ابزار MITRE CRITS: نمونه‌ای از تحلیل اطلاعات تهدید
ابزار CRITS مخفف عبارت Collaborative Research Into Threats است و یک ابزار متن‌باز است که توسط MITRE توسعه یافته و برای تحلیل اطلاعات تهدید طراحی شده است.

قابلیت‌های کلیدی CRITS شامل موارد زیر است: 1️⃣ جمع‌آوری و آرشیو آثار حملات (Artifacts):

جمع‌آوری شواهد حملات سایبری و نگهداری آن‌ها برای تحلیل.
2️⃣ ارتباط آثار با مراحل چرخه حمله سایبری:

شناسایی مرحله‌ای که یک Artifact در آن قرار دارد (مانند شناسایی اولیه، بهره‌برداری یا گسترش).
3️⃣ مهندسی معکوس بدافزار:

تحلیل بدافزارها برای شناسایی عملکرد و روش‌های آن‌ها.
4️⃣ ردیابی تأثیرات محیطی:

بررسی عواملی که ممکن است بر رفتار حمله یا آسیب‌پذیری تأثیر بگذارند.
5️⃣ اتصال داده‌ها برای شکل‌دهی دفاع و واکنش به حوادث:

ایجاد ارتباط میان داده‌های جمع‌آوری‌شده برای اولویت‌بندی دفاع و پاسخ به حملات.

Powershell module that can be used by Blue Teams, Incident Responders and System Administrators to hunt persistences implanted in Windows machines. Official Twitter/X account @PersistSniper. Made with ❤️ by @last0x00 and @dottor_morte

کنترل‌های امنیتی DNS و اهمیت آن در SOC 🌐

------------------------

اگر کنترل‌های امنیتی DNS برای کسب‌وکار شما اهمیت دارد و می‌خواهید امنیت شبکه خود را به سطح بالاتری ببرید، می‌توانید از ابزارهای قدرتمند PassiveDNS و pDNS در مرکز عملیات امنیتی (SOC) خود استفاده کنید. این ابزارها با مانیتورینگ و ذخیره تاریخچه ترجمه‌های DNS، به تحلیلگران امنیتی کمک می‌کنند تا تغییرات مشکوک و فعالیت‌های غیرعادی را شناسایی کرده و تهدیدات بالقوه را پیش از بروز حادثه ردیابی کنند.

PassiveDNS به شما اجازه می‌دهد که ترافیک DNS شبکه را مانیتور کنید و داده‌ها را برای تحلیل‌های عمیق‌تر ثبت کنید. در کنار آن، pDNS اطلاعات تاریخی ترجمه‌های DNS را ذخیره می‌کند و به تحلیلگران امکان بررسی تاریخچه دامنه‌ها و الگوهای مشکوک را می‌دهد.

🔒 در مرکز SOC که با استفاده از Elastic Security پیاده‌سازی کرده‌ایم، از این ابزارها به عنوان بخشی از رویکرد چندلایه امنیتی استفاده می‌شود تا بتوانیم امنیت شبکه را به طور مؤثری مدیریت کنیم.

💻 برای اطلاعات بیشتر درباره این ابزارها، لینک‌های زیر را بررسی کنید:

معرفی ابزار PassiveDNS

https://lnkd.in/dDja9P5V

معرفی ابزار pDNS

https://lnkd.in/dfDFkmwC

امنیت را جدی بگیرید و با استفاده از فناوری‌های پیشرفته، شبکه خود را در برابر تهدیدات محافظت کنید.

👇👇👇👇👇👇

تکنیک دسترسی به حافظه (Memory Access) و نقش آن در حملات پیشرفته APT

------------------
? دسترسی به حافظه (Memory Access) یکی از تکنیک‌های حیاتی و پیچیده‌ای است که گروه‌های APT (Advanced Persistent Threats) برای استخراج اطلاعات حساس یا اجرای کد مخرب در حافظه فرآیندهای دیگر استفاده می‌کنند. این تکنیک به مهاجمین امکان می‌دهد بدون نیاز به نوشتن کد بر روی دیسک، به داده‌های حساس مانند رمزهای عبور و توکن‌های امنیتی دسترسی پیدا کنند.

? چگونه این تکنیک کار می‌کند؟
مهاجمان با استفاده از APIهای ویندوز مانند ReadProcessMemory و WriteProcessMemory، حافظه‌ی فرآیندهای حیاتی سیستم را مورد هدف قرار می‌دهند. ابزارهایی مانند Mimikatz از این روش برای استخراج رمزهای عبور ذخیره شده در حافظه‌ی فرآیند LSASS استفاده می‌کنند که اطلاعات احراز هویت کاربران را در ویندوز مدیریت می‌کند.

⚠️ نمونه‌های معروف از این تکنیک:

Mimikatz: استخراج رمزهای عبور و توکن‌های امنیتی از حافظه LSASS.

حمله Stuxnet: دستکاری داده‌های حافظه دستگاه‌های صنعتی برای تغییر رفتار آنها.

APT28 و Zebrocy: استفاده از دسترسی به حافظه برای جمع‌آوری اطلاعات حساس و داده‌های کاربران.

?‍? نمونه کد:
در این مثال از API ReadProcessMemory برای دسترسی به حافظه‌ی فرآیند هدف استفاده می‌شود:?????

hashtag#APT hashtag#MemoryAccess hashtag#CyberSecurity hashtag#دهکده_امن_صبا hashtag#Challenginno hashtag#Mimikatz hashtag#Stuxnet hashtag#حملات_سایبری hashtag#امنیت_سایبری hashtag#EDR

? چرا شناسایی حملات پیچیده APT در سازمان‌ها همچنان چالش‌برانگیز است؟

حتی با وجود مراکز SOC و ابزارهای امنیتی قدرتمندی مانند فایروال، EDR، XDR و غیره، سازمان‌ها همچنان در مواجهه با حملات پیچیده APT (Advanced Persistent Threat) دچار مشکل هستند. ?

❗️ چالش‌های اصلی:

عدم شناسایی رفتارهای غیرعادی

عدم به‌روز‌رسانی مناسب و کارآمد

تمرکز بیش از حد بر ابزارها به جای فرآیندها

کاهش مانیتورینگ عمقی شبکه

کمبود تخصص و تجربه در تیم‌های SOC

حجم بالای داده‌ها و نویز اطلاعاتی

عدم هماهنگی بین محصولات امنیتی مختلف

? راهکارهای پیشنهادی برای تقویت شناسایی حملات APT:

پیاده‌سازی تحلیل رفتار کاربران (UEBA) و بهبود قابلیت‌های EDR و XDR برای شناسایی تهدیدات ناشناخته.

به‌روزرسانی مداوم ابزارها و استفاده از داده‌های تهدیدات بروز (Threat Intelligence).

ایجاد فرآیندهای امنیتی منسجم و استفاده از شبیه‌سازی حملات برای شناسایی نقاط ضعف.

افزایش مانیتورینگ عمقی و استفاده از ابزارهای Deception برای شناسایی حملات مخفی.

تقویت آموزش و استخدام نیروی متخصص و استفاده از خدمات MDR در صورت لزوم.

بهینه‌سازی قوانین SIEM و استفاده از AI و ML برای کاهش نویز و تمرکز بر تهدیدات واقعی.

پیاده‌سازی معماری امنیتی یکپارچه و استفاده از SOAR برای خودکارسازی و هماهنگی بهتر ابزارهای امنیتی.

سازمان‌ها با تمرکز بر این موارد می‌توانند توانایی خود را در شناسایی و مقابله با حملات پیچیده APT به طور چشمگیری ارتقا دهند. ?

hashtag#امنیت_سایبری hashtag#APT hashtag#EDR hashtag#XDR hashtag#SOC hashtag#SIEM hashtag#SOAR hashtag#تهدیدات_پیشرفته hashtag#حملات_سایبری hashtag#امنیت_اطلاعات hashtag#فناوری_اطلاعات