T1584

به خطر انداختن زیرساخت

Compromise Infrastructure

توضیحات

مهاجمان به جای خرید زیرساخت جدید، زیرساخت موجود شخص ثالث را به خطر می‌اندازند. این رویکرد به مهاجم اجازه می‌دهد از اعتبار و تاریخچه قانونی زیرساخت قربانی استفاده کند و شناسایی را دشوارتر سازد. زیرساخت به خطر افتاده ممکن است شامل سرورها، دستگاه‌های شبکه، دامنه‌ها یا سرویس‌های ابری باشد.

زیرتکنیک‌ها (8)

شناسهنام

T1584.001

دامنه‌هاDomains

مهاجمان دامنه‌های موجود و قانونی را به خطر می‌اندازند تا از آن‌ها در عملیات استفاده کنند. دامنه‌های به خطر افتاده دارای تاریخچه و اعتبار هستند که شناسایی آن‌ها را دشوارتر می‌کند. روش‌های به خطر انداختن شامل هک پنل مدیریت دامنه، سرقت اعتبارنامه registrar یا سوءاستفاده از آسیب‌پذیری‌های DNS است.

T1584.002

سرور DNSDNS Server

مهاجمان سرورهای DNS قانونی را به خطر می‌اندازند تا ترافیک را به زیرساخت خود هدایت کنند. سرور DNS به خطر افتاده می‌تواند برای DNS hijacking، cache poisoning یا هدایت کاربران به سایت‌های جعلی استفاده شود. این تکنیک می‌تواند تعداد زیادی از کاربران را تحت تأثیر قرار دهد.

T1584.003

سرور مجازی خصوصیVirtual Private Server

مهاجمان VPS های قانونی متعلق به سازمان‌ها یا افراد دیگر را به خطر می‌اندازند. VPS های به خطر افتاده به مهاجم اجازه می‌دهند از زیرساخت قانونی استفاده کند و شناسایی را دشوارتر سازد. این VPS ها ممکن است برای میزبانی C2، پروکسی ترافیک یا سایر اهداف استفاده شوند.

T1584.004

سرورServer

مهاجمان سرورهای قانونی را به خطر می‌اندازند تا از آن‌ها به عنوان زیرساخت عملیاتی استفاده کنند. سرورهای به خطر افتاده ممکن است برای میزبانی C2، توزیع بدافزار، ذخیره داده‌های سرقت‌شده یا پروکسی ترافیک استفاده شوند. استفاده از سرورهای قانونی شناسایی را دشوارتر می‌کند.

T1584.005

بات‌نتBotnet

مهاجمان سیستم‌های آلوده را برای ایجاد بات‌نت به خطر می‌اندازند. بات‌نت‌های ایجاد شده می‌توانند برای حملات DDoS، توزیع اسپم، فیشینگ، استخراج ارز دیجیتال یا سایر عملیات استفاده شوند. مهاجمان از آسیب‌پذیری‌های شناخته‌شده، اعتبارنامه‌های ضعیف یا بدافزار برای آلوده کردن سیستم‌ها استفاده می‌کنند.

T1584.006

سرویس‌های وبWeb Services

مهاجمان حساب‌های سرویس‌های وب قانونی را به خطر می‌اندازند تا از آن‌ها برای میزبانی C2 یا سایر عملیات استفاده کنند. استفاده از سرویس‌های وب قانونی مانند GitHub، Pastebin یا سرویس‌های ابری به مهاجم کمک می‌کند ترافیک مخرب را در ترافیک عادی پنهان کند.

T1584.007

سرورلسServerless

مهاجمان حساب‌های پلتفرم‌های serverless قانونی را به خطر می‌اندازند. پلتفرم‌های serverless به خطر افتاده می‌توانند برای اجرای کد مخرب، میزبانی C2 یا پردازش داده‌های سرقت‌شده استفاده شوند. این رویکرد به مهاجم اجازه می‌دهد از زیرساخت قانونی بدون نیاز به مدیریت سرور استفاده کند.

T1584.008

دستگاه‌های شبکهNetwork Devices

مهاجمان دستگاه‌های شبکه مانند روترها، سوئیچ‌ها، فایروال‌ها و access point های بی‌سیم را به خطر می‌اندازند. دستگاه‌های شبکه به خطر افتاده می‌توانند برای شنود ترافیک، هدایت ترافیک به زیرساخت مهاجم، ایجاد backdoor یا حرکت جانبی در شبکه استفاده شوند.

روش‌های شناسایی

پایش ترافیک غیرعادی از زیرساخت‌های قانونی. شناسایی رفتار غیرمعمول در سرورها و دستگاه‌های شبکه. استفاده از سرویس‌های اطلاعات تهدید برای شناسایی زیرساخت‌های در معرض خطر.

روش‌های مقابله

پیاده‌سازی احراز هویت قوی برای مدیریت زیرساخت. به‌روزرسانی منظم سیستم‌عامل و نرم‌افزارهای زیرساخت. نظارت مستمر بر رفتار زیرساخت. استفاده از network segmentation.