PT Network Attack Discovery ၏နမူနာကိုအသုံးပြု၍ MITER ATT&CK မှ ဟက်ကာနည်းဗျူဟာများကို လမ်းကြောင်းခွဲခြမ်းစိတ်ဖြာမှုစနစ်များက မည်သို့ထောက်လှမ်းသည်

Verizon ၏ ပြောကြားချက်အရ သိရသည်။သတင်းအချက်အလက်လုံခြုံရေးဆိုင်ရာ ဖြစ်ရပ်များ၏ အများစု (87%) သည် မိနစ်ပိုင်းအတွင်း ဖြစ်ပွားလေ့ရှိပြီး ကုမ္ပဏီများ၏ 68% သည် ၎င်းတို့ကို သိရှိရန် လနှင့်ချီ အချိန်ယူရသည်။ ဒါက အတည်နဲ့ Ponemon Institute သုတေသနအဖွဲ့အစည်းအများစုသည် အဖြစ်အပျက်တစ်ခုကို ရှာဖွေတွေ့ရှိရန် ပျမ်းမျှအားဖြင့် ရက်ပေါင်း 206 ကြာကြောင်း သိရသည်။ ကျွန်ုပ်တို့၏ စုံစမ်းစစ်ဆေးမှုများအပေါ် အခြေခံ၍ ဟက်ကာများသည် ကုမ္ပဏီတစ်ခု၏ အခြေခံအဆောက်အအုံကို ရှာဖွေတွေ့ရှိခြင်းမရှိဘဲ နှစ်ပေါင်းများစွာ ထိန်းချုပ်နိုင်သည်။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့၏ကျွမ်းကျင်သူများသည် သတင်းအချက်အလက်လုံခြုံရေးဖြစ်ရပ်ကို စုံစမ်းစစ်ဆေးသည့်အဖွဲ့အစည်းတစ်ခုတွင်၊ ဟက်ကာများသည် အဖွဲ့အစည်း၏အခြေခံအဆောက်အအုံတစ်ခုလုံးကို လုံးလုံးလျားလျားထိန်းချုပ်ထားပြီး အရေးကြီးသောအချက်အလက်များကို ပုံမှန်ခိုးယူနေကြောင်း ထင်ရှားပါသည်။ ရှစ်နှစ်.

မှတ်တမ်းများကို စုဆောင်းပြီး ဖြစ်ရပ်များကို ခွဲခြမ်းစိတ်ဖြာပေးသည့် SIEM လည်ပတ်နေပြီဖြစ်ကြောင်း၊ ဗိုင်းရပ်စ်ပိုးများကို အဆုံးအဖြတ်များပေါ်တွင် ထည့်သွင်းထားသည်ဟုဆိုကြပါစို့။ ဘယ်လိုပဲဖြစ်ဖြစ်၊ SIEM သုံးပြီး အရာအားလုံးကို ရှာမတွေ့နိုင်ပါဘူး။ကွန်ရက်တစ်ခုလုံးအတွက် EDR စနစ်များကို အကောင်အထည်ဖော်ရန် မဖြစ်နိုင်သကဲ့သို့၊ ဆိုလိုသည်မှာ "ကန်းသော" ဇုန်များကို ရှောင်လွှဲ၍မရပါ။ ကွန်ရက်လမ်းကြောင်း ခွဲခြမ်းစိတ်ဖြာခြင်း (NTA) စနစ်များသည် ၎င်းတို့ကို ရင်ဆိုင်ရန် ကူညီပေးသည်။ ဤဖြေရှင်းချက်များသည် ကွန်ရက်အတွင်းသို့ ထိုးဖောက်ဝင်ရောက်မှု၏ အစောဆုံးအဆင့်များတွင် တိုက်ခိုက်သူများ၏ လုပ်ဆောင်ချက်ကို ထောက်လှမ်းသိရှိနိုင်ပြီး ခြေကုပ်ယူနိုင်ရန်နှင့် ကွန်ရက်အတွင်း တိုက်ခိုက်မှုကို ဖော်ထုတ်ရန် ကြိုးပမ်းနေချိန်တွင်လည်း တွေ့ရှိနိုင်သည်။

NTAs နှစ်မျိုးရှိသည်- တစ်ခုက NetFlow နှင့်အလုပ်လုပ်သည်၊ အခြားတစ်ခုသည် ကုန်ကြမ်းလမ်းကြောင်းကို ပိုင်းခြားစိတ်ဖြာသည်။ ဒုတိယစနစ်၏အားသာချက်မှာ ကုန်ကြမ်းလမ်းကြောင်းများကို သိမ်းဆည်းနိုင်ခြင်းဖြစ်သည်။ ယင်းကြောင့် သတင်းအချက်အလက်လုံခြုံရေးကျွမ်းကျင်သူတစ်ဦးသည် တိုက်ခိုက်မှု၏အောင်မြင်မှုကို စစ်ဆေးနိုင်သည်၊ ခြိမ်းခြောက်မှုကို ဒေသစံသတ်မှတ်ရန်၊ တိုက်ခိုက်မှုဖြစ်ပွားပုံနှင့် အနာဂတ်တွင် အလားတူမည်ကဲ့သို့ ကာကွယ်ရမည်ကို နားလည်နိုင်သည်။

အသိပညာအခြေခံတွင်ဖော်ပြထားသော သိထားသည့်တိုက်ခိုက်မှုနည်းဗျူဟာအားလုံးကို တိုက်ရိုက် သို့မဟုတ် သွယ်ဝိုက်သောလက္ခဏာများဖြင့် ခွဲခြားသတ်မှတ်ရန် NTA ကို မည်သို့အသုံးပြုနိုင်ကြောင်း ပြသပါမည်။ MITER ATT&CK. နည်းဗျူဟာ 12 ခုမှ တစ်ခုစီအကြောင်း ဆွေးနွေးမည်ဖြစ်ပြီး အသွားအလာမှ တွေ့ရှိရသည့် နည်းပညာများကို ခွဲခြမ်းစိတ်ဖြာကာ ကျွန်ုပ်တို့၏ NTA စနစ်ဖြင့် ၎င်းတို့၏ ထောက်လှမ်းမှုကို သရုပ်ပြပါမည်။

ATT&CK Knowledge Base အကြောင်း

MITER ATT&CK သည် စစ်မှန်သော APT များကို ခွဲခြမ်းစိတ်ဖြာမှုအပေါ် အခြေခံ၍ MITER ကော်ပိုရေးရှင်းမှ တီထွင်ထိန်းသိမ်းထားသော အများသူငှာ အသိပညာအခြေခံတစ်ခုဖြစ်သည်။ ၎င်းသည် တိုက်ခိုက်သူများအသုံးပြုသည့် နည်းဗျူဟာများနှင့် နည်းစနစ်ကျနသော အစုအဝေးတစ်ခုဖြစ်သည်။ ၎င်းသည် ကမ္ဘာတစ်ဝှမ်းမှ သတင်းအချက်အလက် လုံခြုံရေးကျွမ်းကျင်သူများကို တူညီသောဘာသာစကားဖြင့် ပြောဆိုနိုင်စေပါသည်။ ဒေတာဘေ့စ်သည် အဆက်မပြတ် ချဲ့ထွင်နေပြီး အသိပညာအသစ်များဖြင့် ဖြည့်စွက်ထားသည်။

ဒေတာဘေ့စ်သည် ဆိုက်ဘာတိုက်ခိုက်မှု၏ အဆင့်များဖြင့် ပိုင်းခြားထားသော နည်းဗျူဟာ 12 ခုကို ခွဲခြားဖော်ပြသည်-

• ကနဦးဝင်ရောက်ခွင့် (initial access);
• ကွပ်မျက်ခြင်း (execution);
• စုစည်းမှု (မြဲမြံမှု);
• အခွင့်ထူးတိုးခြင်း၊
• ထောက်လှမ်းခြင်း ကာကွယ်ရေး (ကာကွယ်ရေး ရှောင်လွှဲမှု);
• အထောက်အထားများ ရယူခြင်း (credential access);
• ထောက်လှမ်းရေး (ရှာဖွေတွေ့ရှိမှု);
• ပတ်၀န်းကျင်အတွင်း ရွေ့လျားမှု (lateral movement);
• ဒေတာစုဆောင်းခြင်း (စုဆောင်းခြင်း);
• အမိန့်နှင့်ထိန်းချုပ်မှု;
• ဒေတာထုတ်ယူခြင်း
• ထိခိုက်မှု။

နည်းဗျူဟာတစ်ခုစီအတွက်၊ ATT&CK Knowledge Base သည် တိုက်ခိုက်သူများသည် တိုက်ခိုက်မှု၏ လက်ရှိအဆင့်တွင် ၎င်းတို့၏ပန်းတိုင်ကို အောင်မြင်အောင် ကူညီပေးသည့် နည်းလမ်းများစာရင်းကို စာရင်းပြုစုထားသည်။ တူညီသောနည်းပညာကို မတူညီသောအဆင့်များတွင် အသုံးပြုနိုင်ပြီး၊ နည်းဗျူဟာများစွာကို ရည်ညွှန်းနိုင်သည်။

နည်းပညာတစ်ခုစီ၏ ဖော်ပြချက်တွင်-

• အမှတ်အသား၊
• ၎င်းကိုအသုံးပြုသည့် နည်းဗျူဟာများစာရင်း၊
• APT အဖွဲ့များ၏ အသုံးပြုမှုနမူနာများ၊
• ၎င်း၏အသုံးပြုမှုကြောင့် ပျက်စီးဆုံးရှုံးမှုလျှော့ချရန် အစီအမံများ၊
• ထောက်လှမ်းအကြံပြုချက်များ။

သတင်းအချက်အလက်လုံခြုံရေးကျွမ်းကျင်သူများသည် လက်ရှိတိုက်ခိုက်မှုနည်းလမ်းများနှင့်ပတ်သက်သော အချက်အလက်များကို တည်ဆောက်ရန်အတွက် ဒေတာဘေ့စ်မှ အသိပညာကို အသုံးပြုကာ ထိရောက်သောလုံခြုံရေးစနစ်တစ်ခုကို တည်ဆောက်ရန် စိတ်စွဲမှတ်ထားပြီး၊ စစ်မှန်သော APT အဖွဲ့များ မည်ကဲ့သို့ လည်ပတ်နေသည်ကို နားလည်ခြင်းသည် အတွင်းတွင် ခြိမ်းခြောက်မှုများကို တက်ကြွစွာ ရှာဖွေခြင်းအတွက် တွေးခေါ်မှု အရင်းအမြစ်တစ်ခု ဖြစ်လာနိုင်သည်။ ခြိမ်းခြောက်အမဲလိုက်ခြင်း။.

PT Network Attack Discovery အကြောင်း

စနစ်အသုံးပြု၍ ATT & CK matrix မှ နည်းပညာများအသုံးပြုမှုကို ဖော်ထုတ်ပါမည်။ PT Network Attack Discovery - အပြုသဘောဆောင်သောနည်းပညာများ NTA စနစ်သည် ပတ်၀န်းကျင်နှင့် ကွန်ရက်အတွင်းရှိ တိုက်ခိုက်မှုများကို သိရှိနိုင်ရန် ဒီဇိုင်းထုတ်ထားသည်။ PT NAD သည် MITER ATT&CK matrix ၏ နည်းဗျူဟာ 12 ခုလုံးကို ကွဲပြားသောဒီဂရီအထိ အကျုံးဝင်သည်။ ၎င်းသည် ကနဦးဝင်ရောက်မှု၊ ဘေးတိုက်ရွေ့လျားမှုနှင့် အမိန့်ပေးထိန်းချုပ်မှုနည်းပညာများကို ခွဲခြားသတ်မှတ်ရာတွင် အပြင်းထန်ဆုံးဖြစ်သည်။ ၎င်းတို့တွင်၊ PT NAD သည် တိုက်ရိုက် သို့မဟုတ် သွယ်ဝိုက်သော လက္ခဏာများဖြင့် ၎င်းတို့၏အသုံးပြုမှုကို သိရှိထားသော နည်းပညာများ၏ ထက်ဝက်ကျော်ကို ဖုံးလွှမ်းထားသည်။

စနစ်သည် အမိန့်ဖြင့် ဖန်တီးထားသော ထောက်လှမ်းမှုစည်းမျဉ်းများကို အသုံးပြု၍ ATT&CK နည်းပညာများကို အသုံးပြု၍ တိုက်ခိုက်မှုများကို ထောက်လှမ်းသည်။ PT ကျွမ်းကျင်လုံခြုံရေးစင်တာ (PT ESC)၊ စက်သင်ယူမှု၊ အပေးအယူအညွှန်းများ၊ နက်နဲသောခွဲခြမ်းစိတ်ဖြာမှုနှင့် နောက်ကြောင်းပြန်ခွဲခြမ်းစိတ်ဖြာမှု။ နောက်ကြောင်းပြန်ခြင်းနှင့် ပေါင်းစပ်ထားသော အချိန်နှင့်တပြေးညီ အသွားအလာ ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် သင်သည် လက်ရှိ ဝှက်ထားသော အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များကို ရှာဖွေဖော်ထုတ်နိုင်ပြီး ဖွံ့ဖြိုးတိုးတက်မှုဆိုင်ရာ အားနည်းချက်များကို ခြေရာခံကာ တိုက်ခိုက်သည့် အချိန်ဇယားကို လုပ်ဆောင်နိုင်မည်ဖြစ်သည်။

ဒီမှာ PT NAD ၏ MITER ATT&CK matrix သို့ မြေပုံအပြည့်အစုံ။ ပုံသည် ကြီးမားသောကြောင့် ၎င်းကို သီးခြားဝင်းဒိုးတွင် ထည့်သွင်းစဉ်းစားရန် အကြံပြုအပ်ပါသည်။

ကနဦးဝင်ရောက်ခွင့်

ကနဦးအသုံးပြုခွင့်နည်းဗျူဟာများတွင် ကုမ္ပဏီတစ်ခု၏ကွန်ရက်ကို စိမ့်ဝင်အောင်ပြုလုပ်သည့် နည်းစနစ်များပါဝင်သည်။ ဤအဆင့်တွင် တိုက်ခိုက်သူများ၏ ရည်မှန်းချက်မှာ တိုက်ခိုက်ခံရသောစနစ်သို့ အန္တရာယ်ရှိသောကုဒ်များ ပေးပို့ရန်နှင့် ၎င်း၏ နောက်ထပ်လုပ်ဆောင်မှုကို သေချာစေရန်ဖြစ်သည်။

PT NAD လမ်းကြောင်းခွဲခြမ်းစိတ်ဖြာခြင်းသည် ကနဦးဝင်ရောက်ခွင့်ရရှိခြင်းအတွက် နည်းလမ်းခုနစ်ခုကို ဖော်ပြသည်-

1. T1189: drive-by compromise

အပလီကေးရှင်းဝင်ရောက်ခွင့် တိုကင်များရယူရန် ဝဘ်ဘရောက်ဆာကို အသုံးချရန် တိုက်ခိုက်သူများအသုံးပြုသည့် ဝဘ်ဆိုက်တစ်ခုအား သားကောင်ဖွင့်သည့် နည်းလမ်းတစ်ခု။

PT NAD ဘာလုပ်သလဲ။- ဝဘ်လမ်းကြောင်းကို ကုဒ်ဝှက်မထားပါက၊ PT NAD သည် HTTP ဆာဗာတုံ့ပြန်မှုများ၏ အကြောင်းအရာကို စစ်ဆေးသည်။ ဤအဖြေများတွင် တိုက်ခိုက်သူများသည် ဘရောက်ဆာအတွင်း မတရားကုဒ်များကို လုပ်ဆောင်နိုင်စေရန် အသုံးချမှုများကို တွေ့ရှိရသည်။ PT NAD သည် ထောက်လှမ်းခြင်းစည်းမျဉ်းများကို အသုံးပြု၍ ထိုကဲ့သို့ အမြတ်ထုတ်မှုများကို အလိုအလျောက် ထောက်လှမ်းသည်။

ထို့အပြင်၊ PT NAD သည် ယခင်အဆင့်ရှိ ခြိမ်းခြောက်မှုကို ထောက်လှမ်းသည်။ အသုံးပြုသူသည် သူ့အား အသုံးချမှုများစွာရှိသော ဝဘ်ဆိုက်တစ်ခုသို့ ပြန်ညွှန်းပေးသည့် ဝဘ်ဆိုက်သို့ သွားရောက်လည်ပတ်ခဲ့လျှင် အပေးအယူလုပ်ခြင်းဆိုင်ရာ စည်းမျဉ်းများနှင့် အညွှန်းများကို အစပျိုးသည်။

2. T1190: အများသူငှာ မျက်နှာစာအပလီကေးရှင်းကို အသုံးချပါ။

အင်တာနက်မှ ရရှိနိုင်သော ဝန်ဆောင်မှုများတွင် အားနည်းချက်များကို အသုံးချခြင်း။

PT NAD ဘာလုပ်သလဲ။: ကွန်ရက်ပက်ကတ်များ၏ အကြောင်းအရာများကို နက်ရှိုင်းစွာ စစ်ဆေးခြင်း၊ ၎င်းတွင် မမှန်မကန်လုပ်ဆောင်မှု လက္ခဏာများကို ပြသခြင်း။ အထူးသဖြင့်၊ ပင်မအကြောင်းအရာစီမံခန့်ခွဲမှုစနစ်များ (CMS)၊ ကွန်ရက်ကိရိယာများ၏ ဝဘ်အင်တာဖေ့စ်များ၊ မေးလ်နှင့် FTP ဆာဗာများကို တိုက်ခိုက်မှုများကို ထောက်လှမ်းနိုင်စေမည့် စည်းမျဉ်းများရှိပါသည်။

3. T1133: ပြင်ပအဝေးထိန်းဝန်ဆောင်မှုများ

တိုက်ခိုက်သူများသည် ပြင်ပမှ အတွင်းပိုင်းကွန်ရက်ရင်းမြစ်များနှင့် ချိတ်ဆက်ရန် အဝေးမှဝင်ရောက်ခြင်းဝန်ဆောင်မှုများကို အသုံးပြုကြသည်။

PT NAD ဘာလုပ်သလဲ။: စနစ်သည် ပို့တ်နံပါတ်များဖြင့်မဟုတ်ဘဲ ပရိုတိုကောများကို အသိအမှတ်ပြုသောကြောင့်၊ သို့သော် ပက်ကတ်များ၏ အကြောင်းအရာများအားဖြင့်၊ စနစ်အသုံးပြုသူများသည် အဝေးထိန်းဝင်ရောက်ခွင့်ပရိုတိုကောများ၏ ဆက်ရှင်အားလုံးကို ရှာဖွေရန်နှင့် ၎င်းတို့၏တရားဝင်မှုကို စစ်ဆေးရန်နည်းလမ်းဖြင့် အသွားအလာကို စနစ်အသုံးပြုသူများမှ စစ်ထုတ်နိုင်ပါသည်။

4. T1193: spearphishing attachment

ကျွန်ုပ်တို့သည် နာမည်ဆိုးဖြင့် ဖြားယောင်းသော ပူးတွဲပါဖိုင်များ ပေးပို့ခြင်းအကြောင်း ပြောနေပါသည်။

PT NAD ဘာလုပ်သလဲ။: ဖိုင်များကို အသွားအလာမှ အလိုအလျောက် ထုတ်ယူပြီး အပေးအယူလုပ်သည့် ညွှန်ကိန်းများနှင့် ၎င်းတို့ကို စစ်ဆေးသည်။ ပူးတွဲပါဖိုင်များတွင် အကောင်အထည်ဖော်နိုင်သော ဖိုင်များကို မေးလ်လမ်းကြောင်း၏ အကြောင်းအရာကို ခွဲခြမ်းစိတ်ဖြာသည့် စည်းမျဉ်းများဖြင့် ရှာဖွေတွေ့ရှိပါသည်။ ကော်ပိုရိတ်ပတ်ဝန်းကျင်တွင်၊ ထိုသို့သော ရင်းနှီးမြုပ်နှံမှုသည် မှားယွင်းသည်ဟု ယူဆပါသည်။

5. T1192: spearphishing link

phishing လင့်ခ်များကို အသုံးပြုခြင်း။ အဆိုပါနည်းပညာတွင် တိုက်ခိုက်သူများသည် နှိပ်လိုက်သည့်အခါ အန္တရာယ်ရှိသော ပရိုဂရမ်ကို ဒေါင်းလုဒ်လုပ်သည့် လင့်ခ်တစ်ခုဖြင့် ဖြားယောင်းအီးမေးလ်တစ်စောင် ပေးပို့ခြင်းတွင် ပါဝင်ပါသည်။ စည်းမျဉ်းအရ၊ လူမှုအင်ဂျင်နီယာ၏စည်းမျဉ်းအားလုံးအရ စုစည်းထားသော စာသားဖြင့် လင့်ခ်ကို တွဲထားသည်။

PT NAD ဘာလုပ်သလဲ။: အပေးအယူလုပ်သည့် အညွှန်းများကို အသုံးပြု၍ ဖြားယောင်းသည့်လင့်ခ်များကို ရှာဖွေတွေ့ရှိသည်။ ဥပမာအားဖြင့်၊ PT NAD အင်တာဖေ့စ်တွင် ဖြားယောင်းခြင်းလိပ်စာများစာရင်း (phishing-urls) စာရင်းတွင်ပါရှိသော လင့်ခ်မှတစ်ဆင့် HTTP ချိတ်ဆက်မှုရှိသည့် စက်ရှင်တစ်ခုကို ကျွန်ုပ်တို့တွေ့မြင်ရသည်။

Phishing-urls များ၏ အပေးအယူ အညွှန်းများစာရင်းမှ လင့်ခ်မှတဆင့် ချိတ်ဆက်မှု

6. T1199: ယုံကြည်မှုဆက်ဆံရေး

သေဆုံးသူ၏ ယုံကြည်စိတ်ချရသော ဆက်ဆံရေးရှိသည့် တတိယပါတီများမှတစ်ဆင့် သားကောင်၏ကွန်ရက်သို့ ဝင်ရောက်ခြင်း။ တိုက်ခိုက်သူများသည် ယုံကြည်ရသောအဖွဲ့အစည်းတစ်ခုသို့ ဖောက်ထွင်းဝင်ရောက်နိုင်ပြီး ပစ်မှတ်ကွန်ရက်သို့ ချိတ်ဆက်နိုင်သည်။ ထိုသို့လုပ်ဆောင်ရန်၊ ၎င်းတို့သည် အသွားအလာ ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ထင်ရှားစေသည့် VPN ချိတ်ဆက်မှုများ သို့မဟုတ် ဒိုမိန်းယုံကြည်မှု ဆက်ဆံရေးများကို အသုံးပြုသည်။

PT NAD ဘာလုပ်သလဲ။: အပလီကေးရှင်းပရိုတိုကောများကို ခွဲခြမ်းစိပ်ဖြာပြီး ခွဲခြမ်းစိတ်ဖြာထားသော အကွက်များကို ဒေတာဘေ့စ်တွင် သိမ်းဆည်းပေးသည်၊ သို့မှသာ ဒေတာလုံခြုံရေးလေ့လာဆန်းစစ်သူသည် သံသယဖြစ်ဖွယ် VPN ချိတ်ဆက်မှုများ သို့မဟုတ် ဒေတာဘေ့စ်အတွင်းရှိ ဒိုမိန်းဖြတ်ကျော်ချိတ်ဆက်မှုများကို ရှာဖွေရန် စစ်ထုတ်မှုများကို အသုံးပြုနိုင်သည်။

7. T1078: တရားဝင်အကောင့်များ

ပြင်ပနှင့် အတွင်းပိုင်းဝန်ဆောင်မှုများအတွက် ခွင့်ပြုချက်အတွက် စံ၊ ဒေသဆိုင်ရာ သို့မဟုတ် ဒိုမိန်းအထောက်အထားများကို အသုံးပြုခြင်း။

PT NAD ဘာလုပ်သလဲ။: HTTP၊ FTP၊ SMTP၊ POP3၊ IMAP၊ SMB၊ DCE/RPC၊ SOCKS5၊ LDAP၊ Kerberos ပရိုတိုကောများမှ အထောက်အထားများကို အလိုအလျောက် ထုတ်ယူသည်။ ယေဘူယျအားဖြင့်၊ ၎င်းသည် အကောင့်ဝင်ခြင်း၊ စကားဝှက်နှင့် အောင်မြင်သော အထောက်အထားစိစစ်ခြင်း၏ လက္ခဏာဖြစ်သည်။ ၎င်းတို့ကို အသုံးပြုပြီးပါက၊ ၎င်းတို့ကို သက်ဆိုင်ရာ စက်ရှင်ကတ်တွင် ပြသထားသည်။

ကွပ်မျက်ခြင်း။

အကောင်အထည်ဖော်မှုနည်းဗျူဟာများတွင် တိုက်ခိုက်သူများသည် အပေးအယူခံရသောစနစ်များတွင် ကုဒ်ကိုလုပ်ဆောင်ရန် အသုံးပြုသည့်နည်းစနစ်များ ပါဝင်သည်။ အန္တရာယ်ရှိသောကုဒ်ကို လုပ်ဆောင်ခြင်းသည် တိုက်ခိုက်သူများအား တည်ရှိမှု (မြဲမြံစေသော နည်းဗျူဟာ) ကို ထူထောင်စေပြီး ပတ်၀န်းကျင်အတွင်း ရွှေ့ခြင်းဖြင့် ကွန်ရက်ရှိ အဝေးထိန်းစနစ်များသို့ ဝင်ရောက်ခွင့်ကို ချဲ့ထွင်စေသည်။

PT NAD သည် သင့်အား အန္တရာယ်ရှိသောကုဒ်ကိုလုပ်ဆောင်ရန် တိုက်ခိုက်သူများအသုံးပြုသည့် နည်းပညာ ၁၄ ခုကို ခွဲခြားသတ်မှတ်နိုင်စေပါသည်။

1. T1191- CMSTP (Microsoft Connection Manager ပရိုဖိုင် တပ်ဆင်သူ)

တိုက်ခိုက်သူများသည် built-in Windows CMSTP.exe utility (Connection Manager Profile Installer) အတွက် အထူးဖန်တီးထားသည့် အန္တရာယ်ရှိသော .inf တပ်ဆင်မှုဖိုင်ကို ပြင်ဆင်သည့်နည်းဗျူဟာ။ CMSTP.exe သည် ဖိုင်တစ်ခုကို ကန့်သတ်ချက်တစ်ခုအဖြစ် ယူကာ အဝေးထိန်းချိတ်ဆက်မှုအတွက် ဝန်ဆောင်မှုပရိုဖိုင်ကို ထည့်သွင်းသည်။ ရလဒ်အနေဖြင့်၊ CMSTP.exe ကို အဝေးထိန်းဆာဗာများမှ dynamic link libraries (*.dll) သို့မဟုတ် scriptlets (*.sct) ကို ဒေါင်းလုဒ်လုပ်ပြီး လုပ်ဆောင်ရန် အသုံးပြုနိုင်သည်။

PT NAD ဘာလုပ်သလဲ။- HTTP လမ်းကြောင်းရှိ အထူးဖောင် .inf ဖိုင်များ ထုတ်လွှင့်မှုကို အလိုအလျောက် သိရှိနိုင်သည်။ ထို့အပြင်၊ ၎င်းသည် ဝေးလံခေါင်သီသောဆာဗာမှ အန္တရာယ်ရှိသော scriptlets များနှင့် dynamic link library များကို HTTP လွှဲပြောင်းမှုများကို ထောက်လှမ်းသည်။

2. T1059: command-line ကြားခံ

command line interface နှင့် အပြန်အလှန် တုံ့ပြန်ခြင်း။ အမိန့်ပေးစာကြောင်းကြားခံသည် စက်တွင်း သို့မဟုတ် အဝေးထိန်းစနစ်ဖြင့် အပြန်အလှန်ဆက်သွယ်နိုင်သည်

PT NAD ဘာလုပ်သလဲ။: ping ၊ ifconfig ကဲ့သို့သော အမျိုးမျိုးသော command line utilities များကို စတင်ရန် ညွှန်ကြားချက်များကို တုံ့ပြန်ခြင်းဖြင့် shells ၏ရှေ့မှောက်တွင် အလိုအလျောက် သိရှိနိုင်သည်။

3. T1175: အစိတ်အပိုင်း အရာဝတ္ထု မော်ဒယ်နှင့် COM ကို ဖြန့်ဝေသည်။

COM သို့မဟုတ် DCOM နည်းပညာများကို အသုံးပြု၍ စက်တွင်း သို့မဟုတ် အဝေးထိန်းစနစ်များပေါ်တွင် ကုဒ်ကို ကွန်ရက်ကို ဖြတ်သွားသည့်အတိုင်း လုပ်ဆောင်သည်။

PT NAD ဘာလုပ်သလဲ။: ပရိုဂရမ်များကို စတင်ရန် တိုက်ခိုက်သူများသည် အသုံးများသော သံသယဖြစ်ဖွယ် DCOM ခေါ်ဆိုမှုများကို ရှာဖွေတွေ့ရှိသည်။

4. T1203: client ကို ကွပ်မျက်ခြင်းအတွက် ခေါင်းပုံဖြတ်ခြင်း။

အလုပ်ရုံတစ်ခုတွင် မတရားကုဒ်ကို လုပ်ဆောင်ရန် အားနည်းချက်များကို အသုံးချခြင်း။ တိုက်ခိုက်သူများအတွက် အသုံးဝင်ဆုံးသော exploits များသည် တိုက်ခိုက်သူများအား ထိုစနစ်သို့ ဝင်ရောက်ခွင့်ရရှိစေသောကြောင့် အဝေးထိန်းစနစ်တွင် ကုဒ်ကို လုပ်ဆောင်ခွင့်ပြုသည့်အရာများဖြစ်သည်။ အဆိုပါနည်းပညာကို အောက်ပါနည်းလမ်းများဖြင့် အကောင်အထည်ဖော်နိုင်သည်- အန္တရာယ်ရှိသော စာပို့ခြင်း၊ ဘရောက်ဆာ အသုံးချမှုများပါရှိသော ဝဘ်ဆိုက်တစ်ခု၊ နှင့် အပလီကေးရှင်း အားနည်းချက်များကို အဝေးမှ အသုံးချခြင်း။

PT NAD ဘာလုပ်သလဲ။: စာပို့အသွားအလာကို ခွဲခြမ်းစိတ်ဖြာနေစဉ်၊ PT NAD သည် ပူးတွဲပါဖိုင်တွင် လုပ်ဆောင်နိုင်သော ဖိုင်များရှိနေခြင်းရှိမရှိ စစ်ဆေးပါသည်။ အမြတ်ထုတ်မှုများပါရှိသော အီးမေးလ်များမှ ရုံးစာရွက်စာတမ်းများကို အလိုအလျောက် ထုတ်ယူသည်။ အားနည်းချက်များကို အသုံးချရန် ကြိုးပမ်းမှုများကို PT NAD မှ အလိုအလျောက် သိရှိနိုင်သည့် အသွားအလာတွင် မြင်နိုင်သည်။

5. T1170:mshta

Microsoft HTML အပလီကေးရှင်းများ (HTA) ကို .hta တိုးချဲ့မှုဖြင့် လုပ်ဆောင်သည့် mshta.exe utility ကို အသုံးပြုပါ။ mshta သည် ဘရောက်ဆာ လုံခြုံရေးဆက်တင်များကို ကျော်ဖြတ်ကာ ဖိုင်များကို လုပ်ဆောင်ပေးသောကြောင့် တိုက်ခိုက်သူများသည် အန္တရာယ်ရှိသော HTA၊ JavaScript သို့မဟုတ် VBScript ဖိုင်များကို လုပ်ဆောင်ရန် mshta.exe ကို အသုံးပြုနိုင်သည်။

PT NAD ဘာလုပ်သလဲ။: mshta မှတဆင့် လုပ်ဆောင်ရန်အတွက် .hta ဖိုင်များကို ကွန်ရက်ပေါ်တွင်လည်း ပေးပို့သည် - ၎င်းကို အသွားအလာတွင် တွေ့မြင်နိုင်ပါသည်။ PT NAD သည် ထိုကဲ့သို့သော အန္တရာယ်ရှိသော ဖိုင်များ အလိုအလျောက် ကူးစက်ခြင်းကို ထောက်လှမ်းသည်။ ၎င်းသည် ဖိုင်များကို ဖမ်းယူနိုင်ပြီး ၎င်းတို့နှင့်ပတ်သက်သည့် အချက်အလက်များကို စက်ရှင်ကတ်တွင် ကြည့်ရှုနိုင်ပါသည်။

6. T1086: powershell

အချက်အလက်ရှာဖွေရန်နှင့် အန္တရာယ်ရှိသောကုဒ်ကို လုပ်ဆောင်ရန် PowerShell ကို အသုံးပြုခြင်း။

PT NAD ဘာလုပ်သလဲ။: PowerShell ကို တိုက်ခိုက်သူများ အဝေးမှ အသုံးပြုသောအခါ၊ PT NAD သည် စည်းမျဉ်းများကို အသုံးပြု၍ ၎င်းကို ရှာဖွေတွေ့ရှိပါသည်။ ၎င်းသည် အန္တရာယ်ရှိသော scripts များတွင် အသုံးအများဆုံး PowerShell ဘာသာစကားသော့ချက်စာလုံးများနှင့် SMB မှတဆင့် PowerShell scripts များထုတ်လွှင့်မှုကို ရှာဖွေတွေ့ရှိသည်။

7. T1053: စီစဉ်ထားသော အလုပ်
သတ်မှတ်ထားသောအချိန်များတွင် ပရိုဂရမ်များ သို့မဟုတ် script များကို အလိုအလျောက် run ရန် Windows Task Scheduler နှင့် အခြားသော utilities ကိုသုံးပါ။

PT NAD ဘာလုပ်သလဲ။: တိုက်ခိုက်သူများသည် များသောအားဖြင့် အဝေးမှနေ၍ ထိုသို့သောလုပ်ငန်းဆောင်တာများကို ဖန်တီးကြသည်၊ ဆိုလိုသည်မှာ ထိုအစည်းအဝေးများကို အသွားအလာတွင် မြင်နိုင်သည်။ PT NAD သည် ATSVC နှင့် ITaskSchedulerService RPC အင်တာဖေ့စ်များကို အသုံးပြု၍ သံသယဖြစ်ဖွယ် အလုပ်ဖန်တီးခြင်းနှင့် ပြုပြင်မွမ်းမံခြင်း လုပ်ငန်းများကို အလိုအလျောက် သိရှိသည်။

8. T1064: ဇာတ်ညွှန်းရေးခြင်း။

တိုက်ခိုက်သူများ၏ လုပ်ဆောင်ချက်အမျိုးမျိုးကို အလိုအလျောက်လုပ်ဆောင်ရန် Script များကို အကောင်အထည်ဖော်ခြင်း။

PT NAD ဘာလုပ်သလဲ။: ကွန်ရက်ပေါ်ရှိ script များ ထုတ်လွှင့်မှုကို သိရှိသည်၊ ဆိုလိုသည်မှာ ၎င်းတို့ကို မစတင်မီပင် ဖြစ်သည်။ ၎င်းသည် ကုန်ကြမ်းလမ်းကြောင်းတွင် script အကြောင်းအရာကို ရှာဖွေတွေ့ရှိပြီး လူကြိုက်များသော scripting languages ​​များနှင့် သက်ဆိုင်သည့် extensions များပါရှိသော ဖိုင်များ၏ ကွန်ရက်သို့ ထုတ်လွှင့်မှုကို ထောက်လှမ်းသည်။

9. T1035: ဝန်ဆောင်မှုကို အကောင်အထည်ဖော်ခြင်း။

Service Control Manager (SCM) ကဲ့သို့သော Windows ဝန်ဆောင်မှုများနှင့် အပြန်အလှန်တုံ့ပြန်ခြင်းဖြင့် executable file၊ CLI ညွှန်ကြားချက်များ သို့မဟုတ် script ကို run ပါ။

PT NAD ဘာလုပ်သလဲ။: SMB အသွားအလာကို စစ်ဆေးပြီး ဝန်ဆောင်မှုတစ်ခု ဖန်တီးရန်၊ ပြင်ဆင်ခြင်းနှင့် စတင်ခြင်းအတွက် စည်းမျဉ်းများအားဖြင့် SCM သို့ တောင်းဆိုချက်များကို ရှာဖွေသည်။

ဝန်ဆောင်မှုစတင်ခြင်းအတွက် နည်းပညာကို အဝေးထိန်းအမိန့်ပေးလုပ်ဆောင်မှု utility PSExec ကို အသုံးပြု၍ အကောင်အထည်ဖော်နိုင်သည်။ PT NAD သည် SMB ပရိုတိုကောကို ခွဲခြမ်းစိပ်ဖြာပြီး PSEXESVC.exe ဖိုင် သို့မဟုတ် PSEXECSVC စံဝန်ဆောင်မှုအမည်ကို အသုံးပြုသောအခါတွင် ၎င်းသည် PSExec ၏အသုံးပြုမှုကို ရှာဖွေတွေ့ရှိသည်။ အသုံးပြုသူသည် ကွပ်မျက်သည့်အမိန့်များစာရင်းနှင့် host မှ remote command လုပ်ဆောင်ချက်၏တရားဝင်မှုကို စစ်ဆေးရန် လိုအပ်သည်။

PT NAD ရှိ တိုက်ခိုက်ရေးကတ်သည် ATT&CK matrix မှ အသုံးပြုသည့် နည်းဗျူဟာများနှင့် နည်းစနစ်များဆိုင်ရာ အချက်အလက်များကို ပြသပေးမည်ဖြစ်ပြီး တိုက်ခိုက်သူများသည် တိုက်ခိုက်သူများ၏ မည်သည့်အဆင့်တွင်ရှိသနည်း၊ ၎င်းတို့သည် မည်သည့်ပန်းတိုင်နှင့် လုပ်ဆောင်ရမည်ကို သိရှိနိုင်စေရန်အတွက် ဒေတာများကို ပြသပေးပါသည်။

အဝေးထိန်းစက်တွင် အမိန့်ပေးချက်များကို လုပ်ဆောင်ရန် ကြိုးပမ်းမှုကို ညွှန်ပြနိုင်သည့် PSExec utility ကိုအသုံးပြုခြင်းနှင့်ပတ်သက်သည့် စည်းမျဉ်းကို အသက်သွင်းခြင်း

10 ။ T1072: ပြင်ပဆော့ဖ်ဝဲ

တိုက်ခိုက်သူများသည် အဝေးထိန်း အုပ်ချုပ်မှုဆော့ဖ်ဝဲလ် သို့မဟုတ် ကော်ပိုရိတ်ဆော့ဖ်ဝဲဖြန့်ကျက်မှုစနစ်သို့ ဝင်ရောက်ခွင့်ရရှိပြီး အန္တရာယ်ရှိသောကုဒ်ကို လုပ်ဆောင်ရန် ၎င်းတို့ကို အသုံးပြုသည့် နည်းပညာတစ်ခု။ ထိုကဲ့သို့သောဆော့ဖ်ဝဲလ်၏ဥပမာများ- SCCM၊ VNC၊ TeamViewer၊ HBSS၊ Altiris။
စကားမစပ်၊ နည်းပညာသည် အဝေးထိန်းအလုပ်သို့ ကြီးမားသောအကူးအပြောင်းနှင့်ဆက်စပ်၍ အထူးသဖြင့်သက်ဆိုင်ပြီး ရလဒ်အနေဖြင့်၊ သံသယရှိသောအဝေးမှဝင်ရောက်ခွင့်ချန်နယ်များမှတစ်ဆင့် အိမ်အမြောက်အမြားကို အကာအကွယ်မဲ့စက်ပစ္စည်းများနှင့် ချိတ်ဆက်မှုဖြစ်သည်။

PT NAD ဘာလုပ်သလဲ။: ကွန်ရက်ပေါ်ရှိ ထိုဆော့ဖ်ဝဲ၏ လုပ်ဆောင်ချက်ကို အလိုအလျောက် သိရှိသည်။ ဥပမာအားဖြင့်၊ စည်းမျဉ်းများသည် VNC ပရိုတိုကောနှင့် EvilVNC Trojan မှတစ်ဆင့် သားကောင်၏ host တွင် VNC ဆာဗာကို လျှို့ဝှက်ထည့်သွင်းပြီး ၎င်းကို အလိုအလျောက်ဖွင့်ပေးသည့် ချိတ်ဆက်မှုများမှတစ်ဆင့် အစပျိုးခြင်းဖြစ်သည်။ ထို့အပြင်၊ PT NAD သည် TeamViewer ပရိုတိုကောကို အလိုအလျောက်သိရှိနိုင်သည်၊ ၎င်းသည် ဆန်းစစ်သူကို စစ်ထုတ်မှုတစ်ခုအသုံးပြုကာ၊ အဆိုပါအစည်းအဝေးများအားလုံးကို ရှာဖွေပြီး ၎င်းတို့၏တရားဝင်မှုကို စစ်ဆေးရန် ကူညီပေးသည်။

11 ။ T1204: အသုံးပြုသူကို ကွပ်မျက်ခြင်း။

အသုံးပြုသူသည် ကုဒ်ကို လည်ပတ်စေသည့် ဖိုင်များကို လုပ်ဆောင်သည့် နည်းလမ်းတစ်ခု။ ဥပမာအားဖြင့်၊ ၎င်းသည် executable ဖိုင်ကိုဖွင့်ပါက သို့မဟုတ် macro ဖြင့် office document တစ်ခုကို run ပါက ဖြစ်နိုင်သည်။

PT NAD ဘာလုပ်သလဲ။: ၎င်းတို့ကို မစတင်မီ လွှဲပြောင်းသည့် အဆင့်တွင် ထိုဖိုင်များကို မြင်သည်။ ၎င်းတို့နှင့် ပတ်သက်သော အချက်အလက်များကို ၎င်းတို့ ထုတ်လွှင့်ခဲ့သည့် အစည်းအဝေးများ၏ ကတ်တွင် လေ့လာနိုင်သည်။

12 ။ T1047: Windows Management Instrumentation

Windows စနစ်အစိတ်အပိုင်းများသို့ ဒေသန္တရနှင့် အဝေးမှဝင်ရောက်ခွင့်ပေးသည့် WMI ကိရိယာကို အသုံးပြုခြင်း။ WMI ကို အသုံးပြု၍ တိုက်ခိုက်သူများသည် ဒေသန္တရနှင့် အဝေးထိန်းစနစ်များနှင့် အပြန်အလှန် တုံ့ပြန်နိုင်ပြီး ထောက်လှမ်းမှုဆိုင်ရာ ရည်ရွယ်ချက်များအတွက် အချက်အလက်များ စုဆောင်းခြင်းနှင့် ဘေးတိုက်ရွေ့လျားနေစဉ် အဝေးမှ လုပ်ဆောင်ချက်များကို စတင်ခြင်းကဲ့သို့သော လုပ်ငန်းမျိုးစုံကို လုပ်ဆောင်နိုင်သည်။

PT NAD ဘာလုပ်သလဲ။WMI မှတဆင့် အဝေးထိန်းစနစ်များနှင့် အပြန်အလှန်ဆက်သွယ်မှုများကို အသွားအလာတွင် မြင်နိုင်သောကြောင့် PT NAD သည် WMI ဆက်ရှင်များတည်ထောင်ရန် ကွန်ရက်တောင်းဆိုမှုများကို အလိုအလျောက်သိရှိပြီး WMI ကိုအသုံးပြုသော scripts များကူးစက်နေသည်ဟူသောအချက်အတွက် traffic ကိုစစ်ဆေးသည်။

13 ။ T1028: Windows Remote Management

အသုံးပြုသူအား အဝေးထိန်းစနစ်များနှင့် အပြန်အလှန်ဆက်သွယ်နိုင်စေမည့် Windows ဝန်ဆောင်မှုနှင့် ပရိုတိုကောကို အသုံးပြုခြင်း။

PT NAD ဘာလုပ်သလဲ။− Windows Remote Management ကို အသုံးပြု၍ တည်ဆောက်ထားသော ကွန်ရက်ချိတ်ဆက်မှုများကို မြင်သည်။ ထိုသို့သောအစည်းအဝေးများကို စည်းမျဉ်းများဖြင့် အလိုအလျောက်တွေ့ရှိပါသည်။

14 ။ T1220: XSL (Extensible Stylesheet Language) ဇာတ်ညွှန်းလုပ်ဆောင်ခြင်း။

XSL စတိုင် markup ဘာသာစကားကို XML ဖိုင်များတွင် ဒေတာလုပ်ဆောင်ခြင်းနှင့် တင်ဆက်ခြင်းကို ဖော်ပြရန်အတွက် အသုံးပြုပါသည်။ ရှုပ်ထွေးသောလုပ်ဆောင်မှုများကို ပံ့ပိုးရန်၊ XSL စံနှုန်းတွင် ဘာသာစကားများစွာဖြင့် inline scripts များအတွက် ပံ့ပိုးမှုပါဝင်သည်။ ဤဘာသာစကားများသည် လူဖြူစာရင်းသွင်းထားသော လုံခြုံရေးမူဝါဒများကို ကျော်လွှားနိုင်သည့် မတရားကုဒ်များကို လုပ်ဆောင်ခွင့်ပြုသည်။

PT NAD ဘာလုပ်သလဲ။: ကွန်ရက်ပေါ်ရှိ ထိုဖိုင်များ ထုတ်လွှင့်မှုကို သိရှိသည်၊ ဆိုလိုသည်မှာ ၎င်းတို့ကို မစတင်မီပင် ဖြစ်သည်။ ၎င်းသည် ကွန်ရက်ပေါ်ရှိ XSL ဖိုင်များနှင့် မှားယွင်းသော XSL အမှတ်အသားပါသော ဖိုင်များကို အလိုအလျောက် သိရှိနိုင်သည်။

အောက်ဖော်ပြပါပစ္စည်းများတွင်၊ PT Network Attack Discovery NTA စနစ်သည် MITER ATT & CK နှင့်အညီ တိုက်ခိုက်သူများ၏ အခြားနည်းဗျူဟာများနှင့် နည်းပညာများကို မည်သို့ရှာတွေ့မည်ကို ကြည့်ရှုပါမည်။ ဆက်ပြီးနားထောင်ပါ!

စာရေးဆရာများ:

• Anton Kutepov, ကျွမ်းကျင်လုံခြုံရေးစင်တာ (PT Expert Security Center) အပြုသဘောဆောင်သောနည်းပညာများဆိုင်ရာကျွမ်းကျင်သူ
• Positive Technologies မှ ထုတ်ကုန်စျေးကွက်ရှာဖွေသူ Natalia Kazankova

source: www.habr.com