اگر تازه میخواهید رد تیم شروع کنید به ۱۲ گام زیر توجه کنید
اینا تجربه شخصی من هستند نمیگم کامل هست ولی حتما کمکتون میکنه
تیم قرمز کلا کارش شبیه سازی حملات گروه های دولتی تهدیدات پیشرفته پایدار APT است.
شما برای اینکه وارد این حوزه بشید باید نکات زیر را مد نظر قرار بدید
گام اول مفاهیم پایه شبکه کار با سیستم عامل ها و مفاهیم امنیت شبکه را یاد بگیرید سپس شروع به کار با ابزارهای metasploit nmap openvas… بکنید تقریبا ۳۰ ابزار حتما باید یاد بگیرید.
گام دوم یاد گیری هک قانونمند است که بهترین کورس oscp یا pen200 یا pwk همشون یک کورس هستند
در این کورس
recon scan exploiting post exploiting یاد میگیرید
گام سوم تمرین هست هیچ حرفه ای بدون تمرین میسر نیست یعنی داشتن لابراتوار برای هر کاری واجب هست
اگر سیستم خوبی برای اینکار ندارید نگران نباشید گام بعدی ببینید
گام چهارم استفاده از سایت های CTF
https://www.hackthebox.com/hacker/pro-labs
https://tryhackme.com/path/outline/redteaming
گام پنجم شما بدون دانش روی اکتیو دایرکتوری نمی توانید هیچ کاری بکنید! هیچ راه فراری نیست باید active diretory را در گام اول یادبگیرید بعد روی ضعف ها و حملات متمرکز بشید
گام ششم که خیلی خودم دوستش دارم یادگیری کار با c2 ها هست
cobalt strike
empire
havoc
covenant
و …
من به صورت رایگان اموزش تو کانالم گذاشتم دوست داشتید بیینید سوال بپرسید
https://youtube.com/playlist?list=PLwq8--jsXOEkeOErfcjngfgn-Wf_0ewM4
گام هفتم شما هر شغلی داشته باشید باید اپدیت بشید در حوزه امنیت شما باید بیشتر از برنامه نویسی شبکه دو اپس و … زحمت بکشید و اپدیت بشید چون بازی شطرنج بدون پایان بین هکر و مدافع تکنیک ها بایپس ها و …
https://youtu.be/tv1YUPDYZgY
گام هشتم
شما باید نمونه حملات حتما برید ببینید قبلا براتون در مورد گفته بودم و منابع معرفی کردم
@TheDFIRReport نمونه ها با توضیح کامل
@vxunderground نمونه بدافزارها و ابزارها
گام نهم شما نیاز دارید در این راه با کسانی که تو حوزه فعال هستند ارتباط بگرید و از تجارب انها استفاده کنید
@RedTeamVillage_ و
https://www.reddit.com/r/redteamsec?utm_source=share&utm_medium=android_app&utm_name=androidcss&utm_term=1&utm_content=1
گام دهم اگر بخواهید تو ایران کار کنید یا خارج باید مهارت داشته باشید در نوشتن گزارش در ارایه شفاهی گزارش هر چقدر حرفه ای باشید ولی نتوانید زحمت خودتون کتبی گزارش کامل بدید یا شفاهی توضیح بدید که همه بفهمند نمیتوانید موفقیت خوبی تر حوزه امنیت کسب کنید مخصوصا رد تیم
گام ۱۱ شما باید یاد بگیرید چطوری مخفی بمانید و opsec را رعایت کنید من تو کورس رد تیم اشاره کردم در راه اندازی زیرساخت ردتیم اگر opsec رعایت نشه کل پروژه رو هوا میره یا استفاده از چند c2 در موارد اجرا کامند exfilter اپلود و …
گام دوازدهم
اگر تا اینجا خوندید بهتون تبریک میگم این گام یعنی باید تا می توانید مطالعه کنید کتاب مقاله بلاگ اخبار تا همیشه اپدیت بمانید و یاد بگیرید رد تیم محدود به کورس a b c d نیست
به یاد داشته باشید رد تیم کارش پیدا کردن گپ هاست کارش قانونی است با بلک هت هیچ موقع ترکیب نکنید!
@Engineer_Computer
اینا تجربه شخصی من هستند نمیگم کامل هست ولی حتما کمکتون میکنه
تیم قرمز کلا کارش شبیه سازی حملات گروه های دولتی تهدیدات پیشرفته پایدار APT است.
شما برای اینکه وارد این حوزه بشید باید نکات زیر را مد نظر قرار بدید
گام اول مفاهیم پایه شبکه کار با سیستم عامل ها و مفاهیم امنیت شبکه را یاد بگیرید سپس شروع به کار با ابزارهای metasploit nmap openvas… بکنید تقریبا ۳۰ ابزار حتما باید یاد بگیرید.
گام دوم یاد گیری هک قانونمند است که بهترین کورس oscp یا pen200 یا pwk همشون یک کورس هستند
در این کورس
recon scan exploiting post exploiting یاد میگیرید
گام سوم تمرین هست هیچ حرفه ای بدون تمرین میسر نیست یعنی داشتن لابراتوار برای هر کاری واجب هست
اگر سیستم خوبی برای اینکار ندارید نگران نباشید گام بعدی ببینید
گام چهارم استفاده از سایت های CTF
https://www.hackthebox.com/hacker/pro-labs
https://tryhackme.com/path/outline/redteaming
گام پنجم شما بدون دانش روی اکتیو دایرکتوری نمی توانید هیچ کاری بکنید! هیچ راه فراری نیست باید active diretory را در گام اول یادبگیرید بعد روی ضعف ها و حملات متمرکز بشید
گام ششم که خیلی خودم دوستش دارم یادگیری کار با c2 ها هست
cobalt strike
empire
havoc
covenant
و …
من به صورت رایگان اموزش تو کانالم گذاشتم دوست داشتید بیینید سوال بپرسید
https://youtube.com/playlist?list=PLwq8--jsXOEkeOErfcjngfgn-Wf_0ewM4
گام هفتم شما هر شغلی داشته باشید باید اپدیت بشید در حوزه امنیت شما باید بیشتر از برنامه نویسی شبکه دو اپس و … زحمت بکشید و اپدیت بشید چون بازی شطرنج بدون پایان بین هکر و مدافع تکنیک ها بایپس ها و …
https://youtu.be/tv1YUPDYZgY
گام هشتم
شما باید نمونه حملات حتما برید ببینید قبلا براتون در مورد گفته بودم و منابع معرفی کردم
@TheDFIRReport نمونه ها با توضیح کامل
@vxunderground نمونه بدافزارها و ابزارها
گام نهم شما نیاز دارید در این راه با کسانی که تو حوزه فعال هستند ارتباط بگرید و از تجارب انها استفاده کنید
@RedTeamVillage_ و
https://www.reddit.com/r/redteamsec?utm_source=share&utm_medium=android_app&utm_name=androidcss&utm_term=1&utm_content=1
گام دهم اگر بخواهید تو ایران کار کنید یا خارج باید مهارت داشته باشید در نوشتن گزارش در ارایه شفاهی گزارش هر چقدر حرفه ای باشید ولی نتوانید زحمت خودتون کتبی گزارش کامل بدید یا شفاهی توضیح بدید که همه بفهمند نمیتوانید موفقیت خوبی تر حوزه امنیت کسب کنید مخصوصا رد تیم
گام ۱۱ شما باید یاد بگیرید چطوری مخفی بمانید و opsec را رعایت کنید من تو کورس رد تیم اشاره کردم در راه اندازی زیرساخت ردتیم اگر opsec رعایت نشه کل پروژه رو هوا میره یا استفاده از چند c2 در موارد اجرا کامند exfilter اپلود و …
گام دوازدهم
اگر تا اینجا خوندید بهتون تبریک میگم این گام یعنی باید تا می توانید مطالعه کنید کتاب مقاله بلاگ اخبار تا همیشه اپدیت بمانید و یاد بگیرید رد تیم محدود به کورس a b c d نیست
به یاد داشته باشید رد تیم کارش پیدا کردن گپ هاست کارش قانونی است با بلک هت هیچ موقع ترکیب نکنید!
@Engineer_Computer
Hack The Box
Elite Red Team Training Labs For Offensive Security Red Teaming
Practice offensive cybersecurity by penetrating complex, realistic scenarios. Red team training with labs and a certificate of completion. Browse HTB Pro Labs!
🔰 لیست Event های مهمی که موقع تحلیل رخداد باید در صورت وجود بررسی شوند.
#SOC
#incident
#Analysis
@Engineer_Computer
#SOC
#incident
#Analysis
@Engineer_Computer
List of all available and newest CVEs (Common Vulnerabilities and Exposures) with links to their PoC (proof of concept).
Data since 1999 (!)
فهرستی از تمامی CVE های موجود و جدید
داده ها از سال 1999 (!)
https://github.com/trickest/cve
#SOC
#CVE
@Engineer_Computer
Data since 1999 (!)
فهرستی از تمامی CVE های موجود و جدید
داده ها از سال 1999 (!)
https://github.com/trickest/cve
#SOC
#CVE
@Engineer_Computer
Attacking network protocols ebook 2 (1).pdf
5.1 MB
معرفی یک کتاب فوق العاده جهت تحلیل و اکسپلویت آسیب پذیری های شبکه - پارت دوم
نام این کتاب Attacking Network Protocol هست و به طور کلی مباحث زیر رو پوشش میده:
بررسی مفاهیم اولیه
نحوه ثبت و ضبط ترافیک لایه اپلیکیشن
ساختار پروتکل های شبکه
امنیت پروتکل های شبکه
مهندسی معکوس برخی از مهمترین اپلیکیشن ها
نحوه یافتن آسیب پذیری و اکسپلویت ها
و ...
#doc
@Engineer_Computer
نام این کتاب Attacking Network Protocol هست و به طور کلی مباحث زیر رو پوشش میده:
بررسی مفاهیم اولیه
نحوه ثبت و ضبط ترافیک لایه اپلیکیشن
ساختار پروتکل های شبکه
امنیت پروتکل های شبکه
مهندسی معکوس برخی از مهمترین اپلیکیشن ها
نحوه یافتن آسیب پذیری و اکسپلویت ها
و ...
#doc
@Engineer_Computer
Attacking network protocols ebook (1).pdf
3.6 MB
معرفی یک کتاب فوق العاده جهت تحلیل و اکسپلویت آسیب پذیری های شبکه - پارت اول
نام این کتاب Attacking Network Protocol هست و به طور کلی مباحث زیر رو پوشش میده:
بررسی مفاهیم اولیه
نحوه ثبت و ضبط ترافیک لایه اپلیکیشن
ساختار پروتکل های شبکه
امنیت پروتکل های شبکه
مهندسی معکوس برخی از مهمترین اپلیکیشن ها
نحوه یافتن آسیب پذیری و اکسپلویت ها
و ...
#doc
@Engineer_Computer
نام این کتاب Attacking Network Protocol هست و به طور کلی مباحث زیر رو پوشش میده:
بررسی مفاهیم اولیه
نحوه ثبت و ضبط ترافیک لایه اپلیکیشن
ساختار پروتکل های شبکه
امنیت پروتکل های شبکه
مهندسی معکوس برخی از مهمترین اپلیکیشن ها
نحوه یافتن آسیب پذیری و اکسپلویت ها
و ...
#doc
@Engineer_Computer
لاگ های مهم ویندوز جهت مانیتورینگ و تحلیل:
4688: A new process has been created
5156: The Windows Filtering Platform has allowed connection
7045: A service was installed in the system
4657: A registry value was modified
4660: An object was deleted
4663: An attempt was made to access, modify, delete an object
7036: a service has entered the stopped state
7040: a service has disabled
#SOC
#EventID
@Engineer_Computer
4688: A new process has been created
5156: The Windows Filtering Platform has allowed connection
7045: A service was installed in the system
4657: A registry value was modified
4660: An object was deleted
4663: An attempt was made to access, modify, delete an object
7036: a service has entered the stopped state
7040: a service has disabled
#SOC
#EventID
@Engineer_Computer
Kali Linux Cheatsheet
SQLMap Examples
Metasploit
Exploit Research
Password Cracking
Username Enumeration
HTTP / HTTPS Webserver Enumeration
DNSRecon
NMAP Commands
and more.
https://github.com/NoorQureshi/kali-linux-cheatsheet
#SOC
#KaliLinux
@Engineer_Computer
SQLMap Examples
Metasploit
Exploit Research
Password Cracking
Username Enumeration
HTTP / HTTPS Webserver Enumeration
DNSRecon
NMAP Commands
and more.
https://github.com/NoorQureshi/kali-linux-cheatsheet
#SOC
#KaliLinux
@Engineer_Computer
GitHub
GitHub - NoorQureshi/kali-linux-cheatsheet: Kali Linux Cheat Sheet for Penetration Testers
Kali Linux Cheat Sheet for Penetration Testers. Contribute to NoorQureshi/kali-linux-cheatsheet development by creating an account on GitHub.
🔏SOC Multi Tool🔏
Chrome Extension for quick:
IP/Domain Reputation Lookup
IP/ Domain Info Lookup
Hash Reputation Lookup (
Decoding of Base64 & HEX using CyberChef
File Extension & Filename Lookup
and more (view pic)
https://chrome.google.com/webstore/detail/soc-multi-tool/diagjgnagmnjdfnfcciocmjcllacgkab/
#SOC
#EventID
@Engineer_Computer
Chrome Extension for quick:
IP/Domain Reputation Lookup
IP/ Domain Info Lookup
Hash Reputation Lookup (
Decoding of Base64 & HEX using CyberChef
File Extension & Filename Lookup
and more (view pic)
https://chrome.google.com/webstore/detail/soc-multi-tool/diagjgnagmnjdfnfcciocmjcllacgkab/
#SOC
#EventID
@Engineer_Computer
#Exchange #Zeroday
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.
مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.
اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.
بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه System.UnitySerializationHolder یک شیُ از کلاس System.Windows.Markup.XamlReader رو ایجاد کرده و داده های XAML پیلود ارسالی رو پردازش کند.
@Engineer_Computer
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.
مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.
اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.
بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه System.UnitySerializationHolder یک شیُ از کلاس System.Windows.Markup.XamlReader رو ایجاد کرده و داده های XAML پیلود ارسالی رو پردازش کند.
@Engineer_Computer
🟦 Blue Team Labs
این سایت منبع عالی برای یادگیری عملیست که آزمایشگاه های مختلفی را ارائه می دهد و طیف گسترده ای از موضوعات تیم آبی را پوشش می دهد، از جمله واکنش به حادثه، شکار تهدید، و تجزیه و تحلیل SIEM.
🔗 https://blueteamlabs.online/
#SOC
#BlueTeam
@Engineer_Computer
این سایت منبع عالی برای یادگیری عملیست که آزمایشگاه های مختلفی را ارائه می دهد و طیف گسترده ای از موضوعات تیم آبی را پوشش می دهد، از جمله واکنش به حادثه، شکار تهدید، و تجزیه و تحلیل SIEM.
🔗 https://blueteamlabs.online/
#SOC
#BlueTeam
@Engineer_Computer
blueteamlabs.online
Blue Team Labs Online
A gamified platform for cyber defenders to test and showcase their skills
📍Windows Event Log Analysis & Incident Response Guide
📍راهنمای تجزیه و تحلیل گزارش رویدادها و واکنش به رویداد ویندوز
https://medium.com/@rajeevranjancom/windows-event-log-analysis-incident-response-guide-739af79b518b
#soc
#security
@Engineer_Computer
📍راهنمای تجزیه و تحلیل گزارش رویدادها و واکنش به رویداد ویندوز
https://medium.com/@rajeevranjancom/windows-event-log-analysis-incident-response-guide-739af79b518b
#soc
#security
@Engineer_Computer
Medium
Windows Event Log Analysis & Incident Response Guide
Introduction:
36% of Europeans Don’t Even Have an IoT Device
More than 9 out of 10 Europeans who have voice assistants use them, although only 25% use them frequently.
More than half of Europeans (55%) believe that such Internet-connected devices do NOT respect their privacy.
Nearly 70% of respondents are aware of the amount of data being shared via voice assistants even when they are not in use.
62% of respondents are very concerned that these devices collect information and audio on them.
@Engineer_Computer
More than 9 out of 10 Europeans who have voice assistants use them, although only 25% use them frequently.
More than half of Europeans (55%) believe that such Internet-connected devices do NOT respect their privacy.
Nearly 70% of respondents are aware of the amount of data being shared via voice assistants even when they are not in use.
62% of respondents are very concerned that these devices collect information and audio on them.
@Engineer_Computer
Panda Security Mediacenter
Cybersecurity survey: 36% of Europeans don't even have an IoT device
2nd post on our cybersecurity survey, dedicated to home automation and artificial intelligence. Find out how Europeans use them!