فرآیند جلوگیری از استفاده مهاجم از ابزار های قانونی در برابر سازمان
برخی از مهاجمان (هکرها) از ابزارهای قانونی برای انجام کارهای مخرب از قبیل دسترسی به فایلها، اقدامات امنیتی، انتقال فایلهای مهم و Lateral Movement استفاده میکنند. علاوه بر این، مهاجمان میتوانند با استفاده از برخی ابزارهای قانونی امنیت سازمان را دور بزنند.
در سازمانها حملات برنامه نویسی شده و Custom شده در سطح محصولات Endpoint میباشند، ولی حملات با ابزارهای قانونی در White List قرار دارند که میتوانند روشی برای نفوذ به سازمان باشند. زیرا این حملات میتوانند میان عملیات روزمره کارکنان مانیتورینگ و IT قرار بگیرند. از آنجاییکه این ابزارهای قانونی مجاز اعلام میشوند، مهاجمان میتوانند به راحتی کنترل دسترسی داشته و مورد توجه کمتری واقع شوند.
برخی از ابزارهای ثالث، قابلیت آنها و ابزارهای داخلی ویندوز برای حملات عبارتند از:
- GMER
- PROCESS HACKER
- PC HUNTER
- DEFENDER CONTROL
این ابزارها جهت مانیتورینگ Process های ویندوز و یافتن Processهای مخرب کاربرد دارند. همچنین در حملاتی مانند باج افزارها استفاده میشوند که میتواند راهکاری برای حمله مهاجم باشد. برای مثال، مهاجم میتواند با استفاده از ابزار GMER و Pc hunter ردپای اجرای باج افزار را حذف کند. همچنین مهاجمان میتوانند با استفاده از قابلیتهای Process Hacker، DLLها را دستکاری کرده و مکانیزمهای امنیتی را غیرفعال کنند.
علاوه بر این، ابزارهای قانونی برای نمایش تعداد حسابهای کاربری موجود در Active Directory کاربرد دارند. به عنوان مثال، در محیط PowerShell ویندوز، تعدادی ماژول مانند GET-AD Domain و GET-AD Domain Controller وجود دارد که قابلیت مشاهده حسابهای کاربری Active Directory با سطح دسترسی System (NT-Authority) را داشته و امکان بازیابی رمزعبور نیز وجود دارد.
از آنجاییکه حفظ امنیت شبکه بسیار حائز اهمیت است از ابزارهایی همچون Angry IP Scanner , Advance Port Scanner و Nmap استفاده میشود تا شبکه اسکن شده و آسیب پذیریهای موجود کشف شوند. از این رو، از دسترسی غیرمجاز مهاجم جلوگیری به عمل میآید.
اخیرا مهاجمان از ابزارهایی که زیرمجموعه RMM (Remote Monitoring & Management) هستند به منظور انجام فعالیتهای مخرب از راه دور و حفظ پایداری استفاده میکنند. با وجود اینکه از نظارت مدافعان نسبت به این ابزارها مطلع هستند، به همین دلیل به دنبال ابزارهای جایگرین میباشند. ابزارهای RMM عبارتند از:
- Net School
- VNC Viewer
- Any Desk
دقت داشته باشید که تنها ابزارهای ثالث نیستند که مورد هدف قرار میگیرند، بلکه ابزارهای خود سیستم عامل مانند: NET START , NET STOP , Task List و Task Kill وجود دارند که با استفاده از آنها میتوان فرآیندهایی مانند فعالیت پشتیبان گیری را کنترل کرد.
مهاجمان میتوانند از فایلهای باینریهای قانونی و ابزارهای ذکر شده سیستم عامل برای انجام فعالیت مخرب مثل اجرای کدهای مخرب، انجام عملیات روی فایل (دانلود و آپلود فایل مخرب، کپی فایل) و سرقت رمز عبور استفاده کنند. این فایلهای باینریها اغلب به عنوان LOLBins شناخته میشوند که رایجترین آنها عبارتند از WMIC , POWERSHELL , HTA Microsoft و Certutil.
توصیه میشود مراقب اطلاعات و سیستم عامل خود باشید و درک خوبی از آنچه دارید به دست آورید. زیرا در آینده نه چندان دور، مهاجمان درک بیشتری از ابزارهای قانونی پیدا میکنند و سوء استفاده های بیشتری به همراه خواهند داشت.
در مورد فارنزیک چیزی میدانید؟
نیاز به راه اندازی مرکز عملیات امنیت دارید؟ با کارشناسان امنیتی سورین تماس بگیرید.