PT నెట్‌వర్క్ అటాక్ డిస్కవరీ ఉదాహరణను ఉపయోగించి MITER ATT&CK ద్వారా ట్రాఫిక్ విశ్లేషణ వ్యవస్థలు హ్యాకర్ వ్యూహాలను ఎలా గుర్తిస్తాయి

వెరిజోన్ ప్రకారం, మెజారిటీ (87%) సమాచార భద్రతా సంఘటనలు నిమిషాల వ్యవధిలో జరుగుతాయి మరియు 68% కంపెనీలకు వాటిని గుర్తించడానికి నెలల సమయం పడుతుంది. ఇది ధృవీకరించబడింది పోనెమాన్ ఇన్స్టిట్యూట్ పరిశోధన, దీని ప్రకారం ఒక సంఘటనను గుర్తించడానికి చాలా సంస్థలకు సగటున 206 రోజులు పడుతుంది. మా పరిశోధనల అనుభవం ఆధారంగా, హ్యాకర్‌లు కంపెనీ ఇన్‌ఫ్రాస్ట్రక్చర్‌ని గుర్తించకుండా సంవత్సరాల తరబడి నియంత్రించగలరు. ఈ విధంగా, మా నిపుణులు సమాచార భద్రతా సంఘటనను పరిశోధించిన సంస్థల్లో ఒకదానిలో, హ్యాకర్లు సంస్థ యొక్క మొత్తం మౌలిక సదుపాయాలను పూర్తిగా నియంత్రిస్తున్నారని మరియు ముఖ్యమైన సమాచారాన్ని క్రమం తప్పకుండా దొంగిలించారని వెల్లడైంది. ఎనిమిది సంవత్సరాలు.

మీరు ఇప్పటికే లాగ్‌లను సేకరించి ఈవెంట్‌లను విశ్లేషించే SIEMని కలిగి ఉన్నారని అనుకుందాం మరియు ముగింపు నోడ్‌లలో యాంటీవైరస్ సాఫ్ట్‌వేర్ ఇన్‌స్టాల్ చేయబడింది. అయినప్పటికీ, SIEM ఉపయోగించి ప్రతిదీ కనుగొనబడదు, మొత్తం నెట్‌వర్క్ అంతటా EDR సిస్టమ్‌లను అమలు చేయడం అసాధ్యం అయినట్లే, అంటే "బ్లైండ్" స్పాట్‌లను నివారించలేము. నెట్‌వర్క్ ట్రాఫిక్ విశ్లేషణ (NTA) వ్యవస్థలు వాటిని ఎదుర్కోవటానికి సహాయపడతాయి. ఈ పరిష్కారాలు నెట్‌వర్క్ చొచ్చుకుపోయే ప్రారంభ దశలలో దాడి చేసేవారి కార్యాచరణను గుర్తిస్తాయి, అలాగే నెట్‌వర్క్‌లో పట్టు సాధించడానికి మరియు దాడిని అభివృద్ధి చేయడానికి ప్రయత్నించినప్పుడు.

రెండు రకాల NTAలు ఉన్నాయి: కొన్ని నెట్‌ఫ్లోతో పని చేస్తాయి, మరికొన్ని రా ట్రాఫిక్‌ను విశ్లేషిస్తాయి. రెండవ వ్యవస్థల ప్రయోజనం ఏమిటంటే అవి ముడి ట్రాఫిక్ రికార్డులను నిల్వ చేయగలవు. దీనికి ధన్యవాదాలు, సమాచార భద్రతా నిపుణుడు దాడి యొక్క విజయాన్ని ధృవీకరించవచ్చు, ముప్పును స్థానికీకరించవచ్చు, దాడి ఎలా జరిగిందో అర్థం చేసుకోవచ్చు మరియు భవిష్యత్తులో ఇలాంటి వాటిని ఎలా నిరోధించాలో అర్థం చేసుకోవచ్చు.

NTAని ఉపయోగించి మీరు నాలెడ్జ్ బేస్‌లో వివరించిన అన్ని తెలిసిన దాడి వ్యూహాలను గుర్తించడానికి ప్రత్యక్ష లేదా పరోక్ష సాక్ష్యాలను ఎలా ఉపయోగించవచ్చో మేము చూపుతాము MITER ATT&CK. మేము ప్రతి 12 వ్యూహాల గురించి మాట్లాడుతాము, ట్రాఫిక్ ద్వారా కనుగొనబడిన సాంకేతికతలను విశ్లేషిస్తాము మరియు మా NTA సిస్టమ్‌ని ఉపయోగించి వాటి గుర్తింపును ప్రదర్శిస్తాము.

ATT&CK నాలెడ్జ్ బేస్ గురించి

MITER ATT&CK అనేది వాస్తవ-ప్రపంచ APTల విశ్లేషణ ఆధారంగా MITER కార్పొరేషన్ ద్వారా అభివృద్ధి చేయబడి మరియు నిర్వహించబడే పబ్లిక్ నాలెడ్జ్ బేస్. ఇది దాడి చేసేవారు ఉపయోగించే వ్యూహాలు మరియు సాంకేతికతల యొక్క నిర్మాణాత్మక సెట్. ఇది ప్రపంచవ్యాప్తంగా ఉన్న సమాచార భద్రతా నిపుణులు ఒకే భాషలో మాట్లాడటానికి అనుమతిస్తుంది. డేటాబేస్ నిరంతరం విస్తరిస్తోంది మరియు కొత్త జ్ఞానంతో అనుబంధంగా ఉంటుంది.

డేటాబేస్ 12 వ్యూహాలను గుర్తిస్తుంది, వీటిని సైబర్ దాడి దశల వారీగా విభజించారు:

• ప్రారంభ యాక్సెస్;
• అమలు;
• ఏకీకరణ (పట్టుదల);
• ప్రత్యేక హక్కు పెరుగుదల;
• గుర్తింపును నిరోధించడం (రక్షణ ఎగవేత);
• ఆధారాలను పొందడం (క్రెడెన్షియల్ యాక్సెస్);
• అన్వేషణ;
• చుట్టుకొలత లోపల కదలిక (పార్శ్వ కదలిక);
• సమాచార సేకరణ (సేకరణ);
• ఆదేశం మరియు నియంత్రణ;
• డేటా ఎక్స్‌ఫిల్ట్రేషన్;
• ప్రభావం.

ప్రతి వ్యూహం కోసం, ATT&CK నాలెడ్జ్ బేస్ దాడి యొక్క ప్రస్తుత దశలో దాడి చేసేవారికి వారి లక్ష్యాన్ని సాధించడంలో సహాయపడే పద్ధతుల జాబితాను జాబితా చేస్తుంది. ఒకే సాంకేతికతను వివిధ దశలలో ఉపయోగించవచ్చు కాబట్టి, ఇది అనేక వ్యూహాలను సూచించవచ్చు.

ప్రతి టెక్నిక్ యొక్క వివరణ వీటిని కలిగి ఉంటుంది:

• ఐడెంటిఫైయర్;
• ఇది ఉపయోగించే వ్యూహాల జాబితా;
• APT సమూహాల ఉపయోగం యొక్క ఉదాహరణలు;
• దాని ఉపయోగం నుండి నష్టాన్ని తగ్గించడానికి చర్యలు;
• గుర్తింపు సిఫార్సులు.

సమాచార భద్రతా నిపుణులు ప్రస్తుత దాడి పద్ధతుల గురించి సమాచారాన్ని రూపొందించడానికి డేటాబేస్ నుండి జ్ఞానాన్ని ఉపయోగించవచ్చు మరియు దీనిని పరిగణనలోకి తీసుకుని, సమర్థవంతమైన భద్రతా వ్యవస్థను రూపొందించవచ్చు. నిజమైన APT సమూహాలు ఎలా పనిచేస్తాయో అర్థం చేసుకోవడం కూడా లోపల బెదిరింపుల కోసం ముందస్తుగా శోధించడానికి పరికల్పనలకు మూలంగా మారుతుంది. బెదిరింపు వేట.

PT నెట్‌వర్క్ అటాక్ డిస్కవరీ గురించి

మేము సిస్టమ్‌ని ఉపయోగించి ATT&CK మ్యాట్రిక్స్ నుండి టెక్నిక్‌ల వినియోగాన్ని గుర్తిస్తాము PT నెట్‌వర్క్ అటాక్ డిస్కవరీ — పాజిటివ్ టెక్నాలజీస్ NTA సిస్టమ్, చుట్టుకొలత మరియు నెట్‌వర్క్ లోపల దాడులను గుర్తించడానికి రూపొందించబడింది. PT NAD వివిధ స్థాయిలలో, MITER ATT&CK మ్యాట్రిక్స్ యొక్క అన్ని 12 వ్యూహాలను కవర్ చేస్తుంది. ప్రారంభ ప్రాప్యత, పార్శ్వ కదలిక మరియు కమాండ్ మరియు నియంత్రణ కోసం సాంకేతికతలను గుర్తించడంలో అతను అత్యంత శక్తివంతమైనవాడు. వాటిలో, PT NAD ప్రత్యక్షంగా లేదా పరోక్ష సంకేతాల ద్వారా వాటి అప్లికేషన్‌ను గుర్తించి, తెలిసిన పద్ధతుల్లో సగానికి పైగా కవర్ చేస్తుంది.

బృందం రూపొందించిన గుర్తింపు నియమాలను ఉపయోగించి సిస్టమ్ ATT&CK పద్ధతులను ఉపయోగించి దాడులను గుర్తిస్తుంది PT నిపుణుల భద్రతా కేంద్రం (PT ESC), మెషిన్ లెర్నింగ్, రాజీ సూచికలు, లోతైన విశ్లేషణలు మరియు పునరాలోచన విశ్లేషణ. రియల్ టైమ్ ట్రాఫిక్ విశ్లేషణ రెట్రోస్పెక్టివ్‌తో కలిపి మీరు ప్రస్తుత దాచిన హానికరమైన కార్యాచరణను గుర్తించడానికి మరియు అభివృద్ధి వెక్టర్‌లను మరియు దాడుల కాలక్రమాన్ని ట్రాక్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది.

ఇక్కడ PT NAD నుండి MITER ATT&CK మ్యాట్రిక్స్‌కు పూర్తి మ్యాపింగ్. చిత్రం పెద్దది, కాబట్టి మీరు దీన్ని ప్రత్యేక విండోలో చూడాలని మేము సూచిస్తున్నాము.

ప్రారంభ యాక్సెస్

ప్రారంభ యాక్సెస్ వ్యూహాలలో కంపెనీ నెట్‌వర్క్‌లోకి చొచ్చుకుపోయే సాంకేతికతలు ఉంటాయి. ఈ దశలో దాడి చేసేవారి లక్ష్యం దాడి చేయబడిన సిస్టమ్‌కు హానికరమైన కోడ్‌ను అందించడం మరియు దాని తదుపరి అమలు యొక్క అవకాశాన్ని నిర్ధారించడం.

PT NAD నుండి ట్రాఫిక్ విశ్లేషణ ప్రారంభ ప్రాప్యతను పొందేందుకు ఏడు పద్ధతులను వెల్లడిస్తుంది:

1. T1189: డ్రైవ్-బై రాజీ

వెబ్ బ్రౌజర్‌ను దోపిడీ చేయడానికి మరియు అప్లికేషన్ యాక్సెస్ టోకెన్‌లను పొందేందుకు దాడి చేసేవారు ఉపయోగించే వెబ్‌సైట్‌ను బాధితుడు తెరిచే సాంకేతికత.

PT NAD ఏమి చేస్తుంది?: వెబ్ ట్రాఫిక్ గుప్తీకరించబడకపోతే, PT NAD HTTP సర్వర్ ప్రతిస్పందనల కంటెంట్‌ను తనిఖీ చేస్తుంది. ఈ ప్రతిస్పందనలు బ్రౌజర్ లోపల ఏకపక్ష కోడ్‌ని అమలు చేయడానికి దాడి చేసేవారిని అనుమతించే దోపిడీలను కలిగి ఉంటాయి. గుర్తింపు నియమాలను ఉపయోగించి PT NAD స్వయంచాలకంగా ఇటువంటి దోపిడీలను గుర్తిస్తుంది.

అదనంగా, PT NAD మునుపటి దశలో ముప్పును గుర్తిస్తుంది. వినియోగదారు ఒక సైట్‌ను సందర్శించినట్లయితే, అతనిని దోపిడీల సమూహానికి దారి మళ్లించినట్లయితే, రాజీ యొక్క నియమాలు మరియు సూచికలు ప్రేరేపించబడతాయి.

2. T1190: పబ్లిక్-ఫేసింగ్ అప్లికేషన్‌ను ఉపయోగించుకోండి

ఇంటర్నెట్ నుండి అందుబాటులో ఉండే సేవల్లోని దుర్బలత్వాల దోపిడీ.

PT NAD ఏమి చేస్తుంది?: నెట్‌వర్క్ ప్యాకెట్‌ల కంటెంట్‌ల యొక్క లోతైన తనిఖీని నిర్వహిస్తుంది, క్రమరహిత కార్యాచరణ సంకేతాలను గుర్తించడం. ప్రత్యేకించి, ప్రధాన కంటెంట్ మేనేజ్‌మెంట్ సిస్టమ్‌లు (CMS), నెట్‌వర్క్ పరికరాల వెబ్ ఇంటర్‌ఫేస్‌లు మరియు మెయిల్ మరియు FTP సర్వర్‌లపై దాడులను గుర్తించడానికి మిమ్మల్ని అనుమతించే నియమాలు ఉన్నాయి.

3. T1133: బాహ్య రిమోట్ సేవలు

బయటి నుండి అంతర్గత నెట్‌వర్క్ వనరులకు కనెక్ట్ చేయడానికి దాడి చేసేవారు రిమోట్ యాక్సెస్ సేవలను ఉపయోగిస్తారు.

PT NAD ఏమి చేస్తుంది?: సిస్టమ్ ప్రోటోకాల్‌లను పోర్ట్ నంబర్‌ల ద్వారా కాకుండా ప్యాకెట్‌ల కంటెంట్‌ల ద్వారా గుర్తిస్తుంది కాబట్టి, సిస్టమ్ వినియోగదారులు రిమోట్ యాక్సెస్ ప్రోటోకాల్‌ల యొక్క అన్ని సెషన్‌లను కనుగొనడానికి మరియు వాటి చట్టబద్ధతను తనిఖీ చేయడానికి ట్రాఫిక్‌ను ఫిల్టర్ చేయవచ్చు.

4. T1193: స్పియర్ఫిషింగ్ అటాచ్మెంట్

మేము ఫిషింగ్ జోడింపులను అపఖ్యాతి పాలైన పంపడం గురించి మాట్లాడుతున్నాము.

PT NAD ఏమి చేస్తుంది?: ట్రాఫిక్ నుండి ఫైల్‌లను స్వయంచాలకంగా సంగ్రహిస్తుంది మరియు రాజీ సూచికలకు వ్యతిరేకంగా వాటిని తనిఖీ చేస్తుంది. అటాచ్‌మెంట్‌లలోని ఎక్జిక్యూటబుల్ ఫైల్‌లు మెయిల్ ట్రాఫిక్ కంటెంట్‌ను విశ్లేషించే నియమాల ద్వారా గుర్తించబడతాయి. కార్పొరేట్ వాతావరణంలో, అటువంటి పెట్టుబడి అసాధారణమైనదిగా పరిగణించబడుతుంది.

5. T1192: స్పియర్ఫిషింగ్ లింక్

ఫిషింగ్ లింక్‌లను ఉపయోగించడం. టెక్నిక్‌లో దాడి చేసేవారు లింక్‌తో ఫిషింగ్ ఇమెయిల్‌ను పంపుతారు, అది క్లిక్ చేసినప్పుడు, హానికరమైన ప్రోగ్రామ్‌ను డౌన్‌లోడ్ చేస్తుంది. నియమం ప్రకారం, లింక్ సోషల్ ఇంజనీరింగ్ యొక్క అన్ని నియమాలకు అనుగుణంగా సంకలనం చేయబడిన టెక్స్ట్తో కూడి ఉంటుంది.

PT NAD ఏమి చేస్తుంది?: రాజీ సూచికలను ఉపయోగించి ఫిషింగ్ లింక్‌లను గుర్తిస్తుంది. ఉదాహరణకు, PT NAD ఇంటర్‌ఫేస్‌లో ఫిషింగ్ చిరునామాల (ఫిషింగ్-url) జాబితాలో చేర్చబడిన లింక్ ద్వారా HTTP కనెక్షన్ ఉన్న సెషన్‌ను మనం చూస్తాము.

రాజీ ఫిషింగ్-urlల సూచికల జాబితా నుండి లింక్ ద్వారా కనెక్షన్

6. T1199: విశ్వసనీయ సంబంధం

బాధితుడు విశ్వసనీయ సంబంధాన్ని ఏర్పరచుకున్న మూడవ పక్షాల ద్వారా బాధితుడి నెట్‌వర్క్‌కు యాక్సెస్. దాడి చేసేవారు విశ్వసనీయ సంస్థను హ్యాక్ చేయవచ్చు మరియు దాని ద్వారా లక్ష్య నెట్‌వర్క్‌కి కనెక్ట్ చేయవచ్చు. దీన్ని చేయడానికి, వారు VPN కనెక్షన్‌లు లేదా డొమైన్ ట్రస్ట్‌లను ఉపయోగిస్తారు, వీటిని ట్రాఫిక్ విశ్లేషణ ద్వారా గుర్తించవచ్చు.

PT NAD ఏమి చేస్తుంది?: అప్లికేషన్ ప్రోటోకాల్‌లను అన్వయిస్తుంది మరియు అన్వయించిన ఫీల్డ్‌లను డేటాబేస్‌లో సేవ్ చేస్తుంది, తద్వారా సమాచార భద్రతా విశ్లేషకుడు డేటాబేస్‌లోని అన్ని అనుమానాస్పద VPN కనెక్షన్‌లు లేదా క్రాస్-డొమైన్ కనెక్షన్‌లను కనుగొనడానికి ఫిల్టర్‌లను ఉపయోగించవచ్చు.

7. T1078: చెల్లుబాటు అయ్యే ఖాతాలు

బాహ్య మరియు అంతర్గత సేవలపై అధికారం కోసం ప్రామాణిక, స్థానిక లేదా డొమైన్ ఆధారాలను ఉపయోగించడం.

PT NAD ఏమి చేస్తుంది?: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos ప్రోటోకాల్‌ల నుండి స్వయంచాలకంగా ఆధారాలను తిరిగి పొందుతుంది. సాధారణంగా, ఇది లాగిన్, పాస్వర్డ్ మరియు విజయవంతమైన ప్రామాణీకరణకు సంకేతం. అవి ఉపయోగించబడితే, అవి సంబంధిత సెషన్ కార్డ్‌లో ప్రదర్శించబడతాయి.

అమలు

ఎగ్జిక్యూషన్ వ్యూహాలలో రాజీపడిన సిస్టమ్‌లలో కోడ్‌ని అమలు చేయడానికి దాడి చేసేవారు ఉపయోగించే సాంకేతికతలు ఉంటాయి. హానికరమైన కోడ్‌ని అమలు చేయడం వల్ల దాడి చేసేవారు ఉనికిని (పట్టుదల వ్యూహం) ఏర్పరచుకోవడంలో సహాయపడుతుంది మరియు చుట్టుకొలత లోపలికి వెళ్లడం ద్వారా నెట్‌వర్క్‌లోని రిమోట్ సిస్టమ్‌లకు యాక్సెస్‌ను విస్తరించవచ్చు.

హానికరమైన కోడ్‌ని అమలు చేయడానికి దాడి చేసేవారు ఉపయోగించే 14 టెక్నిక్‌ల వినియోగాన్ని గుర్తించడానికి PT NAD మిమ్మల్ని అనుమతిస్తుంది.

1. T1191: CMSTP (మైక్రోసాఫ్ట్ కనెక్షన్ మేనేజర్ ప్రొఫైల్ ఇన్‌స్టాలర్)

అంతర్నిర్మిత Windows యుటిలిటీ CMSTP.exe (కనెక్షన్ మేనేజర్ ప్రొఫైల్ ఇన్‌స్టాలర్) కోసం దాడి చేసేవారు ప్రత్యేక హానికరమైన ఇన్‌స్టాలేషన్ INF ఫైల్‌ను సిద్ధం చేసే వ్యూహం. CMSTP.exe ఫైల్‌ను పారామీటర్‌గా తీసుకుంటుంది మరియు రిమోట్ కనెక్షన్ కోసం సర్వీస్ ప్రొఫైల్‌ను ఇన్‌స్టాల్ చేస్తుంది. ఫలితంగా, CMSTP.exe రిమోట్ సర్వర్‌ల నుండి డైనమిక్ లింక్ లైబ్రరీలను (*.dll) లేదా స్క్రిప్ట్‌లెట్‌లను (*.sct) లోడ్ చేయడానికి మరియు అమలు చేయడానికి ఉపయోగించబడుతుంది.

PT NAD ఏమి చేస్తుంది?: HTTP ట్రాఫిక్‌లో ప్రత్యేక రకాల INF ఫైల్‌ల బదిలీని స్వయంచాలకంగా గుర్తిస్తుంది. దీనికి అదనంగా, ఇది రిమోట్ సర్వర్ నుండి హానికరమైన స్క్రిప్ట్‌లెట్‌లు మరియు డైనమిక్ లింక్ లైబ్రరీల HTTP ప్రసారాన్ని గుర్తిస్తుంది.

2. T1059: కమాండ్-లైన్ ఇంటర్ఫేస్

కమాండ్ లైన్ ఇంటర్‌ఫేస్‌తో పరస్పర చర్య. కమాండ్ లైన్ ఇంటర్‌ఫేస్‌ను స్థానికంగా లేదా రిమోట్‌గా ఇంటరాక్ట్ చేయవచ్చు, ఉదాహరణకు రిమోట్ యాక్సెస్ యుటిలిటీలను ఉపయోగించడం.

PT NAD ఏమి చేస్తుంది?: పింగ్, ifconfig వంటి వివిధ కమాండ్ లైన్ యుటిలిటీలను ప్రారంభించడానికి ఆదేశాలకు ప్రతిస్పందనల ఆధారంగా షెల్‌ల ఉనికిని స్వయంచాలకంగా గుర్తిస్తుంది.

3. T1175: కాంపోనెంట్ ఆబ్జెక్ట్ మోడల్ మరియు పంపిణీ చేయబడిన COM

నెట్‌వర్క్‌లో కదులుతున్నప్పుడు స్థానిక లేదా రిమోట్ సిస్టమ్‌లలో కోడ్‌ని అమలు చేయడానికి COM లేదా DCOM సాంకేతికతలను ఉపయోగించడం.

PT NAD ఏమి చేస్తుంది?: ప్రోగ్రామ్‌లను ప్రారంభించడానికి దాడి చేసేవారు సాధారణంగా ఉపయోగించే అనుమానాస్పద DCOM కాల్‌లను గుర్తిస్తుంది.

4. T1203: క్లయింట్ అమలు కోసం దోపిడీ

వర్క్‌స్టేషన్‌లో ఏకపక్ష కోడ్‌ని అమలు చేయడానికి దుర్బలత్వాలను ఉపయోగించడం. దాడి చేసేవారికి అత్యంత ఉపయోగకరమైన దోపిడీలు రిమోట్ సిస్టమ్‌లో కోడ్‌ని అమలు చేయడానికి అనుమతించేవి, ఎందుకంటే దాడి చేసేవారు ఆ సిస్టమ్‌కు యాక్సెస్‌ను పొందేందుకు అనుమతించగలరు. సాంకేతికతను క్రింది పద్ధతులను ఉపయోగించి అమలు చేయవచ్చు: హానికరమైన మెయిలింగ్, బ్రౌజర్ దోపిడీలతో కూడిన వెబ్‌సైట్ మరియు అప్లికేషన్ దుర్బలత్వాల రిమోట్ దోపిడీ.

PT NAD ఏమి చేస్తుంది?: మెయిల్ ట్రాఫిక్‌ను అన్వయించేటప్పుడు, అటాచ్‌మెంట్‌లలో ఎక్జిక్యూటబుల్ ఫైల్‌ల ఉనికిని PT NAD తనిఖీ చేస్తుంది. దోపిడీలను కలిగి ఉండే ఇమెయిల్‌ల నుండి కార్యాలయ పత్రాలను స్వయంచాలకంగా సంగ్రహిస్తుంది. ట్రాఫిక్‌లో దుర్బలత్వాన్ని ఉపయోగించుకునే ప్రయత్నాలు కనిపిస్తాయి, వీటిని PT NAD స్వయంచాలకంగా గుర్తిస్తుంది.

5. T1170: mshta

.hta పొడిగింపుతో Microsoft HTML అప్లికేషన్‌లను (HTA) అమలు చేసే mshta.exe యుటిలిటీని ఉపయోగించండి. mshta ఫైల్‌లను బ్రౌజర్ సెక్యూరిటీ సెట్టింగ్‌లను దాటవేసి ప్రాసెస్ చేస్తుంది కాబట్టి, దాడి చేసేవారు హానికరమైన HTA, JavaScript లేదా VBScript ఫైల్‌లను అమలు చేయడానికి mshta.exeని ఉపయోగించవచ్చు.

PT NAD ఏమి చేస్తుంది?: mshta ద్వారా అమలు చేయడానికి .hta ఫైల్‌లు కూడా నెట్‌వర్క్ ద్వారా ప్రసారం చేయబడతాయి - ఇది ట్రాఫిక్‌లో చూడవచ్చు. PT NAD అటువంటి హానికరమైన ఫైల్‌ల బదిలీని స్వయంచాలకంగా గుర్తిస్తుంది. ఇది ఫైల్‌లను సంగ్రహిస్తుంది మరియు వాటి గురించిన సమాచారాన్ని సెషన్ కార్డ్‌లో చూడవచ్చు.

6. T1086: పవర్‌షెల్

సమాచారాన్ని కనుగొనడానికి మరియు హానికరమైన కోడ్‌ని అమలు చేయడానికి PowerShellని ఉపయోగించడం.

PT NAD ఏమి చేస్తుంది?: PowerShellని రిమోట్ దాడి చేసేవారు ఉపయోగించినప్పుడు, PT NAD దీన్ని నియమాలను ఉపయోగించి గుర్తిస్తుంది. ఇది చాలా తరచుగా హానికరమైన స్క్రిప్ట్‌లలో ఉపయోగించే పవర్‌షెల్ భాషా కీలకపదాలను మరియు SMB ప్రోటోకాల్ ద్వారా పవర్‌షెల్ స్క్రిప్ట్‌ల ప్రసారాన్ని గుర్తిస్తుంది.

7. T1053: షెడ్యూల్ చేయబడిన పని
నిర్దిష్ట సమయాల్లో ప్రోగ్రామ్‌లు లేదా స్క్రిప్ట్‌లను స్వయంచాలకంగా అమలు చేయడానికి Windows టాస్క్ షెడ్యూలర్ మరియు ఇతర యుటిలిటీలను ఉపయోగించడం.

PT NAD ఏమి చేస్తుంది?: దాడి చేసేవారు సాధారణంగా రిమోట్‌గా ఇటువంటి టాస్క్‌లను సృష్టిస్తారు, అంటే అలాంటి సెషన్‌లు ట్రాఫిక్‌లో కనిపిస్తాయి. PT NAD స్వయంచాలకంగా ATSVC మరియు ITaskSchedulerService RPC ఇంటర్‌ఫేస్‌లను ఉపయోగించి అనుమానాస్పద పని సృష్టి మరియు సవరణ కార్యకలాపాలను గుర్తిస్తుంది.

8. T1064: స్క్రిప్టింగ్

దాడి చేసేవారి వివిధ చర్యలను ఆటోమేట్ చేయడానికి స్క్రిప్ట్‌ల అమలు.

PT NAD ఏమి చేస్తుంది?: నెట్‌వర్క్ ద్వారా స్క్రిప్ట్‌ల ప్రసారాన్ని గుర్తిస్తుంది, అంటే అవి ప్రారంభించబడక ముందే. ఇది రా ట్రాఫిక్‌లో స్క్రిప్ట్ కంటెంట్‌ను గుర్తిస్తుంది మరియు జనాదరణ పొందిన స్క్రిప్టింగ్ భాషలకు సంబంధించిన పొడిగింపులతో ఫైల్‌ల నెట్‌వర్క్ ప్రసారాన్ని గుర్తిస్తుంది.

9. T1035: సేవ అమలు

సర్వీస్ కంట్రోల్ మేనేజర్ (SCM) వంటి Windows సేవలతో పరస్పర చర్య చేయడం ద్వారా ఎక్జిక్యూటబుల్ ఫైల్, కమాండ్ లైన్ ఇంటర్‌ఫేస్ సూచనలు లేదా స్క్రిప్ట్‌ను అమలు చేయండి.

PT NAD ఏమి చేస్తుంది?: SMB ట్రాఫిక్‌ని తనిఖీ చేస్తుంది మరియు సేవను సృష్టించడం, మార్చడం మరియు ప్రారంభించడం కోసం నియమాలతో SCMకి యాక్సెస్‌ను గుర్తిస్తుంది.

సర్వీస్ స్టార్టప్ టెక్నిక్‌ని రిమోట్ కమాండ్ ఎగ్జిక్యూషన్ యుటిలిటీ PSExec ఉపయోగించి అమలు చేయవచ్చు. PT NAD SMB ప్రోటోకాల్‌ను విశ్లేషిస్తుంది మరియు రిమోట్ మెషీన్‌లో కోడ్‌ని అమలు చేయడానికి PSEXESVC.exe ఫైల్ లేదా ప్రామాణిక PSEXECSVC సర్వీస్ పేరును ఉపయోగించినప్పుడు PSExec వినియోగాన్ని గుర్తిస్తుంది. వినియోగదారు అమలు చేయబడిన ఆదేశాల జాబితాను మరియు హోస్ట్ నుండి రిమోట్ కమాండ్ అమలు యొక్క చట్టబద్ధతను తనిఖీ చేయాలి.

PT NADలోని అటాక్ కార్డ్ ATT&CK మ్యాట్రిక్స్ ప్రకారం ఉపయోగించే వ్యూహాలు మరియు టెక్నిక్‌లపై డేటాను ప్రదర్శిస్తుంది, తద్వారా దాడి చేసేవారు ఏ దశలో ఉన్నారు, వారు ఏ లక్ష్యాలను అనుసరిస్తున్నారు మరియు ఎలాంటి పరిహారం చర్యలు తీసుకోవాలో వినియోగదారు అర్థం చేసుకోగలరు.

PSExec యుటిలిటీని ఉపయోగించడం గురించి నియమం ప్రారంభించబడింది, ఇది రిమోట్ మెషీన్‌లో ఆదేశాలను అమలు చేసే ప్రయత్నాన్ని సూచిస్తుంది.

<span style="font-family: arial; ">10</span> T1072: మూడవ పక్ష సాఫ్ట్‌వేర్

దాడి చేసేవారు రిమోట్ అడ్మినిస్ట్రేషన్ సాఫ్ట్‌వేర్ లేదా కార్పొరేట్ సాఫ్ట్‌వేర్ డిప్లాయ్‌మెంట్ సిస్టమ్‌కు యాక్సెస్‌ను పొందే టెక్నిక్ మరియు హానికరమైన కోడ్‌ని అమలు చేయడానికి దాన్ని ఉపయోగిస్తారు. అటువంటి సాఫ్ట్‌వేర్ ఉదాహరణలు: SCCM, VNC, TeamViewer, HBSS, Altiris.
మార్గం ద్వారా, రిమోట్ పనికి భారీ పరివర్తనకు సంబంధించి సాంకేతికత ముఖ్యంగా సంబంధితంగా ఉంటుంది మరియు ఫలితంగా, సందేహాస్పద రిమోట్ యాక్సెస్ ఛానెల్‌ల ద్వారా అనేక అసురక్షిత గృహ పరికరాల కనెక్షన్

PT NAD ఏమి చేస్తుంది?: నెట్‌వర్క్‌లో అటువంటి సాఫ్ట్‌వేర్ యొక్క ఆపరేషన్‌ను స్వయంచాలకంగా గుర్తిస్తుంది. ఉదాహరణకు, VNC ప్రోటోకాల్ మరియు EvilVNC ట్రోజన్ యొక్క కార్యాచరణ ద్వారా కనెక్షన్‌ల ద్వారా నియమాలు ప్రేరేపించబడతాయి, ఇది బాధితుల హోస్ట్‌లో VNC సర్వర్‌ను రహస్యంగా ఇన్‌స్టాల్ చేస్తుంది మరియు స్వయంచాలకంగా ప్రారంభించబడుతుంది. అలాగే, PT NAD స్వయంచాలకంగా TeamViewer ప్రోటోకాల్‌ను గుర్తిస్తుంది, ఇది ఫిల్టర్‌ని ఉపయోగించి, అటువంటి సెషన్‌లన్నింటినీ కనుగొని, వాటి చట్టబద్ధతను తనిఖీ చేయడంలో విశ్లేషకుడికి సహాయపడుతుంది.

<span style="font-family: arial; ">10</span> T1204: వినియోగదారు అమలు

కోడ్ అమలుకు దారితీసే ఫైల్‌లను వినియోగదారు అమలు చేసే సాంకేతికత. ఉదాహరణకు, అతను ఎక్జిక్యూటబుల్ ఫైల్‌ను తెరిస్తే లేదా మాక్రోతో ఆఫీస్ డాక్యుమెంట్‌ని రన్ చేస్తే ఇది కావచ్చు.

PT NAD ఏమి చేస్తుంది?: అటువంటి ఫైల్‌లను ప్రారంభించే ముందు బదిలీ దశలో చూస్తుంది. వాటి గురించిన సమాచారాన్ని వారు ప్రసారం చేసిన సెషన్ల కార్డులో అధ్యయనం చేయవచ్చు.

<span style="font-family: arial; ">10</span> T1047:Windows మేనేజ్‌మెంట్ ఇన్‌స్ట్రుమెంటేషన్

Windows సిస్టమ్ భాగాలకు స్థానిక మరియు రిమోట్ యాక్సెస్‌ను అందించే WMI సాధనం యొక్క ఉపయోగం. WMIని ఉపయోగించి, దాడి చేసేవారు స్థానిక మరియు రిమోట్ సిస్టమ్‌లతో పరస్పర చర్య చేయవచ్చు మరియు నిఘా ప్రయోజనాల కోసం సమాచారాన్ని సేకరించడం మరియు పార్శ్వంగా కదులుతున్నప్పుడు రిమోట్‌గా ప్రక్రియలను ప్రారంభించడం వంటి అనేక రకాల పనులను చేయవచ్చు.

PT NAD ఏమి చేస్తుంది?: WMI ద్వారా రిమోట్ సిస్టమ్‌లతో పరస్పర చర్యలు ట్రాఫిక్‌లో కనిపిస్తాయి కాబట్టి, PT NAD స్వయంచాలకంగా WMI సెషన్‌లను ఏర్పాటు చేయడానికి నెట్‌వర్క్ అభ్యర్థనలను గుర్తిస్తుంది మరియు WMIని ఉపయోగించే స్క్రిప్ట్‌ల కోసం ట్రాఫిక్‌ను తనిఖీ చేస్తుంది.

<span style="font-family: arial; ">10</span> T1028: విండోస్ రిమోట్ మేనేజ్‌మెంట్

రిమోట్ సిస్టమ్‌లతో పరస్పర చర్య చేయడానికి వినియోగదారుని అనుమతించే Windows సేవ మరియు ప్రోటోకాల్‌ను ఉపయోగించడం.

PT NAD ఏమి చేస్తుంది?: Windows రిమోట్ మేనేజ్‌మెంట్ ఉపయోగించి ఏర్పాటు చేయబడిన నెట్‌వర్క్ కనెక్షన్‌లను చూస్తుంది. ఇటువంటి సెషన్‌లు నిబంధనల ద్వారా స్వయంచాలకంగా గుర్తించబడతాయి.

<span style="font-family: arial; ">10</span> T1220: XSL (ఎక్స్‌టెన్సిబుల్ స్టైల్‌షీట్ లాంగ్వేజ్) స్క్రిప్ట్ ప్రాసెసింగ్

XSL స్టైల్ మార్కప్ లాంగ్వేజ్ XML ఫైల్‌లలో డేటా యొక్క ప్రాసెసింగ్ మరియు విజువలైజేషన్‌ను వివరించడానికి ఉపయోగించబడుతుంది. సంక్లిష్ట కార్యకలాపాలకు మద్దతు ఇవ్వడానికి, XSL ప్రమాణంలో వివిధ భాషలలో పొందుపరిచిన స్క్రిప్ట్‌లకు మద్దతు ఉంటుంది. ఈ భాషలు ఏకపక్ష కోడ్‌ను అమలు చేయడానికి అనుమతిస్తాయి, ఇది తెల్ల జాబితాల ఆధారంగా భద్రతా విధానాలను దాటవేయడానికి దారితీస్తుంది.

PT NAD ఏమి చేస్తుంది?: నెట్‌వర్క్ ద్వారా అటువంటి ఫైల్‌ల బదిలీని గుర్తిస్తుంది, అంటే అవి ప్రారంభించబడక ముందే. ఇది నెట్‌వర్క్‌లో ప్రసారమయ్యే XSL ఫైల్‌లను మరియు క్రమరహిత XSL మార్కప్‌తో ఉన్న ఫైల్‌లను స్వయంచాలకంగా గుర్తిస్తుంది.

కింది మెటీరియల్‌లలో, MITER ATT&CKకి అనుగుణంగా PT నెట్‌వర్క్ అటాక్ డిస్కవరీ NTA సిస్టమ్ ఇతర దాడి చేసే వ్యూహాలు మరియు సాంకేతికతలను ఎలా కనుగొంటుందో మేము పరిశీలిస్తాము. చూస్తూ ఉండండి!

రచయితలు:

• అంటోన్ కుటెపోవ్, PT ఎక్స్‌పర్ట్ సెక్యూరిటీ సెంటర్‌లో నిపుణుడు, పాజిటివ్ టెక్నాలజీస్
• నటాలియా కజాంకోవా, పాజిటివ్ టెక్నాలజీస్‌లో ఉత్పత్తి విక్రయదారు

మూలం: www.habr.com