با گسترش تهدیدات دیجیتال، شناسایی و تحلیل حملات سایبری به یکی از مهمترین نیازهای تیمهای امنیتی تبدیل شده است. در این بخش از مجموعه، به بررسی چند نمونه از حملات رایج و مؤثر مانند TGS Abuse، فیشینگ، Spear Phishing، باجافزار و DDoS میپردازیم و برای هرکدام، نشانههای فنی، روشهای شناسایی، ابزارهای مورد استفاده و راهکارهای دفاعی را مرور میکنیم. این مقاله با تمرکز بر محیطهای SIEM و Splunk نوشته شده و میتواند به تحلیل بهتر رخدادهای امنیتی و افزایش آمادگی سازمانها در برابر حملات کمک کند.
____________________________________________________________________________
16-Ticket Granting Service (TGS) Abuse :
شرح حمله : هکر با استفاده از ابزارهایی مثل Kerbrute ، برای اکانتهای مختلف TGS درخواست میده تا سروی سهایی که در شبکه وجود دارن رو شناسایی کنه .
ابزارKerbrute :
جلوگیری:
:1تعداد درخواستهای TGS در زمان کوتاه رو محدود کنید
2:ترافیک KDC مانیتور شود
3:احراز هویت چند مرحل های فعال شود
Event ID مرتبط :
: 4769درخواست تیکت برای سرویس (TGS Request)
:MITRE TTP
Tactic Credential Access:
:Technique T1558 – Steal or Forge Kerberos Tickets
Procedure : سو استفاده از TGS برای گرفتن تیکتهای سرویس و استخراج هشهای آ نها .
Splunk Query:
index=wineventlog EventCode=4769
| stats count by Client_Address, TargetUserName, Service_Name
| where count > 10
توضیح کوئری : اگر از یک IP خاص تعداد زیادی درخواست برای سرویسهای مختلف بیاد، میتونه نشون های از reconnaissance با Kerbrute باشه (TGS enumeration) .
_____________________________________________________________________________________
17 – Phishing:
ابزارGophish : ، SET
جلوگیری : 1 -آموزش کاربران
-2فیلتر ایمیل
3-استفاده از MFA
-4افزایش تعداد کلیک روی لینکهای مشکوک
5-شکایات کاربران درباره ایمیلهای عجیب
6-استفاده از Email Filtering Systems )مثل Proofpoint, Mimecast )
تشخیص و شناسایی : کوئری خاصی نداره، اما میشه ایمیل های مشکوک با پیوستها یا لینکهای ناشناس رو باEmail Gateway Logs یا EDR tools مانیتور کرد.
MITRE TTP :
Tactic: Initial Access
Technique: T1566 – Phishing
:Procedure ارسال ایمیل حاوی لینک یا فایل مخرب برای فریب کاربر و اجرای کد یا جمع آوری اطلاعات ورود .
_____________________________________________________________________________________
18 - Spear Phishing :
ابزار Social-Engineer Toolkit:
جلوگیری :
1-آگاه یرسانی هدفمند به کاربران VIP
MFA-2 برای حسابهای حساس
3-تحلیل محتوای ایمیل با DLP
4-مانیتور کردن ارسال فایل یا لینک از طرف کاربران مهم
تشخیص و شناسایی : کوئری مشخصی نداره چون معمولا از طریق ایمیل انجام میشه
MITRE TTP :
Tactic: Initial Access
Technique :
T1566.001 – Spearphishing Attachment
T1566.002 – Spearphishing Link
: Procedure حملات هدفمند به افراد خاص با ایمیلهایی که شامل پیوست یا لینک مخرب هستند .
_____________________________________________________________________________________
19 – Ransomware :
ابزارLockBit, WannaCry:
جلوگیری:
-1بکاپ گیری منظم
-2 استفاده از EDR
-3 آموزش کاربران
Event ID های مرتبط :
4688 : ایجاد پردازش اجرای فایل رمزگذاری کننده
4663 : دسترسی به فایلها
5156 : ایجاد ارتباط شبکه ای
MITRE TTP :
Tactic: Impact
Technique: T1486 – Data Encrypted for Impact
: Procedure رمزگذاری فایلهای قربانی و درخواست باج برای بازیابی اطلاعات.
Splunk Query :
index=wineventlog EventCode=4688
| where Parent_Process_Name="explorer.exe" AND (New_Process_Name="*.exe" OR New_Process_Name="*.bat")
| stats count by New_Process_Name, Account_Name, Command_Line
توضیح کوئری : بررسی اجرای فای لهای اجرایی مشکوک توسط کاربران. رمزنگارها معمولا با explorer اجرا میشن و
فعالیت شدیدی دارن د .
_____________________________________________________________________________________
20-DDoS :
ابزارLOIC, HOIC :
جلوگیری : 1 -استفاده از CDN و WAF
2-نرخ محدودسازی (Rate Limiting)
3 -مانیتور ترافیک ناگهانی از یک IP یا چندین IP مشابه
-4لاگهای فایروال و IDS/IPS ها )مانند Suricata )
تشخیص و شناسایی : کوئری خاص Event ID نداره، چون معمولا روی لایه شبکه انجام میشه.
MITRE TTP :
Tactic: Impact
Technique: T1499 – Endpoint Denial of Service
: Procedureایجاد ترافیک بالا برای از کار انداختن سرورها یا خدمات آنلاین .


