امن افزار رایکا

درباره کتاب 599.5 – Action on Objectives, Threat Hunting, & Incident Response:

کتاب Action on Objectives, Threat Hunting, & Incident Response پنجمین بخش از دوره بسیار پیشرفته SANS SEC599 است. تمرکز اصلی این بخش، بر روی مرحله نهایی حمله در زنجیره Kill Chain یعنی اجرای اهداف حمله (Action on Objectives)، به همراه آموزش تکنیک‌های حرفه‌ای شکار تهدیدات (Threat Hunting) و پاسخ به حوادث امنیتی (Incident Response) است. این کتاب پایانی حیاتی بر چرخه حمله سایبری از دید مهاجم و شروعی برای بازسازی، دفاع و شناسایی در سطح سازمانی محسوب می‌شود.

خلاصه کتاب 599.5 – Action on Objectives, Threat Hunting, & Incident Response:

در ابتدا کتاب به مفاهیمی مانند Dominating Active Directory می‌پردازد؛ جایی که مهاجمان با استفاده از تکنیک‌هایی نظیر Golden Ticket، DCSync، DCShadow و Skeleton Key، دسترسی دائم و پنهان به کل دامنه سازمان را به‌دست می‌آورند. آموزش تحلیل فایل‌های حساس مانند ntds.dit و استفاده مهاجم از ابزارهایی مانند Mimikatz برای تولید TGT های جعلی نیز بررسی‌ شده‌اند. این قسمت، مهم‌ترین بخش از حمله برای مهاجم است که اگر به‌درستی شناسایی نشود، امنیت کل سازمان را تهدید خواهد کرد. تمرین عملی نیز برای شناسایی تسلط بر AD طراحی شده است. سپس نوبت به Data Exfiltration یا صادرات داده‌ها می‌رسد، جایی که تکنیک‌های استخراج اطلاعات محرمانه با تمرین‌هایی در سطح شناسایی این حملات آموزش داده می‌شود. همچنین استفاده کاربردی از Threat Intelligence با ابزارهایی مانند MISP و Loki و به‌ویژه Threat Hunting با ابزار OSQuery بخش مهمی از آموزش‌های این کتاب را تشکیل می‌دهد. در پایان نیز، پاسخ به حادثه به‌صورت اصولی آموزش داده می‌شود و با تمرین بررسی دقیق حافظه با ابزارهایی مانند Volatility و YarGen کامل‌تر می‌شود. این بخش با ترکیب تحلیل تهدید، شکار فعال و پاسخ فنی کاربر را در سطح کاملاً حرفه‌ای آماده مدیریت حوادث واقعی سایبری می‌سازد.