ፕሮሆስተር > ጦማር > አስተዳደር > የትራፊክ ትንተና ስርዓቶች የPT Network Attack Discovery ምሳሌን በመጠቀም በ MITER ATT&CK የጠላፊ ዘዴዎችን እንዴት እንደሚያገኙ

የትራፊክ ትንተና ስርዓቶች የPT Network Attack Discovery ምሳሌን በመጠቀም በ MITER ATT&CK የጠላፊ ዘዴዎችን እንዴት እንደሚያገኙ

የትራፊክ ትንተና ስርዓቶች የPT Network Attack Discovery ምሳሌን በመጠቀም በ MITER ATT&CK የጠላፊ ዘዴዎችን እንዴት እንደሚያገኙ

በቬሪዞን መሠረት, አብዛኛዎቹ (87%) የመረጃ ደህንነት አደጋዎች በደቂቃዎች ውስጥ ይከሰታሉ, 68% ኩባንያዎች እነዚህን ለመለየት ወራት ይወስዳሉ. ይህ የተረጋገጠ እና የፖኔሞን ተቋም ምርምርበዚህ መሠረት አብዛኞቹ ድርጅቶች አንድን ክስተት ለማወቅ በአማካይ 206 ቀናት ይፈጅባቸዋል። በምርመራዎቻችን መሰረት ሰርጎ ገቦች የኩባንያውን መሠረተ ልማት ሳይታወቅ ለዓመታት መቆጣጠር ይችላሉ። ስለዚህ የኛ ባለሞያዎች የመረጃ ደህንነት ጉዳይ ላይ ምርመራ ካደረጉባቸው ድርጅቶች በአንዱ የመረጃ ሰርጎ ገቦች የድርጅቱን አጠቃላይ መሰረተ ልማት ሙሉ በሙሉ በመቆጣጠር ጠቃሚ መረጃዎችን በየጊዜው ይሰርቁ እንደነበር ለማወቅ ተችሏል። ለስምንት ዓመታት.

ቀደም ሲል SIEM ሩጫ አለህ እንበል፣ መዝገቦችን የሚሰበስብ እና ክስተቶችን የሚተነትን፣ እና ፀረ-ቫይረስ በጫፍ ኖዶች ላይ ተጭኗል። ቢሆንም፣ ሲኢም በመጠቀም ሁሉም ነገር ሊገኝ አይችልም።, ለጠቅላላው አውታረመረብ የ EDR ስርዓቶችን መተግበር እንደማይቻል, ይህም ማለት "ዓይነ ስውራን" ዞኖችን ማስወገድ አይቻልም. የአውታረ መረብ ትራፊክ ትንተና (ኤንቲኤ) ​​ስርዓቶች እነሱን ለመቋቋም ይረዳሉ. እነዚህ መፍትሄዎች የአጥቂዎችን እንቅስቃሴ በመጀመሪያዎቹ ወደ አውታረ መረቡ ውስጥ ዘልቀው በሚገቡበት ጊዜ እንዲሁም ቦታ ለማግኘት እና በአውታረ መረቡ ውስጥ ጥቃትን ለማዳበር በሚሞክሩበት ጊዜ ይገነዘባሉ።

ሁለት አይነት ኤንቲኤዎች አሉ፡ አንደኛው ከኔትፍሎው ጋር ይሰራል፣ ሌላኛው ደግሞ ጥሬ ትራፊክን ይተነትናል። የሁለተኛው ስርዓቶች ጥቅም ጥሬ የትራፊክ መዝገቦችን ማከማቸት ነው. ለዚህም ምስጋና ይግባውና የኢንፎርሜሽን ደህንነት ባለሙያ የጥቃቱን ስኬት ማረጋገጥ, ስጋትን አካባቢያዊ ማድረግ, ጥቃቱ እንዴት እንደተከሰተ እና ለወደፊቱ ተመሳሳይ ጥቃትን እንዴት መከላከል እንደሚቻል ይረዳል.

በቀጥታም ሆነ በተዘዋዋሪ ምልክቶች፣ በእውቀት መሰረት የተገለጹትን ሁሉንም የታወቁ የጥቃት ስልቶችን ለመለየት NTA እንዴት መጠቀም እንደሚቻል እናሳያለን። MITER ATT&CK. ስለእያንዳንዳቸው ስለ 12ቱ ዘዴዎች እንነጋገራለን፣ በትራፊክ የተገኙትን ቴክኒኮች እንመረምራለን እና የኛን የኤንቲኤ ስርዓታቸውን በመጠቀም መገኘታቸውን እናሳያለን።

ስለ ATT&CK እውቀት መሠረት

MITER ATT&CK በእውነተኛ ኤፒቲዎች ትንተና ላይ ተመስርቶ በ MITER ኮርፖሬሽን የተገነባ እና የሚንከባከበው የህዝብ ዕውቀት መሰረት ነው። በአጥቂዎች ጥቅም ላይ የሚውል የተዋቀረ የታክቲክ እና ቴክኒኮች ስብስብ ነው። ይህ ከመላው አለም የመጡ የመረጃ ደህንነት ባለሙያዎች አንድ ቋንቋ እንዲናገሩ ያስችላቸዋል። የመረጃ ቋቱ በየጊዜው እየሰፋ እና በአዲስ እውቀት ይሞላል።

የመረጃ ቋቱ በሳይበር ጥቃት ደረጃዎች የተከፋፈሉ 12 ስልቶችን ይለያል።

  • የመጀመሪያ መዳረሻ (የመጀመሪያ መዳረሻ);
  • ማስፈጸም (መፈፀም);
  • ማጠናከሪያ (ጽናት);
  • የልዩነት መጨመር;
  • መለየት መከላከል (የመከላከያ ማምለጥ);
  • ምስክርነቶችን ማግኘት (የምስክርነት መዳረሻ);
  • የማሰብ ችሎታ (ግኝት);
  • በፔሚሜትር ውስጥ እንቅስቃሴ (የጎን እንቅስቃሴ);
  • መረጃ መሰብሰብ (ስብስብ);
  • ትዕዛዝ እና ቁጥጥር;
  • መረጃን ማውጣት;
  • ተጽዕኖ.

ለእያንዳንዱ ስልት፣ የATT&CK እውቀት መሰረት አጥቂዎች አሁን ባለው የጥቃቱ ደረጃ ላይ ግባቸውን እንዲያሳኩ የሚያግዙ ቴክኒኮችን ይዘረዝራል። ተመሳሳይ ዘዴ በተለያዩ ደረጃዎች ጥቅም ላይ ሊውል ስለሚችል, በርካታ ዘዴዎችን ሊያመለክት ይችላል.

የእያንዳንዱ ቴክኒክ መግለጫ የሚከተሉትን ያጠቃልላል ።

  • መለያ;
  • ጥቅም ላይ የሚውልባቸው ዘዴዎች ዝርዝር;
  • በ APT ቡድኖች የአጠቃቀም ምሳሌዎች;
  • በአጠቃቀሙ ላይ የሚደርሰውን ጉዳት ለመቀነስ እርምጃዎች;
  • የማወቅ ምክሮች.

የመረጃ ደህንነት ስፔሻሊስቶች ስለ ወቅታዊ የጥቃት ዘዴዎች መረጃን ለማዋቀር ከመረጃ ቋቱ የሚገኘውን እውቀት መጠቀም እና ይህንንም ከግምት ውስጥ በማስገባት ውጤታማ የደህንነት ስርዓት መገንባት ይችላሉ። እውነተኛ የAPT ቡድኖች እንዴት እንደሚሠሩ መረዳት፣ ጨምሮ፣ በውስጥም ለሚደረጉ ዛቻዎች ንቁ ፍለጋ መላምቶች ምንጭ ሊሆን ይችላል። ማስፈራሪያ አደን.

ስለ PT Network Attack ግኝት

ስርዓቱን በመጠቀም የቴክኒኮችን አጠቃቀም ከ ATT እና CK ማትሪክስ እንለያለን። የ PT አውታረ መረብ ጥቃት ግኝት - በፔሪሜትር እና በአውታረ መረቡ ውስጥ ያሉ ጥቃቶችን ለመለየት የተነደፈ አዎንታዊ ቴክኖሎጂዎች NTA ስርዓት። PT NAD ሁሉንም የ MITER ATT&CK ማትሪክስ 12 ስልቶችን በተለያየ ዲግሪ ይሸፍናል። የመነሻ መዳረሻን፣ የኋለኛውን እንቅስቃሴ እና የትዕዛዝ እና የቁጥጥር ቴክኒኮችን በመለየት ረገድ በጣም ጠንካራ ነው። በእነሱ ውስጥ, PT NAD ከታወቁት ቴክኒኮች ውስጥ ከግማሽ በላይ ይሸፍናል, አጠቃቀማቸውን በቀጥታም ሆነ በተዘዋዋሪ ምልክቶች ይገነዘባል.

ስርዓቱ በትእዛዙ የተፈጠሩ የማወቂያ ህጎችን በመጠቀም የATT&CK ቴክኒኮችን በመጠቀም ጥቃቶችን ፈልጎ ያገኛል PT ኤክስፐርት ደህንነት ማዕከል (PT ESC)፣ የማሽን መማር፣ የስምምነት አመላካቾች፣ ጥልቅ ትንታኔዎች እና የኋሊት ትንታኔ። የእውነተኛ ጊዜ ትራፊክ ትንተና፣ ከኋላ ቀርነት ጋር ተዳምሮ፣ አሁን ያለውን የተደበቀ ተንኮል-አዘል እንቅስቃሴን ለይተህ እንድትያውቅ እና የእድገት ቬክተሮችን እንድትከታተል እና የዘመን አቆጣጠርን እንድታጠቃ ያስችልሃል።

እዚህ የPT NAD ሙሉ ካርታ ወደ MITER ATT&CK ማትሪክስ። ስዕሉ ትልቅ ነው, ስለዚህ በተለየ መስኮት ውስጥ እንዲያስቡት እንመክራለን.

የመጀመሪያ መዳረሻ

የትራፊክ ትንተና ስርዓቶች የPT Network Attack Discovery ምሳሌን በመጠቀም በ MITER ATT&CK የጠላፊ ዘዴዎችን እንዴት እንደሚያገኙ

የመጀመርያ የመዳረሻ ዘዴዎች የኩባንያውን ኔትወርክ ሰርጎ ለመግባት ቴክኒኮችን ያካትታሉ። በዚህ ደረጃ ላይ ያሉ የአጥቂዎች ግብ ተንኮል አዘል ኮድ ለተጠቃው ስርዓት ማድረስ እና ተጨማሪ አፈፃፀሙን ማረጋገጥ ነው።

የ PT NAD የትራፊክ ትንተና የመጀመሪያ መዳረሻ ለማግኘት ሰባት ቴክኒኮችን ያሳያል።

1. T1189: መንዳት-በመስማማት

ተጎጂው የመተግበሪያ መዳረሻ ቶከኖችን ለማግኘት ዌብ ማሰሻን ለመጠቀም አጥቂዎች የሚጠቀሙበት ድረ-ገጽ የሚከፍትበት ዘዴ።

PT NAD ምን ያደርጋል?የድር ትራፊክ ያልተመሰጠረ ከሆነ፣ PT NAD የኤችቲቲፒ አገልጋይ ምላሾችን ይዘት ይመረምራል። በእነዚህ መልሶች ውስጥ ነው አጥቂዎች በአሳሹ ውስጥ የዘፈቀደ ኮድ እንዲፈጽሙ የሚያስችላቸው ብዝበዛዎች የተገኙት። PT NAD የማወቂያ ደንቦችን በመጠቀም እንዲህ ያሉ ብዝበዛዎችን በራስ-ሰር ያገኛል።

በተጨማሪም፣ PT NAD በቀደመው ደረጃ ላይ ያለውን ስጋት ያውቃል። ተጠቃሚው ብዙ የብዝበዛዎች ስብስብ ወዳለበት ጣቢያ ያዞረውን ጣቢያ ከጎበኘ ህጎች እና የስምምነት አመላካቾች ይነሳሉ።

2. T1190ህዝብን ፊት ለፊት የሚመለከት መተግበሪያን ይጠቀሙ

ከበይነመረቡ ተደራሽ በሆኑ አገልግሎቶች ላይ የተጋላጭነት ብዝበዛ።

PT NAD ምን ያደርጋል?የአውታረ መረብ ፓኬጆችን ይዘት በጥልቀት ይመረምራል ፣ በእሱ ውስጥ ያልተለመደ እንቅስቃሴ ምልክቶችን ያሳያል። በተለይም በዋና ዋና የይዘት አስተዳደር ስርዓቶች (ሲኤምኤስ)፣ የአውታረ መረብ መሳሪያዎች የድር በይነገጾች፣ በደብዳቤ እና በኤፍቲፒ አገልጋዮች ላይ የሚደረጉ ጥቃቶችን ለመለየት የሚያስችሉዎት ህጎች አሉ።

3. T1133ውጫዊ የርቀት አገልግሎቶች

አጥቂዎች ከውስጥ አውታረመረብ ምንጮች ጋር ለመገናኘት የርቀት መዳረሻ አገልግሎቶችን ይጠቀማሉ።

PT NAD ምን ያደርጋል?: ስርዓቱ ፕሮቶኮሎችን የሚያውቀው በወደብ ቁጥሮች ሳይሆን በፓኬቶች ይዘት በመሆኑ የስርዓት ተጠቃሚዎች ሁሉንም የርቀት መዳረሻ ፕሮቶኮሎችን ለማግኘት እና ህጋዊነትን በሚያረጋግጥ መንገድ ትራፊክን ማጣራት ይችላሉ።

4. T1193ስፒርፊሺንግ አባሪ

እየተናገርን ያለነው ስለ አስጋሪ ዓባሪዎች መላክ ታዋቂነት ነው።

PT NAD ምን ያደርጋል?: ፋይሎችን በራስ-ሰር ከትራፊክ ያወጣል እና ከስምምነት አመልካቾች ጋር ይፈትሻቸዋል። በአባሪዎች ውስጥ ሊተገበሩ የሚችሉ ፋይሎች የደብዳቤ ትራፊክን ይዘት በሚተነትኑ ህጎች ተገኝተዋል። በድርጅት አካባቢ እንዲህ ዓይነቱ ኢንቨስትመንት ያልተለመደ እንደሆነ ይቆጠራል.

5. T1192ስፒርፊሺንግ አገናኝ

የማስገር አገናኞችን መጠቀም። ቴክኒኩ አጥቂዎቹ የአስጋሪ ኢሜል በመላክ ጠቅ ሲያደርጉ ተንኮል አዘል ፕሮግራምን የሚያወርድ ነው። እንደ ደንቡ, አገናኙ በሁሉም የማህበራዊ ምህንድስና ህጎች መሰረት ከተጠናቀረ ጽሑፍ ጋር አብሮ ይገኛል.

PT NAD ምን ያደርጋል?የስምምነት አመልካቾችን በመጠቀም የማስገር አገናኞችን ያገኛል። ለምሳሌ፣ በPT NAD በይነገጽ፣ በአስጋሪ አድራሻዎች ዝርዝር ውስጥ በተካተተ አገናኝ በኩል የኤችቲቲፒ ግንኙነት የነበረበትን ክፍለ ጊዜ እናያለን።

የትራፊክ ትንተና ስርዓቶች የPT Network Attack Discovery ምሳሌን በመጠቀም በ MITER ATT&CK የጠላፊ ዘዴዎችን እንዴት እንደሚያገኙ

የአስጋሪ-ዩአርኤል አመላካቾች ዝርዝር ውስጥ ባለው አገናኝ በኩል ግንኙነት

6. T1199: እምነት ግንኙነት

ተጎጂው ታማኝ ግንኙነት ባለው በሶስተኛ ወገኖች በኩል የተጎጂውን አውታረ መረብ ማግኘት። አጥቂዎች ወደ ታማኝ ድርጅት ሰብረው በመግባት ከታለመለት አውታረ መረብ ጋር ሊገናኙ ይችላሉ። ይህንን ለማድረግ በትራፊክ ትንተና ሊገለጡ የሚችሉ የ VPN ግንኙነቶችን ወይም የጎራ እምነት ግንኙነቶችን ይጠቀማሉ።

PT NAD ምን ያደርጋል?የመረጃ ደኅንነት ተንታኙ ሁሉንም አጠራጣሪ የቪፒኤን ግንኙነቶችን ወይም የጎራ አቋራጭ ግንኙነቶችን በመረጃ ቋቱ ውስጥ ለማግኘት ማጣሪያዎችን እንዲጠቀም የመተግበሪያ ፕሮቶኮሎችን ይተነትናል እና የተተነተኑትን መስኮች ወደ ዳታቤዝ ያስቀምጣል።

7. T1078ትክክለኛ መለያዎች

በውጫዊ እና ውስጣዊ አገልግሎቶች ላይ ፈቃድ ለመስጠት መደበኛ፣ አካባቢያዊ ወይም የጎራ ምስክርነቶችን በመጠቀም።

PT NAD ምን ያደርጋል?ከኤችቲቲፒ፣ ኤፍቲፒ፣ SMTP፣ POP3፣ IMAP፣ SMB፣ DCE/RPC፣ SOCKS5፣ LDAP፣ Kerberos ፕሮቶኮሎች በራስ ሰር ሰርስሮ ያወጣል። በአጠቃላይ, ይህ መግቢያ, የይለፍ ቃል እና የተሳካ ማረጋገጫ ምልክት ነው. ጥቅም ላይ ከዋሉ, በሚዛመደው የክፍለ ጊዜ ካርድ ውስጥ ይታያሉ.

ማስፈጸም

የትራፊክ ትንተና ስርዓቶች የPT Network Attack Discovery ምሳሌን በመጠቀም በ MITER ATT&CK የጠላፊ ዘዴዎችን እንዴት እንደሚያገኙ
የማስፈጸሚያ ዘዴዎች አጥቂዎች በተበላሹ ስርዓቶች ላይ ኮድ ለማስፈጸም የሚጠቀሙባቸውን ቴክኒኮች ያካትታሉ። ተንኮል አዘል ኮድን ማስኬድ አጥቂዎች መገኘትን (የጽናት ታክቲክ) እንዲመሰርቱ እና ወደ ፔሪሜትር ውስጥ በመግባት በአውታረ መረቡ ላይ የርቀት ስርዓቶችን ተደራሽነት ለማስፋት ይረዳል።

PT NAD ተንኮል አዘል ኮድን ለማስፈጸም አጥቂዎች የሚጠቀሙባቸውን 14 ቴክኒኮችን እንዲለዩ ያስችልዎታል።

1. T1191CMSTP (የማይክሮሶፍት ግንኙነት አስተዳዳሪ መገለጫ ጫኚ)

አጥቂዎች በዊንዶውስ ውስጥ ለተሰራው የCMSTP.exe መገልገያ (የግንኙነት አስተዳዳሪ መገለጫ ጫኝ) በልዩ ሁኔታ የተሰራ ተንኮል አዘል INF የመጫኛ ፋይል የሚያዘጋጁበት ዘዴ። CMSTP.exe ፋይልን እንደ መለኪያ ወስዶ ለርቀት ግንኙነት የአገልግሎት መገለጫ ይጭናል። በዚህ ምክንያት CMSTP.exe ተለዋዋጭ አገናኝ ቤተ-ፍርግሞችን (*.dll) ወይም ስክሪፕት (*.sct) ከርቀት አገልጋዮች ለማውረድ እና ለማስፈጸም ይጠቅማል።

PT NAD ምን ያደርጋል?በኤችቲቲፒ ትራፊክ ውስጥ ልዩ ቅጽ .inf ፋይሎችን ማስተላለፍ በራስ-ሰር ያገኛል። በተጨማሪም፣ የኤችቲቲፒ ዝውውሮችን ተንኮል-አዘል ስክሪፕቶች እና ተለዋዋጭ አገናኝ ቤተ-ፍርግሞችን ከርቀት አገልጋይ ያገኛል።

2. T1059የትእዛዝ መስመር በይነገጽ

ከትእዛዝ መስመር በይነገጽ ጋር መስተጋብር። የትእዛዝ መስመር በይነገጹ ከአካባቢው ወይም በርቀት ጋር መስተጋብር ሊፈጠር ይችላል፣ ለምሳሌ በርቀት መዳረሻ መገልገያዎች።

PT NAD ምን ያደርጋል?: እንደ ፒንግ ፣ ifconfig ያሉ የተለያዩ የትዕዛዝ መስመር መገልገያዎችን ለማስጀመር በትእዛዞች ምላሽ የዛጎሎች መኖርን በራስ-ሰር ያገኛል።

3. T1175: አካል የነገር ሞዴል እና የተሰራጨ COM

ኮም ወይም ዲኮም ቴክኖሎጂዎችን በመጠቀም አውታረ መረቡን በሚያቋርጥበት ጊዜ በአካባቢያዊ ወይም በርቀት ስርዓቶች ላይ ኮድ ለማስፈጸም።

PT NAD ምን ያደርጋል?አጥቂዎች በተለምዶ ፕሮግራሞችን ለመክፈት የሚጠቀሙባቸውን አጠራጣሪ የDCOM ጥሪዎች ያገኛል።

4. T1203ለደንበኛ ማስፈጸሚያ ብዝበዛ

በስራ ቦታ ላይ የዘፈቀደ ኮድ ለማስፈጸም የተጋላጭነት ብዝበዛ። ለአጥቂዎች በጣም ጠቃሚ የሆኑ ብዝበዛዎች ኮድ በሩቅ ስርዓት ላይ እንዲተገበር የሚፈቅዱ ናቸው ምክንያቱም አጥቂዎች እንደዚህ አይነት ስርዓትን ለማግኘት ሊጠቀሙባቸው ይችላሉ. ዘዴው በሚከተሉት ዘዴዎች ሊተገበር ይችላል-ተንኮል-አዘል የደብዳቤ መላኪያ ዝርዝር ፣ ለአሳሾች ብዝበዛ ያለው ድረ-ገጽ እና የመተግበሪያ ተጋላጭነቶችን የርቀት ብዝበዛ።

PT NAD ምን ያደርጋል?የመልእክት ትራፊክን በሚተነተንበት ጊዜ፣ PT NAD በአባሪው ውስጥ ሊተገበሩ የሚችሉ ፋይሎች መኖራቸውን ያረጋግጣል። ብዝበዛዎችን ሊያካትቱ የሚችሉ የቢሮ ሰነዶችን ከኢሜይሎች በራስ ሰር ያወጣል። ተጋላጭነቶችን ለመጠቀም የሚደረጉ ሙከራዎች በትራፊክ ውስጥ ይታያሉ፣ ይህም PT NAD በራስ-ሰር የሚያገኘው ነው።

5. T1170: mshta

የማይክሮሶፍት ኤችቲኤምኤል አፕሊኬሽኖችን (ኤችቲኤ) በ .hta ቅጥያ የሚሰራውን mshta.exe utilityን በመጠቀም። mshta የአሳሽ ደህንነት ቅንጅቶችን በማለፍ ፋይሎችን ስለሚያስኬድ አጥቂዎች ተንኮል አዘል ኤችቲኤ፣ JavaScript ወይም VBScript ፋይሎችን ለማስፈጸም mshta.exeን መጠቀም ይችላሉ።

PT NAD ምን ያደርጋል?: .hta ፋይሎችን በ mshta በኩል ለማስፈጸም በኔትወርኩ ላይም ይተላለፋሉ - ይህ በትራፊክ ውስጥ ይታያል. PT NAD እንደነዚህ ያሉ ተንኮል አዘል ፋይሎችን በራስ-ሰር መተላለፉን ያውቃል። ፋይሎችን ይይዛል, እና ስለእነሱ መረጃ በክፍለ ጊዜ ካርድ ውስጥ ሊታይ ይችላል.

6. T1086: powershell

መረጃን ለመፈለግ እና ተንኮል-አዘል ኮድ ለማስፈጸም PowerShellን በመጠቀም።

PT NAD ምን ያደርጋል?ፓወር ሼል በአጥቂዎች በርቀት ጥቅም ላይ ሲውል፣ PT NAD ይህን ያገኘው ደንቦችን በመጠቀም ነው። በተንኮል አዘል ስክሪፕቶች ውስጥ በብዛት ጥቅም ላይ የሚውሉትን የPowerShell ቋንቋ ቁልፍ ቃላትን እና የPowerShell ስክሪፕቶችን በSMB ላይ ያስተላልፋል።

7. T1053: የታቀደ ተግባር
ፕሮግራሞችን ወይም ስክሪፕቶችን በተወሰኑ ጊዜያት ለማሄድ የዊንዶውስ ተግባር መርሐግብርን እና ሌሎች መገልገያዎችን ይጠቀሙ።

PT NAD ምን ያደርጋል?አጥቂዎች እንደዚህ አይነት ስራዎችን ይፈጥራሉ, ብዙውን ጊዜ ከርቀት, ይህም ማለት እንደዚህ አይነት ክፍለ ጊዜዎች በትራፊክ ውስጥ ይታያሉ. PT NAD የATSVC እና ITaskSchedulerService RPC በይነገጾችን በመጠቀም አጠራጣሪ ተግባርን መፍጠር እና ማሻሻያ ስራዎችን በራስ ሰር ያገኛል።

8. T1064: ስክሪፕት ማድረግ

የአጥቂዎችን የተለያዩ እርምጃዎችን በራስ-ሰር ለማድረግ የስክሪፕቶችን አፈፃፀም።

PT NAD ምን ያደርጋል?: የስክሪፕቶችን ስርጭት በኔትወርኩ ላይ ማለትም ከመጀመራቸው በፊትም እንኳ ይገነዘባል። በጥሬ ትራፊክ ውስጥ የስክሪፕት ይዘትን ያገኛል እና ከታዋቂ የስክሪፕት ቋንቋዎች ጋር የሚዛመዱ የፋይሎች የአውታረ መረብ ስርጭትን ያገኛል።

9. T1035: የአገልግሎት አፈፃፀም

እንደ የአገልግሎት ቁጥጥር አስተዳዳሪ (ሲ.ኤም.ኤም.) ካሉ የዊንዶውስ አገልግሎቶች ጋር በመገናኘት ሊተገበር የሚችል ፋይልን፣ የCLI መመሪያዎችን ወይም ስክሪፕትን ያሂዱ።

PT NAD ምን ያደርጋል?የኤስኤምቢ ትራፊክን ይመረምራል እና የኤስ.ኤም.ኤም ጥያቄዎችን አገልግሎት ለመፍጠር፣ ለማሻሻል እና ለመጀመር ደንቦችን ይመረምራል።

አገልግሎቶችን ለመጀመር ቴክኒክ የርቀት ትዕዛዝ ማስፈጸሚያ መገልገያውን PSExec በመጠቀም ሊተገበር ይችላል። PT NAD የ SMB ፕሮቶኮሉን ይተነትናል እና የ PSExec አጠቃቀምን የ PSEXESVC.exe ፋይል ወይም የPSEXECSVC መደበኛ አገልግሎት ስም ሲጠቀም በሩቅ ማሽን ላይ ኮድን ይፈጽማል። ተጠቃሚው የተፈጸሙትን ትዕዛዞች ዝርዝር እና ከአስተናጋጁ የርቀት ትዕዛዝ አፈፃፀም ህጋዊነትን ማረጋገጥ ያስፈልገዋል.

በPT NAD ውስጥ ያለው የጥቃት ካርድ ተጠቃሚው አጥቂዎቹ በምን ደረጃ ላይ እንደሚገኙ፣ ምን ዓይነት ግቦችን እንደሚከተሉ እና ምን ዓይነት የማካካሻ እርምጃዎችን መውሰድ እንዳለባቸው እንዲረዳው በ ATT & CK ማትሪክስ የሚጠቀሙባቸውን ዘዴዎች እና ቴክኒኮች መረጃ ያሳያል።

የትራፊክ ትንተና ስርዓቶች የPT Network Attack Discovery ምሳሌን በመጠቀም በ MITER ATT&CK የጠላፊ ዘዴዎችን እንዴት እንደሚያገኙ

የርቀት ማሽን ላይ ትዕዛዞችን ለመፈጸም መሞከርን የሚያመለክት የ PSExec መገልገያ አጠቃቀምን በተመለከተ ደንቡን ማግበር

10. T1072የሶስተኛ ወገን ሶፍትዌር

አጥቂዎች የርቀት አስተዳደር ሶፍትዌሮችን ወይም የድርጅት ሶፍትዌር ማሰማራያ ስርዓትን የሚያገኙበት እና ተንኮል-አዘል ኮድ ለማስኬድ የሚጠቀሙበት ዘዴ። የሶፍትዌር ምሳሌዎች፡ SCCM፣ VNC፣ TeamViewer፣ HBSS፣ Altiris።
በነገራችን ላይ ቴክኒኩ በተለይ ወደ ሩቅ ስራ ከሚደረገው ግዙፍ ሽግግር እና በዚህም ምክንያት በርካታ የቤት ውስጥ ጥበቃ የሌላቸው መሳሪያዎች አጠራጣሪ በሆኑ የርቀት መዳረሻ ቻናሎች ግንኙነት ጋር ተያይዞ ጠቃሚ ነው።

PT NAD ምን ያደርጋል?: በራስ-ሰር በአውታረ መረቡ ላይ የእንደዚህ አይነት ሶፍትዌሮችን አሠራር ያገኛል። ለምሳሌ፣ ደንቦቹ የሚቀሰቀሱት በVNC ፕሮቶኮል በኩል የመገናኘት እውነታዎች እና የ EvilVNC ትሮጃን እንቅስቃሴ ሲሆን ይህም በተጠቂው አስተናጋጅ ላይ የቪኤንሲ አገልጋይ በድብቅ ጭኖ በራስ-ሰር ይጀምራል። እንዲሁም፣ PT NAD የTeamViewer ፕሮቶኮልን በራስ-ሰር ያገኛል፣ ይህም ተንታኙ ማጣሪያን ተጠቅሞ እነዚህን ሁሉ ክፍለ ጊዜዎች እንዲያገኝ እና ህጋዊነታቸውን እንዲያረጋግጥ ያግዘዋል።

11. T1204የተጠቃሚ ማስፈጸሚያ

ተጠቃሚው ኮድ እንዲተገበር የሚያደርጉ ፋይሎችን የሚያሄድበት ዘዴ። ይህ ለምሳሌ ሊተገበር የሚችል ፋይል ከከፈተ ወይም የቢሮ ሰነድን ከማክሮ ጋር ካሰራ ሊሆን ይችላል።

PT NAD ምን ያደርጋል?: እንደዚህ ያሉ ፋይሎችን በማስተላለፊያ ደረጃ ላይ, ከመጀመራቸው በፊት ያያል. ስለእነሱ መረጃ በሚተላለፉባቸው የክፍለ-ጊዜዎች ካርድ ውስጥ ሊጠና ይችላል.

12. T1047: የዊንዶውስ አስተዳደር መሣሪያ

የዊንዶው ሲስተም አካላትን አካባቢያዊ እና የርቀት መዳረሻን የሚያቀርበውን WMI መሳሪያ በመጠቀም። WMI ን በመጠቀም አጥቂዎች ከአካባቢያዊ እና የርቀት ስርዓቶች ጋር መስተጋብር መፍጠር እና የተለያዩ ተግባራትን ማከናወን ይችላሉ ለምሳሌ ለኢንተለጀንስ ዓላማ መረጃን መሰብሰብ እና በጎን እንቅስቃሴ ጊዜ ሂደቶችን በርቀት ማስጀመር።

PT NAD ምን ያደርጋል?WMI ከርቀት ሲስተሞች ጋር ያለው መስተጋብር በትራፊክ ውስጥ ስለሚታይ፣ PT NAD የWMI ክፍለ ጊዜዎችን ለመመስረት የአውታረ መረብ ጥያቄዎችን በራስ ሰር ያገኛል እና WMI የሚጠቀሙ ስክሪፕቶች እየተተላለፉ መሆናቸውን ትራፊኩን ይፈትሻል።

13. T1028: ዊንዶውስ የርቀት አስተዳደር

ተጠቃሚው ከርቀት ስርዓቶች ጋር እንዲገናኝ የሚያስችለውን የዊንዶውስ አገልግሎት እና ፕሮቶኮል በመጠቀም።

PT NAD ምን ያደርጋል?የዊንዶውስ የርቀት አስተዳደርን በመጠቀም የተመሰረቱ የአውታረ መረብ ግንኙነቶችን ይመለከታል። እንደነዚህ ያሉት ክፍለ-ጊዜዎች በህጎቹ በራስ-ሰር ተገኝተዋል።

14. T1220: XSL (Extensible Stylesheet Language) ስክሪፕት ማቀናበር

የXSL ስታይል ማርክ ቋንቋ በኤክስኤምኤል ፋይሎች ውስጥ ያለውን መረጃ ሂደት እና አተረጓጎም ለመግለፅ ይጠቅማል። ውስብስብ ስራዎችን ለመደገፍ የ XSL መስፈርት በበርካታ ቋንቋዎች ውስጥ ለሚገኙ የመስመር ላይ ስክሪፕቶች ድጋፍን ያካትታል. እነዚህ ቋንቋዎች የተፈቀደላቸው የደህንነት ፖሊሲዎችን የሚያልፍ የዘፈቀደ ኮድ እንዲፈፀም ይፈቅዳሉ።

PT NAD ምን ያደርጋል?: እንደነዚህ ያሉ ፋይሎችን በኔትወርኩ ላይ ማለትም ከመጀመራቸው በፊት እንኳን ማስተላለፍን ይለያል. የ XSL ፋይሎችን በኔትወርኩ እና በፋይሎች ላይ ያልተለመደ የXSL ምልክት ማድረጊያን በራስ-ሰር ያገኛል።

በሚቀጥሉት ቁሳቁሶች የ PT Network Attack Discovery NTA ስርዓት በ MITER ATT እና CK መሰረት ሌሎች የአጥቂዎችን ስልቶች እና ዘዴዎችን እንዴት እንደሚያገኝ እንመለከታለን። ተከታተሉት!

ደራሲያን:

  • አንቶን ኩቴፖቭ, የኤክስፐርት የደህንነት ማእከል (PT ኤክስፐርት ሴኪዩሪቲ ሴንተር) አዎንታዊ ቴክኖሎጂዎች ስፔሻሊስት
  • ናታልያ ካዛንኮቫ, በአዎንታዊ ቴክኖሎጂዎች የምርት ገበያተኛ

ምንጭ: hab.com

አስተያየት ያክሉ