گزارش دیجیتال فارنزیک - بخش سوم

در سال‌های اخیر، سوءاستفاده از سرویس‌های در معرض اینترنت به‌ویژه سرویس‌هایی که به‌درستی Harden نشده‌اند، به یکی از رایج‌ترین نقاط ورود مهاجمان تبدیل شده است. RDP، به‌عنوان یکی از پرکاربردترین سرویس‌های ارتباط از راه دور، بارها هدف حملاتی قرار گرفته که هدف اولیه‌ی آن‌ها نه تخریب فوری، بلکه بهره‌برداری پنهان و بلندمدت از منابع سازمان بوده است.

این گزارش نمونه‌ای واقعی از چنین سناریویی را بررسی می‌کند؛ جایی که یک مهاجم با حداقل سر و صدا، زیرساخت را به ابزاری برای استخراج رمزارز تبدیل کرده است.

گزارش “SQL Server or the Miner in the Basement” که توسط The DFIR Report منتشر شده، روایتی مرحله‌به‌مرحله از یک رخداد پاسخ‌گویی به حادثه (Incident Response) است که در آن، دسترسی اولیه از طریق سروری که سرویس RDP روی آن باز بوده، به‌دست آمده و سپس زنجیره‌ای از فعالیت‌ها شامل اجرای دستورات سیستم‌عامل، استقرار بدافزار استخراج رمزارز و تلاش برای ماندگاری (Persistence) در محیط انجام شده است.

نکته‌ی قابل‌توجه این حادثه، سادگی تکنیک‌ها در کنار اثربخشی بالای آن‌هاست؛ موضوعی که نشان می‌دهد مهاجمان لزوماً به ابزارهای پیچیده نیاز ندارند.

اهمیت این گزارش تنها در شناسایی یک ماینر مخفی خلاصه نمی‌شود، بلکه در نحوه‌ی کشف، تحلیل شواهد، و بازسازی زنجیره‌ی حمله است.

از لاگ‌های و رویدادهای ویندوز گرفته تا رفتارهای غیرعادی پردازشی، این گزارش دید مناسبی به تیم‌های SOC، DFIR و Detection Engineering می‌دهد تا بتوانند نشانه‌های مشابه را در محیط‌های خود شناسایی کنند. ترجمه‌ی این گزارش با هدف انتقال همین بینش‌ها انجام شده است؛ بینش‌هایی که می‌توانند مستقیماً به بهبود کشف، پاسخ‌گویی و حتی پیشگیری از حملات مشابه کمک کنند.

به منظور دانلود نسخه کامل این گزارش به لینک زیر مراجعه نمایید:

دانلود گزارش دیجیتال فارنزیک بخش سوم