افزایش استفاده مهاجمان از ابزارهای متنباز
کارشناسان امنیتی هشدار دادهاند که مهاجمان سایبری پس از نفوذ اولیه به سیستمها، برای حفظ کنترل و گسترش دسترسی در شبکه از ابزارهای پیشرفته استفاده میکنند. در سالهای اخیر، ابزارهای متنباز مانند فریمورک Mythic به سرعت محبوب شدهاند و به دلیل قابلیتهای گسترده، در حملات هدفمند و پیچیده به کار گرفته میشوند. تمرکز اصلی این ابزارها بر فرار از شناسایی توسط آنتیویروسها و سامانههای حفاظتی است، اما ارتباط ناگزیر آنها با سرورهای فرماندهی و کنترل، امکان شناسایی از طریق تحلیل ترافیک شبکه را فراهم میکند.
فریمورک Mythic و قابلیتهای آن
Mythic یک پلتفرم فرماندهی و کنترل چندکاربره است که بر پایه معماری کانتینری ساخته شده و شامل سرور، عوامل مخرب و ماژولهای انتقال داده است. این ساختار به مهاجم اجازه میدهد عوامل جدید و مسیرهای ارتباطی سفارشی را بهسادگی اضافه کند. از دید مدافعان، میتیک میتواند در تمام مراحل چرخه حمله از جمعآوری اطلاعات تا خروج دادهها و کنترل سیستمهای آلوده نقشآفرینی کند.
روشهای ارتباطی Mythic در شبکه
این فریمورک از چند الگوی ارتباطی برای انتقال داده استفاده میکند:
- ارتباط زنجیرهای: عوامل بهصورت مرحلهای با یکدیگر ارتباط برقرار کرده و در نهایت به سرور اصلی متصل میشوند.
- ارتباط مستقیم: عاملها مستقیماً با سرور فرماندهی ارتباط میگیرند.
- ارتباط همتا به همتا: مهاجم از کانالهای اشتراکی برای جابهجایی در شبکه استفاده میکند.
در این ارتباطات، دادهها معمولاً رمزگذاری و کدگذاری شده و به بخشهای کوچک تقسیم میشوند تا شناسایی آنها دشوار شود.
استفاده از سرویسهای محبوب برای پنهانکاری
Mythic برای طبیعی جلوه دادن فعالیتهای خود از سرویسهای رایج اینترنتی بهره میگیرد:
- دیسـکورد: عاملها از طریق کانالهای امن دیسکورد با سرور فرماندهی ارتباط برقرار میکنند. به دلیل شباهت ترافیک به فعالیت عادی کاربران، شناسایی این ارتباط بدون رمزگشایی تقریباً غیرممکن است.
- گیتهاب: عاملها با ایجاد شاخههای اختصاصی و بارگذاری فایلها ارتباط برقرار میکنند. این روش به دلیل گستردگی استفاده از گیتهاب، فعالیت مخرب را شبیه به رفتار طبیعی توسعهدهندگان نشان میدهد.
تحلیل ترافیک و شناسایی فعالیتها
برای شناسایی فعالیتهای میتیک در ترافیک شبکه، دو رویکرد اصلی وجود دارد:
- تحلیل محتوایی (رمزگشاییشده): بررسی مستقیم پیامها و فایلهای منتقلشده در صورت امکان رمزگشایی.
- تحلیل رفتاری (رمزگذاریشده): بررسی الگوهای غیرعادی مانند تعداد زیاد ارتباطات امن با سرورهای دیسکورد یا اتصالهای مکرر به گیتهاب از بخشهایی که چنین رفتاری طبیعی نیست.
جمعبندی
فریمورک Mythic با قابلیتهای گسترده و استفاده از سرویسهای محبوب اینترنتی، یکی از ابزارهای پرکاربرد مهاجمان سایبری در حملات پیشرفته محسوب میشود. با وجود پیچیدگی در پنهانکاری، تحلیل دقیق ترافیک شبکه و تعریف قواعد شناسایی برای هر پروتکل میتواند حضور این ابزار را آشکار کند. بهرهگیری از رویکردهای رفتاری و تحلیل الگوهای ارتباطی، راهکار مؤثری برای مقابله با تهدیدات ناشی از میتیک و افزایش دقت سامانههای دفاعی در برابر حملات سایبری است.
