امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

هرم درد چیست؟ معرفی اجزای Pyramic Of Pain در شکار تهدیدات

هرم درد چیست؟ معرفی اجزای Pyramic Of Pain در شکار تهدیدات

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
درواقع Pyramid of Pain یک هرم میباشد که به ما در فرآيند کشف و شکار تهدیدات به واسطه Cyber Threat Intelligence کمک میکند. این هرم تشکیل شده از چندین بخش مختلف میباشد و توسط FireEye ارائه شده است گرچه بعضی از این مقدار ها موجود در این هرم به شکلی هستند که استفاده چندانی نمیتوانند داشته باشند اما به شکل معقولی تر هر روشی و فرآیندی که بتواند به ما در ارتقا امنیت کمک کند اصولا باید بکارگیری شود.

معرفی اجزا Pyramid of Pain

مقادیر هش ( Hash Values )

مقدار های Hash در Pyramid of Pain به عنوان یک مقدار Trivial شناخته میشوند که این به این معناست که استفاده چندانی را نمی‌توانیم از این مقدار ها برای کشف حملات داشته باشیم زیرا مقدار های Hash به راحتی میتوانند تغییر پیدا کنند. ما به واسطه مقدار های Hash مانند MD5 و خانواده SHA توانایی این را داریم که بد افزار های که از Hash خاصی استفاده میکنند آنهارا کشف کنیم اما این فرآيند همان‌طور که گفتیم به راحتی دور زده میشود و افراد مخرب میتوانند از تکنیک های متنوعی همچون Polymorphic و Metamorphic استفاده کنند.

آدرس های IP

این آدرس ها جزوه حالت Easy یا راحت میباشند و به راحتی میتوانند از طریق Proxy List و سرویس های متنوع مانند Tor و I2P ناشناس بمانند و همچنین افراد میتوانند از ابزار های مختلف برای تغییر آدرس IP خود در هر چند ثانیه استفاده کنند. نام دامنه ( Doamin Name ): نام های دامنه جزوه دسته Simple یا ساده قرار میگیرند و اصولا بخشی از زیرساخت یک حمله یا یک نرم افزار مخرب را تشکیل میدهند و این نام دامنه می‌تواند نام های متنوعی را داشته باشد مانند ExploitMalware.com و یا ExploitKit2020.com که مهاجمین از این نام های ساده استفاده نمیکنند و اصولا از DGA یا همان Domain Generated Algorithm استفاده میکنند و نام های دامنه بسیار طولانی و سختی را تولید میکنند و مکانیزم هارا دور میزند.

مصنوعات شبکه ( Network Artifacts )

درواقع این قسمت شامل شواهد موجود بر فعالیت های مخرب در شبکه میشود و میتواند شامل مباحث متنوعی از جمله Certificate ها و ترافیک های مخرب سرور های C2 و تمامی رفتارهای ناشناخته بر روی دیوایس های IoT

مصنوعات میزبان ( Host Artifacts )

این ممکن است شامل یک اشکال در رجیستری، یک کار برنامه ریزی شده یا فایل هایی باشد که در فایل سیستم قرار گرفته اند و فرآيند مخربی را به انجام میرسانند.

ابزارها (Tools)

نرم افزاری است که دشمن برای انجام فعالیت های مختلف مانند ایجاد درهای پشتی یا همان Backdoor ها و یا برای ایجاد یک کانال C2 و کرکرهای رمز عبور استفاده و بکارگیری میکند.

تاکتیک ها ، تکنیک ها و رویه ها (TTPs) 

درواقع کلمه TTP از سه بخش مختلف Tactics, Techniques و Procedures شناخته میشود که به ترتیب به معنای تاکتیک ها ، تکنیک ها و رویه ها میباشد که هرکدام از این سه بخش مفهوم و معنای خاص خودش را دارد اما به صورت کلی از طریق TTP ما توانایی این را داریم که رفتارها و روش های مختلفی را که هکرها برای نفوذ و حمله استفاده میکنند را توصیف کنیم و به شکل بهتری توانایی کشف اشکالات و نفوذهای موجود درون سازمان را داشته باشیم.


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

مهندس و مدرس شبکه و امنیت شبکه, دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان مدرس در TOSINSO مشغول به فعالیت هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

20 شهریور 1400 این مطلب را ارسال کرده

نظرات