What is the ATT&CK Matrix?

One of these innovative solutions is MITRE’s ATT&CK Matrix. The ATT&CK Matrix (Adversarial Tactics, Techniques, and Common Knowledge) is a carefully comprised knowledge base used to describe how adversaries penetrate networks and move laterally across them by escalating privileges, and often evade an organization’s defenses for extended periods of time.

The ATT&CK Matrix looks at these actions from the perspective of an adversary, the goals they may look to achieve, and the methods they may use to achieve them. These methods are broken down by techniques, tactics, and procedures (TTPs) observed during MITRE’s research as well as penetration testing and red team engagements. The information gathered during these engagements provides a model for network defenders to use to better categorize and understand post-exploitation activities.

The organization of the TTPs found within the ATT&CK Matrix may be familiar to most as they coincide with the later stages of the Lockheed Martin Cyber Kill Chain.

Why is the ATT&CK Matrix Important?

Cybersecurity is a “game of inches” and every inch covered has proved to be no small feat for network defenders. As adversaries evolve their tactics and techniques, the security community works tirelessly to evolve their detection and remediation methods to bring their organizations and the community one step closer to closing the gap faced when battling these elusive actors.

One of the detection and remediation methods that has gained a lot of momentum is Cyber Threat Intelligence (CTI). Since its conception, some of the mysticism surrounding its definition and applicable use has begun to reveal itself. However, as with any new school of thought, there is still a lot of knowledge to be gained and work to be done.

The traditional approach to CTI has proven to be a cumbersome process. The ways and means of collecting threat intelligence data is oftentimes delivered through thorough reporting efforts which can leave analysts scrambling to extract meaningful information, and in turn, they must also be able to apply this information in a manner that proves to be an effective means of defense.

Other unforeseen obstacles organizations face are the overwhelming number of indicators these reports produce. These indicators, more times than not, provide a little context and must be vetted before they can be consumed. This can be a daunting process which if not done correctly, can contaminate an organization’s intelligence data causing an even greater increase of false positives than are already being observed. To make matters worse, even if the above-mentioned obstacles are overcome, these indicators are constantly evolving creating stale data in their wake which must be continuously reviewed and re-prioritized.

Now that we have stated some of the obvious issues, what can be done about it? That is where the ATT&CK Matrix comes in. ATT&CK provides structure to this chaos by allowing analysts and network defenders to gather greater context around adversary groups, how they compare to other groups, and what TTPs they are using. This invaluable information will help organizations begin to gain value from their threat intelligence while remaining sane in the process.

SOC or MSSP?!!
Below are the most important advantages of a SOC as comapred to an MSSP:

And below are the most important advantages of an MSSP as compared to a SOC

What is an Incident Response Playbook?
A playbook is defined as a set of rules, describing at least one action to be executed with input data and triggered by one or more events. It is a critical component of cybersecurity—especially in relation to security automation and orchestration (SAO). It’s meant to represent a basic security process in a generalized way that can be used across a variety of organizations.

Incident Response Playbook Example
The following is an example of a phishing playbook that an organization may utilize:

مراحل آلوده سازی سیستم ها توسط باج افزارها (Ransomeware Kill Chain) و راهکارهای مقابله✍

۱. غالبا باج افزارها با یکی از روش های زیر وارد سیستم قربانی می شوند:
– ضمیمه یا لینک وبی مخرب در یک ایمیل فیشینگ
راهکار مقابله: مسدود کردن ایمیل های ورودی روی سرور SMTP، حذف ایمیل ها از Inbox کاربران و اطلاع رسانی به کاربر نسبت به بازنکردن لینک ها و ضمیمه هایی با الگوهای مشخص
– انتشار باج افزار از طریق صفحات وب مخرب (صفحاتی که کاربر با مرور و دانلود از آنها آلوده به باج افزار می شود – این تکنیک به Malvertizing شهرت دارد)
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)
– تکنیک Drive-by Download
در این روش برنامه های مخرب نظیر آنتی ویروس های جعلی کاربر را مجاب به دانلود فایل (در واقع دانلود باج افزار) می کنند.
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)، نوشتن Rule های سفارشی جهت مسدود کردن دانلود فایل های مشخص و مشکوک
۲. پیلود ( Payload ) روی سیستم قربانی اجرا شده و باج افزار نصب می شود
راهکار مقابله: ایجاد Whitelist از برنامه های قابل نصب روی سیستم کاربر، شناسایی سیستم هایی که فایل های مشخص (یا با الگوی مشخص) را دانلود کرده اند (اینکار با استفاده از تحلیل لاگ های HIDS میسر می شود)
۳. باج افزار نصب شده یک زوج کلید رمزگذاری و رمزگشایی تولید می کند.
۴. باج افزار با سرور کنترل و فرمان مربوطه ( C&C Server ) ارتباط برقرار می کند تا بدین طریق کلید رمزگشایی را به سرور مذکور ارسال کند
راهکار مقابله: شناسایی و مسدود کردن الگوهای ترافیکی غیرعادی (الگوهایی که تا به حال مشاهده نشده) روی NIDS و سرور پراکسی
۵. باج افزار با استفاده از کلید رمزگذاری مربوطه، اقدام به رمز کردن فایل های قربانی روی هارد دیسک می کند.
راهکار تشخیص: مانیتور کردن سیستم کاربران و فایل های اشتراکی با هدف یافتن پسوندهای مشکوک نظیر .abc، .xxx و …
۶. پس از اتمام عملیات مخرب باج افزار، فایل ها از دسترس خارج می شوند. باج افزار فایلی متنی را در دسکتاپ یا مسیرهای دلخواه قرار می دهد که در آن دستور العمل پرداخت و بازیابی فایل های اصلی ذکر شده است.
راهکار تشخیص: مانیتور کردن سیستم کاربر با هدف یافتن فایل های متنی مرتبط با باج افزار یا فایل های HTML روی دسکتاپ کاربر

http://www.hypersec.ir/?p=652🌎
@hypersec
t.me/hypersec

ترفندهای ساده برای شکار تهدیدات (بخش اول)✍

 

فرض کنید یکی از اعضای تیم تحلیلگر تهدیدات در سازمان (گاهاً تیم آبی نیز خوانده می‌شود) هستید و سازمان بودجه و افراد کافی برای شکار تهدیدات در اختیار ندارد؛ با این فرضیه و همچنین با دراختیار داشتن لاگ پراکسی سرور سازمان می‌توانید به راحتی با استفاده از الگوهایی مشخص اقدام به شکار تهدیدات سایبری نمایید.
ترفند اول
به‌عنوان نمونه، مهاجم از طریق یکی از آسیب‌پذیری‌های وردپرس اقدام به آپلود فایل‌های مخرب روی سرور وب سازمان می‌کند.
به‌راحتی با استفاده از یک الگوی رجکس (Regular Expression) مانند زیر، می‌توانید در لاگ‌های موجود این مورد را بررسی کنید.
/wp-(includes|admin|content)/.*.(exe|dll|scr)
به این ترتیب می‌توان فایل‌های مخربی را که روی مسیرهای مشکوکی نظیر مسیر زیر بارگذاری شده است را شناسایی کرد.
http://www.example.com/wp-content/uploads/2015/06/malicious.exe
می‌توان از رجکسی مشابه رجکس فوق برای CMS هایی نظیر جوملا، دراپال و غیره نیز استفاده کرد.
ترفند دوم
باج افزارها امروزه به یکی از تهدیدات رایج و بعضا خسارت‌بار در سازمان ها تبدیل شده است. بسیاری از آن‌ها در هنگام نصب اقدام به برقراری ارتباط با سرور C2 خود می‌کنند. این ارتباط از طرق مختلفی نظیر استفاده از پروتکل HTTP، سرویس‌های Tor و … قابل انجام است.
با زدن یک رجکس بسیار ساده روی لاگ‌های پراکسی سرور موجود در سازمان می‌توان چنین ارتباطات مخربی را شناسایی کرد.
به عنوان نمونه، جهت شناسایی ارتباطات TOR می‌توان از رجکس ساده زیر استفاده کرد.
[a-z0–۹]{۱۶}.(onion|tor2web|torlink).
با استفاده از رجکس فوق، ارتباط با آدرس‌هایی نظیر آدرس زیر به‌راحتی قابل شناسایی خواهد بود.
https://duskgytldkxiuqc6.onion.to/

 

http://www.hypersec.ir/?p=655🌎
@hypersec
t.me/hypersec

برخی منابع مفید در خصوص Open Source Threat Intelligence - OSINT

https://www.peerlyst.com/posts/blog-kim-kardashian-an-osint-cautionary-tale-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/so-you-wanna-osint-resources-and-reading-for-those-interested-in-osint-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/osint-framework-with-justin-nordine-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/how-are-you-using-osint-in-your-organization?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-osint-reconnaissance-ian-barwise-m-s-cissp-ceh-cnda?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-let-the-games-begin-infosectdk?trk=wall_page_activity_feed

برخی ابزارهای مفید جهت جمع آوری و استفاده از Threat Intelligence

https://inteltechniques.com/
http://osintframework.com/
Recon-NG
Maltego
Datasploit
TinEye
Onion Scan
Imagga
PyimageSearch
Tinfoleak
OpenCV
hunch.ly
Have I been pwned?
Google Hacking Database on Exploit-DB

#Gartner Magic Quadrant
Security Information and Event Management (SIEM) 2018
👁 @intsec
#گزارش #گارتنر

معرفی کتابی در خصوص راهکارهای نوین تشخیص تهدیدات سایبری

این کتاب که Intrusion Detection Guide نام دارد با همکاری جمعی از کارشناسان امنیت سایبری از کشورهای مختلف تالیف و آماده شده است.
امیدوارم این کتاب به ارتقای دانش در حوزه مذکور کمک کند.
لطفا در اشتراک گذاری این کتاب پیشقدم باشید.

زبان کتاب: انگلیسی
تعداد فصل: ۱۱
تعداد صفحه: ۱۳۹
قیمت: رایگان

سرفصل مطالب
فصل یک: مروری بر شکار تهدیدات سایبری
فصل دوم: مروری بر مفاهیم پاسخگویی به رخداد
فصل سوم: شکار تهدیدات با استفاده از لاگ های ویندوز
فصل چهارم: ایجاد تیم پاسخگویی به رخداد سایبری
فصل پنجم: روشهای حمله روی زیرساخت های کنترل صنعتی
فصل ششم: دفاع سایبری در شبکه های کننرل صنعتی
فصل هفتم: شکار Lateral Movement - نوشته شده توسط مهدی صیاد
فصل هشتم: شکار سوءاستفاده از PowerShell - نوشته شده توسط علی آهنگری
فصل نهم: بکارگیری یادگیری ماشین در شکار تهدیدات
فصل دهم: استانداردها و فریم ورک های تطابقی در امنیت سایبری
فصل یازدهم: راهنمای کسب تخصص در حوزه دیجیتال فارنزیک

جلد کتاب راهنمای تشخیص نفوذ

نویسندگان

دانلود کتاب 👆👆

منابع و ابزارهای اوپن سورس جهت تشخیص، تحلیل و شکار تهدیدات

معرفی پلتفرم تحلیل تهدیدات و داده‌های امنیتی - SOF-ELK

توضیح: SOF-ELK پلتفرم تحلیل بیگ دیتاست که با تمرکز روی تحلیل و بررسی تهدیدات و جرم شناسی (فارنزیک) طراحی شده است. مخاطبان این پلتفرم کارشناسان مرکز عملیات امنیت، تحلیلگران امنیتی و شکارچیان تهدید است. در حقیقت پلتفرم مذکور، ترکیبی از ElasticSearch، Logstash و Kibiana است که پروسه نصب زمان بر و طولانی ELK را ساده کرده و آن را در قالب یک ماشین مجازی آماده ارایه داده است.
این پلتفرم در ابتدا برای افرادی که دوره های FOR507 و SEC555 موسسه SANS را می گذرانند طراحی شد اما به تدریج برای سایر کاربران و مخاطبان نیز در دسترس قرار گرفت. می توانید پلتفرم
مذکور را از لینک زیر دانلود کرده و از آن استفاده کنید.
https://lnkd.in/gSF8dS6