معرفی پلتفرم تحلیل تهدیدات و داده‌های امنیتی - SOF-ELK

توضیح: SOF-ELK پلتفرم تحلیل بیگ دیتاست که با تمرکز روی تحلیل و بررسی تهدیدات و جرم شناسی (فارنزیک) طراحی شده است. مخاطبان این پلتفرم کارشناسان مرکز عملیات امنیت، تحلیلگران امنیتی و شکارچیان تهدید است. در حقیقت پلتفرم مذکور، ترکیبی از ElasticSearch، Logstash و Kibiana است که پروسه نصب زمان بر و طولانی ELK را ساده کرده و آن را در قالب یک ماشین مجازی آماده ارایه داده است.
این پلتفرم در ابتدا برای افرادی که دوره های FOR507 و SEC555 موسسه SANS را می گذرانند طراحی شد اما به تدریج برای سایر کاربران و مخاطبان نیز در دسترس قرار گرفت. می توانید پلتفرم
مذکور را از لینک زیر دانلود کرده و از آن استفاده کنید.
https://lnkd.in/gSF8dS6

شواهد مجازی و نشانگرهای آلودگی✍

حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه  است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است.  حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.

نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:

یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته

به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.

تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.

به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
 

http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec

Publicly Availables Tools Seen In Cyber Incident Worldwide
According To US-CERT Report

1. Remote Access Trojan: JBiFrost
2. Webshell: China Chopper
3. Credential Stealer: Mimikatz
4. Lateral Movement Framework: PowerShell Empire
5. C2 Obfuscation and Exfiltration: HUC Packet Transmitter

📝 Introducing Some Popular OSINT Tools:

1⃣ Shodan:
Shodan provides you a lot of information about the assets that have been connected to the network. Google is the search engine for all but shodan is the search engine for hackers. The devices can vary from computers, laptops, webcams, traffic signals, and various IOT devices. This can help security analysts to identify the target and test it for various vulnerabilities, default settings or passwords, available ports, banners, and services etc.

2⃣ Google Dorks:
Google Dorks can help a user to target the search or index the results in a better and more efficient way.
<Filetype: searches for a particular string in a pdf file>
Some of the other indexing options are:
Inurl: search for a string in URL of the page.
Innoscript: To search the noscript for a keyword.
Ext: To search for a particular extension.
Intext: Search for a particular text in a page.
Sometimes it is also referred to as Google hacking.

3⃣ Metagoofile:
Metagoofil is written by Christian Martorella and is a command line tool that is used to gather metadata of public documents. The tool is pre-bundled in Kali Linux and has a lot of features searching for the document type on the target, local download, extraction of metadata and reporting the results.
For example: Users can scan for a particular kind of documents on a particular domain. Metagoofil –d nmap.org –t pdf.

4⃣ Check Usernames:
Social networking websites hold a lot of information but it will be really boring and time taking task if you need to check whether a particular username is present on any social media website. To get such information there is a website www.checkusernames.com. It will search for the presence of a particular username on more than 150 websites. The users can check for the presence of a target on a particular website so as to make the attack more targeted.

A more advanced version of the website is knowem.com which has a more wide database of more than 500 websites along with a few more services

5⃣ TinEye:
Tineye is used to perform an image related search on the web. It has various products like tineye alert system, color search API, mobile engine etc. You can search if an image has been available online and where that image has appeared. Tineye uses neural networks, machine learning, and pattern recognition to get the results. It uses image matching, watermark identification, signature matching and various other parameters to match the image rather than keyword matching.

6⃣ SearchCode:
Search code offers you a feature to search for a line of code which could have been present in various code sharing websites like Github etc. Users can search for functions or methods, variables, operations, security flaws and anything that can constitute a code segment. Users can search for strings as simple as "a++" too complex methods. The search results can be further filtered basis a particular repository or language.

📰 @hypersec

درک دفاع فعال سایبری-بخش اول
یکی از مفاهیمی که شکارچیان تهدید لازم است بدانند، راهبرد دفاع فعال سایبری یا Cyber Active Defence در برنامه امنیت سایبری سازمان است. علیرغم رویکردهای سنتی و غیر فعال در امنیت، رویکردهای دفاعی فعال به شیوه ای موثر تر عمل کرده و توانایی توقف نمودن مهاجمان را در گاهم های اولیه حمله را دارند....
در مطلب زیر درباره دفاع فعال بیشتر بدانید
http://www.hypersec.ir/?p=537

نمونه معماری پیشنهادی و مدرن مرکز عملیات امنیت، الزامات و نیازمندی ها

مرکز عملیات سازمان ما چقدر به این معماری شباهت دارد؟

یافتن تهدیدات محتمل از طریق بررسی ترافیک HTTP
تحلیلگران امنیت و به خصوص شکارچیان تهدیدات سایبری، می توانند با بررسی بسته های مربوط به پروتکل های شبکه نشانه های احتمالی تهدید را بیابند. به بیان دیگر، یکی از منابع داده ای بسیار ارزشمند در فرآیند شکار تهدیدات، ترافیک شبکه است. در این پست قصد داریم تا نقاط قابل جستجو و تهدیدات محتمل قابل تشخیص در ترافیک HTTP را به صورت فهرست تشریح کنیم.
فیلدهایی از ترافیک http که باید درحین فرآیند شکار تهدیدات بررسی شوند عبارتند از:
• HTTP host header
• HTTP referrer header
• HTTP user-agent header
• HTTP request methods
• HTTP response status code
• HTTP number of requests
نشانه گرهایی که می توان از فیلدهای مذکور به دست آورد عبارتند از:
• Hosts not ending with .com | .net | .org & host length > 30 char
• Malicious referring domains
• Uncommon or non-existing User-Agents
• Methods other than GET/POST
• Abnormal increase in NON 2xx/3xx codes
• Clients sending increasing number of HTTP requests
و در نهایت، تهدیدات محتملی که از ترافیک HTTP قابل تشخیص است عبارتند از:
• Unauthorized communication channel
• DGA, suspicious domains (i.e. http:://bit .ly/2jKNAhi or HTTP traffic to an IP address instead of FQDN)
• Watering hole and JS exploit kits
• Uploads (PUT method), tunneling (CONNECT method) and injection
• Directory brute-forcing (404 errors), authorization bypass (401 errors), DOS (5xx errors)
• Beacons, tunneling, and data exfiltration

📝منابع مفید جهت مطالعه بر روی SIEM ها
http://hypersec.ir

1⃣IBM QRadar
DOCUMENTATION
https://ibm.biz/qradarknowledge

CONFERENCE
https://ibm.biz/qradaropenmic

LEARNING FREE VIDEOS
https://ibm.ent.box.com/s/ich0yyiw54y0ek6s9a66xvtjku8e42rc
(Download the Security Intelligence Toturial, Demos & Use Cases PDF)

LEARNING OFFICIAL PAID COURSES
https://www.securitylearningacademy.com/

APP MARKET PLACE
https://exchange.xforce.ibmcloud.com/

APP DEVELOPMENT
https://developer.ibm.com/qradar/

SUPPORT
https://ibm.biz/qradarsupport
https://ibm.biz/qradarlogs Getting logs Instructions

REQUEST FOR ENHANCEMENTS
https://ibm.biz/RFEQRadar

FREE or TRIAL DOWNLOAD
https://ibm.biz/qradarce

USER FORUM
https://ibm.biz/qradarforums

Public User Chat Groups (not endorsed by vendor)
https://news.1rj.ru/str/QRadarChat (Telegram)
https://news.1rj.ru/str/QRadarFEED (IBM Qradar RSS Feed group)
=============================================
2⃣ELK (Elasticsearch, Logstash, Kibana)
DOCUMENTATION
https://www.elastic.co/guide/index.html

CONFERENCE
https://www.elastic.co/elasticon

LEARNING FREE VIDEOS
https://www.youtube.com/results?search_query=elasticsearch+playlist
* There are alot of free introduction videos, but most full online training courses are paid.

LEARNING OFFICIAL PAID COURSES
https://www.elastic.co/training

APP MARKET PLACE
https://www.elastic.co/solutions
* ELK does not have a app store, but different "solutions"

APP DEVELOPMENT
ELK does not have a app store, but different products and solutions.
SUPPORT
https://www.elastic.co/support/welcome

REQUEST FOR ENHANCEMENTS
https://github.com/elastic/elasticsearch/issues
https://github.com/elastic/kibana/issues
https://github.com/elastic/logstash/issues

FREE or TRIAL DOWNLOAD
https://www.elastic.co/start

USER FORUM
https://discuss.elastic.co/

=========================================
3⃣Splunk

DOCUMENTATION
http://docs.splunk.com/Documentation

CONFERENCE
http://conf.splunk.com/

LEARNING FREE VIDEOS
https://www.splunk.com/en_us/training/free-courses/splunk-fundamentals-1.html
* Certification is also free of charge

LEARNING OFFICIAL PAID COURSES
https://www.splunk.com/en_us/training.html

APP MARKET PLACE
https://splunkbase.splunk.com/

APP DEVELOPMENT
http://dev.splunk.com/

SUPPORT
https://www.splunk.com/en_us/support-and-services.html

REQUEST FOR ENHANCEMENTS
http://www.splunk.com/index.php/submit_issue

FREE or TRIAL DOWNLOAD
https://www.splunk.com/en_us/download.html

USER FORUM
https://www.splunk.com/en_us/community.html

📝 جهت بررسی یک رخداد یا بررسی event های مشکوک، معمولاْ چه نوع لاگ هایی را باید بررسی کرد؟

✔️ لاگ های سیستم عامل کاربر قربانی یا لاگ سیستم عامل سرور
✔️ لاگ اپلیکیشن ها (سرویس دهنده وب مانند آپاچی یا IIS، لاگ دیتابیس و ..)
✔️ لاگ تجهیزات و نرم افزارهای امنیتی (لاگ آنتی ویروس، لاگ سیستم های تشخیص نفوذ، لاگ فایروال و …)
✔️ لاگ ترافیک خروجی سرور پراکسی

📝 اما این لاگ ها در چه مسیری ذخیره شده اند؟

در سیستم عامل لینوکس لاگ های سیستم عامل و لاگ اپلیکیشن ها در مسیر /var/log ذخیره شده است. به عنوان نمونه در صورتی که بخواهید لاگ آپاچی را مشاهده کنید باید به مسیر زیر رجوع کرد
/var/log/apache2/access.log
در سیستم عامل ویندوز نیز این لاگ ها از طریق برنامه Event Viewer قابل مشاهده و دسترسی هستند
سایر دستگاه های موجود در شبکه (دستگاه های سخت افزاری) نیز لاگ های خود را از طریق پروتکل Syslog به یک سرور یا ذخیره ساز مرکزی ارسال می کنند

📝 با چه نرم افزارهایی می تواند لاگ های جمع آوری شده را تحلیل کرد؟

پس از جمع آوری لاگ های مورد نظر جهت بررسی یک رخداد یا Event های مشکوک، می توان با نرم افزارهایی نظیر موارد زیر لاگ ها را تحلیل و بررسی کرد
✔️ پلتفرم نرم افزاری ElK Stack
✔️ سیستم تحلیل داده Splunk
✔️ نرم افزار ساده LogParser
و …

📝 وقتی صحبت از شکار تهدیدات به میان می آید، تحلیلگر امنیتی دقیقا باید دنبال چه موارد محتملی باشد؟

پس از جمع آوری داده های مورد نیاز در یک فرآیند شکار تهدیدات، تحلیلگر در داده های جمع آوری شده می تواند موارد محتمل زیر را جستجو کند:

✔️ Hunt for Network Beaconing
توضیح: Network Beaconing به معنای وقوع الگویی خاص در ترافیک شبکه، در بازه های زمانی معین است. مشاهده این الگو می تواند نشانه ای از ارتباط یک بدافزار با سرور کنترل و فرمان باشد.
✔️ Hunt for Unusual DNS requests
✔️ Hunt for Unusual Network Shares
✔️ Hunt for Network Reconnaissance
✔️ Hunt for mismatch windows services (parent/child processes)
توضیح: در این مورد تحلیلگر باید به دنبال سرویس هایی باشد که سرویس والد آنها یا وجود ندارد یا سرویسی ناشناخته است
✔️ Hunt for Privilege Escalation
✔️ Hunt for UAC Bypass
✔️ Hunt for Credential Dumping
✔️ Hunt for Covert Channels
✔️ Hunt for CnC traffics
✔️ Hunt for Suspicious Tunnels
توضیح: در این مورد تحلیل گر باید به دنبال داده هایی غیرمرتبط در پیلود بسته ها باشد. به عنوان نمونه در پیلود بسته های ICMP الگویی ناهنجار مشاهده کند

Sputnik — An Open Source Intelligence Browser Extension
https://medium.com/bugbountywriteup/sputnik-an-open-source-intelligence-browser-extension-da2f2c22c8ec

رویداد 80 جامعه آزاد رایانش ابری ایران

> سه شنبه 2 بهمن، ساعت 16:30 الی 19:30
> چهار راه کالج، کوچه سعیدی، پلاک5، پژوهشکده ICT جهاد دانشگاهی

http://occc.ir

#Openstack #OpenInfrastructure #Security
@occc_news

معرفی یکی از اپ های فوق العاده اسپلانک جهت شکار تهدیدات سایبری
اپی به نام Threat Hunting که توی انباره اپ های اسپلانک به آدرس splunkbase.splunk.com وجود دارد و قابل دانلود و استفاده است. این اپ فوق العاده حاوی چندین داشبورد و حدود ۱۲۰ گزارش آماده است که عملیات شناسایی و شکار نشانه های تهدید سایبری را بسیار ساده و آسان کرده است. یکی از ویژگی های منحصر به فرد این اپ این است که برای هر یک از تاکتیک ها و تکنیک های مندرج در فریم ورک محبوب MITRE به نام MITRE ATT@CK یک گزارش جداگانه تعریف شده است. به عبارت دیگه این اپ به فریم ورک ATT@CK نگاشت شده که این کار رو برای شکارچیان تهدید بسیار ساده کرده است.
پیشنهاد می کنم اگر علاقه مند به حوزه تشخیص تهدیدات سایبری هستید حتما این اپ رو دانلود و استفاده کنید.
از لینک زیر می توانید برای دانلود و آشنایی بیشتر با این اپ فوق العاده استفاده کنید.
https://github.com/olafhartong/ThreatHunting

چالش سازمان ها در تشخیص تهدیدات پیشرفته - معرفی تیم قرمز و آبی

یکی از چالش های فعلی سازمان های متوسط و بزرگ، تشخیص و مواجهه با تهدیدات پیشرفته و چند مرحله ای است، تهدیداتی که بر خلاف تهدیدات سنتی، مهاجمین در آن می کوشند تا از چند نقطه و چند روش مختلف به شبکه قربانی نفوذ کنند. این گونه تهدیدات که معمولا پشتوانه سازمانی (خصوصی یا دولتی) دارند، مدت های زیادی در شبکه به صورت ناشناس فعالیت می کنند. اما چگونه می توان چنین تهدیداتی را در سازمان تشخیص داد؟ آیا با رویکرد و نگرش سنتی این امر شدنی است؟
پاسخ روشن است. تیم های امنیتی که متولی امنیت سازمان ها هستند نیاز به تغییر نگرش دارند، تغییر از نگرش سنتی به نگرشی نوین و پیش کنشانه. بر اساس این نگرش، پیش از آنکه حمله و نفوذی به شبکه صورت گیرد بهتر است ذهن مهاجم یا مهاجمین را خواند. به عبارت دیگر باید تمامی راه هایی که مهاجمین ممکن است به شبکه نفوذ کنند را شبیه سازی کرد. برای انجام این کار نیاز به تیم های مجزا در قالب تیم قرمز و تیم آبی داریم.

در ادامه مروری خواهیم داشت بر این مفاهیم نوین در حوزه امنیت سایبری.

مروری بر مفاهیم RedTeam، BlueTeam

تعریف تیم قرمز: تیم قرمز در واقع نیروهایی هستند که توسط سازمان به کار گرفته می شوند تا برنامه ها و تمهیدات امنیتی یک سازمان را مورد ارزیابی قرار دهند. وظیفه اصلی تیم قرمز شبیه سازی رفتار مهاجمان و تکنیک های مورد استفاده آنان است. یکی از تفاوت های اصلی وظایف تیم قرمز با تیم تست نفوذ، دامنه فعالیت و هدف حمله است. فعالیت های تیم قرمز بازه گسترده تری را نسبت به فعالیت های تست نفوذ شامل می شود. از جمله این فعالیت ها، می توان به انجام حملات مهندسی اجتماعی، حملات معمول شبکه و وب،‌ فیشینگ و … اشاره کرد.
تعریف تیم آبی: در طرف دیگر میدان و درست در نقطه مقابل تیم قرمز، تیم آبی قرار دارد. تیم آبی موظف است همزمان یا قبل از فعالیت تیم قرمز، تمهیداتی اتخاذ کند و از حملات تیم قرمز جلوگیری نماید. درست مانند تیم قرمز،‌ حیطه وظایف تیم آبی نیز گسترده است. این دامنه مواردی نظیر آگاهی رسانی، امن سازی شبکه، تحلیل داده و … را شامل می شود.
تلفیق تیم قرمز و آبی به ترفیع هرچه بیشتر بلوغ امنیتی سازمان کمک می کند. جهت مقابله با تهدیدات پیشرفته، باید نگرش تغییر یابد و رفتار مهاجمان احتمالی پیش بینی شود.

📝📝📝
ابزارهای کاربردی مورد استفاده توسط Red Team ها

تیم قرمز (RedTeam) جهت انجام فعالیت های خود پس از نفوذ به شبکه قربانی نیاز به استفاده از ابزارهایی جهت خودکار سازی و تسهیل برخی از فرآیند های موجود دارد.

به عنوان نمونه، فرض کنید تیم قرمز قصد دارد پس از نفوذ به شبکه ای متشکل از ماشین های ویندوزی، فعالیت های خود را تعمیم و گسترش دهد. بهترین گزینه برای این مثال، استفاده از PowerShell است. در این پست قصد داریم برخی از ابزارهای کاربردی و دم دستی مبتنی بر PowerShell و یا زبان C که مناسب تیم های قرمز است را معرفی کنیم.

1⃣ PowerSploit
مجموعه ای از اسکریپت ها و ماژول های پاور شل است که می تواند در انجام اقدامات زیر در طی فعالیت های RedTeaming و حتی تست نفوذ مورد استفاده قرار گیرد

CodeExecution
ScriptModification
Persistence
AntivirusBypass
Exfiltration
Mayhem
Privesc
Recon


2⃣ PowerView

یک اسکریپت پاورشل است که مجموعه از اقدامات معمول در فاز شناسایی محیط شبکه و ماشین قربانی را به طور خود کار اجرا می کند. برخی از این اقدامات عبارتند از:

Users: Get-NetUser
Groups: Get-NetGroup
Sessions: Get-NetSession
GPO locations: Find-GPOLocation
Active Directory objects: Set-ADObject
Forests: Get-NetForest


3⃣ Nishang

مجموعه ای از اسکریپت ها و پیلودهای مبتنی بر پاور شل است که برخی از فعالیت های معمول در تمامی فازهای فعالیت تیم قرمز و همچنین تست نفوذ را به صورت خودکار انجام می دهد. برخی از این فعالیت ها عبارتند از:

Get-WLAN-Keys
Get-PassHashes
Get-Information
Invoke-Mimikatz
Invoke-CredentialsPhish


4⃣ Mimikatz

ابزار Mimikatz که با زبان سی نوشته شده است، عموما برای استخراج رمز عبور از حافظه استفاده می شود. پسوردهایی که با استفاده از این ابزار مشهور قابل استخراج است پسوردهای ClearText، پسوردهای Hash شده، پین کد و … است.

📝 معرفی برخی از تاکتیک ها و تکنیک های پرکاربرد مهاجمین در حملات پیشرفته و چندگامی (بخش اول)

1⃣تاکتیک اول: Internal Reconnaissance
- تکنیک Host Enumeration
به مشخص کردن جزئیاتی درباره یک میزبان شامل درک زمینه کاری آن میزبان (یا کاربر) و پیکربندی سیستم میزبان است، اطلاق می شود. تعیین زمینه کاری میزبان به شکارچی تهدید یا به مهاجم این امکان را می دهد تا مشخص کند چه کاربری در حال حاضر به سیستم لاگین کرده و چه دسترسی دارد. مشخص کردن پیکربندی میزبان هم شامل اطلاعاتی راجع به خود میزبان از قبیل نام سیستم میزبان و آدرس IP و ... است.
- تکنیک Network Enumeration
به یافتن سایر میزبان هایی که از میزبان جاری به صورت از راه دور قابل دسترس است Network Enumeration گفته می شود. مهاجم پس از قربانی کردن یک میزبان، نیاز به مشخص کردن ادامه راه، یعنی مشخص کردن نحوه حرکت در شبکه و سایر میزبان های قابل نفوذ در شبکه دارد.
تکنیک Network Enumeration به مهاجم این امکان را می دهد تا دسترسی های میزبان جاری به سایر دارایی ها و سیستم ها در شبکه و همچنین اتصالات و ارتباطات فعال آن ها با یکدیگر را مشاهده کند. نکته حائز اهمیت این است که اقداماتی که در رده Network Enumeration جای می گیرند صرفا اقداماتی است که سایر دارایی های شبکه را شناسایی می کند و هنوز هیچگونه نفوذ از سیستم جاری (سیستم قربانی) به سایر سیستم ها در شبکه انجام نگرفته است.

2⃣تاکتیک دوم Persistence
- تکنیک اجرای اقدامات زمان بندی شده
این فرآیند شامل صف بندی برنامه ها و یا اسکریپت هایی است که می تواند در نقاط یا زمان های دیگر (به صورت متناوب) عملیاتی شود. این اقدامات می توانند به صورت از راه دور زمان بندی شوند البته با فرض اینکه مهاجم برای اجرای آن اسکریپت یا برنامه مجوزRPC یا فراخوانی از راه دور را دارد. این فرآیند (اجرای زمان بندی شده اقدامات مورد نظر) به مهاجمان این امکان را می دهد تا برنامه های مورد نظر خود در هنگام بالاآمدن سیستم به اجرا در آورند.

- تکنیک DLL Injection
با استفاده از این تکنیک، مهاجمان کد مخرب مورد نظر خود را با سوء استفاده از یک پردازه دیگر اجرا می کنند؛ سوءاستفاده از پردازه دیگر با هدف بارگذاری و اجرای کدمخرب مورد نظر مهاجم است. در این تکنیک مهاجمان به واسطه فعالیت مخرب مورد نظر خود به عنوان بخشی از فرآیندهای عادی و روتین، آن را مخفی می کنند. این تکنیک به مهاجمان اجازه دسترسی به مجوزها و حافظه پردازه سیستم را می دهد.

- تکنیک Registry Modification
مقادیر اضافه برای کلیدهای رجیستری RUNONCE و RUN امکان اجرای بدافزارهای باینری در زمان بوت شدن سیستم و یا لاگین را می دهد. این تکنیک رایج ترین تکنیک مشاهده شده در یک دهه اخیر برای ماندگاری در سیستم میزبان است.

📝 معرفی برخی از تاکتیک ها و تکنیک های پرکاربرد مهاجمین در حملات پیشرفته و چندگامی (بخش دوم)

3⃣تاکتیک سوم Command and Control

- تکنیک استفاده از پورت ها و پروتکل های معمولی و رایج
مهاجمان با استفاده از پورت ها و پروتکل های رایج می توانند داده ها و فرامین مورد نظر خود را در قالب بسته های عادی شبکه به بدافزارهای تحت هدایت خود برسانند. در اکثر موارد، مهاجمان داده های خود را در قالب HTTPS، DNS Tunnelung و سایر موارد و پروتکل های پرکاربرد رد و بدل می کنند.

- تکنیک استفاده از پورت ها و پروتکل های غیرمعمول
با به کارگیری این روش، مهاجمان می توانند مکانیزم مانیتورینگ پورت ها و بسته های رایج را دور بزنند و داده های مورد نظر خود را از طریق پورت های غیرمعمولی که مانیتور نمی شوند ارسال کنند. این روش به مهاجم این امکان را می دهد تا عملیات خود را مخفیانه پیش برده و از سیستم های تشخیص موجود در شبکه و اپراتورهای انسانی در امان باشد.

4⃣تاکتیک چهارم Lateral Movement
- تکنیک Pass the Hash
در این تکنیک، مهاجمان رشته های هش رمز عبور را ثبت و ضبط کرده و از آنها برای احراز هویت خود (به جای قربانی) استفاده می کنند. به بیان دیگر، بر اساس این روش مهاجمان دیگر نیازی به یافتن رشته بدون رمز کاربر قربانی ندارند و می توانند اقدامات خود را روی سیستم جاری و سیستم راه دور پیش ببرند.

- تکنیک Remote Desktop Protocol
پروتکل RDP به کاربر امکان دسترسی به دسکتاپ یک کامپیوتر از طریق یک سیستم راه دور را می دهد. در صورتی که امکان RDP روی یک سیستم فعال باشد و مهاجم نام کاربری و رمز عبور آن سیستم را از قبل بداند، می تواند از این طریق به سیستم قربانی نفوذ کند.

- تکنیک Shared Webroot
در صورتی که قربانی یک شبکه یا وب سایت قابل دسترسی از اینترنت (یا حتی قابل دسترسی از داخل سازمان) داشته باشد مهاجم ممکن است بتواند محتوای مخرب مورد نظر خود را در آن شبکه یا به طور خاص تر وب سایت بارگذاری کند و سپس آن را با استفاده از یک مرورگر وب به اجرا در آورد. از آنجایی که محتوای مذکور تحت مجوز سرویس دهنده وب اجرا می شود ممکن است به مهاجم امکان دسترسی Local یا مدیریتی را بدهد.

- تکنیک رهگیری مسیر
این تکنیک مستلزم قرار دادن یک فایل اجرایی در یک مسیر خاص است به گونه ای که اشتباها توسط یک برنامه عادی اجرا شود. نمونه هایی از این تکنیک شامل سوءاستفاده از مسیرهای بسته نشده و متغیرهای محیطی است. مهاجمان با استفاده از این تکنیک می توانند سطح دسترسی خود را ارتقا دهند.

5⃣تاکتیک پنجم Exfiltration

- تکنیک DNS Tunneling
مهاجمان با استفاده از تکنیک هایی نظیر DNS Tunneling می توانند داده های خود را در قالب درخواست های DNS ردوبدل کنند. مهاجمان از این روش برای دور زدن کنترل های امنیتی رایج نظیر فایروال و ... و همچنین سرقت و استخراج اطلاعات از شبکه قربانی استفاده می کنند.

- تکنیک SFTP/SCP Exfiltration
در این تکنیک مهاجمان، از SSL برای مخفی سازی جزئیات داده های مورد نظر خود بهره می برند. برای جلوگیری از این تکنیک، متخصصان امنیت نیاز به استفاده از یک پراکسی دارند تا بتوانند این نوع ترافیک و فعالیت ها را رهگیری و بررسی کنند.

📝 ده استراتژی موسسه MITRE برای مراکز عملیات امنیت به بیان ساده
بسیاری از مدیران و متصدیان مراکز عملیات امنیت، با چالش هایی نظیر موارد زیر مواجه شده اند:
- چه داده هایی را باید جمع آوری کرد؟
- چه تعداد تحلیل گر در مرکز عملیات امنیت مورد نیاز است؟
- جایگاه و چارت سازمانی مرکز عملیات امنیت چگونه است؟
برای پاسخگویی به این سوالات و مواردی مشابه، این موسسه در کتابی با عنوانTen Strategies of a World-Class Cybersecurity Operations Center ده استراتژی برای ایجاد یک مرکز عملیات امنیت استاندارد مطرح کرده است که در این پست به صورت خلاصه و به بیانی ساده فهرست شده است:

1⃣ استراتژی اول - تمامی عملیات های دفاع سایبری نظیر نظارت بر رخداد،‌ هماهنگی،‌پاسخگویی به رخداد و … باید به صورت واحد در مرکز عملیات امنیت انجام شود. حتی از نظر استقرار فیزیکی نیز این تیم ها باید در یکجا (مرکز عملیات امنیت) مستقر باشند.
2⃣ استراتژی دوم - ایجاد موازنه بین اندازه مرکز عملیات امنیت و چابکی آن با تهیه یک مدل سازمانی مناسب که در آن وظایف تیم های دفاعی در لایه های مختلف SOC تقسیم شده اند
3⃣ استراتژی سوم- اختیارات و مجوزهای مورد نیاز باید در اختیار تیم های SOC قرار گیرد تا این مراکز بتوانند تغییراتی مثمر ثمر ایجاد کنند. برخی از مراکز عملیات امنیت که اختیارات لازم را ندارند بیشتر زمان خود را به جای ایجاد اثرات مثبت،‌ صرف درخواست کمک و مجوز برای انجام عملیات های خود دارند.
4⃣ استراتژی چهارم - در صورت غلبه کمیت بر کیفیت عملیات امنیت، SOC ها ممکن است جایگاه و اختیارات خود را از دست بدهند. به جای ایجاد بخش های متعدد در مراکز عملیات امنیت (بخش فارنزیک،‌ ارزیابی تهدید، مشاوره امنیت و …) بهتر است روی بخش های کوچکتر ولی با کیفیت بهتر تمرکز کرد.
5⃣ استراتژی پنجم- از آنجایی که افراد مهمترین عنصر در امنیت سایبری به شمار می آیند بهتر است به جای استخدام تعداد زیادی از افراد، تعداد کمتر ولی با تخصص بالاتر جذب کرد.
6⃣ استراتژی ششم- مراکز عملیات امنیت در هنگام خرید فناوری های مورد نیاز خود باید ارتباط آن فناوری با حوزه کاری مربوطه، طول عمر و پایداری و بازخورد عملیاتی را به همراه سایر فاکتورها در نظر داشته باشند تا بتوانند حداکثر بهره وری و کارآیی را از فناوری های خریداری شده داشته باشند.
7⃣ استراتژی هفتم- میزان داده و نوع داده ای که باید جمع آوری شود بسیار حائز اهمیت است. داده ها نباید آنقدر کم باشند که نتوان تهدیدات را شناسایی کرد و نه آنقدر زیاد که در آن غرق شد. مراکز عملیات امنیت باید داده های مناسب را از منابع مناسب و با حجم مناسب جمع آوری کنند.
8⃣ استراتژی هشتم- فعالیت های تیم SOC و فناوری های آن باید از حملات سایبری روی سایر دارایی ها در امان باشند به گونه ای که اگر در بخش های تحت نظارت این مراکز تهدیدی به وقوع پیوست روی عملیات امنیت تاثیری نداشته باشد.
9⃣ استراتژی نهم- تیم های مرکز عملیات امنیت باید در راستای دفاع پیش کنشانه (Proactive) گام بردارند و ضمن استفاده از اطلاعات تهدید (Threat Intelligence) از منابع مختلف، این اطلاعات را با سایر بخش ها نیز به اشتراک بگذارند.
🔟 استراتژی دهم- از آنجایی که مراکز عملیات امنیت روزانه تهدیدها و رخدادهای مختلفی را مشاهده می کنند باید رویه ای مشخص برای درک این تهدیدات و پاسخگویی به آنها و همچنین کنترل نگرانی ها و هیجانات ناشی از رخدادهای بزرگ داشته باشند.

لینک دانلود کتاب:‌https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf