458
کانال شخصی امیرحسین تنگسیری نژاد | مهندس و مدرس شبکه و امنیت شبکه〽️ 🔺لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/
🔺ویدیو آموزشی شناسایی حمله DNS Exfiltration از طریق تحلیل ترافیک های شبکه
🔹دریافت فایل Pcap استفاده شده در این ویدیو:
https://security.tosinso.com/fa/videos/13241
🔹آشنایی با حمله DNS Exfiltration و نحوه پیاده سازی آن:
https://security.tosinso.com/fa/articles/44462
📌 DNS Exfiltration
@AmirHoseinTangsiriNET〽️
🔺️Enhanced iFrame Protection - Protect Against Browser-In-The-Browser (BITB) Attack
🔹️یکی از حملاتی که در بحث تکنیک های حملات Phishing سروصدای زیادی ایجاد کرد و خیلی هم خوب عمل کرد رو با عنوان حمله BITB میشناسیم... حالا این وسط سوالی که پیش میاد اینه که ما چطور یک صفحه جعلی (که دراصل در این حمله یک Pop-Up Window میباشد) را از یک صفحه اصلی تشخيص بدیم با وجود اینکه نه تنها صفحات یکی هستند بلکه URL هم کاملا همسان با URL صفحه مجاز میباشد !
از همین بابت جدیدا یک افزونه مرورگر جالب ارائه شده تحت عنوان EIP که به راحتی Embedded Iframe های مخرب رو شناسایی میکنه و تشخیص میده که صفحه مورد نظر یک صفحه Phishing برای پیاده سازی حمله BITB میباشد یا که خیر
این افزونه (فعلا) برای FireFox و Microsoft Edge ارائه شده است و انتظار میرود که در آینده برای Opera و Chrome هم ارائه شود (طبق گفته توسعه دهندگان این افزونه)
اطلاعات بیشتر و دریافت این افزونه:
🔹https://lnkd.in/dWAKTp9Q
پانوشت: تصویر بالا نمونه از عملکرد این افزونه میباشد.
📌 BITB
@AmirHoseinTangsiriNET〽️
🔺Security Investigation Series With Splunk
🔹این سری ویدیوهارو از طرف خوده کمپانی Splunk رو از دست ندید... مطالب جالب و مفیدی در رابطه با تحلیل و بازرسی امنیتی بر روی داده ها به واسطه Splunk ارائه کرده است که در این ویدیوها از تکنولوژی و Module های غیر رایگان استفاده نشده و صرفا از طریق زبان SPL و بستر Search And Report در Splunk تحلیل انجام شده است.
🔹️Threat Detection:
https://lnkd.in/dnnC22SD
🔹️Threat Validation:
https://lnkd.in/ddqC29GS
🔹️Scoping
https://lnkd.in/dwt_QZFA
🔹️C&C Analysis
https://lnkd.in/dRj8JBvv
🔹️Ransomware Investigation
https://lnkd.in/dyA4RbQy
🔹️Endpoint Advanced Malware Analysis
https://lnkd.in/dqdFrgVg
🔹️Ransomware Vulnerability Assessment
https://lnkd.in/dWRH42hz
🔹️Detect DDOS Attack
https://lnkd.in/dQvdD2ky
📌 Splunk For Security Investigation
@AmirHoseinTangsiriNET〽️
🔹حمله DLL Injection چیست و چگونه پیاده سازی میشود؟
https://security.tosinso.com/fa/articles/44517/
📌 DLL Injection
@AmirHoseinTangsiriNET〽️
🔹آموزش اضافه کردن زیرنویس فارسی به ویدیوهای یوتیوب (YouTube)
همونطور که میدونید توی یوتیوب (YouTube) ویدیوهای آموزشی و دوره های مختلف و ارزشمندی به صورت رایگان توسط تولیدکنندگان محتوا و کمپانی های بزرگ ارائه شده است اما مشکل بعضی افراد این است که تسلط خوبی در شنیدن و ترجمه کلمات انگلیسی ندارند از همین بابت توی این ویدیو خیلی راحت میتونید به ویدیوهای یوتیوب (YouTube) زیرنویس خوانا و قابل فهم فارسی اضافه کنید.
نکته دوم اینکه برای ویدیوها و دوره های زبان اصلی که زیرنویس انگلیسی دارند هم میتونید از نرم افزار Subtitle Translation Wizard استفاده کنید.
https://icdl.tosinso.com/fa/videos/13080
📌 Persian Subtitle
@AmirHoseinTangsiriNET〽️
🔹یادگیری رایگان AWS برای همه به همراه Lab
بستر AWS بخش های مختلفی برای یادگیری ارائه کرده است از جمله پر بیننده ترین اونهام AWS Traning هست که برای آمادگی در آزمون های بین المللی و یادگیری و شروع AWS فوق العادهست اما دسترسی به AWS برای افراد داخل ایران کمی سخت و هزینه بر میباشد از همین بابت برای رفع این چالش و این مشکل میتونید از AWS Educate استفاده کنید این بستر به صورت رایگان آموزش های مختلف AWS در حوزه های متنوع برنامه نویسی، شبکه و امنیت را ارائه میکند و به راحتی دسترسی رایگان در AWS را نیز به شما میدهد و برای دسترسی داشتن به این بستر صرفا فقط کافیست با یک Email وارد AWS Educate شوید و دوره ها و Lab هارا رایگان استفاده کنید.
🔹دسترسی و ثبت نام در AWS Educate:
https://aws.amazon.com/education/awseducate/
📌 AWS For All
@AmirHoseinTangsiriNET〽️
🔹آموزش نصب و پیکربندی Suricata در حالت IPS
https://security.tosinso.com/fa/articles/44493/
📌 Suricata IPS Mode
@AmirHoseinTangsiriNET〽️
🔹خداحافظ SIEM و سلام XSIAM
شرکت Palo Alto با ارائه یکی از راهکار های نوین حوزه SOC که با بهرگیری از هوش مصنوعی از همه میخواهد که با SIEM خداحافظی کنند چون که با گذشت زمان از ارائه شدن SIEM و افزایش بسترهای مانند نرم افزارها، زیرساخت ها، Micro Service ها و کاربران حجم و سرعت و پیشرفتگی تهدیدات نیز افزایش پیدا کرده است و شناسایی سریع تر و دقیق تر و پاسخگویی خودکارسازی شده نیاز به استفاده از تجهیزات جدید را دارد که این تجهیز توسط شرکت Palo Alto با عنوان Cortex XSIAM ارائه شده است و به عنوان جایگزین SIEM های قدیمی میتواند در محیط های عملياتي مورد استفاده قرار گیرد.
🔹اطلاعات بیشتر در رابطه با Cortex XSIAM:
https://yun.ir/nyji1g
📌 News
@AmirHoseinTangsiriNET〽️
🔹بدافزار ماکرو (Macro) چیست؟ پیاده سازی و شناسایی
https://security.tosinso.com/fa/articles/44485/
📌 Macro Malware
@AmirHoseinTangsiriNET〽️
🔺️Signed Binary Proxy Execution: MSHTA.exe
- Code Execution Attack Demo With MSHTA (Inline Script Method)
🔹️MITRE ATT&CK ID: T1218.005
🔹️MITRE ATT&CK Sub-Technique: T1218
🔹️Details Of This Attack(EN): https://lnkd.in/dEjTvSk5
📌 MSHTA
@AmirHoseinTangsiriNET〽️
🔺️Signed Binary Proxy Execution: Regsvr32
- Squiblydoo Code Execution Attack Demo
🔹️MITRE ATT&CK ID: T1218.010
🔹️MITRE ATT&CK Sub-Technique: T1218
🔹️Details Of This Attack(EN): https://lnkd.in/dGA5C4z5
🔹️Details Of This Attack(FA): https://lnkd.in/di9emNQA
📌 Squiblydoo
@AmirHoseinTangsiriNET〽️
🔹حمله DCSync چیست؟ پیاده سازی, شناسایی و جلوگیری
https://security.tosinso.com/fa/articles/44475/
📌 DCSync
@AmirHoseinTangsiriNET〽️
🔹Open Source Cyber Threat Intelligence Platform
👤Author: AmirHosein TangsiriNezhad
📌 Threat Intelligence Platform
@AmirHoseinTangsiriNET〽️
🔹بستر Cisco Umberlla چیست؟ به زبان ساده
https://cisco.tosinso.com/fa/articles/44465/
📌Cisco Umberlla
@AmirHoseinTangsiriNET〽️
🔹حمله DNS Exfiltration چیست و چگونه پیاده سازی میشود؟
https://security.tosinso.com/fa/articles/44462/
📌DNS Exfiltration
@AmirHoseinTangsiriNET〽️
🔺️All MITM Attack In One Place
🔹️امروز یک مخزن جالب دیدم در رابطه با تمام حملات MITM از لایه 2 تا لایه 4 که به صورت مرتب دسته بندی شده بودند، اما نکته ای که برای این مخزن وجود دارد این است که تمامی حملات توضیح داده شده اند، نحوه پیاده سازی و ابزارهای متنوع برای پیاده سازی آنها نیز معرفی شده است و علاوه بر پیاده سازی تمرکز بر روی تکنیک های نظارت و جلوگیری و شناسایی این حملات نیز شده است... از دستش ندید
https://lnkd.in/dCJUhsm5
📌 MITM
@AmirHoseinTangsiriNET〽️
🔺️Blue Team Lab (Free Online Lab)
🔹️ اگر فعال حوزه Blue Team هستید و علاقمند به یادگیری و به چالش کشیدن مهارت هاتون، حتما به این شش Lab رایگان و آنلاین سر بزنید... این شش Lab به صورت رایگان و آنلاین میباشند و برای دسترسی به آنها نیازی به راه اندازی بر روی سیستم شخصی خود را ندارید. دسته بندی این Lab ها شامل موارد متنوع و حوزه های مختلف Blue Team از جمله موارد زیر میشود:
🔹️Incident Response & Threat Hunting
🔹️Digital Forensic & Traffic Analysis
نام و آدرس وب سایت این محیط های تمرین:
🔹️TryHackMe (https://tryhackme.com)
🔹️HackTheBox Academy (https://lnkd.in/dZSc4TjC)
🔹️Immmersive Lab (https://lnkd.in/dCadWBSr)
🔹️RangeForce (https://lnkd.in/dvb8xrCK)
🔹️Security Blue Team (https://securityblue.team/)
🔹️Blue Team Lab (https://lnkd.in/dhWZ9DHU)
📌 Blue Team Lab
@AmirHoseinTangsiriNET〽️
🔺️Awesome Threat Detection and Hunting
🔹️یک مخزن فوق العاده و رایگان برای بحث Threat Hunting
این مخزن رو دست ندید شامل کلی ابزارهای محبوب و پراستفاده توی حوزه Threat Hunting هست و علاوه بر اون کلی مرجع، مستندات و منابع مختلف نیز در این رابطه در آن وجود دارد.
تمامی ابزارها و پلتفروم های معرفی شده در این مخزن به صورت رایگان و متن باز به همراه آدرس GitHub آنها میباشد.
https://github.com/0x4D31/awesome-threat-detection
📌 Threat Hunting
@AmirHoseinTangsiriNET〽️
🔹چگونه به محیط Splunk Cloud درحالت Trial دسترسی پیدا کنیم؟
https://security.tosinso.com/fa/articles/44514/
📌 Splunk Cloud
@AmirHoseinTangsiriNET〽️
🔹یکی از محبوب ترین پلتفروم های رایگان و آزاد مورد استفاده توسط تحلیلگران حوزه امنیت، Packettotal میباشد که این وب سایت دراصل یک پلتفروم هوش تهدیدات سایبری است اما با کمی تفاوت نسبت به دیگر پلتفروم های مشابه در حوزه CTI و تفاوت عمده این پلتفروم این است که تمرکزش بر روی دریافت فایل های ضبط شده شبکه (Pcap) میباشد و پس از دریافت به سرعت در یک Dashboard کاملا مجزا به صورت کامل تحلیل فایل Pcap شمارا برایتان نمایش میدهد.
اکثر فرآيند های این وب سایت خودکار سازی شده میباشد و ترافیک های مخرب و مشکوک را به همراه توضیحات متنوع ارائه میکند.
همچنین از دیگر ویژگی های این وب سایت میتوان به داشتن ویژگی TimeLine، داشتن ویژگی نمایش به صورت Graph، داشتن API های مختلف و رایگان بودن آن اشاره کرد.
🔹وب سایت Packettotal
Https://Packettotal.com
📌 Packettotal
@AmirHoseinTangsiriNET〽️
🔹آموزش نصب Snort به همراه Snowl و پیکربندی Snort از طریق Snowl UI
https://security.tosinso.com/fa/articles/44508/
📌 Snort With Snowl
@AmirHoseinTangsiriNET〽️
🔹معرفی انواع حالت استقرار سازی (Deployment Mode) در Splunk
https://security.tosinso.com/fa/articles/44492/
📌 Splunk Deployment Mode
@AmirHoseinTangsiriNET〽️
🔹تاکتیک Resources Development در MITRE ATT&CK و امنیت سایبری چیست؟
https://security.tosinso.com/fa/articles/44491/
📌 Resources Development
@AmirHoseinTangsiriNET〽️
🔺️SSDP Spoofing Attack Demo
🔹️Phishing Attack
🔹️Evil-SSDP GitHub: https://lnkd.in/d2B-KtYw
🔹️ Details Of This Attack(EN):https://lnkd.in/dR5aRWC8
📌 SSDP Spoofing
@AmirHoseinTangsiriNET〽️
🔹احتمالا اکثرتون با Yara آشنا باشید، یک ابزار رایگان و Open Source جهت تحلیل بد افزارها و فایل های مخرب به واسطه Yara Rule های که برای اون فایل ها نوشته میشه. حالا ما با همین ابزار از طریق Python هم میتونیم کارکنیم و Rule های خودمون رو بهش بدیم و داده روهم وارد کنیم که به شکل راحتی برای ما بیاد تحلیل و بررسی رو روی اون انجام بده (مثال سادهشو توی تصویر براتون زدم)
یک مثال موفق هم از این ماژول توی Python بخوام بگم ابزار YaraPcap هست که همون Yara خودمون هست اما برای فایل های Pcap و ترافیک های شبکه
ابزار YaraPcap:
📄https://github.com/kevthehermit/YaraPcap
آموزش Yara-Python:
📌https://yara.readthedocs.io/en/stable/yarapython.html
و همچنین یک مقاله که قبلا راجب Yara نوشته بودم برای عزیزانی که آشنا نیستند با این ابزار:
📌https://security.tosinso.com/fa/articles/44277/
〽️@AmirHoseinTangsiriNET
🔹تکنیک Squiblydoo چیست و چگونه پیاده سازی میشود؟
https://security.tosinso.com/fa/articles/44480/
📌 Squiblydoo
@AmirHoseinTangsiriNET〽️
🔹یکی از Platform های جالب و محبوب توی حوزه هوش تهدیدات سایبری OTX AlienVault هست که هم امکان به اشتراکگذاری اطلاعات تهدیدات (IOC) و هم امکان دریافت اونهارو میده.
امروز از طریق API های این پلتفروم، OTX Lookup رو نوشتم و روی گیت هابم قرار دادم که به راحتی میشه از طریقش با API های OTX AlienVault ارتباط برقرار کرد و داده های مشخصی رو جست و جو کرد و اطلاعات تهدیدات و IOC های ثبت شده برای یک داده مشخص رو دریافت کرد.
مثال خوبی هست برای کارکردن با API های OTX AlienVault علاوه بر اون میتونید از SDK مخصوص به OTX AlienVault هم استفاده کنید.
اطلاعات بیشتر در رابطه با API های OTX AlienVault:
📌Https://otx.alienvault.com/api
اطلاعات بیشتر راجب OTX Lookup:
📄GitHub: https://github.com/AmirHoseinTangsiriNET/OTX-Lookup
〽️@AmirHoseinTangsiriNET
🔹راهکار NSM یا همان Network Security Monitoring چیست؟
https://security.tosinso.com/fa/articles/44470/
📌NSM
@AmirHoseinTangsiriNET〽️
🔹چگونه POE را در سوییچ های سیسکو غیرفعال سازی کنیم؟
https://cisco.tosinso.com/fa/articles/44463/
📌POE
@AmirHoseinTangsiriNET〽️
🔹تیم CSIRT چیست؟ تیم پاسخگویی به حوادث امنیتی
https://security.tosinso.com/fa/articles/44456/
📌CSIRT
@AmirHoseinTangsiriNET〽️