#Endpoint Detection and Response (EDR) Solutions
سلوشن های EDR از این حیص که در جبهه مقابل RedTeamer ها هستند برای ما اهمیت ویژه ای دارند,یکی از ویژگی های #EDR ها اینه که با استفاده از هوش مصنوعی عمل و رهگیری میکنند,و بعد ReAction پایلود هارا Response گرفته و در نهایت دسترسی را شکار میکنند,

این پروسه ذکر شده رو در دمو های پست مشاهده میکنید, حال جنگی میان RedTeamer با کمپانی های فعال در حوزه #EDR ها همواره وجود داره که اتفاقا تیم های دولتی ایرانی هم هنرمندی خواصی در دور زدن این سلوشن ها دارند, نکته دیگری که میتوان به آن اشاره کرد این است که شما با استفاده از #EDR ها قدرت #Forensic هم خواهید داشت و به گونه ای شبه به SIEM ها عمل خواهند کرد,

شرکت های خارجی بسیار در این حوزه فعال هستند و نتایج خوبی رو هم از حیص درآمدی کسب کرده اند, این موضوع در حالی اتفاق می افتد که شرکت های ایرانی اکثرا درگیر با دایره خدماتی iSMS بوده و نیت جدی برای تولید محصولات این چنینی ندارند, البته مبانی اطلاعاتی اولیه این چنین تولیدات نرم افزاری مستلزم آن است که ماتریکس هایی مانند MITRE ATT&CK را بصورت کامل و جامعه درک شود.

@Unk9vvN
#SilkETW #Forensic and #Incident_Response on #ETW
آیا تا به حال در خصوص پتانسیل Event Tracing Windows برای شناسایی پیلودها یا Post Exploitation ها چیزی شنیده اید؟ ETW یک ردیاب رویدادها در سطح کرنل هستش که تمامی رخداد های یک برنامه رو ثبت و به عنوان Log ذخیره میکنه, این بدین معنیه که ما یک Real-Time Logger در اختیار داریم که میتونه در مبحث رهگیری لحظه ای دسترسی ها و پسا دسترسی ها به کمک یک BlueTeamer بیاد,

اما چطور میشود همچین استفاده ای از ETW داشت؟! تیم FuzzySecurity به سفارش شرکت FireEye یک ابزار در خصوص پالایش بر مبنای ETW طراحی نموده که بصورت عمومی در اختیار کاربران قرار گرفته است, نام این محصول SilkETW هستش, که در سال 2019 در کنفرانس بلکهت آمریکا ازش رو نمایی شد,

از ویژگی های این محصول میتوان به سازگاری اون با Signature های گرفته شده از Yara اشاره کرد که همونطور که در تصویر پست میبینید تونسته با استفاده از Signature مربوط به ابزار Seatbelt که یک PostEXP جامع برای RedTeamer هاست, اون رو شناسایی و بصورت Real-Time رهگیری کنه, برای اطلاعات بیشتر میتونید به این مقاله مراجعه کنید.

Demo 1
Demo 2
@Unk9vvN