فهرس المحتويات
ما هي تقنيات الحركة الجانبية؟
تشير تقنيات الحركة الجانبية إلى الاستراتيجيات والأساليب التي يستخدمها المجرمون الإلكترونيون للتقدم عبر الشبكة بعد الحصول على الوصول الأولي. يتم ذلك عادة لاستهداف بيانات أو موارد معينة داخل الشبكة. غالبًا ما يستغل المجرمون الإلكترونيون الثغرات في أمان الشبكة لتحقيق أهدافهم. إن فهم هذه التقنيات أمر حاسم لوضع تدابير فعالة للأمن السيبراني.
هذا المحتوى هو جزء من سلسلة حول ما هي TTPs.
تقنيات الحركة الجانبية الشائعة
دعونا نستعرض بعض التقنيات الشائعة التي يستخدمها المجرمون الإلكترونيون لتنفيذ الحركة الجانبية.
1. مسجلات المفاتيح
"keylogger" هو نوع من البرمجيات الخبيثة التي تسجل ضغطات المفاتيح على الكمبيوتر. يستخدم المجرمون الإلكترونيون "keyloggers" لسرقة المعلومات الحساسة مثل أسماء المستخدمين وكلمات المرور وأرقام بطاقات الائتمان. عندما يقوم المهاجم باختراق جهاز المستخدم وتثبيت "keylogger"، فإنه يحصل على الوصول إلى جميع بيانات الاعتماد التي يستخدمها ذلك الموظف في عمله اليومي. وهذا يمكّن من الحركة الجانبية.
2. هجمات تمرير الهاش (PtH)
في هجوم PtH، يقوم المهاجم بسرقة النسخة المشفرة من كلمة مرور المستخدم ويستخدمها للمصادقة كأنها تلك المستخدم. نظرًا لأن التجزئة تُستخدم بدلاً من كلمة المرور الفعلية، يمكن للمهاجم تجاوز طرق المصادقة المعتمدة على كلمة المرور. واحدة من الثغرات الرئيسية التي تؤدي إلى هجمات PtH هي الحسابات غير الضرورية أو القديمة. يمكن أن تكون هذه الأهداف سهلة لهجمات PtH.
3. هجمات تمرير التذكرة (PtT) (تذاكر الذهب والفضة)
هجمات Pass-the-Ticket (PtT) مشابهة لهجمات Pass-the-Hash (PtH)، ولكن بدلاً من سرقة تجزئات كلمات المرور، يقوم المهاجم بسرقة تذاكر Kerberos. Kerberos هو بروتوكول مصادقة الشبكة الذي يستخدم التذاكر لمصادقة المستخدمين. في هجوم PtT، يقوم المهاجم بسرقة تذكرة المستخدم ويستخدمها للمصادقة كذاك المستخدم.
هناك نوعان من هجمات PtT: هجمات Gold Ticket وهجمات Silver Ticket. في هجوم Gold Ticket، يقوم المهاجم بسرقة تذكرة منح التذكرة (TGT)، مما يسمح له بالتحقق كأي مستخدم على الشبكة. في هجوم Silver Ticket، يقوم المهاجم بسرقة تذكرة خدمة، مما يسمح له بالتحقق كمستخدم لخدمة معينة.
4. كيربروستينغ
يستغل هجوم 'Kerberoasting' خدمة منح التذاكر (TGS) في بروتوكول Kerberos من خلال الاستفادة من كيفية استخدام التذاكر الخدمية وتشفيرها. في هجوم Kerberoasting، يطلب الخصم أولاً تذكرة TGS لأي مستخدم يصل إلى خدمة معينة. هذه التذكرة مشفرة بشكل قوي بكلمة مرور الخدمة. ومع ذلك، قد تحتوي بعض حسابات الخدمة على كلمات مرور أضعف يمكن كسرها.
يمكن للمهاجم أخذ تذكرة TGS (تذكرة خدمة) في وضع عدم الاتصال ومحاولة كسرها، مما يكشف عن كلمة مرور حساب الخدمة. بمجرد الحصول على كلمة المرور، يمكنه انتحال شخصية الخدمة والوصول إلى بيانات الخدمة أو فك تشفيرها. على عكس هجمات Pass-the-Ticket، فإن Kerberoasting لا يتطلب حقوق المسؤول، ولا يعتمد على سياسات قفل الحساب، ولا يولد نشاطًا شبكيًا مشبوهًا، مما يجعله أكثر خفاءً.
5. بروتوكول سطح المكتب البعيد (RDP)
يسمح بروتوكول RDP للمستخدمين بالتحكم عن بُعد في جهاز كمبيوتر آخر. بينما يمكن أن تكون هذه أداة مفيدة لأغراض مشروعة، يمكن للمهاجمين أيضًا استخدامها للتحرك بشكل جانبي عبر الشبكة. نظرًا للمخاطر الكامنة في RDP، يجب استخدامه فقط عند الضرورة القصوى ويجب أن يكون هناك مصادقة قوية. يجب عليك أيضًا مراقبة شبكتك بانتظام لرصد جلسات RDP غير المتوقعة.
6. كتلة رسالة الخادم (SMB) وأداة إدارة ويندوز (WMI)
بروتوكول SMB، الذي يُستخدم بشكل أساسي لتوفير الوصول المشترك إلى الملفات والطابعات والمنافذ التسلسلية، غالبًا ما يتم استغلاله من قبل المهاجمين للتحرك بشكل جانبي عبر الشبكة. تم اكتشاف استغلال حرج في SMB، يُسمى EternalBlue، وكان هو الاستغلال المستخدم في هجوم الفدية العالمي WannaCry. تعالج الإصدارات الحديثة من SMB هذه الثغرات الأمنية.
WMI هو مجموعة من المواصفات من مايكروسوفت لتوحيد إدارة الأجهزة والتطبيقات في الشبكة. ومع ذلك، يمكن للمجرمين الإلكترونيين استغلال WMI لتجاوز قوائم السماح بالتطبيقات، والتغلب على أدوات الأمان المعتمدة على المضيف، وتنفيذ السكربتات عن بُعد.
تُعد بروتوكولات SMB (خاصة الإصدارات القديمة أو التطبيقات التي لا تتبع أفضل ممارسات الأمان) و WMI أداة قوية للمهاجمين، مما يمكّنهم من التنقل في الشبكة بشكل خفي.
7. اختراق SSH
تتضمن هذه الطريقة سيطرة المهاجم على جلسة SSH، مما يسمح له بتنفيذ أوامر عن بُعد على النظام المستهدف. وهي خطيرة بشكل خاص لأن SSH يُستخدم عادةً لإدارة الأنظمة عن بُعد. يمكن للمهاجم الذي يسيطر على جلسة SSH أن يحصل على نفس مستوى الوصول مثل المستخدم الأصلي.
8. العيش من الأرض (LotL)
"العيش على الأرض" (LotL) هي تقنية حيث يستخدم المهاجمون الأدوات المدمجة المتاحة بالفعل على النظام المستهدف في أنشطتهم الخبيثة. من خلال الاستفادة من البرامج والعمليات الشرعية، يمكن للمهاجمين الاندماج مع حركة المرور العادية للشبكة، مما يجعل الاكتشاف والوقاية أكثر تحديًا.
يمكن أن تتضمن هذه التقنية أي شيء من إساءة استخدام PowerShell وواجهة الأوامر والأدوات الإدارية، إلى استخدام الماكرو والسكريبتات. إنها تتيح للمهاجمين تنفيذ الحركة الجانبية من خلال الاستفادة من الأدوات المتاحة على الأنظمة التي تم اختراقها بالفعل.
9. التنكر وميميكاتز
التنكر هو تقنية حركة جانبية حيث يقوم المهاجم بتقليد مستخدم أو عملية شرعية لتجنب الكشف. يمكن القيام بذلك عن طريق إعادة تسمية الملفات أو العمليات الضارة لتتناسب مع الشرعية، أو باستخدام بيانات اعتماد مسروقة للظهور كمستخدم موثوق.
Mimikatz هي أداة تُستخدم غالبًا في هجمات التنكر. من خلال استخراج كلمات المرور النصية، والهاش، ورموز التعريف، وتذاكر Kerberos من الذاكرة، تتيح Mimikatz للمهاجمين انتحال شخصية المستخدمين الشرعيين والتحرك بشكل جانبي عبر الشبكة.
حماية الحركة الجانبية التقليدية والحاجة إلى تحليل سلوك المستخدمين والكيانات (UEBA)
دعونا نستعرض كيف كانت المنظمات تحمي نفسها تقليديًا من الحركة الجانبية، وأوجه القصور في هذه التقنيات.
لماذا لا تكفي اكتشافات التراث باستخدام القواعد
النهج التقليدي في اكتشاف التهديدات السيبرانية يتضمن استخدام أنظمة قائمة على القواعد. على سبيل المثال، إذا قام المستخدم بعدة محاولات تسجيل دخول فاشلة في غضون خمس دقائق، سيتم رفع تنبيه. هذه الأنواع من التنبيهات القائمة على القواعد أصبحت غير كافية بشكل متزايد ضد تقنيات الحركة الجانبية المتطورة، لأنها تستطيع فقط اكتشاف التهديدات المحددة والمعروفة. المجرمون السيبرانيون يطورون باستمرار استراتيجيات جديدة يمكنها بسهولة تجاوز هذه القواعد.
هنا يأتي دور تحليلات سلوك المستخدم والكيان (UEBA). تستخدم UEBA خوارزميات التعلم الآلي والتحليل الإحصائي للكشف عن السلوك غير الطبيعي في شبكتك. بدلاً من الاعتماد على قواعد محددة مسبقًا، تتعلم UEBA من سلوك المستخدمين والكيانات في الشبكة وتصدر تنبيهًا عند اكتشافها لأي شذوذ. وهذا يجعلها قادرة على اكتشاف التهديدات المعروفة وغير المعروفة، مما يوفر دفاعًا أكثر قوة ضد الحركة الجانبية.
لماذا تصعيد الامتيازات مهم
غالبًا ما يبدأ المجرمون الإلكترونيون بالحصول على وصول محدود إلى شبكتك من خلال مجموعة من بيانات الاعتماد المخترقة أو ثغرة في جهاز واحد أدت إلى الوصول إلى تطبيق أو خدمة. ومع ذلك، لتحقيق أهدافهم، يحتاجون غالبًا إلى الحصول على صلاحيات أعلى. تُعرف هذه العملية باسم تصعيد الصلاحيات.
فهم تصعيد الامتيازات أمر بالغ الأهمية لأنه غالبًا ما يكون الخطوة الأولى في هجوم الحركة الجانبية. إذا كنت تستطيع اكتشاف وإيقاف تصعيد الامتيازات، يمكنك منع المهاجم من التحرك جانبيًا عبر شبكتك. تعتبر تقنية UEBA حاسمة في منع تصعيد الامتيازات، لأن معظم أنواع تصعيد الامتيازات تنحرف عن النشاط المعتاد في حساب المستخدم. لذا، بينما قد لا تكون هذه الأنشطة واضحة على أنها خبيثة (مثل قيام مستخدم إداري بمنح مستخدم آخر حق الوصول الإداري)، فإنه من الممكن اكتشافها وتحديدها لمزيد من التحقيق.
أين يمكنك رؤية النشاط؟
يتطلب اكتشاف أنشطة الحركة الجانبية مراقبة دقيقة لشبكتك. يشمل ذلك مراقبة أنشطة المستخدمين والأنظمة على حد سواء. يمكن أن تشير الأنشطة غير العادية للمستخدمين، مثل قيام جهاز داخلي بإجراء مسح nmap غير معتاد، أو محاولات تسجيل الدخول في أوقات غريبة أو من مواقع غير معتادة، إلى هجوم محتمل. كما يمكن أن تشير الأنشطة غير المتوقعة للأنظمة، مثل تغييرات في أذونات الملفات أو تكوينات النظام، إلى حركة جانبية.
يمكن أن تساعدك أدوات الكشف المتقدمة عن التهديدات في مراقبة هذه الأنشطة. يمكن لهذه الأدوات تحليل السجلات تلقائيًا من أنظمة الكشف الأخرى أو أنظمة مراقبة نشاط النظام لاكتشاف الأنشطة المشبوهة. على سبيل المثال، يمكن لأنظمة إدارة معلومات الأمان والأحداث الحديثة (SIEM) جمع البيانات من جميع أنحاء بيئة تكنولوجيا المعلومات وتحليلها باستخدام UEBA لاكتشاف الحركة الجانبية مبكرًا، حتى لو استخدمت تقنيات التهرب المتقدمة.
تحقيق الرؤية، ومنع وتخفيف الحركة الجانبية.
بجانب استخدام UEBA، إليك تقنيات متقدمة يمكنك استخدامها لمنع الحركة الجانبية في شبكتك.
التقسيم الدقيق
تقسيم الشبكة إلى أجزاء معزولة من خلال الحاويات أو غيرها من وسائل التحكم في الوصول المنطقي مثل جدران الحماية الداخلية أو بوابات الويب. من خلال القيام بذلك، يمكنك الحد من قدرة المهاجم على الانتقال أفقيًا عبر شبكتك. هذه الطريقة تحد من نطاق الأضرار في حالة حدوث اختراق، مما يضمن أنه حتى إذا تم اختراق جزء واحد، لا يمكن للمهاجم الانتقال أفقيًا إلى أجزاء أخرى من الشبكة.
حماية نقاط النهاية
تشمل حماية نقاط النهاية تأمين نقاط النهاية أو نقاط الدخول لأجهزة المستخدمين النهائيين مثل محطات العمل والأجهزة المحمولة من الاستغلال من قبل الجهات الخبيثة. وعادة ما تتضمن برامج متقدمة لمكافحة البرمجيات الخبيثة، وجدران حماية الأجهزة، والتحكم في الأجهزة، وتدابير أمان أخرى. من خلال تأمين هذه النقاط، يمكنك منع المهاجمين من الحصول على موطئ قدم في شبكتك والتحرك بشكل جانبي.
أمان الدليل النشط
الدليل النشط (AD)، سواء كان محليًا أو قائمًا على السحابة، يلعب دورًا حاسمًا في أمان الشبكة. فهو يسمح للمسؤولين بإدارة وتأمين الهويات على الشبكة. مع انتشار الأجهزة الذكية (وحسابات الخدمة المصاحبة لها)، غالبًا ما تكون أنشطة الدليل النشط مكانًا رئيسيًا لملاحظة الشذوذ وتحديد محاولات تصعيد الامتيازات. توفر المنصات السحابية الحديثة مثل Azure Active Directory (Azure AD) وOkta AD أدوات مدمجة لتأمين الهويات وتحديد الشذوذ. من خلال تكوين وتأمين الدليل النشط بشكل صحيح، يمكنك منع العديد من تقنيات الحركة الجانبية، مثل Pass-the-Hash وKerberoasting.
تدوير كلمات المرور والمصادقة متعددة العوامل
تدوير كلمات المرور هو ممارسة تغيير كلمات مرور المستخدمين بشكل دوري. تُستخدم هذه الطريقة للحد من مدة صلاحية كلمة المرور المسروقة، وبالتالي قد تعيق الوصول غير المصرح به الذي تم الحصول عليه من خلال بيانات اعتماد مخترقة.
تضيف المصادقة متعددة العوامل (MFA) طبقة إضافية من الأمان من خلال مطالبة المستخدمين بتقديم عاملين أو أكثر من عوامل التحقق للوصول إلى مورد ما، مثل رمز تحقق من هاتف محمول، أو رمز مادي، أو بصمة إصبع، بالإضافة إلى كلمة المرور. هذه الطريقة فعالة للغاية ضد التحركات الجانبية، لأنه حتى إذا حصل المهاجم على كلمة المرور، فإنه لا يزال بحاجة إلى العامل الثاني للمتابعة.
تنسيق الأمن، الأتمتة، والاستجابة (SOAR)
SOAR يشير إلى التقنيات التي تساعد في جمع بيانات التهديدات الأمنية والتنبيهات من مصادر مختلفة، وتستخدم كل من التحليل الآلي والبشري لتصنيف الحوادث والتحقيق فيها والاستجابة لها. تمكّن أتمتة SOAR من التعامل السريع مع التهديدات المنخفضة المستوى دون تدخل بشري. يسمح مكون الاستجابة في SOAR لفرق الأمن بالاستجابة للتهديدات في الوقت الحقيقي، والتقليل من الأضرار، ومنع المهاجمين من التحرك بشكل جانبي.
رؤية الحركة الجانبية باستخدام Exabeam
يساعد Exabeam فرق الأمن على التفوق على الخصوم باستخدام الحركة الجانبية، وذلك بدعم من الأتمتة ومحتوى حالات الاستخدام عبر سير عمل المحلل الكامل للكشف عن التهديدات والتحقيق فيها والاستجابة لها (TDIR). أولاً، نحدد مصادر البيانات لجمعها وتحليلها. ثم يُنشئ تحليل سلوك المستخدم والكيان (UEBA) لدينا خط أساس للنشاط الطبيعي لكل مستخدم وجهاز في المؤسسة. عندما يبدأ الخصم بالتحرك داخل الشبكة، يتم تحديد النشاط غير الطبيعي باستخدام قواعد ونماذج كشف مُعدّة مسبقًا، بما في ذلك الربط بتقنيات إطار عمل إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) Ⓡ المرتبطة بالحركة الجانبية. يُشار إلى هذا النشاط ويُضاف إلى درجة مخاطر المستخدم أو الكيان.
تساعد درجات المخاطر وقوائم المراقبة فرق الأمن في التركيز على الحوادث الأكثر خطورة، بينما يعرض 'الجدول الزمني الذكي' من Exabeam تلقائيًا سلسلة الهجوم الكاملة لتسريع التحقيقات في الحوادث بشكل كبير. تمكّن كتيبات استجابة Exabeam المحللين من معالجة الحوادث بسرعة وفعالية وتقليل متوسط وقت الاستجابة (MTTR).
استكشاف الحركة الجانبية و Exabeam.
تعلم المزيد عن إكزابييم
تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.
