تکنولوژی

آموزش حرفه‌ای APT-Hunter برای تحلیل لاگ ویندوز و شناسایی حملات APT

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

در مقاله‌ی قبلی از سری مقالات راهنمای جامع تحلیل لاگ در ویندوز و لینوکس به آموزش نحوه لاگ گیری ویندوز با Event Log Explorer  پرداختیم. حالا در بخش دوم این مجموعه آموزشی، سراغ یکی از ابزارهای مهم و open source می‌رویم:  APT-Hunter .

این ابزار به‌طور خاص برای تحلیل خودکار لاگ‌های ویندوز طراحی شده و می‌تواند فعالیت‌های مشکوکی مثل ورودهای غیرعادی، اجرای فرآیندهای ناشناخته و تلاش‌های نفوذ را به‌سرعت شناسایی کند. در این مقاله از سلام دیجی یاد می‌گیریم APT-Hunter چیست، چطور نصب می‌شود و چگونه از آن برای کشف حملات در لاگ ویندوز استفاده کنیم.

APT-Hunter  چیست؟

APT-Hunter  یک ابزار قدرتمند در حوزه DFIR (Digital Forensics and Incident Response)  و Threat Hunting  است که برای تحلیل خودکار لاگ‌های ویندوز طراحی شده است. این ابزار با پردازش فایل‌های لاگ EVTX، الگوهای مشکوک را شناسایی می‌کند و می‌تواند فعالیت‌هایی که معمولاً نشان‌دهنده حملات پیشرفته (APT) هستند را آشکار کند.

به جای اینکه تحلیل لاگ‌ها را دستی انجام دهید و ساعت‌ها زمان صرف کنید، APT-Hunter  می‌تواند در چند دقیقه حجم عظیمی از لاگ‌ها را بررسی کرده و نقاطی که نیاز به توجه دارند را مشخص کند.

مهم‌ترین قابلیت‌های APT-Hunterعبارتند از:

1.بررسی ورودهای موفق و ناموفق :(Logon/Logoff)این قابلیت ورودهای مشکوک به سیستم را شناسایی می‌کند.

مثال: اگر یک حساب کاربری مدیر سیستم چندین بار از IP ناشناخته تلاش به ورود کرده باشد یا در ساعت‌های غیرمعمول وارد سیستم شده باشد، APT-Hunter این موارد را برجسته می‌کند.

2.تحلیل فرآیندهای ایجادشده در سیستم :(Process Creation)این بخش تمام برنامه‌ها و اسکریپت‌هایی که در سیستم اجرا می‌شوند را بررسی می‌کند.

مثال: اگر یک فایل ناشناخته یا بدافزار سعی کند بدون اجازه اجرا شود، یا ابزارهایی مثل Mimikatz که برای استخراج پسورد استفاده می‌شوند، اجرا شوند، این ابزار به شما هشدار می‌دهد.

3.کشف فعالیت‌های مرتبط با RDP و دسترسی‌های راه دور: حملات APT معمولاً تلاش می‌کنند از راه دور به سیستم دسترسی پیدا کنند یا حرکت جانبی (Lateral Movement) در شبکه انجام دهند.

مثال: اگر یک کاربر از کشوری غیرعادی به سیستم متصل شود یا در ساعات غیر کاری از طریق RDP به چند سیستم متصل شود، APT-Hunter آن را ثبت و گزارش می‌کند.

4.شناسایی تغییرات مشکوک در رجیستری و سرویس‌ها: تغییرات غیرمنتظره در رجیستری یا سرویس‌ها می‌تواند نشانه‌ی تلاش برای پایداری در سیستم یا اجرای بدافزار باشد.

مثال: ایجاد یک سرویس جدید با نامی شبیه به سرویس‌های سیستمی، یا تغییر مسیر اجرای سرویس‌های موجود توسط مهاجم، توسط این ابزار شناسایی می‌شود.

5.تولید گزارش‌های قابل ارائه در قالب HTML و :CSVبعد از تحلیل لاگ‌ها، APT-Hunter گزارشی کامل ارائه می‌دهد که می‌توان آن را برای تیم مدیریت یا تیم امنیتی ارسال کرد.

مثال: یک گزارش HTML شامل جدول ورودهای مشکوک، فرآیندهای غیرعادی و هشدارهای امنیتی است که به راحتی قابل بررسی و مستندسازی است.

نحوه نصب و راه‌اندازی APT-Hunter

پیش‌نیازها

قبل از شروع نصب، مطمئن شوید سیستم شما شرایط زیر را دارد:

  1. سیستم عامل:  ویندوز 10، ویندوز 11 یا ویندوز سرور (Windows Server 2016/2019/2022)
  2. Python : نسخه 3.7 یا بالاتر نصب باشد. توصیه می‌شود از نسخه‌های 3.9 یا 3.10 استفاده کنیدبرای بررسی نسخه نصب شده:
python --version

اگر Python نصب نیست، می‌توانید آن را از وبسایت رسمی Python دانلود و نصب کنید.

✔️هنگام نصب، حتماً گزینه Add Python to PATH را فعال کنید تا دستورات Python در Command Prompt قابل استفاده باشند.

  1. دسترسی به لاگ‌های ویندوز: فایل‌های با پسوند .evtx که معمولاً در مسیر زیر قرار دارند:
C:\Windows\System32\winevt\Logs

برای تحلیل کامل، دسترسی Administrator  به سیستم نیاز است.

  1. ابزار Git (اختیاری اما توصیه شده) :برای clone کردن source code. می‌توانید Git را از وبسایت رسمی Git نصب کنید.

مراحل نصب

  1. clone کردن سورس کد از :GitHubبرای دریافت آخرین نسخه ابزار:
git clone https://github.com/ahmedkhlief/APT-Hunter.git

⚠️ نکته: اگر Git نصب ندارید، می‌توانید فایل ZIP پروژه را از GitHub دانلود و استخراج کنید.

  1. ورود به پوشه ابزار: بعد از کلون یا استخراج فایل‌ها:
cd APT-Hunter
  1. ایجاد یک محیط مجازی Python (توصیه شده): برای جلوگیری از تداخل با کتابخانه‌های دیگر سیستم، بهتر است از یک Virtual Environment  استفاده کنید:
python -m venv venv
venv\Scripts\activate

پس از فعال شدن محیط مجازی، هر کتابخانه‌ای که نصب می‌کنید تنها در این محیط باقی می‌ماند.

  1. نصب کتابخانه‌های مورد نیاز: کتابخانه‌های مورد نیاز در فایل requirements.txt مشخص شده‌اند:
pip install -r requirements.txt

این دستور تمام بسته‌های لازم برای اجرای APT-Hunter را نصب می‌کند.

  1. تست نصب: برای اطمینان از نصب صحیح، دستور زیر را اجرا کنید:
python apt-hunter.py --help

اگر راهنمای ابزار نمایش داده شد، نصب موفقیت‌آمیز بوده است.

نکات حرفه‌ای و توصیه‌های عملی

✔️ همیشه آخرین نسخه Git و Python را استفاده کنید تا باگ‌های امنیتی و ناسازگاری‌ها کاهش یابند.

✔️ قبل از تحلیل لاگ‌ها، از یک نسخه پشتیبان از فایل‌های EVTX تهیه کنید تا در صورت خطا اطلاعات لاگ از بین نرود.

✔️ در محیط‌های سرور، اجرای APT-Hunter را با دسترسی Administrator انجام دهید تا تمام لاگ‌ها قابل خواندن باشند.

✔️ اگر قصد تحلیل چند سیستم را دارید، می‌توانید از پارامتر -d برای پردازش پوشه‌ای از فایل‌های لاگ استفاده کنید.

اجرای APT-Hunter

APT-Hunter  روی فایل‌های لاگ ویندوز کار می‌کند. این لاگ‌ها در مسیر زیر قرار دارند:

C:\Windows\System32\winevt\Logs

اجرای ساده روی یک فایل

python apt-hunter.py -f Security.evtx

پارامترهای مهم APT-Hunter

APT-Hunter  برای انعطاف در تحلیل لاگ‌های ویندوز، چندین پارامتر کاربردی ارائه می‌دهد که به شما امکان می‌دهد فایل‌ها یا پوشه‌های خاص را تحلیل کنید و خروجی متناسب با نیاز خود دریافت کنید.

پارامتر

عملکرد

مثال عملی

-f

مشخص کردن یک فایل لاگ برای تحلیل

python apt-hunter.py -f Security.evtx

این دستور فقط فایل Security.evtx را تحلیل می‌کند

مناسب زمانی که می‌خواهید روی یک لاگ خاص تمرکز کنید و سرعت پردازش بالا باشد

 

-d

پردازش تمام فایل‌های لاگ موجود در یک پوشه

python apt-hunter.py -d "C:\Logs"

تمام فایل‌های .evtx موجود در پوشه C:\Logs تحلیل می‌شوند

کاربردی برای تحلیل روزانه یا هفتگی کل لاگ‌های سیستم

 

-o

مشخص کردن مسیر ذخیره گزارش خروجی

python apt-hunter.py -f Security.evtx -o "C:\Report"

گزارش تحلیل در پوشه C:\Report ذخیره می‌شود

توصیه می‌شود مسیر خروجی روی درایوی با فضای کافی باشد تا گزارش کامل ذخیره شود

 

-csv

تولید گزارش در قالب CSV علاوه بر HTML

python apt-hunter.py -f Security.evtx -o "C:\Report" -csv

خروجی شامل HTML و CSV خواهد بود

مفید برای وارد کردن گزارش به SIEM یا ابزارهای Threat Hunting مانند Splunk یا ELK

 
 

نکات حرفه‌ای استفاده از پارامترها

ترکیب پارامترها: می‌توانید چند پارامتر را با هم ترکیب کنید تا تحلیل منعطف و مطابق نیازتان باشد.

مثال:

python apt-hunter.py -d "C:\Logs" -o "C:\Report" -csv

این دستور کل لاگ‌های موجود در پوشه C:\Logs را تحلیل کرده و خروجی HTML و CSV در C:\Report تولید می‌کند.

تحلیل دسته‌ای: پارامتر -d برای تحلیل دسته‌ای لاگ‌ها فوق‌العاده کاربردی است و به تیم SOC اجازه می‌دهد تمام رویدادهای یک هفته یا ماه را یکجا بررسی کند.

ادغام با دیگر ابزارها: استفاده از خروجی CSV باعث می‌شود بتوانید داده‌ها را در ابزارهای دیگر SIEM یا سیستم‌های Threat Hunting وارد کنید و تحلیل‌های پیشرفته انجام دهید.

پیشنهاد عملی: قبل از اجرای تحلیل روی پوشه‌های بزرگ، از یک نمونه کوچک تست کنید تا مطمئن شوید پارامترها و مسیر خروجی درست تنظیم شده‌اند.

تحلیل خروجی APT-Hunter

بعد از اجرای APT-Hunter، ابزار یک گزارش جامع و ساختاریافته تولید می‌کند که اطلاعات حیاتی درباره فعالیت‌های سیستم و نشانه‌های حملات پیشرفته (APT) را در اختیار تحلیلگر امنیت قرار می‌دهد. این خروجی به شما کمک می‌کند تا حملات پنهان و رفتارهای مشکوک در شبکه و سیستم‌های ویندوز را به سرعت شناسایی کنید.

بخش‌های اصلی گزارش APT-Hunter و تحلیل آن

✔️ لاگین‌های مشکوک (Suspicious Logons)

این بخش ورودهای موفق و ناموفق به سیستم را بررسی می‌کند و موارد غیرعادی را مشخص می‌کند.

  • مثال:

    • تعداد زیاد تلاش‌های شکست‌خورده برای ورود به حساب مدیر سیستم (Brute-force).

    • ورود از آدرس IP خارجی یا غیرمعمول که نشان‌دهنده تلاش مهاجم برای دسترسی غیرمجاز است.

  • اهمیت: شناسایی این الگوها می‌تواند اولین نشانه نفوذ به سیستم باشد.

✔️ فرآیندهای اجراشده (Process Creation Analysis)

APT-Hunter تمام فرآیندهای جدید یا غیرعادی که در سیستم ایجاد شده‌اند را فهرست می‌کند.

  • مثال:

    • اجرای ابزارهای هک مانند Mimikatz یا PsExec برای استخراج رمز عبور و حرکت جانبی.

    • برنامه‌های ناشناس که در مسیرهای غیرمعمول اجرا می‌شوند، مانند پوشه‌های Temp یا AppData .

  • اهمیت: تحلیل فرآیندها به تیم امنیتی کمک می‌کند بدافزارهای فعال یا ابزارهای مهاجم را شناسایی کند.

✔️ فعالیت‌های RDP و دسترسی از راه دور (RDP & Remote Access)

این بخش ورودهای غیرعادی از طریق RDP و سایر دسترسی‌های راه دور را ردیابی می‌کند.

  • مثال:

    • ورود از IP ناشناخته یا ورود در ساعات غیرکاری (مثلاً نیمه‌شب)

    • اتصال یک حساب کاربری به چند سیستم مختلف که نشان‌دهنده Lateral Movement است.

  • اهمیت: شناسایی این فعالیت‌ها می‌تواند مانع از گسترش نفوذ مهاجم در شبکه داخلی شود.

✔️ تغییرات سیستم و رجیستری (System & Registry Modifications)

APT-Hunter تغییرات غیرمعمول در رجیستری، سرویس‌ها و برنامه‌های شروع خودکار را بررسی می‌کند.

  • مثال:

    • اضافه شدن سرویس جدید با نام مشابه سرویس‌های سیستمی.

    • تغییر مسیر اجرای سرویس‌های اصلی یا افزودن کلیدهای رجیستری برای پایداری بدافزار.

  • اهمیت: شناسایی این تغییرات به جلوگیری از Persistence حملات پیشرفته کمک می‌کند.

موارد قابل شناسایی با تحلیل گزارش APT-Hunter

با بررسی دقیق خروجی این ابزار می‌توان موارد زیر را شناسایی و تحلیل کرد:

✔️حملات Brute-force روی حساب‌های کاربری و تلاش برای نفوذ به حساب‌های حیاتی.

✔️اجرای ابزارهای هک یا فایل‌های ناشناس که نشان‌دهنده فعالیت مهاجم در سیستم است.

✔️حرکت جانبی (Lateral Movement) در شبکه داخلی، که مهاجم را قادر می‌سازد از یک سیستم به سیستم دیگر منتقل شود.

✔️تلاش برای سرقت اعتبارنامه‌ها (Credential Dumping) و استخراج اطلاعات حساس از سیستم.

نکات حرفه‌ای برای استفاده بهینه از خروجی APT-Hunter

1.اولویت‌بندی هشدارها (Alert Prioritization)

  • تیم‌های امنیتی باید تمرکز خود را روی ورودهای مشکوک، فرآیندهای غیرمعمول و تغییرات بحرانی سیستم قرار دهند.

  • شناسایی سریع این موارد، امکان واکنش فوری به تهدیدات را فراهم می‌کند و زمان Mean Time to Detect (MTTD) و Mean Time to Respond (MTTR) را کاهش می‌دهد.

2.ادغام با دیگر ابزارهای امنیتی (Integration with Security Tools)

  • خروجی CSV APT-Hunter قابلیت وارد شدن به SIEM، SOAR و ابزارهای Threat Hunting مانند Splunk، ELK و QRadar را دارد.

  • این ادغام به تحلیلگران اجازه می‌دهد تجمیع داده‌ها، همبستگی رویدادها و تشخیص تهدیدات پیچیده را در سطح شبکه انجام دهند.

3.مستندسازی و گزارش‌دهی حرفه‌ای (Professional Documentation & Reporting)

  • گزارش‌های HTML تولید شده توسط ابزار می‌توانند به‌عنوان مستندات رسمی برای تیم مدیریت، مراجع قانونی یا ممیزی‌های امنیتی ارائه شوند.

  • مستندسازی دقیق فعالیت‌های مشکوک، نحوه شناسایی و اقدامات انجام شده، شفافیت و قابلیت پیگیری Incident Response را افزایش می‌دهد.

4.به‌روزرسانی مداوم و پیگیری تهدیدات جدید (Continuous Updates & Threat Awareness)

  • کارشناسان امنیت باید همواره نسخه‌های جدید APT-Hunter و قواعد تحلیل آن را بررسی و به‌روزرسانی کنند.

  • با این کار، شناسایی تهدیدات نوظهور، حملات پیشرفته و الگوهای جدید نفوذ امکان‌پذیر می‌شود و ابزار همواره کارآمد باقی می‌ماند.

مزایای استفاده از APT-Hunter

استفاده از APT-Hunter در تحلیل لاگ ویندوز مزایای متعددی دارد که آن را به ابزاری ارزشمند برای کارشناسان امنیت، تیم‌های SOC و متخصصان Threat Hunting تبدیل می‌کند:

1.متن‌باز و رایگان

APT-Hunter یک ابزار open source است و برای استفاده نیاز به هیچ لایسنس تجاری ندارد. این ویژگی باعث می‌شود هر سازمان، صرف‌نظر از بودجه، بتواند به راحتی آن را نصب و استفاده کند و در صورت نیاز، ابزار را سفارشی‌سازی کند.

2.پردازش سریع حجم بالای لاگ‌ها

این ابزار قادر است حجم عظیمی از فایل‌های EVTX را در کمترین زمان تحلیل کند، بدون اینکه منابع سیستم بیش از حد مصرف شود.

  • مثال: یک پوشه شامل صدها فایل لاگ امنیتی را می‌توان تنها در چند دقیقه پردازش کرد و نقاط مشکوک را استخراج نمود.

3.خروجی قابل تحلیل برای تیم‌های SOC و مدیریت

APT-Hunter گزارش‌های ساختاریافته در قالب HTML و CSV تولید می‌کند که به راحتی قابل خواندن و ارائه به تیم مدیریت یا تیم SOC است.

  • این گزارش‌ها امکان اولویت‌بندی تهدیدات و تصمیم‌گیری سریع برای واکنش به حوادث امنیتی را فراهم می‌کنند.

4.مناسب برای Incident Response و Threat Hunting

این ابزار با تمرکز روی فعالیت‌های مشکوک و نشانه‌های حملات پیشرفته، یک منبع حیاتی برای تیم‌های واکنش به حوادث (IR) و شکار تهدیدات (Threat Hunting) است.امکان تشخیص فعالیت‌های Brute-force، Lateral Movement، اجرای بدافزار و تلاش برای Credential Dumping باعث می‌شود پاسخ تیم امنیتی سریع و هدفمند باشد.

جدول خلاصه قابلیت‌ها و کاربردهای APT-Hunter

قابلیت

توضیح

مثال عملی

اهمیت برای امنیت

لاگین‌های مشکوک (Logon/Logoff)

شناسایی ورودهای غیرعادی و تلاش‌های ناموفق

تلاش‌های Brute-force روی حساب مدیر یا ورود از IP ناشناس

شناسایی اولین نشانه‌های نفوذ

فرآیندهای اجراشده (Process Creation)

تحلیل برنامه‌ها و اسکریپت‌های اجراشده

اجرای ابزارهای هک مانند Mimikatz یا برنامه‌های ناشناس

شناسایی بدافزارها و فعالیت‌های مهاجم

فعالیت‌های RDP و دسترسی راه دور

بررسی ورودهای غیرعادی از راه دور

ورود در ساعات غیرکاری یا اتصال چند سیستم توسط یک کاربر

شناسایی Lateral Movement و دسترسی غیرمجاز

تغییرات رجیستری و سرویس‌ها

شناسایی تغییرات مشکوک در رجیستری و سرویس‌ها

ایجاد سرویس ناشناس یا تغییر مسیر سرویس‌های سیستمی

جلوگیری از Persistence بدافزار و نفوذ پایدار

گزارش‌های HTML و CSV

ارائه خروجی قابل تحلیل برای تیم‌های امنیتی

جدول ورودهای مشکوک و فرآیندهای غیرعادی

تسهیل واکنش سریع و مستندسازی برای تیم SOC

 

مقایسه APT-Hunter با سایر ابزارهای تحلیل لاگ

APT-Hunter  نسبت به ابزارهای دیگر در حوزه تحلیل لاگ و Threat Hunting مزایایی کلیدی دارد که عبارتند از:

ابزار

ویژگی‌ها

محدودیت‌ها

تفاوت کلیدی با APT-Hunter

Event Log Explorer ویندوز

رابط گرافیکی، فیلتر و جستجوی پیشرفته لاگ‌ها، خروجی CSV/HTML

تحلیل دستی، نیاز به بررسی انسانی بیشتر، کشف الگوهای حمله محدود

APT-Hunter تحلیل خودکار الگوهای APT و تشخیص حملات پیچیده را ارائه می‌دهد، نه فقط مرور لاگ‌ها

osquery ویندوز.لینوکس.macOS

تبدیل سیستم به دیتابیس SQL، کوئری‌گیری زنده، کراس‌پلتفرم

نیاز به نوشتن کوئری‌ها، منحنی یادگیری بالا، تمرکز روی وضعیت لحظه‌ای سیستم

APT-Hunter مخصوص لاگ‌های ویندوز است و گزارش‌های آماده و تحلیل خودکار ارائه می‌دهد، بدون نیاز به نوشتن کوئری

Log2Timeline (Plaso) لینوکس

ساخت Timeline از لاگ‌ها و فایل‌ها، تحلیل پیشرفته DFIR

پیچیدگی بالا، مناسب فقط لینوکس، نیاز به دانش تخصصی DFIR

APT-Hunter ساده‌تر، نصب سریع روی ویندوز و تمرکز روی شناسایی حملات APT با خروجی قابل تحلیل تیم SOC

 

نکات کلیدی مقایسه

✔️ سطح اتوماسیون: APT-Hunter توانایی تحلیل خودکار و شناسایی الگوهای حمله را دارد، در حالی که Event Log Explorer بیشتر ابزار مرور و فیلتر است.

✔️ تمرکز روی حملات پیشرفته: برخلاف osquery که تمرکز روی وضعیت سیستم دارد، APT-Hunter برای شناسایی فعالیت‌های مخرب و APT بهینه شده است.

✔️ سادگی و سرعت راه‌اندازی: نصب و اجرای APT-Hunter بسیار سریع و کارآمد است، بدون نیاز به پیچیدگی‌های Log2Timeline یا کوئری‌های پیچیده osquery .

جمع‌بندی

APT-Hunter یکی از ابزارهای کلیدی و عملیاتی برای کارشناسان امنیت و تیم‌های SOC است. این ابزار با تحلیل خودکار لاگ‌های ویندوز و شناسایی الگوهای حمله پیشرفته، به شما کمک می‌کند:

✔️ تهدیدات پنهان در سیستم‌های ویندوز را شناسایی کنید

✔️ زمان واکنش به حوادث امنیتی را کاهش دهید

✔️ مدیریت ریسک و دفاع سایبری سازمان را بهبود بخشید

با توجه به رایگان بودن، سرعت پردازش بالا و خروجی‌های قابل تحلیل، APT-Hunter گزینه‌ای کارآمد و در دسترس برای هر سازمانی است که می‌خواهد سطح دفاع سایبری خود را ارتقا دهد.

 

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد