فرض کنید یکی از اعضای تیم تحلیلگر تهدیدات در سازمان (گاهاً تیم آبی نیز خوانده می‌شود) هستید و سازمان بودجه و افراد کافی برای شکار تهدیدات در اختیار ندارد؛ با این فرضیه و همچنین با دراختیار داشتن لاگ پراکسی سرور سازمان میتوانید به راحتی با استفاده از الگوهایی مشخص اقدام به شکار تهدیدات سایبری نمایید.

ترفند اول

بهعنوان نمونه، مهاجم از طریق یکی از آسیبپذیریهای وردپرس اقدام به آپلود فایلهای مخرب روی سرور وب سازمان میکند.

بهراحتی با استفاده از یک الگوی رجکس (Regular Expression) مانند زیر، میتوانید در لاگهای موجود این مورد را بررسی کنید.

/wp-(includes|admin|content)/.*\.(exe|dll|scr)

به این ترتیب میتوان فایلهای مخربی را که روی مسیرهای مشکوکی نظیر مسیر زیر بارگذاری شده است را شناسایی کرد.

http://www.example.com/wp-content/uploads/2015/06/malicious.exe

میتوان از رجکسی مشابه رجکس فوق برای CMS هایی نظیر جوملا، دراپال و غیره نیز استفاده کرد.

ترفند دوم

باج افزارها امروزه به یکی از تهدیدات رایج و بعضا خسارتبار در سازمان ها تبدیل شده است. بسیاری از آنها در هنگام نصب اقدام به برقراری ارتباط با سرور C2 خود میکنند. این ارتباط از طرق مختلفی نظیر استفاده از پروتکل HTTP، سرویسهای Tor و قابل انجام است.

با زدن یک رجکس بسیار ساده روی لاگهای پراکسی سرور موجود در سازمان میتوان چنین ارتباطات مخربی را شناسایی کرد.

به عنوان نمونه، جهت شناسایی ارتباطات TOR میتوان از رجکس ساده زیر استفاده کرد.

[a-z0–۹]{۱۶}\.(onion|tor2web|torlink)\.

با استفاده از رجکس فوق، ارتباط با آدرسهایی نظیر آدرس زیر به‌راحتی قابل شناسایی خواهد بود.

https://duskgytldkxiuqc6.onion.to/

 


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *