تصدي وتحليل اشهر الأحداث التي لا يمكن لمستجيب الحوادث تجاهلها

Security
احداث لا يمكنك تجالها كمستجيب للحوادث كيفية التصدي لها وتحليلها وكتابة siem rule للتصدي لها
Mohab yehia
March 11, 2023, 4:59 p.m.
mohab
تصدي وتحليل اشهر الأحداث التي لا يمكن لمستجيب الحوادث تجاهلها

سوف نتحدث في هذه المقالة عن اشهر ال events و ال incident التي يتعرض لها مستجيب الحوادث في بيئة عمله اليومية ، وكيفية التصدي لها وما مدي تأثيرها وضررها . وكيف يتم تحليل تلك الأحداث كمحلل امني محترف ، و الأحداث التي سوف نتحدث عنها :

  • Remote to Local Scanning
  • Remote to Local Dos/DDos
  • Local to Local Scanning

قبل أن نتحدث عن تلك الأحداث وكيفية تحليلها و التصدي لها ، سوف أشرح أولا ما هو ال Remote to local , Local to Remote  و ال Local to Local ، عند اعتبار شبكة خاصى للمؤساسات ، نستخدم مصطلح internal ، لأنه يعتبر داخل الشبكة ، لتبسيط المعني كل شيء يقع داخل البيئة الخاصة للشبكة لمؤسسة ما يسمي internal ، و أي شيء خارج تلك المؤسسة ، مثل المواقع و ال puplic ip وغيرها ، يسمي external or remote

 

 بناء علي الصورة التي في الأعلي ، فأن أي حدث يتم من جهاز الي جهاز او من نظام الي نظام تسمي Local to Local ، و أي حدث يتم من خلال external ip الي puplic ip مملوك للشركة يسمي Remote to Local ، سوف نقوم بأستخدام بعض المصطلحات خلال هذه المقالة منها :

  • R2L - Remote to Local
  • L2R - Local to Remote
  • L2L - Local to Local

R2L Port Scanning :

في هذا الحدث قد يوجد external puplic ip أي ip خارج المؤسسة لا ينتمي لها يقوم بعمل scanning ل puplic ip خاص بالمؤسسة ، ويفعل ال attacker هذا لمعرفة عناوين ال ip التي تستخدمها المنظمة ، و أي منها قيد الأستخدام ، و ما هي ال ports المفتوحة ، أن هذا الحدث من اكثر الأحداث الشائعة التي قد يتعرض لها المحلل الأمني داخل بيئة عمل ال soc يوميا ، سوف تظهر لك الكثير من التنبيهات ( Alerts )و التحذيرات التي سوف تظهر لك في Siem ، ولا تقلق اذا لم تكن تدرك ما هو ال siem سوف نتحدث قريبا عن ال siem بالتفصيل و انواعه ، لنعد ونكمل ، كل مؤسسة تتعامل مع هذا الحدث بالنسبة لسياستها الخاصة ولكن لنتحدث عن اشهر طرق الحماية من هذا ال incident .

 

 

 Investegation :

سوف تقوم كمحلل امان بجمع السجلات (Logs) من جدار الحماية (Firewall) و جدار الحماية الخاص بتطبيقات الويب (Waf) ، حسنا ولكن ما الخطوة القادمة بعد تجميع السجلات كيف احللها و الي ماذا أنظر ،في العادة سوف نبحث عن اتصالات ( connection ) متعددة في اطار زمني قصير لعدد من ال ports المختلفة علي النظام ، اذا نظرنا الي السجلات التي جمعناها من ال waf يجب عليك أن تعلم ال ports المسموح لها أن تكون مفتوحة في مؤسستك ولو فرضنا ال waf كمثال فيجب أن يكون ال port المفتوح هو 80 وهو port بروتكول http و 443 الذي يخص https ، و يمكنك أيضا ان تنظر في السجلات علي أن ال attacker قد يحاول أن يفحص العديد من ال ports مثل 25 - 22 - 652 وغيرها وقد يفحص العديد من ال ports العشوائية .

Impact and Damage: 

في العادة لا يكون للفحص ( scanning ) له تأثير قوي علي المؤسسة ، ولكن يمكن أن يؤثر عل الأنظمة القديمة التي ليس لها سعة  اتساع ( scalability ) بمعني أخر لا تقوم بمعالجة الطلبات التي تصل لها بسرعة فقد يتحول ال scan الي هجوم Dos ويسبب تعطل في النظام أو خادم الويب ، و بعض أداوت الأسكان مثل nmap قد تساعد ال attacker في استغلال الثغرات والكشف عنها في الأنظمة القديمة ، لذلك يجب عليك زيادة سعة الجهاز وتحديث الأنظمة القديمة و ثغرات ال misconfiguration .

 مثال siem rule قمت بكتابتها من قبل يمكنك الأستفاده منه كمرجع لك :

title: Network Scanning Detection
description: Detect network scanning attempts and generate an alert.
status: experimental
references:
    - https://www.example.com/network-scanning-detection
tags:
    - network
    - scanning
    - alert
logsource:
    category: network
    product: firewall
detection:
    selection:
        c2s:
            ip:
                type: any
                values: ["external-network"]
        condition: count() > 10 and count_distinct(c2s.ip) > 5 or count() > 50 and count_distinct(c2s.ip) > 10 or count() > 100 and count_distinct(c2s.ip) > 20
    timeframe: 60s
    output:
        title: Network Scanning Detected from {source_ip}
        description: "Network scanning detected from {source_ip} to multiple destination IPs within a short time period"
        severity: high
        tags: ["network", "scanning", "alert"]
        tlp: white
        type: anomaly

 

 

 R2L Dos/DDos :

قد يكون هناك هجوم حجب الخدمة ( Dos ) او عدد من ال external ip ترسل لك عدد كبيرا من الطلبات أو الطلبات المشوهة اي طلبات قد تم التلاعب في قيمها أو طلبات علي فترات زمنية مختلفة ، كل ذلك يستهدف نظام أو خادم معين في محاولة لتعطيله و أيقافه .

  • اذا نظرنا فب الصورة التي علي اليسار تظهر لك هجوم حجب الخدمه حيث هناك جهاز او external ip يرسل العديد من الطلبات في محاولة أيقاف النظام وتعطيله .
  • و في الصور التي علي اليمين هناك العديد من الأحهزة تحاول أن ترسل طلبات كثيرة و مشوهة لمحاولة ايقاع النظام بما يسمي بال DDos attack .

Detection :

يمكنك كمحلل امني ان تضع بعض ال rules داخل ال Dmz receive تدير عدد الطلبات التي ترسل للشبكة ، يمكنك أن تقوم بتثبيت baseline لمسار الشبكة الطبيعي  ( level of normal traffic ) المتوقع أن يكون علي الخادم ويمكنك أستخدام العديد من الأدوات منها solo winders ، و تكتب rule تظهر لك تحذير وتنبيه ( Alert ) في حالة وجود شذوذ في مسار الشبكة أو اذا كان هناك جهاز يرسل عديد من الطلبات في وقت قصير .

Impact and Damage :

رغم أعتماد هذا الهجوم علي عدد من العوامل ، هذا الهجوم لديه القدرة علي أن تسبب العديد من الخسائر للشركة و يوقف الخدمه عنها ، ولا يستطيع عملاء الشركة علي الوصول الي موقع الشركة مثال علي ذلك شركة Amazon , Yahoo وغيرها الكثير من الشركات التي تكبدت خسائر كثيره بسبب هذا الهجوم ، لذلك يجب عليك الحذر جيدا من هذا الهجوم و أن تضع العديد من ال rules في ال Dmz receive حتي تستطيع ان تعالج و تحتوي هذا الهجوم اذا حدث .

L2L - Scanning :

أن هذا الهجوم يكون فيه interal ip يقوم بفحص جهاز او عدة اجهزة داخل الشبكة .

من الصوره التي في الأعلي يمكنك أن تري أن جهاز داخل بيئة الشبكة المغلقة ، يرسل الطلبات الي الاجهزة الأخري ويستقبل الردود في محاولة لمعرفة ما هو النظام الذي تستخدمه تلك الأجهزة ، و معرفة الخدمات التي تستضيفها تلك الأجهزة وربما محاولة أستغلال أحد تلك الخدمات .

Detection

يمكنك أنشاء قواعد داخل ال siem تظهر لك تنبيه ( Alert ) في حالة وجود جهاز داخل الشبكة يحاول أن يقوم بفحص باقي الأجهزة داخل الشبكة ، وعليك أن تحدد patterns لمنع وجود false positives لانه من المنطقي أن تتواصل الأجهزة داخل الشبكة مع بعضها ، ولكن ذلك التنبيه يحدث عند وجود حالة غير طبيعية في التواصل أو عند وجود شذوذ كما ذكرنا أن جهاز يقوم بفحص جهاز أخر ، تلك القواعد يتم أنشاؤها داخل بيئة ال soc من قبل ال incident response مستجيب الحوادث .

Impact and Damage :

حسنا للأسف وجود هذا ال attack يعني ان هناك جهاز في مؤسستك قد تم أختراقه ، و تلك المرحلة تأتي بعد ال persistence أي أنه قد تم تثبيت المالوير علي الجهاز ، يحاول أن ينتشر داخل بية الشبكة الخاصة بك وتلك المرحلة او ذلك الهجوم يسمي pivoting ، قد يستخدم ال attacker بعض البروتكولات لاستكشاف الشبكة من حوله ، منها ARP , UDP , TCP or  ICMP لكي يري ما هي ال ip الاخري معه علي الشبكة .

مثال علي siem rule قمت بكتابتها من قبل يمكنك أستخدامها كمثال لتفهم اكثر :

title: Internal Scanning Detection
description: Detect internal scanning from one device to another device on the same network.
status: experimental
references:
    - https://www.example.com/internal-scanning-detection
tags:
    - network
    - internal
    - scanning
    - alert
logsource:
    category: firewall
    product: any
detection:
    selection:
        c2s:
            ip1: 
                type: any
                values: ["local-network"]
            ip2:
                type: any
                values: ["local-network"]
        condition: c2s.ip1 != c2s.ip2 and count() > 1
    timeframe: 60s
    output:
        title: Internal Scanning Detected from {source_ip}
        description: "Internal Scanning detected from {source_ip} to multiple destination IPs within the local network"
        severity: high
        tags: ["network", "internal", "scanning", "alert"]
        tlp: white
        type: anomaly

سوف نتحدث في المقالة المقبلة عن ال yara rules وكيفية كتابتها و ما هي ، اذا أردت أن نتحدث عن موضوع معين أذكر لنا ذلك في التعليقات .

إن أحسنت فمن الله، وإن أسأت أو أخطأت فمن نفسي والشيطان

هل صليت علي النبي اليوم ؟


security events incidents Ir incidentresponse