در بخش پایانی مجموعه شناسایی و تحلیل حملات سایبری، تمرکز روی تکنیکهایی است که مهاجمان برای ماندگاری در سیستم، اجرای کد و دور زدن دفاعهای امنیتی به کار میگیرند. در این مقاله، چهار الگوی مهم یعنی Web Shell Upload، Scheduled Task for Persistence، DLL Sideloading و Malicious Macro بررسی شدهاند؛ تکنیکهایی که در سناریوهای واقعی میتوانند به اجرای دستورات از راه دور، حفظ دسترسی مهاجم و پنهانسازی فعالیتهای مخرب منجر شوند. همچنین، این حملات با ابزارهای رایج، Event IDهای مرتبط، Sysmon و نگاشت به MITRE ATT&CK تحلیل شدهاند تا شناسایی و دفاع در برابر آنها برای تیمهای امنیتی و مدیران شبکه دقیقتر و عملیتر شود.
36 -Web Shell Upload :
ابزارChina Chopper, Weevely:
جلوگیری :
WAF-1
-2بررسی مسیرهای آپلود
MITRE TTP :
Tactic: Persistence / Execution
Technique: T1505.003 – Server Software Component: Web Shell
:Procedureآپلود یک اسکریپت مخرب روی سرور وب برای دسترسی و اجرای دستورات از راه دور.
تشخیص: جایگزین با لاگهای IIS یاApache
Splunk Query :
index=weblogs status=200 uri_path="*.php"
| stats count by uri_path, src_ip
توضیح : اجرای فایلهای غیرمنتظر هی PHP یا ASP توسط مهاجم .
در کنار بررسی *.php با status 200 ، بهتره دنبال POST مشکوک باشی :
index=weblogs method=POST uri_path="*.php "
| stats count by uri_path, src_ip, user_agent
________________________________________________________________________
37- Scheduled Task for Persistence :
ابزار schtasks, at:
جلوگیری :
-1مانیتور task scheduler
-2محدودسازی دسترسی به آ ن
Event ID :
4698: Task Created
4702: Task Updated
MITRE TTP :
Tactic: Persistence
Technique: T1053.005 – Scheduled Task/Job: Scheduled Task
:Procedure ایجاد یک تسک زمانبندی شده برای اجرای کد مخرب به طور مکرر یا پس از راه اندازی مجدد .
Splunk Query:
index=wineventlog EventCode=4698
| stats count by Task_Name, Account_Name
توضیح : تشخیص ایجاد وظیفه زمانبند یشده مشکوک توسط مهاجم .
________________________________________________________________________
38 -DLL Sideloading:
ابزار: ابزار custom مهاجم
جلوگیری :
1-بررسی مسیرهای DLL
2-استفاده از AppLocker / EDR
Sysmon Event ID :
7: DLL Load
MITRE TTP :
Tactic: Defense Evasion / Persistence
Technique:T1574.002 – Hijack Execution Flow: DLL Side-Loading
:Procedure جایگزینی یا قرار دادن DLL مخرب در کنار فایلهای باینری معتبر که در هنگام
اجرا بارگذاری میشوند.
Splunk Query :
index=sysmon EventCode=7
| where ImageLoaded="*Temp*.dll"
توضیح : بارگذاری DLL از مسیرهای غیرمعمول مثل Temp .
________________________________________________________________________
39 - Malicious Macro:
ابزار EvilClippy, MS Office Macro:
جلوگیری :
1-غیرفعالسازی ماکروها
2-آموزش کاربر
Event ID :
4104 : (PowerShell Execution triggered by macro)
4657 : Modification of registry or file
MITRE TTP :
Tactic: Execution
Technique: T1059.005 – Command and Scripting Interpreter: Visual Basic
:Procedure استفاده از ماکروهای مخرب در فایلهای Office برای اجرای اسکریپتها یا
بدافزارها روی سیستم هدف.
Splunk Query :
index=wineventlog EventCode=4104
| where ScriptBlockText="*Excel*" AND ScriptBlockText="*DownloadFile*"
توضیح : ماکروهایی که اجرای PowerShell با دانلود فایل رو انجام میدن .
تدوین و نگار ش: امیرعلی محتشم
اردیبهشت 1405
منابع :
•MITRE ATT&CK
•Splunk Security Content
•Adsecurity.org
•Sentinelone.com
•SANS


