مقاله امشب
هانت رفتار مخرب که از طریق سرویس انجام شده است
#آکادمی_روزبه
https://www.group-ib.com/blog/hunting-rituals-windows-services-part-1/
هانت رفتار مخرب که از طریق سرویس انجام شده است
#آکادمی_روزبه
https://www.group-ib.com/blog/hunting-rituals-windows-services-part-1/
Group-IB
Hunting Rituals #2: Threat hunting for abuse of Windows Services
Actionable guide to hunting for the Windows Services abuse by using Group-IB MXDR. Part 1: Creation/modification of Windows Services
برای متروی امشب اینو پیشنهاد میدم بخونید
از CISA؛ مجموعه از تکنیک و تاکتیک عملی و اجرا شده گروه هکری علیه زیرساختهای آمریکا
#آکادمی_روزبه
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
از CISA؛ مجموعه از تکنیک و تاکتیک عملی و اجرا شده گروه هکری علیه زیرساختهای آمریکا
#آکادمی_روزبه
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
نکته ی روز
فایروال با UTM متفاوت است. وقتی UTM خریده اید یعنی چند ماژول روی فایروال دارید مثلا :
ماژول IPS
ماژول آنتی ویروس
ماژول وب فیلتر
اینها نیاز دارند دائمی( هرروز یا بهتر بگم ساعتی ) اپ دیت شوند . به روزرسانی اینها با به روز رسانی فریم ور UTM متفاوت است . برای فریم ور شاید چند ماه یکبار باید انجام شود ولی برای مقولات فوق در زمان پایینی باید انجام شود .
#مهم #تجربه
#آکادمی_روزبه
فایروال با UTM متفاوت است. وقتی UTM خریده اید یعنی چند ماژول روی فایروال دارید مثلا :
ماژول IPS
ماژول آنتی ویروس
ماژول وب فیلتر
اینها نیاز دارند دائمی( هرروز یا بهتر بگم ساعتی ) اپ دیت شوند . به روزرسانی اینها با به روز رسانی فریم ور UTM متفاوت است . برای فریم ور شاید چند ماه یکبار باید انجام شود ولی برای مقولات فوق در زمان پایینی باید انجام شود .
#مهم #تجربه
#آکادمی_روزبه
اکسپلویت و ضد آن در کرنل
#آکادمی_روزبه
https://grsecurity.net/exploiting_and_defending_against_same_type_object_reuse
#آکادمی_روزبه
https://grsecurity.net/exploiting_and_defending_against_same_type_object_reuse
grsecurity.net
Canary in the Kernel Mine: Exploiting and Defending Against Same-Type Object Reuse
This blog covers a difficult-to-defend subclass of use-after-free vulnerabilities in the Linux kernel, grsecurity's defense for it, and why our defense required compiler plugin involvement. Included PoC exploits demonstrate the power and simplicity of this…
فردا ، پنج شنبه ساعت ۱۲:۳۰
دوره آنلاین مدرک عالی مدیریت امنیت سایبری ISSMP در سراسر ایران
را شروع میکنیم .
برای پیوستن به ما : واتس اپ 09902857290
#آکادمی_روزبه
دوره آنلاین مدرک عالی مدیریت امنیت سایبری ISSMP در سراسر ایران
را شروع میکنیم .
برای پیوستن به ما : واتس اپ 09902857290
#آکادمی_روزبه
06-ai-article-m-trends-2024.pdf
149.2 KB
کوتاه اما مهم
مقالات مندینت را باید خواند
این از آنهایی است که حتما باید خواند
استفاده از هوش مصنوعی در تیم های قرمز و بنفش
#آکادمی_روزبه
مقالات مندینت را باید خواند
این از آنهایی است که حتما باید خواند
استفاده از هوش مصنوعی در تیم های قرمز و بنفش
#آکادمی_روزبه
گزارش موردی هانت
#آکادمی_روزبه
https://intel471.com/blog/threat-hunting-case-study-cozy-bear?utm_content=319130195&utm_medium=social&utm_source=linkedin&hss_channel=lcp-3744600
#آکادمی_روزبه
https://intel471.com/blog/threat-hunting-case-study-cozy-bear?utm_content=319130195&utm_medium=social&utm_source=linkedin&hss_channel=lcp-3744600
Intel 471
Threat hunting case study: Cozy Bear
Cozy Bear is a Russian, state-sponsored group that has conducted operations on behalf of Russia’s Foreign Intelligence Service aka SVR. Here's how to use…
یکی از جامع ترین مقالات در زمینه ATT&CK Navigator
مطالعه کردم و دیدم بسیار جامع و خوب مطلب رو شرح داده و مثال زده
توجه : لطفا از نسخه لوکال برای کارهای عملیاتی استفاده کنید که شرح نصب و استفاده از اون هم در مقاله اومده
#آکادمی_روزبه
https://kravensecurity.com/attack-navigator/
مطالعه کردم و دیدم بسیار جامع و خوب مطلب رو شرح داده و مثال زده
توجه : لطفا از نسخه لوکال برای کارهای عملیاتی استفاده کنید که شرح نصب و استفاده از اون هم در مقاله اومده
#آکادمی_روزبه
https://kravensecurity.com/attack-navigator/
Kraven Security
The ATT&CK Navigator: A Powerful Tool For Visualizing Cyber Attacks - Kraven Security
Unlock the power of the ATT&CK Navigator, discover its many use cases, and learn to visualize and map attack techniques through a user-friendly interface.
درس جمعه
سوال :
☘️اولا لینک زیر را یک هکر استفاده میکند تا اسکریپت توسط تیم آبی خوانده نشود و ناخوانا بماند را مطالعه کنید تا قضیه دستتان بیاید.
☘️❓️دوم سوال : اصولا چرا باید در سیستم عامل اجازه درهم ریزی دستورات و اسکریپت ها وجود داشته باشد ؟
☘️🍁سوم : اگرچه بازیابی این دستورات درهم ریخته سخت است ولی در فارنزیک قابلیت انجام وجود دارد . روش انجام به شرح زیر :
1. بازیابی از حافظه (Memory Forensics)
هنگامی که یک اسکریپت باینری کامپایل شده اجرا میشود، سیستم عامل باید آن را به حافظه منتقل کند. این به این معناست که دستورهای اصلی شل (Shell commands) ممکن است در حافظه ذخیره شوند.
ابزارهایی مانند Volatility یا Memdumpبرای گرفتن دامپ حافظه استفاده کنید.
2. مهندسی معکوس فایل باینری (Binary Reverse Engineering)
با استفاده از مهندسی معکوس، میتوان تلاش کرد تا منطق برنامه را بازسازی کرد.
2. استفاده از disassembler/decompiler
- از ابزارهایی مانند Ghidra یا Radare2 یا IDA Proاستفاده کنید.
3. تحلیل فایلهای موقت و کش
هنگام اجرای یک فایل باینری، سیستمعامل ممکن است فایلهای موقت یا کشایجاد کند. گاهی اوقات، کد اصلی اسکریپت در این فایلها قابل مشاهده است.
4. ردیابی فرآیندهای در حال اجرا (Live Forensics)
اگر سیستم هنوز در حال اجرا باشد و اسکریپت مخرب همچنان در حال اجرا باشد، میتوانید از ابزارهای نظارتی استفاده کنید.
5. تحلیل استاتیک (Static Analysis)
تحلیل استاتیک به معنای بررسی باینری بدون اجرای آن است.
6. تحلیل ساختار
ELF (Executable and Linkable Format)
#آکادمی_روزبه
Shell Script Compiler (shc) is a tool that converts shell scripts (like .sh files) into binary executable files.
https://dfir.ch/posts/shell_script_compiler/
سوال :
☘️اولا لینک زیر را یک هکر استفاده میکند تا اسکریپت توسط تیم آبی خوانده نشود و ناخوانا بماند را مطالعه کنید تا قضیه دستتان بیاید.
☘️❓️دوم سوال : اصولا چرا باید در سیستم عامل اجازه درهم ریزی دستورات و اسکریپت ها وجود داشته باشد ؟
☘️🍁سوم : اگرچه بازیابی این دستورات درهم ریخته سخت است ولی در فارنزیک قابلیت انجام وجود دارد . روش انجام به شرح زیر :
1. بازیابی از حافظه (Memory Forensics)
هنگامی که یک اسکریپت باینری کامپایل شده اجرا میشود، سیستم عامل باید آن را به حافظه منتقل کند. این به این معناست که دستورهای اصلی شل (Shell commands) ممکن است در حافظه ذخیره شوند.
ابزارهایی مانند Volatility یا Memdumpبرای گرفتن دامپ حافظه استفاده کنید.
2. مهندسی معکوس فایل باینری (Binary Reverse Engineering)
با استفاده از مهندسی معکوس، میتوان تلاش کرد تا منطق برنامه را بازسازی کرد.
2. استفاده از disassembler/decompiler
- از ابزارهایی مانند Ghidra یا Radare2 یا IDA Proاستفاده کنید.
3. تحلیل فایلهای موقت و کش
هنگام اجرای یک فایل باینری، سیستمعامل ممکن است فایلهای موقت یا کشایجاد کند. گاهی اوقات، کد اصلی اسکریپت در این فایلها قابل مشاهده است.
4. ردیابی فرآیندهای در حال اجرا (Live Forensics)
اگر سیستم هنوز در حال اجرا باشد و اسکریپت مخرب همچنان در حال اجرا باشد، میتوانید از ابزارهای نظارتی استفاده کنید.
5. تحلیل استاتیک (Static Analysis)
تحلیل استاتیک به معنای بررسی باینری بدون اجرای آن است.
6. تحلیل ساختار
ELF (Executable and Linkable Format)
#آکادمی_روزبه
Shell Script Compiler (shc) is a tool that converts shell scripts (like .sh files) into binary executable files.
https://dfir.ch/posts/shell_script_compiler/
dfir.ch
Shell Script Compiler (shc) | dfir.ch
Technical blog by Stephan Berger (@malmoeb)
ویدئوی کاربردی از حملات علیه اکتیو دایرکتوری همراه با راهکار های جلوگیری
مناسب برای ادمین ها و امنیت چی ها
#آکادمی_روزبه
حملاتی که میتوانند کل سازمان را در یک ساعت از پای درآورند
https://m.youtube.com/watch?v=M-2d3sM3I2o
مناسب برای ادمین ها و امنیت چی ها
#آکادمی_روزبه
حملاتی که میتوانند کل سازمان را در یک ساعت از پای درآورند
https://m.youtube.com/watch?v=M-2d3sM3I2o
پادکست های امنیتی تیم آبی
#آکادمی_روزبه
https://player.fm/podcasts/blue-team
انتخاب هفته :
https://open.spotify.com/episode/0PyDY3aZIt9iNXjrQCE5sJ?si=1SnIdXZOQKSB9k56Ccv1IA&t=38
#آکادمی_روزبه
https://player.fm/podcasts/blue-team
انتخاب هفته :
https://open.spotify.com/episode/0PyDY3aZIt9iNXjrQCE5sJ?si=1SnIdXZOQKSB9k56Ccv1IA&t=38
player.fm
Blue Team Podcasts
👍1
دوستان
نه هواخواه لینوکس باشید نه ویندوز
پیگیری کنید کجا امن نیستید آنرا حل کنید
فعلا مشکل در لینوکس را بخوانیم
#آکادمی_روزبه
https://cybersecuritynews.com/stealthy-linux-malware-pumakit/amp/
نه هواخواه لینوکس باشید نه ویندوز
پیگیری کنید کجا امن نیستید آنرا حل کنید
فعلا مشکل در لینوکس را بخوانیم
#آکادمی_روزبه
https://cybersecuritynews.com/stealthy-linux-malware-pumakit/amp/
Cyber Security News
New Stealthy Linux Malware PUMAKIT With Unique Privilege Escalation Methods
Security researchers at Elastic Security Labs have uncovered a sophisticated Linux malware dubbed PUMAKIT, which employs advanced stealth techniques and unique privilege escalation methods to maintain persistence on infected systems.
اگر قرار است گزارش تحلیلی نخوانید بهتر است به شغلی غیر از SOC فکر کنید
#آکادمی_روزبه
https://www.trendmicro.com/en_us/research/24/l/darkgate-malware.html
#آکادمی_روزبه
https://www.trendmicro.com/en_us/research/24/l/darkgate-malware.html
Trend Micro
Vishing via Microsoft Teams Facilitates DarkGate Malware Intrusion
Windows User Account Forensics.pdf
4.4 MB
فارنزیک اکانت در ویندوز
مقاله هفته
Navigating the matrix
https://www.linkedin.com/pulse/navigating-matrix-rob-van-os-f51we?utm_source=share&utm_medium=member_android&utm_campaign=share_via
Navigating the matrix
https://www.linkedin.com/pulse/navigating-matrix-rob-van-os-f51we?utm_source=share&utm_medium=member_android&utm_campaign=share_via
Linkedin
Navigating the matrix
Applying MITRE ATT&CK matrix effectively is a challenge for many SOCs due to its complexity. This article explores a threat-based approach to optimizing your detection capabilities