در دنیای امروز، حملات سایبری دیگر صرفاً یک تهدید فنی نیستند، بلکه به یکی از جدی‌ترین چالش‌های امنیتی برای سازمان‌ها، کسب‌وکارها و حتی کاربران عادی تبدیل شده‌اند. بسیاری از این حملات در ظاهر ساده به نظر می‌رسند، اما در پشت صحنه با الگوهای پیچیده، رفتارهای هدفمند و روش‌های پنهان‌سازی پیشرفته اجرا می‌شوند. به همین دلیل، شناسایی به‌موقع نشانه‌های حمله و تحلیل دقیق آن‌ها، نقش بسیار مهمی در کاهش خسارت، جلوگیری از گسترش نفوذ و تقویت دفاع سایبری دارد.

 
در این مقاله، به صورت مقدماتی اما کاربردی، به مفهوم شناسایی و تحلیل حملات سایبری می‌پردازیم و بررسی می‌کنیم که چگونه می‌توان نشانه‌های اولیه تهدید را تشخیص داد و دید بهتری نسبت به رفتار مهاجمان به دست آورد. این مطلب، بخش اول از یک مجموعه مقالات ادامه‌دار است و در بخش‌های بعدی، ابعاد مختلف این موضوع را با جزئیات بیشتر، مثال‌های عملی‌تر و رویکردی عمیق‌تر دنبال خواهیم کرد.
 

1-Golden Ticket Attack :

شرح حمله : ساخت تیکت TGT جعلی با استفاده از هش حساب krbtgt برای دسترسی به منابع دامنه

بدون احراز هویت واقعی

 .

ابزار : Mimikatz

جلوگیری : تغییر دور های رمز عبور حساب krbtgt و مانیتورینگ لاگهای Kerberos .

 

Event ID های مرتبط :

:4768 درخواست تیکت TGT .

:4769 درخواست تیکت سرویس (TGS) .

4624 :ورود موفق به سیستم.

 

:MITRE TTP 

: Tactic Credential Access

: TechniqueT1558.001 – Steal or Forge Kerberos Tickets: Golden Ticket

:Procedureمهاجم با دسترسی به هش حساب krbtgt ، بلیط TGT جعلی ایجاد میکند که

امکان دسترسی دائمی به منابع دامنه را فراهم میکند.

 

 

Splunk Query:

index=wineventlog (EventCode=4768 OR EventCode=4769 OR EventCode=4624)

| eval TicketOptions=coalesce(Ticket_Options, "")

| eval Suspicious=if(EventCode=4768 AND like(TicketOptions, "%0x40810010%"), "Yes", "No")

| stats count by TargetUserName, Suspicious, EventCode

 

توضیح کوئری : این کوئری رویدادهای مربوط به درخواست تیکتهای Kerberos و ورودهای موفق

را بررسی میکند. ب هویژه، تیکتهایی با گزینه های غیرمعمول مانند 0x40810010 که ممکن است

نشا ندهنده تیکتهای جعلی باشند، شناسایی میشوند .

 

index=wineventlog EventCode=4624

| where Logon_Type=3 AND Account_Name="krbtgt"

 

توضیح : ورود با بلیط جعلی ساختهشده با کلید krbtgt

____________________________________________________________

 2-Silver Ticket Attack :

شرح حمله : ساخت تیکت TGS جعلی برای دسترسی مستقیم به یک سرویس خاص بدون نیاز به TGT

 

 

ابزار: Mimikatz

 

جلوگیری : تغییر رمز حسا بهای سرویس و بررسی لاگهای مرتبط با سرویسها و مانیتور

درخواست های بدون TGT .

 

Event ID های مرتبط :

: 4624  ورود موفق به سیستم .

4769  : درخواست تیکت سرویس (TGS) .

 

:MITRE TTP

:TacticCredential Access

:TechniqueT1558.002 – Steal or Forge Kerberos Tickets: Silver Ticket

:Procedure مهاجم با استخراج کلید رمزنگاری سرویس (Service Account) ، یک TGS جعلی

میسازد که اجازه دسترسی به سرویس مشخصی را میدهد .

Splunk Query:

index=wineventlog (EventCode=4624 OR EventCode=4769)

| transaction TargetUserName startswith=(EventCode=4769) endswith=(EventCode=4624)

| search NOT EventCode=4769

| stats count by TargetUserName, LogonType, AuthenticationPackageName

 

توضیح کوئری : این کوئری به دنبال ورودهای موفق با استفاده از تیکتهای Kerberos است که

بدون درخواست تیکت سرویس (TGS) انجام شدهاند، که میتواند نشا ندهنده حمله Silver Ticket باشد . .

 

 3-Pass-the-Hash (PtH)

شرح حمله : استفاده از هش رمز عبور برای احراز هویت بدون دانستن رمز واقعی .

ابزار: Mimikatz

 

جلوگیری:

 -1استفاده از Credential Guard

2 - LAPS و محدود کردن استفاده از پروتکل NTLM .

-2حسابهای local با رمزهای متفاوت

 

Event ID های مرتبط :

:4624  ورود موفق به سیستم .

:4776  احراز هویت با استفاده از NTLM 

4624  :نوع ورود Type 9 - استفاده از hash 

4648 : Logon with explicit credentials

 

MITRE TTP:

:Tactic Lateral Movement

:TechniqueT1550.002 – Use Alternate Authentication Material: Pass the Hash

Procedure: مهاجم با هش NTLM یک کاربر، بدون دانستن رمز عبور، در سیستمهای دیگر

لاگین میکند .

 

Splunk Query:

index=wineventlog (EventCode=4624 OR EventCode=4776)

| stats count by Account_Name, Logon_Type, Authentication_Package

 

توضیح کوئری : این کوئری ورودهای موفق با استفاده از NTLM را بررسی میکند. ورودهای متعدد

با استفاده از NTLM میتواند نشا ندهنده حمله Pass-the-Hash باشد .

Splunk Query:

index=wineventlog EventCode=4624 Logon_Type=9

| stats count by Account_Name, Ip_Address

توضیح : ورود به سیستم با استفاده از hash به جای رمز واقعی .

 

نظرات کاربران

اخبار و رسانه های مرتبط

مشاهده همه