تیم آبی

برگه رمز هایی برای شکاران تهدید

سرآغاز آماده سازی شناسایی دامنه محافظت در دفاع قابلیت مشاهده تحلیل پاسخ ها پس از حمله روش ها نکته ها لیست کنترل مدیریت حادثه شناسایی حادثه

روش های و نکات

برگه رمز های سیستم عامل

ویندوز

استفاده از Pipe برای خروجی ها و استفاده در clipboard:

C:\> some_command.exe | clip

دریافت اطلاعات از clipboard در ذخیره آن در فایل: (نیازمند PowerShell 5)

PS C:\> Get-Clipboard> clip.txt

اضافه نمودن timestamps در فایل گزارشات:

C:\> echo %DATE% %TIME%>> <TXT LOG>,txt

اضافه/تغییر کلید های رجیستری از راه دور:

C:\> reg add \\<REMOTE COMPUTER
NAME>\HKLM\Software\<REG KEY INFO>

دریافت مقدار های رجیستری به صورت از راه دور:

C:\> reg query \\<REMOTE COMPUTER
NAME>\HKLM\Software\<REG KEY INFO>

بررسی و تست مسیر های رجیستری:

PS C:\> Test-Path "HKCU:\Software\Microsoft\<HIVE>"

کپی از فایل ها از راه دور:

C:\> robocopy C:\<SOURCE SHARED FOLDER>
\\<DESTINATION COMPUTER>\<DESTINATION FOLDER> /E

بررسی پسوند های مختلف فایل ها در مسیر:

PS C:\> Test-Path C:\Scripts\Archive\* -include
*·PSl, *,VbS

نمایش محتوای فایل ها:

C:\> type <FILE NAME>

ادغام محتوای چندین فایل:

C:\> type <FILE NAME 1> <FILE NAME 2> <FILE NAME 3>
> <NEW FILE NAME>

Desktop ها, اجازه به ایجاد چند صفحه نمایش به Desktop:

منبع. https://technet.microsoft.com/enus/ sysinternals/cc817881

اجرا به صورت live:

C:\> "%ProgramFiles%\Internet Explorer\iexplore.exe
"https://live.sysinternals.com/desktops.exe

mounting از راه دور و اجازه به نوشتن و خواندن, Read and Read/Write:

C:\> net share MyShare_R=c:\<READ ONLY FOLDER>
/GRANT:EVERYONE,READ
C:\> net share MyShare_RW=c:\<READ/WRITE FOLDER>
/GRANT:EVERYONE,FULL

اجرای task از راه دور با استفاده از PSEXEC:

منبع. https://technet.microsoft.com/enus/ sysinternals/psexec.aspx

C:\> psexec.exe \\<TARGET IP ADDRESS> -u <USER NAME>
-p <PASSWORD> /C C:\<PROGRAM>.exe
C:\> psexec @(:\<TARGET FILE LIST>.txt -u <ADMIN
LEVEL USER NAME> -p <PASSWORD> C:\<PROGRAM>,exe >>
C:\<OUTPUT FILE NAME>,txt
C:\> psexec.exe @(:\<TARGET FILE LIST>.csv -u
<DOMAIN NAME>\<USER NAME> -p <PASSWORD> /c
C:\<PROGRAM>.exe

اجرای task و ارسال نتیجه آن به محیط اشتراکی:

C:\> wmic /node:ComputerName process call create
ucmd,exe /c netstat -an > \\<REMOTE SHARE>\<OUTPUT
FILE NAME>,txt"

مقایسه تغییرات دو فایل:

PS C:\> Compare-Object (Get-Content ,<LOG FILE NAME
l>, log) -DifferenceObject (Get-Content .<LOG FILE
NAME 2>,log)

اجرای task از راه دور با استفاده از PowerShell:

PS C:\> Invoke-Command -<COMPUTER NAME> {<PS
COMMAND>}

راهنمای دستورات PowerShell:

PS C:\> Get-Help <PS COMMAND> -full

لینوکس

بررسی و تحلیل ترافیک از راه دور بر روی ssh:

# ssh [email protected]<REMOTE IP ADDRESS OF HOST TO SNIFF>
tcpdump -i any -U -s 0 -w - 'not port 22'

ایجاد دستی یادداشت یا داده به syslog:

# logger usomething important to note in Log"
# dmesg I grep <COMMENT>

ایجاد mounting به صورت فقط خواندنی:

# mount -o ro /dev/<YOUR FOLDER OR DRIVE> /mnt

ایجاد Mounting از راه دور بر روی SSH:

# apt-get install sshfs
# adduser <USER NAME> fuse
Log out and log back in.
mkdir 󰁝/<WHERE TO MOUNT LOCALLY>
# sshfs <REMOTE USER NAME>@<REMOTE HOST>:/<REMOTE
PATH> 󰁝/<WHERE TO MOUNT LOCALLY>

ایجاد محیط اشتراکی SMB در لینوکس:

# useradd -m <NEW USER>
# passwd <NEW USER>
# smbpasswd -a <NEW USER>
# echo [Share] >> /etc/samba/smb.conf
# echo /<PATH OF FOLDER TO SHARE> >>
/etc/samba/smb.conf
# echo available = yes >> /etc/samba/smb.conf
# echo valid users = <NEW USER> >>
/etc/samba/smb.conf
# echo read only = no >> /etc/samba/smb.conf
# echo browsable = yes >> /etc/samba/smb.conf
# echo public = yes >> /etc/samba/smb.conf
# echo writable = yes >> /etc/samba/smb.conf
# service smbd restart

نمایش محیط اشتراکی سیستم از راه دور:

> smb:\\<IP ADDRESS OF LINUX SMB SHARE>

کپی فایل از راه دور به سیستم دیگر:

> scp <FILE NAME> <USER NAME>@<DESTINATION IP
ADDRESS>:/<REMOTE FOLDER>

ایجاد Mount و محیط اشتراکی SMB در سیستم دیگر از راه دور:

# mount -t smbfs -o username=<USER NAME> //<SERVER
NAME OR IP ADDRESS>/<SHARE NAME> /mnt/<MOUNT POINT>/

نظارت بر وبسایت و فایل ها:

#while :; do curl -sSr http://<URL> I head -n 1;
sleep 60; done

روش دوم(reference):

for i in `curl -s -L cnn.com |egrep --only-matching "http(s?):\/\/[^ \"\(\)\<\>]*" | uniq` ;
do curl -s -I $i 2>/dev/null |head -n 1 | cut -d$' ' -f2; sleep 60; done

رمزگشایی

ارتباط HEX

تبدیل از حالت hex به decimal در ویندوز:

C:\> set /a 0xff
255
PS C:\> 0xff
255

دیگر عملیات های ریاضی در ویندوز:

C:\> set /a 1+2
3
C:\> set /a 3*(9/4)
6
C:\> set /a (2*5)/2
5
C:\> set /a "32>>3"
4

رمزگشایی متن Base64 درون یک فایل:

C:\> certutil -decode <BASE64
<DECODED FILE NAME>

رمزگشایی XOR جست و جو برای http:

منبع, https://blog.didierstevens.com/programs/xorsearch/

C:\> xorsearch,exe -i -s <INPUT FILE NAME> http

تبدیل hex به decimal در لینوکس:

# echo u0xff"lwcalc -d
= 255

تبدیل decimal به hex در لینوکس:

$ echo u25s"1wcalc -h
= 0xff

رمزگشایی رشته های HTML:

PS C:\> Add-Type -AssemblyName System.Web
PS C:\>
[System.Uri] ::UnescapeDataString("HTTP%3a%2f%2fHello
%20World.com")
HTTP://Hello World.com

ابزار SNORT

قوانین SNORT

قوانین Snort برای شناسایی ترافیک Meterpreter:

منبع. https://blog.didierstevens.com/2015/06/16/metasploit -meterpreter-reverse-https-snort-rule/

alert tcp $HOME_NET any-> $EXTERNAL_NET $HTTP_PORTS
(msg:"Metasploit User Agent String";
flow:to_server,established; content:"User-Agentl3al
Mozilla/4,0 (compatible\; MSIE 6.0\; Windows NT
5.1) l0d 0al"; http_header; classtype:trojanactivity;
reference:url,blog,didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/; sid:1618000;
rev:1;)
alert tcp $HOME_NET any-> $EXTERNAL_NET $HTTP_PORTS
( msg: "Metasploit User Agent St ring";
flow:to_server,established; content:"User-Agentl3al
Mozilla/4.0 (compatible\; MSIE 6,1\; Windows NT) l0d
0al"; http_header; classtype:trojan-activity;
reference:url,blog,didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/; sid:1618001;
rev: 1;)
alert tcp $HOME_NET any-> $EXTERNAL_NET $HTTP_PORTS
(msg: "Metasploit User Agent String";
flow:to_server,established; content:"User-Agentl3al
Mozilla/4,0 (compatible\; MSIE 7,0\; Windows NT
6.0) l0d 0al"; http_header; classtype:trojanactivity;
reference:url,blog.didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/; sid:1618002;
rev: 1;)
alert tcp $HOME_NET any-> $EXTERNAL_NET $HTTP_PORTS
(msg:"Metasploit User Agent String";
flow:to_server,established; content:"User-Agentl3al
Mozilla/4,0 (compatible\; MSIE 7,0\; Windows NT
6,0\; Trident/4,0\; SIMBAR={7DB0F6DE-8DE7-4841-9084-
28FA914B0F2E}\; SLCCl\; ,Nl0d 0al"; http_header;
classtype:trojan-activity;
reference:url,blog.didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/; sid:1618003;
rev: 1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:"Metasploit User Agent String";
flow:to_server,established; content:"User-Agentl3al
Mozilla/4.0 (compatible\; Metasploit RSPEC)l0d 0al";
http_header; classtype:trojan-activity;
reference:url,blog,didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/; sid:1618004;
rev: 1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:"Metasploit User Agent String";
flow:to_server,established; content:"User-Agentl3al
Mozilla/5,0 (Windows\; U\; Windows NT 5,1\; en-US)
AppleWebKit/525,13 (KHTML, like Gecko)
Chrome/4.0.221.6 Safari/525,13l0d 0al"; http_header;
classtype:trojan-activity;
reference:url,blog.didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/; sid:1618005;
rev: 1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
( msg: "Metasploit User Agent St ring";
flow:to_server,established; content:"User-Agentl3al
Mozilla/5.0 (compatible\; Googlebot/2.1\;
+http://www.google.com/bot.html) l0d 0al";
http_header; classtype:trojan-activity;
reference:url,blog,didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/; sid:1618006;
rev: 1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg: "Metasploit User Agent St ring";
flow:to_server,established; content:"User-Agentl3al
Mozilla/5,0 (compatible\; MSIE 10,0\; Windows NT
6,1\; Trident/6,0) l0d 0al"; http_header;
classtype:trojan-activity;
reference:url,blog.didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/; sid:1618007;
rev: 1;)

قوانین Snort برای شناسایی ترافیک PSEXEC:

منبع. https://github.com/John-Lin/dockersnort/ blob/master/snortrules-snapshot- 2972/rules/policy-other.rules

alert tcp $HOME_NET any -> $HOME_NET [139,445]
(msg:"POLICY-OTHER use of psexec remote
admin ist rat ion tool"; flow: to_server, established;
content:" IFFISMB1A2I"; depth:5; offset:4;
content:"ISC
.00 I p I 00 Is I 00 I e I 00 Ix I 00 I e I 00 I c I 00 I s I 00 Iv I 00 I c" ;
nocase; metadata:service netbios-ssn;
reference:url,technet.microsoft.com/enus/
sysinternals/bb897553.aspx; classtype:policyviolation;
sid:24008; rev:1;)
alert tcp $HOME_NET any -> $HOME_NET [139,445]
(msg:"POLICY-OTHER use of psexec remote
administration tool SMBv2";
flow:to_server,established; content:"IFEISMB";
depth:8; nocase; content:"105 001"; within:2;
distance:8;
content:"Pl001Sl00IEl00IXl00IEl00ISl00IVl00ICl00I";
fast_pattern:only; metadata:service netbios-ssn;
reference:url,technet.microsoft,com/enus/
sysinternals/bb897553.aspx[l]; classtype:policyviolation;
sid:30281; rev:1;)

حملات DOS و DDOS

امضای حملات DOS و DDOS

روش های حملات DoS و DDoS:

منبع. https://www.trustwave.com/Resources/SpiderLabsBlog/ PCAP-Files-Are-Great-Arn-t-They–/

** بر اساس حجم:** به عنوان مثال مصرف پهنای باند از 1 گیگابایت به 10 گیگابایت برسد

منبع. http://freecode.com/projects/iftop

# iftop -n

بر اساس پروتکل های مختلف: استفاده از پروتکل های مختلف

برای مثال, SYN Flood, ICMP Flood, UDP flood

# tshark -r <FILE NAME>,pcap -q -z io,phs
# tshark -c 1000 -q -z io,phs
# tcpdump -tn r $FILE I awk -F '. ' '{print
$1","$2"."$3","$4}' I sort I uniq -c I sort -n I
tail
# tcpdump -qnn "tcp[tcpflags] & (tcp-syn) != 0"
# netstat -s

برای مثال فقط یک پروتکل را هدف قرار میگیرد

# tcpdump -nn not arp and not icmp and not udp
# tcpdump -nn tcp

منبع: وضیعت اتصال

به عنوان مثال ، فایروال می تواند 10،000 اتصال همزمان را کنترل کند ، و مهاجم 20،000 ارسال می کند

# netstat -n I awk '{print $6}' I sort I uniq -c
sort -nr I head

برنامه ها: حملات لایه 7

برای مثال, HTTP GET flood, برای فایل عکس های حجیم.

# tshark -c 10000 -T fields -e http.host
uniq -c I sort -r I head -n 10
so rt I
# tshark -r capture6 -T fields -e
http.request.full\_uri I sort I uniq -c I sort -r I
head -n 10c
# tcpdump -n 'tcp[32:4] = 0x47455420' I cut -f 7- -d
":"

برای مثال , درخواست برای فایل های پرونده های, GIF, ZIP, JPEG, PDF, PNG غیر معمول نباشد.

# tshark -Y "http contains "ff:d8"" | "http
contains "GIF89a"" || "http contains
" \x50\x4B\x03\x04"" || "http contains\xff\xd8" " ||
"http contains "%PDF"" || "http contains
"\x89\x50\x4E\x47""

به عنوان مثال به مقدار ‘user-agent’ در درخواست وب توجه و بررسی شود.

# tcpdump -c 1000 -Ann I grep -Ei 'user-agent'
sort I uniq -c I sort -nr I head -10

به عنوان مثال, Header منابع درخواستی بررسی شود.

# tcpdump -i en0 -A -s 500 I grep -i refer

بررسی درخواست های HTTP برای شناسایی الگو های مشکوک و یا خطرناک:

# tcpdump -s 1024 -l -A dst <EXAMPLE.COM>

مسموم نمودن یا Poison: حملات لایه 2

برای مثال , ARP poison, race condition DNS, DHCP

# tcpdump 'arp or icmp'
# tcpdump -tnr <SAMPLE TRAFFIC FILE>.pcap ARP lawk -
F ',' '{print $1"."$2","$3","$4}' I sort I uniq -c
sort -n I tail
# tshark -r <SAMPLE TRAFFIC FILE>.pcap -q -z io,phsl
grep arp.duplicate-address-detected

مجموعه ابزار ها

ماشین ها و سیستم عامل های از پیش تهیه شده

KALI - Open Source Pentesting Distribution

منبع. https://www.kali.org

SIFT - SANS Investigative Forensics Toolkit

منبع. http://sift.readthedocs.org/

REMNUX - A Linux Toolkit for Reverse-Engineering and Analyzing Malware

منبع. https://remnux.org

OPEN VAS - Open Source vulnerability scanner and manager

منبع. http://www.openvas.org

MOLOCH - Large scale IPv4 packet capturing (PCAP), indexing and database system

منبع. https://github.com/aol/moloch/wiki

SECURITY ONION - Linux distro for intrusion detection, network security monitoring, and log management

منبع. https://security-onionsolutions. github.io/security-onion/

NAGIOS - Network Monitoring, Alerting, Response, and Reporting Tool

منبع. https://www.nagios.org

OSSEC - Scalable, multi-platform, open source Hostbased Intrusion Detection System

منبع. http://ossec.github.io

SAMURAI WTF - Pre-configured web pen-testing environment

منبع. http://samurai.inguardians.com

RTIR - Request Tracker for Incident Response

منبع. https://www.bestpractical.com/rtir/

HONEYDRIVE - Pre-configured honeypot software packages

منبع. http://sourceforge.net/projects/honeydrive/

ابزار های جلوگیری از اجرای موفقیت آمیز اکسپلویت

منبع. https://support.microsoft.com/en-us/kb/2458544

ATTACK SURFACE ANALYZER BY MICROSOFT - Baseline Tool

منبع. https://www.microsoft.com/enus/ download/confirmation.aspx?id=24487

WINDOWS TO GO - USB Portable Windows 8

منبع. https://technet.microsoft.com/enus/ library/hh831833.aspx

WINFE - Windows Forensic Environment on CD/USB

منبع. http://winfe.wordpress.com/

DCEPT - Deploying and detecting use of Active Directory honeytokens

منبع. https://www.secureworks.com/blog/dcept

TAILS - The Amnesic Incognito Live System

منبع. https://tails.boum.org