نیاز به مهندسی جریان داده در سازمان قبل از راه اندازی SIEM
#آکادمی_روزبه
https://detect.fyi/why-you-need-data-engineering-pipelines-before-an-enterprise-siem-0be553584aa9
#آکادمی_روزبه
https://detect.fyi/why-you-need-data-engineering-pipelines-before-an-enterprise-siem-0be553584aa9
Medium
Why you need Data Engineering Pipelines before an enterprise SIEM
By this time you've probably heard "Data is the new oil," right? So why are still so many detection engineers dealing with log data in its…
درسته کهMISP نسبت بهYETI برتر هست ولی اگر میخواید در YETI دست به آچار بشید مقاله زیر خوبه
#آکادمی_روزبه
** پلتفرم رایگان Threat intelligence
https://readmedium.com/build-your-own-cyber-threat-intel-feeds-at-home-yeti-e13b3edf9f39
#آکادمی_روزبه
** پلتفرم رایگان Threat intelligence
https://readmedium.com/build-your-own-cyber-threat-intel-feeds-at-home-yeti-e13b3edf9f39
Readmedium
Your Everyday Threat Intel: Build A Threat Hunting Platform at Home!
Learn how to Collect Open Source Threat Intelligence
یک زیرو دی داغ و تازه ویندوز
لینک گیت هاب POC
https://github.com/je5442804/WPTaskScheduler_CVE-2024-49039
#آکادمی_روزبه
https://securityonline.info/zero-day-exploit-code-released-for-windows-task-scheduler-flaw-cve-2024-49039-actively-exploited-by-romcom-group/
لینک گیت هاب POC
https://github.com/je5442804/WPTaskScheduler_CVE-2024-49039
#آکادمی_روزبه
https://securityonline.info/zero-day-exploit-code-released-for-windows-task-scheduler-flaw-cve-2024-49039-actively-exploited-by-romcom-group/
Cybersecurity News
Zero-Day Exploit Code Released for Windows Task Scheduler Flaw (CVE-2024-49039), Actively Exploited by RomCom Group
A proof-of-concept (PoC) exploit code for CVE-2024-49039, a zero-day vulnerability in Windows Task Scheduler, has been publicly released
Extract and execute a PE embedded within a PNG file using an LNK file
#آکادمی_روزبه
https://github.com/Maldev-Academy/ExecutePeFromPngViaLNK
#آکادمی_روزبه
https://github.com/Maldev-Academy/ExecutePeFromPngViaLNK
GitHub
GitHub - Maldev-Academy/ExecutePeFromPngViaLNK: Extract and execute a PE embedded within a PNG file using an LNK file.
Extract and execute a PE embedded within a PNG file using an LNK file. - Maldev-Academy/ExecutePeFromPngViaLNK
صبحانه :
شناسایی سرور های c2 با shodan
#آکادمی_روزبه
https://readmedium.com/c2-hunting-how-to-find-c2-servers-with-shodan-c23f48ac39a4
شناسایی سرور های c2 با shodan
#آکادمی_روزبه
https://readmedium.com/c2-hunting-how-to-find-c2-servers-with-shodan-c23f48ac39a4
Readmedium
C2 Hunting: How to Find C2 Servers with Shodan
C2 hunting empowers you to track down adversary C2 servers and stay a step ahead bad guys. This guide teaches you how to do it using…
سناریوی
حل مساله
❇️ سطح متوسط
شما عضوی از تیم امنیت یک بانک هستید . فعالیت مشکوکی را از یک لپ تاپ مشاهده میکنید که نشان دهنده احتمال و تلاش برای خروج داده از سازمان است
جزئیات سناریو :
آلرت اولیه : یک ابزار امنیتی به شما کانکشن های خارجی را نشان میدهد
روی سیستم های شما EDR نصب شده است که میگوید سیستم قربانی ویندوز ۱۰ است
مشاهدات دیگر
دستور درهم ریخته پاورشل
فایل ناشناخته اجرایی
ارتباط با آدرس 203.0.113.45 که بدنام است
❓️ سوال:
اولین اقدام شما چیست ؟
چطور اقدامات را اولویت بندی میکنید؟
چه لاگ و ابزاری را برای تحقیقات استفاده میکنید ؟
آنالیز فایل
آیا این حمله حمله ای تک است یا بخشی از حمله بزرگی در سازمان است؟ چطور پی میبرید؟
راهکارهای مدیریت حادثه و بهبود چیست ؟
گزارش به مدیر عامل در چند خط چه مینویسید ؟
اقدامات دفاعی برای جلوگیری از تکرار کدامند ؟
** دوستانی که علاقمند به تمرین تعاملی با بنده هستند پاسخ کامل را به ایمیل زیر ارسال کنند تا تصحیح کنم.
detect@chmail.ir
#آکادمی_روزبه
حل مساله
❇️ سطح متوسط
شما عضوی از تیم امنیت یک بانک هستید . فعالیت مشکوکی را از یک لپ تاپ مشاهده میکنید که نشان دهنده احتمال و تلاش برای خروج داده از سازمان است
جزئیات سناریو :
آلرت اولیه : یک ابزار امنیتی به شما کانکشن های خارجی را نشان میدهد
روی سیستم های شما EDR نصب شده است که میگوید سیستم قربانی ویندوز ۱۰ است
مشاهدات دیگر
HKCU\Software\Microsoft\Windows\CurrentVersion\Runدستور درهم ریخته پاورشل
فایل ناشناخته اجرایی
msupdate.exe در فولدر Tempارتباط با آدرس 203.0.113.45 که بدنام است
❓️ سوال:
اولین اقدام شما چیست ؟
چطور اقدامات را اولویت بندی میکنید؟
چه لاگ و ابزاری را برای تحقیقات استفاده میکنید ؟
آنالیز فایل
msupdate.exe را چطور انجام میدهید؟آیا این حمله حمله ای تک است یا بخشی از حمله بزرگی در سازمان است؟ چطور پی میبرید؟
راهکارهای مدیریت حادثه و بهبود چیست ؟
گزارش به مدیر عامل در چند خط چه مینویسید ؟
اقدامات دفاعی برای جلوگیری از تکرار کدامند ؟
** دوستانی که علاقمند به تمرین تعاملی با بنده هستند پاسخ کامل را به ایمیل زیر ارسال کنند تا تصحیح کنم.
detect@chmail.ir
#آکادمی_روزبه
نکته ی هفته :
کنترل ها ( کاهنده های ریسک) از دسته های زیر هستند :
۱-جلوگیری کننده : preventive
مثال: فایروال ، طراحی زیرو تراست ، گذاشتن نگهبان دم درب
۲-کشف کننده detective
مثال: IDS ؛ خود SOC ؛ تاحدودی معماری زیرو تراست و هانت
۳-مدیریتی Administrative
مثال: خط مشی ؛ فرآیند و ساختار سازمان
لذا شما فقط نباید به
۱-چند لایه کردن فایروال نگاه کنید .
بلکه باید به این نگاه کنید
۲- آیا توان کشف هم دارید ؟
۳-آیا ساختار سازمانی شما اجازه میدهد به موقع لزوم، تمدید لایسنس را انجام دهید ؟
هر سه مورد فوق از کنترل های امنیت و کاهنده های ریسک هستند در زمره جلوگیری کننده ، کشف کننده و مدیریتی
#آکادمی_روزبه
کنترل ها ( کاهنده های ریسک) از دسته های زیر هستند :
۱-جلوگیری کننده : preventive
مثال: فایروال ، طراحی زیرو تراست ، گذاشتن نگهبان دم درب
۲-کشف کننده detective
مثال: IDS ؛ خود SOC ؛ تاحدودی معماری زیرو تراست و هانت
۳-مدیریتی Administrative
مثال: خط مشی ؛ فرآیند و ساختار سازمان
لذا شما فقط نباید به
۱-چند لایه کردن فایروال نگاه کنید .
بلکه باید به این نگاه کنید
۲- آیا توان کشف هم دارید ؟
۳-آیا ساختار سازمانی شما اجازه میدهد به موقع لزوم، تمدید لایسنس را انجام دهید ؟
هر سه مورد فوق از کنترل های امنیت و کاهنده های ریسک هستند در زمره جلوگیری کننده ، کشف کننده و مدیریتی
#آکادمی_روزبه
گستره آلوده شدن توسط نرم افزار جاسوسی پگاسوس بزرگتر شد
#آکادمی_روزبه
هدف قرار گرفته شدن افراد برای جاسوسی
درمورد پگاسوس قبلا در کانال مطلب گذاشته ایم که اختصاصا برای جاسوسی از افراد طراحی شده است.
https://cybersecuritynews-com.cdn.ampproject.org/c/s/cybersecuritynews.com/pegasus-spyware-detected-in-new-mobile-devices/amp/
#آکادمی_روزبه
هدف قرار گرفته شدن افراد برای جاسوسی
درمورد پگاسوس قبلا در کانال مطلب گذاشته ایم که اختصاصا برای جاسوسی از افراد طراحی شده است.
https://cybersecuritynews-com.cdn.ampproject.org/c/s/cybersecuritynews.com/pegasus-spyware-detected-in-new-mobile-devices/amp/
Cyber Security News
Isreali NSO Group's Pegasus Spyware Detected in New Mobile Devices
Pegasus spyware, developed by NSO Group, shows that spyware targets not only activists and journalists but also professionals and civilians
کال بک هایی در سیستم عامل که بدافزار نویسان و امنیت چی ها دنبال آن هستند
با تشکر از جناب پیام طاهری
#آکادمی_روزبه
https://codemachine.com/articles/kernel_callback_functions.html
با تشکر از جناب پیام طاهری
#آکادمی_روزبه
https://codemachine.com/articles/kernel_callback_functions.html
Codemachine
CodeMachine - Article - Kernel Callback Functions
Comprehensive list of documented and undocumented APIs available in the Windows kernel to register callback routines.
اگر با توجه به تحریم ؛ امکان پرداخت و عضویت در سایت مدیوم برای خواندن مقالات را ندارید از این روش استفاده کنید
#آکادمی_روزبه
لینک مقاله را در readmedium بگذارید
https://readmedium.com/threat-modeling-and-risk-assessment-with-example-3d8bc6177e8d
#آکادمی_روزبه
لینک مقاله را در readmedium بگذارید
https://readmedium.com/threat-modeling-and-risk-assessment-with-example-3d8bc6177e8d
Readmedium
Threat modeling and Risk Assessment with example
1. Threat Modeling:
بخشی از لاگ برای حمله به اکتیو اکتیو دایرکتوری
چند نوع حمله
#آکادمی_روزبه
2024-12-05 10:12:34 - User Logon - User: student1 - Source IP: 192.168.1.5 - Workstation: WORKSTATION01
2024-12-05 10:15:12 - Kerberos Service Ticket Request - User: attacker01 - Service: HTTP/misconfiguredserver@DOMAIN.LOCAL
2024-12-05 10:15:18 - Security Warning - Suspicious ticket request detected for user attacker01 from IP 192.168.1.101.
2024-12-05 10:20:45 - Service Account Enumeration - Host: DC01 - User: attacker01 - Process: Mimikatz.exe
2024-12-05 10:23:30 - Privilege Escalation - User: attacker01 - Action: SeImpersonatePrivilege enabled.
2024-12-05 10:25:11 - Lateral Movement Detected - Source IP: 192.168.1.101 - Destination: 192.168.1.12 - Protocol: SMB
2024-12-05 10:30:00 - Pass-the-Hash - NTLM Authentication - Source: 192.168.1.12 - Account: admin01 - Hash Used: abcd1234abcd1234abcd1234abcd1234
2024-12-05 10:35:22 - Directory Replication Attempt - User: attacker01 - Command: DCSync - Target: DC01
2024-12-05 10:35:50 - Security Alert - Unauthorized replication detected! Account: attacker01.
2024-12-05 10:40:00 - Malware Executed - Process: lsass.exe - Host: 192.168.1.12 - User: attacker01 - Code Injection Detected
2024-12-05 10:45:13 - DCShadow Attack - New Schema Update Initiated by attacker01.
2024-12-05 10:50:00 - Security Alert - Unauthorized attribute modification - Target: DC01 - Attributes: msDS-AllowedToActOnBehalfOfOtherIdentity
چند نوع حمله
#آکادمی_روزبه
2024-12-05 10:12:34 - User Logon - User: student1 - Source IP: 192.168.1.5 - Workstation: WORKSTATION01
2024-12-05 10:15:12 - Kerberos Service Ticket Request - User: attacker01 - Service: HTTP/misconfiguredserver@DOMAIN.LOCAL
2024-12-05 10:15:18 - Security Warning - Suspicious ticket request detected for user attacker01 from IP 192.168.1.101.
2024-12-05 10:20:45 - Service Account Enumeration - Host: DC01 - User: attacker01 - Process: Mimikatz.exe
2024-12-05 10:23:30 - Privilege Escalation - User: attacker01 - Action: SeImpersonatePrivilege enabled.
2024-12-05 10:25:11 - Lateral Movement Detected - Source IP: 192.168.1.101 - Destination: 192.168.1.12 - Protocol: SMB
2024-12-05 10:30:00 - Pass-the-Hash - NTLM Authentication - Source: 192.168.1.12 - Account: admin01 - Hash Used: abcd1234abcd1234abcd1234abcd1234
2024-12-05 10:35:22 - Directory Replication Attempt - User: attacker01 - Command: DCSync - Target: DC01
2024-12-05 10:35:50 - Security Alert - Unauthorized replication detected! Account: attacker01.
2024-12-05 10:40:00 - Malware Executed - Process: lsass.exe - Host: 192.168.1.12 - User: attacker01 - Code Injection Detected
2024-12-05 10:45:13 - DCShadow Attack - New Schema Update Initiated by attacker01.
2024-12-05 10:50:00 - Security Alert - Unauthorized attribute modification - Target: DC01 - Attributes: msDS-AllowedToActOnBehalfOfOtherIdentity
برای آسیب پذیری خطرناک zabix یک عددpoc آمده آست بهوش باشید
#آکادمی_روزبه
https://securityonline.info/poc-exploit-releases-for-critical-zabbix-vulnerability-cve-2024-42327/
#آکادمی_روزبه
https://securityonline.info/poc-exploit-releases-for-critical-zabbix-vulnerability-cve-2024-42327/
Daily CyberSecurity
PoC Exploit Releases for Critical Zabbix Vulnerability - CVE-2024-42327 (CVSS 9.9)
Security researcher Alejandro Ramos has published a detailed technical analysis and proof-of-concept (PoC) exploit code for CVE-2024-42327
بررسی پیش بینی های سایبری در اروپا، خاورمیانه و آفریقا
وبیناری از مندینت
#آکادمی_روزبه
https://www.brighttalk.com/webcast/17758/629438?utm_source=social_organic_marketing&utm_medium=linkedin&utm_campaign=629438&linkId=11860348
وبیناری از مندینت
#آکادمی_روزبه
https://www.brighttalk.com/webcast/17758/629438?utm_source=social_organic_marketing&utm_medium=linkedin&utm_campaign=629438&linkId=11860348
BrightTALK
Google Cloud EMEA Cybersecurity Forecast 2025
Cyber threats are constantly evolving. Learn how to stay ahead of them in 2025 with security expert Jamie Collier.
Join this deep-dive session based on the Cybersecurity Forecast 2025 report, where we will cover key trends and insights to help strengthen…
Join this deep-dive session based on the Cybersecurity Forecast 2025 report, where we will cover key trends and insights to help strengthen…
بررسی ابزارها در کالی نسخه جدید
#آکادمی_روزبه
https://medium.com/offensive-black-hat-hacking-security/kali-new-release-2024-3-explore-11-new-tools-for-hacking-37e571a6434b
#آکادمی_روزبه
https://medium.com/offensive-black-hat-hacking-security/kali-new-release-2024-3-explore-11-new-tools-for-hacking-37e571a6434b
Medium
Kali New Release 2024.3 | Explore 11 New Tools for Hacking
Advanced Penetration Testing using Kali Linux | Hacker Associate
این هفته پنج شنبه
ساعت ۱۲:۳۰
دوره آنلاین ISSMP را پس از چند دوره حضوری سازمانی
برگزار میکنم.
امیدوارم این حرکتی باشد برای نشر دانش مدیریت امنیت در ایران.
برای هماهنگی کلاسهای من به واتس اپ زیر پیام دهید 09902857290
❇️ برای اطلاع بیشتر :
دوره ISSMP به زیرمجموعه ای از مدرک CISSP میپردازد که تمرکز در حوزه مدیریت دارد. در این دوره بخش مدیریت و حکمرانی از سرفصل CISSP باز میشود و با انجام بررسی های عمیق تر و مثالهای بیشتر سعی میشود مساله مدیریت و معماری مدیریتی سازمان به دقت شکافته و تحلیل شود. لذا در دوره ISSMP به بخشی از سرفصل دوره CISSP نگاه میاندازیم ولی آنرا عمیق تر و تخصصی تر بررسی میکنیم.
#آکادمی_روزبه
ساعت ۱۲:۳۰
دوره آنلاین ISSMP را پس از چند دوره حضوری سازمانی
برگزار میکنم.
امیدوارم این حرکتی باشد برای نشر دانش مدیریت امنیت در ایران.
برای هماهنگی کلاسهای من به واتس اپ زیر پیام دهید 09902857290
❇️ برای اطلاع بیشتر :
دوره ISSMP به زیرمجموعه ای از مدرک CISSP میپردازد که تمرکز در حوزه مدیریت دارد. در این دوره بخش مدیریت و حکمرانی از سرفصل CISSP باز میشود و با انجام بررسی های عمیق تر و مثالهای بیشتر سعی میشود مساله مدیریت و معماری مدیریتی سازمان به دقت شکافته و تحلیل شود. لذا در دوره ISSMP به بخشی از سرفصل دوره CISSP نگاه میاندازیم ولی آنرا عمیق تر و تخصصی تر بررسی میکنیم.
#آکادمی_روزبه
گروه های هکری که خود در انجام هک ماهر هستند ؛ چطور شناسایی میشوند؟
چطور گروهی به ایران و گروهی به کشورهای دیگر منتسب میگردد؟
#آکادمی_روزبه
یکی از راههای شناخت شناسایی زیرساخت مورد استفاده این گروه ها است
https://www.embeeresearch.io/combining-pivot-points-to-identify-malware-infrastructure-redline-smokeloader-and-cobalt-strike/
چطور گروهی به ایران و گروهی به کشورهای دیگر منتسب میگردد؟
#آکادمی_روزبه
یکی از راههای شناخت شناسایی زیرساخت مورد استفاده این گروه ها است
https://www.embeeresearch.io/combining-pivot-points-to-identify-malware-infrastructure-redline-smokeloader-and-cobalt-strike/
Embee Research
Combining Pivot Points to Identify Malware Infrastructure - Redline, Smokeloader and Cobalt Strike
Identifying Malware infrastructure by combining weak pivot points.
مقاله نمونه و انتخابی امشب
مقایسه تلمتری ( ثبت اثر) در ویندوز و لینوکس
#آکادمی_روزبه
https://readmedium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e
مقایسه تلمتری ( ثبت اثر) در ویندوز و لینوکس
#آکادمی_روزبه
https://readmedium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e
Readmedium
Telemetry on Linux vs. Windows: A Comparative Analysis
A look at how Windows and Linux manage telemetry to support incident response operations.
آشنایی با Auditd در لینوکس برای تیم آبی خیلی واجبه .
یک لینک میگذارم که هم از چیستی و رفتار Auditd دید میده هم مثال داره
تمیز باید خونده بشه.
به بخش سیستم کال توجهتون رو جلب میکنم که نکات خوبی داره
** هم توی مقاله و هم در چند مخزن گیت هاب میتونین تمپلیت های مرتبط را پیدا کنید.
#آکادمی_روزبه
https://www.elastic.co/security-labs/linux-detection-engineering-with-auditd
یک لینک میگذارم که هم از چیستی و رفتار Auditd دید میده هم مثال داره
تمیز باید خونده بشه.
به بخش سیستم کال توجهتون رو جلب میکنم که نکات خوبی داره
** هم توی مقاله و هم در چند مخزن گیت هاب میتونین تمپلیت های مرتبط را پیدا کنید.
#آکادمی_روزبه
https://www.elastic.co/security-labs/linux-detection-engineering-with-auditd
www.elastic.co
Linux detection engineering with Auditd — Elastic Security Labs
In this article, learn more about using Auditd and Auditd Manager for detection engineering.