بررسی خطاهای انسانی یا رفتارهای بد افزار ها

این قسمت فایل MFT

فارنزیک ویندوز

https://library.mosse-institute.com/articles/2022/05/windows-master-file-table-mft-in-digital-forensics/windows-master-file-table-mft-in-digital-forensics.html

@Engineer_Computer

یافتن اطلاعات حساس سازمان با کمک از MFT

@Engineer_Computer

مثال‌هایی برای پیاده سازی فریم ورک CSF
@Engineer_Computer

اینفوگرافیک Cortex XDR
@Engineer_Computer

الان امنیت چی در هر سازمانی نا آگاهه که اون یکی سازمان چطوری خورده . یا نمیدونه اصلا چطوری خودشو امن کنه چون اصلا حمله های تارگت شده بهش اعلام نمیشه فقط یکسری IOC هرچند وقت یکبار ارسال میشه .

سازمان‌های متولی متاسفانه چنین گزارش هایی در ایران تولید نمی‌کنند فقط تا دستشون میرسه ممنوع می‌کنند

@Engineer_Computer

چالش های SOC در سال‌های آتی چطور مدیریت خواهد شد ؟

مقاله ای با نگاه به سال ۲۰۳۰
@Engineer_Computer

🔴هکرها ۲۰ بانک ایرانی را هک کردند و برای منتشر نکردن اطلاعات مشتریان بانک‌ها، سه میلیون دلار باج گرفتند!

🔹پولتیکو به نقل از منابع مطلع گزارش داده که حمله سایبری ماه گذشته که تهدیدی برای ثبات سیستم بانکداری ایران بود موجب شد که شرکت تامین کننده خدمات الکترونیکی برای بانک‌های ایران (شرکت توسن) به هکرها میلیون‌ها دلار باج پرداخت کند.

🔹براساس این گزارش، این شرکت ایرانی تحت فشار دولت دست‌کم سه میلیون دلار به عنوان باج پرداخت کرد تا از انتشار داده‌های ۲۰ بانک ایران و اطلاعات حساب میلیون‌ها ایرانی جلوگیری کند.

🔹به گزارش پولتیکو، این بدترین حمله سایبری به بانک‌های ایران به‌شمار می‌رود و گروهی تحت عنوان «آی‌آر‌لیکس» (IRLeaks) که سابقه هک بانک‌های ایران را دارد، احتمالا پشت این حمله قرار دارد. این گروه هکری در ماه دسامبر نیز اطلاعات بیش از ۲۰ شرکت بیمه و اسنپ فوود را هک کرده بود.

https://www.politico.eu/article/iran-millions-ransom-massive-cyberattack-banks/?fbclid=PAZXh0bgNhZW0CMTEAAaZokRER9U5ItK06AQS6LhcWgfYWcTcsVfldlf_vr4Bi6-vWOAjboMjxehg_aem_wTcnFBfh0ocHkZCNGVp4UQ

@Engineer_Computer

المپیاد جهانی کامپیوتر در مصر در جریان هست
برای دوستان ایرانی ارزوی موفقیت و سربلندی داریم

https://ranking.ioi2024.eg/

@Engineer_Computer

به تازگی آسیب پذیری جدیدی از نوع Privilege Escalation برای کرنل ویندوز با کد شناسایی CVE-2024-38106 منتشر شده است.این آسیب پذیری برای سیستم عامل های Windows 10 و Windows 11 ویندوز سرورهای 2016 و 2019 و 2022 وجود دارد. آسیب پذیری فوق ، مربوط به پروسس ntoskrnl.exe می باشد .برای پیشگیری و مقابله با این تهدید به روز رسانی منتشر شده توسط ماکروسافت را اعمال نمایید.
@Engineer_Computer

ایمیل‌های بین آی‌آر لیکس و آرش بابایی (مدیرعامل شرکت توسن) که توسط شخص ثالث به‌دست آمده، با CyberScoop به اشتراک گذاشته شده و توسط منبع جداگانه‌ای آشنا به این موضوع تأیید شده است، دو طرف را در حال مذاکره برای پرداخت از ۸ آگوست نشان می‌دهد.

پیام تلگرامی، کاری که گروه آی‌آر لیکس انجام داد، توسن ۱ بیت کوین را به آدرسی که آی‌آر لیکس ارائه کرده بود ارسال کرد و آی‌آر لیکس دریافت آن را تأیید کرد.
دو طرف با پرداخت اولیه ۱ بیت کوین و پس از آن برنامه پرداخت ۳ بیت کوین در هفته تا زمانی که مجموعاً ۳۵ بیت کوین پرداخت شود، موافقت کردند. این کیف پول تاکنون تقریباً ۱۰ بیت کوین به ارزش حدود ۵۶۱۰۰۰ دلار دریافت کرده است.

جکی برنز کوون، رئیس اطلاعات تهدیدات سایبری در Chainalysis، به CyberScoop گفت که کیف پول مورد نظر حداقل از دو صرافی مختلف ایرانی پرداخت‌هایی دریافت کرده است که «می‌تواند با پرداخت‌های قربانیان ایرانی مطابقت داشته باشد».
این کیف پول در مجموع ۱.۱ میلیون دلار بین ۳ سپتامبر ۲۰۲۳ و ۲ سپتامبر ۲۰۲۴ از طریق ۶۰ سپرده دریافت کرده بود. کوون گفت که این کیف پول همچنین برای خرید زیرساخت‌های فناوری اطلاعات از جمله دامنه‌ها و خدمات میزبانی استفاده شده است.

لینک مقاله CyberScoop از گزارش ارائه شده بین شرکت توسن و گروه هکری IRLeaks
https://cyberscoop.com/iranian-it-vendor-ransom-cyberattack-banks/

@Engineer_Computer

دوره خانم شبنم جعفر پور
یکی از کار درست ترین هارو شرکت کنید
پیشنهاد میشه برای بچه هایی که علاقه به نوشتن مقالات سطح بین المللی دارن و قصد مهاجرت ...
از طرف این کانال اگر ثبت نام کردید فکر میکنم تخفیف کوچکی هم دارند ...😊🌹

@Engineer_Computer

ردپای کبالت استرایک
تلاش برای جعل NASA
@Engineer_Computer

بیمه سایبری

استراتژی برخورد با ریسک
@Engineer_Computer

دوستان سلام و وقت بخیر
شرکت مهراندیش آکام( فناوری اطلاعات بانک مهر)
در حال جذب برنامه نویس بک اند مسلط به زبان #c و asp.net هستیم
به صورت حضوری و تمام وقت
روز های کاری: شنبه تا چهارشنبه
ساعات کاری: ۸ الی ۱۷
محل کار: محدوده هفت تیر
مزایا: بن کارت، سبدکالا، دوره های آموزشی، پاداش ارزیابی عملکرد، تسهیلات، گیفت و هدایای مناسبتی، بیمه تکمیلی
داشتن پایان خدمت یا معافیت برای اقایان الزامی است
لطفا در صورت تمایل رزومه خود ارسال نمایید
@arezoo7114

@Engineer_Computer

استخدام
کارشناس T3 , T2
در واحد SOC در یکی از بانک ها
محل کار تهران
حقوق توافقی
@Developer_Network

@Engineer_Computer

Awesome Annual Security Reports
https://github.com/jacobdjwilson/awesome-annual-security-reports

@Engineer_Computer

گفته میشه روش جدید APT های منتسب به ایران لینک زیر هست .

شاید اونوری ها هم علیه ما استفاده کرده بودند.

چک کنیم.

https://gist.github.com/MHaggis/7e67b659af9148fa593cf2402edebb41

@Engineer_Computer

روش مقابله و کشف رو از ChatGPT بخونیم

@Engineer_Computer

Detecting and defending against PowerShell web access attacks requires a multi-layered security approach. Here’s a guide on how to address these threats:

### Detection Methods

1. Monitor PowerShell Activity:
- Script Block Logging: Enable noscript block logging in PowerShell. This records all blocks of PowerShell code that are executed, which helps identify malicious noscripts.
- Set-ExecutionPolicy RemoteSigned
- Enable-Module Logging:

       Set-PSDebug -Trace 1
       

- Enable PowerShell trannoscription logging:

       Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\PowerShell\3\PowerShellEngine' -Name 'EnableScriptBlockLogging' -Value 1
       

- PowerShell Script Block Logs will be saved in Event ID 4104.

2. Windows Event Logs:
- Monitor Windows Event IDs 4103, 4104, and 4688 for suspicious PowerShell commands. These logs give information on noscript execution and process creation.
- Use Sysmon (System Monitor) to track detailed process creations and network connections initiated via PowerShell.

3. Network Traffic Analysis:
- PowerShell-based attacks often involve external communication (C2 servers). Analyze outbound traffic for unusual connections (especially HTTP or HTTPS traffic) from PowerShell processes.
- Use network intrusion detection systems (IDS) such as Snort or Suricata to inspect traffic for patterns like base64-encoded PowerShell commands or suspicious PowerShell downloads.

4. Monitor PowerShell Web Access (PSWA) Logs:
- PSWA is a web-based feature allowing users to run PowerShell commands. Logs for PSWA are stored in the Windows Event Logs under Event ID 4100. Review these logs to detect unusual access patterns.

5. Detect PowerShell Encoding or Obfuscation:
- Attackers often use encoded or obfuscated PowerShell commands. Check for use of Base64-encoded commands (flag -EncodedCommand) and obfuscated strings in noscripts.

6. Behavioral Analysis:
- Use Endpoint Detection and Response (EDR) tools to detect suspicious behavior from PowerShell, such as:
- PowerShell invoking wget or curl to download files.
- PowerShell spawning new processes, especially if it triggers noscripts or executables.

### Defense Methods

1. Disable or Restrict PowerShell Web Access:
- If PowerShell Web Access is not required, disable it entirely to minimize the attack surface. If necessary, limit access to authorized users only and restrict it via firewall rules.

2. Application Whitelisting:
- Use tools like AppLocker or Windows Defender Application Control to restrict which PowerShell noscripts can be executed. Block execution of unsigned or unknown PowerShell noscripts.

3. Constrained Language Mode:
- Enforce Constrained Language Mode for PowerShell, which limits the functionality of the language and prevents the execution of dangerous commands unless noscripts are signed and trusted.

4. JEA (Just Enough Administration):
- Implement Just Enough Administration (JEA) to limit the PowerShell capabilities of users. JEA restricts users to only the minimal PowerShell commands required to perform specific tasks.

5. Network Segmentation:
- Segregate critical systems from each other using VLANs and firewalls. PowerShell attacks often involve lateral movement within a network, so strong segmentation can contain attacks.

6. Anti-Malware and EDR Solutions:
- Use modern anti-malware tools that support real-time monitoring and detection of malicious PowerShell activities, like Microsoft Defender for Endpoint, CrowdStrike, or TrendMicro Vision One.

7. Regular Patching:
- Ensure all systems and software are patched against known vulnerabilities, including Windows OS, PowerShell, and third-party software.

ادامه از پست قبل

8. Threat Intelligence:
   - Subscribe to threat intelligence feeds that provide information on the latest PowerShell-based attack patterns. This helps in proactively updating detection and defense mechanisms.

9. Network Firewall and Proxy Restrictions:
   - Block direct internet access from servers or endpoints that don’t require it. Control PowerShell’s access to external resources by using proxies and strict firewall rules.

By implementing these detection and defense strategies, you can significantly reduce the risk of PowerShell web access attacks while maintaining a secure environment.

@Engineer_Computer

اینکه هکر میخواد پس از نفوذ اولیه ؛ هنوز به سیستم دسترسی داشته باشه میشه تلاش برای ثبوت دسترسی

درمورد لینوکس اونو از زبان اسپلانک ببینیم

https://research.splunk.com/stories/linux_persistence_techniques/

@Engineer_Computer