قبل از اینکه شما را متوقف کنند کلاهبرداران را متوقف کنید!
پل داکلین با کارشناس مشهور امنیت سایبری صحبت می کند فریزر هاوارد، مدیر تحقیقات SophosLabs، در این قسمت جذاب که در جریان اخیر ما ضبط شده است SECURITY SOS هفته 2022.
وقتی صحبت از مبارزه با جرایم سایبری به میان میآید، فریزر واقعاً «متخصص در همه چیز» است و همچنین مهارت توضیح این موضوع فریبنده و خائنانه را به زبان انگلیسی ساده دارد.
برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud
موسیقی مقدماتی و بیرونی توسط ادیت ماج.
شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما
رونوشت را بخوانید
[صدای ربات: Sophos Security SOS]
پل داکلین. سلام به همه.
به هفته Sophos Security SOS خوش آمدید.
موضوع امروز این است: جلوگیری از تهدیدات سایبری - قبل از اینکه شما را متوقف کنند آنها را متوقف کنید!
و مهمان امروز ما کسی نیست جز آقای فریزر هاوارد، مدیر تحقیقات SophosLabs.
اکنون، کسانی از شما که قبلاً به SOS Week گوش کردهاید، میدانید که من دوست دارم فریزر را یک «متخصص در همه چیز» توصیف کنم، زیرا دانش او نه تنها گسترده است، بلکه فوقالعاده عمیق است.
می توان گفت که او هر سلول صفحه گسترده را علامت می زند.
بنابراین، فریزر، به هفته SOS خوش آمدید.
من میخواستم با تمرکز بر چیزی شروع کنم که به نام LOLBIN نامیده میشود، که فکر میکنم مخفف «دودویی زندگی در خارج از زمین» است، که اصطلاحی است برای نرمافزاری که قبلاً وجود دارد و آشپزها دوست دارند از آن استفاده کنند.
فریزر هوارد. دقیقا همون.
اردک. و مشکل بزرگ در حال حاضر به نظر می رسد این است که محتمل ترین LOLBIN، یا محتمل ترین برنامه از پیش نصب شده ای که کلاهبرداران به دلیل نیاز به عبارت بهتر، روی آن غذا می خورند، چیزی جز PowerShell نیست که در ویندوز تعبیه شده است. .
به محض نصب در هر نسخه از ویندوز در دسترس است.
و این روزها ابزار مدیریتی برای خود ویندوز است.
پس چگونه بدون آن زندگی می کنید؟
فریزر. دقیقاً - همانطور که شما توضیح دادید، از دیدگاه مهاجمان، LOLBIN ها درخشان هستند.
آنها یا چاقوی خود را به مبارزه می آورند، و چاقوی آنها ممکن است با هر چیز دیگری که در سیستم است بسیار متفاوت به نظر برسد…
... یا از چاقویی استفاده می کنند که اتفاقاً در وهله اول روی سیستم وجود دارد.
و این به دلایل واضح برای مهاجم سودمند است.
هیچ نرم افزار امنیتی نمی بیند که برخی از برنامه های جدید، براق و ناشناخته به طور ناگهانی اجرا شده و در بخشی از حمله مورد استفاده قرار می گیرند.
اما ابزارهایی مانند PowerShell در حال حاضر وجود دارند - در آن زمان است که بازی ها از نظر تلاش برای کار کردن، "آیا چیز خوبی است یا چیز بدی است؟" شروع می شود.
ای کاش پاسخی یک خطی به نحوه تشخیص پاورشل مخرب در مقابل خوش خیم وجود داشت، اما در واقع این یک وضعیت کاملا پیچیده است.
فرآیند PowerShell خودش دقیقاً چه کاری انجام می دهد؟
در یک انتهای طیف، می توانید از فناوری هایی مانند کنترل برنامه استفاده کنید.
و به عنوان یک ادمین، می توانید انتخاب کنید: "PowerShell، شما نباید اجازه اجرا در محیط من را داشته باشید."
اگر بخواهید، این یک نوشدارویی است و از سوء استفاده از PowerShell جلوگیری می کند، اما همچنین بسیاری از فعالیت های قانونی، از جمله مدیریت اصلی اکثر ماشین های ویندوز امروزی را از بین می برد.
اردک. خوب، پس کنترل برنامه آیا نام Sophos برای شناسایی، و به صورت اختیاری برای مسدود کردن نرم افزارهایی است که بدافزار نیستند، اما ممکن است یک مدیر آگاه از آن در محیط خود پشتیبانی نکند؟
فریزر. دقیقا.
و این فقط مربوط به مدیران و انتخاب آنها برای "کاربران من باید از کدام برنامه استفاده کنند؟"
این در مورد اصول است.
اگر به امنیت فکر می کنید، یکی از چیزهایی که در 5 یا 10 سال گذشته به مردم می گوییم چیست؟
"پچ!"
اگر مدیر هستید و به هر کسی اجازه میدهید از هر برنامهای که میخواهد برای مرورگر خود استفاده کند، ممکن است 5 تا 10 مرورگر مختلف باشد که باید آنها را وصله کنید.
در واقع، برای ادمینها، فناوریهایی مانند کنترل برنامهها به آنها اجازه میدهد سطح تهدید را محدود کنند.
اردک. اما پاورشل... برخی از مردم می گویند، "اوه، فقط پاورشل را مسدود کنید. همه را مسدود کنید .PS1
فایل ها. کار انجام شد.»
فریزر. به این سادگی هم نیست!
اردک. آیا یک sysadmin می تواند بدون PowerShell در یک شبکه مدرن ویندوز مدیریت کند؟
فریزر. [مکث] شماره
[خنده]
منظورم این است که گزینههای خطمشی وجود دارد که میتوانند آنها را انتخاب کنند تا فقط به اسکریپتهای امضا شده خاصی اجازه اجرا داده شود.
اما نکات و تکنیکهای مختلفی وجود دارد که مهاجمان میدانند و سعی میکنند از این مکانیسمها نیز عبور کنند.
برخی از موتورهای اسکریپت نویسی قدیمی ... بهترین مثال میزبان اسکریپت ویندوز است - اکثر مردم نمی دانند که آنجا وجود دارد.
PowerShell یک فروشگاه یکجا برای ادمین نیست، اما WSCRIPT
و CSCRIPT
...
... آن باینری ها، دوباره، در هر جعبه ویندوز وجود دارند.
مسدود کردن کامل آنها بسیار امکان پذیرتر است و دوباره توسط بدافزار مورد سوء استفاده قرار می گیرند.
اردک. بنابراین میزبان اسکریپت ویندوز شامل مواردی مانند جاوا اسکریپت (در مرورگر شما، خارج از مرورگر شما اجرا نمی شود) و اسکریپت قدیمی ویژوال بیسیک است؟
فریزر. تعداد زیادی از آنها وجود دارد.
اردک. اکنون، اسکریپت ویژوال بیسیک توسط مایکروسافت متوقف شده است، اینطور نیست؟
اما هنوز هم پشتیبانی می شود و هنوز هم بسیار استفاده می شود؟
فریزر. در بین بدها بسیار محبوب است، بله.
و این فقط موتورهای اسکریپت نویسی نیستند.
نمیتوانم دقیقاً به خاطر بیاورم که چند باینری در برخی از لیستهای اصلی LOLBIN وجود دارد.
با ترکیب مناسب سوئیچ ها، به طور ناگهانی، یک باینری که ممکن است از آن برای مدیریت، به عنوان مثال، گواهی ها به صورت محلی استفاده کنید…
... در واقع می تواند برای دانلود هر محتوایی از یک سرور راه دور و ذخیره آن در دیسک به صورت محلی استفاده شود.
اردک. این است CERTUTIL.EXE
?
فریزر. بله، CERTUTIL
، به عنوان مثال.
اردک. زیرا می توان از آن برای انجام کارهایی مانند محاسبه هش فایل نیز استفاده کرد.
فریزر. میتوان از آن برای دانلود، به عنوان مثال، محتوای اجرایی کدگذاری شده با base64، ذخیره آن به صورت محلی و رمزگشایی آن استفاده کرد.
و سپس آن محتوا می تواند اجرا شود - به عنوان مثال، به عنوان راهی برای عبور بالقوه از دروازه های وب شما.
اردک. و این با PowerShell بدتر می شود، اینطور نیست؟
زیرا می توانید یک رشته کدگذاری شده با base64 را بردارید و آن را به عنوان اسکریپت ورودی وارد PowerShell کنید و بی سر و صدا آن را برای شما رمزگشایی می کند.
و حتی میتوانید یک گزینه خط فرمان قرار دهید، آیا نمیتوانید بگویید: "هی، اگر کاربر گفت "اجازه ندهید اسکریپتها از خط فرمان اجرا شوند" آن را نادیده بگیرید - میخواهم آن را لغو کنم؟
فریزر. اشاره کردید .PS1
فایل های.
این یک فایل اسکریپت فیزیکی است که ممکن است روی دیسک وجود داشته باشد.
در واقع، PowerShell در انجام کارها بدون فایل بسیار ماهر است، بنابراین فقط خود خط فرمان می تواند کل دستور PowerShell را در بر بگیرد.
اردک. در حال حاضر، درک من این است که به اصطلاح «بدافزار بدون فایل» شامل فایلها میشود، احتمالاً فایلهای بسیار زیادی در عملکرد آن…
... اما یک نقطه کلیدی وجود خواهد داشت که در آن چیزی که ممکن است تشخیص دهید *فقط در حافظه* وجود دارد.
بنابراین، نرم افزار امنیتی که فقط قادر به نظارت بر دسترسی به دیسک است، از دست خواهد رفت.
چگونه با چنین موقعیتی برخورد می کنید، جایی که کلاهبرداران تمام این چیزهای نیمه مشکوک را به دست آورده اند، و سپس با این ترفند بدون فایل و فقط حافظه، چیز واقعا خطرناک را پنهان کرده اند؟
چگونه با این مشکل برخورد می کنید؟
فریزر. یکی از راههایی که ما با آن برخورد میکنیم، بهویژه در مورد PowerShell، این است که مایکروسافت رابطی را ارائه میکند که به ما امکان مشاهده رفتار PowerShell را میدهد.
بنابراین AMSI رابطی است که فروشندگان، فروشندگان امنیتی، می توانند از آن برای مشاهده بدافزار استفاده کنند.
اردک. amsi است ... رابط اسکن ضد بدافزار?
فریزر. دقیقا.
این به ما یک پنجره به رفتار PowerShell در هر نقطه از زمان می دهد.
بنابراین، از آنجایی که ممکن است کارها را بدون فایل انجام دهد ... هر نقطه رهگیری سنتی که به دنبال فایل روی دیسک است، وارد بازی نمی شود.
اما رفتار PowerShell خود باعث ایجاد فعالیت در رابط AMSI می شود که به ما امکان می دهد انواع خاصی از فعالیت های مخرب PowerShell را شناسایی و مسدود کنیم.
نکته دیگر این است که، اگرچه «بدون فایل» به عنوان یک نوشدارویی برای افراد بد در نظر گرفته می شود…
... در واقع، یکی از چیزهایی که بیشتر مهاجمان در مقطعی به دنبال آن هستند، چیزی است که ما به آن می گوییم اصرار.
خوب، آنها مقداری کد دارند که روی دستگاه اجرا می شود ... اما اگر آن دستگاه دوباره راه اندازی شود چه اتفاقی می افتد؟
و بنابراین بدافزار بدون فایل آنها معمولاً به دنبال افزایش سطح پایداری است.
بنابراین، بیشتر حملات بدون فایلی که دیدهایم در واقع با رجیستری ویندوز تعامل دارند – آنها از رجیستری به عنوان راهی برای دستیابی به پایداری استفاده میکنند.
به طور معمول، آنها نوعی BLOB [ابژه بزرگ باینری] از داده ها را در رجیستری قرار می دهند، و برخی از کلیدهای رجیستری را طوری تغییر می دهند که وقتی آن دستگاه دوباره راه اندازی می شود، آن BLOB رمزگشایی شده و رفتار مخرب دوباره ادامه می یابد.
محصولات امروزی همه در مورد طیف وسیعی از فناوری ها هستند، از ساده، درست تا بسیار پیچیده.
اردک. این همچنین به توضیح اینکه چرا افراد فایلهایی را که به نوعی پیشساز بدافزار هستند، اما خودشان آشکارا مخرب نیستند، میگیرند، کمک میکند، آنها را در یک سرویس آنلاین مانند، مثلاً ویروس توتال، آپلود میکنند.
… و بروید، «هی، هیچ کس این را تشخیص نمی دهد. همه محصولات امنیتی بی فایده هستند.»
اما این بدان معنا نیست که فایل می تواند وارد زندگی شود و بدون متوقف شدن شروع به انجام کارهای بد کند…
فریزر. این نکته بسیار خوبی است.
من فکر می کنم این چیزی است که صنعت امنیت آن را امتحان کرده است ... اما این واقعیت که ما هنوز در مورد آن صحبت می کنیم - احتمالاً نتوانسته ایم این نکته را درک کنیم:
حفاظت چیست؟
در واقع منظور ما چیست؟
محافظت از شخص در برابر تهدید معمولاً به چه معناست؟
بیشتر مردم تمایل دارند به این موضوع فکر کنند... خوب، آنها یک تهدید دارند. آنها فایلی می خواهند که "تهدید" باشد. و آنها می خواهند ببینند که آیا آن فایل شناسایی می شود یا خیر.
اما آن حمله خاص... فرض کنید یک ربات است.
ممکن است 10,000 مورد از این فایلها *هر روز** وجود داشته باشد، زیرا آدمهای بد دسته خود را میچرخانند و کپیهای مختلفی تولید میکنند که اساساً همه یک چیز اصلی هستند.
و بنابراین این واقعیت که 1 یا 10 یا 100 از آن فایل ها شناسایی می شود…
... واقعاً چیز زیادی در مورد اینکه یک محصول چقدر می تواند در برابر آن تهدید محافظت کند، به شما نمی گوید.
اردک. "ربات" به معنای ربات نرم افزاری?.
اساساً، این چیزی است که به طور مرتب روی رایانه شما مینشیند، با خانه تماس میگیرید یا از سرور تصادفی نظرسنجی میکنید؟
فریزر. دقیقا.
اردک. آن سرور ممکن است روز به روز تغییر کند... و ربات اغلب فهرستی از دستورالعملها را دانلود میکند، مانند «در اینجا فهرستی از آدرسهای ایمیل برای هرزنامه وجود دارد».
در مرحله بعد، میتواند این باشد: «در اینجا فهرستی از پسوندهای فایل است که میخواهم شما در هم بکوبید» یا میتواند «روشن کردن کیلاگر» باشد؟
فریزر. دقیقا.
اردک. یا "در حال حاضر یک اسکرین شات بگیرید، آنها در برنامه بانکی هستند".
این در اصل یک درب پشتی فعال است…
فریزر. این *یک درب پشتی است، بله.
و ما 20 سال پیش در مورد درهای پشتی صحبت کردیم... من به یاد دارم که 20 سال پیش ارائه خدمات به مشتریان را انجام دادیم و در مورد درهای پشتی صحبت کردیم.
اردک. اگر به خاطر داشته باشید، «Orifice Back»…
فریزر. بله بله!
ما در تلاش بودیم مشتریان را متقاعد کنیم که در واقع، بسیاری از درهای پشتی خارج از بدافزار مهمتر از بدافزارهای مطرح روز هستند.
چیزی که نمیخواهید به آن آلوده شوید، درهای پشتی هستند که به برخی افراد نابکار امکان کنترل دستگاه شما و انجام کارهای بد، مانند نگاهی به سیستم فایل شما، یا تغییر دادههای سیستم شما را میدهد.
این یک تهدید بسیار ترسناک تر از، برای مثال، یک کرم خودتکثیر کننده است که از رایانه ای به رایانه دیگر پخش می شود.
این ممکن است مطبوعات را تحت تأثیر قرار دهد و ممکن است به خودی خود مشکلاتی ایجاد کند…
اما، در واقع، کسی که به سیستم شما دسترسی دارد، احتمالاً یک تهدید بسیار بزرگتر است.
اردک. و فکر کردن به Back Orifice در سال 1999 چه بود؟ 2000؟
معروف است که در پورت 13337 گوش داده است، اینطور نیست؟
فریزر. شما حافظه خوبی دارید [می خندد]... بله، «نخبگان»!
اردک. و به محض اینکه مردم شروع به استفاده از اتصالات DSL در خانه کردند و یک روتر خانگی داشتند، Back Orifice بی فایده بود زیرا اتصالات ورودی کار نمی کردند.
و بنابراین مردم فکر کردند، "اوه، خب، درهای پشتی به اتصالات شبکه ورودی متکی هستند - من به طور پیش فرض توسط ISP خود محافظت می کنم، بنابراین لازم نیست نگران آن باشم."
اما زامبیهای امروزی، رباتهای امروزی – با استفاده از نوعی کانال رمزگذاریشده یا مخفی به خانه تلفن میزنند و دستورالعملها را *دانلود* میکنند…
فریزر. و چون روی HTTPS است، اساساً آن فعالیت شبکه را در میان میلیونها و یک بسته وب دیگر که هر دقیقه در اکثر اتصالات خانگی منتشر میشوند، پنهان میکنند.
اردک. پس این دلیل دیگری است که چرا می خواهید دفاع در عمق یا لایه لایه را داشته باشید؟
فریزر. بله.
اردک. بدیهی است که فایل های جدید - می خواهید آنها را بررسی کنید. شما نمی خواهید بدافزاری را که می توانستید شناسایی کرده باشید از دست بدهید.
اما ممکن است فایل در حال حاضر بیگناه باشد، و پس از بارگیری، ممکن است به یک سرکش تبدیل شود. پس از اینکه خود را در حافظه دستکاری کرد؛ پس از فراخوانی و دانلود موارد…
فریزر. و بنابراین، برای بازگشت به نقطه اصلی: نحوه اندازه گیری محصولات امنیتی امروز پیچیده تر از همیشه است.
اردک. زیرا برخی افراد هنوز این ایده را دارند که خوب، اگر واقعاً میخواهید محصولی را آزمایش کنید، فقط یک سطل عظیم پر از بدافزار دریافت میکنید، همه در فایلها…
فریزر. معمولاً "یک باغ وحش" نامیده می شود.
اردک. ... و شما آن را در یک سرور به صورت مجزا در جایی قرار می دهید.
سپس آن را با یک اسکنر استاتیک اسکن میکنید و متوجه میشوید که چند عدد را شناسایی میکند، و این به شما میگوید که محصول چگونه رفتار میکند.
رویکرد "ویروس کل".
اما این: [A] تمایل به دست کم گرفتن محصولات خوب دارد، و [B] ممکن است محصولات بد را بیش از حد برآورد کند.
فریزر. یا محصولاتی که فقط در تشخیص فایل ها تخصص دارند، به این منظور که در درجه اول در آن نوع آزمایش های مبتنی بر باغ وحش خوب به نظر برسند.
این به معنای محصولی در دنیای واقعی نیست که در واقع سطوح خوبی از محافظت را ارائه دهد!
در واقع، ما فایلها را مسدود میکنیم... البته این کار را میکنیم – اگر بخواهید، فایل از نظر محافظت همچنان ارز بسیار مهمی است.
اما چیزهای زیادی وجود دارد، به عنوان مثال مانند رابط AMSI که به ما امکان می دهد فعالیت مخرب PowerShell را مسدود کنیم، و رفتار خود برنامه.
بنابراین، در محصول ما، موتور رفتاری به رفتار فرآیندها، شبکه، ترافیک، فعالیتهای رجیستری نگاه میکند.
...و این تصویر ترکیبی به ما امکان می دهد تا رفتارهای مخرب بالقوه را با هدف مسدود کردن نه لزوماً یک خانواده خاص یا حتی نوع خاصی از تهدید، بلکه فقط *فعالیت مخرب* شناسایی کنیم.
اگر انواع خاصی از رفتار وجود دارد که میتوانیم تشخیص دهیم کاملاً مخرب هستند، اغلب سعی میکنیم آن را مسدود کنیم.
ما امروز میتوانیم نوع خاصی از رفتار مخرب را مسدود کنیم، و سپس یک خانواده تهدید که هنوز نوشته نشده است - در عرض سه ماه، ممکن است از همان رفتار استفاده کند و ما فعالانه آن را شناسایی خواهیم کرد.
بنابراین این جام مقدس کاری است که ما انجام می دهیم: حفاظت فعال.
توانایی ما برای نوشتن چیزی امروز که در آینده با موفقیت رفتارهای مخرب را مسدود کند.
اردک. فکر می کنم یک مثال خوب از آن، برای بازگشت به آنچه قبلا ذکر کردیم، باشد CERTUTIL.EXE
- آن ابزار اعتبار سنجی گواهی.
شما ممکن است از آن در اسکریپتهای خود، در ابزارهای مدیریت سیستم خود استفاده کنید، اما رفتارهایی وجود دارد که انتظار آن را ندارید، اگرچه میتوان آن برنامه را برای انجام این کارها ساخت.
آنها برجسته می شدند.
فریزر. آنها دقیقاً متمایز می شدند.
اردک. بنابراین نمیتوانید بگویید «برنامه بد است»، اما در یک نقطه از رفتارش میتوانید بگویید «آها، حالا خیلی از آن گذشته است!»
فریزر. و این جنبه جالب دیگری از چشم انداز امروزی را لمس می کند.
تاریخی، EVIL.EXE
دویدن؛ ما ممکن است فایل را شناسایی کنیم. ممکن است برخی از رفتارهای مخرب را شناسایی کنیم. ما آن را از سیستم شما پاک می کنیم.
شما در مورد LOLBIN ها صحبت کردید... بدیهی است که وقتی تشخیص می دهیم که PowerShell کار مخربی انجام می دهد، حذف نمی کنیم POWERSHELL.EXE
از آن سیستم
اردک. "اوه، متوجه شدم که ویندوز کار بدی انجام می دهد - کل سیستم را پاک کنید!"
[خنده]
فریزر. ما اساساً آن فرآیند را مسدود می کنیم. ما آن فرآیند را با انجام کاری که قرار بود انجام دهد متوقف می کنیم. و آن را خاتمه می دهیم.
اما PowerShell هنوز در سیستم فیزیکی وجود دارد.
در واقع، مهاجمان امروزی با مهاجمان دیروز نیز بسیار متفاوت هستند.
مهاجمان امروزی همه به دنبال هدف هستند. داشتن یک هدف
مدل قدیم بیشتر اسپری و دعا بود اگه دوست داشتی.
اگر کسی جلوی حمله را بگیرد... بدشانسی، تسلیم میشوند - هیچ انسانی در آنجا حضور ندارد.
اگر حمله کار کند، داده ها دزدیده می شوند، یک ماشین در معرض خطر قرار می گیرد، هر اتفاقی که می افتد، اما اگر حمله مسدود شده باشد، هیچ چیز دیگری روی سیستم اتفاق نمی افتد.
در حملات امروزی، در واقع عنصر انسانی بسیار بیشتر است.
بنابراین، به طور معمول، در بسیاری از حملاتی که امروزه شاهد آن هستیم – این با بسیاری از حملات باج افزار مشخص می شود، جایی که کلاهبرداران به طور خاص سعی می کنند سازمان های خاصی را با ایجاد باج افزار خود هدف قرار دهند…
... وقتی چیزی مسدود می شود، دوباره تلاش می کنند و به تلاش مجدد ادامه می دهند.
همانطور که ما چیزها را مسدود می کنیم و انواع مختلف رفتارهای مخرب را مسدود می کنیم، چیزی در پشت صحنه وجود دارد. برخی *شخص*ها در پشت صحنه؛ برخی از گروه های تهدید در پشت صحنه، دوباره تلاش می کنند.
اردک. بنابراین 10 یا 15 سال پیش، "اوه، ما این بدافزار کاملاً جدید و قبلا ناشناخته Word را پیدا کردیم. ما فایل را حذف کرده و آن را پاک کردیم و آن را در گزارش نوشتیم.
و همه به جلسه می روند و آن را علامت می زنند و دستی به پشت هم می زنند: «عالی! کار تمام شد! برای ماه آینده آماده است. "
فریزر. حالا، خیلی فرق کرده است.
اردک. امروز، *این حمله نبود*.
فریزر. نه!
اردک. این فقط یک پیشآزمون بود، «میپرسم از چه مارکی از آشکارسازهای دود استفاده میکنند؟» نوعی آزمون
فریزر. دقیقا.
اردک. و آنها قصد استفاده از این بدافزار را ندارند.
آنها فقط سعی می کنند حدس بزنند که دقیقاً چه محافظتی دارید؟
چه چیزی روشن شده است؛ کدام دایرکتوری ها شامل می شوند. کدام دایرکتوری ها از اسکن شما حذف می شوند. چه تنظیمات محیطی دارید؟
فریزر. و آنچه امروز در مورد آن صحبت می کنیم این است دشمنان فعال.
دشمنان فعال... مطبوعات زیادی دریافت می کنند.
این مفهوم کل چارچوب MITER ATT&CK است - این اساساً یک کتاب مقدس است، یک فرهنگ لغت، اگر بخواهید، ترکیبی از تاکتیک ها.
تاکتیک ها عمودی هستند. افقی ها تکنیک ها هستند.
من فکر می کنم 14 تاکتیک وجود دارد، اما نمی دانم چند تا تکنیک ... صدها؟
اردک. می تواند کمی سرگیجه آور باشد، آن شبکه MITER!
فریزر. این اساساً فرهنگ لغت انواع مختلف چیزها، انواع مختلف تکنیک است که می تواند اساساً در یک سیستم برای خوب یا بد استفاده شود.
اما اساساً با مهاجمان و دشمنان فعال هماهنگ است.
اگر دوست دارید، این یک طبقه بندی از کارهایی است که یک دشمن فعال ممکن است در هنگام حضور در سیستم انجام دهد.
اردک. درست است، زیرا در قدیم (من و شما این را به خاطر می آوریم، زیرا هر دوی ما زمان صرف نوشتن توضیحات جامع بدافزار می کردیم، چیزهایی که 15 یا 20 سال پیش ضروری بودند - شما در مورد آن صحبت می کردید. EVIL.EXE
) ...
... زیرا بیشتر تهدیدات در آن زمان ویروس ها بودند، به عبارت دیگر آنها خود را منتشر می کردند و خود را مهار می کردند.
یک بار که داشتیم…
فریزر. شما می توانید از A-to-Z، دقیقاً آنچه را که در سیستم انجام می دهد، مستند کنید.
اردک. بنابراین، بسیاری از بدافزارها در آن روزها، اگر به نحوه پنهان کردن خود نگاه کنید. چگونه به حافظه رفتند. پلی مورفیسم؛ همه آن چیزها - بسیاری از آنها برای تجزیه و تحلیل آن چیزهای امروزی بسیار پیچیده تر بودند.
اما وقتی می دانستید چگونه کار می کند، می دانستید که هر نسل احتمالاً چگونه خواهد بود، و می توانید شرح کاملی بنویسید.
فریزر. بله.
اردک. اکنون، شما فقط نمی توانید این کار را انجام دهید.
"خب، این بدافزار برخی بدافزارهای دیگر را دانلود می کند."
چه بدافزاری؟
"من نمی دانم."
فریزر. به عنوان مثال، یک لودر ساده را در نظر بگیرید: اجرا می شود. به صورت دوره ای وصل می شود.
مهاجم این توانایی را دارد که در نوعی BLOB کدگذاری شده شلیک کند – برای مثال، فرض کنید یک DLL، یک کتابخانه پیوند پویا، یک ماژول ... اساساً یک کد قابل اجرا باشد.
بنابراین، "این تهدید چه می کند؟"
خوب، دقیقاً و کاملاً به آنچه مهاجم به سیم ارسال می کند بستگی دارد.
اردک. و این می تواند روز به روز تغییر کند.
ممکن است بر اساس IP منبع تغییر کند: «آیا شما در آلمان هستید؟ آیا شما در سوئد هستید؟ آیا شما در بریتانیا هستید؟»
فریزر. اوه، بله، ما اغلب آن را می بینیم.
اردک. همچنین میتواند بگوید: «هی، شما قبلاً وصل شدهاید، بنابراین ما به شما غذا میدهیم NOTEPAD
یا یک پرونده بی گناه دفعه بعد.»
فریزر. بله.
مهاجمان معمولاً از تکنیکهایی استفاده میکنند تا زمانی که ما هستیم را تشخیص دهند [یعنی. SophosLabs] در تلاش برای اجرای ساخت خود است.
بنابراین آنها به ما نمیدهند که چه چیزی ممکن است محموله نهایی باشد.
آنها نمی خواهند که ما محموله را ببینیم - آنها فقط می خواهند قربانیان آن محموله را ببینند.
گاهی اوقات همه چیز به آرامی از بین می رود. بعضی اوقات آنها فقط اجرا می شوند CALC
، یا NOTEPAD
، یا چیزی آشکارا احمقانه؛ گاهی اوقات ممکن است پیامی بی ادبانه دریافت کنیم.
اما معمولاً آنها سعی می کنند بار نهایی را حفظ کنند و آن را برای قربانیان خود ذخیره کنند.
اردک. و همچنین به این معنی است که…
... من قبلاً کلمه "چند شکلی" را به آرامی به کار بردم. که در گذشته در ویروس ها بسیار رایج بود، جایی که هر بار که ویروس خود را در یک فایل جدید کپی می کرد، اساساً کد خود را تغییر می داد، اغلب به روشی بسیار پیچیده، حتی الگوریتم خود را بازنویسی می کرد.
اما شما می توانید موتوری را تهیه کنید که این کار را انجام می دهد.
فریزر. بله.
اردک. حالا کلاهبرداران آن را برای خودشان نگه می دارند.
فریزر. این روی سرور جای دیگری است.
اردک. و دسته را در پس زمینه می چرخانند.
فریزر. بله.
اردک. و همچنین شما به لودرها اشاره کردید - ممکن است مردم چیزهایی مانند BuerLoader، BazaarLoader را شنیده باشند، آنها به نوعی "نام های تجاری" معروف هستند…
..در برخی موارد، باندهای کلاهبرداران وجود دارند و این تنها کاری است که انجام می دهند.
آنها بدافزار بعدی را نمی نویسند.
فقط می گویند: «دوست داری چه چیزی بار کنیم؟ URL را به ما بدهید و ما آن را برای شما تزریق می کنیم."
فریزر. اپراتورهای اصلی ربات مربوط به 15 یا 20 سال پیش - چگونه درآمد کسب کردند؟
آنها شبکههای ماشینها را به خطر انداختند - این اساساً همان چیزی است که یک باتنت ماشینهای زیادی تحت فرمان آنهاست - و سپس آنها اساساً میتوانند آن «شبکه» را اجاره کنند.
این می تواند برای انکار سرویس توزیع شده باشد - همه این ماشین های آلوده را برای مثال به یک وب سرور ضربه بزنید و آن وب سرور را حذف کنید.
همانطور که قبلاً ذکر کردید، ممکن است معمولاً برای هرزنامه باشد.
و بنابراین، تکامل طبیعی آن، به نوعی، بارگذار امروزی است.
اگر کسی سیستمی آلوده به لودر داشته باشد و آن لودر در حال تماس با خانه باشد، شما اساساً یک ربات دارید.
شما این توانایی را دارید که چیزها را روی آن دستگاه اجرا کنید…
... بنابراین، درست همانطور که شما می گویید، آن مجرمان سایبری نیازی به نگرانی ندارند که بار نهایی چیست.
آیا باج افزار است؟
آیا سرقت اطلاعات است؟
آنها یک وسیله نقلیه دارند... و باج افزار تقریباً آخرین پرداخت است.
"ما هر کاری که می خواستیم انجام دادیم." (یا در هر کار دیگری که میخواستیم انجام دهیم شکست خوردیم.)
"بیایید فقط باج افزار را امتحان کنیم..."
اردک. ما اکنون همه پسوردها را ثبت کردهایم، دیگر چیزی برای دریافت وجود ندارد.» [می خندد]
فریزر. جای دیگری برای رفتن وجود ندارد!
اردک. "ما همه داده ها را دزدیده ایم."
فریزر. دقیقاً ... نقد نهایی باج افزار است!
در آن مرحله، کاربر آگاه است، و مدیران آگاه هستند، از دست دادن داده وجود دارد.
بنابراین، لودر امروزی تقریباً توسعهای از ربات دیروز است.
اردک. فریزر، من از زمان آگاهم…
بنابراین، با توجه به اینکه شما تصویری را ترسیم کردهاید که به وضوح به کار تمام وقت و درک تمام وقت نیاز دارد - شما یک محقق متخصص هستید، سالها این کار را انجام میدهید.
همه نمی توانند شغل روزانه خود در IT یا سیستم مدیریت را رها کنند تا کار روزانه دیگری داشته باشند تا مانند شما در سازمان باشند.
اگر امروز مجبور بودید سه نکته ساده برای اینکه چه کاری باید انجام دهید (یا چه کاری نباید انجام دهید) ارائه میدادید تا با روشی پیچیدهتر و پراکندهتر برای حمله از کلاهبرداران مقابله کنید - روشی که هواپیماهای بسیار بیشتری را در اختیار ما قرار میدهد. نیاز به دفاع…
... آن سه چیز چه خواهند بود؟
فریزر. این یک سوال سخت است.
به نظر من اولین مورد باید این باشد: داشتن آگاهی و دیده شدن در سازمان شما.
ساده به نظر می رسد، اما ما اغلب حملاتی را می بینیم که نقطه شروع یک حمله یک جعبه محافظت نشده بود.
بنابراین، شما یک سازمان دارید….
آنها سیاست فناوری اطلاعات فوق العاده ای دارند. آنها محصولاتی دارند که در سراسر آن شبکه مستقر شده و به درستی پیکربندی شده اند. آنها ممکن است تیمی از مردم داشته باشند که تمام حسگرهای کوچک و تمام داده هایی را که از این محصولات برمی گردند، تماشا می کنند.
اما آنها یک کنترل کننده دامنه دارند که محافظت نشده بود و افراد بد توانستند به آن دسترسی پیدا کنند.
و سپس، در کل چارچوب MITER ATT&CK، یک تکنیک به نام وجود دارد حرکت جانبی...
... هنگامی که حملات بر روی یک جعبه انجام می شود، آنها به تلاش خود برای حرکت جانبی از آنجا در سراسر سازمان ادامه خواهند داد.
و این نوع پایه اولیه به آنها نقطه ای می دهد که از آنجا می توانند این کار را انجام دهند.
بنابراین، دید اولین نکته است.
اردک. شما همچنین باید آنچه را که نمی دانید بدانید!
فریزر. بله - قابلیت مشاهده در تمام دستگاه های موجود در شبکه شما.
شماره دو این است: پیکر بندی.
این کمی سخت است، زیرا هیچ کس دوست ندارد در مورد سیاست ها و پیکربندی صحبت کند - رک و پوست کنده بسیار کسل کننده است.
اردک. هر چند این یک جورهایی مهم است!
فریزر. کاملاً تعیین کننده است.
اردک. به قول قدیمی ها "اگر نتوانید آن را اندازه گیری کنید، نمی توانید آن را مدیریت کنید."
فریزر. فکر می کنم یک توصیه من برای آن این باشد: در صورت امکان، از پیش فرض های پیشنهادی استفاده کنید.
به محض اینکه از پیشفرضهای توصیهشده منحرف شوید، معمولاً یا چیزها را خاموش میکنید (بد!)، یا چیزهای خاصی را حذف میکنید.
اردک. بله.
فریزر. به عنوان مثال، حذف یک پوشه خاص.
اکنون، ممکن است کاملاً قابل قبول باشد - ممکن است یک برنامه کاربردی سفارشی در آن داشته باشید، یک برنامه پایگاه داده سفارشی که در آن می گویید: "من نمی خواهم فایل ها را در این پوشه خاص اسکن کنم."
اگر مثلاً پوشه ویندوز را حذف کنید خیلی خوب نیست!
اردک. "استثناء C:*.*
و همه زیرشاخه ها." [می خندد]
فریزر. این است.
اردک. یکی را اضافه می کنی، دیگری را اضافه می کنی و بعد نمی روی و آن را مرور نمی کنی…
... در نهایت به جایی می رسید که اساساً همه درها و همه پنجره ها را باز دارید.
فریزر. کمی شبیه فایروال است.
شما همه چیز را مسدود می کنید شما چند سوراخ ایجاد می کنید: خوب.
شما تا سه سال آینده به سوراخ کردن ادامه می دهید و قبل از اینکه بدانید کجا هستید…
...شما پنیر سوئیسی به عنوان دیوار آتش دارید.
[خنده]
این کار نمی کند!
پس پیکربندی بسیار مهم است، و در صورت امکان به پیشفرضها پایبند باشید.
اردک. بله.
فریزر. به پیشفرضها بچسبید، زیرا… آن پیشفرضهای توصیهشده – به دلایلی توصیه میشوند!
در محصولات خودمان، برای مثال، وقتی از پیشفرضها منحرف میشوید، اغلب با نوار قرمز هشدار میدهید که اساساً محافظت را غیرفعال میکنید.
اردک. اگر میخواهید خارج از پیست بروید، مطمئن شوید که واقعاً قصد این کار را داشتید!
فریزر. مطمئن شوید که دید خوبی دارید.
و حدس میزنم نکته سوم این است: مجموعه مهارت های مورد نیاز را تصدیق کنید.
اردک. از تماس گرفتن برای کمک نترسید؟
فریزر. بله: از تماس گرفتن برای کمک نترسید!
امنیت پیچیده است.
ما دوست داریم فکر کنیم ساده است: «چه سه کار می توانیم انجام دهیم؟ چه کارهای ساده ای می توانیم انجام دهیم؟»
در واقع، واقعیت این است که امنیت امروز بسیار پیچیده است.
محصولات ممکن است سعی کنند آن را به روشی نسبتاً ساده بسته بندی کنند و سطوح خوبی از محافظت و سطح دید خوبی را در انواع مختلف رفتاری که در یک شبکه اتفاق میافتد ارائه دهند.
اما اگر مجموعه مهارت یا منبع لازم برای کار کردن با رویدادهایی که در حال رخ دادن و ضربه زدن به داشبورد شما هستند را ندارید…
...کسی را پیدا کنید که این کار را انجام دهد!
به عنوان مثال، استفاده از یک سرویس مدیریت شده می تواند تفاوت بزرگی در امنیت شما ایجاد کند و فقط می تواند این سردرد را برطرف کند.
اردک. این اعتراف به شکست نیست، اینطور است؟
شما نمی گویید، "اوه، من خودم نمی توانم این کار را انجام دهم."
فریزر. ما در حال صحبت با 24 x 7 x 365 هستیم.
بنابراین، برای کسی که این کار را در خانه انجام دهد، یک تعهد بزرگ است.
و همچنین در مورد داده های پیچیده صحبت می کنیم - و در مورد دشمنان فعال و این نوع حمله صحبت کردیم.
ما می دانیم که افراد بد، حتی وقتی موارد را مسدود می کنیم، به تلاش مجدد ادامه می دهند: آنها همه چیز را تغییر خواهند داد.
یک تیم خوب که به آن دادهها نگاه میکند، آن نوع رفتار را تشخیص میدهد، و نه تنها میدانند که چیزی مسدود شده است، آن افراد همچنین فکر میکنند، "خوب، کسی وجود دارد که مکرراً سعی میکند از آن در وارد شود."
این یک شاخص کاملاً مفید برای آنها است و آنها اقدام می کنند و حمله را حل می کنند.
[مکث]
سه توصیه بسیار خوب وجود دارد!
اردک. عالی ، فریزر!
از شما بسیار متشکرم و از اینکه تجربه و تخصص خود را با ما به اشتراک می گذارید سپاسگزاریم.
از همه کسانی که گوش می دهند، بسیار سپاسگزارم.
و اکنون فقط برای من باقی مانده است که بگویم: "تا دفعه بعد، ایمن بمان."
[کد مورس]
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2022/12/22/s3-ep114-preventing-cyberthreats-stop-them-before-they-stop-you-audio-text/