12 تا 20 سال حبس در انتظار هکر روسی که به ارتش سایبری اوکراین کمک میکرد و توسط سرویس fsb دستگیر شده است.
https://t.co/Vepil0tlAA
https://t.co/Vepil0tlAA
BleepingComputer
FSB arrests Russian hackers working for Ukrainian cyber forces
Russia's security agency published a press release on Tuesday saying that its officers detained two hackers who either assisted or joined Ukraine's hackers in cyber operations.
لیست اکسپلویت های که APT گروه های چینی از سال 2021 تاکنون گمان میرود استفاده کردند
گزارش recorded future
https://www.recordedfuture.com/charting-chinas-climb-leading-global-cyber-power
گزارش recorded future
https://www.recordedfuture.com/charting-chinas-climb-leading-global-cyber-power
Forwarded from Peneter Tools
PoC Released for SharePoint Pre-Auth RCE Chain (CVE-2023-29357 & CVE-2023-24955)
https://gist.github.com/testanull/dac6029d306147e6cc8dce9424d09868
https://securityonline.info/poc-released-for-sharepoint-pre-auth-rce-chain-cve-2023-29357-cve-2023-24955/
https://gist.github.com/testanull/dac6029d306147e6cc8dce9424d09868
https://securityonline.info/poc-released-for-sharepoint-pre-auth-rce-chain-cve-2023-29357-cve-2023-24955/
Gist
SharePoint Pre-Auth Code Injection RCE chain CVE-2023-29357 & CVE-2023-24955 PoC
SharePoint Pre-Auth Code Injection RCE chain CVE-2023-29357 & CVE-2023-24955 PoC - SharePwn_public.py
zero-click outlook rce
https://thehackernews.com/2023/12/beware-experts-reveal-new-details-on.html?m=1
https://thehackernews.com/2023/12/beware-experts-reveal-new-details-on.html?m=1
وقتی دنبال گپ امنیتی باشیم
تکنیک چی هست؟
چطوری شبیه سازی کنم با روش و ابزارها؟
technique + procedures
لاگ دارم و کار میکنه؟
SIEM and EDR Telemetry
مثلا:
تکنیک schedule task
https://attack.mitre.org/techniques/T1053/005/
از دید تیم قرمز :
https://www.ired.team/offensive-security/persistence/t1053-schtask
از دید تیم بنفش:
https://ipurple.team/2024/01/03/scheduled-task-tampering/
از دید تیم آبی:
https://www.elastic.co/guide/en/security/7.17/prebuilt-rule-0-14-2-suspicious-execution-via-scheduled-task.html
https://research.splunk.com/stories/scheduled_tasks/
خلاصه مراحل:
1. چک کردن SIEM باید لاگ همه تجهیزات بیاد تو پنلم نقطه بدون لاگ نداشته باشم
2. چک کردن یا شبیه سازی TTP برای بررسی رولهای SIEM
3.چک کردن EDR telemetry اجرای پراسس، تغییرات فایل، شبکه و ...
4.بررسی کانفیگها و رفع مشکل سمت firewall,EDR,XDR,SIEMو ...
تکنیک چی هست؟
چطوری شبیه سازی کنم با روش و ابزارها؟
technique + procedures
لاگ دارم و کار میکنه؟
SIEM and EDR Telemetry
مثلا:
تکنیک schedule task
https://attack.mitre.org/techniques/T1053/005/
از دید تیم قرمز :
https://www.ired.team/offensive-security/persistence/t1053-schtask
از دید تیم بنفش:
https://ipurple.team/2024/01/03/scheduled-task-tampering/
از دید تیم آبی:
https://www.elastic.co/guide/en/security/7.17/prebuilt-rule-0-14-2-suspicious-execution-via-scheduled-task.html
https://research.splunk.com/stories/scheduled_tasks/
خلاصه مراحل:
1. چک کردن SIEM باید لاگ همه تجهیزات بیاد تو پنلم نقطه بدون لاگ نداشته باشم
2. چک کردن یا شبیه سازی TTP برای بررسی رولهای SIEM
3.چک کردن EDR telemetry اجرای پراسس، تغییرات فایل، شبکه و ...
4.بررسی کانفیگها و رفع مشکل سمت firewall,EDR,XDR,SIEMو ...
www.ired.team
Schtask | Red Team Notes
Code execution, privilege escalation, lateral movement and persitence.
خانم کیم زتر :
درباره خبر هلندیها امروز در مورد استاکسنت منتشر کردند، اینجا خبر اصلی سال ۲۰۱۹ که من با روزنامهنگار هلندی نوشتم راهنمایی میکنم که یک مامور هلندی استاکسنت را به تاسیسات در ایران معرفی کرده است. آن زمان ما هویت مامور را نمیدانستیم.
https://news.yahoo.com/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html?guccounter=1&guce_referrer=aHR0cHM6Ly90LmNvLw&guce_referrer_sig=AQAAAHsT8ARqlyra6mZk8pBxHtLzjNV3VmhgrBBxgA6jWF8h5m6n9DklIykIENvP0GySBuEhnTFKAyykhu5DctXyBlKzbAU4Gf8JPFFCQHmiPP4iRVktiRgnNTiWJQKjiTDEXEwOUsnAFfqG1Hovgz6juXrSbcWGH3kwuuQ6tUDGkprI
https://twitter.com/KimZetter/status/1744408361838530651?t=rB9zQiObslZVb0vQ01JtmQ&s=19
درباره خبر هلندیها امروز در مورد استاکسنت منتشر کردند، اینجا خبر اصلی سال ۲۰۱۹ که من با روزنامهنگار هلندی نوشتم راهنمایی میکنم که یک مامور هلندی استاکسنت را به تاسیسات در ایران معرفی کرده است. آن زمان ما هویت مامور را نمیدانستیم.
https://news.yahoo.com/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html?guccounter=1&guce_referrer=aHR0cHM6Ly90LmNvLw&guce_referrer_sig=AQAAAHsT8ARqlyra6mZk8pBxHtLzjNV3VmhgrBBxgA6jWF8h5m6n9DklIykIENvP0GySBuEhnTFKAyykhu5DctXyBlKzbAU4Gf8JPFFCQHmiPP4iRVktiRgnNTiWJQKjiTDEXEwOUsnAFfqG1Hovgz6juXrSbcWGH3kwuuQ6tUDGkprI
https://twitter.com/KimZetter/status/1744408361838530651?t=rB9zQiObslZVb0vQ01JtmQ&s=19
Yahoo News
Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran
For years, an enduring mystery has surrounded the Stuxnet virus attack that targeted Iran’s nuclear program: How did the U.S. and Israel get their malware onto computer systems at the highly secured uranium-enrichment plant?
ردتیم وظیفه اش مشخص شبیه سازی حمله بر اساس پلتفورمها و APT گروههای منطبق
https://mitre-attack.github.io/attack-navigator/
اصل شبیه سازی تاکتیک تکنیک ها و انواع procedure های مرتبط به تکنیک هاست اگر ناقص انجام بشه نتیجه کار ناقصه یعنی هنوز گپ وجود داره
https://mitre-attack.github.io/attack-navigator/
اصل شبیه سازی تاکتیک تکنیک ها و انواع procedure های مرتبط به تکنیک هاست اگر ناقص انجام بشه نتیجه کار ناقصه یعنی هنوز گپ وجود داره
گزارش زیرساخت APT گروهها در 2023
https://www.recordedfuture.com/2023-adversary-infrastructure-report
https://www.recordedfuture.com/2023-adversary-infrastructure-report