تصویر مرتبط با حملات Brute Force و Password Spraying، ورود غیرمجاز و امنیت حساب کاربری

حملات مبتنی بر دسترسی به اعتبارنامه از رایج‌ترین روش‌های نفوذ به حساب‌های کاربری هستند و معمولاً با حدس‌زدن مکرر رمز عبور یا آزمودن رمزهای رایج روی چندین حساب انجام می‌شوند. در این بخش از مجموعه، به بررسی دو تکنیک مهم یعنی Brute Force و Password Spraying می‌پردازیم؛ حملاتی که مهاجم با استفاده از ابزارهایی مانند Hydra و Medusa تلاش می‌کند کنترل حساب‌ها را به‌دست آورد. همچنین روش‌های پیشگیری، رویدادهای تشخیصی مانند Event ID 4625 و 4624 و نگاشت این رفتارها در چارچوب MITRE ATT&CK را مرور می‌کنیم تا شناسایی و مقابله با این تهدیدها ساده‌تر و دقیق‌تر شود.

26 - Brute Force:

ابزارHydra, Medusa:

جلوگیری :

1-محدودیت تلاش ورود

2-استفاده از MFA

Event ID مرتبط :

4625 : Failed Logon

4624 :برای تشخیص موفقیت بعد از چند شکست

 

MITRE TTP :

Tactic: Credential Access

Technique: T1110 – Brute Force

 

: Procedure آزمودن تعداد زیادی از ترکیبهای نام کاربری و رمز عبور برای دستیابی به حساب .

 

 Splunk Query :

 

index=wineventlog EventCode=4625

| stats count by Account_Name, Ip_Address

| where count > 10

 

توضیح : شناسایی تعداد زیادی تلاش ناموفق ورود از یک IP یا برای یک حساب خاص.

___________________________________________________________________

27 -Password Spraying :

ابزارCrackMapExec, Burp Suite  :

جلوگیری : 1 -قفل حساب بعد از چند تلاش

2 - MFA

Event ID :

4625

 

MITRE TTP :

Tactic: Credential Access

Technique: T1110.003 – Brute Force: Password Spraying

 

 : Procedure  امتحان کردن پسوردهای رایج روی تعداد زیادی حساب برای جلوگیری از قفل شدن سریع

 

Splunk Query :

 

index=wineventlog EventCode=4625

| stats dc(Account_Name) as UniqueUsers by Ip_Address

| where UniqueUsers > 5

 

توضیح : شناسایی IP هایی که تلاش میکنن به چند حساب مختلف وارد بشن .

__________________________________________________________________

28 - Exploitation of Unpatched Vulnerabilities :

ابزارMetasploit :  

جلوگیری :

-1بروزرسانی منظم سیستم

-2اسکن آسیبپذیری

-3مانیتور رفتار غیرعادی سیستم بعد از Patch Tuesday

4-بررسی تغییرات مشکوک در فایلها یا پور تها باEDR/Sysmon 

 

MITRE TTP :

Tactic: Initial Access / Privilege Escalation

Technique:T1203 – Exploitation for Client Execution

 

:  Procedure  بهره برداری از آسیب پذیری های شناخته شده که هنوز وصله نشد هاند برای اجرای کد مخرب .

___________________________________________________________________

29 -Zero-Day Exploits :

ابزار Exploit custom:

جلوگیری :

1 -استفاده از EDR

2 -اجرای قانون Least Privilege

3 -تشخیص رفتار غیرعادی

4 -بررسی Process هایی که به اینترنت وصل میشن یا DLL مشکوک لود میکنن.

 

MITRE TTP :

Tactic: Initial Access

Technique: T1203 – Exploitation for Client Execution (variant)

 

 : Procedure  استفاده از آسیبپذیریهای ناشناخته یا وصل هنشده برای نفوذ بدون شناسایی .

___________________________________________________________________

30 - Remote Code Execution (RCE) :

ابزارMetasploit, CURL with payload:  

جلوگیری :

1-فیلتر ورود ی

-2غیرفعال کردن eval ها

 

Event ID :

4688 : اجرای کد از راه دور

Sysmon ID 1, 3

 

MITRE TTP :

Tactic: Execution

Technique: T1203 – Exploitation for Client Execution

 

 Procedure :اجرای کد مخرب از راه دور روی سیستم قربانی با استفاده از آسیب پذیری ها.

 

Splunk Query :

index=wineventlog EventCode=4688

| where Parent_Process_Name IN ("w3wp.exe", "tomcat.exe") AND Command_Line="*cmd "*

 

توضیح : کدی که توسط سروی سهای وب اجرا شده بدون اطلاع قبلی .

 

نظرات کاربران

اخبار و رسانه های مرتبط

مشاهده همه