یک مخزن کاربردی و متمرکز برای راهاندازی یا تقویت «برنامه مقابله با تهدیدات داخلی» (Insider Threat).
🔎 چی داخل مخزن هست؟
- ماتریس بلوغ (Maturity Matrix) برای ارزیابی وضعیت کنونی برنامه
- فهرست TTPها (رفتارها و تکنیکهای مرتبط با تهدید داخلی)
- لینکها و منابع عملی برای مستندسازی و هماهنگی با بخشهای HR/Legal
💡 چرا برای SOC مفیده؟
- سریع بهعنوان قالب: ماتریس بلوغ رو برای شناسایی شکافهای مانیتورینگ، DLP و کنترل دسترسی استفاده کنید.
- منبع TTP برای ساخت Hunt/Alert: رفتارهای فهرستشده را به قواعد SIEM/Splunk/EDR نگاشت کنید.
- مرجع هماهنگی: موادِ Helpful Links کمک میکنند تا playbookها و فرآیندهای پاسخدهی با HR و Legal هماهنگ شود.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Insider-Threat/Insider-Threat: Creating a resource to help build and manage an Insider Threat program.
Creating a resource to help build and manage an Insider Threat program. - GitHub - Insider-Threat/Insider-Threat: Creating a resource to help build and manage an Insider Threat program.
👍2❤1
Part 4: Building Effective Detection Rules
این مقاله (Part 4: Building Effective Detection Rules) دربارهی چگونگی طراحی و نوشتن ;کوئری های شناسایی مؤثر در SOC است. نویسنده توضیح میدهد که یک قاعده خوب باید:
▪️ بر رفتار مهاجم تمرکز کند نه شاخصهای تغییرپذیر (مثل IP و هش).
▪️ با چارچوب MITRE ATT&CK نگاشت شود تا جایگاهش در زنجیره حمله مشخص شود.
▪️ تعداد False Positiveها را به حداقل برساند با استفاده از whitelisting و threshold.
همچنین با مثالهایی در Sigma، Splunk (SPL) و KQL نشان میدهد چطور این قواعد نوشته میشوند.
💻 نمونه کوئری Splunk برای شناسایی دسترسی مشکوک به lsass.exe:
⚠️ این کوئری تلاشهای متعدد برای دسترسی به lsass.exe را نشان میدهد که میتواند نشانهی Credential Dumping (T1003) باشد.
تیم سورین
این مقاله (Part 4: Building Effective Detection Rules) دربارهی چگونگی طراحی و نوشتن ;کوئری های شناسایی مؤثر در SOC است. نویسنده توضیح میدهد که یک قاعده خوب باید:
همچنین با مثالهایی در Sigma، Splunk (SPL) و KQL نشان میدهد چطور این قواعد نوشته میشوند.
💻 نمونه کوئری Splunk برای شناسایی دسترسی مشکوک به lsass.exe:
index=windows EventCode=4656 ObjectName="\\Device\\HarddiskVolume*\\lsass.exe"
| stats count by Account_Name, Process_Name, Source_IP
| where count > 5
⚠️ این کوئری تلاشهای متعدد برای دسترسی به lsass.exe را نشان میدهد که میتواند نشانهی Credential Dumping (T1003) باشد.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Part 4: Building Effective Detection Rules
Introduction to Detection Rule Creation
❤2👍1
From a Single Click: How Lunar Spider Enabled a Near Two-Month Intrusion
📌 از یک کلیک تا نفوذ دو ماهه — گزارش جدید DFIR Report
یک کلیک روی یک فایل ظاهراً بیخطر کافی بود: مهاجمان با ترکیبی از BruteRatel / Latrodectus / Cobalt Strike وارد شدند، credentialها (از جمله unattend.xml و LSASS) را سرقت کردند و با rclone/FTP دادهها را خارج کردند — تقریباً دو ماه در شبکه ماندند.
⚠️ نکات عملی — مناسب برای SOC :
🟠 وجود پراسس هایی شبیه به lsassa.exe یا sihosts.exe با رفتارهایی مشابه rclone یا rclone-rename (sihosts.exe, sihosts/sihosts.exe)
🔵 مشاهده Scheduled Task یا Run key جدید با مسیرهای غیرمعمول (%ALLUSERSPROFILE%\USOShared\lsassa.exe)
🟢 دسترسی/dump به LSASS / اجرای ابزارهایی مثل Veeam-Get-Creds یا rclone
🔴 ارتباطات HTTP/FTP نامتعارف به دامنهها یا IPهای خارجی و الگوهای beacon با دورهٔ ثابت
تیم سورین
📌 از یک کلیک تا نفوذ دو ماهه — گزارش جدید DFIR Report
یک کلیک روی یک فایل ظاهراً بیخطر کافی بود: مهاجمان با ترکیبی از BruteRatel / Latrodectus / Cobalt Strike وارد شدند، credentialها (از جمله unattend.xml و LSASS) را سرقت کردند و با rclone/FTP دادهها را خارج کردند — تقریباً دو ماه در شبکه ماندند.
⚠️ نکات عملی — مناسب برای SOC :
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
The DFIR Report
From a Single Click: How Lunar Spider Enabled a Near Two-Month Intrusion
Key Takeaways The intrusion began with a Lunar Spider linked JavaScript file disguised as a tax form that downloaded and executed Brute Ratel via a MSI installer. Multiple types of malware were dep…
❤1
Non-Malware and Living-off-the-Land Tactics in Modern Cyber Operations
«حملات بدون بدافزار و بهرهبرداری از ابزارهای سیستمی در عملیات سایبری مدرن
مهاجمان گاهی از ابزارهای قانونی سیستم (مثل PowerShell, certutil, regsvr32, mshta, PsExec, ProcDump) برای انجام کارهای مخرب استفاده میکنند تا ردپای بدافزار جدید نگذارند.
مهاجمها ممکن است بدافزار نسازند و بهجای آن از ابزارهای قانونی سیستم استفاده کنند. تمرکز ما باید روی «رفتار غیرعادی» این ابزارها باشد.
تیم سورین
«حملات بدون بدافزار و بهرهبرداری از ابزارهای سیستمی در عملیات سایبری مدرن
مهاجمان گاهی از ابزارهای قانونی سیستم (مثل PowerShell, certutil, regsvr32, mshta, PsExec, ProcDump) برای انجام کارهای مخرب استفاده میکنند تا ردپای بدافزار جدید نگذارند.
مهاجمها ممکن است بدافزار نسازند و بهجای آن از ابزارهای قانونی سیستم استفاده کنند. تمرکز ما باید روی «رفتار غیرعادی» این ابزارها باشد.
تیم سورین
Medium
Non-Malware and Living-off-the-Land Tactics in Modern Cyber Operations
The strategic risk of attackers using your own environment against you
(Threat Hunting With Splunk)
🔹 مدت دوره: ۲۴ ساعت
🔹 سطح: پیشرفته
🔹 پیشنیاز: آشنایی با شبکه، سرویسها، لاگها و حملات پایه
🔹 مدرس: مهندس آهنگری
🔹 هزینه: ۷,۰۰۰,۰۰۰ تومان
– کارشناسان SOC
– مدیران فنی SOC
– کارشناسان پاسخ به تهدید
– شکارچیان تهدید
– مشاوران امنیت سایبری
📝 ثبتنام
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
🔹 Module 1 – Introduction, Installation & Configuration of Splunk ES
آشنایی مقدماتی با Splunk ES، نصب، تنظیمات اولیه و Data Normalization
🔹 Module 2 – Threat Analysis & Security Content in ES
تحلیل تهدیدات، کار با Detection Rules، و ساخت Use Caseهای امنیتی
🔹 Module 3 – Advanced Threat Analysis & Threat Hunting with ES
شکار تهدیدات پیشرفته، تحلیل رفتار مهاجم و طراحی Dashboardهای حرفهای
🎓 مدرس: مهندس علی آهنگری
📍 جهت ثبتنام :
ارتباط با ادمین (@Fze01) و یا شماره تماس 09028990150
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Hypersec
Module 1 – Introduction, Installation & Configuration of Splunk ES
1. Introduction to Splunk ES
○ Splunk ES overview
○ Splunk ES architecture and key modules
○ Splunk ES requirements
2. Installation and Configuration of Splunk ES
○ Installing Splunk Enterprise Security
○ General Settings
○ Data Normalization
○ CIM (Common Information Model)
○ Datamodel and Datasets
○ Data Validation
3. Exploring Splunk ES
○ Incident Review Dashboard
○ Security Posture Dashboard
○ Threat Intelligence Framework
○ Identity and Asset Framework
○ Risk-based Analytics Framework
Module 2 – Threat Analysis & Security Content in ES
1. Working with Security Content (Detection Rules)
○ Understanding use cases in ES
○ Enabling ES detection rules
○ Out-of-the-box detection rules
○ Customizing and developing new detection rules
○ Notable Events and Incident Workflow
○ Notable Event investigation scenarios
2. Threat Intelligence in Splunk ES
○ Introduction to the Threat Intelligence Management framework
○ Importing/Exporting TI feeds (STIX, TAXII, etc.)
○ Creating and managing threat artifacts
3. Dashboard-Based Analysis
○ Reviewing security indicators in ES dashboards
○ Using Kill Chain and MITRE ATT&CK mappings
○ Building custom dashboards for SOC teams
Module 3 – Advanced Threat Analysis & Threat Hunting with ES
1. Analyzing Common Attacks in ES
○ Advanced SPL queries for hunting
○ Detecting and analyzing privilege escalation
○ Detecting and analyzing lateral movement
○ Detecting and analyzing data exfiltration
○ Identifying suspicious user behavior
2. Threat Hunting with MLTK (Machine Learning Toolkit)
○ Introduction to MLTK and concepts
○ Using Machine Learning (ML) to threat detection
○ training and applying MLTK models
3. Automation and Integration
○ Integrating Splunk ES with SOAR (e.g., Phantom)
○ Designing playbooks for automated response
○ APIs and integrations with other security tools
1. Introduction to Splunk ES
○ Splunk ES overview
○ Splunk ES architecture and key modules
○ Splunk ES requirements
2. Installation and Configuration of Splunk ES
○ Installing Splunk Enterprise Security
○ General Settings
○ Data Normalization
○ CIM (Common Information Model)
○ Datamodel and Datasets
○ Data Validation
3. Exploring Splunk ES
○ Incident Review Dashboard
○ Security Posture Dashboard
○ Threat Intelligence Framework
○ Identity and Asset Framework
○ Risk-based Analytics Framework
Module 2 – Threat Analysis & Security Content in ES
1. Working with Security Content (Detection Rules)
○ Understanding use cases in ES
○ Enabling ES detection rules
○ Out-of-the-box detection rules
○ Customizing and developing new detection rules
○ Notable Events and Incident Workflow
○ Notable Event investigation scenarios
2. Threat Intelligence in Splunk ES
○ Introduction to the Threat Intelligence Management framework
○ Importing/Exporting TI feeds (STIX, TAXII, etc.)
○ Creating and managing threat artifacts
3. Dashboard-Based Analysis
○ Reviewing security indicators in ES dashboards
○ Using Kill Chain and MITRE ATT&CK mappings
○ Building custom dashboards for SOC teams
Module 3 – Advanced Threat Analysis & Threat Hunting with ES
1. Analyzing Common Attacks in ES
○ Advanced SPL queries for hunting
○ Detecting and analyzing privilege escalation
○ Detecting and analyzing lateral movement
○ Detecting and analyzing data exfiltration
○ Identifying suspicious user behavior
2. Threat Hunting with MLTK (Machine Learning Toolkit)
○ Introduction to MLTK and concepts
○ Using Machine Learning (ML) to threat detection
○ training and applying MLTK models
3. Automation and Integration
○ Integrating Splunk ES with SOAR (e.g., Phantom)
○ Designing playbooks for automated response
○ APIs and integrations with other security tools
⚡1❤1
Media is too big
VIEW IN TELEGRAM
در این ویدیو، نگاهی اجمالی خواهیم داشت به سرفصلها، مباحث کلیدی و همچنین گروه مخاطبانی که این دوره برای آنها طراحی شده است.
اگر در مسیر حرفهای مدیریت و نگهداری Splunk هستید، این دوره دقیقاً برای شماست.
👩💻 مدرس: احمدرضا نوروزی
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
🖥 مخزن آموزشی: Awesome Cyber Security University
🎓 دانشگاه امنیت سایبری – یادگیری رایگان و عملی امنیت اطلاعات
این پروژه در گیتهاب مجموعهای از بهترین و رایگانترین منابع آموزشی امنیت سایبری را گردآوری کرده است که تمرکز اصلی آن بر یادگیری عملی و پروژهمحور است.
🔹 ساختار دوره شامل ۶ بخش اصلی است:
1️⃣ مقدمه و مبانی امنیت
2️⃣ مسیر رایگان آموزش تیم قرمز (Red Team) برای مبتدیان
3️⃣ مسیر رایگان آموزش تیم آبی (Blue Team) برای مبتدیان
4️⃣ تمرینها و چالشهای تکمیلی
5️⃣ جدیدترین آسیبپذیریها (CVEها)
6️⃣ چالشهای سخت و تخصصی – با ترتیب افزایشی سطح دشواری
📎 لینک گیتهاب:
github.com/brootware/awesome-cyber-security-university
#CyberSecurity #GitHub #RedTeam #BlueTeam #CVE #SoorinSec #ThreatHunting
تیم سورین
🎓 دانشگاه امنیت سایبری – یادگیری رایگان و عملی امنیت اطلاعات
این پروژه در گیتهاب مجموعهای از بهترین و رایگانترین منابع آموزشی امنیت سایبری را گردآوری کرده است که تمرکز اصلی آن بر یادگیری عملی و پروژهمحور است.
🔹 ساختار دوره شامل ۶ بخش اصلی است:
1️⃣ مقدمه و مبانی امنیت
2️⃣ مسیر رایگان آموزش تیم قرمز (Red Team) برای مبتدیان
3️⃣ مسیر رایگان آموزش تیم آبی (Blue Team) برای مبتدیان
4️⃣ تمرینها و چالشهای تکمیلی
5️⃣ جدیدترین آسیبپذیریها (CVEها)
6️⃣ چالشهای سخت و تخصصی – با ترتیب افزایشی سطح دشواری
📎 لینک گیتهاب:
github.com/brootware/awesome-cyber-security-university
#CyberSecurity #GitHub #RedTeam #BlueTeam #CVE #SoorinSec #ThreatHunting
تیم سورین
❤2
🧩 تحلیل فنی: سوءاستفاده مهاجمان از ConnectWise برای ساخت بدافزارهای امضاشده
در ماههای اخیر (از مارس ۲۰۲۵)، افزایش چشمگیری در نمونههای آلوده و اپلیکیشنهای جعلی مشاهده شده که با نمونههای امضاشدهی معتبر از نرمافزار ConnectWise ساخته شدهاند.
🔹 ابزار ConnectWise چیست؟
نرم افزار ConnectWise یک پلتفرم مدیریت و پشتیبانی از راه دور (Remote Monitoring & Management - RMM) است که معمولاً توسط تیمهای IT و شرکتهای MSP برای مدیریت سیستمها، مانیتورینگ شبکه، پشتیبانی کاربران، و انجام عملیات از راه دور استفاده میشود.
این نرمافزار به سرورها و کلاینتهای سازمانی دسترسی سطح بالا دارد و میتواند اسکریپت اجرا کند، فایل منتقل کند، و سرویسها را کنترل کند — یعنی دقیقاً همان سطح دسترسیای که یک مهاجم هم در پی آن است.
به همین دلیل، اگر مهاجمان بتوانند از نسخهی معتبر یا امضاشدهی ConnectWise سوءاستفاده کنند، میتوانند از آن بهعنوان ابزاری قانونی برای اجرای بدافزار و کنترل سیستمها بهره ببرند.
گزارش جدید شرکت G DATA نشان میدهد که مهاجمان سایبری با بهرهگیری از ضعف در فرآیند امضای دیجیتال، موفق شدهاند از ConnectWise به عنوان "builder" برای تولید بدافزارهای امضاشده و قابل اعتماد استفاده کنند.
به بیان سادهتر: امضای معتبر، باعث میشود سیستمهای امنیتی و کاربران به فایل مخرب اعتماد کنند — در حالی که در واقعیت، فایل یک بدافزار است.
🔍 نکات مهم گزارش:
خطای اصلی در فرآیند code-signing و مدیریت گواهیها است.
مهاجمان با استفاده از نسخههای معتبر ConnectWise، بدافزارهایی تولید میکنند که امضا و اعتبار قانونی دارند.
بسیاری از محصولات امنیتی در شناسایی این نوع تهدیدها دچار چالش میشوند.
راهکار پیشنهادی: بررسی دقیق رفتار اجرایی بهجای اعتماد مطلق به امضا و گواهیها.
📎 منبع:
G DATA Software Blog – ConnectWise Abuse
#ThreatIntel #ConnectWise #Malware #CodeSigning #BlueTeam
تیم سورین
در ماههای اخیر (از مارس ۲۰۲۵)، افزایش چشمگیری در نمونههای آلوده و اپلیکیشنهای جعلی مشاهده شده که با نمونههای امضاشدهی معتبر از نرمافزار ConnectWise ساخته شدهاند.
نرم افزار ConnectWise یک پلتفرم مدیریت و پشتیبانی از راه دور (Remote Monitoring & Management - RMM) است که معمولاً توسط تیمهای IT و شرکتهای MSP برای مدیریت سیستمها، مانیتورینگ شبکه، پشتیبانی کاربران، و انجام عملیات از راه دور استفاده میشود.
این نرمافزار به سرورها و کلاینتهای سازمانی دسترسی سطح بالا دارد و میتواند اسکریپت اجرا کند، فایل منتقل کند، و سرویسها را کنترل کند — یعنی دقیقاً همان سطح دسترسیای که یک مهاجم هم در پی آن است.
به همین دلیل، اگر مهاجمان بتوانند از نسخهی معتبر یا امضاشدهی ConnectWise سوءاستفاده کنند، میتوانند از آن بهعنوان ابزاری قانونی برای اجرای بدافزار و کنترل سیستمها بهره ببرند.
گزارش جدید شرکت G DATA نشان میدهد که مهاجمان سایبری با بهرهگیری از ضعف در فرآیند امضای دیجیتال، موفق شدهاند از ConnectWise به عنوان "builder" برای تولید بدافزارهای امضاشده و قابل اعتماد استفاده کنند.
به بیان سادهتر: امضای معتبر، باعث میشود سیستمهای امنیتی و کاربران به فایل مخرب اعتماد کنند — در حالی که در واقعیت، فایل یک بدافزار است.
🔍 نکات مهم گزارش:
خطای اصلی در فرآیند code-signing و مدیریت گواهیها است.
مهاجمان با استفاده از نسخههای معتبر ConnectWise، بدافزارهایی تولید میکنند که امضا و اعتبار قانونی دارند.
بسیاری از محصولات امنیتی در شناسایی این نوع تهدیدها دچار چالش میشوند.
راهکار پیشنهادی: بررسی دقیق رفتار اجرایی بهجای اعتماد مطلق به امضا و گواهیها.
📎 منبع:
G DATA Software Blog – ConnectWise Abuse
#ThreatIntel #ConnectWise #Malware #CodeSigning #BlueTeam
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Gdatasoftware
Threat Actors abuse signed ConnectWise application as malware builder
Since March 2025, there has been a noticeable increase in infections and fake applications using validly signed ConnectWise samples. We reveal how bad signing practices allow threat actors to abuse this legitimate software to build and distribute their own…
❤1
OWASP Smart Contract Top 10 Vulnerabilities (https://github.com/OWASP/www-project-smart-contract-top-10)
]-> OWASP Smart Contract Security Verification Standard (https://owasp.org/www-project-smart-contract-security-verification-standard/)
]-> OWASP Smart Contract Security Testing Guide (https://owasp.org/www-project-smart-contract-security-testing-guide/)
تیم سورین
]-> OWASP Smart Contract Security Verification Standard (https://owasp.org/www-project-smart-contract-security-verification-standard/)
]-> OWASP Smart Contract Security Testing Guide (https://owasp.org/www-project-smart-contract-security-testing-guide/)
تیم سورین
❤1👍1
⚠️ هشدار امنیتی —
PoC برای CVE-2025-56383 (Notepad++ DLL Hijacking)
مخزن عمومی «CVE-2025-56383-Proof-of-Concept» توسط کاربر zer0t0 منتشر شده که یک PoC به زبان C برای بهرهبرداری از ضعف DLL hijacking در Notepad++ (مثال: npp.8.8.3) ارائه میکند. روش نمایشدادهشده جایگزینی یک DLL معتبر (مثلاً NppExport.dll) با نسخهٔ جعلشدهای است که سپس کد دلخواه را اجرا میکند — بدیهی است که این رفتار میتواند به اجرای کد از راه دور/محلی منجر شود اگر مهاجم به مسیر نصب دسترسی نوشتن داشته باشد.
👨💻 نکات مهم و فوری:
• بررسی کنید آیا در شبکه/سرورهای شما Notepad++ نصب است (نسخهها و مسیر نصب).
• دسترسی نوشتن به پوشهٔ نصب را برای کاربران غیرمجاز قطع کنید (Least Privilege).
• checksum/ hash فایلهای DLL حساس را اعتبارسنجی کنید و تغییرات ناگهانی را لاگ و بررسی کنید.
• اگر امکانش هست، برنامه را به نسخهٔ وصلهشده ارتقا دهید یا تا رفع رسمی از اجرای بستههای نصب محلی خودداری کنید.
• مانیتورینگ: دنبال تغییر روی DLLها و spawn شدن پروسسهای ناگهانی از طریق Notepad++ باشید.
📌 مرجع:
https://github.com/zer0t0/CVE-2025-56383-Proof-of-Concept
تیم سورین
PoC برای CVE-2025-56383 (Notepad++ DLL Hijacking)
مخزن عمومی «CVE-2025-56383-Proof-of-Concept» توسط کاربر zer0t0 منتشر شده که یک PoC به زبان C برای بهرهبرداری از ضعف DLL hijacking در Notepad++ (مثال: npp.8.8.3) ارائه میکند. روش نمایشدادهشده جایگزینی یک DLL معتبر (مثلاً NppExport.dll) با نسخهٔ جعلشدهای است که سپس کد دلخواه را اجرا میکند — بدیهی است که این رفتار میتواند به اجرای کد از راه دور/محلی منجر شود اگر مهاجم به مسیر نصب دسترسی نوشتن داشته باشد.
👨💻 نکات مهم و فوری:
• بررسی کنید آیا در شبکه/سرورهای شما Notepad++ نصب است (نسخهها و مسیر نصب).
• دسترسی نوشتن به پوشهٔ نصب را برای کاربران غیرمجاز قطع کنید (Least Privilege).
• checksum/ hash فایلهای DLL حساس را اعتبارسنجی کنید و تغییرات ناگهانی را لاگ و بررسی کنید.
• اگر امکانش هست، برنامه را به نسخهٔ وصلهشده ارتقا دهید یا تا رفع رسمی از اجرای بستههای نصب محلی خودداری کنید.
• مانیتورینگ: دنبال تغییر روی DLLها و spawn شدن پروسسهای ناگهانی از طریق Notepad++ باشید.
📌 مرجع:
https://github.com/zer0t0/CVE-2025-56383-Proof-of-Concept
تیم سورین
GitHub
GitHub - zer0t0/CVE-2025-56383-Proof-of-Concept: CVE-2025-56383-Proof-of-Concept
CVE-2025-56383-Proof-of-Concept. Contribute to zer0t0/CVE-2025-56383-Proof-of-Concept development by creating an account on GitHub.
❤1👍1
🔍 منبع جدید برای پژوهشگران و تحلیلگران امنیتی
اگر با Jupyter Notebook کار میکنید یا دنبال نمونههای عملی در حوزهی Threat Hunting، DFIR، Threat Intelligence و Data Analysis هستید،
پیشنهاد میکنم حتماً Juniverse رو ببینید👇
🌐 https://juniverse.securitybreak.io/
📘این پلتفرم یک کاتالوگ از نوتبوکهای امنیتیست که توسط پژوهشگران حوزهی امنیت اطلاعات منتشر شده و موضوعاتی مثل تحلیل بدافزار، بررسی Indicators، پردازش دادههای SIEM و تحلیلهای مبتنی بر MITRE ATT&CK رو پوشش میده.
تیم سورین
#ThreatHunting #DFIR #SOC #Jupyter #Juniverse #SecurityResearch
اگر با Jupyter Notebook کار میکنید یا دنبال نمونههای عملی در حوزهی Threat Hunting، DFIR، Threat Intelligence و Data Analysis هستید،
پیشنهاد میکنم حتماً Juniverse رو ببینید
📘این پلتفرم یک کاتالوگ از نوتبوکهای امنیتیست که توسط پژوهشگران حوزهی امنیت اطلاعات منتشر شده و موضوعاتی مثل تحلیل بدافزار، بررسی Indicators، پردازش دادههای SIEM و تحلیلهای مبتنی بر MITRE ATT&CK رو پوشش میده.
تیم سورین
#ThreatHunting #DFIR #SOC #Jupyter #Juniverse #SecurityResearch
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
❤2
ابزار PsExec از مجموعه Sysinternals ابزارِ قدرتمندی برای اجرای فرامین از راه دوره — هم ادمینها استفاده میکنن و هم مهاجمان. اگر دنبال lateral movement یا اجرای کد با امتیاز SYSTEM هستید، این نقاط رو سریع چک کنید:
• وجود psexec.exe یا PSEXESVC.exe در لاگهای ProcessCreate/EDR.
• فرمانهای مشکوک: پرچمهایی مثل -s, -d, -accepteula, -nobanner, یا powershell -enc <base64>.
• نوشتن فایل به \\<host>\ADMIN$ یا copy کردن PSEXESVC.exe روی میزبانهای متعدد.
• سرویسهای موقت ساخته/حذفشده که والدشون services.exe یا PSEXESVC.exe است.
لینک مقاله برای مطالعه کامل
تیم سورین
#psexec
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Hunting For PsExec.exe abuse
PsExec is a powerful command-line utility from the Microsoft Sysinternals Suite, designed for remote command execution. It enables system…
❤1
مهاجمان بهجای ساخت بدافزار جدید، از ابزارهای قانونی ویندوز مثل rundll32.exe، wmic.exe، certutil.exe و powershell.exe سوءاستفاده میکنند تا ردپاها را بپوشانند.
✅ پیشنهاد ما:
• اجرای مانیتورینگ روی آرگومانهایی مثل -EncodedCommand یا -ExecutionPolicy Bypass
• بررسی parent-child غیرمعمول (مثلاً explorer → wmic, …)
• محدودسازی اجرای LOLBins با AppLocker یا WDAC در نقاط حساس
#ThreatHunting #SOC #LOLBins #DetectionEngineering
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
LOLBins Unmasked: How Attackers Use Your Tools Against You
Hi folks, Smruti Ranjan Pradhan here!
In today’s cybersecurity world, attackers don’t always rely on traditional malware. Instead, they…
In today’s cybersecurity world, attackers don’t always rely on traditional malware. Instead, they…
❤3
📚سرفصلهای دورهی Splunk Enterprise Security (v8.0)
🔹 Module 1 – Introduction, Installation & Configuration of Splunk ES
آشنایی مقدماتی با Splunk ES، نصب، تنظیمات اولیه و Data Normalization
🔹 Module 2 – Threat Analysis & Security Content in ES
تحلیل تهدیدات، کار با Detection Rules، و ساخت Use Caseهای امنیتی
🔹 Module 3 – Advanced Threat Analysis & Threat Hunting with ES
شکار تهدیدات پیشرفته، تحلیل رفتار مهاجم و طراحی Dashboardهای حرفهای
🎓 مدرس: مهندس علی آهنگری
📍 جهت ثبتنام :
ارتباط با ادمین (@Fze01) و یا شماره تماس 09028990150
تیم سورین
🔹 Module 1 – Introduction, Installation & Configuration of Splunk ES
آشنایی مقدماتی با Splunk ES، نصب، تنظیمات اولیه و Data Normalization
🔹 Module 2 – Threat Analysis & Security Content in ES
تحلیل تهدیدات، کار با Detection Rules، و ساخت Use Caseهای امنیتی
🔹 Module 3 – Advanced Threat Analysis & Threat Hunting with ES
شکار تهدیدات پیشرفته، تحلیل رفتار مهاجم و طراحی Dashboardهای حرفهای
🎓 مدرس: مهندس علی آهنگری
📍 جهت ثبتنام :
ارتباط با ادمین (@Fze01) و یا شماره تماس 09028990150
تیم سورین
❤1
Media is too big
VIEW IN TELEGRAM
در این ویدیو بخش کوتاهی از جلسه اول دوره Splunk ES v8 را مشاهده میکنید؛
این دوره با تدریس ارزشمند مهندس آهنگری انجام شده و هدف آن، ایجاد درک عمیق از معماری، قابلیتها و Best Practiceهای Splunk ES برای متخصصان SOC و تیمهای Detection & Response است.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👌1
یک مرکز دولتی در تهران در نظر دارد از بین داوطلبین مرد متخصص در حوزه SOC سطح 1، 2 و 3 با شرایط ذیل اقدام به جذب نیرو به صورت پروژه ای نماید :
نیازمندیهای نیروی سطح 1:
1️⃣متولدین دهه هفتاد به بعد با حداقل شش ماه سابقه کار
2️⃣ دارای کارت پایان خدمت
3️⃣حداقل مدرک لیسانس در رشته های مرتبط
4️⃣شایستگی های تخصصی:
• آشنایی با مفاهیم امنیت و SOC
• آشنایی بایکی از SIEM های بومی وغیر بومی
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• آشنا به لاگ های انواع سیستم عامل ، وب وشبکه
• آشنایی با انواع حملات در لایههای مختلف شبکه
• آشنایی با انواع حملات وب
• آشنا به مفاهیم شبکه و محصولات امنیتی مانند فایروالها، WAF ,DLP ,IPS/IDS
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
•توانایی حضور در شیفت ساعات غیر کاری
نیازمندیهای نیروی سطح 2:
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 2 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• تسلط به مفاهیم امنیت و SOC
• تسلط به splunk و SPL پیشرفته (advanced SPL)
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• تسلط به لاگ های انواع سیستم عامل ، وب وشبکه
• تسلط به انواع حملات در لایههای مختلف شبکه
• توانایی ایجاد use case و correlation search در splunk
• تسلط به متدهای MITRE ATT&CK
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
• تسلط بر مهارتهای Incident Response
نیازمندیهای نیروی سطح 3 :
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 4 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• توانایی شکار تهدیدات (Threat Hunting & Proactive Analysis)
• آشنایی با معماری امنیتی شبکه نظیر Zero Trust
• تسلط بر روی تحلیل حملات سطح وب
• طراحی و توسعه ماژول های مختلف اسپلانک اعم از ES، UBA و MLTK
• تجربه کاری با ابزار هایThreat Intelligence ، SOAR و EDR
• آشنایی با دیجیتال فارنزیک (Digital Forensics برای جمعآوری شواهد
• توانایی خودکارسازی فرایندهای امنیتی، توسعه پلیبوکها و بسترهای SOAR
• تسلط و سفارشی سازی ابزارهایEDR،SIEM و Sysmon برای پایش رفتارهای مخرب
• آشنایی با تکنیکهای شبیهسازی حملات با ابزارهایی مانند Atomic Red Team و Caldera
• تجربهی عملی در حوزه تحلیل رخدادهای امنیتی(Incident Response) و شناسایی منشا حملات (Root Cause Analysis)
• تسلط عمیق بر روی فریم ورک هایی هایی نظیر MITRE ATT&CK / D3FEND و نحوه استفاده از آن در تحلیلهای امنیتی و یوزکیس نویسی
• تسلط بر روی پروتکل های شبکه نظیر TCP/IP, DNS, SSL, SMB, HTTP, IP Routing و تحلیل ترافیک (PCAP, NetFlow) جهت شناسایی C2 و فعالیت های مخرب
• مستندسازی یافتهها و پیشنهاد راهکارهای مقابله با تهدید
امکانات و تسهیلات:
⭕️ محیط پویا و برگزاری دوره های اموزشی مورد نیاز
⭕️پرداخت به موقع حقوق و مزایا
⭕️پرداخت پاداش عملکرد
⭕️بیمه کامل تامین اجتماعی
⭕️بیمه تکمیلی
⭕️هدایای سازمانی
⭕️وام سازمانی
⬅️ روز و ساعات کاری: شنبه تا چهارشنبه | ۷ تا ۱۵:۳۰
⬅️محدوده محل کار: تهران، چهارراه ولیعصر
🖥 ارسال رزومه به : info@soorinsec.ir
نیازمندیهای نیروی سطح 1:
1️⃣متولدین دهه هفتاد به بعد با حداقل شش ماه سابقه کار
2️⃣ دارای کارت پایان خدمت
3️⃣حداقل مدرک لیسانس در رشته های مرتبط
4️⃣شایستگی های تخصصی:
• آشنایی با مفاهیم امنیت و SOC
• آشنایی بایکی از SIEM های بومی وغیر بومی
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• آشنا به لاگ های انواع سیستم عامل ، وب وشبکه
• آشنایی با انواع حملات در لایههای مختلف شبکه
• آشنایی با انواع حملات وب
• آشنا به مفاهیم شبکه و محصولات امنیتی مانند فایروالها، WAF ,DLP ,IPS/IDS
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
•توانایی حضور در شیفت ساعات غیر کاری
نیازمندیهای نیروی سطح 2:
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 2 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• تسلط به مفاهیم امنیت و SOC
• تسلط به splunk و SPL پیشرفته (advanced SPL)
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• تسلط به لاگ های انواع سیستم عامل ، وب وشبکه
• تسلط به انواع حملات در لایههای مختلف شبکه
• توانایی ایجاد use case و correlation search در splunk
• تسلط به متدهای MITRE ATT&CK
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
• تسلط بر مهارتهای Incident Response
نیازمندیهای نیروی سطح 3 :
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 4 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• توانایی شکار تهدیدات (Threat Hunting & Proactive Analysis)
• آشنایی با معماری امنیتی شبکه نظیر Zero Trust
• تسلط بر روی تحلیل حملات سطح وب
• طراحی و توسعه ماژول های مختلف اسپلانک اعم از ES، UBA و MLTK
• تجربه کاری با ابزار هایThreat Intelligence ، SOAR و EDR
• آشنایی با دیجیتال فارنزیک (Digital Forensics برای جمعآوری شواهد
• توانایی خودکارسازی فرایندهای امنیتی، توسعه پلیبوکها و بسترهای SOAR
• تسلط و سفارشی سازی ابزارهایEDR،SIEM و Sysmon برای پایش رفتارهای مخرب
• آشنایی با تکنیکهای شبیهسازی حملات با ابزارهایی مانند Atomic Red Team و Caldera
• تجربهی عملی در حوزه تحلیل رخدادهای امنیتی(Incident Response) و شناسایی منشا حملات (Root Cause Analysis)
• تسلط عمیق بر روی فریم ورک هایی هایی نظیر MITRE ATT&CK / D3FEND و نحوه استفاده از آن در تحلیلهای امنیتی و یوزکیس نویسی
• تسلط بر روی پروتکل های شبکه نظیر TCP/IP, DNS, SSL, SMB, HTTP, IP Routing و تحلیل ترافیک (PCAP, NetFlow) جهت شناسایی C2 و فعالیت های مخرب
• مستندسازی یافتهها و پیشنهاد راهکارهای مقابله با تهدید
امکانات و تسهیلات:
⭕️ محیط پویا و برگزاری دوره های اموزشی مورد نیاز
⭕️پرداخت به موقع حقوق و مزایا
⭕️پرداخت پاداش عملکرد
⭕️بیمه کامل تامین اجتماعی
⭕️بیمه تکمیلی
⭕️هدایای سازمانی
⭕️وام سازمانی
⬅️ روز و ساعات کاری: شنبه تا چهارشنبه | ۷ تا ۱۵:۳۰
⬅️محدوده محل کار: تهران، چهارراه ولیعصر
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🤡4👍2