💻How to Detect Malware C2 with DNS Status Codes
🔗https://www-socinvestigation-com.translate.goog/how-to-detect-malware-c2-with-dns-status-codes/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US
#DNS
تیم سورین
🔗https://www-socinvestigation-com.translate.goog/how-to-detect-malware-c2-with-dns-status-codes/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US
#DNS
تیم سورین
Security Investigation - Be the first to investigate
How to Detect Malware C2 with DNS Status Codes - Security Investigation
DNS (Domain Name System) status codes, also known as DNS response codes or DNS error codes, are numerical codes that indicate the outcome of a DNS query. When a device, such as a web browser, tries to access a domain name (like www.example.com), it sends…
🔏Free Digital Forensics Labs, Slides, and Resources!
🔗https://github.com/frankwxu/digital-forensics-lab
#forensics #digital #DFIR
تیم سورین
🔗https://github.com/frankwxu/digital-forensics-lab
#forensics #digital #DFIR
تیم سورین
GitHub
GitHub - frankwxu/digital-forensics-lab: Free hands-on digital forensics labs for students and faculty
Free hands-on digital forensics labs for students and faculty - frankwxu/digital-forensics-lab
❤2
🟦Sysmon - DFIR🟦
A curated and bespoke list of resources for learning about deploying, managing and hunting with Microsoft Sysmon. Contains presentations, deployment methods, configuration file examples, blogs and additional GitHub repositories.
🔗https://github.com/MHaggis/sysmon-dfir
#sysmon
تیم سورین
A curated and bespoke list of resources for learning about deploying, managing and hunting with Microsoft Sysmon. Contains presentations, deployment methods, configuration file examples, blogs and additional GitHub repositories.
🔗https://github.com/MHaggis/sysmon-dfir
#sysmon
تیم سورین
GitHub
GitHub - MHaggis/sysmon-dfir: Sources, configuration and how to detect evil things utilizing Microsoft Sysmon.
Sources, configuration and how to detect evil things utilizing Microsoft Sysmon. - GitHub - MHaggis/sysmon-dfir: Sources, configuration and how to detect evil things utilizing Microsoft Sysmon.
👍3
🟥MITRE ATT&CK Mind Maps Repository: Simplified Threat Hunt!🟥
🔗https://github.com/Ignitetechnologies/Mindmap/tree/main/Mitre%20Attack
#mitre #threat
تیم سورین
🔗https://github.com/Ignitetechnologies/Mindmap/tree/main/Mitre%20Attack
#mitre #threat
تیم سورین
GitHub
Mindmap/Mitre Attack at main · Ignitetechnologies/Mindmap
This repository will contain many mindmaps for cyber security technologies, methodologies, courses, and certifications in a tree structure to give brief details about them - Ignitetechnologies/Mindmap
👍3
👩💻غوغا در شب کریسمس: باج افزار Trigona در 3 ساعت
این مقاله در مورد یک حمله سایبری است که در شب کریسمس در سال 2022 رخ داد، زمانی که عوامل تهدید از میزبان (RDP) که به طور عمومی در معرض دید عموم قرار گرفته بود و باجافزار Trigona را در سراسر شبکه مستقر کردند.
این مقاله یک جدول زمانی و تجزیه و تحلیل دقیق از حمله، از جمله ابزارها و تکنیکهای مورد استفاده توسط عوامل تهدید، مانند اسکریپتهای دستهای، Rclone، Netscan و Cobalt Strike را ارائه میکند. این مقاله همچنین توصیه هایی برای پیشگیری و شناسایی حملات مشابه در آینده ارائه می دهد.
🔗https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours/
#DFIR #ransomware
تیم سورین
این مقاله در مورد یک حمله سایبری است که در شب کریسمس در سال 2022 رخ داد، زمانی که عوامل تهدید از میزبان (RDP) که به طور عمومی در معرض دید عموم قرار گرفته بود و باجافزار Trigona را در سراسر شبکه مستقر کردند.
این مقاله یک جدول زمانی و تجزیه و تحلیل دقیق از حمله، از جمله ابزارها و تکنیکهای مورد استفاده توسط عوامل تهدید، مانند اسکریپتهای دستهای، Rclone، Netscan و Cobalt Strike را ارائه میکند. این مقاله همچنین توصیه هایی برای پیشگیری و شناسایی حملات مشابه در آینده ارائه می دهد.
🔗https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours/
#DFIR #ransomware
تیم سورین
The DFIR Report
Buzzing on Christmas Eve: Trigona Ransomware in 3 Hours
Key Takeaways In late December 2022, we observed threat actors exploiting a publicly exposed Remote Desktop Protocol (RDP) host, leading to data exfiltration and the deployment of Trigona ransomwar…
👌2
Understanding_True_Positive_True_Negative_False_Positive_False_Negative.pdf
61.4 KB
📚Understanding True Positive, True Negative, False Positive, False Negative, and Benign Results in Cybersecurity
تیم سورین
تیم سورین
📚How Does DGA Malware Operate And How To Detect In A Security Operation Center
🌐https://www.socinvestigation.com/how-does-dga-malware-operate-and-how-to-detect-in-a-security-operation-center/
#DNS #DGA
تیم سورین
🌐https://www.socinvestigation.com/how-does-dga-malware-operate-and-how-to-detect-in-a-security-operation-center/
#DNS #DGA
تیم سورین
Security Investigation - Be the first to investigate
How Does DGA Malware Operate And How To Detect In A Security Operation Center - Security Investigation
GA (Domain Generation Algorithm) malware is a type of malware that uses an algorithm to generate a large number of seemingly random domain names. The primary purpose of these generated domain names is to establish communication with Command and Control (C2)…
👍1
👾How to Clean up stale DNS records with PowerShell
🔗https://www.alitajran.com/clean-up-dns-records-powershell/
#DNS
تیم سورین
🔗https://www.alitajran.com/clean-up-dns-records-powershell/
#DNS
تیم سورین
ALI TAJRAN
How to Clean up stale DNS records with PowerShell
Learn how to clean up old and stale DNS records from Windows Server DNS with the Remove-DNSRecords.ps1 PowerShell noscript and save time.
🚨این مقاله در مورد نوع جدیدی از باتنت peer-to-peer (P2P) به نام FritzFrog است که از آسیبپذیری Log4Shell برای انتشار بدافزار در شبکههای در معرض خطر سوء استفاده میکند.
▪️بات FritzFrog یک بات نت پیچیده و بدون فایل است که سرورهای اینترنتی با اعتبار SSH ضعیف را هدف قرار می دهد و یک درب پشتی برای مهاجمان ایجاد می کند.
▫️بات نت FritzFrog از ژانویه 2020 فعال بوده و بیش از 500 سرور از جمله سازمان های دولتی، آموزشی، مالی و مخابراتی را نقض کرده است.
◼️بات FritzFrog از آسیبپذیری Log4Shell برای هدف قرار دادن میزبانهای داخلی وصلهنشده استفاده میکند که اغلب توسط راهحلهای امنیتی شبکه نادیده گرفته میشوند.
◽️بات FritzFrog همچنین از نقصی به نام PwnKit برای گرفتن دسترسی بالاتر لوکال ، بدون بر جای گذاشتن هیچ اثری روی دیسک استفاده می کند.
🔗https://thehackernews.com/2024/02/fritzfrog-returns-with-log4shell-and.html
#log4shell
تیم سورین
▪️بات FritzFrog یک بات نت پیچیده و بدون فایل است که سرورهای اینترنتی با اعتبار SSH ضعیف را هدف قرار می دهد و یک درب پشتی برای مهاجمان ایجاد می کند.
▫️بات نت FritzFrog از ژانویه 2020 فعال بوده و بیش از 500 سرور از جمله سازمان های دولتی، آموزشی، مالی و مخابراتی را نقض کرده است.
◼️بات FritzFrog از آسیبپذیری Log4Shell برای هدف قرار دادن میزبانهای داخلی وصلهنشده استفاده میکند که اغلب توسط راهحلهای امنیتی شبکه نادیده گرفته میشوند.
◽️بات FritzFrog همچنین از نقصی به نام PwnKit برای گرفتن دسترسی بالاتر لوکال ، بدون بر جای گذاشتن هیچ اثری روی دیسک استفاده می کند.
🔗https://thehackernews.com/2024/02/fritzfrog-returns-with-log4shell-and.html
#log4shell
تیم سورین
❤1
⚠️ CISA Warns of Active Exploitation Apple iOS and macOS Vulnerability
🚨- این مقاله در مورد یک آسیب پذیری امنیتی است که بر چندین محصول اپل مانند macOS، iOS، iPadOS، tvOS و watchOS تأثیر می گذارد.
- این آسیبپذیری بهعنوان CVE-2022-48618 ردیابی میشود و به یک مشکل احراز هویت نامناسب در مؤلفه کرنل مربوط میشود.
- اپل بهروزرسانیهای امنیتی را برای رفع این آسیبپذیری در macOS Ventura 13.1، watchOS 9.2، iOS 16.2 و iPadOS 16.2، tvOS 16.2 منتشر کرده است. به کاربران توصیه می شود که در اسرع وقت آخرین نسخه های سیستم عامل خود را نصب کنند.
🔗https://thehackernews.com/2024/02/cisa-warns-of-active-exploitation-of.html
تیم سورین
🚨- این مقاله در مورد یک آسیب پذیری امنیتی است که بر چندین محصول اپل مانند macOS، iOS، iPadOS، tvOS و watchOS تأثیر می گذارد.
- این آسیبپذیری بهعنوان CVE-2022-48618 ردیابی میشود و به یک مشکل احراز هویت نامناسب در مؤلفه کرنل مربوط میشود.
- اپل بهروزرسانیهای امنیتی را برای رفع این آسیبپذیری در macOS Ventura 13.1، watchOS 9.2، iOS 16.2 و iPadOS 16.2، tvOS 16.2 منتشر کرده است. به کاربران توصیه می شود که در اسرع وقت آخرین نسخه های سیستم عامل خود را نصب کنند.
🔗https://thehackernews.com/2024/02/cisa-warns-of-active-exploitation-of.html
تیم سورین
soorinsec.ir
سورین | خدمات امنیت سایبری
سورین ارائه دهنده خدمات امنیت سایبری با کیفیت و حرفهای
🚨CVE-2024-21690 and other: Multiple vuln in Junos OS, 8.8 rating❗️
◼️چهار آسیب پذیری با رتبه بندی 5.3- 8.8 پیدا شده است .
▫️آسیب پذیری XSS و missing authentication، که به مهاجم اجازه می دهد تا دستورات را با مجوز هر کاربری، از جملهadministrator. اجرا کند.
Search at Netlas.io:
👉🏻 Link: https://nt.ls/CpoFo
👉🏻 Dork: http.noscript:"Juniper"
Vendor's advisory: https://supportportal.juniper.net/s/article/2024-01-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-have-been-addressed?language=en_US
تیم سورین
◼️چهار آسیب پذیری با رتبه بندی 5.3- 8.8 پیدا شده است .
▫️آسیب پذیری XSS و missing authentication، که به مهاجم اجازه می دهد تا دستورات را با مجوز هر کاربری، از جملهadministrator. اجرا کند.
Search at Netlas.io:
👉🏻 Link: https://nt.ls/CpoFo
👉🏻 Dork: http.noscript:"Juniper"
Vendor's advisory: https://supportportal.juniper.net/s/article/2024-01-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-have-been-addressed?language=en_US
تیم سورین
app.netlas.io
Discover, Research and Monitor any Assets Available Online
Internet intelligence apps that provide accurate technical information on IP addresses, domain names, websites, web applications, IoT devices, and other online assets.
🚨 URGENT → AnyDesk, a popular remote desktop software, suffered a breach, resulting in the compromise of its production systems.
Here's what you need to do:
✓ Update to the latest version ASAP!
✓ Change your password
ابزار AnyDesk، یک سازنده نرم افزار دسکتاپ از راه دور آلمانی، در 3 فوریه 2024 فاش کرد که متحمل یک حمله سایبری شده است که منجر به به خطر افتادن سیستم های تولید آن شده است.
این شرکت همچنین تمامی گذرواژههای پورتال وب خود، my.anydesk.com را باطل کرده است و از کاربران میخواهد در صورت استفاده مجدد از همان رمز عبور در سایر سرویسهای آنلاین، رمز عبور خود را تغییر دهند. AnyDesk توصیه کرده است که کاربران آخرین نسخه نرم افزار را دانلود کنند که همراه با گواهی امضای کد جدید است. این شرکت زمان و نحوه نقض سیستم های تولید خود را فاش نکرد و در حال حاضر مشخص نیست که آیا اطلاعاتی به دنبال این هک به سرقت رفته است یا خیر. با این حال، AnyDesk تاکید کرد که هیچ مدرکی مبنی بر اینکه سیستم های کاربر نهایی تحت تاثیر قرار گرفته اند وجود ندارد.
🔗 https://thehackernews.com/2024/02/anydesk-hacked-popular-remote-desktop.html
#anydesk
تیم سورین
Here's what you need to do:
✓ Update to the latest version ASAP!
✓ Change your password
ابزار AnyDesk، یک سازنده نرم افزار دسکتاپ از راه دور آلمانی، در 3 فوریه 2024 فاش کرد که متحمل یک حمله سایبری شده است که منجر به به خطر افتادن سیستم های تولید آن شده است.
این شرکت همچنین تمامی گذرواژههای پورتال وب خود، my.anydesk.com را باطل کرده است و از کاربران میخواهد در صورت استفاده مجدد از همان رمز عبور در سایر سرویسهای آنلاین، رمز عبور خود را تغییر دهند. AnyDesk توصیه کرده است که کاربران آخرین نسخه نرم افزار را دانلود کنند که همراه با گواهی امضای کد جدید است. این شرکت زمان و نحوه نقض سیستم های تولید خود را فاش نکرد و در حال حاضر مشخص نیست که آیا اطلاعاتی به دنبال این هک به سرقت رفته است یا خیر. با این حال، AnyDesk تاکید کرد که هیچ مدرکی مبنی بر اینکه سیستم های کاربر نهایی تحت تاثیر قرار گرفته اند وجود ندارد.
🔗 https://thehackernews.com/2024/02/anydesk-hacked-popular-remote-desktop.html
#anydesk
تیم سورین
soorinsec.ir
سورین | خدمات امنیت سایبری
سورین ارائه دهنده خدمات امنیت سایبری با کیفیت و حرفهای
👁🗨Researchers Uncover How Outlook Vulnerability Could Leak Your NTLM Passwords
مطمئن شوید که Outlook شما وصله شده!
این مقاله در مورد یک آسیبپذیری در Microsoft Outlook است که میتواند به مهاجمان اجازه دهد با ارسال یک فایل ساختهشده مخصوص به کاربر، به رمزهای عبور هششده NTLM v2 دسترسی پیدا کنند. این آسیبپذیری که بهعنوان CVE-2023-35636 ردیابی میشود، توسط مایکروسافت در دسامبر 2023 اصلاح شد. با این حال، محققی که این نقص را کشف کرد، گفت که هنوز دو روش حمله اصلاحنشده وجود دارد که میتواند با استفاده از Windows Performance Analyzer و Windows File Explorer، هشهای NTLM را افشا کند. در این مقاله همچنین اشاره شده است که مایکروسافت قصد دارد برای بهبود امنیت، NTLM را در ویندوز 11 به نفع Kerberos متوقف کند.
🔗 https://thehackernews.com/2024/01/researchers-uncover-outlook.html
#outlook #NTLM
تیم سورین
مطمئن شوید که Outlook شما وصله شده!
این مقاله در مورد یک آسیبپذیری در Microsoft Outlook است که میتواند به مهاجمان اجازه دهد با ارسال یک فایل ساختهشده مخصوص به کاربر، به رمزهای عبور هششده NTLM v2 دسترسی پیدا کنند. این آسیبپذیری که بهعنوان CVE-2023-35636 ردیابی میشود، توسط مایکروسافت در دسامبر 2023 اصلاح شد. با این حال، محققی که این نقص را کشف کرد، گفت که هنوز دو روش حمله اصلاحنشده وجود دارد که میتواند با استفاده از Windows Performance Analyzer و Windows File Explorer، هشهای NTLM را افشا کند. در این مقاله همچنین اشاره شده است که مایکروسافت قصد دارد برای بهبود امنیت، NTLM را در ویندوز 11 به نفع Kerberos متوقف کند.
🔗 https://thehackernews.com/2024/01/researchers-uncover-outlook.html
#outlook #NTLM
تیم سورین
Using splunk To Detect DNS Tunneling.pdf
11 MB
DNS tunneling is a method to bypass security controls and exfiltrate data from a targeted organization. Choose any endpoint on your organization's network, using nslookup, perform an A record lookup for www.sans.org. If it resolves with the site's IP address, that endpoint is susceptible to DNS...
#DNS
#DNS_Tunneling
#Detect
تیم سورین
#DNS
#DNS_Tunneling
#Detect
تیم سورین
👏2
🚨Experts Detail New Flaws in Azure HDInsight Spark, Kafka, and Hadoop Services
🛡 محققان جزئیات 3 آسیبپذیری را در سرویسهای Apache Hadoop، Kafka و Spark Azure HDInsight کشف کردند که میتوانست به مهاجمان اجازه دسترسی ROOT و اختلال در سیستم را بدهد.
بیشتر بدانید:
https://thehackernews.com/2024/02/high-severity-flaws-found-in-azure.html
تیم سورین
🛡 محققان جزئیات 3 آسیبپذیری را در سرویسهای Apache Hadoop، Kafka و Spark Azure HDInsight کشف کردند که میتوانست به مهاجمان اجازه دسترسی ROOT و اختلال در سیستم را بدهد.
بیشتر بدانید:
https://thehackernews.com/2024/02/high-severity-flaws-found-in-azure.html
تیم سورین
soorinsec.ir
سورین | خدمات امنیت سایبری
سورین ارائه دهنده خدمات امنیت سایبری با کیفیت و حرفهای
👍4