روابط لجميع الأجزاء:الجزء 1. الحصول على الوصول الأولي (الوصول الأولي)الجزء 2. التنفيذالجزء 3. الربط (الثبات)الجزء 4. امتياز التصعيدالجزء 5. الدفاع التهربالجزء 6. الحصول على بيانات الاعتماد (الوصول إلى بيانات الاعتماد)الجزء 7. الاكتشافالجزء 8. الحركة الجانبيةالجزء 9. جمع البيانات (جمع)الجزء 10الجزء 11. القيادة والسيطرةبعد حصوله ، نتيجة للتسوية الأولية ، على الوصول إلى النظام ، يجب على الخصم "أن ينظر حولي" ، ويدرك أنه يتحكم الآن في الفرص المتاحة له وما إذا كان هناك وصول حالي كافي لتحقيق هدف تكتيكي أو نهائي. وتسمى هذه المرحلة من الهجوم "Discovery" (المهندس.
Discovery - "الاكتشاف العلمي" ، "الكشف" ، "التعرض").
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، كما يعتذر عن عدم الدقة المحتملة في بعض الصياغات والمصطلحات. المعلومات المنشورة هي إعادة سرد مجانية لمحتويات MITER ATT & CK .تحتوي أنظمة التشغيل على العديد من الأدوات المدمجة التي يمكن للخصم من خلالها التحقيق في المحيط الداخلي للشبكة التي تمت مهاجمتها بعد اختراقها. في Windows ، يمكن استخدام التفاعل المباشر مع وظائف Windows API و WMI و PowerShell لجمع المعلومات.
يستخدم المهاجم طرق الكشف أثناء دراسة البيئة المهاجمة ، لذلك ، ينبغي اعتبار تحديد هذا النشاط جزءًا من سلسلة الهجوم ، متبوعة بمحاولات للنهوض بالعدو عبر الشبكة.
كتدبير يهدف إلى تحديد النشاط الموصوف أعلاه في الأنظمة المحمية ، يوصى بمراقبة العمليات وسيطات سطر الأوامر التي يمكن استخدامها في جمع المعلومات حول نظام أو شبكة. تتمثل التوصية العامة لمنع إمكانية إجراء تحقيق داخلي غير مصرح به للنظام والشبكة المحمية في مراجعة وجود أدوات النظام غير الضرورية والبرامج التي يحتمل أن تكون خطرة والتي يمكن استخدامها لدراسة البيئة المحمية واستخدام الأدوات لمنع إطلاقها ، على سبيل المثال AppLocker أو سياسات تقييد البرامج (تقييد البرامج) السياسات).
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: قد يحاول المهاجمون الحصول على قائمة بالحسابات على النظام أو المجال المحلي.
نوافذللحصول على معلومات الحساب ، يمكن استخدام الأداة المساعدة
Net أو
Dsquery :
net user
net group
net localgroup
dsquery user
dsquery groupيمكن للمهاجم استخدام
"مالك النظام / اكتشاف المستخدم" للبحث عن المستخدم الأساسي أو المستخدم الحالي للنظام أو مجموعة من المستخدمين الذين يستخدمون النظام عادةً.
ماكفي نظام Mac ، يمكن الحصول على مجموعات المستخدمين باستخدام أوامر
المجموعات والمعرّف . يمكن أيضًا سرد مجموعات المستخدمين والمستخدمين باستخدام الأوامر التالية:
dscl . list /Groups
dscacheutile -q groupلينكسعلى نظام Linux ، يمكن الحصول على المستخدمين المحليين من الملف
/ etc / passwd ، والذي يمكن قراءته من قبل جميع المستخدمين. في نظام Mac ، يتم استخدام نفس الملف فقط في وضع المستخدم المفرد بالإضافة إلى ملف
/etc/master.passwd . بالإضافة إلى ذلك ، فإن
المجموعات وأوامر
المعرفات متاحة أيضًا على نظام Linux.
توصيات الحماية: منع إمكانية إدراج حسابات المسؤول عند رفع الامتيازات من خلال UAC ، حيث سيؤدي ذلك إلى الكشف عن أسماء حسابات المسؤول. يمكن تعطيل مفتاح التسجيل المقابل باستخدام GPO:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\
EnumerateAdministrators
GPO: Computer Configuration > [Policies] > Administrative Templates > Windows Components > Credential User Interface: Enumerate administrator accounts on elevation.النظام: ويندوز ، ماك
الحقوق: المستخدم
الوصف: قد يحاول المهاجمون الحصول على قوائم النوافذ المفتوحة بواسطة التطبيقات. قد تشير هذه القوائم إلى كيفية استخدام النظام هناك أو اكتشاف سياق المعلومات التي يتم جمعها بواسطة كلوغر. على جهاز Mac ، يمكن القيام بذلك باستخدام برنامج نصي AppleScript صغير.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: للعثور على أكبر قدر ممكن من المعلومات حول نظام مخترق ، يمكن للمهاجمين فحص الإشارات المرجعية لمستعرض المستخدم. يمكن أن تكشف الإشارات المرجعية عن معلومات شخصية عن المستخدمين (على سبيل المثال ، المواقع المصرفية ، والمصالح الشخصية ، والشبكات الاجتماعية ، وما إلى ذلك) ، فضلاً عن معلومات حول موارد الشبكة الداخلية للشبكة - الخوادم والأدوات ولوحات المعلومات وعناصر البنية الأساسية الأخرى. يمكن للخصم استخدام بيانات الاعتماد المخزنة مؤقتًا في المستعرض للوصول إلى خدمات المستخدم التي يتم تخزين عناوينها في الإشارات المرجعية للمستعرض. تعتمد مواقع تخزين الإشارات المرجعية على النظام الأساسي وخصائص التطبيقات ونظام التشغيل. عادة ما يتم تخزين الإشارات المرجعية في المتصفح كملفات أو قواعد بيانات محلية.
توصيات الحماية: نظرًا لأن تخزين المعلومات في الملفات يعد ميزة قياسية لنظام التشغيل ، فإن محاولات منع هذا النشاط لن تكون مناسبة. على سبيل المثال ، من المحتمل أن يؤدي تقييد الوصول إلى الملفات المرجعية للمتصفح إلى آثار جانبية غير مقصودة وتعطيل البرامج الشرعية. يجب أن تكون جهود الدفاع موجهة نحو منع إطلاق أدوات وأدوات المهاجمين في المراحل المبكرة من الهجوم.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يمكن للمهاجمين سرد الملفات والدلائل أو البحث عن معلومات محددة في مواقع محددة على المضيف أو على موارد الشبكة المشتركة.
نوافذأمثلة الأدوات المساعدة للحصول على معلومات حول الملفات والدلائل هي
dir و
tree . يمكن أيضًا استخدام الأدوات المخصصة من خلال التفاعل المباشر مع Windows API لجمع معلومات حول الملفات والدلائل.
لينكس وماكفي نظامي التشغيل Linux و macOS ، يتم استعراض الملفات والدلائل باستخدام الأوامر
ls والعثور عليها
وتحديد موقعها .
توصيات الحماية: بالنظر إلى أن تقديم المعلومات في شكل ملفات وأدلة هو ميزة قياسية لنظام التشغيل ، فإن محاولات قمع هذا النشاط لن تكون مناسبة. يجب أن تكون جهود الدفاع موجهة نحو منع إطلاق أدوات وأدوات المهاجمين في المراحل المبكرة من الهجوم.
النظام: ويندوز ، لينكس ، ماك
الحقوق: مسؤول النظام
الوصف: قد يحاول المهاجمون الحصول على قائمة بالخدمات التي تعمل على الأجهزة المضيفة البعيدة ، بما في ذلك الخدمات التي قد تكون عرضة لأدوات الوصول عن بُعد. تتضمن طرق الحصول على هذه المعلومات مسح المنافذ ونقاط الضعف باستخدام الأدوات التي تم تنزيلها على النظام.
تلميحات
الأمان: استخدم أنظمة IDS / IPS للكشف عن عمليات الفحص عن بُعد ومنعها. تأكد من إغلاق المنافذ غير الضرورية ، وإيقاف تشغيل الخدمات غير المستخدمة ، واحترام تجزئة الشبكة المناسبة لحماية الخوادم والأجهزة الهامة.
النظام: ويندوز ، ماك
الحقوق: المستخدم
الوصف: في الشبكات المحلية ، غالبًا ما توجد محركات أقراص ومجلدات مشتركة على الشبكة تتيح للمستخدمين الوصول إلى أدلة الشبكة الخاصة بدلائل الملفات الموجودة على أنظمة مختلفة. يمكن للمهاجمين البحث عن مجلدات ومحركات أقراص الشبكة المشتركة على الأنظمة البعيدة من أجل البحث عن مصادر البيانات المستهدفة وتحديد الأنظمة المحتملة لمزيد من الحركة على الشبكة.
نوافذتتم مشاركة الملفات على شبكات Windows باستخدام بروتوكول SMB. يمكن استخدام الأداة المساعدة
Net للحصول على معلومات من نظام بعيد عن وجود محركات أقراص الشبكة المشتركة فيها:
net view \remotesystemأو احصل على معلومات حول محركات أقراص الشبكة المشتركة على النظام المحلي:
net share .
ماكعلى نظام Mac ، يمكن عرض مشاركات الشبكة المثبتة محليًا باستخدام الأمر:
df -aH .
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن للمهاجم استخدام واجهة الشبكة في
وضع الرموز الصوتية (
الوضع "غير مسموع") ، حيث تقبل بطاقة الشبكة جميع الحزم بصرف النظر عمن يتم توجيههم إليه أو استخدام منافذ الامتداد (المنافذ المتطابقة) لالتقاط كمية كبيرة من البيانات المرسلة عبر شبكة سلكية أو الشبكات اللاسلكية.
قد تحتوي البيانات التي تم التقاطها أثناء استنشاق بيانات اعتماد تم إرسالها عبر اتصالات غير آمنة دون استخدام بروتوكولات التشفير. يمكن أيضًا استخدام هجمات متنوعة على خدمات اسم الشبكة مثل التسمم LLMNR / NBT-NS من خلال إعادة توجيه حركة المرور لجمع بيانات الاعتماد على مواقع الويب والوكلاء والأنظمة الداخلية. أثناء الاستماع إلى شبكة ، يمكن للخصم أيضًا الكشف عن معلومات التكوين المختلفة (تشغيل الخدمات ، أرقام الإصدارات ، عناوين IP ، أسماء المضيفين ، معرفات VLAN ، وما إلى ذلك) الضرورية لمزيد من الحركة على الشبكة و / أو تجاوز ميزات الأمان.
نصائح الأمان: تأكد من أن حركة المرور اللاسلكية مشفرة بشكل صحيح. إذا كان ذلك ممكنًا ، استخدم مصادقة Kerberos و SSL والمصادقة متعددة العوامل. مراقبة مفاتيح الشبكة لمنافذ الامتداد ، والتسمم ARP / DNS ، وتغيير تكوين جهاز التوجيه غير المصرح به. استخدم الأدوات لتحديد وحظر البرامج التي يحتمل أن تكون خطرة والتي يمكن استخدامها لاعتراض حركة مرور الشبكة وتحليلها.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: سياسة كلمة المرور على الشبكة هي وسيلة تضمن للمستخدمين استخدام كلمات مرور معقدة يصعب تخمينها أو كسرها باستخدام القوة الغاشمة. قد يحاول المهاجم الوصول إلى معلومات حول إعدادات سياسة كلمة المرور الخاصة بالشبكة التي تمت مهاجمتها من أجل إنشاء قائمة بكلمات المرور الشائعة المعروفة التي تفي بمتطلبات السياسة (على سبيل المثال ، إذا كانت السياسة بها كلمة مرور لا تقل عن 8 أحرف ، فلا تحاول استخدام كلمات المرور مثل pass123 أو لا تحقق أكثر من 3- 4 كلمات مرور لكل حساب ، إذا كان عدد المحاولات غير الناجحة يساوي 6) والبداية اللاحقة لاختيار القاموس لكلمات المرور. يمكن تطبيق سياسات كلمة المرور والكشف عنها على كل من Windows و Linux و macOS.
نوافذnet accounts
net accounts /domainلينكسchage -l
cat /etc/pam.d/comman-passwordماكpwpolicy getaccountpoliciesتوصيات الحماية: لا ينصح بمحاولات منع اكتشاف سياسة كلمة المرور بشكل مباشر ، حيث يجب أن تكون إعدادات سياسة كلمة المرور معروفة لجميع أنظمة ومستخدمي الشبكة. تأكد من أن سياسة كلمة المرور التي تستخدمها تجعل من الصعب إجبار كلمات المرور وعدم السماح باستخدام كلمات المرور الخفيفة جدًا. الطريقة الأكثر شيوعًا لتطبيق سياسة كلمة المرور على شبكة شركة هي تطبيق Active Directory.
إذا كانت هناك مهمة لاكتشاف النشاط الضار ، راقب عمليات الأدوات وسيطات سطر الأوامر التي تشير إلى محاولات تحديد سياسة كلمة المرور. قم بمطابقة هذا النشاط مع الأنشطة المشبوهة الأخرى للنظام المصدر لتقليل احتمالية وقوع حدث خطأ يتعلق بإجراءات المستخدم أو المسؤول. على الأرجح سيحاول الخصم تحديد معلمات سياسة كلمة المرور في المراحل المبكرة من الهجوم أو بالتزامن مع استخدام تقنيات أخرى لمرحلة التعريف والمراجعة.
النظام: ويندوز
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: قد يحاول المهاجمون جمع معلومات حول الأجهزة الطرفية المتصلة بأجهزة الكمبيوتر في الشبكة التي تمت مهاجمتها. يمكن استخدام هذه المعلومات لزيادة الوعي بالبيئة التي تمت مهاجمتها ويمكن استخدامها في التخطيط لمزيد من الإجراءات الضارة.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: يمكن للمهاجمين محاولة العثور على مجموعات الوصول المحلية أو المجال ودراسة إعدادات الأذونات الخاصة بهم.
نوافذيمكنك سرد مجموعات الوصول باستخدام الأداة المساعدة
Net :
net group /domain
ner localgroupلينكسفي نظام Linux ، يمكن تعداد المجموعات المحلية باستخدام أمر
المجموعات ، ويمكن تعداد مجموعات المجال باستخدام أمر
ldapsearch .
ماكعلى Mac ، يمكنك أن تفعل الشيء نفسه باستخدام الأوامر التالية:
dscacheutil -q - لمجموعات المجال ؛
dscl . -list /Groups dscl . -list /Groups -
dscl . -list /Groups المحلية.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: قد يحاول المعارضون الحصول على معلومات حول العمليات التي يتم تشغيلها من النظام من أجل الحصول على معلومات حول البرنامج الذي يعمل على أنظمة الشبكة التي تمت مهاجمتها.
نوافذمثال عن كيفية الحصول على معلومات حول العمليات في Windows هي الأداة المساعدة لنظام
Tasklist .
ماك ولينكسفي نظامي التشغيل Mac و Linux ، يتم ذلك باستخدام الأمر
ps .
النظام: ويندوز
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: يمكن للمهاجمين التفاعل مع سجل Windows لجمع معلومات حول النظام والتكوين والبرامج المثبتة. يحتوي السجل على قدر كبير من المعلومات حول نظام التشغيل والتكوين والبرامج والأمان. قد تساعد بعض المعلومات الخصم في تنفيذ مزيد من العمليات في الشبكة التي تمت مهاجمتها. يمكن أن يحدث التفاعل مع السجل باستخدام أدوات مساعدة متنوعة ، على سبيل المثال ،
Reg أو عن طريق تشغيل أدوات الجهة الخارجية التي تستخدم Windows API.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: ربما يحاول الخصم الحصول على قائمة بالأنظمة في الشبكة التي تمت مهاجمتها. يمكن اكتشاف الأنظمة البعيدة عن طريق عنوان IP أو اسم المضيف أو معرف آخر ، والذي يمكن استخدامه لاحقًا لدفع مهاجم عبر الشبكة من النظام الحالي. يمكن تضمين الوظيفة المقابلة في أدوات الوصول عن بعد (RAT) ، ويمكن أيضًا استخدام الأدوات المساعدة للنظام المدمجة.
نوافذأوامر
ping أو
net view .
ماكيستخدم بروتوكول
Bonjour للكشف عن أنظمة Mac داخل مجال البث. يمكن أيضًا استخدام الأدوات المساعدة مثل
ping لجمع معلومات حول الأنظمة البعيدة.
لينكسيمكن أيضًا استخدام الأدوات المساعدة مثل ping لجمع معلومات حول الأنظمة البعيدة.
النظام: ويندوز ، ماك
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: قد يحاول المهاجمون الحصول على قوائم برامج الأمان والتكوينات وأجهزة الاستشعار المثبتة في النظام. قد يكون هدف الخصم هو أشياء مثل قواعد جدار الحماية المحلية ، ومكافحة الفيروسات ، وأدوات المحاكاة الافتراضية. يمكن تضمين هذه الاختبارات في أدوات الوصول عن بعد (RATs) المستخدمة في المراحل المبكرة من الهجوم.
نوافذأمثلة على الأوامر التي يمكن استخدامها للحصول على معلومات حول أدوات الأمان هي أدوات المساعدة
netsh و استعلام reg و dir وقائمة
المهام ، ولكن يمكن أيضًا استخدام أدوات أخرى أكثر تحديدًا لتعريف أنظمة أمان معينة يبحث عنها الخصم.
ماكمن الطرق الشائعة للتحقق من البرامج الضارة استخدام
LittleSnitch و
KnockKnock .
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: قد يحاول الخصم الحصول على معلومات مفصلة حول نظام التشغيل والأجهزة ، بما في ذلك البنية والإصدار والتصحيحات وحزم الخدمة المثبتة.
نوافذأمثلة عن الأدوات المساعدة للحصول على معلومات النظام هي
ver و systeminfo و
dir لتحديد معلومات النظام استنادًا إلى الملفات والدلائل الموجودة.
ماكيوفر الأمر
systemsetup معلومات مفصلة عن النظام ، لكنه يتطلب امتيازات إدارية. بالإضافة إلى ذلك ،
يقدم system_profiler تحليلًا تفصيليًا للتكوينات وقواعد جدار الحماية ووحدات التخزين المحمّلة والأجهزة وغيرها من الأشياء الأخرى دون الحاجة إلى تصعيد الامتياز.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: سوف يبحث المهاجم على الأرجح عن معلومات مفصلة حول تكوين الشبكة ومعلمات النظام التي يمكنه الوصول إليها أو من خلال دراسة الأنظمة البعيدة. يمكن استخدام بعض الأدوات المساعدة المصممة لإدارة نظام التشغيل لجمع المعلومات المذكورة أعلاه. أمثلة على هذه الأدوات المساعدة:
arp ، ipconfig / ifconfig ، nbtstat ، المسار ، tracert / tracerout ، إلخ.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم ، المسؤول
الوصف: قد يحاول المهاجمون الحصول على قائمة باتصالات الشبكة الواردة والصادرة لنظام مخترق يمكنهم الوصول إليه ، أو نظام بعيد ، يطلبون معلومات عبر الشبكة.
نوافذالأدوات المساعدة والأوامر للحصول على معلومات حول اتصالات الشبكة:
Netstat
net use
net sessionماك ولينكسيمكن استخدام
Netstat و
lsof لعرض الاتصالات الحالية. على غرار "
net session " ، يمكن لـ
w والأدوات المساعدة عرض المستخدمين الحاليين الذين قاموا بتسجيل الدخول.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم ، المسؤول
الوصف: يمكن للمهاجمين محاولة تحديد المستخدم الرئيسي للنظام ، أو المستخدم الحالي الذي قام بتسجيل الدخول حاليًا ، أو مجموعة من المستخدمين الذين يستخدمون النظام عادةً أو تحديد مقدار استخدام المستخدم للنظام. يمكن للخصم الحصول على المعلومات المذكورة أعلاه باستخدام طرق اكتشاف الحساب (انظر تقنية "اكتشاف الحساب") أو باستخدام طرق
الإغراق في بيانات الاعتماد . يتم توزيع المعلومات حول المستخدم واسمه في جميع أنحاء النظام - يتم تضمينها في معلومات حول مالكي العمليات والملفات والدلائل ، في معلومات حول الجلسات وسجلات النظام ، بحيث يمكن للخصم استخدام طرق الكشف المختلفة.
في Mac ، يمكن تعريف المستخدم الحالي باستخدام
مستخدمي الأدوات المساعدة
، w و
who . على أنظمة لينكس ، فقط مع
ث ومن.
النظام: ويندوز
الحقوق: المستخدم ، المسؤول ، النظام
الوصف: قد يحاول المهاجم الحصول على معلومات حول الخدمات المسجلة. لجمع البيانات ، يمكن للخصم استخدام أدوات متعددة ، بما في ذلك الأدوات المساعدة المضمّنة التي يمكنها تلقي معلومات حول الخدمات:
sc
tasklist /svc
net startالنظام: ويندوز
الحقوق: المستخدم
الوصف: يتم ضبط وقت النظام في المجال وتخزينه بواسطة خدمة Windows Times لضمان تزامن الوقت بين الأنظمة والخدمات على شبكة المؤسسة. يمكن للمهاجم الحصول على وقت النظام و / أو المنطقة الزمنية من نظام محلي أو بعيد. يمكن جمع هذه المعلومات بعدة طرق:
net time \\hostname - الحصول على وقت النظام المضيف.
w32tm /tz - الحصول على المنطقة الزمنية.
قد تكون المعلومات حول وقت النظام مفيدة للعدو لاستخدام أساليب الهجوم المختلفة ، مثل تنفيذ ملف مع مهمة مجدولة ، أو بناءً على معلومات حول المنطقة الزمنية ، للكشف عن موقع الضحية.
توصيات الحماية: يستخدم البرنامج عالي الجودة عمليات مشروعة لجمع وقت النظام. يجب توجيه جهود الحماية نحو منع تنفيذ التعليمات البرمجية غير المرغوب فيها أو غير المعروفة في النظام. لمنع الاسترجاع غير المصرح به لمعلومات الوقت من نظام بعيد ، قد يتم حظر أدوات مثل الأداة المساعدة
Net بواسطة سياسة أمان. يمكن أن تكون مراقبة سطر الأوامر مفيدة للكشف عن مثيلات Net.exe أو الأدوات المساعدة الأخرى المستخدمة لجمع وقت النظام والمنطقة الزمنية. مراقبة مكالمات واجهة برمجة التطبيقات لهذه الأغراض أقل فائدة نظرًا لحقيقة أن واجهة برمجة التطبيقات يتم استخدامها غالبًا بواسطة برنامج شرعي.