این شبها با عزیزی اینو بحث کردیم گفتم شما هم بدونید که تست کنید. برخی از شما در کلاسهایی که داشتیم باهم کارکردیم برخی هم اگر کار نکردین انجام بدین
https://github.com/NextronSystems/APTSimulator
تجربیات کلیدی از کار با APT Simulator
🎈عدم شناسایی برخی تکنیکها توسط SIEM
وقتی برای اولین بار APT Simulator را در مجموعه ای اجرا کردم، انتظار داشتم SIEM بهسرعت همه رفتارهای مشکوک را تشخیص بده اما در کمال تعجب، برخی حملات کاملاً از دید SIEM مخفی ماندند!
نمونهای از تکنیکی که شناسایی نشد:
تکنیک T1086 – PowerShell Execution اجرا شد و در Windows Event Logs (ID 4104) نشانههایی از اجرای PowerShell دیده شد، اما SIEM هیچ هشداری نداد!
✅ درس آموختهشده:
باید قوانین سفارشی را در SIEM نوشت تا اجرای PowerShell مشکوک را تشخیص دهد.
🎈فرار از شناسایی توسط EDR
در یک سناریو، قصد داشتم ببینم که آیا EDR قادر به شناسایی اجرای مخفیانه ابزارهای مخرب است یا خیر. APT Simulator از تکنیکی مثل T1055 – Process Injection استفاده کرد.
نتیجه:
در اون سازمان EDR برخی رفتارهای مخرب را شناسایی کرد، اما در برخی موارد که حمله روی فرآیندهای سیستمی امضا نشده اجرا شد، تشخیص داده نشد.
✅ درس آموختهشده:
نسبت به تغییر EDR اقدام کردیم
🎈 بررسی اثر حملات بر روی لاگهای ویندوز
یکی از مفیدترین تجربهها برای من این بود که بعد از اجرای حملات، بررسی کنم که چه تغییراتی در لاگهای ویندوز ایجاد شده است.
متوجه شدم Auditing به دقت تنظیم نشده است لذا یکبار بر این موضوع وقت گذاشتم البته برای یک مجموعه دیگر بر روی سیسمون کار کردم
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/NextronSystems/APTSimulator
تجربیات کلیدی از کار با APT Simulator
🎈عدم شناسایی برخی تکنیکها توسط SIEM
وقتی برای اولین بار APT Simulator را در مجموعه ای اجرا کردم، انتظار داشتم SIEM بهسرعت همه رفتارهای مشکوک را تشخیص بده اما در کمال تعجب، برخی حملات کاملاً از دید SIEM مخفی ماندند!
نمونهای از تکنیکی که شناسایی نشد:
تکنیک T1086 – PowerShell Execution اجرا شد و در Windows Event Logs (ID 4104) نشانههایی از اجرای PowerShell دیده شد، اما SIEM هیچ هشداری نداد!
✅ درس آموختهشده:
باید قوانین سفارشی را در SIEM نوشت تا اجرای PowerShell مشکوک را تشخیص دهد.
🎈فرار از شناسایی توسط EDR
در یک سناریو، قصد داشتم ببینم که آیا EDR قادر به شناسایی اجرای مخفیانه ابزارهای مخرب است یا خیر. APT Simulator از تکنیکی مثل T1055 – Process Injection استفاده کرد.
نتیجه:
در اون سازمان EDR برخی رفتارهای مخرب را شناسایی کرد، اما در برخی موارد که حمله روی فرآیندهای سیستمی امضا نشده اجرا شد، تشخیص داده نشد.
✅ درس آموختهشده:
نسبت به تغییر EDR اقدام کردیم
🎈 بررسی اثر حملات بر روی لاگهای ویندوز
یکی از مفیدترین تجربهها برای من این بود که بعد از اجرای حملات، بررسی کنم که چه تغییراتی در لاگهای ویندوز ایجاد شده است.
متوجه شدم Auditing به دقت تنظیم نشده است لذا یکبار بر این موضوع وقت گذاشتم البته برای یک مجموعه دیگر بر روی سیسمون کار کردم
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - NextronSystems/APTSimulator: A toolset to make a system look as if it was the victim of an APT attack
A toolset to make a system look as if it was the victim of an APT attack - NextronSystems/APTSimulator
نمیدونم بگم اونهایی که این نوع مقالات رو میخونن چه جایگاهی دارند؛ ولی کارشون درسته که بنیادین عمل میکنند
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-4-%E2%80%93-enforcing-aes-for-kerberos/4114965
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-4-%E2%80%93-enforcing-aes-for-kerberos/4114965
Please open Telegram to view this post
VIEW IN TELEGRAM
TECHCOMMUNITY.MICROSOFT.COM
Active Directory Hardening Series - Part 4 – Enforcing AES for Kerberos | Microsoft Community Hub
Disabling Kerberos RC4 is a top priority for many organizations today but identifying devices that don't support AES has been very challenging. In this...
استفاده از دستگاه دروغ سنج در دپارتمان امنیت ملی آمریکا برای یافتن سرمنشاء نشت اطلاعات
https://www-nbcnews-com.cdn.ampproject.org/c/s/www.nbcnews.com/news/amp/rcna195485
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www-nbcnews-com.cdn.ampproject.org/c/s/www.nbcnews.com/news/amp/rcna195485
Please open Telegram to view this post
VIEW IN TELEGRAM
www-nbcnews-com.cdn.ampproject.org
DHS has begun performing polygraph tests on employees to find leakers
DHS Secretary Kristi Noem and border czar Tom Homan have blamed lower-than-expected ICE arrest numbers on recent leaks about planned operations.
یه ویدئو براتون میگذارم تا چیستی ETW دستتون بیاد
https://youtu.be/-i_xAF7JqyA?si=Iov9GT_bnJyU6Kfg
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://youtu.be/-i_xAF7JqyA?si=Iov9GT_bnJyU6Kfg
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Introduction to ETW
اینم یه مقاله خوب واسه سطح ۲ مرکز عملیات
https://www.thedfirspot.com/post/lateral-movement-remote-desktop-protocol-rdp-event-logs
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.thedfirspot.com/post/lateral-movement-remote-desktop-protocol-rdp-event-logs
Please open Telegram to view this post
VIEW IN TELEGRAM
The DFIR Spot
Lateral Movement - Remote Desktop Protocol (RDP) Event Logs
Identify the important Windows Event logs to hunt RDP lateral movement, both from the source and target system.
سیسمون و Audit در ویندوز برای SOC
میدونیم که سیسمون چه رویداد هایی رو لاگ میاندازد. و میدونیم ویندوز بصورت پیش فرض یکسری رویداد ها را لاگ نمیکند و لازم است Audit را تنظیم کرد. حالا با نگاهی به حملات بیایید بررسی کنیم چه چیزهایی رو نمیشه با تنظیم سیسمون گرفت و لازمه با تنظیم audit در ویندوز لاگ گیری کرد ، آیا سیسمون به تنهایی کافیه؟
سیسمون (Sysmon) یک ابزار قدرتمند برای لاگگیری از فعالیتهای سیستمی در ویندوز است، اما محدودیتهایی دارد که باعث میشود در برخی موارد نیاز به تنظیمات Windows Audit Policy باشد. در اینجا برخی از حملات را بررسی میکنیم و مشخص میکنیم که آیا سیسمون بهتنهایی کافی است یا باید از Windows Audit نیز استفاده شود:
۱. حملات اجرای کد از راه دور (RCE) و Exploitation
✅ سیسمون لاگ میگیرد:
این Sysmon با Event ID 1 (Process Creation) میتواند اجرای پردازشهای مشکوک را ثبت کند.
Event ID 8 (CreateRemoteThread) و Event ID 10 (ProcessAccess) میتوانند برای شناسایی حملات تزریق کد به کار روند.
❌ اما کافی نیست، Audit لازم است:
Object Access > Audit Handle Manipulation
میتواند برای بررسی دسترسیهای غیرمجاز روی حافظه یا فایلها کمک کند.
Privilege Use > Audit Sensitive Privilege Use
میتواند استفاده از توکنهای حساس را لاگ کند.
۲. حملات مربوط به دستکاری لاگها و حذف ردپاها
✅ سیسمون لاگ میگیرد:
Event ID 5 (Process Terminated)
برای بررسی فرآیندهای غیرعادی که در تلاش برای حذف ردپاها هستند.
Event ID 22 (DNS Query)
برای شناسایی درخواستهای مشکوک به سرویسهای C2.
❌ اما کافی نیست، Audit لازم است:
Audit Policy Change برای بررسی تغییرات در تنظیمات لاگگیری ویندوز.
System > Audit System Integrity
برای بررسی تغییرات غیرمجاز در رجیستری و فایلهای سیستم.
۳. حملات Pass-the-Hash (PtH) و Pass-the-Ticket (PtT)
✅ سیسمون لاگ میگیرد:
Event ID 10 (Process Access) برای مشاهده تلاشهای دسترسی به پردازشهای LSASS.
❌ اما کافی نیست، Audit لازم است:
Logon/Logoff > Audit Logon برای ثبت لاگینهای مشکوک.
Credential Validation > Audit Credential Validation
برای بررسی تأییدیههای هویتی.
Special Logon
برای بررسی ورودهای مدیریتی و استفاده از توکنهای خاص.
۴. حملات مربوط به ایجاد کاربر و تغییر دسترسیها (Privilege Escalation)
✅ سیسمون لاگ میگیرد:
Event ID 1 (Process Creation) میتواند اجرای ابزارهایی مثل net user یا wmic را ثبت کند.
❌ اما کافی نیست، Audit لازم است:
Account Management > Audit User Account Management برای بررسی ایجاد یا حذف کاربران.
Privilege Use > Audit Privilege Use
برای مشاهده دسترسیهای سطح بالا.
۵. حملات به Active Directory و Kerberos
✅ سیسمون لاگ میگیرد:
Event ID 13 (Registry Key and Value Change)
برای بررسی تغییرات در رجیستری که ممکن است روی Kerberos تأثیر بگذارد.
❌ اما کافی نیست، Audit لازم است:
Account Logon > Audit Kerberos Authentication Service
برای بررسی درخواستهای احراز هویت Kerberos.
Audit Directory Service Access
برای لاگ کردن تغییرات در Active Directory.
۶. حملات مربوط به اجرای اسکریپتهای مخرب (PowerShell, WMI, HTA, VBA)
✅ سیسمون لاگ میگیرد:
Event ID 1 (Process Creation) برای اجرای اسکریپتهای مشکوک.
Event ID 11 (File Create)
برای بررسی ایجاد فایلهای مشکوک.
❌ اما کافی نیست، Audit لازم است:
Script Block Logging در Group Policy
برای لاگ کردن اسکریپتهای PowerShell.
WMI Auditing
برای بررسی اجرای WMI در سطح سیستم.
نتیجهگیری
سیسمون ابزار بسیار خوبی برای مشاهده رفتارهای مشکوک در سطح پردازش، شبکه، و رجیستری است، اما بهتنهایی برای تحلیل همهی حملات کافی نیست. تنظیم Windows Audit Policy میتواند لاگهای اضافی و ارزشمندی را فراهم کند، بهخصوص در موارد زیر:
احراز هویت و لاگینها (Kerberos, PtH, PtT)
دسترسیهای مدیریتی و تغییرات در سیستم (Account Management, Privilege Use)
دسترسی به Active Directory و لاگهای امنیتی (Audit Directory Service Access)
تغییرات در Audit Policy و حذف لاگها (Audit Policy Change, System Integrity)
این Sysmon را برای بررسی فعالیتهای مشکوک در سطح پردازش و رجیستری فعال نگهدارید.
مقوله Windows Audit Policy را روی دستههای Logon, Privilege Use, Object Access, و System Integrity تنظیم کنید تا حملات پیچیدهتر قابل مشاهده باشند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
میدونیم که سیسمون چه رویداد هایی رو لاگ میاندازد. و میدونیم ویندوز بصورت پیش فرض یکسری رویداد ها را لاگ نمیکند و لازم است Audit را تنظیم کرد. حالا با نگاهی به حملات بیایید بررسی کنیم چه چیزهایی رو نمیشه با تنظیم سیسمون گرفت و لازمه با تنظیم audit در ویندوز لاگ گیری کرد ، آیا سیسمون به تنهایی کافیه؟
سیسمون (Sysmon) یک ابزار قدرتمند برای لاگگیری از فعالیتهای سیستمی در ویندوز است، اما محدودیتهایی دارد که باعث میشود در برخی موارد نیاز به تنظیمات Windows Audit Policy باشد. در اینجا برخی از حملات را بررسی میکنیم و مشخص میکنیم که آیا سیسمون بهتنهایی کافی است یا باید از Windows Audit نیز استفاده شود:
۱. حملات اجرای کد از راه دور (RCE) و Exploitation
✅ سیسمون لاگ میگیرد:
این Sysmon با Event ID 1 (Process Creation) میتواند اجرای پردازشهای مشکوک را ثبت کند.
Event ID 8 (CreateRemoteThread) و Event ID 10 (ProcessAccess) میتوانند برای شناسایی حملات تزریق کد به کار روند.
❌ اما کافی نیست، Audit لازم است:
Object Access > Audit Handle Manipulation
میتواند برای بررسی دسترسیهای غیرمجاز روی حافظه یا فایلها کمک کند.
Privilege Use > Audit Sensitive Privilege Use
میتواند استفاده از توکنهای حساس را لاگ کند.
۲. حملات مربوط به دستکاری لاگها و حذف ردپاها
✅ سیسمون لاگ میگیرد:
Event ID 5 (Process Terminated)
برای بررسی فرآیندهای غیرعادی که در تلاش برای حذف ردپاها هستند.
Event ID 22 (DNS Query)
برای شناسایی درخواستهای مشکوک به سرویسهای C2.
❌ اما کافی نیست، Audit لازم است:
Audit Policy Change برای بررسی تغییرات در تنظیمات لاگگیری ویندوز.
System > Audit System Integrity
برای بررسی تغییرات غیرمجاز در رجیستری و فایلهای سیستم.
۳. حملات Pass-the-Hash (PtH) و Pass-the-Ticket (PtT)
✅ سیسمون لاگ میگیرد:
Event ID 10 (Process Access) برای مشاهده تلاشهای دسترسی به پردازشهای LSASS.
❌ اما کافی نیست، Audit لازم است:
Logon/Logoff > Audit Logon برای ثبت لاگینهای مشکوک.
Credential Validation > Audit Credential Validation
برای بررسی تأییدیههای هویتی.
Special Logon
برای بررسی ورودهای مدیریتی و استفاده از توکنهای خاص.
۴. حملات مربوط به ایجاد کاربر و تغییر دسترسیها (Privilege Escalation)
✅ سیسمون لاگ میگیرد:
Event ID 1 (Process Creation) میتواند اجرای ابزارهایی مثل net user یا wmic را ثبت کند.
❌ اما کافی نیست، Audit لازم است:
Account Management > Audit User Account Management برای بررسی ایجاد یا حذف کاربران.
Privilege Use > Audit Privilege Use
برای مشاهده دسترسیهای سطح بالا.
۵. حملات به Active Directory و Kerberos
✅ سیسمون لاگ میگیرد:
Event ID 13 (Registry Key and Value Change)
برای بررسی تغییرات در رجیستری که ممکن است روی Kerberos تأثیر بگذارد.
❌ اما کافی نیست، Audit لازم است:
Account Logon > Audit Kerberos Authentication Service
برای بررسی درخواستهای احراز هویت Kerberos.
Audit Directory Service Access
برای لاگ کردن تغییرات در Active Directory.
۶. حملات مربوط به اجرای اسکریپتهای مخرب (PowerShell, WMI, HTA, VBA)
✅ سیسمون لاگ میگیرد:
Event ID 1 (Process Creation) برای اجرای اسکریپتهای مشکوک.
Event ID 11 (File Create)
برای بررسی ایجاد فایلهای مشکوک.
❌ اما کافی نیست، Audit لازم است:
Script Block Logging در Group Policy
برای لاگ کردن اسکریپتهای PowerShell.
WMI Auditing
برای بررسی اجرای WMI در سطح سیستم.
نتیجهگیری
سیسمون ابزار بسیار خوبی برای مشاهده رفتارهای مشکوک در سطح پردازش، شبکه، و رجیستری است، اما بهتنهایی برای تحلیل همهی حملات کافی نیست. تنظیم Windows Audit Policy میتواند لاگهای اضافی و ارزشمندی را فراهم کند، بهخصوص در موارد زیر:
احراز هویت و لاگینها (Kerberos, PtH, PtT)
دسترسیهای مدیریتی و تغییرات در سیستم (Account Management, Privilege Use)
دسترسی به Active Directory و لاگهای امنیتی (Audit Directory Service Access)
تغییرات در Audit Policy و حذف لاگها (Audit Policy Change, System Integrity)
این Sysmon را برای بررسی فعالیتهای مشکوک در سطح پردازش و رجیستری فعال نگهدارید.
مقوله Windows Audit Policy را روی دستههای Logon, Privilege Use, Object Access, و System Integrity تنظیم کنید تا حملات پیچیدهتر قابل مشاهده باشند.
Please open Telegram to view this post
VIEW IN TELEGRAM
راهکار فرار بدافزارهای جدید
🔴وقتی از امنیت علیه امنیت استفاده میشه
خیلی خطرناک هستند
🟣واقعا راهکارهای جدیدی برای کشف این نوع نفوذ ها لازمه
https://www.akamai.com/blog/security-research/2025/feb/2025-february-abusing-vbs-enclaves-evasive-malware
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
🔴وقتی از امنیت علیه امنیت استفاده میشه
خیلی خطرناک هستند
🟣واقعا راهکارهای جدیدی برای کشف این نوع نفوذ ها لازمه
https://www.akamai.com/blog/security-research/2025/feb/2025-february-abusing-vbs-enclaves-evasive-malware
Please open Telegram to view this post
VIEW IN TELEGRAM
🚨بررسی APIها و ابزارهای پرکاربرد در حملات Fileless و نحوه پایش آنها در SOC
حملات Fileless بدافزارهایی هستند که بدون ایجاد فایل روی دیسک، کد مخرب را مستقیماً در حافظه اجرا میکنند. این نوع حملات معمولاً از PowerShell، WMI، اسکریپتهای ماکرو، و فرآیندهای معتبر ویندوز سوءاستفاده میکنند.
در اینجا لیستی از APIها و ابزارهای مهم مورد استفاده در این حملات همراه با روشهای پایش آنها در SOC ارائه شده است.
این APIها و ابزارهای کلیدی در حملات Fileless
1️⃣ اجرای کد در حافظه
🔹 VirtualAlloc / VirtualAllocEx / VirtualProtect / VirtualProtectEx
🔹 NtAllocateVirtualMemory / NtProtectVirtualMemory
🔹 WriteProcessMemory / ReadProcessMemory
🔹 RtlMoveMemory / memcpy
🔹 CreateRemoteThread / NtCreateThreadEx / QueueUserAPC
چطور پایش کنیم؟
🔍 در ETW (Event Tracing for Windows) و Sysmon میتوان Event ID 10 (Process Access) و Event ID 8 (Process Injection) را بررسی کرد.
🔍 به تغییر مجوزهای حافظه از RW به RX مشکوک باشید.
🔍 نظارت بر VirtualAlloc همراه با CreateThread در یک فرآیند خاص (مثل explorer.exe).
2️⃣ اجرای کد از طریق پردازشهای دیگر (Process Injection)
CreateRemoteThread → تزریق و اجرای کد در فرآیند دیگر
🔹 NtCreateThreadEx → روش مخفیتر برای ایجاد ترد
🔹 QueueUserAPC → اجرای کد هنگام اجرای ترد هدف
🔹 SetThreadContext / GetThreadContext → تغییر جریان اجرای یک ترد
✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 8
را برای Process Injection بررسی کنید.
🔍 هرگونه اجرای غیرعادی CreateRemoteThread را در پراسس هایی مثل lsass.exe یا explorer.exe بررسی کنید.
🔍 محصولان EDRهایی مانند سیمنتک و CrowdStrike، Microsoft Defender for Endpoint، SentinelOne قابلیت تشخیص Injection را دارند.
3️⃣ سوءاستفاده از PowerShell و WMI
🔹استفاده از powershell.exe -EncodedCommand → اجرای اسکریپت رمزگذاریشده
🔹و wmic process call create → اجرای فرآیند با WMI
🔹و Invoke-Expression (IEX) → دانلود و اجرای کد مخرب
🔹و mshta.exe → اجرای کد مخرب HTML از راه دور
✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 1
(Process Creation) را برای powershell.exe بررسی کنید.
🔍 PowerShell Logging
را فعال کنید (Script Block Logging و Module Logging).
🔍 درخواستهای WMI را در Event ID 5861 و Event ID 5857 نظارت کنید.
🔍 Microsoft Defender ASR (Attack Surface Reduction)
را برای بلاک کردن WMIC و mshta.exe فعال کنید.
4️⃣ جایگزینی و هالویینگ پراسس(Process Hollowing)
🔹 NtUnmapViewOfSection → حذف کد اصلی یک فرآیند
🔹 ZwWriteVirtualMemory / WriteProcessMemory → تزریق کد جدید
🔹 NtResumeThread → اجرای کد جدید
✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 10
را برای دسترسی غیرعادی به حافظه فرآیندها بررسی کنید.
🔍 تغییر مسیر اجرای فرآیند در Event ID 25 (Process Tampering) را بررسی کنید.
🔍 بررسی کنید که آیا فرآیندها مانند svchost.exe یا explorer.exe به ناگهان کد جدیدی دریافت کردهاند.
5️⃣ اجرای کد بدون ایجاد فایل (LOLbins)
🔹 rundll32.exe → اجرای DLLهای مخرب
🔹 regsvr32.exe /s /u /i:url → دانلود و اجرای DLL از اینترنت
🔹 msiexec.exe /q /i <url> → دانلود و اجرای بدافزار
🔹 certutil.exe -urlcache -split -f <url> → دانلود بدافزار
🔹 bitsadmin /transfer <url> → دانلود و اجرای مخفیانه بدافزار
✅ چطور پایش کنیم؟
🔍 اجرای این ابزارها با آرگومانهای غیرعادی را در Sysmon Event ID 1 بررسی کنید.
🔍 از Application Control Policies (AppLocker) برای محدود کردن این ابزارها استفاده کنید.
🔍این Attack Surface Reduction (ASR) را در Microsoft Defender فعال کنید.
🎯 استراتژی کلی پایش حملات Fileless در SOC
✅ 1. فعال کردن Sysmon و ETW
اینSysmon Event IDs مهم:
ID 1 (Process Creation) → اجرای پردازشهای مشکوک
ID 3 (Network Connection) → ارتباطات غیرعادی
ID 8 (Process Injection) → تزریق کد به فرآیندها
ID 10 (Process Access) → تغییرات در حافظه
ID 25 (Process Tampering) → تغییرات در فرآیندهای در حال اجرا
✅ 2. فعال کردن Windows Defender و EDR
Microsoft Defender ASR Rules:
بلاک کردن اجرای PSExec و WMI
جلوگیری از اجرای اسکریپتهای رمزگذاریشده در PowerShell
محدود کردن mshta.exe و regsvr32.exe
✅ 3. استفاده از Threat Hunting در Splunk و SIEM
پایش VirtualAlloc همراه با CreateThread در یک فرآیند
جستجوی powershell.exe -EncodedCommand در لاگها
بررسی ارتباطات غیرعادی با Sysmon Event ID 3
یافتن جابجایی فرآیندها (NtUnmapViewOfSection)
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
حملات Fileless بدافزارهایی هستند که بدون ایجاد فایل روی دیسک، کد مخرب را مستقیماً در حافظه اجرا میکنند. این نوع حملات معمولاً از PowerShell، WMI، اسکریپتهای ماکرو، و فرآیندهای معتبر ویندوز سوءاستفاده میکنند.
در اینجا لیستی از APIها و ابزارهای مهم مورد استفاده در این حملات همراه با روشهای پایش آنها در SOC ارائه شده است.
این APIها و ابزارهای کلیدی در حملات Fileless
1️⃣ اجرای کد در حافظه
🔹 VirtualAlloc / VirtualAllocEx / VirtualProtect / VirtualProtectEx
🔹 NtAllocateVirtualMemory / NtProtectVirtualMemory
🔹 WriteProcessMemory / ReadProcessMemory
🔹 RtlMoveMemory / memcpy
🔹 CreateRemoteThread / NtCreateThreadEx / QueueUserAPC
چطور پایش کنیم؟
🔍 در ETW (Event Tracing for Windows) و Sysmon میتوان Event ID 10 (Process Access) و Event ID 8 (Process Injection) را بررسی کرد.
🔍 به تغییر مجوزهای حافظه از RW به RX مشکوک باشید.
🔍 نظارت بر VirtualAlloc همراه با CreateThread در یک فرآیند خاص (مثل explorer.exe).
2️⃣ اجرای کد از طریق پردازشهای دیگر (Process Injection)
CreateRemoteThread → تزریق و اجرای کد در فرآیند دیگر
🔹 NtCreateThreadEx → روش مخفیتر برای ایجاد ترد
🔹 QueueUserAPC → اجرای کد هنگام اجرای ترد هدف
🔹 SetThreadContext / GetThreadContext → تغییر جریان اجرای یک ترد
✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 8
را برای Process Injection بررسی کنید.
🔍 هرگونه اجرای غیرعادی CreateRemoteThread را در پراسس هایی مثل lsass.exe یا explorer.exe بررسی کنید.
🔍 محصولان EDRهایی مانند سیمنتک و CrowdStrike، Microsoft Defender for Endpoint، SentinelOne قابلیت تشخیص Injection را دارند.
3️⃣ سوءاستفاده از PowerShell و WMI
🔹استفاده از powershell.exe -EncodedCommand → اجرای اسکریپت رمزگذاریشده
🔹و wmic process call create → اجرای فرآیند با WMI
🔹و Invoke-Expression (IEX) → دانلود و اجرای کد مخرب
🔹و mshta.exe → اجرای کد مخرب HTML از راه دور
✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 1
(Process Creation) را برای powershell.exe بررسی کنید.
🔍 PowerShell Logging
را فعال کنید (Script Block Logging و Module Logging).
🔍 درخواستهای WMI را در Event ID 5861 و Event ID 5857 نظارت کنید.
🔍 Microsoft Defender ASR (Attack Surface Reduction)
را برای بلاک کردن WMIC و mshta.exe فعال کنید.
4️⃣ جایگزینی و هالویینگ پراسس(Process Hollowing)
🔹 NtUnmapViewOfSection → حذف کد اصلی یک فرآیند
🔹 ZwWriteVirtualMemory / WriteProcessMemory → تزریق کد جدید
🔹 NtResumeThread → اجرای کد جدید
✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 10
را برای دسترسی غیرعادی به حافظه فرآیندها بررسی کنید.
🔍 تغییر مسیر اجرای فرآیند در Event ID 25 (Process Tampering) را بررسی کنید.
🔍 بررسی کنید که آیا فرآیندها مانند svchost.exe یا explorer.exe به ناگهان کد جدیدی دریافت کردهاند.
5️⃣ اجرای کد بدون ایجاد فایل (LOLbins)
🔹 rundll32.exe → اجرای DLLهای مخرب
🔹 regsvr32.exe /s /u /i:url → دانلود و اجرای DLL از اینترنت
🔹 msiexec.exe /q /i <url> → دانلود و اجرای بدافزار
🔹 certutil.exe -urlcache -split -f <url> → دانلود بدافزار
🔹 bitsadmin /transfer <url> → دانلود و اجرای مخفیانه بدافزار
✅ چطور پایش کنیم؟
🔍 اجرای این ابزارها با آرگومانهای غیرعادی را در Sysmon Event ID 1 بررسی کنید.
🔍 از Application Control Policies (AppLocker) برای محدود کردن این ابزارها استفاده کنید.
🔍این Attack Surface Reduction (ASR) را در Microsoft Defender فعال کنید.
🎯 استراتژی کلی پایش حملات Fileless در SOC
✅ 1. فعال کردن Sysmon و ETW
اینSysmon Event IDs مهم:
ID 1 (Process Creation) → اجرای پردازشهای مشکوک
ID 3 (Network Connection) → ارتباطات غیرعادی
ID 8 (Process Injection) → تزریق کد به فرآیندها
ID 10 (Process Access) → تغییرات در حافظه
ID 25 (Process Tampering) → تغییرات در فرآیندهای در حال اجرا
✅ 2. فعال کردن Windows Defender و EDR
Microsoft Defender ASR Rules:
بلاک کردن اجرای PSExec و WMI
جلوگیری از اجرای اسکریپتهای رمزگذاریشده در PowerShell
محدود کردن mshta.exe و regsvr32.exe
✅ 3. استفاده از Threat Hunting در Splunk و SIEM
پایش VirtualAlloc همراه با CreateThread در یک فرآیند
جستجوی powershell.exe -EncodedCommand در لاگها
بررسی ارتباطات غیرعادی با Sysmon Event ID 3
یافتن جابجایی فرآیندها (NtUnmapViewOfSection)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
حملات Fileless بهدلیل عدم ایجاد فایل روی دیسک، توسط آنتیویروسهای سنتی بهراحتی قابل شناسایی نیستند. اما با ترکیب Sysmon، EDR، و Threat Hunting در SIEM میتوان این نوع حملات را شناسایی کرد
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Please open Telegram to view this post
VIEW IN TELEGRAM
نکته جالب امشب
https://blog.devolutions.net/2025/03/using-rdp-without-leaving-traces-the-mstsc-public-mode/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://blog.devolutions.net/2025/03/using-rdp-without-leaving-traces-the-mstsc-public-mode/
Please open Telegram to view this post
VIEW IN TELEGRAM
devolutions.net
Using RDP without leaving traces: the MSTSC public mode
Learn how MSTSC’s /public mode works! It blocks credential caching, session details, and bitmap storage, enhancing security. Discover its impact and how to reset MSTSC for a clean slate.
در زمان لاگین کاربر در لینوکس دقیقا چه اتفاقی میافتد؟
درسی برای مدیریت حوادث لینوکس
تصویر از درس سنز ۵۷۷ Linux DFIR
https://for577.com/bashlogin
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
درسی برای مدیریت حوادث لینوکس
تصویر از درس سنز ۵۷۷ Linux DFIR
https://for577.com/bashlogin
Please open Telegram to view this post
VIEW IN TELEGRAM
Egnyte
BashLoginSequence.png on Egnyte
File BashLoginSequence.png shared using Egnyte
خیلی پک شده و جمع و جور میخوای رجستری ویندوز در راستای فارنزیک رو درک کنی و چالش هاش رو بدونی لینک زیر رو بهت معرفی میکنم
https://belkasoft.com/windows-registry-forensics-structure-and-aquisition
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://belkasoft.com/windows-registry-forensics-structure-and-aquisition
Please open Telegram to view this post
VIEW IN TELEGRAM
Belkasoft
Windows Registry: Structure, Forensic Challenges, and Acquisition
Forensic analysis of the Windows registry: Understanding the structure, forensic challenges, and acquisition methods.
نکته فنی
تحلیل اجرای کد در محیطهای سراب (Phantom Execution)
مفهوم:
برخی از بدافزارهای پیشرفته برای جلوگیری از تحلیل، از تکنیکی به نام "Phantom Execution" استفاده میکنند. در این روش، بدافزار کدی را اجرا میکند که در واقع وجود خارجی ندارد!
چگونه؟
بدافزار ابتدا یک فضای حافظه تخصیص میدهد، اما قبل از اینکه کد واقعی در آن قرار بگیرد، CPU را مجبور میکند تا آن را اجرا کند.
این کار معمولاً با دستکاری مستقیم Instruction Pointer (EIP/RIP) یا Branch Prediction انجام میشود.
برخی پردازندهها، مخصوصاً آنهایی که مکانیزم Speculative Execution دارند، ممکن است دستورالعملهای بارگذارینشده را موقتاً پردازش کنند، که امکان اجرای کدی را فراهم میآورد که عملاً در حافظه وجود ندارد.
چطور مهندسی معکوسش کنیم؟
از Intel Pin یا DynamoRIO برای بررسی رفتارهای غیرعادی اجرای کد استفاده کنید.
ابزارهایی مانند Bochs یا Unicorn Engine میتوانند پردازش قبل از اجرای واقعی را شبیهسازی کنند.
از Branch Tracing در CPUهای مدرن (مثلاً با استفاده از Intel PT) برای کشف شاخههای غیرمنتظره کمک بگیرید.
چرا این تکنیک خطرناک است؟
آنتیویروسها و دیباگرهای کلاسیک نمیتوانند چیزی را که در حافظه بارگذاری نشده تحلیل کنند!
این تکنیک میتواند برای اجرای شلکدهای مخفی و دور زدن مکانیزمهای امنیتی استفاده شود
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تحلیل اجرای کد در محیطهای سراب (Phantom Execution)
مفهوم:
برخی از بدافزارهای پیشرفته برای جلوگیری از تحلیل، از تکنیکی به نام "Phantom Execution" استفاده میکنند. در این روش، بدافزار کدی را اجرا میکند که در واقع وجود خارجی ندارد!
چگونه؟
بدافزار ابتدا یک فضای حافظه تخصیص میدهد، اما قبل از اینکه کد واقعی در آن قرار بگیرد، CPU را مجبور میکند تا آن را اجرا کند.
این کار معمولاً با دستکاری مستقیم Instruction Pointer (EIP/RIP) یا Branch Prediction انجام میشود.
برخی پردازندهها، مخصوصاً آنهایی که مکانیزم Speculative Execution دارند، ممکن است دستورالعملهای بارگذارینشده را موقتاً پردازش کنند، که امکان اجرای کدی را فراهم میآورد که عملاً در حافظه وجود ندارد.
چطور مهندسی معکوسش کنیم؟
از Intel Pin یا DynamoRIO برای بررسی رفتارهای غیرعادی اجرای کد استفاده کنید.
ابزارهایی مانند Bochs یا Unicorn Engine میتوانند پردازش قبل از اجرای واقعی را شبیهسازی کنند.
از Branch Tracing در CPUهای مدرن (مثلاً با استفاده از Intel PT) برای کشف شاخههای غیرمنتظره کمک بگیرید.
چرا این تکنیک خطرناک است؟
آنتیویروسها و دیباگرهای کلاسیک نمیتوانند چیزی را که در حافظه بارگذاری نشده تحلیل کنند!
این تکنیک میتواند برای اجرای شلکدهای مخفی و دور زدن مکانیزمهای امنیتی استفاده شود
Please open Telegram to view this post
VIEW IN TELEGRAM
#Solarwinds #Platform #Deserializtion #Bugs
همانطور که میدانید یکی از اصلی ترین نرم افزار های SolarWinds محصول مدیریت و نظارت بر شبکه است که طی سالهای اخیر چند آسیب پذیری روز صفر داشته است.
پروتکلی در SolarWinds استفاده میشود با نام RabbitMQ که بر مبنای TCP کار کرده و در تصویر بالا پکت ضبط شده آن را مشاهده میکنید.
این پروتکل بر روی پورت 5671 کار کرده و میتواند پیام های AMQP ارسال نماید، این پیام چند نوع و روش ارسال داده دارد.
که در نوع Content header (2) میتواند نوع داده Serialize ارسال کند و در Properties تصویر دوم مشخص میشود که دریافت کننده مقدار کجاست.
محقق با بررسی دقیق و مهندسی معکوس کد منبع، متوجه شده که در جریان ردیابی کد، هیچ کنترلی بر روی مقادیر Serialize نبوده و مقدار Properties در پیام، ظرفیت Deserialize شدن دارند.
در تصویر بالا تابع HandleBasicDeliver پیام در پروتکل را دریافت میکند و در موقعیت 3 اقدام به برگشت دادن مقدار به تابع میکند.
در تصویر دوم، Consume رو داریم که یک Method از IDisposable است و مقدار پیام دریافتی در Body را Deserialize میکند و عدم کنترل موجب اجرای کد شده است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
همانطور که میدانید یکی از اصلی ترین نرم افزار های SolarWinds محصول مدیریت و نظارت بر شبکه است که طی سالهای اخیر چند آسیب پذیری روز صفر داشته است.
پروتکلی در SolarWinds استفاده میشود با نام RabbitMQ که بر مبنای TCP کار کرده و در تصویر بالا پکت ضبط شده آن را مشاهده میکنید.
این پروتکل بر روی پورت 5671 کار کرده و میتواند پیام های AMQP ارسال نماید، این پیام چند نوع و روش ارسال داده دارد.
که در نوع Content header (2) میتواند نوع داده Serialize ارسال کند و در Properties تصویر دوم مشخص میشود که دریافت کننده مقدار کجاست.
محقق با بررسی دقیق و مهندسی معکوس کد منبع، متوجه شده که در جریان ردیابی کد، هیچ کنترلی بر روی مقادیر Serialize نبوده و مقدار Properties در پیام، ظرفیت Deserialize شدن دارند.
در تصویر بالا تابع HandleBasicDeliver پیام در پروتکل را دریافت میکند و در موقعیت 3 اقدام به برگشت دادن مقدار به تابع میکند.
در تصویر دوم، Consume رو داریم که یک Method از IDisposable است و مقدار پیام دریافتی در Body را Deserialize میکند و عدم کنترل موجب اجرای کد شده است.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
#APT #Lazarus #Python
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.
ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.
تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.
در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.
قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.
در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.
ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.
تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.
در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.
قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.
در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1