آشنایی با Auditd در لینوکس برای تیم آبی خیلی واجبه .
یک لینک میگذارم که هم از چیستی و رفتار Auditd دید میده هم مثال داره
تمیز باید خونده بشه.
به بخش سیستم کال توجهتون رو جلب میکنم که نکات خوبی داره
** هم توی مقاله و هم در چند مخزن گیت هاب میتونین تمپلیت های مرتبط را پیدا کنید.
#آکادمی_روزبه
https://www.elastic.co/security-labs/linux-detection-engineering-with-auditd
یک لینک میگذارم که هم از چیستی و رفتار Auditd دید میده هم مثال داره
تمیز باید خونده بشه.
به بخش سیستم کال توجهتون رو جلب میکنم که نکات خوبی داره
** هم توی مقاله و هم در چند مخزن گیت هاب میتونین تمپلیت های مرتبط را پیدا کنید.
#آکادمی_روزبه
https://www.elastic.co/security-labs/linux-detection-engineering-with-auditd
www.elastic.co
Linux detection engineering with Auditd — Elastic Security Labs
In this article, learn more about using Auditd and Auditd Manager for detection engineering.
پیرو مقاله فوق یک مروری داشته باشیم بر پایش سیستم کال :
پایش سیستمکالها (System Calls) به دلایل مختلفی در امنیت سایبری اهمیت دارد. سیستمکالها رابطی بین برنامههای کاربر و هسته سیستمعامل (Kernel) هستند و هرگونه تعامل مستقیم با سختافزار، حافظه و منابع سیستم از این طریق انجام میشود.
در ادامه به دلایل اهمیت پایش سیستمکالها میپردازیم:
۱- شناسایی رفتارهای غیرعادی و بدافزارها
- شناسایی حملات Zero-Day: بدافزارها و حملات روز-صفر اغلب از الگوهای غیرمعمول سیستمکال استفاده میکنند. با پایش این الگوها، میتوان رفتارهای غیرعادی را شناسایی کرد.
- شناسایی بدافزارهای مبتنی بر حافظه (Fileless Malware): این نوع بدافزارها فایل ایجاد نمیکنند لذا نمیتوانید روی دیسک دنبال آنها باشید و از حافظه سیستم استفاده میکنند، اما برای اجرا به سیستمکالها نیاز دارند. بنابراین، پایش سیستمکالها راهی برای شناسایی این بدافزارهاست.
۲-تشخیص و جلوگیری از حملات پیشرفته
- جلوگیری از حملات باجافزار (Ransomware):با پایش دسترسی به فایلها و سیستمکالهای مرتبط با نوشتن فایلها، میتوان از رمزگذاری غیرمجاز فایلها جلوگیری کرد.
- محافظت در برابر حملات فراخوانی کدهای مخرب:
حملات کد مخرب (مانند ROP - Return Oriented Programming) از سیستمکالها برای دور زدن کنترلهای امنیتی استفاده میکنند. پایش سیستمکالها میتواند این حملات را تشخیص دهد.
۳-تحلیل رفتار برنامهها و کنترل دسترسی
- شناسایی رفتار غیرمجاز برنامهها:اگر یک برنامه مجاز اقدام به اجرای سیستمکالی کند که خارج از رفتارهای معمول آن است (مثل اجرای Bash از یک برنامه کاربری)، این رفتار مشکوک تلقی میشود.
- مدیریت دسترسی (Access Control): برخی مکانیزمهای کنترل دسترسی (مانند SELinux) پایش و محدودیت دسترسی به سیستمکالها را به عنوان یک سیاست امنیتی اعمال میکنند.
۴-تقویت قابلیتهای شناسایی در SIEM/SOC
- اطلاعرسانی به SIEM/SOC: با ارسال لاگهای سیستمکال به SIEM (مثلاً Splunk) میتوان الگوهای مشکوک را شناسایی کرد. این اطلاعات برای تحلیلگران امنیتی بسیار ارزشمند است.
- تشخیص ناهنجاری (Anomaly Detection): ابزارهای پیشرفته SIEM، مانند Splunk ، از سیستمکالها برای تشخیص رفتارهای غیرمعمول استفاده میکنند.
#آکادمی_روزبه
پایش سیستمکالها (System Calls) به دلایل مختلفی در امنیت سایبری اهمیت دارد. سیستمکالها رابطی بین برنامههای کاربر و هسته سیستمعامل (Kernel) هستند و هرگونه تعامل مستقیم با سختافزار، حافظه و منابع سیستم از این طریق انجام میشود.
در ادامه به دلایل اهمیت پایش سیستمکالها میپردازیم:
۱- شناسایی رفتارهای غیرعادی و بدافزارها
- شناسایی حملات Zero-Day: بدافزارها و حملات روز-صفر اغلب از الگوهای غیرمعمول سیستمکال استفاده میکنند. با پایش این الگوها، میتوان رفتارهای غیرعادی را شناسایی کرد.
- شناسایی بدافزارهای مبتنی بر حافظه (Fileless Malware): این نوع بدافزارها فایل ایجاد نمیکنند لذا نمیتوانید روی دیسک دنبال آنها باشید و از حافظه سیستم استفاده میکنند، اما برای اجرا به سیستمکالها نیاز دارند. بنابراین، پایش سیستمکالها راهی برای شناسایی این بدافزارهاست.
۲-تشخیص و جلوگیری از حملات پیشرفته
- جلوگیری از حملات باجافزار (Ransomware):با پایش دسترسی به فایلها و سیستمکالهای مرتبط با نوشتن فایلها، میتوان از رمزگذاری غیرمجاز فایلها جلوگیری کرد.
- محافظت در برابر حملات فراخوانی کدهای مخرب:
حملات کد مخرب (مانند ROP - Return Oriented Programming) از سیستمکالها برای دور زدن کنترلهای امنیتی استفاده میکنند. پایش سیستمکالها میتواند این حملات را تشخیص دهد.
۳-تحلیل رفتار برنامهها و کنترل دسترسی
- شناسایی رفتار غیرمجاز برنامهها:اگر یک برنامه مجاز اقدام به اجرای سیستمکالی کند که خارج از رفتارهای معمول آن است (مثل اجرای Bash از یک برنامه کاربری)، این رفتار مشکوک تلقی میشود.
- مدیریت دسترسی (Access Control): برخی مکانیزمهای کنترل دسترسی (مانند SELinux) پایش و محدودیت دسترسی به سیستمکالها را به عنوان یک سیاست امنیتی اعمال میکنند.
۴-تقویت قابلیتهای شناسایی در SIEM/SOC
- اطلاعرسانی به SIEM/SOC: با ارسال لاگهای سیستمکال به SIEM (مثلاً Splunk) میتوان الگوهای مشکوک را شناسایی کرد. این اطلاعات برای تحلیلگران امنیتی بسیار ارزشمند است.
- تشخیص ناهنجاری (Anomaly Detection): ابزارهای پیشرفته SIEM، مانند Splunk ، از سیستمکالها برای تشخیص رفتارهای غیرمعمول استفاده میکنند.
#آکادمی_روزبه
مقاله امشب
هانت رفتار مخرب که از طریق سرویس انجام شده است
#آکادمی_روزبه
https://www.group-ib.com/blog/hunting-rituals-windows-services-part-1/
هانت رفتار مخرب که از طریق سرویس انجام شده است
#آکادمی_روزبه
https://www.group-ib.com/blog/hunting-rituals-windows-services-part-1/
Group-IB
Hunting Rituals #2: Threat hunting for abuse of Windows Services
Actionable guide to hunting for the Windows Services abuse by using Group-IB MXDR. Part 1: Creation/modification of Windows Services
برای متروی امشب اینو پیشنهاد میدم بخونید
از CISA؛ مجموعه از تکنیک و تاکتیک عملی و اجرا شده گروه هکری علیه زیرساختهای آمریکا
#آکادمی_روزبه
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
از CISA؛ مجموعه از تکنیک و تاکتیک عملی و اجرا شده گروه هکری علیه زیرساختهای آمریکا
#آکادمی_روزبه
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
نکته ی روز
فایروال با UTM متفاوت است. وقتی UTM خریده اید یعنی چند ماژول روی فایروال دارید مثلا :
ماژول IPS
ماژول آنتی ویروس
ماژول وب فیلتر
اینها نیاز دارند دائمی( هرروز یا بهتر بگم ساعتی ) اپ دیت شوند . به روزرسانی اینها با به روز رسانی فریم ور UTM متفاوت است . برای فریم ور شاید چند ماه یکبار باید انجام شود ولی برای مقولات فوق در زمان پایینی باید انجام شود .
#مهم #تجربه
#آکادمی_روزبه
فایروال با UTM متفاوت است. وقتی UTM خریده اید یعنی چند ماژول روی فایروال دارید مثلا :
ماژول IPS
ماژول آنتی ویروس
ماژول وب فیلتر
اینها نیاز دارند دائمی( هرروز یا بهتر بگم ساعتی ) اپ دیت شوند . به روزرسانی اینها با به روز رسانی فریم ور UTM متفاوت است . برای فریم ور شاید چند ماه یکبار باید انجام شود ولی برای مقولات فوق در زمان پایینی باید انجام شود .
#مهم #تجربه
#آکادمی_روزبه
اکسپلویت و ضد آن در کرنل
#آکادمی_روزبه
https://grsecurity.net/exploiting_and_defending_against_same_type_object_reuse
#آکادمی_روزبه
https://grsecurity.net/exploiting_and_defending_against_same_type_object_reuse
grsecurity.net
Canary in the Kernel Mine: Exploiting and Defending Against Same-Type Object Reuse
This blog covers a difficult-to-defend subclass of use-after-free vulnerabilities in the Linux kernel, grsecurity's defense for it, and why our defense required compiler plugin involvement. Included PoC exploits demonstrate the power and simplicity of this…
فردا ، پنج شنبه ساعت ۱۲:۳۰
دوره آنلاین مدرک عالی مدیریت امنیت سایبری ISSMP در سراسر ایران
را شروع میکنیم .
برای پیوستن به ما : واتس اپ 09902857290
#آکادمی_روزبه
دوره آنلاین مدرک عالی مدیریت امنیت سایبری ISSMP در سراسر ایران
را شروع میکنیم .
برای پیوستن به ما : واتس اپ 09902857290
#آکادمی_روزبه
06-ai-article-m-trends-2024.pdf
149.2 KB
کوتاه اما مهم
مقالات مندینت را باید خواند
این از آنهایی است که حتما باید خواند
استفاده از هوش مصنوعی در تیم های قرمز و بنفش
#آکادمی_روزبه
مقالات مندینت را باید خواند
این از آنهایی است که حتما باید خواند
استفاده از هوش مصنوعی در تیم های قرمز و بنفش
#آکادمی_روزبه
گزارش موردی هانت
#آکادمی_روزبه
https://intel471.com/blog/threat-hunting-case-study-cozy-bear?utm_content=319130195&utm_medium=social&utm_source=linkedin&hss_channel=lcp-3744600
#آکادمی_روزبه
https://intel471.com/blog/threat-hunting-case-study-cozy-bear?utm_content=319130195&utm_medium=social&utm_source=linkedin&hss_channel=lcp-3744600
Intel 471
Threat hunting case study: Cozy Bear
Cozy Bear is a Russian, state-sponsored group that has conducted operations on behalf of Russia’s Foreign Intelligence Service aka SVR. Here's how to use…
یکی از جامع ترین مقالات در زمینه ATT&CK Navigator
مطالعه کردم و دیدم بسیار جامع و خوب مطلب رو شرح داده و مثال زده
توجه : لطفا از نسخه لوکال برای کارهای عملیاتی استفاده کنید که شرح نصب و استفاده از اون هم در مقاله اومده
#آکادمی_روزبه
https://kravensecurity.com/attack-navigator/
مطالعه کردم و دیدم بسیار جامع و خوب مطلب رو شرح داده و مثال زده
توجه : لطفا از نسخه لوکال برای کارهای عملیاتی استفاده کنید که شرح نصب و استفاده از اون هم در مقاله اومده
#آکادمی_روزبه
https://kravensecurity.com/attack-navigator/
Kraven Security
The ATT&CK Navigator: A Powerful Tool For Visualizing Cyber Attacks - Kraven Security
Unlock the power of the ATT&CK Navigator, discover its many use cases, and learn to visualize and map attack techniques through a user-friendly interface.
درس جمعه
سوال :
☘️اولا لینک زیر را یک هکر استفاده میکند تا اسکریپت توسط تیم آبی خوانده نشود و ناخوانا بماند را مطالعه کنید تا قضیه دستتان بیاید.
☘️❓️دوم سوال : اصولا چرا باید در سیستم عامل اجازه درهم ریزی دستورات و اسکریپت ها وجود داشته باشد ؟
☘️🍁سوم : اگرچه بازیابی این دستورات درهم ریخته سخت است ولی در فارنزیک قابلیت انجام وجود دارد . روش انجام به شرح زیر :
1. بازیابی از حافظه (Memory Forensics)
هنگامی که یک اسکریپت باینری کامپایل شده اجرا میشود، سیستم عامل باید آن را به حافظه منتقل کند. این به این معناست که دستورهای اصلی شل (Shell commands) ممکن است در حافظه ذخیره شوند.
ابزارهایی مانند Volatility یا Memdumpبرای گرفتن دامپ حافظه استفاده کنید.
2. مهندسی معکوس فایل باینری (Binary Reverse Engineering)
با استفاده از مهندسی معکوس، میتوان تلاش کرد تا منطق برنامه را بازسازی کرد.
2. استفاده از disassembler/decompiler
- از ابزارهایی مانند Ghidra یا Radare2 یا IDA Proاستفاده کنید.
3. تحلیل فایلهای موقت و کش
هنگام اجرای یک فایل باینری، سیستمعامل ممکن است فایلهای موقت یا کشایجاد کند. گاهی اوقات، کد اصلی اسکریپت در این فایلها قابل مشاهده است.
4. ردیابی فرآیندهای در حال اجرا (Live Forensics)
اگر سیستم هنوز در حال اجرا باشد و اسکریپت مخرب همچنان در حال اجرا باشد، میتوانید از ابزارهای نظارتی استفاده کنید.
5. تحلیل استاتیک (Static Analysis)
تحلیل استاتیک به معنای بررسی باینری بدون اجرای آن است.
6. تحلیل ساختار
ELF (Executable and Linkable Format)
#آکادمی_روزبه
Shell Script Compiler (shc) is a tool that converts shell scripts (like .sh files) into binary executable files.
https://dfir.ch/posts/shell_script_compiler/
سوال :
☘️اولا لینک زیر را یک هکر استفاده میکند تا اسکریپت توسط تیم آبی خوانده نشود و ناخوانا بماند را مطالعه کنید تا قضیه دستتان بیاید.
☘️❓️دوم سوال : اصولا چرا باید در سیستم عامل اجازه درهم ریزی دستورات و اسکریپت ها وجود داشته باشد ؟
☘️🍁سوم : اگرچه بازیابی این دستورات درهم ریخته سخت است ولی در فارنزیک قابلیت انجام وجود دارد . روش انجام به شرح زیر :
1. بازیابی از حافظه (Memory Forensics)
هنگامی که یک اسکریپت باینری کامپایل شده اجرا میشود، سیستم عامل باید آن را به حافظه منتقل کند. این به این معناست که دستورهای اصلی شل (Shell commands) ممکن است در حافظه ذخیره شوند.
ابزارهایی مانند Volatility یا Memdumpبرای گرفتن دامپ حافظه استفاده کنید.
2. مهندسی معکوس فایل باینری (Binary Reverse Engineering)
با استفاده از مهندسی معکوس، میتوان تلاش کرد تا منطق برنامه را بازسازی کرد.
2. استفاده از disassembler/decompiler
- از ابزارهایی مانند Ghidra یا Radare2 یا IDA Proاستفاده کنید.
3. تحلیل فایلهای موقت و کش
هنگام اجرای یک فایل باینری، سیستمعامل ممکن است فایلهای موقت یا کشایجاد کند. گاهی اوقات، کد اصلی اسکریپت در این فایلها قابل مشاهده است.
4. ردیابی فرآیندهای در حال اجرا (Live Forensics)
اگر سیستم هنوز در حال اجرا باشد و اسکریپت مخرب همچنان در حال اجرا باشد، میتوانید از ابزارهای نظارتی استفاده کنید.
5. تحلیل استاتیک (Static Analysis)
تحلیل استاتیک به معنای بررسی باینری بدون اجرای آن است.
6. تحلیل ساختار
ELF (Executable and Linkable Format)
#آکادمی_روزبه
Shell Script Compiler (shc) is a tool that converts shell scripts (like .sh files) into binary executable files.
https://dfir.ch/posts/shell_script_compiler/
dfir.ch
Shell Script Compiler (shc) | dfir.ch
Technical blog by Stephan Berger (@malmoeb)
ویدئوی کاربردی از حملات علیه اکتیو دایرکتوری همراه با راهکار های جلوگیری
مناسب برای ادمین ها و امنیت چی ها
#آکادمی_روزبه
حملاتی که میتوانند کل سازمان را در یک ساعت از پای درآورند
https://m.youtube.com/watch?v=M-2d3sM3I2o
مناسب برای ادمین ها و امنیت چی ها
#آکادمی_روزبه
حملاتی که میتوانند کل سازمان را در یک ساعت از پای درآورند
https://m.youtube.com/watch?v=M-2d3sM3I2o
پادکست های امنیتی تیم آبی
#آکادمی_روزبه
https://player.fm/podcasts/blue-team
انتخاب هفته :
https://open.spotify.com/episode/0PyDY3aZIt9iNXjrQCE5sJ?si=1SnIdXZOQKSB9k56Ccv1IA&t=38
#آکادمی_روزبه
https://player.fm/podcasts/blue-team
انتخاب هفته :
https://open.spotify.com/episode/0PyDY3aZIt9iNXjrQCE5sJ?si=1SnIdXZOQKSB9k56Ccv1IA&t=38
player.fm
Blue Team Podcasts
👍1
دوستان
نه هواخواه لینوکس باشید نه ویندوز
پیگیری کنید کجا امن نیستید آنرا حل کنید
فعلا مشکل در لینوکس را بخوانیم
#آکادمی_روزبه
https://cybersecuritynews.com/stealthy-linux-malware-pumakit/amp/
نه هواخواه لینوکس باشید نه ویندوز
پیگیری کنید کجا امن نیستید آنرا حل کنید
فعلا مشکل در لینوکس را بخوانیم
#آکادمی_روزبه
https://cybersecuritynews.com/stealthy-linux-malware-pumakit/amp/
Cyber Security News
New Stealthy Linux Malware PUMAKIT With Unique Privilege Escalation Methods
Security researchers at Elastic Security Labs have uncovered a sophisticated Linux malware dubbed PUMAKIT, which employs advanced stealth techniques and unique privilege escalation methods to maintain persistence on infected systems.
اگر قرار است گزارش تحلیلی نخوانید بهتر است به شغلی غیر از SOC فکر کنید
#آکادمی_روزبه
https://www.trendmicro.com/en_us/research/24/l/darkgate-malware.html
#آکادمی_روزبه
https://www.trendmicro.com/en_us/research/24/l/darkgate-malware.html
Trend Micro
Vishing via Microsoft Teams Facilitates DarkGate Malware Intrusion