روابط لجميع الأجزاء:الجزء 1. الحصول على الوصول الأولي (الوصول الأولي)الجزء 2. التنفيذالجزء 3. الربط (الثبات)الجزء 4. امتياز التصعيدالجزء 5. الدفاع التهربالجزء 6. الحصول على بيانات الاعتماد (الوصول إلى بيانات الاعتماد)الجزء 7. الاكتشافالجزء 8. الحركة الجانبيةالجزء 9. جمع البيانات (جمع)الجزء 10الجزء 11. القيادة والسيطرةتتضمن أساليب جمع البيانات في بيئة معرضة للخطر طرقًا لتحديد المعلومات المستهدفة وتوطينها وجمعها مباشرة (على سبيل المثال ، الملفات السرية) من أجل إعدادها لمزيد من عمليات التسريب. يغطي وصف طرق جمع المعلومات أيضًا وصف أماكن تخزين المعلومات في الأنظمة أو الشبكات التي يمكن للمعارضين البحث فيها وجمعها.
مؤشرات تنفيذ معظم تقنيات جمع البيانات المقدمة في ATT & CK هي العمليات التي تستخدم واجهات برمجة التطبيقات أو WMI أو PowerShell أو Cmd أو Bash لالتقاط المعلومات المستهدفة من أجهزة الإدخال / الإخراج أو فتح الملفات للقراءة عدة مرات ثم نسخ البيانات المستلمة إلى مكان محدد على نظام الملفات أو الشبكة . يمكن تشفير المعلومات أثناء جمع البيانات ودمجها في ملفات الأرشيف.
يتم تحديد وحظر البرامج التي يحتمل أن تكون خطرة أو ضارة باستخدام أدوات لتنظيم قوائم بيضاء للتطبيقات مثل AppLocker وسياسات تقييد البرامج الضارة على Windows ، وتشفير وتخزين المعلومات الحساسة خارج الأنظمة المحلية ، وتقييد الحقوق يتم تقديمها كتوصيات عامة بشأن الحماية من جمع البيانات. وصول المستخدم إلى أدلة الشبكة ومخازن معلومات الشركة ؛ وتطبيق سياسة كلمة المرور والمصادقة ثنائية العامل في بيئة محمية.
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، كما يعتذر عن عدم الدقة المحتملة في بعض الصياغات والمصطلحات. المعلومات المنشورة هي إعادة سرد مجانية لمحتويات MITER ATT & CK .النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: يمكن للخصم استخدام الأجهزة الطرفية للكمبيوتر (على سبيل المثال ، ميكروفون أو كاميرا ويب) أو تطبيقات (على سبيل المثال ، خدمات الاتصال الصوتي والفيديو) لالتقاط التسجيلات الصوتية من أجل مزيد من الاستماع إلى المحادثات السرية. يمكن استخدام البرامج الضارة أو البرامج النصية للتفاعل مع الأجهزة الطرفية من خلال وظائف API التي يوفرها نظام التشغيل أو التطبيق. يمكن تسجيل الملفات الصوتية التي تم جمعها على قرص محلي مع عملية تصفية لاحقة.
تلميحات الأمان: قد تكون المعارضة المباشرة للتقنية أعلاه صعبة لأنها تتطلب تحكمًا تفصيليًا في استخدام واجهة برمجة التطبيقات. يمكن أن يكون اكتشاف النشاط الضار أمرًا صعبًا أيضًا بسبب تنوع وظائف واجهة برمجة التطبيقات.
اعتمادًا على الغرض من الهجوم على النظام ، قد تكون البيانات المتعلقة باستخدام واجهة برمجة التطبيقات عديمة الفائدة تمامًا ، أو على العكس من ذلك ، توفر محتوى لاكتشاف الأنشطة الضارة الأخرى التي تحدث في النظام. يمكن أن يكون مؤشر نشاط العدو عملية غير معروفة أو غير عادية للوصول إلى واجهة برمجة التطبيقات (API) المرتبطة بالأجهزة أو البرامج التي تتفاعل مع ميكروفون أو أجهزة تسجيل أو برامج تسجيل أو عملية تقوم بشكل دوري بكتابة الملفات التي تحتوي على بيانات صوتية إلى القرص.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: يمكن للمهاجم استخدام أدوات التشغيل الآلي لجمع البيانات الداخلية ، مثل البرامج النصية ، للعثور على المعلومات التي تتوافق مع معايير معينة - نوع الملف والموقع والاسم والفواصل الزمنية ونسخها. يمكن أيضًا دمج هذه الوظيفة في أدوات الوصول عن بُعد. في عملية أتمتة جمع البيانات لغرض تحديد ونقل الملفات ، يمكن إضافة تقنيات اكتشاف الملفات والدلائل (
File and Directory Discovery ) ونسخ
الملفات عن بُعد (
Remote File Copy ).
توصيات الحماية: يعد تشفير المعلومات السرية وتخزينها خارج النظام إحدى طرق مواجهة تجميع الملفات ، ولكن إذا استمر التسلل لفترة طويلة ، يمكن للخصم اكتشاف البيانات والوصول إليها بطرق أخرى. على سبيل المثال ، يتمكن كلوغر المثبت في النظام ، عن طريق اعتراض المدخلات ، من جمع كلمات المرور لفك تشفير الوثائق المحمية. لمنع اختراق المستندات المشفرة في وضع عدم الاتصال عن طريق القوة الغاشمة ، يجب عليك استخدام كلمات مرور قوية.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن للمعارضين جمع البيانات من حافظة Windows ، المخزنة فيها أثناء نسخ المعلومات من قبل المستخدمين داخل أو بين التطبيقات.
نوافذيمكن للتطبيقات الوصول إلى بيانات الحافظة باستخدام واجهة برمجة تطبيقات Windows.
ماكلدى OSX أمر
pbpast مضمن لالتقاط محتويات الحافظة.
توصيات الحماية: لا تحظر البرنامج بناءً على تحديد السلوك المرتبط بالتقاط محتويات الحافظة ، كما يعد الوصول إلى الحافظة ميزة قياسية للعديد من تطبيقات Windows. إذا قررت المؤسسة تتبع هذا السلوك للتطبيقات ، فينبغي مقارنة بيانات المراقبة بالإجراءات المشبوهة أو غير المتعلقة بالمستخدمين.
النظام: ويندوز ، لينكس ، ماك
الوصف: قبل عملية التصفية ، يتم عادةً وضع البيانات التي تم جمعها في دليل محدد. يمكن تخزين البيانات في ملفات منفصلة أو دمجها في ملف واحد باستخدام الضغط أو التشفير. يمكن استخدام قذائف الأوامر التفاعلية كأدوات ، ويمكن استخدام وظائف cmd و bash لنسخ البيانات إلى موقع وسيط.
النظام: ويندوز ، لينكس ، ماك
الحقوق: المستخدم
الوصف: يمكن للمعارضين استخراج معلومات قيمة من مستودعات المعلومات - الأدوات التي تتيح لك تخزين المعلومات ، كقاعدة عامة ، لتحسين التعاون أو تبادل البيانات بين المستخدمين. يمكن أن تحتوي مخازن المعلومات على مجموعة كبيرة من البيانات التي يمكن أن تساعد المهاجمين على تحقيق أهداف أخرى أو توفر الوصول إلى المعلومات المستهدفة.
فيما يلي قائمة مختصرة بالمعلومات التي يمكن العثور عليها في مستودعات المعلومات ذات القيمة المحتملة للمهاجمين:
- السياسات والإجراءات والمعايير ؛
- مخططات الشبكات المادية / المنطقية ؛
- مخططات بنية النظام ؛
- وثائق النظام الفني ؛
- أوراق اعتماد للاختبار / التطوير ؛
- خطط العمل / المشروع ؛
- مقتطفات من شفرة المصدر ؛
- روابط إلى أدلة الشبكة والموارد الداخلية الأخرى.
مستودعات مشتركة للمعلومات:
مايكروسوفت شيربوينتإنه موجود في العديد من شبكات الشركات وغالبًا ما يستخدم لتخزين وتبادل كمية كبيرة من الوثائق.
التقاء أطلسغالبًا ما توجد في بيئات التطوير جنبًا إلى جنب مع Atlassian JIRA. يستخدم التقاء عادة لتخزين الوثائق المتعلقة بالتطوير.
توصيات الحماية: التدابير
الموصى بها لمنع جمع البيانات من مستودعات المعلومات:
- تطوير ونشر السياسات التي تحدد المعلومات المقبولة الواجب تسجيلها في مخزن المعلومات ؛
- تنفيذ آليات التحكم في الوصول ، والتي تشمل كلاً من المصادقة والترخيص المقابل ؛
- ضمان مبدأ الأقل امتيازًا ؛
- المراجعة الدورية لامتيازات الحساب ؛
- منع الوصول إلى حسابات صالحة صالحة يمكن استخدامها للوصول إلى مستودعات المعلومات.
نظرًا لأن مستودعات المعلومات تحتوي عادةً على قاعدة مستخدم كبيرة إلى حد ما ، فإن اكتشاف استخدامها الضار يمكن أن يكون مهمة غير تافهة. كحد أدنى ، يجب مراقبة ومنع الوصول إلى مستودعات المعلومات التي يؤديها المستخدمون المميزون (على سبيل المثال ، المجال أو المؤسسة أو مسؤول Shema) ، نظرًا لأنه لا ينبغي استخدام هذه الأنواع من الحسابات للوصول إلى البيانات في المستودعات. إذا كان من الممكن المراقبة والتنبيه ، فأنت بحاجة إلى تتبع المستخدمين الذين يسترجعون ويعرضون عددًا كبيرًا من المستندات والصفحات. قد يشير هذا السلوك إلى تشغيل البرنامج الذي يسترجع البيانات من وحدة التخزين. في البيئات عالية النضج ، يمكن استخدام أنظمة تحليل سلوك المستخدم (UBA) لاكتشاف العيوب في سلوك المستخدم.
يمكن تكوين Microsoft SharePoint لتسجيل وصول المستخدم إلى صفحات ووثائق محددة. في Confluence Atlassian ، يمكن تكوين تسجيل مشابه من خلال AccessLogFilter. سيتطلب الاكتشاف الأكثر كفاءة بنية أساسية إضافية لتخزين السجلات وتحليلها.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن الحصول على البيانات السرية من مصادر النظام المحلي ، مثل نظام الملفات أو قاعدة البيانات ، لغرض مزيد من التسرب.
يبحث المهاجمون غالبًا عن الملفات الموجودة على أجهزة الكمبيوتر التي اخترقوها. يمكنهم القيام بذلك باستخدام واجهة سطر الأوامر (cmd). يمكن أيضًا استخدام طرق لأتمتة عملية جمع البيانات.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن جمع البيانات الحساسة من الأنظمة البعيدة التي تحتوي على محركات أقراص شبكة يمكن الوصول إليها بشكل عام (مجلد الشبكة المحلية أو خادم الملفات) المتاحة للخصم.
للكشف عن الملفات المستهدفة ، يمكن للمهاجم البحث عن موارد الشبكة على أجهزة الكمبيوتر التي تم اختراقها. لجمع المعلومات ، يمكن استخدام كل من أوامر الأوامر التفاعلية ووظائف سطر الأوامر الشائعة.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن جمع البيانات الحساسة من أي وسائط قابلة للإزالة (محرك أقراص ضوئي ، محرك أقراص USB ، إلخ.) متصلة بنظام معرض للخطر.
من أجل اكتشاف الملفات المستهدفة ، يمكن للمهاجم البحث عن الوسائط القابلة للإزالة على أجهزة الكمبيوتر المعرضة للخطر. لجمع المعلومات ، يمكن استخدام كلاً من أوامر الأوامر التفاعلية ووظائف سطر الأوامر الشائعة ، بالإضافة إلى أدوات التشغيل الآلي لجمع البيانات.
النظام: ويندوز
الوصف: من أجل جمع المعلومات السرية ، يمكن للمهاجمين استخدام صناديق البريد الإلكترونية المخصصة. يمكن الحصول على البيانات الموجودة في البريد الإلكتروني من ملفات بيانات Outlook (.pst) أو ملفات ذاكرة التخزين المؤقت (.ost). عند حصوله على بيانات اعتماد المستخدم ، يمكن للخصم التفاعل مع خادم Exhange مباشرةً والوصول إلى واجهة ويب بريد إلكتروني خارجي ، مثل Outlook Web Access.
توصيات الأمان: يوفر استخدام التشفير طبقة إضافية من الحماية للمعلومات السرية المرسلة عبر البريد الإلكتروني. يتطلب استخدام التشفير غير المتماثل أن يحصل الخصم على شهادة خاصة باستخدام مفتاح تشفير. يعد استخدام المصادقة الثنائية في أنظمة بريد الويب العامة أفضل ممارسة لتقليل احتمال قيام مهاجم باستخدام بيانات اعتماد شخص آخر.
هناك عدة طرق يمكن للمهاجم من خلالها الحصول على بريد إلكتروني مستهدف ، ولكل منها آلية الكشف الخاصة به. يمكن أن تكون مؤشرات النشاط الضار: الوصول إلى ملفات بيانات البريد الإلكتروني للنظام المحلي للتسرب اللاحق ، والعمليات غير العادية التي تتصل بخادم البريد الإلكتروني على الشبكة ، وكذلك أنماط الوصول غير التقليدية ومحاولات المصادقة على خوادم الويب للبريد الإلكتروني العامة. تتبع العمليات وسيطات سطر الأوامر التي يمكن استخدامها لجمع ملفات بيانات البريد الإلكتروني. يمكن لأدوات الوصول عن بعد التفاعل مباشرة مع واجهة برمجة تطبيقات Windows. يمكن أيضًا استرداد البيانات باستخدام أدوات إدارة Windows المختلفة ، مثل WMI أو PowerShell.
النظام: ويندوز ، لينكس ، ماك
الحقوق: مسؤول النظام
الوصف: يمكن للمهاجمين استخدام وسائل التقاط إدخال المستخدم من أجل الحصول على بيانات اعتماد الحسابات الموجودة. التدوين هو النوع الأكثر شيوعًا لالتقاط إدخال المستخدم ، بما في ذلك العديد من الطرق المختلفة لاعتراض ضربات المفاتيح ، ولكن هناك طرق أخرى للحصول على معلومات الهدف مثل الاتصال بطلب UAC أو كتابة غلاف لموفر بيانات الاعتماد الافتراضي (موفرو بيانات اعتماد Windows). Keylogging هي الطريقة الأكثر شيوعًا لسرقة بيانات الاعتماد عندما يكون استخدام تقنيات إلقاء بيانات الاعتماد غير فعال ويضطر المهاجم إلى البقاء غير نشط لفترة معينة من الوقت.
من أجل جمع بيانات اعتماد المستخدم ، يمكن للمهاجم أيضًا تثبيت برنامج keylogger على بوابات الشركات الخارجية ، على سبيل المثال ، على صفحة تسجيل الدخول إلى VPN. يكون ذلك ممكنًا بعد اختراق البوابة أو الخدمة عن طريق الحصول على وصول إداري شرعي ، والذي بدوره يمكن تنظيمه لتوفير وصول احتياطي في مراحل الحصول على الوصول الأولي وتأمينه في النظام.
توصيات الحماية: تأكد من اكتشاف وحظر البرامج التي قد تكون خطرة أو ضارة باستخدام أدوات مثل AppLocker أو سياسات تقييد البرامج. اتخاذ تدابير لتقليل الضرر إذا حصل المهاجم على أوراق اعتماد. اتبع
أفضل ممارسات Microsoft لتطوير وإدارة شبكة شركتك .
يمكن Keyloggers تعديل التسجيل وتثبيت برامج التشغيل. وظائف API شائعة الاستخدام هي SetWindowsHook و GetKeyState و GetAsyncKeyState. لا يمكن أن تشير المكالمات إلى وظائف API وحدها إلى تدوين المفاتيح ، ولكن بالاقتران مع تحليل تغييرات السجل ، قد يشير اكتشاف عمليات تثبيت برنامج التشغيل وظهور ملفات جديدة على القرص إلى نشاط ضار. تتبع مظهر موفري بيانات الاعتماد المخصصة في التسجيل:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providersالنظام: ويندوز
الحقوق: مسؤول النظام
الوصف: خلال أساليب هجوم MitB المختلفة ، يمكن للخصم ، الذي يستفيد من ضعف متصفح الضحية ، تعديل محتوى الويب باستخدام برنامج ضار ، على سبيل المثال ، إضافة حقول الإدخال إلى صفحة ، وتعديل إدخال المستخدم ، واعتراض المعلومات. مثال محدد هو الحالة التي يقوم فيها أحد المهاجمين بحقن البرامج في المستعرض الذي يسمح بتوارث ملفات تعريف الارتباط وجلسات HTTP وشهادات عميل SSL للعميل واستخدام المستعرض كوسيلة للمصادقة والانتقال إلى إنترانت.
يتطلب الهجوم امتيازات SeDebugPrivilege وعمليات تكامل عالية (فهم الوضع المحمي). من خلال تعيين وكيل HTTP و HTTP و HTTPS ، تتم إعادة توجيه حركة المرور من متصفح المهاجم من خلال متصفح المستخدم. في الوقت نفسه ، لا تتغير حركة مرور المستخدم ، ويتم قطع اتصال الوكيل بمجرد إغلاق المتصفح. يتيح ذلك للخصم ، بما في ذلك عرض صفحات الويب كمستخدم مهاجم.
عادة ، لكل علامة تبويب جديدة ، يقوم المتصفح بإنشاء عملية جديدة مع أذونات وشهادات منفصلة. باستخدام هذه الأذونات ، يمكن للخصم الانتقال إلى أي مورد على الإنترانت يمكن الوصول إليه من خلال مستعرض له حقوق موجودة ، مثل Sharepoint أو Webmail. يزيل محورية المستعرض أيضًا حماية المصادقة الثنائية.
توصيات الحماية
: يوصى بأن يهدف متجه
الحماية إلى تقييد أذونات المستخدم ومنع تصاعد الامتيازات وتجاوز UAC. أغلق جميع جلسات المتصفح بانتظام وعندما لم تعد هناك حاجة إليها. كشف MitB صعب للغاية يتم إخفاء حركة مرور العدو على أنها حركة مرور مستخدم عادية ، ولا يتم إنشاء عمليات جديدة ، ولا يتم استخدام برامج إضافية ، ولا يتأثر محرك الأقراص المحلي للمضيف الذي تمت مهاجمته. يمكن استخدام سجلات المصادقة لتدقيق تسجيلات دخول المستخدمين إلى تطبيقات ويب محددة ، ومع ذلك ، قد يكون من الصعب تحديد النشاط الضار فيما بينها ، لأن سوف نشاط تتوافق مع سلوك المستخدم العادي.
النظام: ويندوز ، لينكس ، ماك
الوصف: أثناء جمع المعلومات ، قد يحاول المعارضون التقاط لقطات شاشة لسطح المكتب. يمكن تضمين وظيفة المقابلة في أدوات الوصول عن بعد المستخدمة بعد التسوية.
ماك
يستخدم OSX أمر screencapture المدمج لالتقاط لقطات الشاشة.
لينكس
على نظام Linux ، يوجد أمر xwd.
توصيات الحماية: كطريقة للكشف ، يوصى بمراقبة العمليات التي تستخدم واجهة برمجة التطبيقات لالتقاط لقطات شاشة ثم كتابة الملفات على القرص. ومع ذلك ، ووفقًا لشرعية مثل هذا السلوك في نظام معين ، من المرجح أن تكون هناك حاجة إلى ارتباط إضافي للبيانات التي يتم جمعها مع أحداث أخرى في النظام لاكتشاف النشاط الضار.
النظام: ويندوز ، ماك
الوصف: يمكن للخصم استخدام الأجهزة الطرفية للكمبيوتر (على سبيل المثال ، الكاميرات المدمجة وكاميرات الويب) أو التطبيقات (على سبيل المثال ، خدمات مكالمات الفيديو) لالتقاط الفيديو أو الصورة. يتضمن التقاط الفيديو ، على عكس أساليب التقاط الشاشة ، استخدام الأجهزة والتطبيقات لتسجيل الفيديو ، بدلاً من التقاط الصور من شاشة الضحية. بدلاً من ملفات الفيديو ، قد يتم التقاط الصور على فترات زمنية محددة.
يمكن استخدام البرامج الضارة أو البرامج النصية للتفاعل مع الأجهزة من خلال واجهة برمجة التطبيقات التي يوفرها نظام التشغيل أو التطبيق لالتقاط الفيديو أو الصور. يمكن كتابة الملفات التي تم جمعها على القرص وتصفيتها لاحقًا.
تُعرف عدة برامج ضارة مختلفة لنظام التشغيل macOS ، على سبيل المثال Proton و FriutFly ، والتي يمكنها تسجيل الفيديو من كاميرا ويب للمستخدم.
تلميحات الأمان: قد تكون المعارضة المباشرة للتقنية أعلاه صعبة لأنها تتطلب تحكمًا تفصيليًا في واجهة برمجة التطبيقات. يجب أن تهدف جهود الحماية إلى منع التعليمات البرمجية غير المرغوب فيها أو غير المعروفة في النظام.
قم بتحديد وحظر البرامج التي يحتمل أن تكون خطرة أو ضارة والتي يمكن استخدامها لتسجيل الصوت باستخدام سياسات تقييد التطبيق والبرامج.
يمكن أن يكون اكتشاف النشاط الضار أمرًا صعبًا بسبب واجهات برمجة التطبيقات المختلفة. اعتمادًا على كيفية استخدام النظام الذي تتم مهاجمته ، قد تكون بيانات القياس عن بُعد المتعلقة بواجهة برمجة التطبيقات عديمة الفائدة أو ، على العكس من ذلك ، توفر محتوى للأنشطة الضارة الأخرى التي تحدث في النظام. يمكن أن يكون مؤشر نشاط العدو عملية غير معروفة أو غير عادية للوصول إلى واجهة برمجة التطبيقات (API) المرتبطة بالأجهزة أو البرامج التي تتفاعل مع ميكروفون أو أجهزة تسجيل أو برامج تسجيل أو عملية تقوم بشكل دوري بكتابة الملفات إلى القرص التي تحتوي على بيانات صوتية.