درواقع Pyramid of Pain یک هرم میباشد که به ما در فرآيند کشف و شکار تهدیدات به واسطه Cyber Threat Intelligence کمک میکند. این هرم تشکیل شده از چندین بخش مختلف میباشد و توسط FireEye ارائه شده است گرچه بعضی از این مقدار ها موجود در این هرم به شکلی هستند که استفاده چندانی نمیتوانند داشته باشند اما به شکل معقولی تر هر روشی و فرآیندی که بتواند به ما در ارتقا امنیت کمک کند اصولا باید بکارگیری شود.
معرفی اجزا Pyramid of Pain
مقادیر هش ( Hash Values )
مقدار های Hash در Pyramid of Pain به عنوان یک مقدار Trivial شناخته میشوند که این به این معناست که استفاده چندانی را نمیتوانیم از این مقدار ها برای کشف حملات داشته باشیم زیرا مقدار های Hash به راحتی میتوانند تغییر پیدا کنند. ما به واسطه مقدار های Hash مانند MD5 و خانواده SHA توانایی این را داریم که بد افزار های که از Hash خاصی استفاده میکنند آنهارا کشف کنیم اما این فرآيند همانطور که گفتیم به راحتی دور زده میشود و افراد مخرب میتوانند از تکنیک های متنوعی همچون Polymorphic و Metamorphic استفاده کنند.
آدرس های IP
این آدرس ها جزوه حالت Easy یا راحت میباشند و به راحتی میتوانند از طریق Proxy List و سرویس های متنوع مانند Tor و I2P ناشناس بمانند و همچنین افراد میتوانند از ابزار های مختلف برای تغییر آدرس IP خود در هر چند ثانیه استفاده کنند. نام دامنه ( Doamin Name ): نام های دامنه جزوه دسته Simple یا ساده قرار میگیرند و اصولا بخشی از زیرساخت یک حمله یا یک نرم افزار مخرب را تشکیل میدهند و این نام دامنه میتواند نام های متنوعی را داشته باشد مانند ExploitMalware.com و یا ExploitKit2020.com که مهاجمین از این نام های ساده استفاده نمیکنند و اصولا از DGA یا همان Domain Generated Algorithm استفاده میکنند و نام های دامنه بسیار طولانی و سختی را تولید میکنند و مکانیزم هارا دور میزند.
مصنوعات شبکه ( Network Artifacts )
درواقع این قسمت شامل شواهد موجود بر فعالیت های مخرب در شبکه میشود و میتواند شامل مباحث متنوعی از جمله Certificate ها و ترافیک های مخرب سرور های C2 و تمامی رفتارهای ناشناخته بر روی دیوایس های IoT
مصنوعات میزبان ( Host Artifacts )
این ممکن است شامل یک اشکال در رجیستری، یک کار برنامه ریزی شده یا فایل هایی باشد که در فایل سیستم قرار گرفته اند و فرآيند مخربی را به انجام میرسانند.
ابزارها (Tools)
نرم افزاری است که دشمن برای انجام فعالیت های مختلف مانند ایجاد درهای پشتی یا همان Backdoor ها و یا برای ایجاد یک کانال C2 و کرکرهای رمز عبور استفاده و بکارگیری میکند.
تاکتیک ها ، تکنیک ها و رویه ها (TTPs)
درواقع کلمه TTP از سه بخش مختلف Tactics, Techniques و Procedures شناخته میشود که به ترتیب به معنای تاکتیک ها ، تکنیک ها و رویه ها میباشد که هرکدام از این سه بخش مفهوم و معنای خاص خودش را دارد اما به صورت کلی از طریق TTP ما توانایی این را داریم که رفتارها و روش های مختلفی را که هکرها برای نفوذ و حمله استفاده میکنند را توصیف کنیم و به شکل بهتری توانایی کشف اشکالات و نفوذهای موجود درون سازمان را داشته باشیم.
