آکادمی آموزش روزبه 📚
سوال هفته :
یک برنامه درحال اجرا میباشد . کد برنامه به محل فراخوانی یک COM Object میرسد. در ترتیب محل فراخوانی ( جستجوی ) مسیر ؛ کدام کلید رجیستری اول است ؟
مرجع : حملات با استفاده از COM object و Search order hijacking #آموزش #امنیت #اکادمی_روزبه
یک برنامه درحال اجرا میباشد . کد برنامه به محل فراخوانی یک COM Object میرسد. در ترتیب محل فراخوانی ( جستجوی ) مسیر ؛ کدام کلید رجیستری اول است ؟
مرجع : حملات با استفاده از COM object و Search order hijacking #آموزش #امنیت #اکادمی_روزبه
#پاسخ پرسش
گزینه ۳ میباشد
فقط ۱۹ درصد پاسخ صحیح
🏮با توجه به anonymous بودن نظرخواهی و تعداد بالای پاسخ اشتباه، نیاز است درخصوص آموزش دروس سطح ۲ و ۳ مرکز عملیات در کشور تجدید نظر شود
گزینه ۳ میباشد
فقط ۱۹ درصد پاسخ صحیح
🏮با توجه به anonymous بودن نظرخواهی و تعداد بالای پاسخ اشتباه، نیاز است درخصوص آموزش دروس سطح ۲ و ۳ مرکز عملیات در کشور تجدید نظر شود
تحلیل هفته
مقاله ای از برترین های امنیت
#آکادمی_روزبه
https://www.zscaler.com/blogs/security-research/shining-light-dark-angels-ransomware-group
مقاله ای از برترین های امنیت
#آکادمی_روزبه
https://www.zscaler.com/blogs/security-research/shining-light-dark-angels-ransomware-group
Zscaler
Dark Angels Exposed | ThreatLabz
Exposing the Dark Angels ransomware group TTPs, including the use of 3rd-party ransomware families and data extortion to secure millions of dollars in payments.
#استخدام
دوستان
در مجموعه ای به همکار نیازدارم که با من کار کنه و بخشی از مسوولیت ها رو برعهده بگیره که خیالم از این حوزه راحت باشه
یک کارشناس ارشد برای پست حوزه EDR و DLP
مسوولیت پذیر
مسلط به ویندوز سرور
آشنا به لینوکس
مسلط به تی شوت شبکه
آشنا به لاگ خوانی ( نه خیلی پیچیده )
علاقمند به امور پشتیبانی
توانایی سرو کله زدن با مشتری
علاقمند به Selfstudy
علاقمند و پیگیر برای شرکت در دوره هایی که ما میگذاریم
انضباط خیلی داشته باشه
اگر قبلا DLP کار کرده باشه یک قدم از بقیه جلوتره برای همکاری با من
اگر همه شرایط رو کامل داشته باشه ۴۵ خالص دریافت میکنه.
اگر کمی بالاتر از شرایط فوق باشه بتونه مدیریت هم کنه ۵۰ تومن دریافتی هست.
بیمه تکمیلی هست
ولی مزیت دیگری و بن و خاروبار نداریم غیر از یک محیط علمی با اخلاق حرفه ای
کارت پایان خدمت لازمه برای آقایان
کار کاملا حضوری و فول تایم هست در تهران با برخی مواقع ماموریت در شهرستان
در pv پیام بدین یا رزومه رو به این آدرس بفرستید
detect@chmail.ir
*<<>* با فوروارد کمک کنید همکارم رو پیدا کنم
#استخدام
#روزبه_نوروزی
#cybersecurity
دوستان
در مجموعه ای به همکار نیازدارم که با من کار کنه و بخشی از مسوولیت ها رو برعهده بگیره که خیالم از این حوزه راحت باشه
یک کارشناس ارشد برای پست حوزه EDR و DLP
مسوولیت پذیر
مسلط به ویندوز سرور
آشنا به لینوکس
مسلط به تی شوت شبکه
آشنا به لاگ خوانی ( نه خیلی پیچیده )
علاقمند به امور پشتیبانی
توانایی سرو کله زدن با مشتری
علاقمند به Selfstudy
علاقمند و پیگیر برای شرکت در دوره هایی که ما میگذاریم
انضباط خیلی داشته باشه
اگر قبلا DLP کار کرده باشه یک قدم از بقیه جلوتره برای همکاری با من
اگر همه شرایط رو کامل داشته باشه ۴۵ خالص دریافت میکنه.
اگر کمی بالاتر از شرایط فوق باشه بتونه مدیریت هم کنه ۵۰ تومن دریافتی هست.
بیمه تکمیلی هست
ولی مزیت دیگری و بن و خاروبار نداریم غیر از یک محیط علمی با اخلاق حرفه ای
کارت پایان خدمت لازمه برای آقایان
کار کاملا حضوری و فول تایم هست در تهران با برخی مواقع ماموریت در شهرستان
در pv پیام بدین یا رزومه رو به این آدرس بفرستید
detect@chmail.ir
*<<>* با فوروارد کمک کنید همکارم رو پیدا کنم
#استخدام
#روزبه_نوروزی
#cybersecurity
از زبان خود مایکروسافت
جلوگیری از kerberoasting
#آکادمی_روزبه
https://www.microsoft.com/en-us/security/blog/2024/10/11/microsofts-guidance-to-help-mitigate-kerberoasting/
جلوگیری از kerberoasting
#آکادمی_روزبه
https://www.microsoft.com/en-us/security/blog/2024/10/11/microsofts-guidance-to-help-mitigate-kerberoasting/
Microsoft News
Microsoft’s guidance to help mitigate Kerberoasting
Kerberoasting, a well-known Active Directory (AD) attack vector, enables threat actors to steal credentials and navigate through devices and networks. Microsoft is sharing recommended actions administrators can take now to help prevent successful Kerberoasting…
پادکست برای کسانی که به آینده فکر میکنند و میخواهند در مهندسی معکوس از LLM استفاده کنند
باتشکر از جناب فرشید فره خواه بابت اشتراک
#آکادمی_روزبه
https://www.youtube.com/watch?v=IfiFpIoWwic
باتشکر از جناب فرشید فره خواه بابت اشتراک
#آکادمی_روزبه
https://www.youtube.com/watch?v=IfiFpIoWwic
YouTube
Using LLMs to Analyze Windows Binaries
Vicente Diaz, Threat Intelligence Strategist at VirusTotal, joins host Luke McNamara to discuss his research into using LLMs to analyze malware. Vicente covers how he used Gemini to analyze various windows binaries, the use cases this could help address for…
حمله به اکتیو دایرکتوری از لینوکس
#آکادمی_روزبه
https://gatari.dev/posts/the-art-of-exploiting-ad-from-linux/
#آکادمی_روزبه
https://gatari.dev/posts/the-art-of-exploiting-ad-from-linux/
گزارش تحلیل بدافزار
جدید
#آکادمی_روزبه
https://harfanglab.io/insidethelab/hijackloader-abusing-genuine-certificates/
جدید
#آکادمی_روزبه
https://harfanglab.io/insidethelab/hijackloader-abusing-genuine-certificates/
HarfangLab
HijackLoader evolution: abusing genuine signing certificates
Our telemetry has revealed a significant increase in Lumma Stealer malware deployments via the HijackLoader malicious loader.
#امنیت_به_زبان_ساده
امضای کد و برنامه
هکرها همیشه دنبال آن بوده اند تا برنامه مخرب را برنامه ای مفید جلوه دهند تا بتوانند از چنگ آنتی ویروس ها یا فرآیند های تشخیصی درون سیستم عامل ؛ بگریزند.
اگر بخواهیم سیستم های عامل به برنامه ای اعتماد کنند یا برنامه ای به یک dll اعتماد کند؛ راهکار مهم امضای دیجیتال است.
برنامه ای که دارای امضای دیجیتال است قابل اعتماد بوده و حتی آنتی ویروس میتواند آنرا نادیده بگیرد و سیستم عامل هم آن برنامه یا dll را فراخوانی کند. این موضوع یک قرارداد در دنیای سایبری است.
بواسطه این فناوری ، تیر ویروس نویسان به هدف نمیخورد چون برنامه های آنها شناسنامه ندارد و توسط خود سیستم عامل بلاک میشوند یا آنتی ویروس به آنها اجازه اجرا نمیدهد.
اصولا امضای دیجیتال یکی از پایه های برپایی بنای جهان سایبری است که بواسطه آنها ؛ اقلام در این جهان بهم اعتماد میکنند.
حالا گروه های هکری و هکر هایی که پشتوانه مالی دارند اقدام به تهیه سرتیفیکیت های جعلی کرده اند. این امضا ها برنامه های آنها را مورد اعتماد جلوه میدهد برای مثال این هکرها برای خرید یک سرتیفیکیت ، شرکتی را به ثبت میرسانند و از هویت برخی نابلدان و بی اطلاعان و همچنین نیازمندان مالی استفاده کرده و سرتیفیکیت برای خود تهیه میکنند.
بطور خلاصه و ساده باید گفت در این فرآیند؛ یک محل اعتبار دهی ( شرکت CA) در فرآیند تایید امضای برنامه ها؛ با یک فرد و شرکت قلابی طرف میشود و در تعیین هویت او گول میخورد. این سرتیفیکت و امضایی که توسط این فرآیند تولید میشود برای امضای برنامه ها و dll های مخرب استفاده میشود تا بتوانند از سدهای دفاعی سازمانها و سیستم ها عبور کنند .
در نوعی دیگر از سوء استفاده ، هکر از یک سرتیفیکیت و امضای معتبر استفاده میکند تا برنامه خود را به امضا برساند.
در مستند زیر مطالب مربوطه به مقوله ای که در فوق اشاره شد در راستای تبیین جرایم دنیای دیحیتال؛ به طرز تفصیلی مورد بحث و بررسی قرار گرفته است
امید که این نحوه نگارش بنده، توانسته باشد به زبان ساده مبحث سوء استفاده از امضای دیجیتال را روشن کرده باشد.
#آموزش #روزبه_نوروزی
#cybersecurity #digitalcertificate #cyberforensics ##cybercrime
پی نوشت : آنتی ویروس های پیشرفته و راهکارهای تشخیص بدافزار تلفیقی ، به مقوله امضای دیجیتال بعنوان راهکار تشخیص یا عدم تشخیص کدهای سالم و ناسالم اکتفا نمیکنند و یا مکانیزم هایی نظیر sandboxing یا تلفیق لاگ فعالیت کمپوننت ها ، رفتارهای مخرب را شناسایی میکنند. اما باید گفت این روش درحال حاضر، قابلیت گستره شدن (scaling ) بطور کامل ندارد یا خیلی از سازمانها توان پیاده سازی آنرا ندارند ؛ لذا جعل سرتیفیکیت قدم مهمی در جلب اعتماد و نفوذ است.
امضای کد و برنامه
هکرها همیشه دنبال آن بوده اند تا برنامه مخرب را برنامه ای مفید جلوه دهند تا بتوانند از چنگ آنتی ویروس ها یا فرآیند های تشخیصی درون سیستم عامل ؛ بگریزند.
اگر بخواهیم سیستم های عامل به برنامه ای اعتماد کنند یا برنامه ای به یک dll اعتماد کند؛ راهکار مهم امضای دیجیتال است.
برنامه ای که دارای امضای دیجیتال است قابل اعتماد بوده و حتی آنتی ویروس میتواند آنرا نادیده بگیرد و سیستم عامل هم آن برنامه یا dll را فراخوانی کند. این موضوع یک قرارداد در دنیای سایبری است.
بواسطه این فناوری ، تیر ویروس نویسان به هدف نمیخورد چون برنامه های آنها شناسنامه ندارد و توسط خود سیستم عامل بلاک میشوند یا آنتی ویروس به آنها اجازه اجرا نمیدهد.
اصولا امضای دیجیتال یکی از پایه های برپایی بنای جهان سایبری است که بواسطه آنها ؛ اقلام در این جهان بهم اعتماد میکنند.
حالا گروه های هکری و هکر هایی که پشتوانه مالی دارند اقدام به تهیه سرتیفیکیت های جعلی کرده اند. این امضا ها برنامه های آنها را مورد اعتماد جلوه میدهد برای مثال این هکرها برای خرید یک سرتیفیکیت ، شرکتی را به ثبت میرسانند و از هویت برخی نابلدان و بی اطلاعان و همچنین نیازمندان مالی استفاده کرده و سرتیفیکیت برای خود تهیه میکنند.
بطور خلاصه و ساده باید گفت در این فرآیند؛ یک محل اعتبار دهی ( شرکت CA) در فرآیند تایید امضای برنامه ها؛ با یک فرد و شرکت قلابی طرف میشود و در تعیین هویت او گول میخورد. این سرتیفیکت و امضایی که توسط این فرآیند تولید میشود برای امضای برنامه ها و dll های مخرب استفاده میشود تا بتوانند از سدهای دفاعی سازمانها و سیستم ها عبور کنند .
در نوعی دیگر از سوء استفاده ، هکر از یک سرتیفیکیت و امضای معتبر استفاده میکند تا برنامه خود را به امضا برساند.
در مستند زیر مطالب مربوطه به مقوله ای که در فوق اشاره شد در راستای تبیین جرایم دنیای دیحیتال؛ به طرز تفصیلی مورد بحث و بررسی قرار گرفته است
امید که این نحوه نگارش بنده، توانسته باشد به زبان ساده مبحث سوء استفاده از امضای دیجیتال را روشن کرده باشد.
#آموزش #روزبه_نوروزی
#cybersecurity #digitalcertificate #cyberforensics ##cybercrime
پی نوشت : آنتی ویروس های پیشرفته و راهکارهای تشخیص بدافزار تلفیقی ، به مقوله امضای دیجیتال بعنوان راهکار تشخیص یا عدم تشخیص کدهای سالم و ناسالم اکتفا نمیکنند و یا مکانیزم هایی نظیر sandboxing یا تلفیق لاگ فعالیت کمپوننت ها ، رفتارهای مخرب را شناسایی میکنند. اما باید گفت این روش درحال حاضر، قابلیت گستره شدن (scaling ) بطور کامل ندارد یا خیلی از سازمانها توان پیاده سازی آنرا ندارند ؛ لذا جعل سرتیفیکیت قدم مهمی در جلب اعتماد و نفوذ است.
تحلیلی از ۱۳۸ آسیب پذیری که در سال ۲۰۲۳ اکسپلویت شده
از مندینت
#آکادمی_روزبه
https://cloud.google.com/blog/topics/threat-intelligence/time-to-exploit-trends-2023/
از مندینت
#آکادمی_روزبه
https://cloud.google.com/blog/topics/threat-intelligence/time-to-exploit-trends-2023/
Google Cloud Blog
How Low Can You Go? An Analysis of 2023 Time-to-Exploit Trends | Google Cloud Blog
Mandiant analyzed 138 vulnerabilities that were disclosed in 2023 and that we tracked as exploited in the wild.
مفاهیم پایه در کشف برای محیط لینوکس
عمیق بدانیم.
#آکادمی_روزبه
https://redcanary.com/blog/linux-security/detection-engineer-guide-to-linux/
عمیق بدانیم.
#آکادمی_روزبه
https://redcanary.com/blog/linux-security/detection-engineer-guide-to-linux/
Red Canary
The detection engineer’s guide to Linux | Red Canary
Learn the basics of Linux detector development and effective testing methodologies for Linux detectors from a Red Canary detection engineer.
گزارش تحلیلی عصر جمعه
از فعالیت های گروه هکریUAT-5647
تهیه شده توسط تالس سیسکو
https://blog.talosintelligence.com/uat-5647-romcom/
از فعالیت های گروه هکریUAT-5647
تهیه شده توسط تالس سیسکو
https://blog.talosintelligence.com/uat-5647-romcom/
Cisco Talos
UAT-5647 targets Ukrainian and Polish entities with RomCom malware variants
Cisco Talos has observed a new wave of attacks active since at least late 2023, from a Russian speaking group we track as “UAT-5647”, against Ukrainian government entities and unknown Polish entities
نفوذ گروه گلدن جکال را جدی بگیرید
#آکادمی_روزبه
دنبال هانت و نشانه های آن باشید
حتی به کامپیوتر های جدا از شبکه هم نفوذ کرده است
https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/
#آکادمی_روزبه
دنبال هانت و نشانه های آن باشید
حتی به کامپیوتر های جدا از شبکه هم نفوذ کرده است
https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/
Welivesecurity
Mind the (air) gap: GoldenJackal gooses government guardrails
ESET Research analyzed two separate toolsets for breaching air-gapped systems, used by a cyberespionage threat actor known as GoldenJackal.