🔰به طور صحیح netflow یک پروتکل سیسکو می باشد که در نسخه های 5 و 9 و 10 و با نام IPFIX نیز میشناسیم. اما شرکت های دیگر نیز پروتکلی شبیه به netflow دارند. مانند Jflow(محصولات جونیپر) و Netstream(محصولات HP).
✅به طور کلی هر جا در مورد netflow صحبت کردیم، منظور همان روش دریافت، تجزیه و تحلیل ترافیک تجهیزات و سرویس ها است.(فارغ از نوع برند).

✅ در نظر بگیرید که netflow لاگ نیست!. Netflow یک پروتکل است که ترافیک را با استفاده از سرویس پورت مشخص(برای مثال در سیسکو روی پورت 2055،9995،9996 ) در شبکه ارسال می کند.

✳️می توان با برخی ابزار ها مانند nfdump اقدام به ساده سازی مشاهده ترافیک و تبدیل آن به text کرد.

✳️با استفاده از ابزار هایی مانند zeek می توان ترافیک حاصله از netflow را برای ابزار های SIEM قابل فهم کرد.
در تصویر ارائه شده نمونه ای از ترافیک شبکه که با استفاده از netflow تهیه شده است را ملاحظه می کنید.

دستور وارد شده جهت نرمال سازی ترافیک:
$tshark –r [pcap file]-z conv , tcp –q -n

🔰Correctly, netflow is a Cisco protocol that we know in versions 5, 9 and 10 and also known as IPFIX. But other companies also have a protocol similar to netflow. such as Jflow (Juniper products) and Netstream (HP products).
✅But in general, wherever we talked about netflow, it means the same method of experimenting and analyzing the traffic of equipment and services (regardless of the type of brand).
✳️Consider that netflow is not logged! Netflow is a protocol that sends traffic using a specific port service (for example, in Cisco on port 2055, 9995, 9996) in the network.

✳️You can use some tools like nfdump to simplify traffic viewing and convert it to text.

✳️By using tools like zeek, the traffic resulting from netflow can be understood for SIEM tools.

In the provided image, you can see an example of network traffic prepared using netflow.

The command entered to normalize the traffic :
$tshark –r [pcap file]-z conv , tcp –q -n

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰روش PCAP and Layer 7 Metadata Collection:
✅با mirror کردن پورت سویچ و یا گرفتن از لینک می توان full packet capture انجام داد.
✅اگر ترافیک توسط SIEM خوانده و قابل فهم نبود، باید با ابزار های متناسب، تحلیل و نرمال سازی شود.
✅بدلیل حجم بالای Pcap ها، می بایست نقاط دریافت ترافیک در محل های خاص و مهم در نظر گرفته شود.
✅برای لایه 7 می توان از ابزار zeek استفاده کرد. (پروتکل های smb، http، dns، smtp و …)

🔰PCAP and Layer 7 Metadata Collection method:
✅Full packet capture can be done by mirroring the switch port or taking it from the link.
✅If the traffic cannot be read and understood by the SIEM, it should be analyzed and normalized with appropriate tools.
✅Due to the high volume of Pcaps, traffic receiving points should be considered in special and important places.
✅For layer 7, zeek tool can be used. (protocols smb, http, dns, smtp and...)

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰گرفتن ترافیک Layer 7 Metadata:

_روشی بین گرفتن کامل ترافیک(Pcap) و گرفتن ترافیک لایه 3 و 4 (netflow).

_بسیار مفید و کاربری به همراه ابزار های فراوان جهت دریافت اطلاعات ترافیک.

_نمونه ای از لاگ های دریافتی با استفاده از ابزار های دریافت اطلاعات ترافیک به روش L7 metadata که با zeek گرفته شده، در تصویر ارائه شده است.

❇️به زودی در مورد پروتکل های مهم شبکه مانند DNS و HTTP مطالبی ارائه خواهیم کرد.

🔰Capturing Layer 7 Metadata traffic:

_A method between full traffic capture (Pcap) and layer 3 and 4 traffic capture (netflow).

_Very useful and easy to use with many tools to get traffic information.

_An example of the received logs using the L7 metadata method of receiving traffic information tools taken with zeek is presented in the image.

❇️We will soon cover important network protocols such as DNS and HTTP.

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive

🔰گزارش رسیدگی به رخداد های سال 2022 توسط تیمKaspersky

#Incident_Response
#CERT

T.me/ictlive

🔰وبینار مدیریت رسیدگی به رخداد های سایبری

✅ویژه تیم های CSIRT و SOC.
✅بررسی چالش های موجود در رسیدگی به رخداد و ارائه راهکار.
✅استفاده از متدولوژی های به‌روز در رسیدگی به رخداد.

❇️جهت ثبت نام با Cyberlive2020@gmail.com در ارتباط باشید.

#ICTlive
#Incident_Response
#CSIRT

🔰مطالب مورد بررسی در وبینار مدیریت رسیدگی به رخداد های سایبری

❇️مهلت ثبت نام: تا 26 خرداد ماه

🔰معماری واحد های مستقر در مرکز عملیات امنیت

❇️در تصویر فوق، واحد های مورد نیاز مرکز عملیات امنیت ارائه شده است. (هرچند با توجه به نیاز و سیاست های هر شرکت و سازمان، این معماری می تواند دستخوش تغییر باشد).

🔗در لینک زیر، هر کدام از این قسمت ها به صورت مختصر و مفید توضیح داده شده است.

medium.com/@cyber_kid12/day-76-the-inner-workings-of-soc-architecture-7b774cfcdaee

🔰ابزارهایی همچون SIFT, REMnux, EZTools در فارنزیک و تحلیل بدافزار بسیار مفید هستند.
با مراجعه به سایت sans.org می توانید این ابزارها را به صورت رایگان دانلود کنید.

https://www.sans.org/tools/?focus-area=digital-forensics

❇️هرچند ابزارهای دیگر نیز در حوزه های مختلف Defensive & Offensive در این سایت موجود است.

#ICTlive
#Incident_Response
#Forensic

🔰انواع DNS Server

1️⃣سرور Stub Resolver : همان DNS سیستم local می باشد. می توان با دستور Ipconfig /displaydns آدرس هایی که cache شده اند را مشاهده کرد.
⭕️ در لینوکس، cache شدن dns به صورت پیشفرض فعال نیست.

2️⃣سرور Forwarding : این سرور ها آدرس ها را درون خود cache می کنند.(در صورتی که درخواستی به این سرور ارسال شود، ابتدا با cache بررسی شده و در صورتی که موجود نبود، سپس از لایه بالاتر که Cache server ها هستند پرس و جو می کند.)
سرور Forwarding مانند: روتر خانگی، DC و DNS server شرکت / سازمان.

3️⃣سرور Caching: این سرور ها درخواست های Forwarding server ها را پاسخ می دهند و در صورتی که آدرس موجود نبود، درخواست را جهت مشخص شدن وضعیت به سمت Root server ارسال می کنند.
سرور Caching مانند: ISP ها، 8.8.8.8، 1.1.1.1.

4️⃣سرور Authoritative :سرویس caching در این سرور ها وجود ندارد و نیازی به بازگشت درخواست نیست.(یعنی درخواستی اگر به این سرور ها ارسال شود، این درخواست به سرور دیگری برای پیدا شدن آدرس ارسال نمی شود. چون در root server ها تمامی آدرس ها موجود است.) مانند: ns1.google.com
#SOC
#DNS_Server
T.me/ICTlive

🔰فرآیند DNS Lookup Route

✅مراحلی که یک درخواست(بازدید یک صفحه وب) طی می کند تا آدرس IP مربوط به دامنه نظیر آن مشخص شود.

❇️در ادامه با رکورد های مختلف DNS و حملات موجود در این سرویس آشنا خواهیم شد.

#SOC
#DNS_Server
T.me/ICTlive

🔰رکورد های DNS:

🔸رکورد A: آدرس Ip داده شده به یک دامنه با این رکورد مشخص می شود.
🔸رکورد NS: این رکورد به سروری اشاره می کند که رکورد های DNS در آن ذخیره شده اند. به عبارتی هر دامنه دارای ns می باشد که در آن اطلاعات مربوط به دامنه جهت مشخص شدن آدرس IP سرور وجود دارد.
🔸رکورد MX: این رکورد مشخص می کند که چطور پیام های ایمیل با توجه به پروتکل smtp به mail server هدایت شوند. این رکورد همیشه به یک دامنه(همان دامنه ایمیل) اشاره دارد.
🔸رکورد PTR: با استقاده از این رکورد دامنه های مربوط به آدرس IP مشخص می شود.(معکوس رکورد A). در این رکورد یک عملیات Reverse Lookup صورت می گیرد.
🔸رکورد TXT: در این رکود اطلاعاتی مربوط به ادمین و توضیحاتی که در برخی مواقع برای امن سازی سرویس DNS صورت می گیرد، قرار دارد.(در ادامه در مورد SPF و DKIM صحبت خواهیم کرد).
🔸رکورد Cname: انتقال یک دامنه و یا زیردامنه به یک دامنه دیگر توسط این رکورد صورت می گیرد.
🔺برای مثال وقتی یک DNS سرور به دامنه a.b.com برخورد می کند، برای پیدا کردن آدرس ip، یک جست و جوی دیگر برای b.com ایجاد می کند(و نه برای کل زیردامنه) که در نتیجه آدرس IP مربوط به b.com توسط رکورد A مشخص می شود. در این حالت می گوییم b.com همان cnameای برای a.b.com است.

#DNS_Server
T.me/ICTlive

🔰رکورد A:
موارد مهمی که در این رکورد وجود دارد:

✅ضبط درخواست ها و پاسخ های DNS بسیار مهم است. برای مثال یک وب سایت فعالیت مشکوکی داشته(وجود بدافزار) و شما بدنبال آدرس IP آن برای اقدامات بعدی هستید ولی با بررسی که انجام می دهید، آدرس تغییر کرده و دامنه آلوده با آدرس ip دیگری مشاهده می شود. در صورتی که درخواست ها ضبط شوند(لاگ گیری در سرویس dns) بررسی موارد مشکوک میسر است.
🔹برخی مواقع با ارسال یک درخواست lookup، چندین آدرس ip در پاسخ دریافت می شود.(Load Balancing, CDN ,Geographic Distribution و ... .)
🔹برخی مواقع با ارسال چند درخواست مختلف(دامنه های متفاوت)، یک آدرس IP دریافت می شود.(هاست های اشتراکی، زیردامنه ها و ... .)
🔹اگر در پاسخ رکورد A، با Nxdomainمواجه شدید، یعنی رکوردی برای دامنه درخواست شده وجود ندارد.

✅یکی از وب سایت های خوب در زمینه مشاهده رکورد های DNS، وب سایت Robtex.com می باشد.
#DNS_Server
T.me/ICTlive

🔰یک نمونه گزارش تحلیل بدافزار که می تواند به عنوان Template استفاده شود.

✅این گزارش در مورد مجموعه کامپوننت هایی با نام "Infamous Chisel" است که امکان دسترسی دائمی به دستگاه اندرویدی آلوده را از طریق شبکه Tor فراهم می‌کند.

❇️خلاصه ای از اقدامات انجام شده توسط این بدافزار:

🔸ایجاد دسترسی Backdoor با استفاده از شبکه Tor
🔸مانیتور و اسکن شبکه | ترافیک.
🔸سرویس مخفی و SSH
🔸استفاده از SCP برای انتقال فایل.
🔸استخراج تنظیمات پیکربندی سیستم ها و برنامه ها.
🔸مرتبط با Sandworm APT
#Malware_Analysis
#BlueTeam

T.me/ICTlive

🔰گزارش تحلیل بدافزار

✅اطلاعات بیشتر؛ شامل دانلود IOC و ... . در لینک زیر:

🔗https://www.cisa.gov/news-events/analysis-reports/ar23-243a


#Malware_Analysis
#BlueTeam

T.me/ICTlive

🔰رکورد PTR:
موارد مهمی که در این رکورد وجود دارد:
🔶این رکورد، معکوس رکورد A عمل می کند. با داشتن آدرس IP می توان به دامنه ای که با این آدرس نگاشت شده است، رسید.
برای مثال با دستور nslookup 8.8.8.8 می توانید یک درخواست ایجاد کنید که از این رکورد استفاده می کند و دامنه مرتبط با آدرس ذکر شده را برمیگرداند.
🔺البته استفاده از PTR همیشه نتیجه مورد انتظار را ندارد. چه بسا در پاسخ رکورد A به یک آدرس IP برسیم ولی با معکوس کردن آن(استفاده از PTR) به دامنه قبلی نرسیم!
این مورد زمانی رخ می دهد که دامنه های مختلف و یا hostname های مختلفی برای آدرس ip در نظر گرفته شده باشند.

❇️استفاده از Passive DNS: با استفاده از آن می توان دامنه هایی که برای یک آدرس IP ایجاد شده اند را مشاهده کرد.( به طور کلی این روش از دیتابیس موجود در وب سایت هایی که رکورد A را ذخیره کرده اند، استفاده می کند. به همین دلیل به آن passive یا غیرفعال می گویند).
در تصویر فوق، یک نمونه درخواست lookup برای مشاهده دامنه ارسال شده که در برنامه wireshark وظیفه رکورد PRT بخوبی مشخص شده است.

#DNS_Server
#PTR_Record

T.me/ICTlive

🔰به همراه سرویس SIEM، محصولات امنیتی XDR به عنوان پلتفرم های محبوب در بسیاری از شرکت ها و سازمان ها در حال استفاده می باشند.

در تصویر بالا یک مقایسه خوب از محصولات امنیتی XDR، EDR و AntiVirus را شاهد هستیم.

#XDR
#EDR
#AntiVirus

T.me/ICTlive

🔰مزایای دو سرویس تشخیص نفوذ معروف و برتری Suricata نسبت به Snort.

#Snort
#Suricata
#ICTlive

T.me/ICTlive