فرار دفاعی (Defense Evasion) چیست؟

ما در این مقاله توضیحات مختصری درمورد تاکتیک فرار دفاعی (Defense Evasion) داده و مهم‌ترین تکنیک‌های آن را به صورت مجزا توضیح می‌دهیم.
تصویر شاخص مقاله فرار دفاعی

در این مقاله می‌خوانیم

فرار دفاعی (Defense Evasion) چیست؟

تاکتیک فرار دفاعی (Defense Evasion) شامل تکنیک‌هایی است که هکرها برای اجتناب از دفاع فنی در طول تلاش خود برای نفوذ به سیستم، از آن‌ها استفاده می‌کنند. تکنیک‌های مورد استفاده برای فرار دفاعی شامل حذف شاخص‌های سازش، جعل ارتباطات، و بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری است. این تاکتیک، یکی از راهکارهای عملیات تیم قرمز است که توسط متخصصین تیم قرمز(Red Team) در امنیت سایبری انجام می‌شود.

اگر هنوز با مفهوم امنیت سایبری آشنایی کافی ندارید، پیشنهاد ما به شما:

مطالعه مقاله امنیت سایبری و حقایق آن در سال 2022 است

به بیان دیگر در این تاکتیک، کلیه تکنیک‌های درهم‌سازی، ساز و کار و حمله برای دور زدن یا (Bypass) نمودن سیستم‌های امنیتی مورد بررسی قرار می‌گیرد. از نرم‌افزار‌های امنیتی که با استفاده از تکنیک‌های این تاکتیک می‌توان به Antivirus یا EDR اشاره نمود. به صورت عمومی روش‌های این تاکتیک شامل تکنیک‌های تغییر کانال، تغییر ساز و کار، رمزنگاری و مبهم‌سازی، استفاده از قابلیت‌های سیستم عامل و یا عدم تنظیمات صحیح امنیتی هستند.

هکری در حال تخریب تکنیک فرار دفاعی

تکنیک‌های فرار دفاعی (Defense Evasion)

برخی از این تکنیک‌ها عبارتند از:

1. تضعیف مکانیزم‌های دفاعی (Impair Defenses)

در این تکنیک، کلیه روش‌های حذف و یا تغییر در سیستم‌های امنیتی، مورد بررسی قرار می‌گیرد. همچنین سعی در بارگزاری سیستم در وضعیت بدون سیستم‌های امنیتی، مانند Safe Mode Boot می‌گردد. برای مثال با استفاده از روش جدا و وصل نمودن باتری BIOS و همچنین ابزارهایی مانند Kon-Boot، امکان bypass کلمه عبور سیستم و راه‌اندازی سیستم در وضعیت Safe Mode وجود دارد. بسیاری از مکانیزم‌های امنیتی در وضعیت Safe Mode راه‌اندازی نمی‌شود و امکان دسترسی مهاجم به حالت غیرمحافظت شده را برای مهاجم به وجود می‌آورد.

2. تغییر در توکن دسترسی (Access Token Manipulation)

در این تکنیک، با استفاده از توکن‌های تاثیر گذار، ساز و کار حمله و shellcode مربوطه برای چرخه حمله جایگذاری می‌شود. برای مثال با سرقت و اجرا shellcode مخرب داخل فرآیندهای تعریف شده در Whitelist، امکان اجرا shellcode بدون هیچگونه محدودیت پیرو فرآیند وجود دارد.

a hacker use a viruse for system security

3. استفاده از حساب کاربری معتبر (Valid Accounts)

در این تکنیک، با استفاده از کاربرهای موجود و یا ایجاد حساب کاربری معتبر که محدودیت‌های امنیتی بر روی آن اعمال نشده است، عملیات انجام می‌گردد. برای مثال با دسترسی به کاربر مشخص و اجرای payload مخرب، بدون هیچگونه محدودیت در اجرا می‌توان محدودیت‌های اعمال شده را bypass نمود.

4. ویرایش محدودیت‌های امنیتی

یکی از پرکاربرد‌ترین روش‌ها در تاکتیک فرار دفاعی (Defense Evasion)، دسترسی و تغییر در هرگونه وضعیت موثر در شناسایی تهدید و همچنین ایجاد ساز و کار مرتبط برای bypass نمودن روال مربوطه است. به طوریکه بسیاری از گروه‌های APT با دسترسی به انواع AV, EDR و اطلاع از رویکرد دفاعی آن‌ها، payload حمله را به نوعی تولید و اجرای می‌نمایند که فرآیند به صورت مخرب شناسایی نشود.

پیمایش به بالا