مقدمه
در دنیای امروز، تهدیدات سایبری با سرعت بیسابقهای در حال تکامل هستند. آنتیویروسهای سنتی اغلب ساعات یا روزها پس از آلودگی، تهدید را شناسایی میکنند. اینجا جایی است که Vigil وارد میشود.
Vigil چیست و چرا باید از آن استفاده کنیم؟
Vigil یک نرمافزار مانیتور تهدید شبکه لحظهای (Real-time Network Threat Monitor) است که برای سیستمعاملهای ویندوز، مک و لینوکس توسعه یافته .
وظیفه اصلی این ابزار، نظارت بر تمام اتصالات TCP/UDP روی دستگاه شماست. هر اتصال جدید توسط یک موتور امتیازدهی هوشمند بررسی میشود و بر اساس مجموعای از سیگنالهای تشخیصی، امتیاز خطر (۰ تا ۱۰+) به آن تعلق میگیرد. اگر امتیاز از آستانه تعیینشده (پیشفرض: ۳) عبور کند، Vigil به شما هشدار میدهد .
معماری و نحوه عملکرد Vigil
تشخیص زیر ۱۰۰ میلیثانیه
Vigil از فناوریهای پیشرفته سیستمعامل برای تشخیص سریع استفاده میکند :
| سیستم عامل | فناوری تشخیص |
|---|---|
| ویندوز | ETW (Event Tracing for Windows) |
| لینوکس | eBPF روی tracepoint sock:inet_sock_set_state |
| مک و کرنلهای قدیمی | روش جایگزین Polling |
موتور امتیازدهی چند-سیگناله
سیستم امتیازدهی Vigil از ۱۷ سیگنال مختلف برای تشخیص تهدید استفاده میکند :
| امتیاز | سیگنال تشخیصی |
|---|---|
| ۵+ | اتصال به پورتهای بدافزار / C2 (4444, 1337, 31337 و …) |
| ۴+ | اجرای باینریهای LoL (powershell، cmd، mshta و …) |
| ۳+ | بدون مسیر اجرایی (نشانه تزریق فرآیند یا hollowing) |
| ۳+ | اجرا از دایرکتوری مشکوک (Temp، AppData\Roaming و …) |
| ۳+ | والد فرآیند مشکوک (مثل winword.exe که powershell.exe را اجرا کند) |
| ۳+ | الگوی بیکنینگ (ارتباط منظم با C2) |
| ۳+ | بررسی شهرت IP (در صورت ارائه لیست مسدود) |
| ۳+ | فایل اجرایی تازه در Temp/AppData/Downloads ایجاد شده باشد |
| ۲+ | فرآیند ناشناس (در لیست قابل اعتماد نیست) |
| ۲+ | باینری بدون امضای دیجیتال |
| ۲+ | درخواست DNS از فرآیند غیر DNS (نشانه DNS tunneling) |
| ۲+ | اتصال قبل از ورود کاربر (نشانه روتکیت) |
| ۲+ | اتصال به کشور غیرمنتظره |
| ۲+ | اتصال طولانی از فرآیند غیرقابل اعتماد |
| ۲+ | نام هاست شبیه DGA |
| ۱+ | پورت مقصد غیرمعمول برای فرآیند غیرقابل اعتماد |
درخت فرآیند کامل
یکی از قابلیتهای منحصربهفرد Vigil، نمایش درخت کامل والد-فرزندی فرآیندها تا عمق ۸ سطح است. این ویژگی به شما نشان میدهد دقیقاً کدام فرآیند، کدام فرآیند دیگر را اجرا کرده است. مثلاً اگر winword.exe (برنامه ورد) یک powershell.exe اجرا کند و آن هم به پورت ۴۴۴۴ متصل شود، Vigil این زنجیره را به شما نشان میدهد .
قابلیتهای کلیدی Vigil
۱. هشدارهای تعاملی
وقتی تهدیدی شناسایی میشود، Vigil از سه روش شما را مطلع میسازد :
-
آیکون سینی سیستم: رنگ آمیبر برای هشدار، سبز برای وضعیت عادی
-
اعلان دسکتاپ: قابل کلیک – با کلیک روی آن، Vigil باز میشود و مستقیماً به اتصال مشکوک میرود
-
رابط کاربری کامل: نمایش گروهبندی شده فعالیتها و هشدارها
۲. پاسخ فعال (Active Response)
Vigil فقط یک ابزار نظارتی نیست. میتوانید اقدامات زیر را مستقیماً از داخل ابزار انجام دهید :
-
قطع اتصال TCP زنده
-
متوقف کردن یا از سرگیری فرآیند در حین بررسی
-
مسدودسازی IP متخاصم به مدت ۱ ساعت، ۲۴ ساعت یا دائمی
-
مسدودسازی فرآیند بر اساس مسیر اجرایی
-
جداسازی دستگاه از شبکه
تمامی اقدامات برگشتپذیر هستند و با تأیید اولیه انجام میشوند.
۳. لاگ روزانه چرخشی
Vigil به صورت خودکار لاگ روزانه در دایرکتوری logs/vigil.YYYY-MM-DD ذخیره میکند .
۴. شروع خودکار در ورود
در اولین اجرا، Vigil به طور خودکار در استارتآپ سیستم ثبت میشود. در ویندوز، اگر با سطح دسترسی بالا اجرا شود، از یک Task Schedule با بالاترین سطح دسترسی استفاده میکند تا دید مدیریتی کامل حفظ شود .
۵. دو ناظر غیرفعال (Passive Watchers)
علاوه بر بررسی اتصالات فعال، Vigil دو ناظر پسزمینه نیز اجرا میکند :
-
نظارت بر Autorun رجیستری (ویندوز): هر ۳۰ ثانیه کلیدهای رجیستری Run و RunOnce را بررسی کرده و در صورت مشاهده ورودی جدید هشدار میدهد
-
تشخیص بیکنینگ: الگوهای ارتباط دورهای با سرورهای فرماندهی را شناسایی میکند
کاربردهای اصلی Vigil
۱. کشف بدافزارهای پیشرفته
بدافزارهای مدرن اغلب از تکنیکهای Living-off-the-Land (استفاده از ابزارهای سیستمی) استفاده میکنند. Vigil با شناسایی الگوهایی مثل اجرای powershell.exe توسط winword.exe، این تهدیدات را کشف میکند .
۲. تشخیص زودهنگام باجافزار
باجافزارها قبل از شروع فرایند رمزگذاری، معمولاً با سرور C2 ارتباط برقرار میکنند. Vigil این ارتباطات را در لحظه شناسایی کرده و به شما هشدار میدهد.
۳. تحلیل حوادث امنیتی
با استفاده از درخت فرآیند کامل و لاگهای دقیق، میتوانید زنجیره حمله را قدم به قدم بازسازی کنید.
۴. پاسخ به حادثه (Incident Response)
قابلیتهای پاسخ فعال مانند قطع اتصال و جداسازی دستگاه، به شما امکان میدهد تهدید را بلافاصله خنثی کنید.
مزایا و معایب
| مزایا | معایب |
|---|---|
| رایگان و متنباز – بدون هزینه لایسنس | بدون داشبورد مرکزی – مناسب تکایستگاه کاری |
| تشخیص زیر ۱۰۰ میلیثانیه – بسیار سریع | مناسب شبکههای سازمانی بزرگ نیست |
| پشتیبانی از ویندوز، مک و لینوکس | نیاز به دانش فنی برای پیکربندی پیشرفته |
| قابلیت پاسخ فعال – قطع اتصال، مسدودسازی IP | |
| درخت فرآیند کامل تا ۸ سطح عمق | |
| نظارت بر Autorun رجیستری (ویندوز) | |
| بدون نیاز به امضای آنتیویروس – مبتنی بر رفتار |
نحوه نصب و راهاندازی Vigil
دریافت نسخه جدید
آخرین نسخه پایدار Vigil شماره v1.3.5 است که در تاریخ ۲۱ آوریل ۲۰۲۶ منتشر شده .
نصب روی ویندوز
فایل اجرایی را از صفحه Releases پروژه در گیتهاب دانلود کرده و اجرا کنید. توصیه میشود برنامه را با مدیریت (Run as Administrator) اجرا کنید تا دید کاملی روی تمام فرآیندها داشته باشد.
نصب روی لینوکس
برای لینوکس، از قابلیت eBPF برای تشخیص سریع استفاده میشود. نیاز به کرنل نسبتاً جدید (نسخه ۴.۱ به بالا) دارید.
نصب روی مک
روش polling به عنوان جایگزین استفاده میشود (کمی کندتر از eBPF و ETW).
سوالات متداول (FAQ)
۱. آیا Vigil جایگزین آنتیویروس میشود؟
خیر. Vigil مکمل آنتیویروس است. آنتیویروس فایلهای بدافزار را شناسایی میکند، در حالی که Vigil رفتار مشکوک شبکه و فرآیندی را رصد میکند. ترکیب هر دو بهترین امنیت را فراهم میکند.
۲. آیا Vigil از اطلاعات من استفاده میکند؟
خیر. Vigil کاملاً محلی اجرا میشود و هیچ دادهای به سرور خارجی ارسال نمیکند .
۳. سطح دسترسی مدیریت (Admin) لازم است؟
برای تشخیص کامل (مخصوصاً در ویندوز)، اجرا با دسترسی مدیریت توصیه میشود. بدون آن، Vigil نمیتواند برخی فرآیندهای سطح پایین را ببیند.
۴. چه تعداد سیگنال برای تشخیص تهدید وجود دارد؟
Vigil از ۱۷ سیگنال تشخیصی مختلف استفاده میکند که در بخش امتیازدهی توضیح داده شد .
۵. آیا میتوانم آستانه هشدار را تغییر دهم؟
بله. آستانه پیشفرض ۳ است، اما در تنظیمات برنامه قابل تغییر است .
جمعبندی
Vigil یک ابزار قدرتمند، رایگان و متنباز برای شناسایی لحظهای تهدیدات شبکه است. با معماری مبتنی بر ETW در ویندوز و eBPF در لینوکس، قادر به تشخیص اتصالات مشکوک در کمتر از ۱۰۰ میلیثانیه است .
موتور امتیازدهی هوشمند با ۱۷ سیگنال تشخیصی، نرخ خطای پایینی دارد و قابلیتهای پاسخ فعال مثل قطع اتصال و مسدودسازی IP، آن را به ابزاری کامل برای تیمهای امنیت تبدیل کرده است.
اگر به دنبال یک راهکار رایگان برای نظارت بر تهدیدات شبکه در ایستگاههای کاری یا سرورهای شخصی خود هستید، Vigil قطعاً گزینه مناسبی است.