#Endpoint Detection and Response (EDR) Solutions
سلوشن های EDR از این حیص که در جبهه مقابل RedTeamer ها هستند برای ما اهمیت ویژه ای دارند,یکی از ویژگی های #EDR ها اینه که با استفاده از هوش مصنوعی عمل و رهگیری میکنند,و بعد ReAction پایلود هارا Response گرفته و در نهایت دسترسی را شکار میکنند,

این پروسه ذکر شده رو در دمو های پست مشاهده میکنید, حال جنگی میان RedTeamer با کمپانی های فعال در حوزه #EDR ها همواره وجود داره که اتفاقا تیم های دولتی ایرانی هم هنرمندی خواصی در دور زدن این سلوشن ها دارند, نکته دیگری که میتوان به آن اشاره کرد این است که شما با استفاده از #EDR ها قدرت #Forensic هم خواهید داشت و به گونه ای شبه به SIEM ها عمل خواهند کرد,

شرکت های خارجی بسیار در این حوزه فعال هستند و نتایج خوبی رو هم از حیص درآمدی کسب کرده اند, این موضوع در حالی اتفاق می افتد که شرکت های ایرانی اکثرا درگیر با دایره خدماتی iSMS بوده و نیت جدی برای تولید محصولات این چنینی ندارند, البته مبانی اطلاعاتی اولیه این چنین تولیدات نرم افزاری مستلزم آن است که ماتریکس هایی مانند MITRE ATT&CK را بصورت کامل و جامعه درک شود.

@Unk9vvN
#APTSimulator
کمپانی NextronSystems یک Simulator در خصوص تمرین در خصوص پیاده سازی تکنیک های #RT در مقابل #Endpoint Detection ها و سیستم های مانیتورینگ که مامور شکار حملات و تکنیک های استفاده شده ی هکرها هستش,

از لینک زیر میتوانید این Simulator رو دانلود و بر روی یک سیستم عامل ویندوزی ترجیحا نسخه 10 با سطح دسترسی Administrator باز کرده و سناریو مورد نظر خودتون رو از لیست موجود انتخاب و اجرا کنید...


https://github.com/NextronSystems/APTSimulator/releases
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Endpoint Detection in #Splunk Demo
نمایشی از چگونگی عملکرد ThreatHunting یکی از App های نرم افزار #Splunk هستش که چطور Process Injection پایلودهای فریمورک Cobalt Strike رو شناسایی میکنه و از بین میبره,

البته وبلاگ CobaltStrike هم اعلام کرده که دیگه از تکنیک RemoteThreads استفاده نمیکنه برای Process Injection و بجای آن از WriteProcessMemory استفاده خواهد کرد که چند و چون ماجرا را میتوانید در وبلاگ زیر مطالعه بفرمایید...


https://blog.cobaltstrike.com/2019/08/21/cobalt-strikes-process-injection-the-details/


https://splunkbase.splunk.com/app/4305/
@Unk9vvN
#Red_Team & #Endpoint_Detection_Response Maps
اگر علاقمند هستید که دامنه و گستره بازرسی و روند شناسایی دیوایس های #EDR را بدانید میتواند تصویر نقشه EDR را مطالعه نمایید, مبحث کنترل Endpoint ها همه روزه با تقویت موتورهای Heuristic و Signature Based و رفتارشناسی در خصوص حملات Advanced Threat بیشتر شده و کار را برای استفاده از روش های عمومی سخت کرده است,

همچنین تصویر سمت چپ دارای نقشه عملکردی تیم قرمز هستش که از این روی تیم های قرمز هم بیکار نبوده اند و در فضاهای مختلف سعی بر ترکیب سازی روش های ابداعی خود دارند و با آزمون خطا نقاط ضعف #EDR ها را شناسایی میکنند, برای بررسی طیف گسترده ای از این تکنیک ها شمارو ارجاع میدم به gist زیر,

https://gist.github.com/RedTeams

با بررسی روش های بالا میتوانید با دامنه سناریو سازی ها و طراحی Stage های مختلف حمله آشنا شده و با کمی خلاقیت باز هم از همین روش های عمومی شده به جهت دور زدن مکانیزم های دفاعی استفاده کنید...

https://en.wikipedia.org/wiki/Red_team
https://en.wikipedia.org/wiki/Endpoint_detection_and_response
@Unk9vvN