توضح هذه المقالة كيف تحمي خدمة الأمان IPS ضمن طبقة الأمان في شبكة كاتو شبكتك من هجمات البرمجيات الخبيثة باستخدام كوبالت سترايك.
كوبالت سترايك هو أداة محاكاة معروفه تستخدمها جهات التهديد ومحترفو الأمان لأغراض متعددة. في هذه المقالة، نوضح تقنيات تستخدمها شبكة كاتو للحماية من الهجمات القائمة على الاستخدام الخبيث لكوبالت سترايك.
تصف هذه القسم التقنيات التي تستخدمها خدمة IPS للتعرف والدفاع ضد هجمات كوبالت سترايك.
غالبًا ما تستخدم كوبالت سترايك باورشل لتحميل برامج ضارة على النظام. لمواجهة ذلك، يتم تكوين محرك IPS لحظر أي أنشطة باورشل مشبوهة مرتبطة بكوبالت سترايك، وبالتالي منع إدخال الحمولات الخبيثة.
تستخدم كوبالت سترايك معرفات HTTP مميزة للتواصل مع خوادم القيادة والسيطرة (C2). تقوم خدمة IPS الخاصة بشبكة كاتو بالتعرف على وحظر هذه المعرفات الفريدة، مما يجعل التواصل مع خوادم C2 غير فعّال ويحمي شبكتك من التهديدات المحتملة.
توفر كوبالت سترايك خيارات لتصعيد الامتياز، التي يمكن استغلالها من قِبَل المهاجمين. لتقليل هذا الخطر، تعمل IPS على حظر أي محاولات من خادم C2 لتنفيذ تصعيد الامتياز على الأنظمة المستهدفة، وبالتالي منع الوصول غير المصرح به إلى امتيازات أعلى.
تعتمد كوبالت سترايك على أوامر معدة مسبقًا بعد الاستغلال للسيطرة على الأنظمة المخترقة. تكتشف IPS وتمنع تنفيذ هذه الأوامر الصادرة عن خادم C2، مما يضمن إحباط أي محاولات للتلاعب بالمضيف المخترق.
تستخدم كوبالت سترايك تقنيات وأدوات متنوعة للحركة الأفقية داخل الشبكة، بما في ذلك PSexec وSSH وSMB وWinRM. لمواجهة هذه الأساليب، يمكن لـ IPS بالتعاون مع مراقبة الأنشطة المشبوهة (SAM) اكتشاف وحظر هذه البروتوكولات والتقنيات بكفاءة. هذا يمنع انتشار التهديد أفقيًا داخل شبكتك.
في كثير من الأحيان، تستخدم كوبالت سترايك ملفات تعريف C2 القابلة للتشكيل لمحاكاة خدمات شعبية، مثل جي ميل وبينج وباندورا، لمحاولة تجنب الكشف. لمواجهة هذه التقنية المعقدة للتفادي، تستخدم IPS طرق الكشف المصممة خصيصًا للتعرف على وحظر استخدام كوبالت سترايك لملفات تعريف C2 القابلة للتشكيل. هذه الإجراءات الاستباقية تضمن حتى محاولات تمويه الحركة الخبيثة كخدمات حميدة يتم اعتراضها بفعالية، مما يعزز أمان شبكتك.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.