از /

شناسایی رفتارهای مهاجم سایبری

مثل یه هکر محترم فکر کن!

شناسایی رفتارهای هکر

در دنیای سایبری، همیشه یه مهاجم هست که می‌خواد با یه لپ‌تاپ و یه لیوان قهوه، وارد شبکه‌ت بشه. اما خبر خوب اینه که اگه بدونی چطور فکر می‌کنه، می‌تونی جلوش وایستی! توی این مقاله با ۹ رفتار رایج مهاجم‌ها آشنا می‌شیم…

🎯 شناسایی رفتاری یعنی چی؟

یعنی بفهمیم مهاجم‌ها از چه روش‌ها و تکنیک‌های رایجی استفاده می‌کنن تا به شبکه ما نفوذ کنن. این اطلاعات به کارشناسان امنیت کمک می‌کنه تا تهدیدهای احتمالی رو زودتر تشخیص بدن و واکنش سریع‌تری بدن.

۱. شناسایی داخلی (Internal Reconnaissance)

مهاجم وارد شبکه شده ولی نمی‌دونه کجاست؛ شروع می‌کنه به نقشه‌برداری از شبکه مثل یه توریست گم‌شده تو مترو تهران.

🔹 ابزارهای رایج: netstat, ipconfig, nmap 🔹 هدف: کشف سیستم‌ها، دامنه‌ها، پورت‌ها و منابع حساس

۲. استفاده از پاورشل (Use of PowerShell)

پاورشل برای مدیران سیستم یه ابزار قدرتمنده، ولی برای هکرها؟ یه شمشیر دولبه!

🔹 رفتار مشکوک: اجرای اسکریپت‌های رمزگذاری‌شده یا غیرعادی 🔹 هکری که با یه خط PowerShell درایو D رو فرمت می‌کنه، بعد می‌گه “اشتباه تایپی بود!”

۳. فعالیت‌های پراکسی مشکوک (Unspecified Proxy Activities)

مهاجم برای مخفی کردن ردپاش، ترافیک رو از پروکسی عبور می‌ده؛ مثل کسی که با عینک دودی تو تاریکی راه می‌ره!

🔹 علامت خطر: استفاده از سرویس‌های ناشناس یا کانکشن‌های غیرمعمول 🔹 راه‌حل: مانیتورینگ لاگ‌های پراکسی و تحلیل رفتار ترافیک

۴. استفاده از خط فرمان (Use of Command-Line Interface)

اگه یه کاربر معمولی از CLI استفاده می‌کنه، مشکوکه؛ اگه زیاد استفاده می‌کنه، مشکوک‌تر!

🔹 ابزارهای معمول: cmd, bash, wmic 🔹 رفتار خطرناک: اجرای دستورات سیستم بدون لاگ مناسب

۵. جعل هویت User-Agent 

(HTTP User Agent Spoofing)

مهاجم با جعل مرورگرش می‌خواد از فیلترها رد شه. مثلاً خودشو جای Chrome جا می‌زنه، در حالی که داره با curl میزنه به API!

🔹 مثال: Mozilla/5.0 (TotallyNotAHacker) 🔹 راه‌حل: لاگ‌گیری از User-Agent و تحلیل انحراف‌ها

۶. ارتباط با سرور فرماندهی (Command and Control Server)

اینجا یعنی بدافزار توی سیستم با HQ تماس می‌گیره: “رئییییس بگو چی کار کنم؟”

🔹 علائم: ارتباط‌های ناشناس با IPهای خارجی مشکوک 🔹 راه‌حل: بلاک کردن دامنه‌های شناخته‌شده C2 و تحلیل رفتار DNS

۷. تونل‌سازی DNS (Use of DNS Tunneling)

وقتی فایروال همه پورت‌ها رو بسته، مهاجم زرنگ ترافیکش رو از طریق DNS رد می‌کنه. خیلی زرنگه، نه؟

🔹 نشونه‌ها: درخواست‌های DNS زیاد و غیرعادی 🔹 راهکار: تشخیص الگوهای طولانی، Base64 توی DNS Query ها

۸. استفاده از وب‌شل (Use of Web Shell)

هکر یه فایل PHP یا ASP آپلود می‌کنه که باهاش از راه دور کنترل کامل سیستم رو می‌گیره؛ مثل در مخفی توی سایتت.

🔹 علائم: فایل‌های ناشناخته در پوشه‌های uploads یا tmp 🔹 راه‌حل: مانیتورینگ تغییرات فایل‌ها، محدود کردن دسترسی به شل‌ها

۹. مرحله آماده‌سازی داده (Data Staging)

قبل از دزدیدن اطلاعات، مهاجم اونا رو جمع و جور و فشرده می‌کنه، مثل اینکه داره چمدون می‌بنده برای سفر.

🔹 رفتار: ساخت فایل‌های .zip, .rar, .7z در مسیرهای مشکوک 🔹 راه‌حل: مانیتور فایل‌های بزرگِ جدید، به‌خصوص تو تایم غیرکاری

✅ جمع‌بندی:

هکرها رفتار دارن، ما هم ابزار. با شناسایی این رفتارها:

  • می‌فهمی مهاجم کجای حمله‌ست

  • زودتر واکنش نشون می‌دی

  • امنیت سیستمت می‌ره رو حالت “آهنی!”

🎉 هکری که رفتارهاشو تکرار می‌کنه، مثل دزدی‌ئه که هر بار با همون لباس میاد! فقط کافیه یه بار درست نگاه کنی…

دیدگاه‌ خود را بنویسید

پیمایش به بالا