👆👆نظر سنز در مورد نحوه کشف BITS در ترافیک های سازمان

با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند
🚨Microsoft BITS/x.x

@roozbeh_learning
www.roozbeh.academy

جزییات در لینک زیر :

https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281/

رول اسنورت برای کشف ترافیک های BITS

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (sid:xxx; gid:1; flow:established,to_server; content:" Microsoft BITS "; http_header; fast_pattern:only; pcre:"/^User\x2dAgent\x3a\x20[^\r\n]* Microsoft BITS/Hm"; metadata:service http; msg:"BLACKLIST User-Agent known malicious user-agent string Microsoft BITS/x.x "; classtype:network exfil; rev:1; )


@roozbeh_learning
www.roozbeh.academy

پیرو بحث امشب در خصوص ‌BITS

اگر بد افزاری را پاک کردید دنبال جاب های BITS باشید

@roozbeh_learning
www.roozbeh.academy

https://www.infoworld.com/article/3080544/check-your-bits-because-deleting-malware-might-not-be-enough.html

دستوراتی بدخواهانه برای سوء استفاده از BITS

❇️کامند لاین
bitsadmin.exe /transfer /Download /priority Foreground https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md %TEMP%\bitsadmin_flag.ps1

✳️پاورشل

Start-BitsTransfer -Priority foreground -Source https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md -Destination $env:TEMP\AtomicRedTeam\bitsadmin_flag.ps1

@roozbeh_learning
www.roozbeh.academy
کشف این نوع حملات در مقیاس سازمانی نیاز به EDRو SIEMدارد

🦅هانتینگ ( Hunting) در خصوص BITS
به کمک الستیک

اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود

@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy

https://medium.com/@threathuntingteam/background-intelligent-transfer-protocol-ab81cd900aa7

برای ایده گرفتن :
استفاده از ابزار RSA بنام NetWitness
برای شکار آپلود و دانلود BITS

@roozbeh_learning
📚آکادمی آموزش روزبه
www.roozbeh.academy

✳️پنج نشانه یا Artifact از شار و جریان BITS در شبکه شما
وجود
📍 HEAD

📍 User Agent:Microsoft BITS

📍GET (special)

📍BITS_POST

📍BITS-Packet-Type

https://community.rsa.com/community/products/netwitness/blog/2017/03/20/identifying-bits-uploads-and-downloads

حال که ایده هایی در مورد عملکرد و سوء استفاده از BITS را مشاهده کردید ، مقاله جامع سنز را در این خصوص مطالعه فرمایید

@roozbeh_learning
www.roozbeh.academy

نگاه Offensive به BITS در مقاله زیر :
@roozbeh_learning
www.roozbeh.academy

انتقال داده ها در هنگام تست نفوذ

https://dshield.org/forums/diary/Data+Exfiltration+in+Penetration+Tests/24354/

یک روش دیگر روش کشف انتقال داده یا فایل از طریق BITS

فعال سازی لاگ پاورشل
و رهگیری مقدار زیر
BITSTransfer – Logs use of BITS cmdlets.

@roozbeh_learning
www.roozbeh.academy

👆👆و پایان بررسی نفوذ از طریق BITS Jobs و روشهای کشف و مقابله
برای البته فعلا🙋‍♂

آکادمی امنیت اطلاعات روزبه شب خوشی را برای شما آرزومند است 🌹

بررسی آلوده سازی گوشی های افراد مهم دولتی در ۲۰ کشور از طریق آسیب پذیری واتس اپ، توسط یک شرکت اسرائیلی و پرونده تشکیل شده در این خصوص؛ این بار از نگاه فوربس
@roozbeh_learning
www.roozbehgroup.com


https://www-forbes-com.cdn.ampproject.org/c/s/www.forbes.com/sites/krisholt/2019/10/31/hackers-reportedly-targeted-government-officials-with-whatsapp-malware/amp/

ترکیب AMP و خروجی اسکن آسیب پذیری ( برای مثال NESSUS) با ISE :
Threat-Centric NAC

راهکاری بسیار مفید برای ارتقای توانمندی SOC
@roozbeh_learning

https://m.youtube.com/watch?v=_vhl4rXdPeE

معرفی کتاب

ارتباط بدون خشونت
زبان زندگی

@roozbeh_learning
www.roozbeh.academy

معرفی کتاب ارتباط بدون خشونت (نوشته مارشال روزنبرگ) - متمم
https://motamem.org/%da%a9%d8%aa%d8%a7%d8%a8-%d8%a7%d8%b1%d8%aa%d8%a8%d8%a7%d8%b7-%d8%a8%d8%af%d9%88%d9%86-%d8%ae%d8%b4%d9%88%d9%86%d8%aa-%d9%85%d8%a7%d8%b1%d8%b4%d8%a7%d9%84-%d8%b1%d9%88%d8%b2%d9%86%d8%a8%d8%b1%da%af/

🔴هشدار
تعیین هویت در واتس اپ از طریق اثر انگشت اجرایی شده است .

این امر میتواند منجر به پروفایل سازی و شناسایی افراد خاص گردد لذا اطلاع رسانی شود که درصورت وجود دغدعه ، از این روش در واتس اپ استفاده نگردد
.
📌شایان ذکر است اینستاگرام و واتس اپ برای فیس بوک هستند: چه ترکیب جالبی !🤔🤨
@roozbeh_learning 👈🏼
www.roozbehgroup.com

آکادمی امنیت اطلاعات روزبه

تلفن مدیریت آموزش 02188990626
واتس اپ 09902857289
@roozbeh_learning
www.roozbeh.academy
آدرس: خ ولیعصر بالاتر از فاطمی ، بوعلی سینای شرقی پ ۲۵

یک اسنیف خوب👌 ( شنود) میخوای انجام بدی ، آزمایشگاه کاملش رو با کمک لینک زیر راه بنداز

@roozbeh_learning
www.roozbeh.academy

https://www.hackingarticles.in/comprehensive-guide-on-sniffing/

⁉️👆به کدام سوی میرویم ؟ جامعه ای جنگ طلب یا هیجان خواه !

نسل های مختلف ما که به دهه های مختلف از آنها نام برده میشود ( دهه شصتی ها، دهه هفتادی ها و...) هر کدام بواسطه عصری که در آن قرار داشته اند از مواردی محروم بوده و یا از مواردی برخوردار .

به نظر، جو کلی جامعه کنونی جنگ طلب نیست و خسته از جنگ است حتا به قیمت قربانی شدن حقیقت! این نکته در لایک های اینستا و لینکدین و نظرات رو در رو که تفکیک مخاطب و ایجاد گفتمان کامل میسر است میتوان دید .

پس میتوان دو علت بر تقاضای جنگ ( نتیجه این همه پرسی) درک کرد
۱- علاقمندان پروپاقرص آکادمی که عموما طیف جوان هستند و اغلب در کلاسهای آکادمی یا همایش ها حضور داشته اند نیاز به بیان دفاع و زدن حرفشان به افراد مد نطر از زبان آکادمی دارند .

۲- طیف هیجان طلب که در گستره زیادی از جامعه کنونی ما وجود دارد همانها که برای مثال از هیجان نگاه به تصادفی نمیگذرند ! لذا ترافیکی درست میکنند که مردم دیگر ساعتها لنگ هیحان ایشان میمانند
@roozbeh_learning
www.roozbeh.academy
👇👇

👆👆حال ما ( اکادمی روزبه) چه میکنیم ؟

برای علاقمندان میگوییم : ایجاد جامعه ای فارق از کاستی ها و ناحقی ها و نکاتی که باعث این هجمه ها به اکادمی میباشد زمان میطلبد و خون جگر .
آخرین مورد که جناب نصیری هستند اعتراض ما به تبدیل دوره ۴۰ ساعته سنز به ۳ ساعت در سایت توسینسو بود که اینهمه قیل و قال به راه انداخت . همانطور که در مقاله ای چند روز پیش گفتیم و مواردی را برشمردیم ، اصلاح چند مورد مشکل دار در حوزه اموزش و مشاوره امنیت کشور برای ما هزینه زیادی داشته است اما از انطرف وقتی نتیجه موفقیت که همان اصلاح رفتار و عملکرد است را میبینی، تمام خستگی از تن بدر میرود😊 . لذا این راه یعنی اصلاح، زمانبر و هزینه بر است . کژی ها را بایستی از بین برد تا این مُلک سامان گیرد . باید بدانیم ورود به بازی ای که فرد متخلف طراحی کرده است هم انرژی را به هدر میدهد هم به نوعی رفتارش را توجیه میکند . خطای فرد متخلف را متذکر شدیم و لازم باشد باز هم خطای متخلفان را متذکر میشویم ولی از فرسودن خود در بحث های بی پایه ، انگ زنانه و خارج‌از اخلاق را در شان خود نمیبینیم . تحمل، یکی از داشته های غنی بشریت است . همان صبر که سنگ را سوراخ میکند . ولی این بدان معنا نیست که طرف مقابل هر کاری دلش خواست بکند . چهارچوبی برایش درنظر گرفته و خارج از آن در حوزه مقدورات جامعه برخورد خواهیم کرد.

برای هیجان طلبان محترم گوییم : هیجان لازمه زندگی است . شاید دوستان کنار گود در این منازعه که هر از چند گاهی بنرینی بر این اتش میریزند برخی هیجان طلب هستند و هیچ نیت دیگری ندارند( اما بله برخی نیت های مشخصی دارند که واضح است) اما جای تخلیه هیجان اینجا نیست . کوهنوردی ، صخره نوردی ، شنا ، چالش های بزرگ زندگی و ... مواردی هستند که میطلبد هیجان این نسل های ما در آنجا تخلیه شود .
اخلاق نباید وسیله حل کردن مشکلات هیجانی ما گردد.
هدف ما در این کانال توسعه اخلاق فردی و جمعی است پس اگر در راه انتقام و یا تخلیه هیجان رفتیم ،باید پارامتر اخلاق درنظر گرفته شود . دامی که طرف مقابل در آن افتاده: عصبانیت، هیجان و شروع به بی اخلاقی .
اصولا باید توانی باشد که با سایر متخلفین هم‌برخورد کرد که آرام ارام در سایه این تنازع ایجاد شده در حال آب تو شیر کردن و فروختن محصولات خود هستند. لذا باید انرژی را نگه داشت .
با راهی که این دو برادر در نظرگرفته اند میتوان دید که کمی با فرمان ایشان جلو برویم ذبح اخلاق را نظاره گر خواهیم بود . حرکت در حاشیه هایی را خواهیم دید که در شان اکادمی روزبه و اهداف ان نیست . اگر ما قادر به خیلی از کار ها باشیم نباید انها را در هر پیکاری بکار بندیم . تفاوت چهارچوب جامعه انسانی و حیوانی همین است . لذا ما از بدویت به تمدن و اخلاق پناه میبریم .
@roozbeh_learning
www.roozbeh.academy
در نهایت جمع بندی عملیاتی ما در مقابل این دو فرد و سایر بدخواهان، تَرنُمات دوست عریزمان است که چه خوش با نظر ما همراه است 👇👇

1⃣
@roozbeh_learning
از خداوند جوییم توفیق ادب و خدمت 🇮🇷
www.roozbeh.academy

2⃣

@roozbeh_learning
از خداوند جوییم توفیق ادب و خدمت 🇮🇷
www.roozbeh.academy
🌹منتظر پیشرفت ها و خبر های خوش از سوی ما باشید