گواهینامههای دیجیتال
Digital Certificatesتوضیحات
مهاجمان گواهینامههای SSL/TLS را برای زیرساخت خود توسعه میدهند یا به دست میآورند. گواهینامههای دیجیتال به مهاجم اجازه میدهند ترافیک C2 را رمزنگاری کند، صفحات فیشینگ را با HTTPS نمایش دهد و اعتبار بیشتری به زیرساخت خود بدهد. مهاجمان ممکن است از Let's Encrypt یا سایر CA های رایگان استفاده کنند.
روشهای شناسایی
پایش Certificate Transparency logs برای گواهینامههای مشکوک. شناسایی گواهینامههای صادر شده برای دامنههای مشابه دامنه سازمان. تحلیل گواهینامههای SSL در ترافیک شبکه.
روشهای مقابله
پایش Certificate Transparency logs. استفاده از CAA DNS records. بررسی منظم گواهینامههای SSL در ترافیک شبکه. پیادهسازی SSL inspection.
تکنیک اصلی
توسعه قابلیتها
مهاجمان قابلیتهایی را توسعه میدهند که میتوانند در طول هدفگیری از آنها استفاده کنند. این قابلیتها شامل بدافزار، اکسپلویت، گواهینامههای امضای کد و گواهینامههای دیجیتال است. توسعه قابلیتهای اختصاصی به مهاجم اجازه میدهد ابزارهایی بسازد که کمتر توسط راهکارهای امنیتی شناسایی میشوند.
سایر زیرتکنیکها (3)