របៀបដែលប្រព័ន្ធវិភាគចរាចរណ៍រកឃើញយុទ្ធសាស្ត្ររបស់ពួក Hacker ដោយប្រើ MITER ATT&CK ដោយប្រើឧទាហរណ៍ PT Network Attack Discovery

នេះ​បើ​តាម​ក្រុមហ៊ុន Verizonភាគច្រើន (87%) នៃឧប្បត្តិហេតុសន្តិសុខព័ត៌មានកើតឡើងក្នុងរយៈពេលប៉ុន្មាននាទី ហើយសម្រាប់ 68% នៃក្រុមហ៊ុនវាត្រូវចំណាយពេលរាប់ខែដើម្បីរកឱ្យឃើញពួកគេ។ នេះត្រូវបានបញ្ជាក់ដោយ វិទ្យាស្ថាន Ponemon ស្រាវជ្រាវយោងតាមការដែលអង្គការភាគច្រើនចំណាយពេលជាមធ្យម 206 ថ្ងៃដើម្បីរកឃើញឧប្បត្តិហេតុមួយ។ ដោយផ្អែកលើបទពិសោធន៍នៃការស៊ើបអង្កេតរបស់យើង ពួក Hacker អាចគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធរបស់ក្រុមហ៊ុនអស់រយៈពេលជាច្រើនឆ្នាំដោយមិនត្រូវបានរកឃើញ។ ដូច្នេះហើយ នៅក្នុងអង្គការមួយក្នុងចំណោមស្ថាប័នដែលអ្នកជំនាញរបស់យើងបានស៊ើបអង្កេតឧប្បត្តិហេតុសន្តិសុខព័ត៌មាន វាត្រូវបានបង្ហាញថាពួក Hacker បានគ្រប់គ្រងទាំងស្រុងនូវហេដ្ឋារចនាសម្ព័ន្ធទាំងមូលរបស់អង្គការ និងបានលួចព័ត៌មានសំខាន់ៗជាប្រចាំ។ សម្រាប់ប្រាំបីឆ្នាំ.

ចូរនិយាយថាអ្នកមាន SIEM ដែលដំណើរការរួចហើយ ដែលប្រមូលកំណត់ហេតុ និងវិភាគព្រឹត្តិការណ៍ ហើយកម្មវិធីកំចាត់មេរោគត្រូវបានដំឡើងនៅលើថ្នាំងចុងក្រោយ។ យ៉ាង​ណា​ក៏​ដោយ មិនមែនអ្វីៗទាំងអស់អាចត្រូវបានរកឃើញដោយប្រើ SIEM នោះទេ។ដូចដែលវាមិនអាចទៅរួចទេក្នុងការអនុវត្តប្រព័ន្ធ EDR នៅទូទាំងបណ្តាញទាំងមូល ដែលមានន័យថាចំណុច "ពិការភ្នែក" មិនអាចជៀសវាងបានទេ។ ប្រព័ន្ធការវិភាគចរាចរណ៍បណ្តាញ (NTA) ជួយដោះស្រាយជាមួយពួកគេ។ ដំណោះស្រាយទាំងនេះរកឃើញសកម្មភាពរបស់អ្នកវាយប្រហារនៅដំណាក់កាលដំបូងបំផុតនៃការជ្រៀតចូលបណ្តាញ ក៏ដូចជាអំឡុងពេលព្យាយាមដើម្បីទទួលបានមូលដ្ឋាន និងបង្កើតការវាយប្រហារនៅក្នុងបណ្តាញ។

មាន NTAs ពីរប្រភេទ៖ ខ្លះធ្វើការជាមួយ NetFlow ខ្លះទៀតវិភាគចរាចរឆៅ។ អត្ថប្រយោជន៍នៃប្រព័ន្ធទីពីរគឺថាពួកគេអាចរក្សាទុកកំណត់ត្រាចរាចរណ៍ឆៅ។ អរគុណចំពោះបញ្ហានេះ អ្នកឯកទេសផ្នែកសន្តិសុខព័ត៌មានអាចផ្ទៀងផ្ទាត់ភាពជោគជ័យនៃការវាយប្រហារ ធ្វើមូលដ្ឋានីយកម្មការគំរាមកំហែង ស្វែងយល់ពីរបៀបដែលការវាយប្រហារបានកើតឡើង និងវិធីការពារស្រដៀងគ្នានាពេលអនាគត។

យើងនឹងបង្ហាញពីរបៀបប្រើប្រាស់ NTA អ្នកអាចប្រើភស្តុតាងដោយផ្ទាល់ ឬដោយប្រយោលដើម្បីកំណត់អត្តសញ្ញាណយុទ្ធសាស្ត្រវាយប្រហារដែលគេស្គាល់ទាំងអស់ដែលបានពិពណ៌នានៅក្នុងមូលដ្ឋានចំណេះដឹង MITER ATT&CK. យើងនឹងនិយាយអំពីយុទ្ធសាស្ត្រនីមួយៗនៃ 12 វិភាគបច្ចេកទេសដែលត្រូវបានរកឃើញដោយចរាចរណ៍ និងបង្ហាញពីការរកឃើញរបស់ពួកគេដោយប្រើប្រព័ន្ធ NTA របស់យើង។

អំពីមូលដ្ឋានចំណេះដឹង ATT&CK

MITER ATT&CK គឺជាមូលដ្ឋានចំណេះដឹងសាធារណៈដែលត្រូវបានបង្កើតឡើង និងថែទាំដោយសាជីវកម្ម MITER ដោយផ្អែកលើការវិភាគនៃ APTs ជីវិតពិត។ វា​គឺ​ជា​សំណុំ​នៃ​យុទ្ធសាស្ត្រ និង​បច្ចេកទេស​ដែល​ប្រើ​ដោយ​អ្នក​វាយប្រហារ។ នេះអនុញ្ញាតឱ្យអ្នកជំនាញផ្នែកសន្តិសុខព័ត៌មានមកពីជុំវិញពិភពលោកនិយាយភាសាតែមួយ។ មូលដ្ឋានទិន្នន័យត្រូវបានពង្រីកឥតឈប់ឈរ និងបំពេញបន្ថែមជាមួយនឹងចំណេះដឹងថ្មីៗ។

មូលដ្ឋានទិន្នន័យកំណត់យុទ្ធសាស្ត្រចំនួន 12 ដែលត្រូវបានបែងចែកតាមដំណាក់កាលនៃការវាយប្រហារតាមអ៊ីនធឺណិត៖

• ការចូលដំណើរការដំបូង;
• ការប្រតិបត្តិ;
• ការបង្រួបបង្រួម (ការតស៊ូ);
• ការកើនឡើងនៃសិទ្ធិ;
• ការការពារការរកឃើញ (ការគេចចេញពីការការពារ);
• ការទទួលបានព័ត៌មានសម្ងាត់ (ការចូលប្រើព័ត៌មានសម្ងាត់);
• ការរុករក;
• ចលនានៅក្នុងបរិវេណ (ចលនានៅពេលក្រោយ);
• ការប្រមូលទិន្នន័យ (ការប្រមូលទិន្នន័យ);
• បញ្ជានិងការគ្រប់គ្រង;
• ការទាញយកទិន្នន័យ;
• ផលប៉ះពាល់។

សម្រាប់យុទ្ធសាស្ត្រនីមួយៗ មូលដ្ឋានចំណេះដឹង ATT&CK រាយបញ្ជីបច្ចេកទេសដែលជួយអ្នកវាយប្រហារឱ្យសម្រេចបាននូវគោលដៅរបស់ពួកគេនៅដំណាក់កាលបច្ចុប្បន្ននៃការវាយប្រហារ។ ដោយសារបច្ចេកទេសដូចគ្នាអាចប្រើក្នុងដំណាក់កាលផ្សេងៗគ្នា វាអាចសំដៅទៅលើកលល្បិចជាច្រើន។

ការពិពណ៌នាអំពីបច្ចេកទេសនីមួយៗរួមមាន:

• អត្តសញ្ញាណ;
• បញ្ជីនៃយុទ្ធសាស្ត្រដែលវាត្រូវបានប្រើ;
• ឧទាហរណ៍នៃការប្រើប្រាស់ដោយក្រុម APT;
• វិធានការកាត់បន្ថយការខូចខាតពីការប្រើប្រាស់របស់វា;
• ការណែនាំអំពីការរកឃើញ។

អ្នកឯកទេសសុវត្ថិភាពព័ត៌មានអាចប្រើប្រាស់ចំណេះដឹងពីមូលដ្ឋានទិន្នន័យ ដើម្បីរៀបចំរចនាសម្ព័ន្ធព័ត៌មានអំពីវិធីសាស្ត្រវាយប្រហារបច្ចុប្បន្ន ហើយដោយគិតគូរពីចំណុចនេះ បង្កើតប្រព័ន្ធសុវត្ថិភាពដ៏មានប្រសិទ្ធភាពមួយ។ ការយល់ដឹងពីរបៀបដែលក្រុម APT ប្រតិបត្តិការពិតប្រាកដក៏អាចក្លាយជាប្រភពនៃសម្មតិកម្មសម្រាប់ការស្វែងរកយ៉ាងសកម្មសម្រាប់ការគំរាមកំហែងនៅក្នុងខ្លួន ការបរបាញ់គំរាម.

អំពី PT Network Attack Discovery

យើងនឹងកំណត់អត្តសញ្ញាណការប្រើប្រាស់បច្ចេកទេសពីម៉ាទ្រីស ATT&CK ដោយប្រើប្រព័ន្ធ ការរកឃើញការវាយប្រហារបណ្តាញ PT - ប្រព័ន្ធបច្ចេកវិទ្យាវិជ្ជមាន NTA ដែលត្រូវបានរចនាឡើងដើម្បីស្វែងរកការវាយប្រហារតាមបរិវេណ និងខាងក្នុងបណ្តាញ។ PT NAD គ្របដណ្ដប់ ដល់កម្រិតផ្សេងៗគ្នា យុទ្ធសាស្ត្រទាំង 12 នៃម៉ាទ្រីស MITER ATT&CK ។ គាត់មានឥទ្ធិពលបំផុតក្នុងការកំណត់អត្តសញ្ញាណបច្ចេកទេសសម្រាប់ការចូលប្រើដំបូង ចលនានៅពេលក្រោយ និងបញ្ជា និងការគ្រប់គ្រង។ នៅក្នុងពួកគេ PT NAD គ្របដណ្តប់ច្រើនជាងពាក់កណ្តាលនៃបច្ចេកទេសដែលគេស្គាល់ ដោយរកឃើញកម្មវិធីរបស់ពួកគេដោយសញ្ញាផ្ទាល់ ឬដោយប្រយោល។

ប្រព័ន្ធរកឃើញការវាយប្រហារដោយប្រើប្រាស់បច្ចេកទេស ATT&CK ដោយប្រើច្បាប់រកឃើញដែលបង្កើតឡើងដោយក្រុម មជ្ឈមណ្ឌលសន្តិសុខអ្នកជំនាញ PT (PT ESC) ការរៀនម៉ាស៊ីន សូចនាករនៃការសម្របសម្រួល ការវិភាគស៊ីជម្រៅ និងការវិភាគថយក្រោយ។ ការវិភាគចរាចរណ៍តាមពេលវេលាជាក់ស្តែង រួមផ្សំជាមួយការរំលឹកឡើងវិញអនុញ្ញាតឱ្យអ្នកកំណត់អត្តសញ្ញាណសកម្មភាពព្យាបាទដែលលាក់កំបាំងបច្ចុប្បន្ន និងតាមដានវ៉ិចទ័រអភិវឌ្ឍន៍ និងកាលប្បវត្តិនៃការវាយប្រហារ។

នៅទីនេះ ការធ្វើផែនទីពេញលេញនៃ PT NAD ទៅម៉ាទ្រីស MITER ATT&CK ។ រូបភាពមានទំហំធំ ដូច្នេះយើងស្នើឱ្យអ្នកមើលវានៅក្នុងបង្អួចដាច់ដោយឡែកមួយ។

ការចូលប្រើដំបូង

វិធីសាស្ត្រចូលប្រើដំបូងរួមមានបច្ចេកទេសក្នុងការជ្រៀតចូលបណ្តាញរបស់ក្រុមហ៊ុន។ គោលដៅរបស់អ្នកវាយប្រហារនៅដំណាក់កាលនេះគឺដើម្បីបញ្ជូនកូដព្យាបាទទៅកាន់ប្រព័ន្ធវាយប្រហារ និងធានានូវលទ្ធភាពនៃការប្រតិបត្តិបន្ថែមទៀតរបស់វា។

ការវិភាគចរាចរណ៍ពី PT NAD បង្ហាញពីបច្ចេកទេសចំនួនប្រាំពីរសម្រាប់ការទទួលបានសិទ្ធិចូលដំណើរការដំបូង:

1. T1189: drive-by compromise

បច្ចេកទេសមួយដែលជនរងគ្រោះបើកគេហទំព័រដែលប្រើដោយអ្នកវាយប្រហារ ដើម្បីទាញយកកម្មវិធីរុករកតាមអ៊ីនធឺណិត និងទទួលបានសញ្ញាសម្ងាត់ចូលប្រើកម្មវិធី។

តើ PT NAD ធ្វើអ្វី?៖ ប្រសិនបើចរាចរណ៍គេហទំព័រមិនត្រូវបានអ៊ិនគ្រីបទេ PT NAD ត្រួតពិនិត្យខ្លឹមសារនៃការឆ្លើយតបរបស់ម៉ាស៊ីនមេ HTTP ។ ការឆ្លើយតបទាំងនេះមានការកេងប្រវ័ញ្ចដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារដំណើរការកូដបំពាននៅខាងក្នុងកម្មវិធីរុករក។ PT NAD រកឃើញការកេងប្រវ័ញ្ចបែបនេះដោយស្វ័យប្រវត្តិដោយប្រើច្បាប់រាវរក។

លើសពីនេះទៀត PT NAD រកឃើញការគំរាមកំហែងនៅក្នុងជំហានមុន។ ច្បាប់ និងសូចនាករនៃការសម្របសម្រួលត្រូវបានបង្កឡើង ប្រសិនបើអ្នកប្រើប្រាស់បានចូលមើលគេហទំព័រដែលបញ្ជូនគាត់ទៅគេហទំព័រដែលមានការកេងប្រវ័ញ្ចច្រើន។

2. T1190៖ ទាញយកកម្មវិធីដែលប្រឈមមុខនឹងសាធារណៈ

ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៅក្នុងសេវាកម្មដែលអាចចូលប្រើបានពីអ៊ីនធឺណិត។

តើ PT NAD ធ្វើអ្វី?៖ ធ្វើការត្រួតពិនិត្យយ៉ាងស៊ីជម្រៅលើខ្លឹមសារនៃកញ្ចប់បណ្តាញ កំណត់សញ្ញានៃសកម្មភាពខុសប្រក្រតី។ ជាពិសេស មានច្បាប់ដែលអនុញ្ញាតឱ្យអ្នករកឃើញការវាយប្រហារលើប្រព័ន្ធគ្រប់គ្រងខ្លឹមសារសំខាន់ៗ (CMS) ចំណុចប្រទាក់បណ្ដាញនៃឧបករណ៍បណ្តាញ និងការវាយប្រហារលើម៉ាស៊ីនមេ និងម៉ាស៊ីនមេ FTP ។

3. T1133៖ សេវាពីចម្ងាយខាងក្រៅ

អ្នកវាយប្រហារប្រើសេវាចូលប្រើពីចម្ងាយ ដើម្បីភ្ជាប់ទៅធនធានបណ្តាញខាងក្នុងពីខាងក្រៅ។

តើ PT NAD ធ្វើអ្វី?៖ ដោយសារប្រព័ន្ធទទួលស្គាល់ពិធីការមិនមែនតាមលេខច្រកទេ ប៉ុន្តែតាមរយៈខ្លឹមសារនៃកញ្ចប់ព័ត៌មាន អ្នកប្រើប្រាស់ប្រព័ន្ធអាចត្រងចរាចរ ដើម្បីស្វែងរកវគ្គទាំងអស់នៃពិធីការចូលប្រើពីចម្ងាយ និងពិនិត្យមើលភាពស្របច្បាប់របស់ពួកគេ។

4. T1193៖ ឯកសារភ្ជាប់ spearphishing

យើងកំពុងនិយាយអំពីការផ្ញើឯកសារភ្ជាប់បន្លំដ៏ល្បី។

តើ PT NAD ធ្វើអ្វី?៖ ទាញយកឯកសារដោយស្វ័យប្រវត្តិពីចរាចរណ៍ ហើយពិនិត្យពួកវាប្រឆាំងនឹងសូចនាករនៃការសម្របសម្រួល។ ឯកសារដែលអាចប្រតិបត្តិបាននៅក្នុងឯកសារភ្ជាប់ត្រូវបានរកឃើញដោយច្បាប់ដែលវិភាគមាតិកានៃចរាចរសំបុត្រ។ នៅក្នុងបរិយាកាសសាជីវកម្ម ការវិនិយោគបែបនេះត្រូវបានចាត់ទុកថាមិនប្រក្រតី។

5. T1192៖ តំណភ្ជាប់ spearphishing

ការប្រើប្រាស់តំណបន្លំ។ បច្ចេកទេសនេះពាក់ព័ន្ធនឹងអ្នកវាយប្រហារផ្ញើអ៊ីមែលបន្លំជាមួយនឹងតំណដែលនៅពេលចុចទាញយកកម្មវិធីព្យាបាទ។ តាមក្បួនមួយតំណភ្ជាប់ត្រូវបានអមដោយអត្ថបទដែលចងក្រងដោយអនុលោមតាមច្បាប់ទាំងអស់នៃវិស្វកម្មសង្គម។

តើ PT NAD ធ្វើអ្វី?៖ រកឃើញតំណភ្ជាប់បន្លំដោយប្រើសូចនាករនៃការសម្របសម្រួល។ ជាឧទាហរណ៍ នៅក្នុងចំណុចប្រទាក់ PT NAD យើងឃើញវគ្គមួយដែលមានការភ្ជាប់ HTTP តាមរយៈតំណភ្ជាប់ដែលមាននៅក្នុងបញ្ជីអាសយដ្ឋានបន្លំ (phishing-urls)។

ការតភ្ជាប់តាមរយៈតំណភ្ជាប់ពីបញ្ជីសូចនាករនៃការសម្របសម្រួល phishing-urls

6. T1199៖ ទំនាក់ទំនងដែលអាចទុកចិត្តបាន។

ការចូលទៅកាន់បណ្តាញរបស់ជនរងគ្រោះតាមរយៈភាគីទីបីដែលជនរងគ្រោះបានបង្កើតទំនាក់ទំនងដែលអាចទុកចិត្តបាន។ អ្នកវាយប្រហារអាច hack អង្គការដែលអាចទុកចិត្តបាន ហើយភ្ជាប់ទៅបណ្តាញគោលដៅតាមរយៈវា។ ដើម្បីធ្វើដូច្នេះ ពួកគេប្រើប្រាស់ការតភ្ជាប់ VPN ឬ domain trusts ដែលអាចត្រូវបានកំណត់អត្តសញ្ញាណតាមរយៈការវិភាគចរាចរណ៍។

តើ PT NAD ធ្វើអ្វី?៖ ញែកពិធីការកម្មវិធី និងរក្សាទុកវាលដែលបានញែកទៅក្នុងមូលដ្ឋានទិន្នន័យ ដូច្នេះអ្នកវិភាគសុវត្ថិភាពព័ត៌មានអាចប្រើតម្រងដើម្បីស្វែងរកការតភ្ជាប់ VPN គួរឱ្យសង្ស័យ ឬការតភ្ជាប់ឆ្លងដែននៅក្នុងមូលដ្ឋានទិន្នន័យ។

7. T1078៖ គណនីត្រឹមត្រូវ។

ការប្រើប្រាស់លិខិតសម្គាល់ស្តង់ដារ មូលដ្ឋាន ឬដែនសម្រាប់ការអនុញ្ញាតលើសេវាកម្មខាងក្រៅ និងខាងក្នុង។

តើ PT NAD ធ្វើអ្វី?៖ ទាញយកព័ត៌មានសម្ងាត់ដោយស្វ័យប្រវត្តិពី HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protocols។ ជាទូទៅ នេះគឺជាការចូល ពាក្យសម្ងាត់ និងសញ្ញានៃការផ្ទៀងផ្ទាត់ដោយជោគជ័យ។ ប្រសិនបើពួកវាត្រូវបានប្រើប្រាស់ ពួកវាត្រូវបានបង្ហាញនៅក្នុងកាតសម័យដែលត្រូវគ្នា។

ការប្រតិបត្តិ

យុទ្ធសាស្ត្រប្រតិបត្តិរួមមានបច្ចេកទេសដែលអ្នកវាយប្រហារប្រើដើម្បីប្រតិបត្តិកូដនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ការដំណើរការកូដព្យាបាទជួយអ្នកវាយប្រហារបង្កើតវត្តមាន (យុទ្ធសាស្ត្រតស៊ូ) និងពង្រីកការចូលប្រើប្រព័ន្ធពីចម្ងាយនៅលើបណ្តាញដោយផ្លាស់ទីទៅខាងក្នុងបរិវេណ។

PT NAD អនុញ្ញាតឱ្យអ្នករកឃើញការប្រើប្រាស់បច្ចេកទេសចំនួន 14 ដែលប្រើដោយអ្នកវាយប្រហារដើម្បីប្រតិបត្តិកូដព្យាបាទ។

1. T1191៖ CMSTP (កម្មវិធីដំឡើងទម្រង់កម្មវិធីគ្រប់គ្រងការភ្ជាប់ Microsoft)

យុទ្ធសាស្ត្រដែលអ្នកវាយប្រហាររៀបចំឯកសារដំឡើង INF ដែលមានមេរោគពិសេសសម្រាប់ឧបករណ៍ប្រើប្រាស់ Windows CMSTP.exe (កម្មវិធីដំឡើងទម្រង់កម្មវិធីគ្រប់គ្រងការតភ្ជាប់)។ CMSTP.exe យកឯកសារជាប៉ារ៉ាម៉ែត្រ ហើយដំឡើងទម្រង់សេវាកម្មសម្រាប់ការតភ្ជាប់ពីចម្ងាយ។ ជាលទ្ធផល CMSTP.exe អាចត្រូវបានប្រើដើម្បីផ្ទុក និងប្រតិបត្តិបណ្ណាល័យតំណថាមវន្ត (*.dll) ឬ scriptlets (*.sct) ពីម៉ាស៊ីនមេពីចម្ងាយ។

តើ PT NAD ធ្វើអ្វី?៖ រកឃើញដោយស្វ័យប្រវត្តិនូវការផ្ទេរឯកសារ INF ប្រភេទពិសេសនៅក្នុងចរាចរ HTTP ។ បន្ថែមពីលើនេះ វារកឃើញការបញ្ជូន HTTP នៃអក្សរព្យាបាទ និងបណ្ណាល័យតំណថាមវន្តពីម៉ាស៊ីនមេពីចម្ងាយ។

2. T1059៖ ចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា

អន្តរកម្មជាមួយចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា។ ចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជាអាចត្រូវបានធ្វើអន្តរកម្មជាមួយមូលដ្ឋាន ឬពីចម្ងាយ ឧទាហរណ៍ដោយប្រើឧបករណ៍ប្រើប្រាស់ពីចម្ងាយ។

តើ PT NAD ធ្វើអ្វី?៖ រកឃើញដោយស្វ័យប្រវត្តិនូវវត្តមានរបស់សែល ដោយផ្អែកលើការឆ្លើយតបទៅនឹងពាក្យបញ្ជា ដើម្បីបើកដំណើរការឧបករណ៍ប្រើប្រាស់បន្ទាត់ពាក្យបញ្ជាផ្សេងៗ ដូចជា ping, ifconfig ។

3. T1175៖ គំរូវត្ថុធាតុផ្សំ និងចែកចាយ COM

ការប្រើប្រាស់បច្ចេកវិទ្យា COM ឬ DCOM ដើម្បីប្រតិបត្តិកូដនៅលើប្រព័ន្ធមូលដ្ឋាន ឬពីចម្ងាយ ខណៈពេលកំពុងធ្វើដំណើរឆ្លងកាត់បណ្តាញ។

តើ PT NAD ធ្វើអ្វី?៖ រកឃើញការហៅ DCOM គួរឱ្យសង្ស័យ ដែលអ្នកវាយប្រហារប្រើជាធម្មតា ដើម្បីចាប់ផ្តើមកម្មវិធី។

4. T1203៖ ការកេងប្រវ័ញ្ចសម្រាប់ការប្រតិបត្តិអតិថិជន

ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះ ដើម្បីប្រតិបត្តិកូដបំពានលើស្ថានីយការងារ។ ការកេងប្រវ័ញ្ចដ៏មានប្រយោជន៍បំផុតសម្រាប់អ្នកវាយប្រហារ គឺជាកូដដែលអនុញ្ញាតឱ្យប្រតិបត្តិកូដនៅលើប្រព័ន្ធពីចម្ងាយ ដោយសារពួកគេអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលប្រើប្រព័ន្ធនោះ។ បច្ចេកទេសនេះអាចត្រូវបានអនុវត្តដោយប្រើវិធីសាស្រ្តដូចខាងក្រោម៖ ការផ្ញើសំបុត្រដែលមានគំនិតអាក្រក់ គេហទំព័រដែលមានការកេងប្រវ័ញ្ចរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត និងការកេងប្រវ័ញ្ចពីចម្ងាយនៃភាពងាយរងគ្រោះនៃកម្មវិធី។

តើ PT NAD ធ្វើអ្វី?៖ នៅពេលញែកចរាចរសំបុត្រ PT NAD ពិនិត្យវាសម្រាប់វត្តមាននៃឯកសារដែលអាចប្រតិបត្តិបាននៅក្នុងឯកសារភ្ជាប់។ ទាញយកឯកសារការិយាល័យដោយស្វ័យប្រវត្តិពីអ៊ីមែលដែលអាចមានការកេងប្រវ័ញ្ច។ ការព្យាយាមទាញយកភាពងាយរងគ្រោះអាចមើលឃើញនៅក្នុងចរាចរណ៍ ដែល PT NAD រកឃើញដោយស្វ័យប្រវត្តិ។

5. T1170៖ mshta

ប្រើឧបករណ៍ប្រើប្រាស់ mshta.exe ដែលដំណើរការកម្មវិធី Microsoft HTML (HTA) ជាមួយនឹងផ្នែកបន្ថែម .hta ។ ដោយសារតែ mshta ដំណើរការឯកសារដោយរំលងការកំណត់សុវត្ថិភាពរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត អ្នកវាយប្រហារអាចប្រើ mshta.exe ដើម្បីប្រតិបត្តិឯកសារ HTA, JavaScript ឬ VBScript ដែលមានគំនិតអាក្រក់។

តើ PT NAD ធ្វើអ្វី?: ឯកសារ .hta សម្រាប់ប្រតិបត្តិតាមរយៈ mshta ក៏ត្រូវបានបញ្ជូនតាមបណ្តាញផងដែរ - នេះអាចត្រូវបានគេមើលឃើញនៅក្នុងចរាចរណ៍។ PT NAD រកឃើញការផ្ទេរឯកសារព្យាបាទបែបនេះដោយស្វ័យប្រវត្តិ។ វាចាប់យកឯកសារ ហើយព័ត៌មានអំពីពួកវាអាចត្រូវបានមើលនៅក្នុងកាតសម័យ។

6. T1086៖ PowerShell

ការប្រើប្រាស់ PowerShell ដើម្បីស្វែងរកព័ត៌មាន និងដំណើរការកូដព្យាបាទ។

តើ PT NAD ធ្វើអ្វី?៖ នៅពេលដែល PowerShell ត្រូវបានប្រើដោយអ្នកវាយប្រហារពីចម្ងាយ PT NAD រកឃើញវាដោយប្រើច្បាប់។ វារកឃើញពាក្យគន្លឹះភាសា PowerShell ដែលត្រូវបានគេប្រើញឹកញាប់បំផុតនៅក្នុងស្គ្រីបព្យាបាទ និងការបញ្ជូនស្គ្រីប PowerShell លើពិធីការ SMB ។

7. T1053៖ កិច្ចការដែលបានគ្រោងទុក
ការប្រើប្រាស់ Windows Task Scheduler និងឧបករណ៍ប្រើប្រាស់ផ្សេងទៀត ដើម្បីដំណើរការកម្មវិធី ឬស្គ្រីបដោយស្វ័យប្រវត្តិនៅពេលជាក់លាក់។

តើ PT NAD ធ្វើអ្វី?៖ អ្នកវាយប្រហារបង្កើតកិច្ចការបែបនេះ ជាធម្មតាពីចម្ងាយ ដែលមានន័យថា វគ្គបែបនេះអាចមើលឃើញនៅក្នុងចរាចរណ៍។ PT NAD រកឃើញដោយស្វ័យប្រវត្តិនូវការបង្កើតការងារ និងប្រតិបត្តិការកែប្រែដែលគួរឱ្យសង្ស័យ ដោយប្រើចំណុចប្រទាក់ ATSVC និង ITaskSchedulerService RPC ។

8. T1064៖ ស្គ្រីប

ការប្រតិបត្តិស្គ្រីបដើម្បីធ្វើស្វ័យប្រវត្តិកម្មសកម្មភាពផ្សេងៗរបស់អ្នកវាយប្រហារ។

តើ PT NAD ធ្វើអ្វី?៖ រកឃើញការបញ្ជូនស្គ្រីបនៅលើបណ្តាញ ពោលគឺសូម្បីតែមុនពេលពួកវាត្រូវបានដាក់ឱ្យដំណើរការក៏ដោយ។ វារកឃើញមាតិកាស្គ្រីបនៅក្នុងចរាចរណ៍ឆៅ និងរកឃើញការបញ្ជូនបណ្តាញនៃឯកសារដែលមានផ្នែកបន្ថែមដែលត្រូវគ្នាទៅនឹងភាសាស្គ្រីបដ៏ពេញនិយម។

9. T1035: ការប្រតិបត្តិសេវាកម្ម

ដំណើរការឯកសារដែលអាចប្រតិបត្តិបាន ការណែនាំចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា ឬស្គ្រីបដោយធ្វើអន្តរកម្មជាមួយសេវាកម្មវីនដូ ដូចជាកម្មវិធីគ្រប់គ្រងសេវាកម្ម (SCM) ។

តើ PT NAD ធ្វើអ្វី?៖ ពិនិត្យចរាចរណ៍ SMB និងរកឃើញការចូលប្រើ SCM ជាមួយនឹងច្បាប់សម្រាប់បង្កើត ផ្លាស់ប្តូរ និងចាប់ផ្តើមសេវាកម្ម។

បច្ចេកទេសចាប់ផ្តើមសេវាកម្មអាចត្រូវបានអនុវត្តដោយប្រើឧបករណ៍ប្រើប្រាស់ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ PSExec ។ PT NAD វិភាគពិធីការ SMB និងរកឃើញការប្រើប្រាស់ PSExec នៅពេលដែលវាប្រើឯកសារ PSEXESVC.exe ឬឈ្មោះសេវាកម្ម PSEXECSVC ស្តង់ដារដើម្បីប្រតិបត្តិកូដនៅលើម៉ាស៊ីនពីចម្ងាយ។ អ្នកប្រើប្រាស់ត្រូវពិនិត្យមើលបញ្ជីពាក្យបញ្ជាដែលបានប្រតិបត្តិ និងភាពស្របច្បាប់នៃការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយពីម៉ាស៊ីន។

កាតវាយប្រហារនៅក្នុង PT NAD បង្ហាញទិន្នន័យអំពីយុទ្ធសាស្ត្រ និងបច្ចេកទេសដែលប្រើដោយយោងតាមម៉ាទ្រីស ATT&CK ដើម្បីឱ្យអ្នកប្រើប្រាស់អាចយល់ពីដំណាក់កាលនៃការវាយប្រហារដែលអ្នកវាយប្រហារកំពុងស្ថិតនៅ គោលដៅអ្វីដែលពួកគេកំពុងស្វែងរក និងវិធានការសំណងដែលត្រូវចាត់វិធានការ។

ច្បាប់ស្តីពីការប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ PSExec ត្រូវបានកេះ ដែលអាចបង្ហាញពីការប៉ុនប៉ងដើម្បីប្រតិបត្តិពាក្យបញ្ជានៅលើម៉ាស៊ីនពីចម្ងាយ

10. T1072៖ កម្មវិធីភាគីទីបី

បច្ចេកទេសដែលអ្នកវាយប្រហារអាចចូលប្រើកម្មវិធីគ្រប់គ្រងពីចម្ងាយ ឬប្រព័ន្ធដាក់ពង្រាយកម្មវិធីសាជីវកម្ម ហើយប្រើវាដើម្បីដំណើរការកូដព្យាបាទ។ ឧទាហរណ៍នៃកម្មវិធីបែបនេះ៖ SCCM, VNC, TeamViewer, HBSS, Altiris ។
ដោយវិធីនេះ បច្ចេកទេសគឺពាក់ព័ន្ធជាពិសេសក្នុងការតភ្ជាប់ជាមួយនឹងការផ្លាស់ប្តូរដ៏ធំទៅកាន់ការងារពីចម្ងាយ ហើយជាលទ្ធផល ការតភ្ជាប់ឧបករណ៍ផ្ទះជាច្រើនដែលមិនបានការពារតាមរយៈបណ្តាញចូលប្រើពីចម្ងាយគួរឱ្យសង្ស័យ។

តើ PT NAD ធ្វើអ្វី?៖ រកឃើញប្រតិបត្តិការនៃកម្មវិធីបែបនេះដោយស្វ័យប្រវត្តិនៅលើបណ្តាញ។ ជាឧទាហរណ៍ ច្បាប់ត្រូវបានបង្កឡើងដោយការតភ្ជាប់តាមរយៈពិធីការ VNC និងសកម្មភាពរបស់ EvilVNC Trojan ដែលដំឡើងម៉ាស៊ីនមេ VNC ដោយសម្ងាត់នៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ ហើយបើកដំណើរការវាដោយស្វ័យប្រវត្តិ។ ដូចគ្នានេះផងដែរ PT NAD រកឃើញពិធីការ TeamViewer ដោយស្វ័យប្រវត្តិ វាជួយអ្នកវិភាគ ដោយប្រើតម្រង ស្វែងរកវគ្គបែបនេះទាំងអស់ និងពិនិត្យមើលភាពស្របច្បាប់របស់ពួកគេ។

11. T1204៖ ការប្រតិបត្តិអ្នកប្រើប្រាស់

បច្ចេកទេសដែលអ្នកប្រើប្រាស់ដំណើរការឯកសារដែលអាចនាំទៅដល់ការប្រតិបត្តិកូដ។ វាអាចជាឧទាហរណ៍ ប្រសិនបើគាត់បើកឯកសារដែលអាចប្រតិបត្តិបាន ឬដំណើរការឯកសារការិយាល័យជាមួយម៉ាក្រូ។

តើ PT NAD ធ្វើអ្វី?៖ ឃើញឯកសារបែបនេះនៅដំណាក់កាលផ្ទេរ មុនពេលពួកវាត្រូវបានដាក់ឱ្យដំណើរការ។ ព័ត៌មានអំពីពួកវាអាចត្រូវបានសិក្សានៅក្នុងកាតនៃវគ្គដែលពួកគេត្រូវបានបញ្ជូន។

12. T1047៖ ឧបករណ៍គ្រប់គ្រងវីនដូ

ការប្រើប្រាស់ឧបករណ៍ WMI ដែលផ្តល់នូវការចូលប្រើមូលដ្ឋាន និងពីចម្ងាយទៅកាន់សមាសធាតុប្រព័ន្ធវីនដូ។ ដោយប្រើ WMI អ្នកវាយប្រហារអាចធ្វើអន្តរកម្មជាមួយប្រព័ន្ធក្នុងស្រុក និងពីចម្ងាយ ហើយអនុវត្តការងារជាច្រើនដូចជាការប្រមូលព័ត៌មានសម្រាប់គោលបំណងឈ្លបយកការណ៍ និងដំណើរការដំណើរការពីចម្ងាយ ខណៈពេលដែលផ្លាស់ទីនៅពេលក្រោយ។

តើ PT NAD ធ្វើអ្វី?៖ ដោយសារអន្តរកម្មជាមួយប្រព័ន្ធពីចម្ងាយតាមរយៈ WMI អាចមើលឃើញនៅក្នុងចរាចរណ៍ PT NAD រកឃើញសំណើបណ្តាញដោយស្វ័យប្រវត្តិដើម្បីបង្កើតវគ្គ WMI និងពិនិត្យចរាចរណ៍សម្រាប់ស្គ្រីបដែលប្រើ WMI ។

13. T1028៖ Windows Remote Management

ការប្រើប្រាស់សេវាកម្ម Windows និងពិធីការដែលអនុញ្ញាតឱ្យអ្នកប្រើធ្វើអន្តរកម្មជាមួយប្រព័ន្ធពីចម្ងាយ។

តើ PT NAD ធ្វើអ្វី?៖ មើលឃើញការតភ្ជាប់បណ្តាញដែលបានបង្កើតឡើងដោយប្រើការគ្រប់គ្រងពីចម្ងាយរបស់វីនដូ។ វគ្គបែបនេះត្រូវបានរកឃើញដោយស្វ័យប្រវត្តិដោយច្បាប់។

14. T1220៖ ដំណើរការស្គ្រីប XSL (Extensible Stylesheet Language)

ភាសាសម្គាល់រចនាប័ទ្ម XSL ត្រូវបានប្រើដើម្បីពិពណ៌នាអំពីដំណើរការ និងការមើលឃើញទិន្នន័យនៅក្នុងឯកសារ XML ។ ដើម្បីគាំទ្រប្រតិបត្តិការស្មុគ្រស្មាញ ស្តង់ដារ XSL រួមបញ្ចូលការគាំទ្រសម្រាប់ស្គ្រីបដែលបានបង្កប់ជាភាសាផ្សេងៗ។ ភាសាទាំងនេះអនុញ្ញាតឱ្យប្រតិបត្តិកូដបំពានដែលនាំទៅដល់ការរំលងគោលការណ៍សុវត្ថិភាពដោយផ្អែកលើបញ្ជីស។

តើ PT NAD ធ្វើអ្វី?៖ រកឃើញការផ្ទេរឯកសារបែបនេះនៅលើបណ្តាញ ពោលគឺសូម្បីតែមុនពេលពួកវាត្រូវបានដាក់ឱ្យដំណើរការក៏ដោយ។ វារកឃើញដោយស្វ័យប្រវត្តិនូវឯកសារ XSL ដែលត្រូវបានបញ្ជូនតាមបណ្តាញ និងឯកសារជាមួយនឹងការសម្គាល់ XSL មិនធម្មតា។

នៅក្នុងឯកសារខាងក្រោមនេះ យើងនឹងពិនិត្យមើលពីរបៀបដែលប្រព័ន្ធ PT Network Attack Discovery NTA ស្វែងរកយុទ្ធសាស្ត្រ និងបច្ចេកទេសវាយប្រហារផ្សេងទៀតដោយអនុលោមតាម MITER ATT&CK ។ ចាំមើល!

អ្នកនិពន្ធ:

• លោក Anton Kutepov អ្នកឯកទេសនៅមជ្ឈមណ្ឌលសន្តិសុខ PT Expert បច្ចេកវិទ្យាវិជ្ជមាន
• Natalia Kazankova អ្នកទីផ្សារផលិតផលនៅ Positive Technologies

ប្រភព: www.habr.com