🔎 Entertaining forensics.

علم مانند درختی تنومند است که به شاخه‌های فرعی متعددی تقسیم می‌شود. فارنزیک نیز از این قاعده مستثنی نیست و زیرشاخه‌های مختلفی دارد که هر کدام به بررسی جنبه‌های خاصی از جرم می‌پردازند. در این مطلب، به معرفی پنج زیرشاخه اصلی جرم یابی می‌پردازیم و در انتها، منابعی ارزشمند برای مطالعه عمیق‌تر هر حوزه معرفی خواهیم کرد.

1. جرم یابی کامپیوتر:

این شاخه به بررسی جرایم سایبری می‌پردازد و متخصصان آن موظف به کشف مدارک دیجیتال در دستگاه‌های آلوده هستند. تجزیه و تحلیل رم، هارد دیسک، رجیستری و گزارش‌های سیستم عامل از جمله وظایف این کارشناسان است.

2. جرم یابی شبکه:

همانطور که از نامش پیداست، این زیرشاخه به جرایمی که در بستر شبکه رخ می‌دهند می‌پردازد. متخصصان فارنزیک شبکه وظیفه دارند تا ترافیک شبکه را تجزیه و تحلیل کرده و ردپای مجرمان سایبری را در مواردی مانند RAT، درب پشتی و موارد مشابه بیابند.

3. تجزیه و تحلیل داده‌ها:

این شاخه به بررسی دقیق فایل‌ها، ساختارهای داده و توالی‌های باینری باقی‌مانده از حملات سایبری یا نفوذ به سیستم‌ها می‌پردازد. هدف از این تجزیه و تحلیل، استخراج اطلاعات ارزشمند و شناسایی هویت مجرمان است.

4. جرم یابی دستگاه‌های تلفن همراه:

امروزه که تلفن‌های هوشمند به بخش جدایی ناپذیر زندگی ما تبدیل شده‌اند، جرایم مرتبط با آنها نیز رو به افزایش است. متخصصان جرم یابی دستگاه‌های تلفن همراه وظیفه دارند تا داده‌های موجود در گوشی‌های اندروید و iOS را استخراج کرده و از آنها در جهت حلّ جرم استفاده کنند.

5. جرم یابی سخت‌افزار:

این زیرشاخه، که کم‌طرفدارتر و در عین حال پیچیده‌تر از سایر شاخه‌ها است، به بررسی تجهیزات سخت‌افزاری و فنی صحنه جرم می‌پردازد. تجزیه و تحلیل داده‌های سطح پایین (میکروکنترلر، سیستم عامل یا بایوس)، بررسی ویژگی‌های خاص دستگاه‌ها (مانند محدوده فرکانس فرستنده Wi-Fi) و آنالیز ساختار داخلی تجهیزات آلوده از جمله وظایف متخصصان این حوزه است.

• برای مطالعه این علم، پیشنهاد می کنم به چندین مخزن که حاوی ابزار، کتاب، راهنما و سایر مطالب مفید هستند توجه کنید:
- Adversary Emulation;
- All-In-One Tools;
- Books;
- Communities;
- Disk Image Creation Tools;
- Evidence Collection;
- Incident Management;
- Knowledge Bases;
- Linux Distributions;
- Linux Evidence Collection;
- Log Analysis Tools;
- Memory Analysis Tools;
- Memory Imaging Tools;
- OSX Evidence Collection;
- Other Lists;
- Other Tools;
- Playbooks;
- Process Dump Tools;
- Sandboxing/Reversing Tools;
- Scanner Tools;
- Timeline Tools;
- Videos;
- Windows Evidence Collection.

➡ https://github.com/mikeroyal/Digital-Forensics-Guide
➡ https://github.com/Correia-jpv/fucking-awesome-incident-response

#foensic #فارنزیک
تیم سورین

📚NIST Cybersecurity Framework (CSF) v2.0
نسخه فارسی
نویسنده : علیرضا ملکی

#NIST
تیم سورین

📚Windows Native API Programming

#windows #API
تیم سورین

🕵🏻‍♂️PeStudio
Malware analysis tool which investigages the resources of EXE files.
یک ابزار قدرتمند برای تجزیه و تحلیل استاتیک فایل های اجرایی، به ویژه برای تجزیه و تحلیل بدافزار است.

💎https://www.winitor.com/download2

#analyzer #malware #tools
تیم سورین

🐧Linux Event Logs and Its Record Types – Detect & Respond

🔗https://www.socinvestigation.com/linux-event-logs-and-its-record-types-detect-respond/

#linux #IR #EventLog
تیم سورین

📕Mastering Windows Group Policy
Page Count: 408
Publisher: Packt Publishing
Date Of Publication: 30 Nov 2018

#windows #policy
تیم سورین

😈windows-kernel-exploits

▶️https://github.com/SecWiki/windows-kernel-exploits

#windows #kernel #exploits
تیم سورین

difference between EXE vs DLL 👩‍💻 💫


🚀https://www.linkedin.com/posts/soorinsec_dll-exe-windows-activity-7201517633647685632-oV9y?utm_source=share&utm_medium=member_desktop

#windows #EXE #DLL
تیم سورین

🆕CVE-2024-4835, -2874 and other: Multiple vulns in GitLab, 4.3 - 8.0 rating❗️

New set of vulnerabilities for GitLab for every taste. Account takeover, CSRF, DoS, and more.

👉 Dork: http.meta:"Gitlab"

Vendor's advisory: https://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/

#CVE
تیم سورین

✔️Windows vs Linux Loader Architecture

این مخزن همراه با مقاله ای در مورد "Loader Lock چیست؟" منتشر شد.

لودر یک بخش حیاتی از هر سیستم عامل است. مسئول بارگذاری برنامه‌ها و کتابخانه‌ها در فضای آدرس یک فرآیند است و اولین مؤلفه‌ای است که کد را هنگام شروع فرآیند اجرا می‌کند. شروع یک فرآیند شامل وظایفی مانند اولیه سازی ساختارهای داده حیاتی، بارگذاری وابستگی ها و اجرای برنامه است.


✈️ https://github.com/ElliotKillick/windows-vs-linux-loader-architecture

تیم سورین
#windows #linux #loader #architecture

👣Malcat
binary analysis software

Malcat is a feature-rich hexadecimal editor / disassembler for Windows and Linux targeted to IT-security professionals.

https://malcat.fr/

#binary #analysis
تیم سورین

این تصویر چرخه پاسخ حادثه را که به طور خاص در مورد حوادث باج افزار اعمال می شود، نشان می دهد:

1. Preparation:
- این مرحله شامل اقدامات پیشگیرانه ای است که قبل از وقوع حادثه انجام می شود.
- فعالیت ها شامل ایجاد طرح های واکنش به حادثه، آموزش کارکنان و اطمینان از در دسترس بودن ابزار و منابع لازم است.
- هدف: آماده پاسخگویی موثر در هنگام وقوع حادثه باشید.

2. Identification:
- در این مرحله سازمان حمله باج افزار را شناسایی می کند.
- ممکن است از طریق هشدارهای امنیتی، رفتار غیرعادی یا گزارش های کاربر باشد.
- هدف: به سرعت تهدید را شناسایی کنیم تا تأثیر را به حداقل برسانید.

3. Containment:
- تمرکز در اینجا جلوگیری از گسترش بیشتر باج افزار است.
- سیستم های آسیب دیده را ایزوله کنیم، حساب های در معرض خطر را غیرفعال کنیم و حرکت جانبی را محدود کنیم.
- هدف: جلوی گسترش حمله را بگیریم.

4. Eradication:
- سازمان ها برای حذف کامل باج افزار تلاش می کنند.
- کارهایی که به این منظور انجام میدهند شامل تمیز کردن سیستم های آلوده، اصلاح آسیب پذیری ها و از بین بردن علت اصلی است.
- هدف: از بین بردن تهدید از محیط.

5. Recovery:
- سیستم ها و خدمات آسیب دیده را بازیابی کنیم.
- بازیابی داده ها از پشتیبان گیری، بررسی یکپارچگی، و اطمینان از تداوم کسب و کار.
- هدف: از سرگیری عملیات عادی.

6. Lessons Learned:
- پس از وقوع حادثه، بررسی کاملی انجام دهیم.
- آنچه را که به خوبی پیش رفت را تجزیه و تحلیل کنیم و زمینه های بهبود را شناسایی کنیم.
- هدف : افزایش تلاش های واکنش به حوادث آینده.

💻به یاد داشته باشیم، واکنش موثر به حادثه نیازمند همکاری، ارتباط شفاف و یادگیری مستمر است. 🔍

#IR
تیم سورین

👽The incident response cycle, applied to ransomware

#ransomware #IR
تیم سورین

🛩Shuffle Automation

Shuffle is an automation platform for and by the community, focusing on accessibility for anyone to automate. Security operations is complex, but it doesn't have to be.

🛩شافل یک پلتفرم هماهنگ‌سازی، اتوماسیون و پاسخ امنیتی منبع باز (SOAR) است که به شما امکان می‌دهد بدون نیاز به تعامل انسانی، جمع‌آوری، غنی‌سازی، خودکارسازی و پاسخگویی به رویدادهای امنیتی را انجام دهید.

✈️ویژگی های کلیدی Shuffle SOAR

- ویرایشگر گردش کار ساده و غنی برای خودکارسازی عملیات امنیتی
- سازنده برنامه با استفاده از OpenAPI برای ادغام با ابزارهای مختلف امنیتی
- برنامه های از پیش ساخته شده برای ادغام با ابزارهای امنیتی محبوب
- کنترل سازمان برای مدیریت دسترسی

✈️ موارد استفاده از شافل

پلتفرم های SOAR مانند Shuffle را می توان برای کارهای مختلف اتوماسیون امنیتی استفاده کرد، مانند:

- رویداد امنیتی و غنی سازی پرونده
- مسدود کردن آدرس های IP، URL ها، دامنه ها، هش ها و غیره در راه حل های EDR و فایروال
- خودکارسازی موارد امنیتی از ابتدا تا انتها
- از بین بردن بدافزار از میزبان
- قرنطینه / مهار دستگاه (با استفاده از API های EDR)
- تجزیه و تحلیل هدر ایمیل
- به روز رسانی عامل SIEM
- گزارش دهی خودکار

#shuffle #شافل
تیم سورین

🛎CVE-2024-5522 (CVSS 10): Critical Security Flaw Threatens Thousands of WordPress Sites❗️
از کاربران وردپرسی که پلاگین محبوب HTML5 Video Player را نصب کرده‌اند، درخواست می‌شود پس از کشف یک آسیب‌پذیری امنیتی حیاتی، اقدام فوری انجام دهند. این نقص که به عنوان CVE-2024-5522 ردیابی می شود، به مهاجمان احراز هویت نشده اجازه می دهد تا کد SQL مخرب را به پایگاه داده های وب سایت تزریق کنند که به طور بالقوه اطلاعات حساس را در معرض دید قرار می دهد یا یکپارچگی سایت را به خطر می اندازد.

با بیش از 30000 نصب فعال، این آسیب پذیری خطر قابل توجهی را برای تعداد زیادی از وب سایت های وردپرسی به همراه دارد.
به کاربران اکیداً توصیه می‌شود که افزونه را فوراً به آخرین نسخه به‌روزرسانی کنند، که باید مشکل را برطرف کند. اگر به‌روزرسانی امکان‌پذیر نیست، به‌طور موقت افزونه را غیرفعال یا حذف کنید تا زمانی که یک اصلاح در دسترس باشد.


#⃣https://securityonline.info/cve-2024-5522-cvss-10-critical-security-flaw-threatens-thousands-of-wordpress-sites/

#CVE #wordpress
تیم سورین