روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مهاجمان سایبری معمولاً پس از نفوذ اولیه از ابزارهایی استفاده می‌کنند تا کنترل سیستم‌های آلوده را حفظ کنند و بتوانند در شبکه سازمان جابه‌جا شوند. در گذشته ابزارهای بسته و پولی رایج‌تر بودند، اما در سال‌های اخیر ابزارهای متن‌باز محبوبیت زیادی پیدا کرده‌اند و حتی ابزارهای تازه‌وارد هم خیلی سریع مورد استفاده قرار می‌گیرند. بررسی این ابزارها نشان می‌دهد تمرکز اصلی آن‌ها بر فرار از شناسایی توسط آنتی‌ویروس‌ها و سامانه‌های حفاظتی روی سیستم است؛ حتی اگر این موضوع باعث شود ردپای آن‌ها در شبکه واضح‌تر باشد. با این حال، این ابزارها ناچارند با سرورهای کنترل خود ارتباط برقرار کنند و همین ارتباط شبکه‌ای باعث می‌شود بتوان حضورشان و فعالیت‌های مخربشان را از طریق تحلیل ترافیک شبکه شناسایی کرد. این مقاله به بررسی روش‌های شناسایی چارچوب میتیک در شبکه سازمان می‌پردازد. این ابزار در میان گروه‌های مختلف مهاجم بسیار رایج شده و همچنان در حملات پیشرفته و نفوذهای هدفمند مورد استفاده قرار می‌گیرد.

فریم‌ورک Mythic

Mythic یک پلت‌فرم فرماندهی و کنترل چندکاربره است که برای مدیریت عوامل مخرب در حملات پیچیده طراحی شده است. این پلت‌فرم بر پایه معماری کانتینری ساخته شده و اجزای اصلی آن شامل سرور، عوامل مخرب و ماژول‌های انتقال داده می‌شوند. این ساختار به مهاجم اجازه می‌دهد به‌سادگی عوامل جدید، مسیرهای ارتباطی و تغییرات سفارشی را اضافه کند. از نگاه مدافع، استفاده از میتیک می‌تواند با مراحل مختلف چرخه حمله و طیف گسترده‌ای از روش‌ها و تکنیک‌های شناخته‌شده در حملات سایبری هم‌خوانی داشته باشد. در روش چرخش در شبکه، مهاجم از سیستمی که قبلاً آلوده شده به عنوان نقطه شروع استفاده می‌کند تا به سایر سیستم‌ها دسترسی پیدا کند و به‌تدریج حضور خود را در زیرساخت سازمان گسترش دهد.

در مرحله جمع‌آوری اطلاعات، داده‌های ارزشمند مانند فایل‌ها، رمزهای عبور، تصاویر صفحه و گزارش‌های سیستمی جمع‌آوری می‌شوند. این داده‌ها معمولاً ابتدا روی سیستم آلوده ذخیره و سپس برای انتقال آماده می‌شوند. ابزارهایی مانند میتیک این فرایند را خودکار می‌کنند. در مرحله خروج اطلاعات، داده‌های جمع‌آوری‌شده از شبکه امن خارج می‌شوند. این کار می‌تواند از مسیرهای آشکار یا پنهان انجام شود و گاهی از سیستم‌های واسطه برای پنهان کردن مسیر واقعی استفاده می‌شود. مرحله فرماندهی و کنترل مربوط به برقراری و حفظ ارتباط میان مهاجم و سیستم‌های آلوده است. در این مرحله دستورات ارسال می‌شود و وضعیت سیستم‌ها دریافت می‌گردد. میتیک قابلیت‌هایی مانند اجرای زمان‌بندی‌شده دستورات و ارتباط از چند مسیر مختلف را فراهم می‌کند که شناسایی و متوقف کردن آن را دشوار می‌سازد. این مقاله تمرکز خود را بر همین مرحله فرماندهی و کنترل گذاشته و نشان می‌دهد چگونه می‌توان فعالیت عوامل میتیک را در ترافیک شبکه تشخیص داد.

شناسایی فعالیت Mythic در ترافیک شبکه

میتیک از روش‌های مختلفی برای انتقال داده استفاده می‌کند و عوامل متنوعی دارد که برای سیستم‌عامل‌های مختلف طراحی شده‌اند. این پلت‌فرم از دو الگوی اصلی ارتباطی استفاده می‌کند. در الگوی اول، عوامل به‌صورت زنجیره‌ای با یکدیگر ارتباط برقرار می‌کنند تا در نهایت به سرور اصلی متصل شوند. در الگوی دوم، عوامل مستقیماً با سرور فرماندهی ارتباط می‌گیرند. در ارتباط همتا به همتا، میتیک امکان جابه‌جایی در شبکه را از طریق کانال‌های اشتراکی فراهم می‌کند. برای شناسایی این نوع فعالیت، باید ترافیک شبکه بررسی و الگوهای مشخصی برای تشخیص آن تعریف شود. در ارتباط مبتنی بر اشتراک فایل، یک مسیر ارتباطی اختصاصی برای هر عامل ایجاد می‌شود که معمولاً با یک شناسه یکتا نام‌گذاری شده است. هرچند این نام قابل تغییر است، اما همچنان نشانه قابل اعتمادی برای شناسایی به شمار می‌رود. در این نوع ارتباط، داده‌ها ابتدا رمزگذاری می‌شوند، سپس کدگذاری شده و به بخش‌های کوچک تقسیم می‌شوند و از طریق شبکه ارسال می‌گردند. این الگوی ارتباطی را می‌توان در ابزارهای تحلیل ترافیک شبکه مشاهده و بررسی کرد.

ماژول‌های ارتباطی و خروجی در Mythic

Mythic فریم‌ورک پیشرفته‌ای برای اجرای عملیات مخفیانه فراهم می‌کند و امکان مدیریت عامل‌هااز طریق سرویس‌های رایج و شناخته‌شده را می‌دهد. این ویژگی باعث می‌شود که فعالیت عامل‌ها در شبکه طبیعی و شبیه ترافیک معمولی به نظر برسد و به سختی شناسایی شوند. میتیک از چند سرویس محبوب برای ارتباط استفاده می‌کند، اما در عمل دیسکورد و گیت‌هاب کاربرد دارند و پشتیبانی از اسلک متوقف شده است.

1.        ارتباط از طریق دیسکورد

استفاده از دیسکورد به‌عنوان واسطه ارتباطی در میتیک در سال‌های اخیر به شدت رایج شده است.

روش کار

عامل‌ها از طریق کانال امن دیسکورد با سرور فرماندهی و کنترل ارتباط برقرار می‌کنند. دستورات و نتایج اجرا شده توسط عامل‌ها در قالب پیام و فایل ارسال می‌شوند. به دلیل رمزگذاری داده‌ها و شباهت ترافیک به فعالیت عادی کاربران دیسکورد، شناسایی این ارتباط بدون رمزگشایی تقریباً غیرممکن است.

تحلیل ترافیک

• رمزگشایی‌شده: اگر سازمان بتواند ترافیک دیسکورد را رمزگشایی کند، می‌توان محتوای پیام‌ها را مشاهده و تحلیل کرد. پیام‌ها شامل داده‌هایی هستند که ابتدا رمزگذاری و سپس کدگذاری شده‌اند. بررسی این پیام‌ها امکان شناسایی دقیق فعالیت عامل‌ها را فراهم می‌کند.
• رمزگذاری‌شده:  اگر امکان رمزگشایی وجود نداشته باشد، تنها تحلیل رفتاری امکان‌پذیر است. برای مثال، تعداد غیرمعمول ارتباطات امن با سرورهای دیسکورد می‌تواند نشانه ارسال دستورات یا دریافت پاسخ‌ها باشد. این روش دقت کمتری دارد و ممکن است هشدارهای نادرست ایجاد کند، بنابراین نیاز به تنظیم دقیق دارد.

2.        ارتباط از طریق گیت‌هاب

محبوبیت و گستردگی گیت‌هاب آن را به بستری جذاب برای مدیریت عامل‌ها در میتیک تبدیل کرده است.

روش کار

عامل‌ها ارتباط خود را فقط از طریق گیت‌هاب انجام می‌دهند و هیچ تماس مستقیمی با سرورهای دیگر ندارند. فرآیند ارتباط به صورت زیر است:

1. عامل یک پیام اولیه برای اعلام حضور ارسال می‌کند.
2. سرور پیام را بررسی و پاسخ مناسب را منتشر می‌کند.
3. عامل یک شاخه جدید با نام منحصر به فرد خود ایجاد می‌کند.
4. فایل درخواست وظیفه روی شاخه بارگذاری می‌شود.
5. سرور پاسخ را در همان شاخه قرار می‌دهد.
6. پس از دریافت پاسخ، عامل شاخه را حذف کرده و منتظر دستور بعدی می‌ماند.

تحلیل ترافیک

• رمزگشایی‌شده: داده‌ها قابل خواندن و تحلیل هستند. ایجاد پیام اولیه، ساخت شاخه و بارگذاری فایل‌ها بهترین نقاط برای تعریف قواعد شناسایی محسوب می‌شوند.
• رمزگذاری‌شده:  بدون امکان رمزگشایی، تحلیل رفتاری انجام می‌شود. برای مثال، اتصال‌های مکرر و غیرعادی به گیت‌هاب از بخش‌هایی از شبکه که چنین رفتاری در آن‌ها طبیعی نیست، می‌تواند نشانه فعالیت عامل باشد. این روش نیز نیازمند تنظیم دقیق برای کاهش هشدارهای اشتباه است.

3.        ارتباط خروجی مستقیم

در این روش، عامل‌ها مستقیماً با سرور فرماندهی و کنترل ارتباط برقرار می‌کنند.

روش‌ها

• وب و وب‌سوکت:  رایج‌ترین روش‌ها هستند. عامل‌ها از یک لایه واسط برای تبادل داده‌ها استفاده می‌کنند.
• پیام‌رسان سبک یا DNS:کاربرد محدود دارند یا هنوز در حال توسعه هستند.

ویژگی‌ها

• ارتباط وب:  داده‌ها ممکن است رمزگذاری شوند یا ساده منتقل شوند، اما اطلاعات جانبی معمولاً بدون رمز باقی می‌ماند و امکان تعریف قواعد مبتنی بر الگو وجود دارد.
• ارتباط امن وب:داده‌ها رمزگذاری شده و تحلیل محتوایی ممکن نیست. اگر عامل از گواهی پیش‌فرض استفاده کند، می‌توان ارتباط را از روی ویژگی‌های آن شناسایی کرد.
• وب‌سوکت: عامل ابتدا درخواست تغییر پروتکل می‌دهد و سپس تبادل پیام‌ها از طریق وب‌سوکت انجام می‌شود. این الگوی ارتباطی مشخصی ایجاد می‌کند که قابل ردیابی است.

جمع‌بندی

• فریم‌ورک میتیک همچنان در حال گسترش است و عامل‌های جدید با قابلیت پنهان‌کاری بیشتر به آن اضافه می‌شوند.
• الگوهای ارتباط شبکه‌ای عامل‌ها معمولاً تغییرات محدودی دارند، بنابراین شناسایی آن‌ها از طریق الگوهای تکرارشونده داده و شناسه‌های منحصربه‌فرد ممکن است.
• برای هر پروتکل باید قواعد جداگانه تعریف شود و نمی‌توان به یک قاعده واحد اکتفا کرد.
• تحلیل رفتاری و الگوهای شبکه‌ای، ابزارهای مؤثری برای شناسایی فعالیت عامل‌ها حتی در شرایط رمزگذاری‌شده ارائه می‌دهند.
• استفاده از این رویکردها در سامانه‌های تحلیل و پاسخ به تهدیدات شبکه‌ای دقت بالایی در کشف فعالیت مهاجمان ایجاد می‌کند، زیرا بخش شبکه‌ای این ابزارها به ندرت تغییر می‌کند.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.