#Threat #Detection Solutions
چندی پیش با مدیر عامل شرکت امن پردازان کویر #APK جلسه ای داشتم, منباب همکاری که در نهایت توافقات مدنظر شکل نگرفت و موضوع کنسل شد,
موضوع مورد بحث این بود که ما نظر بر تولید محصول #Detection_Offensive داشتیم که بشه براش #Rule هایی نوشت و بصورت متن باز Signature سازی کرد از تحلیل ها و رصدهایی که خود محصول یا نیروی انسانی انجام میده,
این عزیزان فکر میکردن ما داریم حرف های قشنگ قشنگ میزنیم که بگیم خیلی خوبیم:) , تصویری که در پست میبینید دقیقا همین محصولی هست که ما بصورت تجربی به ایدش رسیده بودیم که میبینید Stage های ایرانی رو هم شناسایی کرده و #Rule اون هم نصب شده برای Solution به نام #THOR که یک #APT_SCANNER هستش,
در هر صورت یکی از استانداردهای اصلی مرکز کنترل امنیت اینه که محصول طراحی شده برای شرکت پای قرارداد باشه نه محصولاتی مثل SIEM->Splunk و غیره که بومی نیستند, مورد بعدی همین محصولات هم کفایت بحث #Detect یا #Hunting حملات نخواهد بود.
https://valhalla.nextron-systems.com/
@Unk9vvN
چندی پیش با مدیر عامل شرکت امن پردازان کویر #APK جلسه ای داشتم, منباب همکاری که در نهایت توافقات مدنظر شکل نگرفت و موضوع کنسل شد,
موضوع مورد بحث این بود که ما نظر بر تولید محصول #Detection_Offensive داشتیم که بشه براش #Rule هایی نوشت و بصورت متن باز Signature سازی کرد از تحلیل ها و رصدهایی که خود محصول یا نیروی انسانی انجام میده,
این عزیزان فکر میکردن ما داریم حرف های قشنگ قشنگ میزنیم که بگیم خیلی خوبیم:) , تصویری که در پست میبینید دقیقا همین محصولی هست که ما بصورت تجربی به ایدش رسیده بودیم که میبینید Stage های ایرانی رو هم شناسایی کرده و #Rule اون هم نصب شده برای Solution به نام #THOR که یک #APT_SCANNER هستش,
در هر صورت یکی از استانداردهای اصلی مرکز کنترل امنیت اینه که محصول طراحی شده برای شرکت پای قرارداد باشه نه محصولاتی مثل SIEM->Splunk و غیره که بومی نیستند, مورد بعدی همین محصولات هم کفایت بحث #Detect یا #Hunting حملات نخواهد بود.
https://valhalla.nextron-systems.com/
@Unk9vvN
#ArvanCloud #WAF Bypass
به نظر میرسه سرویس ابری #ArvanCloud فایروال مناسبی در خصوص شناسایی پیلودهای حتی ساده مانند آسیب پذیری #Cross_Site_Scripting را هم رصد نداره, البته سرویس ابرآروان پلن های مختلفی در خصوص سرویس دهی خودش داره که امکان داره در پلن های سطح بالا مکانیزم های #Detection بهتری رو در اختیار مشتریان خودش قرار بده, در هر صوت فعلا با ساده ترین #Obfuscation های پایلودهای جاوا اسکریپتی دور زده شده....!
https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet
@Unk9vvN
به نظر میرسه سرویس ابری #ArvanCloud فایروال مناسبی در خصوص شناسایی پیلودهای حتی ساده مانند آسیب پذیری #Cross_Site_Scripting را هم رصد نداره, البته سرویس ابرآروان پلن های مختلفی در خصوص سرویس دهی خودش داره که امکان داره در پلن های سطح بالا مکانیزم های #Detection بهتری رو در اختیار مشتریان خودش قرار بده, در هر صوت فعلا با ساده ترین #Obfuscation های پایلودهای جاوا اسکریپتی دور زده شده....!
https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#HX #Exploit #Detection for #Endpoints
در سال ۲۰۱۶ شرکت #FireEye از محصولی با نام Helix Security که علاوه بر EndPoint Detection بودنش یک ویژگی منحصر به فردی دیگری هم داشت که در این دمو در آن خصوص توضیحاتی را بیان میکند,
اگر بطور خلاصه بخواهیم به آن بپردازیم, میتوان اینطور شرح داد که این شرکت نه تنها بر Stage های طراحی شده در زبان های سطح بالا بر روی فایل فرمت های Portable Execution بلکه بر روی Shellcode هایی که بر بستر یک Vulnerability میتونه به قربانی ارسال بشه هم رهگیری خواهد شد, یعنی اگر یک هکر بر روی مثلا یک پروتکل یک آسیب پذیری 0day کشف کرده باشه و یک Gadget در خصوص دور زدن مکانیزم های Mitigation در مقابل آسیب پذیری رو بخواد پیاده کنه از همین تکنیک ها میتوان او را ردیابی کرد,
پس با این شرایط بظر میاد یک چالشی دیگر در خصوص پایلود کردن یک آسیب پذیری به تمامی چالش های این موضوع هم اضافه خواهد شد, نظریه اولیه در خصوص دور زدن این Exploit Guard میتونه این باشه که روش هایی که برای دور زدن Mitigation ها استفاده میشه هم میبایست Publish نباشه و ...
Helix
@Unk9vvN
در سال ۲۰۱۶ شرکت #FireEye از محصولی با نام Helix Security که علاوه بر EndPoint Detection بودنش یک ویژگی منحصر به فردی دیگری هم داشت که در این دمو در آن خصوص توضیحاتی را بیان میکند,
اگر بطور خلاصه بخواهیم به آن بپردازیم, میتوان اینطور شرح داد که این شرکت نه تنها بر Stage های طراحی شده در زبان های سطح بالا بر روی فایل فرمت های Portable Execution بلکه بر روی Shellcode هایی که بر بستر یک Vulnerability میتونه به قربانی ارسال بشه هم رهگیری خواهد شد, یعنی اگر یک هکر بر روی مثلا یک پروتکل یک آسیب پذیری 0day کشف کرده باشه و یک Gadget در خصوص دور زدن مکانیزم های Mitigation در مقابل آسیب پذیری رو بخواد پیاده کنه از همین تکنیک ها میتوان او را ردیابی کرد,
پس با این شرایط بظر میاد یک چالشی دیگر در خصوص پایلود کردن یک آسیب پذیری به تمامی چالش های این موضوع هم اضافه خواهد شد, نظریه اولیه در خصوص دور زدن این Exploit Guard میتونه این باشه که روش هایی که برای دور زدن Mitigation ها استفاده میشه هم میبایست Publish نباشه و ...
Helix
@Unk9vvN
#Detection Categories Leadership
در سال ۲۰۱۹ یک Emulation از حمله APT29 روسیه ترسیم شد برای رتبه بندی Endpoint Security های بنام دنیا, که این ارزیابی دارای ۵ بخش بود که من به ترتیب اسم برده و Summary میکنم,
Telemetry
نحوه عملکرد دیوایس ها بر روی دستوراتی که اجرا و لاگ شده است...
MSSP
بررسی مکانیزم Managed Security Service Provider که در نحوه مانیتورینگ و آنالیز چقدر احاطه بر فضاها دارا است و با چه کیفیتی دیتا از آنالیز خود در اختیار نمایش میدهد
General
بررسی همواره پروسه ها برای رهگیری رفتار های مشکوک و مخرب,
Tactic
بررسی احاطه محصول در خصوص تکنیک های ارائه شده از سوی ATT&CK که مستند و عمومی شده است
Technique
رهگیری تکنیک هایی که مامور جمع آوری اطلاعات حساس هستند با استفاده از تکنیک های نوین که #EDR ها میبایست به دقت تشخیص دهند,
اما در تمامی این پلن ها همونطور که میبینید #FireEye جایگاه نخستین را دارد, این در حالیست که شرکت های ایرانی آنقدر از فضای روز دنیا عقب هستند که هنوز جایگاه تیم های قرمز و آبی رو هم درک نکرده اند, شرکت های ایرانی ۱۰ سال از دنیا عقب هستند معمولا...
Results
@Unk9vvN
در سال ۲۰۱۹ یک Emulation از حمله APT29 روسیه ترسیم شد برای رتبه بندی Endpoint Security های بنام دنیا, که این ارزیابی دارای ۵ بخش بود که من به ترتیب اسم برده و Summary میکنم,
Telemetry
نحوه عملکرد دیوایس ها بر روی دستوراتی که اجرا و لاگ شده است...
MSSP
بررسی مکانیزم Managed Security Service Provider که در نحوه مانیتورینگ و آنالیز چقدر احاطه بر فضاها دارا است و با چه کیفیتی دیتا از آنالیز خود در اختیار نمایش میدهد
General
بررسی همواره پروسه ها برای رهگیری رفتار های مشکوک و مخرب,
Tactic
بررسی احاطه محصول در خصوص تکنیک های ارائه شده از سوی ATT&CK که مستند و عمومی شده است
Technique
رهگیری تکنیک هایی که مامور جمع آوری اطلاعات حساس هستند با استفاده از تکنیک های نوین که #EDR ها میبایست به دقت تشخیص دهند,
اما در تمامی این پلن ها همونطور که میبینید #FireEye جایگاه نخستین را دارد, این در حالیست که شرکت های ایرانی آنقدر از فضای روز دنیا عقب هستند که هنوز جایگاه تیم های قرمز و آبی رو هم درک نکرده اند, شرکت های ایرانی ۱۰ سال از دنیا عقب هستند معمولا...
Results
@Unk9vvN
#GFW #Detection #Rules
در مقاله اخیر در کنفرانس USENIX تحلیل و بررسی انجام شده بر روی نحوه عملکرد دیواره آتش چین که به آن #GFW گفته میشود.
اولین نکته اشاره به پنج Rule برای تشخیص اکتشافی است که مبتنی بر تحلیل بایت های اولیه ارتباط TCP بخش Payload پروتکل است.
بر اساس این تحقیقات اگر شش بایت اول پکت های TCP بصورت تصادفی و از نوع Printable تولید شود، پکت عبور داده خواهد شد، اما اگر این شش بایت اول دارای کاراکتر محدوده
اما جالب است که GFW برای برخی پروتکل های عمومی معافیت هایی در نظر میگیرد، بطور مثال پروتکل TLS و HTTP در GFW دارای معافیت هستند و اگر سه بایت اول آنها مطابق با
اما کاوشگر GFW همواره علاوه بر نظارت بر پکت ها، بر روی IP سرور های مشکوک شروع به صحبت با Port های معروف میکند، به عنوان مثال اگر بر روی Port هایی مانند 443 یا 80 باشد، کاوشگر درخواست استفاده به عنوان Proxy میکند، و اگر سرور پاسخ دهد آن IP مسدود خواهد شد.
https://www.usenix.org/system/files/sec23fall-prepub-234-wu-mingshi.pdf
@Unk9vvN
در مقاله اخیر در کنفرانس USENIX تحلیل و بررسی انجام شده بر روی نحوه عملکرد دیواره آتش چین که به آن #GFW گفته میشود.
اولین نکته اشاره به پنج Rule برای تشخیص اکتشافی است که مبتنی بر تحلیل بایت های اولیه ارتباط TCP بخش Payload پروتکل است.
بر اساس این تحقیقات اگر شش بایت اول پکت های TCP بصورت تصادفی و از نوع Printable تولید شود، پکت عبور داده خواهد شد، اما اگر این شش بایت اول دارای کاراکتر محدوده
[0x20,0x7e] باشد، پکت مسدود خواهد شد.اما جالب است که GFW برای برخی پروتکل های عمومی معافیت هایی در نظر میگیرد، بطور مثال پروتکل TLS و HTTP در GFW دارای معافیت هستند و اگر سه بایت اول آنها مطابق با
[\x16-\x17]\x03[\x00-\x09] باشد، ترافیک مجاز به عبور خواهد بود.اما کاوشگر GFW همواره علاوه بر نظارت بر پکت ها، بر روی IP سرور های مشکوک شروع به صحبت با Port های معروف میکند، به عنوان مثال اگر بر روی Port هایی مانند 443 یا 80 باشد، کاوشگر درخواست استفاده به عنوان Proxy میکند، و اگر سرور پاسخ دهد آن IP مسدود خواهد شد.
https://www.usenix.org/system/files/sec23fall-prepub-234-wu-mingshi.pdf
@Unk9vvN