تاکتیک Resources Development در MITRE ATT&CK و امنیت سایبری چیست؟
یکی از تاکتيک های جدید مورد استفاده توسط هکرها که به تازگی به MITRE ATT&CK Matrix نیز اضافه شده است تاکتيک Resources Development میباشد که با نشانی TA0042 در MITRE ATT&CK به عنوان یکی از موارد و تاکتيک های معرفی شده است که بعد از فرآيند های اکتشافاتی و جمع آوری اطلاعات مورد استفاده قرار میگیرد.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
- بیشتر ببینید: MITRE ATT&CK چیست | دوره SANS SEC504 ( تکنیک های هکرها )
تاکتیک Resources Development در MITRE ATT&CK و امنیت سایبری چیست؟
توجه کنید که هکرها جهت پیاده سازی حمله خود در تمامی مراحل خود به یکی سری منابع نیازدارند که این منابع ممکن است به شکل کامل و شخصی در اختیار این گروه ها و افراد قرار نگیرد و نداشته باشند پس به همین دلیل گروه های هکری و افرادی که قصد پیاده سازی حمله را دارند منابع خود را توسعه میدهند و این توسعه منابع به این جهت میباشد که در فرآيند های حمله خود از این منابع بهرمند شوند و به شکل بهتری بتوانند حمله و هدف خود را پیاده سازی کنند.
- بیشتر ببینید: تست نفوذ شبکه از پایه تا پیشرفته | دوره کامل SANS Security 560 | تست نفوذ به شبکه و زیرساخت سازمانی
تکنیک های مورد استفاده در Resources Development کدامند؟
تکنیک های زیادی در فرآيند Resources Development استفاده میشود که برخی از اونهارو از دیدگاه MITRE ATT&CK به همراه Techniques ID آنها بررسی میکنیم
تکنیک Aquire Infrastructure (T1553)
توجه کنید در این تکنیک فرد مهاجم در فرآيند توسعه منابع خود به جهت تهیه یک سری منابع و زیرساخت استفاده میکند و این زیرساخت میتواند شامل خرید سرور و هاست جهت میزبانی C&C شود و یا میتواند تهیه تجهیزات و سرورهای فیزیکی و مبنی بر ابر (Cloud Based) باشد. از جمله این موارد که در این بخش تهیه میشود عبارتند از:
- تهیه Web Server
تهیه VPS یا همان Virtual Private Server
تهیه Server های فیزیکی یا مجازی مبنی بر ابر (Cloud Based)
توجه داشته باشید که این ماجرا در بحث Aquire Infrastructure صرفا شامل این موضوعات زیرساختی نمیشود بلکه حتی این افراد میتوانند در تکنیک Aquire Infrastructure اقدام به خرید و تهیه Botnet هم کنند.
و به صورت کلی این تکنیک به منظور این است که افرادی که قصد تخریب شبکه و زیرساخت شمارا دارند اقدام به خرید و اجاره زیرساخت های میکنند که در فرآيند کارشان از آن استفاده کنند.
تکنیک Compromise Infrastructure (T1584)
این تکنیک بسیار شبیه به تکنیک Aquire Infrastructure میباشد اما با این تفاوت که هکر و گروه مخرب به جای خریداری و اجاره تجهیزات فیزیکی و مجازی و مبنی بر ابر (Cloud Based) آن هارا از زیرساخت های مورد استفاده توسط دیگران تصرف میکنند و به اصطلاح با حملات متنوع دسترسی به آن زیرساخت هارا به دست میگیرند و به صورت غیرمجاز به آنها وارد میشوند و برای عملیاتشان از آنها استفاده میکنند.
تکنیک Stage Capabilities (T1608)
این تکنیک شامل چند مورد میشود که عبارتند از نصب، دانلود و آپلود بدین شکل که فرد مهاجم از زیرساخت های جهت نگهداری بسترهای مخرب خود استفاده میکنند یا که بسترهای خود را به واسطه زیرساخت های مجاز توسعه میدهد.
به عنوان مثال این میتواند شامل آپلود کردن یک فایل مخرب ( که میتواند شامل Payload و یا Backdoor و... شود ) بر روی یک بستر آنلاین و Public شود و بعد توسط بدافزار یا تکنیکهای فرد مهاجم آن بر روی سیستم بارگیری شود ( که اغلب تکنیک های این چنینی را با عنوان Singed Binary Proxy Execution نیز میشناسیم )
علاوه بر مثال بالا یک مثال دیگر میتوانیم بزنیم آن هم استفاده از SSL/TLS Certificate های مجاز میباشد جهت ایجاد یک ارتباط امن و رمزنگاری شده و قابل اعتماد که این روش نیز یکی از روش های مورد استفاده در این تکنیک میباشد.
- بیشتر بخوانید: حمله DCSync چیست؟ پیاده سازی, شناسایی و جلوگیری