توسعه قابلیتها
Develop Capabilitiesتوضیحات
مهاجمان قابلیتهایی را توسعه میدهند که میتوانند در طول هدفگیری از آنها استفاده کنند. این قابلیتها شامل بدافزار، اکسپلویت، گواهینامههای امضای کد و گواهینامههای دیجیتال است. توسعه قابلیتهای اختصاصی به مهاجم اجازه میدهد ابزارهایی بسازد که کمتر توسط راهکارهای امنیتی شناسایی میشوند.
زیرتکنیکها (4)
مهاجمان بدافزار و اجزای آن را برای استفاده در عملیات توسعه میدهند. این شامل payload ها، dropper ها، ابزارهای پس از نفوذ، backdoor ها، packer ها و پروتکلهای C2 است. توسعه بدافزار اختصاصی به مهاجم اجازه میدهد ابزارهایی بسازد که توسط راهکارهای امنیتی شناسایی نمیشوند.
مهاجمان گواهینامههای امضای کد را برای امضای بدافزار و ابزارهای مخرب توسعه میدهند یا به دست میآورند. کد امضا شده توسط بسیاری از راهکارهای امنیتی به عنوان قانونی تلقی میشود و احتمال شناسایی را کاهش میدهد. مهاجمان ممکن است گواهینامههای خود را صادر کنند یا از CA های غیرمعتبر استفاده کنند.
مهاجمان گواهینامههای SSL/TLS را برای زیرساخت خود توسعه میدهند یا به دست میآورند. گواهینامههای دیجیتال به مهاجم اجازه میدهند ترافیک C2 را رمزنگاری کند، صفحات فیشینگ را با HTTPS نمایش دهد و اعتبار بیشتری به زیرساخت خود بدهد. مهاجمان ممکن است از Let's Encrypt یا سایر CA های رایگان استفاده کنند.
مهاجمان اکسپلویتهایی را برای آسیبپذیریهای شناختهشده یا zero-day توسعه میدهند. اکسپلویتهای اختصاصی به مهاجم مزیت قابل توجهی میدهند زیرا توسط راهکارهای امنیتی شناسایی نمیشوند. توسعه اکسپلویت نیازمند مهارتهای فنی پیشرفته است و معمولاً توسط گروههای APT دولتی یا تیمهای تحقیقاتی انجام میشود.
روشهای شناسایی
این تکنیک خارج از محیط سازمان رخ میدهد. پایش گواهینامههای دیجیتال جدید مرتبط با سازمان. استفاده از اطلاعات تهدید برای شناسایی بدافزارهای جدید. تحلیل رفتاری برای شناسایی بدافزارهای ناشناخته.
روشهای مقابله
این تکنیک قبل از نفوذ رخ میدهد. استفاده از راهکارهای تشخیص رفتاری به جای signature-based. پایش Certificate Transparency logs. اشتراک در سرویسهای اطلاعات تهدید.