#Threat_Hunting #BLUESPAWN
در سالهای اخیر فعالیت های زیادی در خصوص رهگیری و شکار حملات سطح پیشرفته یا #APT انجام شده که پاشنه آشیل تمامی آنها رفتارشناسی حمله هستش که به اختصار به آن #TTPs گفته میشه،

یکی از روش هایی که تیم های آبی برای نا کارآمد کردن تکنیک ها و تاکتیک های مورد استفاده قرار گرفته شده ای تیم های APT این هستش که آن تکنیک مستند شده و الگو رفتاری اون بر مبنای حالا اگر COM Object یا بر مبنای Memory ، شناسایی و اصطلاحا شکار بشه،

در این خصوص ابزار هایی طراحی میشه که این TTP ها را بواسطه مستندات MITRE ATT&CK دریافت کرده و مخازن لاگ و پروسس های فعال و وضعیت پیکربندی سیستم عامل ، اسکن کرده و وضعیت سیستم عامل رو به شما اعلام خواهد کرد،

این روش در خصوص ایجاد TTP های اختصاصی از حملات رخداده شده در یک سازمان میتواند بسیار کار آمد باشد چرا که سریعا بدون نیاز به نرم افزار های حجیم و پر درد سر، حمله رو در سیستم ها و شبکه های دیگر سازمان پیدا و مشخص نمود.

در تصویر اول پالایش اتفاق افتاده در تصویر دوم ایرادات پیکربندی که وجود داره رو Audit کرده...

https://github.com/ION28/BLUESPAWN
@Unk9vvN
#WinAPI #Threat_Hunting
یکی از مواردی که در بحث شکار تهدید میبایست ارزیابی و بررسی شود، مبحث استفاده ی از WinAPI سیستم عامل ویندوز میباشد،

در یک زنجیره حمله قالبا برای انجام ماموریت های بهره برداری یا ارتقاء سطح دسترسی و همچنین مواردی مانند ناشناس ماندن در مقابل مکانیزم های شناساسی کننده باشد.

در این خصوص یک وبسایت وجود داره به نام malapi.io که بسیاری از توابع API سیستم عامل، به شما نمایش میدهد و پتانسیل این توابع هم مطرح شده است که در کدام از مقطع یک حمله APT بکار گرفته شود.

برای مثال تابع GetModuleHandleW برای بکارگیری در فرآیند فراخوانی بارگیری شده باشد. این تابع اغلب همراه با GetProcAddress برای بازیابی پویا آدرس یک تابع برای اهداف فرار از شناسایی استفاده می شود.

malapi.io
@Unk9vvN