یکی از جامع ترین مقالات در زمینه ATT&CK Navigator
مطالعه کردم و دیدم بسیار جامع و خوب مطلب رو شرح داده و مثال زده
توجه : لطفا از نسخه لوکال برای کارهای عملیاتی استفاده کنید که شرح نصب و استفاده از اون هم در مقاله اومده
https://kravensecurity.com/attack-navigator
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer/
مطالعه کردم و دیدم بسیار جامع و خوب مطلب رو شرح داده و مثال زده
توجه : لطفا از نسخه لوکال برای کارهای عملیاتی استفاده کنید که شرح نصب و استفاده از اون هم در مقاله اومده
https://kravensecurity.com/attack-navigator
Please open Telegram to view this post
VIEW IN TELEGRAM
Kraven Security
The ATT&CK Navigator: A Powerful Tool For Visualizing Cyber Attacks - Kraven Security
Unlock the power of the ATT&CK Navigator, discover its many use cases, and learn to visualize and map attack techniques through a user-friendly interface.
❤2🔥1
درس جمعه
سوال :
☘️اولا لینک زیر را یک هکر استفاده میکند تا اسکریپت توسط تیم آبی خوانده نشود و ناخوانا بماند را مطالعه کنید تا قضیه دستتان بیاید.
☘️❓دوم سوال : اصولا چرا باید در سیستم عامل اجازه درهم ریزی دستورات و اسکریپت ها وجود داشته باشد ؟
☘️🍁سوم : اگرچه بازیابی این دستورات درهم ریخته سخت است ولی در فارنزیک قابلیت انجام وجود دارد . روش انجام به شرح زیر :
1. بازیابی از حافظه (Memory Forensics)
هنگامی که یک اسکریپت باینری کامپایل شده اجرا میشود، سیستم عامل باید آن را به حافظه منتقل کند. این به این معناست که دستورهای اصلی شل (Shell commands) ممکن است در حافظه ذخیره شوند.
ابزارهایی مانند Volatility یا Memdumpبرای گرفتن دامپ حافظه استفاده کنید.
2. مهندسی معکوس فایل باینری (Binary Reverse Engineering)
با استفاده از مهندسی معکوس، میتوان تلاش کرد تا منطق برنامه را بازسازی کرد.
2. استفاده از disassembler/decompiler
- از ابزارهایی مانند Ghidra یا Radare2 یا IDA Proاستفاده کنید.
3. تحلیل فایلهای موقت و کش
هنگام اجرای یک فایل باینری، سیستمعامل ممکن است فایلهای موقت یا کشایجاد کند. گاهی اوقات، کد اصلی اسکریپت در این فایلها قابل مشاهده است.
4. ردیابی فرآیندهای در حال اجرا (Live Forensics)
اگر سیستم هنوز در حال اجرا باشد و اسکریپت مخرب همچنان در حال اجرا باشد، میتوانید از ابزارهای نظارتی استفاده کنید.
5. تحلیل استاتیک (Static Analysis)
تحلیل استاتیک به معنای بررسی باینری بدون اجرای آن است.
6. تحلیل ساختار
ELF (Executable and Linkable Format)
Shell Script Compiler (shc) is a tool that converts shell noscripts (like .sh files) into binary executable files.
https://dfir.ch/posts/shell_noscript_compiler
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer/
سوال :
☘️اولا لینک زیر را یک هکر استفاده میکند تا اسکریپت توسط تیم آبی خوانده نشود و ناخوانا بماند را مطالعه کنید تا قضیه دستتان بیاید.
☘️❓دوم سوال : اصولا چرا باید در سیستم عامل اجازه درهم ریزی دستورات و اسکریپت ها وجود داشته باشد ؟
☘️🍁سوم : اگرچه بازیابی این دستورات درهم ریخته سخت است ولی در فارنزیک قابلیت انجام وجود دارد . روش انجام به شرح زیر :
1. بازیابی از حافظه (Memory Forensics)
هنگامی که یک اسکریپت باینری کامپایل شده اجرا میشود، سیستم عامل باید آن را به حافظه منتقل کند. این به این معناست که دستورهای اصلی شل (Shell commands) ممکن است در حافظه ذخیره شوند.
ابزارهایی مانند Volatility یا Memdumpبرای گرفتن دامپ حافظه استفاده کنید.
2. مهندسی معکوس فایل باینری (Binary Reverse Engineering)
با استفاده از مهندسی معکوس، میتوان تلاش کرد تا منطق برنامه را بازسازی کرد.
2. استفاده از disassembler/decompiler
- از ابزارهایی مانند Ghidra یا Radare2 یا IDA Proاستفاده کنید.
3. تحلیل فایلهای موقت و کش
هنگام اجرای یک فایل باینری، سیستمعامل ممکن است فایلهای موقت یا کشایجاد کند. گاهی اوقات، کد اصلی اسکریپت در این فایلها قابل مشاهده است.
4. ردیابی فرآیندهای در حال اجرا (Live Forensics)
اگر سیستم هنوز در حال اجرا باشد و اسکریپت مخرب همچنان در حال اجرا باشد، میتوانید از ابزارهای نظارتی استفاده کنید.
5. تحلیل استاتیک (Static Analysis)
تحلیل استاتیک به معنای بررسی باینری بدون اجرای آن است.
6. تحلیل ساختار
ELF (Executable and Linkable Format)
Shell Script Compiler (shc) is a tool that converts shell noscripts (like .sh files) into binary executable files.
https://dfir.ch/posts/shell_noscript_compiler
Please open Telegram to view this post
VIEW IN TELEGRAM
dfir.ch
Shell Script Compiler (shc) | dfir.ch
Technical blog by Stephan Berger (@malmoeb)
👍1🔥1👏1
06-ai-article-m-trends-2024.pdf
149.2 KB
کوتاه اما مهم
مقالات مندینت را باید خواند
این از آنهایی است که حتما باید خواند
استفاده از هوش مصنوعی در تیم های قرمز و بنفش
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
مقالات مندینت را باید خواند
این از آنهایی است که حتما باید خواند
استفاده از هوش مصنوعی در تیم های قرمز و بنفش
Please open Telegram to view this post
VIEW IN TELEGRAM
ویدئوی کاربردی از حملات علیه اکتیو دایرکتوری همراه با راهکار های جلوگیری
مناسب برای ادمین ها و امنیت چی ها
حملاتی که میتوانند کل سازمان را در یک ساعت از پای درآورند
https://m.youtube.com/watch?v=M-2d3sM3I2o
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
مناسب برای ادمین ها و امنیت چی ها
حملاتی که میتوانند کل سازمان را در یک ساعت از پای درآورند
https://m.youtube.com/watch?v=M-2d3sM3I2o
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1🔥1
نه هواخواه لینوکس باشید نه ویندوز
پیگیری کنید کجا امن نیستید آنرا حل کنید
فعلا مشکل در لینوکس را بخوانیم
https://cybersecuritynews.com/stealthy-linux-malware-pumakit/amp
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
پیگیری کنید کجا امن نیستید آنرا حل کنید
فعلا مشکل در لینوکس را بخوانیم
https://cybersecuritynews.com/stealthy-linux-malware-pumakit/amp
Please open Telegram to view this post
VIEW IN TELEGRAM
Cyber Security News
New Stealthy Linux Malware PUMAKIT With Unique Privilege Escalation Methods
Security researchers at Elastic Security Labs have uncovered a sophisticated Linux malware dubbed PUMAKIT, which employs advanced stealth techniques and unique privilege escalation methods to maintain persistence on infected systems.
اگر قرار است گزارش تحلیلی نخوانید بهتر است به شغلی غیر از SOC فکر کنید
https://www.trendmicro.com/en_us/research/24/l/darkgate-malware.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.trendmicro.com/en_us/research/24/l/darkgate-malware.html
Please open Telegram to view this post
VIEW IN TELEGRAM
Trend Micro
Vishing via Microsoft Teams Facilitates DarkGate Malware Intrusion
powershellautomationandnoscriptingforcybersecurity
#threat #intelligence
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
#threat #intelligence
Please open Telegram to view this post
VIEW IN TELEGRAM
powershellautomationandnoscriptingforcybersecurity.pdf
14.4 MB
powershell automationan dnoscripting forcy bersecurity
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Please open Telegram to view this post
VIEW IN TELEGRAM
vulnerabilityresearchershandbook
#threat #intelligence
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
#threat #intelligence
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
آسیب پذیری خطرناک
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
#استخدام
تیم امنیت ابرآمد، از متخصصان حوزه تست نفوذ و امنسازی Web Application دعوت به همکاری میکند 🛸
مهارتهای تخصصی مورد نیاز:
💀 آشنایی با متدلوژی OWASP (ASVS & WSTG)
💀 تسلط بر حملات Server-side & Client-side
💀 تسلط بر تجزیه و تحلیل آسیبپذیریها و توانایی اجرا و تغییر اکسپلویتها
💀 تسلط بر کار با ابزارهای تست نفوذ (Burp suite ,nuclei, …)
💀 تسلط بر گزارشنویسی و ارائه راهکارهای برطرفسازی آسیبپذیری
💀 آشنایی با وب اپلیکیشن فایروالهای متداول و تسلط بر تکنیکهای ارزیابی و دور زدن آنها
💀 برخورداری از مهارت کار تیمی
مهارتهایی که برخورداری از آنها مزیت محسوب میشود:
💣 علاقهمند به اجرای فرآیندهای Red Teaming (آشنا با فریمورک MITRE ATT&CK)
💣 سابقه فعالیت در پلتفرمهای داخلی و خارجی باگ بانتی
💣 دارا بودن تفکر تحلیلی و علاقهمند به رویارویی با چالشهای فنی تست نفوذ
💣 علاقهمند به R&D در حوزه حملات پیشرفته و تحلیل آسیبپذیریها
تجربه کاری مورد نیاز:
📆 ۳ تا ۵ سال سابقه تست نفوذ وب
جهت ارسال رزومه و اطلاع از مزایای همکاری با hashtag#ابرآمد از لینک زیر استفاده کنید:
🔗 https://www.abramad.com/jobs/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تیم امنیت ابرآمد، از متخصصان حوزه تست نفوذ و امنسازی Web Application دعوت به همکاری میکند 🛸
مهارتهای تخصصی مورد نیاز:
💀 آشنایی با متدلوژی OWASP (ASVS & WSTG)
💀 تسلط بر حملات Server-side & Client-side
💀 تسلط بر تجزیه و تحلیل آسیبپذیریها و توانایی اجرا و تغییر اکسپلویتها
💀 تسلط بر کار با ابزارهای تست نفوذ (Burp suite ,nuclei, …)
💀 تسلط بر گزارشنویسی و ارائه راهکارهای برطرفسازی آسیبپذیری
💀 آشنایی با وب اپلیکیشن فایروالهای متداول و تسلط بر تکنیکهای ارزیابی و دور زدن آنها
💀 برخورداری از مهارت کار تیمی
مهارتهایی که برخورداری از آنها مزیت محسوب میشود:
💣 علاقهمند به اجرای فرآیندهای Red Teaming (آشنا با فریمورک MITRE ATT&CK)
💣 سابقه فعالیت در پلتفرمهای داخلی و خارجی باگ بانتی
💣 دارا بودن تفکر تحلیلی و علاقهمند به رویارویی با چالشهای فنی تست نفوذ
💣 علاقهمند به R&D در حوزه حملات پیشرفته و تحلیل آسیبپذیریها
تجربه کاری مورد نیاز:
📆 ۳ تا ۵ سال سابقه تست نفوذ وب
جهت ارسال رزومه و اطلاع از مزایای همکاری با hashtag#ابرآمد از لینک زیر استفاده کنید:
🔗 https://www.abramad.com/jobs/
Please open Telegram to view this post
VIEW IN TELEGRAM
ابرآمد
همکاری با ابرآمد - ابرآمد
در این قسمت شما میتوانید با مزایای همکاری با ابرآمد و فرهنگ سازمانی این شرکت آشنا شده و در صورت تمایل رزومه خود را برای ما ارسال نمایید تا در اولین فرصت بررسی...
❤2👍1🔥1🎉1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1🔥1
اگر از داخل ایران علاوه بر hashtag#فیلترینگ ، از hashtag#تحریم های خارجی که بسیاری از سایت ها بر روی آی پی های ایران اعمال کردهاند به ستوه آمدهاید:
احتمالا اسم سرویس hashtag#شکن رو شنیدهاید. اگر نه: یک سرویس رایگان ارائه میدهند که با تنظیم دستی dns میتوانید به سایتهایی که به دلیل hashtag#تحریم (و نه hashtag#فیلترینگ) محدودیت دسترسی از داخل ایران اعمال کردهاند دسترسی پیدا کنید.
*** اما نکته اصلی این پست اینجاست.
تنظیم dns شکن در محیط هایی که شبکه محلی وجود دارد معمولا اختلال در دسترسی به شبکه محلی را به دنبال دارد. شما مجبور هستید مدام dns شکن و dns شبکه محلی خود را تعویض کنید.
اما از طریق این دستور در powershell میتوانید dns سایت هایی که میخواهید از hashtag#شکن استفاده کنند را بر روی یکی از آی پی dns های hashtag#شکن تنظیم کنید:
178.22.122.100
185.51.200.2
Add-DnsClientNrptRule -Namespace ".chatgpt.com" -NameServers "185.51.200.2"
دقت داشته باشید که نقطه قبل از آدرس سایت برای این است که همه زیر دامنه های سایت هم از همین dns استفاده کنند.
ممکن است لازم باشد برای اعمال تغییرات در مسیریابی شبکه از دستور Clear-DnsClientCache استفاده کنید.
همچنین توجه داشته باشید که nslookup لزوما با این تنظیمات درست جواب نمیدهد. میتوانید از یک دستور دیگر PowerShell یعنی Resolve-DnsName برای تست استفاده کنید:
Resolve-DnsName www.chatgpt.com
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
احتمالا اسم سرویس hashtag#شکن رو شنیدهاید. اگر نه: یک سرویس رایگان ارائه میدهند که با تنظیم دستی dns میتوانید به سایتهایی که به دلیل hashtag#تحریم (و نه hashtag#فیلترینگ) محدودیت دسترسی از داخل ایران اعمال کردهاند دسترسی پیدا کنید.
*** اما نکته اصلی این پست اینجاست.
تنظیم dns شکن در محیط هایی که شبکه محلی وجود دارد معمولا اختلال در دسترسی به شبکه محلی را به دنبال دارد. شما مجبور هستید مدام dns شکن و dns شبکه محلی خود را تعویض کنید.
اما از طریق این دستور در powershell میتوانید dns سایت هایی که میخواهید از hashtag#شکن استفاده کنند را بر روی یکی از آی پی dns های hashtag#شکن تنظیم کنید:
178.22.122.100
185.51.200.2
Add-DnsClientNrptRule -Namespace ".chatgpt.com" -NameServers "185.51.200.2"
دقت داشته باشید که نقطه قبل از آدرس سایت برای این است که همه زیر دامنه های سایت هم از همین dns استفاده کنند.
ممکن است لازم باشد برای اعمال تغییرات در مسیریابی شبکه از دستور Clear-DnsClientCache استفاده کنید.
همچنین توجه داشته باشید که nslookup لزوما با این تنظیمات درست جواب نمیدهد. میتوانید از یک دستور دیگر PowerShell یعنی Resolve-DnsName برای تست استفاده کنید:
Resolve-DnsName www.chatgpt.com
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1🔥1🤩1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1🤩1
· Attack-Defense - https://attackdefense.com
· Alert to win - https://alf.nu/alert1
· Buffer Overflow Labs - https://github.com/CyberSecurityUP/Buffer-Overflow-Labs
· CryptoHack - https://cryptohack.org/
· CMD Challenge - https://cmdchallenge.com
· Cyberdefenders - https://cyberdefenders.org/blueteam-ctf-challenges/
· Damn Vulnerable Repository - https://encurtador.com.br/ge2Rp
· Defend The Web - https://defendtheweb.net/
· Exploitation Education - https://exploit.education
· Google CTF - https://capturetheflag.withgoogle.com/
· HackTheBox - https://www.hackthebox.com
· Hacker101 - https://ctf.hacker101.com
· Hacking-Lab - https://hacking-lab.com/
· ImmersiveLabs - https://immersivelabs.com
· Infinity Learning CWL - https://cyberwarfare.live/infinity-learning/
· LetsDefend- https://letsdefend.io/
· NewbieContest - https://www.newbiecontest.org/
· OverTheWire - http://overthewire.org
· Practical Pentest Labs - https://practicalpentestlabs.com/
· Pentestlab - https://pentesterlab.com
· Penetration Testing Practice Labs - http://www.amanhardikar.com/mindmaps/Practice.html
· PentestIT LAB - https://lab.pentestit.ru
· PicoCTF - https://picoctf.com
· PWNABLE - https://pwnable.kr/play.php
· Root-Me - https://www.root-me.org
· Red Team Exercises - https://github.com/CyberSecurityUP/Red-Team-Exercises
· Root in Jail - http://rootinjail.com
· SANS Challenger - https://www.holidayhackchallenge.com/
· SmashTheStack - http://smashthestack.org/wargames.html
· The Cryptopals Crypto Challenges - https://cryptopals.com
· Try Hack Me - https://tryhackme.com
· Vulnhub - https://www.vulnhub.com
· Vulnmachine - https://www.vulnmachines.com/
· W3Challs - https://w3challs.com
· WeChall - http://www.wechall.net
· Websploit - https://websploit.org/
· Zenk-Security - https://www.zenk-security.com/
Did I forget a lab? comment there
#ctf #pentest #redteam #blueteam #hacking #informationsecurity #cybersecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
❤5🤩2🎉1
استفاده از انسیبل برای خودکار سازی بسیاری از امور امنیت فراگیر شده است .
برای آشنایی دانشجویان در دوره عالی مدیریت امنیت سایبری ISSMP در کارگاه این درس ، به تشریح استفاده از انسیبل و همچنین استفاده بصورت امن پرداختم
https://spacelift.io/blog/ansible-best-practices
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
برای آشنایی دانشجویان در دوره عالی مدیریت امنیت سایبری ISSMP در کارگاه این درس ، به تشریح استفاده از انسیبل و همچنین استفاده بصورت امن پرداختم
https://spacelift.io/blog/ansible-best-practices
Please open Telegram to view this post
VIEW IN TELEGRAM
Spacelift
50+ Ansible Best Practices to Follow [Tips & Tricks]
In this article, we discuss best practices and tips for setting up Ansible projects and suggest how to effectively manage Ansible’s internals.
👍2❤1🔥1🤩1
یلدا از دو بخش "یل" به اضافه "دا" تشکیل شده است
یل + دا = یلدا
در زبان لری که از بازمانده های زبان هخامنشیان است یل را به معنای بزرگ دانند و به مادر دا گویند( به مادر دی هم می گویند)
مادر = دا = دی
هخامنشیان اعتقاد داشتند که شب اول زمستان دانه های گیاهان در زیر خاک جوانه میزنند و شروع به روییدن می کنند و به همین سبب اولین ماه زمستان را دی می گویند.
پس یلدا به معنی رویش و زایش می باشد
یلدا = رویش بزرگ
یلدا بر شما مبارک.🍉🍉
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یل + دا = یلدا
در زبان لری که از بازمانده های زبان هخامنشیان است یل را به معنای بزرگ دانند و به مادر دا گویند( به مادر دی هم می گویند)
مادر = دا = دی
هخامنشیان اعتقاد داشتند که شب اول زمستان دانه های گیاهان در زیر خاک جوانه میزنند و شروع به روییدن می کنند و به همین سبب اولین ماه زمستان را دی می گویند.
پس یلدا به معنی رویش و زایش می باشد
یلدا = رویش بزرگ
یلدا بر شما مبارک.🍉🍉
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥2👏1🤩1
#Cyberespionage #Gamaredon #APT on #Ukraine
اخیرا یک حمله از یک کمپین روسی شناسایی شده که هدفش سازمان های اکراینی و کشور های هم پیمان ناتو بوده است.
حمله به این صورت بوده یک فایل فرمت LNK به ایمیل های فیشینگ Attachment بوده که به محض دانلود و اجرا، Stage بعدی دانلود می شده است.
فایل LNK از بستر اینترنت یک فایل HTA رو بصورت از راه دور اجرا میکنه که اون فایل در حالت minimize بوده و پنجره ای نیز باز نخواهد کرد.
فایل اجرایی HTA دارای یک ActiveX Object بوده که میاد Wnoscript.Shell رو Object میکنه که اجازه دسترسی به خط فرمان رو خواهد داد.
به registered یک فرمان داده میشه برای اجرا که باز میاد mshta.exe رو بکار میگیره برای اجرای یک فایل دیگه با نام rejoined.jpeg که بظاهر فرمت jpeg دارد.
در فایل دریافتی یک کد JS وجود داره که میاد یک مقدار Base64 رو بصورت مبهم سازی هست رو دانلود میکنه که در اصل یک فایل rar هستش.
گزارش مفصل هست اما یک نکته جالب دیگه داره، اونم اینکه استفاده از تکنیک Fast Flux DNS که برای گم کردن رد C&C استفاده شده و مدام IP پشت دامنه ها در حال تغییر بوده.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اخیرا یک حمله از یک کمپین روسی شناسایی شده که هدفش سازمان های اکراینی و کشور های هم پیمان ناتو بوده است.
حمله به این صورت بوده یک فایل فرمت LNK به ایمیل های فیشینگ Attachment بوده که به محض دانلود و اجرا، Stage بعدی دانلود می شده است.
فایل LNK از بستر اینترنت یک فایل HTA رو بصورت از راه دور اجرا میکنه که اون فایل در حالت minimize بوده و پنجره ای نیز باز نخواهد کرد.
فایل اجرایی HTA دارای یک ActiveX Object بوده که میاد Wnoscript.Shell رو Object میکنه که اجازه دسترسی به خط فرمان رو خواهد داد.
به registered یک فرمان داده میشه برای اجرا که باز میاد mshta.exe رو بکار میگیره برای اجرای یک فایل دیگه با نام rejoined.jpeg که بظاهر فرمت jpeg دارد.
در فایل دریافتی یک کد JS وجود داره که میاد یک مقدار Base64 رو بصورت مبهم سازی هست رو دانلود میکنه که در اصل یک فایل rar هستش.
گزارش مفصل هست اما یک نکته جالب دیگه داره، اونم اینکه استفاده از تکنیک Fast Flux DNS که برای گم کردن رد C&C استفاده شده و مدام IP پشت دامنه ها در حال تغییر بوده.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🤩2👍1