T1583

تهیه زیرساخت

Acquire Infrastructure

توضیحات

مهاجمان زیرساختی را خریداری، اجاره یا به دست می‌آورند که می‌توانند در طول هدف‌گیری از آن استفاده کنند. این زیرساخت می‌تواند برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر مراحل حمله استفاده شود. استفاده از زیرساخت خریداری‌شده به مهاجم کمک می‌کند تا ردپای خود را پنهان کند و شناسایی را دشوارتر سازد.

زیرتکنیک‌ها (8)

شناسهنام

T1583.001

دامنه‌هاDomains

مهاجمان دامنه‌هایی را ثبت می‌کنند که می‌توانند در طول عملیات از آن‌ها استفاده کنند. این دامنه‌ها ممکن است برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر اهداف استفاده شوند. مهاجمان اغلب دامنه‌هایی را انتخاب می‌کنند که شبیه دامنه‌های قانونی هستند (typosquatting) یا از دامنه‌های منقضی‌شده با تاریخچه خوب استفاده می‌کنند.

T1583.002

سرور DNSDNS Server

مهاجمان سرورهای DNS را برای استفاده در عملیات تهیه می‌کنند. سرورهای DNS اختصاصی به مهاجم اجازه می‌دهند زیرساخت C2 را مدیریت کند، ترافیک را هدایت کند و از تکنیک‌هایی مانند Fast Flux استفاده کند. این رویکرد انعطاف‌پذیری بیشتری در مدیریت زیرساخت مهاجم فراهم می‌کند.

T1583.003

سرور مجازی خصوصیVirtual Private Server

مهاجمان سرورهای مجازی خصوصی (VPS) را از ارائه‌دهندگان ابری اجاره می‌کنند. VPS ها به مهاجم اجازه می‌دهند زیرساخت C2 را با هزینه کم و ناشناس بودن نسبی راه‌اندازی کند. مهاجمان اغلب از ارائه‌دهندگانی استفاده می‌کنند که احراز هویت ضعیفی دارند یا پرداخت با ارز دیجیتال را می‌پذیرند.

T1583.004

سرورServer

مهاجمان سرورهای فیزیکی یا مجازی را برای استفاده در عملیات خریداری یا اجاره می‌کنند. این سرورها ممکن است برای میزبانی C2، ذخیره داده‌های سرقت‌شده، توزیع بدافزار یا سایر اهداف استفاده شوند. مهاجمان اغلب از سرویس‌های hosting که احراز هویت ضعیف دارند استفاده می‌کنند.

T1583.005

بات‌نتBotnet

مهاجمان بات‌نت‌هایی را خریداری یا اجاره می‌کنند که می‌توانند برای حملات DDoS، توزیع اسپم، فیشینگ یا سایر عملیات استفاده شوند. بات‌نت‌ها شبکه‌ای از سیستم‌های آلوده هستند که توسط مهاجم کنترل می‌شوند. استفاده از بات‌نت‌های موجود به مهاجم اجازه می‌دهد عملیات گسترده‌ای را با هزینه کم انجام دهد.

T1583.006

سرویس‌های وبWeb Services

مهاجمان از سرویس‌های وب قانونی مانند GitHub، Pastebin، Google Drive، Dropbox یا سرویس‌های ابری برای میزبانی C2، ذخیره payload یا استخراج داده استفاده می‌کنند. استفاده از سرویس‌های قانونی به مهاجم کمک می‌کند ترافیک مخرب را در ترافیک عادی پنهان کند.

T1583.007

سرورلسServerless

مهاجمان از پلتفرم‌های serverless مانند AWS Lambda، Azure Functions یا Google Cloud Functions برای اجرای کد مخرب استفاده می‌کنند. این رویکرد به مهاجم اجازه می‌دهد زیرساخت C2 را بدون نیاز به مدیریت سرور راه‌اندازی کند و از مزایای مقیاس‌پذیری و ناشناس بودن ارائه‌دهندگان ابری بهره ببرد.

T1583.008

تبلیغات مخربMalvertising

مهاجمان فضای تبلیغاتی را در شبکه‌های تبلیغاتی قانونی خریداری می‌کنند تا کاربران را به محتوای مخرب هدایت کنند. این تبلیغات ممکن است حاوی کد مخرب باشند که به صورت خودکار اجرا می‌شود یا کاربر را به صفحات فیشینگ هدایت کند. Malvertising به مهاجم اجازه می‌دهد طیف گسترده‌ای از کاربران را هدف قرار دهد.

روش‌های شناسایی

این تکنیک قبل از نفوذ رخ می‌دهد و شناسایی مستقیم آن دشوار است. استفاده از اطلاعات تهدید برای شناسایی زیرساخت‌های مخرب شناخته‌شده. پایش دامنه‌های تازه ثبت‌شده و IP های مشکوک. تحلیل گواهینامه‌های SSL برای شناسایی زیرساخت مهاجم.

روش‌های مقابله

این تکنیک قبل از نفوذ رخ می‌دهد و کنترل‌های پیشگیرانه محدودی دارد. اشتراک در سرویس‌های اطلاعات تهدید برای دریافت IOC های زیرساخت مهاجم. مسدودسازی دامنه‌ها و IP های شناخته‌شده مخرب.