Network Security Channel

مدتیه که WSUS دیگه اون پایداری و کارایی گذشته رو نداره. مخصوصاً وقتی صحبت از مدیریت به‌روزرسانی تو یه سازمان بزرگ با هزاران کلاینت می‌شه. ما هم مثل خیلیای دیگه، با کندی، عدم گزارش‌گیری درست، و محدودیت تو زمان‌بندی روبه‌رو بودیم. با توجه به این‌که سازمانی که باهاش کار میکنم کاملاً On-Premises هست و بیش از ۲۰٬۰۰۰ کلاینت داره، تصمیم گرفتم یه راه‌حل پایدار، مقیاس‌پذیر و قابل مدیریت رو طراحی و اجرا کنم. راهکاری که ارائه دادم: استفاده از Microsoft Configuration Manager (SCCM) یا بهتر بگم: اسم جدیدش، Microsoft Configuration Manager (ConfigMgr) این راهکار نه تنها مشکلات قبلی رو حل کرد، بلکه مزایای زیادی رو هم با خودش آورد: دسته‌بندی کلاینت‌ها و زمان‌بندی آپدیت‌ها به شکل دقیق گزارش‌گیری کامل از وضعیت نصب، کلاینت‌های آپدیت نشده و نیاز به ریستارت استفاده از Distribution Point برای کاهش فشار روی پهنای باند و همچنان استفاده از WSUS فقط به‌عنوان backend برای دریافت آپدیت‌ها زیرساخت پیشنهادی که پیاده‌سازی کردم: یک Primary Site Server مرکزی یک SQL Server اختصاصی نقش Software Update Point (SUP) متصل به WSUS چندین Distribution Point (DP) در نقاط جغرافیایی مختلف نتیجه این طراحی، یه سیستم به‌روز، پایدار و قابل کنترل برای انتشار آپدیت‌ها شد که حتی در مقیاس بالا هم بدون مشکل داره کار می‌کنه. گزینه‌های دیگه‌ای که بررسی کردم: Intune: ایده‌آل برای محیط‌های Cloud-first, ولی برای ما که کنترل محلی نیاز داریم هنوز کافی نیست. Windows Update for Business (WUfB): مناسب برای محیط‌های کوچک‌تر یا هیبرید، ولی برای ساختار ما انعطاف لازم رو نداشت. در نهایت، با این راهکار تونستم فرآیند به‌روزرسانی در سطح سازمان رو بهینه کنم، بدون اینکه ساختار فعلی رو به هم بزنم. اگه شما هم با WSUS به مشکل خوردید یا دنبال یه ساختار درست برای مدیریت Patch هستید، خوشحال می‌شم تجربیاتم رو در اختیارتون بذارم. #PatchManagement #WSUS #SCCM #ConfigMgr #Microsoft #EndpointManagement #WindowsUpdate #WUfB #Intune #ITInfrastructure 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

#آگهی_دعوت_به_همکاری عنوان شغلی: Chief Technology Officer جذب در استارتاپ ایرانی شرکت فعال در حوزه سرمایه گذاری دارای حداقل 10 تا 15 سال تجربه کاری تسلط بر زبان برنامه نویسی Python الزامی می باشد طراحی و بهینه‌سازی معماری سیستم‌های Back-End آشنایی با معماری میکروسرویس، پایگاه‌داده‌های PostgreSQL، Redis طراحی و اجرای استراتژی تکنولوژی مطابق با چشم‌انداز و اهداف تجاری شرکت ارزیابی و انتخاب فناوری‌های جدید برای بهبود عملکرد و مزیت رقابتی سازمان محل کار: تهران پکیج سالیانه: 2/5 تا 3 میلیارد تومان Talent@hctlinked.com 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer #HCTLinked #Job #فرصت_شغلی #استخدام #کاریابی #آگهی_استخدام #جذب #هدهانتینگ #هدهانتر #CTO #Chief_Technology_Officer

ما در چاپار به دنبال یک نیروی پرانرژی و فعال برای فرصت شغلی "برنامه‌نویس ری‌اکت" هستیم. - داشتن حداقل 3 سال تجربه کار در زمینه Front-End - مسلط به TypeScript - مسلط به فریم ورک فرانت‌اند (NextJs-React) - مهارت خوب در کار با ابزارها و فریمورک‌های مدیریت State مانند ReactQuery - مهارت خوب در مفاهیم و زبان های برنامه نویسی سمت Front (HTML5, CSS3, JavaScript) - آشنایی کافی با Git - آشنایی با مفاهیم Responsive - آشنایی با مفاهیم Restful API موارد زیر نیز امتیاز محسوب می‌شوند: - آشنایی با مفایم SEO - تجربه در توسعه مبتنی بر تست (TDD) لطفا رزومه خود را با عنوان "cv-react-developer" به نشانی ایمیل hr@chapar.co ارسال فرمایید. #فرصت_شغلی #استخدام 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

فرصت همکاری ما توی شرکت Simorgh Intelligent Business Ideas| ایده‌های تجارت هوشمند سیمرغ به دنبال جذب یک همکار برنامه نویس مسلط به جاوا هستیم. درصورتیکه تمایل به همکاری بصورت تمام وقت داشتید، لطفا رزومه خودتون رو به آدرس m.olyaie@sibitec.com ارسال فرمایید داشتن دانش کافی در این موارد الزامیست: -Spring Boot -MVC -Hibernate -JPA -Clean Code -relational database -RESTful -Spring Security -Redis #استخدام #جاوا 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

#جذب Odoo Developer توانایی ها • مسلط به زبان برنامه نویسی Python (آشنایی با فریم ورک Odoo مزیت بزرگی محسوب میشد) • آشنا به OWL • آشنا به توسعه با زبان های JS و HTML آشنا به توسعه و کسب و کار های سیستم های ERP • مسلط به ابزار Git (کاربری تیم ورک و برنامه نویسی) • آشنا با مفاهیم دیتابیس وTSQL (آشنایی با Postgresql مزیت محسوب میشود) • آشنا با متودلوژ Scrum • آشنا با مفاهیم API نویسی • آشنا با زبان انگلیسی • توانایی استفاده از ابزار هوش مصنوعی (ChatGPT, DeepSeek) • توانایی تحلیل و حل مسائل • آشنایی با کسب و کارهای حوزه های ERP ( مالی-حسابداری، انبار، تولید، کیفیت، زنجیره تامین، منابع انسانی) شرح شغل: • توسعه کسب و کارهای جدید در زیرساخت Odoo ERP • توسعه کسب و کارهای موجود و محلی سازی در زیرساخت Odoo ERP • نگه داشت و رفع مشکل در توسعه های انجام شده • مستند سازی تکنیکال وظایف انجام شده • شرکت در جلسات Scrum • بروزرسانی و نگه داشت تسک ها در کنترل پروژه • تعامل با تیم لطفا از رزومه خود را از طریق لینکدین یا آدرس ایمیل زیر برای بنده ارسال فرمایید hsn.yousefi@outlook.com 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

#استخدام ما در شرکت Soorin به دنبال دو همکار جدید و باانگیزه هستیم که بتونن با انرژی و تخصصشون به تیم امنیت سایبری ما اضافه بشن! اگه به دنیای امنیت علاقه‌مندید و دوست دارید تو یه محیط پویا کار کنید، فرصت خوبیه. موقعیت شغلی 1: تحلیلگر SOC (لایه 1) • وظایف اصلی: پایش و تحلیل رویدادهای امنیتی در مرکز عملیات امنیت به صورت شیفتی پاسخگویی اولیه به هشدارهای امنیتی و بررسی تهدیدات همکاری با تیم‌های لایه بالاتر برای مدیریت و رفع تهدیدات مستندسازی و گزارش‌دهی دقیق رویدادها • مهارت‌های مورد نیاز: آشنایی با ابزارهای SIEM (مثل Splunk یا ELK) دانش پایه در شبکه و پروتکل‌ها (TCP/IP، DNS و غیره) توانایی تحلیل لاگ و شناسایی الگوهای مشکوک آشنایی با مفاهیم تهدیدات سایبری (Malware، Phishing و غیره) موقعیت شغلی 2: محقق امنیت (Security Researcher با دید DevOps) • وظایف اصلی: تحقیق و تحلیل تهدیدات پیشرفته سایبری و آسیب‌پذیری‌ها توسعه ابزارها و اسکریپت‌های امنیتی برای بهبود فرآیندها همکاری با تیم DevOps برای امن‌سازی زیرساخت‌ها و CI/CD ارائه گزارش‌های تحلیلی و راهکارهای پیشگیرانه • مهارت‌های مورد نیاز: آشناییت نسبی به زبان‌های برنامه‌نویسی مثل Python داشتن دید نسبی بر روی داکر و Elastic و محصولات Open Source دانش خوب در امنیت شبکه • ویژگی‌های شخصیتی: کنجکاوی، خلاقیت و علاقه به یادگیری مداوم رزومه‌تون رو با ذکر موقعیت شغلی مورد نظر به ایمیل norouzi@soorinsec.ir برام بفرستید. منتظر دیدار شما هستم! 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

#فرصت_همکاری درود به همگی 👋😃 یکی از دوستان از شرکت خدمات فناوری اطلاعات رفاه ایرانیان «فارا» دنبال جذب چند نیروی فنی هستن. اگه تجربه داری و دنبال یه فرصت جدی برای همکاری هستی، شاید این همون موقعیته: فرصت‌های همکاری: ✅کارشناس امنیت شبکه (مسلط به فایروال Fortinet) ✅ادمین لینوکس (Sysadmin) ✅کارشناس NOC شرایط: حداقل یک سال سابقه کار مرتبط فارغ‌التحصیل رشته‌های نرم‌افزار یا IT لطفا رزومه‌‌تون رو با عنوان شغلی موردنظر به آدرس زیر بفرستین:👇 k.mirzaei@sfara.ir #استخدام #فرصت_شغلی #امنیت_شبکه #لینوکس 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

#استخدام #کارشناس_تست_نفوذ تیم امنیت ابرآمد، از متخصصان حوزه تست نفوذ و امن‌سازی Web Application از شما دعوت به همکاری می‌کند 🛸 مهارت‌های تخصصی مورد نیاز: 👾 آشنایی با متدلوژی OWASP (ASVS & WSTG) 👾 تسلط بر حملات Server-side & Client-side 👾 تسلط بر تجزیه‌ و تحلیل آسیب‌پذیری‌ها و توانایی اجرا و تغییر اکسپلویت‌ها 👾 تسلط بر کار با ابزارهای تست نفوذ (Burp suite ,nuclei, …) 👾 تسلط بر گزارش‌نویسی و ارائه راهکارهای برطرف‌سازی آسیب‌پذیری 👾 آشنایی با وب‌ اپلیکیشن فایروال‌های متداول و تسلط بر تکنیک‌های ارزیابی و دور زدن آنها 👾 داشتن مهارت کار تیمی مهارت‌هایی که برخورداری از آنها مزیت محسوب می‌شود: ⭐️ علاقه‌مند به اجرای فرآیند‌های Red Teaming (آشنا با فریمورک MITRE ATT&CK) ⭐️ سابقه فعالیت در پلتفرم‌های داخلی و خارجی باگ بانتی ⭐️ دارا بودن تفکر تحلیلی و علاقه‌مند به رویارویی با چالش‌های فنی تست نفوذ ⭐️ علاقه‌مند به R&D در حوزه حملات پیشرفته و تحلیل آسیب‌پذیری‌ها نیازمندی‌های همکاری: 🔶 ۳ تا ۵ سال سابقه تست نفوذ وب 🔶 داشتن کارت پایان خدمت یا معافیت دائمی برای آقایان 🔶 امکان حضور در شرکت (تهران) برای اطلاع از مزایای همکاری با ابرآمد و ارسال رزومه، از لینک زیر استفاده کنید: 🔗 https://www.abramad.com/jobs/ بخشی از داستان ما باشید 💙 #WebSecurity #PenetrationTesting #OWASP #BurpSuite #VulnerabilityAssessment #ExploitDevelopment #RedTeam #CyberSecurityJobs #BugBounty #AppSec #WAFBypass #SecurityExperts #InfosecCareers #EthicalHacking #SecurityHiring 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

#APT #Lazarus #Python در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است. ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده. تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند. در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند. قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود. در صورت اجرای پروژه  یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.

#Solarwinds #Platform #Deserializtion #Bugs همانطور که میدانید یکی از اصلی ترین نرم افزار های SolarWinds محصول مدیریت و نظارت بر شبکه است که طی سالهای اخیر چند آسیب پذیری روز صفر داشته است. پروتکلی در SolarWinds استفاده میشود با نام RabbitMQ که بر مبنای TCP کار کرده و در تصویر بالا پکت ضبط شده آن را مشاهده میکنید. این پروتکل بر روی پورت 5671 کار کرده و میتواند پیام های AMQP ارسال نماید، این پیام چند نوع و روش ارسال داده دارد. که در نوع Content header (2) میتواند نوع داده Serialize ارسال کند و در Properties تصویر دوم مشخص میشود که دریافت کننده مقدار کجاست. محقق با بررسی دقیق و مهندسی معکوس کد منبع، متوجه شده که در جریان ردیابی کد، هیچ کنترلی بر روی مقادیر Serialize نبوده و مقدار Properties در پیام، ظرفیت Deserialize شدن دارند. در تصویر بالا تابع HandleBasicDeliver پیام در پروتکل را دریافت میکند و در موقعیت 3 اقدام به برگشت دادن مقدار به تابع میکند. در تصویر دوم، Consume رو داریم که یک Method از IDisposable است و مقدار پیام دریافتی در Body را Deserialize میکند و عدم کنترل موجب اجرای کد شده است. @Engineer_Computer

نکته فنی تحلیل اجرای کد در محیط‌های سراب (Phantom Execution) مفهوم: برخی از بدافزارهای پیشرفته برای جلوگیری از تحلیل، از تکنیکی به نام "Phantom Execution" استفاده می‌کنند. در این روش، بدافزار کدی را اجرا می‌کند که در واقع وجود خارجی ندارد! چگونه؟ بدافزار ابتدا یک فضای حافظه تخصیص می‌دهد، اما قبل از اینکه کد واقعی در آن قرار بگیرد، CPU را مجبور می‌کند تا آن را اجرا کند. این کار معمولاً با دستکاری مستقیم Instruction Pointer (EIP/RIP) یا Branch Prediction انجام می‌شود. برخی پردازنده‌ها، مخصوصاً آن‌هایی که مکانیزم Speculative Execution دارند، ممکن است دستورالعمل‌های بارگذاری‌نشده را موقتاً پردازش کنند، که امکان اجرای کدی را فراهم می‌آورد که عملاً در حافظه وجود ندارد. چطور مهندسی معکوسش کنیم؟ از Intel Pin یا DynamoRIO برای بررسی رفتارهای غیرعادی اجرای کد استفاده کنید. ابزارهایی مانند Bochs یا Unicorn Engine می‌توانند پردازش قبل از اجرای واقعی را شبیه‌سازی کنند. از Branch Tracing در CPUهای مدرن (مثلاً با استفاده از Intel PT) برای کشف شاخه‌های غیرمنتظره کمک بگیرید. چرا این تکنیک خطرناک است؟ آنتی‌ویروس‌ها و دیباگرهای کلاسیک نمی‌توانند چیزی را که در حافظه بارگذاری نشده تحلیل کنند! این تکنیک می‌تواند برای اجرای شل‌کدهای مخفی و دور زدن مکانیزم‌های امنیتی استفاده شود @Engineer_Computer

خیلی پک شده و جمع و جور میخوای رجستری ویندوز در راستای فارنزیک رو درک کنی و چالش هاش رو بدونی لینک زیر رو بهت معرفی میکنم @Engineer_Computer https://belkasoft.com/windows-registry-forensics-structure-and-aquisition

در زمان لاگین کاربر در لینوکس دقیقا چه اتفاقی می‌افتد؟ درسی برای مدیریت حوادث لینوکس تصویر از درس سنز ۵۷۷ Linux DFIR @Engineer_Computer https://for577.com/bashlogin

نکته جالب امشب @Engineer_Computer https://blog.devolutions.net/2025/03/using-rdp-without-leaving-traces-the-mstsc-public-mode/

حملات Fileless به‌دلیل عدم ایجاد فایل روی دیسک، توسط آنتی‌ویروس‌های سنتی به‌راحتی قابل شناسایی نیستند. اما با ترکیب Sysmon، EDR، و Threat Hunting در SIEM می‌توان این نوع حملات را شناسایی کرد @Engineer_Computer

🚨بررسی APIها و ابزارهای پرکاربرد در حملات Fileless و نحوه پایش آن‌ها در SOC حملات Fileless بدافزارهایی هستند که بدون ایجاد فایل روی دیسک، کد مخرب را مستقیماً در حافظه اجرا می‌کنند. این نوع حملات معمولاً از PowerShell، WMI، اسکریپت‌های ماکرو، و فرآیندهای معتبر ویندوز سوءاستفاده می‌کنند. در اینجا لیستی از APIها و ابزارهای مهم مورد استفاده در این حملات همراه با روش‌های پایش آنها در SOC ارائه شده است. این APIها و ابزارهای کلیدی در حملات Fileless 1️⃣ اجرای کد در حافظه 🔹 VirtualAlloc / VirtualAllocEx / VirtualProtect / VirtualProtectEx 🔹 NtAllocateVirtualMemory / NtProtectVirtualMemory 🔹 WriteProcessMemory / ReadProcessMemory 🔹 RtlMoveMemory / memcpy 🔹 CreateRemoteThread / NtCreateThreadEx / QueueUserAPC چطور پایش کنیم؟ 🔍 در ETW (Event Tracing for Windows) و Sysmon می‌توان Event ID 10 (Process Access) و Event ID 8 (Process Injection) را بررسی کرد. 🔍 به تغییر مجوزهای حافظه از RW به RX مشکوک باشید. 🔍 نظارت بر VirtualAlloc همراه با CreateThread در یک فرآیند خاص (مثل explorer.exe). 2️⃣ اجرای کد از طریق پردازش‌های دیگر (Process Injection) CreateRemoteThread → تزریق و اجرای کد در فرآیند دیگر 🔹 NtCreateThreadEx → روش مخفی‌تر برای ایجاد ترد 🔹 QueueUserAPC → اجرای کد هنگام اجرای ترد هدف 🔹 SetThreadContext / GetThreadContext → تغییر جریان اجرای یک ترد ✅ چطور پایش کنیم؟ 🔍 Sysmon Event ID 8 را برای Process Injection بررسی کنید. 🔍 هرگونه اجرای غیرعادی CreateRemoteThread را در پراسس هایی مثل lsass.exe یا explorer.exe بررسی کنید. 🔍 محصولان EDRهایی مانند سیمنتک و CrowdStrike، Microsoft Defender for Endpoint، SentinelOne قابلیت تشخیص Injection را دارند. 3️⃣ سوءاستفاده از PowerShell و WMI 🔹استفاده از powershell.exe -EncodedCommand → اجرای اسکریپت رمزگذاری‌شده 🔹و wmic process call create → اجرای فرآیند با WMI 🔹و Invoke-Expression (IEX) → دانلود و اجرای کد مخرب 🔹و mshta.exe → اجرای کد مخرب HTML از راه دور ✅ چطور پایش کنیم؟ 🔍 Sysmon Event ID 1 (Process Creation) را برای powershell.exe بررسی کنید. 🔍 PowerShell Logging را فعال کنید (Script Block Logging و Module Logging). 🔍 درخواست‌های WMI را در Event ID 5861 و Event ID 5857 نظارت کنید. 🔍 Microsoft Defender ASR (Attack Surface Reduction) را برای بلاک کردن WMIC و mshta.exe فعال کنید. 4️⃣ جایگزینی و هالویینگ پراسس(Process Hollowing) 🔹 NtUnmapViewOfSection → حذف کد اصلی یک فرآیند 🔹 ZwWriteVirtualMemory / WriteProcessMemory → تزریق کد جدید 🔹 NtResumeThread → اجرای کد جدید ✅ چطور پایش کنیم؟ 🔍 Sysmon Event ID 10 را برای دسترسی غیرعادی به حافظه فرآیندها بررسی کنید. 🔍 تغییر مسیر اجرای فرآیند در Event ID 25 (Process Tampering) را بررسی کنید. 🔍 بررسی کنید که آیا فرآیندها مانند svchost.exe یا explorer.exe به ناگهان کد جدیدی دریافت کرده‌اند. 5️⃣ اجرای کد بدون ایجاد فایل (LOLbins) 🔹 rundll32.exe → اجرای DLLهای مخرب 🔹 regsvr32.exe /s /u /i:url → دانلود و اجرای DLL از اینترنت 🔹 msiexec.exe /q /i <url> → دانلود و اجرای بدافزار 🔹 certutil.exe -urlcache -split -f <url> → دانلود بدافزار 🔹 bitsadmin /transfer <url> → دانلود و اجرای مخفیانه بدافزار ✅ چطور پایش کنیم؟ 🔍 اجرای این ابزارها با آرگومان‌های غیرعادی را در Sysmon Event ID 1 بررسی کنید. 🔍 از Application Control Policies (AppLocker) برای محدود کردن این ابزارها استفاده کنید. 🔍این Attack Surface Reduction (ASR) را در Microsoft Defender فعال کنید. 🎯 استراتژی کلی پایش حملات Fileless در SOC ✅ 1. فعال کردن Sysmon و ETW اینSysmon Event IDs مهم: ID 1 (Process Creation) → اجرای پردازش‌های مشکوک ID 3 (Network Connection) → ارتباطات غیرعادی ID 8 (Process Injection) → تزریق کد به فرآیندها ID 10 (Process Access) → تغییرات در حافظه ID 25 (Process Tampering) → تغییرات در فرآیندهای در حال اجرا ✅ 2. فعال کردن Windows Defender و EDR Microsoft Defender ASR Rules: بلاک کردن اجرای PSExec و WMI جلوگیری از اجرای اسکریپت‌های رمزگذاری‌شده در PowerShell محدود کردن mshta.exe و regsvr32.exe ✅ 3. استفاده از Threat Hunting در Splunk و SIEM پایش VirtualAlloc همراه با CreateThread در یک فرآیند جستجوی powershell.exe -EncodedCommand در لاگ‌ها بررسی ارتباطات غیرعادی با Sysmon Event ID 3 یافتن جابجایی فرآیندها (NtUnmapViewOfSection) 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

راهکار فرار بدافزارهای جدید 🔴وقتی از امنیت علیه امنیت استفاده میشه خیلی خطرناک هستند 🟣واقعا راهکارهای جدیدی برای کشف این نوع نفوذ ها لازمه https://www.akamai.com/blog/security-research/2025/feb/2025-february-abusing-vbs-enclaves-evasive-malware @Engineer_Computer

سیسمون و Audit در ویندوز برای SOC میدونیم که سیسمون چه رویداد هایی رو لاگ می‌اندازد. و می‌دونیم ویندوز بصورت پیش فرض یکسری رویداد ها را لاگ نمی‌کند و لازم است Audit را تنظیم کرد. حالا با نگاهی به حملات بیایید بررسی کنیم چه چیزهایی رو نمیشه با تنظیم سیسمون گرفت و لازمه با تنظیم audit در ویندوز لاگ گیری کرد ،  آیا سیسمون به تنهایی کافیه؟ سیسمون (Sysmon) یک ابزار قدرتمند برای لاگ‌گیری از فعالیت‌های سیستمی در ویندوز است، اما محدودیت‌هایی دارد که باعث می‌شود در برخی موارد نیاز به تنظیمات Windows Audit Policy باشد. در اینجا برخی از حملات را بررسی می‌کنیم و مشخص می‌کنیم که آیا سیسمون به‌تنهایی کافی است یا باید از Windows Audit نیز استفاده شود: ۱. حملات اجرای کد از راه دور (RCE) و Exploitation ✅ سیسمون لاگ می‌گیرد: این Sysmon با Event ID 1 (Process Creation) می‌تواند اجرای پردازش‌های مشکوک را ثبت کند. Event ID 8 (CreateRemoteThread) و Event ID 10 (ProcessAccess) می‌توانند برای شناسایی حملات تزریق کد به کار روند. ❌ اما کافی نیست، Audit لازم است: Object Access > Audit Handle Manipulation می‌تواند برای بررسی دسترسی‌های غیرمجاز روی حافظه یا فایل‌ها کمک کند. Privilege Use > Audit Sensitive Privilege Use می‌تواند استفاده از توکن‌های حساس را لاگ کند. ۲. حملات مربوط به دستکاری لاگ‌ها و حذف ردپاها ✅ سیسمون لاگ می‌گیرد: Event ID 5 (Process Terminated) برای بررسی فرآیندهای غیرعادی که در تلاش برای حذف ردپاها هستند. Event ID 22 (DNS Query) برای شناسایی درخواست‌های مشکوک به سرویس‌های C2. ❌ اما کافی نیست، Audit لازم است: Audit Policy Change برای بررسی تغییرات در تنظیمات لاگ‌گیری ویندوز. System > Audit System Integrity برای بررسی تغییرات غیرمجاز در رجیستری و فایل‌های سیستم. ۳. حملات Pass-the-Hash (PtH) و Pass-the-Ticket (PtT) ✅ سیسمون لاگ می‌گیرد: Event ID 10 (Process Access) برای مشاهده تلاش‌های دسترسی به پردازش‌های LSASS. ❌ اما کافی نیست، Audit لازم است: Logon/Logoff > Audit Logon برای ثبت لاگین‌های مشکوک. Credential Validation > Audit Credential Validation برای بررسی تأییدیه‌های هویتی. Special Logon برای بررسی ورودهای مدیریتی و استفاده از توکن‌های خاص. ۴. حملات مربوط به ایجاد کاربر و تغییر دسترسی‌ها (Privilege Escalation) ✅ سیسمون لاگ می‌گیرد: Event ID 1 (Process Creation) می‌تواند اجرای ابزارهایی مثل net user یا wmic را ثبت کند. ❌ اما کافی نیست، Audit لازم است: Account Management > Audit User Account Management برای بررسی ایجاد یا حذف کاربران. Privilege Use > Audit Privilege Use برای مشاهده دسترسی‌های سطح بالا. ۵. حملات به Active Directory و Kerberos ✅ سیسمون لاگ می‌گیرد: Event ID 13 (Registry Key and Value Change) برای بررسی تغییرات در رجیستری که ممکن است روی Kerberos تأثیر بگذارد. ❌ اما کافی نیست، Audit لازم است: Account Logon > Audit Kerberos Authentication Service برای بررسی درخواست‌های احراز هویت Kerberos. Audit Directory Service Access برای لاگ کردن تغییرات در Active Directory. ۶. حملات مربوط به اجرای اسکریپت‌های مخرب (PowerShell, WMI, HTA, VBA) ✅ سیسمون لاگ می‌گیرد: Event ID 1 (Process Creation) برای اجرای اسکریپت‌های مشکوک. Event ID 11 (File Create) برای بررسی ایجاد فایل‌های مشکوک. ❌ اما کافی نیست، Audit لازم است: Script Block Logging در Group Policy برای لاگ کردن اسکریپت‌های PowerShell. WMI Auditing برای بررسی اجرای WMI در سطح سیستم. نتیجه‌گیری سیسمون ابزار بسیار خوبی برای مشاهده رفتارهای مشکوک در سطح پردازش، شبکه، و رجیستری است، اما به‌تنهایی برای تحلیل همه‌ی حملات کافی نیست. تنظیم Windows Audit Policy می‌تواند لاگ‌های اضافی و ارزشمندی را فراهم کند، به‌خصوص در موارد زیر: احراز هویت و لاگین‌ها (Kerberos, PtH, PtT) دسترسی‌های مدیریتی و تغییرات در سیستم (Account Management, Privilege Use) دسترسی به Active Directory و لاگ‌های امنیتی (Audit Directory Service Access) تغییرات در Audit Policy و حذف لاگ‌ها (Audit Policy Change, System Integrity) این Sysmon را برای بررسی فعالیت‌های مشکوک در سطح پردازش و رجیستری فعال نگه‌دارید. مقوله Windows Audit Policy را روی دسته‌های Logon, Privilege Use, Object Access, و System Integrity تنظیم کنید تا حملات پیچیده‌تر قابل مشاهده باشند. @Engineer_Computer

اینم یه مقاله خوب واسه سطح ۲ مرکز عملیات https://www.thedfirspot.com/post/lateral-movement-remote-desktop-protocol-rdp-event-logs @Engineer_Computer

یه ویدئو براتون میگذارم تا چیستی ETW دستتون بیاد https://youtu.be/-i_xAF7JqyA?si=Iov9GT_bnJyU6Kfg @Engineer_Computer