، اڪثريت (87٪) معلومات جي حفاظت جا واقعا منٽن جي معاملي ۾ ٿين ٿا، ۽ 68٪ ڪمپنين لاءِ انهن کي ڳولڻ ۾ مهينا لڳن ٿا. هن جي تصديق ڪئي وئي آهي ، جنهن جي مطابق، اڪثر تنظيمن کي لڳ ڀڳ 206 ڏينهن لڳن ٿا هڪ واقعي جو پتو لڳائڻ لاءِ. اسان جي تحقيق جي تجربي جي بنياد تي، هيڪرز بغير ڪنهن معلوم ٿيڻ جي سالن تائين ڪمپني جي انفراسٽرڪچر کي ڪنٽرول ڪري سگهن ٿا. اهڙيءَ طرح، هڪ تنظيم ۾ جتي اسان جي ماهرن هڪ معلوماتي سيڪيورٽي واقعي جي تحقيق ڪئي، اهو ظاهر ڪيو ويو ته هيڪرز مڪمل طور تي تنظيم جي مڪمل انفراسٽرڪچر کي ڪنٽرول ڪيو ۽ باقاعده اهم معلومات چوري ڪئي. .
اچو ته چئو ته توهان وٽ اڳ ۾ ئي هڪ SIEM هلندڙ آهي جيڪو لاگز گڏ ڪري ٿو ۽ واقعن جو تجزيو ڪري ٿو، ۽ اينٽي وائرس سافٽ ويئر آخري نوڊس تي نصب ٿيل آهي. تنهن هوندي به، جيئن ته سڄي نيٽ ورڪ ۾ EDR سسٽم کي لاڳو ڪرڻ ناممڪن آهي، جنهن جو مطلب آهي ته "انڌا" اسپاٽ کان بچي نٿا سگهن. نيٽورڪ ٽرئفڪ جو تجزيو (NTA) سسٽم انهن سان معاملو ڪرڻ ۾ مدد ڪري ٿو. اهي حل نيٽ ورڪ جي دخول جي ابتدائي مرحلن تي حملي ڪندڙ سرگرمي کي ڳوليندا آهن، انهي سان گڏ هڪ قدم حاصل ڪرڻ جي ڪوشش ۽ نيٽ ورڪ جي اندر حملي کي ترقي ڪرڻ جي دوران.
NTAs جا ٻه قسم آھن: ڪجھ NetFlow سان ڪم ڪن ٿا، ٻيا خام ٽرئفڪ جو تجزيو ڪن ٿا. ٻئين سسٽم جو فائدو اهو آهي ته اهي خام ٽرئفڪ رڪارڊ محفوظ ڪري سگهن ٿا. انهي جي مهرباني، هڪ معلوماتي سيڪيورٽي ماهر حملي جي ڪاميابي جي تصديق ڪري سگهي ٿو، خطري کي مقامي ڪري سگهي ٿو، سمجهي سگهي ٿو ته حملو ڪيئن ٿيو ۽ مستقبل ۾ هڪ جهڙي هڪ کي ڪيئن روڪيو وڃي.
اسان ڏيکارينداسين ته ڪيئن NTA استعمال ڪندي توهان سڌي يا اڻ سڌي طرح ثبوت استعمال ڪري سگهو ٿا ڄاڻ جي بنياد ۾ بيان ڪيل سڀني سڃاتل حملن جي حڪمت عملين کي سڃاڻڻ لاءِ . اسان 12 حڪمت عملين مان هر هڪ جي باري ۾ ڳالهائينداسين، انهن طريقن جو تجزيو ڪنداسين جيڪي ٽريفڪ جي ذريعي معلوم ڪيا ويا آهن، ۽ اسان جي NTA سسٽم کي استعمال ڪندي انهن جي سڃاڻپ جو مظاهرو ڪنداسين.
ATT ۽ CK ڄاڻ جي بنياد بابت
MITER ATT&CK هڪ عوامي ڄاڻ جو بنياد آهي جيڪو MITER ڪارپوريشن پاران تيار ڪيو ويو آهي ۽ برقرار رکيو ويو آهي حقيقي زندگيءَ جي APTs جي تجزيي تي. اهو حڪمت عملي ۽ ٽيڪنالاجي جو هڪ منظم سيٽ آهي جيڪو حملي ڪندڙن پاران استعمال ڪيو ويندو آهي. هي اجازت ڏئي ٿو معلومات سيڪيورٽي پروفيسر سڄي دنيا مان ساڳي ٻولي ڳالهائڻ جي. ڊيٽابيس مسلسل وسيع ٿي رهيو آهي ۽ نئين علم سان گڏ.
ڊيٽابيس 12 حڪمت عملين کي سڃاڻي ٿو، جيڪي سائبر حملي جي مرحلن ۾ ورهايل آهن:
- ابتدائي رسائي؛
- عملدرآمد؛
- استحڪام (مسلسل)؛
- استحقاق وڌائڻ؛
- ڳولڻ جي روڪٿام (دفاعي چوري)؛
- سند حاصل ڪرڻ (سند جي رسائي)؛
- جستجو
- جي دائري اندر تحريڪ (پسمانده تحريڪ)؛
- ڊيٽا گڏ ڪرڻ (جمع ڪرڻ)؛
- حڪم ۽ ڪنٽرول؛
- ڊيٽا exfiltration؛
- اثر.
هر حڪمت عملي لاءِ، ATT ۽ CK ڄاڻ جو بنياد هڪ فهرست لسٽ ڪري ٿو ٽيڪنالاجي جي جيڪي حملي آورن کي حملي جي موجوده مرحلي تي پنهنجو مقصد حاصل ڪرڻ ۾ مدد ڪن ٿيون. جيئن ته ساڳي ٽيڪنڪ مختلف مرحلن تي استعمال ڪري سگهجي ٿي، اهو ڪيترن ئي حڪمت عملي جو حوالو ڏئي سگهي ٿو.
هر ٽيڪنڪ جي وضاحت ۾ شامل آهي:
- سڃاڻپ ڪندڙ؛
- حڪمت عملي جي هڪ فهرست جنهن ۾ اهو استعمال ڪيو ويندو آهي؛
- APT گروپن جي استعمال جا مثال؛
- ان جي استعمال کان نقصان کي گهٽائڻ لاء اپاء؛
- ڳولڻ جي سفارشون.
معلومات جي حفاظت جا ماهر ڊيٽابيس مان ڄاڻ استعمال ڪري سگھن ٿا موجوده حملي جي طريقن جي باري ۾ معلومات کي ترتيب ڏيڻ ۽، ان کي مدنظر رکندي، هڪ مؤثر سيڪيورٽي سسٽم ٺاهي. سمجھڻ ته حقيقي APT گروپ ڪيئن هلندا آهن، اهو پڻ هڪ مفروضن جو ذريعو بنجي سگهي ٿو ته جيئن اندر جي خطرن کي فعال طور تي ڳولڻ لاء. .
پي ٽي نيٽ ورڪ حملي جي دريافت بابت
اسان سسٽم کي استعمال ڪندي ATT ۽ CK ميٽرڪس مان ٽيڪنالاجي جي استعمال جي سڃاڻپ ڪنداسين - مثبت ٽيڪنالاجيز NTA سسٽم، پردي تي ۽ نيٽ ورڪ جي اندر حملن کي ڳولڻ لاء ٺهيل. PT NAD کا احاطو، مختلف درجي تائين، MITER ATT ۽ CK ميٽرڪس جون سڀ 12 حڪمت عمليون. هو ابتدائي رسائي، پسمانده تحريڪ، ۽ ڪمانڊ ۽ ڪنٽرول لاء ٽيڪنالاجي جي سڃاڻپ ۾ تمام گهڻو طاقتور آهي. انهن ۾، PT NAD اڌ کان وڌيڪ ڄاڻايل ٽيڪنڪ جو احاطو ڪري ٿو، انهن جي ايپليڪيشن کي سڌي يا اڻ سڌي طرح نشانين ذريعي ڳولڻ.
سسٽم ATT ۽ CK ٽيڪنڪ استعمال ڪندي حملن کي ڳولي ٿو ٽيم پاران ٺاهيل ضابطن کي استعمال ڪندي (PT ESC)، مشين لرننگ، سمجھوتي جا اشارا، گہرا تجزياتي ۽ پوئتي موٽڻ واري تجزيي. حقيقي وقت ٽريفڪ تجزيا هڪ ريٽروسپيڪٽو سان گڏ توهان کي موجوده لڪيل بدسلوڪي سرگرمي کي سڃاڻڻ ۽ ڊولپمينٽ ویکٹرز ۽ حملن جي تاريخ کي ٽريڪ ڪرڻ جي اجازت ڏئي ٿو.
PT NAD کان MITER ATT ۽ CK ميٽرڪس جي مڪمل نقشي. تصوير وڏي آهي، تنهنڪري اسان توهان کي ان کي هڪ الڳ ونڊو ۾ ڏسڻ جي صلاح ڏيو ٿا.
ابتدائي رسائي
ابتدائي رسائي جي حڪمت عملي ۾ ٽيڪنالاجي شامل آهن هڪ ڪمپني جي نيٽ ورڪ ۾ داخل ٿيڻ لاء. هن مرحلي تي حملي ڪندڙن جو مقصد اهو آهي ته حملي واري نظام کي بدسلوڪي ڪوڊ پهچائڻ ۽ ان جي وڌيڪ عمل جي امڪان کي يقيني بڻائي.
PT NAD کان ٽريفڪ تجزيو ظاهر ڪري ٿو ست ٽيڪنالاجيون ابتدائي رسائي حاصل ڪرڻ لاءِ:
1. : ڊرائيو ذريعي سمجھوتو
هڪ ٽيڪنڪ جنهن ۾ مقتول هڪ ويب سائيٽ کوليندو آهي جيڪو حملي ڪندڙن طرفان استعمال ڪيو ويندو آهي ويب برائوزر کي استحصال ڪرڻ ۽ ايپليڪيشن رسائي ٽوڪن حاصل ڪرڻ لاءِ.
PT NAD ڇا ڪندو؟: جيڪڏهن ويب ٽرئفڪ انڪوڊ ٿيل نه آهي، PT NAD HTTP سرور جي جوابن جي مواد کي معائنو ڪري ٿو. انهن جوابن ۾ ڪارناما شامل آهن جيڪي حملي ڪندڙن کي اجازت ڏين ٿا ته اهي برائوزر جي اندر صوابديدي ڪوڊ تي عمل ڪن. PT NAD خودڪار طريقي سان ڳولي ٿو اهڙن استحصالن کي ڳولڻ جي ضابطن کي استعمال ڪندي.
اضافي طور تي، PT NAD اڳئين قدم ۾ خطري کي ڳولي ٿو. سمجھوتا جا ضابطا ۽ اشارا شروع ڪيا ويندا آھن جيڪڏھن صارف ھڪڙي سائيٽ جو دورو ڪيو آھي جيڪو کيس ھڪڙي سائيٽ ڏانھن ريڊائريڪٽ ڪيو ويو آھي استحصال جي ھڪڙي گروپ سان.
2. : عوام کي منهن ڏيڻ واري درخواست جو استحصال ڪريو
خدمتن ۾ ڪمزورين جو استحصال جيڪي انٽرنيٽ کان دستياب آهن.
PT NAD ڇا ڪندو؟: نيٽ ورڪ پيڪٽس جي مواد جو هڪ ڊگهو معائنو انجام ڏئي ٿو، غير معمولي سرگرمي جي نشانين جي نشاندهي ڪري ٿو. خاص طور تي، اهڙا قاعدا آهن جيڪي توهان کي وڏي مواد مينيجمينٽ سسٽم (سي ايم ايس)، نيٽ ورڪ سامان جي ويب انٽرفيس، ۽ ميل ۽ ايف ٽي پي سرورز تي حملن کي ڳولڻ جي اجازت ڏين ٿا.
3. : ٻاهرين ريموٽ خدمتون
حملو ڪندڙ ٻاهرين نيٽ ورڪ وسيلن سان ڳنڍڻ لاءِ ٻاهرين رسائي جون خدمتون استعمال ڪن ٿا.
PT NAD ڇا ڪندو؟: جيئن ته سسٽم پروٽوڪول کي پورٽ نمبرن جي ذريعي نه، پر پيڪيٽس جي مواد جي ذريعي سڃاڻي ٿو، سسٽم استعمال ڪندڙ ٽريفڪ کي فلٽر ڪري سگھن ٿا ريموٽ رسائي پروٽوڪول جي سڀني سيشنن کي ڳولڻ ۽ انهن جي قانونيت کي جانچڻ لاءِ.
4. : spearphishing منسلڪ
اسان فشنگ منسلڪ جي بدنام موڪلڻ بابت ڳالهائي رهيا آهيون.
PT NAD ڇا ڪندو؟: خودڪار طريقي سان ٽريفڪ مان فائلون ڪڍي ٿو ۽ انهن کي سمجھوتي جي اشارن جي خلاف چيڪ ڪري ٿو. منسلڪات ۾ قابل عمل فائلون ضابطن جي ذريعي ڳولي رهيا آهن جيڪي ميل ٽرئفڪ جي مواد جو تجزيو ڪن ٿا. ڪارپوريٽ ماحول ۾، اهڙي سيڙپڪاري کي غير معمولي سمجهيو ويندو آهي.
5. : spearphishing لنڪ
فشنگ لنڪس استعمال ڪندي. ٽيڪنڪ ۾ حملو ڪندڙ شامل آهن هڪ فشنگ اي ميل موڪلڻ هڪ لنڪ سان جيڪو، جڏهن ڪلڪ ڪيو، هڪ بدسلوڪي پروگرام ڊائون لوڊ ڪري ٿو. ضابطي جي طور تي، لنڪ هڪ متن سان گڏ آهي جيڪو سماجي انجنيئرنگ جي سڀني قاعدن جي مطابق مرتب ڪيو ويو آهي.
PT NAD ڇا ڪندو؟سمجھوتي جي اشارن کي استعمال ڪندي فشنگ لنڪس کي ڳولي ٿو. مثال طور، پي ٽي اين اي ڊي انٽرفيس ۾ اسان هڪ سيشن ڏسون ٿا جنهن ۾ فشنگ ايڊريس (فشنگ-urls) جي لسٽ ۾ شامل لنڪ ذريعي هڪ HTTP ڪنيڪشن هو.
سمجھوتا فشنگ-urls جي اشارن جي فهرست مان ھڪڙي لنڪ ذريعي ڪنيڪشن
6. : ڀروسي وارو رشتو
ٽئين پارٽين جي ذريعي قرباني جي نيٽ ورڪ تائين رسائي جن سان مقتول هڪ قابل اعتماد تعلق قائم ڪيو آهي. حملو ڪندڙ هڪ قابل اعتماد تنظيم کي هيڪ ڪري سگهن ٿا ۽ ان ذريعي ٽارگيٽ نيٽ ورڪ سان ڳنڍي سگهن ٿا. هن کي ڪرڻ لاء، اهي استعمال ڪندا آهن وي پي اين ڪنيڪشن يا ڊومين ٽرسٽ، جيڪي ٽرئفڪ جي تجزيي ذريعي سڃاڻپ ڪري سگھجن ٿيون.
PT NAD ڇا ڪندو؟: ايپليڪيشن پروٽوڪول کي پارس ڪري ٿو ۽ تجزيي ڪيل شعبن کي ڊيٽابيس ۾ محفوظ ڪري ٿو، انهي ڪري ته هڪ معلوماتي سيڪيورٽي تجزيهڪار ڊيٽابيس ۾ سڀئي مشڪوڪ VPN ڪنيڪشن يا ڪراس ڊومين ڪنيڪشن ڳولڻ لاءِ فلٽر استعمال ڪري سگهي ٿو.
7. : صحيح اڪائونٽس
خارجي ۽ اندروني خدمتن تي اختيار ڏيڻ لاء معياري، مقامي يا ڊومين جي سندون استعمال ڪندي.
PT NAD ڇا ڪندو؟: خودڪار طور تي HTTP، FTP، SMTP، POP3، IMAP، SMB، DCE/RPC، SOCKS5، LDAP، Kerberos پروٽوڪول کان سندون حاصل ڪري ٿو. عام طور تي، هي هڪ لاگ ان، پاسورڊ ۽ ڪامياب تصديق جي نشاني آهي. جيڪڏھن اھي استعمال ڪيا ويا آھن، اھي ڏيکاريل آھن لاڳاپيل سيشن ڪارڊ ۾.
عملدرآمد
عمل جي حڪمت عملين ۾ ٽيڪنالاجيون شامل آهن جيڪي حملي وارا سمجھوتي نظام تي ڪوڊ تي عمل ڪرڻ لاء استعمال ڪندا آهن. رننگ بدسلوڪي ڪوڊ حملي ڪندڙن کي موجودگي قائم ڪرڻ ۾ مدد ڪري ٿو (مسلسل تاکتيڪ) ۽ نيٽ ورڪ تي ريموٽ سسٽم تائين رسائي کي وڌائڻ ۾ اندر اندر حرڪت ڪندي.
PT NAD توهان کي 14 ٽيڪنالاجي جي استعمال کي ڳولڻ جي اجازت ڏئي ٿو جيڪو حملي ڪندڙن پاران استعمال ٿيل بدسلوڪي ڪوڊ کي عمل ڪرڻ لاء.
1. : CMSTP (Microsoft ڪنيڪشن مئنيجر پروفائل انسٽالر)
هڪ حڪمت عملي جنهن ۾ حملو ڪندڙ هڪ خاص بدسلوڪي تنصيب INF فائل تيار ڪن ٿا ونڊوز يوٽيلٽي CMSTP.exe (ڪنيڪشن مئنيجر پروفائل انسٽالر) لاءِ. CMSTP.exe فائل کي پيٽرولر طور وٺي ٿو ۽ ريموٽ ڪنيڪشن لاءِ سروس پروفائل انسٽال ڪري ٿو. نتيجي طور، CMSTP.exe استعمال ڪري سگھجي ٿو لوڊ ڪرڻ ۽ هلائڻ لاءِ متحرڪ لنڪ لائبريرين (*.dll) يا اسڪرپٽ (*.sct) کي ريموٽ سرورز تان.
PT NAD ڇا ڪندو؟: خودڪار طريقي سان HTTP ٽرئفڪ ۾ خاص قسم جي INF فائلن جي منتقلي کي ڳولي ٿو. ان کان علاوه، اهو هڪ ريموٽ سرور کان بدسلوڪي اسڪرپٽ ۽ متحرڪ لنڪ لائبريرين جي HTTP ٽرانسميشن کي ڳولي ٿو.
2. : ڪمانڊ لائن انٽرفيس
ڪمانڊ لائن انٽرفيس سان رابطي. ڪمانڊ لائن انٽرفيس کي مقامي طور تي يا دور دراز سان رابطو ڪري سگهجي ٿو، مثال طور ريموٽ رسائي افاديت استعمال ڪندي.
PT NAD ڇا ڪندو؟: خودڪار طور تي مختلف ڪمانڊ لائين افاديت، جهڙوڪ پنگ، ifconfig شروع ڪرڻ لاء حڪمن جي جوابن جي بنياد تي شيل جي موجودگي کي ڳولي ٿو.
3. : جزو اعتراض ماڊل ۽ ورهايل COM
COM يا DCOM ٽيڪنالاجيز جو استعمال مقامي يا ريموٽ سسٽم تي ڪوڊ کي هلائڻ لاءِ جڏهن نيٽ ورڪ ۾ منتقل ٿئي ٿو.
PT NAD ڇا ڪندو؟: مشڪوڪ DCOM ڪالن کي ڳولي ٿو ته حملو ڪندڙ عام طور تي پروگرام شروع ڪرڻ لاءِ استعمال ڪندا آهن.
4. : ڪلائنٽ جي عمل لاء استحصال
ڪم اسٽيشن تي صوابديدي ڪوڊ تي عمل ڪرڻ لاءِ ڪمزورين جو استحصال. حملو ڪندڙن لاءِ سڀ کان وڌيڪ ڪارائتو ڪارناما اهي آهن جيڪي ڪوڊ کي ريموٽ سسٽم تي عمل ڪرڻ جي اجازت ڏين ٿا، جيئن اهي حملي آورن کي ان سسٽم تائين رسائي حاصل ڪرڻ جي اجازت ڏين. ٽيڪنڪ کي هيٺين طريقن سان لاڳو ڪري سگهجي ٿو: بدسلوڪي ميلنگ، برائوزر جي استحصال سان ويب سائيٽ، ۽ ايپليڪيشن جي ڪمزورين جو ريموٽ استحصال.
PT NAD ڇا ڪندو؟: جڏهن ٽپال ٽريفڪ کي پارس ڪندي، پي ٽي اين اي ڊي ان کي چيڪ ڪري ٿو ان جي موجودگيءَ لاءِ ايگزيڪيوٽو فائلن جي منسلڪات ۾. خودڪار طور تي اي ميلن مان آفيس جا دستاويز ڪڍي ٿو جيڪي شايد استحصال تي مشتمل هجن. ڪمزورين کي استحصال ڪرڻ جي ڪوششون ٽرئفڪ ۾ نظر اچن ٿيون، جيڪي PT NAD خودڪار طريقي سان ڳولي ٿو.
5. : mshta
mshta.exe يوٽيليٽي استعمال ڪريو، جيڪا .hta ايڪسٽينشن سان Microsoft HTML ايپليڪيشن (HTA) هلائي ٿي. ڇاڪاڻ ته mshta برائوزر سيڪيورٽي سيٽنگن کي نظرانداز ڪندي فائلن کي پروسيس ڪري ٿو، حملو ڪندڙ بدسلوڪي HTA، JavaScript، يا VBScript فائلن کي هلائڻ لاءِ mshta.exe استعمال ڪري سگھن ٿا.
PT NAD ڇا ڪندو؟: .hta فائلون mshta ذريعي عمل ڪرڻ لاءِ نيٽ ورڪ تي پڻ منتقل ڪيون وينديون آهن - هي ٽرئفڪ ۾ ڏسي سگھجي ٿو. PT NAD خود بخود اهڙي خراب فائلن جي منتقلي کي ڳولي ٿو. اهو فائلن تي قبضو ڪري ٿو، ۽ انهن بابت معلومات سيشن ڪارڊ ۾ ڏسي سگهجي ٿو.
6. : پاور شيل
معلومات ڳولڻ ۽ بدسلوڪي ڪوڊ کي هلائڻ لاءِ PowerShell استعمال ڪريو.
PT NAD ڇا ڪندو؟: جڏهن PowerShell ريموٽ حملي ڪندڙن پاران استعمال ڪيو ويندو آهي، PT NAD هن ضابطن کي استعمال ڪندي ڳولي ٿو. اهو ڳولي ٿو PowerShell ٻولي جا لفظ جيڪي اڪثر ڪري استعمال ڪيا ويندا آهن خراب اسڪرپٽ ۾ ۽ پاور شيل اسڪرپٽ جي ٽرانسميشن SMB پروٽوڪول تي.
7. : مقرر ڪيل ڪم
ونڊوز ٽاسڪ شيڊيولر ۽ ٻيون افاديت استعمال ڪندي خودڪار طريقي سان پروگرامن يا اسڪرپٽس کي مخصوص وقتن تي هلائڻ لاءِ.
PT NAD ڇا ڪندو؟: حملو ڪندڙ اهڙا ڪم ٺاهيندا آهن، عام طور تي ريموٽ، جنهن جو مطلب آهي ته اهڙا سيشن ٽرئفڪ ۾ نظر اچن ٿا. PT NAD ATSVC ۽ ITaskSchedulerService RPC انٽرفيس استعمال ڪندي مشڪوڪ ٽاسڪ ٺاهڻ ۽ ترميمي عملن کي خودڪار طريقي سان ڳولي ٿو.
8. : اسڪرپٽ
حملي ڪندڙن جي مختلف ڪارناما کي خودڪار ڪرڻ لاء اسڪرپٽ تي عمل ڪرڻ.
PT NAD ڇا ڪندو؟: نيٽ ورڪ تي اسڪرپٽس جي منتقلي کي ڳولي ٿو، اهو آهي، ان کان اڳ به شروع ڪيو وڃي. اهو خام ٽريفڪ ۾ اسڪرپٽ مواد کي ڳولي ٿو ۽ مشهور اسڪرپٽنگ ٻولين سان ملندڙ ايڪسٽينشن سان فائلن جي نيٽ ورڪ ٽرانسميشن کي ڳولي ٿو.
9. : خدمت تي عملدرآمد
هلائيندڙ فائل، ڪمانڊ لائن انٽرفيس هدايتون، يا اسڪرپٽ ونڊوز خدمتن سان لهه وچڙ ڪندي، جهڙوڪ سروس ڪنٽرول مئنيجر (SCM).
PT NAD ڇا ڪندو؟: SMB ٽرئفڪ جو معائنو ڪري ٿو ۽ SCM تائين رسائي پيدا ڪرڻ، تبديل ڪرڻ ۽ سروس شروع ڪرڻ جي ضابطن سان معلوم ڪري ٿو.
سروس شروع ڪرڻ واري ٽيڪنڪ کي استعمال ڪري سگهجي ٿو ريموٽ ڪمانڊ ايگزيڪيوشن يوٽيلٽي PSExec. PT NAD SMB پروٽوڪول جو تجزيو ڪري ٿو ۽ PSExec جي استعمال کي ڳولي ٿو جڏهن اهو استعمال ڪري ٿو PSEXESVC.exe فائل يا معياري PSEXECSVC سروس جو نالو ريموٽ مشين تي ڪوڊ هلائڻ لاءِ. صارف کي گهربل حڪمن جي لسٽ ۽ ميزبان کان ريموٽ ڪمان جي عمل جي جائزگي جي جانچ ڪرڻ جي ضرورت آهي.
PT NAD ۾ حملو ڪارڊ ATT ۽ CK ميٽرڪس جي مطابق استعمال ڪيل حڪمت عملين ۽ طريقن تي ڊيٽا ڏيکاري ٿو ته جيئن صارف سمجهي سگهي ته حملي آور حملي جي ڪهڙي مرحلي تي آهن، اهي ڪهڙا مقصد حاصل ڪري رهيا آهن، ۽ ڪهڙا معاوضي وارا قدم کڻڻا آهن.
PSExec افاديت استعمال ڪرڻ بابت قاعدو شروع ڪيو ويو آهي، جيڪو ظاهر ڪري سگھي ٿو ته ريموٽ مشين تي حڪمن تي عمل ڪرڻ جي ڪوشش
10. : ٽئين پارٽي سافٽ ويئر
هڪ ٽيڪنڪ جنهن ۾ حملو ڪندڙ ريموٽ ايڊمنسٽريشن سافٽ ويئر يا ڪارپوريٽ سافٽ ويئر ڊيپلائيمينٽ سسٽم تائين رسائي حاصل ڪن ٿا ۽ ان کي بدسلوڪي ڪوڊ هلائڻ لاءِ استعمال ڪن ٿا. اهڙي سافٽ ويئر جا مثال: SCCM، VNC، TeamViewer، HBSS، Altiris.
رستي جي ذريعي، ٽيڪنڪ خاص طور تي لاڳاپيل آهي ريموٽ ڪم ڏانهن وڏي منتقلي جي سلسلي ۾، ۽ نتيجي طور، ڪيترن ئي غير محفوظ ٿيل گهر ڊوائيسز جو ڪنيڪشن شڪي ريموٽ رسائي چينلز ذريعي.
PT NAD ڇا ڪندو؟: خودڪار طريقي سان نيٽ ورڪ تي اهڙي سافٽ ويئر جي آپريشن کي ڳولي ٿو. مثال طور، ضابطا شروع ڪيا ويا آهن ڪنيڪشن ذريعي VNC پروٽوڪول ۽ EvilVNC ٽروجن جي سرگرمي، جيڪو ڳجهي طور تي هڪ VNC سرور کي قرباني جي ميزبان تي نصب ڪري ٿو ۽ خودڪار طور تي ان کي لانچ ڪري ٿو. انهي سان گڏ، PT NAD خود بخود TeamViewer پروٽوڪول کي ڳولي ٿو، هي تجزيه نگار کي مدد ڪري ٿو، فلٽر استعمال ڪندي، سڀني اهڙن سيشنن کي ڳولي ۽ انهن جي جائزگي جي جانچ ڪريو.
11. : استعمال ڪندڙ جي عملدرآمد
هڪ ٽيڪنڪ جنهن ۾ صارف فائلن کي هلائي ٿو جيڪو ڪوڊ جي عمل جي ڪري سگھي ٿو. اهو ٿي سگهي ٿو، مثال طور، جيڪڏهن هو هڪ قابل عمل فائل کولي ٿو يا ميڪرو سان هڪ آفيس دستاويز هلائي ٿو.
PT NAD ڇا ڪندو؟: منتقلي اسٽيج تي اهڙيون فائلون ڏسي ٿو، ان کان اڳ شروع ڪيو وڃي. انهن جي باري ۾ معلومات سيشن جي ڪارڊ ۾ اڀياس ڪري سگهجي ٿو جنهن ۾ اهي منتقل ڪيا ويا.
12. : ونڊوز مينيجمينٽ اوزار
WMI اوزار جو استعمال، جيڪو Windows سسٽم جي اجزاء تائين مقامي ۽ ريموٽ رسائي فراهم ڪري ٿو. WMI استعمال ڪندي، حملو ڪندڙ مقامي ۽ ريموٽ سسٽم سان رابطو ڪري سگھن ٿا ۽ مختلف ڪمن کي انجام ڏئي سگھن ٿا، جھڙوڪ معلومات گڏ ڪرڻ جي مقصدن لاءِ معلومات گڏ ڪرڻ ۽ عمل کي شروع ڪرڻ دور دراز طور تي ھلڻ دوران.
PT NAD ڇا ڪندو؟: جيئن ته WMI ذريعي ريموٽ سسٽم سان رابطو ٽريفڪ ۾ نظر اچن ٿا، PT NAD خودڪار طريقي سان نيٽ ورڪ جي درخواستن کي ڳولي ٿو WMI سيشن قائم ڪرڻ لاءِ ۽ ٽريفڪ چيڪ ڪري ٿو اسڪرپٽس لاءِ جيڪي WMI استعمال ڪن ٿيون.
13. : ونڊوز ريموٽ مئنيجمينٽ
ونڊوز سروس ۽ پروٽوڪول استعمال ڪندي جيڪا صارف کي ريموٽ سسٽم سان لهه وچڙ ڪرڻ جي اجازت ڏئي ٿي.
PT NAD ڇا ڪندو؟: ونڊوز ريموٽ مينيجمينٽ استعمال ڪندي قائم ڪيل نيٽ ورڪ ڪنيڪشن ڏسي ٿو. اهڙا سيشن پاڻمرادو ضابطن جي ذريعي ڳوليا ويندا آهن.
14. : XSL (Extensible Stylesheet Language) اسڪرپٽ پروسيسنگ
XSL اسٽائل مارڪ اپ ٻولي استعمال ڪئي وئي آهي بيان ڪرڻ لاءِ ڊيٽا جي پروسيسنگ ۽ تصور کي XML فائلن ۾. پيچيده عملن کي سپورٽ ڪرڻ لاءِ، XSL معيار مختلف ٻولين ۾ ايمبيڊڊ اسڪرپٽ لاءِ سپورٽ شامل آهي. اهي ٻوليون اختياري ڪوڊ جي عمل کي اجازت ڏين ٿيون، جيڪي سفيد لسٽن جي بنياد تي سيڪيورٽي پاليسين جي بائي پاس ڏانهن ويندا آهن.
PT NAD ڇا ڪندو؟: نيٽ ورڪ تي اهڙين فائلن جي منتقلي کي ڳولي ٿو، اهو آهي، ان کان اڳ به شروع ڪيو وڃي. اهو خودڪار طريقي سان نيٽ ورڪ تي منتقل ٿيل XSL فائلن کي ڳولي ٿو ۽ غير معمولي XSL مارڪ اپ سان فائلون.
هيٺ ڏنل مواد ۾، اسان ڏسنداسين ته ڪيئن پي ٽي نيٽ ورڪ حملي دريافت NTA سسٽم ٻين حملي جي حڪمت عملي ۽ ٽيڪنالاجي کي MITER ATT&CK جي مطابق ڳولي ٿو. ڏسندا رهو!
ليکڪ:
- Anton Kutepov، پي ٽي ماهر سيڪيورٽي سينٽر ۾ ماهر، مثبت ٽيڪنالاجيز
- Natalia Kazankova، مثبت ٽيڪنالاجيز تي پراڊڪٽ مارڪيٽ
جو ذريعو: www.habr.com