TA0001

دسترسی اولیه

Initial Access

توضیحات

مهاجم برای اولین بار به شبکه یا سامانه هدف وارد می‌شود و نقطه شروع حمله را ایجاد می‌کند. تکنیک‌های دسترسی اولیه شامل روش‌های مختلفی برای ورود به محیط هدف هستند، از جمله فیشینگ، سوءاستفاده از سرویس‌های عمومی، استفاده از اعتبارنامه‌های معتبر و به خطر انداختن زنجیره تأمین.

تکنیک‌ها (10)

شناسهنام تکنیکزیرتکنیک

T1078

حساب‌های کاربری معتبرValid Accounts

مهاجمان از اعتبارنامه‌های معتبر برای دسترسی به سیستم‌ها استفاده می‌کنند. این اعتبارنامه‌ها ممکن است از طریق فیشینگ، credential stuffing، brute force، خرید از dark web یا سایر روش‌ها به دست آمده باشند. استفاده از حساب‌های معتبر شناسایی را بسیار دشوار می‌کند زیرا فعالیت مهاجم شبیه فعالیت قانونی به نظر می‌رسد.

└T1078.001

حساب‌های پیش‌فرضDefault Accounts

مهاجمان از حساب‌های پیش‌فرض سیستم‌عامل، دستگاه‌های شبکه، نرم‌افزارها یا سرویس‌های ابری استفاده می‌کنند. این حساب‌ها اغلب با رمزعبورهای پیش‌فرض شناخته‌شده پیکربندی می‌شوند. مثال‌ها شامل حساب Administrator ویندوز، حساب root لینوکس، حساب‌های پیش‌فرض روترها و سوئیچ‌ها، و حساب‌های پیش‌فرض سرویس‌های ابری است.

└T1078.002

حساب‌های دامنهDomain Accounts

مهاجمان از اعتبارنامه‌های حساب‌های دامنه Active Directory برای دسترسی به سیستم‌ها و منابع شبکه استفاده می‌کنند. حساب‌های دامنه اغلب دسترسی گسترده‌ای به منابع شبکه دارند و استفاده از آن‌ها شناسایی را دشوار می‌کند. مهاجمان ممکن است از Pass-the-Hash، Pass-the-Ticket یا سایر تکنیک‌ها برای استفاده از اعتبارنامه‌های دامنه بدون دانستن رمزعبور استفاده کنند.

└T1078.003

حساب‌های محلیLocal Accounts

مهاجمان از اعتبارنامه‌های حساب‌های محلی روی سیستم‌های هدف استفاده می‌کنند. این حساب‌ها مستقیماً روی سیستم تعریف شده‌اند و به دامنه متصل نیستند. مهاجمان ممکن است از حساب‌های محلی پیش‌فرض، حساب‌های ایجاد شده توسط نرم‌افزارها یا حساب‌های ایجاد شده توسط خود مهاجم استفاده کنند.

└T1078.004

حساب‌های ابریCloud Accounts

مهاجمان از اعتبارنامه‌های حساب‌های ابری برای دسترسی به سرویس‌های ابری و منابع مرتبط استفاده می‌کنند. این حساب‌ها ممکن است cloud-only یا hybrid-federated با Active Directory باشند. مهاجمان ممکن است از brute force، فیشینگ، credential stuffing یا سرقت token برای به دست آوردن دسترسی استفاده کنند.

T1091

تکثیر از طریق رسانه قابل حملReplication Through Removable Media

مهاجمان بدافزار را روی رسانه‌های قابل حمل مانند USB، CD/DVD یا هارد دیسک خارجی کپی می‌کنند تا سیستم‌هایی را که به اینترنت متصل نیستند (air-gapped) آلوده کنند. بدافزار ممکن است به صورت خودکار اجرا شود یا کاربر را فریب دهد تا آن را اجرا کند. این تکنیک برای نفوذ به شبکه‌های ایزوله استفاده می‌شود.

—

T1133

سرویس‌های دسترسی از راه دور خارجیExternal Remote Services

مهاجمان از سرویس‌های دسترسی از راه دور خارجی مانند VPN، Citrix، RDP، SSH، TeamViewer یا سایر سرویس‌های مدیریت از راه دور برای دسترسی اولیه استفاده می‌کنند. این سرویس‌ها اغلب با اعتبارنامه‌های معتبر یا از طریق آسیب‌پذیری‌های شناخته‌شده مورد سوءاستفاده قرار می‌گیرند.

—

T1189

به خطر انداختن از طریق مرور وبDrive-by Compromise

مهاجمان دسترسی به سیستم را از طریق بازدید کاربران از وب‌سایت‌های آلوده در جریان مرور عادی اینترنت به دست می‌آورند. این تکنیک که به Watering Hole نیز معروف است، شامل آلوده کردن وب‌سایت‌های پرطرفدار یا ایجاد وب‌سایت‌های جعلی است. کد مخرب از آسیب‌پذیری‌های مرورگر، پلاگین‌ها یا سایر نرم‌افزارهای سمت کلاینت سوءاستفاده می‌کند.

—

T1190

سوءاستفاده از برنامه‌های عمومیExploit Public-Facing Application

مهاجمان از آسیب‌پذیری‌های نرم‌افزاری در برنامه‌های اینترنتی سوءاستفاده می‌کنند. این برنامه‌ها شامل وب‌سرورها، پایگاه‌های داده، سرویس‌های ایمیل، VPN ها، سیستم‌های مدیریت محتوا و سایر سرویس‌های عمومی هستند. مهاجمان آسیب‌پذیری‌های شناخته‌شده (CVE) یا zero-day را برای اجرای کد، دور زدن احراز هویت یا دسترسی به داده‌ها استفاده می‌کنند.

—

T1195

به خطر انداختن زنجیره تأمینSupply Chain Compromise

مهاجمان زنجیره تأمین نرم‌افزار یا سخت‌افزار را به خطر می‌اندازند تا کد مخرب را قبل از رسیدن به قربانی نهایی وارد کنند. این تکنیک شامل دستکاری ابزارهای توسعه، وابستگی‌های نرم‌افزاری، مکانیزم‌های به‌روزرسانی یا سخت‌افزار است. حملات زنجیره تأمین می‌توانند تعداد زیادی از قربانیان را همزمان تحت تأثیر قرار دهند.

└T1195.001

به خطر انداختن وابستگی‌ها و ابزارهای توسعهCompromise Software Dependencies and Development Tools

مهاجمان وابستگی‌های نرم‌افزاری و ابزارهای توسعه را به خطر می‌اندازند تا کد مخرب را در محصولات نرم‌افزاری تزریق کنند. این شامل آلوده کردن کتابخانه‌های open-source پرطرفدار در npm، PyPI، Maven یا سایر مخازن است. حمله به وابستگی‌ها می‌تواند هزاران برنامه را که از آن وابستگی استفاده می‌کنند تحت تأثیر قرار دهد.

└T1195.002

به خطر انداختن زنجیره تأمین نرم‌افزارCompromise Software Supply Chain

مهاجمان مکانیزم‌های توزیع و به‌روزرسانی نرم‌افزار را به خطر می‌اندازند تا نرم‌افزار مخرب را به کاربران نهایی تحویل دهند. این شامل دستکاری سرورهای به‌روزرسانی، جایگزینی نرم‌افزار قانونی با نسخه‌های آلوده یا تزریق کد مخرب به فرایند build است. حمله SolarWinds نمونه معروفی از این تکنیک است.

└T1195.003

به خطر انداختن زنجیره تأمین سخت‌افزارCompromise Hardware Supply Chain

مهاجمان سخت‌افزار را در هر مرحله از زنجیره تأمین، از تولید تا تحویل، به خطر می‌اندازند. این شامل تزریق implant های سخت‌افزاری، دستکاری فریمور، نصب keylogger های سخت‌افزاری یا سایر اصلاحات فیزیکی است. سخت‌افزار به خطر افتاده بسیار دشوار شناسایی می‌شود و می‌تواند دسترسی پایدار ایجاد کند.

T1199

سوءاستفاده از روابط اعتمادTrusted Relationship

مهاجمان از دسترسی سازمان‌های شخص ثالث به شبکه هدف سوءاستفاده می‌کنند. این شامل پیمانکاران IT، ارائه‌دهندگان خدمات مدیریت‌شده (MSP)، فروشندگان نرم‌افزار یا سایر شرکای تجاری است که دسترسی مستقیم یا غیرمستقیم به شبکه دارند. مهاجمان ابتدا شخص ثالث را به خطر می‌اندازند و سپس از دسترسی آن برای نفوذ به هدف اصلی استفاده می‌کنند.

—

T1200

افزودن سخت‌افزارHardware Additions

مهاجمان با وارد کردن سخت‌افزار مخرب به محیط قربانی دسترسی اولیه به دست می‌آورند. این سخت‌افزار ممکن است شامل USB های مخرب، keylogger های سخت‌افزاری، دستگاه‌های شبکه مخرب، Raspberry Pi یا سایر تجهیزات باشد. این تکنیک نیازمند دسترسی فیزیکی به محیط هدف است.

—

T1566

فیشینگPhishing

مهاجمان پیام‌های الکترونیکی فریبنده ارسال می‌کنند تا قربانیان را وادار به اجرای کد مخرب، ارائه اعتبارنامه یا نصب بدافزار کنند. فیشینگ می‌تواند هدفمند (spearphishing) یا غیرهدفمند باشد. این تکنیک یکی از رایج‌ترین روش‌های دسترسی اولیه است و از مهندسی اجتماعی برای فریب کاربران استفاده می‌کند.

└T1566.001

پیوست فیشینگ هدفمندSpearphishing Attachment

مهاجمان ایمیل‌های هدفمند حاوی پیوست‌های مخرب ارسال می‌کنند. پیوست‌ها ممکن است فایل‌های Office با ماکرو، PDF های مخرب، فایل‌های آرشیو حاوی اجرایی، یا سایر فرمت‌های فایل باشند. مهاجمان اغلب از مهندسی اجتماعی برای متقاعد کردن قربانی به باز کردن پیوست استفاده می‌کنند.

└T1566.002

لینک فیشینگ هدفمندSpearphishing Link

مهاجمان ایمیل‌های هدفمند حاوی لینک‌های مخرب ارسال می‌کنند. این لینک‌ها قربانی را به صفحات فیشینگ، صفحات دانلود بدافزار یا صفحاتی که از آسیب‌پذیری‌های مرورگر سوءاستفاده می‌کنند هدایت می‌کنند. مهاجمان اغلب از URL shortener یا دامنه‌های مشابه دامنه‌های قانونی استفاده می‌کنند.

└T1566.003

فیشینگ از طریق سرویس‌های شخص ثالثSpearphishing via Service

مهاجمان از سرویس‌های شخص ثالث مانند LinkedIn، Twitter، WhatsApp، Telegram یا سایر پلتفرم‌های پیام‌رسانی برای ارسال پیام‌های فیشینگ استفاده می‌کنند. این روش فیلترهای ایمیل سازمانی را دور می‌زند و از اعتبار پلتفرم‌های قانونی بهره می‌برد. مهاجمان اغلب از حساب‌های جعلی یا به خطر افتاده استفاده می‌کنند.

└T1566.004

فیشینگ صوتیSpearphishing Voice

مهاجمان از تماس‌های تلفنی یا پیام‌های صوتی برای فریب قربانیان و دسترسی به سیستم‌ها استفاده می‌کنند. این تکنیک که به vishing معروف است، شامل جعل هویت پشتیبانی IT، مدیران یا سایر افراد مورد اعتماد است. مهاجمان ممکن است قربانیان را وادار کنند نرم‌افزار دسترسی از راه دور نصب کنند، اعتبارنامه ارائه دهند یا MFA را تأیید کنند.

T1659

تزریق محتواContent Injection

مهاجمان محتوای مخرب را از طریق ترافیک شبکه در معرض خطر به سیستم‌های قربانی تزریق می‌کنند. این تکنیک شامل دستکاری ترافیک شبکه بین قربانی و سرورهای قانونی است تا محتوای مخرب را جایگزین یا به محتوای قانونی اضافه کند. مهاجمان ممکن است از موقعیت man-in-the-middle یا دستگاه‌های شبکه در معرض خطر برای این کار استفاده کنند.

—