دسترسی اولیه (Initial Access) در تیم قرمز چیست؟

در این مقاله می‌خوانید

دسترسی اولیه (Initial Access) در تیم قرمز چیست؟

یکی از تاکتیک‌های مایتر در تیم قرمز، برای ایجاد دسترسی در سلسله مراحل حملات پیشرفته، تاکتیک دسترسی اولیه (Initial Access) است.
هدف این تاکتیک استفاده از انواع تکنیک‌ها برای ایجاد دسترسی اولیه در شبکه توسط اعضای تیم قرمز است.
از ماتریکس مایتر در فعالیت‌های گوناگونی مانند عملیات تیم قرمز (Red Team) به دلیل جامعیت و منابع مطالعاتی گوناگون استفاده می‌گردد.

تاکتیک‌های مایتر در دسترسی اولیه (Mitre ATT&CK in Red Team)

این تاکتیک دارای تکنیک‌های زیر می‌باشد :

تکنیک سازش _ درایو (Drive-by Compromise)

تیم قرمز با آلوده‌سازی درخواست‌های مورد‌نظر در مرورگر، دسترسی اولیه را ایجاد می‌کند.
برای مثال با استفاده از تزریق کد مخرب جاوا اسکریپت (Java Script) و یا بارگزاری آبجکت مخرب با استفاده از iframe دستور مهاجم بر روی قربانی اجرا می‌شود.

تکنیک استفاده از اپلیکیشن در دسترسی اولیه (Public Facing)

تیم قرمز با کمک بهره‌برداری از آسیب‌پذیری‌های اپلیکیشن‌ها و سرویس‌ها، دسترسی اولیه ایجاد می‌کند. برای مثال با استفاده از بهره‌برداری از آسیب‌پذیری اپلیکیشن exchange مهاجم می‌تواند در سرور مقصد، دستور سیستمی اجرا نماید. در مثال دیگر فرد می‌تواند با استفاده از آسیب‌پذیری در اپلیکیشن، سرویس SSH احراز هویت را دور بزند (bypass).

Access Denied in Public Facing

تکنیک خدمات از راه دور خارجی (External Remote Services)

در این تکنیک با استفاده از آسیب‌پذیری‌های سرویس‌های متصل کننده کاربر به شبکه داخلی، دسترسی اولیه ایجاد می‌شود. همچنین در برخی حالات تیم قرمز از این تکنیک برای persistnet نیز استفاده می‌کند. برای مثال با دسترسی vpn profile یا gateway، به شبکه داخلی راه پیدا می‌کنند. و همچنین با دسترسی به شبکه داخلی، کلیه اطلاعات مهم را با استفاده از روش‌های credential pharming بدست می‌آورند.

تکنیک سخت‌افزار اضافی در دسترسی اولیه (Hardware Additions)

تیم قرمز با اضافه کردن سخت‌افزار جانبی مانند Removable Media ویژگی‌های پیش‌فرض و یا جانبی سیستم آلوده را شناسایی کرده و دسترسی اولیه ایجاد می‌کند. در مثالی دیگر کلیه اطلاعات شبکه با اضافه نمودن سخت‌افزار جانبی، شنود می‌شود و با استفاده از شبکه موجود و یا ایجاد یک شبکه جدید، اطلاعات در اختیار اپراتور تهاجمی قرار می‌گیرد.

تیم قرمز حادث با بهره‌گیری و استفاده از این تکنیک، دستگاه سخت‌افزاری PWN Z1 طراحی و تولید نموده است. این سیستم تکنیک دسترسی اولیه را با قابلیت‌های شخصی سازی شده، در اختیار شما و سازمان شما قرار می‌دهد.

Cyber Security & Hardware Additions

تکنیک فیشینگ در تیم قرمز (Phishing)

در این تکنیک تیم قرمز با استفاده روش‌های فیشینگ به کلیه اطلاعات مرتبط با کاربر و یا دارایی‌های آن دسترسی پیدا می‌کند. برای مثال با طراحی و برنامه ریزی پلن فیشینگ، کمپین مربوطه طراحی و جامعه هدف به اصطلاح seed برگزار می‌شود. همچنین با فراخوان زمان اجرا، کمپین مربوطه اجرا و دسترسی اولیه به اطلاعات و دارایی هدف ایجاد می‌گردد. برای مثال با طراحی کمپین تزریق دوز یادآورد کرونا به مجموعه‌ای از قربانیان، فایل آلوده به سیستم کاربران ارسال خواهد شد. درنهایت با اجرا فایل، دسترسی اپراتور تهاجمی به سیستم هدف آغاز می‌شود.

تکنیک تکثیر از طریق رسانه‌های قابل جابجایی (Replication Through Removable Media)

تیم قرمز در این تکنیک با اضافه نمودن Removable Media مانند فلش‌های ذخیره‌سازی، دستورات را بر روی سیستم هدف اجرا کرده که درنهایت به صورت خودکار، دسترسی اولیه ایجاد می‌شود. مثلا با متصل کردن فلش حاوی بدافزار به سیستم و اجرای خودکار بدافزار، دسترسی آعاز خواهد شد.

تکنیک سازش زنجیره تامین (Supply Chain Compromise)

در این تکنیک تیم قرمز با آلوده‌سازی تولید کننده نیازمندی‌های سازمان، در چرخه اتصال و با استفاده از نیازمندی دسترسی اولیه را ایجاد می‌کند. برای مثال اپراتور تهاجمی دستورات مورد‌نظر را با استفاده از دسترسی به سورس کد در اپلیکیشن، اجرا خواهد کرد.

تکنیک رابطه با اعتماد (Trusted Relationship)

در این تکنیک تیم قرمز با دسترسی به شبکه‌ی متصل به دارایی‌های سازمان، دستورات اپراتور تهاجمی در کانال ارتباطی بین مبدا و مقصد را فراخوانی و اجرا می‌کند. برای مثال کلیه سیستم‌های استفاده کننده، از طریق کانال ارتباطی بین سازمان و تولید کننده نرم‌افزار‌های امنیتی، آلوده خواهند شد.

تکنیک حساب‌های معتبر در تیم قرمز (Valid Accounts)

در این تکنیک اکانت‌های کاربری موجود در سازمان، توسط تیم قرمز شناسایی و در مراحل مختلف عملیات مورد استفاده قرار می‌گیرد. برای مثال با استفاده از اکانت‌های موجود در سامانه vpn دسترسی اولیه ایجاد می‌گردد.

تیم قرمز چیست و چگونه وارد عمل می‌شود؟

عملیات تیم قرمز مجموعه‌ای از اقداماتی می‌باشد که در چرخه زنجیره حمله یا اسیبرکیل چین منجر به نشت یا حذف اطلاعات می‌گردد. کلیه فازهای عملیات تیم قرمز اعم از دسترسی ابتدایی (initial access)، ارتقای دسترسی (privilege escalation)، حرکت در عمق (lateral Movement) و انتقال اطلاعات (Exfiltration) می‌باشند. عملیات تیم قرمز شبیه‌ترین حالت ممکن به عملیات‌های سایبری واقعی می‌باشد. همچنین با استفاده از روش‌ها و ابزار‌های عمومی و خصوصی، سناریو‌های حمله را مورد بررسی قرار می‌دهد.

حال آنکه با روند کاری تیم قرمز بیشتر آشنا شدید، برای مشاوره و راهنمایی در این حوزه و همچنین برای درخواست همکاری با متخصصین ما، اینجا کلیک کنید!

رایگان مشاوره بگیرید

برای مشاوره رایگان و تحلیل کسب و کارتان، لطفا فرم مقابل را پر کنید، تیم ما در اسرع وقت با شما تماس می‌گیرد.

عضو خبرنامه شوید!