APT-Scanner-thorpro

اسکنر APT (Advanced Persistent Threat)
APT Scanner

 ابزاری تخصصی در حوزه امنیت سایبری که برای شناسایی و تجزیه و تحلیل تهدیدات مداوم پیشرفته (APT) طراحی شده است

عملکرد APT Scanner

APT Scanner از ترکیبی از تکنیک‌ها و روش‌های مختلف برای شناسایی و جداسازی تهدیدات بالقوه استفاده می‌کنند. برخی از روش‌های رایج عبارتند از:

تشخیص مبتنی بر امضا: اسکنر دارای پایگاه داده‌ای از امضاهای تهدیدات شناخته شده است و به دنبال تطابق آنها در ترافیک شبکه یا سیستم‌های میزبان می‌گردد. در صورت یافتن تطابق، آلارم فعال می‌شود.

تشخیص ناهنجاری: اسکنر می‌تواند رفتارهای غیرعادی را که نشان‌دهنده تهدید بالقوه هستند، شناسایی کند.

تجزیه و تحلیل لاگ: اسکنر لاگ‌های سیستم را برای نشانه‌هایی از تلاش‌های نفوذ بررسی می‌کند.

اسکن فایل: اسکنر فایل‌ها را برای بدافزار احتمالی اسکن می‌کند.

شما میتوانید لایسنس کرکی مربوط به ارسال و دریافت ایمیل APT Scanner را از مسترلایسنس تهیه کنید.

 

APT Scanner

THOR قدرتمندترین و انعطاف پذیرترین ابزار ارزیابی نفوذ در بازار است.

برخورد با رویدادهای امنیتی (Incident Response) اغلب با گروهی از سیستم‌های به خطر افتاده و حتی گروهی بزرگتر از سیستم‌هایی که احتمالاً تحت تأثیر قرار گرفته‌اند شروع می‌شود. تحلیل دستی حجم زیادی از تصاویر باستان‌شناسی دیجیتال (forensic images) می‌تواند چالش‌برانگیز باشد.

THOR با بیش از 30,000  قوانین YARA دست‌ساز، 3000 قواعد Sigma، تعداد زیادی قوانین تشخیص ناهنجاری و هزاران  شاخص‌های سازش (IOCs)، تحلیل باستان‌شناسی دیجیتال شما را سرعت می‌بخشد.

 

 
THOR-apt-scanner

بیش از 30,000 امضای YARA دست‌ساز

امضای YARA الگوهایی هستند که برای شناسایی بدافزار و سایر تهدیدات سایبری استفاده می‌شوند. امضای YARA دست‌ساز به صورت دستی توسط متخصصان امنیتی ایجاد می‌شوند و می‌توانند برای شناسایی تهدیدات خاص یا منحصر به فرد بسیار مؤثر باشند.
امضای YARA دست‌ساز می‌توانند برای موارد زیر استفاده شوند: شناسایی بدافزار جدید و ناشناخته شناسایی گونه‌های خاص بدافزار شناسایی فایل‌هایی که ممکن است آلوده باشند تجزیه و تحلیل حملات سایبری

بیش از 3000 قانون سیگما دست‌ساز

قوانین سیگما الگوهایی هستند که برای شناسایی فعالیت‌های مشکوک و بالقوه مخرب در سیستم‌های کامپیوتری استفاده می‌شوند. قوانین سیگما دست‌ساز به صورت دستی توسط متخصصان امنیتی ایجاد می‌شوند و می‌توانند برای شناسایی تهدیدات خاص یا منحصر به فرد بسیار مؤثر باشند.

قوانین سیگما دست‌ساز می‌توانند برای موارد زیر استفاده شوند:

شناسایی فعالیت‌های مشکوکی که ممکن است
نشان‌دهنده یک حمله سایبری باشد
شناسایی ناهنجاری‌ها در رفتار سیستم
ردیابی تهدیدات خاص یا شناخته‌شده
جمع‌آوری شواهد برای تحقیقات امنیتی

31 ماژول تشخیص

ماژول‌های تشخیصی ابزارهایی هستند که برای شناسایی و دسته‌بندی موارد مشکوک یا رویدادهای امنیتی استفاده می‌شوند. آنها می‌توانند بخشی از یک سیستم بزرگ‌تر امنیت سایبری باشند یا به عنوان برنامه‌های مستقل اجرا شوند.

انواع ماژول‌های تشخیص

تشخیص نفوذ: این ماژول‌ها برای شناسایی فعالیت‌های غیرمجاز یا مشکوک در شبکه یا سیستم طراحی شده‌اند. تشخیص بدافزار: این ماژول‌ها برای شناسایی و حذف بدافزار از سیستم‌ها طراحی شده‌اند. پیشگیری از نفوذ: این ماژول‌ها برای جلوگیری از وقوع حملات سایبری در وهله اول طراحی شده‌اند. تجزیه و تحلیل رفتار: این ماژول‌ها برای شناسایی ناهنجاری‌ها در رفتار سیستم که ممکن است نشان‌دهنده یک تهدید باشد، طراحی شده‌اند. پاسخ به حادثه: این ماژول‌ها برای کمک به تیم‌های امنیتی در پاسخ به حملات سایبری و کاهش آسیب آنها طراحی شده‌اند.

THOR تحلیل Forensic شما را 4 برابر سریعتر می‌کند

 THOR، یک ابزار یا برنامه تحلیل جرم یابی، می‌تواند فرآیند تجزیه و تحلیل شواهد دیجیتال را تا 4 برابر سریعتر از روش‌های سنتی انجام دهد.

مزایای سرعت تحلیل جرم یابی:

کاهش زمان لازم برای حل جرایم: با سریعتر شدن تحلیل Forensic، مجریان قانون و متخصصان جرم یابی می‌توانند سریعتر شواهد را جمع‌آوری و تجزیه و تحلیل کنند و در نتیجه زمان لازم برای حل جرایم را کاهش دهند.
افزایش کارایی: سرعت بیشتر تحلیل فارنزیک به معنای کارایی بیشتر برای مجریان قانون و متخصصان جرم یابی است. این امر می‌تواند منجر به صرفه‌جویی در هزینه و افزایش بهره‌وری شود.
بهبود عدالت: با حل سریعتر جرایم، عدالت برای قربانیان و جامعه به طور کلی سریعتر حاصل می‌شود.

 

APT Scanner

thor

تمرکز بر فعالیت‌های هکری

THOR روی تمام چیزهایی که آنتی‌ویروس از دست می‌دهد، تمرکز می‌کند.
با مجموعه عظیم امضای خود شامل هزاران قانون YARA و Sigma، IOCها، بررسی‌های روت‌کیت و ناهنجاری، THOR تمام انواع تهدیدات را پوشش می‌دهد. THOR نه تنها Backdoorها و ابزارهایی را که مهاجمان استفاده می‌کنند شناسایی می‌کند، بلکه خروجی‌ها، فایل‌های موقت، تغییرات پیکربندی سیستم و سایر ردپای فعالیت‌های مخرب را نیز شناسایی می‌کند.

thor-03

استقرار انعطاف پذیر

نصب THOR ضروری نیست.
شما به راحتی می‌توانید آن را روی سیستم دیگری کپی کنید، از طریق یک اشتراک شبکه اجرا کنید یا روی درایوهای USB که به همراه خود به سیستم‌های آلوده می‌برید، استفاده کنید.
با این حال، برای ارزیابی مداوم نفوذ، می‌توانید آن را با استفاده از Agentهای ASGARD مستقر کنید.

THOR’s

نرخ تشخیص چشمگیر

نرخ تشخیص چشمگیر THOR در صنعت به خوبی شناخته شده است و با نیازهای شکارچیان تهدید در سراسر جهان مطابقت دارد. هزاران امضای عمومی ناهنجاری‌ها، تکنیک‌های مخفی‌سازی و ویژگی‌های مشکوک را شناسایی می‌کنند تا ارزیابی‌های نفوذ را به سرعت تسریع بخشند.

thor-01

خروجی‌های متنوع

THOR روش‌های مختلفی را برای گزارش یافته‌ها پشتیبانی می‌کند. این برنامه یک گزارش متنی می‌نویسد یا پیام‌های SYSLOG را به یک سیستم از راه دور ارسال می‌کند (TCP، UDP، CEF، JSON، TLS اختیاری). در پایان اسکن یک گزارش HTML ایجاد می‌شود. می‌توانید از برنامه رایگان Splunk یا ASGARD Analysis Cockpit برای تجزیه و تحلیل گزارش‌های THOR از هزاران سیستم استفاده کنید.

solutions-matrix-02

امکان افزودن IOC و قوانین YARA سفارشی

شما به راحتی می‌توانید نشانگرها (نشانه‌هایی از فعالیت‌های مشکوک که ممکن است نشان‌دهنده یک حمله سایبری ) و امضاهای (الگوهایی برای شناسایی بدافزار و سایر تهدیدات سایبری) خود را از منابعی که اطلاعات به‌روز در مورد تهدیدات امنیتی جدید را ارائه می‌دهند، تحقیقات شخصی یا گزارش‌های تهدید اضافه کنید.

thor-02

اولویت بالای پایداری سیستم

THOR در حین اسکن، منابع سیستم را کنترل می‌کند.
اگر مقدار حافظه رم (RAM) آزاد در دسترس، پایین‌تر از سطح مشخصی بیفتد، THOR اسکن را متوقف کرده و با یک هشدار خارج می‌شود. همچنین در صورت تشخیص منابع سخت‌افزاری پایین، به طور خودکار محدودیت اعمال می‌کند و ویژگی‌هایی که می‌توانند بر پایداری سیستم تأثیر بگذارند را غیرفعال می‌کند.

انعطاف‌پذیری فوق‌العاده‌ی THOR

 

قابلیت انعطاف‌پذیری THOR فوق‌العاده است. این ابزار می‌تواند به صورت مستقل برای اولویت‌بندی (تریاژ)، بررسی زنده‌ی صحنه‌ی جرم (live forensics) یا اسکن تصاویر در محیط آزمایشگاه مورد استفاده قرار گیرد.

THOR ابزار ایده‌آلی برای برجسته کردن عناصر مشکوک، کاهش حجم کار و سرعت بخشیدن به تحقیقات DFIR (پاسخگویی و بررسی حوادث سایبری) در لحظاتی است که دستیابی به نتایج سریع حیاتی است.

 
بررسی جامع محیط (Environment Triage Sweep)
فرآیندی است که برای شناسایی و اولویت‌بندی تهدیدات احتمالی در یک محیط شبکه یا سیستم کامپیوتری انجام می‌شود. این فرآیند به طور معمول شامل مراحل زیر است:
1. جمع‌آوری داده‌ها 2. تجزیه و تحلیل داده‌ها
3. اولویت‌بندی تهدیدات 4. پاسخگویی به تهدیدات
بررسی عمیق سیستم به صورت زنده
می‌تواند به جمع‌آوری شواهد دیجیتال از یک سیستم کامپیوتری در حال اجرا کمک کند. می‌تواند به شناسایی شواهدی از فعالیت مشکوک کمک کند. می‌تواند به تحقیقات جرایم سایبری و پاسخگویی به حوادث کمک کند.
اسکن تصویر در آزمایشگاه
می‌تواند به شناسایی شواهدی از فعالیت مشکوک در تصاویر دیجیتال کمک کند. می‌تواند برای تحقیقات جنایی، تجزیه و تحلیل امنیتی و جرم یابی استفاده شود. می‌تواند به صورت دستی یا با استفاده از ابزارهای خودکار انجام شود.
حالت DropZone در ادغام آزمایشگاه
ادغام آزمایشگاه به کاربران این امکان را می‌دهد تا به طور مستقیم فایل‌ها را از رابط کاربری آزمایشگاه به یک منطقه DropZone از پیش پیکربندی شده ارسال کنند. این کار فرآیند ارسال فایل‌ها برای تجزیه و تحلیل را ساده‌تر و کارآمدتر می‌کند.
اسکن از راه دور (Remote Scan) برای پاسخ سریع به حادثه
مزایای اسکن از راه دور: به پاسخ سریع به حوادث سایبری کمک می‌کند. می‌تواند برای اسکن سیستم‌های کامپیوتری از راه دور استفاده شود. می‌تواند به شناسایی تهدیدات قبل از اینکه بتوانند آسیب قابل توجهی وارد کنند کمک کند.
قبلی
بعدی

مجموعه امضاهای THOR

مجموعه‌ای از امضاهای دیجیتال که برای شناسایی بدافزار، آسیب‌پذیری‌ها و سایر تهدیدات امنیتی استفاده می‌شود. این مجموعه امضاها به طور مرتب با اطلاعات جدید به‌روزرسانی می‌شود تا از آخرین تهدیدات محافظت شود.

این امضاها شامل موارد زیر هستند:

قوانین وب‌: این امضاها برای شناسایی اسکریپت‌های مخربی که به مهاجمین نفوذ به وب‌سایت‌ها را می‌دهند، استفاده می‌شوند.
قوانین ناهنجاری: این امضاها فعالیت‌های غیرمعمول در سیستم را شناسایی می‌کنند که ممکن است نشان‌دهنده‌ی حمله باشد.
قوانین بدافزار: این امضاها انواع مختلف بدافزار را شناسایی می‌کنند، از جمله ویروس‌ها، کرم‌ها و اسب‌های Trojan.
قوانین ابزار هک و خروجی ابزار: این امضاها ابزارهایی را که هکرها برای نفوذ به سیستم‌ها استفاده می‌کنند و همچنین خروجی این ابزارها را شناسایی می‌کنند.
قوانین اسکریپت و ماکروس‌های مخرب: این امضاها اسکریپت‌ها و ماکروهایی را که برای آسیب رساندن به سیستم طراحی شده‌اند، شناسایی می‌کنند.
قوانین کد بهره‌برداری: این امضاها نقاط ضعف امنیتی شناخته‌شده (آسیب‌پذیری‌ها) را شناسایی می‌کنند که مهاجمین می‌توانند از آن‌ها برای نفوذ به سیستم‌ها استفاده کنند.
قوانین تطبیق رجیستری و فایل لاگ: این امضاها تغییرات مشکوک در رجیستری سیستم و فایل‌های لاگ را شناسایی می‌کنند که ممکن است نشان‌دهنده‌ی فعالیت مخرب باشد.
برای مشاهده‌ی برخی از نمونه‌های یافته‌های THOR با نرخ تشخیص پایین آنتی‌ویروس، می‌توانید به صفحه‌ی آمار VALHALLA مراجعه کنید.

 
thor-010

شاخص‌های سفارشی و قوانین YARA

THOR از YARA به عنوان فرمت اصلی امضای خود استفاده می‌کند

THOR از زبان YARA به عنوان قالب اصلی برای تعریف امضاهای تشخیص تهدیدات استفاده می‌کند. نحوه‌ی ادغام YARA در THOR به طور کامل با فرمت استاندارد YARA سازگار است، با این حال، THOR قابلیت‌های تطبیق استاندارد را گسترش داده است تا بتواند بررسی‌های اضافی انجام دهد.

افزودن قوانین و شاخص‌های سفارشی به پایگاه داده THOR

گسترش پایگاه داده داخلی THOR با قوانین و شاخص‌های سفارشی شما بسیار ساده است. کافی است این قوانین را در پوشه استاندارد امضا قرار دهید.

این مستندات به شما راهنمایی می‌دهند در مواردی که می‌خواهید از افزونه‌های ویژه استفاده کنید یا امضاهای خود را قبل از استقرار رمزنگاری کنید.

THOR

Multi-Platform پشتیبانی چند پلتفرم

THOR روی تمام نسخه‌های فعلی و بسیاری از نسخه‌های قدیمی‌تر ویندوز، لینوکس، macOS و AIX اجرا می‌شود.

با این حال، با THOR Thunderstorm می‌توانید اسکن‌های THOR را روی هر سیستم‌عاملی اجرا کنید. شما می‌توانید سیستم‌های زنده، تصاویر دیسک یا شواهد خاص جرم یابی مانند فایل‌های EVTX، دامپ‌های حافظه یا کندوهای رجیستری را اسکن کنید.

 
THOR

“سیگما” برای جستجو و شناسایی الگوهای خاص و نشانه‌های مشخصی در داده‌ها استفاده می‌شود. این الگوها می‌توانند نشان‌دهنده‌ی فعالیت‌های مخرب، تهدیدات امنیتی، یا رویدادهای غیرعادی باشند.

تحلیل لاگ رویداد، لاگ‌های محلی ویندوز را تجزیه و تحلیل می‌کند، به دنبال شاخص‌های خطر (مانند نام فایل‌های مشکوک) در ورودی‌ها می‌گردد و قوانین سیگما را روی هر ورودی لاگ اعمال می‌کند.

thor

کاربردهای رایج Sigma Scanning:

تشخیص نفوذ: شناسایی تلاش‌های نفوذ به سیستم‌ها و شبکه‌ها
تحلیل لاگ‌ها: بررسی لاگ‌های سیستم برای یافتن فعالیت‌های مشکوک
تهدید شکار: جستجوی فعالانه برای تهدیدات جدید و ناشناخته
انطباق با مقررات: اطمینان از رعایت استانداردهای امنیتی و مقررات صنعت

مزایای سیگما اسکنینگ:

انعطاف‌پذیری بالا: امکان تعریف قوانین سفارشی برای انواع مختلف تهدیدات
دقت بالا: تشخیص دقیق تهدیدات با استفاده از الگوهای پیچیده
کارایی بالا: پردازش سریع حجم بالای داده‌ها
جامعه کاربری فعال: دسترسی به یک جامعه بزرگ از تحلیلگران و توسعه‌دهندگان
به طور خلاصه، سیگما اسکنینگ یک روش قدرتمند برای شناسایی و مقابله با تهدیدات امنیتی است که به سازمان‌ها کمک می‌کند تا امنیت سیستم‌ها و داده‌های خود را بهبود بخشند.

 

امکاناتی به نام THOR Remote به شما اجازه می‌دهد تا چندین سیستم پایانی ویندوز را از یک ایستگاه کاری دارای امتیاز واحد اسکن کنید. این قابلیت را می‌توان به عنوان ترکیبی از PsExec و قدرت THOR تصور کرد.

thor

 

ماژول رجیستری، IOCهای مربوط به نام فایل و قوانین یارا THOR برای تشخیص رجیستری را روی رجیستری بارگذاری شده و کندوهای رجیستری اعمال می‌کند.

thor

 

ماژول کش SHIM محتویات کش AppCompat را روی سیستم‌های ویندوز تحلیل می‌کند، تمام IOCهای نام فایل، قوانین رگکس ناهنجاری را اعمال می‌کند یا صرفاً تمام ورودی‌ها را برای بررسی شما چاپ می‌کند. این ماژول به شما امکان می‌دهد ورودی‌های مخرب یا مشکوک برنامه‌هایی را که مدتها پیش توسط مهاجمان حذف شده‌اند، تشخیص دهید.

nextron

کش SHIM (SHIM Cache) مکانی است که اطلاعات مربوط به این لایه‌های سازگاری ذخیره می‌شود. این اطلاعات شامل اطلاعاتی درباره برنامه‌هایی است که برای اجرای آن‌ها از SHIM استفاده شده است.

تحلیل کش SHIM به معنای بررسی دقیق اطلاعات ذخیره شده در این کش است. این کار معمولاً برای اهداف زیر انجام می‌شود:

تشخیص بدافزارها: برخی از بدافزارها از SHIM برای پنهان کردن خود و جلوگیری از تشخیص استفاده می‌کنند. تحلیل کش SHIM می‌تواند به شناسایی این نوع بدافزارها کمک کند.
بررسی تغییرات در سیستم: با تحلیل کش SHIM می‌توان تغییراتی که در سیستم ایجاد شده است و به اجرای برنامه‌های خاصی مربوط می‌شود را بررسی کرد. این کار به ویژه برای بررسی تغییراتی که ممکن است توسط بدافزارها ایجاد شده باشد مفید است.
بررسی مشکلات سازگاری: اگر برنامه‌ای به درستی اجرا نشود، تحلیل کش SHIM می‌تواند به شناسایی مشکلات سازگاری کمک کند.
جمع‌آوری اطلاعات قانونی: اطلاعات موجود در کش SHIM می‌تواند برای جمع‌آوری اطلاعات قانونی درباره استفاده از رایانه و برنامه‌های نصب شده استفاده شود.

 

ماژول کش SHIM محتویات کش AppCompat را روی سیستم‌های ویندوز تحلیل می‌کند، تمام IOCهای نام فایل، قوانین رگکس ناهنجاری را اعمال می‌کند یا صرفاً تمام ورودی‌ها را برای بررسی شما چاپ می‌کند. این ماژول به شما امکان می‌دهد ورودی‌های مخرب یا مشکوک برنامه‌هایی را که مدتها پیش توسط مهاجمان حذف شده‌اند، تشخیص دهید.

thor 

مثال‌های ادغام

THOR بسیار انعطاف‌پذیر است و می‌توان آن را به روش‌های مختلف برای ساخت بهترین راه‌حل یا ادغام یکپارچه با زیرساخت و جریان کاری موجود شما ترکیب کرد.

 
THOR
THOR
THOR
THOR
THOR
THOR
THOR

پوشش MITRE ATT&CK

با استفاده از ناوبری ATT&CK و فایل JSON ما، می‌توانید پوشش THOR را برای روش‌های حمله مربوطه بررسی کنید.

THOR

پشتیبانان ما 24 ساعت شبانه روز در حال خدمتگذاری هستند

راه درست برای مدیریت IT این است که دید کامل و 100٪ دقیق داشته باشید

برای تهیه این محصول با واحد فروش ارتباط بگیرید

مشتریان ما چه می گویند

مقالات مستر لایسنس

در لینکدین ما را دنبال کنید

استعلام قیمت

لطفا درخواست لایسنس مورد نیاز خود را با تکمیل فرم انجام دهید.

مشاوره تخصصی

برای شروع امروز با یک متخصص صحبت کنید!