نموذج MITRE ATT&CK لتوضيح خطوات الهجوم السيبرانى

المقدمة:

في هذه المقالة سوف نعرض نموذج MITRE ATT&CK  لتوضيح تكتيكات و تقنيات الهجوم السيبراني من خلال تجميع البيانات اللازمة ووضع منهجية لاكتشاف التهديدات السيبرانية. وهو نموذج مطور من نموذج Cyber Kill Chain المقترح من  Lockheed Martin  الذى تم عرضه فى مقالة سابقة باسم "Cyber Kill Chain الخطوات السبع المتبعة فى تنفيذ أى هجوم سيبرانى"

يركز نموذج MITRE ATT&CK على التقنيات التي يستخدمها المهاجمون، وهو يوفر رؤية أكثر تفصيلاً، مما يسمح للمدافعين بفهم التكتيكات والإجراءات المحددة التي يستخدمها المهاجمون.

 MITRE ATT&CK هى اختصار لـ (التكتيكات(Adversarial Tactics) والتقنيات (Techniques) والمعرفة المشتركة(Common Knowledge))   وهى عبارة قاعدة معرفية تم تنسيقها واعدادها لوصف المراحل التي يتبعها منفذى الهجوم السيبرانى ، مما يعكس المراحل المختلفة لدورة حياة الهجوم السيبرانى. 

يشمل نموذج  MITRE ATT&CK عشرة خطوات لوصف الطريقة التى يتم بها أى هجوم سيبرانى يساعد فهم هذه الخطوات المؤسسات على تحديد أى الهجوم محتمل، وتطوير تدابير أمنية فعالة، والاستجابة السريعة للتخفيف من تأثير الهجمات السيبرانية  وتشمل هذه الخطوات :

1.الوصول الأولي Initial Access:

 تتضمن هذه الخطوة الطريقة التي يستخدمها المهاجم للوصول إلى النظام أو الشبكة المستهدفة. يمكن أن يكون ذلك من خلال رسائل البريد الإلكتروني التصيدية، أو استغلال نقاط الضعف، أو تقنيات الهندسة الاجتماعية.

2. التنفيذ_Execution:

 بمجرد دخول المهاجم إلى البيئة المستهدفة، يقوم بتنفيذ تعليمات برمجية أو أوامر ضارة لتحقيق أهدافه. قد يتضمن ذلك تشغيل برامج ضارة أو أكواد برمجية أو استغلال ثغرات البرامج.

3. الثبات_Persistence: 

يهدف المهاجمون إلى الحفاظ على Access  داخل النظام أو الشبكة المخترقة حتى بعد إعادة التشغيل أو إيقاف تشغيل النظام. إنهم يحققون ذلك عن طريق إنشاء Backdoors، أو إنشاء المهام المجدولة، أو تعديل إعدادات النظام، أو تثبيت برامج rootkits.

4. تصعيد الامتيازات_Privilege:

 في هذه الخطوة، يسعى المهاجم إلى الحصول على مستويات أعلى من الوصول أو الامتيازات داخل النظام أو الشبكة المخترقة عن طريق استغلال نقاط الضعف أو الإعدادات الخاطئة فى السيستم لرفع امتيازاتهم والسيطرة على الموارد الحيوية.

5. تجنب الاكتشاف_Defense Evasion:

 يستخدم المهاجمون تقنيات مختلفة لتجنب اكتشافهم عن طريق التدابير الأمنية، مثل برامج مكافحة الفيروسات أو أنظمة كشف التسلل. يمكن أن يشمل ذلك استخدام تقنيات التشفير أو التشويش أو مكافحة التحليل لإخفاء أنشطتها الضارة.

6. الوصول إلى بيانات الاعتماد_Credential access: 

تتضمن هذه الخطوة الحصول على بيانات اعتماد صالحة للمستخدم، والتي يمكن استخدامها للوصول غير المصرح به إلى الأنظمة والشبكات. قد يستخدم المهاجمون تقنيات مثل اختراق كلمات المرور أو تسجيل لوحة المفاتيح أو التصيد الاحتيالي للحصول على أسماء المستخدمين وكلمات المرور.

7. الاكتشاف _Discovery: 

يتكون الاكتشاف من تقنيات قد يستخدمها منفذ الهجوم لاكتساب المعرفة حول النظام والشبكة الداخلية. حيث تساعده هذه التقنيات على مراقبة البيئة وتوجيه نفسه قبل اتخاذ قرار بشأن كيفية التصرف. كما أنها تسمح له باستكشاف ما يمكنه التحكم فيه وما يدور حول نقطة دخولهم من أجل اكتشاف كيف يمكن أن يفيد هدفهم الحالي. غالبًا ما تُستخدم أدوات نظام التشغيل الأصلي لتحقيق هدف جمع المعلومات بعد الاختراق.

8. الحركة الجانبية_Lateral movement:

تتكون الحركة الجانبية من تقنيات يستخدمها منفذ الهجوم  للدخول إلى الأنظمة البعيدة على الشبكة والتحكم فيها. غالبًا ما يتطلب ذلك لاستكشاف الشبكة الموجود به النظام المستهدف  للعثور عليه ومن ثم الوصول إليه. غالبًا ما يتضمن الوصول إلى النظام المستهدف  التنقل عبر أنظمة و حسابات متعددة فى نفس الشبكة لتوسيع نطاق سيطرتهم والوصول إلى أصول أكثر قيمة . قد يقوم منفذ الهجوم بتثبيت أدوات الوصول عن بعد الخاصة بهم لإنجاز الحركة الجانبية أو استخدام بيانات الاعتماد المشروعة مع الشبكة الأصلية ونظام التشغيل.

9. جمع و تسريب البيانات والمعلومات_Collection& Exfiltration:

 يقوم منفذو الهجوم بجمع واستخراج البيانات أو المعلومات الحساسة من الأنظمة أو الشبكات المخترقة. يمكن أن يشمل ذلك سرقة الملكية الفكرية أو بيانات العملاء أو المعلومات المالية. وقد يستخدمون تقنيات مختلفة مثل التقاط لقطات الشاشة  (ٍScreenshoting )  أو  تسجيل لوحة المفاتيح(Keylogging).

وفى مرحلة أخرى يقومون بتسريب البيانات والمعلومات باستخدام تقنيات تشمل سرقة البيانات من شبكتك نقل البيانات إلى الحساب السحابي الخاص به . بمجرد قيامهم بجمع البيانات، غالبًا ما يقوم منفذ الهجوم بتجميعها لتجنب اكتشافها أثناء إزالتها. يمكن أن يشمل ذلك الضغط والتشفير. قد تتضمن تقنيات تسريب البيانات من الشبكة المستهدفة عادةً تقنيات الاوامر والتحكم عند بعد.

10. توجيه الاوامر والتحكم عند بعد _Command and control:

تتكون توجيه الاوامر والتحكم عند بعد من تقنيات قد يستخدمها  منفذ الهجوم للتواصل مع الأنظمة الخاضعة لسيطرتهم داخل شبكة الضحية. يحاول  منفذ الهجوم عادةً تقليد حركة المرور العادية والمتوقعة لتجنب اكتشافهم. هناك العديد من الطرق التي يمكن لمنفذ الهجوم من خلالها توجيه الاوامر والتحكم عند بعد بمستويات مختلفة من التخفي اعتمادًا على بنية شبكة النظام المستهدف ونظام الدفاع الخاص به.

الخاتمة:

إلى هنا نكون قد وصلنا إلى نهاية مقالتنا ، وإلى اللقاء فى مقالة  أخرى.. 

المصادر: 

• The MITRE ATT&CK Framework Explained | SentinelOne
• Understanding Cyber Kill Chain, MITRE ATT&CK Framework and Unified Kill Chain | by Winter_Soldiers | Medium