درس جمعه
سوال :
☘️اولا لینک زیر را یک هکر استفاده میکند تا اسکریپت توسط تیم آبی خوانده نشود و ناخوانا بماند را مطالعه کنید تا قضیه دستتان بیاید.
☘️❓️دوم سوال : اصولا چرا باید در سیستم عامل اجازه درهم ریزی دستورات و اسکریپت ها وجود داشته باشد ؟
☘️🍁سوم : اگرچه بازیابی این دستورات درهم ریخته سخت است ولی در فارنزیک قابلیت انجام وجود دارد . روش انجام به شرح زیر :
1. بازیابی از حافظه (Memory Forensics)
هنگامی که یک اسکریپت باینری کامپایل شده اجرا میشود، سیستم عامل باید آن را به حافظه منتقل کند. این به این معناست که دستورهای اصلی شل (Shell commands) ممکن است در حافظه ذخیره شوند.
ابزارهایی مانند Volatility یا Memdumpبرای گرفتن دامپ حافظه استفاده کنید.
2. مهندسی معکوس فایل باینری (Binary Reverse Engineering)
با استفاده از مهندسی معکوس، میتوان تلاش کرد تا منطق برنامه را بازسازی کرد.
2. استفاده از disassembler/decompiler
- از ابزارهایی مانند Ghidra یا Radare2 یا IDA Proاستفاده کنید.
3. تحلیل فایلهای موقت و کش
هنگام اجرای یک فایل باینری، سیستمعامل ممکن است فایلهای موقت یا کشایجاد کند. گاهی اوقات، کد اصلی اسکریپت در این فایلها قابل مشاهده است.
4. ردیابی فرآیندهای در حال اجرا (Live Forensics)
اگر سیستم هنوز در حال اجرا باشد و اسکریپت مخرب همچنان در حال اجرا باشد، میتوانید از ابزارهای نظارتی استفاده کنید.
5. تحلیل استاتیک (Static Analysis)
تحلیل استاتیک به معنای بررسی باینری بدون اجرای آن است.
6. تحلیل ساختار
ELF (Executable and Linkable Format)
#آکادمی_روزبه
Shell Script Compiler (shc) is a tool that converts shell scripts (like .sh files) into binary executable files.
https://dfir.ch/posts/shell_script_compiler/
سوال :
☘️اولا لینک زیر را یک هکر استفاده میکند تا اسکریپت توسط تیم آبی خوانده نشود و ناخوانا بماند را مطالعه کنید تا قضیه دستتان بیاید.
☘️❓️دوم سوال : اصولا چرا باید در سیستم عامل اجازه درهم ریزی دستورات و اسکریپت ها وجود داشته باشد ؟
☘️🍁سوم : اگرچه بازیابی این دستورات درهم ریخته سخت است ولی در فارنزیک قابلیت انجام وجود دارد . روش انجام به شرح زیر :
1. بازیابی از حافظه (Memory Forensics)
هنگامی که یک اسکریپت باینری کامپایل شده اجرا میشود، سیستم عامل باید آن را به حافظه منتقل کند. این به این معناست که دستورهای اصلی شل (Shell commands) ممکن است در حافظه ذخیره شوند.
ابزارهایی مانند Volatility یا Memdumpبرای گرفتن دامپ حافظه استفاده کنید.
2. مهندسی معکوس فایل باینری (Binary Reverse Engineering)
با استفاده از مهندسی معکوس، میتوان تلاش کرد تا منطق برنامه را بازسازی کرد.
2. استفاده از disassembler/decompiler
- از ابزارهایی مانند Ghidra یا Radare2 یا IDA Proاستفاده کنید.
3. تحلیل فایلهای موقت و کش
هنگام اجرای یک فایل باینری، سیستمعامل ممکن است فایلهای موقت یا کشایجاد کند. گاهی اوقات، کد اصلی اسکریپت در این فایلها قابل مشاهده است.
4. ردیابی فرآیندهای در حال اجرا (Live Forensics)
اگر سیستم هنوز در حال اجرا باشد و اسکریپت مخرب همچنان در حال اجرا باشد، میتوانید از ابزارهای نظارتی استفاده کنید.
5. تحلیل استاتیک (Static Analysis)
تحلیل استاتیک به معنای بررسی باینری بدون اجرای آن است.
6. تحلیل ساختار
ELF (Executable and Linkable Format)
#آکادمی_روزبه
Shell Script Compiler (shc) is a tool that converts shell scripts (like .sh files) into binary executable files.
https://dfir.ch/posts/shell_script_compiler/
dfir.ch
Shell Script Compiler (shc) | dfir.ch
Technical blog by Stephan Berger (@malmoeb)
ویدئوی کاربردی از حملات علیه اکتیو دایرکتوری همراه با راهکار های جلوگیری
مناسب برای ادمین ها و امنیت چی ها
#آکادمی_روزبه
حملاتی که میتوانند کل سازمان را در یک ساعت از پای درآورند
https://m.youtube.com/watch?v=M-2d3sM3I2o
مناسب برای ادمین ها و امنیت چی ها
#آکادمی_روزبه
حملاتی که میتوانند کل سازمان را در یک ساعت از پای درآورند
https://m.youtube.com/watch?v=M-2d3sM3I2o
پادکست های امنیتی تیم آبی
#آکادمی_روزبه
https://player.fm/podcasts/blue-team
انتخاب هفته :
https://open.spotify.com/episode/0PyDY3aZIt9iNXjrQCE5sJ?si=1SnIdXZOQKSB9k56Ccv1IA&t=38
#آکادمی_روزبه
https://player.fm/podcasts/blue-team
انتخاب هفته :
https://open.spotify.com/episode/0PyDY3aZIt9iNXjrQCE5sJ?si=1SnIdXZOQKSB9k56Ccv1IA&t=38
player.fm
Blue Team Podcasts
👍1
دوستان
نه هواخواه لینوکس باشید نه ویندوز
پیگیری کنید کجا امن نیستید آنرا حل کنید
فعلا مشکل در لینوکس را بخوانیم
#آکادمی_روزبه
https://cybersecuritynews.com/stealthy-linux-malware-pumakit/amp/
نه هواخواه لینوکس باشید نه ویندوز
پیگیری کنید کجا امن نیستید آنرا حل کنید
فعلا مشکل در لینوکس را بخوانیم
#آکادمی_روزبه
https://cybersecuritynews.com/stealthy-linux-malware-pumakit/amp/
Cyber Security News
New Stealthy Linux Malware PUMAKIT With Unique Privilege Escalation Methods
Security researchers at Elastic Security Labs have uncovered a sophisticated Linux malware dubbed PUMAKIT, which employs advanced stealth techniques and unique privilege escalation methods to maintain persistence on infected systems.
اگر قرار است گزارش تحلیلی نخوانید بهتر است به شغلی غیر از SOC فکر کنید
#آکادمی_روزبه
https://www.trendmicro.com/en_us/research/24/l/darkgate-malware.html
#آکادمی_روزبه
https://www.trendmicro.com/en_us/research/24/l/darkgate-malware.html
Trend Micro
Vishing via Microsoft Teams Facilitates DarkGate Malware Intrusion
Windows User Account Forensics.pdf
4.4 MB
فارنزیک اکانت در ویندوز
مقاله هفته
Navigating the matrix
https://www.linkedin.com/pulse/navigating-matrix-rob-van-os-f51we?utm_source=share&utm_medium=member_android&utm_campaign=share_via
Navigating the matrix
https://www.linkedin.com/pulse/navigating-matrix-rob-van-os-f51we?utm_source=share&utm_medium=member_android&utm_campaign=share_via
Linkedin
Navigating the matrix
Applying MITRE ATT&CK matrix effectively is a challenge for many SOCs due to its complexity. This article explores a threat-based approach to optimizing your detection capabilities
استفاده از انسیبل برای خودکار سازی بسیاری از امور امنیت فراگیر شده است .
برای آشنایی دانشجویان در دوره عالی مدیریت امنیت سایبری ISSMP در کارگاه این درس ، به تشریح استفاده از انسیبل و همچنین استفاده بصورت امن پرداختم
#آکادمی_روزبه
https://spacelift.io/blog/ansible-best-practices
برای آشنایی دانشجویان در دوره عالی مدیریت امنیت سایبری ISSMP در کارگاه این درس ، به تشریح استفاده از انسیبل و همچنین استفاده بصورت امن پرداختم
#آکادمی_روزبه
https://spacelift.io/blog/ansible-best-practices
Spacelift
50+ Ansible Best Practices to Follow [Tips & Tricks]
In this article, we discuss best practices and tips for setting up Ansible projects and suggest how to effectively manage Ansible’s internals.
فارنزیک کانتینر
https://detect.fyi/adrift-in-the-cloud-a-forensic-dive-into-container-drift-f29524f4f6c4
https://detect.fyi/adrift-in-the-cloud-a-forensic-dive-into-container-drift-f29524f4f6c4
Medium
Adrift in the Cloud: A Forensic Dive into Container Drift
In this discussion, I’ll be diving into container drift detection, specifically, analyzing container drift from a forensics perspective
قدری تامل !
شکل فوق در مورد هانترها و تیم SOC چه میگوید؟
پاسخ سوالاتم را انتهای هر هفته با ریپست کردن بیان میکنم.
#آکادمی_روزبه
شکل فوق در مورد هانترها و تیم SOC چه میگوید؟
پاسخ سوالاتم را انتهای هر هفته با ریپست کردن بیان میکنم.
#آکادمی_روزبه
شما زرنگ تر یا هکر ؟
یادم میاد چند سال پیش گزارشی رو برای بررسی بهم ارجاع داده بودند که لاگهای یک هانی پات پاک شده بود!!
یکی از اصولی که همیشه گفته ام و تدریس کرده ام این بوده که شما بدانید از شما باهوشتر هم در جهان وجود دارد پس در تعبیه چیزی شبیه هانی پات باید دقت بالایی داشته باشید و جزییات را به خوبی در تنظیمات رعایت کنید.
امروزه هم که عملیات هانت را مدیریت میکنم همین مساله را به تیم گوشزد مینمایم. ما در عملیات هانت بصورت پیوسته در حال صحبت با تیم متخاصم و نفوذگر درون سازمان هستیم . یعنی او میفهمد ما چه کرده ایم و ما هم درک میکنیم او چه میکند. این یک روتین در عملیات هانت است. پس دقت در امور در هانت بسیار مهم است و نقطه قوت شما در این تعاملات آن است که در جایی شما چیزی از نفوذگر بدانی و آنرا اخذ کنی و او این را در رد پا که همان پیام شما است درک نکند.
در این میان این نکته را تاکید کنم که هانت این نیست که شما فقط دنبال نفوذگر باشی . او هم ما را میپاید و میتواند دایم روش اجرایی کار را عوض کند .
#آکادمی_روزبه
یادم میاد چند سال پیش گزارشی رو برای بررسی بهم ارجاع داده بودند که لاگهای یک هانی پات پاک شده بود!!
یکی از اصولی که همیشه گفته ام و تدریس کرده ام این بوده که شما بدانید از شما باهوشتر هم در جهان وجود دارد پس در تعبیه چیزی شبیه هانی پات باید دقت بالایی داشته باشید و جزییات را به خوبی در تنظیمات رعایت کنید.
امروزه هم که عملیات هانت را مدیریت میکنم همین مساله را به تیم گوشزد مینمایم. ما در عملیات هانت بصورت پیوسته در حال صحبت با تیم متخاصم و نفوذگر درون سازمان هستیم . یعنی او میفهمد ما چه کرده ایم و ما هم درک میکنیم او چه میکند. این یک روتین در عملیات هانت است. پس دقت در امور در هانت بسیار مهم است و نقطه قوت شما در این تعاملات آن است که در جایی شما چیزی از نفوذگر بدانی و آنرا اخذ کنی و او این را در رد پا که همان پیام شما است درک نکند.
در این میان این نکته را تاکید کنم که هانت این نیست که شما فقط دنبال نفوذگر باشی . او هم ما را میپاید و میتواند دایم روش اجرایی کار را عوض کند .
#آکادمی_روزبه
ترند های آسیب پذیری روز صفر در سال 2024
#آکادمی_روزبه
https://www.csoonline.com/article/3629815/top-7-zero-day-exploitation-trends-of-2024.html
#آکادمی_روزبه
https://www.csoonline.com/article/3629815/top-7-zero-day-exploitation-trends-of-2024.html
CSO Online
Top 7 zero-day exploitation trends of 2024
Unpatched vulnerabilities are always critical means for compromising enterprise systems, but attacker activity around certain zero-day flaws indicate key trends cyber teams should be aware of.
از من به شما توصیه :
هر دوره سنزی که شرکت میکنید ؛ بخواهید مطابق با منوال سنز به شما تدریس بشود. چون حتما خیری بوده و هدفی بوده که اسم دوره اون شده و سنز اون سرفصل رو براش انتخاب کرده .
اگر سنز را قبول نداریم و چیزهایی رو به سرفصل اضافه و کم کرده ایم چرا اسم دوره سنز رو روش گذاشتیم ؟ و اگر سنز رو قبول داریم چرا طبق PDF اون تدریس نمیکنیم؟
روش اینکه بفهمیم سرفصل سنز چیه؛ اول مراجعه به خود سایت سنز هست و دوم این هست که PDF های دوره رو از مدرس بخواهیم.
حالا اگر گفته بشود که سرفصل که در سایت موجود است خیلی جدید هست و PDF برای اون هنوز نیومده ؛ جواب اینه که اکی!! PDF ورژن پایین تر سرلوحه کار قرار بگیره ولی مدرس با توجه به تجربه اش میتونه اون سرفصل های دیگه و جدید رو از منابع دیگه و مطالعه کناری کاور کنه .
خلاصه اینکه یا خودمون سرفصل بدیم و اسمی از سنز نیاوریم یا اگر از وندوری اسم میآوریم کل سرفصل رو کاور کنیم
والسلام
پی نوشت : رفرنس افتا برای سرفصل اکثر دوره های امنیت ؛ دوره های سنز هست .
هر دوره سنزی که شرکت میکنید ؛ بخواهید مطابق با منوال سنز به شما تدریس بشود. چون حتما خیری بوده و هدفی بوده که اسم دوره اون شده و سنز اون سرفصل رو براش انتخاب کرده .
اگر سنز را قبول نداریم و چیزهایی رو به سرفصل اضافه و کم کرده ایم چرا اسم دوره سنز رو روش گذاشتیم ؟ و اگر سنز رو قبول داریم چرا طبق PDF اون تدریس نمیکنیم؟
روش اینکه بفهمیم سرفصل سنز چیه؛ اول مراجعه به خود سایت سنز هست و دوم این هست که PDF های دوره رو از مدرس بخواهیم.
حالا اگر گفته بشود که سرفصل که در سایت موجود است خیلی جدید هست و PDF برای اون هنوز نیومده ؛ جواب اینه که اکی!! PDF ورژن پایین تر سرلوحه کار قرار بگیره ولی مدرس با توجه به تجربه اش میتونه اون سرفصل های دیگه و جدید رو از منابع دیگه و مطالعه کناری کاور کنه .
خلاصه اینکه یا خودمون سرفصل بدیم و اسمی از سنز نیاوریم یا اگر از وندوری اسم میآوریم کل سرفصل رو کاور کنیم
والسلام
پی نوشت : رفرنس افتا برای سرفصل اکثر دوره های امنیت ؛ دوره های سنز هست .
مثال از نمونه هانت
عنوان
شماره
پیشینه
فرضیه هانت
اسکپ و گستره هانت
تکنیک های مورد استفاده
روش انجام کار
منابع داده که برای انجام عملیات هانت مورد نیاز هستند
یک نمونه خوبی هست که بصورت عملی یک دید از هانت و شکار تهدید داشته باشید .
نقطه ثقل مساله؛ فرضیه سازی و بعد تعیین منبع داده برای شکار است
#آکادمی_روزبه
عنوان
شماره
پیشینه
فرضیه هانت
اسکپ و گستره هانت
تکنیک های مورد استفاده
روش انجام کار
منابع داده که برای انجام عملیات هانت مورد نیاز هستند
یک نمونه خوبی هست که بصورت عملی یک دید از هانت و شکار تهدید داشته باشید .
نقطه ثقل مساله؛ فرضیه سازی و بعد تعیین منبع داده برای شکار است
#آکادمی_روزبه
تشخیص سریع Beaconing در C2 امری واجب هست.
اما برخی موارد نیاز به استفاده از ابزارهای آماری و علم داده میباشد
تز زیر خوب به این موضوع پرداخته
#آکادمی_روزبه
https://opus4.kobv.de/opus4-haw/frontdoor/deliver/index/docId/3617/file/I001350222Thesis.pdf
اما برخی موارد نیاز به استفاده از ابزارهای آماری و علم داده میباشد
تز زیر خوب به این موضوع پرداخته
#آکادمی_روزبه
https://opus4.kobv.de/opus4-haw/frontdoor/deliver/index/docId/3617/file/I001350222Thesis.pdf