TA0011

فرمان و کنترل

Command and Control

توضیحات

مهاجم سعی می‌کند با سیستم‌های تحت کنترل خود در شبکه هدف ارتباط برقرار کند. مهاجمان معمولاً سعی می‌کنند ارتباطات فرمان و کنترل را با ترافیک شبکه عادی مخلوط کنند تا از شناسایی فرار کنند.

تکنیک‌ها (18)

شناسهنام تکنیکزیرتکنیک

T1001

مبهم‌سازی دادهData Obfuscation

مهاجمان ارتباطات فرمان و کنترل را با مبهم‌سازی داده‌ها پنهان می‌کنند تا از شناسایی توسط سیستم‌های امنیتی فرار کنند.

└T1001.001

Junk DataJunk Data

مهاجمان داده‌های بی‌معنی به ترافیک C2 اضافه می‌کنند تا signature های شناسایی را دور بزنند.

└T1001.002

SteganographySteganography

مهاجمان داده‌های C2 را درون فایل‌های تصویر، صدا یا سایر فایل‌های رسانه‌ای پنهان می‌کنند.

T1008

کانال‌های پشتیبانFallback Channels

مهاجمان از کانال‌های ارتباطی پشتیبان استفاده می‌کنند تا در صورت مسدود شدن کانال اصلی C2، ارتباط را حفظ کنند.

—

T1071

پروتکل لایه برنامهApplication Layer Protocol

مهاجمان از پروتکل‌های لایه برنامه مانند HTTP، HTTPS، DNS و SMTP برای ارتباطات C2 استفاده می‌کنند تا با ترافیک قانونی مخلوط شوند.

└T1071.001

پروتکل‌های وبWeb Protocols

مهاجمان از HTTP و HTTPS برای ارتباطات C2 استفاده می‌کنند تا با ترافیک وب عادی مخلوط شوند.

└T1071.002

پروتکل‌های انتقال فایلFile Transfer Protocols

مهاجمان از پروتکل‌های انتقال فایل مانند FTP، FTPS و SFTP برای ارتباطات C2 استفاده می‌کنند.

└T1071.003

پروتکل‌های ایمیلMail Protocols

مهاجمان از پروتکل‌های ایمیل مانند SMTP، IMAP و POP3 برای ارتباطات C2 استفاده می‌کنند.

└T1071.004

DNSDNS

مهاجمان از پروتکل DNS برای ارتباطات C2 استفاده می‌کنند و دستورات را در query های DNS پنهان می‌کنند.

T1090

ProxyProxy

مهاجمان از proxy ها برای مخفی کردن منبع واقعی ترافیک C2 استفاده می‌کنند و ارتباطات را از طریق سیستم‌های واسط هدایت می‌کنند.

└T1090.001

Proxy داخلیInternal Proxy

مهاجمان از سیستم‌های داخلی شبکه به عنوان proxy برای هدایت ترافیک C2 استفاده می‌کنند.

└T1090.002

Proxy خارجیExternal Proxy

مهاجمان از proxy های خارجی برای پنهان کردن منبع ترافیک C2 استفاده می‌کنند.

└T1090.003

Multi-hop ProxyMulti-hop Proxy

مهاجمان از زنجیره‌ای از proxy ها برای پنهان کردن منبع واقعی ترافیک C2 استفاده می‌کنند.

T1092

ارتباط از طریق رسانه قابل حملCommunication Through Removable Media

مهاجمان از رسانه‌های قابل حمل برای ارتباط با سیستم‌های air-gapped که به اینترنت دسترسی ندارند استفاده می‌کنند.

—

T1095

پروتکل لایه غیر برنامهNon-Application Layer Protocol

مهاجمان از پروتکل‌های لایه شبکه و انتقال مانند ICMP، UDP و TCP raw برای ارتباطات C2 استفاده می‌کنند.

—

T1102

سرویس وبWeb Service

مهاجمان از سرویس‌های وب قانونی مانند GitHub، Twitter، Pastebin و Google Drive برای ارتباطات C2 استفاده می‌کنند تا از شناسایی فرار کنند.

—

T1104

زیرساخت چند مرحله‌ایMulti-Stage Channels

مهاجمان از زیرساخت C2 چند مرحله‌ای استفاده می‌کنند که در آن payload اولیه یک C2 ثانویه را دانلود می‌کند تا ردیابی را دشوارتر کنند.

—

T1105

انتقال ابزار از طریق شبکهIngress Tool Transfer

مهاجمان ابزارها و فایل‌های مخرب را از سیستم خارجی به سیستم‌های داخلی شبکه هدف منتقل می‌کنند.

—

T1132

رمزگذاری دادهData Encoding

مهاجمان داده‌های C2 را با encoding هایی مانند Base64 و XOR رمزگذاری می‌کنند تا از شناسایی فرار کنند.

└T1132.001

رمزگذاری استانداردStandard Encoding

مهاجمان از encoding های استاندارد مانند Base64 برای رمزگذاری ارتباطات C2 استفاده می‌کنند.

T1205

سیگنال‌دهی ترافیکTraffic Signaling

مهاجمان از تکنیک‌های سیگنال‌دهی ترافیک مانند port knocking برای پنهان کردن پورت‌های باز و دسترسی به backdoor استفاده می‌کنند. این تکنیک به مهاجمان اجازه می‌دهد سرویس‌های مخرب را از دید ابزارهای اسکن شبکه پنهان کنند و تنها با ارسال دنباله خاصی از بسته‌ها به آن‌ها دسترسی داشته باشند.

—

T1219

نرم‌افزار دسترسی راه دورRemote Access Software

مهاجمان از نرم‌افزارهای دسترسی راه دور قانونی مانند TeamViewer، AnyDesk و LogMeIn برای ارتباطات C2 استفاده می‌کنند.

—

T1568

وضوح زیرساخت پویاDynamic Resolution

مهاجمان از تکنیک‌های وضوح پویا مانند Domain Generation Algorithm و Fast Flux برای تغییر مداوم آدرس سرورهای C2 استفاده می‌کنند.

└T1568.001

Fast Flux DNSFast Flux DNS

مهاجمان به سرعت آدرس‌های IP مرتبط با دامنه C2 را تغییر می‌دهند تا مسدود کردن را دشوار کنند.

└T1568.002

Domain Generation AlgorithmsDomain Generation Algorithms

مهاجمان از الگوریتم‌های تولید دامنه برای ایجاد تعداد زیادی دامنه C2 به صورت خودکار استفاده می‌کنند.

T1571

پورت غیراستانداردNon-Standard Port

مهاجمان از پورت‌های غیراستاندارد برای ارتباطات C2 استفاده می‌کنند تا از فیلترهای مبتنی بر پورت فرار کنند.

—

T1572

تونل‌سازی پروتکلProtocol Tunneling

مهاجمان ترافیک C2 را درون پروتکل‌های قانونی مانند DNS، HTTP و ICMP تونل می‌کنند تا از شناسایی فرار کنند.

—

T1573

کانال رمزنگاری شدهEncrypted Channel

مهاجمان ارتباطات C2 را با رمزنگاری محافظت می‌کنند تا از شناسایی و تحلیل ترافیک جلوگیری کنند.

└T1573.001

رمزنگاری متقارنSymmetric Cryptography

مهاجمان از الگوریتم‌های رمزنگاری متقارن مانند AES و RC4 برای رمزنگاری ارتباطات C2 استفاده می‌کنند.

└T1573.002

رمزنگاری نامتقارنAsymmetric Cryptography

مهاجمان از الگوریتم‌های رمزنگاری نامتقارن مانند RSA برای رمزنگاری ارتباطات C2 استفاده می‌کنند.

T1659

تزریق محتواContent Injection

مهاجمان محتوای مخرب را از طریق ترافیک شبکه در معرض خطر به سیستم‌های قربانی تزریق می‌کنند. این تکنیک شامل دستکاری ترافیک شبکه بین قربانی و سرورهای قانونی است تا محتوای مخرب را جایگزین یا به محتوای قانونی اضافه کند. مهاجمان ممکن است از موقعیت man-in-the-middle یا دستگاه‌های شبکه در معرض خطر برای این کار استفاده کنند.

—

T1665

پنهان کردن زیرساختHide Infrastructure

مهاجمان زیرساخت C2 خود را با استفاده از تکنیک‌هایی مانند fast flux، bulletproof hosting و استفاده از سرویس‌های قانونی پنهان می‌کنند.

—