საკვანძო სიტყვები
პოსტ-ექსპლუატაცია
F5 WAF
ვებ აპლიკაციების Firewall-ის გვერდის ავლა
ენკოდირება
შიფრაცია
კიბერუსაფრთხოება
მართვა და კონტროლი
C2
სტატიკური ანალიზი
დინამიური ანალიზი
SIEM
IDS/IPS
როგორ უნდა ციტირება
ანოტაცია
კიბერშეტევის პოსტ-ექსპლუატაციის ფაზაში კიბერდამნაშავეები აღწევენ თავიანთ საბოლოო მიზნებს, რომლებიც ხშირად ფოკუსირებულია მნიშვნელოვანი მონაცემების ექსფილტრაციაზე. მიუხედავად იმისა, რომ ვებ აპლიკაციების Firewall-ები (WAF), მაგალითად, როგორიცაა F5 Networks, კრიტიკულ თავდაცვის ფენას წარმოადგენს. მათი დამოკიდებულება სტატიკურ და ხელმოწერაზე დაფუძნებულ აღმოჩენაზე შეიძლება მნიშვნელოვანი დაუცველობის მიზეზი გახდეს. ეს სტატია იკვლევს პრაქტიკულ მეთოდოლოგიას F5 WAF დაცვის გვერდის ავლით, რათა უზრუნველყოფილი იყოს მონაცემთა ეფექტური ექსფილტრაცია საწყისი კომპრომეტირების შემდეგ. ტექნიკა მოიცავს მრავალშრიანი ენკოდირების სქემას (Base64, Reversal და Hexadecimal კოდირება), რომლებიც გამოიყენება როგორც თავდამსხმელის ბრძანებებზე HTTP მოთხოვნაში, ასევე მოპარულ მონაცემებზე HTTP პასუხში. ეს პროცესი ეფექტურად ფარავს მავნე ბრძანებებს თავდაცვის სტატიკური წესების ნაკრებებისგან. სტატიაში დეტალურადაა განხილული ეტაპობრივი მეთოდოლოგია, სტატიკური ანალიზის თანდაყოლილი შეზღუდვები WAF-ებში და წარმოდგენილია პოტენციური გადაწყვეტილებები თავდაცვისთვის, მათ შორის დინამიური ანალიზი, პარამეტრების ვალიდაცია და ქცევითი ანომალიების აღმოჩენა. დასკვნა ხაზს უსვამს ცვალებად საფრთხეთა ლანდშაფტს და გვთავაზობს სამომავლო კვლევის მიმართულებებს, როგორიცაა მორგებული დაშიფვრის და ასიმეტრიული კრიპტოგრაფიის გამოყენება მონაცემების უფრო დახვეწილი გზებით ექსფილტრაციისთვის.
წყაროები
A. Bichnigauri, I. Kartvelishvili, L. Shonia - “Development and implementation of a model of an effective mechanism for preventing phishing and malicious code websites in a web browser environment”, Georgian Technical University International Scientific-Practical Conference “Modern Challenges and Achievements in Information Technologies - 2023”
A. Bichnigauri, O. Shonia - “Means for detecting IoT devices in a local network to ensure their cybersecurity”, Scientific Works. Automated Control Systems. № 1(32), Vol.1. Tbilisi, 2021
A. Bichnigauri, O. Shonia, T. Kaishauri - "Detecting Suspicious Domain Names for Cyber Threat Identification Using CTL Technology", International Scientific-Practical Conference "Innovations and Modern Challenges - 2022" dedicated to the 100th anniversary of the Georgian Technical University and the 65th anniversary of the Faculty of Information Systems, Tbilisi, 2022
OWASP CRS: https://owasp.org/www-project-modsecurity-core-rule-set/
F5 Networks, "What is a Web Application Firewall (WAF)?", https://www.f5.com/glossary/web-application-firewall-waf
MITRE ATT&CK, "Obfuscated Files or Information - T1027", https://attack.mitre.org/techniques/T1027/
MITRE ATT&CK, "Exfiltration - T1020", https://attack.mitre.org/techniques/T1020/