تکنیک نوین برای کشف ردپای هکرها

محققان امنیت سایبری تکنیک‌های فورنزیک پیشرفته‌ای برای ردیابی هکرهایی که از پروتکل Remote Desktop Protocol (RDP)، توسعه‌یافته توسط مایکروسافت در ایالات متحده، برای نفوذ به شبکه‌های سازمانی استفاده می‌کنند، معرفی کرده‌اند. این روش‌ها با تحلیل لاگ‌های ویندوز، فایل‌های کش بیت‌مپ و کلیدهای رمزنگاری، فعالیت‌های مخفیانه مهاجمان را به ردپای دیجیتال قابل‌ردیابی تبدیل می‌کنند. این پیشرفت به تیم‌های پاسخ به حادثه امکان می‌دهد تا اقدامات غیرمجاز در شبکه‌های سازمانی را با دقت بیشتری شناسایی کنند.

جزئیات تکنیک فورنزیک چیست؟

• منابع داده:

  • لاگ‌های ویندوز: Event ID 4624 (ورود موفق) و Event ID 4625 (ورود ناموفق) در لاگ‌های امنیتی.

  • کش بیت‌مپ RDP: فایل‌های کش (مانند .BMC و Cache**.bin) در مسیر %LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache.

  • کلیدهای رمزنگاری: استخراج کلیدهای جلسه از حافظه برای رمزگشایی ترافیک RDP.

• روش‌های تحلیل:

  • بازسازی تصاویر صفحه از قطعات بیت‌مپ ۶۴×۶۴ پیکسلی برای مشاهده فعالیت‌های مهاجم.

  • تحلیل حافظه (Memory Forensics) برای استخراج محتوای کلیپ‌بورد و داده‌های حساس.

  • بررسی رجیستری (HKCU\Software\Microsoft\Terminal Server Client\Servers) برای تاریخچه اتصالات.

• ابزارها: BMC-Tools، RdpCacheStitcher و RDP-Replay برای بازسازی جلسات و تصاویر.

• تأثیر: شناسایی حرکت جانبی (Lateral Movement)، سرقت داده‌ها و دستورات اجرا‌شده توسط مهاجمان.

این تکنیک‌ها حتی در صورت حذف لاگ‌ها توسط مهاجمان، شواهد باقی‌مانده در کش بیت‌مپ و حافظه را بازیابی می‌کنند.

چگونه این تکنیک عمل می‌کند؟

1. تحلیل لاگ‌ها: شناسایی الگوهای ورود با Event ID 4624/4625 و بررسی نوع ورود (Logon Type 10 برای RDP).

2. بازسازی تصاویر: استفاده از فایل‌های کش بیت‌مپ برای بازسازی تصاویر صفحه نمایش مهاجم، مانند فایل‌های مشاهده‌شده یا دستورات اجرا‌شده.

3. رمزگشایی ترافیک: استخراج کلیدهای جلسه از حافظه برای بازپخش کامل جلسات RDP با ابزارهایی مانند RDP-Replay.

4. بررسی کلیپ‌بورد: بازیابی داده‌های کپی‌شده مانند رمزهای عبور از فرآیند rdpclip.exe.

5. ردیابی حرکت جانبی: تحلیل رجیستری برای شناسایی سرورهای هدف در شبکه.

این روش‌ها به سازمان‌ها کمک می‌کنند تا حتی حملات پیچیده را که از RDP برای نفوذ استفاده می‌کنند، ردیابی کنند.

وضعیت فعلی تهدید

تا تیر ۱۴۰۴، این تکنیک‌های فورنزیک در حال گسترش در میان تیم‌های امنیت سایبری هستند. پست‌های منتشرشده در X توسط حساب‌هایی مانند @fridaysecurity و @f1tym1 (۱۴ و ۱۵ ژوئیه ۲۰۲۵) نشان‌دهنده استقبال جامعه امنیت سایبری از این روش‌ها است. مایکروسافت، مستقر در ایالات متحده، با پروتکل RDP خود همچنان هدف اصلی حملات سایبری است، اما این تکنیک‌ها به سازمان‌ها کمک می‌کنند تا با تحلیل دقیق، شواهد لازم برای پاسخ به حوادث را جمع‌آوری کنند. گزارش‌ها نشان می‌دهند که ۳۲ درصد حملات سایبری در سال ۲۰۲۴ از RDP سوءاستفاده کرده‌اند.

اقدامات لازم برای محافظت

• محدود کردن دسترسی RDP: غیرفعال کردن RDP در صورت عدم نیاز یا استفاده از VPN و NLA.

• نظارت بر لاگ‌ها: بررسی مداوم Event IDهای 4624 و 4625 با ابزارهای SIEM.

• پاک‌سازی کش بیت‌مپ: حذف دوره‌ای فایل‌های کش RDP برای کاهش شواهد قابل‌استفاده توسط مهاجمان.

• استفاده از MFA: فعال‌سازی احراز هویت چندمرحله‌ای برای اتصالات RDP.

• پشتیبان‌گیری: اجرای استراتژی 3-2-1-1-0 (سه نسخه داده، دو رسانه مختلف، یک نسخه آفلاین، یک نسخه غیرقابل‌تغییر، تست بازیابی).

• آموزش کارکنان: آگاهی‌بخشی درباره خطرات اتصال به سرورهای RDP ناشناخته.

چرا این موضوع مهم است؟

پروتکل RDP، که توسط مایکروسافت در ایالات متحده توسعه یافته، به دلیل استفاده گسترده در سازمان‌ها، هدف اصلی هکرها برای نفوذ و حرکت جانبی است. این تکنیک‌های فورنزیک، با تبدیل RDP از ابزاری مخفی برای مهاجمان به منبعی برای شواهد دیجیتال، به تیم‌های امنیتی امکان می‌دهند تا حملات را سریع‌تر شناسایی و خنثی کنند. گزارش‌های وب‌سایت‌هایی مانند GBHackers نشان می‌دهد که RDP در ۳۲ درصد حملات سایبری سال ۲۰۲۴ نقش داشته است. سازمان‌ها باید این تکنیک‌ها را در فرآیندهای پاسخ به حادثه خود ادغام کنند.