سرور مجازی خصوصی
Virtual Private Serverتوضیحات
مهاجمان سرورهای مجازی خصوصی (VPS) را از ارائهدهندگان ابری اجاره میکنند. VPS ها به مهاجم اجازه میدهند زیرساخت C2 را با هزینه کم و ناشناس بودن نسبی راهاندازی کند. مهاجمان اغلب از ارائهدهندگانی استفاده میکنند که احراز هویت ضعیفی دارند یا پرداخت با ارز دیجیتال را میپذیرند.
روشهای شناسایی
استفاده از اطلاعات تهدید برای شناسایی محدودههای IP ارائهدهندگان VPS مورد استفاده مهاجمان. پایش ارتباطات با سرورهای VPS مشکوک. تحلیل ترافیک C2 برای شناسایی الگوهای مشکوک.
روشهای مقابله
مسدودسازی محدودههای IP ارائهدهندگان VPS شناختهشده مخرب. استفاده از proxy و فیلترینگ ترافیک خروجی. پیادهسازی egress filtering.
تکنیک اصلی
تهیه زیرساخت
مهاجمان زیرساختی را خریداری، اجاره یا به دست میآورند که میتوانند در طول هدفگیری از آن استفاده کنند. این زیرساخت میتواند برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر مراحل حمله استفاده شود. استفاده از زیرساخت خریداریشده به مهاجم کمک میکند تا ردپای خود را پنهان کند و شناسایی را دشوارتر سازد.