انفارمیشن سیکیورٹی کے زیادہ تر واقعات چند منٹوں میں ہوتے ہیں، اور 87% کمپنیوں کے لیے ان کا پتہ لگانے میں مہینوں لگ جاتے ہیں۔ سے اس کی تصدیق ہوتی ہے۔ جس کے مطابق زیادہ تر تنظیموں کو کسی واقعے کا پتہ لگانے میں اوسطاً 206 دن لگتے ہیں۔ ہماری تحقیقات کے تجربے کی بنیاد پر، ہیکرز کسی کمپنی کے انفراسٹرکچر کو برسوں تک بغیر پتہ چلائے کنٹرول کر سکتے ہیں۔ اس طرح، ایک تنظیم میں جہاں ہمارے ماہرین نے انفارمیشن سیکیورٹی کے واقعے کی تحقیقات کیں، یہ بات سامنے آئی کہ ہیکرز نے تنظیم کے پورے انفراسٹرکچر کو مکمل طور پر کنٹرول کر رکھا تھا اور باقاعدگی سے اہم معلومات چرا کر لے جاتے تھے۔ .
فرض کریں کہ آپ کے پاس پہلے سے ہی ایک SIEM چل رہا ہے جو لاگز کو جمع کرتا ہے اور واقعات کا تجزیہ کرتا ہے، اور اینٹی وائرس سافٹ ویئر اینڈ نوڈس پر انسٹال ہے۔ بہر حال، جس طرح پورے نیٹ ورک پر EDR سسٹم کو نافذ کرنا ناممکن ہے، جس کا مطلب ہے کہ "اندھے" دھبوں سے بچا نہیں جا سکتا۔ نیٹ ورک ٹریفک تجزیہ (NTA) سسٹم ان سے نمٹنے میں مدد کرتے ہیں۔ یہ حل نیٹ ورک کی رسائی کے ابتدائی مراحل کے ساتھ ساتھ نیٹ ورک کے اندر قدم جمانے اور حملہ کرنے کی کوششوں کے دوران حملہ آور کی سرگرمی کا پتہ لگاتے ہیں۔
NTAs کی دو قسمیں ہیں: کچھ NetFlow کے ساتھ کام کرتے ہیں، دوسرے خام ٹریفک کا تجزیہ کرتے ہیں۔ دوسرے سسٹم کا فائدہ یہ ہے کہ وہ خام ٹریفک ریکارڈ محفوظ کر سکتے ہیں۔ اس کی بدولت، ایک انفارمیشن سیکیورٹی ماہر حملے کی کامیابی کی تصدیق کر سکتا ہے، خطرے کو مقامی بنا سکتا ہے، یہ سمجھ سکتا ہے کہ حملہ کیسے ہوا اور مستقبل میں اس سے ملتے جلتے واقعات کو کیسے روکا جائے۔
ہم یہ دکھائیں گے کہ NTA کا استعمال کرتے ہوئے آپ علمی بنیاد میں بیان کردہ تمام معلوم حملے کی حکمت عملیوں کی شناخت کے لیے براہ راست یا بالواسطہ ثبوت کیسے استعمال کر سکتے ہیں۔ . ہم 12 حربوں میں سے ہر ایک کے بارے میں بات کریں گے، ان تکنیکوں کا تجزیہ کریں گے جن کا ٹریفک سے پتہ چلتا ہے، اور اپنے NTA سسٹم کا استعمال کرتے ہوئے ان کا پتہ لگانے کا مظاہرہ کریں گے۔
اے ٹی ٹی اینڈ سی کے نالج بیس کے بارے میں
MITER ATT&CK ایک عوامی نالج بیس ہے جسے MITER کارپوریشن نے حقیقی دنیا کے APTs کے تجزیہ کی بنیاد پر تیار اور برقرار رکھا ہے۔ یہ ہتھکنڈوں اور تکنیکوں کا ایک منظم سیٹ ہے جو حملہ آور استعمال کرتے ہیں۔ یہ پوری دنیا کے انفارمیشن سیکیورٹی پروفیشنلز کو ایک ہی زبان بولنے کی اجازت دیتا ہے۔ ڈیٹا بیس مسلسل پھیل رہا ہے اور نئے علم کے ساتھ اس کی تکمیل ہو رہی ہے۔
ڈیٹا بیس 12 حربوں کی نشاندہی کرتا ہے، جنہیں سائبر حملے کے مراحل سے تقسیم کیا گیا ہے:
- ابتدائی رسائی؛
- عملدرآمد؛
- استحکام (استقامت)؛
- استحقاق میں اضافہ؛
- پتہ لگانے کی روک تھام (دفاعی چوری)؛
- اسناد حاصل کرنا (تصدیق تک رسائی)؛
- تلاش؛
- فریم کے اندر تحریک (پس منظر کی تحریک)؛
- ڈیٹا اکٹھا کرنا (جمع کرنا)؛
- کمانڈ اور کنٹرول؛
- ڈیٹا کا اخراج؛
- کے اثرات.
ہر ایک حربے کے لیے، ATT&CK نالج بیس تکنیکوں کی فہرست درج کرتا ہے جو حملہ آوروں کو حملے کے موجودہ مرحلے پر اپنا ہدف حاصل کرنے میں مدد کرتی ہے۔ چونکہ ایک ہی تکنیک کو مختلف مراحل میں استعمال کیا جا سکتا ہے، اس لیے یہ کئی حربوں کا حوالہ دے سکتی ہے۔
ہر تکنیک کی تفصیل میں شامل ہیں:
- شناخت کنندہ؛
- حربوں کی ایک فہرست جس میں اسے استعمال کیا جاتا ہے۔
- APT گروپوں کے استعمال کی مثالیں؛
- اس کے استعمال سے ہونے والے نقصان کو کم کرنے کے اقدامات؛
- پتہ لگانے کی سفارشات
معلومات کے تحفظ کے ماہرین ڈیٹا بیس سے معلومات کو موجودہ حملے کے طریقوں کے بارے میں معلومات کی تشکیل کے لیے استعمال کر سکتے ہیں اور، اس کو مدنظر رکھتے ہوئے، ایک مؤثر حفاظتی نظام تشکیل دے سکتے ہیں۔ یہ سمجھنا کہ حقیقی اے پی ٹی گروپ کس طرح کام کرتے ہیں اس کے اندر موجود خطرات کو فعال طور پر تلاش کرنے کے لیے مفروضوں کا ذریعہ بھی بن سکتا ہے۔ .
پی ٹی نیٹ ورک اٹیک ڈسکوری کے بارے میں
ہم سسٹم کا استعمال کرتے ہوئے ATT&CK میٹرکس سے تکنیک کے استعمال کی نشاندہی کریں گے۔ — مثبت ٹیکنالوجیز NTA سسٹم، جو کہ نیٹ ورک کے دائرے اور اندر حملوں کا پتہ لگانے کے لیے ڈیزائن کیا گیا ہے۔ PT NAD MITER ATT&CK میٹرکس کے تمام 12 ہتھکنڈوں پر مختلف ڈگریوں کا احاطہ کرتا ہے۔ وہ ابتدائی رسائی، پس منظر کی نقل و حرکت، اور کمانڈ اینڈ کنٹرول کے لیے تکنیکوں کی شناخت میں سب سے زیادہ طاقتور ہے۔ ان میں، PT NAD آدھے سے زیادہ معلوم تکنیکوں کا احاطہ کرتا ہے، جو براہ راست یا بالواسطہ علامات سے ان کے اطلاق کا پتہ لگاتا ہے۔
سسٹم ٹیم کے ذریعہ بنائے گئے پتہ لگانے کے قواعد کا استعمال کرتے ہوئے ATT&CK تکنیکوں کا استعمال کرتے ہوئے حملوں کا پتہ لگاتا ہے۔ (PT ESC)، مشین لرننگ، سمجھوتہ کے اشارے، گہرے تجزیات اور سابقہ تجزیہ۔ ریئل ٹائم ٹریفک تجزیہ ایک سابقہ کے ساتھ مل کر آپ کو موجودہ چھپی ہوئی بدنیتی پر مبنی سرگرمی کی شناخت کرنے اور ترقی کے ویکٹرز اور حملوں کی تاریخ کو ٹریک کرنے کی اجازت دیتا ہے۔
PT NAD سے MITER ATT اور CK میٹرکس کی مکمل میپنگ۔ تصویر بڑی ہے، اس لیے ہمارا مشورہ ہے کہ آپ اسے ایک علیحدہ ونڈو میں دیکھیں۔
ابتدائی رسائی
ابتدائی رسائی کے حربوں میں کمپنی کے نیٹ ورک میں گھسنے کی تکنیکیں شامل ہیں۔ اس مرحلے پر حملہ آوروں کا ہدف حملہ شدہ سسٹم کو نقصان دہ کوڈ فراہم کرنا اور اس کے مزید نفاذ کے امکان کو یقینی بنانا ہے۔
PT NAD سے ٹریفک کے تجزیے سے ابتدائی رسائی حاصل کرنے کے لیے سات تکنیکوں کا پتہ چلتا ہے:
1. : ڈرائیو کی طرف سے سمجھوتہ
ایک تکنیک جس میں شکار ایک ویب سائٹ کھولتا ہے جسے حملہ آور ویب براؤزر کا استحصال کرنے اور ایپلیکیشن تک رسائی کے ٹوکن حاصل کرنے کے لیے استعمال کرتے ہیں۔
PT NAD کیا کرتا ہے؟: اگر ویب ٹریفک کو خفیہ نہیں کیا گیا ہے، تو PT NAD HTTP سرور کے جوابات کے مواد کا معائنہ کرتا ہے۔ ان جوابات میں ایسے کارنامے ہوتے ہیں جو حملہ آوروں کو براؤزر کے اندر صوابدیدی کوڈ پر عمل کرنے کی اجازت دیتے ہیں۔ PT NAD پتہ لگانے کے قواعد کا استعمال کرتے ہوئے خود بخود اس طرح کے کارناموں کا پتہ لگاتا ہے۔
مزید برآں، PT NAD پچھلے مرحلے میں خطرے کا پتہ لگاتا ہے۔ سمجھوتہ کے اصول اور اشارے اس صورت میں متحرک ہو جاتے ہیں جب صارف کسی ایسی سائٹ کا دورہ کرتا ہے جس نے اسے ایک ایسی سائٹ پر ری ڈائریکٹ کیا جس میں بہت سارے کارنامے ہوتے ہیں۔
2. : عوام کا سامنا کرنے والی درخواست کا استحصال کریں۔
انٹرنیٹ سے قابل رسائی خدمات میں کمزوریوں کا استحصال۔
PT NAD کیا کرتا ہے؟: نیٹ ورک پیکٹ کے مواد کا گہرا معائنہ کرتا ہے، غیر معمولی سرگرمی کی علامات کی نشاندہی کرتا ہے۔ خاص طور پر، ایسے اصول ہیں جو آپ کو بڑے مواد کے انتظام کے نظام (CMS)، نیٹ ورک آلات کے ویب انٹرفیس، اور میل اور FTP سرورز پر حملوں کا پتہ لگانے کی اجازت دیتے ہیں۔
3. : بیرونی دور دراز کی خدمات
حملہ آور باہر سے اندرونی نیٹ ورک کے وسائل سے جڑنے کے لیے ریموٹ ایکسیس سروسز کا استعمال کرتے ہیں۔
PT NAD کیا کرتا ہے؟: چونکہ سسٹم پروٹوکول کو پورٹ نمبروں سے نہیں بلکہ پیکٹ کے مواد سے پہچانتا ہے، اس لیے سسٹم کے صارفین ریموٹ ایکسیس پروٹوکول کے تمام سیشنز تلاش کرنے کے لیے ٹریفک کو فلٹر کر سکتے ہیں اور ان کی قانونی حیثیت کو چیک کر سکتے ہیں۔
4. : spearphishing منسلکہ
ہم فشنگ منسلکات کی بدنام زمانہ بھیجنے کے بارے میں بات کر رہے ہیں۔
PT NAD کیا کرتا ہے؟: خودکار طور پر ٹریفک سے فائلیں نکالتا ہے اور سمجھوتہ کے اشارے کے خلاف ان کی جانچ کرتا ہے۔ اٹیچمنٹ میں ایگزیکیوٹیبل فائلوں کا پتہ ان اصولوں سے ہوتا ہے جو میل ٹریفک کے مواد کا تجزیہ کرتے ہیں۔ کارپوریٹ ماحول میں، اس طرح کی سرمایہ کاری کو غیرمعمولی سمجھا جاتا ہے۔
5. : spearphishing لنک
فشنگ لنکس کا استعمال۔ اس تکنیک میں حملہ آوروں کو ایک ایسے لنک کے ساتھ فشنگ ای میل بھیجنا شامل ہے جس پر کلک کرنے پر، ایک بدنیتی پر مبنی پروگرام ڈاؤن لوڈ ہو جاتا ہے۔ ایک اصول کے طور پر، لنک کے ساتھ سماجی انجینئرنگ کے تمام اصولوں کے مطابق مرتب کردہ متن بھی شامل ہے۔
PT NAD کیا کرتا ہے؟: سمجھوتہ کے اشارے کا استعمال کرتے ہوئے فشنگ لنکس کا پتہ لگاتا ہے۔ مثال کے طور پر، PT NAD انٹرفیس میں ہم ایک سیشن دیکھتے ہیں جس میں فشنگ ایڈریس (phishing-urls) کی فہرست میں شامل لنک کے ذریعے HTTP کنکشن تھا۔
سمجھوتہ فشنگ یو آر ایل کے اشارے کی فہرست سے ایک لنک کے ذریعے کنکشن
6. : قابل اعتماد رشتہ
تیسرے فریق کے ذریعے متاثرہ کے نیٹ ورک تک رسائی جن کے ساتھ متاثرہ نے ایک قابل اعتماد رشتہ قائم کیا ہے۔ حملہ آور کسی بھروسہ مند ادارے کو ہیک کر سکتے ہیں اور اس کے ذریعے ٹارگٹ نیٹ ورک سے جڑ سکتے ہیں۔ ایسا کرنے کے لیے، وہ VPN کنکشن یا ڈومین ٹرسٹ استعمال کرتے ہیں، جن کی شناخت ٹریفک تجزیہ کے ذریعے کی جا سکتی ہے۔
PT NAD کیا کرتا ہے؟: ایپلیکیشن پروٹوکول کو پارس کرتا ہے اور ڈیٹا بیس میں تجزیہ شدہ فیلڈز کو محفوظ کرتا ہے، تاکہ معلوماتی سیکیورٹی تجزیہ کار ڈیٹا بیس میں موجود تمام مشکوک VPN کنکشنز یا کراس ڈومین کنکشنز کو تلاش کرنے کے لیے فلٹرز کا استعمال کر سکے۔
7. : درست اکاؤنٹس
بیرونی اور اندرونی خدمات پر اجازت کے لیے معیاری، مقامی یا ڈومین اسناد کا استعمال۔
PT NAD کیا کرتا ہے؟: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos پروٹوکولز سے خودکار طور پر اسناد بازیافت کرتا ہے۔ عام طور پر، یہ لاگ ان، پاس ورڈ اور کامیاب تصدیق کی علامت ہے۔ اگر وہ استعمال کیے گئے ہیں، تو وہ متعلقہ سیشن کارڈ میں دکھائے جاتے ہیں۔
عملدرآمد
پھانسی کی حکمت عملیوں میں وہ تکنیکیں شامل ہیں جو حملہ آور سمجھوتہ کرنے والے نظاموں پر کوڈ کو چلانے کے لیے استعمال کرتے ہیں۔ بدنیتی پر مبنی کوڈ کو چلانے سے حملہ آوروں کو موجودگی (استقامت کی حکمت عملی) قائم کرنے اور نیٹ ورک پر ریموٹ سسٹمز تک رسائی کو وسیع کرنے میں مدد ملتی ہے جو دائرہ کے اندر جاکر آگے بڑھتے ہیں۔
PT NAD آپ کو 14 تکنیکوں کے استعمال کا پتہ لگانے کی اجازت دیتا ہے جو حملہ آوروں کی طرف سے نقصان دہ کوڈ کو انجام دینے کے لیے استعمال کیا جاتا ہے۔
1. : CMSTP (مائیکروسافٹ کنکشن مینیجر پروفائل انسٹالر)
ایک حربہ جس میں حملہ آور بلٹ ان ونڈوز یوٹیلیٹی CMSTP.exe (کنکشن مینیجر پروفائل انسٹالر) کے لیے ایک خاص بدنیتی پر مبنی انسٹالیشن INF فائل تیار کرتے ہیں۔ CMSTP.exe فائل کو پیرامیٹر کے طور پر لیتا ہے اور ریموٹ کنکشن کے لیے سروس پروفائل انسٹال کرتا ہے۔ نتیجے کے طور پر، CMSTP.exe کو ریموٹ سرورز سے ڈائنامک لنک لائبریریز (*.dll) یا اسکرپٹلیٹس (*.sct) کو لوڈ کرنے اور اس پر عمل کرنے کے لیے استعمال کیا جا سکتا ہے۔
PT NAD کیا کرتا ہے؟: HTTP ٹریفک میں خاص قسم کی INF فائلوں کی منتقلی کا خود بخود پتہ لگاتا ہے۔ اس کے علاوہ، یہ ریموٹ سرور سے نقصان دہ اسکرپٹلیٹس اور ڈائنامک لنک لائبریریوں کی HTTP ٹرانسمیشن کا پتہ لگاتا ہے۔
2. : کمانڈ لائن انٹرفیس
کمانڈ لائن انٹرفیس کے ساتھ تعامل۔ کمانڈ لائن انٹرفیس کے ساتھ مقامی طور پر یا دور سے بات چیت کی جا سکتی ہے، مثال کے طور پر ریموٹ ایکسیس یوٹیلیٹیز کا استعمال۔
PT NAD کیا کرتا ہے؟: مختلف کمانڈ لائن یوٹیلیٹیز جیسے پنگ، ifconfig شروع کرنے کے لیے کمانڈز کے جوابات کی بنیاد پر شیلز کی موجودگی کا خود بخود پتہ لگاتا ہے۔
3. : جزو آبجیکٹ ماڈل اور تقسیم شدہ COM
COM یا DCOM ٹیکنالوجیز کا استعمال مقامی یا ریموٹ سسٹمز پر کوڈ کو چلانے کے لیے جب کہ نیٹ ورک پر منتقل ہوتا ہے۔
PT NAD کیا کرتا ہے؟: مشکوک DCOM کالز کا پتہ لگاتا ہے جو حملہ آور عام طور پر پروگرام شروع کرنے کے لیے استعمال کرتے ہیں۔
4. : کلائنٹ پر عمل درآمد کے لیے استحصال
کسی ورک سٹیشن پر صوابدیدی کوڈ کو لاگو کرنے کے لیے کمزوریوں کا استحصال۔ حملہ آوروں کے لیے سب سے مفید کارنامے وہ ہیں جو کوڈ کو ریموٹ سسٹم پر عمل میں لانے کی اجازت دیتے ہیں، کیونکہ وہ حملہ آوروں کو اس سسٹم تک رسائی حاصل کرنے کی اجازت دیتے ہیں۔ تکنیک کو درج ذیل طریقوں سے لاگو کیا جا سکتا ہے: بدنیتی پر مبنی میلنگ، براؤزر کے استحصال کے ساتھ ایک ویب سائٹ، اور ایپلیکیشن کی کمزوریوں کا دور دراز سے استحصال۔
PT NAD کیا کرتا ہے؟: میل ٹریفک کو پارس کرتے وقت، PT NAD اسے منسلکات میں قابل عمل فائلوں کی موجودگی کے لیے چیک کرتا ہے۔ ای میلز سے دفتری دستاویزات خود بخود نکالتا ہے جن میں کارنامے ہوسکتے ہیں۔ کمزوریوں سے فائدہ اٹھانے کی کوششیں ٹریفک میں نظر آتی ہیں، جن کا PT NAD خود بخود پتہ لگاتا ہے۔
5. : mshta
mshta.exe یوٹیلیٹی استعمال کریں، جو کہ .hta ایکسٹینشن کے ساتھ Microsoft HTML ایپلیکیشنز (HTA) چلاتی ہے۔ چونکہ mshta براؤزر سیکیورٹی سیٹنگز کو نظرانداز کرتے ہوئے فائلوں پر کارروائی کرتا ہے، اس لیے حملہ آور نقصان دہ HTA، JavaScript، یا VBScript فائلوں کو انجام دینے کے لیے mshta.exe استعمال کر سکتے ہیں۔
PT NAD کیا کرتا ہے؟mshta کے ذریعے عمل درآمد کے لیے hta فائلیں بھی نیٹ ورک پر منتقل ہوتی ہیں - یہ ٹریفک میں دیکھی جا سکتی ہے۔ PT NAD اس طرح کی بدنیتی پر مبنی فائلوں کی منتقلی کا خود بخود پتہ لگاتا ہے۔ یہ فائلوں پر قبضہ کرتا ہے، اور ان کے بارے میں معلومات سیشن کارڈ میں دیکھی جا سکتی ہیں۔
6. : پاور شیل
معلومات تلاش کرنے اور بدنیتی پر مبنی کوڈ کو انجام دینے کے لیے PowerShell کا استعمال کرنا۔
PT NAD کیا کرتا ہے؟: جب PowerShell کو ریموٹ حملہ آور استعمال کرتے ہیں، تو PT NAD قواعد کا استعمال کرتے ہوئے اس کا پتہ لگاتا ہے۔ یہ PowerShell زبان کے کلیدی الفاظ کا پتہ لگاتا ہے جو اکثر نقصان دہ اسکرپٹس اور SMB پروٹوکول پر PowerShell اسکرپٹس کی ترسیل میں استعمال ہوتے ہیں۔
7. : طے شدہ کام
مخصوص اوقات میں پروگراموں یا اسکرپٹس کو خود بخود چلانے کے لیے ونڈوز ٹاسک شیڈیولر اور دیگر افادیت کا استعمال۔
PT NAD کیا کرتا ہے؟: حملہ آور ایسے کام بناتے ہیں، عام طور پر دور سے، جس کا مطلب ہے کہ ایسے سیشن ٹریفک میں نظر آتے ہیں۔ PT NAD خود کار طریقے سے ATSVC اور ITaskSchedulerService RPC انٹرفیس کا استعمال کرتے ہوئے مشتبہ کام کی تخلیق اور ترمیم کی کارروائیوں کا پتہ لگاتا ہے۔
8. : سکرپٹ
حملہ آوروں کی مختلف کارروائیوں کو خودکار بنانے کے لیے اسکرپٹ کا نفاذ۔
PT NAD کیا کرتا ہے؟: نیٹ ورک پر اسکرپٹس کی ترسیل کا پتہ لگاتا ہے، یعنی ان کے لانچ ہونے سے پہلے ہی۔ یہ خام ٹریفک میں اسکرپٹ کے مواد کا پتہ لگاتا ہے اور مقبول اسکرپٹنگ زبانوں کے مطابق ایکسٹینشن کے ساتھ فائلوں کے نیٹ ورک ٹرانسمیشن کا پتہ لگاتا ہے۔
9. : سروس پر عمل درآمد
ایک قابل عمل فائل، کمانڈ لائن انٹرفیس ہدایات، یا ونڈوز سروسز، جیسے سروس کنٹرول مینیجر (SCM) کے ساتھ بات چیت کرکے اسکرپٹ چلائیں۔
PT NAD کیا کرتا ہے؟: SMB ٹریفک کا معائنہ کرتا ہے اور سروس بنانے، تبدیل کرنے اور شروع کرنے کے قواعد کے ساتھ SCM تک رسائی کا پتہ لگاتا ہے۔
سروس اسٹارٹ اپ تکنیک کو ریموٹ کمانڈ ایگزیکیوشن یوٹیلیٹی PSExec کا استعمال کرتے ہوئے لاگو کیا جا سکتا ہے۔ PT NAD SMB پروٹوکول کا تجزیہ کرتا ہے اور PSExec کے استعمال کا پتہ لگاتا ہے جب یہ PSEXESVC.exe فائل یا معیاری PSEXECSVC سروس کا نام ریموٹ مشین پر کوڈ پر عمل کرنے کے لیے استعمال کرتا ہے۔ صارف کو عمل میں آنے والے کمانڈز کی فہرست اور میزبان سے ریموٹ کمانڈ پر عمل درآمد کی قانونی حیثیت کو چیک کرنے کی ضرورت ہے۔
PT NAD میں حملہ کارڈ ATT&CK میٹرکس کے مطابق استعمال کی جانے والی حکمت عملیوں اور تکنیکوں کا ڈیٹا دکھاتا ہے تاکہ صارف یہ سمجھ سکے کہ حملہ آور حملے کے کس مرحلے پر ہیں، وہ کن اہداف کا تعاقب کر رہے ہیں، اور معاوضہ کے لیے کیا اقدامات کرنے ہیں۔
PSExec یوٹیلیٹی کو استعمال کرنے کے بارے میں قاعدہ کو متحرک کیا گیا ہے، جو ریموٹ مشین پر کمانڈز کو انجام دینے کی کوشش کی نشاندہی کر سکتا ہے۔
10. : تھرڈ پارٹی سافٹ ویئر
ایک تکنیک جس میں حملہ آور ریموٹ ایڈمنسٹریشن سافٹ ویئر یا کارپوریٹ سافٹ ویئر کی تعیناتی کے نظام تک رسائی حاصل کرتے ہیں اور اسے بدنیتی پر مبنی کوڈ چلانے کے لیے استعمال کرتے ہیں۔ اس طرح کے سافٹ ویئر کی مثالیں: SCCM، VNC، TeamViewer، HBSS، Altiris۔
ویسے، یہ تکنیک خاص طور پر دور دراز کے کام میں بڑے پیمانے پر منتقلی اور اس کے نتیجے میں، مشکوک ریموٹ رسائی چینلز کے ذریعے متعدد غیر محفوظ گھریلو آلات کے کنکشن کے سلسلے میں متعلقہ ہے۔
PT NAD کیا کرتا ہے؟: نیٹ ورک پر ایسے سافٹ ویئر کے آپریشن کا خود بخود پتہ لگاتا ہے۔ مثال کے طور پر، قوانین VNC پروٹوکول کے ذریعے رابطوں اور EvilVNC ٹروجن کی سرگرمی سے متحرک ہوتے ہیں، جو کہ خفیہ طور پر شکار کے میزبان پر VNC سرور انسٹال کرتا ہے اور اسے خود بخود لانچ کرتا ہے۔ نیز، PT NAD خود بخود TeamViewer پروٹوکول کا پتہ لگاتا ہے، اس سے تجزیہ کار کو، فلٹر کا استعمال کرتے ہوئے، ایسے تمام سیشنز تلاش کرنے اور ان کی قانونی حیثیت کی جانچ کرنے میں مدد ملتی ہے۔
11. : صارف پر عملدرآمد
ایک تکنیک جس میں صارف ایسی فائلیں چلاتا ہے جو کوڈ پر عمل درآمد کا باعث بن سکتی ہیں۔ یہ ہو سکتا ہے، مثال کے طور پر، اگر وہ ایک قابل عمل فائل کھولتا ہے یا میکرو کے ساتھ دفتری دستاویز چلاتا ہے۔
PT NAD کیا کرتا ہے؟: اس طرح کی فائلوں کو لانچ ہونے سے پہلے منتقلی کے مرحلے پر دیکھتا ہے۔ ان کے بارے میں معلومات کا مطالعہ ان سیشنوں کے کارڈ میں کیا جا سکتا ہے جن میں وہ منتقل ہوئے تھے۔
12. :ونڈوز مینجمنٹ انسٹرومینٹیشن
WMI ٹول کا استعمال، جو ونڈوز سسٹم کے اجزاء تک مقامی اور ریموٹ رسائی فراہم کرتا ہے۔ WMI کا استعمال کرتے ہوئے، حملہ آور مقامی اور دور دراز کے نظاموں کے ساتھ بات چیت کر سکتے ہیں اور مختلف کام انجام دے سکتے ہیں، جیسے کہ جاسوسی کے مقاصد کے لیے معلومات اکٹھا کرنا اور بعد میں حرکت کرتے ہوئے دور سے عمل شروع کرنا۔
PT NAD کیا کرتا ہے؟: چونکہ WMI کے ذریعے ریموٹ سسٹمز کے ساتھ تعاملات ٹریفک میں نظر آتے ہیں، اس لیے PT NAD WMI سیشنز قائم کرنے کے لیے نیٹ ورک کی درخواستوں کا خود بخود پتہ لگاتا ہے اور WMI استعمال کرنے والے اسکرپٹس کے لیے ٹریفک کو چیک کرتا ہے۔
13. : ونڈوز ریموٹ مینجمنٹ
ونڈوز سروس اور پروٹوکول کا استعمال جو صارف کو ریموٹ سسٹم کے ساتھ بات چیت کرنے کی اجازت دیتا ہے۔
PT NAD کیا کرتا ہے؟: ونڈوز ریموٹ مینجمنٹ کا استعمال کرتے ہوئے قائم کردہ نیٹ ورک کنکشن کو دیکھتا ہے۔ اس طرح کے سیشن قوانین کے ذریعہ خود بخود پائے جاتے ہیں۔
14. : XSL (ایکسٹینسیبل اسٹائل شیٹ لینگویج) اسکرپٹ پروسیسنگ
XSL سٹائل مارک اپ لینگویج کا استعمال XML فائلوں میں ڈیٹا کی پروسیسنگ اور ویژولائزیشن کو بیان کرنے کے لیے کیا جاتا ہے۔ پیچیدہ آپریشنز کو سپورٹ کرنے کے لیے، XSL معیار میں مختلف زبانوں میں ایمبیڈڈ اسکرپٹس کے لیے تعاون شامل ہے۔ یہ زبانیں صوابدیدی کوڈ کے نفاذ کی اجازت دیتی ہیں، جو سفید فہرستوں پر مبنی سیکیورٹی پالیسیوں کو نظرانداز کرنے کا باعث بنتی ہے۔
PT NAD کیا کرتا ہے؟: نیٹ ورک پر ایسی فائلوں کی منتقلی کا پتہ لگاتا ہے، یعنی ان کے لانچ ہونے سے پہلے ہی۔ یہ خود بخود نیٹ ورک پر منتقل ہونے والی XSL فائلوں اور غیر معمولی XSL مارک اپ والی فائلوں کا پتہ لگاتا ہے۔
مندرجہ ذیل مواد میں، ہم دیکھیں گے کہ پی ٹی نیٹ ورک اٹیک ڈسکوری NTA سسٹم کس طرح MITER ATT&CK کے مطابق حملہ آور کی دوسری حکمت عملیوں اور تکنیکوں کو تلاش کرتا ہے۔ دیکھتے رہنا!
مصنفین:
- پی ٹی ایکسپرٹ سیکیورٹی سینٹر، مثبت ٹیکنالوجیز کے ماہر انتون کوٹیپوف
- نتالیہ کازانکووا، مثبت ٹیکنالوجیز میں پروڈکٹ مارکیٹر
ماخذ: www.habr.com