لاحظنا أنك تحجب الإعلانات

واصل دعمك للصحافة اللائقة بتعطيل أدوات حجب الإعلانات

في حال وجود استفسار عن سبب ظهور هذه الرسالة ، اتصل بنا

حجم الخط

- Aa +

الخميس 28 Jun 2018 03:45 م

حجم الخط

- Aa +

رأي: عندما يصبح الاختراق الأمني مطلباً

الجزء الثاني من مقال: الفريق الأحمر للهجمات الافتراضية: عندما يصبح الاختراق الأمني مطلباً

رأي: عندما يصبح الاختراق الأمني مطلباً
بقلم: محمد أبو خاطر، نائب الرئيس لمنطقة الشرق الأوسط وإفريقيا لدى فاير آي. (الجزء الثاني)

في الجزء الأول من مقالتنا هذه حول التنظيم الأحمر، قمنا بشرح وتفصيل هذا المفهوم، وتوضيح الفرق ما بين عمليات التقييم التي يقوم بها الفريق الأحمر وعمليات الاختراق التجريبية، إلى جانب استعراض بعض التقنيات التي يستعين بها أعضاء الفريق الأحمر لتحقيق أهدافهم.

الأدوات والبرامج التي يستعين بها الفريق الأحمر
استناداً لنقاشنا في الجزء الأول من هذا المقال، نجد بأن الوسائل والتقنيات والإجراءات TTPs المتبعة من قبل الفريق الأحمر تختلف وفقاً للأهداف الموضوعة، وقواعد الاختراق، ومستوى مهارة ونضج العميل. فعلى سبيل المثال، قد يُطلب من بعض الفرق الحمراء إرسال إشعار والحصول موافقة مسبقة قبل الوصول إلى مجموعة معينة من الأنظمة، بينما قد تسمح الشركات الأخرى للفريق الأحمر باختراق أي نظام على الشبكة من أجل تحقيق الهدف.

ملاحظة: لا يُسمح لمعظم الفرق الحمراء بتنفيذ هجمات واسعة النطاق وقوية على غرار هجمات حجب الخدمة DoS، أو هجمات حجب الخدمة الموزعة DDoS، لأن الهدف لا يتطلب بالضرورة تعطيل وإيقاف الخدمة. وفيما يلي بعض الأدوات والبرامج التي قد يلجأ لاستخدامها الفريق الأحمر كي يتمكن من إنجاز مهمته:

• Mimikatz: برنامج رائج يُستخدم لاستعادة كلمات المرور، فهو يتيح إمكانية استعادة كلمات المرور ضمن ملف نصي عادي من العمليات المختلفة لنظام التشغيل ويندوز.

• FiercePhish: منصة تُستخدم لأتمتة إعدادات البنية التحتية لعمليات الاحتيال، وهي تتضمن قوالب خاص بالرسائل الاحتيالية عبر البريد الإلكتروني، كما أنها تتحلى بالقدرة على إرسال حملات رسائل احتيالية هائلة عبر البريد الإلكتروني، مع إمكانية تتبع مستوى التقدم الذي حققته مختلف الحملات الاحتيالية المطروحة.

• Invoke-Obfuscation: برنامج يعمل على تشفير النصوص البرمجية لمنصة PowerShell كي يتم تخطي الضوابط الأمنية لهذه المنصة، والضوابط الأمنية لبرامج الحماية الأخرى في الطرفيات.

• ReelPhish: برنامج يتيح إمكانية إنشاء صفحة احتيالية (مشابهة للحقيقية) قادرة على تجاوز آليات المصادقة من مرحلتين، حيث يتم إغراء المستخدم بواسطة رسالة احتيالية عبر البريد الإلكتروني بالدخول إلى الصفحة الاحتيالية، وهناك سيقوم بإدخال بيانات الوصول الخاصة به والرمز الخاص بمرحلتي المصادقة. أخيراً، سيتيح الرمز الخاص بالمصادقة ضمن الموقع الحقيقي للفريق الأحمر إمكانية الدخول إلى الشبكة. ويشار إلى أن برنامج ReelPhish قابل للتهيئة (التكوين) بالنسبة لمعظم التطبيقات الملحقة بعمليات مصادقة متعددة المراحل.

• Nmap: تطبيق يُستخدم لفحص المنافذ، وبإمكانه أيضاً اكتشاف المضيف وتعداد الشبكة. ومع ذلك، يتم إجراء معظم الاختبارات يدوياً لتجنب تقنيات الكشف المبكر.

• حزمة البرامج الخدمية الأساسية لنظام التشغيل ويندوز: وهي جميع البرامج الخدمية المدمجة ضمن نظام التشغيل ويندوز، بما فيها nslookup وRDP وWMIC وSC وPowerShell وNetstat وNET، وغيرها الكثير. حيث يتم استخدام حزمة البرامج الخدمية الأساسية هذه على امتداد مختلف مراحل دورة حياة الهجوم، ومنها مرحلة تثبيت الهجمة المستمرة والتسلسل الجانبي (الثانوي).

• خوادم التحكم والأوامر C2: برمجة طروادة RATs خبيثة مدمجة داخلياً تعمل عن بعد، وتستخدم أحمالاً واتصالات مشفرة للوصول عبر خوادم التحكم والأوامر C2 إلى الشبكة، حيث يتم استغلال حركة بيانات خوادم التحكم والأوامر C2 للاتصال بأنظمة الضحية انطلاقاً من شبكة الإنترنت.

ومن جوانب العمل الأخرى والهامة للتنظيم الأحمر معرفة الوسائل والتقنيات والإجراءات TTPs التي تستخدمها الجهات المهاجمة اليوم، وليس التقنيات القديمة المستخدمة قبل عامين. وستساهم عملية استقصاء البيانات المجموعة من الحوادث والتحقيقات الأولية في رسم هذه الرؤية التي يستطيع الفريق الأحمر الاستعانة بها لتصميم تقنياته الخاصة. ولا تمتلك سوى الشركات الأمنية القادرة على الوصول إلى مثل هذه البيانات المستقصاة إمكانية اختبار القدرات الدفاعية الخاصة لعملائها.

ما هي الخطوة التي يتوجب على الفريق الأحمر اتخاذها بعد الحصول على موطئ قدم أولي في الشبكة؟
يجب على الفريق الأحمر تعزيز وجوده في الشبكة والتعامل مع هدفه الحالي بحرص ودقة بمجرد وصوله إلى شبكة الشركة، فبعد إتمام عملية الوصول الأولية إلى شبكة الشركة، غالباً ما يقوم الفريق الأحمر باتباع سلسلة الخطوات المدرجة أدناه:

1. تثبيت الدخول القائم على الاستضافة
2. استكشاف الدليل النشط
3. رفع مستوى الامتيازات القائمة على الاستضافة
4. الحركة بشكل جانبي (ثانوي)
5. رفع مستوى الامتيازات القائمة على الشبكة (مسؤول النطاق)
6. عمليات استكشاف إضافية لتحديد الأهداف الهامة
7. تحقيق الهدف

كما تختلف الطرق المستخدمة لإجراء هذه الخطوات من عملية إلى أخرى. فعادةً، لا يتم إجراء عمليات فحص وكشف واسعة النطاق، ولا يتم إجراء الحركة الجانبية للتسلسل إلى المضيف الجديد إلا بعد منح الفريق إمكانية الوصول إلى بيانات الاعتماد الهامة.

وغالباً ما يستغل الفريق الأحمر المتمرس عمليات التهيئة (التكوين) الخاطئة، عوضاً عن الثغرات الأمنية، فعادةً لا يتم الكشف عن عمليات التهيئة (التكوين) الخاطئة من قبل برامج فحص واكتشاف الثغرات الأمنية. علاوةً على ذلك، من الصعوبة بمكان معرفة فيما إذا كانت الجهات المهاجمة قد قامت باستغلال عمليات التهيئة الخاطئة عوضاً عن القيام بعمليات فحص واكتشاف الثغرات الأمنية في الشبكة. بالإضافة إلى ذلك، عادةً ما توفر عمليات التهيئة (التكوين) الخاطئة مساراً مباشراً للفريق الأحمر يستطيع من خلاله تعديل وضمان صلاحيات مسؤول النطاق.

بعد ذلك، وحالما يتم تحديد الهدف في الشبكة من قبل الفريق، مع تأمين مسار الوصول، يتم استغلال خوادم التحكم والأوامر C2 من أجل اتمام عملية الاختراق.

ما هي الشروط الواجب تحقيقها ليصبح المرء أحد أعضاء الفريق الأحمر؟
يجب أن يتحلى أعضاء الفريق الأحمر المتمرسين بالمعرفة والخبرة الواسعة بالوسائل والتقنيات والإجراءات TTPs التي تستخدمها الجهات المهاجمة، وعادةّ ما ينحدر معظم أعضاء الفريق الأحمر من أشخاص تقلدوا مناصب مثل إدارة الأنظمة أو تطوير البرامج، فهذه الخلفية المعرفية مهمة للغاية، لأنه يتوجب على الفريق الأحمر معرفة كيفية تحليل شفرة المصدر، وإدارة النظام، وآليات الربط الشبكي، والبرمجة، والهندسة العكسية لفك البرامج الخبيثة، وتقنيات الاختراق المتطورة. فليس بالإمكان الاستفادة من الآلية الوظيفية إذا لم يدرك العضو بالفريق الأحمر كيفية عملها، كما أن الخبرة في هذه المجالات لا تساعد الفريق الأحمر على التنقل والحركة بهدوء ودون إثارة الانتباه في الشبكات الأخرى فحسب، لكنها تساعده أيضاً على البقاء متخفياً لفترة من الزمن.

علاوةً على ذلك، تساعد هذه المعرفة أيضاً أعضاء الفريق الأحمر على تطوير الأدوات والبرامج التي سيستخدمها في مهمات الاختراق الافتراضية التي يقوم بها، وبما أن بنية وطبيعة كل شبكة تختلف عن الأخرى، من المفيد أن يتحلى أعضاء الفريق الأحمر بمجموعة واسعة ومتنوعة من المهارات، بما فيها المهارات الاعتيادية البسيطة مثل التواصل الجيد، واتباع التعليمات، واتقان الطباعة بشكل جيد، فهذه المهارات مهمة جداً عند صياغة ومعالجة مرحلة الهندسة الاجتماعية من الهجوم. وبهذه الطريقة، سيحظى الفريق بفرصة أكبر للتغلب على أي ضوابط أمنية قد تواجهه. وبعد استعراض جميع هذه الخطوات، يبدو أننا قمنا برسم خطة جيمس بوند الخاصة بعمليات القرصنة! أليس كذلك؟

الأفكار الختامية
استناداً لنتائج تقرير M-Trends للعام 2018، نجد بأن متوسط الفترة الزمنية العالمية المستغرقة من نجاح عملية الاختراق إلى اكتشاف عملية الاختراق هي 101 يوماً، وترتفع هذه الفترة إلى 175 يوماً في منطقة أوروبا والشرق الأوسط وإفريقيا، وإلى 498 يوماً في منطقة آسيا والمحيط الهادئ.

وفي الوقت نفسه، وبمعدل متوسط، يستطيع أعضاء الفريق الأحمر الاستحواذ على بيانات اعتماد المسؤول عن النطاق في غضون ثلاثة أيام فقط من اتمام عملية الاختراق الأولية (أي، مرحلة الوصول الأولي إلى البيئة المستهدفة). وفي حال عدم وجود آليات فحص وكشف جيدة الأداء يتمكن أعضاء الفريق الأحمر من اختراقها، فإن الجهات المهاجمة سيتسنى لها المزيد من الوقت لاستكشاف البيئة المستهدفة، والقيام بعمليات تجسس محتملة على المؤسسة، وسرقة البيانات الهامة.

بالنتيجة، عمليات الاختراق التي يقوم بها الفريق الأحمر جديرة بالاهتمام من قبل المؤسسات التي تسعى إلى حماية أصولها القيمة، سواءً كانت عبارة عن حماية الملكيات الفكرية ضد عمليات التجسس الاقتصادي، أو حماية البيانات الشخصية من قراصنة الإنترنت، فالعديد من المؤسسات تملك بيانات قيمة يستهدفها المجرمون. بالمقابل، سيواصل المهاجمون مسيرة تطوير الوسائل والتقنيات والإجراءات TTPs التي يتبعونها، لذلك ينبغي على المؤسسات مواكبة هذا الأمر. بالإضافة إلى أن عمليات الاختراق التجريبي في ظل الظروف الواقعية التي يقوم بها الفريق الأحمر تعتبر طريقة رائعة وفعالة لاتخاذ الخطوة التالية لتعزيز المستويات الأمنية في المؤسسة، ومن الأفضل الحصول على تقرير مفصل بثغراتك الأمنية عوضاً عن تصدر العناوين الرئيسية للأخبار.