قمنا بتغطية مفهوم هرم الألم المستخدم في الاستجابة للحوادث ومطاردة التهديدات والذي يغطي أدوات وتقنيات المهاجم ومدى سهولة/صعوبة تغييرها لتجنب اكتشافها من قبل المحللين. وقمنا أيضًا بتغطية وشرح ما تمثله كل طبقة في الهرم باعتبارها قطعة أثرية خلال مرحلة الهجوم السيبراني. كان هذا جزءًا من TryHackMe هرم الألم.
احصل على ملاحظات شهادة COMPTIA Security+
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
وصف التحدي
تعرف على ما هو هرم الألم وكيفية استخدام هذا النموذج لتحديد مستوى الصعوبة الذي سيتسبب فيه للخصم في تغيير المؤشرات المرتبطة به وبحملته.
أبرز مقاطع الفيديو
عادةً ما يستخدم متخصصو الأمان قيم التجزئة للحصول على نظرة ثاقبة لعينة معينة من البرامج الضارة، أو ملف ضار أو مشبوه، وكوسيلة لتحديد العناصر الضارة والإشارة إليها بشكل فريد.
من المحتمل أنك قرأت تقارير برامج الفدية في الماضي، حيث يقدم الباحثون الأمنيون التجزئات المتعلقة بالملفات الضارة أو المشبوهة المستخدمة في نهاية التقرير. يمكنك التحقق من تقرير DFIR و مدونات FireEye لأبحاث التهديدات إذا كنت مهتمًا برؤية مثال.
في هرم الألم، تتم الإشارة إلى عناوين IP باللون الأخضر. قد تتساءل لماذا وماذا يمكنك ربط اللون الأخضر به؟
من وجهة نظر دفاعية، يمكن أن تكون معرفة عناوين IP التي يستخدمها الخصم ذات قيمة. أحد أساليب الدفاع الشائعة هو حظر الطلبات الواردة من عناوين IP أو إسقاطها أو رفضها على المعلمة الخاصة بك أو جدار الحماية الخارجي. غالبًا ما لا يكون هذا التكتيك مضادًا للرصاص لأنه من السهل على خصم متمرس أن يتعافى بمجرد استخدام عنوان IP عام جديد.
إحدى الطرق التي يمكن للخصم أن يجعل من الصعب تنفيذ حظر IP بنجاح هي استخدام التدفق السريع.
وفق أكاماي، التدفق السريع هو أ DNS تقنية تستخدمها شبكات الروبوت لإخفاء التصيد الاحتيالي، ووكلاء الويب، وتسليم البرامج الضارة، وأنشطة اتصالات البرامج الضارة خلف المضيفين المخترقين الذين يعملون كوكلاء. الغرض من استخدام شبكة Fast Flux هو جعل الاتصال بين البرامج الضارة وخادم القيادة والتحكم (C&C) الخاص بها أمرًا صعبًا لاكتشافه من قبل متخصصي الأمن.
يمكن أن تكون أسماء النطاقات أكثر صعوبة بالنسبة للمهاجم عند تغييرها، حيث سيحتاج على الأرجح إلى شراء النطاق وتسجيله وتعديله DNS السجلات. لسوء الحظ بالنسبة للمدافعين، فإن العديد من موفري DNS لديهم معايير فضفاضة ويوفرون واجهات برمجة التطبيقات (APIs) لتسهيل تغيير المجال على المهاجم.
عادةً ما يقوم المهاجمون بإخفاء النطاقات الضارة تحتها اختصارات URL. إن URL Shortener عبارة عن أداة تقوم بإنشاء عنوان URL قصير وفريد من نوعه والذي سيعيد التوجيه إلى موقع الويب المحدد المحدد أثناء الخطوة الأولى لإعداد رابط URL Shortener.
العناصر المضيفة هي الآثار أو العناصر القابلة للملاحظة التي يتركها المهاجمون على النظام، مثل قيم التسجيل أو تنفيذ العمليات المشبوهة أو أنماط الهجوم أو مؤشرات الاختراق (IOCs) أو الملفات التي أسقطتها التطبيقات الضارة أو أي شيء حصري للتهديد الحالي.
تنتمي قطع الشبكة الأثرية أيضًا إلى المنطقة الصفراء في هرم الألم. وهذا يعني أنه إذا تمكنت من اكتشاف التهديد والرد عليه، فسيحتاج المهاجم إلى مزيد من الوقت للرجوع وتغيير تكتيكاته أو تعديل الأدوات، مما يمنحك مزيدًا من الوقت للرد واكتشاف التهديدات القادمة أو معالجة التهديدات الحالية.
يمكن أن تكون قطعة أثرية الشبكة عبارة عن سلسلة وكيل مستخدم، ج2 معلومات أو أنماط URI متبوعة بطلبات HTTP POST. قد يستخدم المهاجم سلسلة وكيل مستخدم لم تتم ملاحظتها في بيئتك من قبل أو تبدو خارجة عن المألوف. يتم تعريف وكيل المستخدم بواسطة RFC2616 كحقل رأس الطلب الذي يحتوي على معلومات حول وكيل المستخدم الذي أنشأ الطلب.
يمكن اكتشاف عناصر الشبكة في Wireshark PCAPs (الملف الذي يحتوي على حزم بيانات الشبكة) باستخدام محلل بروتوكول الشبكة مثل شارك أو الاستكشاف معرفات (نظام كشف التسلل) التسجيل من مصدر مثل شخير.
MalwareBazaar و مشاركة سيئة هي موارد جيدة لتزويدك بإمكانية الوصول إلى العينات والموجزات الضارة ونتائج YARA - كل ذلك يمكن أن يكون مفيدًا للغاية عندما يتعلق الأمر بتعقب التهديدات والاستجابة للحوادث.
لقواعد الكشف سوق الكشف عن التهديدات SOC Prime هي منصة رائعة، حيث يشارك متخصصو الأمن قواعد الكشف الخاصة بهم لأنواع مختلفة من التهديدات بما في ذلك أحدث التهديدات التي يستغلها الخصوم.
يعد التجزئة الغامضة أيضًا سلاحًا قويًا ضد أدوات المهاجم. يساعدك التجزئة الغامض على إجراء تحليل التشابه - قم بمطابقة ملفين مع وجود اختلافات طفيفة بناءً على قيم التجزئة الغامضة. أحد أمثلة التجزئة الغامضة هو استخدام SSDeep; على موقع SSDeep الرسمي، يمكنك أيضًا العثور على الشرح الكامل للتجزئة الغامضة.
TTPs تعني التكتيكات والتقنيات والإجراءات. وهذا يشمل الكل ميتري مصفوفة ATT&CKوهو ما يعني جميع الخطوات التي يتخذها الخصم لتحقيق هدفه، بدءًا من محاولات التصيد الاحتيالي وحتى المثابرة وتسلل البيانات.
إذا تمكنت من اكتشاف هجمات TTP والرد عليها بسرعة، فلن تترك للخصوم أي فرصة تقريبًا للرد. على سبيل المثال، إذا كان بإمكانك اكتشاف ملف تمرير التجزئة إذا قمت بالهجوم باستخدام مراقبة سجل أحداث Windows ومعالجته، فستتمكن من العثور على المضيف المخترق بسرعة كبيرة وإيقاف الحركة الجانبية داخل شبكتك. في هذه المرحلة، سيكون أمام المهاجم خياران:
- ارجع، وقم بإجراء المزيد من البحث والتدريب، وأعد تكوين أدواتهم المخصصة
- استسلم وابحث عن هدف آخر
يبدو الخيار 2 بالتأكيد أقل استهلاكًا للوقت والموارد.
إجابات الغرفة
ما المصطلح الذي يشير إلى العنوان المستخدم للوصول إلى مواقع الويب؟
ما نوع الهجوم الذي يستخدم أحرف Unicode في اسم المجال لتقليد المجال المعروف؟
لقد قام أحد موردي الأمان بتحليل العينة الضارة لنا. قم بمراجعة التقرير هنا للإجابة على الأسئلة التالية.
يقوم الممثل بإسقاط ملف ضار قابل للتنفيذ (EXE). ما هو اسم هذا الملف القابل للتنفيذ؟
أنظر إلى هذا تقرير بواسطة فايروس توتال. كم عدد البائعين الذين يقررون أن هذا المضيف ضار؟
كم عدد طلبات POST الموجودة في لقطة الشاشة من ملف pcap؟
قم بتوفير الاسم البديل للتجزئة الغامضة بدون الاختصار
Chimera هي مجموعة قرصنة مقرها الصين وتنشط منذ عام 2018. ما اسم أداة الوصول التجارية عن بعد التي تستخدمها ج2 منارات وتسرب البيانات؟
تجول الفيديو
