#Indicators of #Attack vs #Indicators of #Compromise
تفاوت شاخصه های شناخت یک حمله با شاخصه های خود حمله در این است که همواره تیم های قرمز میتوانستند بواسطه آسیب پذیری های روز صفر بسیاری از مکانیزم های دفاعی را دور بزنند،
چرا که از پتانسیل های آن نرم افزار دارای آسیب پذیر استفاده کرده و shellcode خود را که بصورت مبهم شده وارد حافظه شده، اجرا شده و ایجاد دسترسی را حاصل نماید،
در این نوع حمله مهاجم کافی بود که فقط بر قسمت مبهم سازی سطح باینری اکسپلویت خود کار کند و در صورت پیاده سازی تکنیک های مناسب مانند Metamorphic میتوانست با درصد بسیار بالاتری حمله را انجام دهد،
در موارد ساده تری مانند آسیب پذیری های EternalBlue فاش شده از NSA دیدیم که یک باج افزار توانست به بسیاری از سرور ها با مکانیزم های مختلف نفوذ کرده و مقادیر خود را اعلام نماید،
شاخصه حمله یا Indicator of Attack دقیقا به همین موضوع پرداخته و تمرکز خود را بر روی شکار آسیب پذیری های روز صفر می نماید که یکی از موفق ترین محصولات این حوزه محصول Exploit Protection شرکت FireEye بوده است.
https://t.me/Unk9vvN/1200
@Unk9vvN
تفاوت شاخصه های شناخت یک حمله با شاخصه های خود حمله در این است که همواره تیم های قرمز میتوانستند بواسطه آسیب پذیری های روز صفر بسیاری از مکانیزم های دفاعی را دور بزنند،
چرا که از پتانسیل های آن نرم افزار دارای آسیب پذیر استفاده کرده و shellcode خود را که بصورت مبهم شده وارد حافظه شده، اجرا شده و ایجاد دسترسی را حاصل نماید،
در این نوع حمله مهاجم کافی بود که فقط بر قسمت مبهم سازی سطح باینری اکسپلویت خود کار کند و در صورت پیاده سازی تکنیک های مناسب مانند Metamorphic میتوانست با درصد بسیار بالاتری حمله را انجام دهد،
در موارد ساده تری مانند آسیب پذیری های EternalBlue فاش شده از NSA دیدیم که یک باج افزار توانست به بسیاری از سرور ها با مکانیزم های مختلف نفوذ کرده و مقادیر خود را اعلام نماید،
شاخصه حمله یا Indicator of Attack دقیقا به همین موضوع پرداخته و تمرکز خود را بر روی شکار آسیب پذیری های روز صفر می نماید که یکی از موفق ترین محصولات این حوزه محصول Exploit Protection شرکت FireEye بوده است.
https://t.me/Unk9vvN/1200
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Attack on #Windows Defender #ETW #Sessions
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
#MITRE_Engenuity #Attack_Flow
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.
این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.
این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.
این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:
Iranian APT exploited Log4Shell and deployed XMRig crypto mining software
A financial crime involving the SWIFT banking network
A breach at Uber by the Lapsus$ group
A Russian state-sponsored malware campaign targeting Ukraine
@Unk9vvN
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.
این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.
این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.
این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:
Iranian APT exploited Log4Shell and deployed XMRig crypto mining software
A financial crime involving the SWIFT banking network
A breach at Uber by the Lapsus$ group
A Russian state-sponsored malware campaign targeting Ukraine
@Unk9vvN