کال بک هایی در سیستم عامل که بدافزار نویسان و امنیت چی ها دنبال آن هستند
با تشکر از جناب پیام طاهری
#آکادمی_روزبه
https://codemachine.com/articles/kernel_callback_functions.html
با تشکر از جناب پیام طاهری
#آکادمی_روزبه
https://codemachine.com/articles/kernel_callback_functions.html
Codemachine
CodeMachine - Article - Kernel Callback Functions
Comprehensive list of documented and undocumented APIs available in the Windows kernel to register callback routines.
اگر با توجه به تحریم ؛ امکان پرداخت و عضویت در سایت مدیوم برای خواندن مقالات را ندارید از این روش استفاده کنید
#آکادمی_روزبه
لینک مقاله را در readmedium بگذارید
https://readmedium.com/threat-modeling-and-risk-assessment-with-example-3d8bc6177e8d
#آکادمی_روزبه
لینک مقاله را در readmedium بگذارید
https://readmedium.com/threat-modeling-and-risk-assessment-with-example-3d8bc6177e8d
Readmedium
Threat modeling and Risk Assessment with example
1. Threat Modeling:
بخشی از لاگ برای حمله به اکتیو اکتیو دایرکتوری
چند نوع حمله
#آکادمی_روزبه
2024-12-05 10:12:34 - User Logon - User: student1 - Source IP: 192.168.1.5 - Workstation: WORKSTATION01
2024-12-05 10:15:12 - Kerberos Service Ticket Request - User: attacker01 - Service: HTTP/misconfiguredserver@DOMAIN.LOCAL
2024-12-05 10:15:18 - Security Warning - Suspicious ticket request detected for user attacker01 from IP 192.168.1.101.
2024-12-05 10:20:45 - Service Account Enumeration - Host: DC01 - User: attacker01 - Process: Mimikatz.exe
2024-12-05 10:23:30 - Privilege Escalation - User: attacker01 - Action: SeImpersonatePrivilege enabled.
2024-12-05 10:25:11 - Lateral Movement Detected - Source IP: 192.168.1.101 - Destination: 192.168.1.12 - Protocol: SMB
2024-12-05 10:30:00 - Pass-the-Hash - NTLM Authentication - Source: 192.168.1.12 - Account: admin01 - Hash Used: abcd1234abcd1234abcd1234abcd1234
2024-12-05 10:35:22 - Directory Replication Attempt - User: attacker01 - Command: DCSync - Target: DC01
2024-12-05 10:35:50 - Security Alert - Unauthorized replication detected! Account: attacker01.
2024-12-05 10:40:00 - Malware Executed - Process: lsass.exe - Host: 192.168.1.12 - User: attacker01 - Code Injection Detected
2024-12-05 10:45:13 - DCShadow Attack - New Schema Update Initiated by attacker01.
2024-12-05 10:50:00 - Security Alert - Unauthorized attribute modification - Target: DC01 - Attributes: msDS-AllowedToActOnBehalfOfOtherIdentity
چند نوع حمله
#آکادمی_روزبه
2024-12-05 10:12:34 - User Logon - User: student1 - Source IP: 192.168.1.5 - Workstation: WORKSTATION01
2024-12-05 10:15:12 - Kerberos Service Ticket Request - User: attacker01 - Service: HTTP/misconfiguredserver@DOMAIN.LOCAL
2024-12-05 10:15:18 - Security Warning - Suspicious ticket request detected for user attacker01 from IP 192.168.1.101.
2024-12-05 10:20:45 - Service Account Enumeration - Host: DC01 - User: attacker01 - Process: Mimikatz.exe
2024-12-05 10:23:30 - Privilege Escalation - User: attacker01 - Action: SeImpersonatePrivilege enabled.
2024-12-05 10:25:11 - Lateral Movement Detected - Source IP: 192.168.1.101 - Destination: 192.168.1.12 - Protocol: SMB
2024-12-05 10:30:00 - Pass-the-Hash - NTLM Authentication - Source: 192.168.1.12 - Account: admin01 - Hash Used: abcd1234abcd1234abcd1234abcd1234
2024-12-05 10:35:22 - Directory Replication Attempt - User: attacker01 - Command: DCSync - Target: DC01
2024-12-05 10:35:50 - Security Alert - Unauthorized replication detected! Account: attacker01.
2024-12-05 10:40:00 - Malware Executed - Process: lsass.exe - Host: 192.168.1.12 - User: attacker01 - Code Injection Detected
2024-12-05 10:45:13 - DCShadow Attack - New Schema Update Initiated by attacker01.
2024-12-05 10:50:00 - Security Alert - Unauthorized attribute modification - Target: DC01 - Attributes: msDS-AllowedToActOnBehalfOfOtherIdentity
برای آسیب پذیری خطرناک zabix یک عددpoc آمده آست بهوش باشید
#آکادمی_روزبه
https://securityonline.info/poc-exploit-releases-for-critical-zabbix-vulnerability-cve-2024-42327/
#آکادمی_روزبه
https://securityonline.info/poc-exploit-releases-for-critical-zabbix-vulnerability-cve-2024-42327/
Daily CyberSecurity
PoC Exploit Releases for Critical Zabbix Vulnerability - CVE-2024-42327 (CVSS 9.9)
Security researcher Alejandro Ramos has published a detailed technical analysis and proof-of-concept (PoC) exploit code for CVE-2024-42327
بررسی پیش بینی های سایبری در اروپا، خاورمیانه و آفریقا
وبیناری از مندینت
#آکادمی_روزبه
https://www.brighttalk.com/webcast/17758/629438?utm_source=social_organic_marketing&utm_medium=linkedin&utm_campaign=629438&linkId=11860348
وبیناری از مندینت
#آکادمی_روزبه
https://www.brighttalk.com/webcast/17758/629438?utm_source=social_organic_marketing&utm_medium=linkedin&utm_campaign=629438&linkId=11860348
BrightTALK
Google Cloud EMEA Cybersecurity Forecast 2025
Cyber threats are constantly evolving. Learn how to stay ahead of them in 2025 with security expert Jamie Collier.
Join this deep-dive session based on the Cybersecurity Forecast 2025 report, where we will cover key trends and insights to help strengthen…
Join this deep-dive session based on the Cybersecurity Forecast 2025 report, where we will cover key trends and insights to help strengthen…
بررسی ابزارها در کالی نسخه جدید
#آکادمی_روزبه
https://medium.com/offensive-black-hat-hacking-security/kali-new-release-2024-3-explore-11-new-tools-for-hacking-37e571a6434b
#آکادمی_روزبه
https://medium.com/offensive-black-hat-hacking-security/kali-new-release-2024-3-explore-11-new-tools-for-hacking-37e571a6434b
Medium
Kali New Release 2024.3 | Explore 11 New Tools for Hacking
Advanced Penetration Testing using Kali Linux | Hacker Associate
این هفته پنج شنبه
ساعت ۱۲:۳۰
دوره آنلاین ISSMP را پس از چند دوره حضوری سازمانی
برگزار میکنم.
امیدوارم این حرکتی باشد برای نشر دانش مدیریت امنیت در ایران.
برای هماهنگی کلاسهای من به واتس اپ زیر پیام دهید 09902857290
❇️ برای اطلاع بیشتر :
دوره ISSMP به زیرمجموعه ای از مدرک CISSP میپردازد که تمرکز در حوزه مدیریت دارد. در این دوره بخش مدیریت و حکمرانی از سرفصل CISSP باز میشود و با انجام بررسی های عمیق تر و مثالهای بیشتر سعی میشود مساله مدیریت و معماری مدیریتی سازمان به دقت شکافته و تحلیل شود. لذا در دوره ISSMP به بخشی از سرفصل دوره CISSP نگاه میاندازیم ولی آنرا عمیق تر و تخصصی تر بررسی میکنیم.
#آکادمی_روزبه
ساعت ۱۲:۳۰
دوره آنلاین ISSMP را پس از چند دوره حضوری سازمانی
برگزار میکنم.
امیدوارم این حرکتی باشد برای نشر دانش مدیریت امنیت در ایران.
برای هماهنگی کلاسهای من به واتس اپ زیر پیام دهید 09902857290
❇️ برای اطلاع بیشتر :
دوره ISSMP به زیرمجموعه ای از مدرک CISSP میپردازد که تمرکز در حوزه مدیریت دارد. در این دوره بخش مدیریت و حکمرانی از سرفصل CISSP باز میشود و با انجام بررسی های عمیق تر و مثالهای بیشتر سعی میشود مساله مدیریت و معماری مدیریتی سازمان به دقت شکافته و تحلیل شود. لذا در دوره ISSMP به بخشی از سرفصل دوره CISSP نگاه میاندازیم ولی آنرا عمیق تر و تخصصی تر بررسی میکنیم.
#آکادمی_روزبه
گروه های هکری که خود در انجام هک ماهر هستند ؛ چطور شناسایی میشوند؟
چطور گروهی به ایران و گروهی به کشورهای دیگر منتسب میگردد؟
#آکادمی_روزبه
یکی از راههای شناخت شناسایی زیرساخت مورد استفاده این گروه ها است
https://www.embeeresearch.io/combining-pivot-points-to-identify-malware-infrastructure-redline-smokeloader-and-cobalt-strike/
چطور گروهی به ایران و گروهی به کشورهای دیگر منتسب میگردد؟
#آکادمی_روزبه
یکی از راههای شناخت شناسایی زیرساخت مورد استفاده این گروه ها است
https://www.embeeresearch.io/combining-pivot-points-to-identify-malware-infrastructure-redline-smokeloader-and-cobalt-strike/
Embee Research
Combining Pivot Points to Identify Malware Infrastructure - Redline, Smokeloader and Cobalt Strike
Identifying Malware infrastructure by combining weak pivot points.
مقاله نمونه و انتخابی امشب
مقایسه تلمتری ( ثبت اثر) در ویندوز و لینوکس
#آکادمی_روزبه
https://readmedium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e
مقایسه تلمتری ( ثبت اثر) در ویندوز و لینوکس
#آکادمی_روزبه
https://readmedium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e
Readmedium
Telemetry on Linux vs. Windows: A Comparative Analysis
A look at how Windows and Linux manage telemetry to support incident response operations.
آشنایی با Auditd در لینوکس برای تیم آبی خیلی واجبه .
یک لینک میگذارم که هم از چیستی و رفتار Auditd دید میده هم مثال داره
تمیز باید خونده بشه.
به بخش سیستم کال توجهتون رو جلب میکنم که نکات خوبی داره
** هم توی مقاله و هم در چند مخزن گیت هاب میتونین تمپلیت های مرتبط را پیدا کنید.
#آکادمی_روزبه
https://www.elastic.co/security-labs/linux-detection-engineering-with-auditd
یک لینک میگذارم که هم از چیستی و رفتار Auditd دید میده هم مثال داره
تمیز باید خونده بشه.
به بخش سیستم کال توجهتون رو جلب میکنم که نکات خوبی داره
** هم توی مقاله و هم در چند مخزن گیت هاب میتونین تمپلیت های مرتبط را پیدا کنید.
#آکادمی_روزبه
https://www.elastic.co/security-labs/linux-detection-engineering-with-auditd
www.elastic.co
Linux detection engineering with Auditd — Elastic Security Labs
In this article, learn more about using Auditd and Auditd Manager for detection engineering.
پیرو مقاله فوق یک مروری داشته باشیم بر پایش سیستم کال :
پایش سیستمکالها (System Calls) به دلایل مختلفی در امنیت سایبری اهمیت دارد. سیستمکالها رابطی بین برنامههای کاربر و هسته سیستمعامل (Kernel) هستند و هرگونه تعامل مستقیم با سختافزار، حافظه و منابع سیستم از این طریق انجام میشود.
در ادامه به دلایل اهمیت پایش سیستمکالها میپردازیم:
۱- شناسایی رفتارهای غیرعادی و بدافزارها
- شناسایی حملات Zero-Day: بدافزارها و حملات روز-صفر اغلب از الگوهای غیرمعمول سیستمکال استفاده میکنند. با پایش این الگوها، میتوان رفتارهای غیرعادی را شناسایی کرد.
- شناسایی بدافزارهای مبتنی بر حافظه (Fileless Malware): این نوع بدافزارها فایل ایجاد نمیکنند لذا نمیتوانید روی دیسک دنبال آنها باشید و از حافظه سیستم استفاده میکنند، اما برای اجرا به سیستمکالها نیاز دارند. بنابراین، پایش سیستمکالها راهی برای شناسایی این بدافزارهاست.
۲-تشخیص و جلوگیری از حملات پیشرفته
- جلوگیری از حملات باجافزار (Ransomware):با پایش دسترسی به فایلها و سیستمکالهای مرتبط با نوشتن فایلها، میتوان از رمزگذاری غیرمجاز فایلها جلوگیری کرد.
- محافظت در برابر حملات فراخوانی کدهای مخرب:
حملات کد مخرب (مانند ROP - Return Oriented Programming) از سیستمکالها برای دور زدن کنترلهای امنیتی استفاده میکنند. پایش سیستمکالها میتواند این حملات را تشخیص دهد.
۳-تحلیل رفتار برنامهها و کنترل دسترسی
- شناسایی رفتار غیرمجاز برنامهها:اگر یک برنامه مجاز اقدام به اجرای سیستمکالی کند که خارج از رفتارهای معمول آن است (مثل اجرای Bash از یک برنامه کاربری)، این رفتار مشکوک تلقی میشود.
- مدیریت دسترسی (Access Control): برخی مکانیزمهای کنترل دسترسی (مانند SELinux) پایش و محدودیت دسترسی به سیستمکالها را به عنوان یک سیاست امنیتی اعمال میکنند.
۴-تقویت قابلیتهای شناسایی در SIEM/SOC
- اطلاعرسانی به SIEM/SOC: با ارسال لاگهای سیستمکال به SIEM (مثلاً Splunk) میتوان الگوهای مشکوک را شناسایی کرد. این اطلاعات برای تحلیلگران امنیتی بسیار ارزشمند است.
- تشخیص ناهنجاری (Anomaly Detection): ابزارهای پیشرفته SIEM، مانند Splunk ، از سیستمکالها برای تشخیص رفتارهای غیرمعمول استفاده میکنند.
#آکادمی_روزبه
پایش سیستمکالها (System Calls) به دلایل مختلفی در امنیت سایبری اهمیت دارد. سیستمکالها رابطی بین برنامههای کاربر و هسته سیستمعامل (Kernel) هستند و هرگونه تعامل مستقیم با سختافزار، حافظه و منابع سیستم از این طریق انجام میشود.
در ادامه به دلایل اهمیت پایش سیستمکالها میپردازیم:
۱- شناسایی رفتارهای غیرعادی و بدافزارها
- شناسایی حملات Zero-Day: بدافزارها و حملات روز-صفر اغلب از الگوهای غیرمعمول سیستمکال استفاده میکنند. با پایش این الگوها، میتوان رفتارهای غیرعادی را شناسایی کرد.
- شناسایی بدافزارهای مبتنی بر حافظه (Fileless Malware): این نوع بدافزارها فایل ایجاد نمیکنند لذا نمیتوانید روی دیسک دنبال آنها باشید و از حافظه سیستم استفاده میکنند، اما برای اجرا به سیستمکالها نیاز دارند. بنابراین، پایش سیستمکالها راهی برای شناسایی این بدافزارهاست.
۲-تشخیص و جلوگیری از حملات پیشرفته
- جلوگیری از حملات باجافزار (Ransomware):با پایش دسترسی به فایلها و سیستمکالهای مرتبط با نوشتن فایلها، میتوان از رمزگذاری غیرمجاز فایلها جلوگیری کرد.
- محافظت در برابر حملات فراخوانی کدهای مخرب:
حملات کد مخرب (مانند ROP - Return Oriented Programming) از سیستمکالها برای دور زدن کنترلهای امنیتی استفاده میکنند. پایش سیستمکالها میتواند این حملات را تشخیص دهد.
۳-تحلیل رفتار برنامهها و کنترل دسترسی
- شناسایی رفتار غیرمجاز برنامهها:اگر یک برنامه مجاز اقدام به اجرای سیستمکالی کند که خارج از رفتارهای معمول آن است (مثل اجرای Bash از یک برنامه کاربری)، این رفتار مشکوک تلقی میشود.
- مدیریت دسترسی (Access Control): برخی مکانیزمهای کنترل دسترسی (مانند SELinux) پایش و محدودیت دسترسی به سیستمکالها را به عنوان یک سیاست امنیتی اعمال میکنند.
۴-تقویت قابلیتهای شناسایی در SIEM/SOC
- اطلاعرسانی به SIEM/SOC: با ارسال لاگهای سیستمکال به SIEM (مثلاً Splunk) میتوان الگوهای مشکوک را شناسایی کرد. این اطلاعات برای تحلیلگران امنیتی بسیار ارزشمند است.
- تشخیص ناهنجاری (Anomaly Detection): ابزارهای پیشرفته SIEM، مانند Splunk ، از سیستمکالها برای تشخیص رفتارهای غیرمعمول استفاده میکنند.
#آکادمی_روزبه
مقاله امشب
هانت رفتار مخرب که از طریق سرویس انجام شده است
#آکادمی_روزبه
https://www.group-ib.com/blog/hunting-rituals-windows-services-part-1/
هانت رفتار مخرب که از طریق سرویس انجام شده است
#آکادمی_روزبه
https://www.group-ib.com/blog/hunting-rituals-windows-services-part-1/
Group-IB
Hunting Rituals #2: Threat hunting for abuse of Windows Services
Actionable guide to hunting for the Windows Services abuse by using Group-IB MXDR. Part 1: Creation/modification of Windows Services
برای متروی امشب اینو پیشنهاد میدم بخونید
از CISA؛ مجموعه از تکنیک و تاکتیک عملی و اجرا شده گروه هکری علیه زیرساختهای آمریکا
#آکادمی_روزبه
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
از CISA؛ مجموعه از تکنیک و تاکتیک عملی و اجرا شده گروه هکری علیه زیرساختهای آمریکا
#آکادمی_روزبه
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
نکته ی روز
فایروال با UTM متفاوت است. وقتی UTM خریده اید یعنی چند ماژول روی فایروال دارید مثلا :
ماژول IPS
ماژول آنتی ویروس
ماژول وب فیلتر
اینها نیاز دارند دائمی( هرروز یا بهتر بگم ساعتی ) اپ دیت شوند . به روزرسانی اینها با به روز رسانی فریم ور UTM متفاوت است . برای فریم ور شاید چند ماه یکبار باید انجام شود ولی برای مقولات فوق در زمان پایینی باید انجام شود .
#مهم #تجربه
#آکادمی_روزبه
فایروال با UTM متفاوت است. وقتی UTM خریده اید یعنی چند ماژول روی فایروال دارید مثلا :
ماژول IPS
ماژول آنتی ویروس
ماژول وب فیلتر
اینها نیاز دارند دائمی( هرروز یا بهتر بگم ساعتی ) اپ دیت شوند . به روزرسانی اینها با به روز رسانی فریم ور UTM متفاوت است . برای فریم ور شاید چند ماه یکبار باید انجام شود ولی برای مقولات فوق در زمان پایینی باید انجام شود .
#مهم #تجربه
#آکادمی_روزبه
اکسپلویت و ضد آن در کرنل
#آکادمی_روزبه
https://grsecurity.net/exploiting_and_defending_against_same_type_object_reuse
#آکادمی_روزبه
https://grsecurity.net/exploiting_and_defending_against_same_type_object_reuse
grsecurity.net
Canary in the Kernel Mine: Exploiting and Defending Against Same-Type Object Reuse
This blog covers a difficult-to-defend subclass of use-after-free vulnerabilities in the Linux kernel, grsecurity's defense for it, and why our defense required compiler plugin involvement. Included PoC exploits demonstrate the power and simplicity of this…
فردا ، پنج شنبه ساعت ۱۲:۳۰
دوره آنلاین مدرک عالی مدیریت امنیت سایبری ISSMP در سراسر ایران
را شروع میکنیم .
برای پیوستن به ما : واتس اپ 09902857290
#آکادمی_روزبه
دوره آنلاین مدرک عالی مدیریت امنیت سایبری ISSMP در سراسر ایران
را شروع میکنیم .
برای پیوستن به ما : واتس اپ 09902857290
#آکادمی_روزبه
06-ai-article-m-trends-2024.pdf
149.2 KB
کوتاه اما مهم
مقالات مندینت را باید خواند
این از آنهایی است که حتما باید خواند
استفاده از هوش مصنوعی در تیم های قرمز و بنفش
#آکادمی_روزبه
مقالات مندینت را باید خواند
این از آنهایی است که حتما باید خواند
استفاده از هوش مصنوعی در تیم های قرمز و بنفش
#آکادمی_روزبه