این مقاله در مورد تحلیل حرکت جانبی (Lateral Movement) در حملات سایبری صحبت میکند. مقاله، سه ابزار قدرتمند برای کمک به شناسایی و تحلیل این نوع فعالیتهای مخرب معرفی میکند:
ابزاری برای تجزیه و تحلیل لاگهای ویندوز که به شناسایی فعالیتهای مشکوک کمک میکند.
یک ابزار پیشرفته برای تحلیل لاگهای امنیتی ویندوز.
ویژگی خاص: این ابزار از رول های از پیش تعریفشده برای شناسایی تهدیدات احتمالی استفاده میکند.
مثال: اگر یک کاربر نامشخص به سرور اصلی دسترسی پیدا کند یا سعی کند حسابهای دیگر را کنترل کند، Hayabusa این فعالیتها را شناسایی و گزارش میدهد.
ویژگی دیگر: بصریسازی (Visualization)، که دادهها را به صورت گرافیکی نمایش میدهد تا روندها و الگوهای مشکوک بهتر فهمیده شوند.
این ابزار یک پردازشگر همهکاره برای تحلیل لاگهای ویندوز است.
به کاربران امکان میدهد با استفاده از دستورات SQL، دادههای لاگها را تحلیل کنند.
#windows
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Lateral Movement Analysis: Using Chainsaw, Hayabusa, and LogParser for Cybersecurity Investigations
A few days ago, I received a request through my website from someone working on an incident response case. He mentioned a situation…
❤2👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
این مقاله به بررسی رابطه بین سه حوزه مهم امنیت سایبری میپردازد: اطلاعات تهدید (Threat Intelligence)، شکار تهدید (Threat Hunting) و واکنش به حوادث و جرمشناسی دیجیتال (DFIR). این رابطه با استفاده از یک نمودار به تصویر کشیده شده است که نشاندهنده همپوشانیها و تعاملات بین این حوزهها است.
1️⃣ اطلاعات تهدید (TI):
این حوزه بر جمعآوری، تحلیل و توزیع اطلاعات مربوط به تهدیدات بالقوه و فعال تمرکز دارد، مانند (IOCs)، تاکتیکها، تکنیکها و رویههای مهاجمان (TTPs)، و پروفایلهای تهدید. TI اطلاعات عملیاتی را فراهم میکند که میتواند توسط تیمهای شکار تهدید و DFIR مورد استفاده قرار گیرد.
2️⃣ شکار تهدید (TH):
شکار تهدید شامل جستجوی پیشفعالانه و فرضیهمحور برای شناسایی تهدیدات پنهان در شبکهها و سیستمهای سازمان است. شکارچیان تهدید ممکن است از اطلاعات تهدید به عنوان نقطه شروع استفاده کنند، اما تمرکز آنها بر جستجوی داخلی و تحلیل برای شناسایی تهدیداتی است که از ابزارهای امنیتی سنتی فرار میکنند.
3️⃣ واکنش به حوادث و جرمشناسی دیجیتال (DFIR):
بر تحلیل پس از حادثه و واکنش به رویدادهای امنیتی تمرکز دارد. این شامل درک دامنه و تأثیر حمله، جمعآوری و حفظ شواهد، و شناسایی تکنیکها، ابزارها و رفتارهای مهاجم است.
این تعاملات نشان میدهد که چگونه TI، TH و DFIR میتوانند با همکاری یکدیگر به بهبود مستمر دفاعهای سازمان کمک کنند و آنها را با تهدیدات در حال تکامل هماهنگ نگه دارند.
🖥 https://www.socinvestigation.com/venn-diagram-of-threat-intelligence-threat-hunting-and-dfir/
تیم سورین
#TI #TH #DFIR
این حوزه بر جمعآوری، تحلیل و توزیع اطلاعات مربوط به تهدیدات بالقوه و فعال تمرکز دارد، مانند (IOCs)، تاکتیکها، تکنیکها و رویههای مهاجمان (TTPs)، و پروفایلهای تهدید. TI اطلاعات عملیاتی را فراهم میکند که میتواند توسط تیمهای شکار تهدید و DFIR مورد استفاده قرار گیرد.
شکار تهدید شامل جستجوی پیشفعالانه و فرضیهمحور برای شناسایی تهدیدات پنهان در شبکهها و سیستمهای سازمان است. شکارچیان تهدید ممکن است از اطلاعات تهدید به عنوان نقطه شروع استفاده کنند، اما تمرکز آنها بر جستجوی داخلی و تحلیل برای شناسایی تهدیداتی است که از ابزارهای امنیتی سنتی فرار میکنند.
بر تحلیل پس از حادثه و واکنش به رویدادهای امنیتی تمرکز دارد. این شامل درک دامنه و تأثیر حمله، جمعآوری و حفظ شواهد، و شناسایی تکنیکها، ابزارها و رفتارهای مهاجم است.
این تعاملات نشان میدهد که چگونه TI، TH و DFIR میتوانند با همکاری یکدیگر به بهبود مستمر دفاعهای سازمان کمک کنند و آنها را با تهدیدات در حال تکامل هماهنگ نگه دارند.
تیم سورین
#TI #TH #DFIR
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
👏2
این سایت به ارائهٔ «ماتریس بلوغ مهندسی تشخیص» میپردازد که توسط کایل بیلی (Kyle Bailey) توسعه یافته است. این ماتریس به سازمانها کمک میکند تا قابلیتها و بلوغ عملکرد تشخیص خود را ارزیابی کرده و نقشه راهی برای ایجاد یا گسترش تیمهای مهندسی تشخیص ارائه دهند. ماتریس شامل دستهبندیهایی مانند «افراد»، «فرآیند» و «فناوری» است که هر کدام به زیرمجموعههایی تقسیم میشوند و سطوح مختلف بلوغ را از «تعریفشده» تا «بهینهشده» توصیف میکنند. این ابزار برای تیمهای عملیات امنیتی که به دنبال بهبود فرآیندهای تشخیص تهدیدات هستند، مفید است.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
👍2
🎯 برنامه Behavior Rule Bug Bounty از Elastic: فرصتی برای شکارچیان تهدیدات سایبری!
💡 سایت Elastic Security Labs یک برنامه Bug Bounty هیجانانگیز راهاندازی کرده که مخصوص افرادی است که در زمینه امنیت سایبری مهارت دارند و دوست دارند تکنیکهای خلاقانهای برای دور زدن رول های تشخیص تهدیدات پیدا کنند. این برنامه، برخلاف برنامههای معمول Bug Bounty که روی کشف آسیبپذیریهای نرمافزاری تمرکز دارند، روی شناسایی نقاط ضعف در رول های امنیتی و تشخیصی Elastic متمرکز است!
🔍 چرا این برنامه مهم است؟
تیم Elastic Security یکی از پیشرفتهترین پلتفرمهای SIEM و EDR را توسعه داده است. اما همانطور که در دنیای امنیت میدانید، مهاجمان سایبری همیشه به دنبال راههای خلاقانهای برای دور زدن دفاعها هستند.
در این برنامه، Elastic از جامعه هکرهای اخلاقی و محققان امنیتی میخواهد که قوانین تشخیصیاش را به چالش بکشند!
🎯 هدف اصلی، پیدا کردن راههایی است که مهاجمان میتوانند بدون شناسایی، حملات خود را اجرا کنند.
این برنامه بخشی از برنامه جامع باگ باونتی elastic است که از سال ۲۰۱۷ آغاز شده و تاکنون بیش از ۶۰۰,۰۰۰ دلار جایزه پرداخت کرده است. برای مشارکت و کسب اطلاعات بیشتر، میتوانید به صفحه برنامه در وبسایت HackerOne مراجعه کنید.
💬 https://www.elastic.co/security-labs/behavior-rule-bug-bounty
تیم سورین
#elastic
تیم Elastic Security یکی از پیشرفتهترین پلتفرمهای SIEM و EDR را توسعه داده است. اما همانطور که در دنیای امنیت میدانید، مهاجمان سایبری همیشه به دنبال راههای خلاقانهای برای دور زدن دفاعها هستند.
در این برنامه، Elastic از جامعه هکرهای اخلاقی و محققان امنیتی میخواهد که قوانین تشخیصیاش را به چالش بکشند!
این برنامه بخشی از برنامه جامع باگ باونتی elastic است که از سال ۲۰۱۷ آغاز شده و تاکنون بیش از ۶۰۰,۰۰۰ دلار جایزه پرداخت کرده است. برای مشارکت و کسب اطلاعات بیشتر، میتوانید به صفحه برنامه در وبسایت HackerOne مراجعه کنید.
تیم سورین
#elastic
Please open Telegram to view this post
VIEW IN TELEGRAM
www.elastic.co
Announcing the Elastic Bounty Program for Behavior Rule Protections — Elastic Security Labs
Elastic is launching an expansion of its security bounty program, inviting researchers to test its SIEM and EDR rules for evasion and bypass techniques, starting with Windows endpoints. This initiative strengthens collaboration with the security community…
👏2
1. ربودن جریان اجرای برنامه: (Dynamic Linker Hijacking):لینککننده پویا در لینوکس مسئول بارگذاری و پیوند دادن کتابخانههای اشتراکی مورد نیاز برنامهها در زمان اجرا است. مهاجمان میتوانند با دستکاری این فرآیند، کتابخانههای مخرب خود را به برنامهها تزریق کرده و پایداری خود را در سیستم حفظ کنند.
2. ماژولهای قابل بارگذاری هسته (Loadable Kernel Modules - LKMs) LKMs : به ماژولهایی اشاره دارند که میتوانند در زمان اجرا به هسته لینوکس اضافه یا از آن حذف شوند. مهاجمان با بارگذاری ماژولهای مخرب، میتوانند کنترل عمیقی بر سیستم به دست آورده و مکانیزمهای پایداری پنهانی ایجاد کنند.
3. پایداری از طریق پیکربندیها و کلیدهای SSH: مهاجمان میتوانند با تغییر فایلهای پیکربندی SSH یا افزودن کلیدهای مجاز (authorized_keys)، دسترسی مداوم به سیستم را حتی پس از تغییر رمزهای عبور حفظ کنند.
در هر یک از این بخشها، مقاله به توضیح تئوری عملکرد مکانیزم، روش پیادهسازی آن، راههای تشخیص از طریق قوانین SIEM و Endpoint، و روشهای شکار تهدیدات با استفاده از ES|QL و OSQuery میپردازد.
برای تسهیل در آزمایش و درک این مکانیزمها، ابزار PANIX معرفی شده است که توسط «روبن گرونوود» از تیم امنیتی ELASTIC توسعه یافته است. این ابزار به کاربران امکان میدهد تا بهصورت عملی مکانیزمهای پایداری را پیادهسازی و فرصتهای تشخیص را آزمایش کنند.
تیم سورین
#elastic
Please open Telegram to view this post
VIEW IN TELEGRAM
www.elastic.co
Linux Detection Engineering - A Continuation on Persistence Mechanisms — Elastic Security Labs
This document continues the exploration of Linux detection engineering, emphasizing advancements in monitoring persistence mechanisms. By building on past practices and insights, it provides a roadmap for improving detection strategies in complex environments.
👍3❤1
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
Active_Directory_Advanced_Threat_Hunting/MITRE_ATT&CK_Techniques_Windows_Eventlog_IDs.md at main · tomwechsler/Active_Director…
This repo is about Active Directory Advanced Threat Hunting - tomwechsler/Active_Directory_Advanced_Threat_Hunting
تیم سورین
#purple
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Krook9d/PurpleLab: PurpleLab is an efficient and readily deployable lab solution, providing a swift setup for cybersecurity…
PurpleLab is an efficient and readily deployable lab solution, providing a swift setup for cybersecurity professionals to test detection rules and undertake various security tasks, all accessible ...
👍3
آموزش عملی رایگان!
تیم سورین
#SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
👏2❤1
🚀 معرفی نسخه جدید Parrot OS 6.2
اگر به تست نفوذ، امنیت سایبری یا تحلیل آسیبپذیریها علاقهمند هستید، Parrot OS یکی از بهترین گزینهها برای شماست!
این سیستمعامل زیبا و قدرتمند بر پایهی دبیان ساخته شده و توسط تیم Frozenbox توسعه یافته تا ابزاری حرفهای برای کارشناسان امنیت فراهم کند.
➡ ParrotOS Download Page;
➡ ParrotOS Mirror List;
➡ Official ParrotOS Gitlab repo;
➡ Official ParrotOS Github repo;
➡ Official ParrotOS SubReddit.
تیم سورین
#parrot #OS
اگر به تست نفوذ، امنیت سایبری یا تحلیل آسیبپذیریها علاقهمند هستید، Parrot OS یکی از بهترین گزینهها برای شماست!
این سیستمعامل زیبا و قدرتمند بر پایهی دبیان ساخته شده و توسط تیم Frozenbox توسعه یافته تا ابزاری حرفهای برای کارشناسان امنیت فراهم کند.
تیم سورین
#parrot #OS
Please open Telegram to view this post
VIEW IN TELEGRAM
www.parrotsec.org
Parrot Security
Parrot Security website
❤1
🖥 مخزن: FalconHound - ابزار چندمنظوره تیم آبی.
https://github.com/FalconForceTeam/FalconHound
تیم سورین
#Blue_Team
https://github.com/FalconForceTeam/FalconHound
تیم سورین
#Blue_Team
GitHub
GitHub - FalconForceTeam/FalconHound: FalconHound is a blue team multi-tool. It allows you to utilize and enhance the power of…
FalconHound is a blue team multi-tool. It allows you to utilize and enhance the power of BloodHound in a more automated fashion. It is designed to be used in conjunction with a SIEM or other log ag...
مقالهی "Offensive Kerberos Techniques for Detection Engineering" در Medium، تکنیکهای تهاجمی رایج علیه Kerberos در محیطهای Active Directory را بررسی میکند و به کارشناسان امنیت کمک میکند تا ابزارهای شناسایی بهتری طراحی کنند. این تکنیکها شامل Kerberoasting، AS-REP Roasting، Golden/Silver Ticket، Pass-the-Hash و سوءاستفاده از delegation است. نویسنده با مثالها و ابزارهایی مانند Rubeus و Mimikatz نشان میدهد که چگونه این حملات اجرا میشوند و چگونه میتوان آنها را شناسایی و جلوگیری کرد.
🛡 راهکارهای شناسایی و مقابله:
نظارت بر رویدادهای امنیتی: بررسی رویدادهای 4768 و 4771 برای شناسایی تلاشهای مشکوک در احراز هویت.
استفاده از ابزارهای تشخیصی: ابزارهایی مانند Rubeus برای شناسایی و تحلیل حملات Kerberos.
ایجاد حسابهای طعمه (Honeypot): برای شناسایی تلاشهای مهاجمان در دسترسی به حسابهای خاص.
تقویت سیاستهای رمز عبور: استفاده از رمزهای قوی و پیچیده برای حسابهای سرویس.
فعالسازی پیشاحراز هویت: برای تمامی حسابها به منظور جلوگیری از حملات AS-REP Roasting.
این مقاله منبعی ارزشمند برای تیمهای امنیتی است تا با درک بهتر از تکنیکهای حمله به Kerberos، راهکارهای مؤثری برای شناسایی و مقابله با آنها پیادهسازی کنند.
تیم سورین
🛡 راهکارهای شناسایی و مقابله:
نظارت بر رویدادهای امنیتی: بررسی رویدادهای 4768 و 4771 برای شناسایی تلاشهای مشکوک در احراز هویت.
استفاده از ابزارهای تشخیصی: ابزارهایی مانند Rubeus برای شناسایی و تحلیل حملات Kerberos.
ایجاد حسابهای طعمه (Honeypot): برای شناسایی تلاشهای مهاجمان در دسترسی به حسابهای خاص.
تقویت سیاستهای رمز عبور: استفاده از رمزهای قوی و پیچیده برای حسابهای سرویس.
فعالسازی پیشاحراز هویت: برای تمامی حسابها به منظور جلوگیری از حملات AS-REP Roasting.
این مقاله منبعی ارزشمند برای تیمهای امنیتی است تا با درک بهتر از تکنیکهای حمله به Kerberos، راهکارهای مؤثری برای شناسایی و مقابله با آنها پیادهسازی کنند.
تیم سورین
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
👍1
این مقاله به بررسی تکنیکهای مبهمسازی خط فرمان میپردازد که به مهاجمان سایبری امکان میدهد تا تشخیص فعالیتهای مخرب توسط ابزارهای امنیتی را دشوار کنند. این تکنیکها از ناسازگاریها و ویژگیهای خاص در نحوه پردازش آرگومانهای خط فرمان توسط برنامههای اجرایی (مانند ابزارهای داخلی ویندوز) بهرهبرداری میکنند. همچنین، ابزار جدیدی به نام ArgFuscator معرفی شده است که فرصتهای مبهمسازی را مستند کرده و خطوط فرمان مبهمشده تولید میکند.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
www.wietzebeukema.nl
Bypassing Detections with Command-Line Obfuscation
Defensive tools like AVs and EDRs rely on command-line arguments for detecting malicious activity. This post demonstrates how command-line obfuscation, a shell-independent technique that exploits executables’ parsing “flaws”, can bypass such detections. It…
👍1
Splunk Fundamentals 1, 2, 3
مدرس : Ahmadreza Norouzi
سرفصل های دوره شامل موارد زیر هست :
🔹 Introducing Splunk and Splunk's Components
🔹 Installation
🔹 Inputs
🔹 Searching
🔹 Best Practices for Searching
🔹 Splunk Search Language
🔹 Transforming Commands
🔹 Creating Report, Dashboard and Alert
🔹 Using Pivot
🔹 Creating and Using Lookup
🔹 Beyond Search Fundamentals
🔹 Command for Visualization
🔹 Advanced Visualization
🔹 Filtering and Formatting Data
🔹 Creating and Managing Fields
🔹 Extracting Fields at Search Time
🔹 Report Acceleration
🔹 Correlating Events
🔹 Introduction to Data Model & Data Set
🔹 Introduction to CIM
🔹 Exploring Statistical Commands
🔹 Summary Indexing
🔹 Data model Command
🔹 Creating and Using Macros
🔹 Tsidx Filed & tstats Command
🔹 Introduction to Knowledge Objects
🔹 Exploring eval command Functions
🔹 Exploring Lookup
🔹 Creating and Using Workflow Action
تیم سورین
مدرس : Ahmadreza Norouzi
سرفصل های دوره شامل موارد زیر هست :
🔹 Introducing Splunk and Splunk's Components
🔹 Installation
🔹 Inputs
🔹 Searching
🔹 Best Practices for Searching
🔹 Splunk Search Language
🔹 Transforming Commands
🔹 Creating Report, Dashboard and Alert
🔹 Using Pivot
🔹 Creating and Using Lookup
🔹 Beyond Search Fundamentals
🔹 Command for Visualization
🔹 Advanced Visualization
🔹 Filtering and Formatting Data
🔹 Creating and Managing Fields
🔹 Extracting Fields at Search Time
🔹 Report Acceleration
🔹 Correlating Events
🔹 Introduction to Data Model & Data Set
🔹 Introduction to CIM
🔹 Exploring Statistical Commands
🔹 Summary Indexing
🔹 Data model Command
🔹 Creating and Using Macros
🔹 Tsidx Filed & tstats Command
🔹 Introduction to Knowledge Objects
🔹 Exploring eval command Functions
🔹 Exploring Lookup
🔹 Creating and Using Workflow Action
تیم سورین
❤5
🛑 هشدار امنیتی مهم برای کاربران کروم 🛑
📌 CVE-2025-5419
📆 کشفشده در: خرداد ۱۴۰۴
📈 شدت آسیبپذیری: 8.8 از 10 (خیلی بالا)
🧠 آسیبپذیری در: موتور V8 مرورگر Google Chrome
یک نقص امنیتی خطرناک در موتور جاوااسکریپت Chrome که به مهاجم اجازه میدهد حافظه مرورگر را دستکاری کرده و حتی کد مخرب اجرا کند!
💥 نتیجه :
✅ امکان اجرای کد از راه دور
✅ احتمال سرقت اطلاعات
✅ کنترل کامل بر سیستم قربانی
🚨 همه کاربران Chrome، و همچنین کاربران مرورگرهای مبتنی بر Chromium مثل Edge، Brave، Opera و Vivaldi.
🛡راهحل: مرورگر ، فوراً بهروزرسانی شود.
🔗 اطلاعات بیشتر
تیم سورین
📌 CVE-2025-5419
📆 کشفشده در: خرداد ۱۴۰۴
📈 شدت آسیبپذیری: 8.8 از 10 (خیلی بالا)
🧠 آسیبپذیری در: موتور V8 مرورگر Google Chrome
یک نقص امنیتی خطرناک در موتور جاوااسکریپت Chrome که به مهاجم اجازه میدهد حافظه مرورگر را دستکاری کرده و حتی کد مخرب اجرا کند!
💥 نتیجه :
✅ امکان اجرای کد از راه دور
✅ احتمال سرقت اطلاعات
✅ کنترل کامل بر سیستم قربانی
🚨 همه کاربران Chrome، و همچنین کاربران مرورگرهای مبتنی بر Chromium مثل Edge، Brave، Opera و Vivaldi.
🛡راهحل: مرورگر ، فوراً بهروزرسانی شود.
🔗 اطلاعات بیشتر
تیم سورین
❤3👍2