دستورالعمل های جدید برای کمک به مدافعان شبکه در بهبود تلاش و سخت شدن سیستم های خود توسط آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) منتشر شده است.
این توصیه ها ناشی از ارزیابی تیم قرمز (RTA) CISA است که در سال 2022 به درخواست یک شرکت زیرساخت بزرگ و ناشناخته و بزرگ با چندین ساختمان از لحاظ جغرافیایی انجام شده است.
CISA در یک مشاوره سه شنبه نوشت: “این تیم دسترسی مداوم به شبکه سازمان را به دست آورد ، به طور جانبی در سایت های متعدد جغرافیایی از هم جدا شده سازمان حرکت کرد و سرانجام به سیستم های مجاور سیستم های حساس سازمان (SBSS) دسترسی پیدا کرد.”
این آژانس همچنین توضیح داد که علی رغم دفاع از سایبری قوی ، این سازمان تلاش نفوذ را در هر نقطه ای در هنگام تمرین تشخیص نداد.
برای کمک به بنگاهها در تشخیص حملات مشابه در آینده ، CISA اکنون در حال انتشار تاکتیک ها ، تکنیک ها و رویه ها (TTPs) است که توسط تیم قرمز خود در طول ارزیابی استفاده می شود.
این سند می گوید: “این CSA [مشاوره امنیت سایبری] اهمیت جمع آوری و نظارت بر سیاهههای مربوط به فعالیت های غیرمعمول و همچنین آزمایش و تمرینات مداوم را برای اطمینان از اینکه محیط سازمان شما بدون در نظر گرفتن بلوغ وضعیت سایبری آن آسیب پذیر نیست ، برجسته می کند.”
با توجه به آن ، CISA دسترسی اولیه به دو ایستگاه کاری سازمان را در سایت های جداگانه ای که داده های Active Directory (AD) را اعمال می کنند ، به دست آورد. سپس از طریق ایمیل های فیشینگ نیزه ، دسترسی مداوم به میزبان سوم را به دست آورد.
CSA می گوید: “از آن میزبان ، تیم به صورت جانبی به یک سرور غلط تنظیم شده منتقل شد ، که از آن آنها کنترلر دامنه (DC) را به خطر انداختند.”
“آنها سپس از اعتبار جعلی برای انتقال به میزبان های مختلف در سایت های مختلف محیط استفاده کردند و در نهایت دسترسی ریشه ای به کلیه ایستگاه های کاری متصل به سرور مدیریت دستگاه تلفن همراه سازمان (MDM) به دست آوردند.”
CISA گفت تیم قرمز آن از دسترسی ریشه برای انتقال جانبی به ایستگاه های کاری متصل به SBS استفاده کرده است.
“با این حال ، یک احراز هویت چند عاملی (MFA) باعث شد تا تیم از دسترسی به یک SBS دسترسی پیدا کند ، و مرحله اول به پایان رسید تا تیم بتواند یک برنامه به ظاهر مناسب را برای دستیابی به SBS دوم اجرا کند.”
اطلاعات بیشتر در مورد TTP های مورد استفاده در این حمله در متن اصلی مشاوره گنجانده شده است. انتشار آن هفته ها پس از آن صورت می گیرد که Pepsi Bottling Ventures نقض یکی از شبکه های آن را نشان داد که منجر به سرقت داده های کارمندان شد
