امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

تاکتیک PreOS Boot در Persistence چیست؟

یکی از تاکتيک های پیشرفته در بحث Persistence در دنیای امنیت تکنیک PreOS Boot میباشد. در این مقاله قصد داریم به معرفی این تاکتيک امنیتی به منظور پایدار سازی دسترسی بپردازیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

مفهوم Persistence در امنیت چیست؟

یکی از روش ها و تکنیک های مورد استفاده در دنیای تست نفوذ و هکینگ پایدار سازی و یا همان Persistence میباشد که به سبب این تکنیک شخص مخرب زمانی که دسترسی خود را از سیستم و یا شبکه مورد میگیرد و عوامل مخرب مورد نظر را پیاده سازی میکند جهت اینکه دسترسی گرفته شده از سمت سیستم و یا شبکه هدف از دسترس خارج نشود تکنیک های را مورد استفاده قرار میدهند که به سبب آن دسترسی از هدفشان طولانی تر شود.

تاکتیک PreOS Boot در Persistence چیست؟

توجه داشته باشید که تاکتيک PreOS Boot یکی از روش های پرکاربرد و محبوب برای هکرها و بدافزارها به منظور پایدار سازی دسترسی خود میباشد زیرا که این تکنیک علاوه بر اینکه توانایی انجام Persistence را دارد جزوه یکی از تکنیک‌های Defense Evasion نیز میباشد. از طریق این تکنیک شخص مهاجم بدافزار و یا دسترسی خود را در لایه ای پایین تر از سیستم عامل اجرا سازی میکند یعنی قبل از اینکه سیستم عامل Boot شود بدافزار و دسترسی فرد مهاجم بالا می آید. این روش از طریق بسترهای که قبل از سیستم عامل بالا می آیند صورت میگیرد و این بسترها شامل BIOS و UEFI نیز میشود.
این تاکتيک چندین تکنیک‌ دارد که توسط MITRE ATT&CK تعریف شده اند از جمله تکنیک های مورد استفاده برای این بحث عبارتنداز:

  • System Firmware
  • Component Firmware
  • Bootkit
  • ROMMONkit
  • TFTP Boot

چگونه از سیستم در برابر حملات PreOS Boot محافظت کنیم؟

یکی از تکنیک های بسیار مورد استفاده برای اینکار تکنیک Boot Integrity میباشد. به واسطه این‌ تکنیک ما از ابزارها و بسترهای جهت Boot شدن سیستم به صورت امن استفاده میکنیم که این فرآيند شامل زیرمجموعه های متعددی میباشد از جمله:

  • Firmware Currption
  • Modify System Image

امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

مهندس و مدرس شبکه و امنیت شبکه, دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان مدرس در TOSINSO مشغول به فعالیت هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

12 اردیبهشت 1401 این مطلب را ارسال کرده

نظرات