گواهینامههای دیجیتال
Digital Certificatesتوضیحات
مهاجمان گواهینامههای SSL/TLS را از منابع مختلف به دست میآورند. این شامل خرید از CA های قانونی، استفاده از CA های رایگان مانند Let's Encrypt یا سرقت گواهینامههای موجود است. گواهینامههای دیجیتال برای رمزنگاری ترافیک C2 و افزایش اعتبار زیرساخت مهاجم استفاده میشوند.
روشهای شناسایی
پایش Certificate Transparency logs. شناسایی گواهینامههای مشکوک در ترافیک شبکه. تحلیل گواهینامههای SSL با SSL inspection.
روشهای مقابله
پایش Certificate Transparency logs. پیادهسازی SSL inspection. استفاده از CAA DNS records. بررسی منظم گواهینامههای SSL.
تکنیک اصلی
به دست آوردن قابلیتها
مهاجمان قابلیتهایی را خریداری، سرقت یا دانلود میکنند که میتوانند در طول هدفگیری از آنها استفاده کنند. برخلاف توسعه قابلیتها، این تکنیک شامل به دست آوردن ابزارها و قابلیتهای موجود است. این شامل بدافزار، ابزارهای هک، اکسپلویت، گواهینامهها و اطلاعات آسیبپذیری است.