#Geneva #Censorship #Bypass
پروژه ای با نام Geneva فعال شده در دانشگاه Maryland میپردازد به استراتژی هایی که میتواند مکانیزم های عملکردی دستگاه سانسور رو خنثی و ناکار آمد کنه.
اما راهکار Geneva چیست؟ یکی از راهکار های مطرح، پیاده سازی الگوریتم DNA Syntax هست که مبتنی بر الگوهای یادگیری اقدام به دستکاری جریان پکت ها میکنه که البته نیازی نیست از طرف کاربر و سمت سرور باشه و یکی از طرفین میتونند این عمل رو پیاده سازی کنند، این دستکاری موجب گیج کردن دستگاه سانسور خواهد شد و دستگاه سانسور قابلیت درک ساختار پکت ها رو نخواهد داشت.
استراتژی DNA به این صورت است که نحوه مدیریت پکت های خروجی و ورودی رو تقسیم میکنه و بواسطه 4 روش زیر:
1.
2.
3.
4.
این قطعه بندی بواسطه تعریف در یک ساختار درختی اعمال میشود، در نتیجه چندین درخت action تشکیل شده و بسته ها مبتنی بر این ساختار درختی متغییر، بصورت استراتژیک مدیریت شده و در ارسال ورودی و خروجی ها مبتنی بر استراتژی DNA عمل خواهد کرد.
@Unk9vvN
پروژه ای با نام Geneva فعال شده در دانشگاه Maryland میپردازد به استراتژی هایی که میتواند مکانیزم های عملکردی دستگاه سانسور رو خنثی و ناکار آمد کنه.
اما راهکار Geneva چیست؟ یکی از راهکار های مطرح، پیاده سازی الگوریتم DNA Syntax هست که مبتنی بر الگوهای یادگیری اقدام به دستکاری جریان پکت ها میکنه که البته نیازی نیست از طرف کاربر و سمت سرور باشه و یکی از طرفین میتونند این عمل رو پیاده سازی کنند، این دستکاری موجب گیج کردن دستگاه سانسور خواهد شد و دستگاه سانسور قابلیت درک ساختار پکت ها رو نخواهد داشت.
استراتژی DNA به این صورت است که نحوه مدیریت پکت های خروجی و ورودی رو تقسیم میکنه و بواسطه 4 روش زیر:
1.
duplicate: کپی پکت ها به دو2.
drop: عدم پاسخ به پکت3.
tamper: تغییر پکت بواسطه مدل از پیش تعیین شده4.
fragment: دریافت یک پکت و دو قطعه کردن آناین قطعه بندی بواسطه تعریف در یک ساختار درختی اعمال میشود، در نتیجه چندین درخت action تشکیل شده و بسته ها مبتنی بر این ساختار درختی متغییر، بصورت استراتژیک مدیریت شده و در ارسال ورودی و خروجی ها مبتنی بر استراتژی DNA عمل خواهد کرد.
@Unk9vvN
#Mobile #Legal #Intercept #System
به گزارش CitizenLab سازمان تنظیم مقررات رادیویی (CRA) تمامی اپراتور های مخابراتی در ایران را ملزم به ارائه دسترسی مستقیم سیستم خود را برای بازیابی اطلاعات کاربران و تغییر خدمات خود، به CRA ارائه دهند. این دسترسی در خصوص ذخیره اطلاعات کاربران، صلب دسترسی یا اجازه دسترسی استفاده میشود.
سیستم رهگیری CRA از API با نام (#SIAM) برای اعمال خدمات و هرگونه درخواست مورد نیاز حاکمیت را انجام میدهد، که تحت حمایت دولتی برقرار میشود و برای مدیریت مستقیم شبکه تلفن همراه در کشور خواهد بود.
این سیستم یکپارچه بواسطه محصولات شرکت PROTEI که یک فروشنده بین المللی سیستم های مخابراتی در روسیه است حاصل میشود که توسط شرکت آریانتل و شرکت Telinsol در انگلیس تهیه شده و محصولات Deep Packet Inspection برای اعمال فیلترینگ و User Authentication و SMS Delivery و Mobile Network Signaling را خدمات دهی میکند.
شرکت آریانتل یک اپراتور شبکه مجازی تلفن همراه مستقر در ایران است و CitizenLab با مکاتباتی که داشتند عنوان کردن که این شرکت با شرکت PortaOne مستقر در کانادا تعاملات تجاری تلفن همراه نیز دارد.
@Unk9vvN
به گزارش CitizenLab سازمان تنظیم مقررات رادیویی (CRA) تمامی اپراتور های مخابراتی در ایران را ملزم به ارائه دسترسی مستقیم سیستم خود را برای بازیابی اطلاعات کاربران و تغییر خدمات خود، به CRA ارائه دهند. این دسترسی در خصوص ذخیره اطلاعات کاربران، صلب دسترسی یا اجازه دسترسی استفاده میشود.
سیستم رهگیری CRA از API با نام (#SIAM) برای اعمال خدمات و هرگونه درخواست مورد نیاز حاکمیت را انجام میدهد، که تحت حمایت دولتی برقرار میشود و برای مدیریت مستقیم شبکه تلفن همراه در کشور خواهد بود.
این سیستم یکپارچه بواسطه محصولات شرکت PROTEI که یک فروشنده بین المللی سیستم های مخابراتی در روسیه است حاصل میشود که توسط شرکت آریانتل و شرکت Telinsol در انگلیس تهیه شده و محصولات Deep Packet Inspection برای اعمال فیلترینگ و User Authentication و SMS Delivery و Mobile Network Signaling را خدمات دهی میکند.
شرکت آریانتل یک اپراتور شبکه مجازی تلفن همراه مستقر در ایران است و CitizenLab با مکاتباتی که داشتند عنوان کردن که این شرکت با شرکت PortaOne مستقر در کانادا تعاملات تجاری تلفن همراه نیز دارد.
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Airgap #Exfiltration #Malware
سالها پیش پستی در خصوص فعالیت های آزمایشگاه امنیت سایبری دانشگاه Ben Gurion کشور جعلی اسرائیل مطرح کردیم که مدل سازی حملات به شبکه های Air-Gap که از محدود ترین مدل های شبکه ای بوده و معمولا در مجموعه های صنعتی استفاده میشود، ارائه شده است.
حالا محققین این دانشگاه یک مقاله جدید با نام COVID-bit ارائه دادند که بواسطه تولید جریان الکترو مغناطیسی با فرکانس پایین بین 0 تا 60 کیلوهرتز توسط یک بدافزار از قبل نشسته در سیستم قربانی، منتشر شده تا مهاجم از فاصله دو متری و بیشتر امکان دریافت اطلاعات حساسی رو داشته باشه.
این دریافت عنوان شده که بواسطه یک آنتن کوچیک یک دلاری هم امکان پذیره که بواسطه یک جاسوس میتونه اتفاق بی افته و اطلاعات حساسی رو به یک گوشی هوشمند تا حداکثر سرعت 1000 بیت در ثانیه، منتقل کنه.
این تولید جریان الکترو مغناطیسی بواسطه دستکاری جریان اجرایی هسته های پردازنده اتفاق می افته، یعنی با کنترل نحوه عمل پردازنده ها مبتنی بر بار پردازشی وارده، امکان تولید فرکانس های ضعیفی خواهد بود که بصورت دو دویی و معنادار، اقدام به ارسال اطلاعات کنند.
@Unk9vvN
سالها پیش پستی در خصوص فعالیت های آزمایشگاه امنیت سایبری دانشگاه Ben Gurion کشور جعلی اسرائیل مطرح کردیم که مدل سازی حملات به شبکه های Air-Gap که از محدود ترین مدل های شبکه ای بوده و معمولا در مجموعه های صنعتی استفاده میشود، ارائه شده است.
حالا محققین این دانشگاه یک مقاله جدید با نام COVID-bit ارائه دادند که بواسطه تولید جریان الکترو مغناطیسی با فرکانس پایین بین 0 تا 60 کیلوهرتز توسط یک بدافزار از قبل نشسته در سیستم قربانی، منتشر شده تا مهاجم از فاصله دو متری و بیشتر امکان دریافت اطلاعات حساسی رو داشته باشه.
این دریافت عنوان شده که بواسطه یک آنتن کوچیک یک دلاری هم امکان پذیره که بواسطه یک جاسوس میتونه اتفاق بی افته و اطلاعات حساسی رو به یک گوشی هوشمند تا حداکثر سرعت 1000 بیت در ثانیه، منتقل کنه.
این تولید جریان الکترو مغناطیسی بواسطه دستکاری جریان اجرایی هسته های پردازنده اتفاق می افته، یعنی با کنترل نحوه عمل پردازنده ها مبتنی بر بار پردازشی وارده، امکان تولید فرکانس های ضعیفی خواهد بود که بصورت دو دویی و معنادار، اقدام به ارسال اطلاعات کنند.
@Unk9vvN
#Saitama #Malware #APT34
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن، که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل بوده اقدام به ایجاد دسترسی کرده است.
زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام
اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است که ظاهرا ابداع خود تیم APT34 بوده و تاکتیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.
@Unk9vvN
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن، که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل بوده اقدام به ایجاد دسترسی کرده است.
زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام
update.exe رو Drop خواهد کرد.اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است که ظاهرا ابداع خود تیم APT34 بوده و تاکتیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.
oxn009lc7n5887k96c4zfckes6uif.rootdomain.com
زمانی که Backdoor فعال میشود، به FQDN یک درخواست DNS ارسال کرده و مقدار IP رو دریافت میکند، این IPv4 مبتنی بر Octet مفهومی رو برای C2 معنا میکند، برای مثال آدرس زیر70.119.104.111 - 97.109.105.49اعداد کد Octet است که به کاراکترهای ASCII ترجمه میشوند، برای مثال
w=119 ، h=104 ، o=111 و i=105 است که نهایتا کلمه whoami رو از خط فرمان (C2) به Backdoor ارسال میکند.@Unk9vvN
#Electromagnetic #Signal #Injection #Attacks
در تحقیقات اخیر دانشگاه Oxford مقاله ای تحت عنوان تزریق سیگنال های الکترو مغناطیسی به سیگنال های دیفرانسیلی، ارائه شده که در آن محققین مدعی میشوند که بر جریان های ارتباطات رادیوی میتوانند از راه دور تزریق بیت انجام داده و پیام مخربی رو ارسال کنند.
این روش انتقال داده مبتنی بر دو سیگنال الکتریکی مکمل رمزگذاری کار میکنه و این نوع رمزگذاری باعث میشه که گیرنده بتونه سیگنال های نویز رو با دریافت کردن و عدم تطبیق اون با مدل رمزنگاری، تشخیص داده و رد کنه.
حالا محققین اعلام کردند که در تحقیقات خودشون تونستند این روش تشخیص Noise Rejection رو دور زده و بیت های دلخواه یک مهاجم رو بواسطه تزریق به هر دو سیگنال در مدل دیفرانسیل و همسانی بوجود آمده، دور بزنند.
نکته جالب توجه این مقاله اینه که طبق گفته های محققین، بسیاری از پروتکل های رایج و پرکاربرد رو توانستند تزریق و بهره برداری کنند، از جمله CAN، سیستم خودرو، Ethernet، USB، HDMI و حتی سیستم های هوانوردی مانند هواپیما.
@Unk9vvN
در تحقیقات اخیر دانشگاه Oxford مقاله ای تحت عنوان تزریق سیگنال های الکترو مغناطیسی به سیگنال های دیفرانسیلی، ارائه شده که در آن محققین مدعی میشوند که بر جریان های ارتباطات رادیوی میتوانند از راه دور تزریق بیت انجام داده و پیام مخربی رو ارسال کنند.
این روش انتقال داده مبتنی بر دو سیگنال الکتریکی مکمل رمزگذاری کار میکنه و این نوع رمزگذاری باعث میشه که گیرنده بتونه سیگنال های نویز رو با دریافت کردن و عدم تطبیق اون با مدل رمزنگاری، تشخیص داده و رد کنه.
حالا محققین اعلام کردند که در تحقیقات خودشون تونستند این روش تشخیص Noise Rejection رو دور زده و بیت های دلخواه یک مهاجم رو بواسطه تزریق به هر دو سیگنال در مدل دیفرانسیل و همسانی بوجود آمده، دور بزنند.
نکته جالب توجه این مقاله اینه که طبق گفته های محققین، بسیاری از پروتکل های رایج و پرکاربرد رو توانستند تزریق و بهره برداری کنند، از جمله CAN، سیستم خودرو، Ethernet، USB، HDMI و حتی سیستم های هوانوردی مانند هواپیما.
@Unk9vvN
#National #Cyber #Strategy #UK
در سند استراتژی امنیت ملی فضای سایبر انگستان دو بخش جالبی وجود داشت که بد نیست برای متولیان حکمرانی فضای سایبر کشور، باز خوانی بشه.
در بخش قرمز، عنوان میکنه امنیت سایبری بریتانیا به سرعت در حال رشد بوده و بیش از 1400 کسب و کار در سال گذشته (2021) گردش مالی 8.9 بیلیون یورو رو داشته اند، که منجر به ایجاد 46700 شغل شده است.
با وجود این رشد مالی، اعلام میشه این کشور هنوز در عرصه های بین المللی جای رشد داشته و بریتانیا به عنوان یک رهبر جهانی در تحقیقات امنیت سایبری با داشتن 19 دانشگاه عالی و 4 موسسه تحقیقاتی، خودش رو تثبیت کرده است.
در بخش سبز رنگ اعلام شده نیروی کار در بخش امنیت سایبری در 4 سال گذشته 50% رشد کرده، و بعضا تقاضا از عرضه بیشتر بوده.
در ادامه مطرح میکنه که برای الهام بخشیدن به جوانان برای دنبال کردن تخصص های امنیت سایبری، اقداماتی صورت گرفته و از سال 2019 تا 2020 نزدیک به 57000 جوان رو در برنامه یادگیری CyberFirst و Cyber Discovery پرورش داده شده و این روند تا مقطع دانش آموزی رو هم وارد فعالیت های دوره ها امنیت سایبری کرده است.
@Unk9vvN
در سند استراتژی امنیت ملی فضای سایبر انگستان دو بخش جالبی وجود داشت که بد نیست برای متولیان حکمرانی فضای سایبر کشور، باز خوانی بشه.
در بخش قرمز، عنوان میکنه امنیت سایبری بریتانیا به سرعت در حال رشد بوده و بیش از 1400 کسب و کار در سال گذشته (2021) گردش مالی 8.9 بیلیون یورو رو داشته اند، که منجر به ایجاد 46700 شغل شده است.
با وجود این رشد مالی، اعلام میشه این کشور هنوز در عرصه های بین المللی جای رشد داشته و بریتانیا به عنوان یک رهبر جهانی در تحقیقات امنیت سایبری با داشتن 19 دانشگاه عالی و 4 موسسه تحقیقاتی، خودش رو تثبیت کرده است.
در بخش سبز رنگ اعلام شده نیروی کار در بخش امنیت سایبری در 4 سال گذشته 50% رشد کرده، و بعضا تقاضا از عرضه بیشتر بوده.
در ادامه مطرح میکنه که برای الهام بخشیدن به جوانان برای دنبال کردن تخصص های امنیت سایبری، اقداماتی صورت گرفته و از سال 2019 تا 2020 نزدیک به 57000 جوان رو در برنامه یادگیری CyberFirst و Cyber Discovery پرورش داده شده و این روند تا مقطع دانش آموزی رو هم وارد فعالیت های دوره ها امنیت سایبری کرده است.
@Unk9vvN
#APT38 #DYEPACK #FireEye
حمله مدام پیشرفته APT38 منتصب است به تیم دولتی از کشور کره شمالی، که هدفش بانک ها و زیرساخت های تجاری و موسسه های مالی است.
بدافزار طراحی شده این تیم با نام DYEPACK توسعه داده شده که متمرکز بر هدف قرار دادن سیستم های SWIFT است. بعد از جمع آوری اطلاعات در سطح سه، تیم اقدام به بهره برداری از یک آسیب پذیری در خصوص Apache Struts2 کرده که منجر به ایجاد دسترسی اولیه شده است.
این آسیب پذیری با شناسه CVE-2019-0230 ثبت شده که از نوع Double OGNL Evaluation بوده، که ورودی خام رو مبتنی بر
اما مرحله جالب توجه، بحث جمع آوری اطلاعات داخلی بواسطه Backdoor نصب شده که به مدت دو سال به طول انجامیده و با استفاده از Sysmon تمام تراکنش های سیستم SWIFT بانک رو نظارت میکرده است.
تیم بواسطه DYEPACK به Transaction های سیستم SWIFT دسترسی پیدا کرده و با Collection بدافزاری خود، بواسطه ارسال درخواست های SQL به پایگاه داده، اقدام به دستکاری Record های SWIFT کرده است که حاصل آن 1.1 بیلیون دلار بوده.
@Unk9vvN
حمله مدام پیشرفته APT38 منتصب است به تیم دولتی از کشور کره شمالی، که هدفش بانک ها و زیرساخت های تجاری و موسسه های مالی است.
بدافزار طراحی شده این تیم با نام DYEPACK توسعه داده شده که متمرکز بر هدف قرار دادن سیستم های SWIFT است. بعد از جمع آوری اطلاعات در سطح سه، تیم اقدام به بهره برداری از یک آسیب پذیری در خصوص Apache Struts2 کرده که منجر به ایجاد دسترسی اولیه شده است.
این آسیب پذیری با شناسه CVE-2019-0230 ثبت شده که از نوع Double OGNL Evaluation بوده، که ورودی خام رو مبتنی بر
tag attributes دریافت کرده و مهاجم امکان ارسال کد مخرب مبتنی بر ساختار OGNL رو پیدا میکند.اما مرحله جالب توجه، بحث جمع آوری اطلاعات داخلی بواسطه Backdoor نصب شده که به مدت دو سال به طول انجامیده و با استفاده از Sysmon تمام تراکنش های سیستم SWIFT بانک رو نظارت میکرده است.
تیم بواسطه DYEPACK به Transaction های سیستم SWIFT دسترسی پیدا کرده و با Collection بدافزاری خود، بواسطه ارسال درخواست های SQL به پایگاه داده، اقدام به دستکاری Record های SWIFT کرده است که حاصل آن 1.1 بیلیون دلار بوده.
@Unk9vvN
#Donut #ETW Bypass #Module_Overloading
ابزار Donut یک ابزار در راستای اجرای فایل های VBScript، JScript، EXE، DLL و dotNET Assembly در حافظه رو امکان پذیر میکنه بی آنکه Stage بر روی حافظه سخت قرار داشته باشه. همچنین امکان فراخوانی یک Stage از یک وبسرور بواسطه درخواست HTTP انجام شده و در Loader جاسازی شود.
اما موضوعی که جذابه اینه که یکی از ویژگی های این ابزار اینه که بواسطه تکنیک Module Overloading که امکان اینرو میده که در یک فایل اجرایی Native PE بشود یک Manual Mapping انجام داد که بواسطه اون میشود فایل Map شده در حافظه رو Overwrite کرد.
گفته شده این تکنیک موجب میشه مکانیزم تشخیص مبتنی بر Process Injection دور زد، چرا که کد اجرایی مهاجم در حافظه در فایل روی دیسک Map نشده است.
این ماژول که با نام Decoy طراحی و بواسطه توابع NtCreateSection و NtMapViewOfSection کار میکنه، یک Legitimate Executable در زمان Map شدن در حافظه ایجاد میکنه، برای Overwrite کردن شلکد مد نظر در Section فایل فرمت PE.
@Unk9vvN
ابزار Donut یک ابزار در راستای اجرای فایل های VBScript، JScript، EXE، DLL و dotNET Assembly در حافظه رو امکان پذیر میکنه بی آنکه Stage بر روی حافظه سخت قرار داشته باشه. همچنین امکان فراخوانی یک Stage از یک وبسرور بواسطه درخواست HTTP انجام شده و در Loader جاسازی شود.
اما موضوعی که جذابه اینه که یکی از ویژگی های این ابزار اینه که بواسطه تکنیک Module Overloading که امکان اینرو میده که در یک فایل اجرایی Native PE بشود یک Manual Mapping انجام داد که بواسطه اون میشود فایل Map شده در حافظه رو Overwrite کرد.
گفته شده این تکنیک موجب میشه مکانیزم تشخیص مبتنی بر Process Injection دور زد، چرا که کد اجرایی مهاجم در حافظه در فایل روی دیسک Map نشده است.
این ماژول که با نام Decoy طراحی و بواسطه توابع NtCreateSection و NtMapViewOfSection کار میکنه، یک Legitimate Executable در زمان Map شدن در حافظه ایجاد میکنه، برای Overwrite کردن شلکد مد نظر در Section فایل فرمت PE.
@Unk9vvN
#KernelCallbackTable #Injection
تکنیک دزدیدن اجرا از KernelCallbackTable در فرایند فراخوانی توابع سیستمی بازگشتی، یک تکنیک مورد استفاده تیم Lazarus بود تا بواسطه این تکنیک Payload ایجاد شده خود را اجرا نماید و موجب نا محسوس شدن و ارتقاء سطح دسترسی شود.
اما این فرایند چگونه کار میکند؟ برای فهم مختصر این تکنیک اول میبایست این موضوع رو درک کرد که KernelCallbackTable چیست؟
زمانی که یک برنامه برای مثال از توابع GUI که Callback هستند رو از کتابخانه
مهاجم زمانی که Process قربانی، به تابع سیستمی Callback اشاره میکند، یک جا به جایی انجام داده و بجای تابع اصلی تابع خود را که اشاره به Payload مخرب دارد، قرار میدهد. برای اینکار اول میبایست مکان یابی PEB را بواسطه NtQueryInformationProcess انجام داد و به ستون های KernelCallbackTable بواسطه WriteProcessMemory ، آدرس Payload مخرب را قرار داد.
@Unk9vvN
تکنیک دزدیدن اجرا از KernelCallbackTable در فرایند فراخوانی توابع سیستمی بازگشتی، یک تکنیک مورد استفاده تیم Lazarus بود تا بواسطه این تکنیک Payload ایجاد شده خود را اجرا نماید و موجب نا محسوس شدن و ارتقاء سطح دسترسی شود.
اما این فرایند چگونه کار میکند؟ برای فهم مختصر این تکنیک اول میبایست این موضوع رو درک کرد که KernelCallbackTable چیست؟
زمانی که یک برنامه برای مثال از توابع GUI که Callback هستند رو از کتابخانه
user32.dll فراخوانی میکند، Process بهره برداری کننده در ساختمان Process Environment Block مقادیر KernelCallbackTable رو آماده سازی میکند.مهاجم زمانی که Process قربانی، به تابع سیستمی Callback اشاره میکند، یک جا به جایی انجام داده و بجای تابع اصلی تابع خود را که اشاره به Payload مخرب دارد، قرار میدهد. برای اینکار اول میبایست مکان یابی PEB را بواسطه NtQueryInformationProcess انجام داد و به ستون های KernelCallbackTable بواسطه WriteProcessMemory ، آدرس Payload مخرب را قرار داد.
@Unk9vvN
#MITRE_Engenuity #Attack_Flow
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.
این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.
این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.
این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:
Iranian APT exploited Log4Shell and deployed XMRig crypto mining software
A financial crime involving the SWIFT banking network
A breach at Uber by the Lapsus$ group
A Russian state-sponsored malware campaign targeting Ukraine
@Unk9vvN
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.
این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.
این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.
این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:
Iranian APT exploited Log4Shell and deployed XMRig crypto mining software
A financial crime involving the SWIFT banking network
A breach at Uber by the Lapsus$ group
A Russian state-sponsored malware campaign targeting Ukraine
@Unk9vvN