گاهی تهدید درست جلوی چشممان است، اما چون رفتارش با آنچه انتظار داریم فرق دارد، نادیدهاش میگیریم. در محیطهای ویندوزی که هزاران فرآیند و لاگ در حال اجراست، حملهها همیشه پر سروصدا نیستند.
شکار تهدید مبتنی بر رفتار راهیست برای دیدن همین نشانههای ظریف؛ اینکه چگونه رفتار یک کاربر، یک پردازش یا یک فرمان میتواند پرده از یک حمله پنهان بردارد.
بخش اول: مقدمهای بر Threat Hunting
امروزه در فضای امنیت شبکه با مهاجمانی مواجه هستیم که روزبهروز پیچیدهتر عمل میکنند و بسیاری از آنها از ابزارهای fileless و تکنیکهای obfuscation استفاده میکنند، اتکا به راهکارهای سنتی مانند آنتیویروس و فایروال به تنهایی پاسخگو نیست. در چنین شرایطی، شکار تهدیدات (Threat Hunting) بهعنوان یک رویکرد فعالانه، تحلیلی و مبتنی بر فرضیه برای شناسایی تهدیدات پنهان، اهمیت ویژهای پیدا کرده است.
تعریف تخصصی Threat Hunting
شکار تهدیدات (Threat Hunting) به فرآیند جستوجوی فعالانه، تکرارشونده و تحلیلی برای شناسایی تهدیدات سایبری پیشرفتهای گفته میشود که ممکن است از دید ابزارهای امنیتی سنتی نظیر آنتیویروسها، IDS/IPS یا SIEM پنهان مانده باشند. در این روش، تحلیلگر امنیتی با تکیه بر دانش تخصصی خود، اطلاعات تهدیدات (Threat Intelligence)، فرضیههای رفتاری، و بررسی الگوهای غیرمعمول در دادههای سیستم و شبکه، بهصورت هدفمند به دنبال شواهدی از فعالیتهای مخرب یا مهاجم میگردد.
اجزای کلیدی در تعریف Threat Hunting :
🛡️ فعالانه بودن (Proactive) :
برخلاف مدلهای واکنشی مانند Incident Response، شکار تهدید بر مبنای جستوجوی داوطلبانه و پیشگیرانه در محیط اجرا میشود، حتی در نبود هشدار خاص.
🛡️ فرضیهمحور بودن (Hypothesis-Driven) :
این رویکرد معمولاً با یک فرضیه آغاز میشود؛ برای مثال: ممکن است مهاجمی با استفاده از دستورات PowerShell رمزنگاریشده در حال اجرای کد مخرب باشد. این فرضیه بر اساس تجربه، اطلاعات تهدید یا نشانههای رفتار غیرعادی مطرح میشود.
🛡️ وابستگی به دادههای عمیق (Deep Data Dependency) :
دادههای خام مانند Event Logs، Sysmon، ترافیک شبکه، دادههای حافظه، و خروجی EDRها، مواد اولیهی شکار تهدید هستند.
🛡️ تحلیل رفتار مهاجم (Adversary Behavior Analysis) :
شکارچی تهدید از چارچوبهایی مانند MITRE ATT&CK برای تحلیل رفتارهای شناختهشده مهاجمان استفاده میکند و الگوهای مشابه را در محیط بررسی مینماید.
🛡️ ارزیابی پیوسته (Iterative & Continuous) :
شکار تهدید یک فرآیند یکباره نیست، بلکه بخشی از چرخهی بهبود مستمر امنیت است که با یافتههای هر مرحله، فرآیند و ابزارها بهینهسازی میشوند.
🎯هدف نهایی Threat Hunting چیست؟
هدف اصلی شکار تهدید، کشف سریعتر تهدیدات ناشناخته، کاهش dwell time (زمان حضور بدون شناسایی مهاجم) و ایجاد درک عمیقتر از رفتارهای واقعی مهاجم در محیط است. در واقع، این فرآیند پلی میان کشف، پاسخ و بهبود امنیت در سطح تاکتیکی و استراتژیک سازمان است.
بخش دوم: چارچوبها و رویکردهای استاندارد شکار تهدید
1.مدل فرضیهمحور (Hypothesis-Driven Hunting)
در این مدل، شما بر اساس اطلاعات موجود دربارهی مهاجمان، بهویژه از چارچوبهایی مثل MITRE ATT&CK، فرضیههایی دربارهی حضور احتمالی تهدیدات مطرح میکنید. مثال:
فرضیه: مهاجمی موفق شده به سیستم از طریق RDP متصل شود و در حال اجرای PowerShell رمزگذاریشده برای ارتباط با C2 است.
2.مدل مبتنی بر شاخصهای تهدید (IOC-Based Hunting)
یکی از رایجترین و در عین حال پایهایترین روشهای شکار تهدیدات، مدل مبتنی بر شاخصهای تهدید (Indicator of Compromise-Based Hunting) است. در این روش، شکارچی تهدید با تکیه بر شاخصهای شناختهشده از حملات قبلی یا اطلاعات تهدید (Threat Intelligence) به جستوجوی ردپاهای احتمالی در محیط سازمان میپردازد.
تعریف IOC (Indicator of Compromise)
IOC یا شاخص سازش، یک اثر دیجیتال قابل اندازهگیری است که نشاندهندهی احتمال وقوع یک حمله یا فعالیت مخرب در سیستم یا شبکه است. این شاخصها معمولاً شامل موارد زیر هستند:
|
نوع IOC |
مثال |
|---|---|
|
هش فایل |
|
|
آدرس IP مخرب |
|
|
دامنه مشکوک |
|
|
مسیر فایل |
|
|
نام فرآیند |
|
|
شناسههای رجیستری |
کلیدهای ثبتشده توسط بدافزار برای ماندگاری |
مراحل اجرای IOC-Based Hunting
-
دریافت و اعتبارسنجی IOCها
اطلاعات ممکن است از منابع خارجی (تهدیدهای عمومی یا خاص صنعت) یا داخلی (SIEM، گزارش تیم IR، تهدیدهای قبلی) دریافت شوند. اعتبار IOC باید بررسی شود تا از هشدارهای کاذب جلوگیری شود. -
جستوجو در دادههای جمعآوریشده
تحلیلگر با استفاده از ابزارهایی نظیر SIEM، EDR یا جستجوی مستقیم در لاگها، به دنبال تطبیق IOC با دادههای محیط میگردد.
مثال با Splunk :
splunk
index=sysmon (file_hash="e99a18c428cb38d5f260853678922e03" OR dest_ip="185.107.56.231")
- Contextual Analysis
تطبیق IOC به تنهایی کافی نیست. باید بررسی شود که آیا IOC در یک سناریوی مشروع ظاهر شده یا نشاندهنده یک تهدید واقعی است. - اقدامات بعدی
در صورت تایید تهدید، تیم پاسخ به حادثه وارد عمل شده و اقدامات حذف (Eradication)، قرنطینه (Isolation) یا اصلاح (Remediation) انجام میشود.
مزایا و محدودیتهای این مدل
مزایا:
- اجرای سریع و ساده
- مناسب برای تهدیدات شناختهشده
- قابلیت خودکارسازی در SIEM یا EDR
محدودیتها:
- ناتوان در شناسایی تهدیدات جدید (zero-day)
- حساس به تغییرات کوچک در شاخص (مثلاً تغییر هش)
- احتمال هشدار کاذب (False Positive) در صورت عدم تحلیل زمینه
۳. مدل مبتنی بر رفتار (Behavioral-Based Hunting)
مدل مبتنی بر رفتار (Behavioral-Based Hunting)، یکی از پیشرفتهترین و مؤثرترین روشهای شکار تهدید است که تمرکز آن بر تحلیل الگوهای رفتاری سیستمها، کاربران و فرآیندها بهجای جستجوی شاخصهای ایستا (IOC) است. در این روش، شکارچی تهدید با شناسایی رفتارهای غیرعادی یا مغایر با الگوهای طبیعی، به کشف تهدیدات پنهان و پیچیدهای میپردازد که ممکن است در مدلهای سنتی آشکار نشوند.
ویژگی اصلی این مدل چیست؟
برخلاف مدل مبتنی بر IOC که به آنچه هست نگاه میکند، مدل رفتاری بر آنچه اتفاق میافتد و چگونه اتفاق میافتد تمرکز دارد. این مدل از تکنیکهای تحلیل آماری، تحلیل رفتاری و گاهی یادگیری ماشین استفاده میکند تا الگوهای معمول را شناخته و انحراف از آنها را تشخیص دهد.
مثالهایی از الگوهای رفتاری مشکوک در ویندوز
|
رفتار غیرعادی |
توضیح |
|---|---|
|
اجرای PowerShell با پارامترهای رمزنگاریشده |
معمولاً نشانه اجرای اسکریپتهای مخرب یا فایلهای دانلودی از راه دور است. |
|
اجرای ابزارهای بومی ویندوز در مسیرهای غیرعادی |
مانند |
|
ایجاد حساب کاربری خارج از ساعات اداری |
نشانهای از دسترسی غیرمجاز یا استفاده مهاجم از دسترسی سطح بالا |
|
اجرای فرآیند از داخل حافظه (process hollowing) |
رفتاری رایج در بدافزارهای بدون فایل (fileless malware) |
|
تغییر مداوم در Policyها یا ACLها بدون اطلاع قبلی |
میتواند نشاندهندهی تلاش برای افزایش سطح دسترسی باشد |
مراحل اجرای Behavioral-Based Hunting
- تعریف رفتارهای طبیعی (Baseline Behavior)
با جمعآوری دادههای بلندمدت از کاربران، سیستمها، فرآیندها و شبکه، الگوی رفتار عادی مشخص میشود. - شناسایی رفتارهای غیرعادی (Anomaly Detection)
هرگونه انحراف از baseline مانند استفاده نابهجا از ابزارهای مدیریتی، دسترسی غیرمعمول به فایلها، یا فعالیت در ساعات غیرعادی باید بررسی شود. - تحلیل بافت (Contextual Behavioral Analysis)
باید تحلیل شود که آیا رفتار غیرعادی، توجیه فنی یا عملیاتی دارد یا نشاندهندهی حضور مهاجم است. برای مثال، اجرای PowerShell توسط مدیر IT در ساعت ۹ صبح طبیعی است، اما همان اجرا در ۳ نیمهشب مشکوک است. - مستندسازی و اقدام (Documentation & Response)
یافتهها مستندسازی شده و به تیم IR یا SOC گزارش میشود تا واکنش مقتضی صورت گیرد.
مزایا و معایب مدل Behavioral-Based Hunting
مزایا:
- توانایی شناسایی تهدیدات ناشناخته (Zero-Day)
- مقاومت در برابر تغییر IOC توسط مهاجم
- قابل استفاده در محیطهای بدون اطلاعات تهدید خارجی
معایب:
- نیاز به دادهی زیاد برای تشخیص رفتار عادی
- احتمال هشدارهای کاذب در ابتدای راهاندازی
- نیاز به تحلیلگر ماهر برای تفسیر رفتارها
ابزارهای مفید در مدل رفتاری (ویندوز محور)
|
ابزار |
کاربرد |
|---|---|
|
Sysmon |
جمعآوری رفتارهای سیستم در سطح فرآیند، شبکه و فایل |
|
Windows Event Logs |
بررسی تغییرات ACL، ورودها، فعالیت کاربران |
|
ELK Stack یا Splunk |
تجزیهوتحلیل دادههای رفتاری در مقیاس وسیع |
|
Sigma Rules |
تعریف الگوهای رفتاری مشکوک برای بررسی در SIEM |
|
MITRE ATT&CK |
تطبیق رفتارها با تکنیکهای شناختهشده مهاجمان |
نمونه پرسوجو در Splunk برای کشف اجرای مشکوک PowerShell :
index=sysmon EventCode=1 Image="*powershell.exe" CommandLine="*EncodedCommand*"
| stats count by User, CommandLine, ParentImage, _time
بخش سوم: ابزارها و دادههای ضروری برای Hunting در ویندوز
✅ Sysmon (System Monitor)
Sysmon ابزاری از مجموعه Sysinternals است که رویدادهای سطح پایین مانند ایجاد فرآیند، تغییرات رجیستری و اتصالات شبکه را ثبت میکند.
|
رویداد |
شرح |
|---|---|
|
Event ID 1 |
ایجاد فرآیند |
|
Event ID 3 |
اتصال به شبکه |
|
Event ID 11 |
تغییرات فایل |
پیکربندی پیشنهادی Sysmon از GitHub پروژهی SwiftOnSecurity قابل دریافت است:
👉 https://github.com/SwiftOnSecurity/sysmon-config
✅ Windows Event Logs
در Hunting باید به موارد زیر توجه ویژه داشت:
- Security Log
- Event ID 4624 : ورود موفق
- Event ID 4625 : تلاش ورود ناموفق
- Event ID 4672 : تخصیص مجوزهای سطح بالا
- PowerShell Operational Log
- Event ID 4104 : اجرای اسکریپت
- Event ID 4103 : اطلاعات پیمایش خط فرمان
✅ Process Explorer و Autoruns
برای بررسی فرآیندهای فعال، نقاط اجرای خودکار، و کشف برنامههای ناشناختهای که در هنگام بوت فعال میشوند.
✅ PowerShell / WMI Queries
نمونه اسکریپت بررسی scheduled tasks مشکوک:
Get-ScheduledTask | Where-Object { $_.TaskName -like "*update*" -and $_.TaskPath -notlike "*Microsoft*" }
بخش چهارم: تحلیل تکنیکهای مهاجمان با چارچوب MITRE ATT&CK
|
تاکتیک |
تکنیک |
مثال در ویندوز |
|---|---|---|
|
Initial Access |
T1078 (Valid Accounts) |
استفاده از رمز عبور لو رفته |
|
Execution |
T1059.001 (PowerShell) |
اجرای اسکریپتهای رمزگذاریشده |
|
Persistence |
T1053.005 (Scheduled Task) |
ساخت تسک مخرب |
|
Defense Evasion |
T1027 |
مبهمسازی فایلهای مخرب |
|
Command and Control |
T1071.001 (HTTP) |
ارتباط با سرور C2 از طریق پورت 443 |
برای هر تکنیک، تحلیلگر باید سناریوهایی ایجاد کرده و دادههای مرتبط را جستوجو کند.
بخش پنجم: سناریوهای عملی Hunting در ویندوز
سناریو ۱: بررسی اجرای PowerShell مشکوک
- جستوجوی Event ID 4104 در لاگ PowerShell
- شناسایی دستوراتی با رمزگذاری base64
- تحلیل Chain اجرای فرآیند (Parent Process)
سناریو ۲: کشف Persistence از طریق Scheduled Tasks
- استفاده از دستور
schtasks /query /fo LIST /v - بررسی تسکهایی که در مسیرهای ناشناخته اجرا میشوند
سناریو ۳: بررسی حرکت جانبی (Lateral Movement)
- تحلیل Event ID 4624 با Logon Type = 10 (RemoteInteractive)
- بررسی اتصالات RDP غیرمنتظره بین ماشینها
بخش ششم: گزارشدهی و مستندسازی
پس از اتمام هر دور hunting، تحلیلگر باید موارد زیر را مستند کند:
- فرضیهی اولیه و منطق آن
- دادههای تحلیلشده
- ابزارها و روشها
- یافتههای مثبت یا منفی
- توصیههای نهایی
این مستندسازی برای یادگیری تیم، تکرارپذیری شکار و تقویت دفاع سایبری بسیار مهم است.
✅ چکلیست عملی Threat Hunting مبتنی بر رفتار در ویندوز
مرحله اول: آمادهسازی محیط
|
گام |
اقدام |
ابزار/توضیح |
|---|---|---|
|
1 |
فعالسازی و پیکربندی کامل لاگهای ویندوز |
Audit Policy + Advanced Audit |
|
2 |
نصب و پیکربندی Sysmon با ruleهای سفارشی |
|
|
3 |
راهاندازی SIEM یا Log Aggregator |
مانند Splunk، ELK، Graylog |
|
4 |
اطمینان از همزمانی ساعت سیستمها |
NTP Server جهت دقت زمانی لاگها |
|
5 |
جمعآوری حداقل ۲ هفته داده جهت ایجاد baseline |
برای شناخت رفتار طبیعی سیستمها |
مرحله دوم: تعریف رفتارهای نرمال (Baseline)
|
گام |
اقدام |
ابزار/توضیح |
|---|---|---|
|
6 |
شناسایی برنامهها و ابزارهای قانونی که در سازمان استفاده میشوند |
Application Whitelisting |
|
7 |
تعیین ساعات کاری معمول کاربران |
برای تشخیص دسترسیهای خارج از ساعت کاری |
|
8 |
تحلیل دسترسی فایلها و اجرای نرمافزارها توسط کاربران عادی |
اجرای queries آماری در SIEM |
مرحله سوم: شکار رفتارهای غیرعادی
|
گام |
رفتار هدف |
مثال پرسوجو |
|---|---|---|
|
9 |
اجرای PowerShell با پارامترهای رمزنگاریشده |
|
|
10 |
اجرای ابزارهای سیستم از مسیرهای غیرعادی |
|
|
11 |
استفاده از فرآیندهایی که به طور معمول دیده نمیشوند |
بررسی EventCode 1 در Sysmon |
|
12 |
ارتباط به IPهای ناشناس خارج از کشور |
ترکیب Sysmon + Threat Intelligence |
|
13 |
ایجاد حساب کاربری جدید بدون اطلاع IT |
Event ID 4720 در Security Logs |
|
14 |
دسترسی Remote Desktop غیرمجاز |
Event ID 4624 Type=10 یا بررسی پورت 3389 |
مرحله چهارم: تحلیل و اعتبارسنجی یافتهها
|
گام |
اقدام |
نکته |
|---|---|---|
|
15 |
بررسی بافت رفتار مشکوک با زمان، کاربر و تاریخچه |
آیا رفتار با وظایف کاربر سازگار است؟ |
|
16 |
مقایسه با پایگاه داده MITRE ATT&CK |
تشخیص تکنیک مهاجم مانند T1059 (PowerShell) |
|
17 |
بررسی دیگر رخدادهای همزمان یا مرتبط |
تجزیهوتحلیل همبستگی (correlation) بین لاگها |
مرحله پنجم: مستندسازی و واکنش
|
گام |
اقدام |
ابزار/روش |
|---|---|---|
|
18 |
ثبت فرضیه، دادههای بررسیشده، نتیجه تحلیل |
قالب مستندسازی شکار تهدید |
|
19 |
اطلاعرسانی به تیم Incident Response |
ایجاد ticket در سیستم ITSM |
|
20 |
اعمال اقدامات اصلاحی (حذف، ایزوله، پاکسازی) |
بسته به نوع تهدید و سطح نفوذ |
|
21 |
بهروزرسانی detection ruleها بر اساس یافته جدید |
در SIEM یا EDR برای جلوگیری در آینده |
مرحله نهایی: بهبود مستمر
|
گام |
اقدام |
|---|---|
|
22 |
بازبینی فرآیند شکار تهدید و مستندات |
|
23 |
آموزش تیم بر اساس نمونه واقعی رخداده |
|
24 |
بهروزرسانی ruleهای رفتاری در SIEM یا EDR |
🧪 نکات تکمیلی:
- حتماً از Sigma Rules برای تعریف و تبدیل رفتارها به قوانین قابل جستوجو در SIEM استفاده کنید.
- از ابزارهایی مانند Velociraptor، Kusto Query Language (KQL) در Microsoft Defender XDR یا SysmonView برای بررسی عمیقتر رفتارها بهره ببرید.
نتیجهگیری
شکار تهدید در محیط ویندوز، ترکیبی از دانش فنی، آشنایی با رفتار مهاجم و توان تحلیل دادههای پیچیده است. موفقیت در این حوزه نیازمند تمرین مداوم، بهروزرسانی دانش و مستندسازی دقیق است. سازمانهایی که تیم امنیتی خود را به ابزارها، چارچوبها و ذهنیت شکار مجهز میکنند، شانس بیشتری برای جلوگیری از حملات پیشرفته خواهند داشت.
