رایجترین تکنیکهای MITER ATT&CK که در حوادث دنیای واقعی با آنها مواجه میشوند کدامند – و چگونه میتوان آنها را خنثی کرد؟ ما با استفاده از آمار مربوط به سرویسهای Incident Response و MDR ، این موارد را بررسی میکنیم!
گزارشهای اخیر کارشناسان کسپرسکی در مورد آمار سرویسهای تشخیص و پاسخ مدیریت شده (MDR) و واکنش رویداد (IR) برای سال 2023 نشان میدهد که اکثر حملات سایبری مشاهدهشده از تعدادی تکنیک استفاده میکنند که بارها و بارها تکرار میشوند. این تکنیک ها هم در حملاتی که به طور کامل اجرا می شوند و باعث آسیب می شوند و هم در حوادثی که در مراحل اولیه متوقف می شوند دیده می شوند. ما تصمیم گرفتیم این تکنیک ها را بر اساس چارچوب ATT&CK فهرست کنیم و توصیه های متخصص برای خنثی کردن آنها را خلاصه کنیم. فراوانی استفاده برای هر تکنیک و نمونه های خاص را می توان در خود گزارش ها یافت.
بهره برداری از برنامه های کاربردی عمومی
تکنیک ATT&CK: T1190، تاکتیک: TA0001 (دسترسی اولیه)
چیست: بهره برداری از آسیب پذیری ها در یکی از برنامه های کاربردی سازمان که از طریق اینترنت قابل دسترسی است. وب سرورها، سرورهای Exchange، سرورهای پایگاه داده و نقاط دسترسی VPN محبوب ترین اهداف هستند. مهاجمان همچنین به طور فعال به دنبال و بهره برداری از پنل های کنترل زیرساخت فناوری اطلاعات در دسترس عموم هستند – از سرورهای SSH تا SNMP.
چگونه از خود محافظت کنید: به روز رسانی نرم افزار را در محیط شبکه اولویت بندی کنید و از اقدامات امنیتی اضافی برای خدمات پیرامونی استفاده کنید. پورت های کنترل را به دسترسی خارجی ببندید. به طور منظم محیط خارجی را برای آسیبپذیریها و برنامههایی که به طور تصادفی به آنها دسترسی خارجی داده شده است، اسکن کنید و آن را لغو کنید. عوامل EDR و ابزارهای امنیتی، از جمله بر روی سرورهای برنامه نصب کنید.
فیشینگ
تکنیک ATT&CK: T1566، تاکتیک: TA0001 (دسترسی اولیه)
چیست: توزیع انبوه یا هدفمند پیامها از طریق ایمیل، پیامک و برنامههای پیامرسان که برای فریب کارمندان شرکت طراحی شدهاند تا اعتبار خود را فاش کنند یا محتوای مخرب را از طریق پیوند دانلود کنند.
چگونه از خود محافظت کنید: آگاهی را در بین همه کارمندان شرکت افزایش دهید، جلسات آموزشی برگزار کنید، از جدیدترین راه حل های امنیتی برای سرورهای ایمیل استفاده کنید، و راه حل های EMM/UEM را برای محافظت از دستگاه های تلفن همراه کارمندان، از جمله دستگاه های شخصی، به کار بگیرید.
حسابهای معتبر توسط مهاجمان به خطر افتاده است
تکنیک ATT&CK: T1078، تاکتیکها: TA0001، TA0003، TA0004، TA0005 (دسترسی اولیه، پایداری، افزایش امتیاز، فرار از دفاع)
چیست: یکی از موثرترین تکنیک هایی که مهاجمان به کار می برند. در طول نفوذ اولیه به شبکه، مهاجمان از اعتبارنامههای کارکنان بهدستآمده از طریق نشتهای خریداری شده یا فیشینگ استفاده میکنند. سپس از دامنه و حسابهای محلی موجود در رایانه در معرض خطر برای توسعه حمله استفاده میکنند.
چگونه از خود محافظت کنید: روشهای احراز هویت چند عاملی (MFA) مقاوم در برابر فیشینگ را بهویژه برای حسابهای دارای امتیاز پیادهسازی کنید. اصل کمترین امتیاز را بپذیرید. حسابهای پیشفرض (مانند «مهمان») را غیرفعال کنید و برای حسابهای سرپرست محلی، یک رمز عبور منحصر به فرد برای هر رایانه تعیین کنید. از SIEM و XDR برای تشخیص اقدامات غیرعادی کاربر استفاده کنید.
حملات Brute force
تکنیک ATT&CK: T1110، تاکتیک: TA0006 (دسترسی به اعتبار)
چیست: مهاجمان می توانند رمزهای عبور حساب های مورد علاقه را از طریق حملات brute-force یا حدس زدن رمز عبور بر اساس هش های شناخته شده کشف کنند. یکی از انواع این حمله، پاشش رمز عبور است، که در آن همان رمزهای عبور محبوب به تعدادی از حساب ها اعمال می شود، به امید یافتن کاربری که چنین رمز عبور ضعیفی را انتخاب کرده است.
چگونه از خود محافظت کنید: خطمشیهای رمز عبور را اجرا کنید که از حملات brute-force جلوگیری میکند و سیاستهای سختگیرانهتری را برای حسابهایی اعمال کنید که MFA نمیتواند فعال شود. تعداد تلاشهای ورود به سیستم را در همه سیستمها محدود کنید و در صورت بیش از تعداد تلاشها، حساب را مسدود کنید. قوانین نظارت SIEM را برای تشخیص افزایش کلی در تلاش های احراز هویت ناموفق پیکربندی کنید.
رابطه قابل اعتماد
تکنیک ATT&CK: T1199، تاکتیک: TA0001 (دسترسی اولیه)
چیست: به خطر انداختن یک سازمان از طریق شرکا و پیمانکارانش. اگر شریکی هک شود، مهاجمان می توانند از نقاط دسترسی و ابزارهای کشف شده برای نفوذ به سازمان استفاده کنند. در عمل، هکرها اغلب پیمانکاران فرعی فناوری اطلاعات (MSP ها، ارائه دهندگان احراز هویت، متخصصان پشتیبانی فنی) را با دسترسی اداری به سیستم های سازمان هدف قرار می دهند.
چگونه از خود محافظت کنید: به طور منظم دسترسی خارجی را بررسی کنید، مجوزهای قدیمی را لغو کنید، اصل حداقل امتیاز را برای آنها اعمال کنید، و سیاست های رمز عبور سختگیرانه و MFA را برای چنین حساب هایی اجرا کنید. از تقسیم بندی شبکه برای محدود کردن پیمانکاران خارجی فقط به منابع مورد نیازشان استفاده کنید.
مفسر دستور و اسکریپت
تکنیک ATT&CK: T1059، تاکتیک: TA0002 (اجرا)
چیست: در اکثریت قریب به اتفاق حملات، مهاجمان باید کد خود را بر روی رایانه های در معرض خطر اجرا کنند. برای جلوگیری از جلب توجه و استفاده از بدافزارهای تخصصی، آنها اغلب از ابزارهای اسکریپت نویسی قانونی استفاده می کنند که از قبل در اکثر سیستم های شرکتی نصب شده اند. محبوبترین آنها Microsoft PowerShell است، اما حملاتی نیز با استفاده از اسکریپتها در Visual Basic، Python و AutoIT و همچنین پوستههای اولیه ویندوز و یونیکس (cmd و sh/bash/zsh) وجود دارد.
چگونه از خود محافظت کنید: برای محدود کردن راهاندازی برنامههایی که در رایانههای خاص مورد نیاز نیستند، از فهرست مجاز استفاده کنید. راه اندازی مفسرهای اسکریپت را با استفاده از XDR و EDR دنبال کنید، اما به خاطر داشته باشید که منطق تشخیص باید به طور مداوم با مشخصات زیرساخت فناوری اطلاعات سازمان تنظیم شود.
دستکاری حساب
تکنیک ATT&CK: T1098، تاکتیکها: TA0003، TA0004 (پایداری، افزایش امتیاز)
چیست: طیف وسیعی از تغییراتی که مهاجمان در حساب هایی که به آنها دسترسی دارند ایجاد می کنند. این تغییرات میتواند شامل افزودن حساب به گروههای دارای امتیاز، فعال کردن حسابهای غیرفعالشده، تغییر رمز عبور و تغییر مجوزهای حسابها و گروهها باشد.
چگونه از خود محافظت کنید: اصل حداقل امتیاز را اعمال کنید، موجودی حسابها را به طور منظم انجام دهید، مجوزهای قدیمی را لغو کنید، و حسابهای غیرضروری را مسدود یا حذف کنید.
بهره برداری از خدمات از راه دور
تکنیک ATT&CK: T1210، تاکتیک: TA0008 (حرکت جانبی)
این چیست: پس از به خطر انداختن یکی از رایانههای موجود در شبکه، مهاجمان آن را برای برنامههای آسیبپذیر اسکن میکنند تا رایانههای دیگری را آلوده کنند یا امتیازات بالایی بر روی آنها به دست آورند. در سال 2023، آسیبپذیریهای قدیمی در SMB v1 و Exchange Server بسیار محبوب بودند و تأیید میکردند که سرویسهای IT توجه کافی به رفع آسیبپذیریها ندارند.
چگونه از خود محافظت کنید: برنامه های سرویس گیرنده و سرویس دهنده را به سرعت به روز کنید، سرویس های غیر ضروری را در همه رایانه ها غیرفعال کنید، و از تقسیم بندی شبکه و اصل حداقل امتیاز برای محدود کردن قابلیت های مهاجمان حتی اگر آنها موفق به سوء استفاده از یک آسیب پذیری شوند استفاده کنید. از راهحلهای امنیتی استفاده کنید که میتوانند تلاشها برای سوءاستفاده از آسیبپذیریها را شناسایی و مسدود کنند.
راه اندازی خدمات سیستم
تکنیک ATT&CK: T1569، تاکتیک: TA0002 (اجرا)
این چیست: مهاجمان علاوه بر استفاده از پوسته های فرمان، اغلب از راه اندازی سرویس های سیستم برای اجرای وظایف مخرب و ایجاد پایداری در سیستم استفاده می کنند. رهبر بلامنازع در اینجا PsExec است که می تواند برای اجرای یک کار دلخواه در یک کامپیوتر ویندوز از راه دور استفاده شود.
چگونه از خود محافظت کنید: از سیستمهای XDR یا EDR استفاده کنید که میتوانند رفتار غیرعادی سرویسهای سیستم را ردیابی کنند، خطمشیهایی را پیکربندی کنند تا کاربران با امتیاز پایین را از راهاندازی سرویسهای ممتاز و نصب نرمافزار سیستم محدود کنند.
ترجمه:
پیشگامان تجارت امن ایرانیان