تکنولوژی

آموزش شکار تهدید مبتنی بر رفتار در ویندوز | تحلیل لاگ و رفتارهای مشکوک

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره غیر فعال
 

گاهی تهدید درست جلوی چشم‌مان است، اما چون رفتارش با آن‌چه انتظار داریم فرق دارد، نادیده‌اش می‌گیریم. در محیط‌های ویندوزی که هزاران فرآیند و لاگ در حال اجراست، حمله‌ها همیشه پر سروصدا نیستند.
شکار تهدید مبتنی بر رفتار راهی‌ست برای دیدن همین نشانه‌های ظریف؛ اینکه چگونه رفتار یک کاربر، یک پردازش یا یک فرمان می‌تواند پرده از یک حمله پنهان بردارد.

بخش اول: مقدمه‌ای بر Threat Hunting

امروزه در فضای امنیت شبکه با مهاجمانی مواجه هستیم که روزبه‌روز پیچیده‌تر عمل می‌کنند و بسیاری از آن‌ها از ابزارهای fileless  و تکنیک‌های  obfuscation استفاده می‌کنند، اتکا به راهکارهای سنتی مانند آنتی‌ویروس و فایروال به تنهایی پاسخ‌گو نیست. در چنین شرایطی، شکار تهدیدات (Threat Hunting) به‌عنوان یک رویکرد فعالانه، تحلیلی و مبتنی بر فرضیه برای شناسایی تهدیدات پنهان، اهمیت ویژه‌ای پیدا کرده است.

تعریف تخصصی Threat Hunting

شکار تهدیدات (Threat Hunting) به فرآیند جست‌وجوی فعالانه، تکرارشونده و تحلیلی برای شناسایی تهدیدات سایبری پیشرفته‌ای گفته می‌شود که ممکن است از دید ابزارهای امنیتی سنتی نظیر آنتی‌ویروس‌ها، IDS/IPS یا SIEM پنهان مانده باشند. در این روش، تحلیلگر امنیتی با تکیه بر دانش تخصصی خود، اطلاعات تهدیدات (Threat Intelligence)، فرضیه‌های رفتاری، و بررسی الگوهای غیرمعمول در داده‌های سیستم و شبکه، به‌صورت هدفمند به دنبال شواهدی از فعالیت‌های مخرب یا مهاجم می‌گردد.

اجزای کلیدی در تعریف Threat Hunting :

🛡️ فعالانه بودن (Proactive) :
برخلاف مدل‌های واکنشی مانند Incident Response، شکار تهدید بر مبنای جست‌وجوی داوطلبانه و پیش‌گیرانه در محیط اجرا می‌شود، حتی در نبود هشدار خاص.

🛡️ فرضیه‌محور بودن (Hypothesis-Driven) :
این رویکرد معمولاً با یک فرضیه آغاز می‌شود؛ برای مثال:  ممکن است مهاجمی با استفاده از دستورات PowerShell رمزنگاری‌شده در حال اجرای کد مخرب باشد.  این فرضیه بر اساس تجربه، اطلاعات تهدید یا نشانه‌های رفتار غیرعادی مطرح می‌شود.

🛡️ وابستگی به داده‌های عمیق (Deep Data Dependency) :
داده‌های خام مانند Event Logs، Sysmon، ترافیک شبکه، داده‌های حافظه، و خروجی EDRها، مواد اولیه‌ی شکار تهدید هستند.

🛡️ تحلیل رفتار مهاجم (Adversary Behavior Analysis) :
شکارچی تهدید از چارچوب‌هایی مانند MITRE ATT&CK برای تحلیل رفتارهای شناخته‌شده مهاجمان استفاده می‌کند و الگوهای مشابه را در محیط بررسی می‌نماید.

🛡️ ارزیابی پیوسته (Iterative & Continuous) :
شکار تهدید یک فرآیند یک‌باره نیست، بلکه بخشی از چرخه‌ی بهبود مستمر امنیت است که با یافته‌های هر مرحله، فرآیند و ابزارها بهینه‌سازی می‌شوند.

🎯هدف نهایی Threat Hunting چیست؟

هدف اصلی شکار تهدید، کشف سریع‌تر تهدیدات ناشناخته، کاهش dwell time (زمان حضور بدون شناسایی مهاجم) و ایجاد درک عمیق‌تر از رفتارهای واقعی مهاجم در محیط است. در واقع، این فرآیند پلی میان کشف، پاسخ و بهبود امنیت در سطح تاکتیکی و استراتژیک سازمان است.

بخش دوم: چارچوب‌ها و رویکردهای استاندارد شکار تهدید

1.مدل فرضیه‌محور (Hypothesis-Driven Hunting)

در این مدل، شما بر اساس اطلاعات موجود درباره‌ی مهاجمان، به‌ویژه از چارچوب‌هایی مثل MITRE ATT&CK، فرضیه‌هایی درباره‌ی حضور احتمالی تهدیدات مطرح می‌کنید. مثال:

فرضیه: مهاجمی موفق شده به سیستم از طریق RDP متصل شود و در حال اجرای PowerShell رمزگذاری‌شده برای ارتباط با C2 است.

2.مدل مبتنی بر شاخص‌های تهدید (IOC-Based Hunting)

یکی از رایج‌ترین و در عین حال پایه‌ای‌ترین روش‌های شکار تهدیدات، مدل مبتنی بر شاخص‌های تهدید (Indicator of Compromise-Based Hunting) است. در این روش، شکارچی تهدید با تکیه بر شاخص‌های شناخته‌شده از حملات قبلی یا اطلاعات تهدید (Threat Intelligence) به جست‌وجوی ردپاهای احتمالی در محیط سازمان می‌پردازد.

تعریف IOC (Indicator of Compromise)

IOC  یا شاخص سازش، یک اثر دیجیتال قابل اندازه‌گیری است که نشان‌دهنده‌ی احتمال وقوع یک حمله یا فعالیت مخرب در سیستم یا شبکه است. این شاخص‌ها معمولاً شامل موارد زیر هستند:

نوع IOC

مثال

هش فایل

e99a18c428cb38d5f260853678922e03 (MD5)

آدرس IP مخرب

185.107.56.231

دامنه مشکوک

malicious-example.com

مسیر فایل

C:\Users\Public\update.exe

نام فرآیند

svchost.exe در مسیر غیرعادی

شناسه‌های رجیستری

کلیدهای ثبت‌شده توسط بدافزار برای ماندگاری

 

مراحل اجرای IOC-Based Hunting

  1. دریافت و اعتبارسنجی IOC‌ها
    اطلاعات ممکن است از منابع خارجی (تهدیدهای عمومی یا خاص صنعت) یا داخلی (SIEM، گزارش تیم IR، تهدیدهای قبلی) دریافت شوند. اعتبار IOC باید بررسی شود تا از هشدارهای کاذب جلوگیری شود.

  2. جست‌وجو در داده‌های جمع‌آوری‌شده
    تحلیلگر با استفاده از ابزارهایی نظیر SIEM، EDR  یا جستجوی مستقیم در لاگ‌ها، به دنبال تطبیق IOC با داده‌های محیط می‌گردد.

مثال با Splunk :

splunk
index=sysmon (file_hash="e99a18c428cb38d5f260853678922e03" OR dest_ip="185.107.56.231")
  1.  Contextual Analysis
    تطبیق IOC به تنهایی کافی نیست. باید بررسی شود که آیا IOC در یک سناریوی مشروع ظاهر شده یا نشان‌دهنده یک تهدید واقعی است.
  2. اقدامات بعدی
    در صورت تایید تهدید، تیم پاسخ به حادثه وارد عمل شده و اقدامات حذف (Eradication)، قرنطینه (Isolation) یا اصلاح (Remediation)  انجام می‌شود.

مزایا و محدودیت‌های این مدل

مزایا:

  • اجرای سریع و ساده
  • مناسب برای تهدیدات شناخته‌شده
  • قابلیت خودکارسازی در SIEM یا EDR

محدودیت‌ها:

  • ناتوان در شناسایی تهدیدات جدید (zero-day)
  • حساس به تغییرات کوچک در شاخص (مثلاً تغییر هش)
  • احتمال هشدار کاذب (False Positive) در صورت عدم تحلیل زمینه

۳. مدل مبتنی بر رفتار (Behavioral-Based Hunting)

مدل مبتنی بر رفتار (Behavioral-Based Hunting)، یکی از پیشرفته‌ترین و مؤثرترین روش‌های شکار تهدید است که تمرکز آن بر تحلیل الگوهای رفتاری سیستم‌ها، کاربران و فرآیندها به‌جای جستجوی شاخص‌های ایستا (IOC) است. در این روش، شکارچی تهدید با شناسایی رفتارهای غیرعادی یا مغایر با الگوهای طبیعی، به کشف تهدیدات پنهان و پیچیده‌ای می‌پردازد که ممکن است در مدل‌های سنتی آشکار نشوند.

ویژگی اصلی این مدل چیست؟

برخلاف مدل مبتنی بر IOC که به آنچه هست نگاه می‌کند، مدل رفتاری بر آنچه اتفاق می‌افتد و چگونه اتفاق می‌افتد تمرکز دارد. این مدل از تکنیک‌های تحلیل آماری، تحلیل رفتاری و گاهی یادگیری ماشین استفاده می‌کند تا الگوهای معمول را شناخته و انحراف از آن‌ها را تشخیص دهد.

مثال‌هایی از الگوهای رفتاری مشکوک در ویندوز

رفتار غیرعادی

توضیح

اجرای PowerShell با پارامترهای رمزنگاری‌شده

معمولاً نشانه اجرای اسکریپت‌های مخرب یا فایل‌های دانلودی از راه دور است.

اجرای ابزارهای بومی ویندوز در مسیرهای غیرعادی

مانند whoami.exe یا netstat.exe در مسیرهایی به‌جز System32

ایجاد حساب کاربری خارج از ساعات اداری

نشانه‌ای از دسترسی غیرمجاز یا استفاده مهاجم از دسترسی سطح بالا

اجرای فرآیند از داخل حافظه (process hollowing)

رفتاری رایج در بدافزارهای بدون فایل (fileless malware)

تغییر مداوم در Policyها یا ACLها بدون اطلاع قبلی

می‌تواند نشان‌دهنده‌ی تلاش برای افزایش سطح دسترسی باشد

 

مراحل اجرای Behavioral-Based Hunting

  1. تعریف رفتارهای طبیعی (Baseline Behavior)
    با جمع‌آوری داده‌های بلندمدت از کاربران، سیستم‌ها، فرآیندها و شبکه، الگوی رفتار عادی مشخص می‌شود.
  2. شناسایی رفتارهای غیرعادی (Anomaly Detection)
    هرگونه انحراف از baseline مانند استفاده نابه‌جا از ابزارهای مدیریتی، دسترسی غیرمعمول به فایل‌ها، یا فعالیت در ساعات غیرعادی باید بررسی شود.
  3. تحلیل بافت (Contextual Behavioral Analysis)
    باید تحلیل شود که آیا رفتار غیرعادی، توجیه فنی یا عملیاتی دارد یا نشان‌دهنده‌ی حضور مهاجم است. برای مثال، اجرای PowerShell توسط مدیر IT در ساعت ۹ صبح طبیعی است، اما همان اجرا در ۳ نیمه‌شب مشکوک است.
  4. مستندسازی و اقدام (Documentation & Response)
    یافته‌ها مستندسازی شده و به تیم IR یا SOC گزارش می‌شود تا واکنش مقتضی صورت گیرد.

مزایا و معایب مدل Behavioral-Based Hunting

مزایا:

  • توانایی شناسایی تهدیدات ناشناخته (Zero-Day)
  • مقاومت در برابر تغییر IOC توسط مهاجم
  • قابل استفاده در محیط‌های بدون اطلاعات تهدید خارجی

معایب:

  • نیاز به داده‌ی زیاد برای تشخیص رفتار عادی
  • احتمال هشدارهای کاذب در ابتدای راه‌اندازی
  • نیاز به تحلیلگر ماهر برای تفسیر رفتارها

ابزارهای مفید در مدل رفتاری (ویندوز محور)

ابزار

کاربرد

Sysmon

جمع‌آوری رفتارهای سیستم در سطح فرآیند، شبکه و فایل

Windows Event Logs

بررسی تغییرات ACL، ورودها، فعالیت کاربران

ELK Stack یا Splunk

تجزیه‌وتحلیل داده‌های رفتاری در مقیاس وسیع

Sigma Rules

تعریف الگوهای رفتاری مشکوک برای بررسی در SIEM

MITRE ATT&CK

تطبیق رفتارها با تکنیک‌های شناخته‌شده مهاجمان

 

نمونه پرس‌وجو در Splunk برای کشف اجرای مشکوک PowerShell :

index=sysmon EventCode=1 Image="*powershell.exe" CommandLine="*EncodedCommand*"
| stats count by User, CommandLine, ParentImage, _time

بخش سوم: ابزارها و داده‌های ضروری برای Hunting در ویندوز

 Sysmon (System Monitor)

Sysmon  ابزاری از مجموعه Sysinternals است که رویدادهای سطح پایین مانند ایجاد فرآیند، تغییرات رجیستری و اتصالات شبکه را ثبت می‌کند.

رویداد

شرح

Event ID 1

ایجاد فرآیند

Event ID 3

اتصال به شبکه

Event ID 11

تغییرات فایل

 

پیکربندی پیشنهادی Sysmon از GitHub پروژه‌ی SwiftOnSecurity قابل دریافت است:
👉 https://github.com/SwiftOnSecurity/sysmon-config

 Windows Event Logs

در Hunting باید به موارد زیر توجه ویژه داشت:

  • Security Log
    • Event ID 4624  : ورود موفق
    • Event ID 4625  : تلاش ورود ناموفق
    • Event ID 4672  : تخصیص مجوزهای سطح بالا
  • PowerShell Operational Log
    • Event ID 4104  : اجرای اسکریپت
    • Event ID 4103  : اطلاعات پیمایش خط فرمان

 Process Explorer و Autoruns

برای بررسی فرآیندهای فعال، نقاط اجرای خودکار، و کشف برنامه‌های ناشناخته‌ای که در هنگام بوت فعال می‌شوند.

 PowerShell / WMI Queries

نمونه اسکریپت بررسی scheduled tasks مشکوک:

Get-ScheduledTask | Where-Object { $_.TaskName -like "*update*" -and $_.TaskPath -notlike "*Microsoft*" }

 

بخش چهارم: تحلیل تکنیک‌های مهاجمان با چارچوب MITRE ATT&CK

 

تاکتیک

تکنیک

مثال در ویندوز

Initial Access

T1078 (Valid Accounts)

استفاده از رمز عبور لو رفته

Execution

T1059.001 (PowerShell)

اجرای اسکریپت‌های رمزگذاری‌شده

Persistence

T1053.005 (Scheduled Task)

ساخت تسک مخرب

Defense Evasion

T1027

مبهم‌سازی فایل‌های مخرب

Command and Control

T1071.001 (HTTP)

ارتباط با سرور C2 از طریق پورت 443

 

برای هر تکنیک، تحلیلگر باید سناریوهایی ایجاد کرده و داده‌های مرتبط را جست‌وجو کند.

بخش پنجم: سناریوهای عملی Hunting در ویندوز

سناریو ۱: بررسی اجرای PowerShell مشکوک

  • جست‌وجوی Event ID 4104 در لاگ PowerShell
  • شناسایی دستوراتی با رمزگذاری base64
  • تحلیل Chain اجرای فرآیند (Parent Process)

سناریو ۲: کشف Persistence از طریق Scheduled Tasks

  • استفاده از دستور schtasks /query /fo LIST /v
  • بررسی تسک‌هایی که در مسیرهای ناشناخته اجرا می‌شوند

سناریو ۳: بررسی حرکت جانبی (Lateral Movement)

  • تحلیل Event ID 4624 با Logon Type = 10 (RemoteInteractive)
  • بررسی اتصالات RDP غیرمنتظره بین ماشین‌ها

بخش ششم: گزارش‌دهی و مستندسازی

پس از اتمام هر دور hunting، تحلیلگر باید موارد زیر را مستند کند:

  • فرضیه‌ی اولیه و منطق آن
  • داده‌های تحلیل‌شده
  • ابزارها و روش‌ها
  • یافته‌های مثبت یا منفی
  • توصیه‌های نهایی

این مستندسازی برای یادگیری تیم، تکرارپذیری شکار و تقویت دفاع سایبری بسیار مهم است.

چک‌لیست عملی Threat Hunting مبتنی بر رفتار در ویندوز

 

مرحله اول: آماده‌سازی محیط

گام

اقدام

ابزار/توضیح

1

فعال‌سازی و پیکربندی کامل لاگ‌های ویندوز

Audit Policy + Advanced Audit

2

نصب و پیکربندی Sysmon با ruleهای سفارشی

SwiftOnSecurity Sysmon config

3

راه‌اندازی SIEM یا Log Aggregator

مانند Splunk، ELK، Graylog

4

اطمینان از هم‌زمانی ساعت سیستم‌ها

NTP Server جهت دقت زمانی لاگ‌ها

5

جمع‌آوری حداقل ۲ هفته داده جهت ایجاد baseline

برای شناخت رفتار طبیعی سیستم‌ها

 

 مرحله دوم: تعریف رفتارهای نرمال (Baseline)

گام

اقدام

ابزار/توضیح

6

شناسایی برنامه‌ها و ابزارهای قانونی که در سازمان استفاده می‌شوند

Application Whitelisting

7

تعیین ساعات کاری معمول کاربران

برای تشخیص دسترسی‌های خارج از ساعت کاری

8

تحلیل دسترسی فایل‌ها و اجرای نرم‌افزارها توسط کاربران عادی

اجرای queries آماری در SIEM

 

مرحله سوم: شکار رفتارهای غیرعادی

گام

رفتار هدف

مثال پرس‌وجو

9

اجرای PowerShell با پارامترهای رمزنگاری‌شده

CommandLine="*EncodedCommand*"

10

اجرای ابزارهای سیستم از مسیرهای غیرعادی

ParentImage!="C:\\Windows\\System32\\cmd.exe"

11

استفاده از فرآیندهایی که به طور معمول دیده نمی‌شوند

بررسی EventCode 1 در Sysmon

12

ارتباط به IPهای ناشناس خارج از کشور

ترکیب Sysmon + Threat Intelligence

13

ایجاد حساب کاربری جدید بدون اطلاع IT

Event ID 4720 در Security Logs

14

دسترسی Remote Desktop غیرمجاز

Event ID 4624 Type=10 یا بررسی پورت 3389

 

مرحله چهارم: تحلیل و اعتبارسنجی یافته‌ها

گام

اقدام

نکته

15

بررسی بافت رفتار مشکوک با زمان، کاربر و تاریخچه

آیا رفتار با وظایف کاربر سازگار است؟

16

مقایسه با پایگاه داده MITRE ATT&CK

تشخیص تکنیک مهاجم مانند T1059 (PowerShell)

17

بررسی دیگر رخدادهای هم‌زمان یا مرتبط

تجزیه‌وتحلیل همبستگی (correlation) بین لاگ‌ها

 

مرحله پنجم: مستندسازی و واکنش

گام

اقدام

ابزار/روش

18

ثبت فرضیه، داده‌های بررسی‌شده، نتیجه تحلیل

قالب مستندسازی شکار تهدید

19

اطلاع‌رسانی به تیم Incident Response

ایجاد ticket در سیستم ITSM

20

اعمال اقدامات اصلاحی (حذف، ایزوله، پاکسازی)

بسته به نوع تهدید و سطح نفوذ

21

به‌روزرسانی detection ruleها بر اساس یافته جدید

در SIEM یا EDR برای جلوگیری در آینده

 

مرحله نهایی: بهبود مستمر

گام

اقدام

22

بازبینی فرآیند شکار تهدید و مستندات

23

آموزش تیم بر اساس نمونه واقعی رخ‌داده

24

به‌روزرسانی ruleهای رفتاری در SIEM یا EDR

 

🧪 نکات تکمیلی:

  • حتماً از  Sigma Rules برای تعریف و تبدیل رفتارها به قوانین قابل جست‌وجو در SIEM استفاده کنید.
  • از ابزارهایی مانند Velociraptor، Kusto Query Language (KQL) در Microsoft Defender  XDR یا SysmonView برای بررسی عمیق‌تر رفتارها بهره ببرید.

نتیجه‌گیری

شکار تهدید در محیط ویندوز، ترکیبی از دانش فنی، آشنایی با رفتار مهاجم و توان تحلیل داده‌های پیچیده است. موفقیت در این حوزه نیازمند تمرین مداوم، به‌روزرسانی دانش و مستندسازی دقیق است. سازمان‌هایی که تیم امنیتی خود را به ابزارها، چارچوب‌ها و ذهنیت شکار مجهز می‌کنند، شانس بیشتری برای جلوگیری از حملات پیشرفته خواهند داشت.

 

 

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد