تحلیلی بر عملیات گروه هکری APT-K-47
#آکادمی_روزبه
با تشکر از جناب نیما خداداد
https://securityonline.info/asyncshell-the-evolution-of-apt-k-47s-cyber-arsenal
#آکادمی_روزبه
با تشکر از جناب نیما خداداد
https://securityonline.info/asyncshell-the-evolution-of-apt-k-47s-cyber-arsenal
Daily CyberSecurity
Asyncshell: The Evolution of APT-K-47's Cyber Arsenal
Uncover the evolving threat from the APT-K-47 group and their sophisticated Asyncshell-v4 malware. Learn how this South Asia-based APT group is using malicious campaigns to infiltrate systems.
دور زدن EDR ها توسط بد افزارها
با تشکر از جناب پیام طاهری
#آکادمی_روزبه
https://medium.com/@IglensonSecurity/dodging-the-guardian-how-malware-evades-edr-detections-72ed61896406
با تشکر از جناب پیام طاهری
#آکادمی_روزبه
https://medium.com/@IglensonSecurity/dodging-the-guardian-how-malware-evades-edr-detections-72ed61896406
Medium
Dodging the Guardian: How Malware Evades EDR Detections
How evasive malware is made, and how it bypasses EDR’s detections. Introduction to malware development.
با این ابزار در جدول ATT&CK بگردید و راحت مپ های لازم بین حملات را داشته باشید
#ssdlc
https://intelligence.any.run/plans/?utm_source=csn&utm_medium=article&utm_campaign=free_black_friday&utm_content=plans&utm_term=251124
#ssdlc
https://intelligence.any.run/plans/?utm_source=csn&utm_medium=article&utm_campaign=free_black_friday&utm_content=plans&utm_term=251124
تلریکس افشا کرد؛ نفوذ به شما از طریق آنتی ویروس avast
شما چه میکنید اگر از طریق آنتی ویروس خودتان به خودتان نفوذ بشود ؟ آماده برای مقابله و کشف هستید ؟
#آکادمی_روزبه
با تشکر از جناب پیمان خدابنده
https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/?s=35
شما چه میکنید اگر از طریق آنتی ویروس خودتان به خودتان نفوذ بشود ؟ آماده برای مقابله و کشف هستید ؟
#آکادمی_روزبه
با تشکر از جناب پیمان خدابنده
https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/?s=35
Trellix
When Guardians Become Predators: How Malware Corrupts the Protectors
We often trust our security software to stand as an unbreakable wall against malware and attacks, but what happens when that very wall is weaponized against us?
دامین اول در درس ISSMP به خصوصیات ایجاد استراتژی میپردازیم .
شناخت استراتژی و ایجاد آن یکی از مباحث این درس است.
اما یکی از مقولات تاثیر گذار در تدوین استراتژی مساله FUD است که در مقاله زیر بدان پرداخته ام که حدودا نیم ساعت در کلاس درمورد آن بحث میکنیم .
#آکادمی_روزبه
CISO and Fear, Uncertainty, and Doubt (FUD) cycle
https://www.linkedin.com/pulse/ciso-fear-uncertainty-doubt-fud-cycle-roozbeh-noroozi-f9q3f?utm_source=share&utm_medium=member_android&utm_campaign=share_via
شناخت استراتژی و ایجاد آن یکی از مباحث این درس است.
اما یکی از مقولات تاثیر گذار در تدوین استراتژی مساله FUD است که در مقاله زیر بدان پرداخته ام که حدودا نیم ساعت در کلاس درمورد آن بحث میکنیم .
#آکادمی_روزبه
CISO and Fear, Uncertainty, and Doubt (FUD) cycle
https://www.linkedin.com/pulse/ciso-fear-uncertainty-doubt-fud-cycle-roozbeh-noroozi-f9q3f?utm_source=share&utm_medium=member_android&utm_campaign=share_via
Linkedin
CISO and Fear, Uncertainty, and Doubt (FUD) cycle
The Fear, Uncertainty, and Doubt (FUD) cycle refers to a psychological and emotional state that can influence decision-making, particularly in high-stakes fields like information security. It is characterized by: Fear: A sense of alarm or worry about potential…
اکتیو دایرکتوری برای هکر ها
مستندات
https://github.com/soheilsec/Active-Directory-For-Hackers
ویدئوی فارسی
https://m.youtube.com/playlist?list=PLwq8--jsXOElAgM1f6WouKXL69INeLIyY
مستندات
https://github.com/soheilsec/Active-Directory-For-Hackers
ویدئوی فارسی
https://m.youtube.com/playlist?list=PLwq8--jsXOElAgM1f6WouKXL69INeLIyY
YouTube
اکتیو دایرکتوری برای هکرها
مفاهیم ابتدایی سناریوهای دنیا واقعی بدون اکسپلویت پرایویت یا ابزار خاص از کانفیگ اشتباه یاد میگیری چطور باید ادمین دامین بشی
معرفی کتاب هفته
نکته جالب در این کتاب بررسی حمله و دفاع در هر مرحله در کنار هم است . در شکل های 1 میبینید پاسخ نامناسب مدافع ما را دچار چه مشکلی میکند و جواب کامل مدافع در شکل آخر آمده است .
#آکادمی_روزبه
دوره در حال برگزاری ISSMP
واتس اپ 09902857290
نکته جالب در این کتاب بررسی حمله و دفاع در هر مرحله در کنار هم است . در شکل های 1 میبینید پاسخ نامناسب مدافع ما را دچار چه مشکلی میکند و جواب کامل مدافع در شکل آخر آمده است .
#آکادمی_روزبه
دوره در حال برگزاری ISSMP
واتس اپ 09902857290
تحلیل بد افزار
گزارش اسپلانک
#آکادمی_روزبه
https://www.splunk.com/en_us/blog/security/cracking-braodo-stealer-analyzing-python-malware-and-its-obfuscated-loader.html
گزارش اسپلانک
#آکادمی_روزبه
https://www.splunk.com/en_us/blog/security/cracking-braodo-stealer-analyzing-python-malware-and-its-obfuscated-loader.html
Splunk
Cracking Braodo Stealer: Analyzing Python Malware and Its Obfuscated Loader | Splunk
The Splunk Threat Research Team break down Braodo Stealer's loader mechanisms, obfuscation strategies, and payload behavior.
فکر کنم جای یک مرور بر بوت کیت خالیه
#آکادمی_روزبه
https://www.sentinelone.com/cybersecurity-101/cybersecurity/bootkit/
#آکادمی_روزبه
https://www.sentinelone.com/cybersecurity-101/cybersecurity/bootkit/
SentinelOne
What is a Bootkit? Detection and Prevention Guide
Learn what a bootkit is, how it compares to rootkits, and explore detection, prevention, and removal techniques to safeguard your system.
ریسک Avalibility اسنپ در بلک فرایدی :
همانطور که امروز سر کلاس پیش بینی کردیم
بدلیل حجم درخواست.
مساله ای که باید توسط IT و امنیت اسنپ پیش بینی میشد.
یعنی در درس ISSMP میخوانیم که اگر بیزنس به سمتی حرکت کند بایستی امنیت و IT راه را تسهیل کنند. اما ظاهرا در اسنپ همراستایی بیزنس و تصمیمات لایه بیزنس سرعتش و نوعش همخوان با سرعت و نوع فعالیت های امنیت و IT نیست.
در این شرایط لازمه مدیریت امنیت یک بازسازی از لحاظ فنی و فرآیندی در خودش در نسبت به اهداف و استراتژی های بیزنس انجام بده .
چطور ؟
منابع درس ISSMP را به دوستان توصیه میکنم
** تبصره : این تبلیغ کلاس نیست چون منابع را در پست های قبلی نوشته ام که دوستان میتوانند خودشان درس را بخوانند . این پست تجربه و تمرین عملی برای دانشجویان کلاس ISSMP است.
تصویر فوق ۱۲ شب مورخ ۹ آذر اسنپ.
که روزها برای این لحظه تبلیغ کرده است. الان بیزنس با IT و امنیت چه برخوردی باید داشته باشد؟ از نظر علمی و با شناخت از اسنپ تقصیر این مساله گردن بخش بیزنس است یا IT یا امنیت ؟
#آکادمی_روزبه
همانطور که امروز سر کلاس پیش بینی کردیم
بدلیل حجم درخواست.
مساله ای که باید توسط IT و امنیت اسنپ پیش بینی میشد.
یعنی در درس ISSMP میخوانیم که اگر بیزنس به سمتی حرکت کند بایستی امنیت و IT راه را تسهیل کنند. اما ظاهرا در اسنپ همراستایی بیزنس و تصمیمات لایه بیزنس سرعتش و نوعش همخوان با سرعت و نوع فعالیت های امنیت و IT نیست.
در این شرایط لازمه مدیریت امنیت یک بازسازی از لحاظ فنی و فرآیندی در خودش در نسبت به اهداف و استراتژی های بیزنس انجام بده .
چطور ؟
منابع درس ISSMP را به دوستان توصیه میکنم
** تبصره : این تبلیغ کلاس نیست چون منابع را در پست های قبلی نوشته ام که دوستان میتوانند خودشان درس را بخوانند . این پست تجربه و تمرین عملی برای دانشجویان کلاس ISSMP است.
تصویر فوق ۱۲ شب مورخ ۹ آذر اسنپ.
که روزها برای این لحظه تبلیغ کرده است. الان بیزنس با IT و امنیت چه برخوردی باید داشته باشد؟ از نظر علمی و با شناخت از اسنپ تقصیر این مساله گردن بخش بیزنس است یا IT یا امنیت ؟
#آکادمی_روزبه
حالا که خیلی ها درحال دور زدن EDR هستند قبل از خواب این را بخوانید
#آکادمی_روزبه
https://labs.withsecure.com/publications/spoofing-call-stacks-to-confuse-edrs
#آکادمی_روزبه
https://labs.withsecure.com/publications/spoofing-call-stacks-to-confuse-edrs
Withsecure
Spoofing Call Stacks To Confuse EDRs
Call stacks are an understated yet often important source of telemetry for EDR products.
استراتژی مهم
برای بار چندم :
🟥 انتخاب نوع سیستم عامل( ویندوز ، لینوکس و مک) حتی نسخه ی آن ؛ بایستی در خط مشی سازمان مشخص و طبق نظر واحد امنیت باشد. لذا نباید از هر سیستم عاملی در سازمان استفاده شود!!
✅️ دلیل :
بسیاری از خط مشی ها ، ابزار ها و کنترل های امنیتی وابسته به نسخه و نوع سیستم عامل هستند و شاید باید نوع و نسخه سیستم عامل با توجه به نوع استفاده و فناوری موجود در سازمان مشخص و تایید شده باشد. وگرنه ریسک های متنوعی بر سازمان اعمال خواهد شد.
🎯 برای مثال : برای برخی نسخه های سیستم عامل ویندوز هنوز بطور کامل امکان فارنزیک حافظه وجود ندارد یا برخی نسخه ها و انواع سیستم عامل لینوکس امکان نصب agent لاگ گیری را ندارند
همچنین در محیط لینوکس قابلیت های آنتی ویروس ها و DLP ها بشدت کاهش میابد
لذا
🔴 بدلیل ریسکهای امنیتی؛ با هرگونه تنوع و بی ضابطگی در حوزه سیستم عامل بشدت مقابله کنید و فضا را با تعامل با ذینفعان، مدیریت نمایید.
پی نوشت : همین دیشب درگیر IR موضوعی بودیم که با توجه به اینکه موارد فوق رعایت نشده بود، مساله قابل حل نشد.
#آکادمی_روزبه
برای بار چندم :
🟥 انتخاب نوع سیستم عامل( ویندوز ، لینوکس و مک) حتی نسخه ی آن ؛ بایستی در خط مشی سازمان مشخص و طبق نظر واحد امنیت باشد. لذا نباید از هر سیستم عاملی در سازمان استفاده شود!!
✅️ دلیل :
بسیاری از خط مشی ها ، ابزار ها و کنترل های امنیتی وابسته به نسخه و نوع سیستم عامل هستند و شاید باید نوع و نسخه سیستم عامل با توجه به نوع استفاده و فناوری موجود در سازمان مشخص و تایید شده باشد. وگرنه ریسک های متنوعی بر سازمان اعمال خواهد شد.
🎯 برای مثال : برای برخی نسخه های سیستم عامل ویندوز هنوز بطور کامل امکان فارنزیک حافظه وجود ندارد یا برخی نسخه ها و انواع سیستم عامل لینوکس امکان نصب agent لاگ گیری را ندارند
همچنین در محیط لینوکس قابلیت های آنتی ویروس ها و DLP ها بشدت کاهش میابد
لذا
🔴 بدلیل ریسکهای امنیتی؛ با هرگونه تنوع و بی ضابطگی در حوزه سیستم عامل بشدت مقابله کنید و فضا را با تعامل با ذینفعان، مدیریت نمایید.
پی نوشت : همین دیشب درگیر IR موضوعی بودیم که با توجه به اینکه موارد فوق رعایت نشده بود، مساله قابل حل نشد.
#آکادمی_روزبه
یک شروع خوب برای درگیر شدن با اتمیک تست
#آکادمی_روزبه
https://detect.fyi/atomic-test-creation-easiest-with-atomicgen-io-a4a4ec8cd9a9
#آکادمی_روزبه
https://detect.fyi/atomic-test-creation-easiest-with-atomicgen-io-a4a4ec8cd9a9
Medium
Atomic Test Creation: Easiest with AtomicGen.io
If you’re in cybersecurity, you’ve probably come across Atomic Red Team. It’s a popular tool for simulating adversary techniques. Whether…
نیاز به مهندسی جریان داده در سازمان قبل از راه اندازی SIEM
#آکادمی_روزبه
https://detect.fyi/why-you-need-data-engineering-pipelines-before-an-enterprise-siem-0be553584aa9
#آکادمی_روزبه
https://detect.fyi/why-you-need-data-engineering-pipelines-before-an-enterprise-siem-0be553584aa9
Medium
Why you need Data Engineering Pipelines before an enterprise SIEM
By this time you've probably heard "Data is the new oil," right? So why are still so many detection engineers dealing with log data in its…
درسته کهMISP نسبت بهYETI برتر هست ولی اگر میخواید در YETI دست به آچار بشید مقاله زیر خوبه
#آکادمی_روزبه
** پلتفرم رایگان Threat intelligence
https://readmedium.com/build-your-own-cyber-threat-intel-feeds-at-home-yeti-e13b3edf9f39
#آکادمی_روزبه
** پلتفرم رایگان Threat intelligence
https://readmedium.com/build-your-own-cyber-threat-intel-feeds-at-home-yeti-e13b3edf9f39
Readmedium
Your Everyday Threat Intel: Build A Threat Hunting Platform at Home!
Learn how to Collect Open Source Threat Intelligence