T1078

حساب‌های کاربری معتبر

Valid Accounts

توضیحات

مهاجمان از اعتبارنامه‌های معتبر برای دسترسی به سیستم‌ها استفاده می‌کنند. این اعتبارنامه‌ها ممکن است از طریق فیشینگ، credential stuffing، brute force، خرید از dark web یا سایر روش‌ها به دست آمده باشند. استفاده از حساب‌های معتبر شناسایی را بسیار دشوار می‌کند زیرا فعالیت مهاجم شبیه فعالیت قانونی به نظر می‌رسد.

زیرتکنیک‌ها (4)

شناسهنام

T1078.001

حساب‌های پیش‌فرضDefault Accounts

مهاجمان از حساب‌های پیش‌فرض سیستم‌عامل، دستگاه‌های شبکه، نرم‌افزارها یا سرویس‌های ابری استفاده می‌کنند. این حساب‌ها اغلب با رمزعبورهای پیش‌فرض شناخته‌شده پیکربندی می‌شوند. مثال‌ها شامل حساب Administrator ویندوز، حساب root لینوکس، حساب‌های پیش‌فرض روترها و سوئیچ‌ها، و حساب‌های پیش‌فرض سرویس‌های ابری است.

T1078.002

حساب‌های دامنهDomain Accounts

مهاجمان از اعتبارنامه‌های حساب‌های دامنه Active Directory برای دسترسی به سیستم‌ها و منابع شبکه استفاده می‌کنند. حساب‌های دامنه اغلب دسترسی گسترده‌ای به منابع شبکه دارند و استفاده از آن‌ها شناسایی را دشوار می‌کند. مهاجمان ممکن است از Pass-the-Hash، Pass-the-Ticket یا سایر تکنیک‌ها برای استفاده از اعتبارنامه‌های دامنه بدون دانستن رمزعبور استفاده کنند.

T1078.003

حساب‌های محلیLocal Accounts

مهاجمان از اعتبارنامه‌های حساب‌های محلی روی سیستم‌های هدف استفاده می‌کنند. این حساب‌ها مستقیماً روی سیستم تعریف شده‌اند و به دامنه متصل نیستند. مهاجمان ممکن است از حساب‌های محلی پیش‌فرض، حساب‌های ایجاد شده توسط نرم‌افزارها یا حساب‌های ایجاد شده توسط خود مهاجم استفاده کنند.

T1078.004

حساب‌های ابریCloud Accounts

مهاجمان از اعتبارنامه‌های حساب‌های ابری برای دسترسی به سرویس‌های ابری و منابع مرتبط استفاده می‌کنند. این حساب‌ها ممکن است cloud-only یا hybrid-federated با Active Directory باشند. مهاجمان ممکن است از brute force، فیشینگ، credential stuffing یا سرقت token برای به دست آوردن دسترسی استفاده کنند.

روش‌های شناسایی

پایش ورودهای غیرعادی از مکان‌ها یا دستگاه‌های جدید. شناسایی استفاده از اعتبارنامه‌ها در ساعات غیرکاری. نظارت بر تلاش‌های ورود ناموفق. استفاده از User and Entity Behavior Analytics (UEBA).

روش‌های مقابله

استفاده از MFA برای تمام حساب‌ها. پایش dark web برای اعتبارنامه‌های لو رفته. پیاده‌سازی سیاست‌های رمزعبور قوی. استفاده از UEBA برای شناسایی رفتار غیرعادی. اعمال اصل حداقل دسترسی.

گروه‌های تهدید (4)

شناسهنام گروه

G0016

APT29 — Cozy Bear

APT29 یک گروه تهدید پیشرفته مرتبط با سرویس اطلاعات خارجی روسیه (SVR) است. این گروه از سال ۲۰۰۸ فعال بوده و به حملات پیچیده علیه دولت‌ها، سازمان‌های دیپلماتیک، اندیشکده‌ها و ارائه‌دهندگان فناوری در سراسر جهان شناخته می‌شود. این گروه در حمله زنجیره تأمین SolarWinds در سال ۲۰۲۰ نقش داشته است.

نام‌های دیگر: خرس آرام، The Dukes، Midnight Blizzard

G0003

گروه لازاروس

گروه لازاروس یک گروه تهدید پیشرفته مرتبط با کره شمالی است که از سال ۲۰۰۹ فعال می‌باشد. این گروه به انگیزه‌های مالی و جاسوسی عملیات گسترده‌ای انجام داده از جمله حمله به بانک مرکزی بنگلادش، حمله WannaCry و سرقت‌های گسترده ارز دیجیتال.

نام‌های دیگر: لازاروس، Hidden Cobra، Zinc

G0096

APT41 — Double Dragon

APT41 یک گروه تهدید پیشرفته مرتبط با چین است که هم به انگیزه جاسوسی دولتی و هم به انگیزه مالی عمل می‌کند. این گروه از سال ۲۰۱۲ فعال بوده و صنایع بهداشت، فناوری، مخالیکاسیون و بازی‌های ویدیویی را هدف قرار داده است.

نام‌های دیگر: اژدهای دوگانه، Winnti، Barium

G0125

هافنیوم

HAFNIUM یک گروه تهدید پیشرفته مرتبط با چین است که در سال ۲۰۲۱ با بهره‌برداری از آسیب‌پذیری‌های zero-day در Microsoft Exchange Server به شهرت رسید. این گروه محققان بیماری‌های عفونی، شرکت‌های حقوقی، پیمانکاران دفاعی و سازمان‌های غیردولتی را هدف قرار داده است.

نام‌های دیگر: هافنیوم