ಸಂಚಾರ ವಿಶ್ಲೇಷಣಾ ವ್ಯವಸ್ಥೆಗಳು ಪಿಟಿ ನೆಟ್‌ವರ್ಕ್ ಅಟ್ಯಾಕ್ ಡಿಸ್ಕವರಿ ಉದಾಹರಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು MITER ATT&CK ಅನ್ನು ಬಳಸಿಕೊಂಡು ಹ್ಯಾಕರ್ ತಂತ್ರಗಳನ್ನು ಹೇಗೆ ಪತ್ತೆ ಮಾಡುತ್ತದೆ

ವೆರಿಝೋನ್ ಪ್ರಕಾರ, ಬಹುಪಾಲು (87%) ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆಗಳು ಕೆಲವೇ ನಿಮಿಷಗಳಲ್ಲಿ ಸಂಭವಿಸುತ್ತವೆ ಮತ್ತು 68% ಕಂಪನಿಗಳಿಗೆ ಅವುಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ತಿಂಗಳುಗಳು ಬೇಕಾಗುತ್ತದೆ. ಇದನ್ನು ದೃಢೀಕರಿಸಲಾಗಿದೆ ಪೋನ್ಮನ್ ಇನ್ಸ್ಟಿಟ್ಯೂಟ್ ಸಂಶೋಧನೆ, ಅದರ ಪ್ರಕಾರ ಘಟನೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಹೆಚ್ಚಿನ ಸಂಸ್ಥೆಗಳು ಸರಾಸರಿ 206 ದಿನಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ನಮ್ಮ ತನಿಖೆಗಳ ಅನುಭವದ ಆಧಾರದ ಮೇಲೆ, ಹ್ಯಾಕರ್‌ಗಳು ಕಂಪನಿಯ ಮೂಲಸೌಕರ್ಯವನ್ನು ಪತ್ತೆಹಚ್ಚದೆ ವರ್ಷಗಳವರೆಗೆ ನಿಯಂತ್ರಿಸಬಹುದು. ಹೀಗಾಗಿ, ನಮ್ಮ ತಜ್ಞರು ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆಯನ್ನು ತನಿಖೆ ಮಾಡಿದ ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ, ಹ್ಯಾಕರ್‌ಗಳು ಸಂಸ್ಥೆಯ ಸಂಪೂರ್ಣ ಮೂಲಸೌಕರ್ಯವನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನಿಯಂತ್ರಿಸುತ್ತಾರೆ ಮತ್ತು ನಿಯಮಿತವಾಗಿ ಪ್ರಮುಖ ಮಾಹಿತಿಯನ್ನು ಕದ್ದಿದ್ದಾರೆ ಎಂದು ತಿಳಿದುಬಂದಿದೆ. ಎಂಟು ವರ್ಷಗಳವರೆಗೆ.

ನೀವು ಈಗಾಗಲೇ ಲಾಗ್‌ಗಳನ್ನು ಸಂಗ್ರಹಿಸುವ ಮತ್ತು ಈವೆಂಟ್‌ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವ SIEM ಚಾಲನೆಯಲ್ಲಿರುವಿರಿ ಮತ್ತು ಅಂತಿಮ ನೋಡ್‌ಗಳಲ್ಲಿ ಆಂಟಿವೈರಸ್ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ ಎಂದು ಹೇಳೋಣ. ಅದೇನೇ ಇದ್ದರೂ, SIEM ಬಳಸಿ ಎಲ್ಲವನ್ನೂ ಕಂಡುಹಿಡಿಯಲಾಗುವುದಿಲ್ಲ, ಇಡೀ ನೆಟ್‌ವರ್ಕ್‌ನಾದ್ಯಂತ EDR ಸಿಸ್ಟಮ್‌ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅಸಾಧ್ಯವಾದಂತೆಯೇ, ಅಂದರೆ "ಕುರುಡು" ತಾಣಗಳನ್ನು ತಪ್ಪಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ. ನೆಟ್‌ವರ್ಕ್ ಟ್ರಾಫಿಕ್ ಅನಾಲಿಸಿಸ್ (ಎನ್‌ಟಿಎ) ವ್ಯವಸ್ಥೆಗಳು ಅವುಗಳನ್ನು ನಿಭಾಯಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತವೆ. ಈ ಪರಿಹಾರಗಳು ನೆಟ್‌ವರ್ಕ್ ನುಗ್ಗುವಿಕೆಯ ಆರಂಭಿಕ ಹಂತಗಳಲ್ಲಿ ಆಕ್ರಮಣಕಾರರ ಚಟುವಟಿಕೆಯನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ, ಹಾಗೆಯೇ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ನೆಲೆಯನ್ನು ಪಡೆಯಲು ಮತ್ತು ದಾಳಿಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವ ಪ್ರಯತ್ನಗಳ ಸಮಯದಲ್ಲಿ.

ಎರಡು ವಿಧದ NTA ಗಳಿವೆ: ಕೆಲವು NetFlow ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುತ್ತವೆ, ಇತರರು ಕಚ್ಚಾ ದಟ್ಟಣೆಯನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತಾರೆ. ಎರಡನೇ ವ್ಯವಸ್ಥೆಗಳ ಪ್ರಯೋಜನವೆಂದರೆ ಅವರು ಕಚ್ಚಾ ಸಂಚಾರ ದಾಖಲೆಗಳನ್ನು ಸಂಗ್ರಹಿಸಬಹುದು. ಇದಕ್ಕೆ ಧನ್ಯವಾದಗಳು, ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ದಾಳಿಯ ಯಶಸ್ಸನ್ನು ಪರಿಶೀಲಿಸಬಹುದು, ಬೆದರಿಕೆಯನ್ನು ಸ್ಥಳೀಕರಿಸಬಹುದು, ದಾಳಿ ಹೇಗೆ ಸಂಭವಿಸಿತು ಮತ್ತು ಭವಿಷ್ಯದಲ್ಲಿ ಇದೇ ರೀತಿಯದನ್ನು ತಡೆಯುವುದು ಹೇಗೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬಹುದು.

NTA ಬಳಸಿಕೊಂಡು ನೀವು ಜ್ಞಾನದ ನೆಲೆಯಲ್ಲಿ ವಿವರಿಸಿರುವ ಎಲ್ಲಾ ತಿಳಿದಿರುವ ದಾಳಿ ತಂತ್ರಗಳನ್ನು ಗುರುತಿಸಲು ನೇರ ಅಥವಾ ಪರೋಕ್ಷ ಪುರಾವೆಗಳನ್ನು ಹೇಗೆ ಬಳಸಬಹುದು ಎಂಬುದನ್ನು ನಾವು ತೋರಿಸುತ್ತೇವೆ MITER ATT&CK. ನಾವು ಪ್ರತಿಯೊಂದು 12 ತಂತ್ರಗಳ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತೇವೆ, ಟ್ರಾಫಿಕ್‌ನಿಂದ ಪತ್ತೆಯಾದ ತಂತ್ರಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತೇವೆ ಮತ್ತು ನಮ್ಮ NTA ಸಿಸ್ಟಮ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಅವುಗಳ ಪತ್ತೆಯನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತೇವೆ.

ATT&CK ಜ್ಞಾನದ ಬೇಸ್ ಬಗ್ಗೆ

MITER ATT&CK ಎನ್ನುವುದು ನೈಜ-ಜೀವನದ APT ಗಳ ವಿಶ್ಲೇಷಣೆಯ ಆಧಾರದ ಮೇಲೆ MITER ಕಾರ್ಪೊರೇಷನ್ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಮತ್ತು ನಿರ್ವಹಿಸುವ ಸಾರ್ವಜನಿಕ ಜ್ಞಾನದ ಮೂಲವಾಗಿದೆ. ಇದು ಆಕ್ರಮಣಕಾರರು ಬಳಸುವ ತಂತ್ರಗಳು ಮತ್ತು ತಂತ್ರಗಳ ರಚನಾತ್ಮಕ ಸೆಟ್ ಆಗಿದೆ. ಇದು ಪ್ರಪಂಚದಾದ್ಯಂತದ ಮಾಹಿತಿ ಭದ್ರತಾ ವೃತ್ತಿಪರರು ಒಂದೇ ಭಾಷೆಯನ್ನು ಮಾತನಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. ಡೇಟಾಬೇಸ್ ನಿರಂತರವಾಗಿ ವಿಸ್ತರಿಸುತ್ತಿದೆ ಮತ್ತು ಹೊಸ ಜ್ಞಾನದೊಂದಿಗೆ ಪೂರಕವಾಗಿದೆ.

ಡೇಟಾಬೇಸ್ 12 ತಂತ್ರಗಳನ್ನು ಗುರುತಿಸುತ್ತದೆ, ಇವುಗಳನ್ನು ಸೈಬರ್ ದಾಳಿಯ ಹಂತಗಳಿಂದ ವಿಂಗಡಿಸಲಾಗಿದೆ:

• ಆರಂಭಿಕ ಪ್ರವೇಶ;
• ಮರಣದಂಡನೆ;
• ಬಲವರ್ಧನೆ (ನಿರಂತರ);
• ಸವಲತ್ತು ಹೆಚ್ಚಳ;
• ಪತ್ತೆ ತಡೆಗಟ್ಟುವಿಕೆ (ರಕ್ಷಣಾ ತಪ್ಪಿಸಿಕೊಳ್ಳುವಿಕೆ);
• ರುಜುವಾತುಗಳನ್ನು ಪಡೆಯುವುದು (ರುಜುವಾತು ಪ್ರವೇಶ);
• ಪರಿಶೋಧನೆ;
• ಪರಿಧಿಯೊಳಗೆ ಚಲನೆ (ಪಾರ್ಶ್ವ ಚಲನೆ);
• ಡೇಟಾ ಸಂಗ್ರಹಣೆ (ಸಂಗ್ರಹ);
• ಆಜ್ಞೆ ಮತ್ತು ನಿಯಂತ್ರಣ;
• ಡೇಟಾ ಶೋಧನೆ;
• ಪ್ರಭಾವ.

ಪ್ರತಿ ತಂತ್ರಕ್ಕಾಗಿ, ATT&CK ಜ್ಞಾನದ ಮೂಲವು ದಾಳಿಯ ಪ್ರಸ್ತುತ ಹಂತದಲ್ಲಿ ದಾಳಿಕೋರರು ತಮ್ಮ ಗುರಿಯನ್ನು ಸಾಧಿಸಲು ಸಹಾಯ ಮಾಡುವ ತಂತ್ರಗಳ ಪಟ್ಟಿಯನ್ನು ಪಟ್ಟಿಮಾಡುತ್ತದೆ. ಒಂದೇ ತಂತ್ರವನ್ನು ವಿವಿಧ ಹಂತಗಳಲ್ಲಿ ಬಳಸಬಹುದಾದ್ದರಿಂದ, ಇದು ಹಲವಾರು ತಂತ್ರಗಳನ್ನು ಉಲ್ಲೇಖಿಸಬಹುದು.

ಪ್ರತಿ ತಂತ್ರದ ವಿವರಣೆಯು ಒಳಗೊಂಡಿದೆ:

• ಗುರುತಿಸುವಿಕೆ;
• ಅದನ್ನು ಬಳಸುವ ತಂತ್ರಗಳ ಪಟ್ಟಿ;
• ಎಪಿಟಿ ಗುಂಪುಗಳ ಬಳಕೆಯ ಉದಾಹರಣೆಗಳು;
• ಅದರ ಬಳಕೆಯಿಂದ ಹಾನಿಯನ್ನು ಕಡಿಮೆ ಮಾಡುವ ಕ್ರಮಗಳು;
• ಪತ್ತೆ ಶಿಫಾರಸುಗಳು.

ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಪ್ರಸ್ತುತ ದಾಳಿ ವಿಧಾನಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ರಚಿಸಲು ಡೇಟಾಬೇಸ್‌ನಿಂದ ಜ್ಞಾನವನ್ನು ಬಳಸಬಹುದು ಮತ್ತು ಇದನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು ಪರಿಣಾಮಕಾರಿ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಯನ್ನು ನಿರ್ಮಿಸಬಹುದು. ನೈಜ APT ಗುಂಪುಗಳು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಸಹ ಬೆದರಿಕೆಗಳನ್ನು ಪೂರ್ವಭಾವಿಯಾಗಿ ಹುಡುಕಲು ಊಹೆಗಳ ಮೂಲವಾಗಬಹುದು. ಬೆದರಿಕೆ ಬೇಟೆ.

PT ನೆಟ್‌ವರ್ಕ್ ಅಟ್ಯಾಕ್ ಡಿಸ್ಕವರಿ ಕುರಿತು

ಸಿಸ್ಟಮ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ATT&CK ಮ್ಯಾಟ್ರಿಕ್ಸ್‌ನಿಂದ ತಂತ್ರಗಳ ಬಳಕೆಯನ್ನು ನಾವು ಗುರುತಿಸುತ್ತೇವೆ ಪಿಟಿ ನೆಟ್‌ವರ್ಕ್ ಅಟ್ಯಾಕ್ ಡಿಸ್ಕವರಿ — ಧನಾತ್ಮಕ ತಂತ್ರಜ್ಞಾನಗಳು NTA ವ್ಯವಸ್ಥೆ, ಪರಿಧಿಯ ಮೇಲೆ ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಒಳಗೆ ದಾಳಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. PT NAD ವಿವಿಧ ಹಂತಗಳಲ್ಲಿ, MITER ATT&CK ಮ್ಯಾಟ್ರಿಕ್ಸ್‌ನ ಎಲ್ಲಾ 12 ತಂತ್ರಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಆರಂಭಿಕ ಪ್ರವೇಶ, ಪಾರ್ಶ್ವ ಚಲನೆ ಮತ್ತು ಆಜ್ಞೆ ಮತ್ತು ನಿಯಂತ್ರಣಕ್ಕಾಗಿ ತಂತ್ರಗಳನ್ನು ಗುರುತಿಸುವಲ್ಲಿ ಅವನು ಅತ್ಯಂತ ಶಕ್ತಿಶಾಲಿ. ಅವುಗಳಲ್ಲಿ, PT NAD ತಿಳಿದಿರುವ ಅರ್ಧಕ್ಕಿಂತ ಹೆಚ್ಚು ತಂತ್ರಗಳನ್ನು ಒಳಗೊಳ್ಳುತ್ತದೆ, ನೇರ ಅಥವಾ ಪರೋಕ್ಷ ಚಿಹ್ನೆಗಳ ಮೂಲಕ ಅವರ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚುತ್ತದೆ.

ತಂಡವು ರಚಿಸಿದ ಪತ್ತೆ ನಿಯಮಗಳನ್ನು ಬಳಸಿಕೊಂಡು ATT&CK ತಂತ್ರಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಿಸ್ಟಮ್ ದಾಳಿಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ PT ಎಕ್ಸ್ಪರ್ಟ್ ಸೆಕ್ಯುರಿಟಿ ಸೆಂಟರ್ (PT ESC), ಯಂತ್ರ ಕಲಿಕೆ, ರಾಜಿ ಸೂಚಕಗಳು, ಆಳವಾದ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ರೆಟ್ರೋಸ್ಪೆಕ್ಟಿವ್ ವಿಶ್ಲೇಷಣೆ. ನೈಜ-ಸಮಯದ ಟ್ರಾಫಿಕ್ ವಿಶ್ಲೇಷಣೆಯು ರೆಟ್ರೋಸ್ಪೆಕ್ಟಿವ್‌ನೊಂದಿಗೆ ಸಂಯೋಜಿಸಲ್ಪಟ್ಟಿದೆ, ಪ್ರಸ್ತುತ ಗುಪ್ತ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಅಭಿವೃದ್ಧಿ ವಾಹಕಗಳನ್ನು ಮತ್ತು ದಾಳಿಯ ಕಾಲಾನುಕ್ರಮವನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ಇಲ್ಲಿ MITER ATT&CK ಮ್ಯಾಟ್ರಿಕ್ಸ್‌ಗೆ PT NAD ಯ ಪೂರ್ಣ ಮ್ಯಾಪಿಂಗ್. ಚಿತ್ರವು ದೊಡ್ಡದಾಗಿದೆ, ಆದ್ದರಿಂದ ಅದನ್ನು ಪ್ರತ್ಯೇಕ ವಿಂಡೋದಲ್ಲಿ ವೀಕ್ಷಿಸಲು ನಾವು ಸಲಹೆ ನೀಡುತ್ತೇವೆ.

ಆರಂಭಿಕ ಪ್ರವೇಶ

ಆರಂಭಿಕ ಪ್ರವೇಶ ತಂತ್ರಗಳು ಕಂಪನಿಯ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಭೇದಿಸುವ ತಂತ್ರಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ. ಈ ಹಂತದಲ್ಲಿ ದಾಳಿಕೋರರ ಗುರಿಯು ದಾಳಿಗೊಳಗಾದ ವ್ಯವಸ್ಥೆಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ತಲುಪಿಸುವುದು ಮತ್ತು ಅದರ ಮುಂದಿನ ಮರಣದಂಡನೆಯ ಸಾಧ್ಯತೆಯನ್ನು ಖಚಿತಪಡಿಸುವುದು.

PT NAD ಯಿಂದ ಸಂಚಾರ ವಿಶ್ಲೇಷಣೆಯು ಆರಂಭಿಕ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಏಳು ತಂತ್ರಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ:

1. T1189: ಡ್ರೈವ್-ಬೈ ರಾಜಿ

ಬಲಿಪಶು ವೆಬ್ ಬ್ರೌಸರ್ ಅನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಪ್ರವೇಶ ಟೋಕನ್‌ಗಳನ್ನು ಪಡೆಯಲು ಆಕ್ರಮಣಕಾರರಿಂದ ಬಳಸಲಾಗುವ ವೆಬ್‌ಸೈಟ್ ಅನ್ನು ತೆರೆಯುವ ತಂತ್ರ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ವೆಬ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡದಿದ್ದರೆ, HTTP ಸರ್ವರ್ ಪ್ರತಿಕ್ರಿಯೆಗಳ ವಿಷಯವನ್ನು PT NAD ಪರಿಶೀಲಿಸುತ್ತದೆ. ಈ ಪ್ರತಿಕ್ರಿಯೆಗಳು ದಾಳಿಕೋರರು ಬ್ರೌಸರ್‌ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುವ ಶೋಷಣೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ. ಪತ್ತೆ ನಿಯಮಗಳನ್ನು ಬಳಸಿಕೊಂಡು PT NAD ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಅಂತಹ ಶೋಷಣೆಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

ಹೆಚ್ಚುವರಿಯಾಗಿ, PT NAD ಹಿಂದಿನ ಹಂತದಲ್ಲಿ ಬೆದರಿಕೆಯನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ. ಬಳಕೆದಾರನು ಸೈಟ್‌ಗೆ ಭೇಟಿ ನೀಡಿದರೆ, ಅದು ಶೋಷಣೆಗಳ ಗುಂಪನ್ನು ಹೊಂದಿರುವ ಸೈಟ್‌ಗೆ ಮರುನಿರ್ದೇಶಿಸಿದರೆ ನಿಯಮಗಳು ಮತ್ತು ಹೊಂದಾಣಿಕೆಯ ಸೂಚಕಗಳನ್ನು ಪ್ರಚೋದಿಸಲಾಗುತ್ತದೆ.

2. T1190: ಸಾರ್ವಜನಿಕ ಮುಖಾಮುಖಿ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಬಳಸಿಕೊಳ್ಳಿ

ಇಂಟರ್ನೆಟ್‌ನಿಂದ ಪ್ರವೇಶಿಸಬಹುದಾದ ಸೇವೆಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳ ಶೋಷಣೆ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ನೆಟ್‌ವರ್ಕ್ ಪ್ಯಾಕೆಟ್‌ಗಳ ವಿಷಯಗಳ ಆಳವಾದ ತಪಾಸಣೆಯನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ, ಅಸಂಗತ ಚಟುವಟಿಕೆಯ ಚಿಹ್ನೆಗಳನ್ನು ಗುರುತಿಸುತ್ತದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಪ್ರಮುಖ ವಿಷಯ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಳು (CMS), ನೆಟ್‌ವರ್ಕ್ ಉಪಕರಣಗಳ ವೆಬ್ ಇಂಟರ್‌ಫೇಸ್‌ಗಳು ಮತ್ತು ಮೇಲ್ ಮತ್ತು FTP ಸರ್ವರ್‌ಗಳ ಮೇಲಿನ ದಾಳಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ನಿಯಮಗಳಿವೆ.

3. T1133: ಬಾಹ್ಯ ದೂರಸ್ಥ ಸೇವೆಗಳು

ಹೊರಗಿನಿಂದ ಆಂತರಿಕ ನೆಟ್‌ವರ್ಕ್ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ಸಂಪರ್ಕಿಸಲು ಆಕ್ರಮಣಕಾರರು ರಿಮೋಟ್ ಪ್ರವೇಶ ಸೇವೆಗಳನ್ನು ಬಳಸುತ್ತಾರೆ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ಸಿಸ್ಟಮ್ ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಪೋರ್ಟ್ ಸಂಖ್ಯೆಗಳಿಂದ ಗುರುತಿಸುವುದಿಲ್ಲ, ಆದರೆ ಪ್ಯಾಕೆಟ್‌ಗಳ ವಿಷಯಗಳಿಂದ, ಸಿಸ್ಟಮ್ ಬಳಕೆದಾರರು ರಿಮೋಟ್ ಪ್ರವೇಶ ಪ್ರೋಟೋಕಾಲ್‌ಗಳ ಎಲ್ಲಾ ಸೆಷನ್‌ಗಳನ್ನು ಹುಡುಕಲು ಮತ್ತು ಅವುಗಳ ನ್ಯಾಯಸಮ್ಮತತೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಟ್ರಾಫಿಕ್ ಅನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಬಹುದು.

4. T1193: ಸ್ಪಿಯರ್ಫಿಶಿಂಗ್ ಬಾಂಧವ್ಯ

ನಾವು ಫಿಶಿಂಗ್ ಲಗತ್ತುಗಳ ಕುಖ್ಯಾತ ಕಳುಹಿಸುವಿಕೆಯ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತಿದ್ದೇವೆ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ದಟ್ಟಣೆಯಿಂದ ಫೈಲ್‌ಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಹೊರತೆಗೆಯುತ್ತದೆ ಮತ್ತು ರಾಜಿ ಸೂಚಕಗಳ ವಿರುದ್ಧ ಅವುಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಲಗತ್ತುಗಳಲ್ಲಿನ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ಗಳನ್ನು ಮೇಲ್ ಟ್ರಾಫಿಕ್‌ನ ವಿಷಯವನ್ನು ವಿಶ್ಲೇಷಿಸುವ ನಿಯಮಗಳಿಂದ ಕಂಡುಹಿಡಿಯಲಾಗುತ್ತದೆ. ಕಾರ್ಪೊರೇಟ್ ಪರಿಸರದಲ್ಲಿ, ಅಂತಹ ಹೂಡಿಕೆಯನ್ನು ಅಸಂಗತವೆಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ.

5. T1192: ಸ್ಪಿಯರ್ಫಿಶಿಂಗ್ ಲಿಂಕ್

ಫಿಶಿಂಗ್ ಲಿಂಕ್‌ಗಳನ್ನು ಬಳಸುವುದು. ತಂತ್ರವು ಆಕ್ರಮಣಕಾರರು ಫಿಶಿಂಗ್ ಇಮೇಲ್ ಅನ್ನು ಲಿಂಕ್‌ನೊಂದಿಗೆ ಕಳುಹಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಅದು ಕ್ಲಿಕ್ ಮಾಡಿದಾಗ, ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡುತ್ತದೆ. ನಿಯಮದಂತೆ, ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್‌ನ ಎಲ್ಲಾ ನಿಯಮಗಳಿಗೆ ಅನುಸಾರವಾಗಿ ಸಂಕಲಿಸಲಾದ ಪಠ್ಯದೊಂದಿಗೆ ಲಿಂಕ್ ಅನ್ನು ಸೇರಿಸಲಾಗುತ್ತದೆ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ರಾಜಿ ಸೂಚಕಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಫಿಶಿಂಗ್ ಲಿಂಕ್‌ಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, PT NAD ಇಂಟರ್‌ಫೇಸ್‌ನಲ್ಲಿ ನಾವು ಫಿಶಿಂಗ್ ವಿಳಾಸಗಳ (ಫಿಶಿಂಗ್-url) ಪಟ್ಟಿಯಲ್ಲಿರುವ ಲಿಂಕ್ ಮೂಲಕ HTTP ಸಂಪರ್ಕವನ್ನು ಹೊಂದಿರುವ ಸೆಶನ್ ಅನ್ನು ನೋಡುತ್ತೇವೆ.

ರಾಜಿ ಫಿಶಿಂಗ್-url ಗಳ ಸೂಚಕಗಳ ಪಟ್ಟಿಯಿಂದ ಲಿಂಕ್ ಮೂಲಕ ಸಂಪರ್ಕ

6. T1199: ವಿಶ್ವಾಸಾರ್ಹ ಸಂಬಂಧ

ಬಲಿಪಶು ವಿಶ್ವಾಸಾರ್ಹ ಸಂಬಂಧವನ್ನು ಸ್ಥಾಪಿಸಿದ ಮೂರನೇ ವ್ಯಕ್ತಿಗಳ ಮೂಲಕ ಬಲಿಪಶುವಿನ ನೆಟ್ವರ್ಕ್ಗೆ ಪ್ರವೇಶ. ದಾಳಿಕೋರರು ವಿಶ್ವಾಸಾರ್ಹ ಸಂಸ್ಥೆಯನ್ನು ಹ್ಯಾಕ್ ಮಾಡಬಹುದು ಮತ್ತು ಅದರ ಮೂಲಕ ಗುರಿ ನೆಟ್‌ವರ್ಕ್‌ಗೆ ಸಂಪರ್ಕಿಸಬಹುದು. ಇದನ್ನು ಮಾಡಲು, ಅವರು VPN ಸಂಪರ್ಕಗಳು ಅಥವಾ ಡೊಮೇನ್ ಟ್ರಸ್ಟ್‌ಗಳನ್ನು ಬಳಸುತ್ತಾರೆ, ಇದನ್ನು ಸಂಚಾರ ವಿಶ್ಲೇಷಣೆಯ ಮೂಲಕ ಗುರುತಿಸಬಹುದು.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ಅಪ್ಲಿಕೇಶನ್ ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಪಾರ್ಸ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಪಾರ್ಸ್ ಮಾಡಿದ ಕ್ಷೇತ್ರಗಳನ್ನು ಡೇಟಾಬೇಸ್‌ನಲ್ಲಿ ಉಳಿಸುತ್ತದೆ, ಇದರಿಂದಾಗಿ ಮಾಹಿತಿ ಭದ್ರತಾ ವಿಶ್ಲೇಷಕರು ಡೇಟಾಬೇಸ್‌ನಲ್ಲಿ ಎಲ್ಲಾ ಅನುಮಾನಾಸ್ಪದ VPN ಸಂಪರ್ಕಗಳು ಅಥವಾ ಕ್ರಾಸ್-ಡೊಮೇನ್ ಸಂಪರ್ಕಗಳನ್ನು ಹುಡುಕಲು ಫಿಲ್ಟರ್‌ಗಳನ್ನು ಬಳಸಬಹುದು.

7. T1078: ಮಾನ್ಯ ಖಾತೆಗಳು

ಬಾಹ್ಯ ಮತ್ತು ಆಂತರಿಕ ಸೇವೆಗಳ ದೃಢೀಕರಣಕ್ಕಾಗಿ ಪ್ರಮಾಣಿತ, ಸ್ಥಳೀಯ ಅಥವಾ ಡೊಮೇನ್ ರುಜುವಾತುಗಳನ್ನು ಬಳಸುವುದು.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos ಪ್ರೋಟೋಕಾಲ್‌ಗಳಿಂದ ರುಜುವಾತುಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಹಿಂಪಡೆಯುತ್ತದೆ. ಸಾಮಾನ್ಯವಾಗಿ, ಇದು ಲಾಗಿನ್, ಪಾಸ್ವರ್ಡ್ ಮತ್ತು ಯಶಸ್ವಿ ದೃಢೀಕರಣದ ಸಂಕೇತವಾಗಿದೆ. ಅವುಗಳನ್ನು ಬಳಸಿದ್ದರೆ, ಅವುಗಳನ್ನು ಅನುಗುಣವಾದ ಸೆಷನ್ ಕಾರ್ಡ್‌ನಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ.

ಮರಣದಂಡನೆ

ಎಕ್ಸಿಕ್ಯೂಶನ್ ತಂತ್ರಗಳು ಆಕ್ರಮಣಕಾರರು ರಾಜಿ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಬಳಸುವ ತಂತ್ರಗಳನ್ನು ಒಳಗೊಂಡಿವೆ. ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ರನ್ ಮಾಡುವುದು ಆಕ್ರಮಣಕಾರರಿಗೆ ಉಪಸ್ಥಿತಿಯನ್ನು ಸ್ಥಾಪಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ (ನಿರಂತರ ತಂತ್ರ) ಮತ್ತು ಪರಿಧಿಯೊಳಗೆ ಚಲಿಸುವ ಮೂಲಕ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ರಿಮೋಟ್ ಸಿಸ್ಟಮ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ವಿಸ್ತರಿಸುತ್ತದೆ.

ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ದಾಳಿಕೋರರು ಬಳಸುವ 14 ತಂತ್ರಗಳ ಬಳಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು PT NAD ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

1. T1191: CMSTP (ಮೈಕ್ರೋಸಾಫ್ಟ್ ಕನೆಕ್ಷನ್ ಮ್ಯಾನೇಜರ್ ಪ್ರೊಫೈಲ್ ಸ್ಥಾಪಕ)

ಅಂತರ್ನಿರ್ಮಿತ ವಿಂಡೋಸ್ ಉಪಯುಕ್ತತೆ CMSTP.exe (ಸಂಪರ್ಕ ನಿರ್ವಾಹಕ ಪ್ರೊಫೈಲ್ ಅನುಸ್ಥಾಪಕ) ಗಾಗಿ ದಾಳಿಕೋರರು ವಿಶೇಷ ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಥಾಪನೆ INF ಫೈಲ್ ಅನ್ನು ಸಿದ್ಧಪಡಿಸುವ ತಂತ್ರ. CMSTP.exe ಫೈಲ್ ಅನ್ನು ಪ್ಯಾರಾಮೀಟರ್ ಆಗಿ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ರಿಮೋಟ್ ಸಂಪರ್ಕಕ್ಕಾಗಿ ಸೇವಾ ಪ್ರೊಫೈಲ್ ಅನ್ನು ಸ್ಥಾಪಿಸುತ್ತದೆ. ಪರಿಣಾಮವಾಗಿ, CMSTP.exe ಅನ್ನು ರಿಮೋಟ್ ಸರ್ವರ್‌ಗಳಿಂದ ಡೈನಾಮಿಕ್ ಲಿಂಕ್ ಲೈಬ್ರರಿಗಳು (*.dll) ಅಥವಾ ಸ್ಕ್ರಿಪ್ಟ್‌ಲೆಟ್‌ಗಳನ್ನು (*.sct) ಲೋಡ್ ಮಾಡಲು ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಬಳಸಬಹುದು.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: HTTP ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ ವಿಶೇಷ ರೀತಿಯ INF ಫೈಲ್‌ಗಳ ವರ್ಗಾವಣೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪತ್ತೆ ಮಾಡುತ್ತದೆ. ಇದರ ಜೊತೆಗೆ, ಇದು ದೂರಸ್ಥ ಸರ್ವರ್‌ನಿಂದ ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಕ್ರಿಪ್ಟ್‌ಲೆಟ್‌ಗಳು ಮತ್ತು ಡೈನಾಮಿಕ್ ಲಿಂಕ್ ಲೈಬ್ರರಿಗಳ HTTP ಪ್ರಸರಣವನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

2. T1059: ಆಜ್ಞಾ ಸಾಲಿನ ಇಂಟರ್ಫೇಸ್

ಆಜ್ಞಾ ಸಾಲಿನ ಇಂಟರ್ಫೇಸ್ನೊಂದಿಗೆ ಸಂವಹನ. ಕಮಾಂಡ್ ಲೈನ್ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಸ್ಥಳೀಯವಾಗಿ ಅಥವಾ ದೂರದಿಂದಲೇ ಸಂವಹನ ಮಾಡಬಹುದು, ಉದಾಹರಣೆಗೆ ರಿಮೋಟ್ ಪ್ರವೇಶ ಉಪಯುಕ್ತತೆಗಳನ್ನು ಬಳಸಿ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ಪಿಂಗ್, ifconfig ನಂತಹ ವಿವಿಧ ಆಜ್ಞಾ ಸಾಲಿನ ಉಪಯುಕ್ತತೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಆಜ್ಞೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಗಳ ಆಧಾರದ ಮೇಲೆ ಶೆಲ್‌ಗಳ ಉಪಸ್ಥಿತಿಯನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

3. T1175: ಘಟಕ ವಸ್ತು ಮಾದರಿ ಮತ್ತು ವಿತರಿಸಿದ COM

ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಚಲಿಸುವಾಗ ಸ್ಥಳೀಯ ಅಥವಾ ರಿಮೋಟ್ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು COM ಅಥವಾ DCOM ತಂತ್ರಜ್ಞಾನಗಳ ಬಳಕೆ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ದಾಳಿಕೋರರು ಸಾಮಾನ್ಯವಾಗಿ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಬಳಸುವ ಅನುಮಾನಾಸ್ಪದ DCOM ಕರೆಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

4. T1203: ಕ್ಲೈಂಟ್ ಮರಣದಂಡನೆಗಾಗಿ ಶೋಷಣೆ

ವರ್ಕ್‌ಸ್ಟೇಷನ್‌ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ದುರ್ಬಲತೆಗಳ ದುರ್ಬಳಕೆ. ಆಕ್ರಮಣಕಾರರಿಗೆ ಅತ್ಯಂತ ಉಪಯುಕ್ತವಾದ ಶೋಷಣೆಗಳು ರಿಮೋಟ್ ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತವೆ, ಏಕೆಂದರೆ ದಾಳಿಕೋರರು ಆ ಸಿಸ್ಟಮ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸಬಹುದು. ತಂತ್ರವನ್ನು ಈ ಕೆಳಗಿನ ವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು: ದುರುದ್ದೇಶಪೂರಿತ ಮೇಲಿಂಗ್, ಬ್ರೌಸರ್ ಶೋಷಣೆಗಳೊಂದಿಗೆ ವೆಬ್‌ಸೈಟ್ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ದುರ್ಬಲತೆಗಳ ದೂರಸ್ಥ ಶೋಷಣೆ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ಮೇಲ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪಾರ್ಸ್ ಮಾಡುವಾಗ, ಲಗತ್ತುಗಳಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ಗಳ ಉಪಸ್ಥಿತಿಗಾಗಿ PT NAD ಅದನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಶೋಷಣೆಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಇಮೇಲ್‌ಗಳಿಂದ ಕಚೇರಿ ದಾಖಲೆಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಹೊರತೆಗೆಯುತ್ತದೆ. ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಪ್ರಯತ್ನಗಳು ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ ಗೋಚರಿಸುತ್ತವೆ, ಇದನ್ನು PT NAD ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

5. T1170: mshta

mshta.exe ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸಿ, ಇದು .hta ವಿಸ್ತರಣೆಯೊಂದಿಗೆ Microsoft HTML ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು (HTA) ರನ್ ಮಾಡುತ್ತದೆ. ಏಕೆಂದರೆ mshta ಬ್ರೌಸರ್ ಭದ್ರತಾ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಫೈಲ್‌ಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುತ್ತದೆ, ದುರುದ್ದೇಶಪೂರಿತ HTA, JavaScript, ಅಥವಾ VBScript ಫೈಲ್‌ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಆಕ್ರಮಣಕಾರರು mshta.exe ಅನ್ನು ಬಳಸಬಹುದು.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: mshta ಮೂಲಕ ಕಾರ್ಯಗತಗೊಳಿಸಲು .hta ಫೈಲ್‌ಗಳು ನೆಟ್‌ವರ್ಕ್ ಮೂಲಕ ರವಾನೆಯಾಗುತ್ತವೆ - ಇದನ್ನು ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ ಕಾಣಬಹುದು. PT NAD ಅಂತಹ ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್‌ಗಳ ವರ್ಗಾವಣೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪತ್ತೆ ಮಾಡುತ್ತದೆ. ಇದು ಫೈಲ್‌ಗಳನ್ನು ಸೆರೆಹಿಡಿಯುತ್ತದೆ ಮತ್ತು ಅವುಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸೆಷನ್ ಕಾರ್ಡ್‌ನಲ್ಲಿ ವೀಕ್ಷಿಸಬಹುದು.

6. T1086: ಪವರ್‌ಶೆಲ್

ಮಾಹಿತಿಯನ್ನು ಹುಡುಕಲು ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು PowerShell ಅನ್ನು ಬಳಸುವುದು.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ರಿಮೋಟ್ ದಾಳಿಕೋರರಿಂದ PowerShell ಅನ್ನು ಬಳಸಿದಾಗ, PT NAD ನಿಯಮಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಇದನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ. ಇದು ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳಲ್ಲಿ ಹೆಚ್ಚಾಗಿ ಬಳಸಲಾಗುವ ಪವರ್‌ಶೆಲ್ ಭಾಷೆಯ ಕೀವರ್ಡ್‌ಗಳನ್ನು ಮತ್ತು SMB ಪ್ರೋಟೋಕಾಲ್‌ನ ಮೂಲಕ ಪವರ್‌ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳ ಪ್ರಸರಣವನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

7. T1053: ನಿಗದಿತ ಕಾರ್ಯ
ನಿರ್ದಿಷ್ಟ ಸಮಯದಲ್ಲಿ ಪ್ರೋಗ್ರಾಂಗಳು ಅಥವಾ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಚಲಾಯಿಸಲು ವಿಂಡೋಸ್ ಟಾಸ್ಕ್ ಶೆಡ್ಯೂಲರ್ ಮತ್ತು ಇತರ ಉಪಯುಕ್ತತೆಗಳನ್ನು ಬಳಸುವುದು.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ಆಕ್ರಮಣಕಾರರು ಅಂತಹ ಕಾರ್ಯಗಳನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ದೂರದಿಂದಲೇ ರಚಿಸುತ್ತಾರೆ, ಅಂದರೆ ಅಂತಹ ಅವಧಿಗಳು ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ ಗೋಚರಿಸುತ್ತವೆ. PT NAD ಸ್ವಯಂಚಾಲಿತವಾಗಿ ATSVC ಮತ್ತು ITaskSchedulerService RPC ಇಂಟರ್ಫೇಸ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅನುಮಾನಾಸ್ಪದ ಕಾರ್ಯ ರಚನೆ ಮತ್ತು ಮಾರ್ಪಾಡು ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

8. T1064: ಸ್ಕ್ರಿಪ್ಟಿಂಗ್

ದಾಳಿಕೋರರ ವಿವಿಧ ಕ್ರಿಯೆಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳ ಪ್ರಸರಣವನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ, ಅಂದರೆ, ಅವುಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವ ಮೊದಲೇ. ಇದು ಕಚ್ಚಾ ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ ಸ್ಕ್ರಿಪ್ಟ್ ವಿಷಯವನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಜನಪ್ರಿಯ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ ಭಾಷೆಗಳಿಗೆ ಅನುಗುಣವಾದ ವಿಸ್ತರಣೆಗಳೊಂದಿಗೆ ಫೈಲ್‌ಗಳ ನೆಟ್‌ವರ್ಕ್ ಪ್ರಸರಣವನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

9. T1035: ಸೇವೆಯ ಮರಣದಂಡನೆ

ಸರ್ವಿಸ್ ಕಂಟ್ರೋಲ್ ಮ್ಯಾನೇಜರ್ (SCM) ನಂತಹ ವಿಂಡೋಸ್ ಸೇವೆಗಳೊಂದಿಗೆ ಸಂವಹನ ಮಾಡುವ ಮೂಲಕ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್, ಆಜ್ಞಾ ಸಾಲಿನ ಇಂಟರ್ಫೇಸ್ ಸೂಚನೆಗಳು ಅಥವಾ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ರನ್ ಮಾಡಿ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: SMB ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ ಮತ್ತು ಸೇವೆಯನ್ನು ರಚಿಸುವ, ಬದಲಾಯಿಸುವ ಮತ್ತು ಪ್ರಾರಂಭಿಸುವ ನಿಯಮಗಳೊಂದಿಗೆ SCM ಗೆ ಪ್ರವೇಶವನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

ರಿಮೋಟ್ ಕಮಾಂಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಯುಟಿಲಿಟಿ PSExec ಅನ್ನು ಬಳಸಿಕೊಂಡು ಸೇವಾ ಪ್ರಾರಂಭದ ತಂತ್ರವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. PT NAD SMB ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತದೆ ಮತ್ತು ರಿಮೋಟ್ ಗಣಕದಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು PSEXESVC.exe ಫೈಲ್ ಅಥವಾ ಸ್ಟ್ಯಾಂಡರ್ಡ್ PSEXECSVC ಸೇವಾ ಹೆಸರನ್ನು ಬಳಸುವಾಗ PSExec ನ ಬಳಕೆಯನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ. ಬಳಕೆದಾರರು ಕಾರ್ಯಗತಗೊಳಿಸಿದ ಆಜ್ಞೆಗಳ ಪಟ್ಟಿಯನ್ನು ಮತ್ತು ಹೋಸ್ಟ್‌ನಿಂದ ರಿಮೋಟ್ ಕಮಾಂಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್‌ನ ನ್ಯಾಯಸಮ್ಮತತೆಯನ್ನು ಪರಿಶೀಲಿಸಬೇಕಾಗುತ್ತದೆ.

PT NAD ನಲ್ಲಿರುವ ಅಟ್ಯಾಕ್ ಕಾರ್ಡ್ ATT&CK ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಪ್ರಕಾರ ಬಳಸುವ ತಂತ್ರಗಳು ಮತ್ತು ತಂತ್ರಗಳ ಡೇಟಾವನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ, ಇದರಿಂದಾಗಿ ದಾಳಿಕೋರರು ದಾಳಿಯ ಯಾವ ಹಂತದಲ್ಲಿದ್ದಾರೆ, ಅವರು ಯಾವ ಗುರಿಗಳನ್ನು ಅನುಸರಿಸುತ್ತಿದ್ದಾರೆ ಮತ್ತು ಯಾವ ಪರಿಹಾರ ಕ್ರಮಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಬೇಕು ಎಂಬುದನ್ನು ಬಳಕೆದಾರರು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬಹುದು.

PSExec ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸುವ ನಿಯಮವನ್ನು ಪ್ರಚೋದಿಸಲಾಗಿದೆ, ಇದು ರಿಮೋಟ್ ಗಣಕದಲ್ಲಿ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಪ್ರಯತ್ನವನ್ನು ಸೂಚಿಸುತ್ತದೆ

10. T1072: ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸಾಫ್ಟ್‌ವೇರ್

ಆಕ್ರಮಣಕಾರರು ರಿಮೋಟ್ ಅಡ್ಮಿನಿಸ್ಟ್ರೇಷನ್ ಸಾಫ್ಟ್‌ವೇರ್ ಅಥವಾ ಕಾರ್ಪೊರೇಟ್ ಸಾಫ್ಟ್‌ವೇರ್ ನಿಯೋಜನೆ ವ್ಯವಸ್ಥೆಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವ ತಂತ್ರ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಅದನ್ನು ಬಳಸುತ್ತಾರೆ. ಅಂತಹ ಸಾಫ್ಟ್‌ವೇರ್‌ಗಳ ಉದಾಹರಣೆಗಳು: SCCM, VNC, TeamViewer, HBSS, Altiris.
ಅಂದಹಾಗೆ, ದೂರಸ್ಥ ಕೆಲಸಕ್ಕೆ ಬೃಹತ್ ಪರಿವರ್ತನೆಗೆ ಸಂಬಂಧಿಸಿದಂತೆ ತಂತ್ರವು ವಿಶೇಷವಾಗಿ ಪ್ರಸ್ತುತವಾಗಿದೆ ಮತ್ತು ಇದರ ಪರಿಣಾಮವಾಗಿ, ಸಂಶಯಾಸ್ಪದ ದೂರಸ್ಥ ಪ್ರವೇಶ ಚಾನಲ್‌ಗಳ ಮೂಲಕ ಹಲವಾರು ಅಸುರಕ್ಷಿತ ಗೃಹ ಸಾಧನಗಳ ಸಂಪರ್ಕ

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಅಂತಹ ಸಾಫ್ಟ್ವೇರ್ನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪತ್ತೆ ಮಾಡುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, VNC ಪ್ರೋಟೋಕಾಲ್ ಮತ್ತು EvilVNC ಟ್ರೋಜನ್‌ನ ಚಟುವಟಿಕೆಯ ಮೂಲಕ ಸಂಪರ್ಕಗಳಿಂದ ನಿಯಮಗಳನ್ನು ಪ್ರಚೋದಿಸಲಾಗುತ್ತದೆ, ಇದು ಬಲಿಪಶುವಿನ ಹೋಸ್ಟ್‌ನಲ್ಲಿ VNC ಸರ್ವರ್ ಅನ್ನು ರಹಸ್ಯವಾಗಿ ಸ್ಥಾಪಿಸುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪ್ರಾರಂಭಿಸುತ್ತದೆ. ಅಲ್ಲದೆ, PT NAD ಸ್ವಯಂಚಾಲಿತವಾಗಿ TeamViewer ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ, ಇದು ಫಿಲ್ಟರ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ವಿಶ್ಲೇಷಕರಿಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ, ಅಂತಹ ಎಲ್ಲಾ ಸೆಷನ್‌ಗಳನ್ನು ಹುಡುಕುತ್ತದೆ ಮತ್ತು ಅವುಗಳ ನ್ಯಾಯಸಮ್ಮತತೆಯನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ.

11. T1204: ಬಳಕೆದಾರ ಮರಣದಂಡನೆ

ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್‌ಗೆ ಕಾರಣವಾಗುವ ಫೈಲ್‌ಗಳನ್ನು ಬಳಕೆದಾರರು ರನ್ ಮಾಡುವ ತಂತ್ರ. ಉದಾಹರಣೆಗೆ, ಅವರು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ತೆರೆದರೆ ಅಥವಾ ಮ್ಯಾಕ್ರೋದೊಂದಿಗೆ ಕಚೇರಿ ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ರನ್ ಮಾಡಿದರೆ ಇದು ಆಗಿರಬಹುದು.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ಅಂತಹ ಫೈಲ್‌ಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವ ಮೊದಲು ವರ್ಗಾವಣೆ ಹಂತದಲ್ಲಿ ನೋಡುತ್ತದೆ. ಅವುಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಅವರು ಪ್ರಸಾರ ಮಾಡಿದ ಸೆಷನ್‌ಗಳ ಕಾರ್ಡ್‌ನಲ್ಲಿ ಅಧ್ಯಯನ ಮಾಡಬಹುದು.

12. T1047:ವಿಂಡೋಸ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಇನ್ಸ್ಟ್ರುಮೆಂಟೇಶನ್

ವಿಂಡೋಸ್ ಸಿಸ್ಟಮ್ ಘಟಕಗಳಿಗೆ ಸ್ಥಳೀಯ ಮತ್ತು ದೂರಸ್ಥ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸುವ WMI ಉಪಕರಣದ ಬಳಕೆ. WMI ಅನ್ನು ಬಳಸಿಕೊಂಡು, ಆಕ್ರಮಣಕಾರರು ಸ್ಥಳೀಯ ಮತ್ತು ರಿಮೋಟ್ ಸಿಸ್ಟಮ್‌ಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಬಹುದು ಮತ್ತು ವಿಚಕ್ಷಣ ಉದ್ದೇಶಗಳಿಗಾಗಿ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುವುದು ಮತ್ತು ಪಾರ್ಶ್ವವಾಗಿ ಚಲಿಸುವಾಗ ರಿಮೋಟ್‌ನಲ್ಲಿ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವಂತಹ ವಿವಿಧ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸಬಹುದು.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ಡಬ್ಲ್ಯೂಎಂಐ ಮೂಲಕ ರಿಮೋಟ್ ಸಿಸ್ಟಮ್‌ಗಳೊಂದಿಗಿನ ಸಂವಹನಗಳು ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ ಗೋಚರಿಸುವುದರಿಂದ, ಡಬ್ಲ್ಯುಎಂಐ ಸೆಷನ್‌ಗಳನ್ನು ಸ್ಥಾಪಿಸಲು ಪಿಟಿ ಎನ್‌ಎಡಿ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ನೆಟ್‌ವರ್ಕ್ ವಿನಂತಿಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಡಬ್ಲ್ಯುಎಂಐ ಬಳಸುವ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳಿಗಾಗಿ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ.

13. T1028: ವಿಂಡೋಸ್ ರಿಮೋಟ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್

ರಿಮೋಟ್ ಸಿಸ್ಟಮ್‌ಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಬಳಕೆದಾರರಿಗೆ ಅನುಮತಿಸುವ ವಿಂಡೋಸ್ ಸೇವೆ ಮತ್ತು ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸುವುದು.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ವಿಂಡೋಸ್ ರಿಮೋಟ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಬಳಸಿ ಸ್ಥಾಪಿಸಲಾದ ನೆಟ್ವರ್ಕ್ ಸಂಪರ್ಕಗಳನ್ನು ನೋಡುತ್ತದೆ. ಅಂತಹ ಅವಧಿಗಳನ್ನು ನಿಯಮಗಳಿಂದ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪತ್ತೆ ಮಾಡಲಾಗುತ್ತದೆ.

14. T1220: XSL (ವಿಸ್ತರಿಸುವ ಸ್ಟೈಲ್‌ಶೀಟ್ ಭಾಷೆ) ಸ್ಕ್ರಿಪ್ಟ್ ಪ್ರಕ್ರಿಯೆ

XSL ಶೈಲಿಯ ಮಾರ್ಕ್ಅಪ್ ಭಾಷೆಯನ್ನು XML ಫೈಲ್‌ಗಳಲ್ಲಿ ಡೇಟಾದ ಪ್ರಕ್ರಿಯೆ ಮತ್ತು ದೃಶ್ಯೀಕರಣವನ್ನು ವಿವರಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಸಂಕೀರ್ಣ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಬೆಂಬಲಿಸಲು, XSL ಮಾನದಂಡವು ವಿವಿಧ ಭಾಷೆಗಳಲ್ಲಿ ಎಂಬೆಡೆಡ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಒಳಗೊಂಡಿದೆ. ಈ ಭಾಷೆಗಳು ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, ಇದು ಬಿಳಿ ಪಟ್ಟಿಗಳ ಆಧಾರದ ಮೇಲೆ ಭದ್ರತಾ ನೀತಿಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಕಾರಣವಾಗುತ್ತದೆ.

PT NAD ಏನು ಮಾಡುತ್ತದೆ?: ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಅಂತಹ ಫೈಲ್‌ಗಳ ವರ್ಗಾವಣೆಯನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ, ಅಂದರೆ, ಅವುಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವ ಮೊದಲೇ. ಇದು ಸ್ವಯಂಚಾಲಿತವಾಗಿ XSL ಫೈಲ್‌ಗಳನ್ನು ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ರವಾನಿಸುವುದನ್ನು ಮತ್ತು ಅಸಂಗತ XSL ಮಾರ್ಕ್‌ಅಪ್‌ನೊಂದಿಗೆ ಫೈಲ್‌ಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

ಕೆಳಗಿನ ವಸ್ತುಗಳಲ್ಲಿ, MITER ATT&CK ಗೆ ಅನುಗುಣವಾಗಿ PT ನೆಟ್‌ವರ್ಕ್ ಅಟ್ಯಾಕ್ ಡಿಸ್ಕವರಿ NTA ಸಿಸ್ಟಮ್ ಇತರ ಆಕ್ರಮಣಕಾರರ ತಂತ್ರಗಳು ಮತ್ತು ತಂತ್ರಗಳನ್ನು ಹೇಗೆ ಕಂಡುಕೊಳ್ಳುತ್ತದೆ ಎಂಬುದನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ. ಟ್ಯೂನ್ ಆಗಿರಿ!

ಲೇಖಕರು:

• ಆಂಟನ್ ಕುಟೆಪೋವ್, PT ಎಕ್ಸ್‌ಪರ್ಟ್ ಸೆಕ್ಯುರಿಟಿ ಸೆಂಟರ್‌ನಲ್ಲಿ ತಜ್ಞ, ಧನಾತ್ಮಕ ತಂತ್ರಜ್ಞಾನಗಳು
• ನಟಾಲಿಯಾ ಕಝಂಕೋವಾ, ಪಾಸಿಟಿವ್ ಟೆಕ್ನಾಲಜೀಸ್‌ನಲ್ಲಿ ಉತ್ಪನ್ನ ಮಾರಾಟಗಾರ

ಮೂಲ: www.habr.com