دریافت مقالات

امنیت

مزایای استفاده از Splunk در شناسایی و مقابله با تهدیدات پیشرفته

458 مشاهده ۱۶ تیر, ۱۳۹۷ 18

مزایای استفاده از Splunk در شناسایی و مقابله با تهدیدات پیشرفته

در این مقاله قصد داریم به زوایای شناسایی و مقابله با تهدیدات پیشرفته با Splunk بپردازیم، لذا پیش از آن باید با برخی مفاهیم آشنا شویم که در ادامه به آن پرداخته شده است.

Advanced Threat چیست؟

تهدیدات پیشرفته توسط مهاجمانی صورت می‌گیرد که برای به دست آوردن و یا تغییر اطلاعات، از چندین مسیر حمله استفاده می‌‌نمایند. معمولاً کشف، حذف و شناسایی علت تهدیدات پیشرفته امری مهم و در عین حال دشوار است. انواع تهدیداتِ پیشرفته ممکن است شامل Phishing، آلوده‌سازی وب‌سایت‌ها با بدافزار، حملات Brute Force، مهندسی اجتماعی برای به دست آوردن دسترسی‌های مجاز و حملات هدف‌دار که شامل Exploitهای Zero-Day هستند، باشد. یک تهدید پیشرفته یک یا چند سیستم را در معرض خطر قرار می‌دهد و راه‌های ارتباطی دائمی را برقرار می‌سازد تا فعالیت‌ها به سمتی متمایل گردند که اهداف مهاجمین تحقق یابد.

شرکت امن پایه ریزان کارن APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5

یک تهدید پیشرفته، رشته‌ای از فعالیت‌ها را انجام می‌دهد تا دسترسی ورودی معتبر را بدست آورد، منابع مورد علاقه را یافته و آن‌ها را به بیرون از سازمان منتقل نماید. یکی از موارد این مدل حمله، Kill Chain می‌باشد.

بررسی حملات Kill Chain در اسپلانک

نحوه انتقال

یک تهدید پیشرفته معمولاً با دانلود بدافزار آغاز می‌گردد و آلودگی‌ها با کلیک بر روی لینک‌های مخرب یا فایل‌های پیوست در ایمیل‌ها و یا مراجعه به وب‌سایت‌های آلوده یا مخرب رخ می‌دهند.

نحوه انجام فرآیند Exploit و نصب بدافزار

بدافزاری که در سیستم دانلود شده ( چه به صورت خودکار یا توسط کاربری که فریب داده شده تا روی یک Dialog Box کلیک کند و یا بدلیل باز کردن پیوست ایمیل، دانلود شده باشد) باید اجرا گردد.

بدافزار‌ها معمولاً مخفی هستند یا در اسناد متداول و فایل‌های وب، مانند اسناد PDF یا فایل تصویری JPG کارگذاری شده‌اند و باز کردن یا دسترسی به این فایل‌ها بدافزار را اجرا می‌نماید. با تکنیک‌های پیشرفته می‌تواند از آسیب‌پذیری‌های شناخته‌شده یا ناشناخته سواستفاده  نماید و بدافزار روی سیستم نصب گردد. زمانی که بدافزار اجرا می‌گردد، فعالیت‌های متفاوتی را انجام می‌دهد تا به صورت شناسایی نشده بر روی Endpoint اجرا گردد. برای مثال ممکن است بدافزار با نصب برنامه‌هایی که ظاهری عادی دارند، با خاموش کردن برنامه‌ی امنیتی، خاموش کردنLogging  برای بدافزارها و یا با جایگزین کردن فایل‌های سیستم یا برنامه‌های سیستم که به طور عادی اجازه‌ی اجرا شدن در Endpoint را دارند، به کار خود ادامه دهد.

نحوه‌ی کارکرد بدافزار با سرورِ Command & Control

با نرم‌افزارهای مخربی که روی Endpoint نصب شده‌اند، بدافزار با یک سرورِ C&C ارتباط برقرار می‌نماید تا نرم‌افزار‌های بیشتری را دانلود کرده و یا دستورالعمل‌هایی را دریافت نماید. این دستورالعمل‌ها می‌تواند شامل فایل‌ها یا داده‌های خاصی شود که قرار است از سازمان هدف دزدیده شوند. جهت ارتباط بین سرور‌های هدف،  C&C معمولاً از پروتکل‌های ارتباطی متداولی که در پروتکل‌های HTTP، FTP و DNS پنهان هستند، استفاده می‌نماید. همچنین ممکن است این ارتباطات با استفاده از SSL روی HTTP، یا با استفاده از پروتکل‌های کنترل Remote مانند RDP رمزگذاری شده صورت پذیرد.

نحوه انجام حملات

مهاجم با جای پایی محکم در کانال‌های سازمانی و ارتباطی برای جهت‌دهی به فعالیت‌ها، تداوم (Persistence) را ایجاد نموده و می‌تواند قدم‌های لازم را برای به انجام رسانیدن مأموریت خود بردارد. در این مرحله فعالیت‌های تهدیدآمیز پیشرفته از حساب‌های کاربری و سیستم‌های موردتایید نشات می‌گیرد که در محیط، معتبر می‌باشند.

شناسایی و مقابله با تهدیدهای پیشرفته

در روند حملات پیشرفته، مهاجمی وجود دارد که می‌خواهد وارد ساختار شبکه شما شده و هدفی بر علیه کسب‌و‌کار شما می‌باشد. این مهاجم دارای انگیزه و منابع کافی است. آن‌ها از چندین مسیر و تکنیک حمله استفاده می‌کنند تا وارد سیستم کاربر شوند، از دسترسی معتبری که سیستم در شبکه‌ی وی دارد سواستفاده کرده، در سیستم‌های او باقی مانده، از سازمان مربوطه دزدی کرده و یا  آسیب برسانند. این فعالیت‌های مخرب می‌تواند شامل فعالیت‌های جانبی همچون پیدا کردن و فراگرفتن Endpoint‌ها و سیستم‌های دیگر گردد. مهاجم از Credentialهای معتبر استفاده می‌کند تا به Endpointها، سیستم‌ها و ذخیره‌های منابع دسترسی پیدا کند. اهداف مهاجمین می‌تواند شامل تغییر، مشاهده و دزدیدن اطلاعات و همچنین فروش دسترسی‌هایش به سازمان شما باشد. همچنین مهاجم می‌خواهد دسترسی خود را به سازمان شما حفظ و مخفی نماید.

دسترسی داشتن و تحلیل کردن تمام داده‌ها ممکن است در شناسایی و مقابله با تهدیدات پیشرفته مفید باشد. مانیتورینگ حملات و فعالیت‌های غیرعادی شناخته شده و سپس مرتبط ساختن آن‌ها به یک‌دیگر با استفاده از روش Kill Chain، می‌تواند به شناسایی Hostهای در معرض خطر و تهدیدات پیشرفته‌ای که وارد سازمان کاربر شده‌اند، کمک نماید. این روش روی شناسایی فعالیت‌های پس از Exploit یا آلودگی با فرض بر این که یک مهاجم وارد ساختار شبکه‌ای شده است (فرض بر اینکه کاربر در معرض خطر قرار دارد)، متمرکز می‌باشد. مثال‌های زیر تکنیک‌های لازم برای جستجوی Hostهای در معرض خطر را نشان می‌دهند و می‌توانند نقش مهمی در پاسخ به نقض‌های امنیتی و یافتن بدافزار یا APT بازی کنند.

 

نام فایل غیرعادی
  • به دنبال چه چیزی هستیم: نام‌های فایل کوتاه.
  • دلیل: مهاجم می‌خواهد برنامه‌ای را اجرا کند که شناسایی نگردد.
  • منابع مورد نیاز: Logهای Endpoint یا سیستم؛ نام فایل‌هایی که «file» هستند.
  • نحوه‌ی شناسایی: | eval file_length=len(file) | where file_length < 4
فایل قابل‌اجرای کمیاب
  • به دنبال چه چیزی هستیم: فایل‌های قابل‌اجرای کمیاب در محیط، به خصوص محیط‌های کنترل‌شده.
  • دلیل: مهاجم باید در Endpoint، بدافزار نصب و اجرا کند.
  • منابع مورد نیاز: Logهایی که حاوی نام‌های فرایند‌های درحال اجرا هستند، برای مثال tasklist در مایکروسافت و ps در Linux.
  • نحوه‌ی شناسایی: | stats dc(host) by process | sort + dc(host)
آغاز فرایند یا برنامه در هنگام آغاز به کار ویندوز
  • به دنبال چه چیزی هستیم: تغییرات در رجیستری

در قسمت HKEY_LOCAL_MACHINE در زیر مجموعه SOFTWARE\Microsoft\Windows و سپس CurrentVersion\Run باید بررسی شود.

  • دلیل: باید در Endpoint بدافزار اجرا گردد تا فعالیت مخرب انجام شود.
  • منابع مورد نیاز: ثبت‌نام Monitor Microsoft Windows، برای مثال Splunk Forwarder، RegMon یا راهکار ETDR
  • نحوه‌ی شناسایی: createKey | stats count(process_image) by process_ image key_path host
فعالیت مدیریتی غیرعادی
  • به دنبال چه چیزی هستیم: Logهای رخداد خالی.
  • دلیل: مهاجم می‌خواهد با پاک کردن Logها، مدارک فعالیت‌هایش را از بین ببرد.
  • منابع مورد نیاز: Logهای رخداد Microsoft Windows.
  • نحوه‌ی شناسایی: EventCode=1102 OR EventCode=517

شناسایی فعالیتهای تهدیدآمیز پیشرفته از دیدگاه شبکه

فعالیت خروجی غیرعادی با استفاده از DNS-1

  • به دنبال چه چیزی هستیم: تعداد زیادی از درخواست‌های DNS که در قیاس با مبنای اصلی از سوی یک Client خاص رخ می‌دهد.
  • دلیل: احتمال ارتباطات تهدیدآمیز پیشرفته (دستورالعمل، دزدی داده) با استفاده از پروتکل DNS.
  • منابع مورد نیاز: Logهای DNS.
  • نحوه‌ی شناسایی: sourcetype=dns | stats count(clientip) AS Requests by clientip | sort – Requests

فعالیت خروجی غیرعادی با استفاده از DNS-2

  • به دنبال چه چیزی هستیم: تعداد زیادی از درخواست‌های DNS با اندازه‌ی یکسان از یک Host داخلی، الگو‌های درخواست DNS با اندازه‌ی یکسان.
  • دلیل: احتمال ارتباطات تهدیدآمیز پیشرفته (دستورالعمل، دزدی داده) با استفاده از پروتکل DNS.
  • منابع مورد نیاز: Logهای DNS.
  • نحوه‌ی شناسایی: sourcetype=dns | eval Length=len(query) | stats count(clientip) by Length | sort – Length

اطلاعرسانی به مهاجم از نصب موفق

  • به دنبال چه چیزی هستیم: ترافیک با تناوب سنگین، برای مثال ترافیک به یک URL یکسان در فواصل زمانی یکسان به صورت روزانه.
  • دلیل: بدافزار برای دریافت دستورالعمل سعی در ایجاد ارتباط با سرور صدور و کنترل دارد.
  • منابع مورد نیاز: Logهای پروکسی وب یا Logهای فایروال؛ «dest» می‌تواند یک URL، دامین یا آدرس IP باشد.
  • نحوه‌ی شناسایی: | streamstats current=f last(_time) as next_time by dest | eval gap = next_time – _time | stats count avg(gap) var(gap) by dest

ارتباط با سرور C&C، دیگر سایتهای بدافزار

  • به دنبال چه چیزی هستیم: ترافیک به سایت‌هایی که تحت عنوان «none» یا «unknown» توسط یک سرور اعتبار یا فیلتر طبقه‌بندی فهرست شده‌اند.
  • دلیل: مهاجمان معمولاً از دامین‌های جدید یا با ترافیک پایین که توسط Reputation Engines ارزیابی نشده‌اند استفاده می‌نمایند.
  • منابع مورد نیاز: Logهای پروکسی وب یا Logهای فایروال با Reputation.
  • نحوه‌ی شناسایی: source=proxy sc_flter_category=None OR sc_flter_ category=unknown| stats count(clientip) by s_hostname, clientip

تحویل و نصب بدافزار

  • به دنبال چه چیزی هستیم: درخواست‌های سریع پس از دانلود یک فایل قابل‌اجرای پرتابل (PDF، Java، .exe و …)
  • دلیل: نشان‌دهنده‌ی Exploitation، نصب و دانلود بدافزار، فایل‌ها و دستورالعمل‌های اولیه است.
  • منابع مورد نیاز: داده‌های پروکسی وب یا فایروال که شامل URL کامل یا نام‌های فایل است.
  • نحوه‌ی شناسایی: source=proxy [search fle=*.pdf OR fle=*.exe | dedup clientip | table clientip] | transaction maxspan=60s maxpause=5s clientip | eval Length=len(_raw) | sort –Length

ارتباط بدافزار با سرور صدور و کنترل

  • به دنبال چه چیزی هستیم: ترافیک از آدرس‌ها یا دامین‌های درون لیست سیاه (لیست داخلی، منابع اطلاعات تهدیدات) و یا به سوی آن‌ها.
  • دلیل: تهدید یا بدافزار پیشرفته نیازمند ارتباطی مداوم با مهاجم است تا اهداف وی تحقق یابند.
  • منابع مورد نیاز: هر داده‌ی Log با آدرس IP یا نام دامین؛ هر منبع داده (Log/فایل) از IP یا دامین‌های لیست سیاه.
  • نحوه‌ی شناسایی: source=frewall action=Permit | lookup malicious clientip as dst | stats sum(bytes) by dst

می‌توان برای شناسایی فعالیت‌های شبکه و Host که ممکن است نشان‌دهنده‌ی تهدیدی پیشرفته باشند، از نرم‌افزار Splunk استفاده نمود. برخلاف بسیاری از راهکار‌های کنونی، Splunk به طور منحصر به فردی مناسب جمع‌آوری، Index کردن، ارتباط دادن و تحلیل نمودن تمام داده‌ها و مانیتور کردن الگو‌های فعالیت در دوره‌های زمانی طولانی موردنیاز برای پیش‌بینی یک حمله می‌باشد. به علاوه، می‌توان از کاربرد‌های تجزیه و تحلیل و عددی استفاده نمود تا جستجو‌هایی ایجاد شوند که آستانه‌هایی (Thresholdهایی) که توسط کاربر تعریف شده‌اند و نسبت به معماری سازمان سفارشی‌ شده‌اند را به کار می‌گیرد. می‌توان از قابلیت‌های Field Extraction، جستجو (Lookup) و Pivot استفاده نمود تا هر ترکیبی از رخداد‌ها یا فعالیت‌ها را به هم مرتبط ساخت، تا درک زنجیره‌ی رخداد که برای کشف تهدیدات پیشرفته، تهدیدات امنیتی و نقض‌های امنیتی داده‌ای بالقوه موردنیاز است، انجام گردد.

اطلاعات درون مثال‌ها تنها نشان‌دهنده‌ی نقطه‌ی شروع برای مشاهده‌ی فعالیت‌های غیرعادی روی Hostها و روی شبکه‌ها هستند و می‌توان از آن برای شناسایی و مقابله با تهدیدات پیشرفته استفاده نمود. این موارد در محیطی فعال مورد آزمایش قرار نگرفته‌اند. تهدیدات و مسیر‌های حمله دائماً درحال تغییر هستند و خواننده باید از شرایطی که ممکن است در هر برنامه‌ی امنیتی تغییراتی را به وجود آورد آگاه باشد.

مطلب مفید بود؟


?