هذه التدوينة عبارة عن برنامج تعليمي حول استخدام أدوات نظام التشغيل Security Onion OS مثل Sguil و Wireshark للتحقيق في تنبيهات الشبكة لتحديد ما إذا كانت إيجابيات كاذبة أو سلبيات حقيقية.

فيما يلي تفصيل مفصل للنقاط الرئيسية التي تم تناولها:

  • يركز الفيديو على تحليل تنبيهات الأمان في الشبكة باستخدام SQL لتحديد ما إذا كانت تهديدات حقيقية أو تنبيهات إيجابية كاذبة.
  • يشرح المدرب كيف يتعامل مهندسو الشبكات والمحللون الأمنيون غالبًا مع تنبيهات مختلفة من أنظمة مختلفة مثل أنظمة كشف التسلل (IDS ) وأنظمة منع التطفل (IPS).

ما هو البصل الأمني

Security Onion هي منصة قوية مفتوحة المصدر مصممة لمراقبة أمن الشبكات واكتشاف الاختراق وتحليل التهديدات. وهي تدمج العديد من الأدوات الأمنية لمساعدة المحللين على اكتشاف التهديدات المحتملة داخل شبكة المؤسسة والتحقيق فيها والاستجابة لها. تقدم هذه المقالة دليلًا تفصيليًا خطوة بخطوة حول استخدام Security Onion لاكتشاف وتحليل نشاط البرمجيات الخبيثة في بيئة الشبكة.

صُمم Security Onion لجمع وتخزين وتحليل حركة مرور الشبكة وسجلات النظام لتحديد الأنشطة المشبوهة. ويوفر أدوات مثل:

  • Snort: نظام كشف التسلل (IDS) الذي يكتشف الأنشطة الخبيثة على الشبكة.
  • أداة تعدين الشبكة: أداة جنائية تلتقط حركة مرور الشبكة وتستخرج الملفات المنقولة.
  • قاعدة بيانات SQL: يساعد في الاستعلام عن سجلات الأمان وتحليلها لأغراض التحقيق.

الواجهة وطوبولوجيا الشبكة:

  • تشتمل الواجهة المعروضة على أقسام للتنبيهات والقواعد التي تؤدي إلى تشغيل تلك التنبيهات وبيانات الحزمة ومعلومات DNS ورسائل النظام.
  • تتكون طوبولوجيا الشبكة من جهازين:
    • خادم DMZ بعنوان IP 172.16.1.10.
    • عميل كمبيوتر يعمل بنظام ويندوز مع عنوان IP 10.1.6.1.
  • يعتبر خادم DMZ خارجياً، بينما يعتبر الكمبيوتر الشخصي الذي يعمل بنظام Windows داخلياً.

الكشف عن البرامج الضارة خطوة بخطوة

1. مراقبة نشاط الشبكة

تتمثل الخطوة الأولى في اكتشاف البرمجيات الخبيثة باستخدام Security Onion في مراقبة حركة المرور في الوقت الفعلي. ويستخدم المحللون استعلامات SQL لاسترداد التنبيهات والسجلات، وتحديد الأنشطة غير المعتادة مثل تنزيل الملفات غير المصرح بها.

2. تحديد الملفات المشبوهة

تتضمن طريقة الكشف الحرجة تحديد الملفات التي تم تنزيلها من مصادر خارجية. في مثال الفيديو، تم اكتشاف تنزيل ملف Java من جهاز داخلي (10.10.6.11).

3. التحقق من الثغرات الأمنية

يمكن لمستشعر Snort من Security Onion تحديد نقاط الضعف في الجهاز. في هذه الحالة، جعل إصدار جافا القديم الجهاز الداخلي عرضة للهجمات الخبيثة.

4. استخراج الملفات باستخدام أداة تعدين الشبكة

يساعد برنامج Network Miner في استرداد الملفات المرسلة وتحليلها لتقييم مدى شرعيتها. يمكن للمحللين الأمنيين التحقق مما إذا كان الملف غير عادي أو مشبوه بناءً على:

  • بنية اسم الملف (على سبيل المثال، قد تشير الأسماء غير المعروفة أو غير المفهومة إلى وجود برمجيات خبيثة).
  • سلوك غير عادي للشبكة مرتبط بتنزيل الملف.

5. تحميل الملفات إلى VirusTotal

لتأكيد ما إذا كان الملف خبيثاً أم لا، يقوم المحللون بتحميله إلى VirusTotal، وهي خدمة فحص البرمجيات الخبيثة عبر الإنترنت. في مثال الفيديو، تم وضع علامة على ملف جافا كملف جافا طروادة من قبل العديد من محركات الأمان، بما في ذلك AVG و BitDefender و F-Secure.

تحليل تنبيه RDP (بروتوكول سطح المكتب البعيد):

  • يُظهر التنبيه الأول الذي تم تحليله الاتصال بين خادم DMZ والكمبيوتر الشخصي الداخلي الذي يعمل بنظام Windows عبر RDP (المنفذ 3389).
  • يشرح الفيديو كيفية النقر بزر الماوس الأيمن وعرض الأحداث المترابطة للتحقق مما إذا كان التنبيه جزءًا من هجوم محتمل لرفض الخدمة (DoS).
  • من خلال فحص بيانات الحزمة في Wireshark، يجد المدرس أن خادم DMZ بدأ الاتصال، وهو أمر غير معتاد لأن الاتصالات الخارجية بالعملاء الداخليين عادةً ما يتم حظرها بواسطة جدران الحماية ما لم يُسمح بها صراحةً.

سلوك الشبكة المشبوه:

  • يلاحظ المدرس أن هذا الاتصال غير المتوقع قد يشير إلى أن هذا الاتصال غير المتوقع قد يشير إلى أن العميل الداخلي يتم استخدامه كوكيل أو تم اختراقه.
  • يستمر التحقيق من خلال تحليل بيانات الحزمة بشكل أكبر لتحديد أي سلوك خبيث أو علامات استغلال.

تحليل الملفات:

  • يتم تحليل الملف الذي تم تنزيله من قبل العميل الداخلي باستخدام VirusTotal للتحقق مما إذا كان خبيثاً.
  • يشير VirusTotal إلى أن الملف مشبوه، ولكن فقط من قبل عدد قليل من محركات مكافحة الفيروسات، مما يشير إلى أنه قد يكون ملفاً إيجابياً كاذباً أو ملفاً خبيثاً مشوّهاً.

الكشف عن فحص Nmap Scan:

  • يحدد البرنامج التعليمي فحصًا للشبكة باستخدام Nmap من خادم DMZ يستهدف الكمبيوتر الشخصي الداخلي الذي يعمل بنظام Windows.
  • يسعى الفحص للكشف عن الخدمات المفتوحة وتفاصيل نظام التشغيل، والتي يمكن أن تكون مقدمة للاستغلال.

التحقيق في الاستغلال:

  • تنبيه آخر يُظهر ثغرة محتملة في إنترنت إكسبلورر يتم استغلالها.
  • يشرح المدرب سيناريو نموذجي حيث يرسل أحد المهاجمين عنوان URL خبيثًا من خلال التصيد الاحتيالي أو الهندسة الاجتماعية، وتقوم الضحية بالنقر عليه دون علمها، مما يؤدي إلى استغلاله.
  • من خلال مراجعة المعاملة الكاملة بين خادم DMZ وجهاز الكمبيوتر الذي يعمل بنظام ويندوز في Wireshark، يتبين أن العميل زار صفحة ويب خبيثة، مما أدى إلى استغلال ناجح.

تصعيد الحوادث:

  • ينصح المدرب بتصعيد مثل هذه الحوادث إلى محللين من المستوى الثاني لإجراء مزيد من التحقيقات وبدء الاستجابة للحوادث.
  • يتضمن ذلك عزل الجهاز المخترق، وإجراء تحليل جنائي، وتنظيف أو مسح أي آثار للبرمجيات الخبيثة.

عند اكتشاف ملف خبيث، يتبع محللو الأمن عملية الاستجابة للحوادث:

  1. جمع السجلات – جمع السجلات وتقارير الفحص المتعلقة بالحادث.
  2. تصعيد الحادث – إذا تم تأكيد وجود البرمجيات الخبيثة، يتم تصعيد الحدث إلى محللي الأمن من المستوى الثاني لإجراء تحقيق أعمق.
  3. الاحتواء والمعالجة – يتم عزل النظام المصاب، ويتم تطبيق تصحيحات أمنية أو خطوات التخفيف من المخاطر لمنع المزيد من الاختراق.

الخاتمة

يُعدّ Security Onion أداة أساسية لمراقبة أمن الشبكات واكتشاف البرمجيات الخبيثة. من خلال الاستفادة من تنبيهات Snort وNetwork Miner وFirusTotal، يمكن للمحللين اكتشاف التهديدات واحتوائها بكفاءة قبل انتشارها. إن فهم كيفية استخدام هذه الأدوات يضمن دفاعاً استباقياً ضد التهديدات السيبرانية ويعزز وضع الأمن السيبراني للمؤسسة.

الملخص

🔍 مقدمة في Security Onion – Security Onion هي أداة تُستخدم لمراقبة واكتشاف البرمجيات الخبيثة في الشبكة.

🖥 استخدام SQL لتنبيهات الأمان – يمكن استخدام استعلامات SQL لعرض تنبيهات الأمان في Security Onion.

📡 التعرف على النشاط المشبوه – يُظهر المثال السيناريو مثالاً على سيناريو يقوم فيه عنوان IP داخلي (10.10.6.11) بتنزيل ملف Java مشبوه.

الكشف عن إصدار جافا الضعيف – ينبه مستشعر Snort إلى أن النظام يحتوي على إصدار جافا قديم، مما يجعله عرضة للخطر.

🛠 استخدام أداة تعدين الشبكة للتحليل – التقاط وتحليل حركة مرور الشبكة لفحص الملفات المرسلة.

🔬 التحقيق في الملفات الخبيثة – عند تحميل ملف جافا على موقع VirusTotal، يظهر أن العديد من محركات مكافحة الفيروسات (AVG و BitDefender و F-Secure) تكتشفه على أنه حصان طروادة جافا.

🔄 عملية الاستجابة للحوادث – يتم تصعيد البرمجيات الخبيثة المكتشفة لإجراء المزيد من التحقيقات من قبل محللي الأمن من المستوى الثاني.

🛡 سير عمل مركز العمليات الأمنية – يقوم محللو المستوى الأول بجمع السجلات ونتائج الفحص قبل التصعيد لإجراء تحليل أعمق واحتواء الحوادث.

, , ,
Show Comments

The MasterMinds Notes

About the Author

Mastermind Study Notes is a group of talented authors and writers who are experienced and well-versed across different fields. The group is led by, Motasem Hamdan, who is a Cybersecurity content creator and YouTuber.

View Articles