فاز دوم دفاعی SOC – شناخت شناسه های تهدیدات سایبری
شناسه های تهدید
در فاز اول ساختار SOC، سطح اولیه شناخت از حملهها و گامهای ضروری برای شکستن زنجیره حمله را بررسی کردیم. در این مقاله در مورد فازهای SOC و سطح پیشرفته محافظت از سازمان در برابر شناسه های تهدید مختلف صحبت خواهیم کرد. در گذشته وقتی صحبت از ویروس میشد، منظورمان یک فایل با ‘exe’ و تعدادی پاپ آپ بود. بسیاری از ویروس های ساخته شده توسط بچه اسکریپتی ها بود و که باعث هیچ ضرری به هیچ کامپیوتری نمی شدند.
اما بدافزار امروزی توسط بچه اسکریپتی ها ساخته نشده، بلکه آنها توسط شرکت هایی برای کسب درآمد توسعه یافتهاند و پشت هر بد افزار ساخته شده، هدفها و انگیزه هایی وجود دارد.
خانوادهی بدافزارها در دسته بندی های : ویروس/ Worm/ PUP/ جاسوس افزار/ نرم افزارهای تبلیغاتی/ ویروس چند شکلی/ آنتی ویروس تقلبی/ ویروس محافظ صفحه، وجود دارند. اینها تأثیر زیادی ایجاد نخواهند کرد یا انگیزهی تجاری، پشتشان وجود نخواهد داشت.
شناسههای تهدید
اما امروزه شناسههای تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، بسیار گسترده تر هستند، امروزه بدافزارها قابلیتهای درون ساختی مانند دانلود قسمت های اضافی کدهای مخرب، نفوذ به اطلاعات، برقراری ارتباطات خارج از سرورها، پاک کردن اطلاعات، رمز گذاری فایل ها و بسیاری از موارد دیگر را دارند.
بدافزار امروزی با دستور، انگیزه، هدف مالی و… ساخته شده اند.
خانواده نرمافزارهای مدرن این موارد است: تروجانها/ روت کیت/ بات/ بات نت/ بدافزار POS/ بدافزار ATM/ باج افزار/ بدافزار رمز گذاری/ ربات جاسوسی/ Wiper/ تروجان CnC/ اکسپلویت کیت/ مرورگر هایجک/ دزد هویت نامه/ RAT/ WMI Backdoors/ Skeleton Key / کی لاگر و…
شناسه های تهدید،توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبریشان را روی سازمان شما اجرا کنند.
بنابراین فهم اولیه از تهدیدات مدرن، برای هر گروه SOC ضروری می شود. فهم شناسههای تهدید در نظارت SOC خیلی مهمتر است.
SOC باید بداند که دارد با چه چیزی معامله می کند، باید عملکرد را بفهمد، باید الگو را متمایز کند، باید انواع انتشارات مختلف توسط جامعه هکر ها را بشناسد و همچنین تیم SOC باید روشهای مدیریت بدون هیچ گونه اختلال را بداند.
شناسه های تهدید، انواع مختلف بدافزار/ اسکریپتها/ برنامههای آسیب پذیر که از آنها استفاده مخرب میشود/ ابزارهای ویندوز و شبکه است که توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبریشان را روی سازمان شما اجرا کنند.
این قابلیتها می توانند به این صورت طبقه بندی شوند:
۱) دسترسی اولیه – حمله کنندگان برای به دست آوردن جایگاه اولیه در یک شبکه سو استفاده می کنند.
۲) اجرا- اجرای کد کنترل شده توسط حمله کننده در یک سیستم محلی یا از راه دور. این تاکتیک اغلب به همراه دسترسی اولیه به عنوان ابزاری برای اجرای کد، بعد از رسیدن به دسترسی و سپس حرکت فرعی برای توسعهی دسترسی به سیستم های از راه دور در یک شبکه استفاده می شود.
۳) ماندگاری – ماندگاری عبارت است از هرگونه دسترسی، اقدام یا تغییر پیکربندی در یک سیستم که به دشمن امکان حضور مداوم در آن سیستم را می دهد.
دشمنان اغلب نیاز به دسترسی به سیستم ها از طریق ایجاد وقفه هایی مانند راه اندازی مجدد سیستم ، از دست دادن اعتبارنامه یا سایر خرابی ها دارند که برای راه اندازی مجدد آنها نیاز به یک ابزار دسترسی از راه دور باشد.
۴) افزایش امتیازات – افزایش امتیازات نتیجه اقداماتی است که به یک دشمن اجازه می دهد تا سطح بالاتری از مجوزها را در یک سیستم یا شبکه بدست آورد. ابزارها یا اقدامات مشخصی برای اجرای عملکردشان، به سطح بالاتری از امتیازات نیازمندند و احتمالاً در بسیاری از نقاط طی عملیات ضروری هستند.
مهاجمان می توانند به سیستمی که فاقد دسترسی و امتیاز ویژه ای است وارد شوند و از ضعف سیستم برای دستیابی به مدیر محلی یا سیستم بهره ببرند.
راههای زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن ایجاد کند.
۵) دور زدن دفاع- دور زدن دفاع شامل تکنیک هایی است که یک دشمن ممکن است برای فرار شناسایی شدن یا جلوگیری از سایر دفاع ها استفاده کند. بعضی اوقات این اقدامات شبیه یا متفاوت از تکنیکهای سایر طبقهبندیهایی است که مزیت اضافی واژگونی دفاع یا کاهش اثر معین را دارا هستند.
۶) دسترسی هویتی- دسترسی هویتی تکنیک هایی را که منجر به دسترسی یا کنترل هویت نامه سیستم، دامنه یا سرویس که در یک محیط سازمانی استفاده می شود را نشان میدهد.
مهاجمان احتمالاً قصد خواهند داشت که هویت نامههای مجاز کاربران یا حسابهای مدیر (مدیر سیستم محلی یا کاربران دامنه با دسترسی مدیر)را برای استفاده در شبکه به دست آورند.
۷) کشف- کشف شامل تکنیک هایی است که به مهاجم اجازه می دهد تا اطلاعات سیستم و شبکه داخلی را به دست آورد.
وقتی مهاجمان به یک سیستم جدید دسترسی پیدا می کنند، باید خود را در جهت آن چه که اکنون روی آن کنترل دارند و همینطور سودی که عملکرد آن سیستم به مقصود فعلی یا اهداف کلی آنها در حین نفوذ میدهد، قرار دهند.
۸) حرکت جانبی- حرکت جانبی شامل تکنیک هایی است که یک مهاجم را قادر می سازد به سیستم های از راه دور در یک شبکه، دسترسی و کنترل داشته باشد و می تواند شامل اجرای ابزارها در سیستم های از راه دور هم بشود اما نه لزوماً.
تکنیکهای حرکت جانبی این اجازه را به یک مهاجم میدهد که بدون نیاز به ابزارهای اضافی، مانند ابزار دسترسی از راه دور، اطلاعات را از سیستم گردآوری کند.
۹) جمع آوری دادهها- جمع آوری دادهها شامل تکنیک هایی است که برای تشخیص و جمع آوری اطلاعات، مانند فایلهای حساس، از یک شبکه هدف، قبل از استخراج استفاده می شود. همچنین مکانهایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.
۱۰) سرقت یا دسترسی به اطلاعات کامپیوتری- به تکنیک ها و ویژگیهایی گفته می شود که منجر به حذف فایلها یا اطلاعات از یک شبکه هدف، توسط مهاجم می شود یا به این کار کمک میکند.
همچنین مکانهایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.
۱۱) هدایت و کنترل – تاکتیک هدایت و کنترل نشان دهنده این است که چگونه مهاجمان با سیستم های تحت کنترلشان در یک شبکه ارتباط برقرار میکنند.
امروزه شناسههای تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، عظیم و گسترده تر هستند.
راههای زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن، بسته به پیکربندی سیستم و ساختار شبکه، ایجاد کند.
با توجه به سطوح گسترده تنوع که برای مهاجم در سطح شبکه در دسترس است، فقط از رایجترین فاکتورها برای توصیف تفاوتها در هدایت و فرمان استفاده شد.
در زیر انواع مختلف خانوادهی بدافزار که به عنوان ناقلان حمله باعث نویز بیشتر در شناسههای تهدید می شوند را میتوانید مشاهده کنید. این لیست کامل نیست، فقط نمونه ای از انواع مختلف منتشر شده است.
نتیجه- شناسههای تهدید
چرا باید نگران بدافزارها و عملکردهای آن باشم؟
ما باید نگران باشیم! چون بدافزارهای مدرن روشهایی خاص برای انتشار، با ساختار دستوری پیچیدهتر دارند که قدرت در اختیار گیری آنها بیشتر است.
در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت تیم AV سازمان شما نیست (که با آن مقابله کند)، بلکه مسئولیت اصلی SOC است که عملکرد آن و قابلیتهای آنها را برای نفوذ در شبکه شما بفهمد.
اکثر آنها تنها نخواهند بود، در بیشتر موارد آنها گروهی کار می کنند تا کارشان را عملی کنند.
در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت اصلی SOC است که عملکرد آن و قابلیتهای آنها را برای نفوذ در شبکه شما بفهمد.