سوالی مطرح شده که :
⁉️چرا ما ( آکادمی روزبه) بدخواه کم نداریم ؟
چرا هر چند وقت یکبار بواسطه موضوعی ما را مینوازند؟
آیا سرمان برای بحث درد میکند ؟
آیا کار و زندگی نداریم؟
آیا نمیتوانیم فقط کار خودمان را بکنیم و کارهایی نکنیم که جنجالی به پا نگردد؟

اینها سوالاتی است که بسیاری از دوستان و غیره از ما میپرسند .

🔆اینکه چرا بدخواه کم نداریم دلایل متعدد دارد که این مقاله جایش نیست و باید دانست هواخواه هم بسیار داریم
اما
🔰یک نکته که امروز آنرا باز میکنیم این است : اصلاح !

1⃣اگر امروز میبینیم کانال فلان آقای محترم بجای کپی پیست، حداقل مطلبی که میگذارد تولیدی خودش است یا ظاهرا درحال برگزاری سمینار است بجای غر زدن! نتیجه برخورد ۱۲ ماه پیش ما با روش و منش ایشان است

2⃣اگر فلان آقای عزیز قبلا بدونه انکه یکروز سابقه امنیت داشته باشد هر حرفی میزد لذا بدون دانش ، تحلیل ها و بحث های بی اساس داشت. اما امروزه شروع به مطالعه کرده و مطالب کانالش بسیار غنی شده ، محصول برخورد ما است که شاید در خصوص ایشان به اخراج از گروه منتهی شد اما امروز میوه اش ، مقالات خوبی است که میخواند و ترجمه میکند.

3⃣اگر فلان مشاور قبلا نظرش را بواسطه برخی تمایلات میتوانست به راحتی عوض کند بطوریکه کارفرما آچمز شود ، امروزه مجبور است مستندات فراوانی برای حرفهایش بیاورد و برای اثبات یک جمله ، چند جلسه برگزار کند. حتی برای اثبات دانش مجبور به برگزاری کلاس شده است .

⏺اینها ممکن نمیشدند مگر با تذکرات و برخوردهایی که انجام شد.
↔️درست است برای ما گران تمام شد و میشود ( همانطور که در چند روز اخیر دیدیم) اما در راستای هدف که اصلاح جامعه بود انجام گردید . این زخمها را به جان و دل پذیراییم

🌹ما همیشه آموزگار و Mentor بوده ایم. حال با لحنی آرام یا با فَلَک درس میدهیم!! . چون این مملکت جای زیست ما و فرزندان ما است که نرفتیم و ماندیم .✅

@roozbeh_learning
www.roozbeh.academy

تهدیدات امنیتی هوش مصنوعی و راهکار ها
@roozbeh_learning
www.roozbeh.academy

https://www.bcg.com/en-us/publications/2018/artificial-intelligence-threat-cybersecurity-solution.aspx

Nokia Threat Intelligence Report – 2019

#Nokia #WP
@iotreport

رئیس قوه قضائیه: مقابله با رشوه‌پردازی از طریق اصلاح نظام اداری

حجت‌الاسلام رئیسی:
🔹کارآفرین برای سرمایه‌گذاری اگر با مشکل برخورد کند، روابط ناسالم اداری و مالی برقرار می‌کند که این روابط مشکلات بعدی را در پی دارد.
🔹هیچ کارآفرین و سرمایه‌گذار و صنعتگر آماده رشوه دادن به دستگاه‌ها نیست، چیزی که وادار به دادن رشوه می‌کند، بروکراسی اداری و تعویق در امور است.

@NewsSecurityDefensive

@roozbeh_learning
www.roozbeh.academy

تا دقایقی دیگر بررسی BITS Jobs در مرحله Persistence مدل ATT&CK

آکادمی امنیت اطلاعات روزبه
👇👇👇

🐣طبق مدل ATT&CK که از سوی MITRE برای تحلیل حملات پیشرفته سایبری ابداع شده است در مرحله سوم یعنی پس از دسترسی اولیه و مرحله اجرای کد مخرب ، مرحله تحکیم دسترسی قراردارد.

🕸در این مرحله طبق جدول ارایه شده در سایت MITRE ، چندین تکنیک استفاده میشود که یکی ازآنها BITS Jobs است .

🦑با کمک از این خصوصیت که یکی از خصوصیات ویندوز های مدرن است ، هکر دسترسی خودرا تضمین میکند

🐬حال BITS Jobs چیست ؟

@roozbeh_learning
www.roozbeh.academy
👇👇👇

👆👆💌Windows Background Intelligent Transfer Service ( BITS)

مکانیسم انتقال فایل با پهنای باند مصرفی پایین در ویندوز از طریق COM است. این روش معمولا توسط پیغام رسانها، به روز رسانها و سایر برنامه ها که نیاز به کار در Background دارند مورد استفاده قرار میگیرد. این انتقال با در نظر گرفتن حداقل پهنای باند و با اعمال queue انجام میگردد تا کمترین خللی در کار کاربر ویندوز ایجاد نماید.

📪برای ایجاد جاب های BITS از پاورشل و BITSAdmin استفاده میشود .

🏮بدخواهان با استفاده از این ابزار ویندوز ، نسبت به دانلود ، اجرای بد افزار ها و حتی ثابت نمودن حضور خود در کامپیوتر قربانی اقدام مینمایند.

🔑جاب های BITS از فایروال ویندوز عبور میکنند و در رجیستری تغییری ایجاد نمیکنند!!

🧲 هکر از BITS برای تخلیه اطلاعات رایانه نیز استفاده میکند.

@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
👇👇👇

👆👆🚧راههای جلوگیری از موارد فوق :

ترافیک هاست را با رولهای فایروال مدیریت کنید

در رفرنس های مایکروسافت ببینید که کلید های رجیستری مرتبط با جاب های BITS چگونه مدیریت میشوند

استفاده از BITS ها را به گروه یا کاربر خاصی محدود کنید

@roozbeh_learning
www.roozbeh.academy

👆👆یکی از استفاده کنندگان از روش تشریح شده در پستهای فوق برای نفوذ، یک گروه هکری چینی است که در مقاله زیر از FireEye میبینید چطور از BITS در مراحلی از حملاتش استفاده میکند

@roozbeh_learning
www.roozbeh.academy

https://www.fireeye.com/blog/threat-research/2018/03/suspected-chinese-espionage-group-targeting-maritime-and-engineering-industries.html

👆👆مقاله ای از مایکروسافت که به هک هایی در آسیا اشاره دارد که از متد های پیشرفته استفاده شده است .

در قسمتی از آن به BITS نیز اشاره شده است که داده ها به راحتی تخلیه میشدند

@roozbeh_learning
www.roozbeh.academy
👇👇

پیرو بحث نفوذ از طریق BITS :
در سایت سمینتک ببینید تجربه افراد را در زمینه الودگی به بد افزار هایی که از طریق BITS منتشر میشدند

@roozbeh_learning
www.roozbeh.academy

https://www.symantec.com/connect/blogs/malware-update-windows-update

👆👆نظر سنز در مورد نحوه کشف BITS در ترافیک های سازمان

با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند
🚨Microsoft BITS/x.x

@roozbeh_learning
www.roozbeh.academy

جزییات در لینک زیر :

https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281/

رول اسنورت برای کشف ترافیک های BITS

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (sid:xxx; gid:1; flow:established,to_server; content:" Microsoft BITS "; http_header; fast_pattern:only; pcre:"/^User\x2dAgent\x3a\x20[^\r\n]* Microsoft BITS/Hm"; metadata:service http; msg:"BLACKLIST User-Agent known malicious user-agent string Microsoft BITS/x.x "; classtype:network exfil; rev:1; )


@roozbeh_learning
www.roozbeh.academy

پیرو بحث امشب در خصوص ‌BITS

اگر بد افزاری را پاک کردید دنبال جاب های BITS باشید

@roozbeh_learning
www.roozbeh.academy

https://www.infoworld.com/article/3080544/check-your-bits-because-deleting-malware-might-not-be-enough.html

دستوراتی بدخواهانه برای سوء استفاده از BITS

❇️کامند لاین
bitsadmin.exe /transfer /Download /priority Foreground https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md %TEMP%\bitsadmin_flag.ps1

✳️پاورشل

Start-BitsTransfer -Priority foreground -Source https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md -Destination $env:TEMP\AtomicRedTeam\bitsadmin_flag.ps1

@roozbeh_learning
www.roozbeh.academy
کشف این نوع حملات در مقیاس سازمانی نیاز به EDRو SIEMدارد

🦅هانتینگ ( Hunting) در خصوص BITS
به کمک الستیک

اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود

@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy

https://medium.com/@threathuntingteam/background-intelligent-transfer-protocol-ab81cd900aa7

برای ایده گرفتن :
استفاده از ابزار RSA بنام NetWitness
برای شکار آپلود و دانلود BITS

@roozbeh_learning
📚آکادمی آموزش روزبه
www.roozbeh.academy

✳️پنج نشانه یا Artifact از شار و جریان BITS در شبکه شما
وجود
📍 HEAD

📍 User Agent:Microsoft BITS

📍GET (special)

📍BITS_POST

📍BITS-Packet-Type

https://community.rsa.com/community/products/netwitness/blog/2017/03/20/identifying-bits-uploads-and-downloads

حال که ایده هایی در مورد عملکرد و سوء استفاده از BITS را مشاهده کردید ، مقاله جامع سنز را در این خصوص مطالعه فرمایید

@roozbeh_learning
www.roozbeh.academy

نگاه Offensive به BITS در مقاله زیر :
@roozbeh_learning
www.roozbeh.academy

انتقال داده ها در هنگام تست نفوذ

https://dshield.org/forums/diary/Data+Exfiltration+in+Penetration+Tests/24354/

یک روش دیگر روش کشف انتقال داده یا فایل از طریق BITS

فعال سازی لاگ پاورشل
و رهگیری مقدار زیر
BITSTransfer – Logs use of BITS cmdlets.

@roozbeh_learning
www.roozbeh.academy

👆👆و پایان بررسی نفوذ از طریق BITS Jobs و روشهای کشف و مقابله
برای البته فعلا🙋‍♂

آکادمی امنیت اطلاعات روزبه شب خوشی را برای شما آرزومند است 🌹