم تحميلها في عملية LSASS عند بدء تشغيل النظام. DLLs SPP لديها حق الوصول إلى كلمات المرور المشفرة والنصية المخزنة في Windows. يتم تخزين تكوين SPP في مفتاحي تسجيل:
- حزم HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Security ؛
- حزم HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ OSConfig \ Security .
توصيات الحماية: في Windows 8.1 و Windows Server R2 والإصدارات الأحدث من نظام التشغيل ، يجب تنشيط الوضع المحمي LSA (Process Protect Light - PPL) ، حيث يجب أن يتم توقيع جميع ملفات SPP DLL رقميًا بواسطة Microsoft:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL = dword: 00000001النظام: Windows
الحقوق: مسؤول النظام
الوصف: إذا كانت أذونات المستخدمين والمجموعات تسمح بتغيير قيم المفاتيح في سجل Windows حيث يتم تخزين معلمات الخدمة ، فيمكن للمهاجمين تعديل المفاتيح التي تخزن المسارات مباشرة إلى الملفات القابلة للتنفيذ لبدء تشغيل الخدمات أو استخدام أدوات إدارة الخدمة المتنوعة - sc.exe أو PowerShell أو ريج. يمكن للمهاجمين أيضًا تغيير المعلمات المتعلقة بفشل الخدمة ، على سبيل المثال ، FailureCommand ، مما يشير إلى أمر سيتم تنفيذه في حالة فشل الخدمة أو تلف متعمد. يتم تخزين معلمات الخدمة في خدمات
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ .
توصيات الحماية: تأكد من أن مستخدمي النظام المحمي لا يمكنهم تغيير المفاتيح في التسجيل التي تخزن معلمات مكونات النظام. استخدم جميع الوسائل الممكنة لحظر البرامج التي يحتمل أن تكون خطرة ، على سبيل المثال ، Windows AppLocker.النظام: حقوق Windows : المستخدم ، المسؤولالوصف: يمكن للمهاجمين إنشاء اختصارات جديدة وروابط رمزية مخفية كبرامج شرعية أو تعديل المسارات في الاختصارات الموجودة بحيث يتم تشغيل أدواتهم بدلاً من التطبيق الأصلي.توصيات الأمان: تحديد حقوق المستخدمين والمجموعات ، مثل المسؤولين ، لإنشاء ارتباطات رمزية باستخدام GPO:تكوين الكمبيوتر> [السياسات]> إعدادات Windows> إعدادات الأمان> السياسات المحلية> تعيين حقوق المستخدم: إنشاء ارتباطات رمزية.استخدم الأدوات لحظر البرامج الخطرة المحتملة وسياسة تقييد البرامج.النظام: حقوق macOS :وصف المسؤول : يمكن للمهاجم استخدام آلية macOS Sierra المتقادمة ، مع استمرار تشغيلها ، لتشغيل التطبيقات تلقائيًا باستخدام StartupItems لتكوين تشغيل التعليمات البرمجية بامتيازات الجذر في وقت التمهيد. StartupItems هو دليل في / Library / Startupitems ونص برمجي للأوامر وملف خصائص StartupParameters.plist. يجب أن يكون ملف البرنامج النصي والخصائص في أعلى التسلسل الهرمي: / Library / Startupitems / [MyStartupItem] .توصيات الحماية: نظرًا لأن آلية StartupItems قديمة ، فإن حظر الكتابة إلى / Library / Startupitems / directory سيسمح لك بتجنب إنشاء عناصر بدء التشغيل.النظام: حقوق Windows : المسؤول ،وصف النظام : يمكن للمهاجمين المحنكين بشكل خاص تعديل أو إعادة تحميل ملفات Bios أو UIFI أو UFI لتوفير القدرة على تثبيت تحديثات البرامج الثابتة الضارة وإصلاحها في النظام.توصيات الحماية: قم بتوجيه ناقل الحماية لمنع المهاجم من الوصول إلى الحسابات المميزة اللازمة لتنفيذ التقنية الموضحة. ضع في الاعتبار الحاجة إلى وحدة النظام الأساسي الموثوق به (TPM) وإمكانية تطبيقها في النظام المحمي . ضع في اعتبارك الحاجة إلى استخدام أدوات خارجية لرصد وتحليل أمان البرامج الثابتة للنظام ، على سبيل المثال ، إطار عمل CHIPSEC .النظام: حقوق Windows : المسؤول ،وصف النظام : يمكن للمهاجمين التسجيل كمزود للوقت (مزود الوقت) DLL ضار يتم تنفيذه عند بدء تشغيل النظام أو تغيير تكوين خادم الوقت في Windows (W32Time). يتم تخزين معلمات موفري الوقت في التسجيل:HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ W32Time \ TimeProviders .لتسجيل مزود الوقت ، ستحتاج إلى حقوق المسؤول ، ولكن سيتم تنفيذه في سياق حساب الخدمة المحلي.توصيات الحماية:ضع في اعتبارك استخدام GPO لتكوين تغييرات الحظر على إعدادات W32Time. استخدم جميع أنواع الوسائل لمنع تنزيل ملفات DLL الضارة ، على سبيل المثال ، تلك المضمنة في Windows AppLocker و DeviceGuard.النظام: حقوق Linux و macOS : المستخدم والمسؤولالوصف: يُستخدم الأمر trap لحماية البرنامج النصي من المقاطعات ( ctrl + c و ctrl + d و ctrl + z وما إلى ذلك). إذا تلقى البرنامج النصي إشارة مقاطعة محددة في وسيطات الأمر trap ، فإنه يعالج إشارة المقاطعة من تلقاء نفسه ، في حين أن shell لن يعالج مثل هذه الإشارة. يمكن للمهاجمين استخدام المصيدة لتسجيل الشفرة التي سيتم تنفيذها عندما تتلقى القشرة إشارات مقاطعة معينة.توصيات الحماية:من الصعب منع استخدام هذه التقنية ، لأن المهاجم يستخدم الآليات القياسية لنظام التشغيل. يجب أن يهدف ناقل الحماية إلى منع الأعمال الضارة في المراحل المبكرة من الهجوم ، على سبيل المثال ، في مرحلة التسليم أو إنشاء ملف ضار في النظام.الوصف: يمكن للمهاجمين سرقة بيانات اعتماد حساب مستخدم أو خدمة معينة باستخدام بيانات اعتماد الوصول ، والتقاط بيانات الاعتماد في عملية الاستخبارات باستخدام الهندسة الاجتماعية. يمكن استخدام بيانات الاعتماد المخترقة لتجاوز أنظمة التحكم في الوصول والوصول إلى الأنظمة البعيدة والخدمات الخارجية ، مثل VPN و OWA و Remote Desktop أو للحصول على امتيازات عالية على أنظمة ومناطق محددة من الشبكة. إذا نجح السيناريو ، يمكن للمهاجمين رفض البرامج الضارة لجعل من الصعب اكتشافها. أيضًا ، يمكن للمهاجمين إنشاء حسابات باستخدام أسماء وكلمات مرور محددة مسبقًا للحفاظ على الوصول الاحتياطي في حالة محاولات فاشلة لاستخدام وسائل أخرى.توصيات الحماية: قم بتطبيق سياسة كلمة المرور ، واتبع التوصيات لتصميم وإدارة شبكة الشركة للحد من استخدام الحسابات المميزة على جميع المستويات الإدارية. التحقق المنتظم من المجال والحسابات المحلية وحقوقهم من أجل تحديد تلك التي يمكن أن تسمح للمهاجمين بالوصول على نطاق واسع. مراقبة نشاط الحساب باستخدام أنظمة SIEM.النظام: Windows ، Linux ، macOSالوصف: يمكن للمهاجم استخدام Web Shell كبوابة للوصول إلى شبكتك أو الوصول الزائد إلى النظام الذي تمت مهاجمته ، كآلية نسخ احتياطي للتأمين في حالة اكتشاف قنوات الوصول الرئيسية إلى البيئة المهاجمة وحظرها.توصيات الحماية:تأكد من تحديث خوادم الويب الخارجية بانتظام وعدم وجود ثغرات معروفة تسمح للمهاجمين بتحميل ملف أو نص برمجي إلى الخادم مع التنفيذ اللاحق. تحقق من أن أذونات الحسابات والمجموعات التي لها حقوق إدارة الخادم لا تتطابق مع الحسابات الموجودة على الشبكة الداخلية التي يمكن استخدامها لتسجيل الدخول إلى خادم الويب أو تشغيل shell على الويب أو التثبيت على خادم الويب. يصعب اكتشاف Web Shell بسبب إنهم لا يبدؤون الاتصالات ويمكن أن يكون جانب الخادم الخاص بهم صغيرًا وغير ضار ، على سبيل المثال ، يبدو إصدار PHP الخاص بـ Chopper Web shell مثل السطر:[؟ php Eval ($ _POST ['password'])؛]النظام: حقوق Windows : Administrator ،وصف النظام : WMI Event Subscription هي وظيفة تسمح للمسؤول بتكوين استلام إشعارات الأحداث ، بما في ذلك تلك التي حدثت على الأنظمة البعيدة ، متبوعة بالتنفيذ التلقائي لأي إجراءات (تشغيل برنامج نصي ، تطبيق الخ). المهاجمون ، من أجل الحصول على موطئ قدم في النظام ، قد يسيئون استخدام الوظائف الموضحة أعلاه عن طريق إعداد اشتراك لأحداث مثل ساعة النظام أو وقت تشغيل الكمبيوتر ، متبوعًا بتنفيذ التعليمات البرمجية عند حدوث هذا الحدث.توصيات الحماية:تأكد من أن حسابات المسؤول فقط لها الحق في الاتصال عن بعد بـ WMI ، وأنه في النظام المحمي لا توجد مصادفة لحسابات مسؤول النظام مع حسابات أخرى مميزة. تعطيل WMI يمكن أن يسبب عدم استقرار النظام ، وبالتالي ، يتطلب تقييم أولي للعواقب السلبية المحتملة.النظام: حقوق Windows : المسؤول ،وصف النظام : من خلال تعديل معلمات مكتبات DLL المساعدة التي يستخدمها Winlogon.exe ، يمكن للمهاجم توفير عمليات تنفيذ متعددة لملفات DLL الضارة لإصلاحها في النظام. يتم تخزين معلمات Winlogon في أقسام:- • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
- • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
تُعرف العديد من الأقسام الفرعية الضعيفة:- Winlogon \ Notify - تحديد ملفات DLL التي تتعامل مع أحداث Windows
- Winlogon \ Userinit - يشير إلى ملف userinit.exe ، برنامج تهيئة المستخدم الذي يتم تنفيذه عندما يقوم المستخدم بتسجيل الدخول إلى النظام ؛
- Winlogon \ Shell - يشير إلى ملف explorer.exe ، هيكل النظام الذي يتم تنفيذه عندما يقوم مستخدم بتسجيل الدخول إلى النظام.
توصيات الحماية: تأكد من أن المسؤولين المخولين فقط يمكنهم تغيير إعدادات Winlogon. استخدم جميع أنواع الوسائل لمنع تنزيل ملفات DLL الضارة والبرامج التي يحتمل أن تكون خطرة ، على سبيل المثال ، تلك المضمنة في Windows AppLocker و DeviceGuard.