➡️ PowerShell logs for SOC

برگرفته از لینکدین : Alireza Maleki

➕ https://heisalim.medium.com/powershell-logs-for-soc-49812b794490

تیم سورین
#powershell #ps

📶 Nsntrace: Nsntrace: Capturing Traffic of a Specific Application in Linux.
ضبط ترافیک یک برنامه خاص در لینوکس.

• اگر در لینوکس با وظیفه به دست آوردن ترافیک یک برنامه خاص روبرو هستیم، می توانیم از ابزار Nsntrace استفاده کنیم.
با ایجاد رابط های مجازی و فضای نام شبکه مجزا، این ابزار اپلیکیشن مورد نیاز ما را راه اندازی می کند و با استفاده از libpcap ترافیک را فقط برای آن ردیابی می کند. نتیجه کار در یک فایل جداگانه ذخیره می شود که توسط هر ابزار استانداردی که می تواند pcap را بخواند، قابل خواندن است.



➡ https://github.com/nsntrace/nsntrace

تیم سورین

تو اين مدت هايي كه مشغول پياده سازي، باز طراحي يا بهينه سازي SIEM براي SOC سازماناي مختلف(بر پايه Splunk) بودم، هميشه يه سري نكات مثل نحوه پياده سازي درست كلاستر، نحوه پيكربندي كامپوننت ها، طراحي شبكه اون ساختار، بحث هاي load balance و integration، نوع ارسال لاگ، پارسينگ و …. هميشه مطرح بوده و جاي سوال زياد داشته.
از اين رو تصميم گرفتيم يه دوره ي Splunk Engineering رو تو سورين برگزار كنيم و به صورت عملي اين موارد رو ريز به ريز بررسي كنيم.
هدفم اينه نفرات بعد از اين دوره بتونن خودشون ساختار Clustering رو تو scaleهاي متوسط و بزرگ پياده سازي كنن و تو بحث هايي مثل بازطراحي و بهينه سازي ساختار splunk يك SOC ديد و تجربه ي قابل قبولي كسب كنن.

در ضمن اين دوره براي كساني كه دنبال يافتن كار تو اين حوزه يا تغيير پوزيشن شغلي جهت كسب تجربه هاي مختلف رو دارن تضمين كار داره. (در صورت قبول شدن تو آزمون نهايي)

اطلاعات دوره مثل سرفصل و قيمت و روزاي برگزاري و نحوه ثبت نام رو ميتونين تو لينك زير ببينيد.

همچنين اگر سوالي هم داشتيد در خدمتم✌️


📱برقراری ارتباط با مدرس : Ahmadreza Nouruzi


تیم سورین

🔍100 Custom SIEM Rules For Client Onboarding

تیم سورین
#siem #rules

😈Reverse Engineer's Toolkit


مجموعه‌ای از ابزارهایی که ممکن است برای شما جالب باشند، اگر به مهندسی معکوس و/یا تحلیل بدافزار در سیستم‌های x86 و x64 ویندوز علاقه‌مند هستید.


➡️https://github.com/mentebinaria/retoolkit

#Reverse #Malware
تیم سورین

✨Lateral Movement Analysis: Using Chainsaw, Hayabusa, and LogParser for Cybersecurity Investigations

این مقاله در مورد تحلیل حرکت جانبی (Lateral Movement) در حملات سایبری صحبت می‌کند. مقاله، سه ابزار قدرتمند برای کمک به شناسایی و تحلیل این نوع فعالیت‌های مخرب معرفی می‌کند:
1️⃣ابزار Chainsaw :
ابزاری برای تجزیه و تحلیل لاگ‌های ویندوز که به شناسایی فعالیت‌های مشکوک کمک می‌کند.
2️⃣ابزار Hayabusa :
یک ابزار پیشرفته برای تحلیل لاگ‌های امنیتی ویندوز.
ویژگی خاص: این ابزار از رول های از پیش تعریف‌شده برای شناسایی تهدیدات احتمالی استفاده می‌کند.
مثال: اگر یک کاربر نامشخص به سرور اصلی دسترسی پیدا کند یا سعی کند حساب‌های دیگر را کنترل کند، Hayabusa این فعالیت‌ها را شناسایی و گزارش می‌دهد.
ویژگی دیگر: بصری‌سازی (Visualization)، که داده‌ها را به صورت گرافیکی نمایش می‌دهد تا روندها و الگوهای مشکوک بهتر فهمیده شوند.
3️⃣ابزار LogParser :
این ابزار یک پردازشگر همه‌کاره برای تحلیل لاگ‌های ویندوز است.
به کاربران امکان می‌دهد با استفاده از دستورات SQL، داده‌های لاگ‌ها را تحلیل کنند.

📎https://medium.com/@cyberengage.org/lateral-movement-analysis-using-chainsaw-hayabusa-and-logparser-for-cybersecurity-investigations-b927843bd8d4

#windows
تیم سورین

این مقاله به بررسی رابطه بین سه حوزه مهم امنیت سایبری می‌پردازد: اطلاعات تهدید (Threat Intelligence)، شکار تهدید (Threat Hunting) و واکنش به حوادث و جرم‌شناسی دیجیتال (DFIR). این رابطه با استفاده از یک نمودار به تصویر کشیده شده است که نشان‌دهنده همپوشانی‌ها و تعاملات بین این حوزه‌ها است.

1️⃣اطلاعات تهدید (TI):
این حوزه بر جمع‌آوری، تحلیل و توزیع اطلاعات مربوط به تهدیدات بالقوه و فعال تمرکز دارد، مانند (IOCs)، تاکتیک‌ها، تکنیک‌ها و رویه‌های مهاجمان (TTPs)، و پروفایل‌های تهدید. TI اطلاعات عملیاتی را فراهم می‌کند که می‌تواند توسط تیم‌های شکار تهدید و DFIR مورد استفاده قرار گیرد.

2️⃣شکار تهدید (TH):
شکار تهدید شامل جستجوی پیش‌فعالانه و فرضیه‌محور برای شناسایی تهدیدات پنهان در شبکه‌ها و سیستم‌های سازمان است. شکارچیان تهدید ممکن است از اطلاعات تهدید به عنوان نقطه شروع استفاده کنند، اما تمرکز آن‌ها بر جستجوی داخلی و تحلیل برای شناسایی تهدیداتی است که از ابزارهای امنیتی سنتی فرار می‌کنند.

3️⃣واکنش به حوادث و جرم‌شناسی دیجیتال (DFIR):
بر تحلیل پس از حادثه و واکنش به رویدادهای امنیتی تمرکز دارد. این شامل درک دامنه و تأثیر حمله، جمع‌آوری و حفظ شواهد، و شناسایی تکنیک‌ها، ابزارها و رفتارهای مهاجم است.

این تعاملات نشان می‌دهد که چگونه TI، TH و DFIR می‌توانند با همکاری یکدیگر به بهبود مستمر دفاع‌های سازمان کمک کنند و آن‌ها را با تهدیدات در حال تکامل هماهنگ نگه دارند.


🖥 https://www.socinvestigation.com/venn-diagram-of-threat-intelligence-threat-hunting-and-dfir/

تیم سورین
#TI #TH #DFIR

🎮AIL framework - Framework for Analysis of Information Leaks

▪️به‌طور کلی، AIL یک ابزار قدرتمند برای جمع‌آوری و تحلیل داده‌های غیرساخت‌یافته است که به کاربران امکان می‌دهد تا به‌صورت مؤثر نشت‌های اطلاعاتی را شناسایی کرده و اطلاعات مفیدی را از منابع مختلف استخراج کنند.

▪️طراحی ماژولار: طراحی ماژولار AIL امکان توسعه و گسترش آسان را فراهم می‌کند. ماژول‌های تحلیل‌گر، فیدرهای جدید یا جریان‌ها می‌توانند بدون نیاز به دانستن جزئیات داخلی به چارچوب AIL اضافه شوند. API و یکپارچه‌سازی‌هایی با پروژه‌های متن‌باز دیگر مانند MISP یا FlowIntel نیز وجود دارد.

🔗https://www.ail-project.org/

تیم سورین

💀Detection Engineering Maturity Matrix

این سایت به ارائهٔ «ماتریس بلوغ مهندسی تشخیص» می‌پردازد که توسط کایل بیلی (Kyle Bailey) توسعه یافته است. این ماتریس به سازمان‌ها کمک می‌کند تا قابلیت‌ها و بلوغ عملکرد تشخیص خود را ارزیابی کرده و نقشه راهی برای ایجاد یا گسترش تیم‌های مهندسی تشخیص ارائه دهند. ماتریس شامل دسته‌بندی‌هایی مانند «افراد»، «فرآیند» و «فناوری» است که هر کدام به زیرمجموعه‌هایی تقسیم می‌شوند و سطوح مختلف بلوغ را از «تعریف‌شده» تا «بهینه‌شده» توصیف می‌کنند. این ابزار برای تیم‌های عملیات امنیتی که به دنبال بهبود فرآیندهای تشخیص تهدیدات هستند، مفید است.

🪩https://detectionengineering.io/

تیم سورین

🎯 برنامه Behavior Rule Bug Bounty از Elastic: فرصتی برای شکارچیان تهدیدات سایبری!

💡سایت Elastic Security Labs یک برنامه Bug Bounty هیجان‌انگیز راه‌اندازی کرده که مخصوص افرادی است که در زمینه امنیت سایبری مهارت دارند و دوست دارند تکنیک‌های خلاقانه‌ای برای دور زدن رول های تشخیص تهدیدات پیدا کنند. این برنامه، برخلاف برنامه‌های معمول Bug Bounty که روی کشف آسیب‌پذیری‌های نرم‌افزاری تمرکز دارند، روی شناسایی نقاط ضعف در رول های امنیتی و تشخیصی Elastic متمرکز است!

🔍 چرا این برنامه مهم است؟
تیم Elastic Security یکی از پیشرفته‌ترین پلتفرم‌های SIEM و EDR را توسعه داده است. اما همان‌طور که در دنیای امنیت می‌دانید، مهاجمان سایبری همیشه به دنبال راه‌های خلاقانه‌ای برای دور زدن دفاع‌ها هستند.

در این برنامه، Elastic از جامعه هکرهای اخلاقی و محققان امنیتی می‌خواهد که قوانین تشخیصی‌اش را به چالش بکشند!
🎯هدف اصلی، پیدا کردن راه‌هایی است که مهاجمان می‌توانند بدون شناسایی، حملات خود را اجرا کنند.

این برنامه بخشی از برنامه جامع باگ باونتی elastic است که از سال ۲۰۱۷ آغاز شده و تاکنون بیش از ۶۰۰,۰۰۰ دلار جایزه پرداخت کرده است. برای مشارکت و کسب اطلاعات بیشتر، می‌توانید به صفحه برنامه در وب‌سایت HackerOne مراجعه کنید.


💬 https://www.elastic.co/security-labs/behavior-rule-bug-bounty

تیم سورین
#elastic

💵 مقاله‌ای که ارائه شده است، سومین بخش از سری مقالات «Linux Persistence Detection Engineering» است که به بررسی مکانیزم‌های پایداری (Persistence) در سیستم‌عامل لینوکس می‌پردازد. این مقاله با تکیه بر مفاهیم پایه‌ای و تکنیک‌های مطرح‌شده در مقالات قبلی، به معرفی و تحلیل مکانیزم‌های پایداری پیچیده‌تر و خلاقانه‌تری می‌پردازد.


1. ربودن جریان اجرای برنامه: (Dynamic Linker Hijacking):لینک‌کننده پویا در لینوکس مسئول بارگذاری و پیوند دادن کتابخانه‌های اشتراکی مورد نیاز برنامه‌ها در زمان اجرا است. مهاجمان می‌توانند با دستکاری این فرآیند، کتابخانه‌های مخرب خود را به برنامه‌ها تزریق کرده و پایداری خود را در سیستم حفظ کنند.

2. ماژول‌های قابل بارگذاری هسته (Loadable Kernel Modules - LKMs) LKMs : به ماژول‌هایی اشاره دارند که می‌توانند در زمان اجرا به هسته لینوکس اضافه یا از آن حذف شوند. مهاجمان با بارگذاری ماژول‌های مخرب، می‌توانند کنترل عمیقی بر سیستم به دست آورده و مکانیزم‌های پایداری پنهانی ایجاد کنند.

3. پایداری از طریق پیکربندی‌ها و کلیدهای SSH: مهاجمان می‌توانند با تغییر فایل‌های پیکربندی SSH یا افزودن کلیدهای مجاز (authorized_keys)، دسترسی مداوم به سیستم را حتی پس از تغییر رمزهای عبور حفظ کنند.

در هر یک از این بخش‌ها، مقاله به توضیح تئوری عملکرد مکانیزم، روش پیاده‌سازی آن، راه‌های تشخیص از طریق قوانین SIEM و Endpoint، و روش‌های شکار تهدیدات با استفاده از ES|QL و OSQuery می‌پردازد.

برای تسهیل در آزمایش و درک این مکانیزم‌ها، ابزار PANIX معرفی شده است که توسط «روبن گرون‌وود» از تیم امنیتی ELASTIC توسعه یافته است. این ابزار به کاربران امکان می‌دهد تا به‌صورت عملی مکانیزم‌های پایداری را پیاده‌سازی و فرصت‌های تشخیص را آزمایش کنند.


✏️https://www.elastic.co/security-labs/continuation-on-persistence-mechanisms

تیم سورین

#elastic