برای سالها توسط میلیونها مربی خودیاری و مشاور استراتژی شرکتها در خصوص رساله «هنر جنگ» ژنرال نظامی چینی «سان تزو» صحبت شده است. امروزه این مطلب چیزی فراتر از کلیشه است.
سان تزو ادعا کرد که «همه جنگها مبتنی بر فریب هستند»، حقیقتی که به همان اندازه که در مورد میدانهای جنگ قرن پنجم صحبت میکند، به امنیت سایبری قرن بیست و یکم نیز اشاره دارد. MITRE ATT&CK
درحالیکه ما به عوامل مخربی فکر میکنیم که پنهانی در سایههای دنیای سایبری در انتظار ضربه زدن، به محض آشکار شدن یک نقص هستند، مدافعان نیز باید به همان اندازه در حیلهگری و فریب آموزش ببینند. این تفکر زیربنای چارچوب محبوب MITRE ATT&CK است.
این پایگاه داده بیطرف، تاکتیکها و تکنیکهای خصمانه شناختهشده را دستهبندی میکند تا به تیمهای امنیت سایبری، شکارچیان تهدید و تیمهای قرمز کمک کند که از نحوه تفکر و عملکرد مهاجمان مطلع شوند.
این اطلاعات میتواند به سازمانها کمک کند تا استراتژیهای کاهش خسارت را اولویتبندی کرده، سریعتر نقصها را بهبود دهند و گاهی اوقات حتی دشمنان را فریب دهند تا آنها خودشان را به دام بیاندازند.
با ارائه راهنماییهای لن نوئه (هکر کلاه سفید و مهندس فروش CyberArk Global)، ما چارچوب MITER ATT&CK را با بررسی برخی از تاکتیکها و تکنیکهای خاص گزارششده در یک حمله باج افزار بسیار مورد توجه، که در سال 2021 روی یکی از بزرگترین خطوط لوله سوخت در ایالاتمتحده مورد استفاده قرار گرفت، به کار میگیریم.
براساس اطلاعات عمومی گزارششده در مورد حمله، تجزیه و تحلیل کامل نوئه را در این تجربهی هدایت شدهی حمله و دفاع بر اساس تقاضا میتوان مشاهده کرد.
درک آنچه انجام شده است میتواند به سازمانها کمک کند تا برای راه بعدی یا جدیدترین ابزار حمله آماده شوند. زیرا، همانطور که نوئه میگوید، «شما باید به تکنیک توجه کنید، نه ابزار».
استفاده از چارچوب MITER ATT&CK برای متوقف کردن یک حمله باج افزار در دنیای واقعی
– مرحله اول حمله: جمع آوری اطلاعات
در این مرحله، مهاجم اطلاعات در دسترس عموم در مورد هدف مورد نظر خود را بررسی کرده و یک شنود Metasploit را راهاندازی کرد تا از اتصالات ورودی آگاه شود. مهاجمان از تکنیکهای ساده فیشینگ مانند ایمیل جعلی از طرف مدیر IT سازمان استفاده کردند، که درخواست بروزرسانی میکند و از کاربر میخواهد نسخه نرم افزار PuTTY خود را ارتقا دهد. این ارتقا به یک مولد بار مخرب به نام MSFvenom آلوده شده بود که یک تانل بین دستگاه مورد نظر و مهاجم ایجاد کرد.
– مرحله دوم حمله: دسترسی اولیه
از آنجا، عوامل تهدید به دسکتاپ کاربر میروند و ابزار «AD Recon» را آپلود میکنند تا از فضای Active Directory بازدید کنند و زیرساختهای داخلی شرکت را بهتر درک کنند. مهاجمان پس از اجرای برخی گزارشهای جمع آوری داده پیشرفته و استخراج اطلاعات لازم، آثار فعالیت خود را حذف کردند تا شناخته نشوند.
در این سناریوی خاص، مهاجمان از چندین تکنیک مختلف تعریفشده توسط MITRE برای به دست آوردن جایگاه اولیه استفاده کردند: آنها از دسترسی به حسابهای معتبر بهدستآمده از طریق مهندسی اجتماعی و سایر تکنیکها سوءاستفاده کردند.
آنها از کمپینهای فیشینگ فعال استفاده میکردند که اعتبارنامهها را به منظور لو رفتن هویت و دستیابی به دسترسی بیشتر هدف قرار میدادند و همچنین از برنامههای کاربردی عمومی برای این منظور بهرهبرداری کردند.
– مرحله سوم حمله: اجرا
هنگامیکه پایگاه اولیه ایجاد شد، مهاجمان دایرکتوریهای خروجی را جستجو کردند تا اطلاعاتی در مورد مکان Domain Controller، همراه با آدرس IP و نام هاست آن به دست آورند.
کنترلکننده دامنه، برای مهاجمان ارزشمند است و اگر بدرستی ایمن نشود، دسترسی غیر مجاز به آن میتواند برای یک سازمان مخرب باشد. مهاجمان میتوانند از آسیبپذیریهای Kerberos (پروتکل احراز هویت پیشفرض برای مایکروسافت ویندوز) سوءاستفاده کنند تا خود را بهعنوان یک کاربر مجاز معرفی کرده، شبکهای را بدون شناسایی بپیمایند و از میزبانی به میزبان دیگر برای سرقت دادهها، پخش باجافزار یا ایجاد خرابی به روشهای مختلف استفاده کنند. MITRE ATT&CK
با دسترسی به کنترلکننده دامنه، برای این مهاجمان بسیار ساده بود که یک ابزار داخلی را برای تنظیم جلسات دوگانه اجرا کنند و اساساً رایانه خود را به موازات ادمین سیستم تنظیم میکردند.
همانطور که نوئه اشاره میکند، ایمنسازی برنامههای پیادهسازی Kerberos برای جلوگیری از دسترسی کاربران غیرمجاز و اجرای حملات ویرانگر بسیار مهم است. این به اهمیت ذهنیت «فرض رخنه» برمیگردد.
– مرحله چهارم حمله: تداوم
پایداری، صبر و پشتکار کلید حملات باج افزار هستند. هنگامی که مهاجمان ادمین موازی را ایجاد کردند، از عوامل مخرب برای ایجاد یک کار زمانبندی شده استفاده میکنند که به صورت آنلاین و بهطور خودکار خطوط فرمان و کنترل سرور را از طریق پورتال مهاجم برای آن میزبان باز نگه میدارد.
از این طریق، آنها میتوانند اکسپلویتها و هشدامپها را اجرا کنند و مهاجم میتواند به گذرواژههای مدیریت که برای مأموریت حیاتی هستند دست پیدا کند.
اینجاست که نوئه توصیه میکند از سیستم تولید دوباره رمز عبور بصورت خودکار استفاده شود، تا از داشتن یک مجموعه کلید برای باز کردن قفل یک سیستم جلوگیری کرده و همچنین از استفاده مجدد یا تکراری رمز عبور در سیستمها خودداری شود.
– مرحله پنجم حمله: تشدید
هدف بازی تقریباً همیشه افزایش امتیاز است. مهاجمان در تلاش برای حرکت در سراسر سیستم، هش دامپها را باز میکردند و اعتبارنامهها را بیرون میکشیدند. آنها انواع مختلفی از عملیات مبتنی بر اعتبار را انجام دادند و در نهایت، از این دسترسی بالا برای پیمایش به جایی که میخواستند بارگذاری باجافزار خود را انجام دهند استفاده کردند. MITRE ATT&CK
– مرحله ششم حمله: گریز
همانطور که نوئه میگوید: «پس از دسترسی اولیه، اولویت دوم مهاجم گریز دفاعی است. توانایی ناشناخته ماندن بسیار مهم است.»
اینجا جایی است که همه چیز کمی جاسوسانه پیش میرود. مهاجمان تمام تلاش خود را میکنند تا رد پای خود را پاک کنند. بهعنوان مثال، برای پاک نگهداشتن اطلاعات، مهاجمان دایرکتوریهای خروجی، فایلهای CSV و پاوراسکریپتها را حذف میکنند تا هرگونه نشانهای را از بین ببرند.
نوئه اشاره میکند که این تکنیکهای گریز ضرورت یک رویکرد لایهای و عمیق دفاعی برای محافظت از باجافزار را برجسته میکنند.
– مرحله هفتم حمله: دسترسی اعتباری
این حمله باج افزار، مانند بسیاری دیگر از باج افزارهای قبل از خود، بسیار فراتر از معکوس نمودن دسکتاپ و هش دامپ برای گذرواژهها بود. اعتبارنامههای ممتازی را هدف قرار داد که به مهاجم امکان دسترسی مدیریتی گسترده به دادهها و سیستمهای حساس را میداد. MITRE ATT&CK
به همین دلیل است که نوئه تأکید میکند، کنترلهای مدیریت دسترسی ممتاز که حداقل دسترسی مجاز را به کاربران اعطا میکند، بخش اساسی این رویکرد امنیتی لایهای است و به پیاده سازی فلسفه گستردهتر Zero Trust کمک میکند.
حمله بزرگ بعدی احتمالاً به این شکل نخواهد بود
با وجود اینکه چارچوب MITER ATT&CK واقعاً کارساز است اما باید آن را به عنوان یک نقطه شروع در نظر گرفت. مهاجمان دائماً در حال نوآوری هستند و هر حمله مسیر مختص خود را دنبال میکند.
تکنیکهای جدید از Bio Hacking گرفته تا نوآوریهای باجافزار در حال ظهور است، اما همچنان احتمال بازگشت گاهبهگاه ترفندهای قدیمی هم وجود دارد. برای مثال روشهای کاملاً جدیدی را برای فشردهسازی فایلها مشاهده میکنیم که شامل جاوا اسکریپت است که هنگام باز کردن فشردهسازی اجرا میشود.
بنابراین فعال بودن، خلاق بودن و تفکر مانند یک مهاجم، رویکردهای ضروری امنیت سایبری است. این نحوه تعادل بین مقابله با شناختهشدهها و آماده شدن برای ناشناختهها است که میتواند به پیروزی در نبرد علیه مهاجمان کمک کند.