تیم تحقیقاتی شرکت اسپلانک – Splunk Threat (STRT)  – به طور مداوم با رصد تهدیدات سایبری امکان نظارت توسعه، آزمایش و ارائه جستجوهای تشخیص سفارشی سازی شده برای کمک به شناسایی آسیب پذیری ها و حملات سایبری در محیط شما  می کند. تمام شناسایی‌های مربوط به یک تهدید خاص در قالب گزارش های تحلیلی (که به عنوان use case نیز شناخته می‌شوند) بسته‌بندی می‌شوند . همچنین در وب‌سایت محتوای امنیت Splunk و همچنین پایگاه محتوای امنیتی GitHub قرار می‌گیرند. لایسنس Splunk خلاصه ای از محتوای امنیتی ایجاد شده توسط STRT از نوامبر 2022 تا ژانویه 2023 را ارائه می دهد . همه آنها امروز از طریق برنامه به روز رسانی محتوای امنیتی سازمانی در دسترس هستند. محقق ارشد تهدید، مایکل هاگ، همچنین مروری بر محتوای STRT Q4 در یک گفتگوی فناوری امنیتی ارائه می‌کند.

تست نفوذ 

سه ماه گذشته، این تیم ردیابی بیشتری را برای گزارشات تحلیلی پس از تست نفوذ ویندوز توسعه داد. این ردیابی ها انواع ابزارهای پس از تست نفوذ ویندوز را شناسایی می‌کنند. به ویژه مربوط به WinPEAS ( اسکریپت‌های افزایش امتیاز محلی ویندوز) ، که معمولاً برای کسب حق ویژه و تداوم در Endpoint ویندوز استفاده می‌شوند.

چارچوب Metasploit برای تست نفوذ توسط مجرمان سایبری و هکرهای اخلاقی برای شناسایی آسیب‌پذیری‌های سیستماتیک در شبکه‌ها و سرورها استفاده شده است. این یک ابزار محبوب پس از تست نفوذ برای مهاجمان برای یافتن آسیب پذیری ها در شبکه ها و نفوذ آنها شده است . بنابراین STRT یک گزارش تحلیلی با تشخیص برای جستجوی پیکربندی های پیش فرض منتسب و رفتارهای مرتبط با Metasploit را توسعه می دهد.
در اواخر سال 2022، CISA پس از مشاهده فعالیت‌های مشکوک تهدید پیشرفته دائمی (APT)از سوی عوامل تهدید کننده تحت حمایت یکی از دولت ها که از آسیب‌پذیری Log4Shell در سرور VMware Horizon سوء‌استفاده کرده و به صورت جانبی برای ادامه هدف خود حرکت کردند، توصیه‌ای درباره امنیت سایبری صادر کرد. گزارش تحلیلی CISA AA22-320A تشخیص هایی را برای شناسایی TTP های مشخص شده در مشاوره CISA ارائه می دهد.

گزارش تحلیلی پراکسی های شبکه معکوس

STRT یک گزارش تحلیلی را منتشر کرد که شامل مجموعه ای از محصولات است که با Ngrok شروع می شود و به عنوان پراکسی های شبکه معکوس(Reverse Network) طبقه بندی می شوند. این ابزارها به هکرها اجازه می‌دهد تا یک تونل امن برای سرورهای واقع در پشت فایروال یا ماشین‌های لوکال که IP عمومی ندارند ایجاد کند. Ngrok به طور خاص توسط عوامل تهدید در چندین کمپین از جمله استفاده برای جابجایی جانبی (Network Lateral Movement) و استخراج داده ها مورد استفاده قرار گرفته است.
در پاسخ به گزارش افزایش 131 درصدی حملات هک حساب کاربری در نیمه اول سال 2022، STRT یک گزارش تحلیلی برای شناسایی هک حساب GCP و همچنین وبلاگی با جزئیات بیشتر برای شناسایی هک حساب ابری در Azure Active Directory و AWS در Azure توسعه داد.

در پاسخ به گزارشی از مایکروسافت که اشاره کرد مهاجمان به طور فزاینده ای از ماژول های خدمات اطلاعات اینترنتی(IIS) استفاده می کنند، STRT گزارش تحلیلی مؤلفه های IIS را توسعه داد و جزئیات بیشتری را در وبلاگ «ماژول های شگفت انگیز IIS و نحوه یافتن آنها» ارائه کرد تا به مدافعان کمک کند تا رفتار مشکوک و مخرب در وب سرورهای IIS را شناسایی کنند.

گزارش های تحلیلی باج افزار ها  (Ransomware)

جای تعجب نیست که تیم STR همیشه در حال نظارت و توسعه شیوه تشخیص برای تهدیدهای همیشه در حال پیشرفت مربوط به باج افزار است. در Q4 ، این تیم بر توسعه محتوای امنیتی برای سه گروه باج افزار خاص: Lockbit ، Prestige و chaosمتمرکز شده است.
باج افزار Lockbit از سال 2019 به طور مرتب مهمترین عناوین خبری را به خود اختصاص می دهد . همچنین چندین بخش و سازمان در هر اندازه را هدف قرار داده است.
باج افزار به تازگی در سال 2021 به صحنه آمد و مشخص شده است که نسخه .NET از باج افزار Ryuk است .

اما با نگاه دقیق تر ، این نمونه بدافزار نشان می دهد که ارتباط زیادی با باج افزار بدنام Ryuk ندارد. STRT محتوای خود را بروز کرد . محتوای قبلی را به گزارش تحلیلی باج افزار اضافه کرد تا به مدافعان کمک کند تا این و سایر انواع باج افزار را شناسایی کنند.
باج افزار پرستیژ به عنوان بخشی از جنگ روسیه و اوکراین با تکنیک های استقرار مشابه CaddyWiper و HermeticWiper ، به هدف قرار دادن صنایع حمل و نقل و لجستیک مشاهده شد.

موارد بیشتر…

لایسنس Splunk