تحلیل عمیق حمله فیشینگ
@Engineer_Computer
https://www.huntress.com/blog/gone-phishing-an-analysis-of-a-targeted-user-attack
@Engineer_Computer
https://www.huntress.com/blog/gone-phishing-an-analysis-of-a-targeted-user-attack
Huntress
Gone Phishing: An Analysis of a Targeted User Attack | Huntress
Get an inside look at how threat actors use phishing and social engineering tactics to target users and infiltrate organizations.
تولید لاگ برای مقاصد تست
توسط ابزاری از مایکروسافت
https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/eventcreate
برای تولید لاگ سیسمان ، این ابزار پیشنهاد میشود
https://github.com/ScarredMonk/SysmonSimulator/tree/main
@Engineer_Computer
توسط ابزاری از مایکروسافت
https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/eventcreate
برای تولید لاگ سیسمان ، این ابزار پیشنهاد میشود
https://github.com/ScarredMonk/SysmonSimulator/tree/main
@Engineer_Computer
Docs
eventcreate
Reference article for the eventcreate command, which enables an administrator to create a custom event in a specified event log.
سلام
دو روز پیش یه آسیبپذیری آمد بیرون روی winrar که به مهاجم اجازه اجرای کد از راه دور (RCE) میداد. یعنی فایل رو اکسترکت کنی به چوخ میری!
https://www.bleepingcomputer.com/news/security/winrar-flaw-lets-hackers-run-programs-when-you-open-rar-archives/amp/
راه جلوگیری:
بروزرسانی به نسخه ۶.۲۳
رفتار نرمال winrar رو میتونید از لینک زیر اون قسمت کامندلاینش استخراج کنید:
https://documentation.help/WinRAR/
@Engineer_Computer
دو روز پیش یه آسیبپذیری آمد بیرون روی winrar که به مهاجم اجازه اجرای کد از راه دور (RCE) میداد. یعنی فایل رو اکسترکت کنی به چوخ میری!
https://www.bleepingcomputer.com/news/security/winrar-flaw-lets-hackers-run-programs-when-you-open-rar-archives/amp/
راه جلوگیری:
بروزرسانی به نسخه ۶.۲۳
رفتار نرمال winrar رو میتونید از لینک زیر اون قسمت کامندلاینش استخراج کنید:
https://documentation.help/WinRAR/
@Engineer_Computer
BleepingComputer
WinRAR flaw lets hackers run programs when you open RAR archives
A high-severity vulnerability has been fixed in WinRAR, the popular file archiver utility for Windows used by millions, that can execute commands on a computer simply by opening an archive.
🏆Top 100 Splunk Commands
https://github.com/Ahmed-AL-Maghraby/SIEM-Cheat-Sheet/tree/main/Splunk-Cheat-Sheet
#security
@Engineer_Computer
https://github.com/Ahmed-AL-Maghraby/SIEM-Cheat-Sheet/tree/main/Splunk-Cheat-Sheet
#security
@Engineer_Computer
GitHub
SIEM-Cheat-Sheet/Splunk-Cheat-Sheet at main · Ahmed-AL-Maghraby/SIEM-Cheat-Sheet
SIEM Cheat Sheet. Contribute to Ahmed-AL-Maghraby/SIEM-Cheat-Sheet development by creating an account on GitHub.
🔗 Detect Malicious traffic in your Network using Maltrail
این مقاله در مورد ابزاری به نام Maltrail است که می تواند برای شناسایی ترافیک مخرب در شبکه شما استفاده شود. Maltrail یک پروژه رایگان و منبع باز است که از لیست سیاه الگوهای ترافیکی مخرب و شناخته شده برای شناسایی فعالیت های مشکوک استفاده می کند.
هنگامی که Maltrail بر روی یک شبکه نصب می شود، تمام ترافیک شبکه را کنترل می کند و به دنبال مطابقت با الگوهای ترافیک مخرب شناخته شده می گردد. اگر مطابقت پیدا شود، Maltrail به مدیر شبکه هشدار می دهد.
🔏برخی از نکات کلیدی مقاله:
یک . Maltrail با ردیابی لیست سیاه الگوهای ترافیکی مخرب شناخته شده کار می کند.
دو . Maltrail می تواند برای شناسایی طیف گسترده ای از بدافزارها از جمله بات نت ها، باج افزارها و تروجان ها استفاده شود.
سه . Maltrail را می توان بر روی هر سیستم لینوکس یا ویندوز نصب و پیکربندی کرد ،همچنین نصب و استفاده از آن آسان است.
چهار . Maltrail به طور مداوم با الگوهای ترافیکی مخرب جدید به روز می شود.
#Maltrail
#security
@Engineer_Computer
این مقاله در مورد ابزاری به نام Maltrail است که می تواند برای شناسایی ترافیک مخرب در شبکه شما استفاده شود. Maltrail یک پروژه رایگان و منبع باز است که از لیست سیاه الگوهای ترافیکی مخرب و شناخته شده برای شناسایی فعالیت های مشکوک استفاده می کند.
هنگامی که Maltrail بر روی یک شبکه نصب می شود، تمام ترافیک شبکه را کنترل می کند و به دنبال مطابقت با الگوهای ترافیک مخرب شناخته شده می گردد. اگر مطابقت پیدا شود، Maltrail به مدیر شبکه هشدار می دهد.
🔏برخی از نکات کلیدی مقاله:
یک . Maltrail با ردیابی لیست سیاه الگوهای ترافیکی مخرب شناخته شده کار می کند.
دو . Maltrail می تواند برای شناسایی طیف گسترده ای از بدافزارها از جمله بات نت ها، باج افزارها و تروجان ها استفاده شود.
سه . Maltrail را می توان بر روی هر سیستم لینوکس یا ویندوز نصب و پیکربندی کرد ،همچنین نصب و استفاده از آن آسان است.
چهار . Maltrail به طور مداوم با الگوهای ترافیکی مخرب جدید به روز می شود.
#Maltrail
#security
@Engineer_Computer
ComputingForGeeks
Detect Malicious traffic in your Network using Maltrail | ComputingForGeeks
Today, we will learn how to detect Malicious traffic in your Network using Maltrail.
⭕️ Bypassing 403 endpoints using automated Trickest workflows
تکنیک های دور زدن مسیر های 403 در وب سرور و API ها:
1. فاز تو در تو
اگر به مسیری مثل log/ درخواست زدید و 403 گرفتید ادامه این مسیر رو به شکل /log/FUZZ/ میتونید فاز کنید
2. هدر های HTTP
بعضی از هدر های خاص HTTP مثل X-Forwarded-For میتونه در این زمینه کمکتون کنه
3. استفاده از کاراکتر های خاص
برای مثال اگر به info.php/ درخواست زدید و 403 گرفتید میتونید
مسیر */info.php/ رو هم تست کنید
4. تغییر HTTP Method
این موضوع که تحت عنوان verb tampering هم شناخته میشه بررسی کردن متد های مختلف HTTP نظیر GET POST PUT PATCH در مسیر ها و اندپوینت های مختلف هست.
5. تغییر extension فایل
برای مثال تغییر config.php/ به .config.php/ ( به نقطه آخرش توجه کنید)
6. تغییر ورژن پروتکل HTTP
شما می تونید نسخه های مختلف این پروتکل رو بررسی کنید مثلا HTTP/1.0 و HTTP/1.1 و ...
منبع
https://trickest.com/blog/bypass-403-endpoints-with-trickest/
#bypass403
@Engineer_Computer
تکنیک های دور زدن مسیر های 403 در وب سرور و API ها:
1. فاز تو در تو
اگر به مسیری مثل log/ درخواست زدید و 403 گرفتید ادامه این مسیر رو به شکل /log/FUZZ/ میتونید فاز کنید
2. هدر های HTTP
بعضی از هدر های خاص HTTP مثل X-Forwarded-For میتونه در این زمینه کمکتون کنه
3. استفاده از کاراکتر های خاص
برای مثال اگر به info.php/ درخواست زدید و 403 گرفتید میتونید
مسیر */info.php/ رو هم تست کنید
4. تغییر HTTP Method
این موضوع که تحت عنوان verb tampering هم شناخته میشه بررسی کردن متد های مختلف HTTP نظیر GET POST PUT PATCH در مسیر ها و اندپوینت های مختلف هست.
5. تغییر extension فایل
برای مثال تغییر config.php/ به .config.php/ ( به نقطه آخرش توجه کنید)
6. تغییر ورژن پروتکل HTTP
شما می تونید نسخه های مختلف این پروتکل رو بررسی کنید مثلا HTTP/1.0 و HTTP/1.1 و ...
منبع
https://trickest.com/blog/bypass-403-endpoints-with-trickest/
#bypass403
@Engineer_Computer
👍2🔥1
⭕️ با هوش مصنوعی تمپلیت های nuclei بسازید!
با استفاده از این ابزار شما میتونید با وارد کردن یک توضیح متنی راجع به تمپلیت مورد نظرتون اون رو بسازید.
🔗 https://bit.ly/3OP6Hn6
#Nuclei #BugBounty
@Engineer_Computer
با استفاده از این ابزار شما میتونید با وارد کردن یک توضیح متنی راجع به تمپلیت مورد نظرتون اون رو بسازید.
🔗 https://bit.ly/3OP6Hn6
#Nuclei #BugBounty
@Engineer_Computer
🚨 آگهی استخدام 🚨
▫️ 𝐇𝐞𝐥𝐩 𝐃𝐞𝐬𝐤 کارشناس ▫️
شرایط:
🔹جنسیت : آقا
🔹سن : تا ۳۵ سال
🔹مدرک تحصیلی : فوق دیپلم به بالا
📍آدرس:
تهران ، آرژانتین
وظایف :
🔸رفع ایراد نرم افزاری و سخت افزاری سیستم ها
🔸آشنا به ماشین های اداری و رفع ایراد آنها
🔸رفع مشکلات شبکه و Passive
⏰ساعت کاری:
شنبه تا چهارشنبه از ساعت 7 تا 15:30
مزایا :
✔️بیمه تامین اجتماعی
✔️بیمه تکمیلی
✔️بن،بسته معیشتی،کارانه معیشتی,اعیاد و مناسبت ها و ...
💡حقوق :
12 الی 15 میلیون تومان
ارسال رزومه :
👇👇👇👇👇👇
✅ Sinasanaei@hotmail.com
📌جهت اطلاع از آخرین موقعیت های شغلی IT و همچنین آموزش برای ورود به بازار کار شبکه کانال زیر را دنبال کنید
👇👇👇👇👇 👇
@Engineer_Computer
#hiring #job #helpdesk #computernetworking
#استخدام #هلپ_دسک #شبکه #آگهی_شغلی
▫️ 𝐇𝐞𝐥𝐩 𝐃𝐞𝐬𝐤 کارشناس ▫️
شرایط:
🔹جنسیت : آقا
🔹سن : تا ۳۵ سال
🔹مدرک تحصیلی : فوق دیپلم به بالا
📍آدرس:
تهران ، آرژانتین
وظایف :
🔸رفع ایراد نرم افزاری و سخت افزاری سیستم ها
🔸آشنا به ماشین های اداری و رفع ایراد آنها
🔸رفع مشکلات شبکه و Passive
⏰ساعت کاری:
شنبه تا چهارشنبه از ساعت 7 تا 15:30
مزایا :
✔️بیمه تامین اجتماعی
✔️بیمه تکمیلی
✔️بن،بسته معیشتی،کارانه معیشتی,اعیاد و مناسبت ها و ...
💡حقوق :
12 الی 15 میلیون تومان
ارسال رزومه :
👇👇👇👇👇👇
✅ Sinasanaei@hotmail.com
📌جهت اطلاع از آخرین موقعیت های شغلی IT و همچنین آموزش برای ورود به بازار کار شبکه کانال زیر را دنبال کنید
👇👇👇👇👇 👇
@Engineer_Computer
#hiring #job #helpdesk #computernetworking
#استخدام #هلپ_دسک #شبکه #آگهی_شغلی
👍1
سلام دوستان
در این پست به تکنیک Persistence با کمک schtasks پرداخته شده.
اتکر برای اجرای dll مخرب خودش، ممکنه یک Com Object بسازه و بعد در قالب یک schtasks اجرای اون رو تعریف کنه یا dll مورد نظر خودش رو مستقیم به صورت یک schtasks در نظر بگیره که دستورات زیر هر دو حالت رو نشون میده:
SCHTASKS /Create /ru SYSTEM /sc onlogon /tn HuntingTest /tr "rundll32 C:\ProgramData\malicious.dll"
یا
SCHTASKS /Create /ru SYSTEM /sc onlogon /tn HuntingTest /tr "rundll32 -sta {CLSID}
در دستور بالا، CLSID اشاره به COM Objectای داره که اتکر، dll مخرب خودش رو اونجا قرار داده.
اگر کاربر signout کنه، dll مخرب اتکر اجرا میشه چون سوییچ onlogon استفاده شده، به محض اینکه کاربر لاگین کنه، dll مد نظر اتکر اجرا میشه.
در سطح دسترسی System، برای اجرا هیچ Promptای باز نمیشه.
برای هانت باید به دنبال Event ID 4698 باشین که نشان دهنده ایجاد یک schtasks است(فرمت لاگ ها به صورت xmlای هست) که در ادامه فیلد مهمی که باید بهش توجه بشه، آورده شده:
<Exec>
<Command>rundll32</Command>
<Arguments>C:\ProgramData\malicious.dll</Arguments>
</Exec>
همچنین نیازه Event ID 11 Sysmon هم بررسی بشه:
Image: C:\Windows\system32\svchost.exe
TargetFilename: C:\Windows\System32\Tasks\HuntingTest
و در نهایت نیاز به بررسی Event ID 13 Sysmon هم هست:
Image=C\:\\Windows\\system32\\svchost.exe TargetObject=HKLM\\SOFTWARE\\Microsoft\\Windows*NT\\CurrentVersion\\Schedule\\TaskCache\\Tasks\\*
@Engineer_Computer
در این پست به تکنیک Persistence با کمک schtasks پرداخته شده.
اتکر برای اجرای dll مخرب خودش، ممکنه یک Com Object بسازه و بعد در قالب یک schtasks اجرای اون رو تعریف کنه یا dll مورد نظر خودش رو مستقیم به صورت یک schtasks در نظر بگیره که دستورات زیر هر دو حالت رو نشون میده:
SCHTASKS /Create /ru SYSTEM /sc onlogon /tn HuntingTest /tr "rundll32 C:\ProgramData\malicious.dll"
یا
SCHTASKS /Create /ru SYSTEM /sc onlogon /tn HuntingTest /tr "rundll32 -sta {CLSID}
در دستور بالا، CLSID اشاره به COM Objectای داره که اتکر، dll مخرب خودش رو اونجا قرار داده.
اگر کاربر signout کنه، dll مخرب اتکر اجرا میشه چون سوییچ onlogon استفاده شده، به محض اینکه کاربر لاگین کنه، dll مد نظر اتکر اجرا میشه.
در سطح دسترسی System، برای اجرا هیچ Promptای باز نمیشه.
برای هانت باید به دنبال Event ID 4698 باشین که نشان دهنده ایجاد یک schtasks است(فرمت لاگ ها به صورت xmlای هست) که در ادامه فیلد مهمی که باید بهش توجه بشه، آورده شده:
<Exec>
<Command>rundll32</Command>
<Arguments>C:\ProgramData\malicious.dll</Arguments>
</Exec>
همچنین نیازه Event ID 11 Sysmon هم بررسی بشه:
Image: C:\Windows\system32\svchost.exe
TargetFilename: C:\Windows\System32\Tasks\HuntingTest
و در نهایت نیاز به بررسی Event ID 13 Sysmon هم هست:
Image=C\:\\Windows\\system32\\svchost.exe TargetObject=HKLM\\SOFTWARE\\Microsoft\\Windows*NT\\CurrentVersion\\Schedule\\TaskCache\\Tasks\\*
@Engineer_Computer
Critical Log Review Checklist for Security Incidents.pdf
42.9 KB
💠 SANS Critical Log Review Checklist for Security Incidents
@Engineer_Computer
#️⃣#cheatsheet #sans #log
@Engineer_Computer
#️⃣#cheatsheet #sans #log
Information Security Assessment RFP Cheat Sheet.pdf
442.7 KB
💠 SANS Information Security Assessment RFP Cheat Sheet
@Engineer_Computer
#️⃣#cheatsheet #sans #cybersecurity #rfp
@Engineer_Computer
#️⃣#cheatsheet #sans #cybersecurity #rfp
Network DDoS Incident Response Cheat Sheet.pdf
97.5 KB
💠 SANS Network DDoS Incident Response Cheat Sheet
@Engineer_Computer
#️⃣#cheatsheet #sans #ddos #network
@Engineer_Computer
#️⃣#cheatsheet #sans #ddos #network