برای علاقمندان SOC
مروری بر همبسته سازی در رولهای سیگما
کارشناسانی که دائما رولها رو در SIEM به روز میکنند مطمئنا تا کنون با رولهای سیگما کارکردن و میدونن که درسال جاری میلادی؛ خصوصیت همبسته سازی یا Correlation به اون اضافه شده .
اگر هنوز درمورد این خصوصیت چیزی نمیدونید یا میخواین بیشتر بخونین پیشنهاد میکنم که لینک زیر رو نگاهی بندازین.
رولهای سیگما کمک مهمی در تبادلات فیمابین SIEM ها و همچنین گفتمان بین متخصصین و مهندسین کشف نفوذ دارند.
رولهای سیگما چه هستند ؟
این رولها یک نحوه ی نگارش و مستند سازی اطلاعات است. نحوه کشف حملات و نفوذ ها که توسط تحلیلگران در سرتاسر جهان پیدا شده است توسط این رولها مستند میگردند . این قابلیت وجود دارد که SIEM ها از این رولها استفاده کرده و با تبدیل آنها به رولهای خودشان از آن متد ها برای کشف نفوذ استفاده کنند.
ضمنا متخصصان در رشته کشف نفوذ میتوانند از آخرین تهدیدات و نحوه کشف اونها مطلع شوند.
#کشف_نفوذ #امنیت
#cybersecurity #threathunting #cyberforensics #sigma #sigmarule
https://blog.sigmahq.io/introducing-sigma-correlations-52fe377f2527
@Engineer_Computer
مروری بر همبسته سازی در رولهای سیگما
کارشناسانی که دائما رولها رو در SIEM به روز میکنند مطمئنا تا کنون با رولهای سیگما کارکردن و میدونن که درسال جاری میلادی؛ خصوصیت همبسته سازی یا Correlation به اون اضافه شده .
اگر هنوز درمورد این خصوصیت چیزی نمیدونید یا میخواین بیشتر بخونین پیشنهاد میکنم که لینک زیر رو نگاهی بندازین.
رولهای سیگما کمک مهمی در تبادلات فیمابین SIEM ها و همچنین گفتمان بین متخصصین و مهندسین کشف نفوذ دارند.
رولهای سیگما چه هستند ؟
این رولها یک نحوه ی نگارش و مستند سازی اطلاعات است. نحوه کشف حملات و نفوذ ها که توسط تحلیلگران در سرتاسر جهان پیدا شده است توسط این رولها مستند میگردند . این قابلیت وجود دارد که SIEM ها از این رولها استفاده کرده و با تبدیل آنها به رولهای خودشان از آن متد ها برای کشف نفوذ استفاده کنند.
ضمنا متخصصان در رشته کشف نفوذ میتوانند از آخرین تهدیدات و نحوه کشف اونها مطلع شوند.
#کشف_نفوذ #امنیت
#cybersecurity #threathunting #cyberforensics #sigma #sigmarule
https://blog.sigmahq.io/introducing-sigma-correlations-52fe377f2527
@Engineer_Computer
Medium
Introducing Sigma Correlations
One of the most requested features for Sigma in the last years was the ability to express correlation searches. Now it’s available!
اهمیت زمان در مدیریت حادثه سایبری
#مثال
در باب اهمیت زمان در مقوله فوق قلمفرسایی بسیاری شده است. فقط یک نکته را من مجدد یادآور شوم.
اگر هرچه زودتر بدانید سیستمی آلوده شده یا دست هکر است بهتر است. و هرچه زودتر سیستم تحویل واحد فارنزیک بشود نتیجه بهتری را شاهد خواهیم بود.
حتی اگر پس از آلودگی، دستگاه فرمت شده باشد و ویندوز جدید نصب شده باشد میتوان کاری کرد.
اصولا هرچه زمان بگذرد بخشی از ردپا ها از بین میروند.
مثلا در مثال فوق اگر سریع عمل کنید امکان دارد بتوانید فایل MFT قبلی را پیدا کنید و بازنویسی نشده باشد. آن فایل حاوی اطلاعات مهمی است که تحلیلگر فارنزیک میتواند نتیجه گیری های مهمی از آن بگیرد.
برای مثال رفتارهایی که با فایل ها در سیستم سابق شده است چیست؟ چون MFT بنوعی دیتابیسی از اطلاعات و متا دیتای فایلهای درایو است .
#فارنزیک
#cybersecurity #cyberforensics
@Engineer_Computer
#مثال
در باب اهمیت زمان در مقوله فوق قلمفرسایی بسیاری شده است. فقط یک نکته را من مجدد یادآور شوم.
اگر هرچه زودتر بدانید سیستمی آلوده شده یا دست هکر است بهتر است. و هرچه زودتر سیستم تحویل واحد فارنزیک بشود نتیجه بهتری را شاهد خواهیم بود.
حتی اگر پس از آلودگی، دستگاه فرمت شده باشد و ویندوز جدید نصب شده باشد میتوان کاری کرد.
اصولا هرچه زمان بگذرد بخشی از ردپا ها از بین میروند.
مثلا در مثال فوق اگر سریع عمل کنید امکان دارد بتوانید فایل MFT قبلی را پیدا کنید و بازنویسی نشده باشد. آن فایل حاوی اطلاعات مهمی است که تحلیلگر فارنزیک میتواند نتیجه گیری های مهمی از آن بگیرد.
برای مثال رفتارهایی که با فایل ها در سیستم سابق شده است چیست؟ چون MFT بنوعی دیتابیسی از اطلاعات و متا دیتای فایلهای درایو است .
#فارنزیک
#cybersecurity #cyberforensics
@Engineer_Computer
Windows+ATT&CK_Logging+Cheat+Sheet_ver_Sept_2018.pdf
1.1 MB
🔆 جدول رویداد های ویندوز در تناظر با تکنیک های جدول مایتره
⛳️ یعنی برای کشف یک تکنیک نفوذ و حمله ای که نام برده شده است چه Event ID در لاگ برای کشف وجود دارد
#cybersecurity #threathunting #cyberforensics
@Engineer_Computer
⛳️ یعنی برای کشف یک تکنیک نفوذ و حمله ای که نام برده شده است چه Event ID در لاگ برای کشف وجود دارد
#cybersecurity #threathunting #cyberforensics
@Engineer_Computer
مجموعه مقالات #امنیت_به_زبان_ساده
دو واژه : LoLBin و LOLBAS
انجام هک در سالها پیش از اقلام محدودی تشکیل شده بود. یعنی هکر با یک یا دو عمل ، ویروسی می نوشت و تخریب مد نظر را انجام میداد یا با هک یک وبسایت به کل دارایی های سازمان تسلط می یافت.
روز به روز به تکنیک های هک افزوده شد و آن تکنیک هاپیچیده شدند و درقالب تاکتیک هایی تجمیع گردیدند. در طرف مقابل تیم امنیت هم بر توان و قدرت دفاعی و کشفی خود افزود. این شد که نفوذ برای دزدی یا تخریب اطلاعات مشکل شد.
در این بین بدلیل مهاجرت سازمانها به فضای دیجیتال ، بخش عمده ای از سازمان به فضای سایبری منتقل شدند. و این سطح تاثیر سازمان از هکر ها را افزایش داد.
لذا سازمانها سعی کردند با پیاده سازی مکانیسم دفاع لایه ای به مقابله با نفوذ بپردازند به نحوی که با وجود گسترش فضای دیجیتال در سازمان؛ حجم ریسکها کنترل شده باقی بماند.
در این بین هکرها راهی جدید برای نفوذ پیدا کردند. اصولا امروزه هک شامل یک یا دو قدم معدود نمیشود و انجام هک در سازمان شامل چندین پله و شامل فرآیند است. که مجموعه آنرا میتوانید در جدول ATT&CK ملاحظه کنید.
در روشهای نفوذ جدید ؛ هکر ها از ابزارهای موجود روی سیستم های سازمان علیه خود سازمان استفاده میکنند.
این روش چه مزیتی دارد ؟
اول اینکه این ابزار ها کاملا در دسترس هستند و نیازی به انتقال آنها به شبکه و سیستم قربانی نیست.
دوم اینکه سیستمهای امنیتی به این اقلام اعتماد دارند.
سوم اینکه با استفاده از این ها ، رد پای کمتری باقی میماند و جرم شناسی و شکار توسط امنیت چی ها سخت میشود.
البته نکات دیگری در این میان هست که فعلا برای جلوگیری از اطاله کلام از آنها چشم پوشی میکنم تا لب مطلب اخذ گردد.
حالا برویم سراغ واژه ای که در ابتدای متن گفته شد:
به مجموعه ای از باینری هایی که در سیستم های سازمان وجود دارد و ما به آنها اعتماد داریم ولی در طول سالها از آنها سوء استفاده شده است LoLBin و LOLBAS گفته میشود یعنی :
Living of the land binary
این یعنی هکر در مراحلی از نفوذ خودش؛ ابزارهای نفوذ را میسازد یا از جایی تهیه میکند ولی در مراحل دیگری از نفوذ ، او از این مجموعه باینری خود سیستم عامل یا سامانه برای تقویت یا افزایش نفوذ و یا اقداماتی چون خروج داده از سازمان و یا رمزنگاری آنها استفاده میکند.
این مساله مشکلی در راه مقابله و کشف نفوذ ایحاد کرده است. البته در SOC ها راهکارهایی برای این موضوع پیاده میشود.
لیست این پاینری ها در پروژه ای جمع آوری شده است که در لینک زیر آنها را ببینید.
https://lolbas-project.github.io/#
#آموزش #امنیت #امنیت_سایبری
#امنیت_به_زبان_ساده
#cybersecurity #threathunting #cyberforensics
🔆 برای آگاهی دیگران ، دانش را نشر دهید و این پست را فوروارد کنید
@Engineer_Computer
دو واژه : LoLBin و LOLBAS
انجام هک در سالها پیش از اقلام محدودی تشکیل شده بود. یعنی هکر با یک یا دو عمل ، ویروسی می نوشت و تخریب مد نظر را انجام میداد یا با هک یک وبسایت به کل دارایی های سازمان تسلط می یافت.
روز به روز به تکنیک های هک افزوده شد و آن تکنیک هاپیچیده شدند و درقالب تاکتیک هایی تجمیع گردیدند. در طرف مقابل تیم امنیت هم بر توان و قدرت دفاعی و کشفی خود افزود. این شد که نفوذ برای دزدی یا تخریب اطلاعات مشکل شد.
در این بین بدلیل مهاجرت سازمانها به فضای دیجیتال ، بخش عمده ای از سازمان به فضای سایبری منتقل شدند. و این سطح تاثیر سازمان از هکر ها را افزایش داد.
لذا سازمانها سعی کردند با پیاده سازی مکانیسم دفاع لایه ای به مقابله با نفوذ بپردازند به نحوی که با وجود گسترش فضای دیجیتال در سازمان؛ حجم ریسکها کنترل شده باقی بماند.
در این بین هکرها راهی جدید برای نفوذ پیدا کردند. اصولا امروزه هک شامل یک یا دو قدم معدود نمیشود و انجام هک در سازمان شامل چندین پله و شامل فرآیند است. که مجموعه آنرا میتوانید در جدول ATT&CK ملاحظه کنید.
در روشهای نفوذ جدید ؛ هکر ها از ابزارهای موجود روی سیستم های سازمان علیه خود سازمان استفاده میکنند.
این روش چه مزیتی دارد ؟
اول اینکه این ابزار ها کاملا در دسترس هستند و نیازی به انتقال آنها به شبکه و سیستم قربانی نیست.
دوم اینکه سیستمهای امنیتی به این اقلام اعتماد دارند.
سوم اینکه با استفاده از این ها ، رد پای کمتری باقی میماند و جرم شناسی و شکار توسط امنیت چی ها سخت میشود.
البته نکات دیگری در این میان هست که فعلا برای جلوگیری از اطاله کلام از آنها چشم پوشی میکنم تا لب مطلب اخذ گردد.
حالا برویم سراغ واژه ای که در ابتدای متن گفته شد:
به مجموعه ای از باینری هایی که در سیستم های سازمان وجود دارد و ما به آنها اعتماد داریم ولی در طول سالها از آنها سوء استفاده شده است LoLBin و LOLBAS گفته میشود یعنی :
Living of the land binary
این یعنی هکر در مراحلی از نفوذ خودش؛ ابزارهای نفوذ را میسازد یا از جایی تهیه میکند ولی در مراحل دیگری از نفوذ ، او از این مجموعه باینری خود سیستم عامل یا سامانه برای تقویت یا افزایش نفوذ و یا اقداماتی چون خروج داده از سازمان و یا رمزنگاری آنها استفاده میکند.
این مساله مشکلی در راه مقابله و کشف نفوذ ایحاد کرده است. البته در SOC ها راهکارهایی برای این موضوع پیاده میشود.
لیست این پاینری ها در پروژه ای جمع آوری شده است که در لینک زیر آنها را ببینید.
https://lolbas-project.github.io/#
#آموزش #امنیت #امنیت_سایبری
#امنیت_به_زبان_ساده
#cybersecurity #threathunting #cyberforensics
🔆 برای آگاهی دیگران ، دانش را نشر دهید و این پست را فوروارد کنید
@Engineer_Computer
پاسخ به یک سوال مهم :
پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید :
ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمیدهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا میکنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ میدهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!!
من تعاملی با ChatGPT داشتم به جواب زیر رسیدم
Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications.
### Relation Between Windows PatchGuard and EDR Drivers
#### 1. Kernel-Level Drivers and PatchGuard
- EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel.
- PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as:
- System Service Descriptor Table (SSDT) hooks
- Interrupt Descriptor Table (IDT) hooks
- Kernel Object Manipulation
- Modification of the Kernel Debugger
This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures.
#### 2. Signed Drivers and PatchGuard Compliance
- Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system.
- Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities.
#### 3. Driver Operation Without Violating PatchGuard
- Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they:
- Hook into legitimate, documented APIs that provide system monitoring capabilities.
- Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events.
- Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures.
- User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard.
ادامه در پست بعد
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید :
ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمیدهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا میکنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ میدهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!!
من تعاملی با ChatGPT داشتم به جواب زیر رسیدم
Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications.
### Relation Between Windows PatchGuard and EDR Drivers
#### 1. Kernel-Level Drivers and PatchGuard
- EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel.
- PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as:
- System Service Descriptor Table (SSDT) hooks
- Interrupt Descriptor Table (IDT) hooks
- Kernel Object Manipulation
- Modification of the Kernel Debugger
This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures.
#### 2. Signed Drivers and PatchGuard Compliance
- Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system.
- Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities.
#### 3. Driver Operation Without Violating PatchGuard
- Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they:
- Hook into legitimate, documented APIs that provide system monitoring capabilities.
- Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events.
- Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures.
- User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard.
ادامه در پست بعد
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
ادامه از پست قبل 👆👆
#### 4. Is Using a Driver a Violation?
- No, It’s Not a Violation (When Done Correctly): Using a kernel driver in EDR solutions is not inherently a violation of PatchGuard. It’s only a violation if the driver attempts to patch or modify the kernel in ways that violate Windows security policies. Well-designed EDR solutions comply with PatchGuard by using standard APIs and legitimate kernel interfaces to achieve monitoring and protection goals.
- Working Within Kernel Mode: The EDR driver operates *within* the kernel, but it doesn’t modify or patch critical parts of the kernel itself. Instead, it monitors and reports events while respecting PatchGuard's restrictions. This allows it to maintain visibility into the system without breaching the kernel's integrity or violating Windows security rules.
### Summary
- Windows PatchGuard prevents unauthorized modifications to the Windows kernel, ensuring that the system's core remains intact and protected.
- EDR drivers operate within kernel mode but must comply with PatchGuard rules, meaning they cannot modify or patch the kernel directly.
- No violation occurs if the EDR driver is properly signed, respects PatchGuard’s limitations, and uses legitimate kernel monitoring techniques rather than trying to alter or bypass kernel protections.
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
#### 4. Is Using a Driver a Violation?
- No, It’s Not a Violation (When Done Correctly): Using a kernel driver in EDR solutions is not inherently a violation of PatchGuard. It’s only a violation if the driver attempts to patch or modify the kernel in ways that violate Windows security policies. Well-designed EDR solutions comply with PatchGuard by using standard APIs and legitimate kernel interfaces to achieve monitoring and protection goals.
- Working Within Kernel Mode: The EDR driver operates *within* the kernel, but it doesn’t modify or patch critical parts of the kernel itself. Instead, it monitors and reports events while respecting PatchGuard's restrictions. This allows it to maintain visibility into the system without breaching the kernel's integrity or violating Windows security rules.
### Summary
- Windows PatchGuard prevents unauthorized modifications to the Windows kernel, ensuring that the system's core remains intact and protected.
- EDR drivers operate within kernel mode but must comply with PatchGuard rules, meaning they cannot modify or patch the kernel directly.
- No violation occurs if the EDR driver is properly signed, respects PatchGuard’s limitations, and uses legitimate kernel monitoring techniques rather than trying to alter or bypass kernel protections.
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
بررسی دلایل اعلام شرایط وضعیت قرمز سایبری
بصورت عام
همانطور که بنا به اعلام در منابع خبری مختلف مطلع هستید برای شرایط سایبری اعلام وضعیت قرمز از سوی افتا و پدافند غیر عامل انجام شده است.
حال سوال برخی بر این است آیا الان که همه هشیارند دشمن حمله خواهد کرد ؟ و آیا این اعلام هشدار فقط یک واکنش احساسی است ؟
اصولا پس از اینکه حمله ای چون دو روز گذشته علیه یک هدف خاص اونهم فیزیکی انجام میگیرد انجام عملیات سایبری علیه ایران اگر چه رد نمیشود ولی در شرایط فعلی بسیار کم میباشد. تمرکز دشمن بر حمله اولیه و مهار تنش و واکنش ایجاد شده است. لذا در سطح حملات کنونی احتمال حمله سایبری از نظر اینجانب پایین میباشد.
اما اعلام وضعیت قرمز از سوی سازمانهای متولی در کشور در وهله اول انجام وظایف قانونی برای هشدار و آماده باش است اما مساله اصلی به نظر اینجانب در واکنش احتمالی ایران به مساله نهفته است.
کسی نمیتواند منکر شود که احتمال زیاد دشمن در ایران ایمپلنت هایی را برای روز مبادا و فعال سازی بمب های دیجیتالی انجام داده است . لذا ممکن است با واکنش احتمالی ایران به قضیه؛ از دو جهت امکان حمله سایبری علیه ایران وجود دارد :
حمله از بیرون
حمله از طریق ایمپلنت های کار گذاشته شده
لذا به نظر من واکنش افتا در صدور اطلاعیه سطح قرمز بیشتر به حمله دشمن پس از واکنش احتمالی ایران برمیگردد.
🔴 حالا وظیفه شما چیست ؟
به این فکر کنید آیا شبکه و سیستم های شما مبدا حملات به کشور در روز حمله خواهند شد؟ پس بهتر است دنبال ایمپلنت های احتمالی و آلودگی ها و نفوذ های خفته ای باشید تا از هم اکنون جلوی فاجعه را بگیرید .
@Engineer_Computer
#تفکر_نقادانه
#استدلال_منطقی
#cybersecurity #cyberforensics #Stuxnet
بصورت عام
همانطور که بنا به اعلام در منابع خبری مختلف مطلع هستید برای شرایط سایبری اعلام وضعیت قرمز از سوی افتا و پدافند غیر عامل انجام شده است.
حال سوال برخی بر این است آیا الان که همه هشیارند دشمن حمله خواهد کرد ؟ و آیا این اعلام هشدار فقط یک واکنش احساسی است ؟
اصولا پس از اینکه حمله ای چون دو روز گذشته علیه یک هدف خاص اونهم فیزیکی انجام میگیرد انجام عملیات سایبری علیه ایران اگر چه رد نمیشود ولی در شرایط فعلی بسیار کم میباشد. تمرکز دشمن بر حمله اولیه و مهار تنش و واکنش ایجاد شده است. لذا در سطح حملات کنونی احتمال حمله سایبری از نظر اینجانب پایین میباشد.
اما اعلام وضعیت قرمز از سوی سازمانهای متولی در کشور در وهله اول انجام وظایف قانونی برای هشدار و آماده باش است اما مساله اصلی به نظر اینجانب در واکنش احتمالی ایران به مساله نهفته است.
کسی نمیتواند منکر شود که احتمال زیاد دشمن در ایران ایمپلنت هایی را برای روز مبادا و فعال سازی بمب های دیجیتالی انجام داده است . لذا ممکن است با واکنش احتمالی ایران به قضیه؛ از دو جهت امکان حمله سایبری علیه ایران وجود دارد :
حمله از بیرون
حمله از طریق ایمپلنت های کار گذاشته شده
لذا به نظر من واکنش افتا در صدور اطلاعیه سطح قرمز بیشتر به حمله دشمن پس از واکنش احتمالی ایران برمیگردد.
🔴 حالا وظیفه شما چیست ؟
به این فکر کنید آیا شبکه و سیستم های شما مبدا حملات به کشور در روز حمله خواهند شد؟ پس بهتر است دنبال ایمپلنت های احتمالی و آلودگی ها و نفوذ های خفته ای باشید تا از هم اکنون جلوی فاجعه را بگیرید .
@Engineer_Computer
#تفکر_نقادانه
#استدلال_منطقی
#cybersecurity #cyberforensics #Stuxnet
an_ace_up_the_sleeve (2).pdf
5.7 MB
اگر میتوانی چیزی را تصور کنی ؛ احتمال زیاد اون حمله قبلا انجام شده است!!. پس سازمانت رو برای یافتن اثر رد پا بگرد .
Designing Active Directory DACL Backdoors
مستند فوق با تفکر اشاره شده در اول این پست تهیه شده است.نفوذی بدونه نیاز به بدافزار . security descriptor ها در اکتیو دایرکتوری توسط بسیاری از تیم های آبی و قرمز رها میشوند و به آنها توجهی نمیگردد. معمولا سخت است که بفهمیم که تنظیمات غلط یک AD Sec Desc به عمد بوده یا سهوی انجام شده است.
توسط مقاله ی فوق میتوانید به تکنیکی مسلط شوید که میتواند بعنوان بک دوری استفاده شود که سالها در سازمان شما باقی بماند.
امیدوارم با مطالعه این مستند ؛ محافظان امنیت و طراحان زیرساخت و تیم های دفاعی بتوانند این راهکار برای نفوذ را از بین ببرند یا نفوذ های کشف شده را خنثی سازند.
#threathunting #cyberforensics #Stuxnet #risk #governance #cyberforensics #activedirectory
@Engineer_Computer
Designing Active Directory DACL Backdoors
مستند فوق با تفکر اشاره شده در اول این پست تهیه شده است.نفوذی بدونه نیاز به بدافزار . security descriptor ها در اکتیو دایرکتوری توسط بسیاری از تیم های آبی و قرمز رها میشوند و به آنها توجهی نمیگردد. معمولا سخت است که بفهمیم که تنظیمات غلط یک AD Sec Desc به عمد بوده یا سهوی انجام شده است.
توسط مقاله ی فوق میتوانید به تکنیکی مسلط شوید که میتواند بعنوان بک دوری استفاده شود که سالها در سازمان شما باقی بماند.
امیدوارم با مطالعه این مستند ؛ محافظان امنیت و طراحان زیرساخت و تیم های دفاعی بتوانند این راهکار برای نفوذ را از بین ببرند یا نفوذ های کشف شده را خنثی سازند.
#threathunting #cyberforensics #Stuxnet #risk #governance #cyberforensics #activedirectory
@Engineer_Computer
استفاده از رولهای WFP ویندوز برای خفه کردن صدای EDR رو به افزایش است .
برای کشف این حمله حتما شماره رویداد های 5155 و 5157 را پایش کنید
لذا یکی از راه های دور خوردن EDR را اینطور کنترل کنید.
#cybersecurity #threathunting #cyberforensics #sigma #lolbin
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/audit-filtering-platform-connection
@Engineer_Computer
Please open Telegram to view this post
VIEW IN TELEGRAM
Docs
Audit Filtering Platform Connection - Windows 10
The policy setting, Audit Filtering Platform Connection, decides if audit events are generated when connections are allow/blocked by Windows Filtering Platform.
راهکاری امن برای کنترل اسکریپت ها
امروزه استفاده از انواع اسکریپت ها برای اجرای کد های مخرب بسیار رواج دارد . در برخی موارد مانند پاورشل میتوان در برخی سازمانها اجرای آنرا محدود کرد اما این راهکار نمیتواند کارایی داشته باشد.
در روش زیر شما اجبار میکنید که بجای اجرای اسکریپت ؛ آن اسکریپت به کاربر نمایش داده شود. این راهکار در کل دامین قابل پیاده سازی است.
** تست شده و جواب مثبت و کارا است.
#cybersecurity #cyberforensics
#امنیت #امنیت_سایبری #ریسک #مدیریت
https://kostas-ts.medium.com/my-favourite-security-focused-gpo-stopping-script-execution-with-file-associations-59a05b6d181e
@Engineer_Computer
امروزه استفاده از انواع اسکریپت ها برای اجرای کد های مخرب بسیار رواج دارد . در برخی موارد مانند پاورشل میتوان در برخی سازمانها اجرای آنرا محدود کرد اما این راهکار نمیتواند کارایی داشته باشد.
در روش زیر شما اجبار میکنید که بجای اجرای اسکریپت ؛ آن اسکریپت به کاربر نمایش داده شود. این راهکار در کل دامین قابل پیاده سازی است.
** تست شده و جواب مثبت و کارا است.
#cybersecurity #cyberforensics
#امنیت #امنیت_سایبری #ریسک #مدیریت
https://kostas-ts.medium.com/my-favourite-security-focused-gpo-stopping-script-execution-with-file-associations-59a05b6d181e
@Engineer_Computer
Medium
My Favourite Security-focused GPO: Stopping Script Execution with File Associations
Some time ago, I stumbled upon an excellent post by Red Canary[1] that introduced a clever method to prevent users from accidentally…