در مقاله‌ی قبلی از سری مقالات راهنمای جامع تحلیل لاگ در ویندوز و لینوکس به آموزش نحوه لاگ گیری ویندوز با Event Log Explorer  پرداختیم. حالا در بخش دوم این مجموعه آموزشی، سراغ یکی از ابزارهای مهم و open source می‌رویم:  APT-Hunter .

این ابزار به‌طور خاص برای تحلیل خودکار لاگ‌های ویندوز طراحی شده و می‌تواند فعالیت‌های مشکوکی مثل ورودهای غیرعادی، اجرای فرآیندهای ناشناخته و تلاش‌های نفوذ را به‌سرعت شناسایی کند. در این مقاله از سلام دیجی یاد می‌گیریم APT-Hunter چیست، چطور نصب می‌شود و چگونه از آن برای کشف حملات در لاگ ویندوز استفاده کنیم.

APT-Hunter  چیست؟

APT-Hunter  یک ابزار قدرتمند در حوزه DFIR (Digital Forensics and Incident Response)  و Threat Hunting  است که برای تحلیل خودکار لاگ‌های ویندوز طراحی شده است. این ابزار با پردازش فایل‌های لاگ EVTX، الگوهای مشکوک را شناسایی می‌کند و می‌تواند فعالیت‌هایی که معمولاً نشان‌دهنده حملات پیشرفته (APT) هستند را آشکار کند.

به جای اینکه تحلیل لاگ‌ها را دستی انجام دهید و ساعت‌ها زمان صرف کنید، APT-Hunter  می‌تواند در چند دقیقه حجم عظیمی از لاگ‌ها را بررسی کرده و نقاطی که نیاز به توجه دارند را مشخص کند.

مهم‌ترین قابلیت‌های APT-Hunterعبارتند از:

1.بررسی ورودهای موفق و ناموفق :(Logon/Logoff)این قابلیت ورودهای مشکوک به سیستم را شناسایی می‌کند.

مثال: اگر یک حساب کاربری مدیر سیستم چندین بار از IP ناشناخته تلاش به ورود کرده باشد یا در ساعت‌های غیرمعمول وارد سیستم شده باشد، APT-Hunter این موارد را برجسته می‌کند.

2.تحلیل فرآیندهای ایجادشده در سیستم :(Process Creation)این بخش تمام برنامه‌ها و اسکریپت‌هایی که در سیستم اجرا می‌شوند را بررسی می‌کند.

مثال: اگر یک فایل ناشناخته یا بدافزار سعی کند بدون اجازه اجرا شود، یا ابزارهایی مثل Mimikatz که برای استخراج پسورد استفاده می‌شوند، اجرا شوند، این ابزار به شما هشدار می‌دهد.

3.کشف فعالیت‌های مرتبط با RDP و دسترسی‌های راه دور: حملات APT معمولاً تلاش می‌کنند از راه دور به سیستم دسترسی پیدا کنند یا حرکت جانبی (Lateral Movement) در شبکه انجام دهند.

مثال: اگر یک کاربر از کشوری غیرعادی به سیستم متصل شود یا در ساعات غیر کاری از طریق RDP به چند سیستم متصل شود، APT-Hunter آن را ثبت و گزارش می‌کند.

4.شناسایی تغییرات مشکوک در رجیستری و سرویس‌ها: تغییرات غیرمنتظره در رجیستری یا سرویس‌ها می‌تواند نشانه‌ی تلاش برای پایداری در سیستم یا اجرای بدافزار باشد.

مثال: ایجاد یک سرویس جدید با نامی شبیه به سرویس‌های سیستمی، یا تغییر مسیر اجرای سرویس‌های موجود توسط مهاجم، توسط این ابزار شناسایی می‌شود.

5.تولید گزارش‌های قابل ارائه در قالب HTML و :CSVبعد از تحلیل لاگ‌ها، APT-Hunter گزارشی کامل ارائه می‌دهد که می‌توان آن را برای تیم مدیریت یا تیم امنیتی ارسال کرد.

مثال: یک گزارش HTML شامل جدول ورودهای مشکوک، فرآیندهای غیرعادی و هشدارهای امنیتی است که به راحتی قابل بررسی و مستندسازی است.

نحوه نصب و راه‌اندازی APT-Hunter

پیش‌نیازها

قبل از شروع نصب، مطمئن شوید سیستم شما شرایط زیر را دارد:

1. سیستم عامل:  ویندوز 10، ویندوز 11 یا ویندوز سرور (Windows Server 2016/2019/2022)
2. Python : نسخه 3.7 یا بالاتر نصب باشد. توصیه می‌شود از نسخه‌های 3.9 یا 3.10 استفاده کنید. برای بررسی نسخه نصب شده:

python --version

اگر Python نصب نیست، می‌توانید آن را از وبسایت رسمی Python دانلود و نصب کنید.

✔️هنگام نصب، حتماً گزینه Add Python to PATH را فعال کنید تا دستورات Python در Command Prompt قابل استفاده باشند.

3. دسترسی به لاگ‌های ویندوز: فایل‌های با پسوند .evtx که معمولاً در مسیر زیر قرار دارند:

C:\Windows\System32\winevt\Logs

برای تحلیل کامل، دسترسی Administrator  به سیستم نیاز است.

4. ابزار Git (اختیاری اما توصیه شده) :برای clone کردن source code. می‌توانید Git را از وبسایت رسمی Git نصب کنید.

مراحل نصب

1. clone کردن سورس کد از :GitHubبرای دریافت آخرین نسخه ابزار:

git clone https://github.com/ahmedkhlief/APT-Hunter.git

⚠️ نکته: اگر Git نصب ندارید، می‌توانید فایل ZIP پروژه را از GitHub دانلود و استخراج کنید.

2. ورود به پوشه ابزار: بعد از کلون یا استخراج فایل‌ها:

cd APT-Hunter

3. ایجاد یک محیط مجازی Python (توصیه شده): برای جلوگیری از تداخل با کتابخانه‌های دیگر سیستم، بهتر است از یک Virtual Environment  استفاده کنید:

python -m venv venv

venv\Scripts\activate

پس از فعال شدن محیط مجازی، هر کتابخانه‌ای که نصب می‌کنید تنها در این محیط باقی می‌ماند.

4. نصب کتابخانه‌های مورد نیاز: کتابخانه‌های مورد نیاز در فایل requirements.txt مشخص شده‌اند:

pip install -r requirements.txt

این دستور تمام بسته‌های لازم برای اجرای APT-Hunter را نصب می‌کند.

5. تست نصب: برای اطمینان از نصب صحیح، دستور زیر را اجرا کنید:

python apt-hunter.py --help

اگر راهنمای ابزار نمایش داده شد، نصب موفقیت‌آمیز بوده است.

نکات حرفه‌ای و توصیه‌های عملی

✔️ همیشه آخرین نسخه Git و Python را استفاده کنید تا باگ‌های امنیتی و ناسازگاری‌ها کاهش یابند.

✔️ قبل از تحلیل لاگ‌ها، از یک نسخه پشتیبان از فایل‌های EVTX تهیه کنید تا در صورت خطا اطلاعات لاگ از بین نرود.

✔️ در محیط‌های سرور، اجرای APT-Hunter را با دسترسی Administrator انجام دهید تا تمام لاگ‌ها قابل خواندن باشند.

✔️ اگر قصد تحلیل چند سیستم را دارید، می‌توانید از پارامتر -d برای پردازش پوشه‌ای از فایل‌های لاگ استفاده کنید.

اجرای APT-Hunter

APT-Hunter  روی فایل‌های لاگ ویندوز کار می‌کند. این لاگ‌ها در مسیر زیر قرار دارند:

C:\Windows\System32\winevt\Logs

اجرای ساده روی یک فایل

python apt-hunter.py -f Security.evtx

پارامترهای مهم APT-Hunter

APT-Hunter  برای انعطاف در تحلیل لاگ‌های ویندوز، چندین پارامتر کاربردی ارائه می‌دهد که به شما امکان می‌دهد فایل‌ها یا پوشه‌های خاص را تحلیل کنید و خروجی متناسب با نیاز خود دریافت کنید.

نکات حرفه‌ای استفاده از پارامترها

ترکیب پارامترها: می‌توانید چند پارامتر را با هم ترکیب کنید تا تحلیل منعطف و مطابق نیازتان باشد.

مثال:

python apt-hunter.py -d "C:\Logs" -o "C:\Report" -csv

این دستور کل لاگ‌های موجود در پوشه C:\Logs را تحلیل کرده و خروجی HTML و CSV در C:\Report تولید می‌کند.

تحلیل دسته‌ای: پارامتر -d برای تحلیل دسته‌ای لاگ‌ها فوق‌العاده کاربردی است و به تیم SOC اجازه می‌دهد تمام رویدادهای یک هفته یا ماه را یکجا بررسی کند.

ادغام با دیگر ابزارها: استفاده از خروجی CSV باعث می‌شود بتوانید داده‌ها را در ابزارهای دیگر SIEM یا سیستم‌های Threat Hunting وارد کنید و تحلیل‌های پیشرفته انجام دهید.

پیشنهاد عملی: قبل از اجرای تحلیل روی پوشه‌های بزرگ، از یک نمونه کوچک تست کنید تا مطمئن شوید پارامترها و مسیر خروجی درست تنظیم شده‌اند.

تحلیل خروجی APT-Hunter

بعد از اجرای APT-Hunter، ابزار یک گزارش جامع و ساختاریافته تولید می‌کند که اطلاعات حیاتی درباره فعالیت‌های سیستم و نشانه‌های حملات پیشرفته (APT) را در اختیار تحلیلگر امنیت قرار می‌دهد. این خروجی به شما کمک می‌کند تا حملات پنهان و رفتارهای مشکوک در شبکه و سیستم‌های ویندوز را به سرعت شناسایی کنید.

بخش‌های اصلی گزارش APT-Hunter و تحلیل آن

✔️ لاگین‌های مشکوک (Suspicious Logons)

این بخش ورودهای موفق و ناموفق به سیستم را بررسی می‌کند و موارد غیرعادی را مشخص می‌کند.

• مثال:

  • تعداد زیاد تلاش‌های شکست‌خورده برای ورود به حساب مدیر سیستم (Brute-force).

  • ورود از آدرس IP خارجی یا غیرمعمول که نشان‌دهنده تلاش مهاجم برای دسترسی غیرمجاز است.

• اهمیت: شناسایی این الگوها می‌تواند اولین نشانه نفوذ به سیستم باشد.

✔️ فرآیندهای اجراشده (Process Creation Analysis)

APT-Hunter تمام فرآیندهای جدید یا غیرعادی که در سیستم ایجاد شده‌اند را فهرست می‌کند.

• مثال:

  • اجرای ابزارهای هک مانند Mimikatz یا PsExec برای استخراج رمز عبور و حرکت جانبی.

  • برنامه‌های ناشناس که در مسیرهای غیرمعمول اجرا می‌شوند، مانند پوشه‌های Temp یا AppData .

• اهمیت: تحلیل فرآیندها به تیم امنیتی کمک می‌کند بدافزارهای فعال یا ابزارهای مهاجم را شناسایی کند.

✔️ فعالیت‌های RDP و دسترسی از راه دور (RDP & Remote Access)

این بخش ورودهای غیرعادی از طریق RDP و سایر دسترسی‌های راه دور را ردیابی می‌کند.

• مثال:

  • ورود از IP ناشناخته یا ورود در ساعات غیرکاری (مثلاً نیمه‌شب)

  • اتصال یک حساب کاربری به چند سیستم مختلف که نشان‌دهنده Lateral Movement است.

• اهمیت: شناسایی این فعالیت‌ها می‌تواند مانع از گسترش نفوذ مهاجم در شبکه داخلی شود.

✔️ تغییرات سیستم و رجیستری (System & Registry Modifications)

APT-Hunter تغییرات غیرمعمول در رجیستری، سرویس‌ها و برنامه‌های شروع خودکار را بررسی می‌کند.

• مثال:

  • اضافه شدن سرویس جدید با نام مشابه سرویس‌های سیستمی.

  • تغییر مسیر اجرای سرویس‌های اصلی یا افزودن کلیدهای رجیستری برای پایداری بدافزار.

• اهمیت: شناسایی این تغییرات به جلوگیری از Persistence حملات پیشرفته کمک می‌کند.

موارد قابل شناسایی با تحلیل گزارش APT-Hunter

با بررسی دقیق خروجی این ابزار می‌توان موارد زیر را شناسایی و تحلیل کرد:

✔️حملات Brute-force روی حساب‌های کاربری و تلاش برای نفوذ به حساب‌های حیاتی.

✔️اجرای ابزارهای هک یا فایل‌های ناشناس که نشان‌دهنده فعالیت مهاجم در سیستم است.

✔️حرکت جانبی (Lateral Movement) در شبکه داخلی، که مهاجم را قادر می‌سازد از یک سیستم به سیستم دیگر منتقل شود.

✔️تلاش برای سرقت اعتبارنامه‌ها (Credential Dumping) و استخراج اطلاعات حساس از سیستم.

نکات حرفه‌ای برای استفاده بهینه از خروجی APT-Hunter

1.اولویت‌بندی هشدارها (Alert Prioritization)

• تیم‌های امنیتی باید تمرکز خود را روی ورودهای مشکوک، فرآیندهای غیرمعمول و تغییرات بحرانی سیستم قرار دهند.

• شناسایی سریع این موارد، امکان واکنش فوری به تهدیدات را فراهم می‌کند و زمان Mean Time to Detect (MTTD) و Mean Time to Respond (MTTR) را کاهش می‌دهد.

2.ادغام با دیگر ابزارهای امنیتی (Integration with Security Tools)

• خروجی CSV APT-Hunter قابلیت وارد شدن به SIEM، SOAR و ابزارهای Threat Hunting مانند Splunk، ELK و QRadar را دارد.

• این ادغام به تحلیلگران اجازه می‌دهد تجمیع داده‌ها، همبستگی رویدادها و تشخیص تهدیدات پیچیده را در سطح شبکه انجام دهند.

3.مستندسازی و گزارش‌دهی حرفه‌ای (Professional Documentation & Reporting)

• گزارش‌های HTML تولید شده توسط ابزار می‌توانند به‌عنوان مستندات رسمی برای تیم مدیریت، مراجع قانونی یا ممیزی‌های امنیتی ارائه شوند.

• مستندسازی دقیق فعالیت‌های مشکوک، نحوه شناسایی و اقدامات انجام شده، شفافیت و قابلیت پیگیری Incident Response را افزایش می‌دهد.

4.به‌روزرسانی مداوم و پیگیری تهدیدات جدید (Continuous Updates & Threat Awareness)

• کارشناسان امنیت باید همواره نسخه‌های جدید APT-Hunter و قواعد تحلیل آن را بررسی و به‌روزرسانی کنند.

• با این کار، شناسایی تهدیدات نوظهور، حملات پیشرفته و الگوهای جدید نفوذ امکان‌پذیر می‌شود و ابزار همواره کارآمد باقی می‌ماند.

مزایای استفاده از APT-Hunter

استفاده از APT-Hunter در تحلیل لاگ ویندوز مزایای متعددی دارد که آن را به ابزاری ارزشمند برای کارشناسان امنیت، تیم‌های SOC و متخصصان Threat Hunting تبدیل می‌کند:

1.متن‌باز و رایگان

APT-Hunter یک ابزار open source است و برای استفاده نیاز به هیچ لایسنس تجاری ندارد. این ویژگی باعث می‌شود هر سازمان، صرف‌نظر از بودجه، بتواند به راحتی آن را نصب و استفاده کند و در صورت نیاز، ابزار را سفارشی‌سازی کند.

2.پردازش سریع حجم بالای لاگ‌ها

این ابزار قادر است حجم عظیمی از فایل‌های EVTX را در کمترین زمان تحلیل کند، بدون اینکه منابع سیستم بیش از حد مصرف شود.

• مثال: یک پوشه شامل صدها فایل لاگ امنیتی را می‌توان تنها در چند دقیقه پردازش کرد و نقاط مشکوک را استخراج نمود.

3.خروجی قابل تحلیل برای تیم‌های SOC و مدیریت

APT-Hunter گزارش‌های ساختاریافته در قالب HTML و CSV تولید می‌کند که به راحتی قابل خواندن و ارائه به تیم مدیریت یا تیم SOC است.

• این گزارش‌ها امکان اولویت‌بندی تهدیدات و تصمیم‌گیری سریع برای واکنش به حوادث امنیتی را فراهم می‌کنند.

4.مناسب برای Incident Response و Threat Hunting

این ابزار با تمرکز روی فعالیت‌های مشکوک و نشانه‌های حملات پیشرفته، یک منبع حیاتی برای تیم‌های واکنش به حوادث (IR) و شکار تهدیدات (Threat Hunting) است.امکان تشخیص فعالیت‌های Brute-force، Lateral Movement، اجرای بدافزار و تلاش برای Credential Dumping باعث می‌شود پاسخ تیم امنیتی سریع و هدفمند باشد.

جدول خلاصه قابلیت‌ها و کاربردهای APT-Hunter

مقایسه APT-Hunter با سایر ابزارهای تحلیل لاگ

APT-Hunter  نسبت به ابزارهای دیگر در حوزه تحلیل لاگ و Threat Hunting مزایایی کلیدی دارد که عبارتند از:

نکات کلیدی مقایسه

✔️ سطح اتوماسیون: APT-Hunter توانایی تحلیل خودکار و شناسایی الگوهای حمله را دارد، در حالی که Event Log Explorer بیشتر ابزار مرور و فیلتر است.

✔️ تمرکز روی حملات پیشرفته: برخلاف osquery که تمرکز روی وضعیت سیستم دارد، APT-Hunter برای شناسایی فعالیت‌های مخرب و APT بهینه شده است.

✔️ سادگی و سرعت راه‌اندازی: نصب و اجرای APT-Hunter بسیار سریع و کارآمد است، بدون نیاز به پیچیدگی‌های Log2Timeline یا کوئری‌های پیچیده osquery .

جمع‌بندی

APT-Hunter یکی از ابزارهای کلیدی و عملیاتی برای کارشناسان امنیت و تیم‌های SOC است. این ابزار با تحلیل خودکار لاگ‌های ویندوز و شناسایی الگوهای حمله پیشرفته، به شما کمک می‌کند:

✔️ تهدیدات پنهان در سیستم‌های ویندوز را شناسایی کنید

✔️ زمان واکنش به حوادث امنیتی را کاهش دهید

✔️ مدیریت ریسک و دفاع سایبری سازمان را بهبود بخشید

با توجه به رایگان بودن، سرعت پردازش بالا و خروجی‌های قابل تحلیل، APT-Hunter گزینه‌ای کارآمد و در دسترس برای هر سازمانی است که می‌خواهد سطح دفاع سایبری خود را ارتقا دهد.