کتاب Evasion Engineering

کتاب Evasion Engineering: Building Custom Red Team Tools for Modern Defenses (مهندسی دور زدن دفاع: ساخت ابزارهای تیم قرمز سفارشی برای دفاع‌های مدرن) یک راهنمای عملی و تخصصی برای متخصصان امنیت سایبری، اعضای تیم قرمز (Red Team) و تست‌کنندگان نفوذ است که به دنبال درک عمیق تکنیک‌های پیشرفتهٔ دور زدن مکانیزم‌های دفاعی مدرن و ساخت ابزارهای اختصاصی خود هستند.

این کتاب فراتر از استفاده از ابزارهای آماده و متداول رفته و به خواننده نشان می‌دهد که چگونه با درک اصول بنیادین سیستم‌عامل‌ها، شبکه، آنتی‌ویروس‌ها، EDRها (تشخیص و پاسخگویی نقاط پایانی) و سایر لایه‌های دفاعی، بتواند روش‌های سفارشی و ناشناخته‌ای (نویز صفر یا کمترین رد پا) برای اجرای کد، پایداری، افزایش اختیارات و انتقال جانبی طراحی و پیاده‌سازی کند.

در ادامه مقدمه‌ای از کتاب Evasion Engineering را از زبان نویسنده شرح خواهیم داد.

مقدمه‌ای بر کتاب Evasion Engineering:

دههٔ گذشته در حوزهٔ امنیت سایبری، به بازی بی‌امان گربه و موش بین فعالان تیم قرمز و مدافعانی که رفتارها و نشانه‌های فعالیت‌های تهاجمی را شناسایی می‌کردند، شباهت داشته است. مدافعان اکنون به ابزارهای پیشرفته و مقیاس‌پذیر تشخیص تهدید مجهز شده‌اند و در نتیجه، تست‌کنندگان نفوذ و تیم‌های قرمز به سرعت مزیت‌های خود در زمینهٔ دور زدن دفاع را از دست می‌دهند. حتی تغییر payloadهای قبلاً استفاده‌شده نیز برای مخفی ماندن آن‌ها کافی نیست.

پیشرفت در ابزارهای تشخیصی، تکامل استراتژیکی را در فنون عملیاتی مهاجمان نیز تحمیل کرده است. گروه‌های تهدید با تأثیر بالا، اکنون payloadهای سفارشی را از پایه و با استفاده از زبان‌هایی خارج از خانوادهٔ زبان C می‌سازند و تاکتیک‌ها، تکنیک‌ها و رویه‌های خود را به طور خاص برای دور زدن تشخیص‌های امضامحور و اکتشافی بهینه می‌کنند. گروه‌های تهدید قابل توجهی مانند BlackCat (با نام ALPHV) و COLD RIVER (با نام Star Blizzard) تا یک سال پیش از اینکه محققان بتوانند payloadهای آن‌ها را به طور کامل شناسایی و مهندسی معکوس کنند، به صورت ناشناخته فعالیت می‌کردند.

برای دستیابی به نقاط عطف قراردادهای تست نفوذ، متخصصان امنیت تهاجمی امروزی تقریباً همیشه باید به میزان زیادی اکسپلویت‌ها و payloadهای خود را تغییر دهند. هنگامی که این ابزارها در طول جلسات پایانی پس از انجام تست به مشتریان ارائه می‌شوند، به سرعت شناسایی شده و برای عملیات‌های آینده غیرقابل استفاده می‌شوند. عملیات‌های مدرن به payloadها و ابزارهایی نیاز دارند که برای مدت طولانی‌تری از تشخیص دور بمانند و قابلیت استفادهٔ مجدد مبتنی بر TTP را در چندین عملیات ارائه دهند.

کتاب Evasion Engineering دقیقاً همین جا وارد عمل می‌شود. به جای اینکه مجموعهٔ دیگری از ابزارها را در اختیار شما قرار دهد که در یک قرارداد مصرف خواهید کرد، هدف ما کمک به شما برای توسعهٔ payloadهای سفارشی با در نظر گرفتن قابلیت‌های یک مدافع است. ما بررسی خواهیم کرد که چگونه ابزارهای کاملی را برای TTPهای رایج طراحی و بسازیم که ردپای ایستا و مصنوعات به راحتی اثرانگشت‌شونده را به حداقل برسانند، بدون استفاده از باینری‌های زندگی از روی زمین (LOLBins). با تسلط بر اصول ارائه‌شده در تمرین‌های عملی، مهارت‌هایی را به دست خواهید آورد که به جای تکیه بر مبهم‌سازی نشانگرها، در سطح رفتاری از تشخیص اجتناب کنید.

کتاب Evasion Engineering برای چه کسانی است:

این کتاب برای تست‌کنندگان نفوذی در نظر گرفته شده است که به دنبال تبدیل شدن به فعالان ماهر تیم قرمز هستند. برای گرفتن بیشترین بهره از هر تمرین عملی، باید تجربهٔ استفاده و خودکارسازی وظایف برای فناوری‌های وب، ابر، لینوکس و شبکه را داشته باشید. حتی اگر از قبل با سایر حوزه‌های امنیت آشنایی دارید، بینش‌های ارزشمندی در مورد نحوهٔ کارکرد TTPهای مختلف در سطحی بسیار عمیق‌تر به دست خواهید آورد. فصل‌ها همچنین به طور گسترده از چندین ارائه‌دهندهٔ خدمات ابری و زبان برنامه‌نویسی Go استفاده می‌کنند. اگر در هیچ کدام تجربه ندارید، حتماً ضمیمه را بخوانید.

کتاب Evasion Engineering برای چه کسانی نیست:

اگر یک تحلیلگر یا مهندس مبتدی هستید که مهارت عملی محدودی در سیستم‌های سازمانی، ابر، وب و اسکریپت‌نویسی دارید، این کتاب برای شما نیست. ما تفسیر کد، مفاهیم سیستم عامل در سطح پشت صحنه، یا فناوری‌های بنیادی که برای درک فعالیت‌های هر فصل بسیار حیاتی هستند را پوشش نمی‌دهیم. این مباحث در منابع بسیاری دیگر پوشش داده شده‌اند و شما باید قبل از اقدام به تمرین‌های عملی این کتاب، بر آن‌ها مسلط شوید.

نحوهٔ سازماندهی کتاب Evasion Engineering:

این کتاب در ۱۰ فصل و در ۳ بخش سازماندهی شده است.

بخش اول کتاب Evasion Engineering: مبانی تیم قرمز – اصول طراحی و محدوده‌بندی payloadها برای اثربخشی بلندمدت را پوشش می‌دهد.

• فصل ۱: اصول طراحی و توسعهٔ نرم‌افزار – «سه آر» (استواری، قابلیت استفادهٔ مجدد و قابلیت اطمینان) را از طریق تکنیک‌های توسعهٔ عملی معرفی می‌کند.
• فصل ۲: استراتژی‌های دور زدن دفاع – به بررسی دور زدن تشخیص از طریق تصادفی‌سازی زمان‌بندی، رمزگذاری کم‌آنتروپی سفارشی، شمارش مبتنی بر فراخوانی سیستمی (syscall)، پدینگ استراتژیک فایل، امضای کد و انتخاب زبان برای به تأخیر انداختن تحلیل قانونی می‌پردازد.

بخش دوم کتاب Evasion Engineering: توسعهٔ ابزارهای دور زنندهٔ دفاع عملی – بر توسعهٔ سفارشی TTPها در تمرین‌های عملی متمرکز است.

• فصل ۳: شمارش با هدایت مجدد ترافیک – به شما می‌آموزد چگونه شمارش مبتنی بر ابر را با استفاده از CloudFormation برای استقرار اسکنرهای Lambda و پروکسی‌های EC2 دارای Tailscale خودکار کنید.
• فصل ۴: توسعهٔ ایمپلنت‌های فرماندهی و کنترل – جزئیات یک ایمپلنت C2 در Go با استفاده از GCP Firestore برای صف‌بندی دستورات را شرح می‌دهد.
• فصل ۵: ایجاد اکسپلویت‌های جانبی با کرم‌ها – شما را در پیاده‌سازی یک کرم SSH در Go با محافظ‌هایی مانند تشخیص هانی‌پات، فایل‌های Mutex برای جلوگیری از آلودگی مجدد، و تایمرهای خودپایانی راهنمایی می‌کند.
• فصل ۶: شمارش محلی بدون LOLBins – نشان می‌دهد که چگونه با پنج ابزار مبتنی بر Go که از اجرای شل جلوگیری می‌کنند، جایگزین LOLBins رایج شوید.
• فصل ۷: دور زدن تشخیص با پکینگ ترکیبی – یک گردش کار پکینگ سه مرحله‌ای را پوشش می‌دهد که فایل‌های اجرایی را به شل‌کد تبدیل می‌کند، آن را فشرده و در قالب آدرس‌های IPv4 در فایل‌های متنی بی‌ضرر پنهان می‌کند.
• فصل ۸: مرحله‌بندی و خروج مخفیانهٔ داده – نحوهٔ دور زدن جلوگیری از اتلاف داده (DLP) و تشخیص مبتنی بر امضا را از طریق یک لولهٔ خروج مخفیانه نشان می‌دهد.

بخش سوم کتاب Evasion Engineering: تست و اعتبارسنجی – مکانیزم‌های دفاعی برای تشخیص ابزارهای توسعه‌یافته در تمرین‌های بخش دوم را شرح می‌دهد.

• فصل ۹: ساخت ابزارهای تشخیص – یک تحلیلگر باینری Go و یک تشخیص‌دهندهٔ شبکهٔ پایتون را ترکیب می‌کند.
• فصل ۱۰: اجرای افشای کنترل‌شده – الگوهای CloudFormation که عملیات مشکوک IAM لمبدا و TTPهای باج‌افزاری را شبیه‌سازی می‌کنند، و آزمایش تشخیص از طریق CloudTrail، متریک‌های CloudWatch و پایش فایل مبتنی بر آنتروپی را نشان می‌دهد.

سرفصل‌های کتاب Evasion Engineering:

• Cover Page
• Title Page
• Copyright Page
• Dedication Page
• About the Authors
• About the Technical Reviewer
• BRIEF CONTENTS
• CONTENTS IN DETAIL
• FOREWORD
• ACKNOWLEDGMENTS
• INTRODUCTION
• PART I: RED TEAMING FUNDAMENTALS
  • 1 PRINCIPLES OF APPLICATION DESIGN AND DEVELOPMENT
  • 2 EVASION STRATEGIES
• PART II: HANDS-ON EVASIVE TOOL DEVELOPMENT
  • 3 ENUMERATING WITH TRAFFIC REDIRECTION
  • 4 DEVELOPING COMMAND-AND-CONTROL IMPLANTS
  • 5 CREATING LATERAL EXPLOITS WITH WORMS
  • 6 ENUMERATING LOCALLY WITHOUT LOLBINS
  • 7 BYPASSING DETECTION WITH HYBRID PACKING
  • 8 STAGING AND EXFILTRATING DATA COVERTLY
• PART III: TESTING AND VALIDATION
  • 9 BUILDING DETECTION TOOLS
  • 10 EXECUTING CONTROLLED REVEALS
• APPENDIX: TECHNICAL PREREQUISITES
• INDEX

جهت دانلود کتاب Evasion Engineering می‌توانید پس از پرداخت، دریافت کنید.