در ژوئن ۲۰۲۶، شاهد تغییر پارادایم در حملات سایبری هستیم. مهاجمان دیگر تنها به دنبال نفوذ به سرورهای داده نیستند، بلکه هدف آن‌ها "نابینا کردن" تیم‌های دفاعی است. هدف قرار گرفتن پلتفرم‌هایی مانند Splunk و درگاه‌های AI (مانند LiteLLM) نشان می‌دهد که مهاجمان به دنبال تخریب یا دستکاری ابزارهایی هستند که وظیفه شناسایی آن‌ها را دارد.

صورت مسئله: وقتی ابزار شناسایی، هدف می‌شود

تصور کنید در حال نظارت بر ترافیک شبکه هستید، اما مهاجم با استفاده از یک آسیب‌پذیری RCE (مانند CVE-2026-20253 در Splunk) وارد خودِ پلتفرم نظارتی شده است. در این حالت، مهاجم می‌تواند:

1. لاگ‌های مربوط به فعالیت خود را حذف کند.

2. قوانین شناسایی (Alerts) را غیرفعال کند.

3. از دسترسیات بالای پلتفرم SOC برای نفوذ به سایر بخش‌های شبکه استفاده کند.

تحلیل فنی: تهدیدات جاری در ژوئن ۲۰۲۶

بر اساس گزارش‌های CISA و Mandiant، دو محور اصلی در حملات اخیر مشاهده می‌شود:

۱. حمله به زیرساخت‌های نظارتی (Security Tooling Attacks)

آسیب‌پذیری‌های بحرانی در Splunk Enterprise که اجازه اجرای کد از راه دور (RCE) را می‌دهند، تهدیدی مستقیم برای یکپارچگی داده‌های امنیتی هستند. این حملات معمولاً با عملیات غیرمجاز روی فایل‌ها آغاز شده و به کنترل کامل سیستم منجر می‌شوند.

۲. سوءاستفاده از AI Gateways

با گسترش استفاده از Agentic AI در سازمان‌ها، ابزارهایی مانند LiteLLM به هدف تبدیل شده‌اند. تزریق دستورات (Command Injection) در این لایه‌ها، به مهاجم اجازه می‌دهد تا به مدل‌های زبانی سازمان نفوذ کرده و داده‌های حساس را استخراج کند.

استراتژی‌های دفاعی برای تیم‌های SOC (Defensive Blueprint)

الف) سخت‌افزارسازی و جداسازی (Isolation)

ابزارهای SOC نباید در همان سطحی از دسترسی باشند که سایر سرویس‌های سازمان هستند. پیاده‌سازی مدل Zero Trust برای دسترسی به کنسول‌های مدیریتی الزامی است.

ب) نظارت بر نظارت‌کننده (Monitoring the Monitor)

برای جلوگیری از حذف لاگ‌ها توسط مهاجم، باید از مکانیزم‌های Immutable Logs (لاگ‌های تغییرناپذیر) استفاده کرد. ارسال لاگ‌های مربوط به تغییرات پیکربندی Splunk به یک محیط مجزا و Read-only، اولین قدم در دفاع است.

ج) مهندسی شناسایی مبتنی بر رفتار

به جای تکیه صرف بر Signatureها، باید بر روی رفتارهای غیرعادی تمرکز کرد. برای مثال:

• تغییر ناگهانی در قوانین Alerting توسط یک کاربر مدیریتی در ساعات غیرمعمول.

• اجرای دستورات سیستم‌عاملی غیرمنتظره از طریق پروسه‌های مربوط به Splunk.

اشتباهات رایج در دفاع مدرن

• اعتماد مطلق به ابزار: تصور اینکه چون ابزاری "امنیت" ایجاد می‌کند، خود نیاز به نظارت ندارد.

• تاخیر در Patching: نادیده گرفتن ددلاین‌های CISA KEV برای آسیب‌پذیری‌های بحرانی.

• عدم بررسی لاگ‌های داخلی: تمرکز زیاد روی ترافیک شبکه و فراموش کردن لاگ‌های Audit خودِ پلتفرم‌های امنیتی.

نتیجه‌گیری و مسیر پیش رو

دفاع در سال ۲۰۲۶ دیگر تنها یک بازی "پچ کردن" نیست؛ بلکه یک بازی "دید داشتن" است. تیم‌های SOC باید از رویکرد Threat-led Detection استفاده کنند و فرض کنند که بخشی از زیرساخت آن‌ها ممکن است تحت کنترل مهاجم باشد.

نگاشت به MITRE ATT&CK (Mapping Table)

قوانین شناسایی (Detection Rules) - Splunk SPL

برای شناسایی تلاش‌های غیرمجاز در محیط Splunk، از این الگوهای SPL استفاده کنید:

۱. شناسایی تغییرات غیرعمول در تنظیمات جستجو و هشدار:

index=splunk_internal sourcetype=splunkd_log 
| search "action=edit" AND (component=search_scheduler OR component=saved_searches) 
| stats count by user, search_name, time 
| where count > 0

(توضیح: این کوئری هرگونه تغییر در زمان‌بندی یا محتوای هشدارها را رصد می‌کند تا از غیرفعال شدن Alertها توسط مهاجم جلوگیری شود.)

index=main sourcetype=syslog 
| search process=splunk AND (cmd="*curl*" OR cmd="*wget*" OR cmd="*chmod*" OR cmd="*nc*")
| table _time, host, user, cmd

۲. شناسایی اجرای دستورات سیستم‌عاملی مشکوک توسط Splunk:

(توضیح: شناسایی تلاش برای دانلود ابزارهای نغوذیا تغییر دسترسی فایل‌ها توسط پروسه Splunk.)

راهنمای شکار تهدید (Threat Hunting Guide)

فرضیه شکار: "یک مهاجم با استفاده از RCE در Splunk نفوذ کرده و در حال حاضر سعی دارد دسترسی خود را به سایر سرورهای مدیریت گسترش دهد."

گام‌های اجرایی:

1. بررسی Baseline: لیست تمام IPهایی که در ۳۰ روز گذشته به پورت ۸۰۰۸۹ و ۸۰۸۹ دسترسی داشته‌اند را استخراج کنید.

2. جستجوی ناهنجاری: به دنبال درخواست‌های HTTP POST غیرمعمول به مسیرهای /en-US/web/system/ بگردید.

3. تحلیل ارتباطات: هرگونه ارتباط Outbound از سرور Splunk به IPهای خارجی (به خصوص روی پورت‌های غیرمعمول) را بررسی کنید.

4. تطبیق با KEV: بررسی کنید آیا نسخه‌های نصب شده با CVE-2026-20253 مطابقت دارند یا خیر.