تأثیر
Impactتوضیحات
مهاجم سعی میکند سیستمها، دادهها و زیرساختها را دستکاری، قطع یا نابود کند. تکنیکهای تأثیر میتوانند برای اهداف مختلفی مانند اخاذی، تخریب و دستکاری داده استفاده شوند.
تکنیکها (15)
مهاجمان دادههای روی سیستمهای هدف را به صورت غیرقابل بازیابی حذف یا خراب میکنند تا سیستمها را از کار بیندازند.
مهاجمان دادههای سیستمهای هدف را رمزنگاری میکنند تا دسترسی به آنها را مسدود کنند و برای رمزگشایی باج بخواهند (باجافزار).
مهاجمان سرویسهای حیاتی مانند آنتیویروس، firewall و سرویسهای کسبوکار را متوقف میکنند تا عملیات را مختل کنند.
مهاجمان ابزارها و فرآیندهای بازیابی سیستم مانند shadow copy ها، backup ها و restore point ها را حذف یا غیرفعال میکنند.
مهاجمان محتوای وبسایتها یا صفحات نمایش سیستمها را تغییر میدهند تا پیامهای خود را منتشر کنند یا اعتبار سازمان را خدشهدار کنند.
مهاجمان محتوای داخلی مانند صفحات intranet و سیستمهای داخلی را تغییر میدهند.
مهاجمان محتوای وبسایتهای عمومی سازمان را تغییر میدهند تا پیامهای خود را به عموم نشان دهند.
مهاجمان firmware دستگاهها را خراب میکنند تا آنها را غیرقابل استفاده کنند یا دسترسی پایدار ایجاد کنند.
مهاجمان منابع سیستم مانند CPU، GPU و پهنای باند شبکه را برای اهداف خود مانند استخراج ارز دیجیتال استفاده میکنند.
مهاجمان با ارسال حجم زیادی از ترافیک به سرورها و زیرساخت شبکه، سرویسها را برای کاربران قانونی غیرقابل دسترس میکنند.
مهاجمان ترافیک حجیم را مستقیماً به سیستم هدف ارسال میکنند تا منابع آن را تخلیه کنند.
مهاجمان از سرورهای واسط برای تقویت و بازتاب ترافیک به سمت هدف استفاده میکنند.
مهاجمان سیستمهای endpoint را با مصرف منابع یا crash کردن آنها از کار میاندازند تا سرویسهای ارائه شده را مختل کنند.
مهاجمان منابع سیستمعامل مانند حافظه و CPU را با ارسال درخواستهای زیاد تخلیه میکنند.
مهاجمان سرویسهای خاص مانند وب سرور را با ارسال درخواستهای زیاد از کار میاندازند.
مهاجمان سیستمها را خاموش یا راهاندازی مجدد میکنند تا عملیات را مختل کنند یا تغییرات مخرب را اعمال کنند.
مهاجمان دسترسی حسابهای کاربری را با حذف، قفل کردن یا تغییر اطلاعات اعتباری آنها از بین میبرند تا از پاسخ به حادثه جلوگیری کنند.
مهاجمان محتوای دیسکهای ذخیرهسازی را پاک میکنند تا سیستمها را از کار بیندازند و بازیابی را دشوار کنند.
مهاجمان محتوای دیسک را به صورت کامل پاک میکنند تا سیستم را غیرقابل بوت کنند.
مهاجمان ساختارهای دیسک مانند MBR و partition table را پاک میکنند تا سیستم را از کار بیندازند.
مهاجمان دادههای ذخیره شده یا در حال انتقال را تغییر میدهند تا یکپارچگی اطلاعات را خدشهدار کنند یا تصمیمگیری را دچار اختلال کنند.
مهاجمان دادههای ذخیره شده در فایلها، پایگاه دادهها و سیستمهای ذخیرهسازی را تغییر میدهند.
مهاجمان دادههای در حال انتقال در شبکه را تغییر میدهند تا اطلاعات نادرست به مقصد برسد.
مهاجمان زیرساختی را خریداری، اجاره یا به دست میآورند که میتوانند در طول هدفگیری از آن استفاده کنند. این زیرساخت میتواند برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر مراحل حمله استفاده شود. استفاده از زیرساخت خریداریشده به مهاجم کمک میکند تا ردپای خود را پنهان کند و شناسایی را دشوارتر سازد.
مهاجمان دامنههایی را ثبت میکنند که میتوانند در طول عملیات از آنها استفاده کنند. این دامنهها ممکن است برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر اهداف استفاده شوند. مهاجمان اغلب دامنههایی را انتخاب میکنند که شبیه دامنههای قانونی هستند (typosquatting) یا از دامنههای منقضیشده با تاریخچه خوب استفاده میکنند.
مهاجمان سرورهای DNS را برای استفاده در عملیات تهیه میکنند. سرورهای DNS اختصاصی به مهاجم اجازه میدهند زیرساخت C2 را مدیریت کند، ترافیک را هدایت کند و از تکنیکهایی مانند Fast Flux استفاده کند. این رویکرد انعطافپذیری بیشتری در مدیریت زیرساخت مهاجم فراهم میکند.
مهاجمان سرورهای مجازی خصوصی (VPS) را از ارائهدهندگان ابری اجاره میکنند. VPS ها به مهاجم اجازه میدهند زیرساخت C2 را با هزینه کم و ناشناس بودن نسبی راهاندازی کند. مهاجمان اغلب از ارائهدهندگانی استفاده میکنند که احراز هویت ضعیفی دارند یا پرداخت با ارز دیجیتال را میپذیرند.
مهاجمان سرورهای فیزیکی یا مجازی را برای استفاده در عملیات خریداری یا اجاره میکنند. این سرورها ممکن است برای میزبانی C2، ذخیره دادههای سرقتشده، توزیع بدافزار یا سایر اهداف استفاده شوند. مهاجمان اغلب از سرویسهای hosting که احراز هویت ضعیف دارند استفاده میکنند.
مهاجمان باتنتهایی را خریداری یا اجاره میکنند که میتوانند برای حملات DDoS، توزیع اسپم، فیشینگ یا سایر عملیات استفاده شوند. باتنتها شبکهای از سیستمهای آلوده هستند که توسط مهاجم کنترل میشوند. استفاده از باتنتهای موجود به مهاجم اجازه میدهد عملیات گستردهای را با هزینه کم انجام دهد.
مهاجمان از سرویسهای وب قانونی مانند GitHub، Pastebin، Google Drive، Dropbox یا سرویسهای ابری برای میزبانی C2، ذخیره payload یا استخراج داده استفاده میکنند. استفاده از سرویسهای قانونی به مهاجم کمک میکند ترافیک مخرب را در ترافیک عادی پنهان کند.
مهاجمان از پلتفرمهای serverless مانند AWS Lambda، Azure Functions یا Google Cloud Functions برای اجرای کد مخرب استفاده میکنند. این رویکرد به مهاجم اجازه میدهد زیرساخت C2 را بدون نیاز به مدیریت سرور راهاندازی کند و از مزایای مقیاسپذیری و ناشناس بودن ارائهدهندگان ابری بهره ببرد.
مهاجمان فضای تبلیغاتی را در شبکههای تبلیغاتی قانونی خریداری میکنند تا کاربران را به محتوای مخرب هدایت کنند. این تبلیغات ممکن است حاوی کد مخرب باشند که به صورت خودکار اجرا میشود یا کاربر را به صفحات فیشینگ هدایت کند. Malvertising به مهاجم اجازه میدهد طیف گستردهای از کاربران را هدف قرار دهد.
مهاجمان از دسترسی به سیستمهای مالی برای سرقت پول، داراییهای دیجیتال یا اطلاعات مالی استفاده میکنند.