در این ویدیو به مبحث Triage Investigation Process پرداختم، ابتدا جایگاه Triage در ساختار Incident Response و سپس معرفی ابزارهای برای کشف و شناسایی Artifacts در سیستم عامل,
از جمله ابزارهای معرفی شده عبارتند از:
sysinternals
Nirsoft'
FastIr
TriageIr
DFIRTriage
https://aparat.com/v/inZEO
از جمله ابزارهای معرفی شده عبارتند از:
sysinternals
Nirsoft'
FastIr
TriageIr
DFIRTriage
https://aparat.com/v/inZEO
memory forensic - day7
در این ویدیو در ادامه مباحث دوره و همچنین عنوان Become a DFIR | Threat Hunting به مسائل شکار تهدیدات پرداختیم
روز هفتم از دوره جرم یابی حافظه با عنوان Be the Hunter اختصاص یافته و به سرفصل های ذیل تقسیم شده است
شکار تهدیدات چیست؟
هدف اصلی شکار تهدیدات
تخصص های مورد نیاز در تیم شکار تهدیدات
تیم هانت به دنبال چیست
آثاری که دشمنان بر روی سیستمها و شبکه های سازمانی میگذارند
شکار تهدیدات فعال و غیر فعال
مدل های شکار تهدیدات
تکنیک های مورد علاقه شکار
این مباحث در این قسمت به صورت تئوری مطرح گردید
https://aparat.com/v/J24f8
در این ویدیو در ادامه مباحث دوره و همچنین عنوان Become a DFIR | Threat Hunting به مسائل شکار تهدیدات پرداختیم
روز هفتم از دوره جرم یابی حافظه با عنوان Be the Hunter اختصاص یافته و به سرفصل های ذیل تقسیم شده است
شکار تهدیدات چیست؟
هدف اصلی شکار تهدیدات
تخصص های مورد نیاز در تیم شکار تهدیدات
تیم هانت به دنبال چیست
آثاری که دشمنان بر روی سیستمها و شبکه های سازمانی میگذارند
شکار تهدیدات فعال و غیر فعال
مدل های شکار تهدیدات
تکنیک های مورد علاقه شکار
این مباحث در این قسمت به صورت تئوری مطرح گردید
https://aparat.com/v/J24f8
آپارات - سرویس اشتراک ویدیو
Memory Forensics - Day7
در این ویدیو در ادامه مباحث دوره و همچنین عنوان Become a DFIR | Threat Hunting به مسائل شکار تهدیدات پرداختیم
روز هفتم از دوره جرم یابی حافظه با عنوان Be the Hunter اختصاص یافته و به سرفصل های ذیل تقسیم شده است
شکار تهدیدات چیست؟
هدف اصلی شکار تهدیدات
تخصص…
روز هفتم از دوره جرم یابی حافظه با عنوان Be the Hunter اختصاص یافته و به سرفصل های ذیل تقسیم شده است
شکار تهدیدات چیست؟
هدف اصلی شکار تهدیدات
تخصص…
💯Octopus - Open Source Pre-Operation C2 Server Based On Python And Powershell💯
Octopus is an open source, pre-operation C2 server based on python which can control an Octopus powershell agent through HTTP/S.
The main purpose of creating Octopus is for use before any red team operation, where rather than starting the engagement with your full operational arsenal and infrastructure, you can use Octopus first to attack the target and gather information before you start your actual red team operation.
Octopus works in a very simple way to execute commands and exchange information with the C2 over a well encrypted channel, which makes it inconspicuous and undetectable from almost every AV, endpoint protection, and network monitoring solution.
One cool feature in Octopus is called ESA, which stands for "Endpoint Situational Awareness", which will gather some important information about the target that will help you to gain better understanding of the target network endpoints that you will face during your operation, thus giving you a shot to customize your real operation based on this information.
Octopus is designed to be stealthy and covert while communicating with the C2, as it uses AES-256 by default for its encrypted channel between the powershell agent and the C2 server. You can also opt for using SSL/TLS by providing a valid certficate for your domain and configuring the Octopus C2 server to use it.
https://www.kitploit.com/2022/05/octopus-open-source-pre-operation-c2.html?m=1
Octopus is an open source, pre-operation C2 server based on python which can control an Octopus powershell agent through HTTP/S.
The main purpose of creating Octopus is for use before any red team operation, where rather than starting the engagement with your full operational arsenal and infrastructure, you can use Octopus first to attack the target and gather information before you start your actual red team operation.
Octopus works in a very simple way to execute commands and exchange information with the C2 over a well encrypted channel, which makes it inconspicuous and undetectable from almost every AV, endpoint protection, and network monitoring solution.
One cool feature in Octopus is called ESA, which stands for "Endpoint Situational Awareness", which will gather some important information about the target that will help you to gain better understanding of the target network endpoints that you will face during your operation, thus giving you a shot to customize your real operation based on this information.
Octopus is designed to be stealthy and covert while communicating with the C2, as it uses AES-256 by default for its encrypted channel between the powershell agent and the C2 server. You can also opt for using SSL/TLS by providing a valid certficate for your domain and configuring the Octopus C2 server to use it.
https://www.kitploit.com/2022/05/octopus-open-source-pre-operation-c2.html?m=1
KitPloit - PenTest & Hacking Tools
Octopus - Open Source Pre-Operation C2 Server Based On Python And Powershell
در این قسمت به نحوه ایمیج گیری فارنزیکی از سطح مموری پرداختم، اصطلاح ایمیج فارنزیکی از سطح مموری، Memory Dump گفته می شود.
حالت های مختلف و همچنین فرمت های مختلف Dump گفته شد، و در نهایت معرفی ابزارهای Memory dump در ویندوز ارائه شد
از جمله FTK Imager, DumpIt, Ram capture Belkasoft, Magnet Memory Capture
https://www.aparat.com/v/2HLd6
حالت های مختلف و همچنین فرمت های مختلف Dump گفته شد، و در نهایت معرفی ابزارهای Memory dump در ویندوز ارائه شد
از جمله FTK Imager, DumpIt, Ram capture Belkasoft, Magnet Memory Capture
https://www.aparat.com/v/2HLd6
آپارات - سرویس اشتراک ویدیو
Memory Forensics - Day8
در این قسمت به نحوه ایمیج گیری فارنزیکی از سطح مموری پرداختم، اصطلاح ایمیج فارنزیکی از سطح مموری، Memory Dump گفته می شود.
حالت های مختلف و همچنین فرمت های مختلف Dump گفته شد، و در نهایت معرفی ابزارهای Memory dump در ویندوز ارائه شد
از جمله FTK Imager, DumpIt…
حالت های مختلف و همچنین فرمت های مختلف Dump گفته شد، و در نهایت معرفی ابزارهای Memory dump در ویندوز ارائه شد
از جمله FTK Imager, DumpIt…
Memory forensics-Day9
در ادامه مطالب این دوره آموزشی طبق اعلام قبلی به حوه ایمیج گرفته از سطح ماشین های مجازی و سیستم عامل لینوکس پرداختم
در سازمانهای ما قطعا برای مدیریت منابع سرور از ظرفیت های مجازی سازی بهره می برند و نکته بعد اینکه بخشی از سرویس های ارائه دهنده خدمات در سازمان متبوع قاعدتا بر روی دیستروهای لینوکسی است. در نتیجه قدم ورود به تحلیل و آنالیز عمیق گرفتن ایمیج فارنزیکی از سطح مموری خواهد بود.
در این ویدیو از محدودیت های دسترسی به داده های سطح مموری در لینوکس گفتیم و چگونه می توانیم این محدودیت را از بین ببریم و یک Memory Dump داشته باشیم گفته شد
https://www.aparat.com/v/TajF1
در ادامه مطالب این دوره آموزشی طبق اعلام قبلی به حوه ایمیج گرفته از سطح ماشین های مجازی و سیستم عامل لینوکس پرداختم
در سازمانهای ما قطعا برای مدیریت منابع سرور از ظرفیت های مجازی سازی بهره می برند و نکته بعد اینکه بخشی از سرویس های ارائه دهنده خدمات در سازمان متبوع قاعدتا بر روی دیستروهای لینوکسی است. در نتیجه قدم ورود به تحلیل و آنالیز عمیق گرفتن ایمیج فارنزیکی از سطح مموری خواهد بود.
در این ویدیو از محدودیت های دسترسی به داده های سطح مموری در لینوکس گفتیم و چگونه می توانیم این محدودیت را از بین ببریم و یک Memory Dump داشته باشیم گفته شد
https://www.aparat.com/v/TajF1
آپارات - سرویس اشتراک ویدیو
Memory Forensics - Day9
در ادامه مطالب این دوره آموزشی طبق اعلام قبلی به حوه ایمیج گرفته از سطح ماشین های مجازی و سیستم عامل لینوکس پرداختم
در سازمانهای ما قطعا برای مدیریت منابع سرور از ظرفیت های مجازی سازی بهره می برند و نکته بعد اینکه بخشی از سرویس های ارائه دهنده خدمات در سازمان…
در سازمانهای ما قطعا برای مدیریت منابع سرور از ظرفیت های مجازی سازی بهره می برند و نکته بعد اینکه بخشی از سرویس های ارائه دهنده خدمات در سازمان…
EsecurityCo pinned «Memory forensics-Day9 در ادامه مطالب این دوره آموزشی طبق اعلام قبلی به حوه ایمیج گرفته از سطح ماشین های مجازی و سیستم عامل لینوکس پرداختم در سازمانهای ما قطعا برای مدیریت منابع سرور از ظرفیت های مجازی سازی بهره می برند و نکته بعد اینکه بخشی از سرویس های ارائه…»
💯برای علاقمندان به هکینگ و تست نفوذ💯
✅همه در یک جا
hackingtool - All in One Hacking tool For Hackers
https://hakin9.org/hackingtool-all-in-one-hacking-tool-for-hackers/
✅همه در یک جا
hackingtool - All in One Hacking tool For Hackers
https://hakin9.org/hackingtool-all-in-one-hacking-tool-for-hackers/
Hakin9 - IT Security Magazine
hackingtool - All in One Hacking tool For Hackers
This project still in BETA so you may face problems, please open an issue so I'll fix them.
✨ Offensive Security Cheatsheet
Good collection of useful methodologies, #bugbountytips and resources for #Pentesting, #bugbounty, and #redteam
🔗https://cheatsheet.haax.fr/web-pentest/
Good collection of useful methodologies, #bugbountytips and resources for #Pentesting, #bugbounty, and #redteam
🔗https://cheatsheet.haax.fr/web-pentest/
✨ Offensive Security Cheatsheet
Good collection of useful methodologies, #bugbountytips and resources for #Pentesting, #bugbounty, and #redteam
🔗https://cheatsheet.haax.fr/web-pentest/
Good collection of useful methodologies, #bugbountytips and resources for #Pentesting, #bugbounty, and #redteam
🔗https://cheatsheet.haax.fr/web-pentest/
یک ریپو عالی برای تیم قرمز
Windows for Red Teamers
https://github.com/morph3/Windows-Red-Team-Cheat-Sheet
Windows for Red Teamers
https://github.com/morph3/Windows-Red-Team-Cheat-Sheet
چند وقت پیش یک سمینار در حوزه پاسخگویی به حوادث(Incident Handling) برگزار کردم< با توجه به اینکه با استارت دوره رایگان Memory Forensic و سوالاتی که عزیزان همراه از بنده پرسش داشتند، به نظرم آمد ،برای پاسخ به سوالات و همچنین آشنایی ساختاری به استاندارد در حوزه CSIRT ویدیو این سمینار که تقریبا 3 ساعت است محضر همگی تقدیم می کنم.
https://www.aparat.com/v/9wLbp
https://www.aparat.com/v/9wLbp
آپارات - سرویس اشتراک ویدیو
Icident Handling seminar
در این سمینار با استانداردهای یک مرکز پاسخگویی به حوادث از لایه عملیاتی و آمادگی بحث کردیم. سعی شد بر اساس استاندارد SANS در دوره Sec 504 و ّّFor 508 بعلاوه تجربیات سالهای متمادی.
امیدوارم لذت ببرید
شاید که رستگار شویم
امیدوارم لذت ببرید
شاید که رستگار شویم
⛔️معرفی یک ابزار اوپن سورس⛔️
💠اگر دنبال این هستید که بفهمید آیا روی سیستم شما شل کد، یا تزریقی برای گرفتن دسترسی وجود داره
میتونید از ابزار hollows_hunter
استفاده کنید.
این ابزار با اسکن کردن تمامی پروسه های سطح مموری به دنبال کشف shellcode, PEs میگردد
لینک دانلود ابزار:
https://github.com/hasherezade/hollows_hunter
💠اگر دنبال این هستید که بفهمید آیا روی سیستم شما شل کد، یا تزریقی برای گرفتن دسترسی وجود داره
میتونید از ابزار hollows_hunter
استفاده کنید.
این ابزار با اسکن کردن تمامی پروسه های سطح مموری به دنبال کشف shellcode, PEs میگردد
لینک دانلود ابزار:
https://github.com/hasherezade/hollows_hunter
GitHub
GitHub - hasherezade/hollows_hunter: Scans all running processes. Recognizes and dumps a variety of potentially malicious implants…
Scans all running processes. Recognizes and dumps a variety of potentially malicious implants (replaced/implanted PEs, shellcodes, hooks, in-memory patches). - hasherezade/hollows_hunter
در این ویدیو که روز 10 از دوره Memory Forensic است در خصوص مباحثی همچون Incident Hndling Process از نگاه NIST مطالبی ارائه شد. در خصوص بخش های proactive و Responsive چرخه پاسخگویی به حوادث صحبت کردم . در این بخش ارتباط این چرخه با Hunting گفته شد.
در ادامه به سطوح مختلف سیستم عامل و Ring0 و Ring1 و Windows Api اشاره شد و table های سطح یوزر و کرنل مود معرفی شد و نحوه بهره برداری بدافزارها و برنامه نویس ها از Hooking برای جعل API با تکنیک های مختلف مطالبی ارائه شد. در نهایت ابزارهایی از جمله PE-Sieve, Hollows-Hunter, Ring3 Hook scanner و نحوه کار با این ابزارها مطالبی گفته شد.
https://aparat.com/v/DSCl0
در ادامه به سطوح مختلف سیستم عامل و Ring0 و Ring1 و Windows Api اشاره شد و table های سطح یوزر و کرنل مود معرفی شد و نحوه بهره برداری بدافزارها و برنامه نویس ها از Hooking برای جعل API با تکنیک های مختلف مطالبی ارائه شد. در نهایت ابزارهایی از جمله PE-Sieve, Hollows-Hunter, Ring3 Hook scanner و نحوه کار با این ابزارها مطالبی گفته شد.
https://aparat.com/v/DSCl0
آپارات - سرویس اشتراک ویدیو
Memory Forensics- Day10
در این ویدیو که روز 10 از دوره Memory Forensc است در خصوص مباحثی همچون Incident Hndling Process از نگاه NIST مطالبی ارائه شد. در خصوص بخش های proactive و Responsive چرخه پاسخگویی به حوادث صحبت کردم . در این بخش ارتباط این چرخه با Hunting گفته شد.
در ادامه…
در ادامه…
EsecurityCo pinned «در این ویدیو که روز 10 از دوره Memory Forensic است در خصوص مباحثی همچون Incident Hndling Process از نگاه NIST مطالبی ارائه شد. در خصوص بخش های proactive و Responsive چرخه پاسخگویی به حوادث صحبت کردم . در این بخش ارتباط این چرخه با Hunting گفته شد. در ادامه…»
Welcome to FLARE VM - a fully customizable, Windows-based security distribution for malware analysis, incident response, penetration testing, etc.
Please see https://www.mandiant.com/resources/flare-vm-update for a blog on installing FLARE VM
https://github.com/mandiant/flare-vm
Please see https://www.mandiant.com/resources/flare-vm-update for a blog on installing FLARE VM
https://github.com/mandiant/flare-vm
Mandiant
FLARE VM Update | Mandiant
اگر علاقمند با یادگیری در حوزه های تست نفوذ، پاسخگویی به حوادث و یا تجزیه و تحلیل بدافزار میتونی به این سایت سر بزنی و خیلی خوب رشد کنی
برای حرفه ای شدن باید تمرین، تمرین و تمرین کرد
https://cyberdefenders.org/blueteam-ctf-challenges/progress/RehanOshba/62/
برای حرفه ای شدن باید تمرین، تمرین و تمرین کرد
https://cyberdefenders.org/blueteam-ctf-challenges/progress/RehanOshba/62/
معرفی یک ابزار کامل در حوزه DFIR
What is DFIR ORC?
DFIR ORC is a modular and scalable tool to collect artefacts on Microsoft Windows systems, in a decentralized manner.
What is an artefact? What is digital forensics?
Digital forensics investigators study traces left by various activities on computing systems. These traces are named artefacts. Usually, analysts track traces of computer hacks or criminal activities. When incident responders analyze machines following a security breach, they use forensic investigation techniques to understand what happened and when. This helps restoring a safe production environment as quickly as possible.
Who can use DFIR ORC?
DFIR ORC is intended for computer security professionals wishing to collect forensically relevant data. The incident responders addressing security breaches on Microsoft Windows installed bases are the primary target audience.
https://lnkd.in/eyiUiz6E
What is DFIR ORC?
DFIR ORC is a modular and scalable tool to collect artefacts on Microsoft Windows systems, in a decentralized manner.
What is an artefact? What is digital forensics?
Digital forensics investigators study traces left by various activities on computing systems. These traces are named artefacts. Usually, analysts track traces of computer hacks or criminal activities. When incident responders analyze machines following a security breach, they use forensic investigation techniques to understand what happened and when. This helps restoring a safe production environment as quickly as possible.
Who can use DFIR ORC?
DFIR ORC is intended for computer security professionals wishing to collect forensically relevant data. The incident responders addressing security breaches on Microsoft Windows installed bases are the primary target audience.
https://lnkd.in/eyiUiz6E
Microsoft eventlog mindmap provides a global view of most valuable and security related Windows Event logs, as well as their auditing capacities. It enables defenders to enhance visibility on monitored assets for different purposes:
Log collection (eg: into a SIEM)
Threat hunting
Forensic / DFIR
Troubleshooting
https://github.com/mdecrevoisier/Microsoft-eventlog-mindmap
Log collection (eg: into a SIEM)
Threat hunting
Forensic / DFIR
Troubleshooting
https://github.com/mdecrevoisier/Microsoft-eventlog-mindmap
DFIR Cheat Sheet is a collection of tools, tips, and resources in an organized way to provide a one-stop place for DFIR folks. (Still under development)
https://dfircheatsheet.github.io/
https://dfircheatsheet.github.io/
dfircheatsheet.github.io
DFIR Cheat Sheet
collection of tools, tips, and resources in an organized way to provide a one-stop place for DFIR folks.