معرفی کتاب هفته
نکته جالب در این کتاب بررسی حمله و دفاع در هر مرحله در کنار هم است . در شکل های 1 میبینید پاسخ نامناسب مدافع ما را دچار چه مشکلی میکند و جواب کامل مدافع در شکل آخر آمده است .
#آکادمی_روزبه
دوره در حال برگزاری ISSMP
واتس اپ 09902857290
نکته جالب در این کتاب بررسی حمله و دفاع در هر مرحله در کنار هم است . در شکل های 1 میبینید پاسخ نامناسب مدافع ما را دچار چه مشکلی میکند و جواب کامل مدافع در شکل آخر آمده است .
#آکادمی_روزبه
دوره در حال برگزاری ISSMP
واتس اپ 09902857290
تحلیل بد افزار
گزارش اسپلانک
#آکادمی_روزبه
https://www.splunk.com/en_us/blog/security/cracking-braodo-stealer-analyzing-python-malware-and-its-obfuscated-loader.html
گزارش اسپلانک
#آکادمی_روزبه
https://www.splunk.com/en_us/blog/security/cracking-braodo-stealer-analyzing-python-malware-and-its-obfuscated-loader.html
Splunk
Cracking Braodo Stealer: Analyzing Python Malware and Its Obfuscated Loader | Splunk
The Splunk Threat Research Team break down Braodo Stealer's loader mechanisms, obfuscation strategies, and payload behavior.
فکر کنم جای یک مرور بر بوت کیت خالیه
#آکادمی_روزبه
https://www.sentinelone.com/cybersecurity-101/cybersecurity/bootkit/
#آکادمی_روزبه
https://www.sentinelone.com/cybersecurity-101/cybersecurity/bootkit/
SentinelOne
What is a Bootkit? Detection and Prevention Guide
Learn what a bootkit is, how it compares to rootkits, and explore detection, prevention, and removal techniques to safeguard your system.
ریسک Avalibility اسنپ در بلک فرایدی :
همانطور که امروز سر کلاس پیش بینی کردیم
بدلیل حجم درخواست.
مساله ای که باید توسط IT و امنیت اسنپ پیش بینی میشد.
یعنی در درس ISSMP میخوانیم که اگر بیزنس به سمتی حرکت کند بایستی امنیت و IT راه را تسهیل کنند. اما ظاهرا در اسنپ همراستایی بیزنس و تصمیمات لایه بیزنس سرعتش و نوعش همخوان با سرعت و نوع فعالیت های امنیت و IT نیست.
در این شرایط لازمه مدیریت امنیت یک بازسازی از لحاظ فنی و فرآیندی در خودش در نسبت به اهداف و استراتژی های بیزنس انجام بده .
چطور ؟
منابع درس ISSMP را به دوستان توصیه میکنم
** تبصره : این تبلیغ کلاس نیست چون منابع را در پست های قبلی نوشته ام که دوستان میتوانند خودشان درس را بخوانند . این پست تجربه و تمرین عملی برای دانشجویان کلاس ISSMP است.
تصویر فوق ۱۲ شب مورخ ۹ آذر اسنپ.
که روزها برای این لحظه تبلیغ کرده است. الان بیزنس با IT و امنیت چه برخوردی باید داشته باشد؟ از نظر علمی و با شناخت از اسنپ تقصیر این مساله گردن بخش بیزنس است یا IT یا امنیت ؟
#آکادمی_روزبه
همانطور که امروز سر کلاس پیش بینی کردیم
بدلیل حجم درخواست.
مساله ای که باید توسط IT و امنیت اسنپ پیش بینی میشد.
یعنی در درس ISSMP میخوانیم که اگر بیزنس به سمتی حرکت کند بایستی امنیت و IT راه را تسهیل کنند. اما ظاهرا در اسنپ همراستایی بیزنس و تصمیمات لایه بیزنس سرعتش و نوعش همخوان با سرعت و نوع فعالیت های امنیت و IT نیست.
در این شرایط لازمه مدیریت امنیت یک بازسازی از لحاظ فنی و فرآیندی در خودش در نسبت به اهداف و استراتژی های بیزنس انجام بده .
چطور ؟
منابع درس ISSMP را به دوستان توصیه میکنم
** تبصره : این تبلیغ کلاس نیست چون منابع را در پست های قبلی نوشته ام که دوستان میتوانند خودشان درس را بخوانند . این پست تجربه و تمرین عملی برای دانشجویان کلاس ISSMP است.
تصویر فوق ۱۲ شب مورخ ۹ آذر اسنپ.
که روزها برای این لحظه تبلیغ کرده است. الان بیزنس با IT و امنیت چه برخوردی باید داشته باشد؟ از نظر علمی و با شناخت از اسنپ تقصیر این مساله گردن بخش بیزنس است یا IT یا امنیت ؟
#آکادمی_روزبه
حالا که خیلی ها درحال دور زدن EDR هستند قبل از خواب این را بخوانید
#آکادمی_روزبه
https://labs.withsecure.com/publications/spoofing-call-stacks-to-confuse-edrs
#آکادمی_روزبه
https://labs.withsecure.com/publications/spoofing-call-stacks-to-confuse-edrs
Withsecure
Spoofing Call Stacks To Confuse EDRs
Call stacks are an understated yet often important source of telemetry for EDR products.
استراتژی مهم
برای بار چندم :
🟥 انتخاب نوع سیستم عامل( ویندوز ، لینوکس و مک) حتی نسخه ی آن ؛ بایستی در خط مشی سازمان مشخص و طبق نظر واحد امنیت باشد. لذا نباید از هر سیستم عاملی در سازمان استفاده شود!!
✅️ دلیل :
بسیاری از خط مشی ها ، ابزار ها و کنترل های امنیتی وابسته به نسخه و نوع سیستم عامل هستند و شاید باید نوع و نسخه سیستم عامل با توجه به نوع استفاده و فناوری موجود در سازمان مشخص و تایید شده باشد. وگرنه ریسک های متنوعی بر سازمان اعمال خواهد شد.
🎯 برای مثال : برای برخی نسخه های سیستم عامل ویندوز هنوز بطور کامل امکان فارنزیک حافظه وجود ندارد یا برخی نسخه ها و انواع سیستم عامل لینوکس امکان نصب agent لاگ گیری را ندارند
همچنین در محیط لینوکس قابلیت های آنتی ویروس ها و DLP ها بشدت کاهش میابد
لذا
🔴 بدلیل ریسکهای امنیتی؛ با هرگونه تنوع و بی ضابطگی در حوزه سیستم عامل بشدت مقابله کنید و فضا را با تعامل با ذینفعان، مدیریت نمایید.
پی نوشت : همین دیشب درگیر IR موضوعی بودیم که با توجه به اینکه موارد فوق رعایت نشده بود، مساله قابل حل نشد.
#آکادمی_روزبه
برای بار چندم :
🟥 انتخاب نوع سیستم عامل( ویندوز ، لینوکس و مک) حتی نسخه ی آن ؛ بایستی در خط مشی سازمان مشخص و طبق نظر واحد امنیت باشد. لذا نباید از هر سیستم عاملی در سازمان استفاده شود!!
✅️ دلیل :
بسیاری از خط مشی ها ، ابزار ها و کنترل های امنیتی وابسته به نسخه و نوع سیستم عامل هستند و شاید باید نوع و نسخه سیستم عامل با توجه به نوع استفاده و فناوری موجود در سازمان مشخص و تایید شده باشد. وگرنه ریسک های متنوعی بر سازمان اعمال خواهد شد.
🎯 برای مثال : برای برخی نسخه های سیستم عامل ویندوز هنوز بطور کامل امکان فارنزیک حافظه وجود ندارد یا برخی نسخه ها و انواع سیستم عامل لینوکس امکان نصب agent لاگ گیری را ندارند
همچنین در محیط لینوکس قابلیت های آنتی ویروس ها و DLP ها بشدت کاهش میابد
لذا
🔴 بدلیل ریسکهای امنیتی؛ با هرگونه تنوع و بی ضابطگی در حوزه سیستم عامل بشدت مقابله کنید و فضا را با تعامل با ذینفعان، مدیریت نمایید.
پی نوشت : همین دیشب درگیر IR موضوعی بودیم که با توجه به اینکه موارد فوق رعایت نشده بود، مساله قابل حل نشد.
#آکادمی_روزبه
یک شروع خوب برای درگیر شدن با اتمیک تست
#آکادمی_روزبه
https://detect.fyi/atomic-test-creation-easiest-with-atomicgen-io-a4a4ec8cd9a9
#آکادمی_روزبه
https://detect.fyi/atomic-test-creation-easiest-with-atomicgen-io-a4a4ec8cd9a9
Medium
Atomic Test Creation: Easiest with AtomicGen.io
If you’re in cybersecurity, you’ve probably come across Atomic Red Team. It’s a popular tool for simulating adversary techniques. Whether…
نیاز به مهندسی جریان داده در سازمان قبل از راه اندازی SIEM
#آکادمی_روزبه
https://detect.fyi/why-you-need-data-engineering-pipelines-before-an-enterprise-siem-0be553584aa9
#آکادمی_روزبه
https://detect.fyi/why-you-need-data-engineering-pipelines-before-an-enterprise-siem-0be553584aa9
Medium
Why you need Data Engineering Pipelines before an enterprise SIEM
By this time you've probably heard "Data is the new oil," right? So why are still so many detection engineers dealing with log data in its…
درسته کهMISP نسبت بهYETI برتر هست ولی اگر میخواید در YETI دست به آچار بشید مقاله زیر خوبه
#آکادمی_روزبه
** پلتفرم رایگان Threat intelligence
https://readmedium.com/build-your-own-cyber-threat-intel-feeds-at-home-yeti-e13b3edf9f39
#آکادمی_روزبه
** پلتفرم رایگان Threat intelligence
https://readmedium.com/build-your-own-cyber-threat-intel-feeds-at-home-yeti-e13b3edf9f39
Readmedium
Your Everyday Threat Intel: Build A Threat Hunting Platform at Home!
Learn how to Collect Open Source Threat Intelligence
یک زیرو دی داغ و تازه ویندوز
لینک گیت هاب POC
https://github.com/je5442804/WPTaskScheduler_CVE-2024-49039
#آکادمی_روزبه
https://securityonline.info/zero-day-exploit-code-released-for-windows-task-scheduler-flaw-cve-2024-49039-actively-exploited-by-romcom-group/
لینک گیت هاب POC
https://github.com/je5442804/WPTaskScheduler_CVE-2024-49039
#آکادمی_روزبه
https://securityonline.info/zero-day-exploit-code-released-for-windows-task-scheduler-flaw-cve-2024-49039-actively-exploited-by-romcom-group/
Cybersecurity News
Zero-Day Exploit Code Released for Windows Task Scheduler Flaw (CVE-2024-49039), Actively Exploited by RomCom Group
A proof-of-concept (PoC) exploit code for CVE-2024-49039, a zero-day vulnerability in Windows Task Scheduler, has been publicly released
Extract and execute a PE embedded within a PNG file using an LNK file
#آکادمی_روزبه
https://github.com/Maldev-Academy/ExecutePeFromPngViaLNK
#آکادمی_روزبه
https://github.com/Maldev-Academy/ExecutePeFromPngViaLNK
GitHub
GitHub - Maldev-Academy/ExecutePeFromPngViaLNK: Extract and execute a PE embedded within a PNG file using an LNK file.
Extract and execute a PE embedded within a PNG file using an LNK file. - Maldev-Academy/ExecutePeFromPngViaLNK
صبحانه :
شناسایی سرور های c2 با shodan
#آکادمی_روزبه
https://readmedium.com/c2-hunting-how-to-find-c2-servers-with-shodan-c23f48ac39a4
شناسایی سرور های c2 با shodan
#آکادمی_روزبه
https://readmedium.com/c2-hunting-how-to-find-c2-servers-with-shodan-c23f48ac39a4
Readmedium
C2 Hunting: How to Find C2 Servers with Shodan
C2 hunting empowers you to track down adversary C2 servers and stay a step ahead bad guys. This guide teaches you how to do it using…
سناریوی
حل مساله
❇️ سطح متوسط
شما عضوی از تیم امنیت یک بانک هستید . فعالیت مشکوکی را از یک لپ تاپ مشاهده میکنید که نشان دهنده احتمال و تلاش برای خروج داده از سازمان است
جزئیات سناریو :
آلرت اولیه : یک ابزار امنیتی به شما کانکشن های خارجی را نشان میدهد
روی سیستم های شما EDR نصب شده است که میگوید سیستم قربانی ویندوز ۱۰ است
مشاهدات دیگر
دستور درهم ریخته پاورشل
فایل ناشناخته اجرایی
ارتباط با آدرس 203.0.113.45 که بدنام است
❓️ سوال:
اولین اقدام شما چیست ؟
چطور اقدامات را اولویت بندی میکنید؟
چه لاگ و ابزاری را برای تحقیقات استفاده میکنید ؟
آنالیز فایل
آیا این حمله حمله ای تک است یا بخشی از حمله بزرگی در سازمان است؟ چطور پی میبرید؟
راهکارهای مدیریت حادثه و بهبود چیست ؟
گزارش به مدیر عامل در چند خط چه مینویسید ؟
اقدامات دفاعی برای جلوگیری از تکرار کدامند ؟
** دوستانی که علاقمند به تمرین تعاملی با بنده هستند پاسخ کامل را به ایمیل زیر ارسال کنند تا تصحیح کنم.
detect@chmail.ir
#آکادمی_روزبه
حل مساله
❇️ سطح متوسط
شما عضوی از تیم امنیت یک بانک هستید . فعالیت مشکوکی را از یک لپ تاپ مشاهده میکنید که نشان دهنده احتمال و تلاش برای خروج داده از سازمان است
جزئیات سناریو :
آلرت اولیه : یک ابزار امنیتی به شما کانکشن های خارجی را نشان میدهد
روی سیستم های شما EDR نصب شده است که میگوید سیستم قربانی ویندوز ۱۰ است
مشاهدات دیگر
HKCU\Software\Microsoft\Windows\CurrentVersion\Runدستور درهم ریخته پاورشل
فایل ناشناخته اجرایی
msupdate.exe در فولدر Tempارتباط با آدرس 203.0.113.45 که بدنام است
❓️ سوال:
اولین اقدام شما چیست ؟
چطور اقدامات را اولویت بندی میکنید؟
چه لاگ و ابزاری را برای تحقیقات استفاده میکنید ؟
آنالیز فایل
msupdate.exe را چطور انجام میدهید؟آیا این حمله حمله ای تک است یا بخشی از حمله بزرگی در سازمان است؟ چطور پی میبرید؟
راهکارهای مدیریت حادثه و بهبود چیست ؟
گزارش به مدیر عامل در چند خط چه مینویسید ؟
اقدامات دفاعی برای جلوگیری از تکرار کدامند ؟
** دوستانی که علاقمند به تمرین تعاملی با بنده هستند پاسخ کامل را به ایمیل زیر ارسال کنند تا تصحیح کنم.
detect@chmail.ir
#آکادمی_روزبه
نکته ی هفته :
کنترل ها ( کاهنده های ریسک) از دسته های زیر هستند :
۱-جلوگیری کننده : preventive
مثال: فایروال ، طراحی زیرو تراست ، گذاشتن نگهبان دم درب
۲-کشف کننده detective
مثال: IDS ؛ خود SOC ؛ تاحدودی معماری زیرو تراست و هانت
۳-مدیریتی Administrative
مثال: خط مشی ؛ فرآیند و ساختار سازمان
لذا شما فقط نباید به
۱-چند لایه کردن فایروال نگاه کنید .
بلکه باید به این نگاه کنید
۲- آیا توان کشف هم دارید ؟
۳-آیا ساختار سازمانی شما اجازه میدهد به موقع لزوم، تمدید لایسنس را انجام دهید ؟
هر سه مورد فوق از کنترل های امنیت و کاهنده های ریسک هستند در زمره جلوگیری کننده ، کشف کننده و مدیریتی
#آکادمی_روزبه
کنترل ها ( کاهنده های ریسک) از دسته های زیر هستند :
۱-جلوگیری کننده : preventive
مثال: فایروال ، طراحی زیرو تراست ، گذاشتن نگهبان دم درب
۲-کشف کننده detective
مثال: IDS ؛ خود SOC ؛ تاحدودی معماری زیرو تراست و هانت
۳-مدیریتی Administrative
مثال: خط مشی ؛ فرآیند و ساختار سازمان
لذا شما فقط نباید به
۱-چند لایه کردن فایروال نگاه کنید .
بلکه باید به این نگاه کنید
۲- آیا توان کشف هم دارید ؟
۳-آیا ساختار سازمانی شما اجازه میدهد به موقع لزوم، تمدید لایسنس را انجام دهید ؟
هر سه مورد فوق از کنترل های امنیت و کاهنده های ریسک هستند در زمره جلوگیری کننده ، کشف کننده و مدیریتی
#آکادمی_روزبه
گستره آلوده شدن توسط نرم افزار جاسوسی پگاسوس بزرگتر شد
#آکادمی_روزبه
هدف قرار گرفته شدن افراد برای جاسوسی
درمورد پگاسوس قبلا در کانال مطلب گذاشته ایم که اختصاصا برای جاسوسی از افراد طراحی شده است.
https://cybersecuritynews-com.cdn.ampproject.org/c/s/cybersecuritynews.com/pegasus-spyware-detected-in-new-mobile-devices/amp/
#آکادمی_روزبه
هدف قرار گرفته شدن افراد برای جاسوسی
درمورد پگاسوس قبلا در کانال مطلب گذاشته ایم که اختصاصا برای جاسوسی از افراد طراحی شده است.
https://cybersecuritynews-com.cdn.ampproject.org/c/s/cybersecuritynews.com/pegasus-spyware-detected-in-new-mobile-devices/amp/
Cyber Security News
Isreali NSO Group's Pegasus Spyware Detected in New Mobile Devices
Pegasus spyware, developed by NSO Group, shows that spyware targets not only activists and journalists but also professionals and civilians