الشرق الأوسط
التكنولوجيا
التمويل
أمن المعلومات
أمن الشبكات
أمان النقاط النهائية
توعية أمنية
كشف التهديدات
إلى كل المنشئات السعودية والخليجية في المنطقة :
نظرا للأحداث الاخيره الحاصله في المنطقه ، والتي تستدعي اليقظة في مراقبة جميع النشاطات المشبوهة . نوصي بالتأكد بمراقبة التكتيكات والتقنيات والإجراءات التاليه والتي عرفت بانها تستخدم في الهجمات المستهدفه للمنطقه والسعودية خاصة:
نظرا للأحداث الاخيره الحاصله في المنطقه ، والتي تستدعي اليقظة في مراقبة جميع النشاطات المشبوهة . نوصي بالتأكد بمراقبة التكتيكات والتقنيات والإجراءات التاليه والتي عرفت بانها تستخدم في الهجمات المستهدفه للمنطقه والسعودية خاصة:
1- T1341 تثقيف الموظفين في عدم افشاء اي معلومات حساسه وعدم الثقه بأي اشخاص يقدمون عروض من خلال شبكة LinkedIn بشكل خاص والشبكات الأخرى عامة.
2- T1003 مراقبة أي تواجد لأداة Mimikatz وغيرها تحت تصنيف Credential Dumping
"هل حلولكم تستطيع كشف هذه الأدوات ؟ EDR Or EP .
2- T1003 مراقبة أي تواجد لأداة Mimikatz وغيرها تحت تصنيف Credential Dumping
"هل حلولكم تستطيع كشف هذه الأدوات ؟ EDR Or EP .
3- T1060 مراقبة اي خدمه يتم انشائها في ملفات Registry Run Keys / Startup Folder .
4- T1076 تقنين استخدام RDP ومراقبته في حال الحاجه. Who and why ?
5- T1021 مراقبة SSH " خاصة للأجهزه الحساسه"
4- T1076 تقنين استخدام RDP ومراقبته في حال الحاجه. Who and why ?
5- T1021 مراقبة SSH " خاصة للأجهزه الحساسه"
6- T1053 مراقبة المهام المجدوله schedualed tasks
" خاصة خارج اوقات الدوام الرسمي والتحقق منها"
والمتمثله في الاوامر التاليه : at.exe and schtasks.exe
7-T1035 مراقبة استخدامات اداة PsExec.أو على الاقل حصر استخدامها فقط لمسؤولين الأنظمة ومراقبى استخدامها لخلاف ذلك(خارج الوقت)
" خاصة خارج اوقات الدوام الرسمي والتحقق منها"
والمتمثله في الاوامر التاليه : at.exe and schtasks.exe
7-T1035 مراقبة استخدامات اداة PsExec.أو على الاقل حصر استخدامها فقط لمسؤولين الأنظمة ومراقبى استخدامها لخلاف ذلك(خارج الوقت)
8- T1086 مراقبة جميع عمليات PowerShell. قاعدة عامة لكل مسؤولين ال SOC:
Know normal to detect the abnormal .
وننبه للانتباه للتالي :
1- مراقبة ما اذا كان ال PowerShell بترميز Base64 او لا . في كلتا الحالتين يجب التحقق من شرعيته او لا
2- طول ال PowerShell نفسه قد يدل الى خبثه.
Know normal to detect the abnormal .
وننبه للانتباه للتالي :
1- مراقبة ما اذا كان ال PowerShell بترميز Base64 او لا . في كلتا الحالتين يجب التحقق من شرعيته او لا
2- طول ال PowerShell نفسه قد يدل الى خبثه.
3- بحسب كل بيئه ، هل تحتاج ان يعمل الPowershell ك Unrestricted ؟ او Restricted ؟ وفيما بينهم .
4- كل Powershell تم انشائه من Cmd.exe وما اذا كان يحتوي اي IP خارجي او لا ؟
5- كل Powershell تم انشائه من Word.exe , excel.exe or adobe.exe
4- كل Powershell تم انشائه من Cmd.exe وما اذا كان يحتوي اي IP خارجي او لا ؟
5- كل Powershell تم انشائه من Word.exe , excel.exe or adobe.exe
6- تعطيل استخدام Powershell الاصدار الثاني في كل من ويندوز 7 و سيرفر 2008 R2 . وازالته في كل اصدار اجدد من ذلك (لا يمكن ازالته في الإصدارات القديمه) لماذا ؟
Powershell الإصدار الثاني لايمكنه تسجيل ال command arguments في الLogs او السجلات. يستخدم من قبل ال Actors to cover tracks
Powershell الإصدار الثاني لايمكنه تسجيل ال command arguments في الLogs او السجلات. يستخدم من قبل ال Actors to cover tracks
نعود لرقم 9-
T1047 مراقبة اوامر WMI .
10 - T1085 مراقبة اي عملية تنفيذيه من Rundll32 والتي تستخدم لتنفيذ سكربتات جافاسكربت Javascript والتي تستخدم كثيرا في بعض البرمجيات الخبيثة و الراتز RATs "مرفق مثال"
T1047 مراقبة اوامر WMI .
10 - T1085 مراقبة اي عملية تنفيذيه من Rundll32 والتي تستخدم لتنفيذ سكربتات جافاسكربت Javascript والتي تستخدم كثيرا في بعض البرمجيات الخبيثة و الراتز RATs "مرفق مثال"
10 - T1116 ليس كل ملف تنفيذي موثق بشهادة Certificate مضمون او شرعي .
في حال الشك في ملف تنفيذي على سبيل المثال في احد الاجهزه ، من الممكن النظر للامور التاليه :
1- هل يتواجد هذا الملف (بنفس الهاش) على اكثر من جهاز ؟
2- ماهي الخدمة التي تم تشغيله منها ؟ Parent-child relationship
في حال الشك في ملف تنفيذي على سبيل المثال في احد الاجهزه ، من الممكن النظر للامور التاليه :
1- هل يتواجد هذا الملف (بنفس الهاش) على اكثر من جهاز ؟
2- ماهي الخدمة التي تم تشغيله منها ؟ Parent-child relationship
3- هل تشغيله مجدول ؟ Schedualed task
4- التأكد من وجوده في قائمة الملفات المسموحه Whitlisted or not ?
4- التأكد من وجوده في قائمة الملفات المسموحه Whitlisted or not ?
11- T1170 مراقبة تشغيل Mshta.exe والتي لوحظ استخدامها لتشغيل ملفات امتداد .Hta .
بحسب كل بيئه في أي منظمة ، قد لا يتم استخدامها ويتم وضعها في Blacklisted list
12- T1223 مراقبة أي تشغيل ل hh.exe والتي من خلالها يتم تشغيل ملفات .chm والتي ثبت استخدامها في هجمات سابقه
بحسب كل بيئه في أي منظمة ، قد لا يتم استخدامها ويتم وضعها في Blacklisted list
12- T1223 مراقبة أي تشغيل ل hh.exe والتي من خلالها يتم تشغيل ملفات .chm والتي ثبت استخدامها في هجمات سابقه
12- T1089 مراقبة أي تعطيل او مسح لادوات الامنيه او السجلات وعلى سبيل المثال لا الحصر :
1- استخدام Netsh لتعطيل الجدار الناري netsh advfirewall set currentprofile state off
2- مسح سجل الاحداث الامنيه Security logs بوجود Log Event ID 1102
1- استخدام Netsh لتعطيل الجدار الناري netsh advfirewall set currentprofile state off
2- مسح سجل الاحداث الامنيه Security logs بوجود Log Event ID 1102
ختاما : لأي استفسارات نسعد بالمساعدة في أي نقطه تم او لم يتم ذكرها في الخاص . ويوجد الكثير غير ما تم ذكره سلفا ولكن هذا هو ابرز ماتم ملاحظته سابقا او السائد في اخر الهجمات المستهدفه للمنطقه .
وشكرا لكم.
وشكرا لكم.
جاري تحميل الاقتراحات...