امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

تاکتیک Resources Development در MITRE ATT&CK و امنیت سایبری چیست؟

یکی از تاکتيک های جدید مورد استفاده توسط هکرها که به تازگی به MITRE ATT&CK Matrix نیز اضافه شده است تاکتيک Resources Development میباشد که با نشانی TA0042 در MITRE ATT&CK به عنوان یکی از موارد و تاکتيک های معرفی شده است که بعد از فرآيند های اکتشافاتی و جمع آوری اطلاعات مورد استفاده قرار میگیرد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

تاکتیک Resources Development در MITRE ATT&CK و امنیت سایبری چیست؟

تاکتیک Resources Development در MITRE ATT&CK و امنیت سایبری چیست؟

توجه کنید که هکرها جهت پیاده سازی حمله خود در تمامی مراحل خود به یکی سری منابع نیازدارند که این منابع ممکن است به شکل کامل و شخصی در اختیار این گروه ها و افراد قرار نگیرد و نداشته باشند پس به همین دلیل گروه های هکری و افرادی که قصد پیاده سازی حمله را دارند منابع خود را توسعه میدهند و این توسعه منابع به این جهت میباشد که در فرآيند های حمله خود از این منابع بهرمند شوند و به شکل بهتری بتوانند حمله و هدف خود را پیاده سازی کنند.

تکنیک های مورد استفاده در Resources Development کدامند؟

تکنیک های زیادی در فرآيند Resources Development استفاده میشود که برخی از اونهارو از دیدگاه MITRE ATT&CK به همراه Techniques ID آنها بررسی میکنیم

تکنیک Aquire Infrastructure (T1553)

توجه کنید در این تکنیک‌ فرد مهاجم در فرآيند توسعه منابع خود به جهت تهیه یک سری منابع و زیرساخت استفاده میکند و این زیرساخت میتواند شامل خرید سرور و هاست جهت میزبانی C&C شود و یا میتواند تهیه تجهیزات و سرورهای فیزیکی و مبنی بر ابر (Cloud Based) باشد. از جمله این موارد که در این بخش تهیه میشود عبارتند از:

  • تهیه Web Server
    تهیه VPS یا همان Virtual Private Server
    تهیه Server های فیزیکی یا مجازی مبنی بر ابر (Cloud Based)

توجه داشته باشید که این ماجرا در بحث Aquire Infrastructure صرفا شامل این موضوعات زیرساختی نمیشود بلکه حتی این افراد می‌توانند در تکنیک Aquire Infrastructure اقدام به خرید و تهیه Botnet هم کنند.

و به صورت کلی این تکنیک به منظور این است که افرادی که قصد تخریب شبکه و زیرساخت شمارا دارند اقدام به خرید و اجاره زیرساخت های میکنند که در فرآيند کارشان از آن استفاده کنند.

تکنیک Compromise Infrastructure (T1584)

این تکنیک بسیار شبیه به تکنیک Aquire Infrastructure میباشد اما با این تفاوت که هکر و گروه مخرب به جای خریداری و اجاره تجهیزات فیزیکی و مجازی و مبنی بر ابر (Cloud Based) آن هارا از زیرساخت های مورد استفاده توسط دیگران تصرف میکنند و به اصطلاح با حملات متنوع دسترسی به آن زیرساخت هارا به دست میگیرند و به صورت غیرمجاز به آنها وارد می‌شوند و برای عملیاتشان از آنها استفاده میکنند.

تکنیک Stage Capabilities (T1608)

این‌ تکنیک شامل چند مورد میشود که عبارتند از نصب، دانلود و آپلود بدین شکل که فرد مهاجم از زیرساخت های جهت نگهداری بسترهای مخرب خود استفاده میکنند یا که بسترهای خود را به واسطه زیرساخت های مجاز توسعه میدهد.
به عنوان مثال این میتواند شامل آپلود کردن یک فایل مخرب ( که میتواند شامل Payload و یا Backdoor و... شود ) بر روی یک بستر آنلاین و Public شود و بعد توسط بدافزار یا تکنیک‌های فرد مهاجم آن بر روی سیستم بارگیری شود‌ ( که اغلب تکنیک های این چنینی را با عنوان Singed Binary Proxy Execution نیز میشناسیم )

علاوه بر مثال بالا یک مثال دیگر میتوانیم بزنیم آن هم استفاده از SSL/TLS Certificate های مجاز میباشد جهت ایجاد یک ارتباط امن و رمزنگاری شده و قابل اعتماد که این روش نیز یکی از روش های مورد استفاده در این تکنیک میباشد.


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

04 اسفند 1400 این مطلب را ارسال کرده

نظرات