در این ویدیو به مبحث Triage Investigation Process پرداختم، ابتدا جایگاه Triage در ساختار Incident Response و سپس معرفی ابزارهای برای کشف و شناسایی Artifacts در سیستم عامل,
از جمله ابزارهای معرفی شده عبارتند از:
sysinternals
Nirsoft'
FastIr
TriageIr
DFIRTriage
https://aparat.com/v/inZEO

memory forensic - day7
در این ویدیو در ادامه مباحث دوره و همچنین عنوان Become a DFIR | Threat Hunting به مسائل شکار تهدیدات پرداختیم
روز هفتم از دوره جرم یابی حافظه با عنوان Be the Hunter اختصاص یافته و به سرفصل های ذیل تقسیم شده است
شکار تهدیدات چیست؟
هدف اصلی شکار تهدیدات
تخصص های مورد نیاز در تیم شکار تهدیدات
تیم هانت به دنبال چیست
آثاری که دشمنان بر روی سیستمها و شبکه های سازمانی میگذارند
شکار تهدیدات فعال و غیر فعال
مدل های شکار تهدیدات
تکنیک های مورد علاقه شکار
این مباحث در این قسمت به صورت تئوری مطرح گردید
https://aparat.com/v/J24f8

💯Octopus - Open Source Pre-Operation C2 Server Based On Python And Powershell💯

Octopus is an open source, pre-operation C2 server based on python which can control an Octopus powershell agent through HTTP/S.

The main purpose of creating Octopus is for use before any red team operation, where rather than starting the engagement with your full operational arsenal and infrastructure, you can use Octopus first to attack the target and gather information before you start your actual red team operation.

Octopus works in a very simple way to execute commands and exchange information with the C2 over a well encrypted channel, which makes it inconspicuous and undetectable from almost every AV, endpoint protection, and network monitoring solution.

One cool feature in Octopus is called ESA, which stands for "Endpoint Situational Awareness", which will gather some important information about the target that will help you to gain better understanding of the target network endpoints that you will face during your operation, thus giving you a shot to customize your real operation based on this information.

Octopus is designed to be stealthy and covert while communicating with the C2, as it uses AES-256 by default for its encrypted channel between the powershell agent and the C2 server. You can also opt for using SSL/TLS by providing a valid certficate for your domain and configuring the Octopus C2 server to use it.

https://www.kitploit.com/2022/05/octopus-open-source-pre-operation-c2.html?m=1

در این قسمت به نحوه ایمیج گیری فارنزیکی از سطح مموری پرداختم، اصطلاح ایمیج فارنزیکی از سطح مموری، Memory Dump گفته می شود.
حالت های مختلف و همچنین فرمت های مختلف Dump گفته شد، و در نهایت معرفی ابزارهای Memory dump در ویندوز ارائه شد
از جمله FTK Imager, DumpIt, Ram capture Belkasoft, Magnet Memory Capture
https://www.aparat.com/v/2HLd6

Memory forensics-Day9
در  ادامه مطالب این دوره آموزشی طبق اعلام قبلی به حوه ایمیج گرفته از سطح ماشین های مجازی و سیستم عامل لینوکس پرداختم
در سازمانهای ما قطعا برای مدیریت منابع سرور از ظرفیت های مجازی سازی بهره می برند و نکته بعد اینکه بخشی از سرویس های ارائه دهنده خدمات در سازمان متبوع قاعدتا بر روی دیستروهای لینوکسی است. در نتیجه قدم ورود به تحلیل و آنالیز عمیق گرفتن ایمیج فارنزیکی از سطح مموری خواهد بود.
در این ویدیو از محدودیت های دسترسی به داده های سطح مموری در لینوکس گفتیم و چگونه می توانیم این محدودیت را از بین ببریم و یک Memory Dump داشته باشیم گفته شد
https://www.aparat.com/v/TajF1

💯برای علاقمندان به هکینگ و تست نفوذ💯

✅همه در یک جا

hackingtool - All in One Hacking tool For Hackers

https://hakin9.org/hackingtool-all-in-one-hacking-tool-for-hackers/

✨ Offensive Security Cheatsheet

Good collection of useful methodologies, #bugbountytips and resources for #Pentesting, #bugbounty, and #redteam

🔗https://cheatsheet.haax.fr/web-pentest/

✨ Offensive Security Cheatsheet

Good collection of useful methodologies, #bugbountytips and resources for #Pentesting, #bugbounty, and #redteam

🔗https://cheatsheet.haax.fr/web-pentest/

یک ریپو عالی برای تیم قرمز
Windows for Red Teamers

https://github.com/morph3/Windows-Red-Team-Cheat-Sheet

چند وقت پیش یک سمینار در حوزه پاسخگویی به حوادث(Incident Handling) برگزار کردم< با توجه به اینکه با استارت دوره رایگان Memory Forensic و سوالاتی که عزیزان همراه از بنده پرسش داشتند، به نظرم آمد ،برای پاسخ به سوالات و همچنین آشنایی ساختاری به استاندارد در حوزه CSIRT ویدیو این سمینار که تقریبا 3 ساعت است محضر همگی تقدیم می کنم.

https://www.aparat.com/v/9wLbp

⛔️معرفی یک ابزار اوپن سورس⛔️
💠اگر دنبال این هستید که بفهمید آیا روی سیستم شما شل کد، یا تزریقی برای گرفتن دسترسی وجود داره
میتونید از ابزار hollows_hunter
استفاده کنید.
این ابزار با اسکن کردن تمامی پروسه های سطح مموری به دنبال کشف shellcode, PEs میگردد
لینک دانلود ابزار:
https://github.com/hasherezade/hollows_hunter

در این ویدیو که روز 10 از دوره Memory Forensic است در خصوص مباحثی همچون Incident Hndling Process از نگاه NIST مطالبی ارائه شد. در خصوص بخش های proactive و Responsive چرخه پاسخگویی به حوادث صحبت کردم . در این بخش ارتباط این چرخه با Hunting گفته شد.

در ادامه به سطوح مختلف سیستم عامل و Ring0 و Ring1 و Windows Api اشاره شد و table های سطح یوزر و کرنل مود معرفی شد و نحوه بهره برداری بدافزارها و برنامه نویس ها از Hooking برای جعل API با تکنیک های مختلف مطالبی ارائه شد. در نهایت ابزارهایی از جمله PE-Sieve, Hollows-Hunter, Ring3 Hook scanner و نحوه کار با این ابزارها مطالبی گفته شد.

https://aparat.com/v/DSCl0

Welcome to FLARE VM - a fully customizable, Windows-based security distribution for malware analysis, incident response, penetration testing, etc.

Please see https://www.mandiant.com/resources/flare-vm-update for a blog on installing FLARE VM

https://github.com/mandiant/flare-vm

اگر علاقمند با یادگیری در حوزه های تست نفوذ، پاسخگویی به حوادث و یا تجزیه و تحلیل بدافزار میتونی به این سایت سر بزنی و خیلی خوب رشد کنی
برای حرفه ای شدن باید تمرین، تمرین و تمرین کرد
https://cyberdefenders.org/blueteam-ctf-challenges/progress/RehanOshba/62/

همیشه حین کار و هنگام خستگی قهوه میچسبه
شب بیداری ها که فقط با قهوه، امکان پذیر هست.
برای خودم هم سوال بود در خصوص انواع قهوه
یک عکس از انواعش براتون آوردم.
از این به بعد حالش رو ببرید

معرفی یک ابزار کامل در حوزه DFIR

What is DFIR ORC?

DFIR ORC is a modular and scalable tool to collect artefacts on Microsoft Windows systems, in a decentralized manner.

What is an artefact? What is digital forensics?

Digital forensics investigators study traces left by various activities on computing systems. These traces are named artefacts. Usually, analysts track traces of computer hacks or criminal activities. When incident responders analyze machines following a security breach, they use forensic investigation techniques to understand what happened and when. This helps restoring a safe production environment as quickly as possible.

Who can use DFIR ORC?

DFIR ORC is intended for computer security professionals wishing to collect forensically relevant data. The incident responders addressing security breaches on Microsoft Windows installed bases are the primary target audience.

https://lnkd.in/eyiUiz6E

Microsoft eventlog mindmap provides a global view of most valuable and security related Windows Event logs, as well as their auditing capacities. It enables defenders to enhance visibility on monitored assets for different purposes:

Log collection (eg: into a SIEM)

Threat hunting

Forensic / DFIR

Troubleshooting

https://github.com/mdecrevoisier/Microsoft-eventlog-mindmap

DFIR Cheat Sheet is a collection of tools, tips, and resources in an organized way to provide a one-stop place for DFIR folks. (Still under development)

https://dfircheatsheet.github.io/