یک رول ساده اسنورت :
اعلام هشدار زمانی که ایمیل از کاربر روت ارسال میگردد
@roozbeh_learning
www.roozbeh.academy
📍دوره سنز ۵۰۳ از ۲۷ آبانماه ، پنج شنبه ها
واتس اپ و تلفن 09902857289
اعلام هشدار زمانی که ایمیل از کاربر روت ارسال میگردد
@roozbeh_learning
www.roozbeh.academy
📍دوره سنز ۵۰۳ از ۲۷ آبانماه ، پنج شنبه ها
واتس اپ و تلفن 09902857289
در شکل فوق تلاش بسیاری را میبینید که کلاینت سعی در ارتباط با مقصد هایی خارج از سازمان دارد.
این یک آلودگی از نوع C2 است
@roozbeh_learning
📍فارق از تحریم :
سرفصل های اصلی و آزمایشگاه کامل دوره های سنز
📚آکادمی آموزش روزبه
www.roozbeh.academy
✳️تلاش میکنیم ، میخوانیم ، در عمل و پروژه تمرین میکنیم و سپس درس را ارائه میدهیم
این یک آلودگی از نوع C2 است
@roozbeh_learning
📍فارق از تحریم :
سرفصل های اصلی و آزمایشگاه کامل دوره های سنز
📚آکادمی آموزش روزبه
www.roozbeh.academy
✳️تلاش میکنیم ، میخوانیم ، در عمل و پروژه تمرین میکنیم و سپس درس را ارائه میدهیم
NIST.IR.8269-draft.pdf
785.4 KB
مستندی در راستای امنیت برنامه های هوش مصنوعی، موسسه استاندارد NIST امریکا.
واژه شناسی
@roozbeh_learning
دپارتمان فناوریهای نوین آکادمی آموزش روزبه
www.roozbeh.academy
واژه شناسی
@roozbeh_learning
دپارتمان فناوریهای نوین آکادمی آموزش روزبه
www.roozbeh.academy
Forwarded from آکادمی آموزش روزبه 📚
🥇گروه آموزشی پژوهشی امنیت اطلاعات روزبه
شامل :
📚آکادمی آموزش روزبه
🕹مرکز تحقیق و توسعه روزبه
💎مشاوره و اجرای فناوری امنیت روزبه
@roozbeh_learning 👈🏼
www.roozbehgroup.com
شامل :
📚آکادمی آموزش روزبه
🕹مرکز تحقیق و توسعه روزبه
💎مشاوره و اجرای فناوری امنیت روزبه
@roozbeh_learning 👈🏼
www.roozbehgroup.com
سوالی مطرح شده که :
⁉️چرا ما ( آکادمی روزبه) بدخواه کم نداریم ؟
چرا هر چند وقت یکبار بواسطه موضوعی ما را مینوازند؟
آیا سرمان برای بحث درد میکند ؟
آیا کار و زندگی نداریم؟
آیا نمیتوانیم فقط کار خودمان را بکنیم و کارهایی نکنیم که جنجالی به پا نگردد؟
اینها سوالاتی است که بسیاری از دوستان و غیره از ما میپرسند .
🔆اینکه چرا بدخواه کم نداریم دلایل متعدد دارد که این مقاله جایش نیست و باید دانست هواخواه هم بسیار داریم
اما
🔰یک نکته که امروز آنرا باز میکنیم این است : اصلاح !
1⃣اگر امروز میبینیم کانال فلان آقای محترم بجای کپی پیست، حداقل مطلبی که میگذارد تولیدی خودش است یا ظاهرا درحال برگزاری سمینار است بجای غر زدن! نتیجه برخورد ۱۲ ماه پیش ما با روش و منش ایشان است
2⃣اگر فلان آقای عزیز قبلا بدونه انکه یکروز سابقه امنیت داشته باشد هر حرفی میزد لذا بدون دانش ، تحلیل ها و بحث های بی اساس داشت. اما امروزه شروع به مطالعه کرده و مطالب کانالش بسیار غنی شده ، محصول برخورد ما است که شاید در خصوص ایشان به اخراج از گروه منتهی شد اما امروز میوه اش ، مقالات خوبی است که میخواند و ترجمه میکند.
3⃣اگر فلان مشاور قبلا نظرش را بواسطه برخی تمایلات میتوانست به راحتی عوض کند بطوریکه کارفرما آچمز شود ، امروزه مجبور است مستندات فراوانی برای حرفهایش بیاورد و برای اثبات یک جمله ، چند جلسه برگزار کند. حتی برای اثبات دانش مجبور به برگزاری کلاس شده است .
⏺اینها ممکن نمیشدند مگر با تذکرات و برخوردهایی که انجام شد.
↔️درست است برای ما گران تمام شد و میشود ( همانطور که در چند روز اخیر دیدیم) اما در راستای هدف که اصلاح جامعه بود انجام گردید . این زخمها را به جان و دل پذیراییم
🌹ما همیشه آموزگار و Mentor بوده ایم. حال با لحنی آرام یا با فَلَک درس میدهیم!! . چون این مملکت جای زیست ما و فرزندان ما است که نرفتیم و ماندیم .✅
@roozbeh_learning
www.roozbeh.academy
⁉️چرا ما ( آکادمی روزبه) بدخواه کم نداریم ؟
چرا هر چند وقت یکبار بواسطه موضوعی ما را مینوازند؟
آیا سرمان برای بحث درد میکند ؟
آیا کار و زندگی نداریم؟
آیا نمیتوانیم فقط کار خودمان را بکنیم و کارهایی نکنیم که جنجالی به پا نگردد؟
اینها سوالاتی است که بسیاری از دوستان و غیره از ما میپرسند .
🔆اینکه چرا بدخواه کم نداریم دلایل متعدد دارد که این مقاله جایش نیست و باید دانست هواخواه هم بسیار داریم
اما
🔰یک نکته که امروز آنرا باز میکنیم این است : اصلاح !
1⃣اگر امروز میبینیم کانال فلان آقای محترم بجای کپی پیست، حداقل مطلبی که میگذارد تولیدی خودش است یا ظاهرا درحال برگزاری سمینار است بجای غر زدن! نتیجه برخورد ۱۲ ماه پیش ما با روش و منش ایشان است
2⃣اگر فلان آقای عزیز قبلا بدونه انکه یکروز سابقه امنیت داشته باشد هر حرفی میزد لذا بدون دانش ، تحلیل ها و بحث های بی اساس داشت. اما امروزه شروع به مطالعه کرده و مطالب کانالش بسیار غنی شده ، محصول برخورد ما است که شاید در خصوص ایشان به اخراج از گروه منتهی شد اما امروز میوه اش ، مقالات خوبی است که میخواند و ترجمه میکند.
3⃣اگر فلان مشاور قبلا نظرش را بواسطه برخی تمایلات میتوانست به راحتی عوض کند بطوریکه کارفرما آچمز شود ، امروزه مجبور است مستندات فراوانی برای حرفهایش بیاورد و برای اثبات یک جمله ، چند جلسه برگزار کند. حتی برای اثبات دانش مجبور به برگزاری کلاس شده است .
⏺اینها ممکن نمیشدند مگر با تذکرات و برخوردهایی که انجام شد.
↔️درست است برای ما گران تمام شد و میشود ( همانطور که در چند روز اخیر دیدیم) اما در راستای هدف که اصلاح جامعه بود انجام گردید . این زخمها را به جان و دل پذیراییم
🌹ما همیشه آموزگار و Mentor بوده ایم. حال با لحنی آرام یا با فَلَک درس میدهیم!! . چون این مملکت جای زیست ما و فرزندان ما است که نرفتیم و ماندیم .✅
@roozbeh_learning
www.roozbeh.academy
تهدیدات امنیتی هوش مصنوعی و راهکار ها
@roozbeh_learning
www.roozbeh.academy
https://www.bcg.com/en-us/publications/2018/artificial-intelligence-threat-cybersecurity-solution.aspx
@roozbeh_learning
www.roozbeh.academy
https://www.bcg.com/en-us/publications/2018/artificial-intelligence-threat-cybersecurity-solution.aspx
https://www.bcg.com
Artificial Intelligence Is a Threat to Cybersecurity. It’s Also a Solution.
Companies are in an arms race. They need to protect their fledgling AI programs. AI also gives attackers a powerful new capability. The solution? AI.
Forwarded from IoT Report
Nokia_Threat_Intelligence_Report-iotreport.pdf
1.1 MB
رئیس قوه قضائیه: مقابله با رشوهپردازی از طریق اصلاح نظام اداری
حجتالاسلام رئیسی:
🔹کارآفرین برای سرمایهگذاری اگر با مشکل برخورد کند، روابط ناسالم اداری و مالی برقرار میکند که این روابط مشکلات بعدی را در پی دارد.
🔹هیچ کارآفرین و سرمایهگذار و صنعتگر آماده رشوه دادن به دستگاهها نیست، چیزی که وادار به دادن رشوه میکند، بروکراسی اداری و تعویق در امور است.
@NewsSecurityDefensive
@roozbeh_learning
www.roozbeh.academy
حجتالاسلام رئیسی:
🔹کارآفرین برای سرمایهگذاری اگر با مشکل برخورد کند، روابط ناسالم اداری و مالی برقرار میکند که این روابط مشکلات بعدی را در پی دارد.
🔹هیچ کارآفرین و سرمایهگذار و صنعتگر آماده رشوه دادن به دستگاهها نیست، چیزی که وادار به دادن رشوه میکند، بروکراسی اداری و تعویق در امور است.
@NewsSecurityDefensive
@roozbeh_learning
www.roozbeh.academy
تا دقایقی دیگر بررسی BITS Jobs در مرحله Persistence مدل ATT&CK
آکادمی امنیت اطلاعات روزبه
👇👇👇
آکادمی امنیت اطلاعات روزبه
👇👇👇
🐣طبق مدل ATT&CK که از سوی MITRE برای تحلیل حملات پیشرفته سایبری ابداع شده است در مرحله سوم یعنی پس از دسترسی اولیه و مرحله اجرای کد مخرب ، مرحله تحکیم دسترسی قراردارد.
🕸در این مرحله طبق جدول ارایه شده در سایت MITRE ، چندین تکنیک استفاده میشود که یکی ازآنها BITS Jobs است .
🦑با کمک از این خصوصیت که یکی از خصوصیات ویندوز های مدرن است ، هکر دسترسی خودرا تضمین میکند
🐬حال BITS Jobs چیست ؟
@roozbeh_learning
www.roozbeh.academy
👇👇👇
🕸در این مرحله طبق جدول ارایه شده در سایت MITRE ، چندین تکنیک استفاده میشود که یکی ازآنها BITS Jobs است .
🦑با کمک از این خصوصیت که یکی از خصوصیات ویندوز های مدرن است ، هکر دسترسی خودرا تضمین میکند
🐬حال BITS Jobs چیست ؟
@roozbeh_learning
www.roozbeh.academy
👇👇👇
👆👆💌Windows Background Intelligent Transfer Service ( BITS)
مکانیسم انتقال فایل با پهنای باند مصرفی پایین در ویندوز از طریق COM است. این روش معمولا توسط پیغام رسانها، به روز رسانها و سایر برنامه ها که نیاز به کار در Background دارند مورد استفاده قرار میگیرد. این انتقال با در نظر گرفتن حداقل پهنای باند و با اعمال queue انجام میگردد تا کمترین خللی در کار کاربر ویندوز ایجاد نماید.
📪برای ایجاد جاب های BITS از پاورشل و BITSAdmin استفاده میشود .
🏮بدخواهان با استفاده از این ابزار ویندوز ، نسبت به دانلود ، اجرای بد افزار ها و حتی ثابت نمودن حضور خود در کامپیوتر قربانی اقدام مینمایند.
🔑جاب های BITS از فایروال ویندوز عبور میکنند و در رجیستری تغییری ایجاد نمیکنند!!
🧲 هکر از BITS برای تخلیه اطلاعات رایانه نیز استفاده میکند.
@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
👇👇👇
مکانیسم انتقال فایل با پهنای باند مصرفی پایین در ویندوز از طریق COM است. این روش معمولا توسط پیغام رسانها، به روز رسانها و سایر برنامه ها که نیاز به کار در Background دارند مورد استفاده قرار میگیرد. این انتقال با در نظر گرفتن حداقل پهنای باند و با اعمال queue انجام میگردد تا کمترین خللی در کار کاربر ویندوز ایجاد نماید.
📪برای ایجاد جاب های BITS از پاورشل و BITSAdmin استفاده میشود .
🏮بدخواهان با استفاده از این ابزار ویندوز ، نسبت به دانلود ، اجرای بد افزار ها و حتی ثابت نمودن حضور خود در کامپیوتر قربانی اقدام مینمایند.
🔑جاب های BITS از فایروال ویندوز عبور میکنند و در رجیستری تغییری ایجاد نمیکنند!!
🧲 هکر از BITS برای تخلیه اطلاعات رایانه نیز استفاده میکند.
@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
👇👇👇
👆👆🚧راههای جلوگیری از موارد فوق :
ترافیک هاست را با رولهای فایروال مدیریت کنید
در رفرنس های مایکروسافت ببینید که کلید های رجیستری مرتبط با جاب های BITS چگونه مدیریت میشوند
استفاده از BITS ها را به گروه یا کاربر خاصی محدود کنید
@roozbeh_learning
www.roozbeh.academy
ترافیک هاست را با رولهای فایروال مدیریت کنید
در رفرنس های مایکروسافت ببینید که کلید های رجیستری مرتبط با جاب های BITS چگونه مدیریت میشوند
استفاده از BITS ها را به گروه یا کاربر خاصی محدود کنید
@roozbeh_learning
www.roozbeh.academy
👆👆یکی از استفاده کنندگان از روش تشریح شده در پستهای فوق برای نفوذ، یک گروه هکری چینی است که در مقاله زیر از FireEye میبینید چطور از BITS در مراحلی از حملاتش استفاده میکند
@roozbeh_learning
www.roozbeh.academy
https://www.fireeye.com/blog/threat-research/2018/03/suspected-chinese-espionage-group-targeting-maritime-and-engineering-industries.html
@roozbeh_learning
www.roozbeh.academy
https://www.fireeye.com/blog/threat-research/2018/03/suspected-chinese-espionage-group-targeting-maritime-and-engineering-industries.html
FireEye
Suspected Chinese Cyber Espionage Group (TEMP.Periscope) Targeting U.S.
Engineering and Maritime Industries
Engineering and Maritime Industries
Since early 2018, FireEye has been tracking an ongoing wave of intrusions targeting engineering and maritime entities, especially those connected to South China Sea issues.
Platinum_feature_article_Targeted.pdf
1.1 MB
👆👆مقاله ای از مایکروسافت که به هک هایی در آسیا اشاره دارد که از متد های پیشرفته استفاده شده است .
در قسمتی از آن به BITS نیز اشاره شده است که داده ها به راحتی تخلیه میشدند
@roozbeh_learning
www.roozbeh.academy
👇👇
در قسمتی از آن به BITS نیز اشاره شده است که داده ها به راحتی تخلیه میشدند
@roozbeh_learning
www.roozbeh.academy
👇👇
پیرو بحث نفوذ از طریق BITS :
در سایت سمینتک ببینید تجربه افراد را در زمینه الودگی به بد افزار هایی که از طریق BITS منتشر میشدند
@roozbeh_learning
www.roozbeh.academy
https://www.symantec.com/connect/blogs/malware-update-windows-update
در سایت سمینتک ببینید تجربه افراد را در زمینه الودگی به بد افزار هایی که از طریق BITS منتشر میشدند
@roozbeh_learning
www.roozbeh.academy
https://www.symantec.com/connect/blogs/malware-update-windows-update
Symantec Security Response
Malware Update with Windows Update
Symantec Connect
👆👆نظر سنز در مورد نحوه کشف BITS در ترافیک های سازمان
با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند
🚨Microsoft BITS/x.x
@roozbeh_learning
www.roozbeh.academy
جزییات در لینک زیر :
https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281/
با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند
🚨Microsoft BITS/x.x
@roozbeh_learning
www.roozbeh.academy
جزییات در لینک زیر :
https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281/
آکادمی آموزش روزبه 📚
👆👆نظر سنز در مورد نحوه کشف BITS در ترافیک های سازمان با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند 🚨Microsoft BITS/x.x @roozbeh_learning www.roozbeh.academy جزییات در لینک زیر : https://isc.sans.edu/forums/diary/Investigat…
رول اسنورت برای کشف ترافیک های BITS
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (sid:xxx; gid:1; flow:established,to_server; content:" Microsoft BITS "; http_header; fast_pattern:only; pcre:"/^User\x2dAgent\x3a\x20[^\r\n]* Microsoft BITS/Hm"; metadata:service http; msg:"BLACKLIST User-Agent known malicious user-agent string Microsoft BITS/x.x "; classtype:network exfil; rev:1; )
@roozbeh_learning
www.roozbeh.academy
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (sid:xxx; gid:1; flow:established,to_server; content:" Microsoft BITS "; http_header; fast_pattern:only; pcre:"/^User\x2dAgent\x3a\x20[^\r\n]* Microsoft BITS/Hm"; metadata:service http; msg:"BLACKLIST User-Agent known malicious user-agent string Microsoft BITS/x.x "; classtype:network exfil; rev:1; )
@roozbeh_learning
www.roozbeh.academy
پیرو بحث امشب در خصوص BITS
اگر بد افزاری را پاک کردید دنبال جاب های BITS باشید
@roozbeh_learning
www.roozbeh.academy
https://www.infoworld.com/article/3080544/check-your-bits-because-deleting-malware-might-not-be-enough.html
اگر بد افزاری را پاک کردید دنبال جاب های BITS باشید
@roozbeh_learning
www.roozbeh.academy
https://www.infoworld.com/article/3080544/check-your-bits-because-deleting-malware-might-not-be-enough.html
InfoWorld
Check your BITS, because deleting malware might not be enough
Rogue Windows Background Intelligent Transfer Service jobs can linger after malware clean-up and re-infect systems
آکادمی آموزش روزبه 📚
👆👆💌Windows Background Intelligent Transfer Service ( BITS) مکانیسم انتقال فایل با پهنای باند مصرفی پایین در ویندوز از طریق COM است. این روش معمولا توسط پیغام رسانها، به روز رسانها و سایر برنامه ها که نیاز به کار در Background دارند مورد استفاده قرار میگیرد.…
دستوراتی بدخواهانه برای سوء استفاده از BITS
❇️کامند لاین
bitsadmin.exe /transfer /Download /priority Foreground https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md %TEMP%\bitsadmin_flag.ps1
✳️پاورشل
Start-BitsTransfer -Priority foreground -Source https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md -Destination $env:TEMP\AtomicRedTeam\bitsadmin_flag.ps1
@roozbeh_learning
www.roozbeh.academy
کشف این نوع حملات در مقیاس سازمانی نیاز به EDRو SIEMدارد
❇️کامند لاین
bitsadmin.exe /transfer /Download /priority Foreground https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md %TEMP%\bitsadmin_flag.ps1
✳️پاورشل
Start-BitsTransfer -Priority foreground -Source https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md -Destination $env:TEMP\AtomicRedTeam\bitsadmin_flag.ps1
@roozbeh_learning
www.roozbeh.academy
کشف این نوع حملات در مقیاس سازمانی نیاز به EDRو SIEMدارد
🦅هانتینگ ( Hunting) در خصوص BITS
به کمک الستیک
اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود
@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
https://medium.com/@threathuntingteam/background-intelligent-transfer-protocol-ab81cd900aa7
به کمک الستیک
اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود
@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
https://medium.com/@threathuntingteam/background-intelligent-transfer-protocol-ab81cd900aa7
Medium
Background Intelligent Transfer Protocol
Introduction
آکادمی آموزش روزبه 📚
🦅هانتینگ ( Hunting) در خصوص BITS به کمک الستیک اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود @roozbeh_learning 📚آکادمی امنیت اطلاعات روزبه www.roozbeh.academy http…
برای ایده گرفتن :
استفاده از ابزار RSA بنام NetWitness
برای شکار آپلود و دانلود BITS
@roozbeh_learning
📚آکادمی آموزش روزبه
www.roozbeh.academy
✳️پنج نشانه یا Artifact از شار و جریان BITS در شبکه شما
وجود
📍 HEAD
📍 User Agent:Microsoft BITS
📍GET (special)
📍BITS_POST
📍BITS-Packet-Type
https://community.rsa.com/community/products/netwitness/blog/2017/03/20/identifying-bits-uploads-and-downloads
استفاده از ابزار RSA بنام NetWitness
برای شکار آپلود و دانلود BITS
@roozbeh_learning
📚آکادمی آموزش روزبه
www.roozbeh.academy
✳️پنج نشانه یا Artifact از شار و جریان BITS در شبکه شما
وجود
📍 HEAD
📍 User Agent:Microsoft BITS
📍GET (special)
📍BITS_POST
📍BITS-Packet-Type
https://community.rsa.com/community/products/netwitness/blog/2017/03/20/identifying-bits-uploads-and-downloads
Rsa
Identifying BITS Uploads and Downloads | RSA Link
Part 1: NetWitness for Packets I recently read an article from Microsoft