در این مقاله قصد داریم به زوایای شناسایی و مقابله با تهدیدات پیشرفته با Splunk بپردازیم، لذا پیش از آن باید با برخی مفاهیم آشنا شویم که در ادامه به آن پرداخته شده است.
Advanced Threat چیست؟
تهدیدات پیشرفته توسط مهاجمانی صورت میگیرد که برای به دست آوردن و یا تغییر اطلاعات، از چندین مسیر حمله استفاده مینمایند. معمولاً کشف، حذف و شناسایی علت تهدیدات پیشرفته امری مهم و در عین حال دشوار است. انواع تهدیداتِ پیشرفته ممکن است شامل Phishing، آلودهسازی وبسایتها با بدافزار، حملات Brute Force، مهندسی اجتماعی برای به دست آوردن دسترسیهای مجاز و حملات هدفدار که شامل Exploitهای Zero-Day هستند، باشد. یک تهدید پیشرفته یک یا چند سیستم را در معرض خطر قرار میدهد و راههای ارتباطی دائمی را برقرار میسازد تا فعالیتها به سمتی متمایل گردند که اهداف مهاجمین تحقق یابد.
یک تهدید پیشرفته، رشتهای از فعالیتها را انجام میدهد تا دسترسی ورودی معتبر را بدست آورد، منابع مورد علاقه را یافته و آنها را به بیرون از سازمان منتقل نماید. یکی از موارد این مدل حمله، Kill Chain میباشد.
بررسی حملات Kill Chain در اسپلانک
نحوه انتقال
یک تهدید پیشرفته معمولاً با دانلود بدافزار آغاز میگردد و آلودگیها با کلیک بر روی لینکهای مخرب یا فایلهای پیوست در ایمیلها و یا مراجعه به وبسایتهای آلوده یا مخرب رخ میدهند.
نحوه انجام فرآیند Exploit و نصب بدافزار
بدافزاری که در سیستم دانلود شده ( چه به صورت خودکار یا توسط کاربری که فریب داده شده تا روی یک Dialog Box کلیک کند و یا بدلیل باز کردن پیوست ایمیل، دانلود شده باشد) باید اجرا گردد.
بدافزارها معمولاً مخفی هستند یا در اسناد متداول و فایلهای وب، مانند اسناد PDF یا فایل تصویری JPG کارگذاری شدهاند و باز کردن یا دسترسی به این فایلها بدافزار را اجرا مینماید. با تکنیکهای پیشرفته میتواند از آسیبپذیریهای شناختهشده یا ناشناخته سواستفاده نماید و بدافزار روی سیستم نصب گردد. زمانی که بدافزار اجرا میگردد، فعالیتهای متفاوتی را انجام میدهد تا به صورت شناسایی نشده بر روی Endpoint اجرا گردد. برای مثال ممکن است بدافزار با نصب برنامههایی که ظاهری عادی دارند، با خاموش کردن برنامهی امنیتی، خاموش کردنLogging برای بدافزارها و یا با جایگزین کردن فایلهای سیستم یا برنامههای سیستم که به طور عادی اجازهی اجرا شدن در Endpoint را دارند، به کار خود ادامه دهد.
نحوهی کارکرد بدافزار با سرورِ Command & Control
با نرمافزارهای مخربی که روی Endpoint نصب شدهاند، بدافزار با یک سرورِ C&C ارتباط برقرار مینماید تا نرمافزارهای بیشتری را دانلود کرده و یا دستورالعملهایی را دریافت نماید. این دستورالعملها میتواند شامل فایلها یا دادههای خاصی شود که قرار است از سازمان هدف دزدیده شوند. جهت ارتباط بین سرورهای هدف، C&C معمولاً از پروتکلهای ارتباطی متداولی که در پروتکلهای HTTP، FTP و DNS پنهان هستند، استفاده مینماید. همچنین ممکن است این ارتباطات با استفاده از SSL روی HTTP، یا با استفاده از پروتکلهای کنترل Remote مانند RDP رمزگذاری شده صورت پذیرد.
نحوه انجام حملات
مهاجم با جای پایی محکم در کانالهای سازمانی و ارتباطی برای جهتدهی به فعالیتها، تداوم (Persistence) را ایجاد نموده و میتواند قدمهای لازم را برای به انجام رسانیدن مأموریت خود بردارد. در این مرحله فعالیتهای تهدیدآمیز پیشرفته از حسابهای کاربری و سیستمهای موردتایید نشات میگیرد که در محیط، معتبر میباشند.
شناسایی و مقابله با تهدیدهای پیشرفته
در روند حملات پیشرفته، مهاجمی وجود دارد که میخواهد وارد ساختار شبکه شما شده و هدفی بر علیه کسبوکار شما میباشد. این مهاجم دارای انگیزه و منابع کافی است. آنها از چندین مسیر و تکنیک حمله استفاده میکنند تا وارد سیستم کاربر شوند، از دسترسی معتبری که سیستم در شبکهی وی دارد سواستفاده کرده، در سیستمهای او باقی مانده، از سازمان مربوطه دزدی کرده و یا آسیب برسانند. این فعالیتهای مخرب میتواند شامل فعالیتهای جانبی همچون پیدا کردن و فراگرفتن Endpointها و سیستمهای دیگر گردد. مهاجم از Credentialهای معتبر استفاده میکند تا به Endpointها، سیستمها و ذخیرههای منابع دسترسی پیدا کند. اهداف مهاجمین میتواند شامل تغییر، مشاهده و دزدیدن اطلاعات و همچنین فروش دسترسیهایش به سازمان شما باشد. همچنین مهاجم میخواهد دسترسی خود را به سازمان شما حفظ و مخفی نماید.
دسترسی داشتن و تحلیل کردن تمام دادهها ممکن است در شناسایی و مقابله با تهدیدات پیشرفته مفید باشد. مانیتورینگ حملات و فعالیتهای غیرعادی شناخته شده و سپس مرتبط ساختن آنها به یکدیگر با استفاده از روش Kill Chain، میتواند به شناسایی Hostهای در معرض خطر و تهدیدات پیشرفتهای که وارد سازمان کاربر شدهاند، کمک نماید. این روش روی شناسایی فعالیتهای پس از Exploit یا آلودگی با فرض بر این که یک مهاجم وارد ساختار شبکهای شده است (فرض بر اینکه کاربر در معرض خطر قرار دارد)، متمرکز میباشد. مثالهای زیر تکنیکهای لازم برای جستجوی Hostهای در معرض خطر را نشان میدهند و میتوانند نقش مهمی در پاسخ به نقضهای امنیتی و یافتن بدافزار یا APT بازی کنند.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.