#APT34 #OilRig #Earth_Simnavaz
تیم APT34 اخیرا حمله ای رو در خاورمیانه انجام داده که نسبت به نسخه های قبل TTP پیشرفته تری داشته است.
زنجیره حمله به این صورت بوده که بواسطه یک آسیب پذیری عمومی یک Web Shell بر روی وبسرور MS Exchange قربانی بار گزاری کرده و ی تونل پروتکل RMM بر پایه Ngrok پیاده سازی میشه.
در مرحله بعدی مهاجمین بواسطه یک آسیب پذیری Race Condition با شناسه CVE-2024-30088 روی ساختمان _AUTHZBASEP_SECURITY_ATTRIBUTES_INFORMATION اجرا میشه که مستقیما مقادیرش رو از سمت کاربر و بواسطه اشاره گر SecurityAttribute میگیره که این اشاره گر با RC امکان کپی Shellcode با RtlCopyUnicodeString رو خواهد داد.
که البته Shellcode مورد استفاده در اصل یک ابزار منبع باز با نام RunPE-In-Memory بوده که میاد یک فایل فرمت PE رو در حافظه مستقیما Map میکنه بی آنکه Stage ازش در حافظه سخت باشه.
اما بعد از ارتقاء سطح دسترسی مهاجمین میان و Register Password filter DLL رو دستکاری میکنند و با PasswordFilter اقدام به بازیابی اطلاعات کاربران Exchange میکنند.
@Engineer_Computer
تیم APT34 اخیرا حمله ای رو در خاورمیانه انجام داده که نسبت به نسخه های قبل TTP پیشرفته تری داشته است.
زنجیره حمله به این صورت بوده که بواسطه یک آسیب پذیری عمومی یک Web Shell بر روی وبسرور MS Exchange قربانی بار گزاری کرده و ی تونل پروتکل RMM بر پایه Ngrok پیاده سازی میشه.
در مرحله بعدی مهاجمین بواسطه یک آسیب پذیری Race Condition با شناسه CVE-2024-30088 روی ساختمان _AUTHZBASEP_SECURITY_ATTRIBUTES_INFORMATION اجرا میشه که مستقیما مقادیرش رو از سمت کاربر و بواسطه اشاره گر SecurityAttribute میگیره که این اشاره گر با RC امکان کپی Shellcode با RtlCopyUnicodeString رو خواهد داد.
که البته Shellcode مورد استفاده در اصل یک ابزار منبع باز با نام RunPE-In-Memory بوده که میاد یک فایل فرمت PE رو در حافظه مستقیما Map میکنه بی آنکه Stage ازش در حافظه سخت باشه.
اما بعد از ارتقاء سطح دسترسی مهاجمین میان و Register Password filter DLL رو دستکاری میکنند و با PasswordFilter اقدام به بازیابی اطلاعات کاربران Exchange میکنند.
@Engineer_Computer
برون سپاری امنیت رو به افزایش است
ریسک ها را مدیریت کنید
https://www.csoonline.com/article/3593324/security-outsourcing-on-the-rise-as-cisos-seek-cyber-relief.html
@Engineer_Computer
ریسک ها را مدیریت کنید
https://www.csoonline.com/article/3593324/security-outsourcing-on-the-rise-as-cisos-seek-cyber-relief.html
@Engineer_Computer
CSO Online
Security outsourcing on the rise as CISOs seek cyber relief
Security chiefs see managed security providers as an opportunity to tap seasoned practitioners, as persistent talent shortages complicate their in-house cyber strategies.
برنامه ریزی بودجه امنیت اطلاعات و امنیت سایبری
فاز طراحی :
در این فاز مدیر ارشد استراتژی ، goal و objective آینده را مشخص میکند. بسته به سازمان این افق نگری بین ۲ تا ۱۰ سال است . البته با تغییر قوانین ، ترند های تجاری و آنالیز بازار و اندوخته مالی این تدوین برنامه دجار تغییر میشود و بایستی از ابتدا بخشی برای گنجاندن تغییرات در برنامه لحاظ کرد. با این اقدامی که مدیر ارشد انجام میدهد سایر مدیران میدانند برای رسیدن به اهداف فوق چه برنامه ای را بریزند.
آیا این فرآیند در ایران انجام میپذیرد؟ عدم اقدام برای این فاز در سازمانهای ایرانی چه تبعاتی در بر داشته است ؟
فاز برنامه ریزی:
مدیران در این فاز پروژه های موجود را بررسی میکنند و سپس با ایجاد نقشه گپ ( فاصله ) ، پروژه هایی را جدید تعریف میکنند تا اهداف عالیه مدیریت سازمان را برآورده کنند . این پروژه های جدید توسط مدیریت ارشد سازمان مرور و تایید میگردد.
فاز بودجه ریزی :
در این فاز باتوجه به شار درآمد سازمان ، تخصیص بودجه به پروژه های سازمان انجام میگیرد. دقت در عناصر پروژه ها و ترتیب و توالی اقلام که مدیریت پروژه در تدوین آنها همت گذاشته است خود را در این فاز نشان میدهد.
فاز اجرایی:
تخصیص بودجه میتواند بصورت سالیانه یا به هر فاز از پروژه انجام شود. بسته به نوع پروژه این نحوه تخصیص متفاوت است. از تکنیک های مدیریت پروژه PMP میتوان در این بخش بهره جست.
@Engineer_Computer
فاز طراحی :
در این فاز مدیر ارشد استراتژی ، goal و objective آینده را مشخص میکند. بسته به سازمان این افق نگری بین ۲ تا ۱۰ سال است . البته با تغییر قوانین ، ترند های تجاری و آنالیز بازار و اندوخته مالی این تدوین برنامه دجار تغییر میشود و بایستی از ابتدا بخشی برای گنجاندن تغییرات در برنامه لحاظ کرد. با این اقدامی که مدیر ارشد انجام میدهد سایر مدیران میدانند برای رسیدن به اهداف فوق چه برنامه ای را بریزند.
آیا این فرآیند در ایران انجام میپذیرد؟ عدم اقدام برای این فاز در سازمانهای ایرانی چه تبعاتی در بر داشته است ؟
فاز برنامه ریزی:
مدیران در این فاز پروژه های موجود را بررسی میکنند و سپس با ایجاد نقشه گپ ( فاصله ) ، پروژه هایی را جدید تعریف میکنند تا اهداف عالیه مدیریت سازمان را برآورده کنند . این پروژه های جدید توسط مدیریت ارشد سازمان مرور و تایید میگردد.
فاز بودجه ریزی :
در این فاز باتوجه به شار درآمد سازمان ، تخصیص بودجه به پروژه های سازمان انجام میگیرد. دقت در عناصر پروژه ها و ترتیب و توالی اقلام که مدیریت پروژه در تدوین آنها همت گذاشته است خود را در این فاز نشان میدهد.
فاز اجرایی:
تخصیص بودجه میتواند بصورت سالیانه یا به هر فاز از پروژه انجام شود. بسته به نوع پروژه این نحوه تخصیص متفاوت است. از تکنیک های مدیریت پروژه PMP میتوان در این بخش بهره جست.
@Engineer_Computer
گزارش ISC2 در خصوص فضای کاری امنیت سایبری
https://www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study
@Engineer_Computer
https://www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study
@Engineer_Computer
www.isc2.org
Results of the 2024 ISC2 Cybersecurity Workforce Study
Each year, the ISC2 Cybersecurity Workforce Study assesses the state of the cybersecurity workforce to understand the composition of the talent and skills base, including looking at the size of the workforce and its shortages. We also look at the concerns…
و مقاله آخر هفته برای لایه ۲ و ۳ مرکز عملیات
Bypassing UAC with SSPI Datagram Contexts
https://splintercod3.blogspot.com/p/bypassing-uac-with-sspi-datagram.html?m=1
@Engineer_Computer
Bypassing UAC with SSPI Datagram Contexts
https://splintercod3.blogspot.com/p/bypassing-uac-with-sspi-datagram.html?m=1
@Engineer_Computer
۷۷ درصد از مدیران ارشد امنیت از اخراج بخاطر نفوذ و هک بزرگ بعدی میترسند
آیا در ایران هم همینطور است ؟
https://www.csoonline.com/article/3587236/77-of-cisos-fear-next-big-breach-will-get-them-fired.html/amp/
@Engineer_Computer
آیا در ایران هم همینطور است ؟
https://www.csoonline.com/article/3587236/77-of-cisos-fear-next-big-breach-will-get-them-fired.html/amp/
@Engineer_Computer
CSO Online
77% of CISOs fear next big breach will get them fired
Increased pressures are putting CISOs in the hot seat, but should they bear all the blame when the inevitable comes?
کامندی برای تشخیص فایل هایی با سرتیفیکیت های نامعتبر
signtool verify /pa path_to_file
ضمنا
در ابزار PEview یا PE-bear یا PE Explorer قسمت WIN_CERTIFICATE را ببینید سرتیفیکیت به فرمت PKCS #7 دیده میشود
@Engineer_Computer
signtool verify /pa path_to_file
ضمنا
در ابزار PEview یا PE-bear یا PE Explorer قسمت WIN_CERTIFICATE را ببینید سرتیفیکیت به فرمت PKCS #7 دیده میشود
@Engineer_Computer
آنالیز PEST درخصوص شرکت Equifax که دچار نقض امنیتی شد
@Engineer_Computer
@Engineer_Computer
اخذ حافظه ویندوز درحالت سیستم روشن و خاموش
لذا اگر کابل کامپیوتر کشیده شده ، امیدهایی هست
@Engineer_Computer
لذا اگر کابل کامپیوتر کشیده شده ، امیدهایی هست
@Engineer_Computer
👏1😱1
هرآنچه به حال خود رها شود دور میخورد .
در حوزه امنیت مثال چیست ؟ EDR
این روزها EDR نقش بسزایی در کمک برای مقابله و کشف نفوذ دارد لذا هکرها به دنبال آن هستند آنرا دور بزنند .
روشهای متعددی برای دور زدن EDR موجود است و اگر EDR را به حال خود رها کنید از جایی که فکر نمیکنید خواهید خورد !!
در لینک زیر راهکارهایی برای کمک به جلوگیری از دور خوردن EDR مطالعه کنید
#cybersecurity #threathunting #securityawareness
https://detect.fyi/edr-your-weakest-link-in-protecting-against-a-ransomware-attack-14a8cd1ae389
@Engineer_Computer
در حوزه امنیت مثال چیست ؟ EDR
این روزها EDR نقش بسزایی در کمک برای مقابله و کشف نفوذ دارد لذا هکرها به دنبال آن هستند آنرا دور بزنند .
روشهای متعددی برای دور زدن EDR موجود است و اگر EDR را به حال خود رها کنید از جایی که فکر نمیکنید خواهید خورد !!
در لینک زیر راهکارهایی برای کمک به جلوگیری از دور خوردن EDR مطالعه کنید
#cybersecurity #threathunting #securityawareness
https://detect.fyi/edr-your-weakest-link-in-protecting-against-a-ransomware-attack-14a8cd1ae389
@Engineer_Computer
Medium
EDR — Your weakest link in protecting against a Ransomware Attack?
We can see tampered EDR solutions in nearly all ransomware and APT attacks (MITRE ID: T1562.001). It’s one of the first steps attackers…
Forwarded from کانال امنیت سایبری آراج
#بورسیه_رایگان
مرحله اول منتورینگ رایگان SOC از پایه تا Tier2
بنا به اصالت انتقال دانش و تربیت نیروی متخصص در حوزه فناوری اطلاعات افتخار این رو دارم که در مرحله اول یک نفر از عزیزانی که به حوزه امنیت سایبری و مرکز عملیات علاقه مند هستند رو به صورت رایگان از پایه تا نیروی Tier2 منتورینگ رو انجام بدم تا راهی بازار کار بشه.
از آنجایی که ظرفیت مرحله اول که بصورت آزمایشی هست محدوده اولویت با عزیزانی خواهد بود که مستعد هستند و به هردلیلی از امکانات آموزشی کم بهره تر هستند.
علاقه مندان نام و دوره هایی که تا الان سپری کرده اند رو برای بنده ارسال بفرمایند.
انشاءالله در صورت موفقیت آمیز بودن این طرح عزیزان بیشتری جذب خواهند شد.
https://news.1rj.ru/str/araj_security
مرحله اول منتورینگ رایگان SOC از پایه تا Tier2
بنا به اصالت انتقال دانش و تربیت نیروی متخصص در حوزه فناوری اطلاعات افتخار این رو دارم که در مرحله اول یک نفر از عزیزانی که به حوزه امنیت سایبری و مرکز عملیات علاقه مند هستند رو به صورت رایگان از پایه تا نیروی Tier2 منتورینگ رو انجام بدم تا راهی بازار کار بشه.
از آنجایی که ظرفیت مرحله اول که بصورت آزمایشی هست محدوده اولویت با عزیزانی خواهد بود که مستعد هستند و به هردلیلی از امکانات آموزشی کم بهره تر هستند.
علاقه مندان نام و دوره هایی که تا الان سپری کرده اند رو برای بنده ارسال بفرمایند.
انشاءالله در صورت موفقیت آمیز بودن این طرح عزیزان بیشتری جذب خواهند شد.
https://news.1rj.ru/str/araj_security
🔥4🤩1
کارآموز
مشهد - تهران
اگر پن تست ، soc ، طراحی سایت و کارشناس امنیت هستید و علاقه دارین در این حوزه
رزومه های خودتون رو برای ایدی زیر ارسال کنید تا برای بانک مد نظر ارسال شود
سپاس
اولویت با افرادی هست که نمونه کار حداقلی یا سابقه کار اولیه دارند هست
@Developer_Network
@Engineer_Computer
مشهد - تهران
اگر پن تست ، soc ، طراحی سایت و کارشناس امنیت هستید و علاقه دارین در این حوزه
رزومه های خودتون رو برای ایدی زیر ارسال کنید تا برای بانک مد نظر ارسال شود
سپاس
اولویت با افرادی هست که نمونه کار حداقلی یا سابقه کار اولیه دارند هست
@Developer_Network
@Engineer_Computer
❤4
TC39 proposal for mitigating prototype pollution. Interesting points that can be highlighted in this proposal:
. The challenges of using freeze and various techniques to prevent this vulnerability.
. Implementing new APIs for prototype, which would allow this property name to be deleted without changing in any way how this special property works and supports the VM.
https://github.com/tc39/proposal-symbol-proto?tab=readme-ov-file#provide-reflection-apis
#BORNA
@Engineer_Computer
. The challenges of using freeze and various techniques to prevent this vulnerability.
. Implementing new APIs for prototype, which would allow this property name to be deleted without changing in any way how this special property works and supports the VM.
https://github.com/tc39/proposal-symbol-proto?tab=readme-ov-file#provide-reflection-apis
#BORNA
@Engineer_Computer
GitHub
GitHub - tc39/proposal-symbol-proto: TC39 proposal for mitigating prototype pollution
TC39 proposal for mitigating prototype pollution. Contribute to tc39/proposal-symbol-proto development by creating an account on GitHub.
❤1👍1
هشدارهای محیط کنترل صنعتی
آنهایی که توجهی نمیشود
https://industrialcyber.co/cisa/cisa-issues-four-ics-advisories-highlighting-hardware-vulnerabilities-in-critical-infrastructure-equipment/
@Engineer_Computer
آنهایی که توجهی نمیشود
https://industrialcyber.co/cisa/cisa-issues-four-ics-advisories-highlighting-hardware-vulnerabilities-in-critical-infrastructure-equipment/
@Engineer_Computer
Industrial Cyber
CISA issues four ICS advisories highlighting hardware vulnerabilities in critical infrastructure equipment
US CISA issues four ICS advisories highlighting hardware vulnerabilities in critical infrastructure equipment and provides mitigation action.
لایه ۲ مرکز عملیات
امشب تا اینو نخوندین نخوابین
فوری نیست ولی جالبه
قبلا سوفوس الان پالو آلتو
https://unit42.paloaltonetworks.com/edr-bypass-extortion-attempt-thwarted/
@Engineer_Computer
امشب تا اینو نخوندین نخوابین
فوری نیست ولی جالبه
قبلا سوفوس الان پالو آلتو
https://unit42.paloaltonetworks.com/edr-bypass-extortion-attempt-thwarted/
@Engineer_Computer
Unit 42
TA Phone Home: EDR Evasion Testing Reveals Extortion Actor's Toolkit
A threat actor attempted to use an AV/EDR bypass tool in an extortion attempt. Instead, the tool provided Unit 42 insight into the threat actor.
مخرنی از متد های دور زدن مکانیزم تعیین هویت دو عامله
A comprehensive collection of various techniques and methods for bypassing Two-Factor Authentication (2FA) security mechanisms.
اثری از فاضل محمد علی پور
https://github.com/EmadYaY/2FA-Bypass-Techniques
@Engineer_Computer
A comprehensive collection of various techniques and methods for bypassing Two-Factor Authentication (2FA) security mechanisms.
اثری از فاضل محمد علی پور
https://github.com/EmadYaY/2FA-Bypass-Techniques
@Engineer_Computer
GitHub
GitHub - EmadYaY/2FA-Bypass-Techniques: A comprehensive collection of various techniques and methods for bypassing Two-Factor Authentication…
A comprehensive collection of various techniques and methods for bypassing Two-Factor Authentication (2FA) security mechanisms. - EmadYaY/2FA-Bypass-Techniques
👏2
مقایسه نسخه های مختلف جدول مایتره
ATTACK-SYNC
تشکر ویژه از مایتره
** ضمنا نسخه ۱۶ از جدول ATT&CK هم ارائه شد .
یک منبع حیاتی از تناظر حملات با کنترل های NIST را هم در سایت مایتره ببینید
https://center-for-threat-informed-defense.github.io/attack-sync/?utm_source=ctidio&utm_medium=shortlink&utm_campaign=ctidio-default
@Engineer_Computer
ATTACK-SYNC
تشکر ویژه از مایتره
** ضمنا نسخه ۱۶ از جدول ATT&CK هم ارائه شد .
یک منبع حیاتی از تناظر حملات با کنترل های NIST را هم در سایت مایتره ببینید
https://center-for-threat-informed-defense.github.io/attack-sync/?utm_source=ctidio&utm_medium=shortlink&utm_campaign=ctidio-default
@Engineer_Computer
یک تحلیل جذاب از اسپلانک
https://www.splunk.com/en_us/blog/security/valleyrat-insights-tactics-techniques-and-detection-methods.html
@Engineer_Computer
https://www.splunk.com/en_us/blog/security/valleyrat-insights-tactics-techniques-and-detection-methods.html
@Engineer_Computer
Splunk
ValleyRAT Insights: Tactics, Techniques, and Detection Methods | Splunk
The Splunk Threat Research Team conducts an analysis for several variants of ValleyRAT’s malware samples to extract its MITRE ATT&CK tactics, techniques, and procedures (TTPs).
خود اکتیو دایرکتوری علیه اکتیو دایرکتوری
The LOLAD project provides a comprehensive collection of Active Directory techniques, commands, and functions that can be used natively to support offensive security operations and Red Team exercises
https://lolad-project.github.io/
@Engineer_Computer
The LOLAD project provides a comprehensive collection of Active Directory techniques, commands, and functions that can be used natively to support offensive security operations and Red Team exercises
https://lolad-project.github.io/
@Engineer_Computer
Analysis Cybersecurity Risks of AI-Generated Code.pdf
1.3 MB
خطای بالای کدهای تولید شده توسط هوش مصنوعی ؛ نیاز به ممیزی امنیتی
@Engineer_Computer
@Engineer_Computer
👍1