سر فصل اول هک قانونمند مقدمه و تعاریف

حمله کننده ها با دلایل و اهداف مختلفی به سیستم ها حمله میکنند بنابراین چیزی که مهم است روش دسترسی هکرها و اهداف پشت حملات می باشد. در این فصل در مورد طبقه بندی انواع حملات، انواع هکرها، انواع روش های طبقه بندی حملات و همچنین قوانین و استاندارد های موجود صحبت خواهیم کرد.

مباحث فصل اول

1-1 عناصر امنیت اطلاعات

• 1-Confidentiality تضمین دسترسی به اطلاعات توسط افراد تعیین شده
• 2-Integrity قابلیت اعتماد بودن داده ها و منابع با در نظر گرفتن احتمال توقف ارتباط نامناسب یا تغییرات پیش بینی نشده
• 3-Availability اطمینان از اینکه سیستم در مقابل ارسال ذخیره و پردازش داده ها توسط کاربر تایید شده پاسخ گو باشد
• 4-Authenticity اشاره به مشخصه های ارتباطی یا هر داده ای که کیفیت انجام صحیح آن تضمین میشود.
• 5-Non Repudiation تضمین که ارسال کننده یا دریافت کننده یک پیام نتواند در آینده اقدام خود را انکار کند.

1-2 Attacks= Motive + method + Vulnerability حمله = انگیزه + متد + آسیب پذیری

انگیزه ها و اهدافی که می تواند پشت حمله امنیتی باشد:

• 1-قطع روند بیزینس
• 2-دزدی اطلاعات
• 3-دستکاری داده
• 4-ایجاد ترس و هرج و مرج با قطع کردن زیرساخت های حساس
• 5-ایجاد ضرر مالی برای هدف
• 6- انتشار عقاید
• 7- رسیدن به ابزارهای نظامی
• 8- آسیب به اعتبار و آبروی هدف
• 9- گرفتن انتقام

1-3 طبقه بندی حملات

• 1- حملات Passive در این حملات داده ها دستکاری نمی شوند و هدف فقط گوش کردن و مانیتورینگ ترافیک شبکه و جریان داده می باشد مانند Sniffing و Footprinting

  مثال هایی از حملات پسیو

  • footprinting
  • sniffing and eavesdropping
  • network traffic analysis
  • decryption of weakly encrypted traffic
• 2- حملات اکتیو : ایجاد اختلال در انتقال داده و یا مختل کردن ارتباط یا سرویس های شبکه – بایپس کردن سرویس ها و یا شکستن رمزنگاری ها

  مثال هایی از حملات اکتیو

  • Denial-of-service (DoS) attack
  • Bypassing protection mechanisms
  • Malware attacks (such as viruses, worms, ransomware)
  • Modification of information
  • Spoofing attacks
  • Replat attacks
  • Password-based attacks
  • Session hijacking
  • Man-in-the-Middle attack
  • DNS and ARP poisoning
  • Compromised-key attack
  • Firewall and IDS attack
  • Profiling
  • Arbitrary code execution
  • Privilege escalation
  • Backdoor Access
  • Cryptography attacks
  • SQL injection
  • XSS attacks
  • Directory traversal Attacks
  • Exploitation of application and OS software
• 3-Close in Attacks : زمانی رخ می دهد که حمله کننده دسترسی فیزیکی به سیستم یا شبکه هدف داشته باشد و از آن به منظور جمع آوری، تغییر دادن و یا اختلال دسترسی استفاده نماید مانند: Social Engineering, Dumpster Diving, Shoulder Surfing
• 4-حملات داخلی Indider Attacks : استفاده از امتیاز دسترسی به شبکه برای تغییر نقش ها و یا ایجاد خطر برای سازمان واطلاعات به صورت عمدی مانند theft of physical device, planting keyloger, Back Doors,Malware
• 5-Distribution Attacks : زمانی رخ می دهد که حمله کننده با نصب سخت افزار یا نرم افزار مداخله میکند

  مثال هایی از حملات اکتیو Distribution Attacks

  • Modification of software or hardware during production
  • Modification of software or hardware during distribution

1-4 زنجیره حملات سایبری

• 1-شناسایی کردن Reconnaissance
• 2-Weaponization مسلح کردن - ساخت و جمع آوری تجهیزات مورد نیاز برای حمله
• 3-ارسال Delivery : ارسال بدافزار برای قربانی از طریق ایمیل، usb ...
• 4-Exploitation : دسترسی به آسیب پذیری با اجرای کد روی سیستم قربانی
• 5- Installation
• 6-Command and Control : ساختن دستورات و کانال های کنترلی برای ارسال ئ دریافت داده
• 7-Active and objects : اقدان برای رسیدن به هدف نهایی

1-5تاکتیک،تکنیک و پروسیجر(Tactics, techniques, and Procedure)

این اصطلاح مربوط به الگوریتمی از فعالیت ها و متدهای می باشد که خطرات را طبقه بندی کرده و آنها را توضیح می دهد. TTPs به سازمان ها کمک میکند حملات را طبقه بندی نموده و از طریق آنالیز آنها امنیت زیرساخت را تقویت نمایند. کلمه تاکتیک به عنوان شاخص تعریف شده و بیان کننده راهی میباشد که حمله مننده از طریق آن حمله خود را تدارک می بیند. کلمه تکنیک بیان کننده متد عملی حمله کننده برای انجام حمله می باشد کلمه پروسیجر بیان کننده کارهایی می باشد که توسط حمله کننده دنبال می شود تا حمله خود را انجام دهد.

1-6 Indicators of Compromise(IoCs)

شاخص های نفوذ عبارتند از سرنخ ها و رفتارها و مجموعه ای از داده های امنیتی که در صورت مشاهده در بستر شبکه میتواند نشان دهنده یک حمله باشد این شاخص ها هوشمند نیستند اما منبع اطلاعاتی مناسبی برای تشخیص حملات سایبری میباشند. نیاز است تا تیم های امنیتی این شاخص ها را به صورت مداوم بررسی و در صورت مشاهده رفتار غیر معمول اقدام مناسبی را انجام دهند

دسته بندی IoCs

• 1- Email Indicators این شاخص نشان دهنده ارسال ایمیل حاوی اطلاعات خطرناک به سازمان ها و یا اشخاص می باشد.
• 2- Network Indicators این شاخص ارسال دستورات و کنترل ها را در بستر شبکه بررسی مینماید. برای مثال url ها، نام دامنه ها و یا ip آدرسها
• 3- Host-Based Indicators این شاخص رفتار هاست ها در بستر شبکه سازمان را بررسی مینماید.برای مثال نام فایل ها، registery key ها کتابخانه ها و هشینگ ها توسط این شاخص بررسی و نمایش داده می شوند
• 4- Behavioral Indicators این شاخص رفتارهایی که میتواند نشان دهنده یک حمله باشد را آنالیز میکند.برای مثال اجرای یک اسکریپت توسط پاورشل یا استفاده از یک remote command execution میتواند نشان دهنده یک رفتار خطرناک باشد

لیستی از موارد IoCs ها

• 1-Unusal outband network traffic ترافیک خروجی غیرمعمولی
• 2-Unusual activity through a privileged user account رفتار مشکوک توسط کاربر ادمین
• 3-Geographical anomalies رفتار مشکوک براساس موقعیت جغرافیایی
• 4-Multiple login failures
• 5-Increased database read volume افزایش حجم خواندن پایگاه داده
• 6-Large HTML response Size مشاهده فایل بزرگ html در جواب درخواست ها
• 7-Multiple requests for the same file درخواست های تکراری برای یک فایل
• 8-Mismatched port application traffic یافتن ترافیک مشکوک بر روی پورت های نامناسب یا غیرمجاز
• 9-Suspicious registry or system file changes درخواست تغییر فایل های سیستمی یا ریجستری
• 10-Unusual DNS requests درخواست های DNS غیرمعمولی
• 11-Unexpected patching of systems مشاهده وصله غیرمنتظره سیستم ها
• 12-Signs of Distributed Denial-of-Service(DDoS) activity نشانه های فعالیت حملات توزیع شده منع سرویس
• 13-Bundles of data in the wrong places مشاهده بسته های داده در مکان های اشتباه
• 14-Web traffic with Superhuman behavior مشاهده ترافیک وب با الگویی که مشخص است از سمت فرد نیست