Isolate and do a full scan. It should not be the first response in real-world incidents.
طيب بسم الله الرحمن الرحيم ونبدا بالاجابة على السؤال البسيط بثريد اللي طلع لنا سيناريوهات مو بسيطة.
* فضلها اذا تبي ترجع لها و تساعد على نشر المعلومة.
طيب بسم الله الرحمن الرحيم ونبدا بالاجابة على السؤال البسيط بثريد اللي طلع لنا سيناريوهات مو بسيطة.
* فضلها اذا تبي ترجع لها و تساعد على نشر المعلومة.
هذا الثريد لايستهدف المبتدئين في #الامن_السيبراني ، يستهدف الـBlue team في سوق العمل.
( غالباً ماراح اتكلم عن tools او solutions معينه، غالباً بتكلم عن الـ mindset الي انا اشوفها هي الافضل من وجهة نظري من ناحية
Analysis/ incident Response / digital forensics )
ونفتح باب للنقاش
( غالباً ماراح اتكلم عن tools او solutions معينه، غالباً بتكلم عن الـ mindset الي انا اشوفها هي الافضل من وجهة نظري من ناحية
Analysis/ incident Response / digital forensics )
ونفتح باب للنقاش
Analysis
في البداية لازم نتأكد اذا هذا الانذار هو انذار صحيح أو لا، ونحدد نوعية الاتصال ونوعية الجهاز اللي طلب ( جهاز او سيرفر )، هل هو موقع او عبارة عن C2 او installation ؟
اذا كان عبارة عن موقع
في البداية لازم نتأكد اذا هذا الانذار هو انذار صحيح أو لا، ونحدد نوعية الاتصال ونوعية الجهاز اللي طلب ( جهاز او سيرفر )، هل هو موقع او عبارة عن C2 او installation ؟
اذا كان عبارة عن موقع
⁃ايش هو الموقع؟ هل ينزل ملفات الموقع بعد زيارته ( احتمال يكون C2 او installation )؟
⁃متى أُنشئ ؟
⁃إيش الاكتفتي او المواقع اللي زارها المستخدم قبل طلب هذا الـsuspicious domain (لانه احياناً يكون زار موقع ويسويله اعادة توجيه على هذا الدومين المشبوه *اعلان او غيره* ) ؟
⁃متى أُنشئ ؟
⁃إيش الاكتفتي او المواقع اللي زارها المستخدم قبل طلب هذا الـsuspicious domain (لانه احياناً يكون زار موقع ويسويله اعادة توجيه على هذا الدومين المشبوه *اعلان او غيره* ) ؟
⁃من اللي طلب هذا الموقع( excusable file / PowerShell/ Enduser )؟
⁃ولا ننسى أهم خط دفاع عندنا في المنشأة ( المستخدم / الموظف ) تسأله، هل زرت هذا الموقع؟ هل حاولت الدخول على هذا الموقع ؟ ( لا تصدقه بشكل كامل، لانه عامل بشري ويحتمل الخطأ، ولكن فقط عشان تكون عندك نظره عامه ).
⁃ولا ننسى أهم خط دفاع عندنا في المنشأة ( المستخدم / الموظف ) تسأله، هل زرت هذا الموقع؟ هل حاولت الدخول على هذا الموقع ؟ ( لا تصدقه بشكل كامل، لانه عامل بشري ويحتمل الخطأ، ولكن فقط عشان تكون عندك نظره عامه ).
بعد الإجابة على هذه الأسئلة اللي فوق راح تكون عندك رؤية وتتضحلك (اذا كان انذار خاطئ او لا).
طيب بعد هذا كله، فعندنا خيارين ( انذار خاطئ، انذار صحيح واليوزر ما كان يعلم عن اي شي. )
اذا كان انذار صحيح، وماشفنا انها FP ننتقل للخطوة القادمه…
طيب بعد هذا كله، فعندنا خيارين ( انذار خاطئ، انذار صحيح واليوزر ما كان يعلم عن اي شي. )
اذا كان انذار صحيح، وماشفنا انها FP ننتقل للخطوة القادمه…
Incident Response:
⁃لا تبلك، أيه نعم، لا تبلك الكونكشن على طول🤡 ( في هذي المرحلة لسى حنى نبغا نعرف وين المدى اللي وصله ).
الى الآن الـ attacker مايدري ان حنى صايدينه، فليه نعلمه اننا صدناه؟
⁃لا تبلك، أيه نعم، لا تبلك الكونكشن على طول🤡 ( في هذي المرحلة لسى حنى نبغا نعرف وين المدى اللي وصله ).
الى الآن الـ attacker مايدري ان حنى صايدينه، فليه نعلمه اننا صدناه؟
ومن المُمكن أن هذا C2 هو عبارة عن redirection وواصل لمنطقة أبعد وممكن يكون مجرد installation عن طريق جهاز اخر عليه C2 او انه installation ولكن ماوصل لمرحلة الـC2…
طيب الحين السيناريوين الي عندنا ( احدى خيارين PC او Server )
طيب الحين السيناريوين الي عندنا ( احدى خيارين PC او Server )
Incident Response(PC scenario)
اذا كان PC:
⁃يعتمد على المنشأة حقتك،اذا تحققت فيها الأشياء التالية،وبناءاً على الجواب عليها، تقدر تعرف
^هل يوجدfull packet captureفي المنظمة ؟او على الاقل flows capture؟ (عشان نراجع الـ activity اللي صارت على مستوى الـ network من والى هذا الجهاز)
اذا كان PC:
⁃يعتمد على المنشأة حقتك،اذا تحققت فيها الأشياء التالية،وبناءاً على الجواب عليها، تقدر تعرف
^هل يوجدfull packet captureفي المنظمة ؟او على الاقل flows capture؟ (عشان نراجع الـ activity اللي صارت على مستوى الـ network من والى هذا الجهاز)
^ هل الـ executable file على الجهاز فقط او انه وصل للـ Share folder ؟ منهم المستخدمين اللي عندهم Access على Share folder اذا كان موجود، هل تم فتحه من قبل أحد المستخدمين الثانين او لا ؟
^ أيش الأجهزه اللي تواصلت ( من والى ) هذا الجهاز؟ ( لانه ممكن يكون هذا الجهاز صارله compromise بسبب جهاز اخر في المنظمه معه ).
^ أبحث في الـDNS عن كل الاجهزه اللي طلبت هذا الدومين ( ماراح تفيدك غالباً لو كان C2 with redirection )
^ أبحث في الـDNS عن كل الاجهزه اللي طلبت هذا الدومين ( ماراح تفيدك غالباً لو كان C2 with redirection )
^ اذا تواصل مع اجهزه كثير فهنا من المحتمل اننا نحتاج نسوي Network DF (بناءاً على نوع التواصل اذا كان واضح لنا او لا).
هذي الأسئلة فقط عشان نعرف الاجهزه اللي تحتاج عزل، وتعطينا نظرة عامه عن دائرة الهجوم، طبعاً، ماننسى انه اهم شي البزنس مايوقف،
هذي الأسئلة فقط عشان نعرف الاجهزه اللي تحتاج عزل، وتعطينا نظرة عامه عن دائرة الهجوم، طبعاً، ماننسى انه اهم شي البزنس مايوقف،
والموظف أحد أهم عناصر البزنس، فنشوف إيش عمل الموظف ونحاول نعطيه اقل الامكانيات لاداء عمله، خلنا نقول عندنا موظف HR، فهذا الموظف، راح اقفل عليه كل الـ connections واخلي محد يقدر يتواصل معه ماعدا البورت 25 عشان يرسل ايميلات ويستقبلها ويكمل عمله باقل امكانيات
ملاحظة:
- في بعض الحالات يحتاج تعزلها بحيث انه مايكون عنده صلاحيات الدخول على الـ share folder عشان للحين مو واضحلك نوع الـ malware.
- يعتمد على نوع الـmalware هل ممكن يسوي ضرر كبير لدرجة اننا نوقف عمل الموظف بشكل كامل، ونعزله بشكل كامل عشان هذا الـ malware ؟ ^ بعض الاحيان نعم.
- في بعض الحالات يحتاج تعزلها بحيث انه مايكون عنده صلاحيات الدخول على الـ share folder عشان للحين مو واضحلك نوع الـ malware.
- يعتمد على نوع الـmalware هل ممكن يسوي ضرر كبير لدرجة اننا نوقف عمل الموظف بشكل كامل، ونعزله بشكل كامل عشان هذا الـ malware ؟ ^ بعض الاحيان نعم.
في هذي المرحلة سوينا عزل للاجهزه كامله اللي هي compromised.
هل نسوي scan ؟ ( من وجهة نظري الـ scan على الاجهزه مايفيد مره ^في بعض الحالات^ ) وش راح نسوي ؟
نبدا بالمرحلة اللي بعدها …
Scan
في هذي المرحلة راح نسوي scan على ٣ اقسام تختلف باختلاف الـcase اللي عندنا،
هل نسوي scan ؟ ( من وجهة نظري الـ scan على الاجهزه مايفيد مره ^في بعض الحالات^ ) وش راح نسوي ؟
نبدا بالمرحلة اللي بعدها …
Scan
في هذي المرحلة راح نسوي scan على ٣ اقسام تختلف باختلاف الـcase اللي عندنا،
اذا كان الـ
executable file / Connection is active )
Share folder scan ( if need ).
PC Scan.
Network Scan.
هل خلصنا هنا ؟ طيب اذا كان فيه ملف
(not active yet and created by the malicious file ؟ )
executable file / Connection is active )
Share folder scan ( if need ).
PC Scan.
Network Scan.
هل خلصنا هنا ؟ طيب اذا كان فيه ملف
(not active yet and created by the malicious file ؟ )
فيه الطريقة المفضله عندي في عمل الـScan…
انك ماتستخدم automated tool for scan،
أفضل خصائص الـ automated tool for scan هو غالباً الـFull scan ولكن للازم نعرف الشي كيف يشتغل، عشان نعرف اذا هو كويس او لا،
What-is/How full-scan/SNOAR for SEP ( as an example ) features/work ?
انك ماتستخدم automated tool for scan،
أفضل خصائص الـ automated tool for scan هو غالباً الـFull scan ولكن للازم نعرف الشي كيف يشتغل، عشان نعرف اذا هو كويس او لا،
What-is/How full-scan/SNOAR for SEP ( as an example ) features/work ?
هنا فيه عندنا مشكلة من ناحية الـ
Heuristic-based detection
وبالاصح من ناحية، كم عدد من الـ attributes يحدد اذا هو malicious او لا؟ ( يختلف على حسب اختلاف الـ security control اللي عندك ).
وبما انك مو عارف، او عارف وتحس عدد الـ attributes كثير!
Heuristic-based detection
وبالاصح من ناحية، كم عدد من الـ attributes يحدد اذا هو malicious او لا؟ ( يختلف على حسب اختلاف الـ security control اللي عندك ).
وبما انك مو عارف، او عارف وتحس عدد الـ attributes كثير!
في هذي الحاله راح تشوف الـ security control عندك اللي يسجل كل الـ activity اللي تصير على الجهاز ( غالباً ) مثل الـEDR ( هذا اللي افضله)، وتفحص الجهاز بنفسك وتشوف كل الـactivity اللي صارت وهل هو compromised او لا. واذا compromised وش نوعيته ؟ ووين وصل ؟
ممكن بس يحتاج تسوي
( including DF ) IR
على نفس الجهاز، بانك تسحب الـ artifacts والـ process وتشوف وين وصل وتقفل عليه وتحذفه.
( برضو اذا حذفتها لازم تشيك على الـ Scheduled Tasks ( كما هو مذكور في التغريده للاسطورة بو يعقوب)
( including DF ) IR
على نفس الجهاز، بانك تسحب الـ artifacts والـ process وتشوف وين وصل وتقفل عليه وتحذفه.
( برضو اذا حذفتها لازم تشيك على الـ Scheduled Tasks ( كما هو مذكور في التغريده للاسطورة بو يعقوب)
وهل الجهاز يحتاج rebidding from scratch او لا (غالباً بعد مرحلة الـ DF تقدر تعرف) ؟
Digital Forensics (PC scenario)
متى بنحتاجها؟
اذا كان ماعندنا معرفة ورؤية ١٠٠٪ عن الـ activity اللي صارت كلها في هذا الجهاز واذا كان الجهاز تاكدنا انه compromised او شاكين فيه من الخطوه السابقة.
Digital Forensics (PC scenario)
متى بنحتاجها؟
اذا كان ماعندنا معرفة ورؤية ١٠٠٪ عن الـ activity اللي صارت كلها في هذا الجهاز واذا كان الجهاز تاكدنا انه compromised او شاكين فيه من الخطوه السابقة.
أهم الاشياء اللي بنركز عليها من الـimage :
⁃$MFT
⁃NTUser.dat
وتركز هنا على كل الـ activity اللي صارت من هذا الملف وايش غيرت، وايش سوت، وتتعقبها.
⁃$MFT
⁃NTUser.dat
وتركز هنا على كل الـ activity اللي صارت من هذا الملف وايش غيرت، وايش سوت، وتتعقبها.
Incident Response (Server scenario )
طيب الحين نشوف لو كان Server ؟
من ناحية الـIR للـserver فراح يكون نفس PC وفيه بعض الشغلات لازم تكون في الحُسبان:
^ هل فيه DR server في المنظمه؟
^ هل الـ server الـ compromised هذا يعتمد عليه الـ business؟(البزنس مايوقف قدر الامكان لاتنسى)
طيب الحين نشوف لو كان Server ؟
من ناحية الـIR للـserver فراح يكون نفس PC وفيه بعض الشغلات لازم تكون في الحُسبان:
^ هل فيه DR server في المنظمه؟
^ هل الـ server الـ compromised هذا يعتمد عليه الـ business؟(البزنس مايوقف قدر الامكان لاتنسى)
هل يحتوي على معلومات حساسة ؟
^ وش نوع الـ malware ؟
بإمكانا نسوي IR لنفس الجهاز ونعزل اجزاء من الاماكن اللي قدر يوصلها الـ attacker بدون مانسوي عزل للسيرفر كامل ( في حال ما كان عندنا DR server او كان الـ DR Server مش configure بشكل كويس ).
^ وش نوع الـ malware ؟
بإمكانا نسوي IR لنفس الجهاز ونعزل اجزاء من الاماكن اللي قدر يوصلها الـ attacker بدون مانسوي عزل للسيرفر كامل ( في حال ما كان عندنا DR server او كان الـ DR Server مش configure بشكل كويس ).
ملاحظة: في هذي الحالة يفترض ماتسوي اي action بدون مايكونون الادارات الاخرى اللي لها علاقه يعرفون وش قاعد يصير + الـ top management في ادارتك والادارات الي لهم علاقة ^ خصوصاً اذا كان الـ production server.
( وهنا لازم تعرف ايش هو الـ root cause { ممكن تكون ثغره هي اللي تسببت في هذا الـ attack وتحتاج تحديث … الخ} ).
الخطوة القادمة تعتمد على المنظمة اللي عندك وعلى حسب الـ server/s اللي واصل لها الـ attack
-هل هذا الـ server يخلي الـattacker انه يوصل لاماكن ابعد لسى هو ما وصلها(بشكل اسهل)مثل انه يكون واصل الـ Exchange Server 😬🤭؟
-هل هذا الـ server يخلي الـattacker انه يوصل لاماكن ابعد لسى هو ما وصلها(بشكل اسهل)مثل انه يكون واصل الـ Exchange Server 😬🤭؟
-على حسب المنظمة اذا يهمها الـ availability اكثر من confidentiality او العكس.
نقفل بعض الـ Ports ونمنع الدخول عليه RDP ويكون الـ administrator فقط يعمل locally.
نقفل بعض الـ Ports ونمنع الدخول عليه RDP ويكون الـ administrator فقط يعمل locally.
طيب اذا كان ماعندنا DR server و السيرفر بشكل كبير compromised وش نسوي ؟ راح تسوي DFIR على نفس السيرفر ويعتمد على وين وصل الـ attacker في نفس السيرفر وايش الصلاحيات اللي وصلها، ولكن اهمها بانك تمنع الدخول على السيرفر RDP.
طيب واذا كان لا، الـ attacker داخل وواصل مرحلة متقدمه، هاه، نعزل الـ Server بشكل كامل ونوقف الـ business؟ هنا يتدخلون شباب الـ risk ويقيمون المخاطر (
وغالباً يكون الـHead of Cyber & Risk advisory هم اللي يقررون
يتبع
وغالباً يكون الـHead of Cyber & Risk advisory هم اللي يقررون
يتبع
( على العمل وتاثيره، واذا ماسوينا عزل، ايش الاحتمالات اللي ممكن تصير، وكيف نقدر نقلل هذي الاحتمالات بدون مانسوي عزل اذا كان الـ business قائم على هذا الـserver…الخ، فهنا يشوفون اذا الـ server هذا تهمني فيه confidentiality او available ويسوون عليها Risk evaluation وبعدها يقررون)
بعد هذا كله بيكون عندك خيارات ومن اهمها ( حذف هذي الملفات كلها واي شي related to this malicious file )
لاتنسى *بعد ماتتخذ الاجراء وحذف الملفات* : لازم تشيك على الـ Scheduled Tasks للـ malware بعد ماتحذفه…
لاتنسى *بعد ماتتخذ الاجراء وحذف الملفات* : لازم تشيك على الـ Scheduled Tasks للـ malware بعد ماتحذفه…
بعد هذا كله يفترض تجمع الـ TTPs وتسوي TH على المنظمة بالـ security controls اللي عندك.
ملاحظة:
⁃ يجب ان يكون الـPC او الـServer تحت المراقبه لمدة شهر على الاقل لمعرفة اذا كان فيه suspicious behavior او لا.
⁃ يفترض كل الخطوات اللي فوق والتحركات ماتاخذ منك وقت طويل ( وقت قصير ) لعمل الـ first Incident Response عليها.
⁃ يجب ان يكون الـPC او الـServer تحت المراقبه لمدة شهر على الاقل لمعرفة اذا كان فيه suspicious behavior او لا.
⁃ يفترض كل الخطوات اللي فوق والتحركات ماتاخذ منك وقت طويل ( وقت قصير ) لعمل الـ first Incident Response عليها.
الحين بعد كل هذا اللي صار، نجي للـ Compromised Assessment ( CA )
لازم نكون عارفين ان الـCA شي والـ IR شي اخر، لانه عادي جداً تسوي CA وانت ماعندك incident 😊.
لازم نكون عارفين ان الـCA شي والـ IR شي اخر، لانه عادي جداً تسوي CA وانت ماعندك incident 😊.
ولكن عشان تتاكد من المنظمة حقتك، راح تاخذ جميع الـ IOCs اللي طلعت معك في كل الرحلة السابقة( وتظيف عليها IOCs خارجيه اذا وجد ) وتسوي CA على المنظمة ككل، او على الاجزاء اللي كان حولها الـ attack ( Specific workstations,… etc(
اتمنى بعد هذا الثريد، مايكون قرارك دائماً (
Block, isolate and do a full scan )
لازم تدرس الـcase بشكل سريع، بعدها تحدد الاكشن المناسب، وتذكر ان
do a full scan
على الاغلب انه مو هو الخيار الصحيح دائماً.
.
.
.
.
الى هُنا، وانتهى الثريد، والسلامُ خيرُ خِتام.
.
#CyberSecurity.
Block, isolate and do a full scan )
لازم تدرس الـcase بشكل سريع، بعدها تحدد الاكشن المناسب، وتذكر ان
do a full scan
على الاغلب انه مو هو الخيار الصحيح دائماً.
.
.
.
.
الى هُنا، وانتهى الثريد، والسلامُ خيرُ خِتام.
.
#CyberSecurity.
جاري تحميل الاقتراحات...