What is an Incident Response Playbook?
A playbook is defined as a set of rules, describing at least one action to be executed with input data and triggered by one or more events. It is a critical component of cybersecurity—especially in relation to security automation and orchestration (SAO). It’s meant to represent a basic security process in a generalized way that can be used across a variety of organizations.

Incident Response Playbook Example
The following is an example of a phishing playbook that an organization may utilize:

مراحل آلوده سازی سیستم ها توسط باج افزارها (Ransomeware Kill Chain) و راهکارهای مقابله✍

۱. غالبا باج افزارها با یکی از روش های زیر وارد سیستم قربانی می شوند:
– ضمیمه یا لینک وبی مخرب در یک ایمیل فیشینگ
راهکار مقابله: مسدود کردن ایمیل های ورودی روی سرور SMTP، حذف ایمیل ها از Inbox کاربران و اطلاع رسانی به کاربر نسبت به بازنکردن لینک ها و ضمیمه هایی با الگوهای مشخص
– انتشار باج افزار از طریق صفحات وب مخرب (صفحاتی که کاربر با مرور و دانلود از آنها آلوده به باج افزار می شود – این تکنیک به Malvertizing شهرت دارد)
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)
– تکنیک Drive-by Download
در این روش برنامه های مخرب نظیر آنتی ویروس های جعلی کاربر را مجاب به دانلود فایل (در واقع دانلود باج افزار) می کنند.
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)، نوشتن Rule های سفارشی جهت مسدود کردن دانلود فایل های مشخص و مشکوک
۲. پیلود ( Payload ) روی سیستم قربانی اجرا شده و باج افزار نصب می شود
راهکار مقابله: ایجاد Whitelist از برنامه های قابل نصب روی سیستم کاربر، شناسایی سیستم هایی که فایل های مشخص (یا با الگوی مشخص) را دانلود کرده اند (اینکار با استفاده از تحلیل لاگ های HIDS میسر می شود)
۳. باج افزار نصب شده یک زوج کلید رمزگذاری و رمزگشایی تولید می کند.
۴. باج افزار با سرور کنترل و فرمان مربوطه ( C&C Server ) ارتباط برقرار می کند تا بدین طریق کلید رمزگشایی را به سرور مذکور ارسال کند
راهکار مقابله: شناسایی و مسدود کردن الگوهای ترافیکی غیرعادی (الگوهایی که تا به حال مشاهده نشده) روی NIDS و سرور پراکسی
۵. باج افزار با استفاده از کلید رمزگذاری مربوطه، اقدام به رمز کردن فایل های قربانی روی هارد دیسک می کند.
راهکار تشخیص: مانیتور کردن سیستم کاربران و فایل های اشتراکی با هدف یافتن پسوندهای مشکوک نظیر .abc، .xxx و …
۶. پس از اتمام عملیات مخرب باج افزار، فایل ها از دسترس خارج می شوند. باج افزار فایلی متنی را در دسکتاپ یا مسیرهای دلخواه قرار می دهد که در آن دستور العمل پرداخت و بازیابی فایل های اصلی ذکر شده است.
راهکار تشخیص: مانیتور کردن سیستم کاربر با هدف یافتن فایل های متنی مرتبط با باج افزار یا فایل های HTML روی دسکتاپ کاربر

http://www.hypersec.ir/?p=652🌎
@hypersec
t.me/hypersec

ترفندهای ساده برای شکار تهدیدات (بخش اول)✍

 

فرض کنید یکی از اعضای تیم تحلیلگر تهدیدات در سازمان (گاهاً تیم آبی نیز خوانده می‌شود) هستید و سازمان بودجه و افراد کافی برای شکار تهدیدات در اختیار ندارد؛ با این فرضیه و همچنین با دراختیار داشتن لاگ پراکسی سرور سازمان می‌توانید به راحتی با استفاده از الگوهایی مشخص اقدام به شکار تهدیدات سایبری نمایید.
ترفند اول
به‌عنوان نمونه، مهاجم از طریق یکی از آسیب‌پذیری‌های وردپرس اقدام به آپلود فایل‌های مخرب روی سرور وب سازمان می‌کند.
به‌راحتی با استفاده از یک الگوی رجکس (Regular Expression) مانند زیر، می‌توانید در لاگ‌های موجود این مورد را بررسی کنید.
/wp-(includes|admin|content)/.*.(exe|dll|scr)
به این ترتیب می‌توان فایل‌های مخربی را که روی مسیرهای مشکوکی نظیر مسیر زیر بارگذاری شده است را شناسایی کرد.
http://www.example.com/wp-content/uploads/2015/06/malicious.exe
می‌توان از رجکسی مشابه رجکس فوق برای CMS هایی نظیر جوملا، دراپال و غیره نیز استفاده کرد.
ترفند دوم
باج افزارها امروزه به یکی از تهدیدات رایج و بعضا خسارت‌بار در سازمان ها تبدیل شده است. بسیاری از آن‌ها در هنگام نصب اقدام به برقراری ارتباط با سرور C2 خود می‌کنند. این ارتباط از طرق مختلفی نظیر استفاده از پروتکل HTTP، سرویس‌های Tor و … قابل انجام است.
با زدن یک رجکس بسیار ساده روی لاگ‌های پراکسی سرور موجود در سازمان می‌توان چنین ارتباطات مخربی را شناسایی کرد.
به عنوان نمونه، جهت شناسایی ارتباطات TOR می‌توان از رجکس ساده زیر استفاده کرد.
[a-z0–۹]{۱۶}.(onion|tor2web|torlink).
با استفاده از رجکس فوق، ارتباط با آدرس‌هایی نظیر آدرس زیر به‌راحتی قابل شناسایی خواهد بود.
https://duskgytldkxiuqc6.onion.to/

 

http://www.hypersec.ir/?p=655🌎
@hypersec
t.me/hypersec

برخی منابع مفید در خصوص Open Source Threat Intelligence - OSINT

https://www.peerlyst.com/posts/blog-kim-kardashian-an-osint-cautionary-tale-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/so-you-wanna-osint-resources-and-reading-for-those-interested-in-osint-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/osint-framework-with-justin-nordine-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/how-are-you-using-osint-in-your-organization?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-osint-reconnaissance-ian-barwise-m-s-cissp-ceh-cnda?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-let-the-games-begin-infosectdk?trk=wall_page_activity_feed

برخی ابزارهای مفید جهت جمع آوری و استفاده از Threat Intelligence

https://inteltechniques.com/
http://osintframework.com/
Recon-NG
Maltego
Datasploit
TinEye
Onion Scan
Imagga
PyimageSearch
Tinfoleak
OpenCV
hunch.ly
Have I been pwned?
Google Hacking Database on Exploit-DB

#Gartner Magic Quadrant
Security Information and Event Management (SIEM) 2018
👁 @intsec
#گزارش #گارتنر

معرفی کتابی در خصوص راهکارهای نوین تشخیص تهدیدات سایبری

این کتاب که Intrusion Detection Guide نام دارد با همکاری جمعی از کارشناسان امنیت سایبری از کشورهای مختلف تالیف و آماده شده است.
امیدوارم این کتاب به ارتقای دانش در حوزه مذکور کمک کند.
لطفا در اشتراک گذاری این کتاب پیشقدم باشید.

زبان کتاب: انگلیسی
تعداد فصل: ۱۱
تعداد صفحه: ۱۳۹
قیمت: رایگان

سرفصل مطالب
فصل یک: مروری بر شکار تهدیدات سایبری
فصل دوم: مروری بر مفاهیم پاسخگویی به رخداد
فصل سوم: شکار تهدیدات با استفاده از لاگ های ویندوز
فصل چهارم: ایجاد تیم پاسخگویی به رخداد سایبری
فصل پنجم: روشهای حمله روی زیرساخت های کنترل صنعتی
فصل ششم: دفاع سایبری در شبکه های کننرل صنعتی
فصل هفتم: شکار Lateral Movement - نوشته شده توسط مهدی صیاد
فصل هشتم: شکار سوءاستفاده از PowerShell - نوشته شده توسط علی آهنگری
فصل نهم: بکارگیری یادگیری ماشین در شکار تهدیدات
فصل دهم: استانداردها و فریم ورک های تطابقی در امنیت سایبری
فصل یازدهم: راهنمای کسب تخصص در حوزه دیجیتال فارنزیک

جلد کتاب راهنمای تشخیص نفوذ

نویسندگان

دانلود کتاب 👆👆

منابع و ابزارهای اوپن سورس جهت تشخیص، تحلیل و شکار تهدیدات

معرفی پلتفرم تحلیل تهدیدات و داده‌های امنیتی - SOF-ELK

توضیح: SOF-ELK پلتفرم تحلیل بیگ دیتاست که با تمرکز روی تحلیل و بررسی تهدیدات و جرم شناسی (فارنزیک) طراحی شده است. مخاطبان این پلتفرم کارشناسان مرکز عملیات امنیت، تحلیلگران امنیتی و شکارچیان تهدید است. در حقیقت پلتفرم مذکور، ترکیبی از ElasticSearch، Logstash و Kibiana است که پروسه نصب زمان بر و طولانی ELK را ساده کرده و آن را در قالب یک ماشین مجازی آماده ارایه داده است.
این پلتفرم در ابتدا برای افرادی که دوره های FOR507 و SEC555 موسسه SANS را می گذرانند طراحی شد اما به تدریج برای سایر کاربران و مخاطبان نیز در دسترس قرار گرفت. می توانید پلتفرم
مذکور را از لینک زیر دانلود کرده و از آن استفاده کنید.
https://lnkd.in/gSF8dS6

شواهد مجازی و نشانگرهای آلودگی✍

حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه  است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است.  حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.

نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:

یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته

به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.

تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.

به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
 

http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec

Publicly Availables Tools Seen In Cyber Incident Worldwide
According To US-CERT Report

1. Remote Access Trojan: JBiFrost
2. Webshell: China Chopper
3. Credential Stealer: Mimikatz
4. Lateral Movement Framework: PowerShell Empire
5. C2 Obfuscation and Exfiltration: HUC Packet Transmitter

📝 Introducing Some Popular OSINT Tools:

1⃣ Shodan:
Shodan provides you a lot of information about the assets that have been connected to the network. Google is the search engine for all but shodan is the search engine for hackers. The devices can vary from computers, laptops, webcams, traffic signals, and various IOT devices. This can help security analysts to identify the target and test it for various vulnerabilities, default settings or passwords, available ports, banners, and services etc.

2⃣ Google Dorks:
Google Dorks can help a user to target the search or index the results in a better and more efficient way.
<Filetype: searches for a particular string in a pdf file>
Some of the other indexing options are:
Inurl: search for a string in URL of the page.
Innoscript: To search the noscript for a keyword.
Ext: To search for a particular extension.
Intext: Search for a particular text in a page.
Sometimes it is also referred to as Google hacking.

3⃣ Metagoofile:
Metagoofil is written by Christian Martorella and is a command line tool that is used to gather metadata of public documents. The tool is pre-bundled in Kali Linux and has a lot of features searching for the document type on the target, local download, extraction of metadata and reporting the results.
For example: Users can scan for a particular kind of documents on a particular domain. Metagoofil –d nmap.org –t pdf.

4⃣ Check Usernames:
Social networking websites hold a lot of information but it will be really boring and time taking task if you need to check whether a particular username is present on any social media website. To get such information there is a website www.checkusernames.com. It will search for the presence of a particular username on more than 150 websites. The users can check for the presence of a target on a particular website so as to make the attack more targeted.

A more advanced version of the website is knowem.com which has a more wide database of more than 500 websites along with a few more services

5⃣ TinEye:
Tineye is used to perform an image related search on the web. It has various products like tineye alert system, color search API, mobile engine etc. You can search if an image has been available online and where that image has appeared. Tineye uses neural networks, machine learning, and pattern recognition to get the results. It uses image matching, watermark identification, signature matching and various other parameters to match the image rather than keyword matching.

6⃣ SearchCode:
Search code offers you a feature to search for a line of code which could have been present in various code sharing websites like Github etc. Users can search for functions or methods, variables, operations, security flaws and anything that can constitute a code segment. Users can search for strings as simple as "a++" too complex methods. The search results can be further filtered basis a particular repository or language.

📰 @hypersec

درک دفاع فعال سایبری-بخش اول
یکی از مفاهیمی که شکارچیان تهدید لازم است بدانند، راهبرد دفاع فعال سایبری یا Cyber Active Defence در برنامه امنیت سایبری سازمان است. علیرغم رویکردهای سنتی و غیر فعال در امنیت، رویکردهای دفاعی فعال به شیوه ای موثر تر عمل کرده و توانایی توقف نمودن مهاجمان را در گاهم های اولیه حمله را دارند....
در مطلب زیر درباره دفاع فعال بیشتر بدانید
http://www.hypersec.ir/?p=537

نمونه معماری پیشنهادی و مدرن مرکز عملیات امنیت، الزامات و نیازمندی ها

مرکز عملیات سازمان ما چقدر به این معماری شباهت دارد؟