فرآیند جلوگیری از استفاده مهاجم از ابزار های قانونی در برابر سازمان

برخی از مهاجمان (هکرها) از ابزارهای قانونی برای انجام کارهای مخرب از قبیل دسترسی به فایل‌ها، اقدامات امنیتی، انتقال فایل‌های مهم و Lateral Movement استفاده می‌کنند. علاوه بر این، مهاجمان می‌توانند با استفاده از برخی ابزارهای قانونی امنیت سازمان را دور بزنند.

در سازمان‌ها حملات برنامه نویسی شده و Custom شده در سطح محصولات Endpoint می‌باشند، ولی حملات با ابزارهای قانونی در White List قرار دارند که می‌توانند روشی برای نفوذ به سازمان باشند. زیرا این حملات می‌توانند میان عملیات روزمره کارکنان مانیتورینگ و IT قرار بگیرند. از آنجاییکه این ابزارهای قانونی مجاز اعلام می‌شوند، مهاجمان می‌توانند به راحتی کنترل دسترسی داشته و مورد توجه کمتری واقع ‌شوند.

برخی از ابزارهای ثالث، قابلیت آن‌ها و ابزارهای داخلی ویندوز برای حملات عبارتند از:

  • GMER
  • PROCESS HACKER
  • PC HUNTER
  • DEFENDER CONTROL

این ابزارها جهت مانیتورینگ Process های ویندوز و یافتن Processهای مخرب کاربرد دارند. همچنین در حملاتی مانند باج افزارها استفاده می‌شوند که می‌تواند راهکاری برای حمله مهاجم باشد. برای مثال، مهاجم می‌تواند با استفاده از ابزار GMER و Pc hunter ردپای اجرای باج افزار را حذف کند. همچنین مهاجمان می‌توانند با استفاده از قابلیت‌های Process Hacker، DLLها را دستکاری کرده و مکانیزم‌های امنیتی را غیرفعال کنند.

علاوه بر این، ابزارهای قانونی برای نمایش تعداد حساب‌های کاربری موجود‌ در Active Directory کاربرد دارند. به عنوان مثال، در محیط PowerShell ویندوز، تعدادی ماژول مانند GET-AD Domain و GET-AD Domain Controller وجود دارد که قابلیت مشاهده حساب‌های کاربری Active Directory با سطح دسترسی System (NT-Authority) را داشته و امکان بازیابی رمزعبور نیز وجود دارد.

جلوگیری از استفاده مهاجم از ابزار های قانونی در برابر سازمان

از آنجایی‌که حفظ امنیت شبکه بسیار حائز اهمیت است از ابزارهایی همچون Angry IP Scanner , Advance Port Scanner و Nmap استفاده می‌شود تا شبکه اسکن شده و آسیب پذیری‌های موجود کشف شوند. از این رو، از دسترسی غیرمجاز مهاجم جلوگیری به عمل می‌آید.

اخیرا مهاجمان از ابزارهایی که زیرمجموعه RMM (Remote Monitoring & Management) هستند به منظور انجام فعالیت‌های مخرب از راه دور و حفظ پایداری استفاده می‌کنند. با وجود این‌که از نظارت مدافعان نسبت به این ابزارها مطلع هستند، به همین دلیل به دنبال ابزارهای جایگرین می‌باشند. ابزارهای RMM عبارتند از:

  • Net School
  • VNC Viewer
  • Any Desk

دقت داشته باشید که تنها ابزارهای ثالث نیستند که مورد هدف قرار می‌گیرند، بلکه ابزارهای خود سیستم عامل مانند: NET START , NET STOP , Task List و Task Kill وجود دارند که با استفاده از آن‌ها می‌توان فرآیندهایی مانند فعالیت پشتیبان گیری را کنترل کرد.

مهاجمان می‌توانند از فایل‌های باینری‌های قانونی و ابزارهای ذکر شده سیستم عامل برای انجام فعالیت مخرب مثل اجرای کدهای مخرب، انجام عملیات روی فایل (دانلود و آپلود فایل مخرب، کپی فایل) و سرقت رمز عبور استفاده کنند. این فایل‌های باینری‌ها اغلب به عنوان LOLBins شناخته می‌شوند که رایج‌ترین آن‌ها عبارتند از WMIC , POWERSHELL , HTA Microsoft و Certutil.

توصیه می‌شود مراقب اطلاعات و سیستم عامل خود باشید و درک خوبی از آنچه دارید به دست آورید. زیرا در آینده نه چندان دور، مهاجمان درک بیشتری از ابزارهای قانونی پیدا می‌کنند و سوء استفاده های بیشتری به همراه خواهند داشت.

در مورد فارنزیک چیزی می‌دانید؟

نیاز به راه اندازی مرکز عملیات امنیت دارید؟ با کارشناسان امنیتی سورین تماس بگیرید.