تقریباً همه‌ی ما این سناریو را تجربه کرده ایم:
یک Incident Report باز می‌شود و ناگهان مشخص می‌شود مهاجم ۶ ماه، ۹ ماه یا حتی بیش از یک سال داخل شبکه حضور داشته است.
نه Alert معناداری ثبت شده، نه لاگ واضحی دیده شده و نه رفتاری که زودتر توجه تیم امنیت را جلب کند.

اینجا معمولاً سؤال اصلی این است: چطور ممکن است چنین حمله‌ای این‌همه مدت از دید تیم های امنیتی پنهان بماند؟

پاسخ کوتاه این است: چون APT  برای دیده نشدن طراحی شده است. اما پاسخ واقعی، بسیار عمیق‌تر، فنی‌تر و البته ناراحت کننده تر از این جمله است.

در حملات APT  دقیقاً با چه چیزی طرف هستیم؟

Advanced Persistent Threat  فقط یک بدافزار یا یک Exploit نیست.APT  یعنی ترکیب هوشمندانه ای از:

✔️ مهاجم کاملا هدف‌محور

✔️ دارای دانش عمیق از زیرساخت

✔️ با حضور بلند ‌مدت و کنترل شده

✔️ و با کمترین ردپای ممکن

در APT، هدف «نفوذ سریع» نیست، هدف باقی ماندن، مشاهده، جمع‌آوری و حرکت تدریجی است.

APT.1ها شبیه حمله رفتار نمی‌کنند

یکی از بزرگ‌ترین خطای ذهنی تیم‌های امنیتی این است که هنوز دنبال الگوهای کلاسیک حمله می‌گردند:

Brute-force ✔️

Exploit ✔️  پر سر و صدا

Malware ✔️  با IOC مشخص

در حالی که APT از Credentialهای واقعی استفاده می‌کند، با ابزارهای قانونی سیستم (Living off the Land) کار می‌کند و از دید لاگ رفتار آن ، کاملا شبیه ادمین یا کاربر حرفه‌ای است.

📌  وقتی مهاجم با powershell.exe، wmic، net use یا حتی RDP و VPN رسمی کار می‌کند SIEM  شما دقیقاً باید روی چه چیزی Alert بدهد؟

2. لاگ وجود دارد، اما «معنی» ندارد

در اکثر سازمان‌ها مشکل نبود لاگ نیست. مشکل این است که لاگ‌ها context ندارند، همبستگی (Correlation) واقعی انجام نمی‌شود و رفتار نرمال شبکه Baseline  نشده است.

مثال واقعی:

یک اکانت Helpdesk ساعت ۲ بامداد لاگین می‌کند. برای SIEM این فقط یک Event است و برای APT، این یک فرصت طلایی است

بدون UEBA  یا  Behavioral Analytics   لاگ فقط داده است نه نشانه تهدید.

3.  APTها عجله ندارند و این خطرناک‌ترین ویژگی آن هاست

مهاجم APT روزی یک دستور اجرا می‌کند، هفته‌ای یک Pivot، ماهی یک Credential جدید.

هیچ Burst، هیچ Spike، هیچ Noise غیرعادی ایجاد نمی‌شود.

📌  بیشتر Detection Ruleها برای حملات سریع نوشته شده‌اند نه برای حرکت آهسته، پیوسته و حساب شده.

4.  Blind Spot بین Network، Endpoint و Identity

یکی از دلایل اصلی شناسایی دیرهنگام APT این است که دید امنیتی تکه‌تکه است. Network Security  یک چیز می‌بیند،Endpoint Protection چیز دیگر، AD Logها جای دیگری هستند.APT  دقیقاً در همین Gapها حرکت می‌کند:

Initial Access ✔️از Endpoint

Lateral Movement ✔️از AD

Data Access ✔️از Network

اگر این سه به هم وصل نباشند تصویر کامل حمله هرگز ساخته نمی‌شود.

5.  SIEM بدون Hunting  یعنی واکنش بعد از فاجعه

واقعیت تلخ این است که بیشتر SIEMها Reactive هستند، نه Proactive .یعنی تا Rule Trigger نشود، کاری انجام نمی‌شود Rule هم فقط چیزی را می‌بیند که از قبل تعریف شده. در حالی که APT، TTPمحور است نه IOC محور

📌  بدون Threat Hunting،APT کشف نمی‌شود. فقط بعد از Data Breach فهمیده می‌شود.

6. مهاجم معماری شما را بهتر از خودتان یاد می‌گیرد

APT  بعد از نفوذ اولیه ساختار Active Directoryرا تحلیل می کند، سرورها و Trustها را می‌شناسد و تیم IT و شیفت‌ها را بررسی می‌کند. یعنی حمله کاملا Adaptive  می شود.

در بسیاری از موارد مهاجم بهتر از تیم داخلی می‌داند کجا لاگ بررسی نمی‌شود،کدام VLAN مانیتور نیست و کدام اکانت حساس اما کم‌استفاده است.

چرا این موضوع برای سازمان‌های ایرانی حیاتی‌تر است؟

در بسیاری از سازمان‌های داخل ایران EDR به‌صورت کامل فعال نیست، SIEMبیشتر Log Collector است. Huntingساختارمند وجود ندارد وPlaybookهای APT نداریم. و این یعنیAPT  نه‌تنها دیر شناسایی می‌شود،
بلکه اغلب اصلاً شناسایی نمی‌شود.

 رویکرد فنی پیشرفته برای کشف APT در محیط‌های Enterprise

 Detection.1 مبتنی بر رفتار (Behavior-Centric Detection)

در حملات APT، اتکا به Signature و IOC به‌دلیل ماهیت هدفمند و کم‌سر‌و‌صدای مهاجم، عملاً شکست‌خورده است. Detection  مؤثر باید بر پایه مدل‌سازی رفتار نرمال و شناسایی انحراف‌های تدریجی بنا شود.

در سطح فنی، این رویکرد شامل موارد زیر است:

• پیاده‌سازی UEBA برای تحلیل رفتار کاربران، سرویس‌اکانت‌ها و سیستم‌ها در بازه‌های زمانی طولانی.
• تعریف Baseline رفتاری بر اساس:

✔️ الگوی احراز هویت (Login Frequency، Geolocation، Device)

✔️ الگوی دسترسی به منابع (File Share، Database، Application)

✔️ الگوی اجرای پردازه‌ها (Parent–Child Process، Command-Line Arguments)

• تولید Alert نه بر اساس وقوع یک Event، بلکه بر اساس Aggregation و Deviation Analysis .

📌  مثال:
اجرای powershell.exe به‌تنهایی مشکوک نیست، اما اجرای آن توسط یک اکانت مالی، خارج از ساعات کاری، همراه با دسترسی به SYSVOL، یک Behavioral Anomaly  واقعی است.

۲ .  Threat Hunting مبتنی بر TTP و Kill Chain

Threat Hunting مؤثر باید از IOC Hunting فاصله بگیرد و به سمت TTP-Based Hunting حرکت کند. زیرا APTها به‌طور مداوم ابزار، هش و زیرساخت خود را تغییر می‌دهند، اما الگوی رفتاری آن‌ها ثابت‌تر است.

اصول فنی Hunting پیشرفته:

✔️ نگاشت لاگ‌ها و Telemetry به MITRE ATT&CK Techniques (مانند T1059، T1021، T1003).

✔️ طراحی سناریوهای Hunting که چند Technique را در قالب یک Kill Chain بررسی می‌کنند، نه یک Event منفرد.

✔️ تمرکز بر Hypothesis-Driven Hunting. برای مثال اگر مهاجم به Credential دست یافته باشد، چه نشانه‌هایی از Lateral Movement یا Privilege Escalation باید دیده شود؟

اجرای حداقل یک Hunting Campaign ماهانه با Scope مشخص (AD، Endpoint، Network) باعث کشف تهدیداتی می‌شود که هیچ‌گاه Alert تولید نکرده‌اند.

📌  نکته کلیدی : APT معمولاً در Correlation دیده می‌شود، نه در یک Log Line .

۳. همبستگی عمیق Endpoint، Identity و Network

APTها به‌صورت زنجیره‌ای بین لایه‌ها حرکت می‌کنند. اگر این لایه‌ها به‌صورت سیلویی مانیتور شوند، دید امنیتی ناقص خواهد بود.

در سطح پیاده‌سازی:

Telemetry ✔️های EDR (Process Creation، DLL Injection، Memory Access)

✔️ لاگ‌های Active Directory (4624، 4672، 4769، تغییرات Group Membership)

✔️ داده‌های Network (East-West Traffic، DNS، SMB، RDP)

باید در SIEM یا پلتفرم XDR به‌صورت Cross-Domain Correlation تحلیل شوند.

📌  نتیجه این همبستگی شناسایی حرکت جانبی کم‌صدا،کشف استفاده غیرعادی از Credentialهای معتبر و بازسازی دقیق مسیر مهاجم در Kill Chain است.

۴.  Assume Breach به‌عنوان مدل عملیاتی

در دفاع در برابر APT، پیش‌فرض «عدم نفوذ» دیگر معتبر نیست. Assume Breach یک اصل طراحی است، نه یک سناریوی اضطراری.

پیاده‌سازی عملی این رویکرد شامل حداقل‌سازی دسترسی‌ها (Least Privilege) حتی برای اکانت‌های داخلی، اعتبارسنجی مداوم Sessionها و رفتارها و مانیتور دائمی دسترسی‌های داخلی (Internal Recon و Lateral Movement) است.

Zero Trust  در این چارچوب جایگزین Trust سنتی مبتنی بر Location می‌شود و هر درخواست دسترسی را به‌عنوان یک Event  امنیتی مستقل ارزیابی می‌کند

📌  سازمان‌هایی که Assume Breach را عملیاتی کرده‌اند، معمولاً APT را در فاز Recon یا Lateral Movement شناسایی می‌کنند، نه بعد از Exfiltration .

✅  چک‌لیست عملیاتی شناسایی و مقابله با حملات APTمخصوص تیم‌های امنیت سازمانی

 1️تمرکز بر رفتار (Behavior-Based Detection)

 🔍 پیاده‌سازی UEBA

فعال‌سازی UEBA در SIEM (یا ابزار مستقل)

تعریف User Behavior Profile برای:

✔️ کاربران عادی

✔️ ادمین‌ها

Service Account ✔️ها

تعریف Entity Behavior برای:

Server ✔️ها

DC ✔️ها

Application Server ✔️های حساس

📊  Baseline رفتاری

جمع‌آوری حداقل 30 روز لاگ تمیز برای Baseline

ثبت الگوهای نرمال:

✔️ ساعات لاگین

✔️ سیستم‌های مقصد

✔️ نوع دسترسی‌ها

بازبینی Baseline بعد از:

✔️ تغییر ساختار سازمان

✔️ مهاجرت سیستم‌ها

✔️ اضافه شدن نرم‌افزارهای جدید

🚨  Alert مبتنی بر انحراف

Alert روی لاگین خارج از الگوی زمانی کاربر:

✔️ دسترسی به Resource جدید

✔️ افزایش غیرعادی privilege

حذف یا کاهش Alertهای Signature-only

اولویت‌دهی Alertهای Contextual

2️  Threat Hunting منظم و ساختاریافته

🎯  Hunting بر اساس MITRE ATT&CK

انتخاب Tactic مشخص (مثلاً:  Lateral Movement)

مپ کردن Log Sourceها به Techniqueها

تعریف Hypothesis :اگر مهاجم در شبکه باشد، چه رفتاری دارد؟

🧠  Hunting سناریومحور

طراحی سناریو به‌جایEvent :

مثال:
Credential Access → Privilege Escalation → Lateral Movement

بررسی زنجیره‌ای لاگ‌ها، نه Alert تکی

تمرکز روی Low-and-Slow Activity

📆  Campaign Hunting

حداقل ماهی یک Campaign Hunting

مستندسازی:

Hypothesis ✔️

Data Source ✔️

Findings ✔️

تبدیل Findings به Detection Rule

3️ اتصال Endpoint، Identity و Network

🔗 یکپارچه‌سازی لاگ‌ها

اتصال EDR به SIEM

ارسال کاملAD Logs 

Logon / Logoff ✔️

Privilege Changes ✔️

Kerberos Events ✔️

دریافت NetFlow / Firewall Logs

👁️ دید End-to-End Kill Chain

 Correlationبین:

Process Creation (Endpoint) ✔️

Authentication (AD) ✔️

Network Connection ✔️

شناسایی حرکت جانبی بدون Malware

بررسی رفتارهای Living-off-the-Land (LOLBins)

4️ Assume Breach / Zero Trust عملیاتی

 🧩  Mindset عملیاتی

فرض نفوذ از روز اول

حذف اعتماد پیش‌فرض بین سیستم‌ها

Micro-Segmentationدر شبکه

🔐 کنترل دسترسی

Least Privilegeواقعی، نه تئوری

برای ادمین ها و دسترسی های حساس MFA

مانیتورینگ Service Accountها

🧯 واکنش سریع

Playbook برای:

Credential Compromise ✔️

Lateral Movement ✔️

Persistence ✔️

امکان Isolation سریع Endpoint

تست دوره‌ای Incident Response

🎯  خروجی مورد انتظار این چک‌لیست

اگر این موارد واقعاً اجرا شوند:

APT ✔️  نمی‌تواند ماه‌ها بی‌صدا بماند

 ✔️مهاجم قبل از Impact شناسایی می‌شود

SOC ✔️  از حالت Reactive خارج می‌شود

SIEM ✔️  تبدیل به ابزار تحلیل می‌شود، نه انبار لاگ

 جمع‌بندی

APT  شناسایی نمی‌شود چون از ابزارهای Legitimate استفاده می‌کند، در بازه‌های زمانی طولانی حرکت می‌کند و از شکاف بین Endpoint، Identity و Network عبور می‌کند.

تنها راه کشف آن:
Behavior + Correlation + Hunting +Assume Breach است نه یک محصول، نه یک Rule، بلکه یک مدل عملیاتی بالغ امنیتی.