⭕️Analytics
A Year in Review of 0-days Exploited In-the-Wild in 2022
Maddie Stone, Security Researcher, Threat Analysis Group (TAG)
This is Google’s fourth annual year-in-review of 0-days exploited in-the-wild [2021, 2020, 2019] and builds off of the mid-year 2022 review. The goal of this report is not to detail each individual exploit, but instead to analyze the exploits from the year as a whole, looking for trends, gaps, lessons learned, and successes.
Executive Summary
41 in-the-wild 0-days were detected and disclosed in 2022, the second-most ever recorded since we began tracking in mid-2014, but down from the 69 detected in 2021. Although a 40% drop might seem like a clear-cut win for improving security, the reality is more complicated. Some of our key takeaways from 2022 include:
N-days function like 0-days on Android due to long patching times. Across the Android ecosystem there were multiple cases where patches were not available to users for a significant time. Attackers didn’t need 0-day exploits and instead were able to use n-days that functioned as 0-days.
0-click exploits and new browser mitigations drive down browser 0-days. Many attackers have been moving towards 0-click rather than 1-click exploits. 0-clicks usually target components other than the browser. In addition, all major browsers also implemented new defenses that make exploiting a vulnerability more difficult and could have influenced attackers moving to other attack surfaces.
Over 40% of the 0-days discovered were variants of previously reported vulnerabilities. 17 out of the 41 in-the-wild 0-days from 2022 are variants of previously reported vulnerabilities. This continues the unpleasant trend that we’ve discussed previously in both the 2020 Year in Review report and the mid-way through 2022 report. More than 20% are variants of previous in-the-wild 0-days from 2021 and 2020.
Bug collisions are high. 2022 brought more frequent reports of attackers using the same vulnerabilities as each other, as well as security researchers reporting vulnerabilities that were later discovered to be used by attackers. When an in-the-wild 0-day targeting a popular consumer platform is found and fixed, it's increasingly likely to be breaking another attacker's exploit as well
https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html
@Engineer_Computer
#vulnerability #zerotrust #zeroday #threatintelligence #threathunting
A Year in Review of 0-days Exploited In-the-Wild in 2022
Maddie Stone, Security Researcher, Threat Analysis Group (TAG)
This is Google’s fourth annual year-in-review of 0-days exploited in-the-wild [2021, 2020, 2019] and builds off of the mid-year 2022 review. The goal of this report is not to detail each individual exploit, but instead to analyze the exploits from the year as a whole, looking for trends, gaps, lessons learned, and successes.
Executive Summary
41 in-the-wild 0-days were detected and disclosed in 2022, the second-most ever recorded since we began tracking in mid-2014, but down from the 69 detected in 2021. Although a 40% drop might seem like a clear-cut win for improving security, the reality is more complicated. Some of our key takeaways from 2022 include:
N-days function like 0-days on Android due to long patching times. Across the Android ecosystem there were multiple cases where patches were not available to users for a significant time. Attackers didn’t need 0-day exploits and instead were able to use n-days that functioned as 0-days.
0-click exploits and new browser mitigations drive down browser 0-days. Many attackers have been moving towards 0-click rather than 1-click exploits. 0-clicks usually target components other than the browser. In addition, all major browsers also implemented new defenses that make exploiting a vulnerability more difficult and could have influenced attackers moving to other attack surfaces.
Over 40% of the 0-days discovered were variants of previously reported vulnerabilities. 17 out of the 41 in-the-wild 0-days from 2022 are variants of previously reported vulnerabilities. This continues the unpleasant trend that we’ve discussed previously in both the 2020 Year in Review report and the mid-way through 2022 report. More than 20% are variants of previous in-the-wild 0-days from 2021 and 2020.
Bug collisions are high. 2022 brought more frequent reports of attackers using the same vulnerabilities as each other, as well as security researchers reporting vulnerabilities that were later discovered to be used by attackers. When an in-the-wild 0-day targeting a popular consumer platform is found and fixed, it's increasingly likely to be breaking another attacker's exploit as well
https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html
@Engineer_Computer
#vulnerability #zerotrust #zeroday #threatintelligence #threathunting
Google Online Security Blog
The Ups and Downs of 0-days: A Year in Review of 0-days Exploited In-the-Wild in 2022
Maddie Stone, Security Researcher, Threat Analysis Group (TAG) This is Google’s fourth annual year-in-review of 0-days exploited in-the-wild...
⭕️ اسکریپتی با استفاده از پاورشل نوشته شده است و برای IR و Threat Hunting در ویندوز مناسب است.
با استفاده از این اسکریپت، میتوان به سرعت لیستی از موارد زیر را بررسی کرد:
#DFIR #ThreatHunting
@Engineer_Computer
با استفاده از این اسکریپت، میتوان به سرعت لیستی از موارد زیر را بررسی کرد:
General information
Accountand group information
Network
Process Information
OS Build and HOTFIXE
Persistence
HARDWARE Information
Encryption information
FIREWALL INFORMATION
Services
History
SMB Queries
Remoting queries
REGISTRY Analysis
LOG queries
Instllation of Software
User activity
بعلاوه، با استفاده از کوئریهای پیشرفته، موارد زیر نیز قابل بررسی هستند:
Prefetch file information
DLL List
WMI filters and consumers
#DFIR #ThreatHunting
@Engineer_Computer
GitHub
GitHub - emrekybs/Douglas-042: Powershell script to help Speed up Threat hunting incident response processes
Powershell script to help Speed up Threat hunting incident response processes - emrekybs/Douglas-042
⭕️این ابزار که جهت شناسایی و بررسی RootKit ها توسعه داده شده است، با استفاده از درایور ابزار Winpmem که خود نیز قبل تر جزو ابزار Rekall بوده است(اگر Memory Forensics کار کرده باشید احتمالا باهاش آشنا هستید) و مدتی هست بصورت جداگانه توسعه داده شده، اقدام به بررسی موارد خوبی میکند.
یکی از ویژگی هایی که میتوان به آن اشاره کرد امکان متصل کردن به سرور GDB و بررسی فایل مسیر زیر میباشد.
C:\Windows\MEMORY.DMP
خلاصه ی مواردی که این ابزار آنها را بررسی میکند :
#ThreatHunting #RootKit
@Engineer_Computer
یکی از ویژگی هایی که میتوان به آن اشاره کرد امکان متصل کردن به سرور GDB و بررسی فایل مسیر زیر میباشد.
C:\Windows\MEMORY.DMP
خلاصه ی مواردی که این ابزار آنها را بررسی میکند :
Loaded modules list
Drivers in memory code (compared to on-disk version)
Callbacks of kernel objects and internal ntoskrnl lists
PlugAndPlay tree and filters
Kernel types callbacks
FltMgr callbacks
KTimers DPC functions
IRP driver's tables
Driver signing global variables with callbacks
NDIS filters and callbacks
NetIO/FwpkCLNT filtering dispatch
Devices and their attached device objects
IDT entries
PatchGuard initialization and state
#ThreatHunting #RootKit
@Engineer_Computer
GitHub
GitHub - ExaTrack/Kdrill: Python tool to check rootkits in Windows kernel
Python tool to check rootkits in Windows kernel. Contribute to ExaTrack/Kdrill development by creating an account on GitHub.
برای علاقمندان SOC
مروری بر همبسته سازی در رولهای سیگما
کارشناسانی که دائما رولها رو در SIEM به روز میکنند مطمئنا تا کنون با رولهای سیگما کارکردن و میدونن که درسال جاری میلادی؛ خصوصیت همبسته سازی یا Correlation به اون اضافه شده .
اگر هنوز درمورد این خصوصیت چیزی نمیدونید یا میخواین بیشتر بخونین پیشنهاد میکنم که لینک زیر رو نگاهی بندازین.
رولهای سیگما کمک مهمی در تبادلات فیمابین SIEM ها و همچنین گفتمان بین متخصصین و مهندسین کشف نفوذ دارند.
رولهای سیگما چه هستند ؟
این رولها یک نحوه ی نگارش و مستند سازی اطلاعات است. نحوه کشف حملات و نفوذ ها که توسط تحلیلگران در سرتاسر جهان پیدا شده است توسط این رولها مستند میگردند . این قابلیت وجود دارد که SIEM ها از این رولها استفاده کرده و با تبدیل آنها به رولهای خودشان از آن متد ها برای کشف نفوذ استفاده کنند.
ضمنا متخصصان در رشته کشف نفوذ میتوانند از آخرین تهدیدات و نحوه کشف اونها مطلع شوند.
#کشف_نفوذ #امنیت
#cybersecurity #threathunting #cyberforensics #sigma #sigmarule
https://blog.sigmahq.io/introducing-sigma-correlations-52fe377f2527
@Engineer_Computer
مروری بر همبسته سازی در رولهای سیگما
کارشناسانی که دائما رولها رو در SIEM به روز میکنند مطمئنا تا کنون با رولهای سیگما کارکردن و میدونن که درسال جاری میلادی؛ خصوصیت همبسته سازی یا Correlation به اون اضافه شده .
اگر هنوز درمورد این خصوصیت چیزی نمیدونید یا میخواین بیشتر بخونین پیشنهاد میکنم که لینک زیر رو نگاهی بندازین.
رولهای سیگما کمک مهمی در تبادلات فیمابین SIEM ها و همچنین گفتمان بین متخصصین و مهندسین کشف نفوذ دارند.
رولهای سیگما چه هستند ؟
این رولها یک نحوه ی نگارش و مستند سازی اطلاعات است. نحوه کشف حملات و نفوذ ها که توسط تحلیلگران در سرتاسر جهان پیدا شده است توسط این رولها مستند میگردند . این قابلیت وجود دارد که SIEM ها از این رولها استفاده کرده و با تبدیل آنها به رولهای خودشان از آن متد ها برای کشف نفوذ استفاده کنند.
ضمنا متخصصان در رشته کشف نفوذ میتوانند از آخرین تهدیدات و نحوه کشف اونها مطلع شوند.
#کشف_نفوذ #امنیت
#cybersecurity #threathunting #cyberforensics #sigma #sigmarule
https://blog.sigmahq.io/introducing-sigma-correlations-52fe377f2527
@Engineer_Computer
Medium
Introducing Sigma Correlations
One of the most requested features for Sigma in the last years was the ability to express correlation searches. Now it’s available!
Windows+ATT&CK_Logging+Cheat+Sheet_ver_Sept_2018.pdf
1.1 MB
🔆 جدول رویداد های ویندوز در تناظر با تکنیک های جدول مایتره
⛳️ یعنی برای کشف یک تکنیک نفوذ و حمله ای که نام برده شده است چه Event ID در لاگ برای کشف وجود دارد
#cybersecurity #threathunting #cyberforensics
@Engineer_Computer
⛳️ یعنی برای کشف یک تکنیک نفوذ و حمله ای که نام برده شده است چه Event ID در لاگ برای کشف وجود دارد
#cybersecurity #threathunting #cyberforensics
@Engineer_Computer
یکی از دغدغه های مدیران و متخصصان امنیت در زمان حادثه اینه که داده ها چقدر و چطور از سازمان خارج شده اند
سوالاتی در این زمینه هست با جواب هایی
اونها رو در لینک زیر بخونید
#نشت_داده #امنیت #امنیت_سایبری
#cybersecurity #threathunting
https://medium.com/@securityaura/data-exfiltration-questions-and-how-to-answer-them-84856b14003c
@Engineer_Computer
سوالاتی در این زمینه هست با جواب هایی
اونها رو در لینک زیر بخونید
#نشت_داده #امنیت #امنیت_سایبری
#cybersecurity #threathunting
https://medium.com/@securityaura/data-exfiltration-questions-and-how-to-answer-them-84856b14003c
@Engineer_Computer
Medium
Data Exfiltration: Questions and How to Answer Them
An Incident Responder insights and stories on how to approach data exfiltration
مجموعه مقالات #امنیت_به_زبان_ساده
دو واژه : LoLBin و LOLBAS
انجام هک در سالها پیش از اقلام محدودی تشکیل شده بود. یعنی هکر با یک یا دو عمل ، ویروسی می نوشت و تخریب مد نظر را انجام میداد یا با هک یک وبسایت به کل دارایی های سازمان تسلط می یافت.
روز به روز به تکنیک های هک افزوده شد و آن تکنیک هاپیچیده شدند و درقالب تاکتیک هایی تجمیع گردیدند. در طرف مقابل تیم امنیت هم بر توان و قدرت دفاعی و کشفی خود افزود. این شد که نفوذ برای دزدی یا تخریب اطلاعات مشکل شد.
در این بین بدلیل مهاجرت سازمانها به فضای دیجیتال ، بخش عمده ای از سازمان به فضای سایبری منتقل شدند. و این سطح تاثیر سازمان از هکر ها را افزایش داد.
لذا سازمانها سعی کردند با پیاده سازی مکانیسم دفاع لایه ای به مقابله با نفوذ بپردازند به نحوی که با وجود گسترش فضای دیجیتال در سازمان؛ حجم ریسکها کنترل شده باقی بماند.
در این بین هکرها راهی جدید برای نفوذ پیدا کردند. اصولا امروزه هک شامل یک یا دو قدم معدود نمیشود و انجام هک در سازمان شامل چندین پله و شامل فرآیند است. که مجموعه آنرا میتوانید در جدول ATT&CK ملاحظه کنید.
در روشهای نفوذ جدید ؛ هکر ها از ابزارهای موجود روی سیستم های سازمان علیه خود سازمان استفاده میکنند.
این روش چه مزیتی دارد ؟
اول اینکه این ابزار ها کاملا در دسترس هستند و نیازی به انتقال آنها به شبکه و سیستم قربانی نیست.
دوم اینکه سیستمهای امنیتی به این اقلام اعتماد دارند.
سوم اینکه با استفاده از این ها ، رد پای کمتری باقی میماند و جرم شناسی و شکار توسط امنیت چی ها سخت میشود.
البته نکات دیگری در این میان هست که فعلا برای جلوگیری از اطاله کلام از آنها چشم پوشی میکنم تا لب مطلب اخذ گردد.
حالا برویم سراغ واژه ای که در ابتدای متن گفته شد:
به مجموعه ای از باینری هایی که در سیستم های سازمان وجود دارد و ما به آنها اعتماد داریم ولی در طول سالها از آنها سوء استفاده شده است LoLBin و LOLBAS گفته میشود یعنی :
Living of the land binary
این یعنی هکر در مراحلی از نفوذ خودش؛ ابزارهای نفوذ را میسازد یا از جایی تهیه میکند ولی در مراحل دیگری از نفوذ ، او از این مجموعه باینری خود سیستم عامل یا سامانه برای تقویت یا افزایش نفوذ و یا اقداماتی چون خروج داده از سازمان و یا رمزنگاری آنها استفاده میکند.
این مساله مشکلی در راه مقابله و کشف نفوذ ایحاد کرده است. البته در SOC ها راهکارهایی برای این موضوع پیاده میشود.
لیست این پاینری ها در پروژه ای جمع آوری شده است که در لینک زیر آنها را ببینید.
https://lolbas-project.github.io/#
#آموزش #امنیت #امنیت_سایبری
#امنیت_به_زبان_ساده
#cybersecurity #threathunting #cyberforensics
🔆 برای آگاهی دیگران ، دانش را نشر دهید و این پست را فوروارد کنید
@Engineer_Computer
دو واژه : LoLBin و LOLBAS
انجام هک در سالها پیش از اقلام محدودی تشکیل شده بود. یعنی هکر با یک یا دو عمل ، ویروسی می نوشت و تخریب مد نظر را انجام میداد یا با هک یک وبسایت به کل دارایی های سازمان تسلط می یافت.
روز به روز به تکنیک های هک افزوده شد و آن تکنیک هاپیچیده شدند و درقالب تاکتیک هایی تجمیع گردیدند. در طرف مقابل تیم امنیت هم بر توان و قدرت دفاعی و کشفی خود افزود. این شد که نفوذ برای دزدی یا تخریب اطلاعات مشکل شد.
در این بین بدلیل مهاجرت سازمانها به فضای دیجیتال ، بخش عمده ای از سازمان به فضای سایبری منتقل شدند. و این سطح تاثیر سازمان از هکر ها را افزایش داد.
لذا سازمانها سعی کردند با پیاده سازی مکانیسم دفاع لایه ای به مقابله با نفوذ بپردازند به نحوی که با وجود گسترش فضای دیجیتال در سازمان؛ حجم ریسکها کنترل شده باقی بماند.
در این بین هکرها راهی جدید برای نفوذ پیدا کردند. اصولا امروزه هک شامل یک یا دو قدم معدود نمیشود و انجام هک در سازمان شامل چندین پله و شامل فرآیند است. که مجموعه آنرا میتوانید در جدول ATT&CK ملاحظه کنید.
در روشهای نفوذ جدید ؛ هکر ها از ابزارهای موجود روی سیستم های سازمان علیه خود سازمان استفاده میکنند.
این روش چه مزیتی دارد ؟
اول اینکه این ابزار ها کاملا در دسترس هستند و نیازی به انتقال آنها به شبکه و سیستم قربانی نیست.
دوم اینکه سیستمهای امنیتی به این اقلام اعتماد دارند.
سوم اینکه با استفاده از این ها ، رد پای کمتری باقی میماند و جرم شناسی و شکار توسط امنیت چی ها سخت میشود.
البته نکات دیگری در این میان هست که فعلا برای جلوگیری از اطاله کلام از آنها چشم پوشی میکنم تا لب مطلب اخذ گردد.
حالا برویم سراغ واژه ای که در ابتدای متن گفته شد:
به مجموعه ای از باینری هایی که در سیستم های سازمان وجود دارد و ما به آنها اعتماد داریم ولی در طول سالها از آنها سوء استفاده شده است LoLBin و LOLBAS گفته میشود یعنی :
Living of the land binary
این یعنی هکر در مراحلی از نفوذ خودش؛ ابزارهای نفوذ را میسازد یا از جایی تهیه میکند ولی در مراحل دیگری از نفوذ ، او از این مجموعه باینری خود سیستم عامل یا سامانه برای تقویت یا افزایش نفوذ و یا اقداماتی چون خروج داده از سازمان و یا رمزنگاری آنها استفاده میکند.
این مساله مشکلی در راه مقابله و کشف نفوذ ایحاد کرده است. البته در SOC ها راهکارهایی برای این موضوع پیاده میشود.
لیست این پاینری ها در پروژه ای جمع آوری شده است که در لینک زیر آنها را ببینید.
https://lolbas-project.github.io/#
#آموزش #امنیت #امنیت_سایبری
#امنیت_به_زبان_ساده
#cybersecurity #threathunting #cyberforensics
🔆 برای آگاهی دیگران ، دانش را نشر دهید و این پست را فوروارد کنید
@Engineer_Computer
در این حمله چین تارگت شد.
لینک گزارش حمله در زیر
مطالعه گزارش رو برای سطح ۲ مرکز عملیات امنیت توصیه میکنم
https://www.trendmicro.com/en_no/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html
**از جایی به بعد دوره رفتن کمتر لازمه و بهتره چنین گزارش هایی دائم پیگیری بشه
#cybersecurity #threathunting #securityawareness #risk
@Engineer_Computer
لینک گزارش حمله در زیر
مطالعه گزارش رو برای سطح ۲ مرکز عملیات امنیت توصیه میکنم
https://www.trendmicro.com/en_no/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html
**از جایی به بعد دوره رفتن کمتر لازمه و بهتره چنین گزارش هایی دائم پیگیری بشه
#cybersecurity #threathunting #securityawareness #risk
@Engineer_Computer
❤1👍1
پاسخ به یک سوال مهم :
پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید :
ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمیدهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا میکنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ میدهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!!
من تعاملی با ChatGPT داشتم به جواب زیر رسیدم
Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications.
### Relation Between Windows PatchGuard and EDR Drivers
#### 1. Kernel-Level Drivers and PatchGuard
- EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel.
- PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as:
- System Service Descriptor Table (SSDT) hooks
- Interrupt Descriptor Table (IDT) hooks
- Kernel Object Manipulation
- Modification of the Kernel Debugger
This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures.
#### 2. Signed Drivers and PatchGuard Compliance
- Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system.
- Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities.
#### 3. Driver Operation Without Violating PatchGuard
- Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they:
- Hook into legitimate, documented APIs that provide system monitoring capabilities.
- Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events.
- Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures.
- User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard.
ادامه در پست بعد
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید :
ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمیدهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا میکنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ میدهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!!
من تعاملی با ChatGPT داشتم به جواب زیر رسیدم
Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications.
### Relation Between Windows PatchGuard and EDR Drivers
#### 1. Kernel-Level Drivers and PatchGuard
- EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel.
- PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as:
- System Service Descriptor Table (SSDT) hooks
- Interrupt Descriptor Table (IDT) hooks
- Kernel Object Manipulation
- Modification of the Kernel Debugger
This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures.
#### 2. Signed Drivers and PatchGuard Compliance
- Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system.
- Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities.
#### 3. Driver Operation Without Violating PatchGuard
- Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they:
- Hook into legitimate, documented APIs that provide system monitoring capabilities.
- Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events.
- Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures.
- User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard.
ادامه در پست بعد
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
ادامه از پست قبل 👆👆
#### 4. Is Using a Driver a Violation?
- No, It’s Not a Violation (When Done Correctly): Using a kernel driver in EDR solutions is not inherently a violation of PatchGuard. It’s only a violation if the driver attempts to patch or modify the kernel in ways that violate Windows security policies. Well-designed EDR solutions comply with PatchGuard by using standard APIs and legitimate kernel interfaces to achieve monitoring and protection goals.
- Working Within Kernel Mode: The EDR driver operates *within* the kernel, but it doesn’t modify or patch critical parts of the kernel itself. Instead, it monitors and reports events while respecting PatchGuard's restrictions. This allows it to maintain visibility into the system without breaching the kernel's integrity or violating Windows security rules.
### Summary
- Windows PatchGuard prevents unauthorized modifications to the Windows kernel, ensuring that the system's core remains intact and protected.
- EDR drivers operate within kernel mode but must comply with PatchGuard rules, meaning they cannot modify or patch the kernel directly.
- No violation occurs if the EDR driver is properly signed, respects PatchGuard’s limitations, and uses legitimate kernel monitoring techniques rather than trying to alter or bypass kernel protections.
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
#### 4. Is Using a Driver a Violation?
- No, It’s Not a Violation (When Done Correctly): Using a kernel driver in EDR solutions is not inherently a violation of PatchGuard. It’s only a violation if the driver attempts to patch or modify the kernel in ways that violate Windows security policies. Well-designed EDR solutions comply with PatchGuard by using standard APIs and legitimate kernel interfaces to achieve monitoring and protection goals.
- Working Within Kernel Mode: The EDR driver operates *within* the kernel, but it doesn’t modify or patch critical parts of the kernel itself. Instead, it monitors and reports events while respecting PatchGuard's restrictions. This allows it to maintain visibility into the system without breaching the kernel's integrity or violating Windows security rules.
### Summary
- Windows PatchGuard prevents unauthorized modifications to the Windows kernel, ensuring that the system's core remains intact and protected.
- EDR drivers operate within kernel mode but must comply with PatchGuard rules, meaning they cannot modify or patch the kernel directly.
- No violation occurs if the EDR driver is properly signed, respects PatchGuard’s limitations, and uses legitimate kernel monitoring techniques rather than trying to alter or bypass kernel protections.
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
#امنیت_به_زبان_ساده
در مورد حملات در حوزه COM object ها شنیده ایم مثلا هایجک کردن کام آبجکت ها .
بحث در مورد این نوع حملات مفصل است . که در مورد آنها در پست های آتی خواهم نوشت
اما بیاییم ساده ببینیم کام آبجکت چیست ؟
از طریق کام آبجکت ها دو برنامه کامپیوتری با هم ارتباط میگیرند. اما از چه طریق ؟ یکسری کمپوننت هایی که توسط سایر برنامه ها هم میشه فراخوانی بشه.
مقایسه : کام آبجکت مانند کنترل تلویزیون شما باشد . اما برنامه اصلی که میخواهید از آن استفاده کنید تلویزیون است بدون آنکه بدانید چگونه کار میکند. شما کانال رو عوض میکنید و صدا رو کم و زیاد میکنید بدون اطلاع از عملکرد داخلی تلویزیون.
مثال فنی :فرض کنید برنامه شما نیاز دارد شیت اکسل بسازد. بجای آنکه اکسل را تماما خودتان بنویسید شما از کام آبجکت های اکسل استفاده میکنید در این حالت کام آبجکت اجازه تعامل با اکسل را به شما میدهد. و درون برنامه خودتان شیت اکسل میسازید به کمک برنامه اکسل.
مثال دیگر فنی را میتون در اتوماتیک سازی تعامل با مرورگر دید. اگر میخواهید فعالیتی را در مرورگر اتوماتیک سازید کام آبجکتی برای تعامل با مرورگر استفاده میکنید . لذا برنامه شما میتواند فرم پر کند و دکمه ها را بزند بدون حضور شما.
مشکلات استفاده از کام آبجکت ها:
بهتر است اگر برنامه ای کام آبجکت ایجاد میکند تا میتواند از همان قبلی هایی که ساخته است استفاده کند و دائم درحال ساختن کام آبجکت نباشد چون به مشکلات پرفرمنس برمی خوریم.
اگر حافظه تخصیص یافته به کام آبجکت به درستی آزاد نشود دچار کمبود حافظه خواهیم شد.
اعمال کنترل های امنیتی در زمان دسترسی کام آبجکت ها به داده های حساس باید انجام پذیرد
همخوانی ورژن کام آبجکت با برنامه شما باید رعایت گردد( مدیریت ورژن )
استفاده از کام آبجکت ها در برخی موارد پروژه را دچار پیچیدگی میکند
بدون همسان سازی مناسب؛ استفاده از کام آبجکت ها در برنامه های مالتی ترد مشکل زا است
خطاهای کام آبجکت ها بایستی به درستی توسط برنامه نویس هندل شوند وگرنه برنامه به کار خود ادامه میدهد اما مشکلی کشف نشده رخ داده است.
در پست های بعد در خصوص مشکلات امنیتی در حوزه کام آبجکت ها صحبت خواهم کرد.
#امنیت_به_زبان_ساده
#آموزش
#cybersecurity #threathunting #securityawareness #risk #governance
🌱🌱 نشر دهید تا در اشتراک دانش سهیم باشید
@Engineer_Computer
در مورد حملات در حوزه COM object ها شنیده ایم مثلا هایجک کردن کام آبجکت ها .
بحث در مورد این نوع حملات مفصل است . که در مورد آنها در پست های آتی خواهم نوشت
اما بیاییم ساده ببینیم کام آبجکت چیست ؟
از طریق کام آبجکت ها دو برنامه کامپیوتری با هم ارتباط میگیرند. اما از چه طریق ؟ یکسری کمپوننت هایی که توسط سایر برنامه ها هم میشه فراخوانی بشه.
مقایسه : کام آبجکت مانند کنترل تلویزیون شما باشد . اما برنامه اصلی که میخواهید از آن استفاده کنید تلویزیون است بدون آنکه بدانید چگونه کار میکند. شما کانال رو عوض میکنید و صدا رو کم و زیاد میکنید بدون اطلاع از عملکرد داخلی تلویزیون.
مثال فنی :فرض کنید برنامه شما نیاز دارد شیت اکسل بسازد. بجای آنکه اکسل را تماما خودتان بنویسید شما از کام آبجکت های اکسل استفاده میکنید در این حالت کام آبجکت اجازه تعامل با اکسل را به شما میدهد. و درون برنامه خودتان شیت اکسل میسازید به کمک برنامه اکسل.
مثال دیگر فنی را میتون در اتوماتیک سازی تعامل با مرورگر دید. اگر میخواهید فعالیتی را در مرورگر اتوماتیک سازید کام آبجکتی برای تعامل با مرورگر استفاده میکنید . لذا برنامه شما میتواند فرم پر کند و دکمه ها را بزند بدون حضور شما.
مشکلات استفاده از کام آبجکت ها:
بهتر است اگر برنامه ای کام آبجکت ایجاد میکند تا میتواند از همان قبلی هایی که ساخته است استفاده کند و دائم درحال ساختن کام آبجکت نباشد چون به مشکلات پرفرمنس برمی خوریم.
اگر حافظه تخصیص یافته به کام آبجکت به درستی آزاد نشود دچار کمبود حافظه خواهیم شد.
اعمال کنترل های امنیتی در زمان دسترسی کام آبجکت ها به داده های حساس باید انجام پذیرد
همخوانی ورژن کام آبجکت با برنامه شما باید رعایت گردد( مدیریت ورژن )
استفاده از کام آبجکت ها در برخی موارد پروژه را دچار پیچیدگی میکند
بدون همسان سازی مناسب؛ استفاده از کام آبجکت ها در برنامه های مالتی ترد مشکل زا است
خطاهای کام آبجکت ها بایستی به درستی توسط برنامه نویس هندل شوند وگرنه برنامه به کار خود ادامه میدهد اما مشکلی کشف نشده رخ داده است.
در پست های بعد در خصوص مشکلات امنیتی در حوزه کام آبجکت ها صحبت خواهم کرد.
#امنیت_به_زبان_ساده
#آموزش
#cybersecurity #threathunting #securityawareness #risk #governance
🌱🌱 نشر دهید تا در اشتراک دانش سهیم باشید
@Engineer_Computer
❤1👍1
an_ace_up_the_sleeve (2).pdf
5.7 MB
اگر میتوانی چیزی را تصور کنی ؛ احتمال زیاد اون حمله قبلا انجام شده است!!. پس سازمانت رو برای یافتن اثر رد پا بگرد .
Designing Active Directory DACL Backdoors
مستند فوق با تفکر اشاره شده در اول این پست تهیه شده است.نفوذی بدونه نیاز به بدافزار . security descriptor ها در اکتیو دایرکتوری توسط بسیاری از تیم های آبی و قرمز رها میشوند و به آنها توجهی نمیگردد. معمولا سخت است که بفهمیم که تنظیمات غلط یک AD Sec Desc به عمد بوده یا سهوی انجام شده است.
توسط مقاله ی فوق میتوانید به تکنیکی مسلط شوید که میتواند بعنوان بک دوری استفاده شود که سالها در سازمان شما باقی بماند.
امیدوارم با مطالعه این مستند ؛ محافظان امنیت و طراحان زیرساخت و تیم های دفاعی بتوانند این راهکار برای نفوذ را از بین ببرند یا نفوذ های کشف شده را خنثی سازند.
#threathunting #cyberforensics #Stuxnet #risk #governance #cyberforensics #activedirectory
@Engineer_Computer
Designing Active Directory DACL Backdoors
مستند فوق با تفکر اشاره شده در اول این پست تهیه شده است.نفوذی بدونه نیاز به بدافزار . security descriptor ها در اکتیو دایرکتوری توسط بسیاری از تیم های آبی و قرمز رها میشوند و به آنها توجهی نمیگردد. معمولا سخت است که بفهمیم که تنظیمات غلط یک AD Sec Desc به عمد بوده یا سهوی انجام شده است.
توسط مقاله ی فوق میتوانید به تکنیکی مسلط شوید که میتواند بعنوان بک دوری استفاده شود که سالها در سازمان شما باقی بماند.
امیدوارم با مطالعه این مستند ؛ محافظان امنیت و طراحان زیرساخت و تیم های دفاعی بتوانند این راهکار برای نفوذ را از بین ببرند یا نفوذ های کشف شده را خنثی سازند.
#threathunting #cyberforensics #Stuxnet #risk #governance #cyberforensics #activedirectory
@Engineer_Computer
استفاده از رولهای WFP ویندوز برای خفه کردن صدای EDR رو به افزایش است .
برای کشف این حمله حتما شماره رویداد های 5155 و 5157 را پایش کنید
لذا یکی از راه های دور خوردن EDR را اینطور کنترل کنید.
#cybersecurity #threathunting #cyberforensics #sigma #lolbin
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/audit-filtering-platform-connection
@Engineer_Computer
Please open Telegram to view this post
VIEW IN TELEGRAM
Docs
Audit Filtering Platform Connection - Windows 10
The policy setting, Audit Filtering Platform Connection, decides if audit events are generated when connections are allow/blocked by Windows Filtering Platform.
هرآنچه به حال خود رها شود دور میخورد .
در حوزه امنیت مثال چیست ؟ EDR
این روزها EDR نقش بسزایی در کمک برای مقابله و کشف نفوذ دارد لذا هکرها به دنبال آن هستند آنرا دور بزنند .
روشهای متعددی برای دور زدن EDR موجود است و اگر EDR را به حال خود رها کنید از جایی که فکر نمیکنید خواهید خورد !!
در لینک زیر راهکارهایی برای کمک به جلوگیری از دور خوردن EDR مطالعه کنید
#cybersecurity #threathunting #securityawareness
https://detect.fyi/edr-your-weakest-link-in-protecting-against-a-ransomware-attack-14a8cd1ae389
@Engineer_Computer
در حوزه امنیت مثال چیست ؟ EDR
این روزها EDR نقش بسزایی در کمک برای مقابله و کشف نفوذ دارد لذا هکرها به دنبال آن هستند آنرا دور بزنند .
روشهای متعددی برای دور زدن EDR موجود است و اگر EDR را به حال خود رها کنید از جایی که فکر نمیکنید خواهید خورد !!
در لینک زیر راهکارهایی برای کمک به جلوگیری از دور خوردن EDR مطالعه کنید
#cybersecurity #threathunting #securityawareness
https://detect.fyi/edr-your-weakest-link-in-protecting-against-a-ransomware-attack-14a8cd1ae389
@Engineer_Computer
Medium
EDR — Your weakest link in protecting against a Ransomware Attack?
We can see tampered EDR solutions in nearly all ransomware and APT attacks (MITRE ID: T1562.001). It’s one of the first steps attackers…
تکنیک در معماری و مفاهیم طراحی XDR
برطبق متن CISSP ، یکی از محل ها و نقاط که پاشنه آشیل هر کنترل امنیتی است لحظه اعمال کنترل در محیط Untrust است. کنترل امنیتی باید بتواند همان اول، محیط را verify کند و چهارچوب آنرا در بر بگیرد به نحوی که از جامعیت سیستم و جامعیت خود مطمئن شود. درغیر اینصورت درمرداب قرارگرفته است.
مثالی از این امر لحظه نصب XDR Agent است. این Agent نباید اساس خود را بر آب بنا کند یعنی در محیطی که شناختی ندارد و کنترلی ندارد مشغول به کار شود.
یکی از روشهای دور زدن Agent های XDR این است که نتواند محیطی که توسط هکر تسخیر شده و دامی برای او پهن شده را تشخیص دهد.
بک دور های سطح کرنل، خطرناک ترین عوامل برای این لحظات هستند.
لذا درون نهادن روشی که XDR بتواند محیط را بشناسد و آنرا تمیز کند یکی از اصول طراحی امن XDR است ؛ نوعی Anti tampering .
شاید یکی از روشهای اجرایی این مفهوم ، اتصال آنلاین و کامل Agent در لحظه نصب با سرور مادر باشد.
پی نوشت : این مفهوم ؛ برای کنترل های مشابه XDR نظیر EDR نیز لازم است.
#معماری_امن
#طراحی_نرم_افزار
#cybersecurity #threathunting #xdr
#sdlc #ssdlc
@Engineer_Computer
برطبق متن CISSP ، یکی از محل ها و نقاط که پاشنه آشیل هر کنترل امنیتی است لحظه اعمال کنترل در محیط Untrust است. کنترل امنیتی باید بتواند همان اول، محیط را verify کند و چهارچوب آنرا در بر بگیرد به نحوی که از جامعیت سیستم و جامعیت خود مطمئن شود. درغیر اینصورت درمرداب قرارگرفته است.
مثالی از این امر لحظه نصب XDR Agent است. این Agent نباید اساس خود را بر آب بنا کند یعنی در محیطی که شناختی ندارد و کنترلی ندارد مشغول به کار شود.
یکی از روشهای دور زدن Agent های XDR این است که نتواند محیطی که توسط هکر تسخیر شده و دامی برای او پهن شده را تشخیص دهد.
بک دور های سطح کرنل، خطرناک ترین عوامل برای این لحظات هستند.
لذا درون نهادن روشی که XDR بتواند محیط را بشناسد و آنرا تمیز کند یکی از اصول طراحی امن XDR است ؛ نوعی Anti tampering .
شاید یکی از روشهای اجرایی این مفهوم ، اتصال آنلاین و کامل Agent در لحظه نصب با سرور مادر باشد.
پی نوشت : این مفهوم ؛ برای کنترل های مشابه XDR نظیر EDR نیز لازم است.
#معماری_امن
#طراحی_نرم_افزار
#cybersecurity #threathunting #xdr
#sdlc #ssdlc
@Engineer_Computer
اینم خدمت دوستانی که خیلی دوست دارند کاربرد واقعی و عملی NetFlow در کشف APT رو ببینن.
یک پیوست واسه درس سنز ۵۷۲ ( فارنزیک و هانت شبکه )
https://www.linkedin.com/posts/roozbehnoroozi_cybersecurity-threathunting-cyberforensics-activity-7260738737603547138-aDlC?utm_source=share&utm_medium=member_android
@Engineer_Computer
یک پیوست واسه درس سنز ۵۷۲ ( فارنزیک و هانت شبکه )
https://www.linkedin.com/posts/roozbehnoroozi_cybersecurity-threathunting-cyberforensics-activity-7260738737603547138-aDlC?utm_source=share&utm_medium=member_android
@Engineer_Computer
Linkedin
Real example of detecting APTs by NetFlow | Roozbeh Noroozi
Real example of detecting APTs by NetFlow
As an appendix to SANS FOR572 training.
#cybersecurity #threathunting #cyberforensics #risk
As an appendix to SANS FOR572 training.
#cybersecurity #threathunting #cyberforensics #risk
1764146008730.pdf
4.5 MB
🧠 Log Analysis + Wazuh Integration — Hands-On Mini Lab for Blue Teamers 🚀
Just finished going through this practical guide on Linux & Windows log analysis with Wazuh and it’s one of the clearest step-by-step walkthroughs I’ve seen for juniors and SOC beginners.
Here’s what you’ll practice inside the PDF:
🔹 Linux Log Analysis
Exploring key log files under /var/log (boot, cron, secure, mail, httpd, messages)
Verifying package installation logs via apt
Reviewing firewall activity with UFW logs
🔹 Windows Event Log Analysis
Enabling audit policies via Local Security Policy
Using Event Viewer to track security events (e.g. 4625, 4776)
Simulating RDP brute-force attempts and interpreting the resulting logs
🔹 Wazuh Integration (SIEM)
Configuring ossec.conf for Linux & Windows log collection
Validating events in the Wazuh dashboard (Threat Hunting & Discover views)
Correlating firewall, package, and authentication events across hosts
🎯 Great for:
Students, SOC interns, junior analysts, and anyone who wants a lab-style intro to log analysis + Wazuh without getting lost in theory.
📘 I’ve attached the PDF — worth saving if you’re building your Blue Team fundamentals or preparing for SOC roles.
What other SIEM or log analysis topics would you like to see broken down like this?
#Wazuh #SIEM #LogAnalysis #SOCAnalyst #BlueTeam #DFIR #Linux #WindowsSecurity #CyberSecurity #ThreatHunting
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Just finished going through this practical guide on Linux & Windows log analysis with Wazuh and it’s one of the clearest step-by-step walkthroughs I’ve seen for juniors and SOC beginners.
Here’s what you’ll practice inside the PDF:
🔹 Linux Log Analysis
Exploring key log files under /var/log (boot, cron, secure, mail, httpd, messages)
Verifying package installation logs via apt
Reviewing firewall activity with UFW logs
🔹 Windows Event Log Analysis
Enabling audit policies via Local Security Policy
Using Event Viewer to track security events (e.g. 4625, 4776)
Simulating RDP brute-force attempts and interpreting the resulting logs
🔹 Wazuh Integration (SIEM)
Configuring ossec.conf for Linux & Windows log collection
Validating events in the Wazuh dashboard (Threat Hunting & Discover views)
Correlating firewall, package, and authentication events across hosts
🎯 Great for:
Students, SOC interns, junior analysts, and anyone who wants a lab-style intro to log analysis + Wazuh without getting lost in theory.
📘 I’ve attached the PDF — worth saving if you’re building your Blue Team fundamentals or preparing for SOC roles.
What other SIEM or log analysis topics would you like to see broken down like this?
#Wazuh #SIEM #LogAnalysis #SOCAnalyst #BlueTeam #DFIR #Linux #WindowsSecurity #CyberSecurity #ThreatHunting
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2❤🔥1🔥1