بررسی پیش بینی های سایبری در اروپا، خاورمیانه و آفریقا
وبیناری از مندینت
#آکادمی_روزبه
https://www.brighttalk.com/webcast/17758/629438?utm_source=social_organic_marketing&utm_medium=linkedin&utm_campaign=629438&linkId=11860348
وبیناری از مندینت
#آکادمی_روزبه
https://www.brighttalk.com/webcast/17758/629438?utm_source=social_organic_marketing&utm_medium=linkedin&utm_campaign=629438&linkId=11860348
BrightTALK
Google Cloud EMEA Cybersecurity Forecast 2025
Cyber threats are constantly evolving. Learn how to stay ahead of them in 2025 with security expert Jamie Collier.
Join this deep-dive session based on the Cybersecurity Forecast 2025 report, where we will cover key trends and insights to help strengthen…
Join this deep-dive session based on the Cybersecurity Forecast 2025 report, where we will cover key trends and insights to help strengthen…
بررسی ابزارها در کالی نسخه جدید
#آکادمی_روزبه
https://medium.com/offensive-black-hat-hacking-security/kali-new-release-2024-3-explore-11-new-tools-for-hacking-37e571a6434b
#آکادمی_روزبه
https://medium.com/offensive-black-hat-hacking-security/kali-new-release-2024-3-explore-11-new-tools-for-hacking-37e571a6434b
Medium
Kali New Release 2024.3 | Explore 11 New Tools for Hacking
Advanced Penetration Testing using Kali Linux | Hacker Associate
این هفته پنج شنبه
ساعت ۱۲:۳۰
دوره آنلاین ISSMP را پس از چند دوره حضوری سازمانی
برگزار میکنم.
امیدوارم این حرکتی باشد برای نشر دانش مدیریت امنیت در ایران.
برای هماهنگی کلاسهای من به واتس اپ زیر پیام دهید 09902857290
❇️ برای اطلاع بیشتر :
دوره ISSMP به زیرمجموعه ای از مدرک CISSP میپردازد که تمرکز در حوزه مدیریت دارد. در این دوره بخش مدیریت و حکمرانی از سرفصل CISSP باز میشود و با انجام بررسی های عمیق تر و مثالهای بیشتر سعی میشود مساله مدیریت و معماری مدیریتی سازمان به دقت شکافته و تحلیل شود. لذا در دوره ISSMP به بخشی از سرفصل دوره CISSP نگاه میاندازیم ولی آنرا عمیق تر و تخصصی تر بررسی میکنیم.
#آکادمی_روزبه
ساعت ۱۲:۳۰
دوره آنلاین ISSMP را پس از چند دوره حضوری سازمانی
برگزار میکنم.
امیدوارم این حرکتی باشد برای نشر دانش مدیریت امنیت در ایران.
برای هماهنگی کلاسهای من به واتس اپ زیر پیام دهید 09902857290
❇️ برای اطلاع بیشتر :
دوره ISSMP به زیرمجموعه ای از مدرک CISSP میپردازد که تمرکز در حوزه مدیریت دارد. در این دوره بخش مدیریت و حکمرانی از سرفصل CISSP باز میشود و با انجام بررسی های عمیق تر و مثالهای بیشتر سعی میشود مساله مدیریت و معماری مدیریتی سازمان به دقت شکافته و تحلیل شود. لذا در دوره ISSMP به بخشی از سرفصل دوره CISSP نگاه میاندازیم ولی آنرا عمیق تر و تخصصی تر بررسی میکنیم.
#آکادمی_روزبه
گروه های هکری که خود در انجام هک ماهر هستند ؛ چطور شناسایی میشوند؟
چطور گروهی به ایران و گروهی به کشورهای دیگر منتسب میگردد؟
#آکادمی_روزبه
یکی از راههای شناخت شناسایی زیرساخت مورد استفاده این گروه ها است
https://www.embeeresearch.io/combining-pivot-points-to-identify-malware-infrastructure-redline-smokeloader-and-cobalt-strike/
چطور گروهی به ایران و گروهی به کشورهای دیگر منتسب میگردد؟
#آکادمی_روزبه
یکی از راههای شناخت شناسایی زیرساخت مورد استفاده این گروه ها است
https://www.embeeresearch.io/combining-pivot-points-to-identify-malware-infrastructure-redline-smokeloader-and-cobalt-strike/
Embee Research
Combining Pivot Points to Identify Malware Infrastructure - Redline, Smokeloader and Cobalt Strike
Identifying Malware infrastructure by combining weak pivot points.
مقاله نمونه و انتخابی امشب
مقایسه تلمتری ( ثبت اثر) در ویندوز و لینوکس
#آکادمی_روزبه
https://readmedium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e
مقایسه تلمتری ( ثبت اثر) در ویندوز و لینوکس
#آکادمی_روزبه
https://readmedium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e
Readmedium
Telemetry on Linux vs. Windows: A Comparative Analysis
A look at how Windows and Linux manage telemetry to support incident response operations.
آشنایی با Auditd در لینوکس برای تیم آبی خیلی واجبه .
یک لینک میگذارم که هم از چیستی و رفتار Auditd دید میده هم مثال داره
تمیز باید خونده بشه.
به بخش سیستم کال توجهتون رو جلب میکنم که نکات خوبی داره
** هم توی مقاله و هم در چند مخزن گیت هاب میتونین تمپلیت های مرتبط را پیدا کنید.
#آکادمی_روزبه
https://www.elastic.co/security-labs/linux-detection-engineering-with-auditd
یک لینک میگذارم که هم از چیستی و رفتار Auditd دید میده هم مثال داره
تمیز باید خونده بشه.
به بخش سیستم کال توجهتون رو جلب میکنم که نکات خوبی داره
** هم توی مقاله و هم در چند مخزن گیت هاب میتونین تمپلیت های مرتبط را پیدا کنید.
#آکادمی_روزبه
https://www.elastic.co/security-labs/linux-detection-engineering-with-auditd
www.elastic.co
Linux detection engineering with Auditd — Elastic Security Labs
In this article, learn more about using Auditd and Auditd Manager for detection engineering.
پیرو مقاله فوق یک مروری داشته باشیم بر پایش سیستم کال :
پایش سیستمکالها (System Calls) به دلایل مختلفی در امنیت سایبری اهمیت دارد. سیستمکالها رابطی بین برنامههای کاربر و هسته سیستمعامل (Kernel) هستند و هرگونه تعامل مستقیم با سختافزار، حافظه و منابع سیستم از این طریق انجام میشود.
در ادامه به دلایل اهمیت پایش سیستمکالها میپردازیم:
۱- شناسایی رفتارهای غیرعادی و بدافزارها
- شناسایی حملات Zero-Day: بدافزارها و حملات روز-صفر اغلب از الگوهای غیرمعمول سیستمکال استفاده میکنند. با پایش این الگوها، میتوان رفتارهای غیرعادی را شناسایی کرد.
- شناسایی بدافزارهای مبتنی بر حافظه (Fileless Malware): این نوع بدافزارها فایل ایجاد نمیکنند لذا نمیتوانید روی دیسک دنبال آنها باشید و از حافظه سیستم استفاده میکنند، اما برای اجرا به سیستمکالها نیاز دارند. بنابراین، پایش سیستمکالها راهی برای شناسایی این بدافزارهاست.
۲-تشخیص و جلوگیری از حملات پیشرفته
- جلوگیری از حملات باجافزار (Ransomware):با پایش دسترسی به فایلها و سیستمکالهای مرتبط با نوشتن فایلها، میتوان از رمزگذاری غیرمجاز فایلها جلوگیری کرد.
- محافظت در برابر حملات فراخوانی کدهای مخرب:
حملات کد مخرب (مانند ROP - Return Oriented Programming) از سیستمکالها برای دور زدن کنترلهای امنیتی استفاده میکنند. پایش سیستمکالها میتواند این حملات را تشخیص دهد.
۳-تحلیل رفتار برنامهها و کنترل دسترسی
- شناسایی رفتار غیرمجاز برنامهها:اگر یک برنامه مجاز اقدام به اجرای سیستمکالی کند که خارج از رفتارهای معمول آن است (مثل اجرای Bash از یک برنامه کاربری)، این رفتار مشکوک تلقی میشود.
- مدیریت دسترسی (Access Control): برخی مکانیزمهای کنترل دسترسی (مانند SELinux) پایش و محدودیت دسترسی به سیستمکالها را به عنوان یک سیاست امنیتی اعمال میکنند.
۴-تقویت قابلیتهای شناسایی در SIEM/SOC
- اطلاعرسانی به SIEM/SOC: با ارسال لاگهای سیستمکال به SIEM (مثلاً Splunk) میتوان الگوهای مشکوک را شناسایی کرد. این اطلاعات برای تحلیلگران امنیتی بسیار ارزشمند است.
- تشخیص ناهنجاری (Anomaly Detection): ابزارهای پیشرفته SIEM، مانند Splunk ، از سیستمکالها برای تشخیص رفتارهای غیرمعمول استفاده میکنند.
#آکادمی_روزبه
پایش سیستمکالها (System Calls) به دلایل مختلفی در امنیت سایبری اهمیت دارد. سیستمکالها رابطی بین برنامههای کاربر و هسته سیستمعامل (Kernel) هستند و هرگونه تعامل مستقیم با سختافزار، حافظه و منابع سیستم از این طریق انجام میشود.
در ادامه به دلایل اهمیت پایش سیستمکالها میپردازیم:
۱- شناسایی رفتارهای غیرعادی و بدافزارها
- شناسایی حملات Zero-Day: بدافزارها و حملات روز-صفر اغلب از الگوهای غیرمعمول سیستمکال استفاده میکنند. با پایش این الگوها، میتوان رفتارهای غیرعادی را شناسایی کرد.
- شناسایی بدافزارهای مبتنی بر حافظه (Fileless Malware): این نوع بدافزارها فایل ایجاد نمیکنند لذا نمیتوانید روی دیسک دنبال آنها باشید و از حافظه سیستم استفاده میکنند، اما برای اجرا به سیستمکالها نیاز دارند. بنابراین، پایش سیستمکالها راهی برای شناسایی این بدافزارهاست.
۲-تشخیص و جلوگیری از حملات پیشرفته
- جلوگیری از حملات باجافزار (Ransomware):با پایش دسترسی به فایلها و سیستمکالهای مرتبط با نوشتن فایلها، میتوان از رمزگذاری غیرمجاز فایلها جلوگیری کرد.
- محافظت در برابر حملات فراخوانی کدهای مخرب:
حملات کد مخرب (مانند ROP - Return Oriented Programming) از سیستمکالها برای دور زدن کنترلهای امنیتی استفاده میکنند. پایش سیستمکالها میتواند این حملات را تشخیص دهد.
۳-تحلیل رفتار برنامهها و کنترل دسترسی
- شناسایی رفتار غیرمجاز برنامهها:اگر یک برنامه مجاز اقدام به اجرای سیستمکالی کند که خارج از رفتارهای معمول آن است (مثل اجرای Bash از یک برنامه کاربری)، این رفتار مشکوک تلقی میشود.
- مدیریت دسترسی (Access Control): برخی مکانیزمهای کنترل دسترسی (مانند SELinux) پایش و محدودیت دسترسی به سیستمکالها را به عنوان یک سیاست امنیتی اعمال میکنند.
۴-تقویت قابلیتهای شناسایی در SIEM/SOC
- اطلاعرسانی به SIEM/SOC: با ارسال لاگهای سیستمکال به SIEM (مثلاً Splunk) میتوان الگوهای مشکوک را شناسایی کرد. این اطلاعات برای تحلیلگران امنیتی بسیار ارزشمند است.
- تشخیص ناهنجاری (Anomaly Detection): ابزارهای پیشرفته SIEM، مانند Splunk ، از سیستمکالها برای تشخیص رفتارهای غیرمعمول استفاده میکنند.
#آکادمی_روزبه
مقاله امشب
هانت رفتار مخرب که از طریق سرویس انجام شده است
#آکادمی_روزبه
https://www.group-ib.com/blog/hunting-rituals-windows-services-part-1/
هانت رفتار مخرب که از طریق سرویس انجام شده است
#آکادمی_روزبه
https://www.group-ib.com/blog/hunting-rituals-windows-services-part-1/
Group-IB
Hunting Rituals #2: Threat hunting for abuse of Windows Services
Actionable guide to hunting for the Windows Services abuse by using Group-IB MXDR. Part 1: Creation/modification of Windows Services
برای متروی امشب اینو پیشنهاد میدم بخونید
از CISA؛ مجموعه از تکنیک و تاکتیک عملی و اجرا شده گروه هکری علیه زیرساختهای آمریکا
#آکادمی_روزبه
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
از CISA؛ مجموعه از تکنیک و تاکتیک عملی و اجرا شده گروه هکری علیه زیرساختهای آمریکا
#آکادمی_روزبه
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
نکته ی روز
فایروال با UTM متفاوت است. وقتی UTM خریده اید یعنی چند ماژول روی فایروال دارید مثلا :
ماژول IPS
ماژول آنتی ویروس
ماژول وب فیلتر
اینها نیاز دارند دائمی( هرروز یا بهتر بگم ساعتی ) اپ دیت شوند . به روزرسانی اینها با به روز رسانی فریم ور UTM متفاوت است . برای فریم ور شاید چند ماه یکبار باید انجام شود ولی برای مقولات فوق در زمان پایینی باید انجام شود .
#مهم #تجربه
#آکادمی_روزبه
فایروال با UTM متفاوت است. وقتی UTM خریده اید یعنی چند ماژول روی فایروال دارید مثلا :
ماژول IPS
ماژول آنتی ویروس
ماژول وب فیلتر
اینها نیاز دارند دائمی( هرروز یا بهتر بگم ساعتی ) اپ دیت شوند . به روزرسانی اینها با به روز رسانی فریم ور UTM متفاوت است . برای فریم ور شاید چند ماه یکبار باید انجام شود ولی برای مقولات فوق در زمان پایینی باید انجام شود .
#مهم #تجربه
#آکادمی_روزبه
اکسپلویت و ضد آن در کرنل
#آکادمی_روزبه
https://grsecurity.net/exploiting_and_defending_against_same_type_object_reuse
#آکادمی_روزبه
https://grsecurity.net/exploiting_and_defending_against_same_type_object_reuse
grsecurity.net
Canary in the Kernel Mine: Exploiting and Defending Against Same-Type Object Reuse
This blog covers a difficult-to-defend subclass of use-after-free vulnerabilities in the Linux kernel, grsecurity's defense for it, and why our defense required compiler plugin involvement. Included PoC exploits demonstrate the power and simplicity of this…
فردا ، پنج شنبه ساعت ۱۲:۳۰
دوره آنلاین مدرک عالی مدیریت امنیت سایبری ISSMP در سراسر ایران
را شروع میکنیم .
برای پیوستن به ما : واتس اپ 09902857290
#آکادمی_روزبه
دوره آنلاین مدرک عالی مدیریت امنیت سایبری ISSMP در سراسر ایران
را شروع میکنیم .
برای پیوستن به ما : واتس اپ 09902857290
#آکادمی_روزبه
06-ai-article-m-trends-2024.pdf
149.2 KB
کوتاه اما مهم
مقالات مندینت را باید خواند
این از آنهایی است که حتما باید خواند
استفاده از هوش مصنوعی در تیم های قرمز و بنفش
#آکادمی_روزبه
مقالات مندینت را باید خواند
این از آنهایی است که حتما باید خواند
استفاده از هوش مصنوعی در تیم های قرمز و بنفش
#آکادمی_روزبه
گزارش موردی هانت
#آکادمی_روزبه
https://intel471.com/blog/threat-hunting-case-study-cozy-bear?utm_content=319130195&utm_medium=social&utm_source=linkedin&hss_channel=lcp-3744600
#آکادمی_روزبه
https://intel471.com/blog/threat-hunting-case-study-cozy-bear?utm_content=319130195&utm_medium=social&utm_source=linkedin&hss_channel=lcp-3744600
Intel 471
Threat hunting case study: Cozy Bear
Cozy Bear is a Russian, state-sponsored group that has conducted operations on behalf of Russia’s Foreign Intelligence Service aka SVR. Here's how to use…
یکی از جامع ترین مقالات در زمینه ATT&CK Navigator
مطالعه کردم و دیدم بسیار جامع و خوب مطلب رو شرح داده و مثال زده
توجه : لطفا از نسخه لوکال برای کارهای عملیاتی استفاده کنید که شرح نصب و استفاده از اون هم در مقاله اومده
#آکادمی_روزبه
https://kravensecurity.com/attack-navigator/
مطالعه کردم و دیدم بسیار جامع و خوب مطلب رو شرح داده و مثال زده
توجه : لطفا از نسخه لوکال برای کارهای عملیاتی استفاده کنید که شرح نصب و استفاده از اون هم در مقاله اومده
#آکادمی_روزبه
https://kravensecurity.com/attack-navigator/
Kraven Security
The ATT&CK Navigator: A Powerful Tool For Visualizing Cyber Attacks - Kraven Security
Unlock the power of the ATT&CK Navigator, discover its many use cases, and learn to visualize and map attack techniques through a user-friendly interface.
درس جمعه
سوال :
☘️اولا لینک زیر را یک هکر استفاده میکند تا اسکریپت توسط تیم آبی خوانده نشود و ناخوانا بماند را مطالعه کنید تا قضیه دستتان بیاید.
☘️❓️دوم سوال : اصولا چرا باید در سیستم عامل اجازه درهم ریزی دستورات و اسکریپت ها وجود داشته باشد ؟
☘️🍁سوم : اگرچه بازیابی این دستورات درهم ریخته سخت است ولی در فارنزیک قابلیت انجام وجود دارد . روش انجام به شرح زیر :
1. بازیابی از حافظه (Memory Forensics)
هنگامی که یک اسکریپت باینری کامپایل شده اجرا میشود، سیستم عامل باید آن را به حافظه منتقل کند. این به این معناست که دستورهای اصلی شل (Shell commands) ممکن است در حافظه ذخیره شوند.
ابزارهایی مانند Volatility یا Memdumpبرای گرفتن دامپ حافظه استفاده کنید.
2. مهندسی معکوس فایل باینری (Binary Reverse Engineering)
با استفاده از مهندسی معکوس، میتوان تلاش کرد تا منطق برنامه را بازسازی کرد.
2. استفاده از disassembler/decompiler
- از ابزارهایی مانند Ghidra یا Radare2 یا IDA Proاستفاده کنید.
3. تحلیل فایلهای موقت و کش
هنگام اجرای یک فایل باینری، سیستمعامل ممکن است فایلهای موقت یا کشایجاد کند. گاهی اوقات، کد اصلی اسکریپت در این فایلها قابل مشاهده است.
4. ردیابی فرآیندهای در حال اجرا (Live Forensics)
اگر سیستم هنوز در حال اجرا باشد و اسکریپت مخرب همچنان در حال اجرا باشد، میتوانید از ابزارهای نظارتی استفاده کنید.
5. تحلیل استاتیک (Static Analysis)
تحلیل استاتیک به معنای بررسی باینری بدون اجرای آن است.
6. تحلیل ساختار
ELF (Executable and Linkable Format)
#آکادمی_روزبه
Shell Script Compiler (shc) is a tool that converts shell scripts (like .sh files) into binary executable files.
https://dfir.ch/posts/shell_script_compiler/
سوال :
☘️اولا لینک زیر را یک هکر استفاده میکند تا اسکریپت توسط تیم آبی خوانده نشود و ناخوانا بماند را مطالعه کنید تا قضیه دستتان بیاید.
☘️❓️دوم سوال : اصولا چرا باید در سیستم عامل اجازه درهم ریزی دستورات و اسکریپت ها وجود داشته باشد ؟
☘️🍁سوم : اگرچه بازیابی این دستورات درهم ریخته سخت است ولی در فارنزیک قابلیت انجام وجود دارد . روش انجام به شرح زیر :
1. بازیابی از حافظه (Memory Forensics)
هنگامی که یک اسکریپت باینری کامپایل شده اجرا میشود، سیستم عامل باید آن را به حافظه منتقل کند. این به این معناست که دستورهای اصلی شل (Shell commands) ممکن است در حافظه ذخیره شوند.
ابزارهایی مانند Volatility یا Memdumpبرای گرفتن دامپ حافظه استفاده کنید.
2. مهندسی معکوس فایل باینری (Binary Reverse Engineering)
با استفاده از مهندسی معکوس، میتوان تلاش کرد تا منطق برنامه را بازسازی کرد.
2. استفاده از disassembler/decompiler
- از ابزارهایی مانند Ghidra یا Radare2 یا IDA Proاستفاده کنید.
3. تحلیل فایلهای موقت و کش
هنگام اجرای یک فایل باینری، سیستمعامل ممکن است فایلهای موقت یا کشایجاد کند. گاهی اوقات، کد اصلی اسکریپت در این فایلها قابل مشاهده است.
4. ردیابی فرآیندهای در حال اجرا (Live Forensics)
اگر سیستم هنوز در حال اجرا باشد و اسکریپت مخرب همچنان در حال اجرا باشد، میتوانید از ابزارهای نظارتی استفاده کنید.
5. تحلیل استاتیک (Static Analysis)
تحلیل استاتیک به معنای بررسی باینری بدون اجرای آن است.
6. تحلیل ساختار
ELF (Executable and Linkable Format)
#آکادمی_روزبه
Shell Script Compiler (shc) is a tool that converts shell scripts (like .sh files) into binary executable files.
https://dfir.ch/posts/shell_script_compiler/
dfir.ch
Shell Script Compiler (shc) | dfir.ch
Technical blog by Stephan Berger (@malmoeb)
ویدئوی کاربردی از حملات علیه اکتیو دایرکتوری همراه با راهکار های جلوگیری
مناسب برای ادمین ها و امنیت چی ها
#آکادمی_روزبه
حملاتی که میتوانند کل سازمان را در یک ساعت از پای درآورند
https://m.youtube.com/watch?v=M-2d3sM3I2o
مناسب برای ادمین ها و امنیت چی ها
#آکادمی_روزبه
حملاتی که میتوانند کل سازمان را در یک ساعت از پای درآورند
https://m.youtube.com/watch?v=M-2d3sM3I2o