فرار دفاعی (Defense Evasion) چیست؟

در این مقاله می‌خوانید

فرار دفاعی (Defense Evasion) چیست؟

تاکتیک فرار دفاعی (Defense Evasion) شامل تکنیک‌هایی است که هکرها برای اجتناب از دفاع فنی در طول مبارزات خود، از آن‌ها استفاده می‌کنند. تکنیک‌های مورد استفاده برای فرار دفاعی شامل حذف شاخص‌های سازش، جعل ارتباطات، و بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری است. این تاکتیک، یکی از راهکارهای عملیات تیم قرمز است که توسط متخصصین رد تیم (Red Team) در امنیت سایبری انجام می‌شود.

اگر هنوز با مفهوم امنیت سایبری آشنایی کافی ندارید، پیشنهاد ما به شما:

مطالعه مقاله امنیت سایبری و حقایق آن در سال 2022 است

به بیان دیگر در این تاکتیک، کلیه تکنیک‌های درهم سازی، ساز و کار و حمله برای دور زدن یا (Bypass) نمودن سیستم‌های امنیتی مورد بررسی قرار می‌گیرد. از نرم‌افزار‌های امنیتی که با استفاده از تکنیک‌های این تاکتیک می‌توان به Antivirus یا EDR اشاره نمود. به صورت عمومی روش‌های این تاکتیک شامل تکنیک‌های تغییر کانال، تغییر ساز و کار، رمزنگاری و مبهم‌سازی، استفاده از قابلیت‌های سیستم عامل و یا عدم تنظیمات صحیح امنیتی هستند.

هکری در حال تخریب تکنیک فرار دفاعی

تکنیک‌های فرار دفاعی (Defense Evasion)

برخی از این تکنیک‌ها عبارتند از:

عدم تنظیم صحیح امنیتی (Impair Defenses)

در این تکنیک کلیه روش‌های حذف و یا تغییر در سیستم‌های امنیتی، مورد بررسی قرار می‌گیرد. همچنین سعی در بارگزاری سیستم در وضعیت بدون سیستم‌های امنیتی، مانند ساب تکنیک Safe Mode Boot می‌گردد. برای مثال با استفاده از روش جدا و وصل نمودن باتری BIOS و همچنین ابزارهایی مانند Kon-Boot، امکان bypass کلمه عبور سیستم و راه‌اندازی سیستم در وضعیت Safe Mode وجود دارد. بسیاری از مکانیزم‌های امنیتی در وضعیت Safe Mode راه‌اندازی نمی‌شود و امکان دسترسی مهاجم به حالت غیرمحافظت شده را برای مهاجم به وجود می‌آورد.

تغییر در توکن دسترسی (Access Token Manipulation)

در این تکنیک، با استفاده از توکن‌های تاثیر گذار، ساز و کار حمله و shellcode مربوطه برای چرخه حمله جایگذاری می‌شود. برای مثال با سرقت و اجرا shellcode مخرب داخل فرآیندهای تعریف شده در Whitelist، امکان اجرا shellcode بدون هیچگونه محدودیت پیرو فرآیند وجود دارد.

a hacker use a viruse for system security

استفاده از کاربر معتبر (Valid Accounts)

در این تکنیک با استفاده از کاربرهای موجود و یا ایجاد کاربر معتبر که محدودیت‌های امنیتی بر روی آن اعمال نشده است، عملیات انجام می‌گردد. برای مثال با دسترسی به کاربر مشخص و اجرای payload مخرب، بدون هیچگونه محدودیت در اجرا می‌توان محدودیت‌های اعمال شده را bypass نمود.

ویرایش محدودیت های امنیتی (Impair Defenses)

یکی از پرکاربرد‌ترین روش‌ها در تاکتیک فرار دفاعی (Defense Evasion)، دسترسی و تغییر در هر گونه وضعیت موثر در شناسایی تهدید و همچنین ایجاد ساز و کار مرتبط برای bypass نمودن روال مربوطه است. به طوریکه بسیاری از گروه‌های apt با دسترسی به انواع AV, EDR و اطلاع از رویکرد دفاعی آن‌ها، payload حمله را به نوعی تولید و اجرای می‌نمایند که فرآیند به صورت مخرب شناسایی نشود.

شما می‌توانید برای کسب اطلاع بیشتر و یا دریافت مشاوره رایگان در این خصوص، با متخصصین امنیت سایبری حادث در تماس باشید. همچنین می‌توانید برای مطالعه مقالات مختلف در حوزه امنیت سایبری، به وبلاگ ما مراجعه کنید.

رایگان مشاوره بگیرید

برای مشاوره رایگان و تحلیل کسب و کارتان، لطفا فرم مقابل را پر کنید، تیم ما در اسرع وقت با شما تماس می‌گیرد.

عضو خبرنامه شوید!