cta-2018-0509.pdf
2.3 MB
ادعای Recordedfuture در مورد ساختار گروههای هکری دولتی ایرانی
گزارش تحلیلی
شامل ارتباطات دانشگاهی، پیمانکاران و افراد
@roozbeh_learning
www.roozbehgroup.com
نوشتن گزارش فنی/ امنیتی را یاد بگیریم .
گزارش تحلیلی
شامل ارتباطات دانشگاهی، پیمانکاران و افراد
@roozbeh_learning
www.roozbehgroup.com
نوشتن گزارش فنی/ امنیتی را یاد بگیریم .
آکادمی آموزش روزبه 📚
cta-2018-0509.pdf
نگاه بیرونی تحت عنوان ارتش سایبری ایران
@roozbeh_learning
www.roozbehgroup.com
https://www.newsweek.com/irans-cyber-warfare-program-now-major-threat-united-states-745427
@roozbeh_learning
www.roozbehgroup.com
https://www.newsweek.com/irans-cyber-warfare-program-now-major-threat-united-states-745427
Newsweek
Iran Is Now a Major Cyber Threat to the U.S.
Iran may also be looking to Mexico for cyber warfare support.
Forwarded from آکادمی آموزش روزبه 📚
🕹حد قابل قبول از دانش زبان انگلیسی برای موفقیت در امنیت اطلاعات
✅ آیلتس ۶
یا تافل یا PTE معادلِ آن
@roozbeh_learning 👈🏼
📌آینده شما در دستان خودِ شما است!
ما فقط راه را نشان میدهیم .
تصمیم بگیرید .
📚آکادمی آموزش روزبه
www.roozbeh.academy
✅ آیلتس ۶
یا تافل یا PTE معادلِ آن
@roozbeh_learning 👈🏼
📌آینده شما در دستان خودِ شما است!
ما فقط راه را نشان میدهیم .
تصمیم بگیرید .
📚آکادمی آموزش روزبه
www.roozbeh.academy
❇️باید ها و نباید های ظریف در راه اندازی اسپلانک
هرگاه چندین محل ذخیره سازی را برای دادها ها در نظر بگیرید، پرفرمنس بالاتر میرود ( ایندکسر های بیشتر) . حتی میتوان دیتای Hot را روی یک نوع دیسک و دیتای warm را روی نوع دیگری.
اما
در برخی موارد نظیر کوئری زیر ، میتواند ما را دچار مشکل کند
مثال : دو نوع منبع داده ای زیر را داریم
web_access and web_error.
خطوط لاگعبارتند از
🔷 web_access: 2012-10-19 12:53:20 code=500 session=abcdefg url=/path/to/app
و دیگری
🔷 web_error: 2012-10-19 12:53:20 session=abcdefg class=LoginClass
اگر کوئری ترکیبی بزنیم ولی سورس ها روی دو ایندکس متفاوت باشند دچار افت پرفرمنس میشویم
📍 (sourcetype=web_access code=500) OR sourcetype=web_error | transaction maxspan=2s session | top url class
@roozbeh_learning
واحد آموزش اسپلانک آکادمی روزبه
آموزش ظرافت های امنیت
دوره های اسپلانک ۱ و ۲ در برنامه تابستانی آکادمی
www.roozbeh.academy
هرگاه چندین محل ذخیره سازی را برای دادها ها در نظر بگیرید، پرفرمنس بالاتر میرود ( ایندکسر های بیشتر) . حتی میتوان دیتای Hot را روی یک نوع دیسک و دیتای warm را روی نوع دیگری.
اما
در برخی موارد نظیر کوئری زیر ، میتواند ما را دچار مشکل کند
مثال : دو نوع منبع داده ای زیر را داریم
web_access and web_error.
خطوط لاگعبارتند از
🔷 web_access: 2012-10-19 12:53:20 code=500 session=abcdefg url=/path/to/app
و دیگری
🔷 web_error: 2012-10-19 12:53:20 session=abcdefg class=LoginClass
اگر کوئری ترکیبی بزنیم ولی سورس ها روی دو ایندکس متفاوت باشند دچار افت پرفرمنس میشویم
📍 (sourcetype=web_access code=500) OR sourcetype=web_error | transaction maxspan=2s session | top url class
@roozbeh_learning
واحد آموزش اسپلانک آکادمی روزبه
آموزش ظرافت های امنیت
دوره های اسپلانک ۱ و ۲ در برنامه تابستانی آکادمی
www.roozbeh.academy
آکادمی آموزش روزبه 📚
❇️باید ها و نباید های ظریف در راه اندازی اسپلانک هرگاه چندین محل ذخیره سازی را برای دادها ها در نظر بگیرید، پرفرمنس بالاتر میرود ( ایندکسر های بیشتر) . حتی میتوان دیتای Hot را روی یک نوع دیسک و دیتای warm را روی نوع دیگری. اما در برخی موارد نظیر کوئری زیر…
آیا محصولات بومی بدین مسایل توجه میکنند؟
اگر به محصولات بومی نقد داریم دلیلی هست .
هدف را نمیخواهیم فراموش کنیم :
هدف امنیت سازمان و کشور است که با
Fast Detection Fast Response(FDFR)
حاصل میگردد
@roozbeh_learning
بیش از سه سال است که پیشنهاد مشاوره برای بهبود SIEM های داخلی را به مدیران آن شرکت ها و نهاد های ناظر داده ایم
**بهبود حقیقی و عملیاتی
www.roozbehgroup.com
🚨و بدین دلیل است که بهترین برند های SIEM جهان را با بالاترین کیفیت تدریس میکنیم تا همه بدانیم یک SIEM چه باید باشد
اگر به محصولات بومی نقد داریم دلیلی هست .
هدف را نمیخواهیم فراموش کنیم :
هدف امنیت سازمان و کشور است که با
Fast Detection Fast Response(FDFR)
حاصل میگردد
@roozbeh_learning
بیش از سه سال است که پیشنهاد مشاوره برای بهبود SIEM های داخلی را به مدیران آن شرکت ها و نهاد های ناظر داده ایم
**بهبود حقیقی و عملیاتی
www.roozbehgroup.com
🚨و بدین دلیل است که بهترین برند های SIEM جهان را با بالاترین کیفیت تدریس میکنیم تا همه بدانیم یک SIEM چه باید باشد
اجرایی شدن قانون امنیت سایبری اتحادیه اروپا
@roozbeh_learning
واحد حکمرانی و مدیریت امنیت
www.roozbeh.academy
https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_en
@roozbeh_learning
واحد حکمرانی و مدیریت امنیت
www.roozbeh.academy
https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_en
European Commission - European Commission
Cybersecurity Act
EU negotiators agree on strengthening Europe's cybersecurity
Defragmentation in ArcSight Logger
❓آیا در SIEM های بومی به چنین مساله ای فکر شده است ؟
⚠️این است که ما منتقد جدی SIEM های ایرانی هستیم . چون تولید کنندگان بومی باید بخوانند و بیاموزند و مردم را منتفع کنند
⛔️نه فقط اینکه با پشتیبانیِ اجبارِ سازمانهای بالادستی، بفروشند و متخصص SOC پای یک سرچ، پیر شود و امنیت سازمان بواسطه پاسخدهی دیرهنگام ماژول جستجو ، دچار خدشه گردد !!
📌امنیت، اولویت اول است .
@roozbeh_learning 👈🏼
واحد های معماری سیستم های امنیتی و SOC گروه روزبه
www.roozbehgroup.com
❓آیا در SIEM های بومی به چنین مساله ای فکر شده است ؟
⚠️این است که ما منتقد جدی SIEM های ایرانی هستیم . چون تولید کنندگان بومی باید بخوانند و بیاموزند و مردم را منتفع کنند
⛔️نه فقط اینکه با پشتیبانیِ اجبارِ سازمانهای بالادستی، بفروشند و متخصص SOC پای یک سرچ، پیر شود و امنیت سازمان بواسطه پاسخدهی دیرهنگام ماژول جستجو ، دچار خدشه گردد !!
📌امنیت، اولویت اول است .
@roozbeh_learning 👈🏼
واحد های معماری سیستم های امنیتی و SOC گروه روزبه
www.roozbehgroup.com
Forwarded from آکادمی آموزش روزبه 📚
واحد CERT گروه روزبه ،
پشتیبانی از SOC و مدیریت حوادث امنیتی
@roozbeh_learning
تماس برای عقد قرارداد : 09902857289
www.roozbehgroup.com
پشتیبانی از SOC و مدیریت حوادث امنیتی
@roozbeh_learning
تماس برای عقد قرارداد : 09902857289
www.roozbehgroup.com
- نیم ساعتی است که بک آپ ها گرفته شده
- بخشی از تجهیزات که نیاز به Maintenance دارند در حال انجام عملیات بهبود خود هستند .
- پیرو گزارش ساعت ۲ بامداد ، حملات امشب در حد پیش بینی شده بود لذا احتمال میرود در همین حد وضعیت سفید، سیستم ها تحویل شیفت صبح گردد.
-پهنای باند و سایر علایم حیاتی سیستم ها و ارتباطات در وضعیت نرمال هستند
-تعدا تیکت های ثبت شده ۱۰ عدد، تعداد رفع و تعیین تکلیف شده ۶ عدد تعداد ارجاع شده به سطح بالاتر ۴
*ساعت 4:05بامداد
بخشی از گزارش پشتیبانی 24*7 واحد SOC و CERTگروه روزبه
@roozbeh_learning
www.roozbehgroup.com
- بخشی از تجهیزات که نیاز به Maintenance دارند در حال انجام عملیات بهبود خود هستند .
- پیرو گزارش ساعت ۲ بامداد ، حملات امشب در حد پیش بینی شده بود لذا احتمال میرود در همین حد وضعیت سفید، سیستم ها تحویل شیفت صبح گردد.
-پهنای باند و سایر علایم حیاتی سیستم ها و ارتباطات در وضعیت نرمال هستند
-تعدا تیکت های ثبت شده ۱۰ عدد، تعداد رفع و تعیین تکلیف شده ۶ عدد تعداد ارجاع شده به سطح بالاتر ۴
*ساعت 4:05بامداد
بخشی از گزارش پشتیبانی 24*7 واحد SOC و CERTگروه روزبه
@roozbeh_learning
www.roozbehgroup.com
امکان وقوع حمله به بیش از ۱۲۰ میلیون کاربر اکسل از طریق حمله DDE بواسطه آسیب پذیری
مایکروسافت هم بدونه ارایه راه حل 🤨😥
@roozbeh_learning
واحد هوش تهدید ( TIntel) گروه روزبه
www.roozbehgroup.com
نتایج بررسی موضوع در بولتن های گروه روزبه برای مشترکین ارسال میشود
https://betanews.com/2019/06/27/excel-power-query-remote-dde/
مایکروسافت هم بدونه ارایه راه حل 🤨😥
@roozbeh_learning
واحد هوش تهدید ( TIntel) گروه روزبه
www.roozbehgroup.com
نتایج بررسی موضوع در بولتن های گروه روزبه برای مشترکین ارسال میشود
https://betanews.com/2019/06/27/excel-power-query-remote-dde/
BetaNews
Millions of Microsoft Excel users vulnerable to remote DDE attack as new exploit is discovered
Security researchers from Mimecast Threat Center have discovered an Excel exploit that could leave 120 million users vulnerable to attack.
یافتن نمونه بد افزار های مشابه
در راستای تعیین گروه هکری مرتبط با حمله
از طریق Imphash
@roozbeh_learning
واحد آموزش هوش تهدید ( Threat Intelligence) آکادمی روزبه
www.roozbeh.academy
دوره های هوش تهدید سایبری، بزودی..
https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html
در راستای تعیین گروه هکری مرتبط با حمله
از طریق Imphash
@roozbeh_learning
واحد آموزش هوش تهدید ( Threat Intelligence) آکادمی روزبه
www.roozbeh.academy
دوره های هوش تهدید سایبری، بزودی..
https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html
Mandiant
Tracking Malware with Import Hashing | Mandiant
Forwarded from IoT Report
دستور urldecodeدر اسپلانک
هرگاه آدرس وبی در لاگ ها بصورت غیر خوانا دیدید ، آن خط بصورت کد شده در امده است
چراکه
کاراکتر های غیر اسکی نمیتوانند در URL قرار بگیرند لذا کدینگ یا جابجایی برای کاراکتر های غیر مجاز مطابق لینک زیر صورت میپذیرد .
برای فهمِ درست از این خطوط کد شده ، از دستور فوق در اسپلانک استفاده میکنیم
@roozbeh_learning
دوره های اسپلانک ( سطح ۱ و۲) در جشنواره تابستانه اکادمی آموزش روزبه
واتس اپ برای ثبت نام 09902857289
www.roozbeh.academy
https://www.w3schools.com/tags/ref_urlencode.asp
هرگاه آدرس وبی در لاگ ها بصورت غیر خوانا دیدید ، آن خط بصورت کد شده در امده است
چراکه
کاراکتر های غیر اسکی نمیتوانند در URL قرار بگیرند لذا کدینگ یا جابجایی برای کاراکتر های غیر مجاز مطابق لینک زیر صورت میپذیرد .
برای فهمِ درست از این خطوط کد شده ، از دستور فوق در اسپلانک استفاده میکنیم
@roozbeh_learning
دوره های اسپلانک ( سطح ۱ و۲) در جشنواره تابستانه اکادمی آموزش روزبه
واتس اپ برای ثبت نام 09902857289
www.roozbeh.academy
https://www.w3schools.com/tags/ref_urlencode.asp
W3Schools
W3Schools offers free online tutorials, references and exercises in all the major languages of the web. Covering popular subjects like HTML, CSS, JavaScript, Python, SQL, Java, and many, many more.
عشق ما را پی کاری به جهان آوردهست
ادب این است که مشغول تماشا نشویم
👤 صائب تبریزی
❇️دوره های جشنواره تابستانه آکادمی روزبه
راهی برای تغییر آینده و بهتر کردن آن.
واتس اپ برای ثبت نام
09902857289
@roozbeh_learning
📚آکادمی آموزش روزبه
💎کیفیت آموزش
www.roozbeh.academy
ادب این است که مشغول تماشا نشویم
👤 صائب تبریزی
❇️دوره های جشنواره تابستانه آکادمی روزبه
راهی برای تغییر آینده و بهتر کردن آن.
واتس اپ برای ثبت نام
09902857289
@roozbeh_learning
📚آکادمی آموزش روزبه
💎کیفیت آموزش
www.roozbeh.academy
C10402789.pdf
483.2 KB
یافتن SQLinjection به کمک اسپلانک حتی بدونه ES
@roozbeh_learning
www.roozbeh.academy
بخشی از سرفصل دوره های فشرده سازمانی SOC 1,2,3
@roozbeh_learning
www.roozbeh.academy
بخشی از سرفصل دوره های فشرده سازمانی SOC 1,2,3
آکادمی آموزش روزبه 📚
C10402789.pdf
💎دستور Regex یافتن حمله تزریق SQL در لاگها
🏮بخشی از سرفصل دوره های فشرده سازمانی SOC 1,2,3
@roozbeh_learning
📚آموزش هدف محور و خاص سازمان، در آکادمی آموزش روزبه
🔷تربیت تیم های آبی به اثربخش ترین شیوه
www.roozbeh.academy
https://larrysteinle.com/2011/02/20/use-regular-expressions-to-detect-sql-code-injection/
🏮بخشی از سرفصل دوره های فشرده سازمانی SOC 1,2,3
@roozbeh_learning
📚آموزش هدف محور و خاص سازمان، در آکادمی آموزش روزبه
🔷تربیت تیم های آبی به اثربخش ترین شیوه
www.roozbeh.academy
https://larrysteinle.com/2011/02/20/use-regular-expressions-to-detect-sql-code-injection/
چگونه وقتی هکر سعی میکند متخصصین SOC را دوربزند و یک SQL injection موفق داشته باشد، تا کارشناسان SOC در نهایت در بهت بمانند ؟
برای مثال هکر با استفاده از ابزار sqlmap ، نام کامند را طوری تغییر داده که در لاگ User agent. میافتد . اما ما چطور بفهیم این جابجایی رخ داده و لاگ مربوطه مختص یک مرورگر نیست و پشت پرده ، ابزار خطرناک sqlmap علیه سازمان ما استفاده شده است؟
لینک زیر را بخوانید
@roozbeh_learning
📚آکادمی آموزش روزبه
📍مرکز تربیت متخصص SOC، با استفاده از روشهای مختلف زودبازده یا بلند مدت
www.roozbeh.academy
https://blog.cloudflare.com/the-sleepy-user-agent/
برای مثال هکر با استفاده از ابزار sqlmap ، نام کامند را طوری تغییر داده که در لاگ User agent. میافتد . اما ما چطور بفهیم این جابجایی رخ داده و لاگ مربوطه مختص یک مرورگر نیست و پشت پرده ، ابزار خطرناک sqlmap علیه سازمان ما استفاده شده است؟
لینک زیر را بخوانید
@roozbeh_learning
📚آکادمی آموزش روزبه
📍مرکز تربیت متخصص SOC، با استفاده از روشهای مختلف زودبازده یا بلند مدت
www.roozbeh.academy
https://blog.cloudflare.com/the-sleepy-user-agent/
The Cloudflare Blog
The Sleepy User Agent
From time to time a customer writes in and asks about certain requests that have been blocked by the CloudFlare WAF. Recently, a customer couldn’t understand why it appeared that some simple GET requests for their homepage were listed as blocked in WAF analytics.
ممکن است در ایران، برنامه سوء استفاده شده در لینک زیر ، افیس 356 خیلی کاربردی در سطح سازمانی نداشته باشد اما متد آلوده سازی این نرم افزار، ما را نسبت به روش کاری به روزرسانی برخی محصولات که به کمپوننت های اپن سورس وابسته هستند نگران کرده است
خصوصا سازمانهای ملی و حاکمیتی این موضوع رو مد نظر داشته باشند
@roozbeh_learning
واحد TIntel گروه روزبه
www.roozbehgroup.com
https://medium.com/@reegun/nuget-squirrel-uncontrolled-endpoints-leads-to-arbitrary-code-execution-80c9df51cf12
خصوصا سازمانهای ملی و حاکمیتی این موضوع رو مد نظر داشته باشند
@roozbeh_learning
واحد TIntel گروه روزبه
www.roozbehgroup.com
https://medium.com/@reegun/nuget-squirrel-uncontrolled-endpoints-leads-to-arbitrary-code-execution-80c9df51cf12
Medium
Nuget/Squirrel uncontrolled endpoints leads to arbitrary code execution
When i was researching Microsoft ‘Teams,’ I came across an interesting argument ‘update’, I got to know from Squirrel documentation that…