#Threat #Detection Solutions
چندی پیش با مدیر عامل شرکت امن پردازان کویر #APK جلسه ای داشتم, منباب همکاری که در نهایت توافقات مدنظر شکل نگرفت و موضوع کنسل شد,
موضوع مورد بحث این بود که ما نظر بر تولید محصول #Detection_Offensive داشتیم که بشه براش #Rule هایی نوشت و بصورت متن باز Signature سازی کرد از تحلیل ها و رصدهایی که خود محصول یا نیروی انسانی انجام میده,
این عزیزان فکر میکردن ما داریم حرف های قشنگ قشنگ میزنیم که بگیم خیلی خوبیم:) , تصویری که در پست میبینید دقیقا همین محصولی هست که ما بصورت تجربی به ایدش رسیده بودیم که میبینید Stage های ایرانی رو هم شناسایی کرده و #Rule اون هم نصب شده برای Solution به نام #THOR که یک #APT_SCANNER هستش,
در هر صورت یکی از استانداردهای اصلی مرکز کنترل امنیت اینه که محصول طراحی شده برای شرکت پای قرارداد باشه نه محصولاتی مثل SIEM->Splunk و غیره که بومی نیستند, مورد بعدی همین محصولات هم کفایت بحث #Detect یا #Hunting حملات نخواهد بود.
https://valhalla.nextron-systems.com/
@Unk9vvN
چندی پیش با مدیر عامل شرکت امن پردازان کویر #APK جلسه ای داشتم, منباب همکاری که در نهایت توافقات مدنظر شکل نگرفت و موضوع کنسل شد,
موضوع مورد بحث این بود که ما نظر بر تولید محصول #Detection_Offensive داشتیم که بشه براش #Rule هایی نوشت و بصورت متن باز Signature سازی کرد از تحلیل ها و رصدهایی که خود محصول یا نیروی انسانی انجام میده,
این عزیزان فکر میکردن ما داریم حرف های قشنگ قشنگ میزنیم که بگیم خیلی خوبیم:) , تصویری که در پست میبینید دقیقا همین محصولی هست که ما بصورت تجربی به ایدش رسیده بودیم که میبینید Stage های ایرانی رو هم شناسایی کرده و #Rule اون هم نصب شده برای Solution به نام #THOR که یک #APT_SCANNER هستش,
در هر صورت یکی از استانداردهای اصلی مرکز کنترل امنیت اینه که محصول طراحی شده برای شرکت پای قرارداد باشه نه محصولاتی مثل SIEM->Splunk و غیره که بومی نیستند, مورد بعدی همین محصولات هم کفایت بحث #Detect یا #Hunting حملات نخواهد بود.
https://valhalla.nextron-systems.com/
@Unk9vvN
#Cyber #Threat #Intelligence (CTI)
معماری یکپارچه دفاع سایبری که بواسطه CTI یا Cyber Threat Intelligence اتفاق می افتد میتواند تمامی سازمان های زیر مجموعه خدماتی ما را بصورت هم بسته بروز رسانی به شاخص های حمله یا IOCs کرد و بدین ترتیب یک دفاع جامع اتفاق می افتد، همچنین طراحی نقشه TTPs ها یا Tactics, Techniques, and Procedures را میبایست طراحی نموده و رفتار کامل حمله رخداده را ترسیم نمایند.
تیم آبی به تنهایی نمیتوانند در مقابل حملات پیشرفته (APT) عملکرد کاملی را از خود نشان دهند، به همین منظور در مهندسی مرکز کنترل امنیت همواره از متخصصین تیم بنفش استفاده می شود تا در کنار کنترل و محافظت به واسطه مکانیزم های دفاعی سازمانی، همواره یک تیم متخصص در سطح تیم های قرمز فرامین و کنش های سیستمی را کنترل و پایش کنند و با نگاه تکنیکی به کنش ها و ترافیک های در حال تردد اشراف داشته باشد.
@Unk9vvN
معماری یکپارچه دفاع سایبری که بواسطه CTI یا Cyber Threat Intelligence اتفاق می افتد میتواند تمامی سازمان های زیر مجموعه خدماتی ما را بصورت هم بسته بروز رسانی به شاخص های حمله یا IOCs کرد و بدین ترتیب یک دفاع جامع اتفاق می افتد، همچنین طراحی نقشه TTPs ها یا Tactics, Techniques, and Procedures را میبایست طراحی نموده و رفتار کامل حمله رخداده را ترسیم نمایند.
تیم آبی به تنهایی نمیتوانند در مقابل حملات پیشرفته (APT) عملکرد کاملی را از خود نشان دهند، به همین منظور در مهندسی مرکز کنترل امنیت همواره از متخصصین تیم بنفش استفاده می شود تا در کنار کنترل و محافظت به واسطه مکانیزم های دفاعی سازمانی، همواره یک تیم متخصص در سطح تیم های قرمز فرامین و کنش های سیستمی را کنترل و پایش کنند و با نگاه تکنیکی به کنش ها و ترافیک های در حال تردد اشراف داشته باشد.
@Unk9vvN
#Threat_Hunting #BLUESPAWN
در سالهای اخیر فعالیت های زیادی در خصوص رهگیری و شکار حملات سطح پیشرفته یا #APT انجام شده که پاشنه آشیل تمامی آنها رفتارشناسی حمله هستش که به اختصار به آن #TTPs گفته میشه،
یکی از روش هایی که تیم های آبی برای نا کارآمد کردن تکنیک ها و تاکتیک های مورد استفاده قرار گرفته شده ای تیم های APT این هستش که آن تکنیک مستند شده و الگو رفتاری اون بر مبنای حالا اگر COM Object یا بر مبنای Memory ، شناسایی و اصطلاحا شکار بشه،
در این خصوص ابزار هایی طراحی میشه که این TTP ها را بواسطه مستندات MITRE ATT&CK دریافت کرده و مخازن لاگ و پروسس های فعال و وضعیت پیکربندی سیستم عامل ، اسکن کرده و وضعیت سیستم عامل رو به شما اعلام خواهد کرد،
این روش در خصوص ایجاد TTP های اختصاصی از حملات رخداده شده در یک سازمان میتواند بسیار کار آمد باشد چرا که سریعا بدون نیاز به نرم افزار های حجیم و پر درد سر، حمله رو در سیستم ها و شبکه های دیگر سازمان پیدا و مشخص نمود.
در تصویر اول پالایش اتفاق افتاده در تصویر دوم ایرادات پیکربندی که وجود داره رو Audit کرده...
https://github.com/ION28/BLUESPAWN
@Unk9vvN
در سالهای اخیر فعالیت های زیادی در خصوص رهگیری و شکار حملات سطح پیشرفته یا #APT انجام شده که پاشنه آشیل تمامی آنها رفتارشناسی حمله هستش که به اختصار به آن #TTPs گفته میشه،
یکی از روش هایی که تیم های آبی برای نا کارآمد کردن تکنیک ها و تاکتیک های مورد استفاده قرار گرفته شده ای تیم های APT این هستش که آن تکنیک مستند شده و الگو رفتاری اون بر مبنای حالا اگر COM Object یا بر مبنای Memory ، شناسایی و اصطلاحا شکار بشه،
در این خصوص ابزار هایی طراحی میشه که این TTP ها را بواسطه مستندات MITRE ATT&CK دریافت کرده و مخازن لاگ و پروسس های فعال و وضعیت پیکربندی سیستم عامل ، اسکن کرده و وضعیت سیستم عامل رو به شما اعلام خواهد کرد،
این روش در خصوص ایجاد TTP های اختصاصی از حملات رخداده شده در یک سازمان میتواند بسیار کار آمد باشد چرا که سریعا بدون نیاز به نرم افزار های حجیم و پر درد سر، حمله رو در سیستم ها و شبکه های دیگر سازمان پیدا و مشخص نمود.
در تصویر اول پالایش اتفاق افتاده در تصویر دوم ایرادات پیکربندی که وجود داره رو Audit کرده...
https://github.com/ION28/BLUESPAWN
@Unk9vvN
#Cyber #Threat #Intelligence
ساختار صحیح اطلاعات تهدیدات همواره مولفه های زیاده داره, از مدیریت آسیب پذیری ها و پیکربندی صحیح سرویس ها تحت نظر خواهد بود تا پایگاه لاگ ها و سرویس های تصدیق کننده داده ها,
در نتیجه اگر پازل صحیح مکانیزم های دفاعی کامل نباشه همواره میتونه موجب ضعف در شناسایی و جمع آوری تهدیدات در لحظه و گذشته بشه, از این روی استراتژی های خدمات های دفاعی همواره می بایست با بالاترین نگرش های علمی پیاده سازی بشه و از خلأ های جاری جلوگیری کنه,
یکی از خلأ های همواره موجود , نبود تیم های سطح بالای قرمز هستش, که بصورت فعال با بالاترین استاندارها بتونه عملکرد های بخش های دیگه رو به چالش بکشه, این امر در تقویت همبستگی مرکز کنترل امنیت بسیار مؤثر خواهد بود...
https://www.crowdstrike.com/epp-101/threat-intelligence/
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf
https://www.nsa.gov/portals/75/documents/what-we-do/cybersecurity/professional-resources/ctr-nsa-css-technical-cyber-threat-framework.pdf
@Unk9vvN
ساختار صحیح اطلاعات تهدیدات همواره مولفه های زیاده داره, از مدیریت آسیب پذیری ها و پیکربندی صحیح سرویس ها تحت نظر خواهد بود تا پایگاه لاگ ها و سرویس های تصدیق کننده داده ها,
در نتیجه اگر پازل صحیح مکانیزم های دفاعی کامل نباشه همواره میتونه موجب ضعف در شناسایی و جمع آوری تهدیدات در لحظه و گذشته بشه, از این روی استراتژی های خدمات های دفاعی همواره می بایست با بالاترین نگرش های علمی پیاده سازی بشه و از خلأ های جاری جلوگیری کنه,
یکی از خلأ های همواره موجود , نبود تیم های سطح بالای قرمز هستش, که بصورت فعال با بالاترین استاندارها بتونه عملکرد های بخش های دیگه رو به چالش بکشه, این امر در تقویت همبستگی مرکز کنترل امنیت بسیار مؤثر خواهد بود...
https://www.crowdstrike.com/epp-101/threat-intelligence/
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf
https://www.nsa.gov/portals/75/documents/what-we-do/cybersecurity/professional-resources/ctr-nsa-css-technical-cyber-threat-framework.pdf
@Unk9vvN
#Atomic #Threat #Coverage
ابزار Atomic Threat Coverage یک ابزار در راستای اجرای اتوماتیک رفتار های تهدید آمیز مبتنی بر MITRE ATT&CK که میتواند سیستم عامل را تحت تاثیر قرار دهد و همزمان با این شبیه سازی که برپایه ابزار Atomic Red Team انجام میشود،
بحث شناسایی و تشخیص تکنیک های شبیه سازی شده هم مبتنی بر ابزار Sigma که یک سیستم Signature Based هستش پیاده سازی میشود،
این ابزار به نوعی میتوان گفت به عنوان یک Purple Teaming عمل کرده و وظایف یک Red Teamer و یک Blue Teamer رو بصورت همزمان و مبتنی بر ابزار های متن باز پیاده سازی و عملیاتی میکند،
از ابزار atc-react در راستای Incident Response یا پاسخ به حادثه استفاده میکند و با استفاده از Visualisations یک داشبورد Threat Hunting رو برای ما به نمایش خواهد گذاشت.
https://github.com/atc-project/atomic-threat-coverage
@Unk9vvN
ابزار Atomic Threat Coverage یک ابزار در راستای اجرای اتوماتیک رفتار های تهدید آمیز مبتنی بر MITRE ATT&CK که میتواند سیستم عامل را تحت تاثیر قرار دهد و همزمان با این شبیه سازی که برپایه ابزار Atomic Red Team انجام میشود،
بحث شناسایی و تشخیص تکنیک های شبیه سازی شده هم مبتنی بر ابزار Sigma که یک سیستم Signature Based هستش پیاده سازی میشود،
این ابزار به نوعی میتوان گفت به عنوان یک Purple Teaming عمل کرده و وظایف یک Red Teamer و یک Blue Teamer رو بصورت همزمان و مبتنی بر ابزار های متن باز پیاده سازی و عملیاتی میکند،
از ابزار atc-react در راستای Incident Response یا پاسخ به حادثه استفاده میکند و با استفاده از Visualisations یک داشبورد Threat Hunting رو برای ما به نمایش خواهد گذاشت.
https://github.com/atc-project/atomic-threat-coverage
@Unk9vvN
#WinAPI #Threat_Hunting
یکی از مواردی که در بحث شکار تهدید میبایست ارزیابی و بررسی شود، مبحث استفاده ی از WinAPI سیستم عامل ویندوز میباشد،
در یک زنجیره حمله قالبا برای انجام ماموریت های بهره برداری یا ارتقاء سطح دسترسی و همچنین مواردی مانند ناشناس ماندن در مقابل مکانیزم های شناساسی کننده باشد.
در این خصوص یک وبسایت وجود داره به نام malapi.io که بسیاری از توابع API سیستم عامل، به شما نمایش میدهد و پتانسیل این توابع هم مطرح شده است که در کدام از مقطع یک حمله APT بکار گرفته شود.
برای مثال تابع GetModuleHandleW برای بکارگیری در فرآیند فراخوانی بارگیری شده باشد. این تابع اغلب همراه با GetProcAddress برای بازیابی پویا آدرس یک تابع برای اهداف فرار از شناسایی استفاده می شود.
malapi.io
@Unk9vvN
یکی از مواردی که در بحث شکار تهدید میبایست ارزیابی و بررسی شود، مبحث استفاده ی از WinAPI سیستم عامل ویندوز میباشد،
در یک زنجیره حمله قالبا برای انجام ماموریت های بهره برداری یا ارتقاء سطح دسترسی و همچنین مواردی مانند ناشناس ماندن در مقابل مکانیزم های شناساسی کننده باشد.
در این خصوص یک وبسایت وجود داره به نام malapi.io که بسیاری از توابع API سیستم عامل، به شما نمایش میدهد و پتانسیل این توابع هم مطرح شده است که در کدام از مقطع یک حمله APT بکار گرفته شود.
برای مثال تابع GetModuleHandleW برای بکارگیری در فرآیند فراخوانی بارگیری شده باشد. این تابع اغلب همراه با GetProcAddress برای بازیابی پویا آدرس یک تابع برای اهداف فرار از شناسایی استفاده می شود.
malapi.io
@Unk9vvN
#OpenCTI #Cyber #Threat #Intelligence
ابزار OpenCTI یک پلتفرم منبع باز است که به سازمان ها امکان میدهد تیم های شکار تهدید، اکتشافات خود را در قالب IoC های طراحی شده با یکی دیگر به اشتراک بگذارند. این به منظور ایمن سازی سریع تمامی سازمان های مشارکت کننده است.
هدف ایجاد یک ابزار جامع است که به کاربران اجازه میدهد تا از اطلاعات فنی مانند (TTP و IoC) و غیر... استفاده کنند و در عین حال هر قسمت از اطلاعات را به SOC اصلی خود مرتبط کنند مانند (MISP و غیره)،همچنین این ماتریس تکنیکی و تاکتیکی مبتنی بر چهارچوب MITRE ATT&CK هماهنگ خواهند بود.
ساختار داده ها با استفاده از فرم و استانداردهای STIX2 طراحی شده است. در این ابزار از تکنولوژی هایی از جمله GraphQL API و UX بهره برده شده است. همچنین OpenCTI را میتوان با ابزارها و برنامه های کاربردی دیگری مانند MISP، TheHive، MITRE ATT&CK و ... ادغام کرد.
https://github.com/OpenCTI-Platform/opencti
@Unk9vvN
ابزار OpenCTI یک پلتفرم منبع باز است که به سازمان ها امکان میدهد تیم های شکار تهدید، اکتشافات خود را در قالب IoC های طراحی شده با یکی دیگر به اشتراک بگذارند. این به منظور ایمن سازی سریع تمامی سازمان های مشارکت کننده است.
هدف ایجاد یک ابزار جامع است که به کاربران اجازه میدهد تا از اطلاعات فنی مانند (TTP و IoC) و غیر... استفاده کنند و در عین حال هر قسمت از اطلاعات را به SOC اصلی خود مرتبط کنند مانند (MISP و غیره)،همچنین این ماتریس تکنیکی و تاکتیکی مبتنی بر چهارچوب MITRE ATT&CK هماهنگ خواهند بود.
ساختار داده ها با استفاده از فرم و استانداردهای STIX2 طراحی شده است. در این ابزار از تکنولوژی هایی از جمله GraphQL API و UX بهره برده شده است. همچنین OpenCTI را میتوان با ابزارها و برنامه های کاربردی دیگری مانند MISP، TheHive، MITRE ATT&CK و ... ادغام کرد.
https://github.com/OpenCTI-Platform/opencti
@Unk9vvN
#Microsoft #Threat #Intelligence #Iranian #APTs
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
#SANS #Iranian #Threat #Actor
در جریان توییت آقای Bob Diachenko در خصوص افشای اطلاعات 46 میلیون حساب اینستاگرام، 1.2 میلیون حساب توییتر و 180 هزار حساب تلگرام ایرانی در دامنه ای با نام
خانوم Lina Lau ارائه ای رو در مجموعه SANS انجام میدهد که در آن اشاره میکند به گروه های فعال تهاجمی در ایران و در جریان افشاگری های مطرح شده در توییتر، مشخص شد یکی از تیم های سایبری منتصب به دستگاه اطلاعاتی ایرانی حریم خصوصی مردم را نقض و بر خلاف قوانین جمهوری اسلامی ایران، مبنی بر عدم جاسوسی از حریم خصوصی مردم، اقدام به شنود و ضبط اطلاعات حساب های شبکه های اجتماعی مردم کرده است.
اما در کنار این نقض قانون، در این مقاله مطرح میشود که حساب کاربری با نام
لازم دانستیم شفاف سازی کنیم که نام کاربری
@Unk9vvN
در جریان توییت آقای Bob Diachenko در خصوص افشای اطلاعات 46 میلیون حساب اینستاگرام، 1.2 میلیون حساب توییتر و 180 هزار حساب تلگرام ایرانی در دامنه ای با نام
secnerd.ir که بر روی آن پلتفرم Elasticsearch بصورت ناشیانه پیکربندی شده بود، لو رفته است.خانوم Lina Lau ارائه ای رو در مجموعه SANS انجام میدهد که در آن اشاره میکند به گروه های فعال تهاجمی در ایران و در جریان افشاگری های مطرح شده در توییتر، مشخص شد یکی از تیم های سایبری منتصب به دستگاه اطلاعاتی ایرانی حریم خصوصی مردم را نقض و بر خلاف قوانین جمهوری اسلامی ایران، مبنی بر عدم جاسوسی از حریم خصوصی مردم، اقدام به شنود و ضبط اطلاعات حساب های شبکه های اجتماعی مردم کرده است.
اما در کنار این نقض قانون، در این مقاله مطرح میشود که حساب کاربری با نام
Unkn19wn و ایمیل unk19wn@gmail.com در جریان یکی از عملیات های تهاجمی شرکتی با نام Najee و با مدیریت فردی با نام Mansour Ahmadi اقدام به فعالیت های سایبری کرده است.لازم دانستیم شفاف سازی کنیم که نام کاربری
Unkn19wn هیچ ربطی به این تیم تحقیقاتی ندارد.@Unk9vvN