ගමනාගමන විශ්ලේෂණ පද්ධති PT Network Attack Discovery උදාහරණය භාවිතා කරමින් MITER ATT&CK මගින් හැකර් උපක්‍රම හඳුනාගන්නා ආකාරය

Verizon ට අනුව, තොරතුරු ආරක්ෂණ සිදුවීම්වලින් බහුතරයක් (87%) මිනිත්තු කිහිපයක් ඇතුළත සිදු වන අතර, සමාගම්වලින් 68%ක් ඒවා හඳුනා ගැනීමට මාස කිහිපයක් ගත වේ. මෙය තහවුරු කර ඇත සහ Ponemon ආයතනයේ පර්යේෂණ, ඒ අනුව සිදුවීමක් සොයා ගැනීමට බොහෝ ආයතනවලට සාමාන්‍යයෙන් දින 206ක් ගතවේ. අපගේ විමර්ශන මත පදනම්ව, හැකර්වරුන්ට සමාගමක යටිතල පහසුකම් අනාවරණය නොවී වසර ගණනාවක් පාලනය කළ හැකිය. එබැවින්, අපගේ විශේෂඥයින් තොරතුරු ආරක්ෂණ සිද්ධියක් පිළිබඳ පරීක්ෂණයක් පැවැත්වූ එක් සංවිධානයක, හැකර්වරුන් විසින් සංවිධානයේ සමස්ත යටිතල පහසුකම් සම්පූර්ණයෙන්ම පාලනය කර ඇති අතර නිතිපතා වැදගත් තොරතුරු සොරකම් කරන බව අනාවරණය විය. අවුරුදු අටකට.

ඔබ දැනටමත් SIEM ක්‍රියාත්මක වන බව කියමු, එය ලඝු-සටහන් එකතු කර සිදුවීම් විශ්ලේෂණය කරයි, සහ අවසාන නෝඩ් වල ප්‍රති-වයිරස ස්ථාපනය කර ඇත. කෙසේ වෙතත්, SIEM භාවිතයෙන් සෑම දෙයක්ම හඳුනාගත නොහැක, සමස්ත ජාලය සඳහා EDR පද්ධති ක්රියාත්මක කිරීමට නොහැකි වන පරිදි, "අන්ධ" කලාප වැළැක්විය නොහැකි බවයි. ජාල ගමනාගමන විශ්ලේෂණ (NTA) පද්ධති ඒවා සමඟ සාර්ථකව කටයුතු කිරීමට උපකාරී වේ. මෙම විසඳුම් ජාලය තුළට විනිවිද යාමේ මුල් අවධියේදී මෙන්ම ජාලය තුළට පිවිසීමට සහ ප්‍රහාරයක් වර්ධනය කිරීමට උත්සාහ කිරීමේදී ප්‍රහාරකයන්ගේ ක්‍රියාකාරකම් හඳුනා ගනී.

NTA වර්ග දෙකක් තිබේ: එකක් NetFlow සමඟ ක්‍රියා කරයි, අනෙක raw Traffic විශ්ලේෂණය කරයි. දෙවන පද්ධතිවල වාසිය නම් ඒවාට අමු රථවාහන වාර්තා ගබඩා කළ හැකි වීමයි. මෙයට ස්තූතිවන්ත වන්නට, තොරතුරු ආරක්ෂණ විශේෂ ist යෙකුට ප්‍රහාරයේ සාර්ථකත්වය පරීක්ෂා කළ හැකිය, තර්ජනය දේශීයකරණය කළ හැකිය, ප්‍රහාරය සිදු වූ ආකාරය සහ අනාගතයේදී සමාන එකක් වළක්වා ගන්නේ කෙසේද යන්න තේරුම් ගත හැකිය.

දැනුම් පදනමේ විස්තර කර ඇති සියලුම දන්නා ප්‍රහාරක උපක්‍රම සෘජු හෝ වක්‍ර සංඥා මගින් හඳුනා ගැනීමට NTA භාවිතා කළ හැකි ආකාරය අපි පෙන්වන්නෙමු. MITER ATT&CK. අපි එක් එක් උපක්‍රම 12 ගැන කතා කරන්නෙමු, ගමනාගමනය මගින් අනාවරණය කර ගන්නා ශිල්පීය ක්‍රම විශ්ලේෂණය කරන්නෙමු, සහ අපගේ NTA පද්ධතිය භාවිතයෙන් ඒවා හඳුනාගැනීම ප්‍රදර්ශනය කරන්නෙමු.

ATT&CK දැනුම පදනම ගැන

MITER ATT&CK යනු සැබෑ APTs විශ්ලේෂණය මත පදනම්ව MITER සංස්ථාව විසින් සංවර්ධනය කර පවත්වාගෙන යනු ලබන මහජන දැනුම් පදනමකි. එය ප්‍රහාරකයන් විසින් භාවිතා කරන ව්‍යුහගත උපක්‍රම සහ ශිල්පීය ක්‍රම සමූහයකි. මෙය ලොව පුරා සිටින තොරතුරු ආරක්ෂණ වෘත්තිකයන්ට එකම භාෂාව කතා කිරීමට ඉඩ සලසයි. දත්ත සමුදාය නිරන්තරයෙන් පුළුල් වන අතර නව දැනුම සමඟ අතිරේක වේ.

දත්ත සමුදාය උපක්‍රම 12 ක් හඳුනාගෙන ඇති අතර ඒවා සයිබර් ප්‍රහාරයක අදියරවලට බෙදා ඇත:

• ආරම්භක ප්රවේශය (ආරම්භක ප්රවේශය);
• ක්රියාත්මක කිරීම (ක්රියාත්මක කිරීම);
• ඒකාබද්ධ කිරීම (පදිංචිය);
• වරප්රසාද උත්සන්න කිරීම;
• හඳුනාගැනීම වැළැක්වීම (ආරක්ෂක මග හැරීම);
• අක්තපත්ර ලබා ගැනීම ( අක්තපත්ර ප්රවේශය );
• බුද්ධිය (සොයාගැනීම);
• පරිමිතිය තුළ චලනය (පාර්ශ්වික චලනය);
• දත්ත එකතු කිරීම (එකතු කිරීම);
• අණ සහ පාලනය;
• දත්ත පිටකිරීම;
• බලපෑම.

එක් එක් උපක්‍රමය සඳහා, ATT&CK දැනුම පදනම ප්‍රහාරකයින්ට ප්‍රහාරයේ වත්මන් අවධියේදී ඔවුන්ගේ ඉලක්කය සපුරා ගැනීමට උපකාර වන ශිල්පීය ක්‍රම ලැයිස්තුවක් ලැයිස්තුගත කරයි. එකම තාක්ෂණය විවිධ අවස්ථා වලදී භාවිතා කළ හැකි බැවින්, එය උපක්රම කිහිපයක් වෙත යොමු විය හැක.

එක් එක් තාක්ෂණයේ විස්තරයට ඇතුළත් වන්නේ:

• හඳුනාගැනීම;
• එය භාවිතා කරන උපක්රම ලැයිස්තුවක්;
• APT කණ්ඩායම් භාවිතා කිරීමේ උදාහරණ;
• එහි භාවිතයෙන් හානිය අවම කිරීම සඳහා පියවර;
• හඳුනාගැනීමේ නිර්දේශ.

තොරතුරු ආරක්ෂණ විශේෂඥයින්ට වත්මන් ප්‍රහාරක ක්‍රම පිළිබඳ තොරතුරු ව්‍යුහගත කිරීමට දත්ත සමුදායෙන් දැනුම භාවිතා කළ හැකි අතර, මෙය මනසේ තබාගෙන, ඵලදායී ආරක්ෂක පද්ධතියක් ගොඩනගා ගත හැකිය. සැබෑ APT කණ්ඩායම් ක්‍රියාත්මක වන ආකාරය අවබෝධ කර ගැනීම තුළ තර්ජන සඳහා ක්‍රියාශීලී සෙවීම සඳහා උපකල්පන මූලාශ්‍රයක් බවට පත්විය හැකිය. තර්ජනය දඩයම් කිරීම.

PT Network Attack Discovery ගැන

පද්ධතිය භාවිතයෙන් ATT සහ CK matrix වෙතින් තාක්ෂණික භාවිතයන් අපි හඳුනා ගනිමු PT Network Attack Discovery - Positive Technologies NTA පද්ධතිය පරිමිතිය මත සහ ජාලය තුළ ඇති ප්‍රහාර හඳුනා ගැනීමට නිර්මාණය කර ඇත. PT NAD MITER ATT&CK න්‍යාසයේ උපක්‍රම 12ම විවිධ මට්ටම්වලට ආවරණය කරයි. මූලික ප්රවේශය, පාර්ශ්වීය චලනය සහ විධාන සහ පාලන ශිල්පීය ක්රම හඳුනාගැනීමේදී එය ශක්තිමත්ම වේ. ඒවා තුළ, PT NAD දන්නා ශිල්පීය ක්‍රමවලින් අඩකට වඩා ආවරණය කරයි, සෘජු හෝ වක්‍ර සලකුණු මගින් ඒවායේ භාවිතය හඳුනා ගනී.

විධානය මඟින් නිර්මාණය කරන ලද හඳුනාගැනීමේ රීති භාවිතයෙන් පද්ධතිය ATT&CK ශිල්පීය ක්‍රම භාවිතයෙන් ප්‍රහාර හඳුනා ගනී PT විශේෂඥ ආරක්ෂක මධ්යස්ථානය (PT ESC), යන්ත්‍ර ඉගෙනීම, සම්මුතියේ දර්ශක, ගැඹුරු විශ්ලේෂණ සහ ප්‍රතිගාමී විශ්ලේෂණය. තත්‍ය කාලීන ගමනාගමන විශ්ලේෂණ, ප්‍රත්‍යාවර්තනය සමඟ ඒකාබද්ධව, ඔබට වත්මන් සැඟවුණු ද්වේෂසහගත ක්‍රියාකාරකම් හඳුනා ගැනීමට සහ සංවර්ධන දෛශික ලුහුබැඳීමට සහ කාලානුක්‍රමයට පහර දීමට ඉඩ සලසයි.

මෙතනම PT NAD සිට MITER ATT&CK න්‍යාසය දක්වා සම්පූර්ණ සිතියම්ගත කිරීම. පින්තූරය විශාලයි, එබැවින් අපි එය වෙනම කවුළුවක සලකා බැලීමට යෝජනා කරමු.

මූලික ප්රවේශය

ආරම්භක ප්‍රවේශ උපක්‍රමවලට සමාගම් ජාලයකට රිංගා ගැනීමේ ශිල්පීය ක්‍රම ඇතුළත් වේ. මෙම අවස්ථාවෙහිදී ප්‍රහාරකයින්ගේ ඉලක්කය වන්නේ ප්‍රහාරයට ලක් වූ පද්ධතියට අනිෂ්ට කේතය ලබා දීම සහ එය තවදුරටත් ක්‍රියාත්මක කිරීම සහතික කිරීමයි.

PT NAD ගමනාගමන විශ්ලේෂණය මූලික ප්රවේශය ලබා ගැනීම සඳහා තාක්ෂණික ක්රම හතක් හෙළි කරයි:

1. T1189: drive-by සම්මුතිය

වින්දිතයා යෙදුම් ප්‍රවේශ ටෝකන ලබා ගැනීම සඳහා වෙබ් බ්‍රවුසරයක් ප්‍රයෝජනයට ගැනීමට ප්‍රහාරකයන් විසින් භාවිතා කරන වෙබ් අඩවියක් විවෘත කරන තාක්‍ෂණයකි.

PT NAD කරන්නේ කුමක්ද?: වෙබ් ගමනාගමනය සංකේතනය කර නොමැති නම්, PT NAD HTTP සේවාදායක ප්‍රතිචාරවල අන්තර්ගතය පරීක්ෂා කරයි. බ්‍රවුසරය තුළ අත්තනෝමතික කේතය ක්‍රියාත්මක කිරීමට ප්‍රහාරකයන්ට ඉඩ සලසන සූරාකෑම් සොයා ගන්නේ මෙම පිළිතුරු තුළ ය. PT NAD එවැනි සූරාකෑම් හඳුනාගැනීමේ රීති භාවිතයෙන් ස්වයංක්‍රීයව හඳුනා ගනී.

මීට අමතරව, PT NAD පෙර පියවරේදී තර්ජනය හඳුනා ගනී. පරිශීලකයා සූරාකෑම් රාශියක් ඇති වෙබ් අඩවියකට ඔහුව හරවා යැවූ වෙබ් අඩවියකට පිවිසියේ නම් සම්මුතියේ නීති සහ දර්ශක ක්‍රියාත්මක වේ.

2. T1190: මහජනතාවට මුහුණ දෙන යෙදුම ගසාකන්න

අන්තර්ජාලයෙන් ප්‍රවේශ විය හැකි සේවාවන්හි දුර්වලතා සූරාකෑම.

PT NAD කරන්නේ කුමක්ද?: ජාල පැකට් වල අන්තර්ගතය පිළිබඳ ගැඹුරු පරීක්ෂණයක් සිදු කරයි, එහි විෂම ක්රියාකාරිත්වයේ සලකුණු හෙළි කරයි. විශේෂයෙන්ම, ප්රධාන අන්තර්ගත කළමනාකරණ පද්ධති (CMS), ජාල උපකරණවල වෙබ් අතුරු මුහුණත්, තැපැල් සහ FTP සේවාදායකයන් මත ප්රහාර හඳුනා ගැනීමට ඔබට ඉඩ සලසන නීති තිබේ.

3. T1133: බාහිර දුරස්ථ සේවා

ප්‍රහාරකයින් පිටත සිට අභ්‍යන්තර ජාල සම්පත් වෙත සම්බන්ධ වීමට දුරස්ථ ප්‍රවේශ සේවා භාවිතා කරයි.

PT NAD කරන්නේ කුමක්ද?: පද්ධතිය ප්‍රොටෝකෝල හඳුනා ගන්නේ තොට අංකවලින් නොව පැකට් වල අන්තර්ගතයෙන් බැවින්, පද්ධති පරිශීලකයින්ට දුරස්ථ ප්‍රවේශ ප්‍රොටෝකෝලවල සියලුම සැසි සොයා ගැනීමට සහ ඒවායේ නීත්‍යානුකූලභාවය පරීක්ෂා කිරීමට ගමනාගමනය පෙරීමට හැකිය.

4. T1193: spearphishing ඇමුණුම

අපි කතා කරන්නේ phishing ඇමුණුම් කුප්‍රකට යැවීම ගැන ය.

PT NAD කරන්නේ කුමක්ද?: වාහන තදබදයෙන් ගොනු ස්වයංක්‍රීයව උපුටා ගන්නා අතර සම්මුතියේ දර්ශකවලට එරෙහිව ඒවා පරීක්ෂා කරයි. ඇමුණුම්වල ක්‍රියාත්මක කළ හැකි ලිපිගොනු තැපැල් ගමනාගමනයේ අන්තර්ගතය විශ්ලේෂණය කරන රීති මගින් අනාවරණය වේ. ආයතනික පරිසරයක් තුළ, එවැනි ආයෝජනයක් විෂමතාවයක් ලෙස සැලකේ.

5. T1192: spearphishing සබැඳිය

තතුබෑම් සබැඳි භාවිතය. මෙම ක්‍රමයට ප්‍රහාරකයන්ට සබැඳියක් සහිත තතුබෑම් විද්‍යුත් තැපෑලක් යැවීම ඇතුළත් වේ, එය ක්ලික් කළ විට, අනිෂ්ට වැඩසටහනක් බාගත කරයි. රීතියක් ලෙස, සබැඳිය සමාජ ඉංජිනේරු විද්‍යාවේ සියලුම නීතිවලට අනුව සම්පාදනය කරන ලද පෙළක් සමඟ ඇත.

PT NAD කරන්නේ කුමක්ද?: සම්මුතියේ දර්ශක භාවිතයෙන් තතුබෑම් සබැඳි හඳුනා ගනී. උදාහරණයක් ලෙස, PT NAD අතුරුමුහුණත තුළ, අපි තතුබෑම් ලිපින ලැයිස්තුවේ (phishing-url) ඇතුළත් කර ඇති සබැඳියක් හරහා HTTP සම්බන්ධතාවයක් තිබූ සැසියක් දකිමු.

සම්මුති තතුබෑම්-url වල දර්ශක ලැයිස්තුවෙන් සබැඳියක් හරහා සම්බන්ධ වීම

6. T1199: විශ්වාස සබඳතා

වින්දිතයා සමඟ විශ්වාසදායක සම්බන්ධතාවයක් ඇති තෙවන පාර්ශවයන් හරහා වින්දිතයාගේ ජාලයට ප්‍රවේශය. ප්‍රහාරකයන්ට විශ්වාසදායක සංවිධානයකට කඩා වැදී එය හරහා ඉලක්ක ජාලයට සම්බන්ධ විය හැක. මෙය සිදු කිරීම සඳහා, ඔවුන් VPN සම්බන්ධතා හෝ ඩොමේන් විශ්වාස සම්බන්ධතා භාවිතා කරයි, එය රථවාහන විශ්ලේෂණය හරහා හෙළි කළ හැකිය.

PT NAD කරන්නේ කුමක්ද?: යෙදුම් ප්‍රොටෝකෝල විග්‍රහ කර විග්‍රහ කළ ක්ෂේත්‍ර දත්ත ගබඩාවට සුරකියි, එවිට තොරතුරු ආරක්ෂණ විශ්ලේෂකයාට දත්ත ගබඩාවේ ඇති සියලුම සැක සහිත VPN සම්බන්ධතා හෝ හරස් වසම් සම්බන්ධතා සොයා ගැනීමට පෙරහන් භාවිතා කළ හැක.

7. T1078: වලංගු ගිණුම්

බාහිර සහ අභ්‍යන්තර සේවා සඳහා අවසරය සඳහා සම්මත, දේශීය හෝ වසම් අක්තපත්‍ර භාවිතා කිරීම.

PT NAD කරන්නේ කුමක්ද?: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos ප්‍රොටෝකෝලවලින් අක්තපත්‍ර ස්වයංක්‍රීයව ලබා ගනී. සාමාන්‍ය අවස්ථාවෙහිදී, මෙය පිවිසුමක්, මුරපදයක් සහ සාර්ථක සත්‍යාපනයේ සලකුණකි. ඒවා භාවිතා කර ඇත්නම්, ඒවා අදාළ සැසි කාඩ්පතෙහි පෙන්වනු ලැබේ.

ක්රියාත්මක කිරීම

ක්‍රියාත්මක කිරීමේ උපක්‍රමවලට ප්‍රහාරකයින් සම්මුතිගත පද්ධති මත කේතය ක්‍රියාත්මක කිරීමට භාවිතා කරන ශිල්පීය ක්‍රම ඇතුළත් වේ. අනිෂ්ට කේතය ක්‍රියාත්මක කිරීම ප්‍රහාරකයින්ට පැවැත්ම තහවුරු කර ගැනීමට (පදිංචී උපක්‍රමය) සහ පරිමිතිය තුළට ගමන් කිරීමෙන් ජාලයේ දුරස්ථ පද්ධති වෙත ප්‍රවේශය පුළුල් කිරීමට උපකාරී වේ.

PT NAD ඔබට අනිෂ්ට කේතය ක්‍රියාත්මක කිරීමට ප්‍රහාරකයන් විසින් භාවිතා කරන ශිල්පීය ක්‍රම 14 ක් හඳුනා ගැනීමට ඉඩ සලසයි.

1. T1191: CMSTP (Microsoft Connection Manager පැතිකඩ ස්ථාපකය)

ප්‍රහාරකයන් විසින් සාදන ලද Windows CMSTP.exe උපයෝගිතා (සම්බන්ධතා කළමනාකරු පැතිකඩ ස්ථාපකය) සඳහා විෙශේෂෙයන් සැකසූ අනිෂ්ට .inf ස්ථාපන ගොනුවක් සකස් කරන උපක්‍රමයකි. CMSTP.exe ගොනුවක් පරාමිතියක් ලෙස ගෙන දුරස්ථ සම්බන්ධතාවය සඳහා සේවා පැතිකඩක් ස්ථාපනය කරයි. එහි ප්‍රතිඵලයක් ලෙස, දුරස්ථ සේවාදායකයන්ගෙන් ගතික සබැඳි පුස්තකාල (*.dll) හෝ scriptlets (*.sct) බාගත කර ක්‍රියාත්මක කිරීමට CMSTP.exe භාවිතා කළ හැක.

PT NAD කරන්නේ කුමක්ද?: HTTP ගමනාගමනය තුළ විශේෂ ආකෘති පත්‍ර .inf ගොනු සම්ප්‍රේෂණය ස්වයංක්‍රීයව හඳුනා ගනී. ඊට අමතරව, එය දුරස්ථ සේවාදායකයකින් අනිෂ්ට ස්ක්‍රිප්ට්ලට් සහ ගතික සබැඳි පුස්තකාලවල HTTP මාරු කිරීම් හඳුනා ගනී.

2. T1059: විධාන රේඛා අතුරුමුහුණත

විධාන රේඛා අතුරුමුහුණත සමඟ අන්තර් ක්රියා කිරීම. විධාන රේඛා අතුරුමුහුණත දුරස්ථ ප්‍රවේශ උපයෝගිතා හරහා දේශීයව හෝ දුරස්ථව අන්තර්ක්‍රියා කළ හැක.

PT NAD කරන්නේ කුමක්ද?: ping, ifconfig වැනි විවිධ විධාන රේඛා උපයෝගිතා දියත් කිරීම සඳහා විධාන වලට ප්‍රතිචාර දැක්වීමෙන් කවච තිබීම ස්වයංක්‍රීයව හඳුනා ගනී.

3. T1175: සංරචක වස්තු ආකෘතිය සහ බෙදා හරින ලද COM

ජාලය හරහා ගමන් කරන විට දේශීය හෝ දුරස්ථ පද්ධතිවල කේතය ක්‍රියාත්මක කිරීමට COM හෝ DCOM තාක්ෂණයන් භාවිතා කිරීම.

PT NAD කරන්නේ කුමක්ද?: ප්‍රහාරකයින් වැඩසටහන් දියත් කිරීමට බහුලව භාවිතා කරන සැක සහිත DCOM ඇමතුම් හඳුනා ගනී.

4. T1203: සේවාදායකයා ක්රියාත්මක කිරීම සඳහා සූරාකෑම

වැඩපොළක අත්තනෝමතික කේතය ක්‍රියාත්මක කිරීම සඳහා දුර්වලතා උපයෝගී කර ගැනීම. ප්‍රහාරකයින් සඳහා වඩාත් ප්‍රයෝජනවත් සූරාකෑම් වන්නේ දුරස්ථ පද්ධතියක කේතය ක්‍රියාත්මක කිරීමට ඉඩ සලසන ඒවා වන අතර, ප්‍රහාරකයන්ට එවැනි පද්ධතියකට ප්‍රවේශය ලබා ගැනීමට ඒවා භාවිතා කළ හැකි බැවිනි. මෙම තාක්ෂණය පහත ක්‍රම මගින් ක්‍රියාත්මක කළ හැක: අනිෂ්ට තැපැල් ලැයිස්තුව, බ්‍රව්සර් සඳහා සූරාකෑම් සහිත වෙබ් අඩවිය සහ යෙදුම් දුර්වලතා දුරස්ථව සූරාකෑම.

PT NAD කරන්නේ කුමක්ද?: තැපැල් ගමනාගමනය විග්‍රහ කරන අතරතුර, PT NAD එය ඇමුණුමේ ක්‍රියාත්මක කළ හැකි ගොනු තිබේ දැයි පරීක්ෂා කරයි. සූරාකෑම් අඩංගු විය හැකි ඊමේල් වලින් කාර්යාල ලේඛන ස්වයංක්‍රීයව උපුටා ගනී. PT NAD ස්වයංක්‍රීයව හඳුනා ගන්නා ගමනාගමනයේ දුර්වලතා ගසාකෑමේ උත්සාහයන් දෘශ්‍යමාන වේ.

5. T1170: mshta

.hta දිගුවක් සමඟ Microsoft HTML යෙදුම් (HTA) ක්‍රියාත්මක කරන mshta.exe උපයෝගීතාව භාවිතා කිරීම. mshta බ්‍රවුසරයේ ආරක්ෂක සිටුවම් මඟහරිමින් ගොනු සකසන නිසා, ප්‍රහාරකයන්ට අනිෂ්ට HTA, JavaScript, හෝ VBScript ගොනු ක්‍රියාත්මක කිරීමට mshta.exe භාවිතා කළ හැක.

PT NAD කරන්නේ කුමක්ද?: mshta හරහා ක්‍රියාත්මක කිරීම සඳහා .hta ගොනු ජාලය හරහා ද සම්ප්‍රේෂණය වේ - මෙය ගමනාගමනය තුළ දැකිය හැකිය. PT NAD එවැනි අනිෂ්ට ගොනු ස්වයංක්‍රීයව සම්ප්‍රේෂණය කිරීම හඳුනා ගනී. එය ලිපිගොනු ග්‍රහණය කර ගන්නා අතර ඒවා පිළිබඳ තොරතුරු සැසි කාඩ්පතෙන් නැරඹිය හැකිය.

6. T1086: PowerShell

තොරතුරු සෙවීමට සහ අනිෂ්ට කේතය ක්‍රියාත්මක කිරීමට PowerShell භාවිතා කිරීම.

PT NAD කරන්නේ කුමක්ද?: PowerShell ප්‍රහාරකයින් විසින් දුරස්ථව භාවිතා කරන විට, PT NAD මෙය නීති භාවිතයෙන් හඳුනා ගනී. එය අනිෂ්ට ස්ක්‍රිප්ට් වල බහුලව භාවිතා වන PowerShell භාෂා මූල පද සහ SMB හරහා PowerShell ස්ක්‍රිප්ට් සම්ප්‍රේෂණය කරයි.

7. T1053: නියමිත කාර්යය
නිශ්චිත වේලාවක වැඩසටහන් හෝ ස්ක්‍රිප්ට් ස්වයංක්‍රීයව ධාවනය කිරීමට Windows Task Scheduler සහ අනෙකුත් උපයෝගිතා භාවිතා කරන්න.

PT NAD කරන්නේ කුමක්ද?: ප්‍රහාරකයන් සාමාන්‍යයෙන් දුරස්ථව එවැනි කාර්යයන් නිර්මාණය කරයි, එයින් අදහස් වන්නේ එවැනි සැසි ගමනාගමනය තුළ දෘශ්‍යමාන වන බවයි. PT NAD ස්වයංක්‍රීයව ATSVC සහ ITaskSchedulerService RPC අතුරුමුහුණත් භාවිතයෙන් සැක කටයුතු කාර්යයන් නිර්මාණය කිරීම සහ වෙනස් කිරීමේ මෙහෙයුම් හඳුනා ගනී.

8. T1064: scripting

ප්‍රහාරකයන්ගේ විවිධ ක්‍රියා ස්වයංක්‍රීය කිරීම සඳහා ස්ක්‍රිප්ට් ක්‍රියාත්මක කිරීම.

PT NAD කරන්නේ කුමක්ද?: ජාලය හරහා ස්ක්‍රිප්ට් සම්ප්‍රේෂණය කිරීම හඳුනා ගනී, එනම් ඒවා දියත් කිරීමට පෙර පවා. එය raw Traffic හි ස්ක්‍රිප්ට් අන්තර්ගතය හඳුනා ගන්නා අතර ජනප්‍රිය ස්ක්‍රිප්ටින් භාෂාවලට අනුරූප දිගු සමඟ ගොනු ජාල සම්ප්‍රේෂණය හඳුනා ගනී.

9. T1035: සේවා ක්රියාත්මක කිරීම

සේවා පාලන කළමනාකරු (SCM) වැනි Windows සේවාවන් සමඟ අන්තර්ක්‍රියා කිරීමෙන් ක්‍රියාත්මක කළ හැකි ගොනුවක්, CLI උපදෙස් හෝ ස්ක්‍රිප්ට් එකක් ධාවනය කරන්න.

PT NAD කරන්නේ කුමක්ද?: SMB ගමනාගමනය පරීක්ෂා කිරීම සහ සේවාවක් නිර්මාණය කිරීම, වෙනස් කිරීම සහ ආරම්භ කිරීම සඳහා නීති මගින් SCM වෙත ඉල්ලීම් අනාවරණය කරයි.

දුරස්ථ විධාන ක්රියාත්මක කිරීමේ උපයෝගිතා PSExec භාවිතයෙන් සේවා ආරම්භ කිරීමේ තාක්ෂණය ක්රියාත්මක කළ හැක. PT NAD SMB ප්‍රොටෝකෝලය විග්‍රහ කරන අතර දුරස්ථ යන්ත්‍රයක කේතය ක්‍රියාත්මක කිරීමට PSEXESVC.exe ගොනුව හෝ PSEXECSVC සම්මත සේවා නාමය භාවිතා කරන විට PSExec භාවිතය හඳුනා ගනී. පරිශීලකයාට ක්‍රියාත්මක කරන ලද විධාන ලැයිස්තුව සහ ධාරකයෙන් දුරස්ථ විධාන ක්‍රියාත්මක කිරීමේ නීත්‍යානුකූලභාවය පරීක්ෂා කිරීමට අවශ්‍ය වේ.

PT NAD හි ප්‍රහාරක කාඩ්පත ATT&CK matrix විසින් භාවිතා කරන උපක්‍රම සහ ශිල්පීය ක්‍රම පිළිබඳ දත්ත සංදර්ශනය කරයි, එවිට පරිශීලකයාට ප්‍රහාරකයින් කුමන ප්‍රහාරයේ අවධියේදීද, ඔවුන් අනුගමනය කරන ඉලක්ක මොනවාද සහ කුමන වන්දි ක්‍රියාමාර්ග ගත යුතුද යන්න තේරුම් ගත හැකිය.

PSExec උපයෝගිතා භාවිතය පිළිබඳ රීතිය සක්‍රීය කිරීම, එය දුරස්ථ යන්ත්‍රයක විධාන ක්‍රියාත්මක කිරීමේ උත්සාහයක් පෙන්නුම් කරයි

10. T1072: තෙවන පාර්ශවීය මෘදුකාංග

ප්‍රහාරකයින් දුරස්ථ පරිපාලන මෘදුකාංග හෝ ආයතනික මෘදුකාංග යෙදවුම් පද්ධතියකට ප්‍රවේශය ලබාගෙන ඒවා අනිෂ්ට කේතය ක්‍රියාත්මක කිරීමට භාවිතා කරන තාක්‍ෂණයකි. එවැනි මෘදුකාංග සඳහා උදාහරණ: SCCM, VNC, TeamViewer, HBSS, Altiris.
මාර්ගය වන විට, දුරස්ථ වැඩ සඳහා දැවැන්ත සංක්‍රමණය සම්බන්ධව තාක්‍ෂණය විශේෂයෙන් අදාළ වන අතර, එහි ප්‍රති result ලයක් ලෙස, සැක සහිත දුරස්ථ ප්‍රවේශ නාලිකා හරහා බොහෝ නිවාස අනාරක්ෂිත උපාංග සම්බන්ධ කිරීම.

PT NAD කරන්නේ කුමක්ද?: ජාලයේ එවැනි මෘදුකාංගවල ක්‍රියාකාරිත්වය ස්වයංක්‍රීයව හඳුනා ගනී. උදාහරණයක් ලෙස, VNC ප්‍රොටෝකෝලය හරහා සම්බන්ධ වීමේ කරුණු සහ EvilVNC Trojan හි ක්‍රියාකාරකම් මගින් නීති අවුලුවනු ලැබේ, එය VNC සේවාදායකයක් රහසිගතව වින්දිතයාගේ ධාරකය මත ස්ථාපනය කර එය ස්වයංක්‍රීයව ආරම්භ කරයි. එසේම, PT NAD ස්වයංක්‍රීයව TeamViewer ප්‍රොටෝකෝලය හඳුනා ගනී, එය විශ්ලේෂකයාට පෙරනයක් භාවිතයෙන් එවැනි සැසි සියල්ල සොයා ගැනීමට සහ ඒවායේ නීත්‍යානුකූලභාවය පරීක්ෂා කිරීමට උපකාරී වේ.

11. T1204: පරිශීලක ක්රියාත්මක කිරීම

පරිශීලකයා විසින් කේතය ක්‍රියාත්මක කිරීමට හේතු විය හැකි ගොනු ධාවනය කරන තාක්‍ෂණයකි. උදාහරණයක් ලෙස, එය ක්‍රියාත්මක කළ හැකි ගොනුවක් විවෘත කරන්නේ නම් හෝ මැක්‍රෝ එකක් සමඟ කාර්යාල ලේඛනයක් ධාවනය කරන්නේ නම් මෙය විය හැකිය.

PT NAD කරන්නේ කුමක්ද?: එවැනි ගොනු දියත් කිරීමට පෙර, මාරු කිරීමේ අදියරේදී දකියි. ඔවුන් පිළිබඳ තොරතුරු ඔවුන් සම්ප්රේෂණය කරන ලද සැසිවල කාඩ්පතෙහි අධ්යයනය කළ හැකිය.

12. T1047: වින්ඩෝස් කළමනාකරණ උපකරණ

වින්ඩෝස් පද්ධති සංරචක සඳහා දේශීය සහ දුරස්ථ ප්රවේශය සපයන WMI මෙවලම භාවිතා කිරීම. WMI භාවිතා කරමින්, ප්‍රහාරකයන්ට දේශීය සහ දුරස්ථ පද්ධති සමඟ අන්තර් ක්‍රියා කළ හැකි අතර බුද්ධිමය අරමුණු සඳහා තොරතුරු රැස් කිරීම සහ පාර්ශ්වීය චලනය අතරතුර දුරස්ථව ක්‍රියාවලි දියත් කිරීම වැනි විවිධ කාර්යයන් ඉටු කළ හැකිය.

PT NAD කරන්නේ කුමක්ද?: WMI හරහා දුරස්ථ පද්ධති සමඟ අන්තර්ක්‍රියා මාර්ග තදබදය තුළ දෘශ්‍යමාන වන බැවින්, PT NAD විසින් WMI සැසි පිහිටුවීම සඳහා ජාල ඉල්ලීම් ස්වයංක්‍රීයව හඳුනාගෙන WMI භාවිතා කරන ස්ක්‍රිප්ට් සම්ප්‍රේෂණය වන කාරනය සඳහා ගමනාගමනය පරීක්ෂා කරයි.

13. T1028: වින්ඩෝස් දුරස්ථ කළමනාකරණය

පරිශීලකයාට දුරස්ථ පද්ධති සමඟ අන්තර් ක්‍රියා කිරීමට ඉඩ සලසන වින්ඩෝස් සේවාවක් සහ ප්‍රොටෝකෝලයක් භාවිතා කිරීම.

PT NAD කරන්නේ කුමක්ද?: Windows Remote Management භාවිතයෙන් ස්ථාපිත ජාල සම්බන්ධතා බලන්න. එවැනි සැසි නීති මගින් ස්වයංක්රීයව අනාවරණය වේ.

14. T1220: XSL (Extensible Stylesheet Language) ස්ක්‍රිප්ට් සැකසීම

XSL style markup language එක XML ගොනු වල දත්ත සැකසීම සහ විදැහුම්කරණය විස්තර කිරීමට භාවිතා කරයි. සංකීර්ණ මෙහෙයුම් සඳහා සහාය වීම සඳහා, XSL ප්‍රමිතියට බහු භාෂාවලින් පේළිගත ස්ක්‍රිප්ට් සඳහා සහය ඇතුළත් වේ. සුදු ලැයිස්තුගත ආරක්ෂක ප්‍රතිපත්ති මඟහරින අත්තනෝමතික කේතය ක්‍රියාත්මක කිරීමට මෙම භාෂා ඉඩ දෙයි.

PT NAD කරන්නේ කුමක්ද?: එවැනි ගොනු ජාලය හරහා සම්ප්‍රේෂණය කිරීම හඳුනා ගනී, එනම් ඒවා දියත් කිරීමට පෙර පවා. එය ජාලය හරහා XSL ගොනු සම්ප්‍රේෂණය කිරීම සහ විෂම XSL සලකුණු සහිත ගොනු ස්වයංක්‍රීයව හඳුනා ගනී.

පහත සඳහන් ද්‍රව්‍ය තුළ, අපි PT Network Attack Discovery NTA පද්ධතිය MITER ATT සහ CK අනුව ප්‍රහාරකයින්ගේ වෙනත් උපක්‍රම සහ ශිල්පීය ක්‍රම සොයා ගන්නේ කෙසේදැයි බලමු. සුසරව සිටින්න!

කතුවරුන්:

• Anton Kutepov, විශේෂඥ ආරක්ෂක මධ්‍යස්ථානයේ (PT Expert Security Center) Positive Technologies හි විශේෂඥ
• Natalia Kazankova, Positive Technologies හි නිෂ්පාදන අලෙවිකරු

මූලාශ්රය: www.habr.com