دسترسی اولیه (Initial Access) در تیم قرمز چیست؟

این مقاله به بررسی یکی از تاکتیک‌های عملیات تیم قرمز به نام دسترسی اولیه می‌پردازد، همچنین تکنیک‌های مختلف این تاکتیک را به صورت جداگانه توضیح می‌دهد.
تصویر شاخص مقاله دسترسی اولیه

در این مقاله می‌خوانیم

دسترسی اولیه (Initial Access) در تیم قرمز چیست؟

یکی از تاکتیک‌های MITRE در تیم قرمز، برای ایجاد دسترسی در سلسله مراحل حملات پیشرفته، تاکتیک دسترسی اولیه (Initial Access) است.
هدف این تاکتیک استفاده از انواع تکنیک‌ها برای ایجاد دسترسی اولیه در شبکه توسط اعضای تیم قرمز است.
از ماتریکس MITRE در فعالیت‌های گوناگونی مانند عملیات تیم قرمز (Red Team) به دلیل جامعیت و منابع مطالعاتی گوناگون استفاده می‌‎شود.

تصویری از موارد استفاده تاکتیک mitre att&ck که به این صورت است. یک کره زمین در مرکز تصویر که مانند مدار، موارد استفاده تاکتیک به دور آن تصویر شدند
تاکتیک‌های MITRE در دسترسی اولیه (Mitre ATT&CK in Red Team)

این تاکتیک شامل تکنیک‌های زیر است :

تکنیک نفوذ تصادفی (Drive-by Compromise)

تیم قرمز با آلوده‌سازی درخواست‌های مورد‌نظر در مرورگر، دسترسی اولیه را ایجاد می‌کند. درواقع، نفوذ تصادفی یا “Drive-by Compromise” به فرآیندی اطلاق می‌شود که در آن یک سیستم یا شبکه‌ی کامپیوتری بدون نیاز به تعامل فعال کاربر توسط نرم‌افزار مخرب مورد حمله قرار می‌گیرد.

در این نوع حمله، کاربران بازدید از یک سایت معتبر یا تماس با یک سرویس آنلاین را آغاز می‌کنند، اما نرم‌افزار مخرب در پس زمینه و بدون اطلاع کاربر به سیستم کاربر نفوذ می‌کند. برای مثال با استفاده از تزریق کد مخرب جاوا اسکریپت (Java Script) و یا بارگزاری آبجکت مخرب با استفاده از iframe دستور مخرب مهاجم بر روی سیستم قربانی اجرا می‌شود.

تکنیک استفاده از اپلیکیشن در دسترسی اولیه (Public Facing)

تیم قرمز با کمک بهره‌برداری از آسیب‌پذیری‌های اپلیکیشن‌ها و سرویس‌ها، دسترسی اولیه ایجاد می‌کند. برای مثال با استفاده از بهره‌برداری از آسیب‌پذیری اپلیکیشن exchange مهاجم می‌تواند در سرور مقصد، دستور سیستمی اجرا نماید. در مثال دیگر فرد می‌تواند با استفاده از آسیب‌پذیری در اپلیکیشن، سرویس SSH احراز هویت را دور بزند (bypass).

تصویری از یک سیستم با خطای acccess denied که به رنگ قرمز است

تکنیک خدمات از راه دور خارجی (External Remote Services)

در این تکنیک با استفاده از آسیب‌پذیری‌های سرویس‌های متصل کننده کاربر به شبکه داخلی، دسترسی اولیه ایجاد می‌شود. همچنین در برخی حالات تیم قرمز از این تکنیک برای persistnet نیز استفاده می‌کند. برای مثال با دسترسی vpn profile یا gateway، به شبکه داخلی راه پیدا می‌کنند. و همچنین با دسترسی به شبکه داخلی، کلیه اطلاعات مهم را با استفاده از روش‌های credential pharming بدست می‌آورند.

تکنیک سخت‌افزار اضافی در دسترسی اولیه (Hardware Additions)

تیم قرمز با اضافه کردن سخت‌افزار جانبی مانند Removable Media ویژگی‌های پیش‌فرض و یا جانبی سیستم آلوده را شناسایی کرده و دسترسی اولیه ایجاد می‌کند. در مثالی دیگر کلیه اطلاعات شبکه با اضافه نمودن سخت‌افزار جانبی، شنود می‌شود و با استفاده از شبکه موجود و یا ایجاد یک شبکه جدید، اطلاعات در اختیار اپراتور تهاجمی قرار می‌گیرد.

تکنیک فیشینگ در تیم قرمز (Phishing)

در این تکنیک تیم قرمز با استفاده روش‌های فیشینگ به کلیه اطلاعات مرتبط با کاربر و یا دارایی‌های آن دسترسی پیدا می‌کند. برای مثال با طراحی و برنامه ریزی پلن فیشینگ، کمپین مربوطه طراحی و جامعه هدف به اصطلاح seed برگزار می‌شود. همچنین با فراخوان زمان اجرا، کمپین مربوطه اجرا و دسترسی اولیه به اطلاعات و دارایی هدف ایجاد می‌گردد. برای مثال با طراحی کمپین تزریق دوز یادآورد کرونا به مجموعه‌ای از قربانیان، فایل آلوده به سیستم کاربران ارسال خواهد شد. درنهایت با اجرا فایل، دسترسی اپراتور تهاجمی به سیستم هدف آغاز می‌شود.

تکنیک تکثیر از طریق رسانه‌های قابل جابجایی (Replication Through Removable Media)

تیم قرمز در این تکنیک با اضافه نمودن Removable Media مانند فلش‌های ذخیره‌سازی، دستورات را بر روی سیستم هدف اجرا کرده که درنهایت به صورت خودکار، دسترسی اولیه ایجاد می‌شود. مثلا با متصل کردن فلش حاوی بدافزار به سیستم و اجرای خودکار بدافزار، دسترسی آعاز خواهد شد.

تکنیک تخریب زنجیره تأمین (Supply Chain Compromise)

در این تکنیک تیم قرمز با آلوده‌سازی تولید کننده نیازمندی‌های سازمان، در چرخه اتصال و با استفاده از نیازمندی دسترسی اولیه را ایجاد می‌کند. برای مثال اپراتور تهاجمی دستورات مورد‌نظر را با استفاده از دسترسی به سورس کد در اپلیکیشن، اجرا خواهد کرد. برای شناخت بیشتر این مفهوم می‌توانید مقاله حملات زنجیره تامین را مطالعه بفرمایید.

تکنیک رابطه با اعتماد (Trusted Relationship)

در این تکنیک تیم قرمز با دسترسی به شبکه‌ی متصل به دارایی‌های سازمان، دستورات اپراتور تهاجمی در کانال ارتباطی بین مبدا و مقصد را فراخوانی و اجرا می‌کند. برای مثال کلیه سیستم‌های استفاده کننده، از طریق کانال ارتباطی بین سازمان و تولید کننده نرم‌افزار‌های امنیتی، آلوده خواهند شد.

تکنیک حساب‌های معتبر در تیم قرمز (Valid Accounts)

در این تکنیک اکانت‌های کاربری موجود در سازمان، توسط تیم قرمز شناسایی و در مراحل مختلف عملیات مورد استفاده قرار می‌گیرد. برای مثال با استفاده از اکانت‌های موجود در سامانه vpn دسترسی اولیه ایجاد می‌گردد.

یک هکر با هودی که صورتش مشخص نیست و پس زمینه تصویرش نقشه کره زمین به رنگ قرمز است به همراه کدهای 0 و 1 برنامه نویسی
تیم قرمز چیست و چگونه وارد عمل می‌شود؟

عملیات تیم قرمز مجموعه‌ای از اقداماتی است که در چرخه زنجیره حمله یا Cyber Kill Chain، منجر به نشت یا حذف اطلاعات می‌گردد. کلیه فازهای عملیات تیم قرمز شامل دسترسی ابتدایی (Initial Access)، ارتقای دسترسی (Privilege Escalation)، حرکت در عمق (Lateral Movement) و انتقال اطلاعات (Exfiltration) است. عملیات تیم قرمز شبیه‌ترین حالت ممکن به عملیات‌های سایبری واقعی را دارد. همچنین با استفاده از روش‌ها و ابزار‌های عمومی و خصوصی، سناریو‌های مختلف حمله را مورد بررسی قرار می‌دهد.

پیمایش به بالا