ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > PT నెట్వర్క్ అటాక్ డిస్కవరీ ఉదాహరణను ఉపయోగించి MITER ATT&CK ద్వారా ట్రాఫిక్ విశ్లేషణ వ్యవస్థలు హ్యాకర్ వ్యూహాలను ఎలా గుర్తిస్తాయి
PT నెట్వర్క్ అటాక్ డిస్కవరీ ఉదాహరణను ఉపయోగించి MITER ATT&CK ద్వారా ట్రాఫిక్ విశ్లేషణ వ్యవస్థలు హ్యాకర్ వ్యూహాలను ఎలా గుర్తిస్తాయి
వెరిజోన్ ప్రకారం, మెజారిటీ (87%) సమాచార భద్రతా సంఘటనలు నిమిషాల వ్యవధిలో జరుగుతాయి మరియు 68% కంపెనీలకు వాటిని గుర్తించడానికి నెలల సమయం పడుతుంది. ఇది ధృవీకరించబడింది పోనెమాన్ ఇన్స్టిట్యూట్ పరిశోధన, దీని ప్రకారం ఒక సంఘటనను గుర్తించడానికి చాలా సంస్థలకు సగటున 206 రోజులు పడుతుంది. మా పరిశోధనల అనుభవం ఆధారంగా, హ్యాకర్లు కంపెనీ ఇన్ఫ్రాస్ట్రక్చర్ని గుర్తించకుండా సంవత్సరాల తరబడి నియంత్రించగలరు. ఈ విధంగా, మా నిపుణులు సమాచార భద్రతా సంఘటనను పరిశోధించిన సంస్థల్లో ఒకదానిలో, హ్యాకర్లు సంస్థ యొక్క మొత్తం మౌలిక సదుపాయాలను పూర్తిగా నియంత్రిస్తున్నారని మరియు ముఖ్యమైన సమాచారాన్ని క్రమం తప్పకుండా దొంగిలించారని వెల్లడైంది. ఎనిమిది సంవత్సరాలు.
మీరు ఇప్పటికే లాగ్లను సేకరించి ఈవెంట్లను విశ్లేషించే SIEMని కలిగి ఉన్నారని అనుకుందాం మరియు ముగింపు నోడ్లలో యాంటీవైరస్ సాఫ్ట్వేర్ ఇన్స్టాల్ చేయబడింది. అయినప్పటికీ, SIEM ఉపయోగించి ప్రతిదీ కనుగొనబడదు, మొత్తం నెట్వర్క్ అంతటా EDR సిస్టమ్లను అమలు చేయడం అసాధ్యం అయినట్లే, అంటే "బ్లైండ్" స్పాట్లను నివారించలేము. నెట్వర్క్ ట్రాఫిక్ విశ్లేషణ (NTA) వ్యవస్థలు వాటిని ఎదుర్కోవటానికి సహాయపడతాయి. ఈ పరిష్కారాలు నెట్వర్క్ చొచ్చుకుపోయే ప్రారంభ దశలలో దాడి చేసేవారి కార్యాచరణను గుర్తిస్తాయి, అలాగే నెట్వర్క్లో పట్టు సాధించడానికి మరియు దాడిని అభివృద్ధి చేయడానికి ప్రయత్నించినప్పుడు.
రెండు రకాల NTAలు ఉన్నాయి: కొన్ని నెట్ఫ్లోతో పని చేస్తాయి, మరికొన్ని రా ట్రాఫిక్ను విశ్లేషిస్తాయి. రెండవ వ్యవస్థల ప్రయోజనం ఏమిటంటే అవి ముడి ట్రాఫిక్ రికార్డులను నిల్వ చేయగలవు. దీనికి ధన్యవాదాలు, సమాచార భద్రతా నిపుణుడు దాడి యొక్క విజయాన్ని ధృవీకరించవచ్చు, ముప్పును స్థానికీకరించవచ్చు, దాడి ఎలా జరిగిందో అర్థం చేసుకోవచ్చు మరియు భవిష్యత్తులో ఇలాంటి వాటిని ఎలా నిరోధించాలో అర్థం చేసుకోవచ్చు.
NTAని ఉపయోగించి మీరు నాలెడ్జ్ బేస్లో వివరించిన అన్ని తెలిసిన దాడి వ్యూహాలను గుర్తించడానికి ప్రత్యక్ష లేదా పరోక్ష సాక్ష్యాలను ఎలా ఉపయోగించవచ్చో మేము చూపుతాము MITER ATT&CK. మేము ప్రతి 12 వ్యూహాల గురించి మాట్లాడుతాము, ట్రాఫిక్ ద్వారా కనుగొనబడిన సాంకేతికతలను విశ్లేషిస్తాము మరియు మా NTA సిస్టమ్ని ఉపయోగించి వాటి గుర్తింపును ప్రదర్శిస్తాము.
ATT&CK నాలెడ్జ్ బేస్ గురించి
MITER ATT&CK అనేది వాస్తవ-ప్రపంచ APTల విశ్లేషణ ఆధారంగా MITER కార్పొరేషన్ ద్వారా అభివృద్ధి చేయబడి మరియు నిర్వహించబడే పబ్లిక్ నాలెడ్జ్ బేస్. ఇది దాడి చేసేవారు ఉపయోగించే వ్యూహాలు మరియు సాంకేతికతల యొక్క నిర్మాణాత్మక సెట్. ఇది ప్రపంచవ్యాప్తంగా ఉన్న సమాచార భద్రతా నిపుణులు ఒకే భాషలో మాట్లాడటానికి అనుమతిస్తుంది. డేటాబేస్ నిరంతరం విస్తరిస్తోంది మరియు కొత్త జ్ఞానంతో అనుబంధంగా ఉంటుంది.
డేటాబేస్ 12 వ్యూహాలను గుర్తిస్తుంది, వీటిని సైబర్ దాడి దశల వారీగా విభజించారు:
ప్రారంభ యాక్సెస్;
అమలు;
ఏకీకరణ (పట్టుదల);
ప్రత్యేక హక్కు పెరుగుదల;
గుర్తింపును నిరోధించడం (రక్షణ ఎగవేత);
ఆధారాలను పొందడం (క్రెడెన్షియల్ యాక్సెస్);
అన్వేషణ;
చుట్టుకొలత లోపల కదలిక (పార్శ్వ కదలిక);
సమాచార సేకరణ (సేకరణ);
ఆదేశం మరియు నియంత్రణ;
డేటా ఎక్స్ఫిల్ట్రేషన్;
ప్రభావం.
ప్రతి వ్యూహం కోసం, ATT&CK నాలెడ్జ్ బేస్ దాడి యొక్క ప్రస్తుత దశలో దాడి చేసేవారికి వారి లక్ష్యాన్ని సాధించడంలో సహాయపడే పద్ధతుల జాబితాను జాబితా చేస్తుంది. ఒకే సాంకేతికతను వివిధ దశలలో ఉపయోగించవచ్చు కాబట్టి, ఇది అనేక వ్యూహాలను సూచించవచ్చు.
ప్రతి టెక్నిక్ యొక్క వివరణ వీటిని కలిగి ఉంటుంది:
ఐడెంటిఫైయర్;
ఇది ఉపయోగించే వ్యూహాల జాబితా;
APT సమూహాల ఉపయోగం యొక్క ఉదాహరణలు;
దాని ఉపయోగం నుండి నష్టాన్ని తగ్గించడానికి చర్యలు;
గుర్తింపు సిఫార్సులు.
సమాచార భద్రతా నిపుణులు ప్రస్తుత దాడి పద్ధతుల గురించి సమాచారాన్ని రూపొందించడానికి డేటాబేస్ నుండి జ్ఞానాన్ని ఉపయోగించవచ్చు మరియు దీనిని పరిగణనలోకి తీసుకుని, సమర్థవంతమైన భద్రతా వ్యవస్థను రూపొందించవచ్చు. నిజమైన APT సమూహాలు ఎలా పనిచేస్తాయో అర్థం చేసుకోవడం కూడా లోపల బెదిరింపుల కోసం ముందస్తుగా శోధించడానికి పరికల్పనలకు మూలంగా మారుతుంది. బెదిరింపు వేట.
PT నెట్వర్క్ అటాక్ డిస్కవరీ గురించి
మేము సిస్టమ్ని ఉపయోగించి ATT&CK మ్యాట్రిక్స్ నుండి టెక్నిక్ల వినియోగాన్ని గుర్తిస్తాము PT నెట్వర్క్ అటాక్ డిస్కవరీ — పాజిటివ్ టెక్నాలజీస్ NTA సిస్టమ్, చుట్టుకొలత మరియు నెట్వర్క్ లోపల దాడులను గుర్తించడానికి రూపొందించబడింది. PT NAD వివిధ స్థాయిలలో, MITER ATT&CK మ్యాట్రిక్స్ యొక్క అన్ని 12 వ్యూహాలను కవర్ చేస్తుంది. ప్రారంభ ప్రాప్యత, పార్శ్వ కదలిక మరియు కమాండ్ మరియు నియంత్రణ కోసం సాంకేతికతలను గుర్తించడంలో అతను అత్యంత శక్తివంతమైనవాడు. వాటిలో, PT NAD ప్రత్యక్షంగా లేదా పరోక్ష సంకేతాల ద్వారా వాటి అప్లికేషన్ను గుర్తించి, తెలిసిన పద్ధతుల్లో సగానికి పైగా కవర్ చేస్తుంది.
బృందం రూపొందించిన గుర్తింపు నియమాలను ఉపయోగించి సిస్టమ్ ATT&CK పద్ధతులను ఉపయోగించి దాడులను గుర్తిస్తుంది PT నిపుణుల భద్రతా కేంద్రం (PT ESC), మెషిన్ లెర్నింగ్, రాజీ సూచికలు, లోతైన విశ్లేషణలు మరియు పునరాలోచన విశ్లేషణ. రియల్ టైమ్ ట్రాఫిక్ విశ్లేషణ రెట్రోస్పెక్టివ్తో కలిపి మీరు ప్రస్తుత దాచిన హానికరమైన కార్యాచరణను గుర్తించడానికి మరియు అభివృద్ధి వెక్టర్లను మరియు దాడుల కాలక్రమాన్ని ట్రాక్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
ఇక్కడ PT NAD నుండి MITER ATT&CK మ్యాట్రిక్స్కు పూర్తి మ్యాపింగ్. చిత్రం పెద్దది, కాబట్టి మీరు దీన్ని ప్రత్యేక విండోలో చూడాలని మేము సూచిస్తున్నాము.
ప్రారంభ యాక్సెస్
ప్రారంభ యాక్సెస్ వ్యూహాలలో కంపెనీ నెట్వర్క్లోకి చొచ్చుకుపోయే సాంకేతికతలు ఉంటాయి. ఈ దశలో దాడి చేసేవారి లక్ష్యం దాడి చేయబడిన సిస్టమ్కు హానికరమైన కోడ్ను అందించడం మరియు దాని తదుపరి అమలు యొక్క అవకాశాన్ని నిర్ధారించడం.
PT NAD నుండి ట్రాఫిక్ విశ్లేషణ ప్రారంభ ప్రాప్యతను పొందేందుకు ఏడు పద్ధతులను వెల్లడిస్తుంది:
వెబ్ బ్రౌజర్ను దోపిడీ చేయడానికి మరియు అప్లికేషన్ యాక్సెస్ టోకెన్లను పొందేందుకు దాడి చేసేవారు ఉపయోగించే వెబ్సైట్ను బాధితుడు తెరిచే సాంకేతికత.
PT NAD ఏమి చేస్తుంది?: వెబ్ ట్రాఫిక్ గుప్తీకరించబడకపోతే, PT NAD HTTP సర్వర్ ప్రతిస్పందనల కంటెంట్ను తనిఖీ చేస్తుంది. ఈ ప్రతిస్పందనలు బ్రౌజర్ లోపల ఏకపక్ష కోడ్ని అమలు చేయడానికి దాడి చేసేవారిని అనుమతించే దోపిడీలను కలిగి ఉంటాయి. గుర్తింపు నియమాలను ఉపయోగించి PT NAD స్వయంచాలకంగా ఇటువంటి దోపిడీలను గుర్తిస్తుంది.
అదనంగా, PT NAD మునుపటి దశలో ముప్పును గుర్తిస్తుంది. వినియోగదారు ఒక సైట్ను సందర్శించినట్లయితే, అతనిని దోపిడీల సమూహానికి దారి మళ్లించినట్లయితే, రాజీ యొక్క నియమాలు మరియు సూచికలు ప్రేరేపించబడతాయి.
ఇంటర్నెట్ నుండి అందుబాటులో ఉండే సేవల్లోని దుర్బలత్వాల దోపిడీ.
PT NAD ఏమి చేస్తుంది?: నెట్వర్క్ ప్యాకెట్ల కంటెంట్ల యొక్క లోతైన తనిఖీని నిర్వహిస్తుంది, క్రమరహిత కార్యాచరణ సంకేతాలను గుర్తించడం. ప్రత్యేకించి, ప్రధాన కంటెంట్ మేనేజ్మెంట్ సిస్టమ్లు (CMS), నెట్వర్క్ పరికరాల వెబ్ ఇంటర్ఫేస్లు మరియు మెయిల్ మరియు FTP సర్వర్లపై దాడులను గుర్తించడానికి మిమ్మల్ని అనుమతించే నియమాలు ఉన్నాయి.
బయటి నుండి అంతర్గత నెట్వర్క్ వనరులకు కనెక్ట్ చేయడానికి దాడి చేసేవారు రిమోట్ యాక్సెస్ సేవలను ఉపయోగిస్తారు.
PT NAD ఏమి చేస్తుంది?: సిస్టమ్ ప్రోటోకాల్లను పోర్ట్ నంబర్ల ద్వారా కాకుండా ప్యాకెట్ల కంటెంట్ల ద్వారా గుర్తిస్తుంది కాబట్టి, సిస్టమ్ వినియోగదారులు రిమోట్ యాక్సెస్ ప్రోటోకాల్ల యొక్క అన్ని సెషన్లను కనుగొనడానికి మరియు వాటి చట్టబద్ధతను తనిఖీ చేయడానికి ట్రాఫిక్ను ఫిల్టర్ చేయవచ్చు.
మేము ఫిషింగ్ జోడింపులను అపఖ్యాతి పాలైన పంపడం గురించి మాట్లాడుతున్నాము.
PT NAD ఏమి చేస్తుంది?: ట్రాఫిక్ నుండి ఫైల్లను స్వయంచాలకంగా సంగ్రహిస్తుంది మరియు రాజీ సూచికలకు వ్యతిరేకంగా వాటిని తనిఖీ చేస్తుంది. అటాచ్మెంట్లలోని ఎక్జిక్యూటబుల్ ఫైల్లు మెయిల్ ట్రాఫిక్ కంటెంట్ను విశ్లేషించే నియమాల ద్వారా గుర్తించబడతాయి. కార్పొరేట్ వాతావరణంలో, అటువంటి పెట్టుబడి అసాధారణమైనదిగా పరిగణించబడుతుంది.
ఫిషింగ్ లింక్లను ఉపయోగించడం. టెక్నిక్లో దాడి చేసేవారు లింక్తో ఫిషింగ్ ఇమెయిల్ను పంపుతారు, అది క్లిక్ చేసినప్పుడు, హానికరమైన ప్రోగ్రామ్ను డౌన్లోడ్ చేస్తుంది. నియమం ప్రకారం, లింక్ సోషల్ ఇంజనీరింగ్ యొక్క అన్ని నియమాలకు అనుగుణంగా సంకలనం చేయబడిన టెక్స్ట్తో కూడి ఉంటుంది.
PT NAD ఏమి చేస్తుంది?: రాజీ సూచికలను ఉపయోగించి ఫిషింగ్ లింక్లను గుర్తిస్తుంది. ఉదాహరణకు, PT NAD ఇంటర్ఫేస్లో ఫిషింగ్ చిరునామాల (ఫిషింగ్-url) జాబితాలో చేర్చబడిన లింక్ ద్వారా HTTP కనెక్షన్ ఉన్న సెషన్ను మనం చూస్తాము.
రాజీ ఫిషింగ్-urlల సూచికల జాబితా నుండి లింక్ ద్వారా కనెక్షన్
బాధితుడు విశ్వసనీయ సంబంధాన్ని ఏర్పరచుకున్న మూడవ పక్షాల ద్వారా బాధితుడి నెట్వర్క్కు యాక్సెస్. దాడి చేసేవారు విశ్వసనీయ సంస్థను హ్యాక్ చేయవచ్చు మరియు దాని ద్వారా లక్ష్య నెట్వర్క్కి కనెక్ట్ చేయవచ్చు. దీన్ని చేయడానికి, వారు VPN కనెక్షన్లు లేదా డొమైన్ ట్రస్ట్లను ఉపయోగిస్తారు, వీటిని ట్రాఫిక్ విశ్లేషణ ద్వారా గుర్తించవచ్చు.
PT NAD ఏమి చేస్తుంది?: అప్లికేషన్ ప్రోటోకాల్లను అన్వయిస్తుంది మరియు అన్వయించిన ఫీల్డ్లను డేటాబేస్లో సేవ్ చేస్తుంది, తద్వారా సమాచార భద్రతా విశ్లేషకుడు డేటాబేస్లోని అన్ని అనుమానాస్పద VPN కనెక్షన్లు లేదా క్రాస్-డొమైన్ కనెక్షన్లను కనుగొనడానికి ఫిల్టర్లను ఉపయోగించవచ్చు.
బాహ్య మరియు అంతర్గత సేవలపై అధికారం కోసం ప్రామాణిక, స్థానిక లేదా డొమైన్ ఆధారాలను ఉపయోగించడం.
PT NAD ఏమి చేస్తుంది?: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos ప్రోటోకాల్ల నుండి స్వయంచాలకంగా ఆధారాలను తిరిగి పొందుతుంది. సాధారణంగా, ఇది లాగిన్, పాస్వర్డ్ మరియు విజయవంతమైన ప్రామాణీకరణకు సంకేతం. అవి ఉపయోగించబడితే, అవి సంబంధిత సెషన్ కార్డ్లో ప్రదర్శించబడతాయి.
అమలు
ఎగ్జిక్యూషన్ వ్యూహాలలో రాజీపడిన సిస్టమ్లలో కోడ్ని అమలు చేయడానికి దాడి చేసేవారు ఉపయోగించే సాంకేతికతలు ఉంటాయి. హానికరమైన కోడ్ని అమలు చేయడం వల్ల దాడి చేసేవారు ఉనికిని (పట్టుదల వ్యూహం) ఏర్పరచుకోవడంలో సహాయపడుతుంది మరియు చుట్టుకొలత లోపలికి వెళ్లడం ద్వారా నెట్వర్క్లోని రిమోట్ సిస్టమ్లకు యాక్సెస్ను విస్తరించవచ్చు.
హానికరమైన కోడ్ని అమలు చేయడానికి దాడి చేసేవారు ఉపయోగించే 14 టెక్నిక్ల వినియోగాన్ని గుర్తించడానికి PT NAD మిమ్మల్ని అనుమతిస్తుంది.
1. T1191: CMSTP (మైక్రోసాఫ్ట్ కనెక్షన్ మేనేజర్ ప్రొఫైల్ ఇన్స్టాలర్)
అంతర్నిర్మిత Windows యుటిలిటీ CMSTP.exe (కనెక్షన్ మేనేజర్ ప్రొఫైల్ ఇన్స్టాలర్) కోసం దాడి చేసేవారు ప్రత్యేక హానికరమైన ఇన్స్టాలేషన్ INF ఫైల్ను సిద్ధం చేసే వ్యూహం. CMSTP.exe ఫైల్ను పారామీటర్గా తీసుకుంటుంది మరియు రిమోట్ కనెక్షన్ కోసం సర్వీస్ ప్రొఫైల్ను ఇన్స్టాల్ చేస్తుంది. ఫలితంగా, CMSTP.exe రిమోట్ సర్వర్ల నుండి డైనమిక్ లింక్ లైబ్రరీలను (*.dll) లేదా స్క్రిప్ట్లెట్లను (*.sct) లోడ్ చేయడానికి మరియు అమలు చేయడానికి ఉపయోగించబడుతుంది.
PT NAD ఏమి చేస్తుంది?: HTTP ట్రాఫిక్లో ప్రత్యేక రకాల INF ఫైల్ల బదిలీని స్వయంచాలకంగా గుర్తిస్తుంది. దీనికి అదనంగా, ఇది రిమోట్ సర్వర్ నుండి హానికరమైన స్క్రిప్ట్లెట్లు మరియు డైనమిక్ లింక్ లైబ్రరీల HTTP ప్రసారాన్ని గుర్తిస్తుంది.
కమాండ్ లైన్ ఇంటర్ఫేస్తో పరస్పర చర్య. కమాండ్ లైన్ ఇంటర్ఫేస్ను స్థానికంగా లేదా రిమోట్గా ఇంటరాక్ట్ చేయవచ్చు, ఉదాహరణకు రిమోట్ యాక్సెస్ యుటిలిటీలను ఉపయోగించడం.
PT NAD ఏమి చేస్తుంది?: పింగ్, ifconfig వంటి వివిధ కమాండ్ లైన్ యుటిలిటీలను ప్రారంభించడానికి ఆదేశాలకు ప్రతిస్పందనల ఆధారంగా షెల్ల ఉనికిని స్వయంచాలకంగా గుర్తిస్తుంది.
3. T1175: కాంపోనెంట్ ఆబ్జెక్ట్ మోడల్ మరియు పంపిణీ చేయబడిన COM
నెట్వర్క్లో కదులుతున్నప్పుడు స్థానిక లేదా రిమోట్ సిస్టమ్లలో కోడ్ని అమలు చేయడానికి COM లేదా DCOM సాంకేతికతలను ఉపయోగించడం.
PT NAD ఏమి చేస్తుంది?: ప్రోగ్రామ్లను ప్రారంభించడానికి దాడి చేసేవారు సాధారణంగా ఉపయోగించే అనుమానాస్పద DCOM కాల్లను గుర్తిస్తుంది.
వర్క్స్టేషన్లో ఏకపక్ష కోడ్ని అమలు చేయడానికి దుర్బలత్వాలను ఉపయోగించడం. దాడి చేసేవారికి అత్యంత ఉపయోగకరమైన దోపిడీలు రిమోట్ సిస్టమ్లో కోడ్ని అమలు చేయడానికి అనుమతించేవి, ఎందుకంటే దాడి చేసేవారు ఆ సిస్టమ్కు యాక్సెస్ను పొందేందుకు అనుమతించగలరు. సాంకేతికతను క్రింది పద్ధతులను ఉపయోగించి అమలు చేయవచ్చు: హానికరమైన మెయిలింగ్, బ్రౌజర్ దోపిడీలతో కూడిన వెబ్సైట్ మరియు అప్లికేషన్ దుర్బలత్వాల రిమోట్ దోపిడీ.
PT NAD ఏమి చేస్తుంది?: మెయిల్ ట్రాఫిక్ను అన్వయించేటప్పుడు, అటాచ్మెంట్లలో ఎక్జిక్యూటబుల్ ఫైల్ల ఉనికిని PT NAD తనిఖీ చేస్తుంది. దోపిడీలను కలిగి ఉండే ఇమెయిల్ల నుండి కార్యాలయ పత్రాలను స్వయంచాలకంగా సంగ్రహిస్తుంది. ట్రాఫిక్లో దుర్బలత్వాన్ని ఉపయోగించుకునే ప్రయత్నాలు కనిపిస్తాయి, వీటిని PT NAD స్వయంచాలకంగా గుర్తిస్తుంది.
.hta పొడిగింపుతో Microsoft HTML అప్లికేషన్లను (HTA) అమలు చేసే mshta.exe యుటిలిటీని ఉపయోగించండి. mshta ఫైల్లను బ్రౌజర్ సెక్యూరిటీ సెట్టింగ్లను దాటవేసి ప్రాసెస్ చేస్తుంది కాబట్టి, దాడి చేసేవారు హానికరమైన HTA, JavaScript లేదా VBScript ఫైల్లను అమలు చేయడానికి mshta.exeని ఉపయోగించవచ్చు.
PT NAD ఏమి చేస్తుంది?: mshta ద్వారా అమలు చేయడానికి .hta ఫైల్లు కూడా నెట్వర్క్ ద్వారా ప్రసారం చేయబడతాయి - ఇది ట్రాఫిక్లో చూడవచ్చు. PT NAD అటువంటి హానికరమైన ఫైల్ల బదిలీని స్వయంచాలకంగా గుర్తిస్తుంది. ఇది ఫైల్లను సంగ్రహిస్తుంది మరియు వాటి గురించిన సమాచారాన్ని సెషన్ కార్డ్లో చూడవచ్చు.
సమాచారాన్ని కనుగొనడానికి మరియు హానికరమైన కోడ్ని అమలు చేయడానికి PowerShellని ఉపయోగించడం.
PT NAD ఏమి చేస్తుంది?: PowerShellని రిమోట్ దాడి చేసేవారు ఉపయోగించినప్పుడు, PT NAD దీన్ని నియమాలను ఉపయోగించి గుర్తిస్తుంది. ఇది చాలా తరచుగా హానికరమైన స్క్రిప్ట్లలో ఉపయోగించే పవర్షెల్ భాషా కీలకపదాలను మరియు SMB ప్రోటోకాల్ ద్వారా పవర్షెల్ స్క్రిప్ట్ల ప్రసారాన్ని గుర్తిస్తుంది.
7. T1053: షెడ్యూల్ చేయబడిన పని
నిర్దిష్ట సమయాల్లో ప్రోగ్రామ్లు లేదా స్క్రిప్ట్లను స్వయంచాలకంగా అమలు చేయడానికి Windows టాస్క్ షెడ్యూలర్ మరియు ఇతర యుటిలిటీలను ఉపయోగించడం.
PT NAD ఏమి చేస్తుంది?: దాడి చేసేవారు సాధారణంగా రిమోట్గా ఇటువంటి టాస్క్లను సృష్టిస్తారు, అంటే అలాంటి సెషన్లు ట్రాఫిక్లో కనిపిస్తాయి. PT NAD స్వయంచాలకంగా ATSVC మరియు ITaskSchedulerService RPC ఇంటర్ఫేస్లను ఉపయోగించి అనుమానాస్పద పని సృష్టి మరియు సవరణ కార్యకలాపాలను గుర్తిస్తుంది.
దాడి చేసేవారి వివిధ చర్యలను ఆటోమేట్ చేయడానికి స్క్రిప్ట్ల అమలు.
PT NAD ఏమి చేస్తుంది?: నెట్వర్క్ ద్వారా స్క్రిప్ట్ల ప్రసారాన్ని గుర్తిస్తుంది, అంటే అవి ప్రారంభించబడక ముందే. ఇది రా ట్రాఫిక్లో స్క్రిప్ట్ కంటెంట్ను గుర్తిస్తుంది మరియు జనాదరణ పొందిన స్క్రిప్టింగ్ భాషలకు సంబంధించిన పొడిగింపులతో ఫైల్ల నెట్వర్క్ ప్రసారాన్ని గుర్తిస్తుంది.
సర్వీస్ కంట్రోల్ మేనేజర్ (SCM) వంటి Windows సేవలతో పరస్పర చర్య చేయడం ద్వారా ఎక్జిక్యూటబుల్ ఫైల్, కమాండ్ లైన్ ఇంటర్ఫేస్ సూచనలు లేదా స్క్రిప్ట్ను అమలు చేయండి.
PT NAD ఏమి చేస్తుంది?: SMB ట్రాఫిక్ని తనిఖీ చేస్తుంది మరియు సేవను సృష్టించడం, మార్చడం మరియు ప్రారంభించడం కోసం నియమాలతో SCMకి యాక్సెస్ను గుర్తిస్తుంది.
సర్వీస్ స్టార్టప్ టెక్నిక్ని రిమోట్ కమాండ్ ఎగ్జిక్యూషన్ యుటిలిటీ PSExec ఉపయోగించి అమలు చేయవచ్చు. PT NAD SMB ప్రోటోకాల్ను విశ్లేషిస్తుంది మరియు రిమోట్ మెషీన్లో కోడ్ని అమలు చేయడానికి PSEXESVC.exe ఫైల్ లేదా ప్రామాణిక PSEXECSVC సర్వీస్ పేరును ఉపయోగించినప్పుడు PSExec వినియోగాన్ని గుర్తిస్తుంది. వినియోగదారు అమలు చేయబడిన ఆదేశాల జాబితాను మరియు హోస్ట్ నుండి రిమోట్ కమాండ్ అమలు యొక్క చట్టబద్ధతను తనిఖీ చేయాలి.
PT NADలోని అటాక్ కార్డ్ ATT&CK మ్యాట్రిక్స్ ప్రకారం ఉపయోగించే వ్యూహాలు మరియు టెక్నిక్లపై డేటాను ప్రదర్శిస్తుంది, తద్వారా దాడి చేసేవారు ఏ దశలో ఉన్నారు, వారు ఏ లక్ష్యాలను అనుసరిస్తున్నారు మరియు ఎలాంటి పరిహారం చర్యలు తీసుకోవాలో వినియోగదారు అర్థం చేసుకోగలరు.
PSExec యుటిలిటీని ఉపయోగించడం గురించి నియమం ప్రారంభించబడింది, ఇది రిమోట్ మెషీన్లో ఆదేశాలను అమలు చేసే ప్రయత్నాన్ని సూచిస్తుంది.
<span style="font-family: arial; ">10</span> T1072: మూడవ పక్ష సాఫ్ట్వేర్
దాడి చేసేవారు రిమోట్ అడ్మినిస్ట్రేషన్ సాఫ్ట్వేర్ లేదా కార్పొరేట్ సాఫ్ట్వేర్ డిప్లాయ్మెంట్ సిస్టమ్కు యాక్సెస్ను పొందే టెక్నిక్ మరియు హానికరమైన కోడ్ని అమలు చేయడానికి దాన్ని ఉపయోగిస్తారు. అటువంటి సాఫ్ట్వేర్ ఉదాహరణలు: SCCM, VNC, TeamViewer, HBSS, Altiris.
మార్గం ద్వారా, రిమోట్ పనికి భారీ పరివర్తనకు సంబంధించి సాంకేతికత ముఖ్యంగా సంబంధితంగా ఉంటుంది మరియు ఫలితంగా, సందేహాస్పద రిమోట్ యాక్సెస్ ఛానెల్ల ద్వారా అనేక అసురక్షిత గృహ పరికరాల కనెక్షన్
PT NAD ఏమి చేస్తుంది?: నెట్వర్క్లో అటువంటి సాఫ్ట్వేర్ యొక్క ఆపరేషన్ను స్వయంచాలకంగా గుర్తిస్తుంది. ఉదాహరణకు, VNC ప్రోటోకాల్ మరియు EvilVNC ట్రోజన్ యొక్క కార్యాచరణ ద్వారా కనెక్షన్ల ద్వారా నియమాలు ప్రేరేపించబడతాయి, ఇది బాధితుల హోస్ట్లో VNC సర్వర్ను రహస్యంగా ఇన్స్టాల్ చేస్తుంది మరియు స్వయంచాలకంగా ప్రారంభించబడుతుంది. అలాగే, PT NAD స్వయంచాలకంగా TeamViewer ప్రోటోకాల్ను గుర్తిస్తుంది, ఇది ఫిల్టర్ని ఉపయోగించి, అటువంటి సెషన్లన్నింటినీ కనుగొని, వాటి చట్టబద్ధతను తనిఖీ చేయడంలో విశ్లేషకుడికి సహాయపడుతుంది.
<span style="font-family: arial; ">10</span> T1204: వినియోగదారు అమలు
కోడ్ అమలుకు దారితీసే ఫైల్లను వినియోగదారు అమలు చేసే సాంకేతికత. ఉదాహరణకు, అతను ఎక్జిక్యూటబుల్ ఫైల్ను తెరిస్తే లేదా మాక్రోతో ఆఫీస్ డాక్యుమెంట్ని రన్ చేస్తే ఇది కావచ్చు.
PT NAD ఏమి చేస్తుంది?: అటువంటి ఫైల్లను ప్రారంభించే ముందు బదిలీ దశలో చూస్తుంది. వాటి గురించిన సమాచారాన్ని వారు ప్రసారం చేసిన సెషన్ల కార్డులో అధ్యయనం చేయవచ్చు.
Windows సిస్టమ్ భాగాలకు స్థానిక మరియు రిమోట్ యాక్సెస్ను అందించే WMI సాధనం యొక్క ఉపయోగం. WMIని ఉపయోగించి, దాడి చేసేవారు స్థానిక మరియు రిమోట్ సిస్టమ్లతో పరస్పర చర్య చేయవచ్చు మరియు నిఘా ప్రయోజనాల కోసం సమాచారాన్ని సేకరించడం మరియు పార్శ్వంగా కదులుతున్నప్పుడు రిమోట్గా ప్రక్రియలను ప్రారంభించడం వంటి అనేక రకాల పనులను చేయవచ్చు.
PT NAD ఏమి చేస్తుంది?: WMI ద్వారా రిమోట్ సిస్టమ్లతో పరస్పర చర్యలు ట్రాఫిక్లో కనిపిస్తాయి కాబట్టి, PT NAD స్వయంచాలకంగా WMI సెషన్లను ఏర్పాటు చేయడానికి నెట్వర్క్ అభ్యర్థనలను గుర్తిస్తుంది మరియు WMIని ఉపయోగించే స్క్రిప్ట్ల కోసం ట్రాఫిక్ను తనిఖీ చేస్తుంది.
<span style="font-family: arial; ">10</span> T1028: విండోస్ రిమోట్ మేనేజ్మెంట్
రిమోట్ సిస్టమ్లతో పరస్పర చర్య చేయడానికి వినియోగదారుని అనుమతించే Windows సేవ మరియు ప్రోటోకాల్ను ఉపయోగించడం.
PT NAD ఏమి చేస్తుంది?: Windows రిమోట్ మేనేజ్మెంట్ ఉపయోగించి ఏర్పాటు చేయబడిన నెట్వర్క్ కనెక్షన్లను చూస్తుంది. ఇటువంటి సెషన్లు నిబంధనల ద్వారా స్వయంచాలకంగా గుర్తించబడతాయి.
XSL స్టైల్ మార్కప్ లాంగ్వేజ్ XML ఫైల్లలో డేటా యొక్క ప్రాసెసింగ్ మరియు విజువలైజేషన్ను వివరించడానికి ఉపయోగించబడుతుంది. సంక్లిష్ట కార్యకలాపాలకు మద్దతు ఇవ్వడానికి, XSL ప్రమాణంలో వివిధ భాషలలో పొందుపరిచిన స్క్రిప్ట్లకు మద్దతు ఉంటుంది. ఈ భాషలు ఏకపక్ష కోడ్ను అమలు చేయడానికి అనుమతిస్తాయి, ఇది తెల్ల జాబితాల ఆధారంగా భద్రతా విధానాలను దాటవేయడానికి దారితీస్తుంది.
PT NAD ఏమి చేస్తుంది?: నెట్వర్క్ ద్వారా అటువంటి ఫైల్ల బదిలీని గుర్తిస్తుంది, అంటే అవి ప్రారంభించబడక ముందే. ఇది నెట్వర్క్లో ప్రసారమయ్యే XSL ఫైల్లను మరియు క్రమరహిత XSL మార్కప్తో ఉన్న ఫైల్లను స్వయంచాలకంగా గుర్తిస్తుంది.
కింది మెటీరియల్లలో, MITER ATT&CKకి అనుగుణంగా PT నెట్వర్క్ అటాక్ డిస్కవరీ NTA సిస్టమ్ ఇతర దాడి చేసే వ్యూహాలు మరియు సాంకేతికతలను ఎలా కనుగొంటుందో మేము పరిశీలిస్తాము. చూస్తూ ఉండండి!