DCOM.pdf
1.1 MB
👌3👍1
یکی از راه های خودکاری سازی و پاسخدهی به رخدادهای امنیتی و Alert های تولید شده در اسپلانک، استفاده از SOAR اسپلانک است. آپ Splunk SOAR که زمانی با نام Phantom شناخته میشد، اخیرا به اسپلانک اضافه شده است.
این آپ درواقع یک پلتفرم Orchestration، Automation و Response (SOAR) است که به سازمانها کمک میکند تا در برابر تهدیدات امنیتی واکنش سریع و موثر تری داشته باشند. یکی از ویژگیهای آپ فانتوم اسپلانک، امکان ایجاد عملیاتهای سفارشی بر روی دستگاهها، دارایی ها و انواع فناوری های امنیتی شبکه مانند فایروال به صورت شخص ثالث میباشد. به عبارتی ساده تر با کمک این آپ میتوان به صورت خودکار یک سری وظایف را بر اساس نیازها و سیاستهای تعیین شده بر عهده فایروال و دیگر ابزار های امنیتی واگذار نمود.
از دیگر قابلیت های آپ SOAR اسپلانک میتوان به موارد زیر اشاره کرد.
۱. تعریف Playbook و اتوماسیون پاسخدهی به رخداد های امنیتی
۲.خودکاری سازی و اتوماسیون گزارش دهی رخداد های امنیتی
۳.اتوماسیون تحلیل هوش تهدیدات سایبری
۴.مدیریت حوادث و تهدیدات سایبری به صورت خودکار
منبع : لینکدین سورین
@hypersec
#splunk
این آپ درواقع یک پلتفرم Orchestration، Automation و Response (SOAR) است که به سازمانها کمک میکند تا در برابر تهدیدات امنیتی واکنش سریع و موثر تری داشته باشند. یکی از ویژگیهای آپ فانتوم اسپلانک، امکان ایجاد عملیاتهای سفارشی بر روی دستگاهها، دارایی ها و انواع فناوری های امنیتی شبکه مانند فایروال به صورت شخص ثالث میباشد. به عبارتی ساده تر با کمک این آپ میتوان به صورت خودکار یک سری وظایف را بر اساس نیازها و سیاستهای تعیین شده بر عهده فایروال و دیگر ابزار های امنیتی واگذار نمود.
از دیگر قابلیت های آپ SOAR اسپلانک میتوان به موارد زیر اشاره کرد.
۱. تعریف Playbook و اتوماسیون پاسخدهی به رخداد های امنیتی
۲.خودکاری سازی و اتوماسیون گزارش دهی رخداد های امنیتی
۳.اتوماسیون تحلیل هوش تهدیدات سایبری
۴.مدیریت حوادث و تهدیدات سایبری به صورت خودکار
منبع : لینکدین سورین
@hypersec
#splunk
Linkedin
Soorin on LinkedIn: یکی از راه های خودکاری سازی و پاسخدهی به رخدادهای امنیتی و Alert های تولید…
یکی از راه های خودکاری سازی و پاسخدهی به رخدادهای امنیتی و Alert های تولید شده در اسپلانک، استفاده از SOAR اسپلانک است. آپ Splunk SOAR که زمانی با نام Phantom…
👍2👌1
Terms SOC Analyst Should Know .pdf
593.4 KB
👁🗨200 Terms & 50 Windows Commend Shells Every SOC Analyst Should Know👩💻
@hypersec
#SOC
شرکت دانش بنیان سورین
@hypersec
#SOC
شرکت دانش بنیان سورین
👍3
🔒 هشدار امنیتی: آسیب پذیری های Microsoft Outlook 🔒
CVE-2023-35384, -36710: Remote Code Execution (RCE) and Bypass in Microsoft Outlook
🔍نتایج جستجو:
دو آسیب پذیری حیاتی در Microsoft Outlook شناسایی شده است که در امتیاز پایه CVSSv3 بین 5.4 تا 7.8 امتیاز دارند. این آسیبپذیریها با نامهای CVE-2023-35384 و CVE-2023-36710 شناسایی میشوند.
🚨 جزئیات آسیب پذیری:
اول - CVE-2023-35384 به عنوان آسیبپذیری دور زدن ویژگی امنیتی پلتفرمهای HTML Windows طبقهبندی میشود، با امتیاز پایه CVSSv3 5.4. این آسیب پذیری به طور بالقوه می تواند به مهاجم اجازه دهد تا ویژگی های امنیتی Microsoft Outlook را دور بزند.
دوم - CVE-2023-36710 به عنوان یک آسیب پذیری اجرای کد از راه دور (RCE) ، با امتیاز پایه CVSSv3 از 5.4 تا 7.8 طبقه بندی می شود. این آسیبپذیری خطر اجرای کد غیرمجاز در Microsoft Outlook را به همراه دارد.
📈 تاثیر ها:
این آسیبپذیریها میتوانند به طور بالقوه توسط عوامل مخرب برای به خطر انداختن امنیت Microsoft Outlook و دسترسی غیرمجاز به اطلاعات حساس مورد سوء استفاده قرار گیرند.
👉🏻 Link: https://nt.ls/imL2R
👉🏻 Dork: http.favicon.hash_sha256:cf0808a61ec571e0c4975663903b288009d55502ac0445d9948983b339a5cf6e
Read more: https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-one
@hypersec
#MicrosoftOutlook #RCE #SecurityAdvisory
شرکت دانش بنیان سورین
CVE-2023-35384, -36710: Remote Code Execution (RCE) and Bypass in Microsoft Outlook
🔍نتایج جستجو:
دو آسیب پذیری حیاتی در Microsoft Outlook شناسایی شده است که در امتیاز پایه CVSSv3 بین 5.4 تا 7.8 امتیاز دارند. این آسیبپذیریها با نامهای CVE-2023-35384 و CVE-2023-36710 شناسایی میشوند.
🚨 جزئیات آسیب پذیری:
اول - CVE-2023-35384 به عنوان آسیبپذیری دور زدن ویژگی امنیتی پلتفرمهای HTML Windows طبقهبندی میشود، با امتیاز پایه CVSSv3 5.4. این آسیب پذیری به طور بالقوه می تواند به مهاجم اجازه دهد تا ویژگی های امنیتی Microsoft Outlook را دور بزند.
دوم - CVE-2023-36710 به عنوان یک آسیب پذیری اجرای کد از راه دور (RCE) ، با امتیاز پایه CVSSv3 از 5.4 تا 7.8 طبقه بندی می شود. این آسیبپذیری خطر اجرای کد غیرمجاز در Microsoft Outlook را به همراه دارد.
📈 تاثیر ها:
این آسیبپذیریها میتوانند به طور بالقوه توسط عوامل مخرب برای به خطر انداختن امنیت Microsoft Outlook و دسترسی غیرمجاز به اطلاعات حساس مورد سوء استفاده قرار گیرند.
👉🏻 Link: https://nt.ls/imL2R
👉🏻 Dork: http.favicon.hash_sha256:cf0808a61ec571e0c4975663903b288009d55502ac0445d9948983b339a5cf6e
Read more: https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-one
@hypersec
#MicrosoftOutlook #RCE #SecurityAdvisory
شرکت دانش بنیان سورین
app.netlas.io
Discover, Research and Monitor any Assets Available Online
Internet intelligence apps that provide accurate technical information on IP addresses, domain names, websites, web applications, IoT devices, and other online assets.
👍1👏1👌1
💠ETW internals for security research and forensics👁🗨
چرا ردیابی رویداد برای ویندوز (ETW) برای راه حل های (EDR) در ویندوز 10 و 11 بسیار مهم شده است؟ پاسخ در ارزش اطلاعاتی است که از طریق کانالهای امن ETW به ابزارهای امنیتی ارائه میکند، که اکنون نیز هدفی برای محققان تهاجمی است که به دنبال دور زدن تشخیصها هستند.
مطالعه این مقاله برای کسانی که به دنبال درک عمیق تر از ETW و نقش آن در امنیت هستند، ضروری است.
🔗https://blog.trailofbits.com/2023/11/22/etw-internals-for-security-research-and-forensics/
@hypersec
#ETW
شرکت دانش بنیان سورین
چرا ردیابی رویداد برای ویندوز (ETW) برای راه حل های (EDR) در ویندوز 10 و 11 بسیار مهم شده است؟ پاسخ در ارزش اطلاعاتی است که از طریق کانالهای امن ETW به ابزارهای امنیتی ارائه میکند، که اکنون نیز هدفی برای محققان تهاجمی است که به دنبال دور زدن تشخیصها هستند.
مطالعه این مقاله برای کسانی که به دنبال درک عمیق تر از ETW و نقش آن در امنیت هستند، ضروری است.
🔗https://blog.trailofbits.com/2023/11/22/etw-internals-for-security-research-and-forensics/
@hypersec
#ETW
شرکت دانش بنیان سورین
❤3
👩💻Rapidly Search and Hunt through Windows Forensic Artefacts
Chainsaw provides a powerful ‘first-response’ capability to quickly identify threats within Windows forensic artefacts such as Event Logs and the MFT file. Chainsaw offers a generic and fast method of searching through event logs for keywords, and by identifying threats using built-in support for Sigma detection rules, and via custom Chainsaw detection rules.
ابزار Chainsaw توسط WithSecure Labs توسعه یافته است که به کاربران اجازه می دهد تا به سرعت رکوردهای event log را جستجو، شکار و استخراج کنند.
ویژگی ها و قابلیت های مختلفی را برای تجزیه و تحلیل گزارش رویدادها در پلتفرم های مختلف مانند ویندوز، MacOS و لینوکس فراهم می کند.
این پروژه که بر اساس sigma rules ها به بررسی لاگ ها و بخش های دیگر سیستم های ویندوز می پردازد ، میتواند حملاتی را که signiture مشخصی ندارند شناسایی و گزارش کند.
🔗https://github.com/WithSecureLabs/chainsaw
@hypersec
#windows #forensics
شرکت دانش بنیان سورین
Chainsaw provides a powerful ‘first-response’ capability to quickly identify threats within Windows forensic artefacts such as Event Logs and the MFT file. Chainsaw offers a generic and fast method of searching through event logs for keywords, and by identifying threats using built-in support for Sigma detection rules, and via custom Chainsaw detection rules.
ابزار Chainsaw توسط WithSecure Labs توسعه یافته است که به کاربران اجازه می دهد تا به سرعت رکوردهای event log را جستجو، شکار و استخراج کنند.
ویژگی ها و قابلیت های مختلفی را برای تجزیه و تحلیل گزارش رویدادها در پلتفرم های مختلف مانند ویندوز، MacOS و لینوکس فراهم می کند.
این پروژه که بر اساس sigma rules ها به بررسی لاگ ها و بخش های دیگر سیستم های ویندوز می پردازد ، میتواند حملاتی را که signiture مشخصی ندارند شناسایی و گزارش کند.
🔗https://github.com/WithSecureLabs/chainsaw
@hypersec
#windows #forensics
شرکت دانش بنیان سورین
GitHub
GitHub - WithSecureLabs/chainsaw: Rapidly Search and Hunt through Windows Forensic Artefacts
Rapidly Search and Hunt through Windows Forensic Artefacts - WithSecureLabs/chainsaw
❤2
This media is not supported in your browser
VIEW IN TELEGRAM
Tips & Tricks: Windows Event Log Threat Hunting with Chainsaw (No Audio)
@hypersec
#Chainsaw
شرکت دانش بنیان سورین
@hypersec
#Chainsaw
شرکت دانش بنیان سورین
❤3
Why Hunting For LOLBINs Is One Of The Best Bets
این مقاله توضیح میدهد که چرا LOLBIN (Living Off The Land Binaries) یک تکنیک مفید برای محققان امنیتی و آزمایشکنندگان نفوذ است. LOLBIN ها باینری های سیستمی هستند که می توانند توسط مهاجمان برای اهداف مخرب مانند دانلود، اجرا یا دور زدن کنترل های امنیتی مورد سوء استفاده قرار گیرند. این مقاله چند نمونه از LOLBIN ها، مانند certutil.exe، bitsadmin.exe، و mshta.exe و نحوه استفاده از آنها برای انجام وظایف مختلف را ارائه می دهد.
🔗https://nasbench.medium.com/why-hunting-for-lolbins-is-one-of-the-best-bets-e5e58e1619c2
@hypersec
#lolbin
تیم امنیتی شرکت سورین
این مقاله توضیح میدهد که چرا LOLBIN (Living Off The Land Binaries) یک تکنیک مفید برای محققان امنیتی و آزمایشکنندگان نفوذ است. LOLBIN ها باینری های سیستمی هستند که می توانند توسط مهاجمان برای اهداف مخرب مانند دانلود، اجرا یا دور زدن کنترل های امنیتی مورد سوء استفاده قرار گیرند. این مقاله چند نمونه از LOLBIN ها، مانند certutil.exe، bitsadmin.exe، و mshta.exe و نحوه استفاده از آنها برای انجام وظایف مختلف را ارائه می دهد.
🔗https://nasbench.medium.com/why-hunting-for-lolbins-is-one-of-the-best-bets-e5e58e1619c2
@hypersec
#lolbin
تیم امنیتی شرکت سورین
Medium
Why Hunting For LOLBINs Is One Of The Best Bets
I never played poker so don’t quote me on that
❤2
👁🗨Awesome SOC👁🗨
A collection of sources of documentation, and field best practices, to build and run a SOC (including CSIRT).
🔗https://github.com/cyb3rxp/awesome-soc
@hypersec
#SOC
تیم امنیتی شرکت سورین
A collection of sources of documentation, and field best practices, to build and run a SOC (including CSIRT).
🔗https://github.com/cyb3rxp/awesome-soc
@hypersec
#SOC
تیم امنیتی شرکت سورین
GitHub
GitHub - cyb3rxp/awesome-soc: A collection of sources of documentation, as well as field best practices, to build/run a SOC
A collection of sources of documentation, as well as field best practices, to build/run a SOC - cyb3rxp/awesome-soc
🙏1
👩💻👩💻Windows Internals Crash Course by Duncan Ogilvie the creator and maintainer ofx64dbg
ویدیو دوره ویندوز اینترنالز توسط Duncan Ogilvie نویسنده دیباگر x64dbg
@hypersec
#windows #internal
تیم امنیتی شرکت سورین
ویدیو دوره ویندوز اینترنالز توسط Duncan Ogilvie نویسنده دیباگر x64dbg
@hypersec
#windows #internal
تیم امنیتی شرکت سورین
YouTube
Windows Internals Crash Course
Guest lecture about Windows Internals (aimed at total beginners), given at the Ruhr-Universität Bochum. Slides: https://mrexodia.github.io/files/wicc-2023-slides.pdf, Materials: https://mrexodia.github.io/files/wicc-2023-materials.zip
🔏چگونه مجرمان سایبری URL های مخرب خود را پنهان می کنند⁉️
مجرمان سایبری از روش های مختلفی برای پنهان کردن URL ها استفاده می کنند تا کاربران را فریب دهند و آنها را به وب سایت های مخرب یا فیشینگ هدایت کنند. برخی از رایج ترین روش ها عبارتند از:
1️⃣استفاده از خدمات کوتاهکننده URL: مجرمان سایبری میتوانند از خدمات کوتاهکننده URL برای پنهان کردن پیوندهای مخرب یا فیشینگ در پشت پیوندهای به ظاهر بیضرر استفاده کنند. به عنوان مثال، پیوندی مانند bit.ly/2G7Z6fj می تواند به یک سایت مخرب هدایت شود
2️⃣درج علامت @ در آدرس: این روش دامنه واقعی را در آدرس پنهان می کند و شناسایی مقصد واقعی لینک را برای کاربران دشوار می کند. مجرمان سایبری می توانند از یک نام صفحه قانع کننده و نام یک سایت قانونی استفاده کنند تا پیوند را معتبرتر نشان دهند.
مثلا اگه آدرس IP سایتی برابر ۸.۸.۸.۸ باشد با این ابزار میتوانیم آن را به عدد صحیح تبدیل کنیم، مثلا : 41093597776
و نهایتا آدرس سایت به این صورت میشود :
http://google.com…%@41093597776
پس هدف در این روش این است که ، آدرس قبل از @ رو قانونی جلوه دهند و قسمت بعد از @ را بعنوان پارامتر نشان دهند تا قربانی رو فریب دهند.
3️⃣نشانیهای اینترنتی جعلی: این نشاندهندهها شامل پنهان کردن یک وبسایت به عنوان وبسایت دیگر است، که اغلب از آسیبپذیریها در فناوری مرورگر وب برای تسهیل تجربه رایانهای مخرب استفاده میکند.
4️⃣استفاده از URL های گمراه کننده در ایمیل های فیشینگ: مجرمان سایبری اغلب URL های گمراه کننده ای را در ایمیل های فیشینگ قرار می دهند که ممکن است به عنوان پیوندهایی به وب سایت های قانونی پنهان شوند یا با پیوند "اینجا کلیک کنید" برای یک پیشنهاد یا تبلیغ جعلی پنهان شوند.
@hypersec
#URL
تیم سورین
مجرمان سایبری از روش های مختلفی برای پنهان کردن URL ها استفاده می کنند تا کاربران را فریب دهند و آنها را به وب سایت های مخرب یا فیشینگ هدایت کنند. برخی از رایج ترین روش ها عبارتند از:
1️⃣استفاده از خدمات کوتاهکننده URL: مجرمان سایبری میتوانند از خدمات کوتاهکننده URL برای پنهان کردن پیوندهای مخرب یا فیشینگ در پشت پیوندهای به ظاهر بیضرر استفاده کنند. به عنوان مثال، پیوندی مانند bit.ly/2G7Z6fj می تواند به یک سایت مخرب هدایت شود
2️⃣درج علامت @ در آدرس: این روش دامنه واقعی را در آدرس پنهان می کند و شناسایی مقصد واقعی لینک را برای کاربران دشوار می کند. مجرمان سایبری می توانند از یک نام صفحه قانع کننده و نام یک سایت قانونی استفاده کنند تا پیوند را معتبرتر نشان دهند.
مثلا اگه آدرس IP سایتی برابر ۸.۸.۸.۸ باشد با این ابزار میتوانیم آن را به عدد صحیح تبدیل کنیم، مثلا : 41093597776
و نهایتا آدرس سایت به این صورت میشود :
http://google.com…%@41093597776
پس هدف در این روش این است که ، آدرس قبل از @ رو قانونی جلوه دهند و قسمت بعد از @ را بعنوان پارامتر نشان دهند تا قربانی رو فریب دهند.
3️⃣نشانیهای اینترنتی جعلی: این نشاندهندهها شامل پنهان کردن یک وبسایت به عنوان وبسایت دیگر است، که اغلب از آسیبپذیریها در فناوری مرورگر وب برای تسهیل تجربه رایانهای مخرب استفاده میکند.
4️⃣استفاده از URL های گمراه کننده در ایمیل های فیشینگ: مجرمان سایبری اغلب URL های گمراه کننده ای را در ایمیل های فیشینگ قرار می دهند که ممکن است به عنوان پیوندهایی به وب سایت های قانونی پنهان شوند یا با پیوند "اینجا کلیک کنید" برای یک پیشنهاد یا تبلیغ جعلی پنهان شوند.
@hypersec
#URL
تیم سورین
Vincacyber - We at Vinca focus on delivering End-to-End Cyber Security Solutions, services & education in order to address the ongoing security challenges
How Cybercriminals Disguise URLs and How to Protect Your Business - Vincacyber
Learn how cybercriminals disguise URLs and how to protect your business from phishing and malware attacks. Discover how Vinca Cyber can help you with cloud security.
👍5❤3🙏1👌1
🐧Incident Response Linux🐧
🔗 https://github.com/vm32/Linux-Incident-Response
@hypersec
#linux #IR
تیم سورین
🔗 https://github.com/vm32/Linux-Incident-Response
@hypersec
#linux #IR
تیم سورین
GitHub
GitHub - vm32/Linux-Incident-Response: practical toolkit for cybersecurity and IT professionals. It features a detailed Linux cheatsheet…
practical toolkit for cybersecurity and IT professionals. It features a detailed Linux cheatsheet for incident response - GitHub - vm32/Linux-Incident-Response: practical toolkit for cybersecurity...
👏1