"إسيت" : التهديدات السيبرانية المستمرة والهجوم على الدولة: أستراليا تحت خط النار

  • كتب : محمود الضبع

    في الوقت الذي أطلق فيه رئيس الوزراء الأسترالي "سكوت موريسون" تحذيرًا بشأن الهجمات السيرانية ضد الدولة القومية التي تستهدف البنية التحتية الحيوية، أصدر مركز الأمن السيبراني الأسترالي تقرير تفصيلي للأساليب والتقنيات والإجراءات التي تمت ملاحظتها في تلك الهجمات.

     

    يحذر التقرير الصادر من مركز الأمن السيبراني الأسترالي (ACSC) من أن الهجمات الشديدة التعقيد تجري حاليًا ضد المؤسسات في أستراليا. انتهكت الجهات الفاعلة بنجاح عددًا من الشبكات وتستخدم تقنيات " living off the land " للتجسس والتسلل للبيانات، بينما تحاول البقاء بعيدًا عن الكشف.

     

    وتقنيات الهجوم "Living off the land" هي استراتيجية نموذجية لمجموعات التهديدات المستمرة المتقدمة (APT)؛ تتكون الإستراتيجية من استخدام أدوات مساعدة النظام القياسية وأدوات شرعية من طرف ثالث لإجراء هجوم سيبراني. هذا يساعد على تجنب الكشف السهل. كما قامت الجهات الفاعلة في مجال التهديد باختراق مواقع الويب الأسترالية الشرعية من أجل استخدامها كخوادم للتحكم وإصدار الأوامر، وبالتالي إخفاء اتصالها الضار بشكل أفضل.

    ننصح المؤسسات  بمراجعة مؤشرات التوافق التي أصدرها مركز الأمن السيبراني الأسترالي.

    ومن أجل الحصول على رؤية شاملة وفورية لنقاط النهاية التي يحتمل أن تكون مخترقة، لا توجد أداة تخدم أفضل من حلول الكشف والاستجابة لنقاط النهاية (EDR). كما جاء في تقرير "فوريستر للتقنية لشهر فبراير 2020: الكشف و الإستجابة للشركات"، وذكر في تقريرها للربع الأول من 2020: "إحدى الفوائد الرئيسية لمنتجات الكشف والاستجابة لنقاط النهاية هي القدرة على البحث عن مؤشرات تدل على أن مخترق قد استعصى على ضوابط الأمن الخاصة بك وأنه متواجد في أعماق بنيتك التحتية".

     

    "التحقق من إسيت" (EEI) هو حل الكشف والاستجابة لنقاط النهاية التي تقدمها شركة «إسيت»وهو مصمم خصيصًا لاكتشاف الأساليب والتقنيات والإجراءات المستخدمة في الهجمات المستهدفة من قبل مجموعات التهديدات المستمرة المتقدمة. يوفر نشر EEI في بيئتك فائدتين رئيسيتين:

    1. رؤية فورية للأحداث القائمة على نقاط النهاية

    لا شيء يجعل وظيفة المستجيب للحادث السيبراني أسهل من أداة يمكن أن تتكامل بسهولة مع الأدوات أخرى، وتوفر سياقًا غنيًا للأحداث وتصفية البيانات وصولًا إلى السلوكيات المحددة التي تتخلص من وجود جهة تهديد. توفر EEI سياقًا حول طبيعة الملفات التنفيذية، بالإضافة إلى معلومات حول تسلسل العمليات والنصوص البرمجية ووسائط الأوامر والمسارات والتوقيعات والتجزئات.

    ويوفر كذلك حل EEI شفافية كاملة في قانون القاعدة، مما يسمح للمستجيبين بفهم سبب اكتشاف سلوكيات معينة. يتم تعزيز الكشف من خلال قدرات بحث وتصفية واسعة النطاق التي تساعد على تحديد سلوك الجهات الخبيثة وكشفها بسرعة.

     

    2. يطلق إنذارات تلقائية للأنشطة المشبوهة

    مدعومًا بأكثر من 30 عامًا من الأبحاث المتعلقة بالسلوكيات السيبرانية الضارة، قام فريق أبحاث البرامج الضارة التابع لشركة «إسيت» بكتابة أكثر من 300 قاعدة مخصصة تكشف تلقائيًا عن سلوكيات تظهر عادة بواسطة التهديدات المستمرة المتقدمة. يقوم محرك EEI بتقييم أحداث نقاط النهاية وفقًا للقواعد. يتم حفظ العمليات المسيئة، إلى جانب فروع العمليات الخاصة بها، لمزيد من التحقيق من قبل المستجيبين للحوادث. EEI قوي بما فيه الكفاية- على سبيل المثال- لإطلاق الإنذارات تلقائيًا على العديد من التقنيات التي حددها مركز الأمن السيبراني الأسترالي في تقريرهم:

     

    قواعد الكشف لـEEI

    مجموعة APT الصادرة من مركز الأمن السيبراني الأسترالي

     

    حملت عملية موثوقة DLL مشبوهة [B0406a] أو

    حملت عملية مقبولة لـ DLL مشبوهة [B0406b]

    (تعتمد القاعدة التي تم تشغيلها على تفاصيل الملف القابل للتنفيذ الذي تم إساءة استخدامه)

    تشغيل مشروع، قابل للتنفيذ لـبحث DLL لتشغيل عملية تسلل؛ تقوم عملية  قابلة للتنفيذ بتحميل DLL الخبيث للممثل بدلاً من DLL الشرعي المقصود

     

    1

     

     

    كشف نقطة النهاية +

    بدأت العملية غير معروفة من (٪ Temp٪) أو [Z0402]  أو

    قواعد أخرى تستند إلى سياق التنفيذ

    استخدم الممثل نسخة مجمعة مسبقًا من الملف التنفيذي JuicyPotato المتاح من مشروع JuicyPotato GitHub

    2

     

     

     

    تم تنفيذ عملية غير معروفة من المهمة المجدولة [F0411] +

    اتصال شبكة من برنامج الأداة المساعدة للنظام [A0510] +

    المهمة المجدولة عند بدء / تسجيل دخول النظام [B0101]

    (سيعتمد تفعيل القاعدة على تفاصيل السلوك للممثل)

    قام ممثل ضار باستخدام أدوات ويندوز الأصلية at.exe و schtasks.exe لتنفيذ البرنامج على المضيفين البعيدين

    3

     

     

     

     

     

     

    نشاط عام مستتر IIS - العملية الفرعية [F0403]

    عملية IIS (w3wp.exe) تولد عمليات PowerShell إما مباشرة أو عبر cmd.exe

    4

    تم تنفيذ PowerShell مع cmdline طويل [D0415] +

    يقوم Powershell.exe بإنشاء اتصال شبكة داخلي [A0502a] + قواعد أخرى تستند إلى الحمولة

    حمولة PowerShell العكسية تفرخ من cmd.exe

    5

     

     

     

    كل دقيقة تتم في التحقيق لها قيمة. يحتاج المستجيبون للحوادث إلى أدوات قوية مثل EEI لاستكمال مجموعة أدواتهم وتمكينهم من إعادة بناء الأثار السلبية التي تحدث على نقاط النهاية بطريقة سهلة وسريعة. كلما تم اكتشاف الجهات الفاعلة في مجال التهديد السيبراني بشكل أسرع، كلما تمكنا من اتخاذ خطوات علاجية أسرع للعودة إلى العمليات التجارية العادية.

    احصل على نسخة تجريبية مجانية من حل "التحقق من إسيت" (EEI) عبر الرابط.

     

     



    حمّل تطبيق Alamrakamy| عالم رقمي الآن