شاه بیت من در این پاییز 🍂🍁


هرقدمی ولو کوچک برای بهتر شدن دنیا ؛ وظیفه ی ما است.
تقدیر از کسانی که این کار رو می‌کنند و نمایش لطف اونها هم؛ دیگر وظیفه ی ما است.


💫روزبه نوروزی
اولین روز پاییز ۱۴۰۳
تهران؛ ایران


#آکادمی_روزبه
#آموزش #امنیت
#cybersecurity

در این حمله چین تارگت شد.

لینک گزارش حمله در زیر

مطالعه گزارش رو برای سطح ۲ مرکز عملیات امنیت توصیه میکنم

https://www.trendmicro.com/en_no/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html


**از جایی به بعد دوره رفتن کمتر لازمه و بهتره چنین گزارش هایی دائم پیگیری بشه

#آکادمی_روزبه

#تجربه #درس_آموخته
#cybersecurity #threathunting #securityawareness #risk

به روز رسانی شرایط حریم شخصی تلگرام

آیا دادگاه فرانسه باعث و بانی آن شده است ؟


دروف در کانال خود اطلاعیه ای منتشر کرده که گفته با اصلاح خط مشی حریم شخصی خود؛ شماره تلفن و IP افرادی که از خط مشی تلگرام تخطی کنند به مسوولان دولت ها و امور قضایی ( با درخواست معتبر ) ارائه خواهد شد



🚫 To further deter criminals from abusing Telegram Search, we have updated our Terms of Service and Privacy Policy, ensuring they are consistent across the world. We’ve made it clear that the IP addresses and phone numbers of those who violate our rules can be disclosed to relevant authorities in response to valid legal requests.


#خط_مشی #پالیسی
#privacy #ethics

آیا پایان عمر WSUS شروع شد ؟

کار می‌کند اما فیچر جدیدی نخواهد داشت

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-server-update-services-wsus-deprecation/ba-p/4250436

#پاسخ

گزینه سوم

مرجع : درس سنز ۵۰۸

پاسخ به یک سوال مهم :

پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید :
ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمی‌دهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا می‌کنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ می‌دهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!!


من تعاملی با ChatGPT داشتم به جواب زیر رسیدم


Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications.

### Relation Between Windows PatchGuard and EDR Drivers

#### 1. Kernel-Level Drivers and PatchGuard
- EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel.

- PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as:
- System Service Descriptor Table (SSDT) hooks
- Interrupt Descriptor Table (IDT) hooks
- Kernel Object Manipulation
- Modification of the Kernel Debugger

This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures.

#### 2. Signed Drivers and PatchGuard Compliance
- Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system.

- Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities.

#### 3. Driver Operation Without Violating PatchGuard
- Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they:
- Hook into legitimate, documented APIs that provide system monitoring capabilities.
- Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events.
- Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures.

- User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard.
ادامه در پست بعد

#آکادمی_روزبه

#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr

ادامه از پست قبل 👆👆

#### 4. Is Using a Driver a Violation?
- No, It’s Not a Violation (When Done Correctly): Using a kernel driver in EDR solutions is not inherently a violation of PatchGuard. It’s only a violation if the driver attempts to patch or modify the kernel in ways that violate Windows security policies. Well-designed EDR solutions comply with PatchGuard by using standard APIs and legitimate kernel interfaces to achieve monitoring and protection goals.

- Working Within Kernel Mode: The EDR driver operates *within* the kernel, but it doesn’t modify or patch critical parts of the kernel itself. Instead, it monitors and reports events while respecting PatchGuard's restrictions. This allows it to maintain visibility into the system without breaching the kernel's integrity or violating Windows security rules.

### Summary
- Windows PatchGuard prevents unauthorized modifications to the Windows kernel, ensuring that the system's core remains intact and protected.
- EDR drivers operate within kernel mode but must comply with PatchGuard rules, meaning they cannot modify or patch the kernel directly.
- No violation occurs if the EDR driver is properly signed, respects PatchGuard’s limitations, and uses legitimate kernel monitoring techniques rather than trying to alter or bypass kernel protections.

#آکادمی_روزبه
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr

از زیبایی و اوج لذت ببرید

بررسی دامپ حافظه وقتی پای دات نت و IIS وسطه


#آکادمی_روزبه

https://0xsultan.github.io/dfir/Xintra-Crash-Dump-Analysis/

فرصت های کوچک را اندوخته کنید و چون زمانهای مترو و از گزارش هایی چون مندینت غافل نشوید.


#آکادمی_روزبه

https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader/

یک مستند برای ناشتای شما

حکمرانی امنیت

#آکادمی_روزبه

#امنیت_به_زبان_ساده

در مورد حملات در حوزه COM object ها شنیده ایم مثلا هایجک کردن کام آبجکت ها .

بحث در مورد این نوع حملات مفصل است . که در مورد آنها در پست های آتی خواهم نوشت

اما بیاییم ساده ببینیم کام آبجکت چیست ؟

از طریق کام آبجکت ها دو برنامه کامپیوتری با هم ارتباط می‌گیرند. اما از چه طریق ؟ یکسری کمپوننت هایی که توسط سایر برنامه ها هم میشه فراخوانی بشه.

مقایسه : کام آبجکت مانند کنترل تلویزیون شما باشد . اما برنامه اصلی که می‌خواهید از آن استفاده کنید تلویزیون است بدون آنکه بدانید چگونه کار می‌کند. شما کانال رو عوض میکنید و صدا رو کم و زیاد میکنید بدون اطلاع از عملکرد داخلی تلویزیون.

مثال فنی :فرض کنید برنامه شما نیاز دارد شیت اکسل بسازد. بجای آنکه اکسل را تماما خودتان بنویسید شما از کام آبجکت های اکسل استفاده میکنید در این حالت کام آبجکت اجازه تعامل با اکسل را به شما می‌دهد. و درون برنامه خودتان شیت اکسل می‌سازید به کمک برنامه اکسل.

مثال دیگر فنی را میتون در اتوماتیک سازی تعامل با مرورگر دید. اگر می‌خواهید فعالیتی را در مرورگر اتوماتیک سازید کام آبجکتی برای تعامل با مرورگر استفاده میکنید . لذا برنامه شما می‌تواند فرم پر کند و دکمه ها را بزند بدون حضور شما.

مشکلات استفاده از کام آبجکت ها:

بهتر است اگر برنامه ای کام آبجکت ایجاد می‌کند تا می‌تواند از همان قبلی هایی که ساخته است استفاده کند و دائم درحال ساختن کام آبجکت نباشد چون به مشکلات پرفرمنس برمی خوریم.

اگر حافظه تخصیص یافته به کام آبجکت به درستی آزاد نشود دچار کمبود حافظه خواهیم شد.

اعمال کنترل های امنیتی در زمان دسترسی کام آبجکت ها به داده های حساس باید انجام پذیرد

همخوانی ورژن کام آبجکت با برنامه شما باید رعایت گردد( مدیریت ورژن )

استفاده از کام آبجکت ها در برخی موارد پروژه را دچار پیچیدگی می‌کند

بدون همسان سازی مناسب؛ استفاده از کام آبجکت ها در برنامه های مالتی ترد مشکل زا است

خطاهای کام آبجکت ها بایستی به درستی توسط برنامه نویس هندل شوند وگرنه برنامه به کار خود ادامه می‌دهد اما مشکلی کشف نشده رخ داده است.

در پست های بعد در خصوص مشکلات امنیتی در حوزه کام آبجکت ها صحبت خواهم کرد.


#امنیت_به_زبان_ساده
#آموزش
#cybersecurity #threathunting #securityawareness #risk #governance

🌱🌱 نشر دهید تا در اشتراک دانش سهیم باشید

#آکادمی_روزبه

مستندی که باید خوانده شود.

بسیار مفید و عالی برای امنیت اکتیو دایرکتوری

جدید

#آکادمی_روزبه

آیا ubuntu ها در ایران سالم هستند ؟

داشتم برای آزمایشگاه امنیت یه ابونتو نصب میکردم؛ موقع به روز رسانی توجهم به این آدرس جلب شد:
http://ir.archive.ubuntu.com

بارها این آدرس‌ها رو دیده بودم اما بحث های زنجیره تامین که در ماه‌های اخیر در جریان است منو به فکر فرو برد . نفوذ به یک محصول برای نفوذ اصلی به یک هدف بزرگ .supply chain attack

در نصب و به روز رسانی اوبونتو ، کاربران ایرانی ابونتو به ریپوی خاص هدایت میشن. خب این محل خوبیه برای تارگت کردن یکسری کاربر خاص. حالا آیا کسی در این زنجیره نصب و به روز رسانی ابونتو نفوذ نکرده ؟ چون کاربر مشخص هست و نفوذ گر علاقمند هم داره . ریسک این موضوع درنظر گرفته شده ؟

پی نوشت: ویندوز که همش میتونه باتلاقی برای نفوذ باشه اینو میدونم ولی خواستم توجه رو به سمت لینوکس که خیلی ها فکر میکنن مشکل فقط ویندوزه ؛ جلب کنم .


#امنیت ##امنیت_سایبری #زنجیره_تامین

#cybersecurity ##supplychain ##supplychainsecurity #linux #ubuntu

🔴👆 پی نوشت : میبینم دوستان نگاهی به امضای دیجیتال و جی پی جی دارند. و امضا داشتن رو دلیل بر عدم آلودگی میدونند. بله امضا خیلی مهمه و جلوی خیلی نفوذ ها رو میگیره ولی در نفوذ در زنجیره تامین مساله چیز دیگه ای است.
دوستان توجه کنند که در این نفوذیعنی زنجیره تامین ؛ کنترل های امنیتی دور زده می‌شود لذا پکیجی که امضا هم دارد آلوده است


سناریویی که من مطرح کردم نفوذ در خود تولید ابونتو است. دیگه در این وضعیت امضا نمیتونه اهمیتی داشته باشه. مانند نفوذی که می‌خواست در پنتاگون انجام بشه بجاش رفتن تو زنجیره تولید سولار ویندز نفوذ کردند. پکیج ها امضا شده بودند اما حاوی بدافزار بودند. لذا هکر تونست به وزارت دفاع آمریکا نفوذ کنه.
پس در این نوع حمله ؛ جی پی جی بی اثر هست.

اطلاعات بیشتر در مورد یکی از مهمترین حملات زنجیره تامین رو در لینک زیر بخونید:

https://www.aquasec.com/cloud-native-academy/supply-chain-security/solarwinds-attack/

پادکست امروز

#آکادمی_روزبه

یکی از راه‌های به روز ماندن ، پادکست هست.

https://podcasts.apple.com/us/podcast/whois-or-not-whois/id1643725696?i=1000670562832

آیا بهتر است نقش دیجیتال فازنزیک از متخصص پاسخ به حادثه جدا شود؟

#آکادمی_روزبه

https://brettshavers-com.cdn.ampproject.org/c/s/brettshavers.com/brett-s-blog/entry/should-df-be-separated-from-ir-1?format=amp

یکی از راه‌های دور زدن EDR و XDR ؛ سیستم کال های دایرکت است.

اینکه اصولا چه هستند و اینکه Cortex چطور اونو کشف میکنه رو در لینک زیر بخونین . ابزارهای enterprise و در کلاس جهانی سریعا راهکار دور خوردن خودشونو پیدا کرده و وصله می‌کنند.
البته در امنیت همیشه راه برای دور زدن هست.

اگر مطالب لینک زیر سنگین است بدونین بعدا ساده شده ی این لینک رو در مجموعه نوشتارهایم با هشتک #امنیت_به_زبان_ساده خواهم نگاشت.

#آکادمی_روزبه

اگر علاقمندید که مطالب امنیت، بصورت ساده براتون بیان بشه ، هشتک #امنیت_به_زبان_ساده رو جستجو کنید.

https://www.paloaltonetworks.com/blog/security-operations/a-deep-dive-into-malicious-direct-syscall-detection/

فعلا که زنگ بیداری زده شد.
لذا امشب درخدمتتون با مطالب بیشتر هستم. البته اگر هم منتشر نشه در طول هفته بیرون میاد.

============//==/============

نکاتی که به نظرم تواین لحظات مهم بیاد اینجا update میکنم

۱- هرنوع آنومالی مهمه؛ هرنوع تفاوت با شب و روز قبل یا هفته و ماه قبل مهمه

۲-اگر برای کامند لاین رول خاصی ننوشتین ، مجبورین امشب همشون رو بپایین

۳-هرنوع پاورشل امشب بسته .

۴-من جای شما بودم در دو مرحله امشب لایه ۲ گزارشات لایه ۱ رو آدیت می‌کرد.

۵- اگر تابحال انجام ندادید حتما یه Ftkimager دانلود کنید و نحوه اخذ دامپ RAM رو به یکی از اعضای تیم آموزش بدین. ۳ دقیقه وقت نمیگیره‌

۶-با خودتون خلوت کنید ببینید چه کارهایی باید می‌کردید ولی بنا به دلیلی نشده‌.لیست بنویسید . دلیل برای پیگیری

۷-به نظر من در این شرایط EDR خیلی مهمه. اگر SOC ندارید داشبورد EDR رو بپایید.

۸-نمیدونم واسه outbound کانکشن ها چه کردید. ولی حواستون باشه. چون امشب داده بیرون نمیره احتمالا ولی میتونه کامند نفوذ و تخریب صادر بشه

۹-به نظر من کسی نباید این روزها پن تست رو سیستمهاتون انجام بده . هر قراردادی هم دارید فعلا دست نگه دارند محیط نباید برای تیم SOC نویزی باشه

۱۰-این لحظات جای مچ گیری نیست. همیاری لازمه مدیریت کشف و حادثه است

۱۱-میدونم برخی جاها مجبور شدید رولهای کشفی رو در SIEM غیر فعال کنید. الان یه بار مرور کنید اونها که لازمند فعال کنید

۱۲-اگر بلوغ کامل در چیزی مثل SOAR ندارین ؛ همه چیز رو فعلا دستی کنید

۱۳-راستی یادم نرفته بگم اگر بیزنستون موردی نداره کلا قطع کنید همه چیز رو یا خیلی چیزها رو خاموش کنید یا با فایروال ببندین.افتخار نداره وقتی وابسته به نت نیستین ، کاملا کانکت باشین

۱۴-تمام ریموت های زیرپوستی که دادین هم فعلا تعطیل و بسته.

۱۵-مرور کنین اینترفیس های مدیریتی در چه حالن

۱۶-فرد جدیدی این روزها به لیست افراد مجاز پیمانکار اضافه نشن

۱۷-من جای شما باشم الان یه بار موبایل تمام پشتیبان ها رو چک میکنم و شرایط روبهشون گوشزد


۱۸- برای اونها که SOC شون رو خودشون قبول ندارن و میدونن چه خبره ، الان واجب شد لاگ آنتی ویروس رو کامل بپایین.

۱۹-یکی که سرش خلوته بگذارین ببینه این وضعیت exclude های آنتی ویروس چیه . عجیب هاش رو برداره. اونهارو هم که مهم نیست حذف کنه

۲۰-اگه لیست event id های مهم در SIEM تون رول نداره ، همین الان چیت شیتش رو دانلود کنین بدین بچه هاتون مرور کنن

۲۱-یه نظر دارم اینه که : دیتا رفت و رمز شد و ... ولی لاگ رو از دست نده .


نکات #ادامه_دارد
اینها فقط یه مرور هستند نه جامع هستند نه مانع
نظرات یه کسی هست که تجربه اش رو داره به اشتراک میگذاره . بلده معماری تمام و کمال بده اما داره الان فقط نسخه میده کسی نمیره!!

یکی از حملاتی که در چند ماه اخیر مشاهده شده ؛ آلودگی PDF های ارسالی برای استخدام افراد هست. ضمنا شنیده شده پکیج های آلوده پایتون که برای حل تمرین در مصاحبه ها ارائه میشه هم آلوده هستند.


آموزش رو سرلوحه کارتون قرار بدین

آنتی ویروس و خصوصا EDR رو به روز نگهدارید و لاگ رو بپایید .

اینترنت رو برای گروه های کاربران تقسیم بندی کنید مثلا برای گروه Develop خیلی از سایت ها رو ببندین یا به یه روش مثل vdi بهشون اینترنت بدین
البته کاری نکنین کار ایشون بخوابه .
چیزی مثل ISE پیاده کنید