نمودار تحلیل تکنیک‌های Web Shell، Scheduled Task، DLL Sideloading و Macro در حملات سایبری

در بخش پایانی مجموعه شناسایی و تحلیل حملات سایبری، تمرکز روی تکنیک‌هایی است که مهاجمان برای ماندگاری در سیستم، اجرای کد و دور زدن دفاع‌های امنیتی به کار می‌گیرند. در این مقاله، چهار الگوی مهم یعنی Web Shell Upload، Scheduled Task for Persistence، DLL Sideloading و Malicious Macro بررسی شده‌اند؛ تکنیک‌هایی که در سناریوهای واقعی می‌توانند به اجرای دستورات از راه دور، حفظ دسترسی مهاجم و پنهان‌سازی فعالیت‌های مخرب منجر شوند. همچنین، این حملات با ابزارهای رایج، Event IDهای مرتبط، Sysmon و نگاشت به MITRE ATT&CK تحلیل شده‌اند تا شناسایی و دفاع در برابر آن‌ها برای تیم‌های امنیتی و مدیران شبکه دقیق‌تر و عملی‌تر شود.

36 -Web Shell Upload :

ابزارChina Chopper, Weevely: 

جلوگیری :

 WAF-1

-2بررسی مسیرهای آپلود

 

MITRE TTP :

Tactic: Persistence / Execution

Technique: T1505.003 – Server Software Component: Web Shell

 :Procedureآپلود یک اسکریپت مخرب روی سرور وب برای دسترسی و اجرای دستورات از راه دور.

 

تشخیص: جایگزین با لاگهای IIS یاApache

 

Splunk Query :

index=weblogs status=200 uri_path="*.php"

| stats count by uri_path, src_ip

 

توضیح : اجرای فایلهای غیرمنتظر هی PHP یا ASP توسط مهاجم .

در کنار بررسی *.php با status 200 ، بهتره دنبال POST مشکوک باشی :

 

index=weblogs method=POST uri_path="*.php "

| stats count by uri_path, src_ip, user_agent

________________________________________________________________________

37- Scheduled Task for Persistence :

ابزار schtasks, at:

جلوگیری :

-1مانیتور task scheduler

-2محدودسازی دسترسی به آ ن

Event ID :

4698: Task Created

4702: Task Updated

 

MITRE TTP :

Tactic: Persistence

Technique: T1053.005 – Scheduled Task/Job: Scheduled Task

 

:Procedure ایجاد یک تسک زمانبندی شده برای اجرای کد مخرب به طور مکرر یا پس از راه اندازی مجدد .

Splunk Query:

index=wineventlog EventCode=4698

| stats count by Task_Name, Account_Name

 

توضیح : تشخیص ایجاد وظیفه زمانبند یشده مشکوک توسط مهاجم .

________________________________________________________________________

38 -DLL Sideloading:

ابزار: ابزار custom مهاجم

جلوگیری :

1-بررسی مسیرهای DLL

2-استفاده از AppLocker / EDR

Sysmon Event ID :

7: DLL Load

 

MITRE TTP :

Tactic: Defense Evasion / Persistence

Technique:T1574.002 – Hijack Execution Flow: DLL Side-Loading

 

:Procedure جایگزینی یا قرار دادن DLL مخرب در کنار فایلهای باینری معتبر که در هنگام

اجرا بارگذاری میشوند.

 

Splunk Query :

 

index=sysmon EventCode=7

| where ImageLoaded="*Temp*.dll"

 

توضیح : بارگذاری DLL از مسیرهای غیرمعمول مثل Temp .

________________________________________________________________________

39 - Malicious Macro:

ابزار EvilClippy, MS Office Macro:

جلوگیری :

1-غیرفعالسازی ماکروها

2-آموزش کاربر

Event ID :

4104 : (PowerShell Execution triggered by macro)

4657 : Modification of registry or file

 

MITRE TTP :

Tactic: Execution

Technique: T1059.005 – Command and Scripting Interpreter: Visual Basic

 

:Procedure  استفاده از ماکروهای مخرب در فایلهای Office برای اجرای اسکریپتها یا

بدافزارها روی سیستم هدف.

 

Splunk Query :

index=wineventlog EventCode=4104

| where ScriptBlockText="*Excel*" AND ScriptBlockText="*DownloadFile*"

 

توضیح : ماکروهایی که اجرای PowerShell با دانلود فایل رو انجام میدن .

 

تدوین و نگار ش: امیرعلی محتشم

اردیبهشت 1405

منابع :

•MITRE ATT&CK

•Splunk Security Content

•Adsecurity.org

•Sentinelone.com

•SANS

 

نظرات کاربران

اخبار و رسانه های مرتبط

مشاهده همه