سلام وخسته نباشید با قسمت دوم دوره آموزشی Threat Hunting با Splunk و Sysmon قسمت دوم (چگونه شکار کنیم؟) در خدمتون هستم امید اورم قسمت قبلی برای شما مفید بوده باشه در این بخش وارد قلب شکار تهدید میشویم. حالا نوبت آن است که بدانیم:
🎯 چگونه شکار کنیم؟ و چه چیزی را باید شکار کرد؟
در قسمت دوم این دوره، وارد دنیای واقعی شکار تهدید میشویم. دیگر فقط با نصب ابزارها و دریافت لاگها سروکار نداریم، بلکه یاد میگیریم چگونه مانند یک شکارچی حرفهای فکر کنیم، فرضیه بسازیم، و رفتارهای مشکوک را در میان انبوهی از دادهها شناسایی کنیم.
در این جلسه:
🔸 با مفهوم واقعی Threat Hunting فراتر از هشدارها آشنا میشویم
🔸 یاد میگیریم چگونه تهدید را تعریف کنیم: چه چیزی باید شکار شود؟
🔸 تکنیکهای پایه شکار در ویندوز و لینوکس را مرور میکنیم
🔸 با مهمترین مهارت شکار تهدید – فرضیهسازی (Hypothesis Creation) آشنا میشویم
🔸 و برای اولین بار، ذهنمان را مانند یک مهاجم آموزش میدهیم تا بتوانیم تهدیدات پنهان را کشف کنیم
شکار تهدید یعنی کشف آنچه هشدار نمیدهد.
یعنی حرکت پیشدستانه بهجای واکنش.
یعنی درک عمیق از رفتارهای سیستم، نه فقط دنبالکردن هشدارها.
اگر تا دیروز با هشدار حرکت میکردیم،
از این جلسه به بعد با حدس تحلیلی و فرضیهی دقیق، شکار را شروع خواهیم کرد.
برای مشاهده کامل دوره آموزشی Threat Hunting با Splunk و Sysmon اینجا کلیک کنید
برای مشاهده کامل دوره آموزشی Threat Hunting با Splunk و Sysmon اینجا کلیک کنید
🧠 ۲. چگونه شکار کنیم؟ (روششناسی شکار)
🔹 مراحل کلی شکار تهدید:
مرحله | شرح |
---|---|
1. فرضیهسازی (Hypothesis) | حدس هوشمندانه بر پایه تجربه، حملات اخیر، یا مدل ATT&CK |
2. انتخاب داده مرتبط | مثلاً بررسی Event ID 1 (process creation) در Sysmon |
3. طراحی کوئری جستجو | نوشتن SPL در Splunk برای کشف رفتار خاص |
4. تحلیل یافتهها | بررسی نتایج، تطبیق با فرضیه |
5. تأیید یا رد فرضیه | اگر تایید شد → به تیم IR اطلاع بده، اگر نه → اصلاح فرضیه |
🧠 ۳. چه چیزی را شکار کنیم؟ (اهداف شکار)
در ویندوز:
-
اجرای
powershell.exe -enc
توسط Word یا Excel -
اجرای PsExec یا Remote WMI
-
دسترسی به
lsass.exe
→ احتمال credential dumping -
فایلهای Dropped مشکوک در
%TEMP%
یاC:\Users\Public
در لینوکس:
-
اجرای مخفی
bash -i >& /dev/tcp/...
-
فعالیت در مسیرهای غیرعادی مثل
/tmp/.x/
-
ایجاد cronjob توسط کاربران غیرسیستمی
-
لاگ SSH از IP مشکوک
🧪 ۴. فرضیهسازی (Hypothesis Creation) – قلب شکار تهدید
🎯 تعریف:
فرضیهسازی یعنی:
"من گمان میکنم فلان رفتار مشکوک ممکن است در شبکه ما اتفاق افتاده باشد، بیایید آن را بررسی کنیم."
✅ مثالهای فرضیه واقعی:
سیستم | فرضیه | چرا منطقی است؟ |
---|---|---|
ویندوز | ممکن است مهاجم از Word با macro برای اجرای PowerShell استفاده کرده باشد. | Phishing با فایل Word رایجترین حمله اولیه است |
لینوکس | ممکن است مهاجم در پوشه /tmp یک اسکریپت مخرب برای reverse shell قرار داده باشد. |
مسیر /tmp در لینوکس جاییست که معمولاً فایلهای مخرب موقت ذخیره میشوند |
هر دو | ممکن است مهاجم با حساب کاربری معتبر اقدام به حرکت جانبی کرده باشد. | Credential reuse یکی از تکنیکهای رایج APTهاست |
🔍 تمرین این جلسه:
-
سه فرضیه برای محیط ویندوز بنویس
-
یک فرضیه برای لینوکس طراحی کن
-
داده مناسب برای بررسی آن فرضیه را مشخص کن (مثلاً Event ID یا مسیر لاگ)
-
کوئری ساده Splunk برای فرضیهات بنویس
✅ آماده شو برای جلسه بعد:
در قسمت سوم، یاد خواهی گرفت:
-
چگونه یک حمله را شبیهسازی کنی (Atomic Red Team)
-
و آن را با Sysmon + Splunk شکار کنی!
-
وارد دنیای واقعی شکار خواهیم شد...