گزارش دیجیتال فارنزیک - بخش ششم

افزایش سوءاستفاده از دسترسی‌های RDP و ابزارهای قانونی ویندوز، به یکی از روش‌های رایج مهاجمان برای نفوذ و شناسایی شبکه‌های سازمانی تبدیل شده است.

در این نوع حملات، مهاجمان بدون استفاده از بدافزارهای پیچیده، با تکیه بر ابزارهای خط فرمان و قابلیت‌های بومی سیستم‌عامل، اقدام به جمع‌آوری اطلاعات حساس و ایجاد دسترسی پایدار می‌کنند؛ موضوعی که شناسایی آن را برای تیم‌های امنیتی دشوارتر می‌سازد.

در یکی از نمونه‌های اخیر، مهاجمی از طریق سرویس RDP موفق به ورود به یک سیستم شد. وی ابتدا با استفاده از اجرای چند دستور خط فرمان اقدام به جمع آوری اطلاعات از سیستم نموده و خارج می شود.

حدود پانزده دقیقه بعد، همان مهاجم با hostname جدیدی به نام MacBook-Pro مجدداً به سیستم متصل شد و با اجرای دستور whoami /upn تأیید کرد که سطح دسترسی خود را در محیط ویندوز بررسی کرده است.

در ادامه، این فرد ابزار AdFind را برای استخراج اطلاعات دامنه و ساختار Active Directory به کار گرفت. 

هدف از این گزارش، مستندسازی و تحلیل فنی یک نمونه نفوذ واقعی مشاهده‌شده و افزایش درک نسبت به تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) مورد استفاده مهاجمان در مرحله شناسایی پس از دسترسی اولیه است.

این گزارش تلاش می‌کند با بررسی نحوه استفاده از ابزار AdFind و الگوی رفتاری مهاجم در محیط Active Directory، به تیم‌های امنیتی در شناسایی زودهنگام چنین فعالیت‌هایی، بهبود مانیتورینگ، و تقویت کنترل‌های پیشگیرانه و تشخیصی در برابر حملات مشابه کمک کند.

به منظور دانلود نسخه کامل این گزارش به لینک زیر مراجعه نمایید:

دانلود گزارش دیجیتال فارنزیک بخش ششم