Khởi tạo truy cập ban đầu

Một phần của tài liệu NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG APT VÀ CÁCH PHÒNG CHỐNG (Trang 35 - 37)

Để có thể tấn công và khai thác được từ các giai đoạn tiếp theo, thì việc đạt được việc truy cập ban đầu vào hệ thống của nạn nhân là việc rất cần thiết. Các kỹ thuật để đạt được điều đó có thể là:

ID Tên Mô tả

T1189 Thỏa hiệp theo từng ổ đĩa

Kẻ tấn công có thể có quyền truy cập vào hệ thống thông qua người dùng truy cập vào một trang web trong quá trình duyệt thông thường. Với kỹ thuật này, trình duyệt web của người dùng thường được nhắm mục tiêu để khai thác, nhưng kẻ tấn công cũng có thể sử dụng các trang web bị xâm phạm cho hành vi không khai thác, chẳng hạn như có được Mã truy cập ứng dụng.

T1190 Khai thác ứng dụng trực tiếp công khai

Kẻ tấn công có thể cố gắng lợi dụng điểm yếu của máy tính hoặc chương trình kết nối Internet bằng cách sử dụng phần mềm, dữ liệu hoặc lệnh để gây ra hành vi ngoài ý muốn hoặc không lường trước được. Điểm yếu trong hệ thống có thể là lỗi, trục trặc hoặc lỗ hổng thiết kế. Các ứng dụng này thường là trang web, nhưng có thể bao gồm cơ sở dữ liệu (như SQL), dịch vụ tiêu chuẩn (như SMB hoặc SSH), giao thức quản lý và quản lý thiết bị mạng (như SNMP và Smart Install) và bất kỳ ứng dụng nào

khác có ổ cắm mở có thể truy cập Internet, chẳng hạn như Máy chủ web và các dịch vụ liên quan. Tùy thuộc vào lỗ hổng được khai thác, điều này có thể bao gồm cả Khai thác để tránh né phòng thủ.

T1133 Dịch vụ từ xa bên ngoài

Kẻ tấn công có thể tận dụng các dịch vụ từ xa giao diện bên ngoài để truy cập ban đầu và / hoặc tồn tại trong một mạng. Các dịch vụ từ xa như VPN, Citrix và các cơ chế truy cập khác cho phép người dùng kết nối với tài nguyên mạng nội bộ doanh nghiệp từ các vị trí bên ngoài. Thường có các cổng dịch vụ từ xa quản lý các kết nối và xác thực thông tin xác thực cho các dịch vụ này. Các dịch vụ như Quản lý từ xa của Windows cũng có thể được sử dụng bên ngoài.

T1200 Bổ sung phần cứng

Kẻ tấn công có thể đưa các phụ kiện máy tính, máy tính hoặc phần cứng mạng vào một hệ thống hoặc mạng có thể được sử dụng như một vectơ để giành quyền truy cập. Trong khi các tài liệu tham khảo công khai về việc sử dụng của các nhóm APT là khan hiếm, nhiều người kiểm tra thâm nhập tận dụng các bổ sung phần cứng để truy cập ban đầu. Các sản phẩm thương mại và mã nguồn mở được tận dụng với các khả năng như khai thác mạng thụ động, phá vỡ mã hóa man-in-the middle, đưa vào tổ hợp phím, đọc bộ nhớ hạt nhân qua DMA, thêm truy cập không dây mới vào mạng hiện có và các tính năng khác.

T1566 Lừa đảo

Kẻ tấn công có thể gửi tin nhắn lừa đảo để giành quyền truy cập vào hệ thống của nạn nhân. Tất cả các hình thức lừa đảo đều là kỹ thuật xã hội được phân phối điện tử. Lừa đảo có thể được nhắm mục tiêu, được gọi là hành động thương mại. Trong hoạt động thương mại, một cá nhân, công ty hoặc ngành cụ thể sẽ là mục tiêu của đối thủ. Nói chung hơn, kẻ tấn công có thể tiến hành lừa đảo không nhắm mục tiêu, chẳng hạn như trong các chiến dịch spam phần mềm độc hại hàng loạt.

T1091

Nhân rộng thông qua phương tiện có thể tháo rời

Kẻ tấn công có thể di chuyển vào các hệ thống, có thể là những hệ thống trên mạng bị ngắt kết nối hoặc không gian mạng, bằng cách sao chép phần mềm độc hại vào phương tiện di động và tận dụng các tính năng Tự động chạy khi phương tiện được đưa vào hệ thống và thực thi. Trong trường hợp Chuyển động bên, điều này có thể xảy ra thông qua việc sửa đổi các tệp thực thi được lưu trữ trên phương tiện di động hoặc bằng cách sao chép phần mềm độc hại và đổi tên nó để trông giống như một tệp hợp pháp để lừa người dùng thực thi nó trên một hệ thống riêng biệt. Trong trường hợp Truy cập ban đầu, điều này có thể xảy ra thông qua thao tác thủ công với phương tiện, sửa đổi hệ thống được sử dụng để định dạng ban đầu phương tiện hoặc sửa đổi đối với chính chương trình cơ sở của phương tiện đó.

T1195 Thỏa hiệp chuỗi cung ứng

Kẻ tấn công có thể thao túng sản phẩm hoặc cơ chế phân phối sản phẩm trước khi người tiêu dùng cuối cùng nhận được nhằm mục đích xâm phạm dữ liệu hoặc hệ thống.

T1199

Mối quan hệ đáng tin cậy

Kẻ tấn công có thể vi phạm hoặc lợi dụng các tổ chức có quyền truy cập vào các nạn nhân dự kiến. Truy cập thông qua mối quan hệ bên thứ ba đáng tin cậy khai thác một kết nối hiện có có thể không được bảo vệ hoặc nhận được ít sự giám sát hơn các cơ chế tiêu chuẩn để giành quyền truy cập vào mạng.

Một phần của tài liệu NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG APT VÀ CÁCH PHÒNG CHỐNG (Trang 35 - 37)

Tải bản đầy đủ (PDF)

(95 trang)