نفوذ گروه گلدن جکال را جدی بگیرید
#آکادمی_روزبه
دنبال هانت و نشانه های آن باشید
حتی به کامپیوتر های جدا از شبکه هم نفوذ کرده است
https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/
#آکادمی_روزبه
دنبال هانت و نشانه های آن باشید
حتی به کامپیوتر های جدا از شبکه هم نفوذ کرده است
https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/
Welivesecurity
Mind the (air) gap: GoldenJackal gooses government guardrails
ESET Research analyzed two separate toolsets for breaching air-gapped systems, used by a cyberespionage threat actor known as GoldenJackal.
Red Team Tools Cybercriminals Nation States.pdf
3.2 MB
صبحانه ژاپنی
بفرمایید 🍽☕️🍮
#آکادمی_روزبه
ابزارهای تیم قرمز در دستان هکرهای سازمان یافته ؛ گزارشی از آزمایشگاه ترند میکرو
بفرمایید 🍽☕️🍮
#آکادمی_روزبه
ابزارهای تیم قرمز در دستان هکرهای سازمان یافته ؛ گزارشی از آزمایشگاه ترند میکرو
مهم و فوری
به روز رسانی کنید
#آکادمی_روزبه
VMware Releases vCenter Server Update to Fix Critical RCE Vulnerability
CVE-2024-38812 (CVSS score: 9.8)
https://thehackernews.com/2024/10/vmware-releases-vcenter-server-update.html
به روز رسانی کنید
#آکادمی_روزبه
VMware Releases vCenter Server Update to Fix Critical RCE Vulnerability
CVE-2024-38812 (CVSS score: 9.8)
https://thehackernews.com/2024/10/vmware-releases-vcenter-server-update.html
آکادمی آموزش روزبه 📚 pinned «مهم و فوری به روز رسانی کنید #آکادمی_روزبه VMware Releases vCenter Server Update to Fix Critical RCE Vulnerability CVE-2024-38812 (CVSS score: 9.8) https://thehackernews.com/2024/10/vmware-releases-vcenter-server-update.html»
آیا دوستان در حوزه داواپس ریسک های این حوزه را پایش میکنند؟
#آکادمی_روزبه
https://www.trendmicro.com/en_us/research/24/j/attackers-target-exposed-docker-remote-api-servers-with-perfctl-.html
#آکادمی_روزبه
https://www.trendmicro.com/en_us/research/24/j/attackers-target-exposed-docker-remote-api-servers-with-perfctl-.html
Trend Micro
Attackers Target Exposed Docker Remote API Servers With perfctl Malware
از تکنیک های امروزه :
ترافیک رمز شده ی ابزارهای هک
شما چطور ترافیک رمزشده از سوی هکر را در سازمانتان میپایید؟
مثلا مواجهه شما با جعبه ابزار BlueShell چیه ؟
#آکادمی_روزبه
https://www.networkcomputing.com/network-security/encrypted-traffic-the-elephant-in-the-room-for-a-successful-ndr-strategy
ترافیک رمز شده ی ابزارهای هک
شما چطور ترافیک رمزشده از سوی هکر را در سازمانتان میپایید؟
مثلا مواجهه شما با جعبه ابزار BlueShell چیه ؟
#آکادمی_روزبه
https://www.networkcomputing.com/network-security/encrypted-traffic-the-elephant-in-the-room-for-a-successful-ndr-strategy
Networkcomputing
Encrypted Traffic: The Elephant in the Room for a Successful NDR Strategy
To implement a successful NDR strategy, network managers must first prioritize a strategy for safer decryption of encrypted traffic to successfully mitigate attacks now and in the future.
هزینه های گزاف و
وقت های گرانبها را تلف نکنید !!
یک تیم SOC برای کشف وب شل بسیج میشوند.
یک سازمان آلوده شده و همه دنبال کشف وب شل هستند و از متخصص فارنزیک کمک میطلبند.
بله برای وب شل های جدید و خلاقانه این کار واجب است.
اما برای بسیاری از وب شل هایی که ما را احاطه کرده اند ؛ راهکارهای ارزانتر و سریعتر وجود دارد.
مثلا وب شل Antak که توسط گروه های پیشرفته هکری نظیر APT39و ATK15 مورد استفاده قرار میگیرد میتواند به راحتی توسط سیگنچیر IPS فورتی گیت قابل کشف بشود به شرطی که IPS به روز و تنظیم شده داشته باشد.
لذا میتوان با تنظیم درست فورتی گیت ، به نرخ ROI بالایی دست یافت و از عملیات پیچیده در SOC برای کشف های پیشرفته استفاده کرد.
حالا خودمانیم ؛ چند درصد از IPSهای ما به روز است و تنظیم شده ؛ یعنی روی رولهای فایروال ما فعال است ؟ و دیفالت نیست ؟
https://www.fortiguard.com/encyclopedia/ips/52140
وقت های گرانبها را تلف نکنید !!
یک تیم SOC برای کشف وب شل بسیج میشوند.
یک سازمان آلوده شده و همه دنبال کشف وب شل هستند و از متخصص فارنزیک کمک میطلبند.
بله برای وب شل های جدید و خلاقانه این کار واجب است.
اما برای بسیاری از وب شل هایی که ما را احاطه کرده اند ؛ راهکارهای ارزانتر و سریعتر وجود دارد.
مثلا وب شل Antak که توسط گروه های پیشرفته هکری نظیر APT39و ATK15 مورد استفاده قرار میگیرد میتواند به راحتی توسط سیگنچیر IPS فورتی گیت قابل کشف بشود به شرطی که IPS به روز و تنظیم شده داشته باشد.
لذا میتوان با تنظیم درست فورتی گیت ، به نرخ ROI بالایی دست یافت و از عملیات پیچیده در SOC برای کشف های پیشرفته استفاده کرد.
حالا خودمانیم ؛ چند درصد از IPSهای ما به روز است و تنظیم شده ؛ یعنی روی رولهای فایروال ما فعال است ؟ و دیفالت نیست ؟
https://www.fortiguard.com/encyclopedia/ips/52140
FortiGuard Labs
Intrusion Prevention | FortiGuard Labs
This indicates an attempt to use Antak web shell.Antak is written in ASP.NET and it is a tool included in Nishang, which is often used in penetrati...
کشف کردن خفه سازی EDR
استفاده از رولهای WFP ویندوز برای خفه کردن صدای EDR رو به افزایش است .
برای کشف این حمله حتما شماره رویداد های 5155 و 5157 را پایش کنید
لذا یکی از راه های دور خوردن EDR را اینطور کنترل کنید.
شعار من :
همه چیز کاملا ناتوان نیست همه چیز راهکار کامل نیست هرچیزی خوبی و ناتوانی دارد .
قرار نیست ابزارها برای ما معجزه کنند . راهکارهای ما قرار است ریسک را کنترل کنند. پس هنر شما است که هکر را به چالش میکشد.
#تجربه #درس_آموخته #انتقال_دانش #اشتراک_مطلب
#cybersecurity #threathunting #cyberforensics #sigma #lolbin
#آکادمی_روزبه
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/audit-filtering-platform-connection
استفاده از رولهای WFP ویندوز برای خفه کردن صدای EDR رو به افزایش است .
برای کشف این حمله حتما شماره رویداد های 5155 و 5157 را پایش کنید
لذا یکی از راه های دور خوردن EDR را اینطور کنترل کنید.
شعار من :
همه چیز کاملا ناتوان نیست همه چیز راهکار کامل نیست هرچیزی خوبی و ناتوانی دارد .
قرار نیست ابزارها برای ما معجزه کنند . راهکارهای ما قرار است ریسک را کنترل کنند. پس هنر شما است که هکر را به چالش میکشد.
#تجربه #درس_آموخته #انتقال_دانش #اشتراک_مطلب
#cybersecurity #threathunting #cyberforensics #sigma #lolbin
#آکادمی_روزبه
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/audit-filtering-platform-connection
سامسونگ s24 در رویداد pwn20wn هک شد!
این رویداد محلی برای کشف آسیب پذیری محصولات و دریافت جایزه های هزاران تا میلیون دلاری است.
البته نوع و روش آسیب پذیری و اکسپلویت فقط در اختیار وندور قرار میگیرد.
بله ؛ برترین محصولات جهانی را هم که توسط تیم وسیعی از متخصصان تولید کنید هک خواهند شد.
تولید محصول بومی خوب است. اما اولویت ما امنیت بوده است ؛ لذا آیا ما در قد و قواره لازم نسبت به تست محصولات امنیتی اقدام میکنیم ؟
اگر دغدغه هک شدن و نفوذ از طریق آنتی ویروس و EDR خارجی را داریم آیا از هک نشدن محصول بومی مطمئن شده ایم ؟
صنعت افتا با صنعت اتومبیل سازی شاید تفاوت هایی داشته باشد.
**سوال: بجای بحث های چند وجهی در خصوص رعایت امنیت در محصولات بومی ؛ بیایید این بار از زاویه جدیدی به موضوع نگاه کنیم :
دربرابر این تعداد تولید محصولات بومی اعم از اتوماسیون اداری تا فایروال و SIEM و EDRو XDR بومی؛ چقدر بانتی پرداخت شده است ؟
پاسخ به این سوال محک خوبی برای مقاومت محصولات سایبری بومی است.
#آکادمی_روزبه
https://www.securityweek.com/samsung-galaxy-s24-hacked-at-pwn2own-ireland-2024/
این رویداد محلی برای کشف آسیب پذیری محصولات و دریافت جایزه های هزاران تا میلیون دلاری است.
البته نوع و روش آسیب پذیری و اکسپلویت فقط در اختیار وندور قرار میگیرد.
بله ؛ برترین محصولات جهانی را هم که توسط تیم وسیعی از متخصصان تولید کنید هک خواهند شد.
تولید محصول بومی خوب است. اما اولویت ما امنیت بوده است ؛ لذا آیا ما در قد و قواره لازم نسبت به تست محصولات امنیتی اقدام میکنیم ؟
اگر دغدغه هک شدن و نفوذ از طریق آنتی ویروس و EDR خارجی را داریم آیا از هک نشدن محصول بومی مطمئن شده ایم ؟
صنعت افتا با صنعت اتومبیل سازی شاید تفاوت هایی داشته باشد.
**سوال: بجای بحث های چند وجهی در خصوص رعایت امنیت در محصولات بومی ؛ بیایید این بار از زاویه جدیدی به موضوع نگاه کنیم :
دربرابر این تعداد تولید محصولات بومی اعم از اتوماسیون اداری تا فایروال و SIEM و EDRو XDR بومی؛ چقدر بانتی پرداخت شده است ؟
پاسخ به این سوال محک خوبی برای مقاومت محصولات سایبری بومی است.
#آکادمی_روزبه
https://www.securityweek.com/samsung-galaxy-s24-hacked-at-pwn2own-ireland-2024/
SecurityWeek
Samsung Galaxy S24 Hacked at Pwn2Own Ireland 2024
Over $350,000 was paid out on day 2 of Pwn2Own Ireland 2024, including $50,000 for an exploit targeting the Samsung Galaxy S24.
#استخدام تحلیلگر امنیت سایبری
لطفا به شرایط دقت فرمایید
مسلط به دوره های زیر :
Security+, SANS 504, 503, 511, 508, 572, 542, 500
سابقه ۲ سال در امنیت ۱ سال در تحلیل امنیت
آشنا به یک SIEM
مسلط به تحلیل لاگ ویندوز ***
علاقمند به مطالعه دائم
آشنا به لاگ لینوکس
کارت پایان خدمت
حضوری فول تایم تهران
⭕️اصلا لازم نیست رول نویسی متبحر باشد یا به چیزی چون اسپلانک مسلط باشد.
✅️مهم درک لاگ و تحلیل حمله و مدیریت حادثه است .
اگر واقعا این شرایط را دارید؛ میتوانید همکار من شوید . رزومه را به آدرس زیر detect@chmail.ir بفرستید در عنوان ایمیل نوشته شود تحلیلگر امنیت سایبری .
دوستانی که سابقه لازمی که گفته شده را نداشته باشند میتوانند رزومه ارسال کنند اما از ایشان آزمون کتبی بعمل میآید.
دریافتی خالص ۴۰ تا ۵۰ م تومان ( شروع سال جدید متناسب با تورم؛ افزایش حقوق خواهد بود )
لطفا با فوروارد این پست کمک کنید همکارم رو پیدا کنم 🙏
#استخدام #امنیت #امنیت_سایبری
#cybersecurity #cyberforensics
لطفا به شرایط دقت فرمایید
مسلط به دوره های زیر :
Security+, SANS 504, 503, 511, 508, 572, 542, 500
سابقه ۲ سال در امنیت ۱ سال در تحلیل امنیت
آشنا به یک SIEM
مسلط به تحلیل لاگ ویندوز ***
علاقمند به مطالعه دائم
آشنا به لاگ لینوکس
کارت پایان خدمت
حضوری فول تایم تهران
⭕️اصلا لازم نیست رول نویسی متبحر باشد یا به چیزی چون اسپلانک مسلط باشد.
✅️مهم درک لاگ و تحلیل حمله و مدیریت حادثه است .
اگر واقعا این شرایط را دارید؛ میتوانید همکار من شوید . رزومه را به آدرس زیر detect@chmail.ir بفرستید در عنوان ایمیل نوشته شود تحلیلگر امنیت سایبری .
دوستانی که سابقه لازمی که گفته شده را نداشته باشند میتوانند رزومه ارسال کنند اما از ایشان آزمون کتبی بعمل میآید.
دریافتی خالص ۴۰ تا ۵۰ م تومان ( شروع سال جدید متناسب با تورم؛ افزایش حقوق خواهد بود )
لطفا با فوروارد این پست کمک کنید همکارم رو پیدا کنم 🙏
#استخدام #امنیت #امنیت_سایبری
#cybersecurity #cyberforensics
یک #تجربه مهم
کاهش نویز در هنگام حادثه
فرض کنید به محل SOC یک سازمان شما را دعوت میکنند که به آن نفوذ شده است یعنی شواهدی از نفوذ مشاهده گردیده است.
شما چکار میکنید ؟
یکی از اقدامات مهم به نظر من کاهش نویز است. کاهش نویز به چه معنا است ؟ همه میدانیم در بسیاری از سازمانها کنترل های امنیتی در لایه های مختلف پیاده نشده اند لذا شما با مجموعه ای از لاگ ها و آلرت ها حاصل از misconfiguration ها یا عدم وجود کنترل مواجه میشوید .
مثلا رولهای مناسبی بین ویلن ها موجود نیست یا دربخشی از سازمان IDS دید ندارد و شما لاگ هایی مرتبط با آن بخش از سایر سنسور ها میبینید که معنایی برای شما ندارند. این محیط از نظر من پر از نویز است . شما با مجموعه ای از اطلاعات احاطه شده اید که امکان تشخیص را در شما کاهش داده اند.
قدم مورد نیاز برای حل این موضوع پیاده سازی چند کنترل مهم در راستای کاهش نویز است .
مثلا برای ویلنی که امکان آلودگی مشاهده میگردد IPS روی UTM را فعال کنید . در سریعترین زمان ممکن یک اسپن از پورت سوئیچ یه IDS ارسال کنید .
در ذهن خود طرحی را تجسم کنید که منجر به کشف سریع هکر شود اما او دیر تر دست شما را بخواند .
در این راستا مجموعه ای از کنترل هایی که سریع و با هزینه کم قابل انجام هستند را پیاده کنید تا بتوانید Visibility بالاتری در زیرساخت بدست بیاورید . بعنوان کاتالوگ کنترلها میتوانم شما را به مستند ۱۸ کنترل حیاتی CIS ارجاع دهم.
یک مورد از تجربیات شخصی ام این است که در حادثه ای من برای کاهش نویز اقدام به خاموش کردن تعدادی از سرویس هایی که لاگ میانداختند کردم . این قدم هم سیستم را هاردن میکرد هم من را از بخشی از لاگها رهایی میداد.
تحلیلگران و فارنزیک کاران باید هم خود بدانند و هم مدیران ارشد را متقاعد کنند که خط مشی مدیریت حادثه در سازمان نوشته شود و همه درک کنند مدیریت حادثه چرخه ای دارد و زمان بر است و خیلی وابسته به استراتژی ای است که انتخاب میشود. استراتژی بسته به هدف سازمان برگزیده میشود و این استراتژی به ما حکم میکند که شاید کشف و واکنش به حادثه ماهها طول بکشد و صاحبان کسب و کار باید درک کنند که این مساله در راستای اهداف سازمان است.
در این فضا است که این تجربه کاهش نویز قابل انجام است وگرنه اگر خط مشی مدیریت حادثه نباشد و مدیران به مراحل آشنا نباشند ؛ مدیریت حادثه باید یکساعته جمع شود و گزارش گردد !! و فرصتی برای غور در ردپای هکر نمیماند.
حالا که تا اینجا این مطلب راخواندید و اگر سواد و مهارت مدیریت حادثه بصورت تئوری و عملی را دارید و همچنین تحلیلگر خوبی هستید میتوانید با من همکار شوید . اگر تمایل دارید در pv پیام دهید
#تجربه #درس_آموخته #انتقال_دانش #اشتراک_مطلب
#cybersecurity #threathunting #cyberforensics #ethics #privacy
کاهش نویز در هنگام حادثه
فرض کنید به محل SOC یک سازمان شما را دعوت میکنند که به آن نفوذ شده است یعنی شواهدی از نفوذ مشاهده گردیده است.
شما چکار میکنید ؟
یکی از اقدامات مهم به نظر من کاهش نویز است. کاهش نویز به چه معنا است ؟ همه میدانیم در بسیاری از سازمانها کنترل های امنیتی در لایه های مختلف پیاده نشده اند لذا شما با مجموعه ای از لاگ ها و آلرت ها حاصل از misconfiguration ها یا عدم وجود کنترل مواجه میشوید .
مثلا رولهای مناسبی بین ویلن ها موجود نیست یا دربخشی از سازمان IDS دید ندارد و شما لاگ هایی مرتبط با آن بخش از سایر سنسور ها میبینید که معنایی برای شما ندارند. این محیط از نظر من پر از نویز است . شما با مجموعه ای از اطلاعات احاطه شده اید که امکان تشخیص را در شما کاهش داده اند.
قدم مورد نیاز برای حل این موضوع پیاده سازی چند کنترل مهم در راستای کاهش نویز است .
مثلا برای ویلنی که امکان آلودگی مشاهده میگردد IPS روی UTM را فعال کنید . در سریعترین زمان ممکن یک اسپن از پورت سوئیچ یه IDS ارسال کنید .
در ذهن خود طرحی را تجسم کنید که منجر به کشف سریع هکر شود اما او دیر تر دست شما را بخواند .
در این راستا مجموعه ای از کنترل هایی که سریع و با هزینه کم قابل انجام هستند را پیاده کنید تا بتوانید Visibility بالاتری در زیرساخت بدست بیاورید . بعنوان کاتالوگ کنترلها میتوانم شما را به مستند ۱۸ کنترل حیاتی CIS ارجاع دهم.
یک مورد از تجربیات شخصی ام این است که در حادثه ای من برای کاهش نویز اقدام به خاموش کردن تعدادی از سرویس هایی که لاگ میانداختند کردم . این قدم هم سیستم را هاردن میکرد هم من را از بخشی از لاگها رهایی میداد.
تحلیلگران و فارنزیک کاران باید هم خود بدانند و هم مدیران ارشد را متقاعد کنند که خط مشی مدیریت حادثه در سازمان نوشته شود و همه درک کنند مدیریت حادثه چرخه ای دارد و زمان بر است و خیلی وابسته به استراتژی ای است که انتخاب میشود. استراتژی بسته به هدف سازمان برگزیده میشود و این استراتژی به ما حکم میکند که شاید کشف و واکنش به حادثه ماهها طول بکشد و صاحبان کسب و کار باید درک کنند که این مساله در راستای اهداف سازمان است.
در این فضا است که این تجربه کاهش نویز قابل انجام است وگرنه اگر خط مشی مدیریت حادثه نباشد و مدیران به مراحل آشنا نباشند ؛ مدیریت حادثه باید یکساعته جمع شود و گزارش گردد !! و فرصتی برای غور در ردپای هکر نمیماند.
حالا که تا اینجا این مطلب راخواندید و اگر سواد و مهارت مدیریت حادثه بصورت تئوری و عملی را دارید و همچنین تحلیلگر خوبی هستید میتوانید با من همکار شوید . اگر تمایل دارید در pv پیام دهید
#تجربه #درس_آموخته #انتقال_دانش #اشتراک_مطلب
#cybersecurity #threathunting #cyberforensics #ethics #privacy
آذر ماه با دوره ISSMP
دوره CISSP شامل سرفصل مدرک عالی امنیت است که تمامی حوزه های امنیت در تمامی لایه ها و در وسعت بالایی را شامل میشود. از لایه فیزیکال تا شبکه و نرم افزار . مهارت های فنی و مدیریتی را به چالش میکشد.
اما برای آنان که بر روی مدیریت امنیت بجای امورات فنی تمرکز داشته و دارند میتوان دوره ISSMP را پیشنهاد کرد . سرفصل این دوره :
1. Leadership and Business Management
رهبری و مدیریت بیزنس
2. Systems Lifecycle Management
چرخه مدیریت سیستم ها
3. Risk Management
مدیریت ریسک
4. Threat Intelligence and Incident Management
اطلاعات تهدید و مدیریت حادثه
5. Contingency Management
مدیریت تداوم کسب و کار و مقاومت سایبری
6. Law, Ethics, and Security Compliance Management
قوانین امنیت اخلاق و ممیزی
با توجه به اهمیت مدیریت و حکمرانی امنیت ؛ انشالله این دوره در پایان آذر ماه به اجرا درخواهد آمد.
ثبت نام از طریق واتس اپ 09902857290
پیش نیازها :
آشنایی با انواع فناوریهای IT
سابقه مدیریت IT یا امنیت
حداقل دوره های سنز ۵۰۴ یا CEH و سکوریتی پلاس
سابقه ۴ سال در IT بصورت حرفه ای
#تخصص
دوره CISSP شامل سرفصل مدرک عالی امنیت است که تمامی حوزه های امنیت در تمامی لایه ها و در وسعت بالایی را شامل میشود. از لایه فیزیکال تا شبکه و نرم افزار . مهارت های فنی و مدیریتی را به چالش میکشد.
اما برای آنان که بر روی مدیریت امنیت بجای امورات فنی تمرکز داشته و دارند میتوان دوره ISSMP را پیشنهاد کرد . سرفصل این دوره :
1. Leadership and Business Management
رهبری و مدیریت بیزنس
2. Systems Lifecycle Management
چرخه مدیریت سیستم ها
3. Risk Management
مدیریت ریسک
4. Threat Intelligence and Incident Management
اطلاعات تهدید و مدیریت حادثه
5. Contingency Management
مدیریت تداوم کسب و کار و مقاومت سایبری
6. Law, Ethics, and Security Compliance Management
قوانین امنیت اخلاق و ممیزی
با توجه به اهمیت مدیریت و حکمرانی امنیت ؛ انشالله این دوره در پایان آذر ماه به اجرا درخواهد آمد.
ثبت نام از طریق واتس اپ 09902857290
پیش نیازها :
آشنایی با انواع فناوریهای IT
سابقه مدیریت IT یا امنیت
حداقل دوره های سنز ۵۰۴ یا CEH و سکوریتی پلاس
سابقه ۴ سال در IT بصورت حرفه ای
#تخصص
آکادمی آموزش روزبه 📚 pinned «#استخدام تحلیلگر امنیت سایبری لطفا به شرایط دقت فرمایید مسلط به دوره های زیر : Security+, SANS 504, 503, 511, 508, 572, 542, 500 سابقه ۲ سال در امنیت ۱ سال در تحلیل امنیت آشنا به یک SIEM مسلط به تحلیل لاگ ویندوز *** علاقمند به مطالعه دائم آشنا به لاگ…»