گزارشی از حمله
همه چیز هم در تحلیل حمله قابل بازگشایی نیست
https://thedfirreport.com/2024/08/26/blacksuit-ransomware/
@Engineer_Computer
همه چیز هم در تحلیل حمله قابل بازگشایی نیست
https://thedfirreport.com/2024/08/26/blacksuit-ransomware/
@Engineer_Computer
The DFIR Report
BlackSuit Ransomware
Key Takeaways In December 2023, we observed an intrusion that started with the execution of a Cobalt Strike beacon and ended in the deployment of BlackSuit ransomware. The threat actor leveraged va…
دیتاست ویروس توتال
و نحوه استفاده از آن برای امور تحقیقاتی
https://blog.virustotal.com/2024/08/VT-S1-EffectiveResearch.html
@Engineer_Computer
و نحوه استفاده از آن برای امور تحقیقاتی
https://blog.virustotal.com/2024/08/VT-S1-EffectiveResearch.html
@Engineer_Computer
Virustotal
Exploring the VirusTotal Dataset | An Analyst's Guide to Effective Threat Research
By Aleksandar Milenkoski (SentinelOne) and Jose Luis Sánchez Martínez VirusTotal stores a vast collection of files, URLs, domains, and IPs...
تحلیل حافظه ی ماشین مجازی
https://blogs.vmware.com/security/2021/03/memory-forensics-for-virtualized-hosts.html
@Engineer_Computer
https://blogs.vmware.com/security/2021/03/memory-forensics-for-virtualized-hosts.html
@Engineer_Computer
VMware Security Blog
Memory Forensics for Virtualized Hosts
Learn how a memory forensics approach can leverage the hypervisors advanced memory analysis tools to detect and analyze sophisticated malware threats.
یکی از نکات مهم در عملکرد ارتباطی سیستم عامل درک از مکانیسم Named pipe است.
حالا اونو با هانتش در لینک زیر بخونید
https://detect.fyi/threat-hunting-suspicious-named-pipes-a4206e8a4bc8
@Engineer_Computer
حالا اونو با هانتش در لینک زیر بخونید
https://detect.fyi/threat-hunting-suspicious-named-pipes-a4206e8a4bc8
@Engineer_Computer
Medium
Threat Hunting - Suspicious Named pipes
Named pipes are a mechanism for inter-process communication (IPC) in Windows operating systems. detect suspicious and malicious named pipe with splunk and these threat hunting searches
Ultimate DevSecOps Library.pdf
296.9 KB
کتابخانه DevSecOps
@Engineer_Computer
@Engineer_Computer
LLM Red Teaming with Garak.pdf
2.7 MB
ابزار تیم قرمز برپایه LLM
@Engineer_Computer
@Engineer_Computer
ابزاری برای بررسی بلوغ امنیت سایبری
https://github.com/SentiConSecurity/NIST_CSF_Maturity_Tool
@Engineer_Computer
https://github.com/SentiConSecurity/NIST_CSF_Maturity_Tool
@Engineer_Computer
GitHub
GitHub - SentiConSecurity/NIST_CSF_Maturity_Tool: NIST CSF Maturity Toolkit
NIST CSF Maturity Toolkit. Contribute to SentiConSecurity/NIST_CSF_Maturity_Tool development by creating an account on GitHub.
Cyber Threats in Israel-Iran Conflict.pdf
4.5 MB
درگیری سایبری ایران و اسرائیل
@Engineer_Computer
@Engineer_Computer
Cybersecurity Maturity Model Certification (CMMC) Overview.pdf
1.6 MB
بهتره بجای اقداماتی که کاهش امنیت کشور رو در پی دارند مشغول افزایش امنیت باشیم.
نمونه درست : راهکار امن سازی افتا که در سال ۹۷ توسط افتا منتشر شد .
نمونه اشتباه : عمل امروز برای ممنوعیت های عجیب غریب محصولات از سوی افتا
پیوست: مدل بلوغ امنیت سایبری در آمریکا
CMMC was created to address the increasing cyber threats to the supply chain and to ensure that contractors and subcontractors have appropriate cybersecurity measures in place to protect sensitive information.
@Engineer_Computer
نمونه درست : راهکار امن سازی افتا که در سال ۹۷ توسط افتا منتشر شد .
نمونه اشتباه : عمل امروز برای ممنوعیت های عجیب غریب محصولات از سوی افتا
پیوست: مدل بلوغ امنیت سایبری در آمریکا
CMMC was created to address the increasing cyber threats to the supply chain and to ensure that contractors and subcontractors have appropriate cybersecurity measures in place to protect sensitive information.
@Engineer_Computer
⭕️دوستان تیم بنفش و فارنزیک و تحلیل گران حوزه امنیت
جهت آنالیز و درک نفوذ براساس هر یک از روش های رایج مطالعه TTP از آقای Flavio Queiroz به شدت توصیه میشه .
دوستان تیم قرمز هم میتونن براساس سناریو های نفوذ مطرح شده اقدام به واقعی سازی حملات نمایند .
لازم به ذکر است تیم های APT به هیچ عنوان اجازه خلق روش های رمزنگاری و ... اختصاصی خود را ندارند در غیر اینصورت اگر به روش اختصاصی خود به سازمانی نفوذ کنند احتمال کشف تنها یک stager در یک سازمان باعث کشف دیگر stager ها در سازمان های دیگر با حساسیت بالا خواهد شد.
آرزوی توفیق برای هر یک از دوستان
مطالعه روزی یک TTP برای دوستان تجویز میشه 😎
THREAT ANALYSIS: NEW WIKILOADER MALWARE CAMPAIGN
ℹ️ WikiLoader (aka WailingCrab) is a multistage malware loader that adversaries developed with consideration toward evasion. WikiLoader has been active since at least late 2022. They also noted that phishing was initially the primary means of delivery. Its operators used compromised WordPress sites and public MQ Telemetry Transport (MQTT) brokers for C2. WikiLoader is a loader for rent, which is suspected to be leveraged by at least two initial access brokers (IABs).
ℹ️ In June 2024, researchers observed a WikiLoader campaign leveraging GlobalProtect themed SEO poisoning, rather than using previously documented phishing tactics. SEO poisoning is the process of getting an attacker-controlled site on the front page of search engine results for a legitimate product through purchasing advertisements or improving page rank.
ℹ️ Attackers commonly use SEO poisoning as an initial access vector to trick people into visiting a page that spoofs the legitimate search result to deliver malware rather than the searched-for product. This campaign’s delivery infrastructure leveraged cloned websites relabeled as GlobalProtect along with cloud-based Git repositories.
Report: https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader/
@Engineer_Computer
جهت آنالیز و درک نفوذ براساس هر یک از روش های رایج مطالعه TTP از آقای Flavio Queiroz به شدت توصیه میشه .
دوستان تیم قرمز هم میتونن براساس سناریو های نفوذ مطرح شده اقدام به واقعی سازی حملات نمایند .
لازم به ذکر است تیم های APT به هیچ عنوان اجازه خلق روش های رمزنگاری و ... اختصاصی خود را ندارند در غیر اینصورت اگر به روش اختصاصی خود به سازمانی نفوذ کنند احتمال کشف تنها یک stager در یک سازمان باعث کشف دیگر stager ها در سازمان های دیگر با حساسیت بالا خواهد شد.
آرزوی توفیق برای هر یک از دوستان
مطالعه روزی یک TTP برای دوستان تجویز میشه 😎
THREAT ANALYSIS: NEW WIKILOADER MALWARE CAMPAIGN
ℹ️ WikiLoader (aka WailingCrab) is a multistage malware loader that adversaries developed with consideration toward evasion. WikiLoader has been active since at least late 2022. They also noted that phishing was initially the primary means of delivery. Its operators used compromised WordPress sites and public MQ Telemetry Transport (MQTT) brokers for C2. WikiLoader is a loader for rent, which is suspected to be leveraged by at least two initial access brokers (IABs).
ℹ️ In June 2024, researchers observed a WikiLoader campaign leveraging GlobalProtect themed SEO poisoning, rather than using previously documented phishing tactics. SEO poisoning is the process of getting an attacker-controlled site on the front page of search engine results for a legitimate product through purchasing advertisements or improving page rank.
ℹ️ Attackers commonly use SEO poisoning as an initial access vector to trick people into visiting a page that spoofs the legitimate search result to deliver malware rather than the searched-for product. This campaign’s delivery infrastructure leveraged cloned websites relabeled as GlobalProtect along with cloud-based Git repositories.
Report: https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader/
@Engineer_Computer
Unit 42
Spoofed GlobalProtect Used to Deliver Unique WikiLoader Variant
Unit 42 discusses WikiLoader malware spoofing GlobalProtect VPN, detailing evasion techniques, malicious URLs, and mitigation strategies. Unit 42 discusses WikiLoader malware spoofing GlobalProtect VPN, detailing evasion techniques, malicious URLs, and mitigation…
👍1
⭕️JOINT CYBERSECURITY ADVISORY: RANSOMHUB RANSOMWARE
ℹ️ The FBI, CISA, MS-ISAC, and HHS are releasing this joint advisory to disseminate known RansomHub ransomware IoCs and TTPs. These have been identified through FBI threat response activities and third-party reporting as recently as August 2024.
ℹ️ RansomHub is a ransomware-as-a-service variant — formerly known as Cyclops and Knight — that has established itself as an efficient and successful service model (recently attracting high-profile affiliates from other prominent variants such as LockBit and ALPHV).
ℹ️ Since its inception in February 2024, RansomHub has encrypted and exfiltrated data from at least 210 victims representing the water and wastewater, information technology, government services and facilities, healthcare and public health, emergency services, food and agriculture, financial services, commercial facilities, critical manufacturing, transportation, and communications critical infrastructure sectors.
https://www.cisa.gov/sites/default/files/2024-08/aa24-242a-stopransomware-ransomhub-ransomware_0.pdf
@Engineer_Computer
ℹ️ The FBI, CISA, MS-ISAC, and HHS are releasing this joint advisory to disseminate known RansomHub ransomware IoCs and TTPs. These have been identified through FBI threat response activities and third-party reporting as recently as August 2024.
ℹ️ RansomHub is a ransomware-as-a-service variant — formerly known as Cyclops and Knight — that has established itself as an efficient and successful service model (recently attracting high-profile affiliates from other prominent variants such as LockBit and ALPHV).
ℹ️ Since its inception in February 2024, RansomHub has encrypted and exfiltrated data from at least 210 victims representing the water and wastewater, information technology, government services and facilities, healthcare and public health, emergency services, food and agriculture, financial services, commercial facilities, critical manufacturing, transportation, and communications critical infrastructure sectors.
https://www.cisa.gov/sites/default/files/2024-08/aa24-242a-stopransomware-ransomhub-ransomware_0.pdf
@Engineer_Computer
1725374674515.jpeg
163.4 KB
گزارشی اومد که میگه APT29 با استفاده از تکنیک Watering Hole که اسراییل سابقا علیه ایرانم ازش استفاده کرده یک سری از وب سایتهای مراکز دیپلماتیک رو زده و با ویزیت کردن وب سایت چه IOS باشی چه اندروید با یک سری CVE خاص Exploit میشی. اما نکته جالب این نیست...
نکته جالب این هست که این Exploitها سابقا توسط NSO که یک شرکت امنیتی، اطلاعاتی اسراییلی هست و Pegasus مشهورترین کارشون هست استفاده شده. یعنی اکسپلویت توسطه روسیه Reuse شده! شرکت بعدی هم شرکت Intellexa هست. این کار خیلی سر و صدا کرده و هنوز مشخص نشده چطور این اتفاق افتاده.
@Engineer_Computer
نکته جالب این هست که این Exploitها سابقا توسط NSO که یک شرکت امنیتی، اطلاعاتی اسراییلی هست و Pegasus مشهورترین کارشون هست استفاده شده. یعنی اکسپلویت توسطه روسیه Reuse شده! شرکت بعدی هم شرکت Intellexa هست. این کار خیلی سر و صدا کرده و هنوز مشخص نشده چطور این اتفاق افتاده.
@Engineer_Computer
#Reinforcement_Learning for #Automonous_Resilient #Cyber_Defence
سازمان #GCHQ و #MOD و #DARPA پارتنرشیپ تحقیقاتی در خصوص یک اکوسیستمی با نام #ARCD شدند تا فرایند های دفاع سایبری رو بواسطه Machine Learning بتونن اتوماسیون کنند و کیفیت دفاع رو بالا ببرند.
تمرکز این تحقیقات بر روی بالا بردن سرعت پاسخ و فرایند های بازیابی بوده که مبتنی بر چهارچوب NIST آمریکا شکل گرفته است.
ایجاد یک واکنش پاسخ به حادثه در لحظه، بواسطه ACO موجبات آموزش دیدن هر چه بیشتر هوش مصنوعی خواهد شد، که با ظرفیت های الگوریتمی که هوش مصنوعی داره، فرایند یادگیری اتفاق خواهد افتاد.
الگوریتم هایی مانند PPO - DQN - DDQN - GA - GNN - MARL که بر روی شبیه سازی هایی با نام PrimAITE - Yawing Titan - Cyborg عملیاتی شده است.
این یادگیری در ابعاد نظامی و تکنولوژی های عملیاتی آن نیز پیاده سازی شده است که میتواند موجبات دفع حملاتی که مبتنی بر فضای سایبر رخ میدهد، شود.
https://i.blackhat.com/BH-US-24/Presentations/US24-MilesFarmer-ReinforcementLearningForAutonomousResilientCyberDefence-Thursday.pdf
@Engineer_Computer
سازمان #GCHQ و #MOD و #DARPA پارتنرشیپ تحقیقاتی در خصوص یک اکوسیستمی با نام #ARCD شدند تا فرایند های دفاع سایبری رو بواسطه Machine Learning بتونن اتوماسیون کنند و کیفیت دفاع رو بالا ببرند.
تمرکز این تحقیقات بر روی بالا بردن سرعت پاسخ و فرایند های بازیابی بوده که مبتنی بر چهارچوب NIST آمریکا شکل گرفته است.
ایجاد یک واکنش پاسخ به حادثه در لحظه، بواسطه ACO موجبات آموزش دیدن هر چه بیشتر هوش مصنوعی خواهد شد، که با ظرفیت های الگوریتمی که هوش مصنوعی داره، فرایند یادگیری اتفاق خواهد افتاد.
الگوریتم هایی مانند PPO - DQN - DDQN - GA - GNN - MARL که بر روی شبیه سازی هایی با نام PrimAITE - Yawing Titan - Cyborg عملیاتی شده است.
این یادگیری در ابعاد نظامی و تکنولوژی های عملیاتی آن نیز پیاده سازی شده است که میتواند موجبات دفع حملاتی که مبتنی بر فضای سایبر رخ میدهد، شود.
https://i.blackhat.com/BH-US-24/Presentations/US24-MilesFarmer-ReinforcementLearningForAutonomousResilientCyberDefence-Thursday.pdf
@Engineer_Computer