در مطلب شواهد مجازی و نشانگرهای آلودگی با انواع دادهایی که از مهاجمان بر روی  سامانه ها و شبکه بر جای می ماند آشنا شدید. در این مطلب انواع نشانگرهای آلودگی و نمونه های مهم آن ها برای عملیات شکار تهدید را مورد بررسی قرار می دهیم. نشانگرهای تسخیرشدگی یا آلودگی سیستم به طور کلی به دو دسته نشانگرهای نفوذ/تسخیرشدگی (IOC) و نشانگرهای حمله (IOA) تقسیم می شوند

 

نشانگرهای نفوذ/تسخیرشدگی

نشانگرهای نفوذ یا IOC ها نوعی داده جرم شناسی هستند. این داده ها در رکوردهای لاگ یا فایل های سیستم یا ترافیک شبکه که بیانگر فعالیتی مخرب می باشند، یافت می شوند.IOC ها به کارشناسان IT و امنیت اطلاعات در شناسایی نشت اطلاعات و نفوذ کمک می کنند. نشانگرهای نفوذ اغلب بر وقوع نفوذ یا حمله ای که قبلا در سامانه رخ داده است دلالت دارند. با پایش این نوع نشانگرها، سازمان ها قادرند حملات را به سرعت شناسایی و از افشای اطلاعات یا جلوگیری از افزایش خسارت حمله جلوگیری نمایند. نمونه هایی از نشانگرهای نفوذ می توانند داده هایی نظیر فراداده(metadata) یا فایل های بدافزاری پیچیده یا محتوای نمونه ای آن ها باشند. اما گاهی نشانگرهای نفوذ به آسانی قابل شناسایی نیستند. تحلیلگران امنیت اغلب با شناسایی نشانگرهای نفوذ مختلف و همبسته سنجی اطلاعات آن ها با یکدیگر یک رخداد یا تهدید احتمالی را مورد بررسی قرار می دهند. انواع نشانگرهای نفوذ که باید مورد پایش قرار گیرند عبارتند از:

  • ترافیک غیر عادی شبکه
  • ناهنجاری در فعالیت حساب کاربری مدیریت
  • مکان های جغرافیایی نامنظم کاربر
  • ناهنجاری و خطا در ورود کاربران به سامانه
  • افزایش حجم خواندن/نوشتن اطلاعات در پایگاه داده
  • حجم زیاد در بسته های پاسخ HTTP
  • تعداد زیاد درخواست برای یک فایل
  • ترافیک نامتعارف برای روی شماره درگاه استاندارد
  • ارتباط میزبان های داخلی با مقصد های بیرونی بر روی شماره درگاه های نامتعارف
  • تغییر مشکوک در رجیستری یا فایل های سیستم
  • درخواست های DNS نامتعارف
  • نصب وصله های نرم افزاری غیر منتظره بر روی سامانه ها
  • تغییر پروفایل گوشی هوشمند و دستگاه قابل حمل
  • داده های انباشته شده در یک محل نا مناسب
  • درخواست مداوم ماشین های داخلی برای ارتباط با دامنه های مخرب
  • ترافیک وب مشکوک به رفتار غیرانسانی
  • نشانه های فعالیت DDoS

جمع آوری و همبسته سازی IOC ها به صورت لحظه ای موجب شناسایی سریعتر رخدادهای امنیتی می شود که از دید دیگر ابزارها و دستگاهی امنیتی پوشیده مانده اند. با شناسایی رخداد یا الگوی یک IOC، تیم امنیت می توانند ابزارها و سیاست های امنیتی خود را برای مقابله در برابر حملات آتی را به روز رسانی کرده و فرآیندهای خودکار برای مواجهه با خطر این تهدیدات در آینده توسعه دهد. برخی سازمان ها اقدام نشانگرهای نفوذ و تهدیدات را به صورت منظم مستند می کنند و بین جامعه های امنیتی و ذینفعان به اشتراک می گذارند. این کار به سازمان های دیگر در تشخیص و مقابله با تهدیدات مشابه کمک می کند.  تصویر زیر موارد استفاده و کارخواست های IoC در فرآیندهای دیگر را نشان می دهد.

ابزار OpenIOC framework یک شیوه برای اشتراک گذاری نتایج و اطلاعات مرتبط با تحلیل بدافزار است. STIX و TAXII شیوه ای استاندارد برای مستند سازی و گزارش دهی اطلاعات تهدید فراهم می کنند. اگرچه نشانگرهای نفوذ عناصری پس کنشانه(reactive)  هستند اما عنصری مهم در مقابله با حملات سایبری و بدافزارها به شمار می آیند.

نشانگرهای حمله

نشانگرهای حمله(IoA)، رویدادها یا شواهدی هستند که می توانند قبل از وقوع حمله یا نشانه های نفوذ، رویت شوند. IoAها با تمرکز بر شناسایی حمله قبل از وقوع، بر روی سیستم هدف، قابلیت عبور از وضعیت پس کنشانه به حالت پیش کنشانه در دفاع سایبری را فراهم می کنند. این قابلیت باعث می شود مدافعان امنیت بتوانند حمله مهاجم را قبل از رسیدن به اهداف مسدود و متوقف نمایند. نشانگر حمله های بر روی تشخیص نیت و آنچه مهاجم به دنبال انجام آن است تمرکز می کنند(صرفه نظر از بدافزار یا اکسپلوییتی که مهاجم در حمله به کار می برد). نشانگرهای حمله(IoA) مشابه نشانگرهای نفوذ(IoC) هستند، اما به جای تمرکز بر جرم یابی یک نفوذ/حمله ای که قبلا رخ داده است، بر روی شناسایی فعالیت مهاجم در حین حمله تمرکز دارند. نشانگرهای نفوذ به این پرسش پاسخ می دهد: «چگونه حمله اتفاق افتاد؟»؛ درحالی که نشانگرهای حمله در پاسخ به پرسش: «چه چیزی و چرا در حال اتفاق است؟» کمک می کنند. برخلاف نشانگرهای نفوذ، نشانگرهای حمله یک رویکرد پیش کنشانه و فعال در شناسایی به شمار می آیند. راهکارهای امنیتی آینده در حال حرکت به سمت تشخیص بر پایه نشانگرهای حمله هستند. در بسیاری موارد ترکیب کردن چند IoC در بازه زمانی مختلف می تواند منجر به تولید IoA شود.

نمونه هایی از نشانگرهای حمله که می توانند مورد پایش قرار  گیرند در زیر آورده شده است:

  • داده های مرتبط با تهدیدات پیشرفته پایدار(APT)
  • اجرای فرامین راه دور(Remote Command Execution)
  • سوء استفاده از ارتباط DNS(DNS Tunneling)
  • مشاهده ارتباط Fast-Flux DNS
  • مشاهده تلاش های beaconing در ترافیک
  • پویش درگاه
  • ارتباط با C&C
  • اجرای کد راه دور(Remote Code Execution)
  • شناسایی سیگنال CnC Heartbeat
  • تشخیص حمله Watering Hole
  • استخراج اطلاعات به بیرون(Data Ex-filtration)

نشانگرهای حمله به فرآیندهای دیگر خوراک اطلاعاتی و اطلاعات ارزشمند بدهند.تصویر زیر کارخواست ها و موارد کاربرد IOA در غنی سازی دیگر فرآیندها و اطلاعات را نشان می دهد

کارخواست ها و موارد استفاده از IOA

مقایسه نشانگرهای نفوذ و نشانگرهای حمله
  1. نشانگرهای نفوذ عناصری غیرفعال(پس کنشانه) و نشانگرهای حمله عناصری فعال یا پیش کنشانه در دفاع سایبری هستند
  2. نشانگرهای نفوذ بعد از وقوع حادثه قابل بهره برداری هستند اما نشانگرهای حمله در حین وقوع حمله یا پیش از وقوع رخداد قابل استفاده اند.
  3. نشانگرهای نفوذ مهاجمان عمومی و حملات رایج را شناسایی می کنند، اما نشانگرهای حمله تنها در صورت افزودن اطلاعات زمینه ای مناسب امکان شناسایی تهدیدات پیشرفته(APT) را دارند.

جدول زیر دیدگاه تشخیص نفوذ مبتنی بر هر دو رویکرد IOA و IOC را تشریح می کند

تفاوت IOA و IOC

 

 

 

 

 


مهدی صیاد

دانش آموخته کارشناسی ارشد کامپیوتر هستم. بیش از 7 سال در حوزه های مختلف امنیت سایبری ازجمله ارزیابی امنیت، آزمون نفوذ، کشف تهدیدات سایبری و امنیت سامانه های کنترل صنعتی فعالیت دارم. در اینجا از شکار تهدیدات سایبری و تحلیل امنیتی براتون خواهم نوشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *