اگر علاقه مند هستید که وارد حوزه #بلوتیم بشید
15 گام زیر می توانند به شما دید خوبی بدند برای انتخاب اینکه به سمت تیم آبی بروید یا نه !
من تجربه در حد 5 ماه در SOC داشتم ولی همون به من کمک کرد در ردتیم
به صورت کلی بلوتیم در حوزه امنیت تدافعی عمل میکند و نقطه مقابل ردتیم هست.
گام اول درک تهدیدات تا زمانی که تکنیک هایی که در سمت #ردتیم انجام می شود را درک نکنید نمی توانید رویکرد دفاعی مناسبی داشته باشید
https://ctf.hackthebox.com/pack/blue-team-analyst-level-1
https://tryhackme.com/path/outline/blueteam
گام دوم شما باید آشنایی با بهترین روش های امن سازی داشته باشید منابع CIS را مطالعه کنید برای تمامی صنعت ها بهترین روشها ارایه شده است و همچنین بروزرسانی، سیاست پسورد امن و دادن حداقل دسترسی به همه
https://www.cisecurity.org/controls/v8
گام سوم هر چقدر شبکه ها کوچک تر بشوند و vlan بندی اصطلاحا بشود در صورت نفوذ به هر بخش امکان تاثیر گذاری روی کل سازمان حداقلی است
گام چهارم استفاده از سیستم های مانیتورینگ و تشخیص حمله
IDS سیستم تشخیص نفوذ
IPS سیستم جلوگیری از نفوذ
SIEM اطلاعات امنیتی و مدیریت رویداد
می توانید از elk security جهت تمرین استفاده کنید
گام پنجم IRP طرح واکنش به حادثه
یک طرح جامع واکنش به حادثه ایجاد کنید که رویههای واضحی را برای شناسایی، واکنش و بازیابی حوادث امنیتی مشخص میکند.
گام 6 TH یا شکار تهدید (مهم)
خیلی از تهدیدهای بالقوه در سازمان ها و حملات توسط ابزارهای اتومات قابل شناسایی نیستند و نیازمند شکار تهدید هستند. مهارت در شکار تهدید بسیار مهم هست
SOC tiers
tier 1 triage specialist
tier 2 incident response + threat intelligence
tier 3 TH
و مدیر soc
گام هفتم
اموزش به کارکنان: به طور منظم به کارکنان در مورد بهترین شیوه های امنیت سایبری و تهدیدات احتمالی مانند فیشینگ و مهندسی اجتماعی آموزش دهید.
اجرا تمرین های فیشینگ در سازمان ها
گام هشتم
پیاده سازی مدیریت آسیب پذیری داشتن همچین برنامه ای برای شناسایی آُسیب پذیری های روی دارایی های سازمان الویت بندی و آپدیت کردن آن ها خیلی مهم است
گام نهم
نظارت مستمر یا continues monitoring سازمان هایی که نظارت مستمر ندارند و توانایی کشف ناهنجاری anomalies و رفتارهای مشکوک را ندارند خیلی راحت هک می شوند
خیلی ساده وصل شدن به سرورها بعد از ساعت کاری
گام دهم
همکاری و حضور در جلسات تیم بنفش و رفع مشکلات و حملات با ارایه راه حل ها یا آپدیت رول هایی که توسط تیم قرمز بایپس شده اند
گام یازدهم
تجزیه و تحلیل شبکه: به صورت کلی باید pattern رفتار شبکه عادیتان را داشته باشید تا بتوانید رفتار مشکوک یا ناهجاری را تشخیص دهید امروزه برای این کار از ML استفاده می شود train رفتار شبکه عادی و کشف خودکار ناهنجاری
گام دوازدهم
ارزیابی امنیتی به صورت ادواری و منظم، سازمان ها باید به صورت منظم پن تست شوند چرا که آسیب پذیریهای جدیدی که بعد از ارزیابی گذشته کشف شدند هنوز به صورت بالقوه در سازمان ها وجود دارند
گام 13
هوش تهدید: راه اندازی هوش تهدید کار بسیار پیچیده ای هست و همچنین هزینه های گزافی دارد اما می توان از اطلاعاتی که شرکت های CTI می دهند جهت شناسایی تهدیدها استفاده کرد نکته مهم این است CTI feed شرکت های خارجی به درد ایران نمی خورد چون C2 ها کشف شده برای کشور اروپایی امریکایی
گام چهاردهم
داشتن برنامه برای بک اپ گیری زندگی شما را نجات می دهد و اما خود بک اپ گیری بسیار مهم است و تخصص محسوب می شود چرا که انواع مختلف و همچنین نوع ذخیره سازی بسیار مهم است
گام 15
هر سازمان خروجی منحصر به فرد دارد شیوه امن کردن سازمان ها به یک شکل نیست و با یک کتاب یک فرمول امن نمی شود باید هاردنینگ بر اساس هر سازمان انجام شود.
تیم آبی نیاز به یک رویکرد فعال و هوشیار برای دفاع در برابر تهدیدات سایبری دارد.
تیم ابی بدون همکاری با تیم قرمز موثر نیست
@Engineer_Computer
15 گام زیر می توانند به شما دید خوبی بدند برای انتخاب اینکه به سمت تیم آبی بروید یا نه !
من تجربه در حد 5 ماه در SOC داشتم ولی همون به من کمک کرد در ردتیم
به صورت کلی بلوتیم در حوزه امنیت تدافعی عمل میکند و نقطه مقابل ردتیم هست.
گام اول درک تهدیدات تا زمانی که تکنیک هایی که در سمت #ردتیم انجام می شود را درک نکنید نمی توانید رویکرد دفاعی مناسبی داشته باشید
https://ctf.hackthebox.com/pack/blue-team-analyst-level-1
https://tryhackme.com/path/outline/blueteam
گام دوم شما باید آشنایی با بهترین روش های امن سازی داشته باشید منابع CIS را مطالعه کنید برای تمامی صنعت ها بهترین روشها ارایه شده است و همچنین بروزرسانی، سیاست پسورد امن و دادن حداقل دسترسی به همه
https://www.cisecurity.org/controls/v8
گام سوم هر چقدر شبکه ها کوچک تر بشوند و vlan بندی اصطلاحا بشود در صورت نفوذ به هر بخش امکان تاثیر گذاری روی کل سازمان حداقلی است
گام چهارم استفاده از سیستم های مانیتورینگ و تشخیص حمله
IDS سیستم تشخیص نفوذ
IPS سیستم جلوگیری از نفوذ
SIEM اطلاعات امنیتی و مدیریت رویداد
می توانید از elk security جهت تمرین استفاده کنید
گام پنجم IRP طرح واکنش به حادثه
یک طرح جامع واکنش به حادثه ایجاد کنید که رویههای واضحی را برای شناسایی، واکنش و بازیابی حوادث امنیتی مشخص میکند.
گام 6 TH یا شکار تهدید (مهم)
خیلی از تهدیدهای بالقوه در سازمان ها و حملات توسط ابزارهای اتومات قابل شناسایی نیستند و نیازمند شکار تهدید هستند. مهارت در شکار تهدید بسیار مهم هست
SOC tiers
tier 1 triage specialist
tier 2 incident response + threat intelligence
tier 3 TH
و مدیر soc
گام هفتم
اموزش به کارکنان: به طور منظم به کارکنان در مورد بهترین شیوه های امنیت سایبری و تهدیدات احتمالی مانند فیشینگ و مهندسی اجتماعی آموزش دهید.
اجرا تمرین های فیشینگ در سازمان ها
گام هشتم
پیاده سازی مدیریت آسیب پذیری داشتن همچین برنامه ای برای شناسایی آُسیب پذیری های روی دارایی های سازمان الویت بندی و آپدیت کردن آن ها خیلی مهم است
گام نهم
نظارت مستمر یا continues monitoring سازمان هایی که نظارت مستمر ندارند و توانایی کشف ناهنجاری anomalies و رفتارهای مشکوک را ندارند خیلی راحت هک می شوند
خیلی ساده وصل شدن به سرورها بعد از ساعت کاری
گام دهم
همکاری و حضور در جلسات تیم بنفش و رفع مشکلات و حملات با ارایه راه حل ها یا آپدیت رول هایی که توسط تیم قرمز بایپس شده اند
گام یازدهم
تجزیه و تحلیل شبکه: به صورت کلی باید pattern رفتار شبکه عادیتان را داشته باشید تا بتوانید رفتار مشکوک یا ناهجاری را تشخیص دهید امروزه برای این کار از ML استفاده می شود train رفتار شبکه عادی و کشف خودکار ناهنجاری
گام دوازدهم
ارزیابی امنیتی به صورت ادواری و منظم، سازمان ها باید به صورت منظم پن تست شوند چرا که آسیب پذیریهای جدیدی که بعد از ارزیابی گذشته کشف شدند هنوز به صورت بالقوه در سازمان ها وجود دارند
گام 13
هوش تهدید: راه اندازی هوش تهدید کار بسیار پیچیده ای هست و همچنین هزینه های گزافی دارد اما می توان از اطلاعاتی که شرکت های CTI می دهند جهت شناسایی تهدیدها استفاده کرد نکته مهم این است CTI feed شرکت های خارجی به درد ایران نمی خورد چون C2 ها کشف شده برای کشور اروپایی امریکایی
گام چهاردهم
داشتن برنامه برای بک اپ گیری زندگی شما را نجات می دهد و اما خود بک اپ گیری بسیار مهم است و تخصص محسوب می شود چرا که انواع مختلف و همچنین نوع ذخیره سازی بسیار مهم است
گام 15
هر سازمان خروجی منحصر به فرد دارد شیوه امن کردن سازمان ها به یک شکل نیست و با یک کتاب یک فرمول امن نمی شود باید هاردنینگ بر اساس هر سازمان انجام شود.
تیم آبی نیاز به یک رویکرد فعال و هوشیار برای دفاع در برابر تهدیدات سایبری دارد.
تیم ابی بدون همکاری با تیم قرمز موثر نیست
@Engineer_Computer
HTB - Capture The Flag
CTF Challenges for Blue Team Analyst - Level 1 | HTB CTF
Building Your Skills as a Junior Blue Team Analyst
اگر علاقه مند هستید بدانید تیم بنفش (#پرپل_تیم) کارش چیست و چطور کار می کند 12 گام زیر را مطالعه کنید
به صورت کلی تیم بنفش وظیفه اش شناسایی تهدیدات منطبق با سازمان (گروه های هکری که سازمانشان را تهدید میکنند) برنامه ریزی کردن و ایجاد هماهنگی بین تیم آبی و تیم قرمز می باشد.
گام اول
نقش های #ردتیم و #بلوتیم را درک کنید: ابتدا با نقش ها و مسئولیت های تیم های قرمز و آبی آشنا شوید. تمرکز تیم قرمز بر روی فعالیتهای تهاجمی، شبیهسازی حملات برای شناسایی آسیبپذیریها است، در حالی که تیم آبی بر اقدامات دفاعی و واکنش به حوادث تمرکز میکند.
گام دوم
همکاری و ارتباط: ارتباط و همکاری موثر بین تیم های قرمز و آبی در تیم سازی بنفش ضروری است. جلسات را باید مدیریت کنید تا بتوانید حداکثر خروجی بگیرید به صورت کلی تیم قرمز و آبی رابطه ندارند وظیفه شما است که مدیریتشان کنید و ارتباط را تشکیل دهید
گام سوم
اهداف و دامنه تمرین تیمی بنفش را به وضوح تعریف کنید. مثلا تست کردن رول های شناسایی تیم بلو توسط رد تیم یا تقویت IR تیم بلو
گام چهارم
شما باید TI روی سازمان و شناسایی APT منطبق دقیقا همان حملات را شبیه سازی کنید به دنبال شبیه سازی تمام حملات نباشید فقط تیم آبی را بی خودی در گیر می کنید روی هدف اصلی باید متمرکز شوید و تیم آبی خود را تقویت کنید.
گام پنجم
Conduct Tabletop Exercises
یا purple team excersie
تمرین هایی که سبب افزایش ارتقا دانش رد تیم و بلو تیم می شوند.
https://github.com/scythe-io/purple-team-exercise-framework
گام ششم
باید بتوانید فرهنگ به اشتراک گذاری را در سازمان ارتقا دهید و کاری کنید که رد تیم بلو تیم ابزارها و تکنیک ها خود را با هم به اشتراک بگذارند و این کار بسیار سختی است! ولی تنها دلیل پیشرفت امنیت اشتراک گذاری است.
گام هفتم
از یکدیگر بیاموزید: بر یادگیری و بهبود به جای رقابت بین تیم ها تاکید کنید. هر دو تیم قرمز و آبی می توانند از درک دیدگاه و رویکردهای طرف مقابل سود ببرند.
گام هشتم
از معیارها و بازخورد استفاده کنید: اثربخشی تمرینات تیم بنفش را با استفاده از معیارها و بازخورد اندازه گیری کنید. این به شناسایی زمینه های بهبود و ردیابی پیشرفت در طول زمان کمک می کند.
گام نهم
تمرکز بر کاهش و اصلاح: هدف تیمسازی بنفش فقط شناسایی نقاط ضعف نیست، بلکه همکاری با یکدیگر برای توسعه و اجرای استراتژیهای کاهش و اصلاح موثر است
گام دهم
نتایج را مستند کنید و به اشتراک بگذارید: یافته ها و درس های آموخته شده از هر تمرین تیم بنفش را مستند کنید. نتایج را با ذینفعان مربوطه به اشتراک بگذارید تا بهبود مستمر تسهیل شود.
گام یازدهم
بهبود مستمر: تیم سازی بنفش یک فرآیند مداوم است. به طور منظم تمرین هایی را برای ارزیابی و ارتقای وضعیت امنیتی سازمان انجام دهید.
گام دوازدهم
همسو با اهداف تجاری: اطمینان حاصل کنید که فعالیت های تیمی بنفش با اهداف کلی کسب و کار و اهداف امنیتی سازمان هماهنگ است.
تیم بنفش فرهنگ امنیت سایبری مشارکتی و فعال را در یک سازمان تقویت می کند و به پر کردن شکاف بین جنبه های تهاجمی و دفاعی امنیت سایبری کمک می کند.
@Engineer_Computer
به صورت کلی تیم بنفش وظیفه اش شناسایی تهدیدات منطبق با سازمان (گروه های هکری که سازمانشان را تهدید میکنند) برنامه ریزی کردن و ایجاد هماهنگی بین تیم آبی و تیم قرمز می باشد.
گام اول
نقش های #ردتیم و #بلوتیم را درک کنید: ابتدا با نقش ها و مسئولیت های تیم های قرمز و آبی آشنا شوید. تمرکز تیم قرمز بر روی فعالیتهای تهاجمی، شبیهسازی حملات برای شناسایی آسیبپذیریها است، در حالی که تیم آبی بر اقدامات دفاعی و واکنش به حوادث تمرکز میکند.
گام دوم
همکاری و ارتباط: ارتباط و همکاری موثر بین تیم های قرمز و آبی در تیم سازی بنفش ضروری است. جلسات را باید مدیریت کنید تا بتوانید حداکثر خروجی بگیرید به صورت کلی تیم قرمز و آبی رابطه ندارند وظیفه شما است که مدیریتشان کنید و ارتباط را تشکیل دهید
گام سوم
اهداف و دامنه تمرین تیمی بنفش را به وضوح تعریف کنید. مثلا تست کردن رول های شناسایی تیم بلو توسط رد تیم یا تقویت IR تیم بلو
گام چهارم
شما باید TI روی سازمان و شناسایی APT منطبق دقیقا همان حملات را شبیه سازی کنید به دنبال شبیه سازی تمام حملات نباشید فقط تیم آبی را بی خودی در گیر می کنید روی هدف اصلی باید متمرکز شوید و تیم آبی خود را تقویت کنید.
گام پنجم
Conduct Tabletop Exercises
یا purple team excersie
تمرین هایی که سبب افزایش ارتقا دانش رد تیم و بلو تیم می شوند.
https://github.com/scythe-io/purple-team-exercise-framework
گام ششم
باید بتوانید فرهنگ به اشتراک گذاری را در سازمان ارتقا دهید و کاری کنید که رد تیم بلو تیم ابزارها و تکنیک ها خود را با هم به اشتراک بگذارند و این کار بسیار سختی است! ولی تنها دلیل پیشرفت امنیت اشتراک گذاری است.
گام هفتم
از یکدیگر بیاموزید: بر یادگیری و بهبود به جای رقابت بین تیم ها تاکید کنید. هر دو تیم قرمز و آبی می توانند از درک دیدگاه و رویکردهای طرف مقابل سود ببرند.
گام هشتم
از معیارها و بازخورد استفاده کنید: اثربخشی تمرینات تیم بنفش را با استفاده از معیارها و بازخورد اندازه گیری کنید. این به شناسایی زمینه های بهبود و ردیابی پیشرفت در طول زمان کمک می کند.
گام نهم
تمرکز بر کاهش و اصلاح: هدف تیمسازی بنفش فقط شناسایی نقاط ضعف نیست، بلکه همکاری با یکدیگر برای توسعه و اجرای استراتژیهای کاهش و اصلاح موثر است
گام دهم
نتایج را مستند کنید و به اشتراک بگذارید: یافته ها و درس های آموخته شده از هر تمرین تیم بنفش را مستند کنید. نتایج را با ذینفعان مربوطه به اشتراک بگذارید تا بهبود مستمر تسهیل شود.
گام یازدهم
بهبود مستمر: تیم سازی بنفش یک فرآیند مداوم است. به طور منظم تمرین هایی را برای ارزیابی و ارتقای وضعیت امنیتی سازمان انجام دهید.
گام دوازدهم
همسو با اهداف تجاری: اطمینان حاصل کنید که فعالیت های تیمی بنفش با اهداف کلی کسب و کار و اهداف امنیتی سازمان هماهنگ است.
تیم بنفش فرهنگ امنیت سایبری مشارکتی و فعال را در یک سازمان تقویت می کند و به پر کردن شکاف بین جنبه های تهاجمی و دفاعی امنیت سایبری کمک می کند.
@Engineer_Computer
GitHub
GitHub - scythe-io/purple-team-exercise-framework: Purple Team Exercise Framework
Purple Team Exercise Framework. Contribute to scythe-io/purple-team-exercise-framework development by creating an account on GitHub.
در راستای دوره ناشناسی اگر vpn (وی پی ان) سرور شخصی دارید جهت حفظ #امنیت، #حریم_شخصی و #ناشناسی به نکات زیر توجه کنید. این نکات استخراجی از کتاب حریم شخصی و امنیت آقای اسنودن، میتنیک و بزل و تجربه شخصی هستند.
نکات مربوط به سرور VPS
نکته 1 .حتما پورت ssh سرور را عوض کنید
با nano یا vi
sudo nano /etc/ssh/sshd_config
تغییر پورت 22 به پورت دلخواه
در ابونتو سرور
service ssh restart
در centos
systemctl restart sshd
اگر بخواهید مجدد وصل بشید:
ssh root@ip -p portj
نکته 2. حتما پسورد پیچیده ای برای سرورتان در نظر بگیرید
passwd root or anyuser
نکته 3. حتما سرورتان را آپدیت نگه دارید
yum update -y
apt update && apt upgrade -y
نکته 4. فایروال سرور را کانفیگ ( جهت جلوگیری شناسایی وی پی ان سرور و حملات) و همیشه روشن نگه دارید
Iptables
Firewalld
Ufw
# Flush existing rules and set the default policies to DROP
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Allow incoming connections related to established outbound connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow SSH traffic from a trusted IP (replace 192.168.1.100 with your IP)
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
# Log and block port scanning attempts
iptables -N LOG_AND_DROP
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -j LOG_AND_DROP
iptables -A LOG_AND_DROP -m limit --limit 1/s -j LOG --log-prefix "Port Scanning: " --log-level 4
iptables -A LOG_AND_DROP -j DROP
# Log and block excessive ICMP (ping) requests
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j LOG --log-prefix "ICMP Flood: " --log-level 4
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Log and block excessive UDP packets (DDoS protection)
iptables -A INPUT -p udp -m limit --limit 10/s -j LOG --log-prefix "UDP Flood: " --log-level 4
iptables -A INPUT -p udp -j DROP
# Log and block all other incoming traffic
iptables -A INPUT -j LOG --log-prefix "Blocked: " --log-level 4
iptables -A INPUT -j DROP
ufw
# Reset UFW to default settings
sudo ufw --force reset
# Set default policies to DROP
sudo ufw default deny incoming
sudo ufw default allow outgoing
# Allow incoming SSH traffic from a trusted IP (replace 192.168.1.100 with your IP)
sudo ufw allow from 192.168.1.100 to any port 22 proto tcp
# Create a custom chain to log and block port scanning attempts
sudo ufw route allow in proto tcp from any to any port 1:65535 log prefix "[UFW BLOCK] Port Scanning: " limit rate 1/minute
sudo ufw route deny in proto tcp from any to any port 1:65535
# Create a custom chain to log and block excessive ICMP (ping) requests
sudo ufw route allow in proto icmp from any log prefix "[UFW BLOCK] ICMP Flood: " limit rate 1/second
sudo ufw route deny in proto icmp from any
# Create a custom chain to log and block excessive UDP packets (DDoS protection)
sudo ufw route allow in proto udp from any log prefix "[UFW BLOCK] UDP Flood: " limit rate 10/second
sudo ufw route deny in proto udp from any
# Enable UFW
sudo ufw enable
Explanation:
• The first command (sudo ufw --force reset) resets UFW to default settings to ensure a clean configuration.
• The next two commands set the default policies to DROP for incoming traffic and ALLOW for outgoing traffic.
• SSH traffic is allowed from a trusted IP address (replace 192.168.1.100 with your IP).
• Custom UFW chains are created to log and block port scanning attempts, excessive ICMP requests, and excessive UDP packets.
Keep in mind that UFW rules are processed in order, so make sure to place the more specific rules (e.g., allow SSH) before the generic log and block rules.
Remember that UFW is just a front-end to iptables and does not provide all iptables features. For more complex firewall rules, you may need to work directly with iptables or use other firewall management tools. Always exercise caution when modifying firewall rules to avoid unintended consequences.
@Engineer_Computer
نکات مربوط به سرور VPS
نکته 1 .حتما پورت ssh سرور را عوض کنید
با nano یا vi
sudo nano /etc/ssh/sshd_config
تغییر پورت 22 به پورت دلخواه
در ابونتو سرور
service ssh restart
در centos
systemctl restart sshd
اگر بخواهید مجدد وصل بشید:
ssh root@ip -p portj
نکته 2. حتما پسورد پیچیده ای برای سرورتان در نظر بگیرید
passwd root or anyuser
نکته 3. حتما سرورتان را آپدیت نگه دارید
yum update -y
apt update && apt upgrade -y
نکته 4. فایروال سرور را کانفیگ ( جهت جلوگیری شناسایی وی پی ان سرور و حملات) و همیشه روشن نگه دارید
Iptables
Firewalld
Ufw
# Flush existing rules and set the default policies to DROP
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Allow incoming connections related to established outbound connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow SSH traffic from a trusted IP (replace 192.168.1.100 with your IP)
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
# Log and block port scanning attempts
iptables -N LOG_AND_DROP
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -j LOG_AND_DROP
iptables -A LOG_AND_DROP -m limit --limit 1/s -j LOG --log-prefix "Port Scanning: " --log-level 4
iptables -A LOG_AND_DROP -j DROP
# Log and block excessive ICMP (ping) requests
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j LOG --log-prefix "ICMP Flood: " --log-level 4
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Log and block excessive UDP packets (DDoS protection)
iptables -A INPUT -p udp -m limit --limit 10/s -j LOG --log-prefix "UDP Flood: " --log-level 4
iptables -A INPUT -p udp -j DROP
# Log and block all other incoming traffic
iptables -A INPUT -j LOG --log-prefix "Blocked: " --log-level 4
iptables -A INPUT -j DROP
ufw
# Reset UFW to default settings
sudo ufw --force reset
# Set default policies to DROP
sudo ufw default deny incoming
sudo ufw default allow outgoing
# Allow incoming SSH traffic from a trusted IP (replace 192.168.1.100 with your IP)
sudo ufw allow from 192.168.1.100 to any port 22 proto tcp
# Create a custom chain to log and block port scanning attempts
sudo ufw route allow in proto tcp from any to any port 1:65535 log prefix "[UFW BLOCK] Port Scanning: " limit rate 1/minute
sudo ufw route deny in proto tcp from any to any port 1:65535
# Create a custom chain to log and block excessive ICMP (ping) requests
sudo ufw route allow in proto icmp from any log prefix "[UFW BLOCK] ICMP Flood: " limit rate 1/second
sudo ufw route deny in proto icmp from any
# Create a custom chain to log and block excessive UDP packets (DDoS protection)
sudo ufw route allow in proto udp from any log prefix "[UFW BLOCK] UDP Flood: " limit rate 10/second
sudo ufw route deny in proto udp from any
# Enable UFW
sudo ufw enable
Explanation:
• The first command (sudo ufw --force reset) resets UFW to default settings to ensure a clean configuration.
• The next two commands set the default policies to DROP for incoming traffic and ALLOW for outgoing traffic.
• SSH traffic is allowed from a trusted IP address (replace 192.168.1.100 with your IP).
• Custom UFW chains are created to log and block port scanning attempts, excessive ICMP requests, and excessive UDP packets.
Keep in mind that UFW rules are processed in order, so make sure to place the more specific rules (e.g., allow SSH) before the generic log and block rules.
Remember that UFW is just a front-end to iptables and does not provide all iptables features. For more complex firewall rules, you may need to work directly with iptables or use other firewall management tools. Always exercise caution when modifying firewall rules to avoid unintended consequences.
@Engineer_Computer
👍1
نکته 5. جهت جلوگیری از حمله بروت فورس ترجیحا از key authentication استفاده کنید همچنین می توانید از fail2ban استفاده کنید.
https://www.puttygen.com
sudo nano /etc/ssh/sshd_config
PasswordAuthentication yes
PasswordAuthentication no
sudo systemctl restart sshd
https://github.com/fail2ban/fail2ban
نکات خود VPN
نکته 6. از vpn protocol استفاده کنید که قابلیت kill switch داشته باشد مثل openvpn
نکته 7. حتما از رمزنگاری قوی AES256 در openvpn خود استفاده کنید.
نکته 8. جهت جلوگیری از ipleak و ارور 403 گوگل ipv6 را غیر فعال کنید.
nano /etc/sysctl.conf
net.ipv6.conf.all.disable_ipv6=1
net.ipv6.conf.default.disable_ipv6=1
net.ipv6.conf.lo.disable_ipv6=1
sudo sysctl -p
نکته 9. DOH را روی سرورتان جهت جلوگیری از DNS leak فعال کنید
نکته 10. حتما پسورد پیچیده برای پروفایل کلاینت وی پی ان در نظر بگیرید.
سمت کلاینت
نکته 11. حتما webrtc را روی مرورگر غیر فعال کنید تا ip اصلی شما ایران افشا نشود
نکته 12. از تنظیمات حریم شخصی سیستم عاملتان حتما location را خاموش کنید
نکته 13. از تنظیمات حریم شخصی سیستم عاملتان شناسایی زبان را خاموش کنید.
خرید وی پی ان
نکته 14. اگر vpn تجاری خرید کردید مثل HMA nORD و ... حتما 2FA و MFA را رویشان فعال کنید.
نکته 15. از هر شخص یا هر مغازه یا هر آشنایی وی پی ان خرید نکنید!
ترجیحا از جایی که با کریپتو می توان خرید کرد خرید کنید.
@Engineer_Computer
https://www.puttygen.com
sudo nano /etc/ssh/sshd_config
PasswordAuthentication yes
PasswordAuthentication no
sudo systemctl restart sshd
https://github.com/fail2ban/fail2ban
نکات خود VPN
نکته 6. از vpn protocol استفاده کنید که قابلیت kill switch داشته باشد مثل openvpn
نکته 7. حتما از رمزنگاری قوی AES256 در openvpn خود استفاده کنید.
نکته 8. جهت جلوگیری از ipleak و ارور 403 گوگل ipv6 را غیر فعال کنید.
nano /etc/sysctl.conf
net.ipv6.conf.all.disable_ipv6=1
net.ipv6.conf.default.disable_ipv6=1
net.ipv6.conf.lo.disable_ipv6=1
sudo sysctl -p
نکته 9. DOH را روی سرورتان جهت جلوگیری از DNS leak فعال کنید
نکته 10. حتما پسورد پیچیده برای پروفایل کلاینت وی پی ان در نظر بگیرید.
سمت کلاینت
نکته 11. حتما webrtc را روی مرورگر غیر فعال کنید تا ip اصلی شما ایران افشا نشود
نکته 12. از تنظیمات حریم شخصی سیستم عاملتان حتما location را خاموش کنید
نکته 13. از تنظیمات حریم شخصی سیستم عاملتان شناسایی زبان را خاموش کنید.
خرید وی پی ان
نکته 14. اگر vpn تجاری خرید کردید مثل HMA nORD و ... حتما 2FA و MFA را رویشان فعال کنید.
نکته 15. از هر شخص یا هر مغازه یا هر آشنایی وی پی ان خرید نکنید!
ترجیحا از جایی که با کریپتو می توان خرید کرد خرید کنید.
@Engineer_Computer
PuTTYgen
PuTTYgen Download
Download PuTTYgen for Windows, Linux and Mac operating system. Find step by step guide to downloading PuTTYgen, a key generator for free.
اگر تازه میخواهید رد تیم شروع کنید به ۱۲ گام زیر توجه کنید
اینا تجربه شخصی من هستند نمیگم کامل هست ولی حتما کمکتون میکنه
تیم قرمز کلا کارش شبیه سازی حملات گروه های دولتی تهدیدات پیشرفته پایدار APT است.
شما برای اینکه وارد این حوزه بشید باید نکات زیر را مد نظر قرار بدید
گام اول مفاهیم پایه شبکه کار با سیستم عامل ها و مفاهیم امنیت شبکه را یاد بگیرید سپس شروع به کار با ابزارهای metasploit nmap openvas… بکنید تقریبا ۳۰ ابزار حتما باید یاد بگیرید.
گام دوم یاد گیری هک قانونمند است که بهترین کورس oscp یا pen200 یا pwk همشون یک کورس هستند
در این کورس
recon scan exploiting post exploiting یاد میگیرید
گام سوم تمرین هست هیچ حرفه ای بدون تمرین میسر نیست یعنی داشتن لابراتوار برای هر کاری واجب هست
اگر سیستم خوبی برای اینکار ندارید نگران نباشید گام بعدی ببینید
گام چهارم استفاده از سایت های CTF
https://www.hackthebox.com/hacker/pro-labs
https://tryhackme.com/path/outline/redteaming
گام پنجم شما بدون دانش روی اکتیو دایرکتوری نمی توانید هیچ کاری بکنید! هیچ راه فراری نیست باید active diretory را در گام اول یادبگیرید بعد روی ضعف ها و حملات متمرکز بشید
گام ششم که خیلی خودم دوستش دارم یادگیری کار با c2 ها هست
cobalt strike
empire
havoc
covenant
و …
من به صورت رایگان اموزش تو کانالم گذاشتم دوست داشتید بیینید سوال بپرسید
https://youtube.com/playlist?list=PLwq8--jsXOEkeOErfcjngfgn-Wf_0ewM4
گام هفتم شما هر شغلی داشته باشید باید اپدیت بشید در حوزه امنیت شما باید بیشتر از برنامه نویسی شبکه دو اپس و … زحمت بکشید و اپدیت بشید چون بازی شطرنج بدون پایان بین هکر و مدافع تکنیک ها بایپس ها و …
https://youtu.be/tv1YUPDYZgY
گام هشتم
شما باید نمونه حملات حتما برید ببینید قبلا براتون در مورد گفته بودم و منابع معرفی کردم
@TheDFIRReport نمونه ها با توضیح کامل
@vxunderground نمونه بدافزارها و ابزارها
گام نهم شما نیاز دارید در این راه با کسانی که تو حوزه فعال هستند ارتباط بگرید و از تجارب انها استفاده کنید
@RedTeamVillage_ و
https://www.reddit.com/r/redteamsec?utm_source=share&utm_medium=android_app&utm_name=androidcss&utm_term=1&utm_content=1
گام دهم اگر بخواهید تو ایران کار کنید یا خارج باید مهارت داشته باشید در نوشتن گزارش در ارایه شفاهی گزارش هر چقدر حرفه ای باشید ولی نتوانید زحمت خودتون کتبی گزارش کامل بدید یا شفاهی توضیح بدید که همه بفهمند نمیتوانید موفقیت خوبی تر حوزه امنیت کسب کنید مخصوصا رد تیم
گام ۱۱ شما باید یاد بگیرید چطوری مخفی بمانید و opsec را رعایت کنید من تو کورس رد تیم اشاره کردم در راه اندازی زیرساخت ردتیم اگر opsec رعایت نشه کل پروژه رو هوا میره یا استفاده از چند c2 در موارد اجرا کامند exfilter اپلود و …
گام دوازدهم
اگر تا اینجا خوندید بهتون تبریک میگم این گام یعنی باید تا می توانید مطالعه کنید کتاب مقاله بلاگ اخبار تا همیشه اپدیت بمانید و یاد بگیرید رد تیم محدود به کورس a b c d نیست
به یاد داشته باشید رد تیم کارش پیدا کردن گپ هاست کارش قانونی است با بلک هت هیچ موقع ترکیب نکنید!
@Engineer_Computer
اینا تجربه شخصی من هستند نمیگم کامل هست ولی حتما کمکتون میکنه
تیم قرمز کلا کارش شبیه سازی حملات گروه های دولتی تهدیدات پیشرفته پایدار APT است.
شما برای اینکه وارد این حوزه بشید باید نکات زیر را مد نظر قرار بدید
گام اول مفاهیم پایه شبکه کار با سیستم عامل ها و مفاهیم امنیت شبکه را یاد بگیرید سپس شروع به کار با ابزارهای metasploit nmap openvas… بکنید تقریبا ۳۰ ابزار حتما باید یاد بگیرید.
گام دوم یاد گیری هک قانونمند است که بهترین کورس oscp یا pen200 یا pwk همشون یک کورس هستند
در این کورس
recon scan exploiting post exploiting یاد میگیرید
گام سوم تمرین هست هیچ حرفه ای بدون تمرین میسر نیست یعنی داشتن لابراتوار برای هر کاری واجب هست
اگر سیستم خوبی برای اینکار ندارید نگران نباشید گام بعدی ببینید
گام چهارم استفاده از سایت های CTF
https://www.hackthebox.com/hacker/pro-labs
https://tryhackme.com/path/outline/redteaming
گام پنجم شما بدون دانش روی اکتیو دایرکتوری نمی توانید هیچ کاری بکنید! هیچ راه فراری نیست باید active diretory را در گام اول یادبگیرید بعد روی ضعف ها و حملات متمرکز بشید
گام ششم که خیلی خودم دوستش دارم یادگیری کار با c2 ها هست
cobalt strike
empire
havoc
covenant
و …
من به صورت رایگان اموزش تو کانالم گذاشتم دوست داشتید بیینید سوال بپرسید
https://youtube.com/playlist?list=PLwq8--jsXOEkeOErfcjngfgn-Wf_0ewM4
گام هفتم شما هر شغلی داشته باشید باید اپدیت بشید در حوزه امنیت شما باید بیشتر از برنامه نویسی شبکه دو اپس و … زحمت بکشید و اپدیت بشید چون بازی شطرنج بدون پایان بین هکر و مدافع تکنیک ها بایپس ها و …
https://youtu.be/tv1YUPDYZgY
گام هشتم
شما باید نمونه حملات حتما برید ببینید قبلا براتون در مورد گفته بودم و منابع معرفی کردم
@TheDFIRReport نمونه ها با توضیح کامل
@vxunderground نمونه بدافزارها و ابزارها
گام نهم شما نیاز دارید در این راه با کسانی که تو حوزه فعال هستند ارتباط بگرید و از تجارب انها استفاده کنید
@RedTeamVillage_ و
https://www.reddit.com/r/redteamsec?utm_source=share&utm_medium=android_app&utm_name=androidcss&utm_term=1&utm_content=1
گام دهم اگر بخواهید تو ایران کار کنید یا خارج باید مهارت داشته باشید در نوشتن گزارش در ارایه شفاهی گزارش هر چقدر حرفه ای باشید ولی نتوانید زحمت خودتون کتبی گزارش کامل بدید یا شفاهی توضیح بدید که همه بفهمند نمیتوانید موفقیت خوبی تر حوزه امنیت کسب کنید مخصوصا رد تیم
گام ۱۱ شما باید یاد بگیرید چطوری مخفی بمانید و opsec را رعایت کنید من تو کورس رد تیم اشاره کردم در راه اندازی زیرساخت ردتیم اگر opsec رعایت نشه کل پروژه رو هوا میره یا استفاده از چند c2 در موارد اجرا کامند exfilter اپلود و …
گام دوازدهم
اگر تا اینجا خوندید بهتون تبریک میگم این گام یعنی باید تا می توانید مطالعه کنید کتاب مقاله بلاگ اخبار تا همیشه اپدیت بمانید و یاد بگیرید رد تیم محدود به کورس a b c d نیست
به یاد داشته باشید رد تیم کارش پیدا کردن گپ هاست کارش قانونی است با بلک هت هیچ موقع ترکیب نکنید!
@Engineer_Computer
Hack The Box
Elite Red Team Training Labs For Offensive Security Red Teaming
Practice offensive cybersecurity by penetrating complex, realistic scenarios. Red team training with labs and a certificate of completion. Browse HTB Pro Labs!
🔰 لیست Event های مهمی که موقع تحلیل رخداد باید در صورت وجود بررسی شوند.
#SOC
#incident
#Analysis
@Engineer_Computer
#SOC
#incident
#Analysis
@Engineer_Computer
List of all available and newest CVEs (Common Vulnerabilities and Exposures) with links to their PoC (proof of concept).
Data since 1999 (!)
فهرستی از تمامی CVE های موجود و جدید
داده ها از سال 1999 (!)
https://github.com/trickest/cve
#SOC
#CVE
@Engineer_Computer
Data since 1999 (!)
فهرستی از تمامی CVE های موجود و جدید
داده ها از سال 1999 (!)
https://github.com/trickest/cve
#SOC
#CVE
@Engineer_Computer
Attacking network protocols ebook 2 (1).pdf
5.1 MB
معرفی یک کتاب فوق العاده جهت تحلیل و اکسپلویت آسیب پذیری های شبکه - پارت دوم
نام این کتاب Attacking Network Protocol هست و به طور کلی مباحث زیر رو پوشش میده:
بررسی مفاهیم اولیه
نحوه ثبت و ضبط ترافیک لایه اپلیکیشن
ساختار پروتکل های شبکه
امنیت پروتکل های شبکه
مهندسی معکوس برخی از مهمترین اپلیکیشن ها
نحوه یافتن آسیب پذیری و اکسپلویت ها
و ...
#doc
@Engineer_Computer
نام این کتاب Attacking Network Protocol هست و به طور کلی مباحث زیر رو پوشش میده:
بررسی مفاهیم اولیه
نحوه ثبت و ضبط ترافیک لایه اپلیکیشن
ساختار پروتکل های شبکه
امنیت پروتکل های شبکه
مهندسی معکوس برخی از مهمترین اپلیکیشن ها
نحوه یافتن آسیب پذیری و اکسپلویت ها
و ...
#doc
@Engineer_Computer
Attacking network protocols ebook (1).pdf
3.6 MB
معرفی یک کتاب فوق العاده جهت تحلیل و اکسپلویت آسیب پذیری های شبکه - پارت اول
نام این کتاب Attacking Network Protocol هست و به طور کلی مباحث زیر رو پوشش میده:
بررسی مفاهیم اولیه
نحوه ثبت و ضبط ترافیک لایه اپلیکیشن
ساختار پروتکل های شبکه
امنیت پروتکل های شبکه
مهندسی معکوس برخی از مهمترین اپلیکیشن ها
نحوه یافتن آسیب پذیری و اکسپلویت ها
و ...
#doc
@Engineer_Computer
نام این کتاب Attacking Network Protocol هست و به طور کلی مباحث زیر رو پوشش میده:
بررسی مفاهیم اولیه
نحوه ثبت و ضبط ترافیک لایه اپلیکیشن
ساختار پروتکل های شبکه
امنیت پروتکل های شبکه
مهندسی معکوس برخی از مهمترین اپلیکیشن ها
نحوه یافتن آسیب پذیری و اکسپلویت ها
و ...
#doc
@Engineer_Computer
لاگ های مهم ویندوز جهت مانیتورینگ و تحلیل:
4688: A new process has been created
5156: The Windows Filtering Platform has allowed connection
7045: A service was installed in the system
4657: A registry value was modified
4660: An object was deleted
4663: An attempt was made to access, modify, delete an object
7036: a service has entered the stopped state
7040: a service has disabled
#SOC
#EventID
@Engineer_Computer
4688: A new process has been created
5156: The Windows Filtering Platform has allowed connection
7045: A service was installed in the system
4657: A registry value was modified
4660: An object was deleted
4663: An attempt was made to access, modify, delete an object
7036: a service has entered the stopped state
7040: a service has disabled
#SOC
#EventID
@Engineer_Computer
Kali Linux Cheatsheet
SQLMap Examples
Metasploit
Exploit Research
Password Cracking
Username Enumeration
HTTP / HTTPS Webserver Enumeration
DNSRecon
NMAP Commands
and more.
https://github.com/NoorQureshi/kali-linux-cheatsheet
#SOC
#KaliLinux
@Engineer_Computer
SQLMap Examples
Metasploit
Exploit Research
Password Cracking
Username Enumeration
HTTP / HTTPS Webserver Enumeration
DNSRecon
NMAP Commands
and more.
https://github.com/NoorQureshi/kali-linux-cheatsheet
#SOC
#KaliLinux
@Engineer_Computer
GitHub
GitHub - NoorQureshi/kali-linux-cheatsheet: Kali Linux Cheat Sheet for Penetration Testers
Kali Linux Cheat Sheet for Penetration Testers. Contribute to NoorQureshi/kali-linux-cheatsheet development by creating an account on GitHub.
🔏SOC Multi Tool🔏
Chrome Extension for quick:
IP/Domain Reputation Lookup
IP/ Domain Info Lookup
Hash Reputation Lookup (
Decoding of Base64 & HEX using CyberChef
File Extension & Filename Lookup
and more (view pic)
https://chrome.google.com/webstore/detail/soc-multi-tool/diagjgnagmnjdfnfcciocmjcllacgkab/
#SOC
#EventID
@Engineer_Computer
Chrome Extension for quick:
IP/Domain Reputation Lookup
IP/ Domain Info Lookup
Hash Reputation Lookup (
Decoding of Base64 & HEX using CyberChef
File Extension & Filename Lookup
and more (view pic)
https://chrome.google.com/webstore/detail/soc-multi-tool/diagjgnagmnjdfnfcciocmjcllacgkab/
#SOC
#EventID
@Engineer_Computer
#Exchange #Zeroday
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.
مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.
اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.
بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه System.UnitySerializationHolder یک شیُ از کلاس System.Windows.Markup.XamlReader رو ایجاد کرده و داده های XAML پیلود ارسالی رو پردازش کند.
@Engineer_Computer
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.
مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.
اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.
بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه System.UnitySerializationHolder یک شیُ از کلاس System.Windows.Markup.XamlReader رو ایجاد کرده و داده های XAML پیلود ارسالی رو پردازش کند.
@Engineer_Computer