تصویر مرتبط با شناسایی و تحلیل حملات سایبری، فیشینگ، باج‌افزار و DDoS

با گسترش تهدیدات دیجیتال، شناسایی و تحلیل حملات سایبری به یکی از مهم‌ترین نیازهای تیم‌های امنیتی تبدیل شده است. در این بخش از مجموعه، به بررسی چند نمونه از حملات رایج و مؤثر مانند TGS Abuse، فیشینگ، Spear Phishing، باج‌افزار و DDoS می‌پردازیم و برای هرکدام، نشانه‌های فنی، روش‌های شناسایی، ابزارهای مورد استفاده و راهکارهای دفاعی را مرور می‌کنیم. این مقاله با تمرکز بر محیط‌های SIEM و Splunk نوشته شده و می‌تواند به تحلیل بهتر رخدادهای امنیتی و افزایش آمادگی سازمان‌ها در برابر حملات کمک کند.

____________________________________________________________________________

 

16-Ticket Granting Service (TGS) Abuse :

شرح حمله : هکر با استفاده از ابزارهایی مثل Kerbrute ، برای اکانتهای مختلف TGS درخواست میده تا سروی سهایی که در شبکه وجود دارن رو شناسایی کنه .

ابزارKerbrute :

جلوگیری:

:1تعداد درخواستهای TGS در زمان کوتاه رو محدود کنید

2:ترافیک KDC مانیتور شود

3:احراز هویت چند مرحل های فعال شود

Event ID مرتبط   :

: 4769درخواست تیکت برای سرویس (TGS Request)

:MITRE TTP

Tactic Credential Access:

:Technique T1558 – Steal or Forge Kerberos Tickets

Procedure    : سو استفاده از TGS برای گرفتن تیکتهای سرویس و استخراج هشهای آ نها .

Splunk Query:

index=wineventlog EventCode=4769

| stats count by Client_Address, TargetUserName, Service_Name

| where count > 10

توضیح کوئری : اگر از یک IP خاص تعداد زیادی درخواست برای سرویسهای مختلف بیاد، میتونه نشون های از reconnaissance با Kerbrute باشه (TGS enumeration) .

 

_____________________________________________________________________________________

17 – Phishing:

ابزارGophish :  ، SET

جلوگیری : 1 -آموزش کاربران

-2فیلتر ایمیل

3-استفاده از MFA

-4افزایش تعداد کلیک روی لینکهای مشکوک

5-شکایات کاربران درباره ایمیلهای عجیب

6-استفاده از Email Filtering Systems )مثل Proofpoint, Mimecast )

تشخیص و شناسایی : کوئری خاصی نداره، اما میشه ایمیل های مشکوک با پیوستها یا لینکهای ناشناس رو باEmail Gateway Logs یا EDR tools مانیتور کرد.

 

MITRE TTP :

Tactic: Initial Access

Technique: T1566 – Phishing

 

   :Procedure ارسال ایمیل حاوی لینک یا فایل مخرب برای فریب کاربر و اجرای کد یا جمع آوری اطلاعات ورود .

_____________________________________________________________________________________

18 - Spear Phishing :

ابزار  Social-Engineer Toolkit:

جلوگیری :

1-آگاه یرسانی هدفمند به کاربران VIP

 MFA-2 برای حسابهای حساس

3-تحلیل محتوای ایمیل با DLP

4-مانیتور کردن ارسال فایل یا لینک از طرف کاربران مهم

تشخیص و شناسایی : کوئری مشخصی نداره چون معمولا از طریق ایمیل انجام میشه

 

MITRE TTP :

Tactic: Initial Access

Technique :

T1566.001 – Spearphishing Attachment

T1566.002 – Spearphishing Link

 

  :  Procedure حملات هدفمند به افراد خاص با ایمیلهایی که شامل پیوست یا لینک مخرب هستند .

_____________________________________________________________________________________

19 – Ransomware :

ابزارLockBit, WannaCry:

 جلوگیری:

-1بکاپ گیری منظم

-2 استفاده از EDR

-3 آموزش کاربران

Event ID های مرتبط :

4688 : ایجاد پردازش اجرای فایل رمزگذاری کننده

4663 : دسترسی به فایلها

5156 : ایجاد ارتباط شبکه ای

 

MITRE TTP :

Tactic: Impact

Technique: T1486 – Data Encrypted for Impact

  :  Procedure رمزگذاری فایلهای قربانی و درخواست باج برای بازیابی اطلاعات.

 

Splunk Query :

index=wineventlog EventCode=4688

| where Parent_Process_Name="explorer.exe" AND (New_Process_Name="*.exe" OR New_Process_Name="*.bat")

| stats count by New_Process_Name, Account_Name, Command_Line

 

توضیح کوئری : بررسی اجرای فای لهای اجرایی مشکوک توسط کاربران. رمزنگارها معمولا با explorer اجرا میشن و

فعالیت شدیدی دارن د .

_____________________________________________________________________________________

20-DDoS :

ابزارLOIC, HOIC  :  

جلوگیری : 1 -استفاده از CDN و WAF

2-نرخ محدودسازی (Rate Limiting)

-مانیتور ترافیک ناگهانی از یک IP یا چندین IP مشابه

-4لاگهای فایروال و IDS/IPS ها )مانند Suricata )

تشخیص و شناسایی : کوئری خاص Event ID نداره، چون معمولا روی لایه شبکه انجام میشه.

 

MITRE TTP :

Tactic: Impact

Technique: T1499 – Endpoint Denial of Service

 

  :  Procedureایجاد ترافیک بالا برای از کار انداختن سرورها یا خدمات آنلاین .

 

نظرات کاربران

اخبار و رسانه های مرتبط

مشاهده همه