توسعه منابع

مهاجمان دامنه‌هایی را ثبت می‌کنند که می‌توانند در طول عملیات از آن‌ها استفاده کنند. این دامنه‌ها ممکن است برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر اهداف استفاده شوند. مهاجمان اغلب دامنه‌هایی را انتخاب می‌کنند که شبیه دامنه‌های قانونی هستند (typosquatting) یا از دامنه‌های منقضی‌شده با تاریخچه خوب استفاده می‌کنند.

مهاجمان سرورهای DNS را برای استفاده در عملیات تهیه می‌کنند. سرورهای DNS اختصاصی به مهاجم اجازه می‌دهند زیرساخت C2 را مدیریت کند، ترافیک را هدایت کند و از تکنیک‌هایی مانند Fast Flux استفاده کند. این رویکرد انعطاف‌پذیری بیشتری در مدیریت زیرساخت مهاجم فراهم می‌کند.

مهاجمان سرورهای مجازی خصوصی (VPS) را از ارائه‌دهندگان ابری اجاره می‌کنند. VPS ها به مهاجم اجازه می‌دهند زیرساخت C2 را با هزینه کم و ناشناس بودن نسبی راه‌اندازی کند. مهاجمان اغلب از ارائه‌دهندگانی استفاده می‌کنند که احراز هویت ضعیفی دارند یا پرداخت با ارز دیجیتال را می‌پذیرند.

مهاجمان سرورهای فیزیکی یا مجازی را برای استفاده در عملیات خریداری یا اجاره می‌کنند. این سرورها ممکن است برای میزبانی C2، ذخیره داده‌های سرقت‌شده، توزیع بدافزار یا سایر اهداف استفاده شوند. مهاجمان اغلب از سرویس‌های hosting که احراز هویت ضعیف دارند استفاده می‌کنند.

مهاجمان بات‌نت‌هایی را خریداری یا اجاره می‌کنند که می‌توانند برای حملات DDoS، توزیع اسپم، فیشینگ یا سایر عملیات استفاده شوند. بات‌نت‌ها شبکه‌ای از سیستم‌های آلوده هستند که توسط مهاجم کنترل می‌شوند. استفاده از بات‌نت‌های موجود به مهاجم اجازه می‌دهد عملیات گسترده‌ای را با هزینه کم انجام دهد.

مهاجمان از سرویس‌های وب قانونی مانند GitHub، Pastebin، Google Drive، Dropbox یا سرویس‌های ابری برای میزبانی C2، ذخیره payload یا استخراج داده استفاده می‌کنند. استفاده از سرویس‌های قانونی به مهاجم کمک می‌کند ترافیک مخرب را در ترافیک عادی پنهان کند.

مهاجمان از پلتفرم‌های serverless مانند AWS Lambda، Azure Functions یا Google Cloud Functions برای اجرای کد مخرب استفاده می‌کنند. این رویکرد به مهاجم اجازه می‌دهد زیرساخت C2 را بدون نیاز به مدیریت سرور راه‌اندازی کند و از مزایای مقیاس‌پذیری و ناشناس بودن ارائه‌دهندگان ابری بهره ببرد.

مهاجمان فضای تبلیغاتی را در شبکه‌های تبلیغاتی قانونی خریداری می‌کنند تا کاربران را به محتوای مخرب هدایت کنند. این تبلیغات ممکن است حاوی کد مخرب باشند که به صورت خودکار اجرا می‌شود یا کاربر را به صفحات فیشینگ هدایت کند. Malvertising به مهاجم اجازه می‌دهد طیف گسترده‌ای از کاربران را هدف قرار دهد.

مهاجمان دامنه‌های موجود و قانونی را به خطر می‌اندازند تا از آن‌ها در عملیات استفاده کنند. دامنه‌های به خطر افتاده دارای تاریخچه و اعتبار هستند که شناسایی آن‌ها را دشوارتر می‌کند. روش‌های به خطر انداختن شامل هک پنل مدیریت دامنه، سرقت اعتبارنامه registrar یا سوءاستفاده از آسیب‌پذیری‌های DNS است.

مهاجمان سرورهای DNS قانونی را به خطر می‌اندازند تا ترافیک را به زیرساخت خود هدایت کنند. سرور DNS به خطر افتاده می‌تواند برای DNS hijacking، cache poisoning یا هدایت کاربران به سایت‌های جعلی استفاده شود. این تکنیک می‌تواند تعداد زیادی از کاربران را تحت تأثیر قرار دهد.

مهاجمان VPS های قانونی متعلق به سازمان‌ها یا افراد دیگر را به خطر می‌اندازند. VPS های به خطر افتاده به مهاجم اجازه می‌دهند از زیرساخت قانونی استفاده کند و شناسایی را دشوارتر سازد. این VPS ها ممکن است برای میزبانی C2، پروکسی ترافیک یا سایر اهداف استفاده شوند.

مهاجمان سرورهای قانونی را به خطر می‌اندازند تا از آن‌ها به عنوان زیرساخت عملیاتی استفاده کنند. سرورهای به خطر افتاده ممکن است برای میزبانی C2، توزیع بدافزار، ذخیره داده‌های سرقت‌شده یا پروکسی ترافیک استفاده شوند. استفاده از سرورهای قانونی شناسایی را دشوارتر می‌کند.

مهاجمان سیستم‌های آلوده را برای ایجاد بات‌نت به خطر می‌اندازند. بات‌نت‌های ایجاد شده می‌توانند برای حملات DDoS، توزیع اسپم، فیشینگ، استخراج ارز دیجیتال یا سایر عملیات استفاده شوند. مهاجمان از آسیب‌پذیری‌های شناخته‌شده، اعتبارنامه‌های ضعیف یا بدافزار برای آلوده کردن سیستم‌ها استفاده می‌کنند.

مهاجمان حساب‌های سرویس‌های وب قانونی را به خطر می‌اندازند تا از آن‌ها برای میزبانی C2 یا سایر عملیات استفاده کنند. استفاده از سرویس‌های وب قانونی مانند GitHub، Pastebin یا سرویس‌های ابری به مهاجم کمک می‌کند ترافیک مخرب را در ترافیک عادی پنهان کند.

مهاجمان حساب‌های پلتفرم‌های serverless قانونی را به خطر می‌اندازند. پلتفرم‌های serverless به خطر افتاده می‌توانند برای اجرای کد مخرب، میزبانی C2 یا پردازش داده‌های سرقت‌شده استفاده شوند. این رویکرد به مهاجم اجازه می‌دهد از زیرساخت قانونی بدون نیاز به مدیریت سرور استفاده کند.

مهاجمان دستگاه‌های شبکه مانند روترها، سوئیچ‌ها، فایروال‌ها و access point های بی‌سیم را به خطر می‌اندازند. دستگاه‌های شبکه به خطر افتاده می‌توانند برای شنود ترافیک، هدایت ترافیک به زیرساخت مهاجم، ایجاد backdoor یا حرکت جانبی در شبکه استفاده شوند.

مهاجمان حساب‌های جعلی در شبکه‌های اجتماعی مانند LinkedIn، Twitter، Facebook یا Instagram ایجاد می‌کنند. این حساب‌ها برای ساختن پرسوناهای قابل اعتماد، جمع‌آوری اطلاعات درباره اهداف، ارسال پیام‌های فیشینگ یا مهندسی اجتماعی استفاده می‌شوند. مهاجمان اغلب این حساب‌ها را در طول زمان تقویت می‌کنند.

مهاجمان حساب‌های ایمیل جدیدی ایجاد می‌کنند که برای فیشینگ، مهندسی اجتماعی، ثبت دامنه یا سایر عملیات استفاده می‌شوند. مهاجمان اغلب از سرویس‌های ایمیل رایگان یا disposable استفاده می‌کنند. آن‌ها ممکن است پرسوناهایی را دور این حساب‌ها بسازند تا اعتبار آن‌ها را افزایش دهند.

مهاجمان حساب‌های جدیدی در سرویس‌های ابری مانند AWS، Azure یا Google Cloud ایجاد می‌کنند. این حساب‌ها برای راه‌اندازی زیرساخت C2، ذخیره payload، اجرای کد مخرب یا سایر عملیات استفاده می‌شوند. ارائه‌دهندگان ابری اغلب trial account های رایگان ارائه می‌دهند که مهاجمان از آن‌ها سوءاستفاده می‌کنند.

مهاجمان حساب‌های موجود در شبکه‌های اجتماعی را به خطر می‌اندازند. حساب‌های به خطر افتاده دارای تاریخچه، دنبال‌کنندگان و اعتبار هستند که آن‌ها را برای مهندسی اجتماعی و فیشینگ بسیار مؤثرتر از حساب‌های جدید می‌کند. روش‌های به خطر انداختن شامل فیشینگ، credential stuffing یا سوءاستفاده از نقض داده‌های قبلی است.

مهاجمان حساب‌های ایمیل موجود را به خطر می‌اندازند تا از آن‌ها برای فیشینگ، مهندسی اجتماعی یا دسترسی به سرویس‌های مرتبط استفاده کنند. حساب‌های ایمیل به خطر افتاده به مهاجم اجازه می‌دهد ایمیل‌های قانونی‌تر ارسال کند که فیلترهای ایمیل را دور می‌زنند.

مهاجمان حساب‌های ابری موجود را به خطر می‌اندازند تا از منابع و سرویس‌های ابری آن‌ها استفاده کنند. حساب‌های ابری به خطر افتاده می‌توانند برای راه‌اندازی زیرساخت مخرب، استخراج ارز دیجیتال، دسترسی به داده‌های ذخیره‌شده یا سایر عملیات استفاده شوند.

مهاجمان بدافزار و اجزای آن را برای استفاده در عملیات توسعه می‌دهند. این شامل payload ها، dropper ها، ابزارهای پس از نفوذ، backdoor ها، packer ها و پروتکل‌های C2 است. توسعه بدافزار اختصاصی به مهاجم اجازه می‌دهد ابزارهایی بسازد که توسط راهکارهای امنیتی شناسایی نمی‌شوند.

مهاجمان گواهینامه‌های امضای کد را برای امضای بدافزار و ابزارهای مخرب توسعه می‌دهند یا به دست می‌آورند. کد امضا شده توسط بسیاری از راهکارهای امنیتی به عنوان قانونی تلقی می‌شود و احتمال شناسایی را کاهش می‌دهد. مهاجمان ممکن است گواهینامه‌های خود را صادر کنند یا از CA های غیرمعتبر استفاده کنند.

مهاجمان گواهینامه‌های SSL/TLS را برای زیرساخت خود توسعه می‌دهند یا به دست می‌آورند. گواهینامه‌های دیجیتال به مهاجم اجازه می‌دهند ترافیک C2 را رمزنگاری کند، صفحات فیشینگ را با HTTPS نمایش دهد و اعتبار بیشتری به زیرساخت خود بدهد. مهاجمان ممکن است از Let's Encrypt یا سایر CA های رایگان استفاده کنند.

مهاجمان اکسپلویت‌هایی را برای آسیب‌پذیری‌های شناخته‌شده یا zero-day توسعه می‌دهند. اکسپلویت‌های اختصاصی به مهاجم مزیت قابل توجهی می‌دهند زیرا توسط راهکارهای امنیتی شناسایی نمی‌شوند. توسعه اکسپلویت نیازمند مهارت‌های فنی پیشرفته است و معمولاً توسط گروه‌های APT دولتی یا تیم‌های تحقیقاتی انجام می‌شود.

مهاجمان بدافزار را از منابع مختلف به دست می‌آورند، از جمله خرید از بازارهای زیرزمینی، دانلود از مخازن عمومی یا سرقت از سایر مهاجمان. این بدافزارها ممکن است شامل RAT ها، ransomware، spyware، keylogger ها یا سایر ابزارهای مخرب باشند.

مهاجمان ابزارهای هک و تست نفوذ را به دست می‌آورند، از جمله ابزارهای عمومی مانند Metasploit، Cobalt Strike، Mimikatz یا ابزارهای اختصاصی. این ابزارها ممکن است از مخازن عمومی دانلود شوند، خریداری شوند یا از سایر مهاجمان سرقت شوند.

مهاجمان گواهینامه‌های امضای کد را از منابع مختلف به دست می‌آورند، از جمله خرید از CA های قانونی با هویت جعلی، سرقت از سازمان‌های قانونی یا خرید از بازارهای زیرزمینی. این گواهینامه‌ها برای امضای بدافزار و کاهش احتمال شناسایی استفاده می‌شوند.

مهاجمان گواهینامه‌های SSL/TLS را از منابع مختلف به دست می‌آورند. این شامل خرید از CA های قانونی، استفاده از CA های رایگان مانند Let's Encrypt یا سرقت گواهینامه‌های موجود است. گواهینامه‌های دیجیتال برای رمزنگاری ترافیک C2 و افزایش اعتبار زیرساخت مهاجم استفاده می‌شوند.

مهاجمان اکسپلویت‌هایی را برای آسیب‌پذیری‌های شناخته‌شده خریداری، سرقت یا دانلود می‌کنند. این اکسپلویت‌ها ممکن است از بازارهای زیرزمینی، فروشندگان اکسپلویت، شرکت‌های فناوری یا سایر مهاجمان به دست آیند. اکسپلویت‌های zero-day ارزش بسیار بالایی در بازارهای زیرزمینی دارند.

مهاجمان اطلاعاتی درباره آسیب‌پذیری‌های سخت‌افزار و نرم‌افزار به دست می‌آورند. این اطلاعات ممکن است از پایگاه‌های داده عمومی CVE، پایگاه‌های داده خصوصی آسیب‌پذیری یا تحقیقات اختصاصی به دست آیند. مهاجمان این اطلاعات را برای شناسایی اهداف آسیب‌پذیر و برنامه‌ریزی حمله استفاده می‌کنند.

مهاجمان از ابزارها و مدل‌های هوش مصنوعی برای پشتیبانی از عملیات خود استفاده می‌کنند. این شامل استفاده از LLM ها برای تولید محتوای فیشینگ متقاعدکننده‌تر، deepfake برای جعل هویت، ابزارهای AI برای تحلیل داده‌های سرقت‌شده یا اتوماسیون مراحل مختلف حمله است.

مهاجمان بدافزار را روی زیرساخت کنترل‌شده آپلود می‌کنند تا در مراحل بعدی حمله از آن استفاده کنند. این بدافزار ممکن است روی سرورهای C2، سرویس‌های وب قانونی یا سایر زیرساخت‌های مهاجم ذخیره شود. آپلود قبلی بدافزار تضمین می‌کند که در زمان حمله منابع لازم در دسترس هستند.

مهاجمان ابزارهای هک و تست نفوذ را روی زیرساخت کنترل‌شده آپلود می‌کنند. این ابزارها ممکن است بعداً روی سیستم‌های قربانی دانلود و اجرا شوند. آپلود ابزارها روی زیرساخت مهاجم به جای انتقال مستقیم به قربانی، ردپای کمتری ایجاد می‌کند.

مهاجمان گواهینامه‌های دیجیتال را روی زیرساخت کنترل‌شده نصب می‌کنند. این گواهینامه‌ها برای رمزنگاری ترافیک C2، افزایش اعتبار صفحات فیشینگ یا جعل هویت سرویس‌های قانونی استفاده می‌شوند. نصب گواهینامه‌های معتبر به مهاجم اجازه می‌دهد ترافیک HTTPS ایجاد کند که فیلترهای امنیتی را دور می‌زند.

مهاجمان وب‌سایت‌ها یا صفحاتی را آماده می‌کنند که کاربران هدف احتمالاً از آن‌ها بازدید می‌کنند تا از آسیب‌پذیری‌های مرورگر سوءاستفاده کنند. این تکنیک که به Watering Hole نیز معروف است، شامل آلوده کردن وب‌سایت‌های پرطرفدار یا ایجاد وب‌سایت‌های جعلی است که اهداف خاص را جذب می‌کنند.

مهاجمان لینک‌هایی را آماده می‌کنند که در ایمیل‌های فیشینگ، پیام‌های شبکه اجتماعی یا سایر کانال‌ها استفاده می‌شوند. این لینک‌ها به صفحات جعلی، صفحات دانلود بدافزار یا صفحات سرقت اعتبارنامه هدایت می‌کنند. آماده‌سازی لینک‌های هدف قبل از شروع کمپین فیشینگ انجام می‌شود.

مهاجمان از تکنیک‌های بهینه‌سازی موتور جستجو (SEO) برای بالا بردن رتبه صفحات مخرب در نتایج جستجو استفاده می‌کنند. این صفحات ممکن است حاوی بدافزار، صفحات فیشینگ یا محتوای مخرب باشند. کاربرانی که به دنبال نرم‌افزار، اطلاعات یا منابع خاص هستند، ممکن است به این صفحات هدایت شوند.