ESCU Alert - NetExec Usage Analysis

چرا این هشدار صادر می‌شود؟

این قانون اجرای ابزار NetExec (با نام فایل nxc.exe) یا پردازش‌هایی که پارامترهای خط فرمان مشخصه آن را دارند، شناسایی می‌کند. NetExec یک ابزار پیشرفته برای تست نفوذ است که به عنوان جایگزین (Fork) ابزار معروف CrackMapExec توسعه یافته است. مهاجمان از این ابزار برای خودکارسازی ارزیابی امنیتی شبکه‌های بزرگ، اجرای حملات پس از نفوذ (Post-Exploitation)، حرکت جانبی (Lateral Movement) و استخراج اعتبارنامه (Credential Dumping) استفاده می‌کنند.

Process Name: nxc.exe
Protocols: smb, ssh, ldap, wmi, winrm, rdp, mssql
Flags: -u (user), -p (password), -x (execute), -M (module)
Technique: Lateral Movement / Credential Access

این ابزار می‌تواند با استفاده از پروتکل‌های مختلف (مانند SMB و WMI) به سیستم‌های دیگر متصل شده و دستورات را اجرا کند.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

استخراج اعتبارنامه (Dump): استفاده از سوییچ‌هایی مانند --lsa, --sam یا ماژول‌های مربوط به mimikatz برای استخراج پسوردها.
حرکت جانبی (Lateral Movement): استفاده از سوییچ -x برای اجرای دستورات روی سیستم‌های راه دور از طریق SMB یا WMI.
حمله به دامین کنترلر: هدف قرار دادن دامین کنترلرها با پروتکل LDAP برای جمع‌آوری اطلاعات یا حمله DCSync.

سناریوهای متوسط

تست پسورد (Password Spraying): تلاش برای لاگین با یک لیست از نام‌های کاربری و یک پسورد خاص.
شمارش شبکه (Enumeration): استفاده از سوییچ‌هایی مانند --users, --groups یا --computers برای نقشه‌برداری از شبکه.

سناریوهای کم‌خطر (مثبت کاذب)

تست نفوذ قانونی: اجرای ابزار توسط تیم قرمز (Red Team) یا پن‌تسترها در چارچوب یک ارزیابی امنیتی مجاز.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: اجرای دستوراتی که شامل نام کاربری و پسورد (یا هش پسورد) در خط فرمان است، به ویژه اگر از یک سیستم غیرمدیریتی اجرا شده باشد.

کاربر اجرا کننده: چه کسی ابزار را اجرا کرده است؟ آیا این کاربر وظیفه تست امنیتی دارد؟
هدف‌ها (Targets): ابزار بر روی چه سیستم‌هایی اجرا شده است؟ (آیا تمام ساب‌نت اسکن شده یا فقط سرورهای حساس؟).
زمان اجرا: آیا فعالیت در ساعات کاری عادی انجام شده یا در زمان‌های غیرمعمول؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Sysmon Event ID 1 (Process Creation)
Windows Security Event 4688

دیتامدل‌های مورد استفاده

Endpoint.Processes

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های سیستمی در Splunk، این فیلدها حیاتی هستند:

process_name (nxc.exe)

process (Command Line)

user

dest

parent_process_name