این مقاله به شما کمک می کند تا تهدیدات سایبری مدرن و رایج ترین سطوح حمله استفاده شده پشت هر گونه حمله بدافزار/سایبری را بشناسید. در بیشتر مواقع، حملات سایبری در مراحل مختلفی اتفاق می افتد. بنابراین تیم سایبری باید الگوها و زنجیره حمله را بشناسد.
بنابراین شکستن زنجیره حمله و جلوگیری از مجرمان به قصد متوقف کردن هدفشان، تاثیر بد تجاری از بین رفتن اطلاعات را کم میکند. این کار بصورت صد در صدی مراحل دفاعی را برای سازمان شما فراهم نمی کند.
این کار اطلاعات مختصری در مورد ناقلان حمله فراهم میکند و اینکه هر تیم SOC باید یک مکانیسم دفاعی برای آن بسازد تا مرحله اولیه نظارت امنیتی را داشته باشد. این گامها میتواند توسط هر تیم امنیت شبکه یا صنایعی با مقیاس کوچک یا شرکتهای کوچکتر که نمیتوانند SOC تهیه کنند، پیروی شود تا به آنها کمک کند که به وسیله آن، دیوار دفاعی بسازند.
در بیشتر مواقع، حملات سایبری در مراحل مختلفی اتفاق می افتد.
۳ واقعیت اساسی که باید به ذهن بسپارید:
مجرمان اینترنتی همیشه جلوتر از کنترل های امنیتی برنامه ریزی می کنند.
۱) هر چیزی را به آسانی به حمله کننده ندهید، کار را برای او سخت کنید. ( اقدامات کنترلی در شبکه)
۲) برنامههای آسیب پذیر مجاز را در صورت عدم استفاده فعال نکنید، حمله کنندگان همیشه از برنامه های مجاز در شبکه استفاده می کند. ( سو استفاده از LOLBins)
۳) فکر نکنید که حمله کنندگان، فقط یک بخش از یک کد واحد را ایجاد می کنند، آنها همیشه به مراحل حمله با دستورالعمل ها و قابلیت های گوناگون متکی هستند. (زنجیره کشتار سایبری)
بنابراین، مکانیسم دفاعی که میسازید، باید بر اساس محیط تان باشد.
) دفاع در برابر ورود بد افزار-( وارد شدن به شبکه سازمان تان)
۲) اگر بد افزار با موفقیت وارد شد، چگونه قرار است از حرکات جانبی و ماندگاری آن دفاع کنید؟-(حرکت به درون شبکه سازمانتان)
۳) اگر حمله کننده، همه فعالیت هایش را کامل کند، مرحله نهایی او استخراج داده یا نفوذ خواهد بود. ( ترک از شبکه سازمانتان)
نکته کوچک: این زنجیره کشتار سایبری نیست، یک فاز اساسی از حمله است.
بیایید مراحل را تجزیه کنیم و از مکانیسم های دفاعی آن در برابر ناقلین آلودگی رایج مطمئن شویم.
مکانیسم دفاعی که میسازید، باید بر اساس محیط تان باشد.
مرحله۱: دریافت بدافزار/ هرزنامه
در هر سازمانی، فایروال/ IPS و راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند. اما اخیراً این تکنیک ها به آسانی توسط حمله کنندگان سایبری، مغلوب میشود. حملههای سایبری امروزی شامل یک مرحله نیستند آنها بد افزار را در هر سازمانی، در مراحل مختلف آلودگی ، پخش می کنند. در ابتدا حمله کنندگان قربانی را فریب میدهند تا روی هر گونه آدرس اینترنتی غیرمخرب کلیک کند و آن را به یک CnC منتقل می کند و پی لود مخرب خود را آزاد میکند. این مراحل نمیتوانند توسط سیستمهای دفاعی سنتی مسدود شوند.
دو راه اساسی: ۱) پخش ایمیل- هرزنامه، فیشینگ هدفدار، کمپینهای ایمیل. ۲)نقاط ورودی RDP
الف) پیوست های ایمیل رایج مورد استفاده در بیشتر کمپین های ایمیل
- vbs (VBS فایل اسکریپت)
2 .js (فایل جاوا اسکریپت)
3 .exe (اجرا شدنی)
4 .jar (فایل آرشیو جاوا)
5 .docx ، .doc ، .dot (اسناد آفیس)
6 .html ، .htm (فایلهای صفحه وب)
7 .wsf (فایل اسکریپت ویندوز)
8 .pdf
9 .xml (فایل اکسل)
10.rtf (فایل با فرمت متن غنی، استفاده شده توسط آفیس)
پیوست ایمیل که ناخواسته و غیر مجاز هستند را بلاک کنید. جیمیل این افزونه ها را بلاک کرد و میتواند در سازمان شما هم بلاک شود.
ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js,.jse, .lib, .lnk,.mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct,.shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh
ب) کارکنان را برای اجرای اسکریپت ها در نقطه پایانی مرحله محدود کنید.
ج) آگاهی کاربر از ایمیل های هرزنامه و آموزش های مناسب به کاربران
در هر سازمانی، فایروال/ IPS و راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند.
RDP – پروتکل دسکتاپ از راه دور (پورت ۳۳۸۹) که سرورهای اتصالات RDP آسیب پذیر را شناسایی میکند، به لطف ابزارهای اسکن مانند شودان (Shodan) و مس اسکن (masscan) به طرز شگفت آوری آسان شده است.
به همین دلیل به سادگی، مسئله فقط استفاده از ابزارهای جستجوی فراگیر(بروت فورس) مانند NLBrute برای شکستن هویت نامههای RDP و حملهکنندگانی که در آن هستند، میباشد. از طرف دیگر حمله کنندگان میتوانند به راحتی به DarkMarket xDedic زیر زمینی بروند، جایی که دسترسی به سرور های آلوده می تواند فقط ۶ دلار هزینه داشته باشد.
RDP تبدیل به یک ناقل آلودگی مورد علاقه، برای مجرمان باج افزار شده است، به خصوص با باج افزارهایی نظیر سم سم، کرایسیس، لاک کریپت، شِید، آپوکالیپس و انواع مختلف دیگر که همه وارد عمل میشوند.
. مکانیسم دفاعی سوء استفاده از RDP:
. دسترسی با فایروال ها را محدود کنید.
. از پسورد (رمز عبور)های قوی و 2FA/MFA استفاده کنید.
. کاربرانی که می توانند با استفاده از RDP وارد سیستم شوند را محدود سازید.
. برای مقابله با حملات جستجوی فراگیر، سیاست قفل حساب را تنظیم کنید.
مرحله۱-الف: بازیابی پی لودها از سرورهای کنترل و فرمان
در نسخه های اخیر، ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند. در برخی موارد، ایمیل اولین طعمه برای فریب قربانی است تا همهی اسکریپت ها را از طریق ایمیل اجرا کند که خود باعث سوء استفاده از برنامه های کاربر و دانلود هر گونه پی لود در مرحله دوم آلودگی میشود. غیرفعال کردن یا محدود کردن آن منابع مجاز در دانلود فایلها از اینترنت می تواند به جلوگیری از دریافت پی لودها کمک کند.
حمله کنندگان سایبری همیشه دوست دارند از برنامه های مجاز مایکروسافت آفیس برای دستیابی به اهدافشان سوء استفاده کنند. زیرا:
۱) برنامه های آفیس در سطح جهانی پذیرفته شدهاند. بیشترین نام های مورد استفاده توسط حمله کنندگان در پیوست یک ایمیل (فاکتور، گزارش ها، ترازنامه، اسناد و مناقصه ها) است.
۲) برنامه های آفیس براحتی مسلح می شوند. قابلیتهای درون ساختی مایکروسافت توسط حمله شوندگان جذب میشود و از آنها به روش های متعددی استفاده میکنند.
چگونه حمله کنندگان برای انتقال پی لودها از برنامههای مایکروسافت سوء استفاده میکنند؟
الف) ماکروها – غیرفعال یا محدود کردن
ب) پیوند دادن و جایگذاری (OLE)-محدود یا غیرفعال کردن
ج) تبادل پویای داده (DDE)- این عملکرد از word برداشته شود ، هنوز نیاز است که در Excel و Outlook هم غیر فعال شود.
د) بهره برداری از ویرایشگر معادله– CVE-2017-11882 – این عملکرد، در به روز رسانی امنیتی ویندوز در ژانویه ۲۰۱۸ برداشته شد.
نه فقط برنامه های مایکروسافت آفیس، حمله کنندگان همچنین از برنامه های مجاز و ابزارهای درون ساختی ویندوز، برای انتقال پی لود ها استفاده می کنند.
الف) VBS اسکریپت و جاوا اسکریپت- اگر احتیاج ندارید غیرفعال کنید.
ب) پاورشل-غیرفعال کردن یا کاهش قابلیت ها با استفاده از قفل برنامه یا سیاست محدودیت نرم افزاری ویندوز (SRP)
ج) سو استفاده از certutil.exe, mshta.exe, regsvr32.exe, bitsadmin.exe and curl.exe- بلاک کردن برنامه ها و بلاک کردن ایجاد درخواست های خارجی
در میان برنامه های مجاز، این موارد میتواند برای ایجاد لیست سفید برنامه استفاده شود: هم بلاک کردن و هم تحت کنترل گرفتن توصیه می شود.
ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند.
مرحله۲: مطمئن شوید که بد افزار در سازمان اجرا یا پخش نمیشود.
به طور معمول سازمان ها به آنتی ویروس (AV) برای جلوگیری از اجرای بد افزار تکیه میکنند.
حمله ها برای نادیده گرفتن/ دور زدن AV توسعه یافته اند. برای اثرگذار بودن، نرمافزار محافظت نقطه پایانی، باید از یادگیری ماشینی برای تجزیه و تحلیل هوشمندتر فایل و از تجزیه و تحلیل فعالیت سیستم در زمان واقعی برای تشخیص و بلاک رفتارهای مخرب استفاده کند.
لیست سفید برنامه لایه دفاعی خوب دیگری است که نگهداری آن میتواند مشکل باشد. حمله کنندگان همچنین می توانند با تزریق کد مخرب به فرایندهای تایید شده، لیست سفید و AV را دور بزنند.
حمله کنندگان همچنین می توانند بسیاری از روشهای AV/NGAV را با تزریق کد مخرب به فضای حافظهی یک فرایند مجاز، دور بزنند، بنابراین امتیازات آن را میربایند و تحت قالب آن عمل میکنند.
انواع مختلفی از تکنیکهای تزریق مخرب وجود دارد که حملهکنندگان میتوانند به کار ببرند؛ تزریق DLL، تزریق DLL انعکاسی، فرایند تو خالی، فرآیند دوپلگنگینگ، بمب گذاری اتم و…
دفاع در برابر اجرای بد افزار در محیط شما شامل این موارد است:
۱) محافظت نقطه پایانی
۲)لیست سفید برنامه
۳) اگر ممکن است استفاده کاربران از اسکریپتها را محدود یا قطع کنید.
۴) کنترل ویندوز به وسیله فولدرها
۵) برای جلوگیری از تکنیک های تزریق، فرآیندهای نظارت و تماس های API را به کار بگیرید.
حمله ها برای نادیده گرفتن/ دور زدن AV (آنتی ویروس) توسعه یافته اند.
مرحله۳: مطمئن شوید در/ بعد از مرحله آخر از زنجیره حمله، به اطلاعاتتان نفوذ یا استخراج نشده باشد.
وقتی حمله کنندگان اولین دسترسی را پیدا کردند، توجهشان به فعالیتهای بعد از بهره برداری جلب میشود. برای ادامه عملکرد توسط ردیاب، حمله کنندگان ترجیح میدهند که قانع باشند و از ابزارهای مجاز و فرآیندهایی که قبلاً در سیستم وجود داشت استفاده کنند.
حمله کنندگان می توانند از عملکردها و ابزارهای سیستم سوء استفاده کنند و نقاط بارگذاری متعددی ایجاد کنند، از جمله ذخیره کردن اسکریپت ها در رجیستری.
تعداد زیادی از انواع مختلف بد افزارها طراحی شدهاند که برای تکثیر خودکار، اغلب از ابزارهای اجرایی از راه دور سوء استفاده کردهاند.
استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است. بعضی از ابزارهای بسیار رایجی که مورد سوء استفاده قرار گرفتهاند، این موارد است: پاورشل، ابزارهای مدیریتی ویندوز (WMI) و ابزارهای مدیریتی از راه دور مانند PsExec.
تکنیکهای حمله کنندگان و مکانیسم های دفاعی:
۱) سوء استفاده از برنامه هایی که برای ارتقای خودکار طراحی شده است.
الف) هر موقع که ممکن است، از بالاترین سطح اجرایی UAC استفاده کنید.
ب) حالت تایید ادمین را فعال کنید.
ج) کاربران را از گروه ادمین محلی بردارید.
۲) سرقت DLL
الف) نرم افزار محافظت نقطه پایانی
ب)به DLLهای از راه دور، اجازه بارگذاری ندهید.
ج) حالت جستجوی DLL ایمن را فعال کنید.
۳) بهرهبرداریهای افزایش امتیاز (دزدی رمز، افزایش آسیب پذیری آدرس دهی عنصر اطلاعاتی NULL، تنظیم توصیفگر امنیتی بر روی NULL و…)
الف) نرم افزار محافظت نقطه پایانی با فضای کاربر، فضای هسته اصلی و سطح دید CPU
۴) استخراج اعتبار
الف) فعال کردن حافظه پنهان
ب) با استفاده از قفل برنامه، پاورشل را محدود یا غیرفعال کنید.
ج) حداقل ایمنی را ایجاد کنید، از اشتراک هویتنامه خودداری کنید.
د) محافظت نقطه پایانی که از LSASS و سایر ذخیرههای هویتی محافظت می کند.
۵) تکنیک حرکت فرعی ( سو استفاده از ابزارهای مدیریتی از راه دور و…)
الف) پیشنهادات تنظیمات UAC
ب) بهترین روش های تقسیم شبکه (منبع: SANS)
ج) احراز هویت دو عاملی
۶) پنهان کردن اسکریپتهای مخرب در رجیستری
الف) با اجرای خودکار نظارت کنید.
۷) ایجاد تسکهای برنامه ریزی شده مخرب
الف) بر رویداد ID 4698 ارتباط امنیتی ویندوز نظارت کنید.
۸) سوء استفاده از WMI برای ترغیب اجرای اسکریپت ها بر اساس رویدادها (در راه اندازی و…)
الف) سابسکرایبشنهای رویداد WMI دفاعی بسازید.
ب) اگر ممکن است یک پورت ثابت برای WMI از راه دور تنظیم کرده و آن را مسدود کنید.
استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است.
نتیجه
همه این متن در مورد فهم اولیه در مورد این موضوع است که با چه نوع رفتاری از ناقلان و سطوح حمله ممکن است در سازمان مواجه شویم و در مرحله اول یک دیوار دفاعی بسازیم.
این کار برای شما ایمنی صد درصدی در مقابل همه رفتار ها ایجاد نمیکند، روش های نوظهور و تک و ارتباط بیشتری در الگوهای بد افزار در حال پدیدار شدن است. بنابراین باید مطمئن شویم که در مقابل حملات سایبری الگوهای شناخته شده، بر اساس توصیه های آمده شده در بالا، از قبل ایمن شدهایم.
به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”
شما می توانید برای به روز رسانی های روزانه سایبری، ما را در لینکدین، توئیتر و فیسبوک دنبال کنید.
به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”
منبع