سیسمون و Audit در ویندوز برای SOC

میدونیم که سیسمون چه رویداد هایی رو لاگ می‌اندازد. و می‌دونیم ویندوز بصورت پیش فرض یکسری رویداد ها را لاگ نمی‌کند و لازم است Audit را تنظیم کرد. حالا با نگاهی به حملات بیایید بررسی کنیم چه چیزهایی رو نمیشه با تنظیم سیسمون گرفت و لازمه با تنظیم audit در ویندوز لاگ گیری کرد ،  آیا سیسمون به تنهایی کافیه؟

سیسمون (Sysmon) یک ابزار قدرتمند برای لاگ‌گیری از فعالیت‌های سیستمی در ویندوز است، اما محدودیت‌هایی دارد که باعث می‌شود در برخی موارد نیاز به تنظیمات Windows Audit Policy باشد. در اینجا برخی از حملات را بررسی می‌کنیم و مشخص می‌کنیم که آیا سیسمون به‌تنهایی کافی است یا باید از Windows Audit نیز استفاده شود:
۱. حملات اجرای کد از راه دور (RCE) و Exploitation
✅ سیسمون لاگ می‌گیرد:
این Sysmon با Event ID 1 (Process Creation) می‌تواند اجرای پردازش‌های مشکوک را ثبت کند.
Event ID 8 (CreateRemoteThread) و Event ID 10 (ProcessAccess) می‌توانند برای شناسایی حملات تزریق کد به کار روند.
❌ اما کافی نیست، Audit لازم است:
Object Access > Audit Handle Manipulation
می‌تواند برای بررسی دسترسی‌های غیرمجاز روی حافظه یا فایل‌ها کمک کند.
Privilege Use > Audit Sensitive Privilege Use
می‌تواند استفاده از توکن‌های حساس را لاگ کند.
۲. حملات مربوط به دستکاری لاگ‌ها و حذف ردپاها
✅ سیسمون لاگ می‌گیرد:
Event ID 5 (Process Terminated)
برای بررسی فرآیندهای غیرعادی که در تلاش برای حذف ردپاها هستند.
Event ID 22 (DNS Query)
برای شناسایی درخواست‌های مشکوک به سرویس‌های C2.
❌ اما کافی نیست، Audit لازم است:
Audit Policy Change برای بررسی تغییرات در تنظیمات لاگ‌گیری ویندوز.
System > Audit System Integrity
برای بررسی تغییرات غیرمجاز در رجیستری و فایل‌های سیستم.
۳. حملات Pass-the-Hash (PtH) و Pass-the-Ticket (PtT)
✅ سیسمون لاگ می‌گیرد:
Event ID 10 (Process Access) برای مشاهده تلاش‌های دسترسی به پردازش‌های LSASS.
❌ اما کافی نیست، Audit لازم است:
Logon/Logoff > Audit Logon برای ثبت لاگین‌های مشکوک.
Credential Validation > Audit Credential Validation
برای بررسی تأییدیه‌های هویتی.
Special Logon
برای بررسی ورودهای مدیریتی و استفاده از توکن‌های خاص.
۴. حملات مربوط به ایجاد کاربر و تغییر دسترسی‌ها (Privilege Escalation)
✅ سیسمون لاگ می‌گیرد:
Event ID 1 (Process Creation) می‌تواند اجرای ابزارهایی مثل net user یا wmic را ثبت کند.
❌ اما کافی نیست، Audit لازم است:
Account Management > Audit User Account Management برای بررسی ایجاد یا حذف کاربران.
Privilege Use > Audit Privilege Use
برای مشاهده دسترسی‌های سطح بالا.
۵. حملات به Active Directory و Kerberos
✅ سیسمون لاگ می‌گیرد:
Event ID 13 (Registry Key and Value Change)
برای بررسی تغییرات در رجیستری که ممکن است روی Kerberos تأثیر بگذارد.
❌ اما کافی نیست، Audit لازم است:
Account Logon > Audit Kerberos Authentication Service
برای بررسی درخواست‌های احراز هویت Kerberos.
Audit Directory Service Access
برای لاگ کردن تغییرات در Active Directory.
۶. حملات مربوط به اجرای اسکریپت‌های مخرب (PowerShell, WMI, HTA, VBA)
✅ سیسمون لاگ می‌گیرد:
Event ID 1 (Process Creation) برای اجرای اسکریپت‌های مشکوک.
Event ID 11 (File Create)
برای بررسی ایجاد فایل‌های مشکوک.
❌ اما کافی نیست، Audit لازم است:
Script Block Logging در Group Policy
برای لاگ کردن اسکریپت‌های PowerShell.
WMI Auditing
برای بررسی اجرای WMI در سطح سیستم.
نتیجه‌گیری
سیسمون ابزار بسیار خوبی برای مشاهده رفتارهای مشکوک در سطح پردازش، شبکه، و رجیستری است، اما به‌تنهایی برای تحلیل همه‌ی حملات کافی نیست. تنظیم Windows Audit Policy می‌تواند لاگ‌های اضافی و ارزشمندی را فراهم کند، به‌خصوص در موارد زیر:
احراز هویت و لاگین‌ها (Kerberos, PtH, PtT)
دسترسی‌های مدیریتی و تغییرات در سیستم (Account Management, Privilege Use)
دسترسی به Active Directory و لاگ‌های امنیتی (Audit Directory Service Access)
تغییرات در Audit Policy و حذف لاگ‌ها (Audit Policy Change, System Integrity)

این Sysmon را برای بررسی فعالیت‌های مشکوک در سطح پردازش و رجیستری فعال نگه‌دارید.
مقوله Windows Audit Policy را روی دسته‌های Logon, Privilege Use, Object Access, و System Integrity تنظیم کنید تا حملات پیچیده‌تر قابل مشاهده باشند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

راهکار فرار بدافزارهای جدید

🔴وقتی از امنیت علیه امنیت استفاده میشه

خیلی خطرناک هستند
🟣واقعا راهکارهای جدیدی برای کشف این نوع نفوذ ها لازمه

https://www.akamai.com/blog/security-research/2025/feb/2025-february-abusing-vbs-enclaves-evasive-malware

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🚨بررسی APIها و ابزارهای پرکاربرد در حملات Fileless و نحوه پایش آن‌ها در SOC

حملات Fileless بدافزارهایی هستند که بدون ایجاد فایل روی دیسک، کد مخرب را مستقیماً در حافظه اجرا می‌کنند. این نوع حملات معمولاً از PowerShell، WMI، اسکریپت‌های ماکرو، و فرآیندهای معتبر ویندوز سوءاستفاده می‌کنند.

در اینجا لیستی از APIها و ابزارهای مهم مورد استفاده در این حملات همراه با روش‌های پایش آنها در SOC ارائه شده است.
این APIها و ابزارهای کلیدی در حملات Fileless
1️⃣ اجرای کد در حافظه

🔹 VirtualAlloc / VirtualAllocEx / VirtualProtect / VirtualProtectEx
🔹 NtAllocateVirtualMemory / NtProtectVirtualMemory
🔹 WriteProcessMemory / ReadProcessMemory
🔹 RtlMoveMemory / memcpy
🔹 CreateRemoteThread / NtCreateThreadEx / QueueUserAPC

چطور پایش کنیم؟
🔍 در ETW (Event Tracing for Windows) و Sysmon می‌توان Event ID 10 (Process Access) و Event ID 8 (Process Injection) را بررسی کرد.
🔍 به تغییر مجوزهای حافظه از RW به RX مشکوک باشید.
🔍 نظارت بر VirtualAlloc همراه با CreateThread در یک فرآیند خاص (مثل explorer.exe).
2️⃣ اجرای کد از طریق پردازش‌های دیگر (Process Injection)

CreateRemoteThread → تزریق و اجرای کد در فرآیند دیگر
🔹 NtCreateThreadEx → روش مخفی‌تر برای ایجاد ترد
🔹 QueueUserAPC → اجرای کد هنگام اجرای ترد هدف
🔹 SetThreadContext / GetThreadContext → تغییر جریان اجرای یک ترد

✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 8
را برای Process Injection بررسی کنید.
🔍 هرگونه اجرای غیرعادی CreateRemoteThread را در پراسس هایی مثل lsass.exe یا explorer.exe بررسی کنید.
🔍 محصولان EDRهایی مانند سیمنتک و CrowdStrike، Microsoft Defender for Endpoint، SentinelOne قابلیت تشخیص Injection را دارند.
3️⃣ سوءاستفاده از PowerShell و WMI

🔹استفاده از powershell.exe -EncodedCommand → اجرای اسکریپت رمزگذاری‌شده
🔹و wmic process call create → اجرای فرآیند با WMI
🔹و Invoke-Expression (IEX) → دانلود و اجرای کد مخرب
🔹و mshta.exe → اجرای کد مخرب HTML از راه دور

✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 1
(Process Creation) را برای powershell.exe بررسی کنید.
🔍 PowerShell Logging
را فعال کنید (Script Block Logging و Module Logging).
🔍 درخواست‌های WMI را در Event ID 5861 و Event ID 5857 نظارت کنید.
🔍 Microsoft Defender ASR (Attack Surface Reduction)
را برای بلاک کردن WMIC و mshta.exe فعال کنید.
4️⃣ جایگزینی و هالویینگ پراسس(Process Hollowing)

🔹 NtUnmapViewOfSection → حذف کد اصلی یک فرآیند
🔹 ZwWriteVirtualMemory / WriteProcessMemory → تزریق کد جدید
🔹 NtResumeThread → اجرای کد جدید

✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 10
را برای دسترسی غیرعادی به حافظه فرآیندها بررسی کنید.
🔍 تغییر مسیر اجرای فرآیند در Event ID 25 (Process Tampering) را بررسی کنید.
🔍 بررسی کنید که آیا فرآیندها مانند svchost.exe یا explorer.exe به ناگهان کد جدیدی دریافت کرده‌اند.
5️⃣ اجرای کد بدون ایجاد فایل (LOLbins)

🔹 rundll32.exe → اجرای DLLهای مخرب
🔹 regsvr32.exe /s /u /i:url → دانلود و اجرای DLL از اینترنت
🔹 msiexec.exe /q /i <url> → دانلود و اجرای بدافزار
🔹 certutil.exe -urlcache -split -f <url> → دانلود بدافزار
🔹 bitsadmin /transfer <url> → دانلود و اجرای مخفیانه بدافزار

✅ چطور پایش کنیم؟
🔍 اجرای این ابزارها با آرگومان‌های غیرعادی را در Sysmon Event ID 1 بررسی کنید.
🔍 از Application Control Policies (AppLocker) برای محدود کردن این ابزارها استفاده کنید.
🔍این Attack Surface Reduction (ASR) را در Microsoft Defender فعال کنید.
🎯 استراتژی کلی پایش حملات Fileless در SOC
✅ 1. فعال کردن Sysmon و ETW

اینSysmon Event IDs مهم:
ID 1 (Process Creation) → اجرای پردازش‌های مشکوک
ID 3 (Network Connection) → ارتباطات غیرعادی
ID 8 (Process Injection) → تزریق کد به فرآیندها
ID 10 (Process Access) → تغییرات در حافظه
ID 25 (Process Tampering) → تغییرات در فرآیندهای در حال اجرا

✅ 2. فعال کردن Windows Defender و EDR

Microsoft Defender ASR Rules:
بلاک کردن اجرای PSExec و WMI
جلوگیری از اجرای اسکریپت‌های رمزگذاری‌شده در PowerShell
محدود کردن mshta.exe و regsvr32.exe

✅ 3. استفاده از Threat Hunting در Splunk و SIEM

پایش VirtualAlloc همراه با CreateThread در یک فرآیند
جستجوی powershell.exe -EncodedCommand در لاگ‌ها
بررسی ارتباطات غیرعادی با Sysmon Event ID 3
یافتن جابجایی فرآیندها (NtUnmapViewOfSection)

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

حملات Fileless به‌دلیل عدم ایجاد فایل روی دیسک، توسط آنتی‌ویروس‌های سنتی به‌راحتی قابل شناسایی نیستند. اما با ترکیب Sysmon، EDR، و Threat Hunting در SIEM می‌توان این نوع حملات را شناسایی کرد


🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

نکته جالب امشب

https://blog.devolutions.net/2025/03/using-rdp-without-leaving-traces-the-mstsc-public-mode/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

در زمان لاگین کاربر در لینوکس دقیقا چه اتفاقی می‌افتد؟
درسی برای مدیریت حوادث لینوکس


تصویر از درس سنز ۵۷۷ Linux DFIR

https://for577.com/bashlogin

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

خیلی پک شده و جمع و جور میخوای رجستری ویندوز در راستای فارنزیک رو درک کنی و چالش هاش رو بدونی لینک زیر رو بهت معرفی میکنم

https://belkasoft.com/windows-registry-forensics-structure-and-aquisition

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

نکته فنی

تحلیل اجرای کد در محیط‌های سراب (Phantom Execution)

مفهوم:

برخی از بدافزارهای پیشرفته برای جلوگیری از تحلیل، از تکنیکی به نام "Phantom Execution" استفاده می‌کنند. در این روش، بدافزار کدی را اجرا می‌کند که در واقع وجود خارجی ندارد!

چگونه؟

بدافزار ابتدا یک فضای حافظه تخصیص می‌دهد، اما قبل از اینکه کد واقعی در آن قرار بگیرد، CPU را مجبور می‌کند تا آن را اجرا کند.
این کار معمولاً با دستکاری مستقیم Instruction Pointer (EIP/RIP) یا Branch Prediction انجام می‌شود.
برخی پردازنده‌ها، مخصوصاً آن‌هایی که مکانیزم Speculative Execution دارند، ممکن است دستورالعمل‌های بارگذاری‌نشده را موقتاً پردازش کنند، که امکان اجرای کدی را فراهم می‌آورد که عملاً در حافظه وجود ندارد.

چطور مهندسی معکوسش کنیم؟

از Intel Pin یا DynamoRIO برای بررسی رفتارهای غیرعادی اجرای کد استفاده کنید.
ابزارهایی مانند Bochs یا Unicorn Engine می‌توانند پردازش قبل از اجرای واقعی را شبیه‌سازی کنند.
از Branch Tracing در CPUهای مدرن (مثلاً با استفاده از Intel PT) برای کشف شاخه‌های غیرمنتظره کمک بگیرید.

چرا این تکنیک خطرناک است؟

آنتی‌ویروس‌ها و دیباگرهای کلاسیک نمی‌توانند چیزی را که در حافظه بارگذاری نشده تحلیل کنند!
این تکنیک می‌تواند برای اجرای شل‌کدهای مخفی و دور زدن مکانیزم‌های امنیتی استفاده شود

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer