درود درود
بچه ها تو این چنل میخوایم Security Code Review انجام بدیم.
حالا اصلا این چی هست ؟
- ما میایم و یه تیکه کد آسیب پذیر رو برمیداریم و سعی میکنیم اون آسیب پذیری رو پیدا کنیم و اگر کد پیچیده بود تحلیلش میکنیم.
به چه درد میخوره ؟
- کلا در روز شاید 10 دقیقه وقت بگیره ولی به مرور زمان باعث میشه با نوع نوشتار (Syntax) زبان های مختلف آشنا بشیم ، مایندست برنامه نویسارو به دست بیاریم ، تست های وایت باکس بتو.نیم انجام بدیم ، تست های بلک باکس رو ساده تر درک کنیم و ...
این تحلیل ها هم برای برنامه نویس ها مناسبه که امن تر کد بزنن هم هانترها و هکرا و ردتیمرا و خلاصه که همه.
https://t.iss.one/CodeReview0o0
بچه ها تو این چنل میخوایم Security Code Review انجام بدیم.
حالا اصلا این چی هست ؟
- ما میایم و یه تیکه کد آسیب پذیر رو برمیداریم و سعی میکنیم اون آسیب پذیری رو پیدا کنیم و اگر کد پیچیده بود تحلیلش میکنیم.
به چه درد میخوره ؟
- کلا در روز شاید 10 دقیقه وقت بگیره ولی به مرور زمان باعث میشه با نوع نوشتار (Syntax) زبان های مختلف آشنا بشیم ، مایندست برنامه نویسارو به دست بیاریم ، تست های وایت باکس بتو.نیم انجام بدیم ، تست های بلک باکس رو ساده تر درک کنیم و ...
این تحلیل ها هم برای برنامه نویس ها مناسبه که امن تر کد بزنن هم هانترها و هکرا و ردتیمرا و خلاصه که همه.
https://t.iss.one/CodeReview0o0
Forwarded from challenginno.ir
✔️ آسیب پذیری XSS یا Cross Site Scripting یکی از آسیب پذیری های موجود در وب بوده که در استاندارد OWASP و WSTG نیز به آن اشاره شده است.
✅ این چالش شامل چهار بخش است که در هر بخش شما باید آسیب پذیری XSS را به کمک راهنمایی های موجود در صفحات، اکسپلویت نموده و به فلگ نهایی برسید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/game-with-xss-vulnerability
✅ این چالش شامل چهار بخش است که در هر بخش شما باید آسیب پذیری XSS را به کمک راهنمایی های موجود در صفحات، اکسپلویت نموده و به فلگ نهایی برسید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/game-with-xss-vulnerability
Forwarded from challenginno.ir
✔️ در یکی از سیستمهای حساس شبکه سازمان، نشانههایی از رفتارهای غیرعادی و مشکوک مشاهده شده است. این سیستم، که تا چندی پیش بهطور معمول فعالیت میکرد، اکنون دچار اختلالات پراکندهای شده که توجه تیم امنیتی را به خود جلب کرده است.
✔️ کاربران گزارش دادهاند که عملکرد سیستم کند شده و برخی از فرآیندها بهطور غیرمنتظرهای خاتمه مییابند.
✅ تیم امنیتی با بررسیهای اولیه، نشانههایی از وجود یک عامل مخرب را در سیستم تشخیص داده است.
✅ وظیفه شما این است که با دقت در میان لاگها و فعالیتهای سیستمی، نشانههای فعالیت این تهدید را شناسایی کنید، مکانیزمهای پنهانکاری و پایداری آن را کشف کنید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/hunting-hidden-threats
✔️ کاربران گزارش دادهاند که عملکرد سیستم کند شده و برخی از فرآیندها بهطور غیرمنتظرهای خاتمه مییابند.
✅ تیم امنیتی با بررسیهای اولیه، نشانههایی از وجود یک عامل مخرب را در سیستم تشخیص داده است.
✅ وظیفه شما این است که با دقت در میان لاگها و فعالیتهای سیستمی، نشانههای فعالیت این تهدید را شناسایی کنید، مکانیزمهای پنهانکاری و پایداری آن را کشف کنید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/hunting-hidden-threats
Forwarded from challenginno.ir
✔️ همانطور که همه دوستان گرامی استحضار دارند، یکی از متدولوژی های رایج جهت تست نفود برنامه های تحت وب، متدولوژی WSTG بوده که متعلق به OWASP است.
✅ بخش Identity Management Testing از متدولوژی WSTG شامل تست های مختلفی است که در این چالش سعی داریم تا به بررسی برخی از آن ها بپردازیم.
✅ در این چالش شما می بایست ابتدا به مطالعه بخش Identity Management Testing در WSTG بپردازید و سپس بخش های مختلف چالش را مورد بررسی قرار دهید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/wstg-identity-management
✅ بخش Identity Management Testing از متدولوژی WSTG شامل تست های مختلفی است که در این چالش سعی داریم تا به بررسی برخی از آن ها بپردازیم.
✅ در این چالش شما می بایست ابتدا به مطالعه بخش Identity Management Testing در WSTG بپردازید و سپس بخش های مختلف چالش را مورد بررسی قرار دهید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/wstg-identity-management
Forwarded from challenginno.ir
✅ با سلام و عرض ادب خدمت تمامی دوستان گرامی
ابتدا بر خود لازم می دانیم تا از تمام دوستانی که در هر چه بهتر شدن وب سایت Challenginno و چالش های آن ما را یاری نمودند سپاسگزاری کنیم.
🔴 در راستای اهدافی که برای پلتفرم Challenginno در نظر گرفته شده بود، پس از چالش های آفلاین، بزودی چالش های آنلاین نیز در قالب Red Time و Blue Time ارائه خواهد شد.
🔸 منتظر خبرهای بعدی ما باشید.
🌐 https://challenginno.ir
ابتدا بر خود لازم می دانیم تا از تمام دوستانی که در هر چه بهتر شدن وب سایت Challenginno و چالش های آن ما را یاری نمودند سپاسگزاری کنیم.
🔴 در راستای اهدافی که برای پلتفرم Challenginno در نظر گرفته شده بود، پس از چالش های آفلاین، بزودی چالش های آنلاین نیز در قالب Red Time و Blue Time ارائه خواهد شد.
🔸 منتظر خبرهای بعدی ما باشید.
🌐 https://challenginno.ir
Forwarded from challenginno.ir
✔️ در یکی از سیستمهای کلیدی شبکه سازمان، نشانههایی از فعالیتهای غیرعادی مشاهده شده است.
✔️ این سیستم، که بهطور معمول در حال اجرای فرآیندهای حیاتی است، اخیراً دچار کندی و رفتارهای نامتعارف شده است.
✅ تیم امنیتی گزارشهایی دریافت کرده که نشان میدهد ممکن است یک عامل ناشناس بهطور مخفیانه در حال انجام فعالیتهایی بر روی سیستم باشد.
✅ بررسیهای اولیه نتوانستهاند منبع این فعالیتها را شناسایی کنند و لازم است که شما به عنوان تحلیلگر تهدیدات، به عمق سیستم نفوذ کنید تا این تهدید پنهان را کشف و تحلیل کنید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/invisible-footprint
✔️ این سیستم، که بهطور معمول در حال اجرای فرآیندهای حیاتی است، اخیراً دچار کندی و رفتارهای نامتعارف شده است.
✅ تیم امنیتی گزارشهایی دریافت کرده که نشان میدهد ممکن است یک عامل ناشناس بهطور مخفیانه در حال انجام فعالیتهایی بر روی سیستم باشد.
✅ بررسیهای اولیه نتوانستهاند منبع این فعالیتها را شناسایی کنند و لازم است که شما به عنوان تحلیلگر تهدیدات، به عمق سیستم نفوذ کنید تا این تهدید پنهان را کشف و تحلیل کنید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/invisible-footprint
Forwarded from challenginno.ir
✔️ شما به عنوان یک تحلیلگر امنیتی مسئولیت دارید تا فعالیتهای مشکوکی را که به تازگی در شبکه سازمان شما رخ داده است، شناسایی و بررسی کنید.
✔️ گزارشها حاکی از آن است که یکی از کارمندان یک فایل اجرایی ناشناخته را اجرا کرده و به دنبال آن، دسترسیهای غیرمجاز به سطح مدیر سیستم (Administrator) به دست آمده است.
✅ شما باید با استفاده از لاگهای Sysmon به دقت این حمله را تجزیه و تحلیل کنید و مسیر مهاجم را تا زمان دستیابی به سطح دسترسیهای بالا پیگیری کنید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/threat-hunting-shadow-elevation
✔️ گزارشها حاکی از آن است که یکی از کارمندان یک فایل اجرایی ناشناخته را اجرا کرده و به دنبال آن، دسترسیهای غیرمجاز به سطح مدیر سیستم (Administrator) به دست آمده است.
✅ شما باید با استفاده از لاگهای Sysmon به دقت این حمله را تجزیه و تحلیل کنید و مسیر مهاجم را تا زمان دستیابی به سطح دسترسیهای بالا پیگیری کنید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/threat-hunting-shadow-elevation
Forwarded from challenginno.ir
✔️ یک مهاجم ماهر با استفاده از تکنیکهای پیشرفته برای پایداری، به سیستم ویندوز 10 شما نفوذ کرده است.
✔️ هدف مهاجم سرقت اعتبارنامههای حساس از طریق دسترسی به فرآیند Authentication و پنهان کردن ردپای خود است.
✅ شما به عنوان یک تحلیلگر امنیتی باید با بررسی لاگهای سیستم، فعالیتهای مشکوک شامل اجرای فایل های مخفی، تغییرات در بخش های مختلف سیستم و فرآیندهای غیرمعمول را شناسایی کنید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/phantomstrike
✔️ هدف مهاجم سرقت اعتبارنامههای حساس از طریق دسترسی به فرآیند Authentication و پنهان کردن ردپای خود است.
✅ شما به عنوان یک تحلیلگر امنیتی باید با بررسی لاگهای سیستم، فعالیتهای مشکوک شامل اجرای فایل های مخفی، تغییرات در بخش های مختلف سیستم و فرآیندهای غیرمعمول را شناسایی کنید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/phantomstrike
✔️ رایت آپ مربوط به چالش امنیتی Bad Login Mistake اکنون در سایت قرار شد.
🔴 برای مشاهده این رایت آپ به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/blog/admin-mistake
🔴 برای مشاهده این رایت آپ به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/blog/admin-mistake
Forwarded from challenginno.ir
✔️ برنامههای کاربردی وب اغلب با منابع داخلی یا خارجی تعامل دارند. در صورتی که در این تعامل ورودیها به درستی مدیریت نشوند آسیبپذیریهای مختلفی ممکن است رخ دهد که یکی از آنها آسیبپذیری جعل درخواست سمت سرور یا همان SSRF است.
✔️ یک حمله موفق Server-Side Request Forgery یا SSRF میتواند به مهاجم اجازه دسترسی به موارد محدود شده، سرویسهای داخلی یا فایلهای داخلی برنامه را بدهد. در برخی موارد، حتی میتواند منجر به اجرای کد از راه دور (RCE) شود.
✅ در این چالش شما با یک برنامه که دارای آسیبپذیری SSRF می باشد روبرو هستید که باید آن را اکسپلویت نموده و یک فایل محدود شده در سرور را مشاهده نمایید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/server-side-request-forgery
✔️ یک حمله موفق Server-Side Request Forgery یا SSRF میتواند به مهاجم اجازه دسترسی به موارد محدود شده، سرویسهای داخلی یا فایلهای داخلی برنامه را بدهد. در برخی موارد، حتی میتواند منجر به اجرای کد از راه دور (RCE) شود.
✅ در این چالش شما با یک برنامه که دارای آسیبپذیری SSRF می باشد روبرو هستید که باید آن را اکسپلویت نموده و یک فایل محدود شده در سرور را مشاهده نمایید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/server-side-request-forgery
Forwarded from challenginno.ir
✔️ سیستم مورد هدف دستخوش تغییرات پنهانی شده که با مهارت بالا در لایههای مختلف اعمال شدهاند.
✔️ این تغییرات بهطور نامحسوس در عملکرد روزمره سیستم ادغام شده و ممکن است در نگاه اول غیرقابل تشخیص به نظر برسند. اما برای کسانی که با دقت به رفتارهای غیرمعمول نگاه میکنند، سرنخهای کوچکی از حضور یک نیروی ناشناس قابل مشاهده است.
✅ شما باید به کمک لاگهای سیستم، فرآیندهای در حال اجرا و ترافیک شبکه، سرنخهایی را که به صورت پراکنده در سیستم جاگذاری شدهاند، کشف کنید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/concealedstorm
✔️ این تغییرات بهطور نامحسوس در عملکرد روزمره سیستم ادغام شده و ممکن است در نگاه اول غیرقابل تشخیص به نظر برسند. اما برای کسانی که با دقت به رفتارهای غیرمعمول نگاه میکنند، سرنخهای کوچکی از حضور یک نیروی ناشناس قابل مشاهده است.
✅ شما باید به کمک لاگهای سیستم، فرآیندهای در حال اجرا و ترافیک شبکه، سرنخهایی را که به صورت پراکنده در سیستم جاگذاری شدهاند، کشف کنید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/concealedstorm
cat ${HOME:0:1}etc${HOME:0:1}passwd
echo $'cat\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64'
cat $(echo . | tr '!-0' '"-1')etc$(echo . | tr '!-0' '"-1')passwd
cat xxd -r -ps <(echo 2f6574632f706173737764)عزیزانی که قصد درک و یادگیری مباحث و تفکر
Red team (NetWork) ❗️
coding(c,python,powershell,bash)🧑💻
Phishing 👂
Penetration testing 👁
vulnerability 🦠
ransomware 👾
را دارند میتوانند در این مسیر با ما همراه باشند
.
❌@RedTeamAPT❌
Forwarded from challenginno.ir
✔️ یکی از سرویس هایی که در اکثر سازمان ها مورد استفاده قرار می گیرد سرویس Active Directory می باشد.
✅ در صورتی که سرویس Active Directory مورد حمله قرار گرفته و Compromise شود، امکان به خطر افتادن کل شبکه وجود خواهد داشت.
✅ در این چالش رویکرد ما بررسی آسیب پذیری موجود بر روی Active Directory است.
✅ در این چالش دو آسیب پذیری مربوط به اکتیودایرکتوری وجود دارد که البته تکنیک های جمع آوری اطلاعات و همچنین Post Exploitation هم باید مد نظر دوستان قرار گیرد.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/kerberoast-sync
✅ در صورتی که سرویس Active Directory مورد حمله قرار گرفته و Compromise شود، امکان به خطر افتادن کل شبکه وجود خواهد داشت.
✅ در این چالش رویکرد ما بررسی آسیب پذیری موجود بر روی Active Directory است.
✅ در این چالش دو آسیب پذیری مربوط به اکتیودایرکتوری وجود دارد که البته تکنیک های جمع آوری اطلاعات و همچنین Post Exploitation هم باید مد نظر دوستان قرار گیرد.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/kerberoast-sync
✅ دوره آموزشی SEC401
✔️ در این دوره آموزشی شما با مفاهیم پایه ای حوزه امنیت شبکه و اطلاعات آشنا می شوید. این دوره به عنوان اولین دوره از نقشه راه موسسه SANS مباحث مختلفی را مورد بحث قرار می دهد که در ادامه شما را برای ورود به بخش های دیگر آماده می سازد.
🔰 بخش هایی از سرفصل دوره آموزشی SEC401
Defensible Network Architecture
Networking and Protocols
Network Device Security
Virtualization and Cloud Security
Securing Wireless Networks
Defense-in-Depth
Access Control and Password Management
Security Policy
CIS Controls
Malicious Code and Exploit Mitigation
Securing Web Communications
Vulnerability Scanning and Penetration Testing
Network Security Devices
Endpoint Security
SIEM-Log Management
Active Defense
Cryptography
Cryptography Algorithms and Deployment
Applying Cryptography
Incident Handling and Contingency Planning
🔴 جهت مشاهده جزئیات این دوره و تهیه آن به لینک زیر مراجعه نمایید:
🌐 yun.ir/ztqnld
✔️ در این دوره آموزشی شما با مفاهیم پایه ای حوزه امنیت شبکه و اطلاعات آشنا می شوید. این دوره به عنوان اولین دوره از نقشه راه موسسه SANS مباحث مختلفی را مورد بحث قرار می دهد که در ادامه شما را برای ورود به بخش های دیگر آماده می سازد.
🔰 بخش هایی از سرفصل دوره آموزشی SEC401
Defensible Network Architecture
Networking and Protocols
Network Device Security
Virtualization and Cloud Security
Securing Wireless Networks
Defense-in-Depth
Access Control and Password Management
Security Policy
CIS Controls
Malicious Code and Exploit Mitigation
Securing Web Communications
Vulnerability Scanning and Penetration Testing
Network Security Devices
Endpoint Security
SIEM-Log Management
Active Defense
Cryptography
Cryptography Algorithms and Deployment
Applying Cryptography
Incident Handling and Contingency Planning
🔴 جهت مشاهده جزئیات این دوره و تهیه آن به لینک زیر مراجعه نمایید:
🌐 yun.ir/ztqnld
Forwarded from challenginno.ir
✔️ یک فرآیند خاص در سیستم در حال اجرای دستورات مخرب است، از ابزارهای سیستمی بهره میبرد، ارتباطات شبکهای مشکوک برقرار کرده و فایلهایی را ایجاد و حذف کرده است.
✔️ چالش به نحوی طراحی شده است که شناسایی فعالیتهای مشکوک پیچیدهتر باشد و نیاز به دقت در تحلیل داشته باشد.
✅ هدف شما کشف تکنیکهای بهکار رفته توسط مهاجم، شناسایی رفتارهای مخرب و تحلیل ارتباطات شبکه است.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/silent-infiltration
✔️ چالش به نحوی طراحی شده است که شناسایی فعالیتهای مشکوک پیچیدهتر باشد و نیاز به دقت در تحلیل داشته باشد.
✅ هدف شما کشف تکنیکهای بهکار رفته توسط مهاجم، شناسایی رفتارهای مخرب و تحلیل ارتباطات شبکه است.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/silent-infiltration
Forwarded from challenginno.ir
✔️ یکی واحدهای مهم که وجود آن در امنیت بسیار حائز اهمیت است، واحد پاسخگویی به حادثه یا Incident Response است.
✅ در هنگام وقوع یک حادثه، تیم پاسخگویی به حادثه وارد عمل شده و فرآیندهایی را دنبال می کند که از پیش تعریف شده اند و در برخی موارد نیز باید ابتکار عمل خود را داشته باشد.
✅ این چالش که به صورت پرسش و پاسخ و در چندین بخش ایجاد شده است، قصد دارد تا شما را با تیم Incident Response و فرآیندهای موجود در آن آشنا نماید.
🔴 برای مشاهده دومین بخش از این مجموعه چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/incident-response-2
✅ در هنگام وقوع یک حادثه، تیم پاسخگویی به حادثه وارد عمل شده و فرآیندهایی را دنبال می کند که از پیش تعریف شده اند و در برخی موارد نیز باید ابتکار عمل خود را داشته باشد.
✅ این چالش که به صورت پرسش و پاسخ و در چندین بخش ایجاد شده است، قصد دارد تا شما را با تیم Incident Response و فرآیندهای موجود در آن آشنا نماید.
🔴 برای مشاهده دومین بخش از این مجموعه چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/incident-response-2
Forwarded from challenginno.ir
✔️ سرویس Active Directory یک سرویس دایرکتوری است که توسط شرکت مایکروسافت طراحی شده و برای مدیریت منابع شبکهای نظیر کاربران، کامپیوترها و گروهها در شبکههای ویندوزی به کار میرود.
✅ این سرویس امکان تمرکز بر مدیریت کاربران، کنترل دسترسی، سیاستهای امنیتی و اشتراکگذاری منابع را فراهم میکند و با توجه به قابلیتهایی که دارد در اغلب شبکهها مورد استفاده قرار میگیرد.
✅ اکتیودایرکتوری برای مدیریت هویت و دسترسی کاربران به منابع شبکه در یک ساختار سلسلهمراتبی طراحی شده است و بر پایه پروتکلهای استاندارد مانند LDAP ،Kerberos و DNS کار میکند.
✅ در این چالش که به صورت پرسش و پاسخ ایجاد شده است، ابتدا شما میبایست فایل پیوست را مطالعه نموده و سپس به سوالات این بخش پاسخ دهید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/active-directory-concepts
✅ این سرویس امکان تمرکز بر مدیریت کاربران، کنترل دسترسی، سیاستهای امنیتی و اشتراکگذاری منابع را فراهم میکند و با توجه به قابلیتهایی که دارد در اغلب شبکهها مورد استفاده قرار میگیرد.
✅ اکتیودایرکتوری برای مدیریت هویت و دسترسی کاربران به منابع شبکه در یک ساختار سلسلهمراتبی طراحی شده است و بر پایه پروتکلهای استاندارد مانند LDAP ،Kerberos و DNS کار میکند.
✅ در این چالش که به صورت پرسش و پاسخ ایجاد شده است، ابتدا شما میبایست فایل پیوست را مطالعه نموده و سپس به سوالات این بخش پاسخ دهید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/active-directory-concepts
Forwarded from dfir
RuleCraft: Mastering Detection Rules
-----------------------------
در دنیای امنیت سایبری، استفاده از ابزارهای مشروع برای انجام فعالیتهای مخرب به عنوان تکنیک "living off the land" شناخته میشود. اخیراً به یکی از سناریوهای جالب برخورد کردم که شامل استفاده از ابزار 7 Zip برای فشردهسازی فایلهای حساس حافظه مانند dump files توسط مهاجمان بود. به همین دلیل، کوئری زیر برای تشخیص این فعالیت مشکوک در محیطهای Elastic طراحی شده است:
کوئری EQL در Elastic
any where process.pe.description:"*7-Zip*" or
process.executable like~ "*\\7z.exe", "*\\7zr.exe", "*\\7za.exe" or
process.pe.original_file_name like~ "7z.exe", "7za.exe" and
process.command_line like~ "*.dmp*", "*.dump*", "*.hdmp*"
چرا این کوئری مهم است؟
بسیاری از گروههای APTمانند APT29 و Lazarus Group از ابزارهایی مثل 7-Zip بهعنوان بخشی از تکنیکهای مخفیکاری خود استفاده کردهاند. آنها از 7-Zip برای فشردهسازی و رمزنگاری اطلاعات حساس مانند فایلهای dump حاوی اطلاعات حافظه استفاده میکنند تا دادههای سرقتی را به خارج از شبکه منتقل کنند، بدون اینکه توسط سیستمهای امنیتی شناسایی شوند. با نوشتن کوئریهایی مثل این، میتوان رفتارهای مشکوک مربوط به این تکنیکها را سریعتر تشخیص داد.
معادل کوئری در Splunk
index=your_index_name
sourcetype=your_sourcetype
process_image="*7z.exe" OR process_image="*7zr.exe" OR process_image="*7za.exe" OR process_name IN "7z.exe", "7za.exe"
AND process_command_line="*.dmp*" OR process_command_line="*.dump*" OR process_command_line="*.hdmp*"
در اینجا هم هدف مشابه است؛ تشخیص استفاده از 7-Zip برای فشردهسازی فایلهای dump که ممکن است نشاندهنده فعالیتهای مشکوک باشد.
آیا شما هم تجربه مشابهی در تحلیل رفتارهای مخرب مرتبط با ابزارهای مشروع داشتهاید؟
#ThreatDetection
#CyberSecurity
#ELK
#Splunk
#DetectionRules
#SecurityAnalytics
#SOC
#SIEM
#LogAnalysis
#BlueTeam
#FreeTraining
#RuleWriting
#APTDetection
#CyberThreats
#CyberDefense
-----------------------------
در دنیای امنیت سایبری، استفاده از ابزارهای مشروع برای انجام فعالیتهای مخرب به عنوان تکنیک "living off the land" شناخته میشود. اخیراً به یکی از سناریوهای جالب برخورد کردم که شامل استفاده از ابزار 7 Zip برای فشردهسازی فایلهای حساس حافظه مانند dump files توسط مهاجمان بود. به همین دلیل، کوئری زیر برای تشخیص این فعالیت مشکوک در محیطهای Elastic طراحی شده است:
کوئری EQL در Elastic
any where process.pe.description:"*7-Zip*" or
process.executable like~ "*\\7z.exe", "*\\7zr.exe", "*\\7za.exe" or
process.pe.original_file_name like~ "7z.exe", "7za.exe" and
process.command_line like~ "*.dmp*", "*.dump*", "*.hdmp*"
چرا این کوئری مهم است؟
بسیاری از گروههای APTمانند APT29 و Lazarus Group از ابزارهایی مثل 7-Zip بهعنوان بخشی از تکنیکهای مخفیکاری خود استفاده کردهاند. آنها از 7-Zip برای فشردهسازی و رمزنگاری اطلاعات حساس مانند فایلهای dump حاوی اطلاعات حافظه استفاده میکنند تا دادههای سرقتی را به خارج از شبکه منتقل کنند، بدون اینکه توسط سیستمهای امنیتی شناسایی شوند. با نوشتن کوئریهایی مثل این، میتوان رفتارهای مشکوک مربوط به این تکنیکها را سریعتر تشخیص داد.
معادل کوئری در Splunk
index=your_index_name
sourcetype=your_sourcetype
process_image="*7z.exe" OR process_image="*7zr.exe" OR process_image="*7za.exe" OR process_name IN "7z.exe", "7za.exe"
AND process_command_line="*.dmp*" OR process_command_line="*.dump*" OR process_command_line="*.hdmp*"
در اینجا هم هدف مشابه است؛ تشخیص استفاده از 7-Zip برای فشردهسازی فایلهای dump که ممکن است نشاندهنده فعالیتهای مشکوک باشد.
آیا شما هم تجربه مشابهی در تحلیل رفتارهای مخرب مرتبط با ابزارهای مشروع داشتهاید؟
#ThreatDetection
#CyberSecurity
#ELK
#Splunk
#DetectionRules
#SecurityAnalytics
#SOC
#SIEM
#LogAnalysis
#BlueTeam
#FreeTraining
#RuleWriting
#APTDetection
#CyberThreats
#CyberDefense
Forwarded from challenginno.ir
✔️ یکی از فرآیندهای مهم در امنیت، پاسخگویی به حادثه یا Incident Response است. آشنایی با این فرآیند و نکات مربوط به آن، میتواند در هنگام مواجهه با حوادث، به ما کمک شایانی نماید.
✅ فرض کنید در یک شرکت به عنوان تیم پاسخگویی به حادثه مشغول به کار هستید. یک گزارش از تیم شبکه نشان میدهد که ترافیک مشکوکی از یکی از سیستمهای ویندوز به یک سرور خارجی ارسال شده است. شما مأمور شده اید تا این موضوع را بررسی نموده و شواهد احتمالی را جمعآوری و تحلیل نمایید.
✅ فردی که اولین بار مشکل را مشاهده نموده، آشناییهای اولیه با مباحث امنیت و مانیتورینگ داشته است و همچنین با توجه به علاقمندی که به مباحث فارنزیک داشته، دورههای مختلف در این زمینه را گذرانده بوده است. این فرد در هنگام مشاهده مشکل، لاگهای Security و Sysmon را ذخیره نموده و همچنین از فولدرهای مشکوک با استفاده از ابزار FTK Imager، یک Image تهیه نموده است.
✅ شما باید موارد را بررسی نموده و حادثه را تحلیل نمایید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/incident-response-execution-powershell
✅ فرض کنید در یک شرکت به عنوان تیم پاسخگویی به حادثه مشغول به کار هستید. یک گزارش از تیم شبکه نشان میدهد که ترافیک مشکوکی از یکی از سیستمهای ویندوز به یک سرور خارجی ارسال شده است. شما مأمور شده اید تا این موضوع را بررسی نموده و شواهد احتمالی را جمعآوری و تحلیل نمایید.
✅ فردی که اولین بار مشکل را مشاهده نموده، آشناییهای اولیه با مباحث امنیت و مانیتورینگ داشته است و همچنین با توجه به علاقمندی که به مباحث فارنزیک داشته، دورههای مختلف در این زمینه را گذرانده بوده است. این فرد در هنگام مشاهده مشکل، لاگهای Security و Sysmon را ذخیره نموده و همچنین از فولدرهای مشکوک با استفاده از ابزار FTK Imager، یک Image تهیه نموده است.
✅ شما باید موارد را بررسی نموده و حادثه را تحلیل نمایید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/incident-response-execution-powershell
Forwarded from challenginno.ir
✔️ یکی از سرویسهای مهم و حیاتی در زیرساختهای امنیتی شبکههای سازمانی ACDS است که توسط Microsoft ارائه شده است. این سرویس امکان ایجاد و مدیریت گواهینامههای دیجیتال را فراهم میآورد، که برای احراز هویت امن کاربران، دستگاهها و سرویسهای مختلف در شبکههای مبتنی بر اکتیو دایرکتوری استفاده میشود.
✅ در صورتی که سرویس ADCS مورد حمله قرار گرفته و Compromise شود، امکان به خطر افتادن کل گواهینامه های شبکه وجود خواهد داشت.
✅ در این چالش شما با یک سرور که نقش ADCS بر روی آن نصب شده است روبرو هستید. شما باید بررسی های لازم را از هر جهت بر روی سرور انجام داده و به منابع آن دسترسی پیدا کنید.
✅ لازم به ذکر است که نیازی به دسترسی Domain Admin در این سناریو نبوده و شما با یک کاربر عادی (البته نه هر کاربری) نیز می توانید چالش را حل نمایید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/active-directory-certificate-services
✅ در صورتی که سرویس ADCS مورد حمله قرار گرفته و Compromise شود، امکان به خطر افتادن کل گواهینامه های شبکه وجود خواهد داشت.
✅ در این چالش شما با یک سرور که نقش ADCS بر روی آن نصب شده است روبرو هستید. شما باید بررسی های لازم را از هر جهت بر روی سرور انجام داده و به منابع آن دسترسی پیدا کنید.
✅ لازم به ذکر است که نیازی به دسترسی Domain Admin در این سناریو نبوده و شما با یک کاربر عادی (البته نه هر کاربری) نیز می توانید چالش را حل نمایید.
🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:
🌐 https://challenginno.ir/challenge/active-directory-certificate-services