, பெரும்பாலான (87%) தகவல் பாதுகாப்பு சம்பவங்கள் சில நிமிடங்களில் நிகழ்கின்றன, மேலும் 68% நிறுவனங்களுக்கு அவற்றைக் கண்டறிய பல மாதங்கள் ஆகும். மூலம் இது உறுதிப்படுத்தப்பட்டுள்ளது , இதன்படி பெரும்பாலான நிறுவனங்களுக்கு ஒரு சம்பவத்தைக் கண்டறிய சராசரியாக 206 நாட்கள் ஆகும். எங்கள் விசாரணைகளின் அனுபவத்தின் அடிப்படையில், ஹேக்கர்கள் ஒரு நிறுவனத்தின் உள்கட்டமைப்பைக் கண்டறியாமல் பல ஆண்டுகளாகக் கட்டுப்படுத்த முடியும். எனவே, எங்கள் நிபுணர்கள் ஒரு தகவல் பாதுகாப்பு சம்பவத்தை ஆய்வு செய்த நிறுவனங்களில் ஒன்றில், ஹேக்கர்கள் நிறுவனத்தின் முழு உள்கட்டமைப்பையும் முழுமையாகக் கட்டுப்படுத்தி, முக்கியமான தகவல்களைத் தொடர்ந்து திருடுவது தெரியவந்தது. .
பதிவுகளை சேகரித்து நிகழ்வுகளை பகுப்பாய்வு செய்யும் ஒரு SIEM உங்களிடம் ஏற்கனவே இயங்குகிறது என்று வைத்துக்கொள்வோம், மேலும் வைரஸ் தடுப்பு மென்பொருள் இறுதி முனைகளில் நிறுவப்பட்டுள்ளது. இருப்பினும், , முழு நெட்வொர்க் முழுவதும் EDR அமைப்புகளை செயல்படுத்துவது சாத்தியமற்றது, அதாவது "குருட்டு" புள்ளிகளைத் தவிர்க்க முடியாது. நெட்வொர்க் ட்ராஃபிக் பகுப்பாய்வு (NTA) அமைப்புகள் அவற்றைச் சமாளிக்க உதவுகின்றன. இந்தத் தீர்வுகள், நெட்வொர்க் ஊடுருவலின் ஆரம்ப கட்டங்களில் தாக்குபவர் செயல்பாட்டைக் கண்டறிகின்றன, அதே போல் நெட்வொர்க்கிற்குள் கால் பதிக்க மற்றும் ஒரு தாக்குதலை உருவாக்கும் முயற்சிகளின் போது.
இரண்டு வகையான NTAக்கள் உள்ளன: சில NetFlow உடன் வேலை செய்கின்றன, மற்றவை மூல போக்குவரத்தை பகுப்பாய்வு செய்கின்றன. இரண்டாவது அமைப்புகளின் நன்மை என்னவென்றால், அவை மூல போக்குவரத்து பதிவுகளை சேமிக்க முடியும். இதற்கு நன்றி, ஒரு தகவல் பாதுகாப்பு நிபுணர் தாக்குதலின் வெற்றியை சரிபார்க்கலாம், அச்சுறுத்தலை உள்ளூர்மயமாக்கலாம், தாக்குதல் எவ்வாறு நிகழ்ந்தது மற்றும் எதிர்காலத்தில் இதேபோன்ற ஒன்றைத் தடுப்பது எப்படி என்பதைப் புரிந்துகொள்ள முடியும்.
NTA ஐப் பயன்படுத்தி, அறிவுத் தளத்தில் விவரிக்கப்பட்டுள்ள அனைத்து அறியப்பட்ட தாக்குதல் தந்திரங்களையும் அடையாளம் காண நேரடி அல்லது மறைமுக ஆதாரங்களை எவ்வாறு பயன்படுத்தலாம் என்பதை நாங்கள் காண்பிப்போம். . நாங்கள் 12 தந்திரோபாயங்கள் ஒவ்வொன்றையும் பற்றி பேசுவோம், போக்குவரத்தால் கண்டறியப்படும் நுட்பங்களை பகுப்பாய்வு செய்வோம், மேலும் எங்கள் NTA அமைப்பைப் பயன்படுத்தி அவற்றைக் கண்டறிவதை நிரூபிப்போம்.
ATT&CK அறிவுத் தளத்தைப் பற்றி
MITER ATT&CK என்பது நிஜ உலக APTகளின் பகுப்பாய்வின் அடிப்படையில் MITER கார்ப்பரேஷனால் உருவாக்கப்பட்டு பராமரிக்கப்படும் பொது அறிவுத் தளமாகும். இது தாக்குபவர்கள் பயன்படுத்தும் தந்திரோபாயங்கள் மற்றும் நுட்பங்களின் கட்டமைக்கப்பட்ட தொகுப்பாகும். இது உலகம் முழுவதிலும் உள்ள தகவல் பாதுகாப்பு வல்லுநர்கள் ஒரே மொழியைப் பேச அனுமதிக்கிறது. தரவுத்தளம் தொடர்ந்து விரிவடைந்து புதிய அறிவுடன் துணைபுரிகிறது.
தரவுத்தளம் 12 தந்திரோபாயங்களை அடையாளம் காட்டுகிறது, அவை சைபர் தாக்குதலின் நிலைகளால் பிரிக்கப்படுகின்றன:
- ஆரம்ப அணுகல்;
- மரணதண்டனை;
- ஒருங்கிணைப்பு (நிலைமை);
- சலுகை அதிகரிப்பு;
- கண்டறிதல் தடுப்பு (பாதுகாப்பு ஏய்ப்பு);
- நற்சான்றிதழ்களைப் பெறுதல் (நற்சான்றிதழ் அணுகல்);
- ஆய்வு;
- சுற்றளவுக்குள் இயக்கம் (பக்கவாட்டு இயக்கம்);
- தரவு சேகரிப்பு (சேகரிப்பு);
- கட்டளை மற்றும் கட்டுப்பாடு;
- தரவு வெளியேற்றம்;
- தாக்கம்.
ஒவ்வொரு தந்திரத்திற்கும், ATT&CK அறிவுத் தளமானது, தாக்குதலின் தற்போதைய கட்டத்தில் தாக்குபவர்கள் தங்கள் இலக்கை அடைய உதவும் நுட்பங்களின் பட்டியலைப் பட்டியலிடுகிறது. ஒரே நுட்பத்தை வெவ்வேறு நிலைகளில் பயன்படுத்தலாம் என்பதால், இது பல தந்திரங்களைக் குறிக்கலாம்.
ஒவ்வொரு நுட்பத்தின் விளக்கமும் அடங்கும்:
- அடையாளங்காட்டி;
- அது பயன்படுத்தப்படும் தந்திரோபாயங்களின் பட்டியல்;
- APT குழுக்களின் பயன்பாட்டின் எடுத்துக்காட்டுகள்;
- அதன் பயன்பாட்டிலிருந்து சேதத்தை குறைப்பதற்கான நடவடிக்கைகள்;
- கண்டறிதல் பரிந்துரைகள்.
தகவல் பாதுகாப்பு வல்லுநர்கள் தரவுத்தளத்திலிருந்து அறிவைப் பயன்படுத்தி தற்போதைய தாக்குதல் முறைகளைப் பற்றிய தகவல்களைக் கட்டமைக்க முடியும் மற்றும் இதை கணக்கில் எடுத்துக்கொண்டு, பயனுள்ள பாதுகாப்பு அமைப்பை உருவாக்கலாம். உண்மையான APT குழுக்கள் எவ்வாறு செயல்படுகின்றன என்பதைப் புரிந்துகொள்வது, அச்சுறுத்தல்களை முன்கூட்டியே தேடுவதற்கான கருதுகோள்களின் ஆதாரமாக மாறும். .
PT நெட்வொர்க் அட்டாக் டிஸ்கவரி பற்றி
கணினியைப் பயன்படுத்தி ATT&CK மேட்ரிக்ஸில் இருந்து நுட்பங்களைப் பயன்படுத்துவதை நாங்கள் அடையாளம் காண்போம் — நேர்மறை தொழில்நுட்பங்கள் NTA அமைப்பு, சுற்றளவு மற்றும் நெட்வொர்க்கிற்குள் தாக்குதல்களைக் கண்டறிய வடிவமைக்கப்பட்டுள்ளது. MITER ATT&CK மேட்ரிக்ஸின் அனைத்து 12 தந்திரங்களையும் PT NAD உள்ளடக்கியது. ஆரம்ப அணுகல், பக்கவாட்டு இயக்கம் மற்றும் கட்டளை மற்றும் கட்டுப்பாடு ஆகியவற்றிற்கான நுட்பங்களை அடையாளம் காண்பதில் அவர் மிகவும் சக்திவாய்ந்தவர். அவற்றில், PT NAD ஆனது அறியப்பட்ட நுட்பங்களில் பாதிக்கும் மேற்பட்டவற்றை உள்ளடக்கியது, அவற்றின் பயன்பாட்டை நேரடி அல்லது மறைமுக அறிகுறிகளால் கண்டறியும்.
குழுவால் உருவாக்கப்பட்ட கண்டறிதல் விதிகளைப் பயன்படுத்தி ATT&CK நுட்பங்களைப் பயன்படுத்தி இந்த அமைப்பு தாக்குதல்களைக் கண்டறிகிறது (PT ESC), இயந்திர கற்றல், சமரசத்தின் குறிகாட்டிகள், ஆழமான பகுப்பாய்வு மற்றும் பின்னோக்கி பகுப்பாய்வு. நிகழ்நேர போக்குவரத்து பகுப்பாய்வு, பின்னோக்கியுடன் இணைந்து, தற்போதைய மறைந்திருக்கும் தீங்கிழைக்கும் செயல்பாட்டை அடையாளம் காணவும், வளர்ச்சி திசையன்கள் மற்றும் தாக்குதல்களின் காலவரிசையைக் கண்காணிக்கவும் உங்களை அனுமதிக்கிறது.
MITER ATT&CK அணிக்கு PT NAD இன் முழு மேப்பிங். படம் பெரியது, எனவே அதை தனி சாளரத்தில் பார்க்க பரிந்துரைக்கிறோம்.
ஆரம்ப அணுகல்
ஆரம்ப அணுகல் தந்திரங்களில் ஒரு நிறுவனத்தின் நெட்வொர்க்கில் ஊடுருவுவதற்கான நுட்பங்கள் அடங்கும். இந்த கட்டத்தில் தாக்குபவர்களின் குறிக்கோள், தாக்கப்பட்ட அமைப்புக்கு தீங்கிழைக்கும் குறியீட்டை வழங்குவது மற்றும் அதை மேலும் செயல்படுத்துவதற்கான சாத்தியத்தை உறுதி செய்வதாகும்.
PT NAD இன் போக்குவரத்து பகுப்பாய்வு ஆரம்ப அணுகலைப் பெறுவதற்கான ஏழு நுட்பங்களை வெளிப்படுத்துகிறது:
1. : ஓட்டு மூலம் சமரசம்
பாதிக்கப்பட்டவர் இணையதளத்தைத் திறக்கும் நுட்பம், இது இணைய உலாவியைப் பயன்படுத்தவும், பயன்பாட்டு அணுகல் டோக்கன்களைப் பெறவும் தாக்குபவர்களால் பயன்படுத்தப்படுகிறது.
PT NAD என்ன செய்கிறது?: வலை போக்குவரத்து குறியாக்கம் செய்யப்படவில்லை என்றால், HTTP சர்வர் பதில்களின் உள்ளடக்கத்தை PT NAD ஆய்வு செய்கிறது. இந்த பதில்களில் தாக்குபவர்கள் உலாவியில் தன்னிச்சையான குறியீட்டை இயக்க அனுமதிக்கும் சுரண்டல்கள் உள்ளன. கண்டறிதல் விதிகளைப் பயன்படுத்தி PT NAD தானாகவே இத்தகைய சுரண்டல்களைக் கண்டறியும்.
கூடுதலாக, PT NAD முந்தைய கட்டத்தில் அச்சுறுத்தலைக் கண்டறிகிறது. பல சுரண்டல்கள் உள்ள தளத்திற்கு அவரைத் திருப்பிய ஒரு தளத்தைப் பயனர் பார்வையிட்டால், சமரசத்திற்கான விதிகள் மற்றும் குறிகாட்டிகள் தூண்டப்படும்.
2. : பொதுமக்கள் எதிர்கொள்ளும் பயன்பாட்டைப் பயன்படுத்திக் கொள்ளுங்கள்
இணையத்திலிருந்து அணுகக்கூடிய சேவைகளில் உள்ள பாதிப்புகளைப் பயன்படுத்துதல்.
PT NAD என்ன செய்கிறது?: நெட்வொர்க் பாக்கெட்டுகளின் உள்ளடக்கங்களை ஆழமாக ஆய்வு செய்கிறது, ஒழுங்கற்ற செயல்பாட்டின் அறிகுறிகளை அடையாளம் காட்டுகிறது. குறிப்பாக, முக்கிய உள்ளடக்க மேலாண்மை அமைப்புகள் (CMS), நெட்வொர்க் உபகரணங்களின் இணைய இடைமுகங்கள் மற்றும் அஞ்சல் மற்றும் FTP சேவையகங்கள் மீதான தாக்குதல்களைக் கண்டறிய உங்களை அனுமதிக்கும் விதிகள் உள்ளன.
3. : வெளிப்புற தொலை சேவைகள்
வெளியில் இருந்து உள் நெட்வொர்க் ஆதாரங்களுடன் இணைக்க, தாக்குபவர்கள் தொலைநிலை அணுகல் சேவைகளைப் பயன்படுத்துகின்றனர்.
PT NAD என்ன செய்கிறது?: சிஸ்டம் போர்ட் எண்களால் அல்ல, ஆனால் பாக்கெட்டுகளின் உள்ளடக்கத்தால் நெறிமுறைகளை அங்கீகரிப்பதால், சிஸ்டம் பயனர்கள் ட்ராஃபிக்கை வடிகட்டுவதன் மூலம் தொலைநிலை அணுகல் நெறிமுறைகளின் அனைத்து அமர்வுகளையும் கண்டறிந்து அவற்றின் சட்டபூர்வமான தன்மையை சரிபார்க்கலாம்.
4. : ஸ்பியர்ஃபிஷிங் இணைப்பு
ஃபிஷிங் இணைப்புகளை அனுப்புவது பற்றி நாங்கள் பேசுகிறோம்.
PT NAD என்ன செய்கிறது?: டிராஃபிக்கில் இருந்து கோப்புகளை தானாகவே பிரித்தெடுத்து, சமரசத்தின் குறிகாட்டிகளுக்கு எதிராக அவற்றைச் சரிபார்க்கிறது. இணைப்புகளில் இயங்கக்கூடிய கோப்புகள் அஞ்சல் போக்குவரத்தின் உள்ளடக்கத்தை பகுப்பாய்வு செய்யும் விதிகளால் கண்டறியப்படுகின்றன. ஒரு கார்ப்பரேட் சூழலில், அத்தகைய முதலீடு ஒழுங்கற்றதாகக் கருதப்படுகிறது.
5. : ஸ்பியர்ஃபிஷிங் இணைப்பு
ஃபிஷிங் இணைப்புகளைப் பயன்படுத்துதல். இந்த நுட்பம், தாக்குபவர்கள் ஒரு ஃபிஷிங் மின்னஞ்சலை ஒரு இணைப்புடன் அனுப்புவதை உள்ளடக்கியது, அதை கிளிக் செய்தால், தீங்கிழைக்கும் நிரலைப் பதிவிறக்குகிறது. ஒரு விதியாக, சமூக பொறியியலின் அனைத்து விதிகளின்படி தொகுக்கப்பட்ட உரையுடன் இணைப்பு இணைக்கப்பட்டுள்ளது.
PT NAD என்ன செய்கிறது?: சமரசத்தின் குறிகாட்டிகளைப் பயன்படுத்தி ஃபிஷிங் இணைப்புகளைக் கண்டறிகிறது. எடுத்துக்காட்டாக, PT NAD இடைமுகத்தில், ஃபிஷிங் முகவரிகளின் (ஃபிஷிங்-url) பட்டியலில் உள்ள இணைப்பின் மூலம் HTTP இணைப்பு இருந்த ஒரு அமர்வைக் காண்கிறோம்.
compromise phishing-urlகளின் குறிகாட்டிகளின் பட்டியலிலிருந்து இணைப்பு வழியாக இணைப்பு
6. : நம்பகமான உறவு
பாதிக்கப்பட்டவர் நம்பகமான உறவை ஏற்படுத்திய மூன்றாம் தரப்பினர் மூலம் பாதிக்கப்பட்டவரின் நெட்வொர்க்கிற்கான அணுகல். தாக்குபவர்கள் நம்பகமான நிறுவனத்தை ஹேக் செய்து அதன் மூலம் இலக்கு நெட்வொர்க்குடன் இணைக்க முடியும். இதைச் செய்ய, அவர்கள் VPN இணைப்புகள் அல்லது டொமைன் அறக்கட்டளைகளைப் பயன்படுத்துகின்றனர், அவை போக்குவரத்து பகுப்பாய்வு மூலம் அடையாளம் காணப்படலாம்.
PT NAD என்ன செய்கிறது?: பயன்பாட்டு நெறிமுறைகளை அலசுகிறது மற்றும் பாகுபடுத்தப்பட்ட புலங்களை தரவுத்தளத்தில் சேமிக்கிறது, இதனால் தகவல் பாதுகாப்பு ஆய்வாளர் வடிப்பான்களைப் பயன்படுத்தி அனைத்து சந்தேகத்திற்கிடமான VPN இணைப்புகள் அல்லது தரவுத்தளத்தில் உள்ள குறுக்கு டொமைன் இணைப்புகளைக் கண்டறிய முடியும்.
7. : செல்லுபடியாகும் கணக்குகள்
வெளிப்புற மற்றும் உள் சேவைகளுக்கான அங்கீகாரத்திற்காக நிலையான, உள்ளூர் அல்லது டொமைன் நற்சான்றிதழ்களைப் பயன்படுத்துதல்.
PT NAD என்ன செய்கிறது?: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos நெறிமுறைகளிலிருந்து நற்சான்றிதழ்களைத் தானாகப் பெறுகிறது. பொதுவாக, இது உள்நுழைவு, கடவுச்சொல் மற்றும் வெற்றிகரமான அங்கீகாரத்தின் அடையாளம். அவை பயன்படுத்தப்பட்டிருந்தால், அவை தொடர்புடைய அமர்வு அட்டையில் காட்டப்படும்.
மரணதண்டனை
சமரசம் செய்யப்பட்ட கணினிகளில் குறியீட்டை செயல்படுத்த தாக்குபவர்கள் பயன்படுத்தும் நுட்பங்கள் செயல்படுத்தல் தந்திரங்களில் அடங்கும். தீங்கிழைக்கும் குறியீட்டை இயக்குவது, தாக்குதல் நடத்துபவர்களுக்கு ஒரு இருப்பை (தொடர்ச்சியான தந்திரம்) நிறுவ உதவுகிறது மற்றும் சுற்றளவுக்குள் நகர்வதன் மூலம் நெட்வொர்க்கில் உள்ள தொலைநிலை அமைப்புகளுக்கான அணுகலை விரிவுபடுத்துகிறது.
தீங்கிழைக்கும் குறியீட்டை இயக்க தாக்குபவர்கள் பயன்படுத்தும் 14 நுட்பங்களைப் பயன்படுத்துவதைக் கண்டறிய PT NAD உங்களை அனுமதிக்கிறது.
1. : CMSTP (மைக்ரோசாப்ட் இணைப்பு மேலாளர் சுயவிவர நிறுவி)
உள்ளமைக்கப்பட்ட Windows பயன்பாட்டிற்கான CMSTP.exe (இணைப்பு மேலாளர் சுயவிவர நிறுவி) க்காக தாக்குபவர்கள் ஒரு சிறப்பு தீங்கிழைக்கும் நிறுவல் INF கோப்பைத் தயாரிக்கும் ஒரு தந்திரம். CMSTP.exe கோப்பை ஒரு அளவுருவாக எடுத்து தொலை இணைப்புக்கான சேவை சுயவிவரத்தை நிறுவுகிறது. இதன் விளைவாக, CMSTP.exe ஆனது தொலைநிலை சேவையகங்களில் இருந்து டைனமிக் இணைப்பு நூலகங்கள் (*.dll) அல்லது ஸ்கிரிப்ட்லெட்டுகளை (*.sct) ஏற்ற மற்றும் செயல்படுத்த பயன்படுகிறது.
PT NAD என்ன செய்கிறது?: HTTP டிராஃபிக்கில் உள்ள சிறப்பு வகை INF கோப்புகளின் பரிமாற்றத்தை தானாகவே கண்டறியும். இது தவிர, தொலைநிலை சேவையகத்திலிருந்து தீங்கிழைக்கும் ஸ்கிரிப்ட்லெட்டுகள் மற்றும் டைனமிக் இணைப்பு நூலகங்களின் HTTP பரிமாற்றத்தை இது கண்டறிகிறது.
2. : கட்டளை வரி இடைமுகம்
கட்டளை வரி இடைமுகத்துடன் தொடர்பு. கட்டளை வரி இடைமுகத்தை உள்நாட்டில் அல்லது தொலைவில் தொடர்பு கொள்ளலாம், எடுத்துக்காட்டாக தொலைநிலை அணுகல் பயன்பாடுகளைப் பயன்படுத்தி.
PT NAD என்ன செய்கிறது?: ping, ifconfig போன்ற பல்வேறு கட்டளை வரி பயன்பாடுகளைத் தொடங்க கட்டளைகளுக்கான பதில்களின் அடிப்படையில் ஷெல்களின் இருப்பை தானாகவே கண்டறியும்.
3. : கூறு பொருள் மாதிரி மற்றும் விநியோகிக்கப்பட்ட COM
நெட்வொர்க்கில் நகரும் போது உள்ளூர் அல்லது தொலை கணினிகளில் குறியீட்டை இயக்க COM அல்லது DCOM தொழில்நுட்பங்களைப் பயன்படுத்துதல்.
PT NAD என்ன செய்கிறது?: சந்தேகத்திற்கிடமான DCOM அழைப்புகளைத் தாக்குபவர்கள் பொதுவாக நிரல்களைத் தொடங்கப் பயன்படுத்தும்.
4. : கிளையண்ட் செயல்பாட்டிற்கான சுரண்டல்
ஒரு பணிநிலையத்தில் தன்னிச்சையான குறியீட்டை இயக்க, பாதிப்புகளைப் பயன்படுத்துதல். தாக்குபவர்களுக்கு மிகவும் பயனுள்ள சுரண்டல்கள் ரிமோட் சிஸ்டத்தில் குறியீட்டை செயல்படுத்த அனுமதிக்கின்றன, ஏனெனில் தாக்குபவர்கள் அந்த அமைப்பை அணுக அனுமதிக்கலாம். இந்த நுட்பத்தை பின்வரும் முறைகளைப் பயன்படுத்தி செயல்படுத்தலாம்: தீங்கிழைக்கும் அஞ்சல், உலாவியின் சுரண்டல்கள் கொண்ட இணையதளம் மற்றும் பயன்பாட்டு பாதிப்புகளை தொலை சுரண்டல்.
PT NAD என்ன செய்கிறது?: அஞ்சல் போக்குவரத்தை பாகுபடுத்தும் போது, இணைப்புகளில் இயங்கக்கூடிய கோப்புகள் உள்ளதா என PT NAD சரிபார்க்கிறது. சுரண்டல்களைக் கொண்ட மின்னஞ்சல்களிலிருந்து அலுவலக ஆவணங்களைத் தானாகப் பிரித்தெடுக்கிறது. பாதிப்புகளைப் பயன்படுத்துவதற்கான முயற்சிகள் போக்குவரத்தில் தெரியும், இது PT NAD தானாகவே கண்டறியும்.
5. : mshta
.hta நீட்டிப்புடன் Microsoft HTML பயன்பாடுகளை (HTA) இயக்கும் mshta.exe பயன்பாட்டைப் பயன்படுத்தவும். உலாவி பாதுகாப்பு அமைப்புகளைத் தவிர்த்து கோப்புகளை mshta செயலாக்குவதால், தீங்கிழைக்கும் HTA, JavaScript அல்லது VBScript கோப்புகளை இயக்க தாக்குபவர்கள் mshta.exe ஐப் பயன்படுத்தலாம்.
PT NAD என்ன செய்கிறது?: .hta கோப்புகள் mshta வழியாக செயல்படுத்தப்படுவதற்கும் பிணையத்தில் அனுப்பப்படுகின்றன - இது போக்குவரத்தில் காணப்படலாம். இத்தகைய தீங்கிழைக்கும் கோப்புகளின் பரிமாற்றத்தை PT NAD தானாகவே கண்டறியும். இது கோப்புகளைப் பிடிக்கிறது, மேலும் அவை பற்றிய தகவல்களை அமர்வு அட்டையில் பார்க்கலாம்.
6. : பவர்ஷெல்
பவர்ஷெல் மூலம் தகவலைக் கண்டறிந்து தீங்கிழைக்கும் குறியீட்டை இயக்கவும்.
PT NAD என்ன செய்கிறது?: பவர்ஷெல் ரிமோட் அட்டாக்கர்களால் பயன்படுத்தப்படும்போது, விதிகளைப் பயன்படுத்தி PT NAD இதைக் கண்டறியும். தீங்கிழைக்கும் ஸ்கிரிப்ட்களில் பெரும்பாலும் பயன்படுத்தப்படும் பவர்ஷெல் மொழி முக்கிய வார்த்தைகளையும் SMB நெறிமுறையில் பவர்ஷெல் ஸ்கிரிப்ட்களின் பரிமாற்றத்தையும் இது கண்டறிகிறது.
7. : திட்டமிடப்பட்ட பணி
குறிப்பிட்ட நேரங்களில் நிரல்கள் அல்லது ஸ்கிரிப்ட்களை தானாக இயக்க Windows Task Scheduler மற்றும் பிற பயன்பாடுகளைப் பயன்படுத்துதல்.
PT NAD என்ன செய்கிறது?: தாக்குதல் நடத்துபவர்கள் பொதுவாக தொலைதூரத்தில் இத்தகைய பணிகளை உருவாக்குகிறார்கள், அதாவது இதுபோன்ற அமர்வுகள் போக்குவரத்தில் தெரியும். ATSVC மற்றும் ITaskSchedulerService RPC இடைமுகங்களைப் பயன்படுத்தி சந்தேகத்திற்கிடமான பணி உருவாக்கம் மற்றும் மாற்றியமைக்கும் செயல்பாடுகளை PT NAD தானாகவே கண்டறியும்.
8. : ஸ்கிரிப்டிங்
தாக்குபவர்களின் பல்வேறு செயல்களை தானியக்கமாக்க ஸ்கிரிப்ட்களை செயல்படுத்துதல்.
PT NAD என்ன செய்கிறது?: நெட்வொர்க்கில் ஸ்கிரிப்ட்களின் பரிமாற்றத்தைக் கண்டறிகிறது, அதாவது அவை தொடங்கப்படுவதற்கு முன்பே. இது ரா டிராஃபிக்கில் உள்ள ஸ்கிரிப்ட் உள்ளடக்கத்தைக் கண்டறிந்து, பிரபலமான ஸ்கிரிப்டிங் மொழிகளுடன் தொடர்புடைய நீட்டிப்புகளுடன் கோப்புகளின் நெட்வொர்க் டிரான்ஸ்மிஷனைக் கண்டறியும்.
9. : சேவை செயல்படுத்தல்
சர்வீஸ் கண்ட்ரோல் மேனேஜர் (SCM) போன்ற Windows சேவைகளுடன் தொடர்புகொள்வதன் மூலம் இயங்கக்கூடிய கோப்பு, கட்டளை வரி இடைமுக வழிமுறைகள் அல்லது ஸ்கிரிப்டை இயக்கவும்.
PT NAD என்ன செய்கிறது?: SMB போக்குவரத்தை ஆய்வு செய்கிறது மற்றும் சேவையை உருவாக்குதல், மாற்றுதல் மற்றும் தொடங்குவதற்கான விதிகளுடன் SCMக்கான அணுகலைக் கண்டறியும்.
ரிமோட் கமாண்ட் எக்ஸிகியூஷன் யூட்டிலிட்டியான PSExec ஐப் பயன்படுத்தி சேவை தொடக்க நுட்பத்தை செயல்படுத்தலாம். PT NAD ஆனது SMB நெறிமுறையை பகுப்பாய்வு செய்து, தொலை கணினியில் குறியீட்டை இயக்க PSEXESVC.exe கோப்பு அல்லது நிலையான PSEXECSVC சேவைப் பெயரைப் பயன்படுத்தும் போது PSExec இன் பயன்பாட்டைக் கண்டறியும். பயனர் செயல்படுத்தப்பட்ட கட்டளைகளின் பட்டியலையும், ஹோஸ்டில் இருந்து ரிமோட் கமாண்ட் எக்ஸிகியூஷனின் சட்டபூர்வமான தன்மையையும் சரிபார்க்க வேண்டும்.
PT NAD இல் உள்ள தாக்குதல் அட்டை, ATT&CK மேட்ரிக்ஸின் படி பயன்படுத்தப்படும் தந்திரோபாயங்கள் மற்றும் நுட்பங்களைப் பற்றிய தரவைக் காட்டுகிறது, இதனால் தாக்குபவர்கள் தாக்குதலின் எந்த கட்டத்தில் இருக்கிறார்கள், அவர்கள் என்ன இலக்குகளை பின்பற்றுகிறார்கள் மற்றும் என்ன ஈடுசெய்யும் நடவடிக்கைகளை எடுக்க வேண்டும் என்பதை பயனர் புரிந்து கொள்ள முடியும்.
PSExec பயன்பாட்டைப் பயன்படுத்துவதற்கான விதி தூண்டப்பட்டது, இது தொலை கணினியில் கட்டளைகளை இயக்கும் முயற்சியைக் குறிக்கலாம்.
10. : மூன்றாம் தரப்பு மென்பொருள்
தாக்குபவர்கள் ரிமோட் அட்மினிஸ்ட்ரேஷன் மென்பொருள் அல்லது கார்ப்பரேட் மென்பொருள் வரிசைப்படுத்தல் அமைப்புக்கான அணுகலைப் பெற்று, தீங்கிழைக்கும் குறியீட்டை இயக்க அதைப் பயன்படுத்தும் நுட்பம். அத்தகைய மென்பொருளின் எடுத்துக்காட்டுகள்: SCCM, VNC, TeamViewer, HBSS, Altiris.
மூலம், தொலைதூர வேலைக்கு பாரிய மாற்றம் தொடர்பாக நுட்பம் குறிப்பாக பொருத்தமானது, இதன் விளைவாக, சந்தேகத்திற்குரிய தொலைநிலை அணுகல் சேனல்கள் மூலம் ஏராளமான பாதுகாப்பற்ற வீட்டு சாதனங்களை இணைப்பது.
PT NAD என்ன செய்கிறது?: நெட்வொர்க்கில் அத்தகைய மென்பொருளின் செயல்பாட்டை தானாகவே கண்டறியும். எடுத்துக்காட்டாக, விதிகள் VNC நெறிமுறை மற்றும் EvilVNC ட்ரோஜனின் செயல்பாட்டின் மூலம் இணைப்புகளால் தூண்டப்படுகின்றன, இது பாதிக்கப்பட்டவரின் ஹோஸ்டில் VNC சேவையகத்தை ரகசியமாக நிறுவுகிறது மற்றும் தானாகவே அதைத் துவக்குகிறது. மேலும், PT NAD தானாகவே TeamViewer நெறிமுறையைக் கண்டறிகிறது, இது ஒரு வடிப்பானைப் பயன்படுத்தி, அத்தகைய அமர்வுகள் அனைத்தையும் கண்டறிந்து அவற்றின் நியாயத்தன்மையை சரிபார்க்க ஆய்வாளருக்கு உதவுகிறது.
11. : பயனர் செயல்படுத்தல்
குறியீடு செயல்படுத்துவதற்கு வழிவகுக்கும் கோப்புகளை பயனர் இயக்கும் ஒரு நுட்பம். உதாரணமாக, அவர் இயங்கக்கூடிய கோப்பைத் திறந்தால் அல்லது மேக்ரோவுடன் அலுவலக ஆவணத்தை இயக்கினால் இது இருக்கலாம்.
PT NAD என்ன செய்கிறது?: அத்தகைய கோப்புகள் தொடங்கப்படுவதற்கு முன், பரிமாற்ற கட்டத்தில் இருக்கும். அவற்றைப் பற்றிய தகவல்களை அவை அனுப்பப்பட்ட அமர்வுகளின் அட்டையில் படிக்கலாம்.
12. :விண்டோஸ் மேனேஜ்மென்ட் இன்ஸ்ட்ரூமென்டேஷன்
விண்டோஸ் சிஸ்டம் கூறுகளுக்கு உள்ளூர் மற்றும் தொலைநிலை அணுகலை வழங்கும் WMI கருவியின் பயன்பாடு. WMI ஐப் பயன்படுத்தி, தாக்குபவர்கள் உள்ளூர் மற்றும் தொலைநிலை அமைப்புகளுடன் தொடர்பு கொள்ளலாம் மற்றும் உளவு நோக்கங்களுக்காக தகவல்களைச் சேகரிப்பது மற்றும் பக்கவாட்டாக நகரும் போது தொலைவிலிருந்து செயல்முறைகளைத் தொடங்குவது போன்ற பல்வேறு பணிகளைச் செய்யலாம்.
PT NAD என்ன செய்கிறது?: டபிள்யூஎம்ஐ வழியாக ரிமோட் சிஸ்டம்களுடனான இடைவினைகள் போக்குவரத்தில் தெரியும் என்பதால், டபிள்யூஎம்ஐ அமர்வுகளை நிறுவுவதற்கான நெட்வொர்க் கோரிக்கைகளை PT NAD தானாகவே கண்டறிந்து, WMIஐப் பயன்படுத்தும் ஸ்கிரிப்ட்களுக்கான போக்குவரத்தைச் சரிபார்க்கிறது.
13. : விண்டோஸ் ரிமோட் மேனேஜ்மென்ட்
விண்டோஸ் சேவை மற்றும் நெறிமுறையைப் பயன்படுத்துதல், பயனர் தொலைநிலை அமைப்புகளுடன் தொடர்பு கொள்ள அனுமதிக்கும்.
PT NAD என்ன செய்கிறது?: விண்டோஸ் ரிமோட் மேனேஜ்மென்ட்டைப் பயன்படுத்தி நிறுவப்பட்ட பிணைய இணைப்புகளைப் பார்க்கிறது. இத்தகைய அமர்வுகள் விதிகளால் தானாகவே கண்டறியப்படும்.
14. : XSL (Extensible Stylesheet Language) ஸ்கிரிப்ட் செயலாக்கம்
எக்ஸ்எம்எல் கோப்புகளில் தரவின் செயலாக்கம் மற்றும் காட்சிப்படுத்தலை விவரிக்க XSL பாணி மார்க்அப் மொழி பயன்படுத்தப்படுகிறது. சிக்கலான செயல்பாடுகளை ஆதரிக்க, XSL தரநிலையானது பல்வேறு மொழிகளில் உட்பொதிக்கப்பட்ட ஸ்கிரிப்டுகளுக்கான ஆதரவை உள்ளடக்கியது. இந்த மொழிகள் தன்னிச்சையான குறியீட்டை செயல்படுத்த அனுமதிக்கின்றன, இது வெள்ளை பட்டியல்களின் அடிப்படையில் பாதுகாப்பு கொள்கைகளை புறக்கணிக்க வழிவகுக்கிறது.
PT NAD என்ன செய்கிறது?: நெட்வொர்க்கில் அத்தகைய கோப்புகளின் பரிமாற்றத்தைக் கண்டறிகிறது, அதாவது அவை தொடங்கப்படுவதற்கு முன்பே. நெட்வொர்க்கில் அனுப்பப்படும் XSL கோப்புகள் மற்றும் அசாதாரண XSL மார்க்அப் உள்ள கோப்புகளை இது தானாகவே கண்டறியும்.
பின்வரும் பொருட்களில், MITER ATT&CKக்கு இணங்க PT Network Attack Discovery NTA அமைப்பு மற்ற தாக்குபவர் உத்திகள் மற்றும் நுட்பங்களை எவ்வாறு கண்டறிகிறது என்பதைப் பார்ப்போம். காத்திருங்கள்!
ஆசிரியர்கள்:
- Anton Kutepov, PT நிபுணர் பாதுகாப்பு மையத்தில் நிபுணர், நேர்மறை தொழில்நுட்பங்கள்
- நடாலியா கசான்கோவா, பாசிட்டிவ் டெக்னாலஜிஸ் தயாரிப்பு விற்பனையாளர்
ஆதாரம்: www.habr.com