آشنایی با Microsoft ATA

ATA یک محصول امنیتی است که برای شبکه های اینترپرایز در جلوگیری از حملات پیشرفته سایبری میتواند موثر باشد.

ATA مخفف Advanced Threat Analytics است. Microsoft ATA یک محصول امنیتی است که برای شبکه های اینترپرایز در جلوگیری از حملات پیشرفته سایبری میتواند موثر باشد. ATA اطلاعات مورد نیازش را از log های ویندوز جمع آوری کرده و سپس  از تکنولوژی های بازرسی در عمق Packet ها جهت ارزیابی روند ترافیک شبکه استفاده میکند. به این صورت است که ATA میتواند فعالیتهای مشکوکی که میتوانند ناشی از مراحل مختلف یک حمله باشند را شناسایی کرده و هشدارهایی را تولید میکند که نوع حمله ای که احتمالا در جریان میباشد و همینطور سیستم هایی که احتمالا قربانی شده اند را مشخص کند.

زمانی که ATA برای نخستین بار نصب میشود، بسرعت شواهد مربوط به حمله را شناسایی میکند. پس از مدتی  رفتارهای عادی شبکه را تشخیص میدهد و میتواند رفتارهای غیرعادی و مشکوک را شناسایی کند.

 

واکنش ATA در برابر حملات شبکه ای

ATA داده هایی را که از ترافیک DC های دامین و نیز از Event Log ها جمع آوری کرده است را آنالیز میکند و در نتیجه میتواند در هر مرحله از حمله، هشدارهای لازم را به مدیر شبکه منتقل کند. این حضور ATA و قابلیت شناسایی فازهای محتلف یک حمله جزو مهمترین نقاط قوت این محصول امنیتی بشمار میرود. در ذیل به بررسی بعضی از بحرانی ترین مراحل یک حمله شبکه ای که ATA قادر به شناسایی آنهاست میپردازیم:

1- Reconnaissance یا شناسایی: در یک حمله نظامی اولین اقدام شناسایی اهداف آسیب پذیر است. در حملات سایبری نیز چنین است. مهاجمین شبکه ای در اولین اقدام تلاش میکنند که user account ها که ممکن است حساس و یا آسیب پذیر باشند را توسط تکنیکهای مختلف شناسایی کند. تکنیک های مورد استفاده میتواند شامل ارسال درخواست های غلط به یک DC دامین باشد تا وجود یک user account مشخص محرز شود تا لیستی از کاربران  درگیر در SMB Session ( مخفف Server Message Block ) ها فراهم شود یا اینکه اطلاعات DNS بدست آید. همه این تکنیک ها را زمانی فرد مهاجم میتواند مورد استفاده قرار دهد که نام و IP address اکانت های کاربری فعال را بداند. این مرحله از حمله، Reconnaissance نامیده میشود. ATA میتواند پیامهای درخواستی که مهاجمان آنها را برای جمع آوری اطلاعات ارسال میکنند را کشف کرده و آنها را تشخیص دهد.

2- Compromised Credentials : الگوهای ترافیک شبکه ای مختلفی وجود دارند که به تلاش هایی برای بدست گرفتن اطلاعات مربوط به logon اکانتها و یا استفاده از اکانتهایی که قبلا اطلاعات logon آنها بدست آورده شده است، اشاره میکنند.

بعنوان مثال ATA میتواند تشخیص دهد که یک اکانت دسترسی های غیرعادی به منابع دارد یا در ساعات غیرکاری logon میکند و یا دفعات logon غیرعادی دارد. اینها آثار این هستند که اکانت فوق مورد سواستفاده مهاجمان قرار دارد و مهاجمان از آن برای رسیدن به مقاصد خود استفاده میکنند.

همچنین ATA میتواند ارتباطاتی که پتانسیل لازم برای کسب اطلاعات logon اکانتها دارند را کشف کند. ارتباطاتی نظیر انتقال Password ها در فایل های عادی ( بصورت غیر انکریپت یا hash نشده) یا احراز هویتهایی که مطابق هیچکدام از پروتکل های احراز هویت استاندارد نیستند.

ATA علاوه بر اینها میتواند از یک اکانت ساختگی خاص بنام Honey Token ( ظرف عسل) استفاده کند. این اکانت در واقع یک user account بلااستفاده است که در شکل یک ظرف عسل در اختیار مهاجم قرار گیرد و در واقع تله ای برای وی میباشد. هر فعالیتی که توسط این اکانت انجام شود مطمئنا یک کار غیرقانونی است و ATA میتواند هم متوجه شود که چه حملاتی و چه افرادی و جهت چه مقاصدی از این اکانت استفاده میکنند.

3- Lateral Movement یا حرکت جانبی: تلاشی از سوی مهاجم است وقتی که موفق به سرقت اطلاعات مربوط به logon یک user account شده است و از طریق آن قصد دسترسی به منابع شبکه را دارد. ATA این تلاشها را نیز با بررسی کردن الگوهای ترافیک آن اکانت شناسایی میکند. این شناسایی البته به روشهای دیگری نیز انجام میشود از جمله یافتن امضا در اتصال به منابع غیرمعمول یا logon کردن اکانت فوق از workstation های متفاوت یا استفاده اکانت فوق از دیوایس های غیرعادی.

 ATAهمچنین ترافیک پروتکل های NTLM و Kerberos را نیز بررسی میکند تا علائم تکنیک های های نفوذ متداول که مهاجمین از آنها برای بدست آوردن غیرقانونی TGT ها ( به درس 76 مراجعه کنید) یا NTLM Hash ها استفاده میکنند را بیابد و شناسایی نماید. از این نوع حملات میتوان به حملات Pass-to-Ticket و Hash-to-Ticket اشاره کرد.

4- Privilege Escalation یا افزایش امتیاز: مهاجمین وقتی اطلاعات Logon یک اکانت را بدست می آورند احتمالا برای افزایش سطح اختیارات و دسترسی های اکانت قربانی نیز تلاش خواهند کرد تا در نتیجه این افزایش دسترسی دست بازتری در دسترسی به منابع شبکه و یا آسیب زدن به اطلاعات داشته باشند. لذا مهاجمین تلاش میکنند که TGT اکانت قربانی را طوری تغییر دهند که سطح اختیارات اکانت فوق افزایش یابد. یک TGT شامل یک header است که اختیارات اختصاص یافته به اکانت را مشخص میکند. با تغییر دادن این header مهاجم میتواند سطح دسترسی اکانتی که بدست آورده است را افزایش دهد. ATA با بررسی کردن بسته های ترافیک شبکه که حاوی TGT ها هستند و تحلیل تفاوت ها در روش های مورد استفاده اکانت میتواند این تلاش ها را شناسایی نماید.

5- Domain Dominance یا حوزه تسلط: بعضی از مهاجمین تلاش میکنند که خود را بجای یک DC دامین جا بزنند و از این طریق به یک DC واقعی دامین مستقیما دسترسی یافته و آسیب بزند. ATA میتواند این مهاجمین را نیز شناسایی کند. مهاجمین سعی میکنند تا یک Ticket احراز هویت رمزنگاری شده را جعل نموده و آنرا توسط یک service account به نام KRBTGT که روی یک DC قرار دارد، امضا نماید. ( این بلیت را بلیت طلایی کربراس می نامند). مهاجمین وقتی این بلیت طلایی را در دست داشته باشند میتوانند خود را یک DC جا بزنند و آنگاه برای خود، TGT لازم برای هر عملی را اختصاص میدهند. TGT برای عملیات مختلف از درخواست Replicate با DC هدف گرفته تا اجرای راه دور یک کد مخرب روی DC فوق.

در دوره MCSE 2016 بطور مفصل نحوه پیاده سازی سناریوهای مختلف Microsoft ATA را فرا خواهید گرفت. 

 

جهت شرکت در دوره های آموزشی MCSA و MCSE، علاقه مندان میتوانند به صفحه آموزش دوره های تخصصی شبکه های مایکروسافت رجوع کنند.

0 پاسخ به "آشنایی با Microsoft ATA"

ارسال یک پیغام

رفتن به نوار ابزار