روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گزارشات اخیرِ متخصصین کسپرسکی از آمار خدمات MDR و IR سال 2023 نشان می‌دهد که حملات سایبری که بیش از همه مشاهده شدند مکرراً از یک سری تکنیک استفاده می‌کنند. این تکنیک‌ها هم در حملاتی که کاملاً اجرا شدند و خسارت به بار آوردند دیده شده‌اند و هم در رخدادهایی که در همان مراحل اولیه خنثی شدند. از این رو تصمیم گرفتیم این تکنیک‌ها را بر اساس فریم‌ورک ATT&CK  فهرست کنیم و توصیه متخصصین را برای خنثی‌سازی آن‌ها به طور خلاصه نماییم. میزان تکرار بکارگیری هر تکنیک و نمونه‌های خاص آن را می‌شود در خود گزارشات پیدا کرد. با ما همراه باشید.

اکسپلویتِ اپ‌هایی با وجهه‌عمومی[1]

تکنیک حمله: T1190

تاکتیک: TA0001

(دسترسی اولیه)

ماهیت: اکسپلویت آسیب‌پذیری‌هایی در یکی از اپ‌های سازمان که از اینترنت قابل‌دسترسی است. وب‌سرورها، اکسچینچ سرورها، سرورهای پایگاه داده و نقاط دسترسی وی‌پی‌ان محبوب‌ترین تارگت‌ها هستند. مهاجمین همچنین فعالانه به دنبال اکسپلویت کنترل پنل‌های زیرساخت آی‌تی هستند که به طور عمومی قابل‌دسترسی‌اند (از سرورهای SSH گرفته تا SNMP).

چطور از خود محافظت کنیم: آپدیت نرم‌افزار را در محیط شبکه اولویت قرار داده و برای خدمات محیطی از اقدامات امنیتی اضافی استفاده کنید. پورت‌های کنترل به دسترسی خارجی را ببندید. مرتباً محیط خارجی را اسکن کنید تا مبادا آسیب‌پذیری‌ای پیدا شود و برای اپ‌هایی که تصادفاً دسترسی خارجی پیدا کردند بعد از اسکن این دسترسی را لغو کنید. نماینده‌های EDR و ابزارهای امنیتی را شامل آن‌هایی که روی سرورهای اپ هستند نصب کنید.

فیشینگ

تکنیک حمله: T1566

تاکتیک: TA0001

(دسترسی اولیه)

ماهیت: توزیع انبوه یا هدف‌دار پیام‌ها از طریق ایمیل، اس‌ام‌اس و اپ‌های پیام‌رسانی که طراحی شدند کارمندان شرکت را فریب دهند اطلاعات محرمانه خود را نمایش داده یا محتوای مخربی را از طریق لینکی دانلود کنند.

چطور از خود محافظت کنیم: آگاهی کارمندان شرکت خود را بالا برده، جلسات آموزشی برگزار کرده و از جدیدترین راهکارهای امنیتی برای میل سرورها استفاده نموده و راهکارهای EMM/UEM را برای محافت از دستگاه‌های موبایل کارمندان شامل دستگاه‌های شخصی به کار ببندید.

اکانت‌های معتبر که مهاجمین دستکاری کردند

تکنیک حمله: T1078

تاکتیک: TA0001, TA0003, TA0004, TA0005

(دسترسی اولیه، پایداری، افزایش مزیت و دور زدن لایه‌های دفاعی)

ماهیت: یکی از مؤثرترین تکنیک‌های بکاررفته توسط مهاجمین. در طول نفوذ اولیه به شبکه، مهاجمین از اطلاعات کارمندان که از طریق نشتی‌های خریداری‌شده یا فیشینگ بدست آمدند استفاده می‌کنند. سپس برای پیشبرد حمله خود به سراغ دامنه و اکانت‌های لوکال یافت‌شده روی کامپیوتر دستکاری‌شده می‌روند.

چطور از خود محافظت کنیم: متودهای MFA که در برابر فیشینگ مقاوم هستند به کار ببرد؛ خصوصاً برای اکانت‌های مزیت‌دار. اصل اقل مزیت را اتخاذ کنید. اکانت‌های پیش‌فرض را (مانند «مهمان») غیرفعال کرده و برای اکانت‌های لوکال ادمین پسورد منحصر به فرد برای هر کامپیوتر درست کنید. برای شناسایی اقدامات ناهنجار کاربر از SIEM و XDR استفاده کنید.

جستجوی فراگیر

تکنیک حمله: T1110

تاکتیک:  TA0006 

(دسترسی به اطلاعات محرمانه)

ماهیت: مهاجمین می‌توانند برای اکانت‌های مورد علاقه خود از طریق حملات جستجوی فراگیر یا حدس زدن پسورد بر اساس هش‌های شناخته‌شده پسوردها را کشف کنند. سویه‌ای از این حمله اسپری کردن پسورد است جایی که پسوردهای محبوب و یکسان روی تعدادی اکانت پیاده می‌شوند به امید اینکه شاید کاربری پیدا شود که چنین پسورد ضعیفی را انتخاب کرده باشد.

چطور از خود محافظت کنیم: خط‌مشی‌های پسورد را که جلوی حملات جستجوی فراگیر را می‌گیرند به کار ببرید و برای اکانت‌هایی که در آن‌ها MFA فعال نیست حتی خط‌مشی‌هایتان سختگیرانه‌تر هم بشود. تعداد تلاش‌های لاگین را روی همه سیستم‌ها محدود کرده و اگر تعداد تلاش‌ها بیش از حد شد اکانت را ببندید. SIEM را پیکربندی کنید چرا که کارش نظارت بر قوانین است تا شناسایی کند آیا در تلاش‌های شکست‌خورده احراز افزایشی دیده می‌شود یا نه.

رابطه قابل‌اعتماد

تکنیک حمله: T1110

تاکتیک:  TA0001 

(دسترسی اولیه)

ماهیت: دستکاری سازمان از طریق شرکا و پیمانکارانش. اگر شریکی هک شد، مهاجمین از نقاط دسترسی کشف‌شده و ابزارها برای نفوذ به سازمان استفاده می‌کنند. در عمل، هکرها اغلب پیمانکاران زیرمجموعه بخش آی‌تی را (MSP‌ها، ارائه‌دهندگان احراز هویت و متخصصین پشتیبانی فنی) هدف قرار می‌دهد که به سیستم‌های سازمان دسترسی ادمین دارند.

چطور از خود محافظت کنیم: مرتباً دسترسی خارجی را ممیزی کنید، مجوزهای تاریخ گذشته را لغو نموده، اصل اقل مزیت را اتخاذ کرده و برای چنین اکانت‌هایی خط‌مشی سختگیرانه پسورد و MFA را انتخاب کنید. همچنین برای محدود کردن کنتراکتورهای خارجی تنها به منبعی که نیازشان است از جداسازی شبکه استفاده کنید.

مفسر فرمان و اسکریپ

تکنیک حمله: T1059

تاکتیک: TA0002

(اجرا)

ماهیت: در بیشتر حملات، مهاجمین نیاز دارند کد خود را روی کامپیورهای دستکاری‌شده اجرا کنند. برای جلوگیری از جلب توجه و استفاده از بدافزار تخصصی آن‌ها اغلب از ابزارهای قانونی اسکریپت‌سازی که از قبل روی بیشتر سیستم‌های سازمانی نصب است استفاده می‌کنند که محبوب‌ترینشان مایکروسافت پاورشل است اما همچنین حملاتی وجود دارند که از اسکرسپت‌ها در Visual Basic، Python و AutoIT و همچنین ویندوز معمولی و شل‌های یونیکس (cmd and sh/bash/zsh) استفاده می‌کنند.

چطور از خود محافظت کنیم: برای محدود کردن لانچ اپ‌هایی که روی برخی کامپیوترها لازم نیستند از فهرست مجاز استفاده کنید. لانچ مفسرین اسکریپت را با استفاده از XDR و EDR ردیابی کرده اما در نظر داشته باشید که منطق شناسایی باید دائماً با مشخصات زیرساخت آی‌تی سازمان تنظیم شود.

دستکاری اکانت

تکنیک حمله: T1098

تاکتیک: TA0003, TA0004

(پایداری، ارتقای مزیت)

ماهیت: طیف گسترده‌ای از تغییراتی که مهاجمان در حساب‌هایی که به آنها دسترسی دارند ایجاد می کنند. این تغییرات می‌تواند شامل افزودن حساب به گروه‌های دارای امتیاز، فعال کردن حساب‌های غیرفعال‌شده، تغییر رمز عبور و تغییر مجوزهای حساب‌ها و گروه‌ها باشد.

چطور از خود محافظت کنیم: اصل اقل مزیت را اتخاذ نموده، گرفتن موجودی اکانت را مرتباً انجام داده، مجوزهای تاریخ گذشته را لغو و اکانت‌های غیرضروری را یا پاک و یا بلاک کنید.

اکسپلویت سرویس‌های ریموت

تکنیک حمله: T1210

تاکتیک: TA0008

(حرکت جانبی)

ماهیت: پس از به خطر انداختن یکی از رایانه‌های موجود در شبکه، مهاجمین آن را برای برنامه‌های آسیب‌پذیر اسکن می‌کنند تا رایانه‌های اضافی را آلوده کنند یا امتیازات بالایی بر روی آنها به دست آورند. در سال 2023، آسیب‌پذیری‌های قدیمی در SMB v1 و Exchange Server بسیار محبوب بودند و تأیید می‌کردند که سرویس‌های IT توجه کافی به رفع آسیب‌پذیری‌ها ندارند.

چطور از خود محافظت کنیم: برنامه‌های کلاینت و سرور را به سرعت به روز کنید، خدمات غیر ضروری را در همه رایانه‌ها غیرفعال کنید، و از تقسیم بندی شبکه و اصل کمترین امتیاز برای محدود کردن قابلیت‌های مهاجمین حتی اگر موفق به سوء استفاده از یک آسیب پذیری شوند استفاده کنید. از راهکارهای امنیتی استفاده کنید که می‌توانند تلاش‌ها برای سوءاستفاده از آسیب‌پذیری‌ها را شناسایی و مسدود کنند.

لانچ سرویس‌های سیستم

تکنیک حمله: T1569

تاکتیک: TA0002

(اجرا)

ماهیت: افزون بر استفاده از شل‌های فرمان، مهاجمین اغلب از لانچ سرویس‌های سیستم برای اجرای تسک‌های مخرب و ایجاد پایداری در سیستم استفاده می‌کنند. رهبر بلامنازع در اینجا PsExec است که می‌تواند برای اجرای یک کار دلخواه در یک کامپیوتر ویندوز از راه دور استفاده شود.

چطور از خود محافظت کنیم: از سیستم‌های XDR یا EDR استفاده کنید که می‌توانند رفتار غیرعادی سرویس‌های سیستم را ردیابی، خط‌مشی‌هایی را پیکربندی کنند تا کاربران با امتیاز پایین را از راه‌اندازی سرویس‌های ممتاز و نصب نرم‌افزار سیستم محدود کنند.

ردیابی امتیازی: LOLBins

در بیشتر مراحل حمله، مهاجمین سعی دارند برای ترکیب عمل مخربشان با فعالیت نرمال شبکه‌ای و جلوگیری از شناسایی شدن از ابزارهای قانونی ادمین استفاده کنند. برخی موارد بالاتر شرح داده شدند (پاورشل و پی‌اس‌اکسک) اما در تعداد زیادی از حملات، مهاجمین هچنین از ANYDESK برای مدیریت و کنترل استفاده می‌کنند. و اسکنر پیشرفته آی‌پی و اسکنر SoftPerfect Network هم در اسکن شبکه و ابزارهای تست امنیت به کارشان می‌آید: Mimikatz برای ارتقای مزیت و Cobalt Strike و Metasploit برای حرکت جانبی داخل سازمان.

[1] public-facing applicationsمنظور برنامه‌هایی هستند که نه تنها از شبکه داخلی بلکه همچنین از اینترنت هم قابل دسترسی هستند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.