روابط لجميع الأجزاء:الجزء 1. الحصول على الوصول الأولي (الوصول الأولي)الجزء 2. التنفيذالجزء 3. الربط (الثبات)الجزء 4. امتياز التصعيدالجزء 5. الدفاع التهربالجزء 6. الحصول على بيانات الاعتماد (الوصول إلى بيانات الاعتماد)الجزء 7. الاكتشافالجزء 8. الحركة الجانبيةالجزء 9. جمع البيانات (جمع)الجزء 10الجزء 11. القيادة والسيطرةتتضمن تكتيكات
الحركات الجانبية (
الحركة الجانبية - الحركة الجانبية ، الأفقية ) أساليب للعدو للوصول إلى الأنظمة البعيدة المتصلة بالشبكة التي تعرضت للهجوم والتحكم فيها ، وكذلك ، في بعض الحالات ، إطلاق أدوات ضارة على الأنظمة البعيدة المتصلة إلى الشبكة المهاجمة. تتيح حركة الشبكة الجانبية للمهاجم الحصول على معلومات من الأنظمة البعيدة دون استخدام أدوات إضافية ، مثل أدوات الوصول عن بُعد (RAT).
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقال ، كما يعتذر عن عدم الدقة المحتملة في بعض الصياغات والمصطلحات. المعلومات المنشورة هي إعادة سرد مجانية لمحتويات MITER ATT & CK .النظام: ماك
الحقوق: المستخدم
الوصف: توفر لغة AppleScript القدرة على العمل مع Apple Event - الرسائل المتبادلة بين التطبيقات كجزء من اتصال interprocess (IPC). باستخدام Apple Event ، يمكنك التفاعل مع أي تطبيق تقريبًا مفتوح محليًا أو عن بُعد ، مما يؤدي إلى تشغيل أحداث مثل فتح النوافذ ومفاتيح الضغط. يتم تشغيل البرامج النصية باستخدام الأمر:
Osascript -e [] .
يمكن للمهاجمين استخدام AppleScript لفتح اتصالات SSH سرا للمضيفين البعيدين ، مما يتيح للمستخدمين مربعات حوار وهمية. يمكن استخدام AppleScript أيضًا في أنواع الهجمات الأكثر شيوعًا ، مثل مؤسسات Reverse Shell.
توصيات الحماية: التحقق الإلزامي من تشغيل البرامج النصية لـ AppleScript لتوقيع مطور موثوق.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن استخدام أدوات نشر التطبيق التي يستخدمها مسؤولو شبكة المؤسسة من قبل المستخدمين الضارين لتثبيت التطبيقات الضارة. تعتمد الأذونات المطلوبة لإكمال هذه الخطوات على تكوين النظام: قد تكون هناك حاجة لبيانات اعتماد مجال معينة للوصول إلى خادم تثبيت البرنامج ، وقد تكون الامتيازات المحلية كافية ، ومع ذلك ، قد يلزم حساب مسؤول لدخول نظام تثبيت التطبيق وبدء عملية النشر النظام. يتيح الوصول إلى نظام تثبيت التطبيقات المركزي للشركة للخصم تنفيذ التعليمات البرمجية عن بُعد في جميع أنظمة الشبكة التي تمت مهاجمتها. يمكن استخدام هذا الوصول للتنقل عبر الشبكة أو جمع المعلومات أو التسبب في تأثير معين ، على سبيل المثال ، تنظيف محركات الأقراص الصلبة على جميع المضيفين.
توصيات الأمان: لا تسمح إلا لعدد محدود من المسؤولين المعتمدين بالوصول إلى أنظمة نشر التطبيق. وفر عزلًا موثوقًا به وقم بتقييد الوصول إلى أنظمة الشبكة المهمة باستخدام جدران الحماية وتقييد امتيازات الحساب وتكوين سياسات أمان المجموعة والمصادقة متعددة العوامل. تأكد من أن بيانات الحسابات التي يمكنها الوصول إلى نظام نشر البرامج فريدة ولا تستخدم في جميع أنحاء الشبكة. قم بانتظام بتثبيت التصحيحات والتحديثات على أنظمة تثبيت التطبيقات لمنعها من الوصول غير المصرح به عن بعد من خلال استغلال الثغرات الأمنية. إذا تم تكوين نظام تثبيت التطبيق لتوزيع الملفات الثنائية الموقعة فقط ، فتأكد من أن شهادات التوقيع الموثوق بها غير موجودة عليه ، ولكن يتم تخزينها على نظام لا يمكن الوصول إليه عن بُعد أو يتم تقييده والتحكم فيه.
النظام: ويندوز
الحقوق: مسؤول النظام
الوصف: DCOM هو بروتوكول يعمل على توسيع وظيفة طراز كائن المكون (COM) ، مما يسمح لمكونات البرنامج بالتفاعل ليس فقط داخل النظام المحلي ، ولكن أيضًا عبر الشبكة ، باستخدام تقنية استدعاء الإجراء البعيد (RPC) ، مع مكونات التطبيقات للأنظمة الأخرى. COM هو أحد مكونات واجهة برمجة تطبيقات Windows. من خلال COM ، يمكن لكائن العميل استدعاء طريقة كائن الخادم ، وعادةً ملفات DLL أو ملفات exe. يتم تعريف أذونات التفاعل مع كائن COM لخادم محلي أو بعيد باستخدام قوائم ACL في السجل. بشكل افتراضي ، يمكن للمسؤولين فقط تنشيط وتشغيل كائنات COM عن طريق DCOM.
يمكن للأعداء استخدام DCOM للتنقل بشكل جانبي عبر الشبكة. من خلال DCOM ، يمكن للمهاجم الذي يعمل في سياق مستخدم لديه الامتيازات المناسبة تنفيذ التعليمات البرمجية التعسفية عن بُعد من خلال تطبيقات Office وعناصر Windows الأخرى التي تحتوي على أساليب غير آمنة. يمكن لـ DCOM أيضًا تنفيذ وحدات الماكرو في المستندات الموجودة ، بالإضافة إلى استدعاء Dynamic Data Exchange (DDE) مباشرةً من خلال كائن COM الذي تم إنشاؤه في Microsoft Office ، متجاوزًا الحاجة إلى إنشاء مستند ضار. يمكن أن توفر DCOM أيضًا للخصم وظيفة يمكن استخدامها في المراحل الأخرى من الهجوم ، مثل تصعيد الامتياز أو تثبيت الوصول.
توصيات الحماية: باستخدام التسجيل ، قم بتكوين إعدادات الأمان الفردية لتطبيقات COM: رمز> HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ AppID.
خذ بعين الاعتبار تعطيل دعم DCOM باستخدام الأداة المساعدة
dcomcnfg.exe أو في التسجيل:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM=SZ:Nتمكين جدار حماية Windows ، والذي يحول افتراضيًا دون إنشاء مثيلات DCOM. قم بتشغيل عرض آمن وإعلامات حول إطلاق كائنات COM في مستندات MS Office.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: لتنفيذ تعليمات برمجية عشوائية ، يمكن للمهاجمين استخدام مآثر تستخدم الأخطاء في البرامج أو الخدمات أو برامج نظام التشغيل أو حتى في نواة نظام التشغيل. الغرض من استغلال ثغرات الخدمات عن بعد بعد التسوية الأولية هو توفير الوصول عن بعد إلى الأنظمة للتنقل في جميع أنحاء الشبكة.
في السابق ، يحتاج الخصم إلى تحديد الأنظمة التي بها نقاط ضعف. يمكن القيام بذلك عن طريق مسح خدمات الشبكة أو طرق
الكشف الأخرى ، مثل البحث عن البرامج التي تكون عرضة للإصابة بهجمات الفيروسات الشائعة والتصحيحات المفقودة ، والتي تشير إلى وجود ثغرات أمنية ، أو البحث عن أدوات الأمان التي يتم استخدامها لاكتشاف الثغرات الأمنية عن بُعد وحظرها. غالبًا ما تكون الخوادم هدفًا قيماً للاستخدام عند التنقل في الشبكة ، ولكن محطات العمل تكون أيضًا معرضة للخطر إذا كانت توفر للخصم أي ميزة أو الوصول إلى موارد إضافية.
تُعرف الثغرات الأمنية في الخدمات المشتركة ، مثل SMB و RDP ، فضلاً عن التطبيقات التي يمكن استخدامها على الشبكات الداخلية ، مثل MySQL وخدمات خادم الويب. اعتمادًا على أذونات الخدمة المستضعفة ، قد يحصل الخصم على تصعيد امتياز باستخدام خطوة جانبية.
تلميحات
الأمان: تقسيم الشبكات والأنظمة لتقليل الوصول إلى الأنظمة والخدمات الهامة. قلل من توفر الخدمات عن طريق منح الحقوق فقط لأولئك الذين يحتاجون إليها. تحقق من شبكتك الداخلية بانتظام لمعرفة الخدمات الجديدة والهشة. تقليل الأذونات والوصول لحسابات الخدمة للحد من التغطية.
قم بتحديث البرنامج بانتظام ، وقم بتنفيذ عملية إدارة تثبيت تصحيحات التطبيقات على المضيفين والخوادم الداخلية. قم بتطوير إجراءات تحليل التهديد السيبراني لتحديد أنواع ومستويات التهديدات التي يمكن من خلالها استخدام عمليات الاستغلال ضد مؤسستك ، بما في ذلك استغلال نقاط الضعف في اليوم صفر. استخدم صناديق الحماية لتجعل من الصعب على العدو تنفيذ عمليات باستخدام نقاط ضعف غير معروفة أو غير مصححة. يمكن أيضًا للتخفيف من آثار أنواع معينة من عمليات الاستغلال أنواع أخرى من الحساب المصغر والمحاكاة الافتراضية للتطبيق. يمكن استخدام برامج الأمان مثل Windows Defender Exploit Guard (WDEG) ومجموعة أدوات تجربة التخفيف المعززة (EMET) ، والتي تهدف إلى العثور على السلوك المستخدم أثناء استغلال الثغرات الأمنية ، للحماية من الاستغلال.
يعد التحقق من سلامة تدفق التحكم طريقة أخرى لتحديد ومنع استغلال ثغرات البرامج. قد لا تعمل العديد من ميزات الأمان المدرجة في جميع البرامج والخدمات ؛ ويعتمد التوافق على البنية والملف الثنائي للتطبيق الهدف.
اعتمادًا على الأدوات المتاحة ، قد يكون من الصعب اكتشاف الطرف المدافع استغلال الثغرات الأمنية. قد لا تنجح عمليات استغلال البرامج دائمًا أو تؤدي إلى تشغيل غير مستقر أو إنهاء غير طبيعي للعملية التي تمت مهاجمتها. انتبه لمؤشرات التسوية ، على سبيل المثال ، السلوك غير الطبيعي للعمليات ، وظهور الملفات المشبوهة على القرص ، وحركة مرور الشبكة غير العادية ، وعلامات إطلاق أدوات الكشف ، وحقن العمليات.
النظام: ويندوز ، ماك
الوصف: يمكن للخصم استخدام القدرة على إنشاء برامج نصية جديدة لتسجيل الدخول الموجودة أو تعديلها - البرامج النصية التي يتم تنفيذها كلما قام مستخدم أو مجموعة معينة من المستخدمين بتسجيل الدخول إلى النظام. إذا تمكن أحد المهاجمين من الوصول إلى برنامج نصي لتسجيل الدخول على وحدة تحكم مجال ، فيمكنه تعديله لتنفيذ التعليمات البرمجية على جميع الأنظمة في المجال من أجل التحرك بشكل جانبي عبر الشبكة. اعتمادًا على أذونات البرامج النصية لتسجيل الدخول ، قد تكون بيانات الاعتماد المحلية أو الإدارية مطلوبة.
على نظام التشغيل Mac ، يمكن تشغيل البرامج النصية لتسجيل الدخول (
هوك / تسجيل الخروج ) ، على عكس عنصر تسجيل الدخول ، والتي يتم تشغيلها في سياق المستخدم ، كجذر.
توصيات الأمان: تقييد امتيازات المسؤول لإنشاء برامج نصية لتسجيل الدخول. تحديد وحظر البرامج التي يحتمل أن تكون خطرة والتي يمكن استخدامها لتعديل سيناريوهات تسجيل الدخول. قد يمنع تطبيق Windows AppLocker تشغيل برامج غير معروفة.
النظام: ويندوز
الوصف: تمرير التجزئة (PtH) هو وسيلة لمصادقة مستخدم دون الوصول إلى كلمة المرور الخاصة به في شكل واضح. تتمثل الطريقة في تجاوز خطوات المصادقة القياسية التي تتطلب كلمة مرور والانتقال مباشرة إلى ذلك الجزء من المصادقة الذي يستخدم تجزئة كلمة المرور. يتم التقاط التجزئة لكلمات المرور الحقيقية بواسطة الخصم باستخدام تقنيات الوصول إلى بيانات الاعتماد ، ثم يتم استخدام التجزئة في مصادقة PtH ، والتي يمكن استخدامها لتنفيذ الإجراءات على الأنظمة المحلية أو البعيدة.
لتشغيل هجوم Pass the Hash على نظام التشغيل Windows 7 والإصدارات الأحدث مع تثبيت التحديث
KB2871997 ،
فأنت تحتاج إلى بيانات اعتماد مستخدم صالحة أو تجزئة المسؤول (RID 500).
توصيات الحماية: مراقبة سجلات النظام والمجال لتحديد النشاط غير المعتاد لتسجيلات الدخول للحساب. منع الوصول إلى الحسابات الحالية. على أنظمة Windows 7 وما فوقها ، قم بتثبيت الإصلاح العاجل KB2871997 لتقييد الوصول إلى الحسابات في مجموعات المسؤولين المحليين الافتراضية.
لتقليل إمكانية تطبيق Pass the Hash ، قم بتعطيل بدء التشغيل عن بُعد لـ UAC عندما يقوم المستخدم بتسجيل الدخول عبر الشبكة عن طريق تحرير المفتاح المقابل في سياسات التسجيل أو المجموعة:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPoliceGPO:Computer Configuration > [Policies] > Administrative Templates > SCM: Pass the Hash Mitigation: Apply UAC restriction to local accounts on network logonsالحد من تزامن الحسابات في الأنظمة المختلفة من أجل منع تسويتها وتقليل قدرة العدو على التنقل بين الأنظمة. تأكد من أن بيانات الاعتماد المضمنة والمُنشأة للمسؤولين المحليين تحتوي على كلمات مرور فريدة معقدة. لا تسمح لمستخدم المجال أن يكون عضواً في مجموعة المسؤولين المحليين على أنظمة متعددة. من أجل اكتشاف هجمات Pass the Hash ، يتم إجراء مراجعة لجميع أحداث تسجيل الدخول واستخدام بيانات الاعتماد مع التحقق من التناقض (على سبيل المثال ، تم استخدام حساب واحد في وقت واحد على عدة أنظمة). يمكن أن تشير أيضًا عمليات تسجيل الدخول غير المعتادة المرتبطة بالنشاط المشبوه (على سبيل المثال ، إنشاء ملفات ثنائية وتنفيذها) إلى نشاط ضار. أحداث المصادقة لنوع NTLM LogonType 3 (إدخال الشبكة) التي لا علاقة لها بالمجال والحسابات غير المجهولة (المستخدمون الذين لديهم SID S-1-5-7) يجب أن تكون مشبوهة.
النظام: ويندوز
الوصف: تمرير التذكرة (PtT) هي طريقة مصادقة تذكرة Kerberos دون الوصول إلى كلمة مرور حساب. يمكن استخدام مصادقة Kerberos كخطوة أولى لنقل خصم إلى نظام بعيد.
أثناء PtT ، يتم التقاط تذاكر Kerberos صالحة للحسابات الحالية من قبل الخصم باستخدام
تقنيات الإغراق بالاعتماد. اعتمادًا على مستوى الوصول ، يمكن الحصول على تذاكر خدمة المستخدم أو تذاكر منح التذاكر (TGTs). تسمح بطاقة الخدمة بالوصول إلى مورد معين ، بينما يمكن استخدام TGT لطلب تذاكر الخدمة من خدمة التذاكر (TGS) للوصول إلى أي مورد يمكن للمستخدم الوصول إليه.
يمكن الحصول على التذاكر الفضية (TGS المزيفة) للخدمات التي تستخدم Kerberos كآلية مصادقة ، ويتم استخدامها لإنشاء تذاكر للوصول إلى مورد محدد والنظام الذي يوجد به المورد (على سبيل المثال ، SharePoint).
يمكن الحصول على البطاقة الذهبية (تذكرة Kerberos للوصول غير المحدود إلى الموارد في سياق أي مستخدم ، بما في ذلك المستخدمين غير الموجودين) باستخدام تجزئة NTLM لحساب خدمة التوزيع الرئيسية - KRBTGT ، مما يجعل من الممكن إنشاء TGT لأي حساب في AD.
توصيات الحماية: راقب بيانات الاعتماد غير العادية في النظام. الحد من مطابقة بيانات الاعتماد عبر الأنظمة ، وبالتالي منع الضرر في حالة حدوث حل وسط. تأكد من أن حسابات المسؤول المحلي تحتوي على كلمات مرور معقدة وفريدة من نوعها. لا تسمح للمستخدم أن يكون المسؤول المحلي لعدة أنظمة. الحد من أذونات حساب مسؤول المجال لوحدات التحكم بالمجال والخوادم المقيدة. تفويض وظائف المسؤول الأخرى إلى الحسابات الفردية.
للتصدي للتذكرة الذهبية التي تم إنشاؤها مسبقًا ، قم بإعادة تعيين كلمة مرور الحساب المدمج في KRBTGT ، مما يؤدي إلى إبطال جميع التذاكر الذهبية التي تم إنشاؤها باستخدام تجزئة كلمة مرور KRBTGT وتذاكر Kerberos الأخرى التي تم استلامها من Golden Ticket.
باستخدام أدوات القائمة البيضاء للتطبيق مثل Applocker أو
نُهج تقييد البرامج ، حاول تحديد وحظر
البرامج غير المعروفة أو الضارة التي يمكن استخدامها لتلقي تذاكر Kerberos والمزيد من المصادقة.
للكشف عن هجمات PtT ، نوصي بتدقيق جميع أحداث مصادقة Kerberos واستخدام بيانات الاعتماد مع تحليل التباين. يمكن أن تكون أحداث المصادقة عن بُعد غير العادية المرتبطة بالنشاطات المشبوهة الأخرى (مثل الكتابة وتشغيل الثنائيات) بمثابة مؤشر للنشاط الضار.
يتم إنشاء معرف الحدث 4769 على وحدة تحكم مجال عند استخدام التذكرة الذهبية بعد إعادة تعيين كلمة مرور KRBTGT مزدوجة. يشير رمز الحالة 0x1F إلى فحص تكامل غير ناجح للحقل المشفر ويشير إلى محاولة استخدام تذكرة ذهبية غير صالحة.
النظام: ويندوز
الحقوق: مستخدمي سطح المكتب البعيد ، المستخدمون
الوصف: يعد Remote Desktop ميزة نموذجية لأنظمة التشغيل التي تسمح للمستخدم بتسجيل الدخول إلى جلسة تفاعلية بواجهة رسومية على كمبيوتر بعيد. تستدعي Microsoft تطبيقه لبروتوكول RDP باسم
Servoce Remote Desktop (RDS) . هناك تطبيقات أخرى وأدوات خارجية توفر وصولًا بيانيًا إلى الخدمات البعيدة مثل RDS. يمكن للأعداء الاتصال بالنظام البعيد عبر RDP / RDS لتوسيع الوصول إذا كانت الخدمة المقابلة قيد التشغيل وتسمح بالوصول بأوراق اعتماد معروفة للمهاجم. سابقًا ، من المحتمل أن يستخدم الخصم
تقنيات الوصول إلى بيانات الاعتماد للحصول على بيانات الاعتماد التي يمكن استخدامها مع RDP. يمكن للمعارضين أيضًا استخدام RDP مع تقنية Windows Accessibility Abuse لتأمين أنفسهم في النظام.
يمكن للمهاجم أيضًا محاولة اختطاف جلسات RDP التي تتضمن جلسات عمل عن بُعد للمستخدمين الشرعيين. عادةً ، عندما تحاول سرقة جلسة ، يتلقى المستخدم إشعارًا ورسالة تأكيد ، ومع ذلك ، وبعد الحصول على أذونات على مستوى النظام باستخدام وحدة التحكم الطرفية ، يمكنك اعتراض الجلسة دون تقديم بيانات اعتماد وتأكيد المستخدم:
C:\Windows\system32\tscon.exe [ , ] .
يمكن القيام بذلك عن بعد أو محليًا بجلسات نشطة أو تم إحباطها. يمكن أن يؤدي أيضًا إلى تصعيد الامتياز عن طريق الاستيلاء على جلسة مسؤول المجال أو مستخدم أكثر امتيازًا. يمكن إجراء كل ما سبق باستخدام أوامر Windows المدمجة ، أو يمكن إضافة الوظيفة المقابلة إلى أدوات pentesting ، على سبيل المثال
RedSnarf .
توصيات الحماية: قم بتعطيل خدمة RDP إذا لم تكن هناك حاجة إليها ، وحذف الحسابات والمجموعات غير الضرورية من مجموعة
Remote Desktop Users ، وقم بتمكين قاعدة حظر حركة مرور RDP بين مناطق الأمان في جدار الحماية. تحقق من
أعضاء مجموعة
Remote Desktop Users بانتظام. قم بإزالة مجموعة المسؤولين من قائمة المجموعات المسموح لها بتسجيل الدخول عبر RDP. إذا كان الوصول عن بُعد مطلوبًا ، فقم بتقييد حقوق المستخدم البعيد. استخدم
بوابات سطح المكتب البعيد والمصادقة متعددة العوامل لتسجيل الدخول عن بُعد. لا تترك RDP يمكن الوصول إليه من الإنترنت. قم بتعديل GPO عن طريق تحديد المهلات والحد الأقصى للوقت الذي يمكن أن تكون فيه الجلسة البعيدة نشطة. تغيير "كائن نهج المجموعة" للإشارة إلى الحد الأقصى للوقت الذي تظل فيه جلسة العمل البعيدة غير النشطة نشطة على الخادم المضيف.
نظرًا لحقيقة أن استخدام RDP يمكن أن يكون عملية مشروعة تمامًا ، يمكن أن تكون مؤشرات النشاط الضار هي أنماط الوصول والإجراءات التي تحدث بعد تسجيل الدخول عن بُعد ، على سبيل المثال ، المستخدمون الذين يقومون بتسجيل الدخول إلى الأنظمة التي عادة لا يصلون إليها أو يقومون بتسجيل الدخول إلى عدة أنظمة أثناء كمية قصيرة نسبيا من الوقت. من أجل منع اعتراض جلسات RDP ينصح لمراقبة tscon.exe استخدام وإنشاء الخدمات التي تستخدم cmd.exe /kأو cmd.exe /cفي حججهم.النظام: Windows ، Linux ،حقوق macOS : وصف المستخدم:يمكن نسخ الملفات من نظام إلى آخر لنشر أدوات العدو أو الملفات الأخرى أثناء العملية. يمكن نسخ الملفات من نظام خارجي يتحكم فيه مهاجم ، من خلال قناة C&C أو باستخدام أدوات أخرى تستخدم بروتوكولات بديلة ، مثل FTP. يمكن أيضًا نسخ الملفات إلى Mac و Linux باستخدام أدوات مدمجة مثل scp و rsync و sftp. يمكن للأعداء أيضًا نسخ الملفات بشكل أفقي بين أنظمة الضحية الداخلية لدعم حركة الشبكة وتنفيذ الأوامر عن بُعد. يمكن القيام بذلك باستخدام بروتوكولات مشاركة الملفات عن طريق توصيل موارد الشبكة عبر SMB أو باستخدام اتصالات مصادقة لمشاركات مسؤول Windows أو RDP.توصيات الحماية:استخدام أنظمة IDS / IPS التي تستخدم التواقيع لتحديد حركة المرور الضارة أو نقل البيانات غير العادي من خلال أدوات وبروتوكولات معروفة مثل FTP ، والتي يمكن استخدامها لتقليل النشاط على مستوى الشبكة. تُستخدم التواقيع عادةً للكشف عن مؤشرات البروتوكول الفريدة وتستند إلى تقنية التشويش المحددة التي يستخدمها مهاجم أو أداة محددة ، ومن المرجح أن تكون مختلفة للعائلات المختلفة وإصدارات البرامج الضارة. من المحتمل أن يقوم المهاجمون بتعديل توقيع أدوات C2 أو إنشاء بروتوكولات بطريقة تتجنب الكشف عنها بواسطة أدوات الأمان المعروفة.كوسيلة للكشف ، يوصى بمراقبة إنشاء ونقل الملفات عبر الشبكة عبر SMB. قد تكون العمليات غير المعتادة مع اتصالات الشبكة الخارجية التي تنشئ ملفات داخل النظام مشبوهة. يمكن أن يكون الاستخدام غير العادي للأدوات المساعدة مثل FTP مشبوهًا. يوصى أيضًا بتحليل بيانات الشبكة لتدفقات البيانات غير المعتادة ، على سبيل المثال ، يرسل العميل بيانات أكثر بكثير مما يتلقاها من الخادم. عمليات الشبكة التي عادةً ما لا يكون لها اتصال بالشبكة مريبة أيضًا. فحص محتويات الحزمة للعثور على الاتصالات التي لا تتطابق مع البروتوكول والمنفذ المستخدم.النظام: Windows أو Linux أو macOSالوصف: يمكن للمهاجمين استخدام حسابات صالحة لتسجيل الدخول إلى خدمة مصممة لقبول اتصالات الشبكة ، مثل telnet أو SSH أو VNC. بعد ذلك ، سيتمكن الخصم من تنفيذ إجراءات نيابة عن المستخدم الذي قام بتسجيل الدخول إلى النظام. اعتباراتالأمان: حدد عدد الحسابات التي يمكن أن تستخدمها الخدمات عن بُعد. استخدم المصادقة متعددة العوامل كلما أمكن ذلك. الحد من الأذونات للحسابات المعرضة لخطر كبير ، على سبيل المثال ، قم بتكوين SSH بحيث يمكن للمستخدمين تشغيل برامج معينة فقط. منع تقنيات الوصول إلى بيانات الاعتمادقد تسمح للمهاجم بالحصول على بيانات اعتماد صالحة. قم بربط نشاط استخدام تسجيل الدخول المرتبط بالخدمات عن بعد بسلوك غير عادي أو أي نشاط ضار أو مشبوه. قبل محاولة تطوير الشبكة ، من المرجح أن يحتاج المهاجم إلى التعرف على البيئة والعلاقات بين الأنظمة التي تستخدم تقنيات الكشف .النظام: Windowsالوصف: تتضمن التقنية تنفيذ برنامج ضار باستخدام وظيفة التشغيل التلقائي في Windows. لخداع المستخدم ، يمكن تعديل ملف "شرعي" مسبقًا أو استبداله ، ثم نسخه إلى جهاز قابل للإزالة بواسطة مهاجم. أيضا ، يمكن تنفيذ الحمولة في البرامج الثابتة للجهاز القابل للإزالة أو من خلال برنامج تنسيق الوسائط الأولي.توصيات الحماية: تعطيل ميزات التشغيل التلقائي في Windows. الحد من استخدام الأجهزة القابلة للإزالة على مستوى سياسة أمان المؤسسة. تطبيق برنامج مكافحة الفيروسات.نظام: ماك ، لينكسالوصف:إن Secure Shell (SSH) هو أداة قياسية للوصول عن بعد على نظامي Linux و macOS تسمح للمستخدم بالاتصال بنظام آخر من خلال نفق مشفر ، عادةً باستخدام كلمة مرور أو شهادة أو أزواج مفاتيح تشفير غير متماثلة. للتقدم عبر الشبكة من مضيف خطر ، يمكن للمعارضين الاستفادة من علاقات الثقة التي تم إنشاؤها مع أنظمة أخرى من خلال مصادقة المفتاح العام في جلسات SSH النشطة عن طريق اعتراض اتصال موجود مع نظام آخر. قد يكون هذا بسبب حل وسط SSH نفسه أو الوصول إلى المقبس الوكيل. إذا تمكن الخصم من الوصول إلى الجذر في النظام ، فسيكون التقاط جلسات SSH مرة أخرى مهمة تافهة. تسوية عامل SSH يعترض أيضًا بيانات اعتماد SSH.تختلف تقنية اختطاف SSH عن استخدام تقنية "الخدمات عن بُعد" لأنها تدمج في جلسة SSH حالية ، بدلاً من إنشاء جلسة جديدة باستخدام حسابات صالحة.:تأكد من أن أزواج مفاتيح SSH تحتوي على كلمات مرور قوية والامتناع عن استخدام تقنيات التخزين الرئيسية مثل ssh-agent إذا لم تكن محمية بشكل صحيح. تأكد من تخزين جميع المفاتيح الخاصة بشكل آمن في الأماكن التي يمكن للمالك الشرعي فقط الوصول إليها باستخدام كلمة مرور معقدة وغالبًا ما تتغير. تحقق من صحة أذونات الملف وقم بتدعيم النظام لمنع رفع امتيازات الجذر. لا تسمح بالوصول عن بعد عبر SSH مع امتيازات الجذر أو الحسابات المميزة الأخرى. تأكد من تعطيل إعادة توجيه الوكيل على الأنظمة التي لا تكون مطلوبة بشكل صريح. بالنظر إلى أن استخدام SSH في حد ذاته يمكن أن يكون مشروعًا ، وفقًا لبيئة الشبكة وكيفية استخدامها ،يمكن أن تكون مؤشرات الاستخدام المشبوه أو الخبيث لـ SSH أنماطًا مختلفة للوصول إلى السلوك والسلوك اللاحق. على سبيل المثال ، الحسابات التي تقوم بتسجيل الدخول إلى الأنظمة التي عادةً ما لا يمكنها الوصول إلى أنظمة متعددة أو الاتصال بها لفترة زمنية قصيرة. يوصى أيضًا بتتبع ملفات المقبس الخاصة بعوامل SSH الخاصة بالمستخدم والتي يستخدمها مستخدمون مختلفون.نظام: ويندوزالوصف:يمكن للخصم وضع محتوى ضار على موقع ويب به دليل webroot عام أو دليل عام آخر لتقديم محتوى الويب في الجزء الداخلي من الشبكة ، ثم انتقل إلى ذلك المحتوى باستخدام متصفح الويب لإجبار الخادم على تنفيذه. عادةً ما يتم تشغيل محتوى ضار في سياق عملية خادم الويب ، وغالبًا ما يكون ذلك ، وفقًا لكيفية تكوين خادم الويب ، مما يؤدي إلى امتيازات النظام أو الإدارة المحلية. يمكن استخدام هذه الآلية للمشاركة وتنفيذ التعليمات البرمجية عن بُعد للانتقال إلى نظام يقوم بتشغيل خادم ويب. على سبيل المثال ، قد يسمح خادم الويب الذي يقوم بتشغيل PHP باستخدام webroot عام للمهاجم بتنزيل أدوات RAT على نظام تشغيل خادم الويب عند زيارته لصفحة معينة.توصيات الحماية:تكون الشبكات التي يُسمح فيها للمستخدمين بإجراء التطوير المفتوح واختبار المحتوى وإطلاق خوادم الويب الخاصة بهم معرضة للخطر بشكل خاص إذا كانت الأنظمة وخوادم الويب غير محمية بشكل صحيح: استخدام الحسابات المميزة غير محدود ، والوصول إلى موارد الشبكة ممكن دون مصادقة ، وليس أيضًا عزل الشبكة للشبكة / النظام. تأكد من صحة أذونات الدلائل التي يمكن الوصول إليها من خلال خادم الويب. رفض الوصول عن بُعد إلى الدليل الجذر للموقع (webroot) أو الدلائل الأخرى المستخدمة لتوفير محتوى الويب. تعطيل التنفيذ في أدلة webroot. تأكد من أن أذونات عملية خادم الويب ليست سوى تلك المطلوبة. لا تستخدم حسابات مضمنة ؛ بدلاً من ذلك ، قم بإنشاء حسابات محددة لتقييد الوصول غير الضروري أو عبور الأذونات على أنظمة متعددة.استخدم مراقبة العمليات لتحديد وقت كتابة الملفات إلى خادم ويب من خلال عملية غير طبيعية لخادم الويب أو عند كتابة الملفات خارج الفترات الزمنية الإدارية. استخدم مراقبة العمليات لتحديد العمليات العادية واكتشف بعد ذلك العمليات غير الطبيعية التي لا تعمل عادة على خادم الويب.النظام: حقوق Windows :وصف المستخدم : يمكن تلف محتويات محركات أقراص الشبكة العامة والمستودعات الأخرى عن طريق إضافة برامج ضارة أو نصوص برمجية أو استغلال التعليمات البرمجية إلى الملفات المستضافة. بمجرد أن يفتح المستخدم المحتوى التالف ، يمكن تنفيذ الجزء الضار لبدء تشغيل التعليمات البرمجية الضارة على النظام البعيد. يمكن للمعارضين استخدام الطريقة المذكورة أعلاه للتقدم الجانبي.هناك نوع آخر من التقنية التي تستخدم عدة طرق أخرى لنشر البرامج الضارة عندما يتمكن المستخدمون من الوصول إلى دليل شبكة مشترك. جوهرها هو تعديل الاختصارات ( تعديل الاختصار) الدلائل (.lnk) باستخدام التنكر بحيث تبدو الملصقات كدلائل حقيقية كانت مخفية في السابق. .lnk الخبيثة لديها أمر مدمج يقوم بتنفيذ ملف ضار مخفي ثم يفتح الدليل الحقيقي المتوقع من قبل المستخدم. يمكن أن يؤدي تطبيق هذه التقنية في دلائل الشبكة المستخدمة بشكل متكرر إلى حدوث إصابات متكررة متكررة ، ونتيجة لذلك ، يحصل المهاجم على وصول واسع إلى الأنظمة ، وربما إلى حسابات جديدة أكثر امتيازًا.توصيات الحماية:حماية المجلدات المشتركة عن طريق تقليل عدد المستخدمين الذين لديهم أذونات الكتابة. استخدم الأدوات المساعدة التي يمكنها اكتشاف أو منع عمليات الاستغلال عند الإشارة الأولى ، مثل مجموعة أدوات تجربة Microsoft Mitigation Experience (EMET). قلل من المخاطر المحتملة للترويج الجانبي عن طريق استخدام خدمات إدارة المستندات والتعاون عبر الإنترنت التي لا تستخدم مشاركة الملفات والدليل.حدد وحظر البرامج التي يحتمل أن تكون خطرة أو ضارة والتي يمكن استخدامها لإفساد المحتوى باستخدام أدوات مثل AppLocker أو سياسات تقييد البرامج .يوصى بإجراء مسح متكرر لأدلة الشبكة المشتركة بحثًا عن الملفات الضارة وملفات .LNK المخفية وأنواع الملفات الأخرى غير المعتادة في دليل محدد. يجب أن يكون سبب الشك هو العمليات التي تكتب أو تستبدل العديد من الملفات في دليل شبكة مشترك ، وكذلك العمليات التي يتم تنفيذها من الوسائط القابلة للإزالة.النظام: Windows ، Linux ،حقوق macOS : المستخدم ، المسؤول ،وصف النظام : يمكن استخدام المهاجم وأنظمة نشر البرامج (SCCM ، VNC ، HBSS ، Altris ، وما إلى ذلك) المستخدمة على الشبكة من قبل مهاجم للتشغيل عن بعد رمز على جميع المضيفين متصلة مثل هذه النظم. تعتمد الحقوق المطلوبة لتنفيذ هذه التقنية على تكوين النظام المحدد. قد تكون بيانات الاعتماد المحلية كافية للوصول إلى خادم نشر البرنامج ؛ ومع ذلك ، قد يلزم حساب مسؤول لبدء نشر البرنامج.توصيات الحماية:تحقق من مستوى أمان أنظمة نشر البرنامج. تأكد من أن الوصول إلى أنظمة إدارة البرامج محدود ومراقب ومحمي. استخدام سياسات الموافقة المسبقة الإلزامية بشكل صارم لنشر البرامج عن بُعد. توفير الوصول إلى أنظمة نشر البرمجيات لعدد محدود من المسؤولين ، وضمان عزل نظام نشر البرنامج. تأكد من أن بيانات اعتماد الوصول إلى نظام نشر البرامج فريدة ولا تستخدم في خدمات أخرى على شبكة الشركة. إذا تم تكوين نظام نشر البرنامج لتشغيل الملفات الثنائية الموقعة فقط ، فقم بالتحقق من أن الشهادات الموثوق بها لا يتم تخزينها في نظام نشر البرنامج نفسه ، ولكن توجد على نظام لا يمكن الوصول إليه عن بُعد.النظام: حقوق Windows :وصف المستخدم : تحتوي أنظمة Windows على مجلدات شبكة مخفية يمكن الوصول إليها فقط للمسؤولين وتوفر إمكانية نسخ الملفات والوظائف الإدارية الأخرى عن بُعد. أمثلة لمشاركات مسؤول Windows: C $ ، ADMIN $ ، IPC $.يمكن للمعارضين استخدام هذه التقنية جنبًا إلى جنب مع حسابات مستوى المسؤول الحالية للوصول عن بعد إلى النظام عبر كتلة messege Server (SMB) ، والتفاعل مع الأنظمة التي تستخدم RPC ، ونقل الملفات ، وتشغيل الملفات الثنائية التي تم ترحيلها باستخدام تقنيات التنفيذ. أمثلة على أساليب التنفيذ المستندة إلى جلسات العمل المصادق عليها من خلال SMB / RPC هي المهام المجدولة وخدمات بدء التشغيل و WMI. يمكن للمعارضين أيضًا استخدام تجزئة NTLM للوصول إلى مشاركات المسؤول من خلال تمرير التجزئة. يمكن استخدام الأمر net use ، مع بيانات اعتماد صالحة ، لتوصيل النظام البعيد بمشاركة مسؤول Windows.توصيات الحماية: لا تستخدم نفس كلمات المرور لحسابات المسؤولين المحليين على أنظمة مختلفة. تأكد من أن كلمات المرور معقدة وفريدة من نوعها بحيث لا يمكن تخمينها أو تصدعها. تعطيل تسجيل الدخول عن بعد إلى حساب المسؤول المحلي المدمج. لا تسمح لحسابات المستخدمين بأن تكون أعضاء في مجموعة المسؤولين المحليين لأنظمة متعددة.حدد وحظر البرامج التي يحتمل أن تكون خطرة أو ضارة والتي يمكن استخدامها لتشغيل مشاركات SMB و Admin باستخدام سياسات AppLocker أو تقييد البرنامج .توفير مجموعة مركزية وتخزين بيانات اعتماد تسجيل الدخول. يسمح لك Windows Event Forwarding بجمع بيانات حول الاستخدام الناجح / غير الناجح للحسابات التي يمكن استخدامها للتنقل في الشبكة. تتبع تصرفات المستخدمين عن بعد الذين يتصلون بمشاركة المسؤول. تتبع استخدام الأدوات والأوامر المستخدمة للاتصال بمشاركات الشبكة ، مثل الأداة المساعدة Net ، أو ابحث عن الأنظمة التي يمكن الوصول إليها عن بُعد.النظام: حقوق Windows : المستخدم ، المسؤولالوصف: WinRM هو اسم الخدمة والبروتوكول الذي يتيح تفاعل المستخدم عن بعد مع النظام (على سبيل المثال ، بدء تشغيل ملف ، وتغيير السجل ، وتغيير الخدمة. لبدء استخدام الأمر winrm والبرامج الأخرى ، مثل PowerShell.توصيات الأمان: قم بتعطيل خدمة WinRM ، إذا لزم الأمر ، قم بعزل البنية التحتية باستخدام WinRM بحسابات وأذونات منفصلة. اتبع توصيات WinRM لإعداد طرق المصادقة واستخدام جدران الحماية ho مئات لتقييد الوصول إلى WinRM والسماح بالوصول فقط من بعض الأجهزة.