گزارشی از فعالیت یک گروه منتسب به ایران
جدید

#آکادمی_روزبه

https://cloud.google.com/blog/topics/threat-intelligence/unc1860-iran-middle-eastern-networks

همیشه از پایه بخوانیم.

تنظیم لاگ در ویندوز

#آکادمی_روزبه

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise

مجموعه مقالات #امنیت_به_زبان_ساده

#روزبه_نوروزی✍️

دو واژه : LoLBin و LOLBAS

انجام هک در سالها پیش از اقلام محدودی تشکیل شده بود. یعنی هکر با یک یا دو عمل ، ویروسی می نوشت و تخریب مد نظر را انجام میداد یا با هک یک وبسایت به کل  دارایی های سازمان تسلط می یافت.

روز به روز به تکنیک های هک افزوده شد و آن تکنیک هاپیچیده شدند و درقالب تاکتیک هایی تجمیع گردیدند. در طرف مقابل تیم امنیت هم بر توان و قدرت دفاعی و کشفی خود افزود. این شد که نفوذ برای دزدی یا تخریب اطلاعات مشکل شد. 
در این بین بدلیل مهاجرت سازمانها به فضای دیجیتال ، بخش عمده ای از سازمان به فضای سایبری منتقل شدند. و این سطح تاثیر سازمان از هکر ها را افزایش داد.

لذا سازمانها سعی کردند با پیاده سازی مکانیسم دفاع لایه ای به مقابله با نفوذ بپردازند به نحوی که با وجود گسترش فضای دیجیتال در سازمان؛  حجم ریسک‌ها کنترل شده باقی بماند.

در این بین هکرها راهی جدید برای نفوذ پیدا کردند. اصولا امروزه هک شامل یک یا دو قدم معدود نمی‌شود و انجام هک در سازمان شامل چندین پله و شامل فرآیند است. که مجموعه آنرا میتوانید در جدول ATT&CK  ملاحظه کنید.

در روش‌های نفوذ جدید ؛ هکر ها از ابزارهای موجود روی سیستم های سازمان علیه خود سازمان استفاده می‌کنند.
این روش چه مزیتی دارد ؟

اول اینکه این ابزار ها کاملا در دسترس هستند و نیازی به انتقال آنها به شبکه و سیستم قربانی نیست.
دوم اینکه سیستمهای امنیتی به این اقلام اعتماد دارند.
سوم اینکه با استفاده از این ها ، رد پای کمتری باقی می‌ماند و جرم شناسی و شکار توسط امنیت چی ها سخت می‌شود.

البته نکات دیگری در این میان هست که فعلا برای جلوگیری از اطاله کلام از آنها چشم پوشی میکنم تا لب مطلب اخذ گردد.

حالا برویم سراغ واژه ای که در ابتدای متن گفته شد:

به مجموعه ای از باینری هایی که در سیستم های سازمان وجود دارد و ما به آنها اعتماد داریم ولی در طول سال‌ها از آنها سوء استفاده شده است  LoLBin و LOLBAS گفته می‌شود یعنی :
Living of the land binary

این یعنی هکر در مراحلی از نفوذ خودش؛  ابزارهای نفوذ را می‌سازد یا از جایی تهیه می‌کند ولی در مراحل دیگری از نفوذ ، او از این مجموعه باینری خود سیستم عامل یا سامانه برای تقویت یا افزایش نفوذ و یا اقداماتی چون خروج داده از سازمان و یا رمزنگاری آنها استفاده می‌کند.

این مساله مشکلی در راه مقابله و کشف نفوذ ایحاد کرده است. البته در SOC ها راهکارهایی برای این موضوع پیاده می‌شود.

لیست این پاینری ها در پروژه ای جمع آوری شده است که در لینک زیر آنها را ببینید.
https://lolbas-project.github.io/#

#آموزش #امنیت #امنیت_سایبری
#امنیت_به_زبان_ساده
#cybersecurity #threathunting #cyberforensics

🔆 برای آگاهی دیگران ، دانش را نشر دهید و این پست را فوروارد کنید

استفاده از هوش مصنوعی در تحلیل بد افزار و مهندسی معکوس


راه انداری یک open source disassembler

#آکادمی_روزبه


https://cryptax.medium.com/using-ai-assisted-decompilation-of-radare2-e81a882863c9

باج افزاری که از بیت لاکر ویندوز علیه ما استفاده می‌کند

به همراه کانتنت های اسپلانک

#آکادمی_روزبه

#اسپلانک #امنیت

#splunk

https://www.splunk.com/en_us/blog/security/shrinklocker-malware-abusing-bitlocker-to-lock-your-data.html?utm_source=linkedin&utm_medium=social-media&linkId=594262321

🔘مراحل تدوین استانداردهای بین المللی در ايزو :

🔶استانداردهای منتشره توسط ایزو چهار نوع می‌باشند:
1. ISO/PAS (Publicly Available Specification)
2. ISO/TR (Technical Report)
3. ISO/TS (Technical Specification)
4. IS (International Standard)

در ایزو ، روال تدوین استانداردها به این صورت است که استانداردها توسط کشورهای عضو فعال در کمیتۀ فنی مربوطه پیشنهاد داده می‌شوند و برای همه کشورهای عضو جهت رأی‌گیری ارسال می‌شوند. روند تدوین استانداردها دارای چندین مرحله است که درهر مرحله سند استاندارد مربوطه توسط کشور پیشنهاد دهنده تکمیل‌تر شده و برای رأی‌گیری به کشورها ارسال می‌شود و کشورها نظرات تخصصی در مورد استاندارد مربوطه ارائه می‌کنند و در صورتی که نظرات داده شده مورد قبول واقع شود در سند استاندارد مربوطه اعمال می‌شود و در نهایت استاندارد نهایی با اجماع نظرکشورها منتشر می‌شود. تدوین یک استاندارد در ایزو از زمان پیشنهاد آن تا زمان نشر به طور متوسط به 3 سال زمان نیاز دارد.

🔶مراحل تدوین استاندارد:

1- پیشنهاد اولیه( NP- New Proposal)
در مرحله نخست ، موضوع پیشنهادی از طریق کمیته فنی ذیربط برای کلیه کشورهای عضو فعال و ناظر در کمیته مذکور ارسال و نظر خواهی می شود. شرط پذیرفته شدن هر موضوع پذیرش آن از سوی پنج کشور عضو فعال و معرفی کارشناس جهت همکاری می باشد. که در صورت پذیرفته شدن موضوع پیشنهادی ثبت شده در دستورکار کمیته فنی /فرعی قرار می گیرد که در این زمان عنوان AWI- Approved Work Item به آن داده شده و به کشور پیشنهاد دهنده اطلاع داده می شود. معمولا هر عضو پیشنهاد دهنده به عنوان مدیر پروژه معرفی خواهد شد تا کار را آغاز و تا پایان مراحل تدوین هدایت نماید.

2- پیش نویس اولیه (Working Draft - WD)
اولین مدرک تهیه شده توسط گروه کاری پیش نویس اولیه است که این مدرک توسط کمیته فنی /فرعی مربوطه برای برای رأی گیری و نظر دهی برای کشورهای عضو فعال و ناظر کمیته ارسال می‌شود و اگر بیش از نیمی از کشورها رأی مثبت دادند بعد از اعمال نظرات تخصصی کشورها این سند وارد مرحله بعدی می‌شود.

3- پیش نویس کمیته (CD- Committee Draft)
در این مرحله سند استاندارد مربوطه تکمیل‌تر شده و نظرات تخصصی کشورها در صورتی که وارد تشخیص داده شود در سند استاندارد مربوطه اعمال می‌شود و دوباره برای نظر خواهی و رای دهی به کشورها ارسال می‌شود. مهلت رای دادن در این مرحله حدود پنج ماه است . در پایان مهلت رای دهی در صورتی که بیش از 65% کشورهای عضو فعال رای مثبت داده باشند مدرک به مرحله بعدی تدوین هدایت میشود.

4- پیش نویس استاندارد بین المللی (DIS- Draft International Standard)
در این مرحله، پیش نویس وارد مرحله دیگری می شود و پس از اعمال نظرات دریافتی تکمیل‌تر شده و مجددا برای رأی‌گیری به کشورهای عضو فعال و ناظر ارسال می‌شود. مهلت رای دادن در این مرحله حدود پنج ماه است و در پایان مهلت رای دهی در صورتی که بیش از 65% کشورهای عضو فعال رای مثبت داده باشند مدرک به مرحله بعدی تدوین هدایت میشود.

5- پیش نویس نهایی استاندارد بین المللی (FDIS-Final Draft International Standard)
پیش نویس استاندارد بین المللی پس از بررسی توسط کشورهای عضو و پذیرفته شدن به مرحله نهایی تدوین استاندارد صعود می کند. در این مرحله دوماه مهلت رای گیری است که آن هم صرفا مسائل ویراستاری است .

6- استاندارد بین المللی (IS_ International Standard)
پیش نویس نهایی پس از مهلت رای گیری جهت چاپ به عنوان استاندارد بین المللی ارسال می شود.

#iso
🔰 🔰 🔰 🔰 🔰 🔰
☑️ مشاوره و آموزش سیستم های مدیریتی
qmsdp.com | @qmsdp
https://t.me/+PAWKvApNmgChqhYN

گزارش تحلیلی باج افزار بخوانیم.

جدید

#آکادمی_روزبه

https://www.huntress.com/blog/readtext34-ransomware-incident

شاه بیت من در این پاییز 🍂🍁


هرقدمی ولو کوچک برای بهتر شدن دنیا ؛ وظیفه ی ما است.
تقدیر از کسانی که این کار رو می‌کنند و نمایش لطف اونها هم؛ دیگر وظیفه ی ما است.


💫روزبه نوروزی
اولین روز پاییز ۱۴۰۳
تهران؛ ایران


#آکادمی_روزبه
#آموزش #امنیت
#cybersecurity

در این حمله چین تارگت شد.

لینک گزارش حمله در زیر

مطالعه گزارش رو برای سطح ۲ مرکز عملیات امنیت توصیه میکنم

https://www.trendmicro.com/en_no/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html


**از جایی به بعد دوره رفتن کمتر لازمه و بهتره چنین گزارش هایی دائم پیگیری بشه

#آکادمی_روزبه

#تجربه #درس_آموخته
#cybersecurity #threathunting #securityawareness #risk

به روز رسانی شرایط حریم شخصی تلگرام

آیا دادگاه فرانسه باعث و بانی آن شده است ؟


دروف در کانال خود اطلاعیه ای منتشر کرده که گفته با اصلاح خط مشی حریم شخصی خود؛ شماره تلفن و IP افرادی که از خط مشی تلگرام تخطی کنند به مسوولان دولت ها و امور قضایی ( با درخواست معتبر ) ارائه خواهد شد



🚫 To further deter criminals from abusing Telegram Search, we have updated our Terms of Service and Privacy Policy, ensuring they are consistent across the world. We’ve made it clear that the IP addresses and phone numbers of those who violate our rules can be disclosed to relevant authorities in response to valid legal requests.


#خط_مشی #پالیسی
#privacy #ethics

آیا پایان عمر WSUS شروع شد ؟

کار می‌کند اما فیچر جدیدی نخواهد داشت

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-server-update-services-wsus-deprecation/ba-p/4250436

#پاسخ

گزینه سوم

مرجع : درس سنز ۵۰۸

پاسخ به یک سوال مهم :

پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید :
ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمی‌دهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا می‌کنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ می‌دهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!!


من تعاملی با ChatGPT داشتم به جواب زیر رسیدم


Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications.

### Relation Between Windows PatchGuard and EDR Drivers

#### 1. Kernel-Level Drivers and PatchGuard
- EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel.

- PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as:
- System Service Descriptor Table (SSDT) hooks
- Interrupt Descriptor Table (IDT) hooks
- Kernel Object Manipulation
- Modification of the Kernel Debugger

This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures.

#### 2. Signed Drivers and PatchGuard Compliance
- Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system.

- Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities.

#### 3. Driver Operation Without Violating PatchGuard
- Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they:
- Hook into legitimate, documented APIs that provide system monitoring capabilities.
- Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events.
- Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures.

- User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard.
ادامه در پست بعد

#آکادمی_روزبه

#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr

ادامه از پست قبل 👆👆

#### 4. Is Using a Driver a Violation?
- No, It’s Not a Violation (When Done Correctly): Using a kernel driver in EDR solutions is not inherently a violation of PatchGuard. It’s only a violation if the driver attempts to patch or modify the kernel in ways that violate Windows security policies. Well-designed EDR solutions comply with PatchGuard by using standard APIs and legitimate kernel interfaces to achieve monitoring and protection goals.

- Working Within Kernel Mode: The EDR driver operates *within* the kernel, but it doesn’t modify or patch critical parts of the kernel itself. Instead, it monitors and reports events while respecting PatchGuard's restrictions. This allows it to maintain visibility into the system without breaching the kernel's integrity or violating Windows security rules.

### Summary
- Windows PatchGuard prevents unauthorized modifications to the Windows kernel, ensuring that the system's core remains intact and protected.
- EDR drivers operate within kernel mode but must comply with PatchGuard rules, meaning they cannot modify or patch the kernel directly.
- No violation occurs if the EDR driver is properly signed, respects PatchGuard’s limitations, and uses legitimate kernel monitoring techniques rather than trying to alter or bypass kernel protections.

#آکادمی_روزبه
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr

از زیبایی و اوج لذت ببرید

بررسی دامپ حافظه وقتی پای دات نت و IIS وسطه


#آکادمی_روزبه

https://0xsultan.github.io/dfir/Xintra-Crash-Dump-Analysis/

فرصت های کوچک را اندوخته کنید و چون زمانهای مترو و از گزارش هایی چون مندینت غافل نشوید.


#آکادمی_روزبه

https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader/

یک مستند برای ناشتای شما

حکمرانی امنیت

#آکادمی_روزبه

#امنیت_به_زبان_ساده

در مورد حملات در حوزه COM object ها شنیده ایم مثلا هایجک کردن کام آبجکت ها .

بحث در مورد این نوع حملات مفصل است . که در مورد آنها در پست های آتی خواهم نوشت

اما بیاییم ساده ببینیم کام آبجکت چیست ؟

از طریق کام آبجکت ها دو برنامه کامپیوتری با هم ارتباط می‌گیرند. اما از چه طریق ؟ یکسری کمپوننت هایی که توسط سایر برنامه ها هم میشه فراخوانی بشه.

مقایسه : کام آبجکت مانند کنترل تلویزیون شما باشد . اما برنامه اصلی که می‌خواهید از آن استفاده کنید تلویزیون است بدون آنکه بدانید چگونه کار می‌کند. شما کانال رو عوض میکنید و صدا رو کم و زیاد میکنید بدون اطلاع از عملکرد داخلی تلویزیون.

مثال فنی :فرض کنید برنامه شما نیاز دارد شیت اکسل بسازد. بجای آنکه اکسل را تماما خودتان بنویسید شما از کام آبجکت های اکسل استفاده میکنید در این حالت کام آبجکت اجازه تعامل با اکسل را به شما می‌دهد. و درون برنامه خودتان شیت اکسل می‌سازید به کمک برنامه اکسل.

مثال دیگر فنی را میتون در اتوماتیک سازی تعامل با مرورگر دید. اگر می‌خواهید فعالیتی را در مرورگر اتوماتیک سازید کام آبجکتی برای تعامل با مرورگر استفاده میکنید . لذا برنامه شما می‌تواند فرم پر کند و دکمه ها را بزند بدون حضور شما.

مشکلات استفاده از کام آبجکت ها:

بهتر است اگر برنامه ای کام آبجکت ایجاد می‌کند تا می‌تواند از همان قبلی هایی که ساخته است استفاده کند و دائم درحال ساختن کام آبجکت نباشد چون به مشکلات پرفرمنس برمی خوریم.

اگر حافظه تخصیص یافته به کام آبجکت به درستی آزاد نشود دچار کمبود حافظه خواهیم شد.

اعمال کنترل های امنیتی در زمان دسترسی کام آبجکت ها به داده های حساس باید انجام پذیرد

همخوانی ورژن کام آبجکت با برنامه شما باید رعایت گردد( مدیریت ورژن )

استفاده از کام آبجکت ها در برخی موارد پروژه را دچار پیچیدگی می‌کند

بدون همسان سازی مناسب؛ استفاده از کام آبجکت ها در برنامه های مالتی ترد مشکل زا است

خطاهای کام آبجکت ها بایستی به درستی توسط برنامه نویس هندل شوند وگرنه برنامه به کار خود ادامه می‌دهد اما مشکلی کشف نشده رخ داده است.

در پست های بعد در خصوص مشکلات امنیتی در حوزه کام آبجکت ها صحبت خواهم کرد.


#امنیت_به_زبان_ساده
#آموزش
#cybersecurity #threathunting #securityawareness #risk #governance

🌱🌱 نشر دهید تا در اشتراک دانش سهیم باشید

#آکادمی_روزبه

مستندی که باید خوانده شود.

بسیار مفید و عالی برای امنیت اکتیو دایرکتوری

جدید

#آکادمی_روزبه