نمودار تحلیل حمله RDP Brute Force و تشخیص آن با Event ID و MITRE ATT&CK

در این بخش از مجموعه شناسایی و تحلیل حملات سایبری، به سراغ چند تکنیک مهم و رایج در زنجیره حمله می‌رویم؛ از افزایش سطح دسترسی (Privilege Escalation) گرفته تا Brute Force روی RDP، اجرای مشکوک PowerShell و در نهایت فرمان‌ و کنترل مبتنی بر DNS. این حملات معمولاً در سناریوهای واقعی به‌صورت مرحله‌ای رخ می‌دهند و شناسایی آن‌ها نیازمند بررسی دقیق لاگ‌ها، رویدادهای ویندوزی مانند Event ID 4688، 4625، 4624 و 4104 و همچنین نگاشت رفتار مهاجم به چارچوب MITRE ATT&CK است. در این مقاله، این تهدیدها را به زبان فنی اما کاربردی بررسی می‌کنیم تا تشخیص و پیشگیری از آن‌ها برای تیم‌های امنیتی و مدیران شبکه ساده‌تر شود.

 

31- Local Privilege Escalation :

ابزار WinPEAS, LinPEAS:

جلوگیری :

1-اجرای Principle of Least Privilege

2-آپدیت نر مافزاره ا

Event ID :

4688 : اجرای فایل مشکوک با دسترسی admin

 

MITRE TTP :

Tactic: Privilege Escalation

Technique: T1068 – Exploitation for Privilege Escalation

 

 :Procedure  بهر هبرداری از آسیبپذیری محلی برای افزایش سطح دسترسی به حقوق بالاتر.

 

Splunk Query :

 

index=wineventlog EventCode=4688

| where Integrity_Level="High" AND (Command_Line="*whoami*" OR Command_Line="*token*")

 

توضیح : دستوراتی که سطح دسترسی رو بررسی یا تغییر میدن .

______________________________________________________________________________

32 - Remote Desktop Protocol (RDP) Brute Force:

ابزارxHydra, Ncrack: 

جلوگیری :

-1محدود کردن تعداد تلاشها

-2استفاده از VPN و MFA

Event ID :

4625 : Failed RDP logon

4624 : برای لاگین موفق بعد از چند شکست

 

MITRE TTP :

Tactic: Initial Access / Credential Access

Technique: T1110.001 – Brute Force: Password Guessing

 

:Procedure تلاش برای ورود به سیستم با آزمودن تعداد زیادی رمز عبور روی سرویسRDP

 

Splunk Query:

 

index=wineventlog EventCode=4625 Logon_Type=10

| stats count by Ip_Address

| where count > 10

 

توضیح : تشخیص تلاشهای زیاد برای اتصال از راه دور .

______________________________________________________________________________

33-Living Off The Land Binaries (LOLBins) :

ابزار  Certutil, PowerShell, WMI:

جلوگیری :

1-محدودسازی اجرای PowerShell و اسکریپت ها

2-استفاده از AppLocker

Event ID :

4688 :اجرای فرآیند مشکوک

4104:Execution of Powershell commands

 

MITRE TTP:

Tactic: Defense Evasion / Execution

Technique: T1218 – Signed Binary Proxy Execution

 

: Procedure استفاده از باینریهای معتبر سیستم )مانند powershell ،rundll32 )  برای اجرای کد مخرب بدون نیاز به فایل های مخرب خارجی

 

Splunk Query :

index=wineventlog EventCode=4688

| where New_Process_Name IN ("certutil.exe", "powershell.exe", "mshta.exe")

 

توضیح : اجرای ابزارهای ویندوزی برای مقاصد مخرب .

______________________________________________________________________________

34- DNS Tunneling:

ابزار Iodine, dnscat2 :

جلوگیری :

-1نظارت بر حجم ترافیک DNS 

2-بلاک دامین های مشکوک

 

MITRE TTP :

Tactic: Command and Control

Technique: T1071.004 – Application Layer Protocol: DNS

 

:Procedure  استفاده از پروتکل DNS برای انتقال دادههای مخرب یا کنترل از راه دور در شبکه .

 

Splunk Query :

index=dnslogs

| stats count, avg(len(query)) as avg_len by src_ip

| where avg_len > 50 AND count > 100

 

توضیح : درخواستهای DNS با طول زیاد و تکرار بالا، علامت تونلینگ است .

______________________________________________________________________________

35 - Data Exfiltration:

ابزار PowerShell, Netcat, FTP:

جلوگیری :

 DLP-1

-2بررسی حجم ترافیک مشکوک

Event ID :

5156 :اتصال شبکه مجاز

Sysmon Event ID 3 (Network Connection)

 

MITRE TTP :

Tactic: Exfiltration

Technique: T1041 – Exfiltration Over C2 Channel

 

:Procedure ارسال دادههای حساس به بیرون از شبکه از طریق کانالهای مخفی یا رمزگذاری شده.

 

Splunk Query با  Sysmon :

 

index=sysmon EventCode=3

| stats count by DestinationIp, Process_Name

| where DestinationIp="IP مشکوک " OR count > 100

 

توضیح : ارتبا ط های زیاد یا ناشناخته با آدر س های خارجی .

 

نظرات کاربران

اخبار و رسانه های مرتبط

مشاهده همه