شکار تهدیدات SANS FOR508

1. تاکتیک‌های واقعی پاسخ به حوادث
   • آمادگی: ابزارها، تکنیک‌ها و روش‌های کلیدی که یک تیم پاسخ به حادثه برای پاسخگویی صحیح به نفوذها به آن نیاز دارد.
   • شناسایی/تعیین دامنه: تعیین دامنه صحیح یک حادثه و شناسایی تمامی سیستم‌های آلوده در شرکت.
   • کنترل/توسعه اطلاعات: محدود کردن دسترسی، نظارت و یادگیری درباره مهاجم برای توسعه اطلاعات تهدید.
   • ریشه‌کنی/ترمیم: شناسایی و اجرای گام‌های کلیدی برای توقف حادثه فعلی و حرکت به سمت ترمیم در زمان واقعی.
   • بازیابی: ثبت اطلاعات تهدید برای استفاده در صورت بازگشت مهاجم مشابه به شرکت.
   • اجتناب از پاسخ به حوادث به سبک «Whack-A-Mole»: فراتر رفتن از ریشه‌کنی فوری بدون تعیین دامنه/کنترل مناسب حادثه.
2. شکار تهدیدات
   • شکار تهدیدات در مقابل پاسخ واکنشی
   • پاسخ به حوادث مبتنی بر اطلاعات
   • ایجاد یک قابلیت مداوم برای پاسخ به حوادث/شکار تهدیدات
   • تحلیل فارنزیک در مقابل شکار تهدیدات در نقاط انتهایی
   • نقش‌های تیم شکار تهدیدات
   • ATT&CK – تاکتیک‌ها، تکنیک‌ها و دانش عمومی مهاجمین توسط MITRE
3. شکار تهدیدات در شرکت
   • شناسایی سیستم‌های آلوده
   • یافتن بدافزار فعال و غیرفعال
   • بدافزارهای دارای امضای دیجیتال
   • ویژگی‌های بدافزار
   • مکانیزم‌های مخفی‌سازی و ماندگاری رایج
   • یافتن تهدید از طریق درک رفتارهای عادی
4. پاسخ به حوادث و شکار تهدیدات در سراسر شرکت
   • راه‌حل‌های سریع ابزارهای پاسخ‌دهی
   • پشتیبانی از راه دور با PowerShell
   • مراقبت‌های امنیتی مربوط به دسترسی از راه دور با PowerShell
   • چارچوب Kansa برای پاسخ به حوادث با استفاده از PowerShell
   • ابزار جمع‌آوری داده‌های فوری KAPE
   • پلتفرم Velociraptor برای پاسخ به حوادث
5. اجتناب از شناسایی بدافزار و تحلیل آن
   • ربایش/تعویض سرویس
   • کامپایل مکرر
   • پدینگ باینری
   • فشرده‌سازی/محافظت
   • بدافزار غیرفعال
   • امضای کد با گواهی‌نامه‌های معتبر
   • ضد فازریک/دستکاری تاریخ‌ها
   • استفاده از باینری‌های سیستم‌عامل و اجتناب از ابزارهای امنیتی
6. تشخیص ماندگاری بدافزار
   • مکان‌های AutoStart، RunKeys
   • ایجاد/تعویض سرویس
   • بازیابی خرابی سرویس
   • وظایف زمان‌بندی شده
   • حملات Hijacking DLL
   • مصرف‌کنندگان رویداد WMI
7. پیشگیری، تشخیص و کاهش سرقت اطلاعات هویتی
   • پاس کردن هش (Pass the Hash)
   • حملات به اعتبارنامه‌ها با Mimikatz
   • سرقت توکن‌ها
   • اعتبارنامه‌های پنهان
   • رازهای LSA
   • حملات کرربوس (Kerberos)
   • بلیط‌های طلایی (Golden Tickets)
   • Kerberoasting
   • DCSync
   • سرقت NTDS.DIT
   • Bloodhound و گراف‌نگاری Active Directory
   • ابزارهای معمولی برای استخراج داده‌ها شامل Metasploit، Acehash، Windows Credential Editor و بسیاری دیگر.

1. تشخیص پیشرفته شواهد اجرای برنامه
   • تاکتیک‌ها، تکنیک‌ها و روش‌های مهاجمین (TTPs) مشاهده شده از طریق اجرای فرآیند
   • تحلیل Prefetch
   • Cache سازگاری برنامه (ShimCache)
   • بررسی رجیستری Amcache
   • بررسی و تحلیل گسترده ShimCache و Amcache
2. حرکت جانبی و تکنیک‌های مهاجمین (TTPs)
   • تکنیک‌های دسترسی به اعتبارنامه‌ها
   • سوءاستفاده از سرویس‌های Remote Desktop
   • سوءاستفاده از Admin Share ویندوز
   • فعالیت PsExec و Beacon از Cobalt Strike
   • تکنیک‌های مدیریت از راه دور ویندوز
   • دسترسی از راه دور PowerShell و هک WMIC
   • حرکت جانبی و استفاده از اعتبارنامه‌ها با Cobalt Strike
   • بهره‌برداری از آسیب‌پذیری‌
3. تحلیل لاگ برای پاسخ‌دهندگان به حوادث و شکارچیان
   • پروفایل‌سازی استفاده از حساب‌ها و لاگین‌ها
   • پیگیری و شکار حرکت‌های جانبی
   • شناسایی سرویس‌های مشکوک
   • تشخیص نصب برنامه‌های غیرمجاز
   • پیدا کردن اجرای بدافزار و پیگیری فرآیندها
   • ضبط خطوط دستوری و اسکریپت‌ها
   • ضد فارنزیک و پاکسازی لاگ‌های رویداد
4. تحقیق در مورد حملات مبتنی بر WMI و PowerShell
   • مرور کلی WMI
   • حملات WMI در زنجیره حمله
   • ممیزی مخزن WMI
   • باقیمانده‌های سیستم فایل و رجیستری WMI
   • تحلیل خط فرمان و لاگ‌برداری فعالیت‌های WMI
   • ثبت تراکنش‌ها و بلوک‌های اسکریپت PowerShell
   • کشف فعالیت واردات PowerShell توسط Cobalt Strike
   • شناسایی تزریق PowerShell از Cobalt Strike، Metasploit و Empire
   • مبهم‌سازی اسکریپت‌های PowerShell
5. لاگ‌های Microsoft Defender، تاریخچه تشخیص و تحلیل MPLog

1. شناسایی و پاسخ به نقطه نهایی (EDR)
   • قابلیت‌ها و چالش‌های EDR
   • EDR و فارنزیک حافظه
2. جمع‌آوری حافظه
   • جمع‌آوری حافظه سیستم
   • استخراج و تبدیل حافظه‌های Pagefile و Hibernation
   • جمع‌آوری حافظه ماشین‌های مجازی
   • تغییرات حافظه در ویندوز 10 و 11
3. فرآیند تحلیل حافظه برای پاسخ‌دهی و شکار تهدیدات
   • درک سرویس‌ها و پردازش‌های رایج ویندوز
   • شناسایی پردازش‌های مشکوک
   • تحلیل اشیای پردازشی
   • بررسی شواهد شبکه
   • جستجوی شواهد تزریق کد
   • بررسی درایورها و شناسایی روت‌کیت‌ها
   • دامپ‌گیری از پردازش‌ها و درایورهای مشکوک
4. تحلیل حافظه فارنزیک
   • فارنزیک حافظه زنده
   • تحلیل حافظه با Volatility
   • شناسایی Webshell از طریق تحلیل درخت پردازشی
   • شکار تزریق کد، بدافزار و روت‌کیت در حافظه
   • فارنزیک حافظه پیشرفته با MemProcFS
   • شناسایی ناهنجاری‌های پردازش‌های WMI و PowerShell
   • استخراج خطوط دستوری مهاجمین مقیم در حافظه
   • بررسی سرویس‌های ویندوز
   • شکار بدافزار با استفاده از سیستم‌های مقایسه‌ای پایه
   • یافتن و دامپ‌گیری از فایل‌های کش‌شده در RAM
5. ابزارهای تحلیل حافظه
   • Velociraptor
   • Volatility
   • MemProcFS

1. شناسایی و فرار از دفاع‌های بدافزار
   • شاخص‌های سازش (Indicators of Compromise – YARA)
   • تحلیل آنتروپی و فشرده‌سازی
   • شناسایی ناهنجاری‌های اجرایی
   • تحلیل امضای دیجیتال
2. مروری بر تحلیل خط زمانی
   • مزایای تحلیل خط زمانی
   • دانش پیش‌نیاز
   • یافتن نقطه محوری (Pivot Point)
   • سرنخ‌های موجود در خط زمانی
   • فرآیند تحلیل خط زمان
3. ایجاد و تحلیل خط زمانی سیستم فایل
   • برچسب‌های زمانی MACB
   • قوانین زمانی ویندوز (کپی فایل در مقابل جابجایی فایل)
   • ایجاد خط زمانی سیستم فایل با استفاده از Sleuthkit، fls و MFTECmd
   • تحلیل و فیلتر کردن فایل Body با استفاده از ابزار mactime
4. ایجاد و تحلیل سوپر خط زمانی
   • قوانین سوپر خط زمانی مربوط به شواهد
   • اجرای برنامه، آگاهی از فایل، باز کردن و حذف فایل
   • ایجاد خط زمانی با log2timeline/Plaso
   • اجزای log2timeline/Plaso
   • فیلتر کردن سوپر خط زمانی با استفاده از psort
   • ایجاد هدفمند سوپر خط زمانی
   • تکنیک‌های تحلیل سوپر خط زمانی
   • گسترش مقیاس تحلیل سوپر خط زمانی با استفاده از Elastic Search (ELK)

1. تحلیل Volume Shadow Copy
   • خدمات Volume Shadow Copy Service (VSS): آشنایی با سرویس ویندوز که به کاربران امکان می‌دهد نسخه‌های قبلی فایل‌ها و داده‌های ذخیره شده را بازیابی کنند.
   • گزینه‌های دسترسی به داده‌های تاریخی در Snapshot‌های Volume: بررسی روش‌های مختلف برای دسترسی به داده‌های قدیمی در Volume Snapshots.
   • دسترسی به Shadow Copies با استفاده از vshadowmount: نحوه استفاده از ابزار vshadowmount برای بررسی و دسترسی به Shadow Copies.
   • ایجاد خط زمانی Volume Shadow Copy: استفاده از Volume Shadow Copy در تحلیل خط زمانی و شناسایی تغییرات.
2. تاکتیک‌های پیشرفته سیستم فایل NTFS
   • تحلیل سیستم فایل NTFS: نحوه بررسی ساختار NTFS و شناخت ویژگی‌های مهم آن.
   • مناطق حیاتی جدول فایل‌های اصلی (MFT): شناسایی نواحی حساس در MFT و تأثیر آن‌ها بر تحلیل داده‌ها.
   • فایل‌های سیستمی NTFS: بررسی فایل‌های سیستمی خاص که در NTFS استفاده می‌شوند.
   • ویژگی‌های متاداده NTFS: تحلیل ویژگی‌های متاداده و درک نحوه مدیریت داده‌ها.
   • قوانین زمانی ویندوز برای $StdInfo و $Filename: شناسایی قوانین و نحوه مدیریت زمان‌بندی فایل‌ها توسط NTFS.
   • شناسایی دستکاری‌های زمانی: بررسی تغییرات غیرمعمول در تاریخ و زمان فایل‌ها.
   • فایل‌های مقیم و غیرمقیم (Resident versus Nonresident Files): تفاوت بین فایل‌های مقیم و غیرمقیم و تأثیر آن‌ها بر تحلیل.
   • جریان‌های داده جایگزین (Alternate Data Streams): شناسایی جریان‌های داده جایگزین و نحوه استفاده از آن‌ها توسط مهاجمین.
   • ویژگی‌های دایرکتوری NTFS: تحلیل ویژگی‌های خاص دایرکتوری در NTFS.
   • بررسی ساختار B-Tree و تعادل آن: شناخت ساختار B-Tree در NTFS و نحوه تأثیر آن بر عملکرد سیستم فایل.
   • پیدا کردن فایل‌های پاک‌شده با استفاده از شاخص‌های $I30: نحوه یافتن فایل‌های حذف شده با استفاده از شاخص‌های $I30.
   • پرونده‌های ضبط وقایع سیستم فایل: $Logfile و $UsnJrnl: استفاده از $Logfile و $UsnJrnl برای بازیابی فعالیت‌های سیستم فایل.
   • الگوهای فعالیت معمول در Journals: شناسایی الگوهای فعالیت مهاجمین در لاگ‌های سیستم.
   • فیلترها و جستجوهای مفید در Journals: استفاده از فیلترها برای جستجوی کارآمدتر در Journals.
   • چه اتفاقی می‌افتد زمانی که داده‌ای از سیستم فایل NTFS حذف می‌شود؟: بررسی فرآیند حذف داده‌ها در NTFS و نحوه بازیابی آن‌ها.
3. بازیابی شواهد پیشرفته
   • نشانگرهای معمولی Wipers و ابزارهای پاک‌کننده: شناسایی ابزارهای پاک‌کننده داده و تأثیر آن‌ها بر شواهد دیجیتال.
   • کلیدهای حذف شده رجیستری: یافتن کلیدهای حذف شده در رجیستری و تحلیل آن‌ها.
   • شناسایی بدافزارهای “بدون فایل” در رجیستری: کشف بدافزارهای بدون فایل که در رجیستری پنهان هستند.
   • File Carving: تکنیک‌های پیشرفته برای بازیابی فایل‌های حذف‌شده.
   • Volume Shadow Carving: بازیابی شواهد از Volume Shadow Copies.
   • بازیابی آثار NTFS و رکوردهای لاگ رویداد: جستجو و بازیابی آثار مربوط به NTFS و لاگ‌های رویداد.
   • جستجوی کارآمد رشته‌ها: استفاده از تکنیک‌های جستجو برای یافتن اطلاعات مهم در داده‌ها.
   • تغییرات پیکربندی NTFS برای مقابله با تکنیک‌های ضد فارنزیک: تنظیمات پیشرفته برای محافظت از سیستم فایل در برابر تکنیک‌های ضد فارنزیک.

چالش فارنزیک نفوذ نیازمند تحلیل چندین سیستم از یک شبکه سازمانی با تعداد زیادی نقطه انتهایی است. در این چالش، شرکت‌کنندگان باید یاد بگیرند که چگونه اقدامات مهاجمین را در سراسر یک شبکه شناسایی و پیگیری کنند، از جمله موارد زیر: نفوذ اولیه، شناسایی شبکه (Reconnaissance)، ماندگاری، سرقت اعتبارنامه‌ها، حرکت جانبی، ارتقای دسترسی به مدیر دامنه و سرقت/خروج داده‌ها.پشرکت‌کنندگان در این چالش شاهد و مشارکت‌کننده در یک رویکرد تیمی برای پاسخ به حوادث خواهند بود. همچنین شواهدی از برخی از حملات پیچیده و معمول، از جمله Cobalt Strike، Sliver، Covenant، ابزارهای نظارت و مدیریت از راه دور (RMM)، چارچوب‌های سوءاستفاده PowerShell و بدافزارهای سفارشی دولتی را کشف خواهند کرد.در طول این چالش، هر پاسخ‌دهنده به حادثه باید به سوالات کلیدی زیر پاسخ دهد و به مسائل بحرانی در دسته‌بندی‌های مختلف زیر بپردازد، دقیقاً همانند مواجهه با یک رخداد واقعی در سازمان:

1. شناسایی و تعیین دامنه
   • شبکه چگونه و چه زمانی مورد نفوذ قرار گرفت؟ کدام سیستم “Patient Zero” است؟
   • نفوذ اولیه چگونه رخ داد و به مهاجمان جای پایی داد؟ از چه نوع اکسپلویتی استفاده شد؟
   • مهاجمان چه زمانی و چگونه برای اولین بار به هر سیستم حرکت جانبی کردند؟
   • راه‌های اصلی و فرعی فرمان و کنترل (C2) مهاجمان چه بود؟
2. مهار و جمع‌آوری اطلاعات تهدید
   • مهاجمان چگونه و چه زمانی به اعتبارنامه‌های مدیر دامنه دست یافتند؟
   • مهاجمان در هر سیستم به دنبال چه چیزی بودند؟
   • ارزیابی خسارت: چه داده‌هایی سرقت شده است؟
   • ارزیابی خسارت: آیا به ایمیل دسترسی پیدا شده یا سرقت شده است؟
   • آیا شواهدی از فعالیت‌های ضد فارنزیک کشف شد؟
   • آیا مهاجمان توانستند به منابع ابری دسترسی پیدا کنند، مانند منابع رایانش ابری یا داده‌های ذخیره‌سازی ابری؟
   • اطلاعات تهدید: فهرست شاخص‌های سازش (IoCs) مبتنی بر سیستم و شبکه.
3. ترمیم و بازیابی
   • چه سطحی از حساب‌های کاربری مورد نفوذ قرار گرفته‌اند؟ آیا نیاز به بازنشانی کامل رمزهای عبور در طول ترمیم وجود دارد؟
   • با توجه به تکنیک‌ها و ابزارهای کشف شده در طول حادثه، چه مراحلی برای ترمیم و بازیابی از این حادثه پیشنهاد می‌شود؟
   • چه سیستم‌هایی نیاز به بازسازی دارند؟
   • کدام آدرس‌های IP باید مسدود شوند؟
   • چه اقدامات متقابلی باید به کار گرفته شوند تا این مهاجمان را در صورت بازگشت کند یا متوقف کنیم؟
   • چه توصیه‌هایی برای تشخیص دوباره این مهاجمان در شبکه‌مان ارائه می‌کنید؟