معماری امن سازمان

مقاله ای از ISACA

https://www.isaca.org/resources/isaca-journal/issues/2017/volume-4/enterprise-security-architecturea-top-down-approach

@Engineer_Computer

در بخشی از عملیات هک ؛ دستور whoami لازم است تا ببینی که هستی

اما

رولها در SOC و جرم شناسان بسیار به این کلمه حساس هستند لذا
راهکارهای جایگزین :

** واقعا خلاقیت چه ها که نمی‌کند!!

https://github.com/ricardojoserf/WhoamiAlternatives/

@Engineer_Computer

آخرین کتاب +Security
آماده برای چاپ در سال 2024

#Securityplus
@Engineer_Computer

☑️مدل مرجع امنیت شبکه های کنترل صنعتی در وندورهای مختلف اتوماسیون صنعتی

@Engineer_Computer

‏⭕️‏Memory Patcher ای نوشته شده است که با استفاده از تکنیک API Hooking، تغییراتی در سیستم مورد نظر اعمال می‌کند. این ابزار ویژگی‌های زیر را داراست:

‏1. Anti Debugging: ‏Disables specific anti-debugging mechanisms to facilitate debugging in certain scenarios.

‏2. BSoD (Blue Screen of Death): ‏Prevents or mitigates potential causes leading to system crashes or blue screen errors

‏3. BlockInput:‏Controls the system's input-blocking functionality to manage or bypass certain input restrictions.

‏4. FindWindow:‏Modifies the behavior of the FindWindow API function for specific use cases

#RedTeam #MalDev
@Engineer_Computer

‏⭕️ اسکریپتی با استفاده از پاورشل نوشته شده است و برای IR و Threat Hunting در ویندوز مناسب است.
با استفاده از این اسکریپت، می‌توان به سرعت لیستی از موارد زیر را بررسی کرد:
‏

‏General information
‏Accountand group information
‏Network
‏Process Information
‏OS Build and HOTFIXE
‏Persistence
‏HARDWARE Information
‏ Encryption information
‏FIREWALL INFORMATION‏
‏Services
‏History
‏SMB Queries
‏Remoting queries
‏REGISTRY Analysis
‏LOG queries
‏Instllation of Software
‏User activity
بعلاوه، با استفاده از کوئری‌های پیشرفته، موارد زیر نیز قابل بررسی هستند:
‏ Prefetch file information
‏DLL List
‏WMI filters and consumers

‏
#DFIR #ThreatHunting
@Engineer_Computer

‏⭕️‏Fuzzer ای بر روی شبیه ساز SIMICS نوشته شده که قابلیت فاز کردن UEFI اپلیکیشن ها،bootloader ها،BIOS،کرنل ماژول ها، device firmware ها و حتی برنامه های سطح یوزر ویندوز و لینوکس را دارد.
از قابلیت ها و ویژگی های آن میتوان مثال زد:
‏

‏Edge coverage guided
‏Snapshotting (fully deterministic)
‏Parallel fuzzing (across cores, machines soon)
‏Easy to add to existing SIMICS projects
‏Triage mode to reproduce and debug crashes
‏Modern fuzzing methodologies:
‏ Redqueen/I2S taint-based mutation
‏MOpt & Auto-token mutations
‏TSFFS is focused on several primary use cases:
‏UEFI and BIOS code, particulary based on EDKII
‏Pre- and early-silicon firmware and device drivers
‏Hardware-dependent kernel and firmware code
‏Fuzzing for complex error conditions
‏However, TSFFS is also capable of fuzzing:
‏Kernel & kernel drivers
‏User-space applications
‏Network applications

#Exploitation #Fuzzing
@Engineer_Computer

⭕️ The #ASIS #CTF Final 2023 is set for December 29-30! 🗓️ Calling all CTFers to join in for an epic showdown and compete against each other in the last CTF of the year!
asisctf.com
💻🏆 #ASISCTF #CTF2023 #CaptureTheFlag #InfoSec


https://twitter.com/ASIS_CTF/status/1737872564372885928?t=ZpU8ITLKi2erAfRB2-tjCQ&s=19

@Engineer_Computer

دانشگاه فردوسی مشهد
جذب پژوهشگر در سیستم های خودران

https://docs.google.com/forms/u/0/d/e/1FAIpQLScvnNLelZKsFPUjJXFKziY5g496eN0shMqgOCT0AkuDv8Y03w/viewform?usp=sf_link&fbclid=PAAaZh8ex0KXtUovYo-cPjXLxqBsu02zViUzKlrlJ09ncdyA0FPBywzw4Wkm8&pli=1

@Engineer_Computer

گزارش پدافند غیر عامل درمورد هک جایگاه‌های سوخت

دلیل تقریبی نفوذ ؛ آسیب پذیری شبکه پرداخت بانک عنوان شده است

صریحا در مورد معرفی متخلفین به مراجع قضایی اعلام نظر شده است

@Engineer_Computer

پی نوشت: با توجه به سخنان رئیس اتحادیه جایگاه داران ؛ انحصار در درگاه پرداخت باعث عدم اقدامات بموقع شده است.

https://paydarymelli.ir/fa/news/74051/%D8%A7%D8%B1%D8%B3%D8%A7%D9%84-%DA%AF%D8%B2%D8%A7%D8%B1%D8%B4-%D9%81%D9%86%DB%8C-%D8%AD%D9%85%D9%84%D9%87-%D8%A8%D9%87-%D8%B3%D8%A7%D9%85%D8%A7%D9%86%D9%87-%D8%B3%D9%88%D8%AE%D8%AA-%D8%A8%D9%87-%D9%85%D8%B1%D8%A7%D8%AC%D8%B9-%D9%82%D8%B6%D8%A7%DB%8C%DB%8C%D8%AC%D8%B1%D9%85-%D8%A7%D9%86%DA%AF%D8%A7%D8%B1%DB%8C-%D9%82%D8%A7%D9%86%D9%88%D9%86-%D8%AC%D8%AF%DB%8C%D8%AF-%D8%A8%D8%B1%D8%A7%DB%8C-%D9%85%D8%AA%D8%AE%D9%84%D9%81%DB%8C%D9%86-%D9%88-%D9%85%D8%B3%D8%AA%D9%86%DA%A9%D9%81%DB%8C%D9%86-%D8%A7%D8%B2-%D8%B6%D9%88%D8%A7%D8%A8%D8%B7-%D9%BE%D8%AF%D8%A7%D9%81%D9%86%D8%AF-%D8%BA%DB%8C%D8%B1%D8%B9%D8%A7%D9%85%D9%84

نسخه جدید از sigmahq

https://blog.sigmahq.io/sigmahq-rules-release-highlights-r2023-12-21-5b138e370528

@Engineer_Computer

حمله علیه EDR

با دراختیار داشتن یک EDR و در تعامل با تولید کننده

https://her0ness.github.io/2023-08-03-c2-Attacking-an-EDR-Part-1/

@Engineer_Computer

دور زدن AMSI روی ویندوز ۱۱

https://gustavshen.medium.com/bypass-amsi-on-windows-11-75d231b2cac6

@Engineer_Computer

Malware analysis
Ransomware and Extortion Report 2023.

Special Thanks
Palo Alto Networks
Palo Alto Networks Education Services
And
Unit42

@Engineer_Computer

سوالات مصاحبه SOC

#SOC #SOC_ANALYSIS
#Cybersecurity #cyberdefense

@Engineer_Computer

⭕️ شرکت امنیتی Hudson Rock یک گزارش تهیه کرده و نوشته سیستم یکی از کارمندان شرکت اسنپ فود به بدافزار StealC آلوده شده و از طریق اون دسترسی به اطلاعات پیدا کردند.

یکی از مشکلات شرکت ها و سازمان های ایران رو به شکل خیلی ساده و خلاصه میشه یا همین روش ها هک کرد.
دلیل اصلی هم نبود متخصص و دیدگاه مدیریت اشتباه هستش.
مثلا همه فکر میکنند که کار Blue Team توی سازمان ، این هست که چندتا مانیتورینگ نصب کنند و یه دوره اسپلانک توی اکادمی فلانی ثبت نام کنند و بعنوان Soc کار استخدامی بشن.
کل تیم رو میذاری روی Network Packet Analysis و هیچکدوم نمیتونند یک کار مفیدی انجام بدن پکت ها رو تحلیل کنند.
نکته مهم اینه امروزه تحلیلگر بدافزار نیاز قطعی هر شرکت و سازمانی هست ولی متاسفانه بخاطر نبود مدیر لایق و فنی و ترویج بیسوادی در جامعه به سمت اسکریپت کیددی ساختن توی حوزه Bug Bounty که فقط وب رو مبنای همه چیز قرار میدن ، باعث شده سازمان و شرکت و هرجایی اینطور موارد رو میبینه دیگه به بحثهای عمیق امنیت توجهی نداشته باشه.
اگر اسنپ فود با این روش که استیلر روی سیستم یکی از کارمندهاش بوده و هک شده بنظرم یک بار دیگه از صفر کل زیرساخت شرکت و تمام نیروی انسانی چه فنی چه اداری و غیره ، همه رو آموزش بدید و یک Review بزنید کل سیستم های اینها رو.
هدف قرار دادن کارمندهایی که دسترسی بیشتری در سازمان دارن ، توی پروژه های Red Team معمولا تعریف میشه ، چیزی که اسنپ فود و کل تیم اسنپ همچین موردی نداشتن و شایدم ما هیچوقت ندیدیم همچین چیزهایی ازشون.
درهرصورت اگه توی یک کمپانی که داری محصول و دیتا هست کار میکنید، بدنیست بجز اون شرکت امنیتی یا تیم امنیتی که پیمانکارِ ثابت شما هست ، سالی یک بار یه پروژه Red Team بدید خارج از این اکیپ های خودتون بلکه اقدام مناسبی جهت امنیت شرکت و سازمان خودتون داشته باشید.

https://www.infostealers.com/article/mysterious-hacker-strikes-iran-with-major-cyberattacks-against-industry-leading-companies/
#هک #اسنپ_فود #دیتا
@Engineer_Computer