تاریخچه کامند ها در هانت
چرا تاریخچه کامند ها مهم هستند؟ در یک بررسی جرم شناسانه، اینکه بدانیم چه دستوراتی توسط هکر یا نفوذگر زده شده و یا توسط بد افزار درج شده است کمک مهمی در تحلیل خواهد بود .
برای استخراج دستورات؛ به دامپ حافظه مراجعه میکنیم
در نرم افزار Volatility با کمک دو پلاگین cmdscan و consols میتوانید کامندهای زده شده را از حافظه بیرون بکشید
@Engineer_Computer
چرا تاریخچه کامند ها مهم هستند؟ در یک بررسی جرم شناسانه، اینکه بدانیم چه دستوراتی توسط هکر یا نفوذگر زده شده و یا توسط بد افزار درج شده است کمک مهمی در تحلیل خواهد بود .
برای استخراج دستورات؛ به دامپ حافظه مراجعه میکنیم
در نرم افزار Volatility با کمک دو پلاگین cmdscan و consols میتوانید کامندهای زده شده را از حافظه بیرون بکشید
@Engineer_Computer
تغییرات آوریل ۲۰۲۴ و پیشنهادی برای آماده شدن برای آزمون CISSP
https://www.linkedin.com/posts/flavioqueiroz_cissp-isc2-governance-activity-7177623935755182080-dsKE?utm_source=share&utm_medium=member_android
@Engineer_Computer
https://www.linkedin.com/posts/flavioqueiroz_cissp-isc2-governance-activity-7177623935755182080-dsKE?utm_source=share&utm_medium=member_android
@Engineer_Computer
Linkedin
#cissp #isc2 #governance #riskmanagement #riskanalysis… | Flavio Queiroz
CISSP EXAM REFRESHES APRIL 2024: WHAT YOU NEED TO KNOW & STUDY PLAIN
ℹ️ The CISSP (Certified Information Systems Security Professional) exam is a globally recognized certification in the field of information security offered by ISC2.
ℹ️ It's designed for…
ℹ️ The CISSP (Certified Information Systems Security Professional) exam is a globally recognized certification in the field of information security offered by ISC2.
ℹ️ It's designed for…
❤1
بروزرسانی مهم مایکروسافت
خارج از روال سه شنبه ها
https://betanews.com/2024/03/23/microsoft-releases-out-of-band-kb5037422-update-to-fix-windows-server-memory-leak/
@Engineer_Computer
خارج از روال سه شنبه ها
https://betanews.com/2024/03/23/microsoft-releases-out-of-band-kb5037422-update-to-fix-windows-server-memory-leak/
@Engineer_Computer
BetaNews
Microsoft releases out-of-band KB5037422 update to fix Windows Server memory leak
Not for the first time, Microsoft has released a patch-for-a-patch after a recent update was found to cause memory leaks in Windows Server.
یک کانفیگ نمونه فایل input.conf در یونیورسال فورواردر اسپلانک
دریافت ۷۰ نوع رویداد در تناسب با جدول ATT&CK
https://github.com/mdecrevoisier/Splunk-input-windows-baseline
@Engineer_Computer
دریافت ۷۰ نوع رویداد در تناسب با جدول ATT&CK
https://github.com/mdecrevoisier/Splunk-input-windows-baseline
@Engineer_Computer
GitHub
GitHub - mdecrevoisier/Splunk-input-windows-baseline: Provides an advanced input.conf file for Windows and 3rd party related software…
Provides an advanced input.conf file for Windows and 3rd party related software with more than 70 different event log mapped to the MITRE Att&CK - mdecrevoisier/Splunk-input-windows-baseline
جدول به روز شده توانمندیهای EDR ها
آنچه برخی فروشندگان EDR تمایلی ندارند به شما بگویند
https://docs.google.com/spreadsheets/d/1ZMFrD6F6tvPtf_8McC-kWrNBBec_6Si3NW6AoWf3Kbg/edit?usp=sharing
@Engineer_Computer
آنچه برخی فروشندگان EDR تمایلی ندارند به شما بگویند
https://docs.google.com/spreadsheets/d/1ZMFrD6F6tvPtf_8McC-kWrNBBec_6Si3NW6AoWf3Kbg/edit?usp=sharing
@Engineer_Computer
Google Docs
EDR Telemetry Tracking for Windows
#Tools
HyperDbg v0.8.2 is now released! 🔥
This update brings support for functions in the noscript engine.
Read more:
https://docs.hyperdbg.org/commands/noscripting-language/constants-and-functions
## [0.8.2.0] - 2024-03-19
New release of the HyperDbg Debugger.
### Added
- Add user-defined functions and variable types in noscript engine
### Changed
- Fix debuggee crash after running the '.debug close' command on the debugger
- The problem with adding edge MTRR pages is fixed
- All compiler/linker warnings of kernel-mode modules are fixed
- User/Kernel modules of HyperDbg now compiled with "treat warning as error"
- After downloading new symbols it is automatically loaded
- Fix error messages/comments spelling typos
@Engineer_Computer
HyperDbg v0.8.2 is now released! 🔥
This update brings support for functions in the noscript engine.
Read more:
https://docs.hyperdbg.org/commands/noscripting-language/constants-and-functions
## [0.8.2.0] - 2024-03-19
New release of the HyperDbg Debugger.
### Added
- Add user-defined functions and variable types in noscript engine
### Changed
- Fix debuggee crash after running the '.debug close' command on the debugger
- The problem with adding edge MTRR pages is fixed
- All compiler/linker warnings of kernel-mode modules are fixed
- User/Kernel modules of HyperDbg now compiled with "treat warning as error"
- After downloading new symbols it is automatically loaded
- Fix error messages/comments spelling typos
@Engineer_Computer
GitHub
Release v0.8.2 · HyperDbg/HyperDbg
HyperDbg releases
❤1
#Tools
fdbg for AMD64 is assembler level debugger for user-mode (ring3) binary applications, running in long mode (64-bit) - Windows and Linux versions. Version for UEFI x64 is also available.
Supported platforms:
▪️Windows XP x64, Windows 2003 server x64, Vista x64, Windows 2008 server x64, Windows 7 x64
▪️Linux x64
▪️UEFI x64
پروژه دیباگر fdbg و نسخه هایپروایزر اون یعنی hdbg در سال 2013 بازنشسته شد که بیشتر بخش های اون با FASM نوشته شده. اگر علاقه داشتید میتونید UEFI x64 را بررسی کنید.
@Engineer_Computer
fdbg for AMD64 is assembler level debugger for user-mode (ring3) binary applications, running in long mode (64-bit) - Windows and Linux versions. Version for UEFI x64 is also available.
Supported platforms:
▪️Windows XP x64, Windows 2003 server x64, Vista x64, Windows 2008 server x64, Windows 7 x64
▪️Linux x64
▪️UEFI x64
پروژه دیباگر fdbg و نسخه هایپروایزر اون یعنی hdbg در سال 2013 بازنشسته شد که بیشتر بخش های اون با FASM نوشته شده. اگر علاقه داشتید میتونید UEFI x64 را بررسی کنید.
@Engineer_Computer
#Tools
HexRaysCodeXplorer
HexRaysCodeXplorer for easier code navigation. Right-click context menu in the Pseudocode window.
با پلاگین CodeExplorer تجربه کاری بهتری در پنجره Pseudocode در برنامه IDA خواهید داشت . با قابلیت هایی همچون نمایش و ذخیره Ctree گراف ها، نمایش و ذخیره تایپ ها، بازسازی اتوماتیک تایپ ها و جداول Virtual Function و ...
توجه داشته باشید که این پلاگین با نسخه های DEMO/FREE برنامه IDA به دلیل عدم پشتیبانی از پلاگین های دیکامپایلر رسمی کار نخواهد کرد و همینطور نسخه گیتهاب مربوط به IDA 7.7 است.
@Engineer_Computer
HexRaysCodeXplorer
HexRaysCodeXplorer for easier code navigation. Right-click context menu in the Pseudocode window.
با پلاگین CodeExplorer تجربه کاری بهتری در پنجره Pseudocode در برنامه IDA خواهید داشت . با قابلیت هایی همچون نمایش و ذخیره Ctree گراف ها، نمایش و ذخیره تایپ ها، بازسازی اتوماتیک تایپ ها و جداول Virtual Function و ...
توجه داشته باشید که این پلاگین با نسخه های DEMO/FREE برنامه IDA به دلیل عدم پشتیبانی از پلاگین های دیکامپایلر رسمی کار نخواهد کرد و همینطور نسخه گیتهاب مربوط به IDA 7.7 است.
@Engineer_Computer
⭕️ در این مقاله محقق امنیتی نحوه آنالیز داینامیک لایبرری Native توسط r2frida و در نهایت اوتومیشن کردن پروسه پچ کردن لایبرری در ران تایم توسط r2pipe را آموزش میدهد.
در این مقاله به صورت داینامیک در ران تایم فانکشن native که مربوط به چک کردن پسورد یک اپ crackMe هست را بایپس میکند.
لینک مقاله
لینک مقاله های مشابه
رفرنس رسمی اسکریپت نویسی توسط r2pipe
#Android #Reverse #r2frida #r2pipe
@Engineer_Computer
در این مقاله به صورت داینامیک در ران تایم فانکشن native که مربوط به چک کردن پسورد یک اپ crackMe هست را بایپس میکند.
لینک مقاله
لینک مقاله های مشابه
رفرنس رسمی اسکریپت نویسی توسط r2pipe
#Android #Reverse #r2frida #r2pipe
@Engineer_Computer
👍2
🔛 شفافیت در دنیای EDR ها
🔲 تمام EDR ها مانند هم عمل نمیکنند و مانند هم خصوصیات مشترکی از سیستم عامل را نمیپایند.
🔺 لازم است قبل از خرید EDR ؛ فقط به ادعای تولید کننده توجه نکنید و بدانید ممکن است هر تولید کننده ای پارامتر های خاصی را پایش کند
🟢 در جدول مندرج در لینک زیر چند EDR از لحاظ خصوصیات مقایسه شده اند
💠 https://github.com/tsale/EDR-Telemetry
@Engineer_Computer
🔲 تمام EDR ها مانند هم عمل نمیکنند و مانند هم خصوصیات مشترکی از سیستم عامل را نمیپایند.
🔺 لازم است قبل از خرید EDR ؛ فقط به ادعای تولید کننده توجه نکنید و بدانید ممکن است هر تولید کننده ای پارامتر های خاصی را پایش کند
🟢 در جدول مندرج در لینک زیر چند EDR از لحاظ خصوصیات مقایسه شده اند
💠 https://github.com/tsale/EDR-Telemetry
@Engineer_Computer
GitHub
GitHub - tsale/EDR-Telemetry: This project aims to compare and evaluate the telemetry of various EDR products.
This project aims to compare and evaluate the telemetry of various EDR products. - tsale/EDR-Telemetry
♨ بروزرسانی امنیتی شرکت Fortinetبرای تعدادی از محصولاتش
🔺Fortinet released security updates to address vulnerabilities in multiple Fortinet products. A cyber threat actor could exploit some of these vulnerabilities to take control of an affected system.
⭕ اطلاعات بیشتر:
FortiClientEMS - CSV injection in log download feature
🚧 https://www.fortiguard.com/psirt/FG-IR-23-390
⭕ Severity: High
⭕ CVSSv3 Score: 8.7
----
♨ FortiOS & FortiProxy - Out-of-bounds Write in captive portal
🚧 https://www.fortiguard.com/psirt/FG-IR-23-328
⭕ Severity: Critical
⭕ CVSSv3 Score: 9.3
----
♨ FortiOS & FortiProxy – Authorization bypass in SSLVPN bookmarks
🚧 https://www.fortiguard.com/psirt/FG-IR-24-013
⭕ Severity: High
⭕ CVSSv3 Score: 7.2
----
♨ FortiWLM MEA for FortiManager - improper access control in backup and restore features
🚧 https://www.fortiguard.com/psirt/FG-IR-23-103
⭕ Severity: High
⭕ CVSSv3 Score: 7.7
----
♨ Pervasive SQL injection in DAS component
🚧 https://www.fortiguard.com/psirt/FG-IR-24-007
⭕ Severity: Critical
⭕ CVSSv3 Score: 9.3
#بروزرسانی
#آسیب_پذیری
@Engineer_Computer
🔺Fortinet released security updates to address vulnerabilities in multiple Fortinet products. A cyber threat actor could exploit some of these vulnerabilities to take control of an affected system.
⭕ اطلاعات بیشتر:
FortiClientEMS - CSV injection in log download feature
🚧 https://www.fortiguard.com/psirt/FG-IR-23-390
⭕ Severity: High
⭕ CVSSv3 Score: 8.7
----
♨ FortiOS & FortiProxy - Out-of-bounds Write in captive portal
🚧 https://www.fortiguard.com/psirt/FG-IR-23-328
⭕ Severity: Critical
⭕ CVSSv3 Score: 9.3
----
♨ FortiOS & FortiProxy – Authorization bypass in SSLVPN bookmarks
🚧 https://www.fortiguard.com/psirt/FG-IR-24-013
⭕ Severity: High
⭕ CVSSv3 Score: 7.2
----
♨ FortiWLM MEA for FortiManager - improper access control in backup and restore features
🚧 https://www.fortiguard.com/psirt/FG-IR-23-103
⭕ Severity: High
⭕ CVSSv3 Score: 7.7
----
♨ Pervasive SQL injection in DAS component
🚧 https://www.fortiguard.com/psirt/FG-IR-24-007
⭕ Severity: Critical
⭕ CVSSv3 Score: 9.3
#بروزرسانی
#آسیب_پذیری
@Engineer_Computer
FortiGuard Labs
PSIRT | FortiGuard Labs
None
فایل ها و دایرکتوریهای اسپلانک را بهتر بشناسیم
@Engineer_Computer
Splunk Files And Directories
https://www.linkedin.com/pulse/splunk-files-directories-meysam-tajassosi-ep5gf?utm_source=share&utm_medium=member_android&utm_campaign=share_via
@Engineer_Computer
Splunk Files And Directories
https://www.linkedin.com/pulse/splunk-files-directories-meysam-tajassosi-ep5gf?utm_source=share&utm_medium=member_android&utm_campaign=share_via
Linkedin
Splunk Files And Directories
Splunk is a powerful platform for searching, analyzing, and visualizing machine-generated data. In Splunk, the directory structure refers to organising files and folders within the Splunk installation directory.
پراسس حفاظت شده EDR را با ابزاری از ویندوز دور بزنید !
@Engineer_Computer
و اما چطور این کار انجام میشود
ابزار ProcExp یک درایور کرنل امضا شده دارد که در هنگام استارت آپ لود میگردد. این درایور اجازه میدهد هندلهایی که حتی با ادمین از بین نمیروند؛ کشته شوند.
نکته : ProcMon ابزار نصب شده بصورت پیش فرض نیست. لذا کمتر نگران باشید اما همانطور که درک کردیم؛ درسی که میشود گرفت آن است که هرنوع ابزاری که در حوزه وظایف شخص نیست نبایستی روی سیستم نصب گردد .
نکته دیگر آن است که با اطلاعاتی شبیه این پست ؛ همیشه رولهای کشفی در SOC را به روز کنیم و این اهمیت هوش تهدید که در استاندارد ۲۷۰۰۱ نسخه ۲۰۲۲ هم آمده است روشن تر میگردد
https://github.com/Yaxser/Backstab
@Engineer_Computer
و اما چطور این کار انجام میشود
ابزار ProcExp یک درایور کرنل امضا شده دارد که در هنگام استارت آپ لود میگردد. این درایور اجازه میدهد هندلهایی که حتی با ادمین از بین نمیروند؛ کشته شوند.
نکته : ProcMon ابزار نصب شده بصورت پیش فرض نیست. لذا کمتر نگران باشید اما همانطور که درک کردیم؛ درسی که میشود گرفت آن است که هرنوع ابزاری که در حوزه وظایف شخص نیست نبایستی روی سیستم نصب گردد .
نکته دیگر آن است که با اطلاعاتی شبیه این پست ؛ همیشه رولهای کشفی در SOC را به روز کنیم و این اهمیت هوش تهدید که در استاندارد ۲۷۰۰۱ نسخه ۲۰۲۲ هم آمده است روشن تر میگردد
https://github.com/Yaxser/Backstab
GitHub
GitHub - Yaxser/Backstab: A tool to kill antimalware protected processes
A tool to kill antimalware protected processes. Contribute to Yaxser/Backstab development by creating an account on GitHub.
از منظر OWASP چگونه امنیت را در DevOps بدمیم
@Engineer_Computer
https://github.com/OWASP/DevSecOpsGuideline/tree/master
@Engineer_Computer
https://github.com/OWASP/DevSecOpsGuideline/tree/master
GitHub
GitHub - OWASP/DevSecOpsGuideline: The OWASP DevSecOps Guideline can help us to embedding security as a part of the development…
The OWASP DevSecOps Guideline can help us to embedding security as a part of the development pipeline. - OWASP/DevSecOpsGuideline