وبلاگ

تحلیل سیمانتک در استفاده از منابع داخلی در حملات

در بیشتر از شش ماه از آغاز سال ۲۰۲۴، شاهد افزایش بی‌سابقه‌ای در استفاده از ابزارهای دو منظوره در حملات باج‌افزاری بوده‌ایم. ابزارهای دو منظوره نرم‌افزارهایی قانونی هستند که برای انجام وظایف خاص کسب‌وکاری و فناوری اطلاعات طراحی شده‌اند، اما به جای آن توسط مهاجمان نصب و برای انجام حملات باج‌افزاری مورد استفاده قرار می‌گیرند. در حالی که اکثر گروه‌های باج‌افزاری فعال در گذشته از برخی از این ابزارهای دو منظوره استفاده کرده‌اند، تعداد ابزارهای مورد استفاده در حال حاضر به طور چشمگیری افزایش یافته است.

 

این گسترش سریع ابزارهای دو منظوره در حملات باج‌افزاری نقش سوءاستفاده از نرم‌افزارهای قانونی را در تقویت بحران باج‌افزاری نشان می‌دهد. مهاجمان به طور فزاینده‌ای از نرم‌افزارهای قانونی، که به عنوان “استفاده از منابع داخلی” (Living Off the Land یا LOTL) شناخته می‌شوند، در طول حملات باج‌افزاری استفاده می‌کنند تا وابستگی خود به بدافزارها را به حداقل برسانند. در واقع، آژانس امنیت ملی (NSA)، آژانس امنیت سایبری و زیرساخت‌ها (CISA)، اف‌بی‌آی (FBI)، و مرکز ملی امنیت سایبری بریتانیا (NSC-UK) اکنون با هم متحد شده‌اند تا به مدافعان کمک کنند این حملات را بهتر شناسایی کرده و در برابر آنها محافظت کنند، با انتشار گزارشی جدید با عنوان “شناسایی و کاهش تکنیک‌های استفاده از منابع داخلی”.!

 

در یک مقاله دیگر، دیو گروبر، تحلیلگر اصلی گروه استراتژی سازمانی (ESG)، می‌نویسد: “بیش از نیمی از رهبران امنیتی (۵۲٪) به ESG گزارش داده‌اند که عملیات‌های امنیتی نسبت به دو سال پیش چالش‌برانگیزتر شده‌اند، که این امر ناشی از رشد و تغییر سطح حمله و همچنین چشم‌انداز تهدیدی در حال تغییر سریع است. این شامل افزایش استفاده از ابزارهای LOTL نیز می‌شود.”

 

و خطرات ناشی از ابزارهای LOTL و دو منظوره فراتر از حملات باج‌افزاری است. همان‌طور که CISA، FBI، NCSC و NSA اخیراً فاش کرده‌اند، بازیگران دولت‌ملی اغلب از این تکنیک‌ها برای فرار از شناسایی استفاده می‌کنند. به عنوان مثال، بازیگران BlackTech از تکنیک‌های استفاده از منابع داخلی برای ادغام با فعالیت‌های معمول سیستم عامل و شبکه استفاده می‌کنند، که به آنها اجازه می‌دهد تا از شناسایی توسط محصولات شناسایی و پاسخ‌دهی به تهدیدات (EDR) فرار کنند.

 

حملات با استفاده از منابع داخلی در مقابل حملات مبتنی بر ابزارهای دو منظوره

بیشتر ابزارهای LOTL نرم‌افزارهای قانونی هستند که قبلاً روی دستگاه نصب شده‌اند و اغلب جزء سیستم عامل ویندوز هستند، مانند PowerShell، WMI و Vssadmin. بر اساس تحلیل ما، بیشتر گروه‌های باج‌افزاری روش‌های از پیش تعریف شده‌ای برای استفاده از این ابزارهای LOTL در اختیار دارند. در مقابل، ابزارهای دو منظوره بسته‌های نرم‌افزاری قانونی گسترده‌ای هستند که اغلب توسط مهاجمان به شبکه‌های هدف وارد می‌شوند. نرم‌افزارهای دسکتاپ از راه دور/مدیریت از راه دور رایج‌ترین دسته دو منظوره هستند که برای کنترل نقاط پایانی به جای استقرار بدافزار مورد استفاده قرار می‌گیرند. در واقع، گروه باج‌افزار LockBit اخیراً خبرساز شد که از نرم‌افزار نظارت و مدیریت از راه دور برای گسترش جایگاه خود در شبکه‌های هدف استفاده کرد.

 

سایر ابزارهای دو منظوره محبوب که در حملات باج‌افزاری مشاهده کرده‌ایم شامل موارد زیر است:

 

PsExec: ابزاری از Microsoft Sysinternals برای اجرای فرآیندها در سیستم‌های دیگر. این ابزار عمدتاً توسط مهاجمان برای جابجایی در شبکه‌های قربانیان استفاده می‌شود.

NetScan: SoftPerfect Network Scanner (netscan.exe)، ابزاری عمومی که برای کشف نام‌های میزبان و خدمات شبکه استفاده می‌شود.

AdFind: ابزاری عمومی که برای پرس‌وجوی Active Directory استفاده می‌شود. این ابزار کاربردهای قانونی دارد، اما به‌طور گسترده‌ای توسط مهاجمان برای نقشه‌برداری شبکه استفاده می‌شود.

Rclone: ابزاری متن‌باز که به طور قانونی می‌تواند برای انتقال محتوا به فضای ابری استفاده شود، اما توسط عاملان باج‌افزاری برای استخراج داده‌ها از ماشین‌های قربانی سوءاستفاده شده است.

AnyDesk: یک نرم‌افزار دسکتاپ از راه دور قانونی، که اخیراً خود نیز دچار حمله شد. AnyDesk و ابزارهای مشابه اغلب توسط مهاجمان برای دسترسی از راه دور به کامپیوترهای یک شبکه استفاده می‌شوند.

در گزارش اخیر، CISA به درستی به بسیاری از چالش‌های امنیتی اشاره کرده که مدافعان در تلاش برای جلوگیری از سوءاستفاده مهاجمان از ابزارهای “خوب” شناخته شده با آن مواجه هستند. “عدم وجود شاخص‌های سنتی برای شناسایی تخلف (IOCs) مرتبط با فعالیت‌های LOTL، تلاش‌های مدافعان شبکه برای شناسایی، ردیابی و طبقه‌بندی رفتارهای مخرب را پیچیده‌تر می‌کند.” روش‌های سنتی امنیتی در محافظت از شرکت‌ها در برابر این خطر مؤثر نیستند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

5 × 2 =