تا دقایقی دیگر بررسی BITS Jobs در مرحله Persistence مدل ATT&CK
آکادمی امنیت اطلاعات روزبه
👇👇👇
آکادمی امنیت اطلاعات روزبه
👇👇👇
🐣طبق مدل ATT&CK که از سوی MITRE برای تحلیل حملات پیشرفته سایبری ابداع شده است در مرحله سوم یعنی پس از دسترسی اولیه و مرحله اجرای کد مخرب ، مرحله تحکیم دسترسی قراردارد.
🕸در این مرحله طبق جدول ارایه شده در سایت MITRE ، چندین تکنیک استفاده میشود که یکی ازآنها BITS Jobs است .
🦑با کمک از این خصوصیت که یکی از خصوصیات ویندوز های مدرن است ، هکر دسترسی خودرا تضمین میکند
🐬حال BITS Jobs چیست ؟
@roozbeh_learning
www.roozbeh.academy
👇👇👇
🕸در این مرحله طبق جدول ارایه شده در سایت MITRE ، چندین تکنیک استفاده میشود که یکی ازآنها BITS Jobs است .
🦑با کمک از این خصوصیت که یکی از خصوصیات ویندوز های مدرن است ، هکر دسترسی خودرا تضمین میکند
🐬حال BITS Jobs چیست ؟
@roozbeh_learning
www.roozbeh.academy
👇👇👇
👆👆💌Windows Background Intelligent Transfer Service ( BITS)
مکانیسم انتقال فایل با پهنای باند مصرفی پایین در ویندوز از طریق COM است. این روش معمولا توسط پیغام رسانها، به روز رسانها و سایر برنامه ها که نیاز به کار در Background دارند مورد استفاده قرار میگیرد. این انتقال با در نظر گرفتن حداقل پهنای باند و با اعمال queue انجام میگردد تا کمترین خللی در کار کاربر ویندوز ایجاد نماید.
📪برای ایجاد جاب های BITS از پاورشل و BITSAdmin استفاده میشود .
🏮بدخواهان با استفاده از این ابزار ویندوز ، نسبت به دانلود ، اجرای بد افزار ها و حتی ثابت نمودن حضور خود در کامپیوتر قربانی اقدام مینمایند.
🔑جاب های BITS از فایروال ویندوز عبور میکنند و در رجیستری تغییری ایجاد نمیکنند!!
🧲 هکر از BITS برای تخلیه اطلاعات رایانه نیز استفاده میکند.
@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
👇👇👇
مکانیسم انتقال فایل با پهنای باند مصرفی پایین در ویندوز از طریق COM است. این روش معمولا توسط پیغام رسانها، به روز رسانها و سایر برنامه ها که نیاز به کار در Background دارند مورد استفاده قرار میگیرد. این انتقال با در نظر گرفتن حداقل پهنای باند و با اعمال queue انجام میگردد تا کمترین خللی در کار کاربر ویندوز ایجاد نماید.
📪برای ایجاد جاب های BITS از پاورشل و BITSAdmin استفاده میشود .
🏮بدخواهان با استفاده از این ابزار ویندوز ، نسبت به دانلود ، اجرای بد افزار ها و حتی ثابت نمودن حضور خود در کامپیوتر قربانی اقدام مینمایند.
🔑جاب های BITS از فایروال ویندوز عبور میکنند و در رجیستری تغییری ایجاد نمیکنند!!
🧲 هکر از BITS برای تخلیه اطلاعات رایانه نیز استفاده میکند.
@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
👇👇👇
👆👆🚧راههای جلوگیری از موارد فوق :
ترافیک هاست را با رولهای فایروال مدیریت کنید
در رفرنس های مایکروسافت ببینید که کلید های رجیستری مرتبط با جاب های BITS چگونه مدیریت میشوند
استفاده از BITS ها را به گروه یا کاربر خاصی محدود کنید
@roozbeh_learning
www.roozbeh.academy
ترافیک هاست را با رولهای فایروال مدیریت کنید
در رفرنس های مایکروسافت ببینید که کلید های رجیستری مرتبط با جاب های BITS چگونه مدیریت میشوند
استفاده از BITS ها را به گروه یا کاربر خاصی محدود کنید
@roozbeh_learning
www.roozbeh.academy
👆👆یکی از استفاده کنندگان از روش تشریح شده در پستهای فوق برای نفوذ، یک گروه هکری چینی است که در مقاله زیر از FireEye میبینید چطور از BITS در مراحلی از حملاتش استفاده میکند
@roozbeh_learning
www.roozbeh.academy
https://www.fireeye.com/blog/threat-research/2018/03/suspected-chinese-espionage-group-targeting-maritime-and-engineering-industries.html
@roozbeh_learning
www.roozbeh.academy
https://www.fireeye.com/blog/threat-research/2018/03/suspected-chinese-espionage-group-targeting-maritime-and-engineering-industries.html
FireEye
Suspected Chinese Cyber Espionage Group (TEMP.Periscope) Targeting U.S.
Engineering and Maritime Industries
Engineering and Maritime Industries
Since early 2018, FireEye has been tracking an ongoing wave of intrusions targeting engineering and maritime entities, especially those connected to South China Sea issues.
Platinum_feature_article_Targeted.pdf
1.1 MB
👆👆مقاله ای از مایکروسافت که به هک هایی در آسیا اشاره دارد که از متد های پیشرفته استفاده شده است .
در قسمتی از آن به BITS نیز اشاره شده است که داده ها به راحتی تخلیه میشدند
@roozbeh_learning
www.roozbeh.academy
👇👇
در قسمتی از آن به BITS نیز اشاره شده است که داده ها به راحتی تخلیه میشدند
@roozbeh_learning
www.roozbeh.academy
👇👇
پیرو بحث نفوذ از طریق BITS :
در سایت سمینتک ببینید تجربه افراد را در زمینه الودگی به بد افزار هایی که از طریق BITS منتشر میشدند
@roozbeh_learning
www.roozbeh.academy
https://www.symantec.com/connect/blogs/malware-update-windows-update
در سایت سمینتک ببینید تجربه افراد را در زمینه الودگی به بد افزار هایی که از طریق BITS منتشر میشدند
@roozbeh_learning
www.roozbeh.academy
https://www.symantec.com/connect/blogs/malware-update-windows-update
Symantec Security Response
Malware Update with Windows Update
Symantec Connect
👆👆نظر سنز در مورد نحوه کشف BITS در ترافیک های سازمان
با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند
🚨Microsoft BITS/x.x
@roozbeh_learning
www.roozbeh.academy
جزییات در لینک زیر :
https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281/
با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند
🚨Microsoft BITS/x.x
@roozbeh_learning
www.roozbeh.academy
جزییات در لینک زیر :
https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281/
آکادمی آموزش روزبه 📚
👆👆نظر سنز در مورد نحوه کشف BITS در ترافیک های سازمان با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند 🚨Microsoft BITS/x.x @roozbeh_learning www.roozbeh.academy جزییات در لینک زیر : https://isc.sans.edu/forums/diary/Investigat…
رول اسنورت برای کشف ترافیک های BITS
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (sid:xxx; gid:1; flow:established,to_server; content:" Microsoft BITS "; http_header; fast_pattern:only; pcre:"/^User\x2dAgent\x3a\x20[^\r\n]* Microsoft BITS/Hm"; metadata:service http; msg:"BLACKLIST User-Agent known malicious user-agent string Microsoft BITS/x.x "; classtype:network exfil; rev:1; )
@roozbeh_learning
www.roozbeh.academy
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (sid:xxx; gid:1; flow:established,to_server; content:" Microsoft BITS "; http_header; fast_pattern:only; pcre:"/^User\x2dAgent\x3a\x20[^\r\n]* Microsoft BITS/Hm"; metadata:service http; msg:"BLACKLIST User-Agent known malicious user-agent string Microsoft BITS/x.x "; classtype:network exfil; rev:1; )
@roozbeh_learning
www.roozbeh.academy
پیرو بحث امشب در خصوص BITS
اگر بد افزاری را پاک کردید دنبال جاب های BITS باشید
@roozbeh_learning
www.roozbeh.academy
https://www.infoworld.com/article/3080544/check-your-bits-because-deleting-malware-might-not-be-enough.html
اگر بد افزاری را پاک کردید دنبال جاب های BITS باشید
@roozbeh_learning
www.roozbeh.academy
https://www.infoworld.com/article/3080544/check-your-bits-because-deleting-malware-might-not-be-enough.html
InfoWorld
Check your BITS, because deleting malware might not be enough
Rogue Windows Background Intelligent Transfer Service jobs can linger after malware clean-up and re-infect systems
آکادمی آموزش روزبه 📚
👆👆💌Windows Background Intelligent Transfer Service ( BITS) مکانیسم انتقال فایل با پهنای باند مصرفی پایین در ویندوز از طریق COM است. این روش معمولا توسط پیغام رسانها، به روز رسانها و سایر برنامه ها که نیاز به کار در Background دارند مورد استفاده قرار میگیرد.…
دستوراتی بدخواهانه برای سوء استفاده از BITS
❇️کامند لاین
bitsadmin.exe /transfer /Download /priority Foreground https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md %TEMP%\bitsadmin_flag.ps1
✳️پاورشل
Start-BitsTransfer -Priority foreground -Source https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md -Destination $env:TEMP\AtomicRedTeam\bitsadmin_flag.ps1
@roozbeh_learning
www.roozbeh.academy
کشف این نوع حملات در مقیاس سازمانی نیاز به EDRو SIEMدارد
❇️کامند لاین
bitsadmin.exe /transfer /Download /priority Foreground https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md %TEMP%\bitsadmin_flag.ps1
✳️پاورشل
Start-BitsTransfer -Priority foreground -Source https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md -Destination $env:TEMP\AtomicRedTeam\bitsadmin_flag.ps1
@roozbeh_learning
www.roozbeh.academy
کشف این نوع حملات در مقیاس سازمانی نیاز به EDRو SIEMدارد
🦅هانتینگ ( Hunting) در خصوص BITS
به کمک الستیک
اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود
@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
https://medium.com/@threathuntingteam/background-intelligent-transfer-protocol-ab81cd900aa7
به کمک الستیک
اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود
@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
https://medium.com/@threathuntingteam/background-intelligent-transfer-protocol-ab81cd900aa7
Medium
Background Intelligent Transfer Protocol
Introduction
آکادمی آموزش روزبه 📚
🦅هانتینگ ( Hunting) در خصوص BITS به کمک الستیک اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود @roozbeh_learning 📚آکادمی امنیت اطلاعات روزبه www.roozbeh.academy http…
برای ایده گرفتن :
استفاده از ابزار RSA بنام NetWitness
برای شکار آپلود و دانلود BITS
@roozbeh_learning
📚آکادمی آموزش روزبه
www.roozbeh.academy
✳️پنج نشانه یا Artifact از شار و جریان BITS در شبکه شما
وجود
📍 HEAD
📍 User Agent:Microsoft BITS
📍GET (special)
📍BITS_POST
📍BITS-Packet-Type
https://community.rsa.com/community/products/netwitness/blog/2017/03/20/identifying-bits-uploads-and-downloads
استفاده از ابزار RSA بنام NetWitness
برای شکار آپلود و دانلود BITS
@roozbeh_learning
📚آکادمی آموزش روزبه
www.roozbeh.academy
✳️پنج نشانه یا Artifact از شار و جریان BITS در شبکه شما
وجود
📍 HEAD
📍 User Agent:Microsoft BITS
📍GET (special)
📍BITS_POST
📍BITS-Packet-Type
https://community.rsa.com/community/products/netwitness/blog/2017/03/20/identifying-bits-uploads-and-downloads
Rsa
Identifying BITS Uploads and Downloads | RSA Link
Part 1: NetWitness for Packets I recently read an article from Microsoft
bits-forensics-39195.pdf
1 MB
حال که ایده هایی در مورد عملکرد و سوء استفاده از BITS را مشاهده کردید ، مقاله جامع سنز را در این خصوص مطالعه فرمایید
@roozbeh_learning
www.roozbeh.academy
@roozbeh_learning
www.roozbeh.academy
نگاه Offensive به BITS در مقاله زیر :
@roozbeh_learning
www.roozbeh.academy
انتقال داده ها در هنگام تست نفوذ
https://dshield.org/forums/diary/Data+Exfiltration+in+Penetration+Tests/24354/
@roozbeh_learning
www.roozbeh.academy
انتقال داده ها در هنگام تست نفوذ
https://dshield.org/forums/diary/Data+Exfiltration+in+Penetration+Tests/24354/
یک روش دیگر روش کشف انتقال داده یا فایل از طریق BITS
فعال سازی لاگ پاورشل
و رهگیری مقدار زیر
BITSTransfer – Logs use of BITS cmdlets.
@roozbeh_learning
www.roozbeh.academy
فعال سازی لاگ پاورشل
و رهگیری مقدار زیر
BITSTransfer – Logs use of BITS cmdlets.
@roozbeh_learning
www.roozbeh.academy
آکادمی آموزش روزبه 📚
تا دقایقی دیگر بررسی BITS Jobs در مرحله Persistence مدل ATT&CK آکادمی امنیت اطلاعات روزبه 👇👇👇
👆👆و پایان بررسی نفوذ از طریق BITS Jobs و روشهای کشف و مقابله
برای البته فعلا🙋♂
آکادمی امنیت اطلاعات روزبه شب خوشی را برای شما آرزومند است 🌹
برای البته فعلا🙋♂
آکادمی امنیت اطلاعات روزبه شب خوشی را برای شما آرزومند است 🌹
بررسی آلوده سازی گوشی های افراد مهم دولتی در ۲۰ کشور از طریق آسیب پذیری واتس اپ، توسط یک شرکت اسرائیلی و پرونده تشکیل شده در این خصوص؛ این بار از نگاه فوربس
@roozbeh_learning
www.roozbehgroup.com
https://www-forbes-com.cdn.ampproject.org/c/s/www.forbes.com/sites/krisholt/2019/10/31/hackers-reportedly-targeted-government-officials-with-whatsapp-malware/amp/
@roozbeh_learning
www.roozbehgroup.com
https://www-forbes-com.cdn.ampproject.org/c/s/www.forbes.com/sites/krisholt/2019/10/31/hackers-reportedly-targeted-government-officials-with-whatsapp-malware/amp/
Forbes
Hackers Reportedly Targeted Government Officials With WhatsApp Malware
Government and military figures from at least 20 countries are said to have been targeted.
ترکیب AMP و خروجی اسکن آسیب پذیری ( برای مثال NESSUS) با ISE :
Threat-Centric NAC
راهکاری بسیار مفید برای ارتقای توانمندی SOC
@roozbeh_learning
https://m.youtube.com/watch?v=_vhl4rXdPeE
Threat-Centric NAC
راهکاری بسیار مفید برای ارتقای توانمندی SOC
@roozbeh_learning
https://m.youtube.com/watch?v=_vhl4rXdPeE
YouTube
Threat-Centric Network Access Control (NAC) with ISE 2.1
In this Security Chalk Talks video Imran Bashir, TME, introduces Cisco Identity Services Engine (ISE) Threat-Centric NAC service and its integration with Advance Malware Protection (AMP) and Qualys. This integration enables ISE to take the real time feed…
آکادمی آموزش روزبه 📚
معرفی کتاب ارتباط بدون خشونت زبان زندگی @roozbeh_learning www.roozbeh.academy
معرفی کتاب ارتباط بدون خشونت (نوشته مارشال روزنبرگ) - متمم
https://motamem.org/%da%a9%d8%aa%d8%a7%d8%a8-%d8%a7%d8%b1%d8%aa%d8%a8%d8%a7%d8%b7-%d8%a8%d8%af%d9%88%d9%86-%d8%ae%d8%b4%d9%88%d9%86%d8%aa-%d9%85%d8%a7%d8%b1%d8%b4%d8%a7%d9%84-%d8%b1%d9%88%d8%b2%d9%86%d8%a8%d8%b1%da%af/
https://motamem.org/%da%a9%d8%aa%d8%a7%d8%a8-%d8%a7%d8%b1%d8%aa%d8%a8%d8%a7%d8%b7-%d8%a8%d8%af%d9%88%d9%86-%d8%ae%d8%b4%d9%88%d9%86%d8%aa-%d9%85%d8%a7%d8%b1%d8%b4%d8%a7%d9%84-%d8%b1%d9%88%d8%b2%d9%86%d8%a8%d8%b1%da%af/