حملات مبتنی بر دسترسی به اعتبارنامه از رایجترین روشهای نفوذ به حسابهای کاربری هستند و معمولاً با حدسزدن مکرر رمز عبور یا آزمودن رمزهای رایج روی چندین حساب انجام میشوند. در این بخش از مجموعه، به بررسی دو تکنیک مهم یعنی Brute Force و Password Spraying میپردازیم؛ حملاتی که مهاجم با استفاده از ابزارهایی مانند Hydra و Medusa تلاش میکند کنترل حسابها را بهدست آورد. همچنین روشهای پیشگیری، رویدادهای تشخیصی مانند Event ID 4625 و 4624 و نگاشت این رفتارها در چارچوب MITRE ATT&CK را مرور میکنیم تا شناسایی و مقابله با این تهدیدها سادهتر و دقیقتر شود.
26 - Brute Force:
ابزارHydra, Medusa:
جلوگیری :
1-محدودیت تلاش ورود
2-استفاده از MFA
Event ID مرتبط :
4625 : Failed Logon
4624 :برای تشخیص موفقیت بعد از چند شکست
MITRE TTP :
Tactic: Credential Access
Technique: T1110 – Brute Force
: Procedure آزمودن تعداد زیادی از ترکیبهای نام کاربری و رمز عبور برای دستیابی به حساب .
Splunk Query :
index=wineventlog EventCode=4625
| stats count by Account_Name, Ip_Address
| where count > 10
توضیح : شناسایی تعداد زیادی تلاش ناموفق ورود از یک IP یا برای یک حساب خاص.
___________________________________________________________________
27 -Password Spraying :
ابزارCrackMapExec, Burp Suite :
جلوگیری : 1 -قفل حساب بعد از چند تلاش
2 - MFA
Event ID :
4625
MITRE TTP :
Tactic: Credential Access
Technique: T1110.003 – Brute Force: Password Spraying
: Procedure امتحان کردن پسوردهای رایج روی تعداد زیادی حساب برای جلوگیری از قفل شدن سریع
Splunk Query :
index=wineventlog EventCode=4625
| stats dc(Account_Name) as UniqueUsers by Ip_Address
| where UniqueUsers > 5
توضیح : شناسایی IP هایی که تلاش میکنن به چند حساب مختلف وارد بشن .
__________________________________________________________________
28 - Exploitation of Unpatched Vulnerabilities :
ابزارMetasploit :
جلوگیری :
-1بروزرسانی منظم سیستم
-2اسکن آسیبپذیری
-3مانیتور رفتار غیرعادی سیستم بعد از Patch Tuesday
4-بررسی تغییرات مشکوک در فایلها یا پور تها باEDR/Sysmon
MITRE TTP :
Tactic: Initial Access / Privilege Escalation
Technique:T1203 – Exploitation for Client Execution
: Procedure بهره برداری از آسیب پذیری های شناخته شده که هنوز وصله نشد هاند برای اجرای کد مخرب .
___________________________________________________________________
29 -Zero-Day Exploits :
ابزار Exploit custom:
جلوگیری :
1 -استفاده از EDR
2 -اجرای قانون Least Privilege
3 -تشخیص رفتار غیرعادی
4 -بررسی Process هایی که به اینترنت وصل میشن یا DLL مشکوک لود میکنن.
MITRE TTP :
Tactic: Initial Access
Technique: T1203 – Exploitation for Client Execution (variant)
: Procedure استفاده از آسیبپذیریهای ناشناخته یا وصل هنشده برای نفوذ بدون شناسایی .
___________________________________________________________________
30 - Remote Code Execution (RCE) :
ابزارMetasploit, CURL with payload:
جلوگیری :
1-فیلتر ورود ی
-2غیرفعال کردن eval ها
Event ID :
4688 : اجرای کد از راه دور
Sysmon ID 1, 3
MITRE TTP :
Tactic: Execution
Technique: T1203 – Exploitation for Client Execution
Procedure :اجرای کد مخرب از راه دور روی سیستم قربانی با استفاده از آسیب پذیری ها.
Splunk Query :
index=wineventlog EventCode=4688
| where Parent_Process_Name IN ("w3wp.exe", "tomcat.exe") AND Command_Line="*cmd "*
توضیح : کدی که توسط سروی سهای وب اجرا شده بدون اطلاع قبلی .


