برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud

[کد مورس]

[صدای ربات: Sophos Security SOS]

---

پل داکلین.  سلام به همه.

به هفته Sophos Security SOS خوش آمدید.

موضوع امروز این است: جلوگیری از تهدیدات سایبری - قبل از اینکه شما را متوقف کنند آنها را متوقف کنید!

و مهمان امروز ما کسی نیست جز آقای فریزر هاوارد، مدیر تحقیقات SophosLabs.

اکنون، کسانی از شما که قبلاً به SOS Week گوش کرده‌اید، می‌دانید که من دوست دارم فریزر را یک «متخصص در همه چیز» توصیف کنم، زیرا دانش او نه تنها گسترده است، بلکه فوق‌العاده عمیق است.

می توان گفت که او هر سلول صفحه گسترده را علامت می زند.

بنابراین، فریزر، به هفته SOS خوش آمدید.

من می‌خواستم با تمرکز بر چیزی شروع کنم که به نام LOLBIN نامیده می‌شود، که فکر می‌کنم مخفف «دودویی زندگی در خارج از زمین» است، که اصطلاحی است برای نرم‌افزاری که قبلاً وجود دارد و آشپزها دوست دارند از آن استفاده کنند.

---

فریزر هوارد.  دقیقا همون.

---

اردک.  و مشکل بزرگ در حال حاضر به نظر می رسد این است که محتمل ترین LOLBIN، یا محتمل ترین برنامه از پیش نصب شده ای که کلاهبرداران به دلیل نیاز به عبارت بهتر، روی آن غذا می خورند، چیزی جز PowerShell نیست که در ویندوز تعبیه شده است. .

به محض نصب در هر نسخه از ویندوز در دسترس است.

و این روزها ابزار مدیریتی برای خود ویندوز است.

پس چگونه بدون آن زندگی می کنید؟

---

فریزر.  دقیقاً - همانطور که شما توضیح دادید، از دیدگاه مهاجمان، LOLBIN ها درخشان هستند.

آنها یا چاقوی خود را به مبارزه می آورند، و چاقوی آنها ممکن است با هر چیز دیگری که در سیستم است بسیار متفاوت به نظر برسد…

... یا از چاقویی استفاده می کنند که اتفاقاً در وهله اول روی سیستم وجود دارد.

و این به دلایل واضح برای مهاجم سودمند است.

هیچ نرم افزار امنیتی نمی بیند که برخی از برنامه های جدید، براق و ناشناخته به طور ناگهانی اجرا شده و در بخشی از حمله مورد استفاده قرار می گیرند.

اما ابزارهایی مانند PowerShell در حال حاضر وجود دارند - در آن زمان است که بازی ها از نظر تلاش برای کار کردن، "آیا چیز خوبی است یا چیز بدی است؟" شروع می شود.

ای کاش پاسخی یک خطی به نحوه تشخیص پاورشل مخرب در مقابل خوش خیم وجود داشت، اما در واقع این یک وضعیت کاملا پیچیده است.

فرآیند PowerShell خودش دقیقاً چه کاری انجام می دهد؟

در یک انتهای طیف، می توانید از فناوری هایی مانند کنترل برنامه استفاده کنید.

و به عنوان یک ادمین، می توانید انتخاب کنید: "PowerShell، شما نباید اجازه اجرا در محیط من را داشته باشید."

اگر بخواهید، این یک نوشدارویی است و از سوء استفاده از PowerShell جلوگیری می کند، اما همچنین بسیاری از فعالیت های قانونی، از جمله مدیریت اصلی اکثر ماشین های ویندوز امروزی را از بین می برد.

---

اردک.  خوب، پس کنترل برنامه آیا نام Sophos برای شناسایی، و به صورت اختیاری برای مسدود کردن نرم افزارهایی است که بدافزار نیستند، اما ممکن است یک مدیر آگاه از آن در محیط خود پشتیبانی نکند؟

---

فریزر.  دقیقا.

و این فقط مربوط به مدیران و انتخاب آنها برای "کاربران من باید از کدام برنامه استفاده کنند؟"

این در مورد اصول است.

اگر به امنیت فکر می کنید، یکی از چیزهایی که در 5 یا 10 سال گذشته به مردم می گوییم چیست؟

"پچ!"

اگر مدیر هستید و به هر کسی اجازه می‌دهید از هر برنامه‌ای که می‌خواهد برای مرورگر خود استفاده کند، ممکن است 5 تا 10 مرورگر مختلف باشد که باید آنها را وصله کنید.

در واقع، برای ادمین‌ها، فناوری‌هایی مانند کنترل برنامه‌ها به آنها اجازه می‌دهد سطح تهدید را محدود کنند.

---

اردک.  اما پاورشل... برخی از مردم می گویند، "اوه، فقط پاورشل را مسدود کنید. همه را مسدود کنید .PS1 فایل ها. کار انجام شد.»

---

فریزر.  به این سادگی هم نیست!

---

اردک.  آیا یک sysadmin می تواند بدون PowerShell در یک شبکه مدرن ویندوز مدیریت کند؟

---

فریزر.  [مکث] شماره

[خنده]

منظورم این است که گزینه‌های خط‌مشی وجود دارد که می‌توانند آن‌ها را انتخاب کنند تا فقط به اسکریپت‌های امضا شده خاصی اجازه اجرا داده شود.

اما نکات و تکنیک‌های مختلفی وجود دارد که مهاجمان می‌دانند و سعی می‌کنند از این مکانیسم‌ها نیز عبور کنند.

برخی از موتورهای اسکریپت نویسی قدیمی ... بهترین مثال میزبان اسکریپت ویندوز است - اکثر مردم نمی دانند که آنجا وجود دارد.

PowerShell یک فروشگاه یک‌جا برای ادمین نیست، اما WSCRIPT و CSCRIPT...

... آن باینری ها، دوباره، در هر جعبه ویندوز وجود دارند.

مسدود کردن کامل آنها بسیار امکان پذیرتر است و دوباره توسط بدافزار مورد سوء استفاده قرار می گیرند.

---

اردک.  بنابراین میزبان اسکریپت ویندوز شامل مواردی مانند جاوا اسکریپت (در مرورگر شما، خارج از مرورگر شما اجرا نمی شود) و اسکریپت قدیمی ویژوال بیسیک است؟

---

فریزر.  تعداد زیادی از آنها وجود دارد.

---

اردک.  اکنون، اسکریپت ویژوال بیسیک توسط مایکروسافت متوقف شده است، اینطور نیست؟

اما هنوز هم پشتیبانی می شود و هنوز هم بسیار استفاده می شود؟

---

فریزر.  در بین بدها بسیار محبوب است، بله.

و این فقط موتورهای اسکریپت نویسی نیستند.

نمی‌توانم دقیقاً به خاطر بیاورم که چند باینری در برخی از لیست‌های اصلی LOLBIN وجود دارد.

با ترکیب مناسب سوئیچ ها، به طور ناگهانی، یک باینری که ممکن است از آن برای مدیریت، به عنوان مثال، گواهی ها به صورت محلی استفاده کنید…

... در واقع می تواند برای دانلود هر محتوایی از یک سرور راه دور و ذخیره آن در دیسک به صورت محلی استفاده شود.

---

اردک.  این است CERTUTIL.EXE?

---

فریزر.  بله، CERTUTIL، به عنوان مثال.

---

اردک.  زیرا می توان از آن برای انجام کارهایی مانند محاسبه هش فایل نیز استفاده کرد.

---

فریزر.  می‌توان از آن برای دانلود، به عنوان مثال، محتوای اجرایی کدگذاری شده با base64، ذخیره آن به صورت محلی و رمزگشایی آن استفاده کرد.

و سپس آن محتوا می تواند اجرا شود - به عنوان مثال، به عنوان راهی برای عبور بالقوه از دروازه های وب شما.

---

اردک.  و این با PowerShell بدتر می شود، اینطور نیست؟

زیرا می توانید یک رشته کدگذاری شده با base64 را بردارید و آن را به عنوان اسکریپت ورودی وارد PowerShell کنید و بی سر و صدا آن را برای شما رمزگشایی می کند.

و حتی می‌توانید یک گزینه خط فرمان قرار دهید، آیا نمی‌توانید بگویید: "هی، اگر کاربر گفت "اجازه ندهید اسکریپت‌ها از خط فرمان اجرا شوند" آن را نادیده بگیرید - می‌خواهم آن را لغو کنم؟

---

فریزر.  اشاره کردید .PS1 فایل های.

این یک فایل اسکریپت فیزیکی است که ممکن است روی دیسک وجود داشته باشد.

در واقع، PowerShell در انجام کارها بدون فایل بسیار ماهر است، بنابراین فقط خود خط فرمان می تواند کل دستور PowerShell را در بر بگیرد.

---

اردک.  در حال حاضر، درک من این است که به اصطلاح «بدافزار بدون فایل» شامل فایل‌ها می‌شود، احتمالاً فایل‌های بسیار زیادی در عملکرد آن…

... اما یک نقطه کلیدی وجود خواهد داشت که در آن چیزی که ممکن است تشخیص دهید *فقط در حافظه* وجود دارد.

بنابراین، نرم افزار امنیتی که فقط قادر به نظارت بر دسترسی به دیسک است، از دست خواهد رفت.

چگونه با چنین موقعیتی برخورد می کنید، جایی که کلاهبرداران تمام این چیزهای نیمه مشکوک را به دست آورده اند، و سپس با این ترفند بدون فایل و فقط حافظه، چیز واقعا خطرناک را پنهان کرده اند؟

چگونه با این مشکل برخورد می کنید؟

---

فریزر.  یکی از راه‌هایی که ما با آن برخورد می‌کنیم، به‌ویژه در مورد PowerShell، این است که مایکروسافت رابطی را ارائه می‌کند که به ما امکان مشاهده رفتار PowerShell را می‌دهد.

بنابراین AMSI رابطی است که فروشندگان، فروشندگان امنیتی، می توانند از آن برای مشاهده بدافزار استفاده کنند.

---

اردک.  amsi است ... رابط اسکن ضد بدافزار?

---

فریزر.  دقیقا.

این به ما یک پنجره به رفتار PowerShell در هر نقطه از زمان می دهد.

بنابراین، از آنجایی که ممکن است کارها را بدون فایل انجام دهد ... هر نقطه رهگیری سنتی که به دنبال فایل روی دیسک است، وارد بازی نمی شود.

اما رفتار PowerShell خود باعث ایجاد فعالیت در رابط AMSI می شود که به ما امکان می دهد انواع خاصی از فعالیت های مخرب PowerShell را شناسایی و مسدود کنیم.

نکته دیگر این است که، اگرچه «بدون فایل» به عنوان یک نوشدارویی برای افراد بد در نظر گرفته می شود…

... در واقع، یکی از چیزهایی که بیشتر مهاجمان در مقطعی به دنبال آن هستند، چیزی است که ما به آن می گوییم اصرار.

خوب، آنها مقداری کد دارند که روی دستگاه اجرا می شود ... اما اگر آن دستگاه دوباره راه اندازی شود چه اتفاقی می افتد؟

و بنابراین بدافزار بدون فایل آنها معمولاً به دنبال افزایش سطح پایداری است.

بنابراین، بیشتر حملات بدون فایلی که دیده‌ایم در واقع با رجیستری ویندوز تعامل دارند – آنها از رجیستری به عنوان راهی برای دستیابی به پایداری استفاده می‌کنند.

به طور معمول، آنها نوعی BLOB [ابژه بزرگ باینری] از داده ها را در رجیستری قرار می دهند، و برخی از کلیدهای رجیستری را طوری تغییر می دهند که وقتی آن دستگاه دوباره راه اندازی می شود، آن BLOB رمزگشایی شده و رفتار مخرب دوباره ادامه می یابد.

محصولات امروزی همه در مورد طیف وسیعی از فناوری ها هستند، از ساده، درست تا بسیار پیچیده.

---

اردک.  این همچنین به توضیح اینکه چرا افراد فایل‌هایی را که به نوعی پیش‌ساز بدافزار هستند، اما خودشان آشکارا مخرب نیستند، می‌گیرند، کمک می‌کند، آنها را در یک سرویس آنلاین مانند، مثلاً ویروس توتال، آپلود می‌کنند.

… و بروید، «هی، هیچ کس این را تشخیص نمی دهد. همه محصولات امنیتی بی فایده هستند.»

اما این بدان معنا نیست که فایل می تواند وارد زندگی شود و بدون متوقف شدن شروع به انجام کارهای بد کند…

---

فریزر.  این نکته بسیار خوبی است.

من فکر می کنم این چیزی است که صنعت امنیت آن را امتحان کرده است ... اما این واقعیت که ما هنوز در مورد آن صحبت می کنیم - احتمالاً نتوانسته ایم این نکته را درک کنیم:

حفاظت چیست؟

در واقع منظور ما چیست؟

محافظت از شخص در برابر تهدید معمولاً به چه معناست؟

بیشتر مردم تمایل دارند به این موضوع فکر کنند... خوب، آنها یک تهدید دارند. آنها فایلی می خواهند که "تهدید" باشد. و آنها می خواهند ببینند که آیا آن فایل شناسایی می شود یا خیر.

اما آن حمله خاص... فرض کنید یک ربات است.

ممکن است 10,000 مورد از این فایل‌ها *هر روز** وجود داشته باشد، زیرا آدم‌های بد دسته خود را می‌چرخانند و کپی‌های مختلفی تولید می‌کنند که اساساً همه یک چیز اصلی هستند.

و بنابراین این واقعیت که 1 یا 10 یا 100 از آن فایل ها شناسایی می شود…

... واقعاً چیز زیادی در مورد اینکه یک محصول چقدر می تواند در برابر آن تهدید محافظت کند، به شما نمی گوید.

---

اردک.  "ربات" به معنای ربات نرم افزاری?.

اساساً، این چیزی است که به طور مرتب روی رایانه شما می‌نشیند، با خانه تماس می‌گیرید یا از سرور تصادفی نظرسنجی می‌کنید؟

---

فریزر.  دقیقا.

---

اردک.  آن سرور ممکن است روز به روز تغییر کند... و ربات اغلب فهرستی از دستورالعمل‌ها را دانلود می‌کند، مانند «در اینجا فهرستی از آدرس‌های ایمیل برای هرزنامه وجود دارد».

در مرحله بعد، می‌تواند این باشد: «در اینجا فهرستی از پسوندهای فایل است که می‌خواهم شما در هم بکوبید» یا می‌تواند «روشن کردن کیلاگر» باشد؟

---

فریزر.  دقیقا.

---

اردک.  یا "در حال حاضر یک اسکرین شات بگیرید، آنها در برنامه بانکی هستند".

این در اصل یک درب پشتی فعال است…

---

فریزر.  این *یک درب پشتی است، بله.

و ما 20 سال پیش در مورد درهای پشتی صحبت کردیم... من به یاد دارم که 20 سال پیش ارائه خدمات به مشتریان را انجام دادیم و در مورد درهای پشتی صحبت کردیم.

---

اردک.  اگر به خاطر داشته باشید، «Orifice Back»…

---

فریزر.  بله بله!

ما در تلاش بودیم مشتریان را متقاعد کنیم که در واقع، بسیاری از درهای پشتی خارج از بدافزار مهم‌تر از بدافزارهای مطرح روز هستند.

چیزی که نمی‌خواهید به آن آلوده شوید، درهای پشتی هستند که به برخی افراد نابکار امکان کنترل دستگاه شما و انجام کارهای بد، مانند نگاهی به سیستم فایل شما، یا تغییر داده‌های سیستم شما را می‌دهد.

این یک تهدید بسیار ترسناک تر از، برای مثال، یک کرم خودتکثیر کننده است که از رایانه ای به رایانه دیگر پخش می شود.

این ممکن است مطبوعات را تحت تأثیر قرار دهد و ممکن است به خودی خود مشکلاتی ایجاد کند…

اما، در واقع، کسی که به سیستم شما دسترسی دارد، احتمالاً یک تهدید بسیار بزرگتر است.

---

اردک.  و فکر کردن به Back Orifice در سال 1999 چه بود؟ 2000؟

معروف است که در پورت 13337 گوش داده است، اینطور نیست؟

---

فریزر.  شما حافظه خوبی دارید [می خندد]... بله، «نخبگان»!

---

اردک.  و به محض اینکه مردم شروع به استفاده از اتصالات DSL در خانه کردند و یک روتر خانگی داشتند، Back Orifice بی فایده بود زیرا اتصالات ورودی کار نمی کردند.

و بنابراین مردم فکر کردند، "اوه، خب، درهای پشتی به اتصالات شبکه ورودی متکی هستند - من به طور پیش فرض توسط ISP خود محافظت می کنم، بنابراین لازم نیست نگران آن باشم."

اما زامبی‌های امروزی، ربات‌های امروزی – با استفاده از نوعی کانال رمزگذاری‌شده یا مخفی به خانه تلفن می‌زنند و دستورالعمل‌ها را *دانلود* می‌کنند…

---

فریزر.  و چون روی HTTPS است، اساساً آن فعالیت شبکه را در میان میلیون‌ها و یک بسته وب دیگر که هر دقیقه در اکثر اتصالات خانگی منتشر می‌شوند، پنهان می‌کنند.

---

اردک.  پس این دلیل دیگری است که چرا می خواهید دفاع در عمق یا لایه لایه را داشته باشید؟

---

فریزر.  بله.

---

اردک.  بدیهی است که فایل های جدید - می خواهید آنها را بررسی کنید. شما نمی خواهید بدافزاری را که می توانستید شناسایی کرده باشید از دست بدهید.

اما ممکن است فایل در حال حاضر بی‌گناه باشد، و پس از بارگیری، ممکن است به یک سرکش تبدیل شود. پس از اینکه خود را در حافظه دستکاری کرد؛ پس از فراخوانی و دانلود موارد…

---

فریزر.  و بنابراین، برای بازگشت به نقطه اصلی: نحوه اندازه گیری محصولات امنیتی امروز پیچیده تر از همیشه است.

---

اردک.  زیرا برخی افراد هنوز این ایده را دارند که خوب، اگر واقعاً می‌خواهید محصولی را آزمایش کنید، فقط یک سطل عظیم پر از بدافزار دریافت می‌کنید، همه در فایل‌ها…

---

فریزر.  معمولاً "یک باغ وحش" نامیده می شود.

---

اردک.  ... و شما آن را در یک سرور به صورت مجزا در جایی قرار می دهید.

سپس آن را با یک اسکنر استاتیک اسکن می‌کنید و متوجه می‌شوید که چند عدد را شناسایی می‌کند، و این به شما می‌گوید که محصول چگونه رفتار می‌کند.

رویکرد "ویروس کل".

اما این: [A] تمایل به دست کم گرفتن محصولات خوب دارد، و [B] ممکن است محصولات بد را بیش از حد برآورد کند.

---

فریزر.  یا محصولاتی که فقط در تشخیص فایل ها تخصص دارند، به این منظور که در درجه اول در آن نوع آزمایش های مبتنی بر باغ وحش خوب به نظر برسند.

این به معنای محصولی در دنیای واقعی نیست که در واقع سطوح خوبی از محافظت را ارائه دهد!

در واقع، ما فایل‌ها را مسدود می‌کنیم... البته این کار را می‌کنیم – اگر بخواهید، فایل از نظر محافظت همچنان ارز بسیار مهمی است.

اما چیزهای زیادی وجود دارد، به عنوان مثال مانند رابط AMSI که به ما امکان می دهد فعالیت مخرب PowerShell را مسدود کنیم، و رفتار خود برنامه.

بنابراین، در محصول ما، موتور رفتاری به رفتار فرآیندها، شبکه، ترافیک، فعالیت‌های رجیستری نگاه می‌کند.

...و این تصویر ترکیبی به ما امکان می دهد تا رفتارهای مخرب بالقوه را با هدف مسدود کردن نه لزوماً یک خانواده خاص یا حتی نوع خاصی از تهدید، بلکه فقط *فعالیت مخرب* شناسایی کنیم.

اگر انواع خاصی از رفتار وجود دارد که می‌توانیم تشخیص دهیم کاملاً مخرب هستند، اغلب سعی می‌کنیم آن را مسدود کنیم.

ما امروز می‌توانیم نوع خاصی از رفتار مخرب را مسدود کنیم، و سپس یک خانواده تهدید که هنوز نوشته نشده است - در عرض سه ماه، ممکن است از همان رفتار استفاده کند و ما فعالانه آن را شناسایی خواهیم کرد.

بنابراین این جام مقدس کاری است که ما انجام می دهیم: حفاظت فعال.

توانایی ما برای نوشتن چیزی امروز که در آینده با موفقیت رفتارهای مخرب را مسدود کند.

---

اردک.  فکر می کنم یک مثال خوب از آن، برای بازگشت به آنچه قبلا ذکر کردیم، باشد CERTUTIL.EXE - آن ابزار اعتبار سنجی گواهی.

شما ممکن است از آن در اسکریپت‌های خود، در ابزارهای مدیریت سیستم خود استفاده کنید، اما رفتارهایی وجود دارد که انتظار آن را ندارید، اگرچه می‌توان آن برنامه را برای انجام این کارها ساخت.

آنها برجسته می شدند.

---

فریزر.  آنها دقیقاً متمایز می شدند.

---

اردک.  بنابراین نمی‌توانید بگویید «برنامه بد است»، اما در یک نقطه از رفتارش می‌توانید بگویید «آها، حالا خیلی از آن گذشته است!»

---

فریزر.  و این جنبه جالب دیگری از چشم انداز امروزی را لمس می کند.

تاریخی، EVIL.EXE دویدن؛ ما ممکن است فایل را شناسایی کنیم. ممکن است برخی از رفتارهای مخرب را شناسایی کنیم. ما آن را از سیستم شما پاک می کنیم.

شما در مورد LOLBIN ها صحبت کردید... بدیهی است که وقتی تشخیص می دهیم که PowerShell کار مخربی انجام می دهد، حذف نمی کنیم POWERSHELL.EXE از آن سیستم

---

اردک.  "اوه، متوجه شدم که ویندوز کار بدی انجام می دهد - کل سیستم را پاک کنید!"

[خنده]

---

فریزر.  ما اساساً آن فرآیند را مسدود می کنیم. ما آن فرآیند را با انجام کاری که قرار بود انجام دهد متوقف می کنیم. و آن را خاتمه می دهیم.

اما PowerShell هنوز در سیستم فیزیکی وجود دارد.

در واقع، مهاجمان امروزی با مهاجمان دیروز نیز بسیار متفاوت هستند.

مهاجمان امروزی همه به دنبال هدف هستند. داشتن یک هدف

مدل قدیم بیشتر اسپری و دعا بود اگه دوست داشتی.

اگر کسی جلوی حمله را بگیرد... بدشانسی، تسلیم می‌شوند - هیچ انسانی در آنجا حضور ندارد.

اگر حمله کار کند، داده ها دزدیده می شوند، یک ماشین در معرض خطر قرار می گیرد، هر اتفاقی که می افتد، اما اگر حمله مسدود شده باشد، هیچ چیز دیگری روی سیستم اتفاق نمی افتد.

در حملات امروزی، در واقع عنصر انسانی بسیار بیشتر است.

بنابراین، به طور معمول، در بسیاری از حملاتی که امروزه شاهد آن هستیم – این با بسیاری از حملات باج افزار مشخص می شود، جایی که کلاهبرداران به طور خاص سعی می کنند سازمان های خاصی را با ایجاد باج افزار خود هدف قرار دهند…

... وقتی چیزی مسدود می شود، دوباره تلاش می کنند و به تلاش مجدد ادامه می دهند.

همانطور که ما چیزها را مسدود می کنیم و انواع مختلف رفتارهای مخرب را مسدود می کنیم، چیزی در پشت صحنه وجود دارد. برخی *شخص*ها در پشت صحنه؛ برخی از گروه های تهدید در پشت صحنه، دوباره تلاش می کنند.

---

اردک.  بنابراین 10 یا 15 سال پیش، "اوه، ما این بدافزار کاملاً جدید و قبلا ناشناخته Word را پیدا کردیم. ما فایل را حذف کرده و آن را پاک کردیم و آن را در گزارش نوشتیم.

و همه به جلسه می روند و آن را علامت می زنند و دستی به پشت هم می زنند: «عالی! کار تمام شد! برای ماه آینده آماده است. "

---

فریزر.  حالا، خیلی فرق کرده است.

---

اردک.  امروز، *این حمله نبود*.

---

فریزر.  نه!

---

اردک.  این فقط یک پیش‌آزمون بود، «می‌پرسم از چه مارکی از آشکارسازهای دود استفاده می‌کنند؟» نوعی آزمون

---

فریزر.  دقیقا.

---

اردک.  و آنها قصد استفاده از این بدافزار را ندارند.

آنها فقط سعی می کنند حدس بزنند که دقیقاً چه محافظتی دارید؟

چه چیزی روشن شده است؛ کدام دایرکتوری ها شامل می شوند. کدام دایرکتوری ها از اسکن شما حذف می شوند. چه تنظیمات محیطی دارید؟

---

فریزر.  و آنچه امروز در مورد آن صحبت می کنیم این است دشمنان فعال.

دشمنان فعال... مطبوعات زیادی دریافت می کنند.

این مفهوم کل چارچوب MITER ATT&CK است - این اساساً یک کتاب مقدس است، یک فرهنگ لغت، اگر بخواهید، ترکیبی از تاکتیک ها.

تاکتیک ها عمودی هستند. افقی ها تکنیک ها هستند.

من فکر می کنم 14 تاکتیک وجود دارد، اما نمی دانم چند تا تکنیک ... صدها؟

---

اردک.  می تواند کمی سرگیجه آور باشد، آن شبکه MITER!

---

فریزر.  این اساساً فرهنگ لغت انواع مختلف چیزها، انواع مختلف تکنیک است که می تواند اساساً در یک سیستم برای خوب یا بد استفاده شود.

اما اساساً با مهاجمان و دشمنان فعال هماهنگ است.

اگر دوست دارید، این یک طبقه بندی از کارهایی است که یک دشمن فعال ممکن است در هنگام حضور در سیستم انجام دهد.

---

اردک.  درست است، زیرا در قدیم (من و شما این را به خاطر می آوریم، زیرا هر دوی ما زمان صرف نوشتن توضیحات جامع بدافزار می کردیم، چیزهایی که 15 یا 20 سال پیش ضروری بودند - شما در مورد آن صحبت می کردید. EVIL.EXE) ...

... زیرا بیشتر تهدیدات در آن زمان ویروس ها بودند، به عبارت دیگر آنها خود را منتشر می کردند و خود را مهار می کردند.

یک بار که داشتیم…

---

فریزر.  شما می توانید از A-to-Z، دقیقاً آنچه را که در سیستم انجام می دهد، مستند کنید.

---

اردک.  بنابراین، بسیاری از بدافزارها در آن روزها، اگر به نحوه پنهان کردن خود نگاه کنید. چگونه به حافظه رفتند. پلی مورفیسم؛ همه آن چیزها - بسیاری از آنها برای تجزیه و تحلیل آن چیزهای امروزی بسیار پیچیده تر بودند.

اما وقتی می دانستید چگونه کار می کند، می دانستید که هر نسل احتمالاً چگونه خواهد بود، و می توانید شرح کاملی بنویسید.

---

فریزر.  بله.

---

اردک.  اکنون، شما فقط نمی توانید این کار را انجام دهید.

"خب، این بدافزار برخی بدافزارهای دیگر را دانلود می کند."

چه بدافزاری؟

"من نمی دانم."

---

فریزر.  به عنوان مثال، یک لودر ساده را در نظر بگیرید: اجرا می شود. به صورت دوره ای وصل می شود.

مهاجم این توانایی را دارد که در نوعی BLOB کدگذاری شده شلیک کند – برای مثال، فرض کنید یک DLL، یک کتابخانه پیوند پویا، یک ماژول ... اساساً یک کد قابل اجرا باشد.

بنابراین، "این تهدید چه می کند؟"

خوب، دقیقاً و کاملاً به آنچه مهاجم به سیم ارسال می کند بستگی دارد.

---

اردک.  و این می تواند روز به روز تغییر کند.

ممکن است بر اساس IP منبع تغییر کند: «آیا شما در آلمان هستید؟ آیا شما در سوئد هستید؟ آیا شما در بریتانیا هستید؟»

---

فریزر.  اوه، بله، ما اغلب آن را می بینیم.

---

اردک.  همچنین می‌تواند بگوید: «هی، شما قبلاً وصل شده‌اید، بنابراین ما به شما غذا می‌دهیم NOTEPAD یا یک پرونده بی گناه دفعه بعد.»

---

فریزر.  بله.

مهاجمان معمولاً از تکنیک‌هایی استفاده می‌کنند تا زمانی که ما هستیم را تشخیص دهند [یعنی. SophosLabs] در تلاش برای اجرای ساخت خود است.

بنابراین آنها به ما نمی‌دهند که چه چیزی ممکن است محموله نهایی باشد.

آنها نمی خواهند که ما محموله را ببینیم - آنها فقط می خواهند قربانیان آن محموله را ببینند.

گاهی اوقات همه چیز به آرامی از بین می رود. بعضی اوقات آنها فقط اجرا می شوند CALC، یا NOTEPAD، یا چیزی آشکارا احمقانه؛ گاهی اوقات ممکن است پیامی بی ادبانه دریافت کنیم.

اما معمولاً آنها سعی می کنند بار نهایی را حفظ کنند و آن را برای قربانیان خود ذخیره کنند.

---

اردک.  و همچنین به این معنی است که…

... من قبلاً کلمه "چند شکلی" را به آرامی به کار بردم. که در گذشته در ویروس ها بسیار رایج بود، جایی که هر بار که ویروس خود را در یک فایل جدید کپی می کرد، اساساً کد خود را تغییر می داد، اغلب به روشی بسیار پیچیده، حتی الگوریتم خود را بازنویسی می کرد.

اما شما می توانید موتوری را تهیه کنید که این کار را انجام می دهد.

---

فریزر.  بله.

---

اردک.  حالا کلاهبرداران آن را برای خودشان نگه می دارند.

---

فریزر.  این روی سرور جای دیگری است.

---

اردک.  و دسته را در پس زمینه می چرخانند.

---

فریزر.  بله.

---

اردک.  و همچنین شما به لودرها اشاره کردید - ممکن است مردم چیزهایی مانند BuerLoader، BazaarLoader را شنیده باشند، آنها به نوعی "نام های تجاری" معروف هستند…

..در برخی موارد، باندهای کلاهبرداران وجود دارند و این تنها کاری است که انجام می دهند.

آنها بدافزار بعدی را نمی نویسند.

فقط می گویند: «دوست داری چه چیزی بار کنیم؟ URL را به ما بدهید و ما آن را برای شما تزریق می کنیم."

---

فریزر.  اپراتورهای اصلی ربات مربوط به 15 یا 20 سال پیش - چگونه درآمد کسب کردند؟

آنها شبکه‌های ماشین‌ها را به خطر انداختند - این اساساً همان چیزی است که یک باتنت ماشین‌های زیادی تحت فرمان آنهاست - و سپس آنها اساساً می‌توانند آن «شبکه» را اجاره کنند.

این می تواند برای انکار سرویس توزیع شده باشد - همه این ماشین های آلوده را برای مثال به یک وب سرور ضربه بزنید و آن وب سرور را حذف کنید.

همانطور که قبلاً ذکر کردید، ممکن است معمولاً برای هرزنامه باشد.

و بنابراین، تکامل طبیعی آن، به نوعی، بارگذار امروزی است.

اگر کسی سیستمی آلوده به لودر داشته باشد و آن لودر در حال تماس با خانه باشد، شما اساساً یک ربات دارید.

شما این توانایی را دارید که چیزها را روی آن دستگاه اجرا کنید…

... بنابراین، درست همانطور که شما می گویید، آن مجرمان سایبری نیازی به نگرانی ندارند که بار نهایی چیست.

آیا باج افزار است؟

آیا سرقت اطلاعات است؟

آنها یک وسیله نقلیه دارند... و باج افزار تقریباً آخرین پرداخت است.

"ما هر کاری که می خواستیم انجام دادیم." (یا در هر کار دیگری که می‌خواستیم انجام دهیم شکست خوردیم.)

"بیایید فقط باج افزار را امتحان کنیم..."

---

اردک.  ما اکنون همه پسوردها را ثبت کرده‌ایم، دیگر چیزی برای دریافت وجود ندارد.» [می خندد]

---

فریزر.  جای دیگری برای رفتن وجود ندارد!

---

اردک.  "ما همه داده ها را دزدیده ایم."

---

فریزر.  دقیقاً ... نقد نهایی باج افزار است!

در آن مرحله، کاربر آگاه است، و مدیران آگاه هستند، از دست دادن داده وجود دارد.

بنابراین، لودر امروزی تقریباً توسعه‌ای از ربات دیروز است.

---

اردک.  فریزر، من از زمان آگاهم…

بنابراین، با توجه به اینکه شما تصویری را ترسیم کرده‌اید که به وضوح به کار تمام وقت و درک تمام وقت نیاز دارد - شما یک محقق متخصص هستید، سال‌ها این کار را انجام می‌دهید.

همه نمی توانند شغل روزانه خود در IT یا سیستم مدیریت را رها کنند تا کار روزانه دیگری داشته باشند تا مانند شما در سازمان باشند.

اگر امروز مجبور بودید سه نکته ساده برای اینکه چه کاری باید انجام دهید (یا چه کاری نباید انجام دهید) ارائه می‌دادید تا با روشی پیچیده‌تر و پراکنده‌تر برای حمله از کلاهبرداران مقابله کنید - روشی که هواپیماهای بسیار بیشتری را در اختیار ما قرار می‌دهد. نیاز به دفاع…

... آن سه چیز چه خواهند بود؟

---

فریزر.  این یک سوال سخت است.

به نظر من اولین مورد باید این باشد: داشتن آگاهی و دیده شدن در سازمان شما.

ساده به نظر می رسد، اما ما اغلب حملاتی را می بینیم که نقطه شروع یک حمله یک جعبه محافظت نشده بود.

بنابراین، شما یک سازمان دارید….

آنها سیاست فناوری اطلاعات فوق العاده ای دارند. آنها محصولاتی دارند که در سراسر آن شبکه مستقر شده و به درستی پیکربندی شده اند. آنها ممکن است تیمی از مردم داشته باشند که تمام حسگرهای کوچک و تمام داده هایی را که از این محصولات برمی گردند، تماشا می کنند.

اما آنها یک کنترل کننده دامنه دارند که محافظت نشده بود و افراد بد توانستند به آن دسترسی پیدا کنند.

و سپس، در کل چارچوب MITER ATT&CK، یک تکنیک به نام وجود دارد حرکت جانبی...

... هنگامی که حملات بر روی یک جعبه انجام می شود، آنها به تلاش خود برای حرکت جانبی از آنجا در سراسر سازمان ادامه خواهند داد.

و این نوع پایه اولیه به آنها نقطه ای می دهد که از آنجا می توانند این کار را انجام دهند.

بنابراین، دید اولین نکته است.

---

اردک.  شما همچنین باید آنچه را که نمی دانید بدانید!

---

فریزر.  بله - قابلیت مشاهده در تمام دستگاه های موجود در شبکه شما.

شماره دو این است: پیکر بندی.

این کمی سخت است، زیرا هیچ کس دوست ندارد در مورد سیاست ها و پیکربندی صحبت کند - رک و پوست کنده بسیار کسل کننده است.

---

اردک.  هر چند این یک جورهایی مهم است!

---

فریزر.  کاملاً تعیین کننده است.

---

اردک.  به قول قدیمی ها "اگر نتوانید آن را اندازه گیری کنید، نمی توانید آن را مدیریت کنید."

---

فریزر.  فکر می کنم یک توصیه من برای آن این باشد: در صورت امکان، از پیش فرض های پیشنهادی استفاده کنید.

به محض اینکه از پیش‌فرض‌های توصیه‌شده منحرف شوید، معمولاً یا چیزها را خاموش می‌کنید (بد!)، یا چیزهای خاصی را حذف می‌کنید.

---

اردک.  بله.

---

فریزر.  به عنوان مثال، حذف یک پوشه خاص.

اکنون، ممکن است کاملاً قابل قبول باشد - ممکن است یک برنامه کاربردی سفارشی در آن داشته باشید، یک برنامه پایگاه داده سفارشی که در آن می گویید: "من نمی خواهم فایل ها را در این پوشه خاص اسکن کنم."

اگر مثلاً پوشه ویندوز را حذف کنید خیلی خوب نیست!

---

اردک.  "استثناء C:*.* و همه زیرشاخه ها." [می خندد]

---

فریزر.  این است.

---

اردک.  یکی را اضافه می کنی، دیگری را اضافه می کنی و بعد نمی روی و آن را مرور نمی کنی…

... در نهایت به جایی می رسید که اساساً همه درها و همه پنجره ها را باز دارید.

---

فریزر.  کمی شبیه فایروال است.

شما همه چیز را مسدود می کنید شما چند سوراخ ایجاد می کنید: خوب.

شما تا سه سال آینده به سوراخ کردن ادامه می دهید و قبل از اینکه بدانید کجا هستید…

...شما پنیر سوئیسی به عنوان دیوار آتش دارید.

[خنده]

این کار نمی کند!

پس پیکربندی بسیار مهم است، و در صورت امکان به پیش‌فرض‌ها پایبند باشید.

---

اردک.  بله.

---

فریزر.  به پیش‌فرض‌ها بچسبید، زیرا… آن پیش‌فرض‌های توصیه‌شده – به دلایلی توصیه می‌شوند!

در محصولات خودمان، برای مثال، وقتی از پیش‌فرض‌ها منحرف می‌شوید، اغلب با نوار قرمز هشدار می‌دهید که اساساً محافظت را غیرفعال می‌کنید.

---

اردک.  اگر می‌خواهید خارج از پیست بروید، مطمئن شوید که واقعاً قصد این کار را داشتید!

---

فریزر.  مطمئن شوید که دید خوبی دارید.

و حدس می‌زنم نکته سوم این است: مجموعه مهارت های مورد نیاز را تصدیق کنید.

---

اردک.  از تماس گرفتن برای کمک نترسید؟

---

فریزر.  بله: از تماس گرفتن برای کمک نترسید!

امنیت پیچیده است.

ما دوست داریم فکر کنیم ساده است: «چه سه کار می توانیم انجام دهیم؟ چه کارهای ساده ای می توانیم انجام دهیم؟»

در واقع، واقعیت این است که امنیت امروز بسیار پیچیده است.

محصولات ممکن است سعی کنند آن را به روشی نسبتاً ساده بسته بندی کنند و سطوح خوبی از محافظت و سطح دید خوبی را در انواع مختلف رفتاری که در یک شبکه اتفاق می‌افتد ارائه دهند.

اما اگر مجموعه مهارت یا منبع لازم برای کار کردن با رویدادهایی که در حال رخ دادن و ضربه زدن به داشبورد شما هستند را ندارید…

...کسی را پیدا کنید که این کار را انجام دهد!

به عنوان مثال، استفاده از یک سرویس مدیریت شده می تواند تفاوت بزرگی در امنیت شما ایجاد کند و فقط می تواند این سردرد را برطرف کند.

---

اردک.  این اعتراف به شکست نیست، اینطور است؟

شما نمی گویید، "اوه، من خودم نمی توانم این کار را انجام دهم."

---

فریزر.  ما در حال صحبت با 24 x 7 x 365 هستیم.

بنابراین، برای کسی که این کار را در خانه انجام دهد، یک تعهد بزرگ است.

و همچنین در مورد داده های پیچیده صحبت می کنیم - و در مورد دشمنان فعال و این نوع حمله صحبت کردیم.

ما می دانیم که افراد بد، حتی وقتی موارد را مسدود می کنیم، به تلاش مجدد ادامه می دهند: آنها همه چیز را تغییر خواهند داد.

یک تیم خوب که به آن داده‌ها نگاه می‌کند، آن نوع رفتار را تشخیص می‌دهد، و نه تنها می‌دانند که چیزی مسدود شده است، آن افراد همچنین فکر می‌کنند، "خوب، کسی وجود دارد که مکرراً سعی می‌کند از آن در وارد شود."

این یک شاخص کاملاً مفید برای آنها است و آنها اقدام می کنند و حمله را حل می کنند.

[مکث]

سه توصیه بسیار خوب وجود دارد!

---

اردک.  عالی ، فریزر!

از شما بسیار متشکرم و از اینکه تجربه و تخصص خود را با ما به اشتراک می گذارید سپاسگزاریم.

از همه کسانی که گوش می دهند، بسیار سپاسگزارم.

و اکنون فقط برای من باقی مانده است که بگویم: "تا دفعه بعد، ایمن بمان."

[کد مورس]