تست نفوذ فیزیکی
این مرحله :
embedded reconnaissance.

@Engineer_Computer

https://covertaccessteam.substack.com/p/spot-the-spy

گزارش های ممیزی ISMS را چطور بنویسیم
@Engineer_Computer

شغل شما بعنوان تستر نفوذ فیزیکی این است هرچه بیشتر آسیب پذیری در لایه فیزیکال پیدا کنید

حالا از یک زاویه دیگر این موضوع رو بررسی می‌کنیم: انجام عملیات در روز یا شب
پارامتر های موثر

@Engineer_Computer

https://covertaccessteam.substack.com/p/day-vs-night

طراحی سیستم ها با رعایت مساله حریم خصوصی
@Engineer_Computer

یکبار برای همیشه HTTP را قورت دهید
@Engineer_Computer

⭕️ موسسه HRF تعداد ۲۰ بیتکوین برای چندین پروژه‌ بانتی قرار داده که علاقه‌مندان از هرجای دنیا میتونن این پروژه‌های اوپن سورس رو انجام بدن و بانتی رو بدست بیارن.
به عنوان نمونه یکی از پروژه‌ها ساخت نرم افزار موبایل غیرحضانتی برای آدرس‌های لایتنینگیه و ۲ بیتکوین بانتی‌ براش تخصیص داده شده.
یکی دیگه از بانتی ها توسعه‌ی روشی برای انجام payjoin بدون نیاز به سرور هم ۲ بیتکوین بانتی داره.
پورت کردن کیت توسعه UI بیتکوین از فیگما به پروژه‌ی اوپن سورس Penpot هم ۲ بیتکوین بانتی داره
لیست بانتی‌ها رو میتونید از بیتکوین مگزین مطالعه کنید:

https://bitcoinmagazine.com/business/human-rights-foundation-announces-20-btc-bounty-challenge-for-bitcoin-development
#bounty #develop

@Engineer_Computer

سویچ هایی مرکزی تبادل ترافیک کشور دچار اختلالاتی هستند!

هنوز منابع و افراد در وزارت ارتباطات خبری منتشر نکرده اند.
@Engineer_Computer

🔒 Urgent Alert: Hundreds of Citrix NetScaler ADC and Gateway servers breached! Malicious actors exploit CVE-2023-3519 #vulnerability to deploy web shells.

Read more about this threat: https://thehackernews.com/2023/08/hundreds-of-citrix-netscaler-adc-and.html

@Engineer_Computer

شبیه سازی حملات

در لینک زیر میتوانید نحوه انجام و مراحل حملات برای چند گروه هکری را ملاحظه نمایید .

در برخی از موارد یک حمله کامل بررسی شده است و برخی موارد قسمتی از حمله

@Engineer_Computer

https://github.com/center-for-threat-informed-defense/adversary_emulation_library/tree/master

Apache Solr 8.3.1 RCE from exposed administration interface
Blog : https://blog.scrt.ch/2023/05/01/solr-rce-from-exposed-administration-interface/
POC : https://github.com/scrt/Apache-Solr-8.3.1-RCE
@Engineer_Computer

Bypass IIS Authorisation with this One Weird Trick - Three RCEs and Two Auth Bypasses in Sitecore 9.3
Blog : https://blog.assetnote.io/2023/05/10/sitecore-round-two/
@Engineer_Computer

CVE-2023-27363 : Foxit PDF Reader / Editor <= 12.1.1.15289 - 'exportXFAData Exposed Dangerous Method' - Remote Code Execution
POC : https://github.com/j00sean/SecBugs/tree/main/CVEs/CVE-2023-27363
XFA / PW : https://github.com/siberas/arpwn
Details : https://www.zerodayinitiative.com/advisories/ZDI-23-491/
@Engineer_Computer

اگر علاقه مند هستید که وارد حوزه ‎#بلوتیم بشید
15 گام  زیر می توانند به شما دید خوبی بدند برای انتخاب اینکه به سمت تیم آبی بروید یا نه !
من تجربه در حد  5 ماه  در SOC  داشتم ولی همون به من کمک کرد در ردتیم
‏به صورت کلی بلوتیم در حوزه امنیت تدافعی عمل میکند و نقطه مقابل ردتیم هست.
گام اول درک تهدیدات تا زمانی که تکنیک هایی که در سمت ‎#ردتیم انجام می شود را درک نکنید نمی توانید رویکرد دفاعی مناسبی داشته باشید
https://ctf.hackthebox.com/pack/blue-team-analyst-level-1
https://tryhackme.com/path/outline/blueteam
گام دوم شما باید آشنایی با بهترین روش های امن سازی داشته باشید منابع CIS را مطالعه کنید برای تمامی صنعت ها بهترین روشها ارایه شده است و همچنین بروزرسانی، سیاست پسورد امن و دادن حداقل دسترسی به همه
https://www.cisecurity.org/controls/v8
گام سوم هر چقدر شبکه ها کوچک تر بشوند و vlan بندی اصطلاحا بشود در صورت نفوذ به هر بخش امکان تاثیر گذاری روی کل سازمان حداقلی است
گام چهارم استفاده از سیستم های مانیتورینگ و تشخیص حمله
IDS سیستم تشخیص نفوذ
IPS  سیستم جلوگیری از نفوذ
SIEM  اطلاعات امنیتی و مدیریت رویداد
می توانید از elk security جهت  تمرین استفاده کنید
گام پنجم IRP طرح واکنش به حادثه
یک طرح جامع واکنش به حادثه ایجاد کنید که رویه‌های واضحی را برای شناسایی، واکنش و بازیابی حوادث امنیتی مشخص می‌کند.
گام 6 TH یا شکار تهدید (مهم)
خیلی از تهدیدهای بالقوه در سازمان ها و حملات توسط ابزارهای اتومات قابل شناسایی نیستند و نیازمند شکار تهدید هستند. مهارت در شکار تهدید بسیار مهم هست
SOC tiers
tier 1 triage specialist
tier 2 incident response + threat intelligence
tier 3 TH
و مدیر soc
گام هفتم
اموزش به کارکنان: به طور منظم به کارکنان در مورد بهترین شیوه های امنیت سایبری و تهدیدات احتمالی مانند فیشینگ و مهندسی اجتماعی آموزش دهید.
اجرا تمرین های فیشینگ در سازمان ها
گام هشتم
پیاده سازی مدیریت آسیب پذیری داشتن همچین برنامه ای برای شناسایی آُسیب پذیری های روی دارایی های سازمان الویت بندی و آپدیت کردن آن ها خیلی مهم است
گام نهم
نظارت مستمر یا continues monitoring سازمان هایی که نظارت مستمر ندارند و توانایی کشف ناهنجاری anomalies و رفتارهای مشکوک را ندارند خیلی راحت هک می شوند
خیلی ساده وصل شدن به سرورها بعد از ساعت کاری
گام دهم
همکاری و حضور در جلسات تیم بنفش و رفع مشکلات و حملات با ارایه راه حل ها یا آپدیت رول هایی که توسط تیم قرمز بایپس شده اند
گام یازدهم
تجزیه و تحلیل شبکه: به صورت کلی باید pattern رفتار شبکه عادیتان را داشته باشید تا بتوانید رفتار مشکوک یا ناهجاری را تشخیص دهید امروزه برای این کار از ML استفاده می شود train رفتار شبکه عادی و کشف خودکار ناهنجاری
گام دوازدهم
ارزیابی امنیتی به صورت ادواری و منظم، سازمان ها باید به صورت منظم پن تست شوند چرا که آسیب پذیریهای جدیدی که بعد از ارزیابی گذشته کشف شدند هنوز به صورت بالقوه در سازمان ها وجود دارند
گام 13
هوش تهدید: راه اندازی هوش تهدید کار بسیار پیچیده ای هست و همچنین هزینه های گزافی دارد اما می توان از اطلاعاتی که شرکت های CTI می دهند جهت شناسایی تهدیدها استفاده کرد نکته مهم این است CTI feed شرکت های خارجی به درد ایران نمی خورد چون C2 ها کشف شده برای کشور اروپایی امریکایی
‏گام چهاردهم
داشتن برنامه برای بک اپ گیری زندگی شما را نجات می دهد و اما خود بک اپ گیری بسیار مهم است و تخصص محسوب می شود چرا که انواع مختلف و همچنین نوع ذخیره سازی بسیار مهم است
گام 15
هر سازمان خروجی منحصر به فرد دارد شیوه امن کردن سازمان ها به یک شکل نیست و با یک کتاب یک فرمول امن نمی شود باید هاردنینگ بر اساس هر سازمان انجام شود.
تیم آبی نیاز به یک رویکرد فعال و هوشیار برای دفاع در برابر تهدیدات سایبری دارد.
تیم ابی بدون همکاری با تیم قرمز موثر نیست
@Engineer_Computer

‏اگر علاقه مند هستید بدانید تیم بنفش (‎#پرپل_تیم) کارش چیست و چطور کار می کند 12 گام زیر را مطالعه کنید
به صورت کلی تیم بنفش وظیفه اش شناسایی تهدیدات منطبق با سازمان (گروه های هکری که سازمانشان را تهدید میکنند)  برنامه ریزی کردن و ایجاد هماهنگی بین تیم آبی و تیم قرمز می باشد.
گام اول
نقش های ‎#ردتیم و ‎#بلوتیم را درک کنید: ابتدا با نقش ها و مسئولیت های تیم های قرمز و آبی آشنا شوید. تمرکز تیم قرمز بر روی فعالیت‌های تهاجمی، شبیه‌سازی حملات برای شناسایی آسیب‌پذیری‌ها است، در حالی که تیم آبی بر اقدامات دفاعی و واکنش به حوادث تمرکز می‌کند.
گام دوم
همکاری و ارتباط: ارتباط و همکاری موثر بین تیم های قرمز و آبی در تیم سازی بنفش ضروری است. جلسات را باید مدیریت کنید تا بتوانید حداکثر خروجی بگیرید به صورت کلی تیم قرمز و آبی رابطه ندارند وظیفه شما است که مدیریتشان کنید و ارتباط را تشکیل دهید
گام سوم
اهداف و دامنه تمرین تیمی بنفش را به وضوح تعریف کنید. مثلا تست کردن رول های شناسایی تیم بلو توسط رد تیم یا تقویت IR تیم بلو
گام چهارم
شما باید TI روی سازمان و شناسایی APT منطبق دقیقا همان حملات را شبیه سازی کنید به دنبال شبیه سازی تمام حملات نباشید فقط تیم آبی را بی خودی در گیر می کنید روی هدف اصلی باید متمرکز شوید و تیم آبی خود را تقویت کنید.
گام پنجم
Conduct Tabletop Exercises
یا purple team excersie
تمرین هایی که سبب افزایش ارتقا دانش رد تیم و بلو تیم می شوند.
https://github.com/scythe-io/purple-team-exercise-framework
گام ششم
باید بتوانید فرهنگ به اشتراک گذاری را در سازمان ارتقا دهید و کاری کنید که رد تیم بلو تیم ابزارها و تکنیک ها خود را با هم به اشتراک بگذارند و این کار بسیار سختی است! ولی تنها دلیل پیشرفت امنیت اشتراک گذاری است.
گام هفتم
از یکدیگر بیاموزید: بر یادگیری و بهبود به جای رقابت بین تیم ها تاکید کنید. هر دو تیم قرمز و آبی می توانند از درک دیدگاه و رویکردهای طرف مقابل سود ببرند.
‏گام هشتم
از معیارها و بازخورد استفاده کنید: اثربخشی تمرینات تیم بنفش را با استفاده از معیارها و بازخورد اندازه گیری کنید. این به شناسایی زمینه های بهبود و ردیابی پیشرفت در طول زمان کمک می کند.
گام نهم
تمرکز بر کاهش و اصلاح: هدف تیم‌سازی بنفش فقط شناسایی نقاط ضعف نیست، بلکه همکاری با یکدیگر برای توسعه و اجرای استراتژی‌های کاهش و اصلاح موثر است
‏گام دهم
نتایج را مستند کنید و به اشتراک بگذارید: یافته ها و درس های آموخته شده از هر تمرین تیم بنفش را مستند کنید. نتایج را با ذینفعان مربوطه به اشتراک بگذارید تا بهبود مستمر تسهیل شود.
گام یازدهم
بهبود مستمر: تیم سازی بنفش یک فرآیند مداوم است. به طور منظم تمرین هایی را برای ارزیابی و ارتقای وضعیت امنیتی سازمان انجام دهید.
گام دوازدهم
همسو با اهداف تجاری: اطمینان حاصل کنید که فعالیت های تیمی بنفش با اهداف کلی کسب و کار و اهداف امنیتی سازمان هماهنگ است.
تیم بنفش فرهنگ امنیت سایبری مشارکتی و فعال را در یک سازمان تقویت می کند و به پر کردن شکاف بین جنبه های تهاجمی و دفاعی امنیت سایبری کمک می کند.
@Engineer_Computer

در راستای دوره ناشناسی اگر vpn (وی پی ان) سرور شخصی دارید جهت حفظ #امنیت، #حریم_شخصی و #ناشناسی به نکات زیر توجه کنید. این نکات استخراجی از کتاب حریم شخصی و امنیت آقای اسنودن، میتنیک و بزل و تجربه شخصی هستند.
نکات مربوط به سرور VPS
نکته 1 .حتما پورت ssh سرور را عوض کنید
با nano یا vi
sudo nano /etc/ssh/sshd_config
تغییر پورت 22 به پورت دلخواه
در ابونتو سرور
service ssh restart
در centos
systemctl restart sshd
اگر بخواهید مجدد وصل بشید:
ssh root@ip -p portj

نکته 2. حتما پسورد پیچیده ای برای سرورتان در نظر بگیرید
passwd root or anyuser
نکته 3. حتما سرورتان را آپدیت نگه دارید
yum update -y
apt update && apt upgrade -y

نکته 4. فایروال سرور را کانفیگ ( جهت جلوگیری شناسایی وی پی ان سرور و حملات) و همیشه روشن نگه دارید
Iptables
Firewalld
Ufw
# Flush existing rules and set the default policies to DROP
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Allow incoming connections related to established outbound connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow SSH traffic from a trusted IP (replace 192.168.1.100 with your IP)
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT

# Log and block port scanning attempts
iptables -N LOG_AND_DROP
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -j LOG_AND_DROP
iptables -A LOG_AND_DROP -m limit --limit 1/s -j LOG --log-prefix "Port Scanning: " --log-level 4
iptables -A LOG_AND_DROP -j DROP

# Log and block excessive ICMP (ping) requests
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j LOG --log-prefix "ICMP Flood: " --log-level 4
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Log and block excessive UDP packets (DDoS protection)
iptables -A INPUT -p udp -m limit --limit 10/s -j LOG --log-prefix "UDP Flood: " --log-level 4
iptables -A INPUT -p udp -j DROP

# Log and block all other incoming traffic
iptables -A INPUT -j LOG --log-prefix "Blocked: " --log-level 4
iptables -A INPUT -j DROP

ufw
# Reset UFW to default settings
sudo ufw --force reset

# Set default policies to DROP
sudo ufw default deny incoming
sudo ufw default allow outgoing

# Allow incoming SSH traffic from a trusted IP (replace 192.168.1.100 with your IP)
sudo ufw allow from 192.168.1.100 to any port 22 proto tcp

# Create a custom chain to log and block port scanning attempts
sudo ufw route allow in proto tcp from any to any port 1:65535 log prefix "[UFW BLOCK] Port Scanning: " limit rate 1/minute
sudo ufw route deny in proto tcp from any to any port 1:65535

# Create a custom chain to log and block excessive ICMP (ping) requests
sudo ufw route allow in proto icmp from any log prefix "[UFW BLOCK] ICMP Flood: " limit rate 1/second
sudo ufw route deny in proto icmp from any

# Create a custom chain to log and block excessive UDP packets (DDoS protection)
sudo ufw route allow in proto udp from any log prefix "[UFW BLOCK] UDP Flood: " limit rate 10/second
sudo ufw route deny in proto udp from any

# Enable UFW
sudo ufw enable
Explanation:
• The first command (sudo ufw --force reset) resets UFW to default settings to ensure a clean configuration.
• The next two commands set the default policies to DROP for incoming traffic and ALLOW for outgoing traffic.
• SSH traffic is allowed from a trusted IP address (replace 192.168.1.100 with your IP).
• Custom UFW chains are created to log and block port scanning attempts, excessive ICMP requests, and excessive UDP packets.
Keep in mind that UFW rules are processed in order, so make sure to place the more specific rules (e.g., allow SSH) before the generic log and block rules.
Remember that UFW is just a front-end to iptables and does not provide all iptables features. For more complex firewall rules, you may need to work directly with iptables or use other firewall management tools. Always exercise caution when modifying firewall rules to avoid unintended consequences.
@Engineer_Computer

نکته 5. جهت جلوگیری از حمله بروت فورس ترجیحا از key authentication استفاده کنید همچنین می توانید از fail2ban استفاده کنید.
https://www.puttygen.com
sudo nano /etc/ssh/sshd_config
PasswordAuthentication yes
PasswordAuthentication no
sudo systemctl restart sshd

https://github.com/fail2ban/fail2ban

نکات خود VPN
نکته 6. از vpn protocol استفاده کنید که قابلیت kill switch داشته باشد مثل openvpn
نکته 7. حتما از رمزنگاری قوی AES256 در openvpn خود استفاده کنید.
نکته 8. جهت جلوگیری از ipleak و ارور 403 گوگل ipv6 را غیر فعال کنید.
nano /etc/sysctl.conf
net.ipv6.conf.all.disable_ipv6=1
net.ipv6.conf.default.disable_ipv6=1
net.ipv6.conf.lo.disable_ipv6=1
sudo sysctl -p
نکته 9. DOH را روی سرورتان جهت جلوگیری از DNS leak فعال کنید
نکته 10. حتما پسورد پیچیده برای پروفایل کلاینت وی پی ان در نظر بگیرید.
سمت کلاینت
نکته 11. حتما webrtc را روی مرورگر غیر فعال کنید تا ip اصلی شما ایران افشا نشود
نکته 12. از تنظیمات حریم شخصی سیستم عاملتان حتما location را خاموش کنید
نکته 13. از تنظیمات حریم شخصی سیستم عاملتان شناسایی زبان را خاموش کنید.
خرید وی پی ان
نکته 14. اگر vpn تجاری خرید کردید مثل HMA nORD و ... حتما 2FA و MFA را رویشان فعال کنید.
نکته 15. از هر شخص یا هر مغازه یا هر آشنایی وی پی ان خرید نکنید!
ترجیحا از جایی که با کریپتو می توان خرید کرد خرید کنید.
@Engineer_Computer