Tech book
"Machine Learning Security Principles:
Keep data, networks, users, and applications safe from prying eyes", 2022.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

سفارت استرالیا تو ایران راننده استخدام میکنه.

تقریبا پیش نیازی نداره به جز زبان.
حقوقش از حدود ۱۱۰ میلیون تومان ماهانه شروع میشه.😑

لینک

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

♨️ AttackRuleMap
🔺 پروژه مپ Atomic Red Team بر روی
🔘 Splunk ESCU ( در حال تکمیل/فعلا ویندوز )
🔘 Sigma Rules

🔗 https://attackrulemap.netlify.app/

#sigma #Splunk #ESCU #BlueTeam #SOC

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔖Bug Bounty CheatSheet

🔴XSS

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴SQLi

🔘 Github: 🔗Link

🔴SSRF

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴CRLF

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴CSV-Injection

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴Command Injection

🔘 Github: 🔗Link

🔴Directory Traversal

🔘 Github: 🔗Link

🔴LFI

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴XXE

🔘 Github: 🔗Link

🔴Open-Redirect

🔘 Github: 🔗Link

🔴RCE

🔘 Github: 🔗Link

🔴Crypto

🔘 Github: 🔗Link

🔴Template Injection

🔘 Github: 🔗Link
🔘 Github: 🔗Link

🔴XSLT

🔘 Github: 🔗Link

🔴Content Injection

🔘 Github: 🔗Link

🔴LDAP Injection

🔘 Github: 🔗Link

🔴NoSQL Injection

🔘 Github: 🔗Link

🔴CSRF Injection

🔘 Github: 🔗Link

🔴GraphQL Injection

🔘 Github: 🔗Link

🔴IDOR

🔘 Github: 🔗Link

🔴ISCM

🔘 Github: 🔗Link

🔴LaTex Injection

🔘 Github: 🔗Link

🔴OAuth

🔘 Github: 🔗Link

🔴XPATH Injection

🔘 Github: 🔗Link

🔴Bypass Upload Tricky

🔘 Github: 🔗Link

#pentestin #bugbounty #Tools

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

هر وقت سازمانی رفت سراغ cobit و SABSA و C2M2 و امثالهم ؛ میشه انتظار داشت اون سازمان از خیلی جنبه ها بالغ شده وگرنه دراکثر سازمان‌ها فعلا تجارت ابزار و نرم افزار داریم تا استفاده از اونها.
اونوقت حتی میشه در مورد کیفیت پذیرایی از پرسنل اون سازمان تا کیفیت رول نویسی روی فایروال نظر داد

سراغ اینها رفتن شاید یه همت ملی میخواد .
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

⚠️شما شماره ملی یکی رو داشته باش
و
موبایلش
نتیجه آزمایش‌پزشکی اونو در بسیاری از آزمایشگاه‌های تهران ببین.


همین قدر زیبا
همین قدر بی امنیت و بی اهمیت !!
حریم شخصی ما


🚫پس شماره تلفنت پسوردت شده لذا اونو هرجایی نده !!
چون مسوولین رسیدگی نمیکنن این راهکار رو گفتم .


پی نوشت : در آمریکا قانون حفاظت از اسناد پزشکی تحت نام HIPAA وجود دارد .

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

آشنایی و کار با ابزار YAF

https://tools.netsa.cert.org/yaf/usecases.html

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ابزار اوسینت امروز

https://github.com/ibnaleem/gosearch

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اولین PoC سال جدید میلادی برای ویندوز

https://github.com/SafeBreach-Labs/CVE-2024-49112

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

⚠️وقتی ویندوز علیه شما دستکاری می‌شود: تعییر پروفایل پاورشل
بحثی پیرامون مدل بلوغ SOC در دوره CISSP
#blueteam #cissp

برای مثال، در یک سناریوی واقعی، هکر می‌تواند تغییراتی در پروفایل پاورشِل (PowerShell Profiles)اعمال کند تا از کشف فعالیت‌های مخرب خود جلوگیری کند. این پروفایل‌ها فایل‌های اسکریپتی هستند که هنگام اجرای پاورشِل بارگذاری می‌شوند و می‌توانند برای تغییر تنظیمات و محیط پاورشِل استفاده شوند.

❇️مثال سناریوی مخرب:
هکر می‌تواند با اضافه کردن اسکریپتی به پروفایل پاورشِل، ردپاهای لاگ‌برداری یا فرمان‌های قبلی را حذف کند.

فایل‌های پروفایل پاورشِل:
پروفایل‌ها معمولاً در یکی از مسیرهای زیر قرار دارند:
- C:\Users\<UserName>\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1
- C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1

👈تغییر مخرب:
هکر می‌تواند کدی مانند زیر به پروفایل اضافه کند:

powershell
پاک کردن تاریخچه فرمان‌ها
Remove-Item -Path (Get-PSReadlineOption).HistorySavePath -Force
غیرفعال کردن تاریخچه برای استفاده‌های بعدی
Set-PSReadlineOption -HistorySaveStyle SaveNothing

پنهان کردن فرمان‌ها در لاگ‌های Event Viewer
$LogFile = "C:\Windows\System32\LogFiles\PowerShell.evtx"
Remove-Item -Path $LogFile -Force -ErrorAction SilentlyContinue


☣️اثرات:
1. پاک کردن تاریخچه دستورات: تمام دستورات اجرا شده در پاورشِل حذف می‌شوند.
2. غیرفعال کردن ثبت دستورات: تضمین می‌کند که تاریخچه دستورات جدید ثبت نشود.
3. حذف فایل‌های لاگ: فایل‌های لاگ مرتبط با پاورشِل از سیستم حذف می‌شوند.


✅ نحوه تشخیص:
- بررسی تغییرات در فایل‌های پروفایل پاورشِل (مانند تغییر زمان آخرین ویرایش).
- استفاده از ابزارهای SIEM (مانند Splunk) برای شناسایی فعالیت‌های غیرمعمول.
- اجرای دستوری برای مشاهده پروفایل کاربر:
powershell
Get-Content $PROFILE

- استفاده از نرم‌افزارهای نظارتی برای جلوگیری از تغییر در فایل‌های پروفایل حساس.

🔰راهکارهای پیشگیرانه:
1. فعال کردن AppLocker یا WDAC:برای جلوگیری از اجرای پروفایل‌های غیرمجاز.
2. محدود کردن دسترسی به فایل‌های پروفایل: فقط کاربران مجاز بتوانند این فایل‌ها را تغییر دهند.
3. استفاده از مانیتورینگ پاورشِل:نظارت بر دستورات و فایل‌های پروفایل پاورشِل با ابزارهایی مانند Microsoft Defender for Endpoint.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🏮 فهم دستورات فارنزیک

در مواقعی لازم هست دستورات پاورشلی را برای اخذ اطلاعات از سیستم بزنیم. اما حتما شنیده اید که برخی برپایه CIM هستند و برخی WMI . حالا ببینیم تفاوت چیست و خودتان تمرین عملی داشته باشید :

تمرین فارنزیک برای مقایسه CIM و WMI

هدف: با استفاده از دستورات مشابه CIM و WMI اطلاعات سیستم را استخراج کنید و تفاوت در روش اجرا و خروجی را مشاهده کنید



1. دریافت اطلاعات سیستم:
- CIM:

Get-CimInstance -ClassName Win32_ComputerSystem

- WMI:

Get-WmiObject -Class Win32_ComputerSystem


2. دریافت اطلاعات سخت‌افزار (CPU):
- CIM:

Get-CimInstance -ClassName Win32_Processor

- WMI:

Get-WmiObject -Class Win32_Processor


3. دریافت فرآیندهای در حال اجرا:
- CIM:

Get-CimInstance -ClassName Win32_Process | Select-Object Name, ProcessId

- WMI:

Get-WmiObject -Class Win32_Process | Select-Object Name, ProcessId


4. بررسی وضعیت سرویس‌ها:
- CIM:

Get-CimInstance -ClassName Win32_Service | Where-Object { $_.State -eq "Running" }

- WMI:

Get-WmiObject -Class Win32_Service | Where-Object { $_.State -eq "Running" }


تحلیل خروجی‌ها
به نکات زیر توجه کنید
1. سرعت اجرا:
آیا یکی از دستورات سریع‌تر اجرا می‌شود؟
2. فرمت خروجی:
آیا خروجی CIM خواناتر و مدرن‌تر به نظر می‌رسد؟
3. تفاوت ساختاری:
آیا تفاوتی در عمق اطلاعات یا ساختار داده‌ها وجود دارد؟


کدام دستور برای شما راحت‌تر و سریع‌تر بود؟ چرا؟
آیا امنیت بیشتر CIM در مقایسه با WMI برای شما محسوس بود؟
فکر می‌کنید چرا مایکروسافت از CIM به جای WMI حمایت می‌کند؟

تمرین های بیشتر

1. اطلاعات کاربران سیستم
- CIM:

Get-CimInstance -ClassName Win32_UserAccount

- WMI:

Get-WmiObject -Class Win32_UserAccount


2. اطلاعات شبکه
- CIM:

Get-CimInstance -ClassName Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }

- WMI:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }


3. اطلاعات مربوط به درایورها
- CIM:

Get-CimInstance -ClassName Win32_PnPSignedDriver

- WMI:

Get-WmiObject -Class Win32_PnPSignedDriver


4. بررسی نرم‌افزارهای نصب‌شده
- CIM:

Get-CimInstance -ClassName Win32_Product

- WMI:

Get-WmiObject -Class Win32_Product


5. بررسی Event Logs
- CIM:

Get-CimInstance -ClassName Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5

- WMI:

Get-WmiObject -Class Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5


6. بررسی وضعیت سیستم عامل
- CIM:

Get-CimInstance -ClassName Win32_OperatingSystem
`
- WMI:

Get-WmiObject -Class Win32_OperatingSystem

مثال برای مقایسه امنیت بین CIM و WMI
یکی از تفاوت‌های اصلی CIM و WMI در نحوه ارتباط آن‌ها با سیستم است. برای نشان دادن این موضوع، می‌توانید از تست ارتباط امن با سرور ریموت استفاده کنید.


ارتباط با سیستم ریموت
- CIM با WSMan (پروتکل امن):

$Session = New-CimSession -ComputerName "RemoteServer" -Credential (Get-Credential)
Get-CimInstance -ClassName Win32_ComputerSystem -CimSession $Session

- WMI با DCOM (کمتر امن):

Get-WmiObject -Class Win32_ComputerSystem -ComputerName "RemoteServer" -Credential (Get-Credential)

**همیشه دلیل کارها و دستورات را بپرسید و بخوانید.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

راهنمای امنیت سایبری از سازمان ASD استرالیا

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔍 Setting Up a Malware Analysis Lab: Your Ultimate Guide 🚀

💻 Step into the fascinating world of malware analysis! Creating a secure and efficient lab is critical for exploring, analyzing, and understanding malicious software without risking your primary systems. Here’s everything you need to set up your own lab:

🔧 Essential Components for a Malware Analysis Lab:

1️⃣ Isolated Virtual Environment:
• Use VMware, VirtualBox, or Hyper-V to create secure sandboxes.
• Take frequent snapshots to restore your environment quickly.

2️⃣ Diverse Operating Systems:
• Set up VMs for Windows (XP, 7, 10) and Linux distributions (Ubuntu, Kali).
• Include mobile OS emulators (Android Studio, Genymotion) for mobile malware.

3️⃣ Networking Tools:
• Simulate internet services with tools like INetSim.
• Use firewalls and private virtual networks to block outbound connections.

4️⃣ Static Analysis Tools:
• Disassemblers: IDA Pro, Ghidra, Radare2.
• Hex Editors: HxD, Bless.
• Decompiler Tools: OllyDbg, JD-GUI.

5️⃣ Dynamic Analysis Tools:
• Process Monitor (ProcMon), Process Explorer.
• Sandboxes: Cuckoo Sandbox, Any.Run.
• Network Analyzers: Wireshark, Fiddler.

6️⃣ Threat Intelligence Tools:
• YARA for custom rule creation.
• Use open-source platforms like VirusTotal, Hybrid Analysis, and Intezer.

7️⃣ Reverse Engineering Tools:
• Tools for unpacking malware (UPX, Exeinfo PE).
• Debuggers like x64dbg for in-depth analysis.

8️⃣ Log and Behavior Analysis:
• Sysmon for system activity monitoring.
• ELK stack (Elasticsearch, Logstash, Kibana) for log management.

9️⃣ Cloud-Based Labs:
• Platforms like Flare VM or REMnux for pre-configured setups.
• Use AWS or Azure with strict access controls for scalable labs.

10️⃣ Safety Practices:
• Disable shared folders and clipboard on VMs.
• Use NAT for internet access and a secure VPN for additional safety.

🛠 Bonus Tips for Malware Analysts:

✅ Keep your tools updated to detect new threats.
✅ Practice on known malware samples from trusted repositories like MalwareBazaar.
✅ Always document findings and automate repetitive tasks with noscripts.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🌸پرونده تهدید سایبری : عملیات Shadow Hammer

یک گروه APT که گمان می‌رود با حمایت دولتی فعالیت می‌کند، از زنجیره تأمین برای نفوذ به سیستم‌ها استفاده کرد.
مرحله 1: شناسایی اولیه حادثه

در سال 2019، یک شرکت امنیتی (Kaspersky) گزارش داد که نسخه‌ای از نرم‌افزار مدیریت ASUS Live Update به خطر افتاده است. کاربران از طریق بروزرسانی‌های رسمی ASUS به‌صورت نامحسوس در معرض بدافزار قرار گرفته بودند. این بدافزار به دلیل استفاده از گواهی دیجیتال قانونی ASUS قابل تشخیص نبود.

ردپاهای اولیه:

کاربران گزارش‌هایی مبنی بر رفتار غیرعادی در نرم‌افزار خود ارسال کردند.
تحلیل ترافیک شبکه نشان داد که نرم‌افزار به دامنه‌های مشکوک متصل می‌شود.

گزارش کاربران: گزارش‌هایی از رفتار غیرمعمول نرم‌افزار ASUS Live Update.
تحلیل ترافیک شبکه:
ترافیک شبکه به دامنه‌های خارجی مشکوک، نظیر asushotfix.com، هدایت می‌شد.
استفاده از DNS مشکوک و ارتباطات رمزنگاری‌شده غیرمعمول.

اقدامات اولیه:

جمع‌آوری لاگ‌ها:
تحلیل لاگ‌های مربوط به نصب نرم‌افزار.
بررسی لیست فرآیندهای در حال اجرا و اتصالات شبکه.

استفاده از SIEM:
فیلترسازی رویدادها و شناسایی ارتباطات مشکوک به سرورهای خارجی.
ردیابی IPها و ارتباطات مشکوک با اطلاعات موجود در پایگاه‌های داده Threat Intelligence.

مرحله 2: تحلیل بدافزار
الف) تحلیل استاتیک:

نمونه‌های آلوده استخراج شدند و تحلیل استاتیک روی آن‌ها انجام شد:

بررسی هدرهای PE فایل اجرایی:
فایل اجرایی دارای گواهی دیجیتال امضاشده ASUS بود.
هیچ تغییری در امضاهای دیجیتال به چشم نمی‌خورد، که نشان‌دهنده دسترسی مستقیم مهاجم به سیستم زنجیره تأمین بود.

بررسی کدها و باینری‌ها:
کد مخرب در یک بخش خاص از فایل (بخش .text) مخفی شده بود.
از تکنیک‌های کدگذاری XOR و رمزنگاری AES برای پنهان‌سازی payload استفاده شده بود.

ب) تحلیل دینامیک:

بدافزار در محیط Sandboxing (مثلاً Cuckoo Sandbox) اجرا شد:

مشاهده رفتار بدافزار:
جمع‌آوری اطلاعات سیستم:
MAC Address.
شناسه‌های سخت‌افزاری.
مقایسه اطلاعات جمع‌آوری‌شده با یک لیست داخلی (embedded whitelist).

اگر سیستم هدف در لیست بود:
بدافزار payload مخرب را از سرور C2 دریافت می‌کرد و اجرا می‌کرد.
این payload قابلیت نصب backdoor را داشت.

بررسی ارتباطات شبکه:
استفاده از TLS برای رمزنگاری ارتباطات با سرور C2.
ترافیک شبکه شامل درخواست‌های HTTP POST مشکوک با داده‌های رمزنگاری‌شده بود.

ج) تحلیل پیشرفته کد:

با استفاده از IDA Pro یا Ghidra:

دی‌کامپایل کد: مشخص شد که بدافزار از APIهای زیر استفاده می‌کند:
از CreateFile، ReadFile، و WriteFile برای دسترسی به فایل‌های سیستم.
از InternetOpen و InternetConnect برای ارتباط با اینترنت.
مکانیزم پایداری (Persistence): بدافزار از رجیستری ویندوز برای اجرای مجدد خود پس از ریبوت استفاده می‌کرد.

مرحله 3: رهگیری و تحلیل زیرساخت مهاجم


نت اول ؛ ادامه پست

الف) تحلیل دامنه‌ها و IPها:

دامنه‌های مشکوک نظیر asushotfix.com تحلیل شدند.
ارتباطات به یک سرور C2 در منطقه آسیای شرقی ختم شد.

ب) استفاده از Threat Intelligence:

و IPها و دامنه‌ها با اطلاعات موجود در پایگاه داده‌های تهدید بررسی شدند.
تطابق با فعالیت‌های قبلی گروه Shadow Hamme و مشاهده شده.

ج) کشف ابزارها و روش‌ها:

ابزارهای مورد استفاده مهاجم:
بدافزار اصلی در محیطی شبیه به نرم‌افزار مشروع امضا شده بود.
تکنیک‌های زنجیره تأمین برای توزیع نرم‌افزار آلوده.

تکنیک‌های استتار:
استفاده از لیست هدف محدود.
رمزنگاری داده‌های در حال انتقال و استفاده از امضای دیجیتال قانونی.


مرحله 4: اقدامات متقابل
اقدامات فوری:

مسدود کردن دامنه‌ها و IPها:
از طریق فایروال‌ها و راهکارهای DNS Filtering.
شناسایی سیستم‌های آلوده:
بررسی MAC Address سیستم‌ها برای تطابق با لیست هدف.

اقدامات بعدی:

انتشار هش فایل‌های مخرب و Signature آن‌ها.
اطلاع‌رسانی به ASUS برای اصلاح فرآیند امضای دیجیتال.
همکاری با نهادهای بین‌المللی برای شناسایی و مختل کردن زیرساخت C2.

درس‌آموخته‌ها و نتیجه‌گیری

تقویت زنجیره تأمین:
بررسی دقیق کد و فرآیند امضای دیجیتال.
استفاده از EDR و Threat Hunting:
مانیتورینگ پیشرفته برای کشف رفتارهای غیرعادی در شبکه و سیستم.
شناسایی APTها:
ترکیب اطلاعات تهدید، تحلیل بدافزار، و رهگیری زیرساخت مهاجم.

📱 Channel : @Engineer_Computer

ابزارهایی برای بررسی ایمیل

https://readmedium.com/explore-17-free-tools-for-in-depth-email-investigation-2a8fe6188451

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

فرآیند ها و ریسک

برای محاسبه ریسک ، شناسایی آسیب پذیری ها حیاتی است. یکی از نقاط ضعف یا همان آسیب پذیریهایی که کمتر بدان توجه شده است فرآیند ها است. در مقاله زیر به این موضوع پرداخته ام .
با هم ببینیم نگاه به ریسک اگر در فرآیند ما دمیده باشد چه مزایایی خواهیم داشت.
این موضوع مبحث درس ISSMP است؛ مدیریت عالی امنیت که پنج شنبه ها درحال برگزاری است

https://medium.com/@roozbeh.no/understanding-risk-aware-processes-in-modern-organizations-as-an-issmp-07b44a2265a9

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

سر و کله زدن با ترافیک کبالت استرایک

https://blog.nviso.eu/series/cobalt-strike-decrypting-traffic

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#موقت
‏_پرسیدم، اگه ماشینت پنجر باشه باهاش میری سرکار؟!
+گفت: خب معلومه، نه
_گفتم: اگه توجه‌ نکنی بری و بیایی باهاش، چی میشه؟!
+گفت: خب میترکه، نابود میشه
_گفتم: ما با ماشینمون اینکارو نمی‌کنیم، ولی بارها با خودمون اینکارو کردیم
کیلومترها خود پنجرمونو بردیم!

چکیده کتاب "سیلی واقعیت".

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

استفاده عملی از فناوری‌ جدید اینتل

Intel® Threat Detection Technology (Intel® TDT)

تفاوت بین زمانی که بنز ، کیا و پراید سوار شدی!!

https://www.crowdstrike.com/en-us/blog/falcon-enhances-fileless-attack-detection-with-accelerated-memory-scanning/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

هاردنینگ اکتیو دایرکتوری

https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-1-%E2%80%93-disabling-ntlmv1/3934787

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

خبری شوکه آور

الگوریتم هایی که در استرالیا برای بعد از ۲۰۳۰ تاییدیه ندارند

متن کامل را با کپی کردن لینک زیر در readmedium.com رایگان بخوانید

https://billatnapier.medium.com/shock-news-sha-256-ecdsa-and-rsa-not-approved-in-australia-by-2030-3d1c286cad58

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer