✍️ یوزکیس اسپلانک برای شناسایی اکسپلویت CVE-2021-1675
آسیب پذیری PrintNightmare با شناسه CVE-2021-1675 این اجازه را به مهاجم میدهد که با داشتن یک اکانت با سطح دسترسی عادی، بر روی ماشینی که سرویس "Windows Print Spooler" فعال است دسترسی در سطح System بگیرد. Print Spooler یک سرویس ویندوزی است که مدیریت jobهای پرینت را برعهده دارد و بطور پیش فرض بر روی تمام کلاینت و سرورهای ویندوزی (به عنوان مثال Domain Controller) فعال است.
به عبارت دیگر اگر در حال حاضر این سرویس را در شبکه ی خود غیرفعال نکرده باشید هر کدام از کاربران عادی موجود در دامنه، میتوانند سرور DC را بطور کامل در اختیار بگیرد. بنابراین فقط کافیست مهاجم به سیستم یکی از کاربران نفوذ کند (دسترسی فیزیکی، فیشینگ و ...)!
متاسفانه کد اکسپلویت این آسیب پذیری بصورت عمومی در دسترس بوده و مایکروسافت هنوز این آسیب پذیری را وصله نکرده است. بطوریکه بر اساس آزمایش انجام شده، ویندوز سرور 2019 بروزرسانی شده، تحت تاثیر حمله قرار گرفت. بنابراین بهترین راهکار در حال حاضر غیرفعال کردن (disabled نه stopped) این سرویس در کل شبکه مخصوصا سرور و کلاینت های مهم است.
ادامه ...
#CVE_2021_1675 #یوزکیس #اسپلانک
♻️ @HyperSec
آسیب پذیری PrintNightmare با شناسه CVE-2021-1675 این اجازه را به مهاجم میدهد که با داشتن یک اکانت با سطح دسترسی عادی، بر روی ماشینی که سرویس "Windows Print Spooler" فعال است دسترسی در سطح System بگیرد. Print Spooler یک سرویس ویندوزی است که مدیریت jobهای پرینت را برعهده دارد و بطور پیش فرض بر روی تمام کلاینت و سرورهای ویندوزی (به عنوان مثال Domain Controller) فعال است.
به عبارت دیگر اگر در حال حاضر این سرویس را در شبکه ی خود غیرفعال نکرده باشید هر کدام از کاربران عادی موجود در دامنه، میتوانند سرور DC را بطور کامل در اختیار بگیرد. بنابراین فقط کافیست مهاجم به سیستم یکی از کاربران نفوذ کند (دسترسی فیزیکی، فیشینگ و ...)!
متاسفانه کد اکسپلویت این آسیب پذیری بصورت عمومی در دسترس بوده و مایکروسافت هنوز این آسیب پذیری را وصله نکرده است. بطوریکه بر اساس آزمایش انجام شده، ویندوز سرور 2019 بروزرسانی شده، تحت تاثیر حمله قرار گرفت. بنابراین بهترین راهکار در حال حاضر غیرفعال کردن (disabled نه stopped) این سرویس در کل شبکه مخصوصا سرور و کلاینت های مهم است.
ادامه ...
#CVE_2021_1675 #یوزکیس #اسپلانک
♻️ @HyperSec
Soorin_UseCase_PrintNightmare_v2.2.pdf
174.1 KB
✍️ شناسایی سواستفاده از آسیب پذیری Print Spooler _ نسخه دوم
در مستند پیوست شده، نسخه دوم قوانین اسپلانک برای کمک به شناسایی PrintNightmare مبتنی بر لاگ های Sysmon و همچنین لاگ های غیر Sysmon آورده شده است.
#CVE_2021_34527 #CVE_2021_1675 #Use_Case #Splunk #print_spooler #PrintNightmare
♻️ @HyperSec
در مستند پیوست شده، نسخه دوم قوانین اسپلانک برای کمک به شناسایی PrintNightmare مبتنی بر لاگ های Sysmon و همچنین لاگ های غیر Sysmon آورده شده است.
#CVE_2021_34527 #CVE_2021_1675 #Use_Case #Splunk #print_spooler #PrintNightmare
♻️ @HyperSec
✍️ شناسایی سواستفاده از آسیب پذیری Print Spooler _ براساس ترافیک
شرکت های مختلف امنیتی قوانین خود را در چند روز گذشته منتشر کرده اند. در ادامه یکی از قوانین IDS نوشته شده توسط Proofpoint برای Suricata آورده شده است (مجموعه قوانین تجاری ET Pro):
alert tcp any any -> $Home_NET any (msg:'ETPRO POLICY Observed Windows Printer Spooler Activity Add Printer Driver'; flow:established,to_server; content:'|02|'; content:'|03|'; distance:0; within:5; content:'W|00|i|00|n|00|d|00|o|00|w|00|s|00|'; distance:0; content:'.|00|d|00|l|00|l|00|'; distance:0; content:'|00 00 00 10|'; distance:0; content:'|00 00 80 00|'; distance:0; within:20; content'|00 5c 00|s|00|p|00|o|00|o|00|l|00 5c 00|d|00|r|00|i|00|v|00|e|00|r|00|s|00 5c|'; fast_pattern; classtype:bad-unknown; sid:2849129; rev:2;)
#CVE_2021_34527 #CVE_2021_1675 #IDS #Print_Spooler #PrintNightmare
♻️ @HyperSec
شرکت های مختلف امنیتی قوانین خود را در چند روز گذشته منتشر کرده اند. در ادامه یکی از قوانین IDS نوشته شده توسط Proofpoint برای Suricata آورده شده است (مجموعه قوانین تجاری ET Pro):
alert tcp any any -> $Home_NET any (msg:'ETPRO POLICY Observed Windows Printer Spooler Activity Add Printer Driver'; flow:established,to_server; content:'|02|'; content:'|03|'; distance:0; within:5; content:'W|00|i|00|n|00|d|00|o|00|w|00|s|00|'; distance:0; content:'.|00|d|00|l|00|l|00|'; distance:0; content:'|00 00 00 10|'; distance:0; content:'|00 00 80 00|'; distance:0; within:20; content'|00 5c 00|s|00|p|00|o|00|o|00|l|00 5c 00|d|00|r|00|i|00|v|00|e|00|r|00|s|00 5c|'; fast_pattern; classtype:bad-unknown; sid:2849129; rev:2;)
#CVE_2021_34527 #CVE_2021_1675 #IDS #Print_Spooler #PrintNightmare
♻️ @HyperSec
✍️فیلتر کردن لاگ های نویزی در اسپلانک
یکی از مهم ترین بخش های راه اندازی یک SIEM بحث Tuning و کم کردن لاگ های نویزی میباشد زیرا که با انجام ندادن این کار، هم منابع زیادی از زیرساخت سازمان مصرف شده و هم کارشناسان و متخصصین واحد مرکز عملیات امنیت (SOC) با حجم زیادی از لاگ های کم اهمیت و بعضاً بی اهمیت مواجه میشوند که باعث کاهش تمرکز شده و False Positive ها را افزایش میدهد.
پس بهتر است برای بالا بردن دقت Splunk سازمان خود و همچنین بهبود وضعیت امنیت موجود، فرآیند Tuning جدی گرفته شود. یکی از بخش هایی که میتوان این تغییرات را انجام داد و لاگ های نویزی را دور ریخت، کامپوننت HF یا Heavy Forwarder اسپلانک میباشد. مستند حاضر به بررسی این موضوع می پردازد.
#اسپلانک
#لاگ_نویزی
#Heavy_forwarder
♻️ @HyperSec
یکی از مهم ترین بخش های راه اندازی یک SIEM بحث Tuning و کم کردن لاگ های نویزی میباشد زیرا که با انجام ندادن این کار، هم منابع زیادی از زیرساخت سازمان مصرف شده و هم کارشناسان و متخصصین واحد مرکز عملیات امنیت (SOC) با حجم زیادی از لاگ های کم اهمیت و بعضاً بی اهمیت مواجه میشوند که باعث کاهش تمرکز شده و False Positive ها را افزایش میدهد.
پس بهتر است برای بالا بردن دقت Splunk سازمان خود و همچنین بهبود وضعیت امنیت موجود، فرآیند Tuning جدی گرفته شود. یکی از بخش هایی که میتوان این تغییرات را انجام داد و لاگ های نویزی را دور ریخت، کامپوننت HF یا Heavy Forwarder اسپلانک میباشد. مستند حاضر به بررسی این موضوع می پردازد.
#اسپلانک
#لاگ_نویزی
#Heavy_forwarder
♻️ @HyperSec
✍️ استفاده از قابلیت Routing در اسپلانک
در پیاده سازی اسپلانک گاهی نیاز میشود داده ها را به سمت یک مقصد خاص بفرستیم که با توجه به سناریوهای موجود از دو روش Selective Indexing و Selective Forwarding میتوان استفاده کرد.
حالت Selective Indexing زمانی اتفاق میافتد که به عنوان مثال لاگ ها در HF و یک ایندکس خاص مثل Main قرار دارد و ما میخواهیم Reindex کرده و این لاگ ها را در Indexer بر روی یک ایندکس دیگر مثل Test قرار دهیم.
حالت Selective Forwarding زمانی اتفاق میافتد که ما میخواهیم یک لاگ را با توجه به یک Source، SourceType یا Host فیلتر کرده و لاگ های فیلتر شده را به سمت Indexer های خاص بفرستیم.
در این بخش ما بر روی Selective Forward تمرکز میکنیم و در آینده به بخش Selective Indexing نیز اشاره خواهیم کرد.
#اسپلانک
#Routing
#Selective_Forwarding
♻️@HyperSec
در پیاده سازی اسپلانک گاهی نیاز میشود داده ها را به سمت یک مقصد خاص بفرستیم که با توجه به سناریوهای موجود از دو روش Selective Indexing و Selective Forwarding میتوان استفاده کرد.
حالت Selective Indexing زمانی اتفاق میافتد که به عنوان مثال لاگ ها در HF و یک ایندکس خاص مثل Main قرار دارد و ما میخواهیم Reindex کرده و این لاگ ها را در Indexer بر روی یک ایندکس دیگر مثل Test قرار دهیم.
حالت Selective Forwarding زمانی اتفاق میافتد که ما میخواهیم یک لاگ را با توجه به یک Source، SourceType یا Host فیلتر کرده و لاگ های فیلتر شده را به سمت Indexer های خاص بفرستیم.
در این بخش ما بر روی Selective Forward تمرکز میکنیم و در آینده به بخش Selective Indexing نیز اشاره خواهیم کرد.
#اسپلانک
#Routing
#Selective_Forwarding
♻️@HyperSec
Hypersec
✍️ استفاده از قابلیت Routing در اسپلانک در پیاده سازی اسپلانک گاهی نیاز میشود داده ها را به سمت یک مقصد خاص بفرستیم که با توجه به سناریوهای موجود از دو روش Selective Indexing و Selective Forwarding میتوان استفاده کرد. حالت Selective Indexing زمانی اتفاق…
Splunk-Routing-V1.2-00.4.19.pdf
234.4 KB
✍️ارزیابی SOC به کمک SOC-CMM
یکی از مهمترین فرآیندهایی که توصیه میشود در دستور کار مراکز امنیت قرار بگیرد، ارزیابی SOC است که به بالا بردن کیفیت و کارایی یک مرکز عملیات امنیت کمک بسیاری میکند. SOC-CMM استانداردی میباشد که به کمک آن میتوان یک مرکز عملیات امنیت را از ابعاد مختلف ارزیابی کرد.
این فرآیند، بلوغ امنیت سازمان را از 5 دیدگاه بررسی میکند که شامل Business سازمان، نفرات موجود(People) ، فرآیندها و ارتباطات(Process) ، تکنولوژی های مورد استفاده (Technology) و سرویس هایی که در یک SOC ارائه میشود(Services) میباشد.
تمام این بررسی ها به صورت پرسشهای چند گزینه ای بوده که در هر کدام از 5 دامنه، جزئیات تحلیل میگردد. در پست بعد، جزییات بیشتری از SOC-CMM آورده شده است.
#SOC_CMM
♻️@HyperSec
یکی از مهمترین فرآیندهایی که توصیه میشود در دستور کار مراکز امنیت قرار بگیرد، ارزیابی SOC است که به بالا بردن کیفیت و کارایی یک مرکز عملیات امنیت کمک بسیاری میکند. SOC-CMM استانداردی میباشد که به کمک آن میتوان یک مرکز عملیات امنیت را از ابعاد مختلف ارزیابی کرد.
این فرآیند، بلوغ امنیت سازمان را از 5 دیدگاه بررسی میکند که شامل Business سازمان، نفرات موجود(People) ، فرآیندها و ارتباطات(Process) ، تکنولوژی های مورد استفاده (Technology) و سرویس هایی که در یک SOC ارائه میشود(Services) میباشد.
تمام این بررسی ها به صورت پرسشهای چند گزینه ای بوده که در هر کدام از 5 دامنه، جزئیات تحلیل میگردد. در پست بعد، جزییات بیشتری از SOC-CMM آورده شده است.
#SOC_CMM
♻️@HyperSec
✍ وبینار شکار تهدیدات با اسپلانک
هدف از این وبینار، آشنایی مخاطبان با Splunk و همچنین آشنایی با تکنیک ها و روش های شناسایی و تحلیل تهدیدات سایبری با Splunk است.
در این وبینار، به برخی تکنیک های بررسی و تحلیل تهدیدات سایبری از نگاه یک شکارچی تهدید پرداخته میشود و مخاطبین آن، تمام علاقه مندان به حوزه امنیت، کارشناسان SOC، متخصصین حوزه Forensic و Hunting و همچنین مدیران امنیتی میباشد.
#وبینار #اسپلانک #شکار_تهدید
https://evnd.co/8BEtu
♻️ @HyperSec
هدف از این وبینار، آشنایی مخاطبان با Splunk و همچنین آشنایی با تکنیک ها و روش های شناسایی و تحلیل تهدیدات سایبری با Splunk است.
در این وبینار، به برخی تکنیک های بررسی و تحلیل تهدیدات سایبری از نگاه یک شکارچی تهدید پرداخته میشود و مخاطبین آن، تمام علاقه مندان به حوزه امنیت، کارشناسان SOC، متخصصین حوزه Forensic و Hunting و همچنین مدیران امنیتی میباشد.
#وبینار #اسپلانک #شکار_تهدید
https://evnd.co/8BEtu
♻️ @HyperSec
✍️ طرح جامع امن سازی زیرساخت های حیاتی
طرح جامع امن سازی مرکز افتا، سازمان های کشور را در 10 دامنه بررسی کرده و سطح بلوغ آنها را در 4 سطح میسنجد.
سازمان ها میتوانند با کمک این طرح، سطح بلوغ امنیت خود را اندازه گیری کنند. در ادامه خلاصه ای از دامنه ها و سطوح بلوغ این طرح آورده شده است.
#طرح_جامع_امن_سازی_مرکز_افتا
♻️@HyperSec
طرح جامع امن سازی مرکز افتا، سازمان های کشور را در 10 دامنه بررسی کرده و سطح بلوغ آنها را در 4 سطح میسنجد.
سازمان ها میتوانند با کمک این طرح، سطح بلوغ امنیت خود را اندازه گیری کنند. در ادامه خلاصه ای از دامنه ها و سطوح بلوغ این طرح آورده شده است.
#طرح_جامع_امن_سازی_مرکز_افتا
♻️@HyperSec
✍️ جدول ترکیب چند ماژول مدیریتی در یک Instance اسپلانک
گاهی اوقات در محیط کلاستر شرایط به گونهای است که نیاز است روی یک instance از اسپلانک دو ماژول مدیریتی یا یک ماژول مدیریتی و یک ماژول پردازشی به طور همزمان راهاندازی شوند. حتی ممکن است بیش از دو ماژول با هم ترکیب شوند، هر چند این روش توصیه نمیشود. با این حال اگر لزومی به استفاده ترکیبی از چند ماژول در یک instance شد، بهتر است بطور دائم منابع مصرفی مانیتور گردند تا overload رخ ندهد.
جدول فوق ماژولهایی که میتوانند با هم ترکیب شوند را نشان میدهد. همانطور که مشاهده میشود لایسنس سرور، میتواند با هر نود دیگری ترکیب شود ولی مستر نود باید مستقل از کلاستر search headها و ایندکسرها راهاندازی گردد و همچنین نباید با ماژول deployment server ترکیب شود.
از طرفی deployment server و cluster manager هم باید روی دو instance مختلف اجرا گردند.
#اسپلانک
♻️ @HyperSec
گاهی اوقات در محیط کلاستر شرایط به گونهای است که نیاز است روی یک instance از اسپلانک دو ماژول مدیریتی یا یک ماژول مدیریتی و یک ماژول پردازشی به طور همزمان راهاندازی شوند. حتی ممکن است بیش از دو ماژول با هم ترکیب شوند، هر چند این روش توصیه نمیشود. با این حال اگر لزومی به استفاده ترکیبی از چند ماژول در یک instance شد، بهتر است بطور دائم منابع مصرفی مانیتور گردند تا overload رخ ندهد.
جدول فوق ماژولهایی که میتوانند با هم ترکیب شوند را نشان میدهد. همانطور که مشاهده میشود لایسنس سرور، میتواند با هر نود دیگری ترکیب شود ولی مستر نود باید مستقل از کلاستر search headها و ایندکسرها راهاندازی گردد و همچنین نباید با ماژول deployment server ترکیب شود.
از طرفی deployment server و cluster manager هم باید روی دو instance مختلف اجرا گردند.
#اسپلانک
♻️ @HyperSec
SplunkWebinar(HowToDetectThreats).pdf
950.1 KB
✍ اسلاید وبینار نحوه شناسایی تهدیدات با اسپلانک
♻️ @HyperSec
♻️ @HyperSec
✍ فیلم وبینار نحوه شناسایی تهدیدات با اسپلانک
https://aparat.com/v/RTHNV
دوستان میتونن از طریق این لینک، ویدیوی وبینار نحوه شناسایی تهدیدات با اسپلانک رو مشاهده و دانلود کنند.
♻️ @HyperSec
https://aparat.com/v/RTHNV
دوستان میتونن از طریق این لینک، ویدیوی وبینار نحوه شناسایی تهدیدات با اسپلانک رو مشاهده و دانلود کنند.
♻️ @HyperSec
آپارات - سرویس اشتراک ویدیو
نحوه بررسی و تحلیل تهدیدات با اسپلانک - Splunk
در این ویدیو، ضمن آشنایی اولیه با اسپلانک، با تکنیک های تحلیل تهدیدات سایبری نیز آشنا خواهید شد.
✍️ تجزیه URL از طریق ابزار URL Toolbox
یکی از فیلدهای مهم که در لاگهای وب اسپلانک همواره مورد توجه تحلیلگران قرار میگیرد فیلد URL است. گاهی تجزیه و تحلیل دقیق دامنهها به دلیل پیچیده بودن URLها و نیاز به داشتن دانش در مورد تمامی TLDها کار دشواری است.
ابزارهای مختلفی جهت تسهیل در تجزیه و تحلیل URL وجود دارند. یکی از این ابزارها URL Toolbox میباشد که در قالب app در اسپلانک قابل نصب است.
یکی از دستورات پرکاربرد در این app، ماکروی ut_parse_extended(2) است.
همانطور که در شکل فوق مشاهده میشود این دستور شامل دو ورودی میباشد؛ دامنه و کاتالوگی از TLDهای مختلف که در این مثال از کاتالوگ Mozilla استفاده شده است. پس از اجرای این دستور، تمامی بخشهای مختلف URL تجزیه شده و هر کدام در قالب فیلدهای مختلف در خروجی قرار میگیرند.
#اسپلانک
#url_toolbox
♻️ @HyperSec
یکی از فیلدهای مهم که در لاگهای وب اسپلانک همواره مورد توجه تحلیلگران قرار میگیرد فیلد URL است. گاهی تجزیه و تحلیل دقیق دامنهها به دلیل پیچیده بودن URLها و نیاز به داشتن دانش در مورد تمامی TLDها کار دشواری است.
ابزارهای مختلفی جهت تسهیل در تجزیه و تحلیل URL وجود دارند. یکی از این ابزارها URL Toolbox میباشد که در قالب app در اسپلانک قابل نصب است.
یکی از دستورات پرکاربرد در این app، ماکروی ut_parse_extended(2) است.
همانطور که در شکل فوق مشاهده میشود این دستور شامل دو ورودی میباشد؛ دامنه و کاتالوگی از TLDهای مختلف که در این مثال از کاتالوگ Mozilla استفاده شده است. پس از اجرای این دستور، تمامی بخشهای مختلف URL تجزیه شده و هر کدام در قالب فیلدهای مختلف در خروجی قرار میگیرند.
#اسپلانک
#url_toolbox
♻️ @HyperSec
Wazuh-V2.pdf
403.3 KB
✍️معرفي Wazuh
راهکار Wazuh یک پلتفرم رایگان و متن باز بوده که دارای قابلیتهای مختلفی نظیر پیشگیری، شناسایی و پاسخگویی به تهدیدات است.
این پلتفرم توانایی محافظت از محیطهای مختلفی مانند شبکههای داخلی، شبکههای مجازی سازی شده (Virtualization)، کانتینرهای داکر و محیطهای ابری را در خود دارد.
#wazuh
♻️@Hypersec
راهکار Wazuh یک پلتفرم رایگان و متن باز بوده که دارای قابلیتهای مختلفی نظیر پیشگیری، شناسایی و پاسخگویی به تهدیدات است.
این پلتفرم توانایی محافظت از محیطهای مختلفی مانند شبکههای داخلی، شبکههای مجازی سازی شده (Virtualization)، کانتینرهای داکر و محیطهای ابری را در خود دارد.
#wazuh
♻️@Hypersec