اپیزودی در حوزه DFIR
https://open.spotify.com/show/4ifGmei1Z8eJJ5q08ayUfS?si=fFBTgI4RTFuayN_517FxpA
بحث در رابطه با این مقاله است
https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://open.spotify.com/show/4ifGmei1Z8eJJ5q08ayUfS?si=fFBTgI4RTFuayN_517FxpA
بحث در رابطه با این مقاله است
https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume/
Please open Telegram to view this post
VIEW IN TELEGRAM
The DFIR Report
The Curious Case of an Egg-Cellent Resume
Key Takeaways Initial access was via a resume lure as part of a TA4557/FIN6 campaign. The threat actor abused LOLbins like ie4uinit.exe and msxsl.exe to run the more_eggs malware. Cobalt Strike and…
❤1🔥1
🦊 Leaked 15k+ #FortiGate VPN accounts including configuration files and #VPN passwords via CVE-2022-40684.
Origin: belsenacdodoy3nsmmyjfmtgjen6ipaqkti7dm2q57vabjx2vzq6tnad.onion/files/FortiGate.zip
Download: https://mega.nz/file/wDhQEC5Y#OctAHTwgv57eRbEc3nvPRb53aX5vxXFIW1HopceZXUI
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Origin: belsenacdodoy3nsmmyjfmtgjen6ipaqkti7dm2q57vabjx2vzq6tnad.onion/files/FortiGate.zip
Download: https://mega.nz/file/wDhQEC5Y#OctAHTwgv57eRbEc3nvPRb53aX5vxXFIW1HopceZXUI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
تحلیل svchost.exe با استفاده از Volatility: بررسی تزریق کد و رفتار مشکوک
تمرین عملی
مقدمه
پروسس svchost.exe در سیستمعامل ویندوز بهعنوان میزبان سرویسهای مختلف سیستم عمل میکند. با این حال، به دلیل ماهیت چندمنظوره و اجرای سرویسهای قانونی، این پروسس هدف محبوبی برای مهاجمان است تا کدهای مخرب را در آن تزریق کنند و از شناسایی توسط ابزارهای امنیتی فرار کنند.
ابزار Volatility بهعنوان یکی از بهترین ابزارهای تحلیل حافظه، میتواند برای شناسایی تزریق کد به svchost.exe و تحلیل رفتار آن استفاده شود.
مراحل تحلیل svchost.exe با Volatility
مرحله 1: جمعآوری حافظه سیستم (Memory Dump)
برای شروع تحلیل، نیاز به یک Memory Dump از سیستم آلوده دارید. این فایل میتواند با استفاده از ابزارهایی مانند DumpIt، FTK Imager، یا LiME ایجاد شود.
مرحله 2: شناسایی پروفایل حافظه
Volatility برای کار با فایل حافظه نیاز به شناسایی پروفایل سیستم دارد. از دستور زیر برای شناسایی پروفایل استفاده کنید:
volatility -f memory.dmp imageinfo
خروجی:
این دستور پروفایلهای پیشنهادی سیستم (مانند Win7SP1x64) را ارائه میدهد.
مرحله 3: شناسایی پروسسهای فعال
با استفاده از دستور pslist یا psscan، فهرست پروسسهای فعال در حافظه را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 pslist
خروجی نمونه:
PID PPID Name Offset(V) 1000 4 System 0x00000000 1500 1000 svchost.exe 0x12345678
این خروجی نشان میدهد که svchost.exe در سیستم اجرا شده است.
مرحله 4: بررسی DLLهای بارگذاریشده توسط svchost.exe
حملات تزریق کد معمولاً شامل بارگذاری DLLهای مخرب در پراسس های قانونی هستند. برای شناسایی DLLهای بارگذاریشده توسط svchost.exe، از دستور dlllist استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 dlllist -p 1500
خروجی نمونه:
Base Size Path 0x7ffd9000 0x12000 C:\Windows\System32\kernel32.dll 0x6d9c0000 0x1f000 C:\Windows\Temp\malicious.dll
در اینجا، DLL مشکوکی به نام malicious.dll شناسایی شده که در مسیر غیرمعمولی (Temp) قرار دارد.
مرحله 5: جستجوی تزریق کد در حافظه
تزریق کد معمولاً شامل تخصیص حافظه جدید در پروسس هدف است. با استفاده از دستور malfind، تزریق کد را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500
خروجی نمونه:
Process: svchost.exe PID: 1500 Address: 0x7a45000 Injected Code: 0x7a45000 - 0x7a46000 Dumped to malfind.1500.0x7a45000.dmp
این خروجی نشان میدهد که کد تزریقی در آدرس حافظه 0x7a45000 قرار دارد.
مرحله 6: استخراج کد تزریقشده
برای تحلیل بیشتر، کد تزریقشده را استخراج کنید. Volatility این امکان را فراهم میکند که محتویات حافظه را برای تحلیل دستی ذخیره کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500 --dump-dir=./dumps
فایلهای تولیدشده را میتوان با ابزارهایی مانند IDA Pro، Ghidra، یا PEStudio بررسی کرد.
مرحله 7: بررسی اتصالات شبکهای svchost.exe
برای شناسایی ارتباطات شبکهای مرتبط با svchost.exe، از دستور netscan استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 netscan
خروجی نمونه:
Proto Local Address Foreign Address PID TCP 192.168.1.10:5040 198.51.100.23:443 1500
در اینجا، svchost.exe با آدرس خارجی مشکوک 198.51.100.23 در حال ارتباط است.
یافتههای تحلیل
تزریق کد در آدرس حافظه 0x7a45000 شناسایی شد.
اینجا DLL مشکوک malicious.dll بارگذاری شده است.
ارتباط شبکهای به آدرس خارجی ناشناخته نشاندهنده احتمال ارتباط با سرور Command and Control است.
جمعبندی
تحلیل پروسس svchost.exe با Volatility میتواند به شناسایی تزریق کد، بارگذاری DLLهای مخرب، و رفتارهای شبکهای غیرعادی کمک کند. این روش برای پاسخ به حوادث امنیتی (Incident Response) و تحلیل بدافزارها ضروری است. با استفاده از ابزارهایی مانند Volatility و بررسی دقیق خروجیها، امکان شناسایی و مقابله با تهدیدات سایبری فراهم میشود.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تمرین عملی
مقدمه
پروسس svchost.exe در سیستمعامل ویندوز بهعنوان میزبان سرویسهای مختلف سیستم عمل میکند. با این حال، به دلیل ماهیت چندمنظوره و اجرای سرویسهای قانونی، این پروسس هدف محبوبی برای مهاجمان است تا کدهای مخرب را در آن تزریق کنند و از شناسایی توسط ابزارهای امنیتی فرار کنند.
ابزار Volatility بهعنوان یکی از بهترین ابزارهای تحلیل حافظه، میتواند برای شناسایی تزریق کد به svchost.exe و تحلیل رفتار آن استفاده شود.
مراحل تحلیل svchost.exe با Volatility
مرحله 1: جمعآوری حافظه سیستم (Memory Dump)
برای شروع تحلیل، نیاز به یک Memory Dump از سیستم آلوده دارید. این فایل میتواند با استفاده از ابزارهایی مانند DumpIt، FTK Imager، یا LiME ایجاد شود.
مرحله 2: شناسایی پروفایل حافظه
Volatility برای کار با فایل حافظه نیاز به شناسایی پروفایل سیستم دارد. از دستور زیر برای شناسایی پروفایل استفاده کنید:
volatility -f memory.dmp imageinfo
خروجی:
این دستور پروفایلهای پیشنهادی سیستم (مانند Win7SP1x64) را ارائه میدهد.
مرحله 3: شناسایی پروسسهای فعال
با استفاده از دستور pslist یا psscan، فهرست پروسسهای فعال در حافظه را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 pslist
خروجی نمونه:
PID PPID Name Offset(V) 1000 4 System 0x00000000 1500 1000 svchost.exe 0x12345678
این خروجی نشان میدهد که svchost.exe در سیستم اجرا شده است.
مرحله 4: بررسی DLLهای بارگذاریشده توسط svchost.exe
حملات تزریق کد معمولاً شامل بارگذاری DLLهای مخرب در پراسس های قانونی هستند. برای شناسایی DLLهای بارگذاریشده توسط svchost.exe، از دستور dlllist استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 dlllist -p 1500
خروجی نمونه:
Base Size Path 0x7ffd9000 0x12000 C:\Windows\System32\kernel32.dll 0x6d9c0000 0x1f000 C:\Windows\Temp\malicious.dll
در اینجا، DLL مشکوکی به نام malicious.dll شناسایی شده که در مسیر غیرمعمولی (Temp) قرار دارد.
مرحله 5: جستجوی تزریق کد در حافظه
تزریق کد معمولاً شامل تخصیص حافظه جدید در پروسس هدف است. با استفاده از دستور malfind، تزریق کد را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500
خروجی نمونه:
Process: svchost.exe PID: 1500 Address: 0x7a45000 Injected Code: 0x7a45000 - 0x7a46000 Dumped to malfind.1500.0x7a45000.dmp
این خروجی نشان میدهد که کد تزریقی در آدرس حافظه 0x7a45000 قرار دارد.
مرحله 6: استخراج کد تزریقشده
برای تحلیل بیشتر، کد تزریقشده را استخراج کنید. Volatility این امکان را فراهم میکند که محتویات حافظه را برای تحلیل دستی ذخیره کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500 --dump-dir=./dumps
فایلهای تولیدشده را میتوان با ابزارهایی مانند IDA Pro، Ghidra، یا PEStudio بررسی کرد.
مرحله 7: بررسی اتصالات شبکهای svchost.exe
برای شناسایی ارتباطات شبکهای مرتبط با svchost.exe، از دستور netscan استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 netscan
خروجی نمونه:
Proto Local Address Foreign Address PID TCP 192.168.1.10:5040 198.51.100.23:443 1500
در اینجا، svchost.exe با آدرس خارجی مشکوک 198.51.100.23 در حال ارتباط است.
یافتههای تحلیل
تزریق کد در آدرس حافظه 0x7a45000 شناسایی شد.
اینجا DLL مشکوک malicious.dll بارگذاری شده است.
ارتباط شبکهای به آدرس خارجی ناشناخته نشاندهنده احتمال ارتباط با سرور Command and Control است.
جمعبندی
تحلیل پروسس svchost.exe با Volatility میتواند به شناسایی تزریق کد، بارگذاری DLLهای مخرب، و رفتارهای شبکهای غیرعادی کمک کند. این روش برای پاسخ به حوادث امنیتی (Incident Response) و تحلیل بدافزارها ضروری است. با استفاده از ابزارهایی مانند Volatility و بررسی دقیق خروجیها، امکان شناسایی و مقابله با تهدیدات سایبری فراهم میشود.
Please open Telegram to view this post
VIEW IN TELEGRAM
استاکس نت تحولی در عصر نفوذ رو رقم زد مستند zero days رو برای مطلع شدن از ابعاد قضیه پیشنهاد میکنم
اما چند مقاله مهم و فنی در این خصوص رو در زیر میگذارم.
من در کلاسهایم در هر سطحی بالاخره یک مروری بر استاکس نت دارم حالا اگر کلاس فنی باشد جزئیات فنی را پیش میکشم و اگر مدیریتی باشد مسائل غیر آن .
چون درس آموخته های استاکس نت خودش آموزش بزرگیست.
مقاله سیمنتک
https://docs.broadcom.com/doc/security-response-w32-stuxnet-dossier-11-en
مقاله کسپرسکی
https://www.kaspersky.com/resource-center/definitions/what-is-stuxnet
https://www.langner.com/stuxnet/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اما چند مقاله مهم و فنی در این خصوص رو در زیر میگذارم.
من در کلاسهایم در هر سطحی بالاخره یک مروری بر استاکس نت دارم حالا اگر کلاس فنی باشد جزئیات فنی را پیش میکشم و اگر مدیریتی باشد مسائل غیر آن .
چون درس آموخته های استاکس نت خودش آموزش بزرگیست.
مقاله سیمنتک
https://docs.broadcom.com/doc/security-response-w32-stuxnet-dossier-11-en
مقاله کسپرسکی
https://www.kaspersky.com/resource-center/definitions/what-is-stuxnet
https://www.langner.com/stuxnet/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1👏1🕊1
🏮جایی که ابزار کم میاورد اما دانش میتواند جلو برود
◀️بسیاری از ما از volatility برای تحلیل حافظه در فارنزیک و کشف حملات پیچیده استفاده میکنیم. اما آیا به این فکر کرده اید این دستوراتی که درvolatility اینقدر سر راست برای ما اطلاعات را بیرون میکشند زمانی ممکن است دور بخورند ؟
🔴خیلی سوال مهمی است چون در برخی کلاسها تاکید بسیاری بر این ابزار است اما آیا در عمل کاملا میتواند موفق باشد ؟
✴️نمونه بدافزارهایی که Volatility را میتوانند دور بزنند:
Turla Rootkit (Snake):
این بدافزار از تکنیکهای پنهانسازی پیشرفته برای پنهان کردن فعالیتهای خود در حافظه و شبکه استفاده میکند.
Stuxnet:
با تزریق کدهای پیشرفته به فرآیندهای سیستم و استفاده از مبهمسازی.
ShadowHammer:
این بدافزار با دستکاری ماژولها و استفاده از گواهینامههای معتبر سعی در گمراه کردن تحلیلگران داشت.
GrayFish (Equation Group):
این بدافزار در BIOS و حافظه مخفی میشود و تشخیص آن بسیار دشوار است.
🔵تکلیف : کمی درباره علت توضیح دادم ولی بیشتر دقیق شوید و بررسی کنید چرا این اتفاقات میافتد.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
◀️بسیاری از ما از volatility برای تحلیل حافظه در فارنزیک و کشف حملات پیچیده استفاده میکنیم. اما آیا به این فکر کرده اید این دستوراتی که درvolatility اینقدر سر راست برای ما اطلاعات را بیرون میکشند زمانی ممکن است دور بخورند ؟
🔴خیلی سوال مهمی است چون در برخی کلاسها تاکید بسیاری بر این ابزار است اما آیا در عمل کاملا میتواند موفق باشد ؟
✴️نمونه بدافزارهایی که Volatility را میتوانند دور بزنند:
Turla Rootkit (Snake):
این بدافزار از تکنیکهای پنهانسازی پیشرفته برای پنهان کردن فعالیتهای خود در حافظه و شبکه استفاده میکند.
Stuxnet:
با تزریق کدهای پیشرفته به فرآیندهای سیستم و استفاده از مبهمسازی.
ShadowHammer:
این بدافزار با دستکاری ماژولها و استفاده از گواهینامههای معتبر سعی در گمراه کردن تحلیلگران داشت.
GrayFish (Equation Group):
این بدافزار در BIOS و حافظه مخفی میشود و تشخیص آن بسیار دشوار است.
🔵تکلیف : کمی درباره علت توضیح دادم ولی بیشتر دقیق شوید و بررسی کنید چرا این اتفاقات میافتد.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1👏1
خب این جمعه تمرکز رو بگذاریم رو تحلیل بدافزار
شروع رو از یک تمرین ساده با Ghidra داریم
خیلی سختش نکنید
ویدئو رو ببینید
این لینک هم بخونین
https://medium.com/@cy1337/reversing-a-simple-crackme-with-ghidra-decompiler-5dd1b1c3c0ba
https://m.youtube.com/watch?v=fTGTnrgjuGA
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
شروع رو از یک تمرین ساده با Ghidra داریم
خیلی سختش نکنید
ویدئو رو ببینید
این لینک هم بخونین
https://medium.com/@cy1337/reversing-a-simple-crackme-with-ghidra-decompiler-5dd1b1c3c0ba
https://m.youtube.com/watch?v=fTGTnrgjuGA
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Reversing a Simple CrackMe with Ghidra Decompiler
In this article, I will walk through a simple crackme challenge from the collection of sample files for A Guide to Reversing with Ghidra…
❤1🔥1👏1
یک تحلیل واقعی
برای مبتدیان
برای انجام یک تحلیل واقعی با استفاده از Ghidra، میتوانیم یک نمونه ساده از برنامههای CrackMe را بررسی کنیم. این برنامهها برای تمرین مهارتهای مهندسی معکوس طراحی شدهاند و محیطی امن برای یادگیری فراهم میکنند.
مرحله 1: دانلود یک نمونه CrackMe
دریافت فایل:
به وبسایت Crackmes.one مراجعه کنید.
یک CrackMe با سطح دشواری "آسان" را انتخاب و دانلود کنید.
مرحله 2: راهاندازی Ghidra
ایجاد پروژه جدید:
Ghidra را باز کنید و یک پروژه جدید ایجاد کنید.
نام پروژه را متناسب با نمونه انتخابی قرار دهید.
وارد کردن فایل اجرایی:
فایل CrackMe دانلودشده را به پروژه وارد کنید.
Ghidra بهطور خودکار نوع فایل را شناسایی میکند.
مرحله 3: تحلیل اولیه فایل
اجرای تحلیل خودکار:
پس از وارد کردن فایل، Ghidra پیشنهاد میدهد که تحلیل خودکار را انجام دهد؛ این فرآیند را تأیید کنید.
این تحلیل شامل شناسایی توابع، رشتهها و ساختارهای دادهای است.
مرحله 4: جستجوی رشتهها (Strings)
نمایش رشتهها:
از منوی Window > Defined Strings استفاده کنید تا تمامی رشتههای موجود در برنامه را مشاهده کنید.
به دنبال رشتههایی مانند "Password incorrect" یا "Access granted" باشید که ممکن است به فرآیند تأیید رمز عبور مرتبط باشند.
مرحله 5: تحلیل توابع مرتبط با رمز عبور
شناسایی توابع مهم:
در پنجره Symbol Tree، به بخش Functions بروید و توابعی که ممکن است با تأیید رمز عبور مرتبط باشند را شناسایی کنید.
توابعی با نامهایی مانند check_password یا validate میتوانند مورد توجه باشند.
دیکامپایل توابع:
روی تابع مورد نظر دوبار کلیک کنید تا کد اسمبلی آن نمایش داده شود.
در پنجره Decompile، کد شبهC نمایش داده میشود که درک آن سادهتر است.
مرحله 6: شناسایی رمز عبور
بررسی منطق تأیید:
در کد دیکامپایلشده، به دنبال مقایسههایی باشید که ورودی کاربر را با یک مقدار ثابت مقایسه میکنند.
اگر مقدار ثابت (رمز عبور) در کد مشخص باشد، میتوانید آن را استخراج کنید.
شناسایی الگوریتمهای مبهمسازی:
در صورتی که رمز عبور بهصورت مستقیم در کد نباشد، ممکن است از الگوریتمهای رمزنگاری یا مبهمسازی استفاده شده باشد که نیاز به تحلیل دقیقتر دارد.
مرحله 7: آزمایش رمز عبور
اجرای برنامه:
برنامه CrackMe را اجرا کنید و رمز عبور استخراجشده را وارد کنید.
در صورت صحیح بودن تحلیل، باید پیام موفقیت را مشاهده کنید.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
برای مبتدیان
برای انجام یک تحلیل واقعی با استفاده از Ghidra، میتوانیم یک نمونه ساده از برنامههای CrackMe را بررسی کنیم. این برنامهها برای تمرین مهارتهای مهندسی معکوس طراحی شدهاند و محیطی امن برای یادگیری فراهم میکنند.
مرحله 1: دانلود یک نمونه CrackMe
دریافت فایل:
به وبسایت Crackmes.one مراجعه کنید.
یک CrackMe با سطح دشواری "آسان" را انتخاب و دانلود کنید.
مرحله 2: راهاندازی Ghidra
ایجاد پروژه جدید:
Ghidra را باز کنید و یک پروژه جدید ایجاد کنید.
نام پروژه را متناسب با نمونه انتخابی قرار دهید.
وارد کردن فایل اجرایی:
فایل CrackMe دانلودشده را به پروژه وارد کنید.
Ghidra بهطور خودکار نوع فایل را شناسایی میکند.
مرحله 3: تحلیل اولیه فایل
اجرای تحلیل خودکار:
پس از وارد کردن فایل، Ghidra پیشنهاد میدهد که تحلیل خودکار را انجام دهد؛ این فرآیند را تأیید کنید.
این تحلیل شامل شناسایی توابع، رشتهها و ساختارهای دادهای است.
مرحله 4: جستجوی رشتهها (Strings)
نمایش رشتهها:
از منوی Window > Defined Strings استفاده کنید تا تمامی رشتههای موجود در برنامه را مشاهده کنید.
به دنبال رشتههایی مانند "Password incorrect" یا "Access granted" باشید که ممکن است به فرآیند تأیید رمز عبور مرتبط باشند.
مرحله 5: تحلیل توابع مرتبط با رمز عبور
شناسایی توابع مهم:
در پنجره Symbol Tree، به بخش Functions بروید و توابعی که ممکن است با تأیید رمز عبور مرتبط باشند را شناسایی کنید.
توابعی با نامهایی مانند check_password یا validate میتوانند مورد توجه باشند.
دیکامپایل توابع:
روی تابع مورد نظر دوبار کلیک کنید تا کد اسمبلی آن نمایش داده شود.
در پنجره Decompile، کد شبهC نمایش داده میشود که درک آن سادهتر است.
مرحله 6: شناسایی رمز عبور
بررسی منطق تأیید:
در کد دیکامپایلشده، به دنبال مقایسههایی باشید که ورودی کاربر را با یک مقدار ثابت مقایسه میکنند.
اگر مقدار ثابت (رمز عبور) در کد مشخص باشد، میتوانید آن را استخراج کنید.
شناسایی الگوریتمهای مبهمسازی:
در صورتی که رمز عبور بهصورت مستقیم در کد نباشد، ممکن است از الگوریتمهای رمزنگاری یا مبهمسازی استفاده شده باشد که نیاز به تحلیل دقیقتر دارد.
مرحله 7: آزمایش رمز عبور
اجرای برنامه:
برنامه CrackMe را اجرا کنید و رمز عبور استخراجشده را وارد کنید.
در صورت صحیح بودن تحلیل، باید پیام موفقیت را مشاهده کنید.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1👏1🤩1
کشف دامپ با taskmanager
در حمله ای مشاهده شده که هکر با دسترسی ادمینی که داشته بجای استفاده از Mimikatz از taskmanager اومده و دامپ lsass.exe رو گرفته تا بتونه کردنشیال رو دربیاره .
چرا از این روش که استفاده از LOLBins - ابزارهای ویندوز-نام داره استفاده کرده ؟
تا ابزارهای حساس به Mimikatz که ابزاری هکری هست فعال نشن.
واسه گرفتن این رفتار من از سیسمون استفاده میکنم. به شرح کانفیگ فایل زیر .
شما هم اگر نظری دارید بفرمایید .
<EventFiltering>
<ProcessAccess onmatch="include">
<TargetImage condition="contains">lsass.exe</TargetImage>
<SourceImage condition="contains">taskmgr.exe</SourceImage>
<GrantedAccess condition="contains">0x1410</GrantedAccess> <!-- Specific LSASS memory access -->
</ProcessAccess>
<ProcessCreate onmatch="include">
<Image condition="contains">taskmgr.exe</Image>
<CommandLine condition="contains">lsass</CommandLine> <!-- Task Manager dump triggers -->
</ProcessCreate>
<FileCreate onmatch="include">
<TargetFilename condition="ends with">.dmp</TargetFilename>
<TargetFilename condition="contains">\Windows\Temp\</TargetFilename>
<TargetFilename condition="contains">\CrashDumps\</TargetFilename>
</FileCreate>
</EventFiltering>
تایپ دسترسی (0x1410) تلاش برای خواندن رو لاگ میکنه اگر شما اینو که فیلتر GrantedAccess است در کانفیگ سیسمون نداشته باشید دچار FP میشین.
حتما باید ایجاد پراسس پایش بشه
خروجی دامپ با پسوند .dmp
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
در حمله ای مشاهده شده که هکر با دسترسی ادمینی که داشته بجای استفاده از Mimikatz از taskmanager اومده و دامپ lsass.exe رو گرفته تا بتونه کردنشیال رو دربیاره .
چرا از این روش که استفاده از LOLBins - ابزارهای ویندوز-نام داره استفاده کرده ؟
تا ابزارهای حساس به Mimikatz که ابزاری هکری هست فعال نشن.
واسه گرفتن این رفتار من از سیسمون استفاده میکنم. به شرح کانفیگ فایل زیر .
شما هم اگر نظری دارید بفرمایید .
<EventFiltering>
<ProcessAccess onmatch="include">
<TargetImage condition="contains">lsass.exe</TargetImage>
<SourceImage condition="contains">taskmgr.exe</SourceImage>
<GrantedAccess condition="contains">0x1410</GrantedAccess> <!-- Specific LSASS memory access -->
</ProcessAccess>
<ProcessCreate onmatch="include">
<Image condition="contains">taskmgr.exe</Image>
<CommandLine condition="contains">lsass</CommandLine> <!-- Task Manager dump triggers -->
</ProcessCreate>
<FileCreate onmatch="include">
<TargetFilename condition="ends with">.dmp</TargetFilename>
<TargetFilename condition="contains">\Windows\Temp\</TargetFilename>
<TargetFilename condition="contains">\CrashDumps\</TargetFilename>
</FileCreate>
</EventFiltering>
تایپ دسترسی (0x1410) تلاش برای خواندن رو لاگ میکنه اگر شما اینو که فیلتر GrantedAccess است در کانفیگ سیسمون نداشته باشید دچار FP میشین.
حتما باید ایجاد پراسس پایش بشه
خروجی دامپ با پسوند .dmp
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1👍1
⭕️ تبریک ویژه به علیرضا امیرحیدری محقق امنیت سایبری برجسته که در ماه های اخیر جز Top 10 محقق های امنیت مایکروسافت قرار گرفت.
رتبه سوم :
2024 Q4 Azure Leaderboard
رتبه هفتم :
2024 Q4 Security Researcher Leaderboard
تاحالا حدود 20 هزار دلار جایزه بابت گزارش های متعدد آسیب پذیری دریافت کرده.
+ تعدادی آسیب پذیری دیگه هم گزارش داده که منتظر تاییدیه نهایی برای پرداخت بانتی هستن:)
https://msrc.microsoft.com/blog/2025/01/congratulations-to-the-top-msrc-2024-q4-security-researchers/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
رتبه سوم :
2024 Q4 Azure Leaderboard
رتبه هفتم :
2024 Q4 Security Researcher Leaderboard
تاحالا حدود 20 هزار دلار جایزه بابت گزارش های متعدد آسیب پذیری دریافت کرده.
+ تعدادی آسیب پذیری دیگه هم گزارش داده که منتظر تاییدیه نهایی برای پرداخت بانتی هستن:)
https://msrc.microsoft.com/blog/2025/01/congratulations-to-the-top-msrc-2024-q4-security-researchers/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍1🔥1
managing-cyber-risk-stakeholder-capitalism.pdf
1.6 MB
مقاله فوق: "مدیریت ریسک سایبری در عصر سرمایهداری ذینفعمحور" ،
نشان میدهد که رویکردهای سنتی ارزیابی ریسکهای سایبری ناکافی هستند و نیاز به یک چارچوب جامعتر وجود دارد. با استفاده از معیارهای اجتماعی و حکمرانی (SG)، سازمانها میتوانند هزینههای واقعی ناشی از نقض امنیت سایبری را بهتر درک کنند و استراتژیهای بهتری برای مدیریت این ریسکها توسعه دهند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
نشان میدهد که رویکردهای سنتی ارزیابی ریسکهای سایبری ناکافی هستند و نیاز به یک چارچوب جامعتر وجود دارد. با استفاده از معیارهای اجتماعی و حکمرانی (SG)، سازمانها میتوانند هزینههای واقعی ناشی از نقض امنیت سایبری را بهتر درک کنند و استراتژیهای بهتری برای مدیریت این ریسکها توسعه دهند.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥1👏1
🔴مهم برای SOC
پراسس هالویینگ با آخرین به روز رسانی ویندوز ۱۱ دیگر ممکن نیست !
اما لینک زیر چیز دیگر میگوید
پس به فکر کشف باشید که دیر نشود
https://hshrzd.wordpress.com/2025/01/27/process-hollowing-on-windows-11-24h2
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
پراسس هالویینگ با آخرین به روز رسانی ویندوز ۱۱ دیگر ممکن نیست !
اما لینک زیر چیز دیگر میگوید
پس به فکر کشف باشید که دیر نشود
https://hshrzd.wordpress.com/2025/01/27/process-hollowing-on-windows-11-24h2
Please open Telegram to view this post
VIEW IN TELEGRAM
hasherezade's 1001 nights
Process Hollowing on Windows 11 24H2
Process Hollowing (a.k.a. RunPE) is probably the oldest, and the most popular process impersonation technique (it allows to run a malicious executable under the cover of a benign process). It is us…
🔥1🤩1👨💻1🗿1
طرح آزمایشی اتصال مستقیم تلفن همراه به اینترنت ماهوارهای استارلینک، یک روز دیگر آغاز میشود
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🎉1🤩1🕊1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1🔥1👏1
مقاله تحلیلی DFIR
https://thedfirreport.com/2025/01/27/cobalt-strike-and-a-pair-of-socks-lead-to-lockbit-ransomware
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://thedfirreport.com/2025/01/27/cobalt-strike-and-a-pair-of-socks-lead-to-lockbit-ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
The DFIR Report
Cobalt Strike and a Pair of SOCKS Lead to LockBit Ransomware
Key Takeaways This intrusion began with the download and execution of a Cobalt Strike beacon that impersonated a Windows Media Configuration Utility. The threat actor used Rclone to exfiltrate data…
👍1🔥1👏1🕊1
ران بوک های مدیریت حادثه
https://github.com/securitytemplates/sectemplates/blob/main/incident-response/v1/Incident_response_runbook.md
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/securitytemplates/sectemplates/blob/main/incident-response/v1/Incident_response_runbook.md
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
sectemplates/incident-response/v1/Incident_response_runbook.md at main · securitytemplates/sectemplates
Open source templates you can use to bootstrap your security programs - securitytemplates/sectemplates
🔥2❤1👍1
joint-guidance-closing-the-software-understanding-gap-508c.pdf
944.9 KB
نگاهی به امنیت نرم افزار از زاویه ای دیگر
مستندی جدید در سال 2025
مقاله ای از سازمانهایCISA, DARPA, OUSD R&E, and NSA
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
مستندی جدید در سال 2025
مقاله ای از سازمانهایCISA, DARPA, OUSD R&E, and NSA
Please open Telegram to view this post
VIEW IN TELEGRAM
🕊2🔥1👏1
یه تحلیل
بخونین بعد بخوابین خوبه
فوری نیست ولی آموزنده است
https://www.fortinet.com/blog/threat-research/coyote-banking-trojan-a-stealthy-attack-via-lnk-files
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
بخونین بعد بخوابین خوبه
فوری نیست ولی آموزنده است
https://www.fortinet.com/blog/threat-research/coyote-banking-trojan-a-stealthy-attack-via-lnk-files
Please open Telegram to view this post
VIEW IN TELEGRAM
Fortinet Blog
Coyote Banking Trojan: A Stealthy Attack via LNK Files
FortiGuard Labs observes a threat actor using a LNK file to deploy Coyote attacks, unleashing malicious payloads and escalating the risk to financial cybersecurity.…
❤2🔥2👍1
یکی از اون گزارش های خوب از واحد 42 پالو آلتو
https://buff.ly/3Cmfz1o
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://buff.ly/3Cmfz1o
Please open Telegram to view this post
VIEW IN TELEGRAM
Unit 42
CL-STA-0048: An Espionage Operation Against High-Value Targets in South Asia
A Chinese-linked espionage campaign targeted entities in South Asia using rare techniques like DNS exfiltration, with the aim to steal sensitive data. A Chinese-linked espionage campaign targeted entities in South Asia using rare techniques like DNS exfiltration…
🔥3👍1👨💻1
⭕️ شاید خطر مهم برای ما !!
یک فناوری مایکروسافت برای کمک به آنتی ویروس ؛ EDR و XDR
این پست را پیرو ابهام برخی دوستان در مورد پست قبلی ام در خصوص Bypass محصولات امنیتی میگذارم. فناوری PPL
✅فناوری Protected Process Light (PPL)یک مکانیسم امنیتی در ویندوز است که با استفاده از آن، مایکروسافت سطح محافظتی ویژهای برای پردازشهای حساس، مانند آنتیویروسها و EDRها، فراهم میکند. این مکانیسم چندین مزیت مهم برای این ابزارهای امنیتی دارد:
۱. جلوگیری از حملات تزریق کد و دستکاری پردازش
بدافزارها معمولاً سعی میکنند با تزریق کد به پردازشهای امنیتی یا تغییر حافظه آنها، فعالیتشان را غیرفعال کنند.
مکانیسم PPL اجازه نمیدهد که پردازشهای غیرمجاز (حتی با سطح دسترسی بالا) به پردازشهای محافظتشده دسترسی داشته باشند، مگر اینکه خودشان هم سطح محافظت مشابهی داشته باشند.
۲. محافظت از سرویسهای آنتیویروس و EDR
بسیاری از آنتیویروسها و EDRها پردازشهای اصلی خود را در حالت PPL اجرا میکنند، به این معنی که حتی با دسترسی SYSTEM نیز امکان متوقف کردن یا دستکاری آنها وجود ندارد.
این ویژگی مانع از غیرفعالسازی خودکار توسط بدافزارها میشود.
۳. محافظت از درایورهای کرنل
برخی راهحلهای امنیتی علاوه بر پردازشهای کاربری، از درایورهای کرنل هم استفاده میکنند.
این PPL میتواند از درایورهای مرتبط با این ابزارها نیز محافظت کند، بهخصوص در برابر rootkitهایی که سعی در غیر فعالسازی درایورهای امنیتی دارند.
۴. افزایش سختی دور زدن مکانیزمهای امنیتی
بدافزارهایی مانند KillAV معمولاً سعی میکنند سرویسهای آنتیویروس را متوقف کنند. اما PPL باعث میشود حتی اگر بدافزار دسترسی مدیریتی (Admin) هم داشته باشد، نتواند پردازشهای آنتیویروس یا EDR را متوقف کند.
۵. ارتباط امن با سایر سرویسهای ویندوز
پردازشهایی که در حالت PPL اجرا میشوند، فقط میتوانند با سایر پردازشهای PPL یا پردازشهای سیستمی خاص ارتباط داشته باشند.
این موضوع امنیت ارتباطات آنتیویروس یا EDR با سرویسهایی مثل Windows Defender یا Credential Guard را افزایش میدهد.
🔴چالشهای PPL
برخی بدافزارهای پیشرفته (مثل ابزارهای کرنل-level) سعی میکنند این مکانیزم را دور بزنند.
آنتیویروسها برای اجرای کامل در حالت PPL نیاز به امضای خاصی از مایکروسافت دارند
🔵نتیجهگیری
مکانیسم PPL یک سد امنیتی مهم برای جلوگیری از غیرفعال شدن یا دستکاری ابزارهای امنیتی مثل آنتیویروسها و EDR و XDR ها است. با این حال، سازمانها باید این مکانیسم را در کنار سایر اقدامات امنیتی، مثل کنترل دسترسیها و بررسی تهدیدات در سطح کرنل، به کار ببرند تا اثربخشی بالایی داشته باشد.
✴️ خطر : با توجه به متن فوق ؛ درحال حاضر محصولات بومی در این زمینه ضعف دارند و میتوانند Bypass شوند، چون نمیتوانند مورد تایید مایکروسافت قرار گیرند پس در PPL نیستند لذا بازی شروع نشده ، یک بر صفر در مقابله با نفوذ و بدافزار عقب هستیم.
راه حلی نیز بعنوان راهکار جایگزین بصورت عملی توسط محصولات بومی ارائه نشده است .
💥این متن مخالفت با تولید بومی نیست و فقط دغدغه ای در حوزه امنیت سازمانها و امنیت ملی را مطرح میکند انشالله که حل شود.
لینک توضیح فناوری
https://learn.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یک فناوری مایکروسافت برای کمک به آنتی ویروس ؛ EDR و XDR
این پست را پیرو ابهام برخی دوستان در مورد پست قبلی ام در خصوص Bypass محصولات امنیتی میگذارم. فناوری PPL
✅فناوری Protected Process Light (PPL)یک مکانیسم امنیتی در ویندوز است که با استفاده از آن، مایکروسافت سطح محافظتی ویژهای برای پردازشهای حساس، مانند آنتیویروسها و EDRها، فراهم میکند. این مکانیسم چندین مزیت مهم برای این ابزارهای امنیتی دارد:
۱. جلوگیری از حملات تزریق کد و دستکاری پردازش
بدافزارها معمولاً سعی میکنند با تزریق کد به پردازشهای امنیتی یا تغییر حافظه آنها، فعالیتشان را غیرفعال کنند.
مکانیسم PPL اجازه نمیدهد که پردازشهای غیرمجاز (حتی با سطح دسترسی بالا) به پردازشهای محافظتشده دسترسی داشته باشند، مگر اینکه خودشان هم سطح محافظت مشابهی داشته باشند.
۲. محافظت از سرویسهای آنتیویروس و EDR
بسیاری از آنتیویروسها و EDRها پردازشهای اصلی خود را در حالت PPL اجرا میکنند، به این معنی که حتی با دسترسی SYSTEM نیز امکان متوقف کردن یا دستکاری آنها وجود ندارد.
این ویژگی مانع از غیرفعالسازی خودکار توسط بدافزارها میشود.
۳. محافظت از درایورهای کرنل
برخی راهحلهای امنیتی علاوه بر پردازشهای کاربری، از درایورهای کرنل هم استفاده میکنند.
این PPL میتواند از درایورهای مرتبط با این ابزارها نیز محافظت کند، بهخصوص در برابر rootkitهایی که سعی در غیر فعالسازی درایورهای امنیتی دارند.
۴. افزایش سختی دور زدن مکانیزمهای امنیتی
بدافزارهایی مانند KillAV معمولاً سعی میکنند سرویسهای آنتیویروس را متوقف کنند. اما PPL باعث میشود حتی اگر بدافزار دسترسی مدیریتی (Admin) هم داشته باشد، نتواند پردازشهای آنتیویروس یا EDR را متوقف کند.
۵. ارتباط امن با سایر سرویسهای ویندوز
پردازشهایی که در حالت PPL اجرا میشوند، فقط میتوانند با سایر پردازشهای PPL یا پردازشهای سیستمی خاص ارتباط داشته باشند.
این موضوع امنیت ارتباطات آنتیویروس یا EDR با سرویسهایی مثل Windows Defender یا Credential Guard را افزایش میدهد.
🔴چالشهای PPL
برخی بدافزارهای پیشرفته (مثل ابزارهای کرنل-level) سعی میکنند این مکانیزم را دور بزنند.
آنتیویروسها برای اجرای کامل در حالت PPL نیاز به امضای خاصی از مایکروسافت دارند
🔵نتیجهگیری
مکانیسم PPL یک سد امنیتی مهم برای جلوگیری از غیرفعال شدن یا دستکاری ابزارهای امنیتی مثل آنتیویروسها و EDR و XDR ها است. با این حال، سازمانها باید این مکانیسم را در کنار سایر اقدامات امنیتی، مثل کنترل دسترسیها و بررسی تهدیدات در سطح کرنل، به کار ببرند تا اثربخشی بالایی داشته باشد.
✴️ خطر : با توجه به متن فوق ؛ درحال حاضر محصولات بومی در این زمینه ضعف دارند و میتوانند Bypass شوند، چون نمیتوانند مورد تایید مایکروسافت قرار گیرند پس در PPL نیستند لذا بازی شروع نشده ، یک بر صفر در مقابله با نفوذ و بدافزار عقب هستیم.
راه حلی نیز بعنوان راهکار جایگزین بصورت عملی توسط محصولات بومی ارائه نشده است .
💥این متن مخالفت با تولید بومی نیست و فقط دغدغه ای در حوزه امنیت سازمانها و امنیت ملی را مطرح میکند انشالله که حل شود.
لینک توضیح فناوری
https://learn.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-
Please open Telegram to view this post
VIEW IN TELEGRAM
Docs
Protecting anti-malware services - Win32 apps
Learn about protecting anti-malware (AM) user mode services and how you can opt to include this feature in your anti-malware service.
❤1🔥1👏1🗿1