Modware

  • Posted on

    eCIR Review | تجربتي الشخصية

    المقدمة
    • ماهي شهادة الـeCIR ؟
    الدورة
    •  تقسيم الدورة
    • طريقتي في الدراسة
    • هل الدورة تكفي؟
    الاختبار
    • طريقة الاختبار
    • طريقتي للتجهيز للإختبار
    • نصائح للاختبار
    • تمبلت الاختبار
    الخاتمة
    • eCTHPv2 VS eCIR
    • مصادر خارجية تساعدك في إجتياز الاختبار.

    المقدمة
    • ماهي شهادة الـeCIR ؟

    Incident Response او الاستجابة للحوادث  هي شهادة عملية للتعامل مع الحوادث المعقدة وتعلم أساليب الاستجابة لها عن طريق سلسلة من السيناريوهات الواقعية والمقدمة من شركة eLearnSecurity

    الدورة

    الدورة التي اخذتها كانت مقدمة من INE الموقع الرسمي لدورات شهادات eLearnSecurity

    • تقسيم الدورة

    الدورة تنقسم الى 4 أقسام وهي: –
    1- Incident Handling & Response Overview

    نظرة عامة على الاستجابة للحوادث والخطوات التي تتضمنها وكيفية سير العملية مع التركيز على اهم العوامل التي تساعد في إنجاحها بشكل عام

    2- Incident Handling & Response: Network Traffic & Flow Analysis

    الاستجابة لحوادث الشبكات وكيفية تحليل واستخراج اهم الأدلة على حدوث هجوم معين وماهي المؤشرات على هذا الهجوم

    3- Practical Incident Handling

    كما يشير الاسم فهذا القسم هو القسم العملي للاستجابة للحوادث وهو أهم قسم “لا يعني هذا عدم أهمية بقية الاقسام” ولكن من المهم ان تفهم هذا القسم بشكل جيد وان تستعين بمصادر خارجية اذا ما استصعب عليك أمر ما, يتكون هذا القسم من 4 أجزاء متسلسلة مبنية بناء على مراحل الـ “Cyber Kill Chain” وكيفية التجهيز للتصدي والكشف عن أهم التكنيكات في كل مرحلة وهي كالتالي: –

    1. Information Gathering
    2. Scanning
    3. Exploitation
    4. Post-exploitation

    4- Incident Handling & Response: SOC 3.0 Operations & Analytics

    بعض المفاهيم الاساسية عن الـ  SIEM Solutionsوالـ Logs وتحليلها والمزيد من التكنيكات وطرق كشفها

    • طريقتي في الدراسة

    أي شهادة او كتاب ادرسهم أقوم بتدوين كل النقاط المهمة في مدونة خاصة بي لكي أسترجعها لاحقًا سواء في الاختبار أو حتى بعده بحيث لا يضيع كل ما تعلمته هباء منثوراً وأذكر في أحد المرات قال لي صديق مقولة تنسب لاحد العلماء ألا وهي “العلم طير والتدوين قيده” أي بمعنى ان تدوين العلم كمرجع يضمن لك عدم فقدانه إن شاء الله واستخدم في التدوين موقع Notion مما يزيد عن عام وتوجد به ملخصات للعديد من الكتب والدورات التي درستها وارجع لها وقت الحاجة.

    • هل الدورة تكفي؟

    لا, باختصار الدورة لا تكفي لا لقلة المحتوى ولكن لقلة الممارسة فيه وهذا يعود الى انه عملية الـ Incident Response عملية تعتمد على الممارسة والخبرة وهنا يأتي سؤال منطقي “طيب ما عندي خبرة ايش المفترض أسوي؟” هذا يأخذنا للنقطة التالية الا وهي الاختبار وطريقة تجهيزي له

    الاختبار
    • طريقة الاختبار

    أولا طريقة الاختبار حتى توضح الصورة هو عبارة عن 2 سيناريو الأول Splunk SIEM Solution والثاني SIEM Solution ELK بالإضافة الى ملف PCAP, مدة الاختبار 4 أيام يومين للتحليل ويومين لكتابة المقال, يكمن التحدي في الاختبار في تحديد ماهيّة الهجمات التي حصلت حيث ان أسلوب الاختبار BlackBox أي انه لا يوجد طلبات محددة لتلبيتها، بل عليك ان تحلل الـ Logs وان تكتب تقرير فيه كل الهجمات مع الأدلة والاثباتات الخاصة بها

    • طريقتي للتجهيز للإختبار

    تجهيزي للاختبار كان عن طريقتين وهما: –
    1- حل بعض التحديات والتي سأرفقها في المصادر ولكن على طريقة الـ Incident Response, الطريقة تتلخص في انك تتجاهل الأسئلة المطروحة وان تحلل التحدي بدون قراءة الأسئلة بحيث انك تتدرب على نظام الاختبار “BlackBox” وبعد الانتهاء تقارن بين نتائج تحليلك والاسئلة المطروحة هل أجبت عليها جميعها ام لا؟ هل اكتشفت جميع التكنيكات؟

    2- وهي الطريقة التي انصح بها فعن طريقها ستزيد خبرتك بشكل أكبر وهي بتجهيز معمل خاص بك يحتوي على أحد الـSiem Solution إما Splunk او ELK وبعدها تبدأ تطبق التكنيكات المتواجدة في محتوى الدورة الخاصة بـ eCIR عن طريق Atomic Red Canary وفي حال ما تعرفه فلا بأس سأكتب عنه في القريب العاجل بإذن الله مقالة سأشرح فيها طريقة تثبيته واستخدامه في تنفيذ محاكاة للتكنيكات والهجمات.

    •  نصائح للاختبار

    1- الوقت مهم جداً جداً في الاختبار فمهم انك تكون متفرغ له تمامًا

    2- لا تتعمق في التفاصيل الصغيرة ركز على أنك تثبت حدوث التكنيك فقط

    3- اعتمد على الهجمات والتكنيكات المذكورة في قسم Practical Incident Handling

    4- تسجيل الملاحظات يساعدك في ربط الحوادث ببعضها ويوضحلك الصورة بشكل أفضل

    • تمبلت الاختبار

    سؤال وصلني كثير وهو خاص بالناس الي بتبدأ الاختبار او بدأت, لايوجد تمبلت معين للاختبار ولكن بامكانك تعمل تمبلت بسيط وعملي كمثال عليه:

    Scenario 1
    Query: XXXXX
    Screenshot and Description:
    XXXXXXXX
    XXXXXXXX

    بالاضافة الى التمبلت المطلوب في الاختبار “الاساسي”

    الخاتمة

    eCIR VS eCTHPv2

    في البداية الشهادتين كمحتوى يتشابهون لحد ما ولكن مع اختلاف كمية المحتوى فالـ eCTHPv2 تعتبر أدسم وأكبر وأعمق من eCIR والطريف انه على الرغم من هذا الا انه اختبار eCTHPv2 كان اسهل من eCIR بكثير بلا مقارنة والسبب بكل بساطة انه اختبار الـ eCTHPv2 كان المتطلبات واضحة على عكس اختبار eCIR والي يعتبر BlackBox او بلا إرشادات وانا اتفهم الفرق بينهم بسبب انه eCIR في النهاية هي استجابة للحوادث فالمفترض انك ما تكون عارف الا معلومات بسيطة وانت بعدها تبدأ تبحر وتكتشف فالاختبار كان واقعي جداً.

    • مصادر خارجية تساعدك في إجتياز الاختبار

    1- تحدي “Elastic-Case” المقدم من قبل CyberDefender

    2- مجموعة تحديات “Boss Of The SOC” المقدمة من قبل Splunk

  • Posted on

    Command and Scripting Interpreter: PowerShell – (T1059.001)

    التكنيك الأكثر شيوعًا في العالم و للعام الثاني على التوالي حسب تقرير “RedCanary” السنوي 2022وذلك لسهولته في تخطي الحمايات بسبب اندماجه مع نشاط النظام الطبيعي وكذلك تعدد استخداماته

    تحليل لتكنيك ” Command and Scripting Interpreter: PowerShell – T1059.001″

    ماهو T1059.001 ؟

    في البداية الـ “PowerShell” هو واجهة سطر أوامر وبيئة برمجة مضمنة في نظام التشغيل “Windows” وتوجد مع النظام بشكل افتراضي مما يضمن للمهاجمين وجودها في الأنظمة بشكل دائم, لكل تكنيك رمز خاص فيه حسب تصنيف الـ”Mittre Att&ck” فنرى انه يشير الرمز “T1059” الى التكنيك “” Command and Scripting Interpreter ” فيما يشير الرقم “001” الى التفريع الخاص بـ”PowerShell” وفي العادة يوجد عدة تفريعات لكل تكنيك (لمزيد من المعلومات حول الـMittre Att&ck المصادر 1)

    سبب شيوعها بين المهاجمين؟

    تكمن الصعوبة في اصطياد مثل هذه التكنيكات في مدى مرونتها حيث يمكن التلاعب بها بطرق عدة وذلك لتجنب اكتشافها من قِبَل أنظمة الحماية “Security Controls”  من خلال تغيير ماهيتها باستخدم عدة سُبل بشكل منفصل او أستخدام كاثر من طريقة معًا ومن أمثلتها الـ “Obfuscation” و “Encoded” أي بمعنى  ترميز النص من ثم إعادته إلى صيغته الاصلية بدون الحاجة لمفتاح تشفير او شيء من هذا القبيل كما سنرى بعد قليل.

    أشهر طرق الاستخدام

    1. التسلسل “Concatenation”
    2. إعادة الترتيب “Reordering”
    3. الترميز باستخدام”Base64
    1. التسلسل “Concatenation”

    في الأسلوب يقوم المهاجم بفصل النص “سواء كان رابط او مسار لملف” وإعادة جمعه عن طريقة أستخدام علامة الجمع الرياضية “+”:

    التسلسل – “Concatenation”

    “ملاحظة: علامة $ في البورشيل تعني متغير”

    شرح بسيط للاوامر الشيء الي سويته انه بداية استخدمت“$a” كمتغير وخزنت فيه “https://modware.blue” ثم طبعته ونقدر نشوف انه طبع المتغير زي ماهو طبيعي

    وفي الحالة الثانية خزنت في المتغير “$b” نص ولكن مفصول وجمعته بعلامة الجمع وبعدها طبعته وبنلاحظ انه أعاد جمع النص وطبعه بشكل متسلسل.

    2. إعادة الترتيب “Reordering”

    في هذا الأسلوب يقوم المهاجم بإعادة ترتيب صياغة النص باستخدام الخيار “-f” في البورشيل

    إعادة الترتيب – Reordering

    ترمز الأرقام في البداية على مكان وجود الحرف فمثلا رقم 5 يعني انه سوف يبدأ في العد البداية حتى الحرف الخامس بالضبط كانها مصفوفة في C++
    “ملاحظة يبدأ العد من الصفر أي ان الحرف D يعني صفر”

    صورة توضيحية:

    توضيح لأسلوب إعادة الترتيب

    3. “Base64” الترميز باستخدام

    بداية نشفر النص المراد استخدامه في أي موقع Base64 encoding من ثم نعيده الى صيغته الاصلي

    الترميز باستخدام Base64

    توضيح للمتغيرات

    هذي احد الأمثلة على استخدام الـPowerShell  والي تمكن المهاجم من تحميل Malware على جهاز الضحية على سبيل المثال وطبعا لو شفنا المحتوى الخاص بالمتغير “$Encoded”  راح نلاحظ انه الامر مشفر

    محتوى المتغير $Encoded

    هذه بعض الأمثلة الي تعطينا نظرة سريعة لطرق استخدام المهاجمين للـPowerShell وفي حال أراد أحد التعمق راح اترك رابط دورة في المصادر بعنوان “PowerShell For Hackers”

    مرحلة الاكتشاف

    استعملتAtomic RedCanary Framework لأجل أن احاكي هجمة حقيقية واستخدمة فيها التكنيك رقمT1059.001 الخاص بالـCommand and Scripting Interpreter: PowerShell  ما راح اتعمق في الكلام في الـ Atomic RedCanary Framework بس ممكن اكتب عنه مقالة في المستقبل ان شاء الله.

    * المصدر 3: مجموعة من Sigma Rules خاصة بالتكنيك T1059.001

    الان راح ننتقل الى الـ Splunk SIEM Solution وراح نكتشف الهجوم من خلاله ونشوف اهم العوامل الي تساعدنا في أكتشاف هذا النوع من التكنيكات

    مافي قاعدة ثابته للبحث ولكن فيه بعض الـ “Indicator”  او المؤشرات الي تساعدنا في اكتشافه, هذه الـ”Query” الرئيسية الي راح استخدمها في البحث مع التعديل عليها بالاضافات في كل طريقة:

    index=* Image="C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe"| table _time EventCode CommandLine
    1. -encoded او أي جزء منها مثلا -e او -en الخ…,

    من الممكن يكون استخدم أي أمر منهم لانهم كلهم نفس الامر عشان نختصر الموضوع من خلال البحث نبحث عن “-e*” عشان يظهرلنا سواء كان كاتب حرف او الامر كامل

    powershell.exe -NoProfile -E VwByAGkAdABlAC0ASABvAHMAdAAgAGYAYQAwADcANwBiADkAOAAtADAAZgAyADMALQA0AGUAMgA5AC0AOAA3ADYAOAAtAGYAZgA5AGIANwBmADMAMABiADcANQA3AA==

    بعد فك الترميز الخاص بالـBase64 راح يظهرلنا التالي:

    Write-Host fa077b98-0f23-4e29-8768-ff9b7f30b757

    ملاحظة: هذه الطريقة تشمل اكثر من امر “باختصار أي امر يبدأ بـe” مثلا “-EncodedArguments

    powershell.exe -NoProfile -EncodedArguments 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 -E VwByAGkAdABlAC0ASABvAHMAdAAgACQAYQByAGcAcwBbADAAXQA=

    الامر قبل فك الترميز

    <Objs Version="1.1.0.1" xmlns="http://schemas.microsoft.com/powershell/2004/04">
  <Obj RefId="0">
    <TN RefId="0">
      <T>System.Collections.ArrayList</T>
      <T>System.Object</T>
    </TN>
    <LST>
      <S>36615eaa-eabd-48af-9157-a344a901a412</S>
    </LST>
  </Obj>
</Objs>

    الامر بعد فك الترميز

    2.   “-f*”

    راح يظهر لنا الـ “f-” في حال كان مستخدم إعادة ترتيب “Reordering” زي ما ذكرنا قبل

    powershell.exe -e JgAgACgAZwBjAG0AIAAoACcAaQBlAHsAMAB9ACcAIAAtAGYAIAAnAHgAJwApACkAIAAoACIAVwByACIAKwAiAGkAdAAiACsAIgBlAC0ASAAiACsAIgBvAHMAdAAgACcASAAiACsAIgBlAGwAIgArACIAbABvACwAIABmAHIAIgArACIAbwBtACAAUAAiACsAIgBvAHcAIgArACIAZQByAFMAIgArACIAaAAiACsAIgBlAGwAbAAhACcAIgApAA==

    بعد فك الترميز الخاص بالـBase64 راح يظهرلنا التالي:

    & (gcm ('ie{0}' -f 'x')) ("Wr"+"it"+"e-H"+"ost 'H"+"el"+"lo, fr"+"om P"+"ow"+"erS"+"h"+"ell!'")

    نلاحظ هنا انه استخدم طريقتين مع بعض في البداية أسلوب إعادة الترتيب وبعدها

    طرق أخرى إضافية: –

    Event Code=4104

    راح يساعدنا بانه يظهر الأوامر الي استخدم فيها هذا النص والي هو جزء من امر أطول لترميز الأوامر فنقدر نقول انه هذا من الأوامر الشائعة في الترميز

    (‘*-nop*’ OR ‘*-noni*’ OR ‘*invoke-expression*’ OR ‘*iex*’ OR ‘*.downloadstring*’ OR ‘*downloadfile*’)

    هذه اغلب الأوامر المستخدمة عند التحميل بالإضافة الى بعض الأوامر الإضافية التي تساعد في إخفاء العملية مثل “noni” بمعنى “non-interactive session” أي بدون تفاعل

    5. “*FromBase64String*”

    راح يساعدنا بانه يظهر الأوامر الي استخدم فيها هذا النص والي هو جزء من امر أطول لترميز الأوامر فنقدر نقول انه هذا من الأوامر الشائعة في الترميز

    6. “Invoke-*”

    هذا من اكثر الاومر الي راح تواجهك بشكل عام في الـ powershell
    ملاحظة: لو كنت تعمل Threat Hunting  في بيئة كبيرة تجنب البحث بهذا الامر   
    • الخاتمة

    التكنيك T1059.001 من اكثر التكنيات شيوعًا ودائما ما يستخدم ضمن العديد الهجمات وعلى رأسها هجمات APT بشكل عام فتكنيك بهذه البساطة والمرونة قد يكون دليل مبدئي على هجوم أكبر وهو بداية جيدة لأي عملية Threat Hunting.

  • Posted on

    تجربتي الشخصية | eCTHPv2

    في هذه المقالة راح اجاوب على اكثر الأسئلة الي وصلتني عن اختبار شهادة eCTHPv2

    • ماهي شهادة الـeCTHPv2 ؟

     أو Threat Hunting Professional هي شهادة تساعدك على تعلم مهارة اصطياد المخاطر والتهديدات أي بمعنى تحاول اصطياد الهجوم في مختلف مراحل الـ “Cyber Kill Chain”سواء على الاجهزة “Endpoint” او على الشبكات “Network” عموما أو حتى على “Memory Dump” عن طريق استخدام بعض أدوات الحماية مثل “Siem solutions” للتعامل مع الـ “Logs” والـ “Volatility” للتعامل مع الـ “Memory Dump” وغيرها.

    خلال رحلتك مع الدورة الخاصة بالشهادة راح تساعدك بشكل كبير على بناء عقلية دفاعية تفهم كيف تصيد التكنيكات بالعامية “تعرف تمسك مربط الفرس” من خلال دراستك لعدد كبير من الهجمات والتكنيكات وفهم طريقة اصطيادها مثل (WMI Persistence, Empire, DNS exfiltration, DCSync) وغيرها الكثير

    • تقسيم الكورس

    الكورس مقسم الى 3 أقسام رئيسية :-  

    1. Introduction to threat hunting

    هذا القسم راح يعطيك تصور واضح وصورة عامة عن الـ “TH” ومراحله بالإضافة إلى المراحل المتقدمة ما بعد اكتشاف التهديد وما الى ذلك, ثم يأخذك في رحلة لأهم المصطلحات الي راح تواجهك بكثرة في عالم الـ “TH”, وايضا بيتكلم عن “IOCs” وكيف ممكن تكتشفها

    1. Threat hunting: Hunting the network & network analysis

    مثل ماهو موضح في الاسم في هذا القسم راح تتعلم كيف تصيد التهديدات في الشبكات من خلال عملية مراقبة الشبكات واهم العوامل المثيرة للاشتباه وكل عامل مقسم بناء على نوع البروتوكول وذلك باستخدام مختلف الأدوات مثل “Wireshark” و “Network Miner”  و “RSA NetWiness Investigator” والجزء الأكثر متعة بالنسبة لي في هذا القسم هو جزء “Hunting Web Shells” حيث يشرح أشهر الطرق لرفع الـ”Web shell” وطرق اكتشافها

    1. Threat hunting: hunting the endpint & endpoint Analysis

    يعتبر هذا القسم الادسم والأهم في الدورة حيث يتناول هذا القسم 3 جزئية مهمة: –

    1- اصطياد الـ “Malware” 
    كيفية اصطياد الـ”Malware” في الانظمة وأهم العوامل لإكتشافه عن طريق عدة أدوات بالاضافة الى تحليل الـ “Memory Dump” عن طريق أداة الـ “Volatility” وصيد الـ “Malware”

    2-  الـ Siem Solutions والـ Logs والـ Event IDs 

    في هذا الجزء ستتعرف على ماهية الـ “Siem Solutions” عن قرب وبالتفصيل وسيكون الشرح متركز على نوعين من الـ “Siem Solutions” وهما “Splunk” و “ELK” بالاضافة الى عدة “Log Sources” و “Event IDs” و سيساعدك هذا القسم على التعامل معها ومعرفة الفرق بينها وأنا انصح عدم الاكتفاء بهذا القسم بل أيضا دراسة المصادر الخارجية والتدرب على هذا القسم بشكل أكبر من الموجود بالدورة

    3- Hunting With PowerShell

    بالنسبة إلى هذه الجزئية ستتناول أهم الهجمات والتكنيكات باستخدام الـ “PowerShell” و كيفية اصطيادها وفك تشفيرها كذلك

    • هل الدورة تكفي؟ وكيف أتجهز للإختبار؟

    بالنسبة الى نقطة هل الدورة تكفي فإجابتي “نعم تكفي” اذا ما فهمت اللابات بشكل جيد واعدتها مرة اخرى اذا تطلب الامر ولكن من الأفضل وهذا ما فعلته انا للتجهيز للاختبار مارست وطبقت ما تعلمته عن طريق بعض التحديات الخارجية “أضفتها في المصادر بأخر المقالة” للاعتياد على الأدوات واكتساب ثقة أكبر للدخول للاختبار بكل اريحية  

    •  عن الاختبار وتكنيكات الحل

    الاختبار يعتبر “متوسط” ومع التحضير الجيد ستستمتع جدا به والاختبار عبارة عن 4 أيام يومين للتحليل ويومين لكتابة المقال بس وهي للأمانة كافية ووافية, الإختبارات من هذا النوع لها تكنيكين للحل: –

    1- تحلل وتأخذ ملاحظات وصور للشاشة على جنب وبعد اول يومين تبدأ تربط الملاحظات والصور ببعض وتكوّن تقريرك “أنصح باستخدامها في حال انضغطت في الوقت”

    2- تحلل وتكتب التقرير بشكل متزامن “هذه منهجيتي في هذا الإختبار”

    • تجربتي الشخصية 

    عن نفسي في بداية الاختبار وتحديدا اول 3 ساعات كنت فقط أقرأ وأبحث وأفهم لم أبدا بالحل بعد “حسيت بضغط وشوية توتر” اخذت بريك صغير عشان أستعيد تركيزي “للأمانه رحت تغديت أتوقع أفضل طريقة لتخفيف الضغط😂” وبعدها بدأت وبقوة في الاختبار حليت تقريبا 4\3 الاختبار ما أخفيكم ارتحت وحسيت الاختبار في جيبي ورحت اتفرج مسلسل والاختبار ما زال قائم 😂, الحمدلله بسبب عملي بالتزامن مع وقت الاختبار في مركز عمليات SOC في فترة التدريب الصيفي بشركة “Security Matterz” كان الاختبار شيء يشبه ما أشاهده وأتعامل معاه كل يوم بالتدريب فكان سهل ولكن لا تعتمد على نظرتي فتدريبي ساعدني جداً وكان وقت ممتاز جداً للإختبار, ختامًا انهيت الاختبار في أول 48 ساعة ومع إغلاق اللابات سلمت الإختبار ولله الحمد.

    • نصائح للاختبار 

    هذه مجموعة من النصائح العملية المجربة الي راح تساعدك كثير ان شاء الله في اجتياز الاختبار:  –

    نصيحة مهمة جداً “خذ راحتك في الاختبار محد راح يعطيك جائزة اذا خلصت في ساعة ولا في 4 أيام فلا تستعجل وخذ وقتك ولا تقارن تجربتك بتجربة أحد لكل شخص تجربته الخاصة” 

    1- حدد يوم للإختبار ولا تترك الأمر مفتوح حتى لا تطول مدة المذاكرة بلا معنى

    2- تأكد قبل تدخل الاختبار أنك نايم بشكل جيد

    3- خلي الورقة والقلم رفقائك خلال الاختبار وسجل ملاحظاتك أول بأول 

    4- رتب الأحداث حسب الوقت عشان توضح لك الرؤية

    5- أنصح بالبحث عن التكنيكات في Mitre Attack 

    • مصادر خارجية تساعدك في اجتياز الاختبار 

    هذه بعض المصادر التي ستساعدك في إجتياز الاختبار بإذن الله تعالى عن طريق ممارسة ما تعلمته في الدورة

    1- تحدي “DumpMe” المقدم من قبل CyberDefender

    2- تحدي “Elastic-Case” المقدم من قبل CyberDefender

    3- مجموعة تحديات “Boss Of The SOC” المقدمة من قبل Splunk

  • Posted on

    الدليل العربي لـ Sigma Rule

    لكل SIEM Solution صيغة كتابة مخصصة, فكيف يستطيع أي شخص أستخدام Query في أكثر من SIEM Solution  بدون إعادة صياغتها في كل مره ؟

    مقالنا اليوم عن أداة “Sigma”

     Sigma هي أداة تساعد  في كتابة الـQuery لاي SIEM Solution من خلال توحيد أسلوب الكتابة في عملية مشابهة لكل من Yara Rule بالنسبة الى للملفات والـSnort بالنسبة للشبكات.

    فعلى سبيل المثال في حال كان الشخص يستخدم SIEM Splunk وأراد نشر أو إستخدام نفس الـQuery في منتج اخر مثل ELK, في السابق كانت تحتاج المسألة إلى وقت لإعادة كتابة الـQuery من صيغة Splunk إلى صيغة ELK ولكن Sigma حل هذه المشكلة بتوحيد أسلوب الكتابة فيستطيع الشخص إعادة إستخدام الـQuery في أي SIEM بغض النظر عن صيغة الكتابة وذلك بكتابتها كـSigma Rule.

    بالإضافة إلى وجود مجموعة من الـRules الجاهزة للإستخدام والخاصة بأشهر أنواع الهجمات سواء على
    Windows, Linux, MacOS او بشكل عام مثل الشبكات وهجمات APT وهجمات الـويب إلخ..

    ملاحظة: يوجد في الأسفل المزيد من المصادر للRules

    تحميل Sigma

    1. من خلال الـ Github
    1. أو أستخدام Sigma online

    أستخدام Sigma

    في حال حملت Sigma من الـGitHub راح تلاقي في الملف الخاص فيها مجلد باسم rules فيه جميع الـrules الجاهزة للأستخدام والمذكورة سابقا, وتستطيع أستخدامها بكتابة الأمر التالي: 

    ./sigmac -t <target> -c <path to configuration file> <path to the rule>

    شرح الأمر: –

    (-t  ) خاصة بالسيم الي تبغى تحول الرول له وتستخدمها فيه بعد كذا

    ( -c ) خاصة بالملف المسؤول عن اعدادات الـRule (ملف configuration) يختلف بناء على مصدر الـRule

    ( path to the rule ) ملف الرول الي تمت كتابته

    أما من خلال الموقع فهو سهل جدا وعملي (أفضله شخصيََا)

    وفي حال تبغى تنشأ Rule خاصة فيك هذا يأخذنا للقسم التالي.

    كتابة Sigma Rule

    نقدر نقسم كتابة Sigma Rule إلى 3 أقسام رئيسية وهي: –

    1. المعلومات العامة أو “MetaData”  

    هذا القسم يقدم معلومات عن الـRule كتعليقات, ملاحظات, إلخ…

    بينما هذا القسم إختياري إلا أنه مهم لفهم الـRule بشكل أكبر في حال أردت نشر الـRule للعامة, 

    • عنوان الرول – Title of the rule
    • الكاتب (إختياري) – (Author (optional
    • التاريخ (إختياري) – (Date (optional
    • (Tag (optional – هذا القسم يمكن إستخدامه بأكثر من طريقة على سبيل المثال إضافة رقم تكنيك من Mitre Attack
    1. قسم مصدر البيانات “Logs source” في هذا القسم يحدد أي مصدر للـLogs يجب فحصه 
    2. قسم تفاصيل عملية الإكتشاف “Detection” في هذا القسم نضيف ما المراد إيجاده بالتفصيل في الـLogs
    3. الشرط “Condition” في حال وجود شرط معين لاكتشاف التهديد

    مثال عملي لـ Sigma Rule:

    تحويل من Sigma Rule إلى Splunk
    تحويل من Sigma Rule إلى ELK

    الخاتمة

    Sigma Rule أصبحت جزء مهم جدا من عملية أكتشاف التهديدات بصورة سهلة وعلى نطاق واسع لجميع أنظمة التشغيل ومختلف الـSIEM Solutions وإتقانها أصبح متطلب رئيسي.

    المصادر:

  • Posted on

    Alternative Data Streams (ADS)

    منطقة موجودة في جميع الملفات ويمكن لصانعي المالوير الاستفادة منها وكتابة اجزاء من المالوير بها

     ماهي؟ كيفية الكتابة عليها؟ وكيف يمكن كشفها؟

    مقالتنا اليوم عن Alternative Data Streams (ADS)

    بكل بساطة هي عبارة عن منطقة بديلة لتخزين البيانات لا تظهر عند قراءة الملف 

    ملاحظة: هذه الميزة توجد على انظمة التخزينNTF  فقط

    لكل ملف عند انشاءه عدة متغيرات “attributes” تكون جزء من الملف من ضمن هذه المتغيرات “Data Stream”

    فمثلا عند انشاء ملف نصي يحتوي على “Hi I’m MODWare”يكون الـStream الخاص بالملف بشكل افتراضي غير موجودة ولكن يمكن اضافتها والكتابة عليها بشكل اختياري وتكون منطقة للبيانات غير مسماه، بما يعني ليس بملف تقدر ببساطة توصله عن طريق اسمه ولكن يشار لها بـ “$DATA:”Data_Stream1”” وعشان توصلها تحتاج تستخدم طرق مختلفة عن انك تفتح الملف بشكل مباشر من الـNotepad او غيرها, صانعي الـMalware استفادوا من هذي الميزة وصاروا يغيروها بكل بساطة يضيفون script اوmalicious code  مكانها

    وكمثال عليها نقدر نشوفCoinMiner Malware والذي يستخدم لتعدين العملات الرقمية “الرابط في المصادر”

    تستخدم  ADSايضا لمعرفة مصدر الملف هل هو ملف من جهازي او محمل من الانترنت وذلك من خلال الـzone.identifier

    ZoneValue
    My Computer0
    Local Intranet Zone1
    Trusted sites Zone2
    Internet Zone3
    Restricted Sites Zone4
    جدول Zones

    بالاضافة الى انه من الممكن الكتابة على منطقة الستريم من خلال الـAPI الخاصة بويندوز “CreateFile” و “WriteFile” 

    الان بعد ما فهمنا ماهية الـADS بندخل في العملي وبنشوف كيف نطبقها وبرضوا نكتشفها ونقراها.

    بداية راح نحمل أداة Stream “الرابط في المصادر”

    نفتح CMD ونكتب في ملف txt اي نص 

    الان نكتب في منطقة ADS من خلال الأمر التالي:

    الان راح نقرأ الملف بشكل طبيعي وبعدها نقرأ منطقة ADS ونشوف الفرق بينهم عن طريق الامر more

    عشان نقدر نشوف اذا فيه ملف مكتوب في منطقة ADS من خلال الامر dir /r

    يوجد طريقة اخرى لاكتشاف وجود data stream في ملف باستخدام أداة  Stream:

    ومن خلال الـPowerShell نقدر نكتشف الـData Stream وأيضا معرفة مصدر الملف

    نبدأ من أكتشاف الـData Stream بالكتابة الأمر “get-item -Path .\MODWare.txt -Stream *”

    ملاحظة: أستبدل MODWare.txt بأسم الملف لديك

    نلاحظ في الصورة المعلومات منقسمة جزئين الجزء الاول معلومات عن الملف نفسه والقسم الثاني “بالأسفل” خاص بالستريم الي صنعناه.

    الأمر التالي خاص بمعرفة مصدر الملف من خلال الأمر 

    ” Get-Content -Path .\Some_Document_Just_Downloaded.pdf -Stream zone.identifier “

    قيمة الـZoneId=3 بمعنى انه هذا الملف محمل من الانترنت “أرجع لجدول Zones فوق”

    وصلنا لنهاية المقال أتمنى أفادكم وشكرا على قراءتكم لأي أقتراحات أو تحسينات تواصلوا معي على twitter 🙂

    المصادر:  –

    رابط تحميل Stream:
    https://docs.microsoft.com/en-us/sysinternals/downloads/streams

    Microsoft Document ADS:

    https://docs.microsoft.com/en-us/archive/blogs/askcore/alternate-data-streams-in-ntfs
    https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/CoinMiner

    Coin Miner:

    https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/CoinMiner