Red Team Tactics
Hunting for Persistence in Linux
Part 1 - Auditd, Sysmon, Osquery, Webshells
https://pberba.github.io/security/2021/11/22/linux-threat-hunting-for-persistence-sysmon-auditd-webshell
Part 2 - Account Creation and Manipulation
https://pberba.github.io/security/2021/11/23/linux-threat-hunting-for-persistence-account-creation-manipulation
Part 3 - Systemd, Timers, and Cron
https://pberba.github.io/security/2022/01/30/linux-threat-hunting-for-persistence-systemd-timers-cron
Part 4 - Initialization Scripts and Shell Configuration
https://pberba.github.io/security/2022/02/06/linux-threat-hunting-for-persistence-initialization-noscripts-and-shell-configuration
Part 5 - Systemd Generators
https://pberba.github.io/security/2022/02/07/linux-threat-hunting-for-persistence-systemd-generators
@Engineer_Computer
Hunting for Persistence in Linux
Part 1 - Auditd, Sysmon, Osquery, Webshells
https://pberba.github.io/security/2021/11/22/linux-threat-hunting-for-persistence-sysmon-auditd-webshell
Part 2 - Account Creation and Manipulation
https://pberba.github.io/security/2021/11/23/linux-threat-hunting-for-persistence-account-creation-manipulation
Part 3 - Systemd, Timers, and Cron
https://pberba.github.io/security/2022/01/30/linux-threat-hunting-for-persistence-systemd-timers-cron
Part 4 - Initialization Scripts and Shell Configuration
https://pberba.github.io/security/2022/02/06/linux-threat-hunting-for-persistence-initialization-noscripts-and-shell-configuration
Part 5 - Systemd Generators
https://pberba.github.io/security/2022/02/07/linux-threat-hunting-for-persistence-systemd-generators
@Engineer_Computer
pepe berba
Hunting for Persistence in Linux (Part 1): Auditd, Sysmon, Osquery (and Webshells)
An introduction to monitoring and logging in linux to look for persistence.
This media is not supported in your browser
VIEW IN TELEGRAM
بصورت اتفاقی از یک سایت خرید کردم
و یه مقدار کنجکاو شدم و تست Double Spending انجام دادم
و این مشکل امنیتی وجود داشت نه تنها اشتراک را فعال کرد بلکه میتوانستیم به اعضای هر درخواست یه ماه تمدید کرد و برای کاربران دیگر هم قابل استفاده بود
مشکل امنیتی را به وب سایت گزارش دادم
میتوانید ویدیو را مشاهده کنید متوجه میشوید .
"میثم منصف کارشناس امنیت"
@Engineer_Computer
و یه مقدار کنجکاو شدم و تست Double Spending انجام دادم
و این مشکل امنیتی وجود داشت نه تنها اشتراک را فعال کرد بلکه میتوانستیم به اعضای هر درخواست یه ماه تمدید کرد و برای کاربران دیگر هم قابل استفاده بود
مشکل امنیتی را به وب سایت گزارش دادم
میتوانید ویدیو را مشاهده کنید متوجه میشوید .
"میثم منصف کارشناس امنیت"
@Engineer_Computer
Threat Hunting Report Sample.pdf
257.3 KB
نمونه گزارش هانت
@Engineer_Computer
@Engineer_Computer
EU_21_Teodorescu_Veni_No_Vidi_No_Vici_Attacks_On_ETW_Blind_EDRs.pdf
2.7 MB
اسلاید های مدلسازی تهدید علیه ETW ویندوز که در کنفرانس بلک هت ارائه شده است را با هم ببینیم
https://www.blackhat.com/eu-21/briefings/schedule/index.html#veni-no-vidi-no-vici-attacks-on-etw-blind-edr-sensors-24842
@Engineer_Computer
https://www.blackhat.com/eu-21/briefings/schedule/index.html#veni-no-vidi-no-vici-attacks-on-etw-blind-edr-sensors-24842
@Engineer_Computer
مروری بر یک حفره خطرناک و بی توجهی مایکروسافت :
یک محقق ژاپنی چندین بار است حفره ای در Patchguard یا همان KPP ویندوز پیدا میکند ولی مایکروسافت با ذکر اینکه استفاده از این حفره نیاز به سطح دسترسی ادمین دارد؛ آنرا امنیتی نمیداند و اصلاح آنرا پس از مدتی طولانی انجام میدهد.
اما باید توجه داشت اصولا طراحی KPP برای حفاظت در برابر پچ کردن کرنل ویندوز توسط پراسس های با دسترسی بالا انجام شد.
** پچ کردن کرنل : امکان دستکاری برنامه ها در کرنل ویندوز . درسال ۲۰۰۵ ویندوز در نسخه ۶۴ بیتی این امکان را با KPP از بین برد .
https://therecord.media/poc-published-for-new-microsoft-patchguard-kpp-bypass
@Engineer_Computer
یک محقق ژاپنی چندین بار است حفره ای در Patchguard یا همان KPP ویندوز پیدا میکند ولی مایکروسافت با ذکر اینکه استفاده از این حفره نیاز به سطح دسترسی ادمین دارد؛ آنرا امنیتی نمیداند و اصلاح آنرا پس از مدتی طولانی انجام میدهد.
اما باید توجه داشت اصولا طراحی KPP برای حفاظت در برابر پچ کردن کرنل ویندوز توسط پراسس های با دسترسی بالا انجام شد.
** پچ کردن کرنل : امکان دستکاری برنامه ها در کرنل ویندوز . درسال ۲۰۰۵ ویندوز در نسخه ۶۴ بیتی این امکان را با KPP از بین برد .
https://therecord.media/poc-published-for-new-microsoft-patchguard-kpp-bypass
@Engineer_Computer
The Record
PoC published for new Microsoft PatchGuard (KPP) bypass
A security researcher has discovered a bug in PatchGuard––a crucial Windows security feature––that can allow threat actors to load unsigned (malicious) code into the Windows operating system kernel.
❤1👍1
اسکریپ های آماده پاورشل
برای هنگام حضور در صحنه حادثه سایبری
برای جمع آوری شواهد
https://github.com/Bert-JanP/Incident-Response-Powershell
@Engineer_Computer
برای هنگام حضور در صحنه حادثه سایبری
برای جمع آوری شواهد
https://github.com/Bert-JanP/Incident-Response-Powershell
@Engineer_Computer
GitHub
GitHub - Bert-JanP/Incident-Response-Powershell: PowerShell Digital Forensics & Incident Response Scripts.
PowerShell Digital Forensics & Incident Response Scripts. - Bert-JanP/Incident-Response-Powershell
👍1
۲۵ نکته در امن سازی اکتیو دایرکتوری
https://activedirectorypro.com/active-directory-security-best-practices
@Engineer_Computer
https://activedirectorypro.com/active-directory-security-best-practices
@Engineer_Computer
Active Directory Pro
Top 25 Active Directory Security Best Practices
This is the most comprehensive list of Active Directory Security Best Practices online. In this guide, I’ll share my recommendations for Active Directory Security and how you can improve the security…
گزارش تحلیلی آخر هفته
A TECHNICAL ANALYSIS OF THE BACKMYDATA RANSOMWARE USED TO ATTACK HOSPITALS IN ROMANIA
https://cybergeeks.tech/a-technical-analysis-of-the-backmydata-ransomware-used-to-attack-hospitals-in-romania/
@Engineer_Computer
A TECHNICAL ANALYSIS OF THE BACKMYDATA RANSOMWARE USED TO ATTACK HOSPITALS IN ROMANIA
https://cybergeeks.tech/a-technical-analysis-of-the-backmydata-ransomware-used-to-attack-hospitals-in-romania/
@Engineer_Computer
WINDOW & ACTIVE DIRECTORY EXPLOITATION CHEAT SHEET .pdf
4.3 MB
برگه تقلب دستورات نفوذ به ویندوز و اکتیو دایرکتوری
** این مستند یک مستندی خلاصه است و کاربری آموزشی به خودی خود تقریبا ندارد. اما اگر میخواهید از آن استفاده آموزشی داشته باشید میتوانید ابتدا کامند ها را بعنوان هدف برگزیده و سپس در اینترنت، حمله را در مقالات و وبلاگ ها بخوانید تا به آنها مسلط شوید
@Engineer_Computer
** این مستند یک مستندی خلاصه است و کاربری آموزشی به خودی خود تقریبا ندارد. اما اگر میخواهید از آن استفاده آموزشی داشته باشید میتوانید ابتدا کامند ها را بعنوان هدف برگزیده و سپس در اینترنت، حمله را در مقالات و وبلاگ ها بخوانید تا به آنها مسلط شوید
@Engineer_Computer
Extraordinary SOC SIEM Use Cases.pdf
494.3 KB
یوزکیس هایی که برای SIEM باید بدانید
@Engineer_Computer
@Engineer_Computer
کاخ سفید خواستار دستکشیدن از زبانهای آسیبپذیر مانند C و C++
اداره ملی رهبری سایبری دفتر کاخ سفید، در یک گزارش منتشر شده گغت:
دولت باید توسعهدهندگان را به کاهش خطر حملات سایبری تشویق کند و از زبانهای برنامهنویسی استفاده کند که دارای آسیبپذیریهای امنیتی حافظه نیستند.
این گزارش به توسعهدهندگان پیشنهاد میدهد که از زبانهای برنامهنویسی با حافظه امن استفاده کنند، مانند Rust که به عنوان یک مثال از زبانهای امن ذکر شده است.
همچنین، از طرفی اداره امنیت سایبری NSA، زبانهای C#، Go، Java، Ruby و Swift را به عنوان زبانهای برنامهنویسی امن معرفی کرده است.
#خبر
@Engineer_Computer
اداره ملی رهبری سایبری دفتر کاخ سفید، در یک گزارش منتشر شده گغت:
دولت باید توسعهدهندگان را به کاهش خطر حملات سایبری تشویق کند و از زبانهای برنامهنویسی استفاده کند که دارای آسیبپذیریهای امنیتی حافظه نیستند.
این گزارش به توسعهدهندگان پیشنهاد میدهد که از زبانهای برنامهنویسی با حافظه امن استفاده کنند، مانند Rust که به عنوان یک مثال از زبانهای امن ذکر شده است.
همچنین، از طرفی اداره امنیت سایبری NSA، زبانهای C#، Go، Java، Ruby و Swift را به عنوان زبانهای برنامهنویسی امن معرفی کرده است.
#خبر
@Engineer_Computer
Hack Talks #245 | Epic Games Hack | BlackCat Ransomware Attacks | Burger Singh Hacked | Mogilevich
https://youtu.be/NOuTKYbVq3E?si=7rVGgGu5fyRTWjuD
@Engineer_Computer
https://youtu.be/NOuTKYbVq3E?si=7rVGgGu5fyRTWjuD
@Engineer_Computer
YouTube
Hack Talks #245 | Epic Games Hack | BlackCat Ransomware Attacks | Burger Singh Hacked | Mogilevich
Pakistani hacking group Team Insane PK defaced Burger Singh's website and left a defacing message. The company responded by acknowledging the attack and expressing confidence they would overcome it.
@Engineer_Computer
@Engineer_Computer
A researcher has disclosed how he was able to access the personal identifiable information (PII) of potentially 185 million Indian citizens – and create counterfeit driving licenses to boot.
On February 20, student and cybersecurity researcher Robin Justin published a blog post containing the details of vulnerabilities impacting Sarathi Parivahan, the website for India’s Ministry of Road Transport and Highways.
The portal allows citizens to apply for a learner’s permit or driving license. Justin was attempting to apply for the latter when, within minutes, he stumbled upon endpoints with broken access controls and missing authorization checks.
@Engineer_Computer
On February 20, student and cybersecurity researcher Robin Justin published a blog post containing the details of vulnerabilities impacting Sarathi Parivahan, the website for India’s Ministry of Road Transport and Highways.
The portal allows citizens to apply for a learner’s permit or driving license. Justin was attempting to apply for the latter when, within minutes, he stumbled upon endpoints with broken access controls and missing authorization checks.
@Engineer_Computer
GenAI Emerges As Top Cybersecurity Threat For This Year, Says Report
GenAI is occupying significant headspace for security leaders as another challenge to manage but also offers an opportunity to harness its capabilities to augment security at an operational level.
@Engineer_Computer
GenAI is occupying significant headspace for security leaders as another challenge to manage but also offers an opportunity to harness its capabilities to augment security at an operational level.
@Engineer_Computer
AttackGen is a cybersecurity incident response testing tool that leverages the power of large language models and the comprehensive MITRE ATT&CK framework. The tool generates tailored incident response scenarios based on user-selected threat actor groups and your organisation's details.
https://github.com/mrwadams/attackgen
@Engineer_Computer
https://github.com/mrwadams/attackgen
@Engineer_Computer
GitHub
GitHub - mrwadams/attackgen: AttackGen is a cybersecurity incident response testing tool that leverages the power of large language…
AttackGen is a cybersecurity incident response testing tool that leverages the power of large language models and the comprehensive MITRE ATT&CK framework. The tool generates tailored incid...