TA0008

حرکت جانبی

Lateral Movement

توضیحات

مهاجم سعی می‌کند وارد سیستم‌های دیگر در شبکه شود. تکنیک‌های حرکت جانبی به مهاجمان اجازه می‌دهد محیط را کشف کنند و به سیستم‌های راه دور دسترسی پیدا کنند. اجرای این هدف اغلب مستلزم کشف شبکه و استفاده از اطلاعات اعتباری قانونی است.

تکنیک‌ها (9)

شناسهنام تکنیکزیرتکنیک

T1021

سرویس‌های راه دورRemote Services

مهاجمان از اطلاعات اعتباری معتبر برای ورود به سرویس‌های راه دور مانند SSH، RDP، SMB و VNC استفاده می‌کنند تا به سیستم‌های دیگر در شبکه دسترسی پیدا کنند.

└T1021.001

Remote Desktop ProtocolRemote Desktop Protocol

مهاجمان از RDP برای ورود تعاملی به سیستم‌های راه دور ویندوز استفاده می‌کنند.

└T1021.002

SMB/Windows Admin SharesSMB/Windows Admin Shares

مهاجمان از اشتراک‌گذاری‌های مدیریتی ویندوز مانند C$ و ADMIN$ برای حرکت جانبی استفاده می‌کنند.

└T1021.003

Distributed Component Object ModelDistributed Component Object Model

مهاجمان از DCOM برای اجرای کد روی سیستم‌های راه دور استفاده می‌کنند.

└T1021.004

SSHSSH

مهاجمان از SSH برای ورود به سیستم‌های لینوکس و macOS راه دور استفاده می‌کنند.

└T1021.005

VNCVNC

مهاجمان از VNC برای دسترسی گرافیکی راه دور به سیستم‌ها استفاده می‌کنند.

└T1021.006

Windows Remote ManagementWindows Remote Management

مهاجمان از WinRM برای اجرای دستورات و اسکریپت‌ها روی سیستم‌های راه دور ویندوز استفاده می‌کنند.

T1080

آلوده‌سازی محتوای مشترکTaint Shared Content

مهاجمان محتوای ذخیره شده در مکان‌های مشترک مانند network share ها، SharePoint و OneDrive را با payload مخرب آلوده می‌کنند تا کاربران دیگر آن را اجرا کنند.

—

T1091

تکثیر از طریق رسانه قابل حملReplication Through Removable Media

مهاجمان بدافزار را روی رسانه‌های قابل حمل مانند USB، CD/DVD یا هارد دیسک خارجی کپی می‌کنند تا سیستم‌هایی را که به اینترنت متصل نیستند (air-gapped) آلوده کنند. بدافزار ممکن است به صورت خودکار اجرا شود یا کاربر را فریب دهد تا آن را اجرا کند. این تکنیک برای نفوذ به شبکه‌های ایزوله استفاده می‌شود.

—

T1210

بهره‌برداری از سرویس‌های راه دورExploitation of Remote Services

مهاجمان از آسیب‌پذیری‌های نرم‌افزاری در سرویس‌های شبکه داخلی بهره‌برداری می‌کنند تا به سیستم‌های دیگر دسترسی پیدا کنند.

—

T1534

채널‌های ارتباطی داخلیInternal Spearphishing

مهاجمان از حساب‌های کاربری به خطر افتاده برای ارسال ایمیل‌های فیشینگ به کاربران دیگر در همان سازمان استفاده می‌کنند تا اعتماد را جلب کنند.

—

T1550

استفاده از مواد احراز هویت جایگزینUse Alternate Authentication Material

مهاجمان از مواد احراز هویت جایگزین مانند hash رمز عبور، Kerberos ticket، application access token و web session cookie برای حرکت جانبی و دور زدن کنترل‌های دسترسی استفاده می‌کنند.

└T1550.002

Pass the HashPass the Hash

مهاجمان از hash رمز عبور NTLM برای احراز هویت بدون دانستن رمز عبور واقعی استفاده می‌کنند. با استفاده از ابزارهایی مانند Mimikatz و Impacket، مهاجمان می‌توانند hash‌های سرقت شده را برای دسترسی به سیستم‌های دیگر استفاده کنند.

└T1550.003

Pass the TicketPass the Ticket

مهاجمان از Kerberos ticket‌های سرقت شده برای احراز هویت استفاده می‌کنند. با استفاده از Golden Ticket یا Silver Ticket، مهاجمان می‌توانند ticket‌های Kerberos جعلی ایجاد کنند که به آن‌ها دسترسی گسترده‌ای می‌دهد.

T1557

مهاجم در میانهAdversary-in-the-Middle

مهاجمان خود را بین دستگاه‌های شبکه قرار می‌دهند تا ترافیک را رهگیری کرده و اطلاعات اعتباری را به سرقت ببرند.

└T1557.001

LLMNR/NBT-NS Poisoning و SMB RelayLLMNR/NBT-NS Poisoning and SMB Relay

مهاجمان پروتکل‌های LLMNR و NBT-NS را مسموم می‌کنند تا ترافیک احراز هویت را به سرور خود هدایت کنند.

└T1557.002

ARP Cache PoisoningARP Cache Poisoning

مهاجمان ARP cache را مسموم می‌کنند تا ترافیک شبکه را به سیستم خود هدایت کنند.

T1563

ربودن سشن سرویس راه دورRemote Service Session Hijacking

مهاجمان سشن‌های سرویس راه دور فعال کاربران دیگر را برای حرکت جانبی و دسترسی به سیستم‌های دیگر می‌ربایند.

└T1563.001

ربودن سشن SSHSSH Hijacking

مهاجمان سشن‌های SSH فعال را برای حرکت جانبی می‌ربایند.

└T1563.002

ربودن سشن RDPRDP Hijacking

مهاجمان سشن‌های RDP فعال کاربران دیگر را برای حرکت جانبی می‌ربایند.

T1570

انتقال ابزار جانبیLateral Tool Transfer

مهاجمان ابزارها و فایل‌های مخرب را بین سیستم‌های شبکه منتقل می‌کنند تا عملیات را در سیستم‌های دیگر ادامه دهند.

—