چارچوب MITRE ATT&CK، رفتار مهاجمان را در تاکتیکها، تکنیکها و رویههایی (Tactics, Techniques, and Procedures – TTP) مشخص دستهبندی میکند. هدف آن، ایجاد زبانی مشترک و کمک به تحلیلگران برای شناسایی، ارزیابی و پاسخدهی به تهدیدات سایبری است.
سایت ANY.RUN که یکی از سامانههای برخط پرطرفدار تحلیل بدافزار است فهرستی از رایجترین تکنیکهای مورداستفاده بدافزارها را در سه ماهه سوم سال میلادی جاری منتشر کرده که در ادامه این مطلب به 5 مورد اول آنها پرداخته شده است.
Impair Defenses: Disable Windows Event Logging – T1562.002
مختل کردن ثبت رویدادها (Event) در سیستم عامل Windows، مهاجمان را قادر میکند تا از ذخیره سوابق در خصوص اقدامات مخرب خود بر روی سیستم قربانی جلوگیری کنند. بدون ثبت رویدادها، جزئیات مهمی مانند تلاشهای ورود به سیستم، تغییرات فایل و تغییرات سیستمی نگهداری نمیشود که این امر موجب میشود راهکارهای امنیتی و تحلیلگران با دادههای ناقص یا حذفشده روبهرو شوند.
فرایند ثبت رویدادهای Windows میتواند به روشهای مختلفی دچار اختلال شود؛ برای مثال، از طریق تغییر کلیدهای Registry یا استفاده از دستوراتی مانند “net stop eventlog”. دستدرازی به Group Policy نیز یک روش معمول دیگر است.
از آنجا که بسیاری از سازوکارهای امنیتی برای کشف فعالیتهای مشکوک به تحلیل گزارشها وابسته هستند، بکارگیری این روش میتواند منجر به فعال ماندن طولانیمدتتر بدافزار بدون ایجاد حساسیت شود.
Command and Scripting Interpreter: PowerShell – T1059.001
PowerShell یک زبان اسکریپتنویسی و شل خطفرمان با قابلیتهای متعدد است که در نسخههای جدیدتر Windows به صورت پیشفرض وجود دارد. مهاجمان از این ابزار معتبر، جهت اجرای انجام انواع مختلف فرامین مخرب استفاده میکنند؛ از جمله دستکاری تنظیمات سیستم، استخراج دادهها و ایجاد دسترسی دائمی به ماشینهای آلودهشده.
Command and Scripting Interpreter: Windows Command Shell, T1059.003
مهاجمان از ابزار چندمنظوره cmd.exe برای انجام اموری همچون مدیریت فایلها و اجرای اسکریپتها سوءاستفاده میکنند.
از آنجا که cmd.exe یک ابزار معتبر و پرکاربرد است، فرامین مخرب اجراشده توسط آن میتوانند با فرامین معتبر ترکیب شوند و شناسایی و واکنش به تهدیدات را برای محصولات و سامانههای امنیتی دشوارتر کنند. به عبارت دیگر، استفاده گسترده از آن توسط راهبران، آن را به یک انتخاب جذاب برای پنهانسازی اقدامات مخرب تبدیل کرده است.
ضمن آن که مهاجمان میتوانند از تکنیکهای پنهانسازی در فرامین فراخوانیشده در cmd برای فریب سازوکارهای شناسایی استفاده کنند.
Masquerading: Rename System Utilities, T1036.003
مهاجمان ابزارهای سیستمی معتبر را تغییر نام میدهند تا از محصولات امنیتی که مربوط به استفاده از آن ابزارها هستند، عبور کنند. مکانیسمهای نظارت و کنترل امنیتی برای ابزارهای سیستمی وجود دارد که مهاجمان قادر به سوءاستفاده از آنها هستند. ممکن است با تغییر نام ابزار، قبل از استفاده (مثلاً تغییر نام rundll32.exe) امکان دور زدن این مکانیسمهای امنیتی وجود داشته باشد. در حالت دیگر، زمانی که یک ابزار معتبر کپی یا جابهجا میشود و به دایرکتوری دیگری منتقل شده، تغییر نام داده میشود. ممکن است از این روش برای اجتناب از شناسایی بر اساس اجرای ابزارهای سیستمی از مسیرهای غیراستاندارد استفاده شود.
Virtualization/Sandbox Evasion: Time Based Evasion – T1497.003
فرار مبتنی بر زمان، تکنیکی است که بدافزارها برای جلوگیری از شناسایی توسط محصولات امنیتی که به استفاده از سندباکس وابسته هستند، به کار میبرند. بسیاری از سندباکسها دورههای نظارتی محدودی دارند که معمولاً فقط چند دقیقه طول میکشند. با به تأخیر انداختن اجرای کد مخرب، بدافزار میتواند از شناسایی در این بازه زمانی اجتناب کند.
هدف دیگر این تکنیک این است که بدافزار در طول تحلیل اولیه بهعنوان یک تهدید بیضرر به نظر برسد که احتمال شناسایی آن بهعنوان یک فعالیت مشکوک را کاهش میدهد. به تأخیر انداختن اجرا میتواند شبیهسازی رفتارهای اولیه بیخطر را برای ابزارهای تحلیل رفتاری دشوارتر کند و از همزمانی رفتار اولیه بیخطر با فعالیتهای مخرب بعدی جلوگیری کند.
بدافزارها معمولاً برای تکمیل فرایند آلودهسازی به چندین جزء یا فایل نیاز دارند. تأخیرها میتوانند به همزمانی اجرای بخشهای مختلف بدافزار کمک کنند. بهعنوان مثال، اگر بدافزار نیاز به دانلود اجزای اضافی از یک سرور راه دور داشته باشد، تأخیر میتواند تضمین کند که این اجزا بهطور کامل دانلود شده و آماده اجرا قبل از اینکه کد اصلی مخرب اجرا شود، خواهند بود.
مشروح گزارش سایت ANY.RUN در لینک زیر قابل مطالعه است:
https://any.run/cybersecurity-blog/malware-trends-report-q3-2024