در این بخش از مجموعه شناسایی و تحلیل حملات سایبری، به سراغ چند تکنیک مهم و رایج در زنجیره حمله میرویم؛ از افزایش سطح دسترسی (Privilege Escalation) گرفته تا Brute Force روی RDP، اجرای مشکوک PowerShell و در نهایت فرمان و کنترل مبتنی بر DNS. این حملات معمولاً در سناریوهای واقعی بهصورت مرحلهای رخ میدهند و شناسایی آنها نیازمند بررسی دقیق لاگها، رویدادهای ویندوزی مانند Event ID 4688، 4625، 4624 و 4104 و همچنین نگاشت رفتار مهاجم به چارچوب MITRE ATT&CK است. در این مقاله، این تهدیدها را به زبان فنی اما کاربردی بررسی میکنیم تا تشخیص و پیشگیری از آنها برای تیمهای امنیتی و مدیران شبکه سادهتر شود.
31- Local Privilege Escalation :
ابزار WinPEAS, LinPEAS:
جلوگیری :
1-اجرای Principle of Least Privilege
2-آپدیت نر مافزاره ا
Event ID :
4688 : اجرای فایل مشکوک با دسترسی admin
MITRE TTP :
Tactic: Privilege Escalation
Technique: T1068 – Exploitation for Privilege Escalation
:Procedure بهر هبرداری از آسیبپذیری محلی برای افزایش سطح دسترسی به حقوق بالاتر.
Splunk Query :
index=wineventlog EventCode=4688
| where Integrity_Level="High" AND (Command_Line="*whoami*" OR Command_Line="*token*")
توضیح : دستوراتی که سطح دسترسی رو بررسی یا تغییر میدن .
______________________________________________________________________________
32 - Remote Desktop Protocol (RDP) Brute Force:
ابزارxHydra, Ncrack:
جلوگیری :
-1محدود کردن تعداد تلاشها
-2استفاده از VPN و MFA
Event ID :
4625 : Failed RDP logon
4624 : برای لاگین موفق بعد از چند شکست
MITRE TTP :
Tactic: Initial Access / Credential Access
Technique: T1110.001 – Brute Force: Password Guessing
:Procedure تلاش برای ورود به سیستم با آزمودن تعداد زیادی رمز عبور روی سرویسRDP
Splunk Query:
index=wineventlog EventCode=4625 Logon_Type=10
| stats count by Ip_Address
| where count > 10
توضیح : تشخیص تلاشهای زیاد برای اتصال از راه دور .
______________________________________________________________________________
33-Living Off The Land Binaries (LOLBins) :
ابزار Certutil, PowerShell, WMI:
جلوگیری :
1-محدودسازی اجرای PowerShell و اسکریپت ها
2-استفاده از AppLocker
Event ID :
4688 :اجرای فرآیند مشکوک
4104:Execution of Powershell commands
MITRE TTP:
Tactic: Defense Evasion / Execution
Technique: T1218 – Signed Binary Proxy Execution
: Procedure استفاده از باینریهای معتبر سیستم )مانند powershell ،rundll32 ) برای اجرای کد مخرب بدون نیاز به فایل های مخرب خارجی
Splunk Query :
index=wineventlog EventCode=4688
| where New_Process_Name IN ("certutil.exe", "powershell.exe", "mshta.exe")
توضیح : اجرای ابزارهای ویندوزی برای مقاصد مخرب .
______________________________________________________________________________
34- DNS Tunneling:
ابزار Iodine, dnscat2 :
جلوگیری :
-1نظارت بر حجم ترافیک DNS
2-بلاک دامین های مشکوک
MITRE TTP :
Tactic: Command and Control
Technique: T1071.004 – Application Layer Protocol: DNS
:Procedure استفاده از پروتکل DNS برای انتقال دادههای مخرب یا کنترل از راه دور در شبکه .
Splunk Query :
index=dnslogs
| stats count, avg(len(query)) as avg_len by src_ip
| where avg_len > 50 AND count > 100
توضیح : درخواستهای DNS با طول زیاد و تکرار بالا، علامت تونلینگ است .
______________________________________________________________________________
35 - Data Exfiltration:
ابزار PowerShell, Netcat, FTP:
جلوگیری :
DLP-1
-2بررسی حجم ترافیک مشکوک
Event ID :
5156 :اتصال شبکه مجاز
Sysmon Event ID 3 (Network Connection)
MITRE TTP :
Tactic: Exfiltration
Technique: T1041 – Exfiltration Over C2 Channel
:Procedure ارسال دادههای حساس به بیرون از شبکه از طریق کانالهای مخفی یا رمزگذاری شده.
Splunk Query با Sysmon :
index=sysmon EventCode=3
| stats count by DestinationIp, Process_Name
| where DestinationIp="IP مشکوک " OR count > 100
توضیح : ارتبا ط های زیاد یا ناشناخته با آدر س های خارجی .


