القيادة والسيطرة
روابط لجميع الأجزاء:الجزء 1. الحصول على الوصول الأولي (الوصول الأولي)الجزء 2. التنفيذالجزء 3. الربط (الثبات)الجزء 4. امتياز التصعيدالجزء 5. الدفاع التهربالجزء 6. الحصول على بيانات الاعتماد (الوصول إلى بيانات الاعتماد)الجزء 7. الاكتشافالجزء 8. الحركة الجانبيةالجزء 9. جمع البيانات (جمع)الجزء 10. التسربالجزء 11. القيادة والسيطرةيعتبر قسم "القيادة والتحكم" (
اختصار - C2 ، C & C ) هو المرحلة الأخيرة من سلسلة الهجوم التي تم تقديمها في
ATT & CK Matrix for Enterprise .
يتضمن التحكم والسيطرة التقنيات التي يتواصل بها العدو مع الأنظمة المتصلة وتحت سيطرة الشبكة المهاجمة. اعتمادًا على تكوين الأنظمة وطوبولوجيا الشبكة المستهدفة ، هناك العديد من الطرق لتنظيم القناة السرية C2. يتم وصف التقنيات الأكثر شيوعا تحت القط. يتم تسليط الضوء على التوصيات العامة بشأن تنظيم تدابير لمنع واكتشاف C2 في كتلة منفصلة وتوضع في نهاية القسم.
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، كما يعتذر عن عدم الدقة المحتملة في بعض الصياغات والمصطلحات. المعلومات المنشورة هي إعادة سرد مجانية لمحتويات MITER ATT & CK .النظام: ويندوز ، لينكس ، ماك
الوصف: لتجاوز جدران الحماية وخلط حركة المرور الضارة مع نشاط الشبكة العادي ، يمكن للخصم البقاء على اتصال مع النظام الذي تمت مهاجمته من خلال المنافذ القياسية الشائعة الاستخدام في التطبيقات العادية:
TCP: 80 (HTTP)
TCP: 443 (HTTPS)
TCP: 25 (SMTP)
TCP/UDP: 53 (DNS)أمثلة عن المنافذ لتنظيم اتصالات الشبكة داخل جيب معاد ، على سبيل المثال ، بين خادم وكيل وعقد أخرى):
TCP/UDP: 135 (RPC)
TCP/UDP: 22
TCP/UDP: 3389النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن للخصم تنظيم بنية تحتية C2 بين العقد المعزولة فعليًا باستخدام وسائط التخزين القابلة للنقل لنقل الأوامر من نظام إلى آخر. يجب أن يتعرض كلا النظامين للخطر. غالبًا ما يتم تعريض النظام ذي الاتصال بالإنترنت للخطر ، والنظام الثاني يتعرض للاختراق أثناء الحركة الجانبية من خلال تكرار البرامج الضارة من خلال الوسائط القابلة للإزالة (انظر
الجزء 8 ). سيتم نقل الأوامر والملفات من نظام معزول إلى نظام به اتصال بالإنترنت ، والذي للخصم حق الوصول المباشر إليه.
توصيات الحماية: تعطيل التشغيل التلقائي للأجهزة القابلة للإزالة. حظر أو تقييد استخدام الوسائط القابلة للإزالة على مستوى السياسة التنظيمية. تنظيم مراجعة العمليات التي يتم تنفيذها عند توصيل الوسائط القابلة للإزالة.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن للمهاجم استخدام خادم وكيل لإعادة توجيه حركة مرور الشبكة بين الأنظمة أو كوسيط لاتصالات الشبكة. تسمح لك العديد من الأدوات (مثل HTRAN و ZXProxy و ZXPortMap) بإعادة توجيه حركة المرور أو إعادة توجيه المنافذ.
يمكن أن يشمل مفهوم الوكلاء أيضًا علاقات ثقة في شبكات نظير إلى نظير (p2p) أو شبكات متشابكة أو اتصالات موثوقة بين الشبكات. يمكن أن تكون الشبكة داخل مؤسسة أو بين منظمات لها علاقات ثقة. يمكن للخصم استخدام صناديق الشبكة للتحكم في قناة C2 أو تقليل عدد اتصالات الشبكة الصادرة المتزامنة أو توفير التسامح مع الخطأ أو استخدام الاتصالات الموثوقة لتجنب الشك.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن للمهاجم تنظيم قناة C2 باستخدام بروتوكول الشبكة الخاص به بدلاً من تضمين الأوامر / البيانات في بروتوكول طبقة تطبيق قياسي موجود. يمكن لتطبيق بروتوكول C2 العدو تقليد البروتوكولات المعروفة أو بروتوكولات المستخدم (بما في ذلك مآخذ التوصيل الأولية) عبر البروتوكولات الأساسية المقدمة في TCP / IP أو مكدس شبكة قياسي آخر.
النظام: ويندوز ، لينكس ، ماك
الوصف: لإخفاء حركة المرور المنقولة عبر قناة C2 ، يمكن للخصم استخدام بروتوكول التشفير أو خوارزمية التشفير الخاصة به. مخطط بسيط ، مثل تشفير XOR للنص العادي باستخدام مفتاح ثابت ، سيعطي نصًا مشفرًا (وإن كان ضعيفًا جدًا).
يمكن أن تختلف مخططات تشفير الملكية في التعقيد. يمكن استخدام التحليل والهندسة العكسية لعينات البرامج الضارة للكشف بنجاح عن الخوارزمية المستخدمة ومفتاح التشفير. قد يحاول بعض المهاجمين تنفيذ نسختهم الخاصة من خوارزمية تشفير معروفة بدلاً من استخدام مكتبة معروفة ، مما قد يؤدي إلى أخطاء غير مقصودة في تشغيل برنامج العدو.
توصيات الحماية: إذا كانت البرامج الضارة تستخدم تشفيرها الخاص باستخدام مفاتيح متماثلة ، فمن الممكن الحصول على خوارزمية ومفتاح من عينات البرامج لاستخدامها لفك تشفير حركة مرور الشبكة وتحديد توقيعات البرامج الضارة.
النظام: ويندوز ، لينكس ، ماك
الوصف: يتم تشفير المعلومات المرسلة عبر قناة C2 باستخدام أنظمة تشفير البيانات القياسية. إن استخدام تشفير البيانات هو الامتثال لمواصفات البروتوكول الحالية ويشمل استخدام ASCII أو Unicode أو Base64 أو MIME أو UTF-8 أو أي ترميزات نصية وشخصية ثنائية أخرى. يمكن لبعض أنظمة الترميز ، مثل gzip ، ضغط البيانات بشكل إضافي.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن إخفاء البيانات الموجودة في القناة C2 (ولكن ليس بالضرورة استخدام التشفير) لجعل من الصعب اكتشاف وفك تشفير المحتوى المنقول ، وكذلك جعل عملية الاتصال أقل وضوحًا وإخفاء الأوامر المرسلة. هناك العديد من أساليب التعتيم ، مثل إضافة بيانات غير ضرورية إلى بروتوكول المرور ، أو استخدام معلومات إخفاء المعلومات ، أو الجمع بين حركة المرور الشرعية وحركة مرور C2 ، أو استخدام نظام تشفير بيانات غير قياسي ، على سبيل المثال ، Base64 معدل في نص رسالة طلب HTTP.
النظام: ويندوز ، لينكس ، ماك
الوصف: جوهر Domain Fronting هو القدرة على إخفاء عنوان الوجهة الحقيقي لحزمة HTTPs في شبكات CDNs (Content Delivery Netwoks).
مثال: هناك مجال X والمجال Y ، وهما عملاء لشبكات CDN نفسها. من المرجح أن يتم تسليم حزمة تحمل عنوان المجال X في رأس TLS وعنوان المجال Y في رأس HTTP إلى العنوان Y ، حتى إذا كان اتصال الشبكة بين عناوين المصدر والوجهة محظورًا.تحتوي حزمة HTTPs على مجموعتين من الرؤوس: الأول ، TLS ، موجود في الجزء المفتوح من الحزمة ، والثاني HTTP - يشير إلى الجزء المشفر من الحزمة. بالإضافة إلى ذلك ، يحتوي كل رأس على حقل خاص به لتحديد عنوان IP الوجهة. إن جوهر Domain Fronting هو الاستخدام المتعمد لأسماء النطاقات المختلفة في حقل "SNI" لرأس TLS وحقل "Host" في رأس HTTP. وبالتالي ، تتم الإشارة إلى عنوان الوجهة المسموح به في حقل "SNI" ، ويشار إلى عنوان وجهة التسليم في حقل "المضيف". إذا كان كلا العنوانين ينتمي إلى نفس شبكات CDN ، فعند استلام هذه الحزمة ، يمكن لعقدة التوجيه نقل الطلب إلى عنوان الوجهة.
هناك تباين آخر لهذه التقنية يُسمى الواجهة الأمامية. في هذه الحالة ، يتم ترك حقل "SNI" (رأس TLS) فارغًا عن قصد ، مما يسمح للحزمة بتحقيق هدفها حتى لو تحقق CDN في مصادفة حقلي "SNI" و "HOST" (إذا تم تجاهل حقول SNI الفارغة).
توصيات الحماية: إذا كان من الممكن فحص حركة مرور HTTPS ، يمكن عندئذٍ التقاط الاتصالات المشابهة لنطاق الواجهة وتحليلها. إذا تم إجراء فحص SSL أو عدم تشفير حركة المرور ، فيمكن التحقق من حقل "HOST" لمصادفة الحقل "SNI" أو وجود العنوان المحدد في قوائم بيضاء أو سوداء. لتنفيذ Domain Fronting ، قد يحتاج الخصم إلى نشر أدوات إضافية في نظام محفوف بالمخاطر ، يمكن منع تثبيته عن طريق تثبيت أدوات حماية المضيف المحلية.
النظام: ويندوز ، لينكس ، ماك
الوصف: من أجل ضمان موثوقية قناة التحكم وتجنب تجاوز القيم العتبة للبيانات المرسلة ، يمكن للمهاجمين استخدام قنوات اتصال احتياطية أو بديلة إذا كانت القناة الرئيسية C2 معرضة للخطر أو غير متوفرة.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن للمهاجمين إنشاء قنوات C2 متعددة المراحل يتم استخدامها في ظروف مختلفة أو لوظائف محددة. يمكن أن يؤدي استخدام عدة خطوات إلى إرباك قناة C2 وتعطيلها ، مما يجعل من الصعب اكتشافها.
تبدأ RATs التي تعمل على المضيف الهدف في الاتصال بخادم المستوى الأول C2. قد تحتوي الخطوة الأولى على إمكانات تلقائية لجمع المعلومات الأساسية حول المضيف وتشغيل أدوات التحديث وتنزيل ملفات إضافية. بعد ذلك ، يمكن إطلاق أداة RAT ثانية لإعادة توجيه المضيف إلى خادم المستوى الثاني C2. المرحلة الثانية من C2 ، على الأرجح ، ستعمل بكامل طاقتها وستسمح للعدو بالتفاعل مع النظام المستهدف من خلال غلاف عكسي ووظائف RAT إضافية.
على الأرجح ، سيتم وضع الخطوات C2 بشكل منفصل عن بعضها البعض دون عبور بنيتها التحتية. قد يحتوي محمل الإقلاع أيضًا على تعليقات أولية أو قنوات احتياطية زائدة عن الحاجة في حالة اكتشاف قناة المرحلة الأولى الأصلية وحظرها.
توصيات الحماية: قد يتم حظر البنية التحتية C2 المستخدمة لتنظيم قنوات متعددة المراحل إذا كانت معروفة مسبقًا. إذا كانت التواقيع الفريدة موجودة في حركة مرور C2 ، فيمكن استخدامها لتحديد القناة وحظرها.
النظام: ويندوز ، لينكس ، ماك
الوصف: لإخفاء مصدر حركة المرور الضارة ، يمكن للخصم استخدام سلسلة من خوادم بروكسي متعددة. كقاعدة عامة ، سيكون المدافع قادرًا على تحديد آخر وكيل فقط. يجعل استخدام تعدد الإرسال تحديد مصدر حركة المرور الضارة أكثر صعوبة ، مما يتطلب من الطرف المدافع مراقبة حركة المرور الضارة عبر عدة خوادم بروكسي.
توصيات الحماية: يمكن حظر حركة المرور إلى الشبكات المعروفة مجهولة الهوية (مثل Tor) والبنى التحتية C2 من خلال تنظيم قوائم بالأبيض والأسود. ومع ذلك ، يجب الانتباه إلى أن طريقة الحجب هذه يمكن التحايل عليها باستخدام تقنيات مشابهة لواجهة المجال.
النظام: ويندوز ، لينكس ، ماك
الوصف: قد يقوم بعض المعارضين بتقسيم قناة بيانات C2 بين بروتوكولات مختلفة. يمكن إرسال الأوامر الواردة عبر بروتوكول واحد ، والبيانات الصادرة بطريقة مختلفة ، مما يسمح لك بتجاوز بعض قيود جدار الحماية. قد يكون الفصل أيضًا عرضيًا لتجنب تحذيرات حول تجاوز قيم العتبة لأي رسالة واحدة.
توصيات الحماية: تحليل محتويات الحزم للعثور على الاتصالات التي لا تتطابق مع سلوك البروتوكول المتوقع للمنفذ المستخدم. يمكن أن تساعد أيضًا مطابقة التنبيهات بين قنوات الاتصال المتعددة في اكتشاف C2.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن للخصم تطبيق عدة مستويات من تشفير حركة المرور C2. كقاعدة عامة (ولكن لا يتم استبعاد الخيارات الأخرى) ، يتم استخدام نفق إضافي باستخدام مخطط التشفير الخاص به كجزء من تشفير HTTPS أو SMTPS.
تلميحات الأمان: يمكن أن يؤدي استخدام بروتوكولات التشفير إلى تعقيد اكتشاف C2 النموذجي استنادًا إلى تحليل حركة المرور المستند إلى التوقيع. إذا كانت البرامج الضارة تستخدم بروتوكول تشفير قياسي ، فيمكن استخدام فحص SSL / TLS للكشف عن حركة مرور C2 على بعض القنوات المشفرة. ينطوي التحقق من طبقة المقابس الآمنة / TLS على بعض المخاطر التي يجب مراعاتها قبل التنفيذ لتجنب مشاكل الأمان المحتملة ، مثل
التحقق غير الكامل من الشهادات . بعد التحقق من SSL / TLS ، قد يلزم إجراء تحليل تشفير إضافي لتشفير المستوى الثاني.
النظام: لينكس ، ماك
الحقوق: المستخدم
الوصف: يمكن للمهاجمين استخدام طرق Port Knocking لإخفاء المنافذ المفتوحة التي يستخدمونها للاتصال بالنظام.
تلميحات
الأمان: يمكن أن يؤدي استخدام جدران الحماية الفعالة إلى منع تنفيذ بعض خيارات Port Knocking.
النظام: ويندوز ، لينكس ، ماك
الوصف: لإنشاء وضع أوامر وتحكم تفاعلي ، يمكن للمهاجم استخدام برنامج شرعي مصمم لهؤلاء. دعم محطة العمل والبرامج للوصول البعيد ، على سبيل المثال ، TeamViewer ، Go2Assist ، LogMain ، AmmyAdmin ، وما إلى ذلك ، والتي تستخدم عادةً بواسطة خدمات الدعم الفني ويمكن إدراجها في القائمة البيضاء. تُستخدم أدوات الوصول عن بُعد ، مثل VNC و Ammy و Teamview ، بشكل شائع من قِبل مهندسي الدعم الفني ، ويشيع استخدامها من قِبل مجرمي الإنترنت.
يمكن تثبيت أدوات الوصول عن بُعد بعد اختراق النظام لاستخدامه كقناة C2 بديلة. يمكن أيضًا استخدامها كمكون من البرامج الضارة لإنشاء اتصال عكسي مع خادم أو نظام يتحكم فيه خصم.
تم استخدام أدوات الإدارة ، مثل TeamViewer ، من قبل عدة مجموعات تركز على الوكالات الحكومية في البلدان التي تهم الشركات الحكومية والشركات الاجرامية الروسية.
توصيات الحماية: يمكن استخدام أدوات الوصول عن بُعد بالاقتران مع تقنيات Domain Fronting ، لذلك يُنصح بمنع الخصم من تثبيت أدوات RAT باستخدام أدوات أمان المضيف.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن نسخ الملفات من نظام إلى آخر لنشر أدوات العدو أو الملفات الأخرى. يمكن نسخ الملفات من نظام خارجي يتحكم فيه مهاجم ، من خلال قناة C&C أو باستخدام أدوات أخرى تستخدم بروتوكولات بديلة ، مثل FTP. يمكن أيضًا نسخ الملفات إلى Mac و Linux باستخدام أدوات مدمجة مثل scp و rsync و sftp.
يمكن للأعداء أيضًا نسخ الملفات بشكل أفقي بين أنظمة الضحية الداخلية لدعم حركة الشبكة وتنفيذ الأوامر عن بُعد. يمكن القيام بذلك باستخدام بروتوكولات مشاركة الملفات عن طريق توصيل موارد الشبكة عبر SMB أو باستخدام اتصالات مصادقة لمشاركات مسؤول Windows أو RDP.
توصيات الحماية: كوسيلة للكشف ،
يوصى بمراقبة إنشاء ونقل الملفات عبر الشبكة عبر بروتوكول SMB. يجب أن تكون العمليات غير المعتادة مع اتصالات الشبكة الخارجية التي تنشئ ملفات داخل النظام مشبوهة. يمكن أن يكون الاستخدام غير العادي للأدوات المساعدة مثل FTP مشبوهًا.
النظام: ويندوز ، لينكس ، ماك
الوصف: لتجنب اكتشاف وخلط حركة مرور C2 مع حركة مرور الشبكة الحالية ، يمكن للمهاجمين استخدام البروتوكولات القياسية على مستوى التطبيق مثل HTTP أو HTTPS أو SMTP أو DNS. بالنسبة للاتصالات داخل قناة C2 (جيب) ، على سبيل المثال ، بين الخادم الوكيل والعقدة الرئيسية والعقد الأخرى ، عادةً ما تستخدم بروتوكولات RPC أو SSH أو RDP.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن للمعارضين استخدام خوارزميات تشفير معروفة لإخفاء حركة مرور C2. على الرغم من استخدام خوارزمية قوية ، إذا تم تشفير المفاتيح السرية وإنشاءها بواسطة برامج ضارة و / أو تخزينها في ملفات التكوين ، يمكن كشف حركة مرور C2 باستخدام الهندسة العكسية.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن استخدام بروتوكولات طبقة غير التطبيق الخاصة بنموذج OSI للتواصل بين المضيف المصاب والخادم أو لتفاعل المضيفين المصابين على الشبكة. في التطبيقات المعروفة ، تم استخدام بروتوكول طبقة الشبكة - ICMP ، وطبقة النقل - UDP ، وطبقة الجلسة - SOCKS ، والبروتوكولات مثل إعادة التوجيه / النفق ، مثل Serial over LAN (SOL).
غالبًا ما يستخدم مجرمو الإنترنت ICMP لإخفاء الاتصال بين المضيفين. نظرًا لأن ICMP جزء من Internet Protocol Suite ويجب تنفيذه بواسطة جميع الأجهزة المتوافقة مع بروتوكول الإنترنت ، فإنه لا يتم مراقبته في كثير من الأحيان مثل البروتوكولات الأخرى ، مثل TCP أو UDP.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن للخصوم التواصل عبر C2 من خلال منفذ غير قياسي لتجاوز خوادم بروكسي وجدران الحماية التي لم يتم تكوينها بشكل صحيح.
النظام: ويندوز
الحقوق: المستخدم
الوصف: يمكن للمهاجمين استخدام خدمة ويب خارجية شرعية وجارية كوسيلة لإرسال أوامر للتحكم في نظام مصاب. تسمى خوادم الإدارة الأوامر والتحكم (C&C أو C2). يمكن أن تعمل مواقع الويب والشبكات الاجتماعية الشهيرة كآلية لـ C2 ، ويمكن أيضًا استخدام خدمات عامة متنوعة مثل Google أو Twitter. كل هذا يساعد على إخفاء النشاط الضار في إجمالي حركة المرور. عادة ما تستخدم خدمات الويب SSL / TLS ، بحيث يحصل الخصوم على طبقة إضافية من الحماية.
توصيات الحماية: يمكن استخدام جدران الحماية ووكلاء الويب لتنفيذ سياسات لتقييد اتصالات الشبكة الخارجية.
توصيات عامة بشأن تنظيم تدابير للوقاية من C2 واكتشافه
• يمكن استخدام أنظمة IDS / DLP التي تستخدم تحليل حركة المرور المستندة إلى التوقيع للكشف عن أدوات C2 المعروفة والبرامج الخبيثة وحظرها ، وبالتالي من المرجح أن يغير الخصم الأدوات المستخدمة بمرور الوقت أو تكوين بروتوكول نقل البيانات لتجنب الكشف عن طريق الوسائل المعروفة له الحماية؛
• استخدام أدوات حماية نقطة النهاية المضادة للفيروسات لحظر أدوات وبرامج C2 المعروفة المعروفة.
تأكد من أن المضيفين على الشبكة الداخلية لا يمكن الوصول إليهم إلا من خلال واجهات معتمدة ؛
• الحد من حركة المرور الصادرة عن طريق السماح فقط بالمنافذ الضرورية على جدران الحماية والوكلاء عبر بوابات الشبكة المناسبة ؛
• حظر النطاقات وعناوين IP للبنى التحتية C2 المعروفة. ومع ذلك ، تجدر الإشارة إلى أن هذا ليس حلا فعالا وطويل الأجل ، كما
يمكن للمعارضين في كثير من الأحيان تغيير البنية التحتية لل C2.• استخدام أدوات القائمة البيضاء للتطبيق لتجعل من الصعب تثبيت برامج الجهات الخارجية وتشغيلها ؛• استخدام جدار الحماية وجدران الحماية للتطبيقات والوكلاء ، والحد من حركة المرور الصادرة إلى المواقع والخدمات التي تستخدمها أدوات الوصول عن بعد المعروفة (TeamViewer ، Go2Assist ، LogMain ، AmmyAdmin ، وما إلى ذلك) ؛• إذا كانت البرامج الضارة تستخدم تشفيرها الخاص باستخدام مفاتيح متماثلة ، ثم باستخدام الهندسة العكسية لعينات البرامج ، يمكن الحصول على خوارزمية ومفتاح لفك تشفير حركة مرور الشبكة وتحديد توقيعات البرامج الضارة ؛• مراقبة المكالمات إلى وظائف API المتعلقة بإدراج أو استخدام قنوات الاتصال البديلة ؛• تحليل حركة مرور الشبكة لرسائل ICMP أو البروتوكولات الأخرى التي تحتوي على بيانات غير طبيعية أو التي عادة ما تكون غير مرئية على الشبكة أو خارجها ؛• تحليل تدفقات الشبكة لتحديد التدفقات غير الطبيعية ، على سبيل المثال ، عندما يرسل العميل بيانات أكثر بكثير مما يتلقاها من الخادم أو عندما تفتح عملية لا تستخدم الشبكة عادة اتصالات الشبكة ؛• تحليل تدفقات الشبكة لتحديد الحزم التي لا تتوافق مع معيار البروتوكول للمنفذ المستخدم.