هنوز هیچ نظری وجود ندارد. اولین نفری باشید که نظر خود را به اشتراک میگذارید!
آخرین پستها
Hypersec
۱ خرداد ۱۴۰۵، ۰۷:۰۸
🎥 Video
🎥خلاصهای از محتوای دوره تخصصی Splunk Clustering & Administrator
در این ویدیو، نگاهی اجمالی خواهیم داشت به سرفصلها، مباحث کلیدی و همچنین گروه مخاطبانی که این دوره برای آنها طراحی شده است.
اگر در مسیر حرفهای مدیریت و نگهداری Splunk هستید، این دوره دقیقاً برای شماست.
👩💻 مدرس: https://t.me/pigoparo
1,380
2
0
Hypersec
۱ خرداد ۱۴۰۵، ۰۷:۰۸
📷 Photo
📚سرفصلهای دورهی Splunk Enterprise Security (v8.0)
🔹 Module 1 – Introduction, Installation & Configuration of Splunk ES
آشنایی مقدماتی با Splunk ES، نصب، تنظیمات اولیه و Data Normalization
🔹 Module 2 – Threat Analysis & Security Content in ES
تحلیل تهدیدات، کار با Detection Rules، و ساخت Use Caseهای امنیتی
🔹 Module 3 – Advanced Threat Analysis & Threat Hunting with ES
شکار تهدیدات پیشرفته، تحلیل رفتار مهاجم و طراحی Dashboardهای حرفهای
🎓 مدرس: مهندس علی آهنگری
📍 جهت ثبتنام :
ارتباط با ادمین ( https://t.me/Fze01) و یا شماره تماس 09028990150
3,110
Hypersec
۱ خرداد ۱۴۰۵، ۰۷:۰۸
📚سرفصلهای دورهی Splunk Enterprise Security (v8.0) 🔹 Module 1 – Introduction, Installation & Configuration of Splunk ES آشنایی مقدماتی با Splunk ES، نصب، تنظیمات اولیه و Data Normalization 🔹 Module 2 – Threat Analysis & Security Content in ES تحلیل تهدیدات،…
1,420
2
0
Hypersec
۱ خرداد ۱۴۰۵، ۰۷:۰۸
https://medium.com/@d3lt4labs/non-malware-and-living-off-the-land-tactics-in-modern-cyber-operations-67c882a4126b
«حملات بدون بدافزار و بهرهبرداری از ابزارهای سیستمی در عملیات سایبری مدرن
مهاجمان گاهی از ابزارهای قانونی سیستم (مثل PowerShell, certutil, regsvr32, mshta, PsExec, ProcDump) برای انجام کارهای مخرب استفاده میکنند تا ردپای بدافزار جدید نگذارند.
مهاجمها ممکن است بدافزار نسازند و بهجای آن از ابزارهای قانونی سیستم استفاده کنند. تمرکز ما باید روی «رفتار غیرعادی» این ابزارها باشد.
1,000
0
0
Hypersec
۱ خرداد ۱۴۰۵، ۰۷:۰۸
📷 Photo
🚨 دوره شکار تهدیدات با اسپلانک
(Threat Hunting With Splunk)
🔹 مدت دوره: ۲۴ ساعت
🔹 سطح: پیشرفته
🔹 پیشنیاز: آشنایی با شبکه، سرویسها، لاگها و حملات پایه
🔹 مدرس: مهندس آهنگری
🔹 هزینه: ۷,۰۰۰,۰۰۰ تومان
💡دوره «شکار تهدیدات با اسپلانک» با هدف آموزش عمیق و کاربردی فرآیند شناسایی، تحلیل، و مقابله با تهدیدات سایبری در بستر سازمانی طراحی شده است. شرکتکنندگان با استفاده از Splunk Enterprise Security و Search Processing Language (SPL)، داشبوردهای تعاملی، و مدلهای یادگیری ماشین، توانایی ساختن سناریوهای شکار تهدید، تحلیل رفتار مهاجم، و شناسایی فعالیتهای مشکوک را کسب خواهند کرد.
👥 این دوره مناسب است برای:
– کارشناسان SOC
– مدیران فنی SOC
– کارشناسان پاسخ به تهدید
– شکارچیان تهدید
– مشاوران امنیت سایبری
📝 https://nooranet.com/courses/defence/threat-hunting-with-splunk
2,410
Hypersec
۱ خرداد ۱۴۰۵، ۰۷:۰۸
https://sudo3rs.medium.com/part-4-building-effective-detection-rules-31ac333f3dc0
این مقاله (Part 4: Building Effective Detection Rules) دربارهی چگونگی طراحی و نوشتن ;کوئری های شناسایی مؤثر در SOC است. نویسنده توضیح میدهد که یک قاعده خوب باید:
▪️بر رفتار مهاجم تمرکز کند نه شاخصهای تغییرپذیر (مثل IP و هش).
▪️با چارچوب MITRE ATT&CK نگاشت شود تا جایگاهش در زنجیره حمله مشخص شود.
▪️تعداد False Positiveها را به حداقل برساند با استفاده از whitelisting و threshold.
همچنین با مثالهایی در Sigma، Splunk (SPL) و KQL نشان میدهد چطور این قواعد نوشته میشوند.
💻 نمونه کوئری Splunk برای شناسایی دسترسی مشکوک به lsass.exe:
index=windows EventCode=4656 ObjectName="\\Device\\HarddiskVolume*\\lsass.exe"
| stats count by Account_Name, Process_Name, Source_IP
| where count > 5
⚠️ این کوئری تلاشهای متعدد برای دسترسی به lsass.exe را نشان میدهد که میتواند نشانهی Credential Dumping (T1003) باشد.
1,110
3
Hypersec
۱ خرداد ۱۴۰۵، ۰۷:۰۸
https://thedfirreport.com/2025/09/29/from-a-single-click-how-lunar-spider-enabled-a-near-two-month-intrusion/#execution
📌 از یک کلیک تا نفوذ دو ماهه — گزارش جدید DFIR Report
یک کلیک روی یک فایل ظاهراً بیخطر کافی بود: مهاجمان با ترکیبی از BruteRatel / Latrodectus / Cobalt Strike وارد شدند، credentialها (از جمله unattend.xml و LSASS) را سرقت کردند و با rclone/FTP دادهها را خارج کردند — تقریباً دو ماه در شبکه ماندند.
⚠️ نکات عملی — مناسب برای SOC :
🟠وجود پراسس هایی شبیه به lsassa.exe یا sihosts.exe با رفتارهایی مشابه rclone یا rclone-rename (sihosts.exe, sihosts/sihosts.exe)
🔵مشاهده Scheduled Task یا Run key جدید با مسیرهای غیرمعمول (%ALLUSERSPROFILE%\USOShared\lsassa.exe)
🟢دسترسی/dump به LSASS / اجرای ابزارهایی مثل Veeam-Get-Creds یا rclone
🔴ارتباطات HTTP/FTP نامتعارف به دامنهها یا IPهای خارجی و الگوهای beacon با دورهٔ ثابت
1,010
1
Hypersec
۱ خرداد ۱۴۰۵، ۰۷:۰۸
🧩معرفی مخزن https://github.com/Insider-Threat/Insider-Threat
یک مخزن کاربردی و متمرکز برای راهاندازی یا تقویت «برنامه مقابله با تهدیدات داخلی» (Insider Threat).
🔎 چی داخل مخزن هست؟
- ماتریس بلوغ (Maturity Matrix) برای ارزیابی وضعیت کنونی برنامه
- فهرست TTPها (رفتارها و تکنیکهای مرتبط با تهدید داخلی)
- لینکها و منابع عملی برای مستندسازی و هماهنگی با بخشهای HR/Legal
💡 چرا برای SOC مفیده؟
- سریع بهعنوان قالب: ماتریس بلوغ رو برای شناسایی شکافهای مانیتورینگ، DLP و کنترل دسترسی استفاده کنید.
- منبع TTP برای ساخت Hunt/Alert: رفتارهای فهرستشده را به قواعد SIEM/Splunk/EDR نگاشت کنید.
- مرجع هماهنگی: موادِ Helpful Links کمک میکنند تا playbookها و فرآیندهای پاسخدهی با HR و Legal هماهنگ شود.
1,220
3
Hypersec
۱ خرداد ۱۴۰۵، ۰۷:۰۸
pinned Deleted message
0
0
0
Hypersec
۱ خرداد ۱۴۰۵، ۰۷:۰۸
🔎Countering EDRs With The Backing Of Protected Process Light (PPL)
فرآيند Protected Process Light (PPL) یکی از مکانیزمهای امنیتی ویندوزه که برای حفاظت از سرویسهای حیاتی (مثل AV/EDR) طراحی شده است .
اما محققها نشون دادن همین مکانیزم میتونه بر علیه خودش استفاده بشه: اگر مهاجم بتونه یک باینری امضاشده رو با سطح PPL اجرا کنه و ورودی/پارامترها رو کنترل کنه، قادر خواهد بود در مسیرهای محافظتشدهی AV بنویسه یا حتی فایل اجرایی EDR رو در زمان بوت جایگزین کنه.
📌نتیجه این میشه که ، EDR/AV قبل از بالا آمدن غیرفعال یا دستکاری میشه؛ درست با استفاده از سلاحی که برای محافظتش ساخته شده بود.
این مقاله سناریوی عملی و PoC استفاده از ClipUp.exe بهعنوان یک ابزار PPL برای نوشتن در مسیر Defender رو توضیح داده.
برای SOC تیمها، این یعنی نیاز فوری به:
مانیتورینگ اجرای Process با حالت PPL
بررسی تغییرات غیرمجاز در فایلهای AV/EDR
سختگیری در سیاستهای Code Signing و WDAC
📰 https://www.zerosalarium.com/2025/08/countering-edrs-with-backing-of-ppl-protection.html
1,070
2
Hypersec
۱۷ اردیبهشت ۱۴۰۵، ۱۹:۵۴
Golden dMSA: What Is dMSA Authentication Bypass?
🚨 چالش جدید در Active Directory ( Golden dMSA Attack)
پژوهش Semperis: نقص طراحی در dMSA/gMSA که ManagedPasswordId فقط ۱۰۲۴ ترکیب ممکن دارد؛ در صورت دسترسی به KDS root key میتوان رمز همهی dMSA/gMSAها را آفلاین تولید کرد.
پیشنیاز حمله: استخراج KDS root key (دسترسی Tier-0: Domain/Enterprise Admin یا SYSTEM).
ابزار PoC: GoldenDMSA — اثبات قابلیت عملی تولید رمز و سوءاستفاده.
🔎 شاخصهای مهم برای تشخیص (بهسرعت در SIEM پیاده شود):
Windows Security: EventID 4662 با اشاره به msDS-ManagedPassword (Directory Service Access).
Logon events: EventID 4624 / 4625 برای سرویساکانتها (dMSA/gMSA) — لاگین از میزبان/Workstation نامتعارف.
Sysmon: EventID 17 (PipeEvent) نامپایپهایی مثل \lsarpc، EventID 10 (ProcessAccess) علیه lsass.exe و EventID 1 (ProcessCreate) برای ابزارهای شناختهشده (PoC/secretsdump).
RPC/LSA calls: فراخوانیهایی مانند LsaLookupSids که برای فهرستگیری dMSA استفاده میشوند.
🛡 فوری برای کاهش ریسک:
محدودسازی و بازنگری دسترسیهای Tier-0 و فعالسازی JIT/PIM.
فعالسازی Audit: Directory Service Access (برای msDS-* attrs) روی DCها.
نصب/تنظیم Sysmon روی DCها: ProcessCreate, ProcessAccess, PipeEvent + CommandLine.
استخراج لیست dMSA/gMSA (Get-ADServiceAccount) → آپلود به SIEM بهعنوان lookup → هشدار برای ورود یا استفاده از این حسابها روی میزبانهای غیرمجاز.
آمادهسازی playbook واکنش: قرنطینه میزبان، snapshot حافظه، چک تغییرات KDS/LSA، ریست رمزهای سرویس (در صورت نیاز با کنترل دقیق).
⚠️ نکته نهایی: حمله نیازمند امتیازات بالا است ولی در صورت افشای KDS root key اثر آن گسترده و پایدار خواهد بود — اولویت با محافظت Tier-0، لاگینگ دقیق و correlation در SIEM است.
https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/
