⚠️وقتی ویندوز علیه شما دستکاری میشود: تعییر پروفایل پاورشل
بحثی پیرامون مدل بلوغ SOC در دوره CISSP
#blueteam #cissp
برای مثال، در یک سناریوی واقعی، هکر میتواند تغییراتی در پروفایل پاورشِل (PowerShell Profiles)اعمال کند تا از کشف فعالیتهای مخرب خود جلوگیری کند. این پروفایلها فایلهای اسکریپتی هستند که هنگام اجرای پاورشِل بارگذاری میشوند و میتوانند برای تغییر تنظیمات و محیط پاورشِل استفاده شوند.
❇️مثال سناریوی مخرب:
هکر میتواند با اضافه کردن اسکریپتی به پروفایل پاورشِل، ردپاهای لاگبرداری یا فرمانهای قبلی را حذف کند.
فایلهای پروفایل پاورشِل:
پروفایلها معمولاً در یکی از مسیرهای زیر قرار دارند:
- C:\Users\<UserName>\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1
- C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1
👈تغییر مخرب:
هکر میتواند کدی مانند زیر به پروفایل اضافه کند:
powershell
پاک کردن تاریخچه فرمانها
Remove-Item -Path (Get-PSReadlineOption).HistorySavePath -Force
غیرفعال کردن تاریخچه برای استفادههای بعدی
Set-PSReadlineOption -HistorySaveStyle SaveNothing
پنهان کردن فرمانها در لاگهای Event Viewer
$LogFile = "C:\Windows\System32\LogFiles\PowerShell.evtx"
Remove-Item -Path $LogFile -Force -ErrorAction SilentlyContinue
☣️اثرات:
1. پاک کردن تاریخچه دستورات: تمام دستورات اجرا شده در پاورشِل حذف میشوند.
2. غیرفعال کردن ثبت دستورات: تضمین میکند که تاریخچه دستورات جدید ثبت نشود.
3. حذف فایلهای لاگ: فایلهای لاگ مرتبط با پاورشِل از سیستم حذف میشوند.
✅ نحوه تشخیص:
- بررسی تغییرات در فایلهای پروفایل پاورشِل (مانند تغییر زمان آخرین ویرایش).
- استفاده از ابزارهای SIEM (مانند Splunk) برای شناسایی فعالیتهای غیرمعمول.
- اجرای دستوری برای مشاهده پروفایل کاربر:
powershell
Get-Content $PROFILE
- استفاده از نرمافزارهای نظارتی برای جلوگیری از تغییر در فایلهای پروفایل حساس.
🔰راهکارهای پیشگیرانه:
1. فعال کردن AppLocker یا WDAC:برای جلوگیری از اجرای پروفایلهای غیرمجاز.
2. محدود کردن دسترسی به فایلهای پروفایل: فقط کاربران مجاز بتوانند این فایلها را تغییر دهند.
3. استفاده از مانیتورینگ پاورشِل:نظارت بر دستورات و فایلهای پروفایل پاورشِل با ابزارهایی مانند Microsoft Defender for Endpoint.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
بحثی پیرامون مدل بلوغ SOC در دوره CISSP
#blueteam #cissp
برای مثال، در یک سناریوی واقعی، هکر میتواند تغییراتی در پروفایل پاورشِل (PowerShell Profiles)اعمال کند تا از کشف فعالیتهای مخرب خود جلوگیری کند. این پروفایلها فایلهای اسکریپتی هستند که هنگام اجرای پاورشِل بارگذاری میشوند و میتوانند برای تغییر تنظیمات و محیط پاورشِل استفاده شوند.
❇️مثال سناریوی مخرب:
هکر میتواند با اضافه کردن اسکریپتی به پروفایل پاورشِل، ردپاهای لاگبرداری یا فرمانهای قبلی را حذف کند.
فایلهای پروفایل پاورشِل:
پروفایلها معمولاً در یکی از مسیرهای زیر قرار دارند:
- C:\Users\<UserName>\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1
- C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1
👈تغییر مخرب:
هکر میتواند کدی مانند زیر به پروفایل اضافه کند:
powershell
پاک کردن تاریخچه فرمانها
Remove-Item -Path (Get-PSReadlineOption).HistorySavePath -Force
غیرفعال کردن تاریخچه برای استفادههای بعدی
Set-PSReadlineOption -HistorySaveStyle SaveNothing
پنهان کردن فرمانها در لاگهای Event Viewer
$LogFile = "C:\Windows\System32\LogFiles\PowerShell.evtx"
Remove-Item -Path $LogFile -Force -ErrorAction SilentlyContinue
☣️اثرات:
1. پاک کردن تاریخچه دستورات: تمام دستورات اجرا شده در پاورشِل حذف میشوند.
2. غیرفعال کردن ثبت دستورات: تضمین میکند که تاریخچه دستورات جدید ثبت نشود.
3. حذف فایلهای لاگ: فایلهای لاگ مرتبط با پاورشِل از سیستم حذف میشوند.
✅ نحوه تشخیص:
- بررسی تغییرات در فایلهای پروفایل پاورشِل (مانند تغییر زمان آخرین ویرایش).
- استفاده از ابزارهای SIEM (مانند Splunk) برای شناسایی فعالیتهای غیرمعمول.
- اجرای دستوری برای مشاهده پروفایل کاربر:
powershell
Get-Content $PROFILE
- استفاده از نرمافزارهای نظارتی برای جلوگیری از تغییر در فایلهای پروفایل حساس.
🔰راهکارهای پیشگیرانه:
1. فعال کردن AppLocker یا WDAC:برای جلوگیری از اجرای پروفایلهای غیرمجاز.
2. محدود کردن دسترسی به فایلهای پروفایل: فقط کاربران مجاز بتوانند این فایلها را تغییر دهند.
3. استفاده از مانیتورینگ پاورشِل:نظارت بر دستورات و فایلهای پروفایل پاورشِل با ابزارهایی مانند Microsoft Defender for Endpoint.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2👏1🤯1😱1
🏮 فهم دستورات فارنزیک
در مواقعی لازم هست دستورات پاورشلی را برای اخذ اطلاعات از سیستم بزنیم. اما حتما شنیده اید که برخی برپایه CIM هستند و برخی WMI . حالا ببینیم تفاوت چیست و خودتان تمرین عملی داشته باشید :
تمرین فارنزیک برای مقایسه CIM و WMI
هدف: با استفاده از دستورات مشابه CIM و WMI اطلاعات سیستم را استخراج کنید و تفاوت در روش اجرا و خروجی را مشاهده کنید
1. دریافت اطلاعات سیستم:
- CIM:
Get-CimInstance -ClassName Win32_ComputerSystem
- WMI:
Get-WmiObject -Class Win32_ComputerSystem
2. دریافت اطلاعات سختافزار (CPU):
- CIM:
Get-CimInstance -ClassName Win32_Processor
- WMI:
Get-WmiObject -Class Win32_Processor
3. دریافت فرآیندهای در حال اجرا:
- CIM:
Get-CimInstance -ClassName Win32_Process | Select-Object Name, ProcessId
- WMI:
Get-WmiObject -Class Win32_Process | Select-Object Name, ProcessId
4. بررسی وضعیت سرویسها:
- CIM:
Get-CimInstance -ClassName Win32_Service | Where-Object { $_.State -eq "Running" }
- WMI:
Get-WmiObject -Class Win32_Service | Where-Object { $_.State -eq "Running" }
تحلیل خروجیها
به نکات زیر توجه کنید
1. سرعت اجرا:
آیا یکی از دستورات سریعتر اجرا میشود؟
2. فرمت خروجی:
آیا خروجی CIM خواناتر و مدرنتر به نظر میرسد؟
3. تفاوت ساختاری:
آیا تفاوتی در عمق اطلاعات یا ساختار دادهها وجود دارد؟
کدام دستور برای شما راحتتر و سریعتر بود؟ چرا؟
آیا امنیت بیشتر CIM در مقایسه با WMI برای شما محسوس بود؟
فکر میکنید چرا مایکروسافت از CIM به جای WMI حمایت میکند؟
تمرین های بیشتر
1. اطلاعات کاربران سیستم
- CIM:
Get-CimInstance -ClassName Win32_UserAccount
- WMI:
Get-WmiObject -Class Win32_UserAccount
2. اطلاعات شبکه
- CIM:
Get-CimInstance -ClassName Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }
- WMI:
Get-WmiObject -Class Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }
3. اطلاعات مربوط به درایورها
- CIM:
Get-CimInstance -ClassName Win32_PnPSignedDriver
- WMI:
Get-WmiObject -Class Win32_PnPSignedDriver
4. بررسی نرمافزارهای نصبشده
- CIM:
Get-CimInstance -ClassName Win32_Product
- WMI:
Get-WmiObject -Class Win32_Product
5. بررسی Event Logs
- CIM:
Get-CimInstance -ClassName Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5
- WMI:
Get-WmiObject -Class Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5
6. بررسی وضعیت سیستم عامل
- CIM:
Get-CimInstance -ClassName Win32_OperatingSystem
`
- WMI:
Get-WmiObject -Class Win32_OperatingSystem
مثال برای مقایسه امنیت بین CIM و WMI
یکی از تفاوتهای اصلی CIM و WMI در نحوه ارتباط آنها با سیستم است. برای نشان دادن این موضوع، میتوانید از تست ارتباط امن با سرور ریموت استفاده کنید.
ارتباط با سیستم ریموت
- CIM با WSMan (پروتکل امن):
$Session = New-CimSession -ComputerName "RemoteServer" -Credential (Get-Credential)
Get-CimInstance -ClassName Win32_ComputerSystem -CimSession $Session
- WMI با DCOM (کمتر امن):
Get-WmiObject -Class Win32_ComputerSystem -ComputerName "RemoteServer" -Credential (Get-Credential)
**همیشه دلیل کارها و دستورات را بپرسید و بخوانید.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
در مواقعی لازم هست دستورات پاورشلی را برای اخذ اطلاعات از سیستم بزنیم. اما حتما شنیده اید که برخی برپایه CIM هستند و برخی WMI . حالا ببینیم تفاوت چیست و خودتان تمرین عملی داشته باشید :
تمرین فارنزیک برای مقایسه CIM و WMI
هدف: با استفاده از دستورات مشابه CIM و WMI اطلاعات سیستم را استخراج کنید و تفاوت در روش اجرا و خروجی را مشاهده کنید
1. دریافت اطلاعات سیستم:
- CIM:
Get-CimInstance -ClassName Win32_ComputerSystem
- WMI:
Get-WmiObject -Class Win32_ComputerSystem
2. دریافت اطلاعات سختافزار (CPU):
- CIM:
Get-CimInstance -ClassName Win32_Processor
- WMI:
Get-WmiObject -Class Win32_Processor
3. دریافت فرآیندهای در حال اجرا:
- CIM:
Get-CimInstance -ClassName Win32_Process | Select-Object Name, ProcessId
- WMI:
Get-WmiObject -Class Win32_Process | Select-Object Name, ProcessId
4. بررسی وضعیت سرویسها:
- CIM:
Get-CimInstance -ClassName Win32_Service | Where-Object { $_.State -eq "Running" }
- WMI:
Get-WmiObject -Class Win32_Service | Where-Object { $_.State -eq "Running" }
تحلیل خروجیها
به نکات زیر توجه کنید
1. سرعت اجرا:
آیا یکی از دستورات سریعتر اجرا میشود؟
2. فرمت خروجی:
آیا خروجی CIM خواناتر و مدرنتر به نظر میرسد؟
3. تفاوت ساختاری:
آیا تفاوتی در عمق اطلاعات یا ساختار دادهها وجود دارد؟
کدام دستور برای شما راحتتر و سریعتر بود؟ چرا؟
آیا امنیت بیشتر CIM در مقایسه با WMI برای شما محسوس بود؟
فکر میکنید چرا مایکروسافت از CIM به جای WMI حمایت میکند؟
تمرین های بیشتر
1. اطلاعات کاربران سیستم
- CIM:
Get-CimInstance -ClassName Win32_UserAccount
- WMI:
Get-WmiObject -Class Win32_UserAccount
2. اطلاعات شبکه
- CIM:
Get-CimInstance -ClassName Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }
- WMI:
Get-WmiObject -Class Win32_NetworkAdapterConfiguration | Where-Object { $_.IPEnabled -eq $true }
3. اطلاعات مربوط به درایورها
- CIM:
Get-CimInstance -ClassName Win32_PnPSignedDriver
- WMI:
Get-WmiObject -Class Win32_PnPSignedDriver
4. بررسی نرمافزارهای نصبشده
- CIM:
Get-CimInstance -ClassName Win32_Product
- WMI:
Get-WmiObject -Class Win32_Product
5. بررسی Event Logs
- CIM:
Get-CimInstance -ClassName Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5
- WMI:
Get-WmiObject -Class Win32_NTLogEvent | Select-Object Logfile, SourceName, Message -First 5
6. بررسی وضعیت سیستم عامل
- CIM:
Get-CimInstance -ClassName Win32_OperatingSystem
`
- WMI:
Get-WmiObject -Class Win32_OperatingSystem
مثال برای مقایسه امنیت بین CIM و WMI
یکی از تفاوتهای اصلی CIM و WMI در نحوه ارتباط آنها با سیستم است. برای نشان دادن این موضوع، میتوانید از تست ارتباط امن با سرور ریموت استفاده کنید.
ارتباط با سیستم ریموت
- CIM با WSMan (پروتکل امن):
$Session = New-CimSession -ComputerName "RemoteServer" -Credential (Get-Credential)
Get-CimInstance -ClassName Win32_ComputerSystem -CimSession $Session
- WMI با DCOM (کمتر امن):
Get-WmiObject -Class Win32_ComputerSystem -ComputerName "RemoteServer" -Credential (Get-Credential)
**همیشه دلیل کارها و دستورات را بپرسید و بخوانید.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤1🔥1👏1🤯1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤1🔥1👏1🤯1🎉1
1736429078290.pdf
2.9 MB
🔍 Setting Up a Malware Analysis Lab: Your Ultimate Guide 🚀
💻 Step into the fascinating world of malware analysis! Creating a secure and efficient lab is critical for exploring, analyzing, and understanding malicious software without risking your primary systems. Here’s everything you need to set up your own lab:
🔧 Essential Components for a Malware Analysis Lab:
1️⃣ Isolated Virtual Environment:
• Use VMware, VirtualBox, or Hyper-V to create secure sandboxes.
• Take frequent snapshots to restore your environment quickly.
2️⃣ Diverse Operating Systems:
• Set up VMs for Windows (XP, 7, 10) and Linux distributions (Ubuntu, Kali).
• Include mobile OS emulators (Android Studio, Genymotion) for mobile malware.
3️⃣ Networking Tools:
• Simulate internet services with tools like INetSim.
• Use firewalls and private virtual networks to block outbound connections.
4️⃣ Static Analysis Tools:
• Disassemblers: IDA Pro, Ghidra, Radare2.
• Hex Editors: HxD, Bless.
• Decompiler Tools: OllyDbg, JD-GUI.
5️⃣ Dynamic Analysis Tools:
• Process Monitor (ProcMon), Process Explorer.
• Sandboxes: Cuckoo Sandbox, Any.Run.
• Network Analyzers: Wireshark, Fiddler.
6️⃣ Threat Intelligence Tools:
• YARA for custom rule creation.
• Use open-source platforms like VirusTotal, Hybrid Analysis, and Intezer.
7️⃣ Reverse Engineering Tools:
• Tools for unpacking malware (UPX, Exeinfo PE).
• Debuggers like x64dbg for in-depth analysis.
8️⃣ Log and Behavior Analysis:
• Sysmon for system activity monitoring.
• ELK stack (Elasticsearch, Logstash, Kibana) for log management.
9️⃣ Cloud-Based Labs:
• Platforms like Flare VM or REMnux for pre-configured setups.
• Use AWS or Azure with strict access controls for scalable labs.
10️⃣ Safety Practices:
• Disable shared folders and clipboard on VMs.
• Use NAT for internet access and a secure VPN for additional safety.
🛠 Bonus Tips for Malware Analysts:
✅ Keep your tools updated to detect new threats.
✅ Practice on known malware samples from trusted repositories like MalwareBazaar.
✅ Always document findings and automate repetitive tasks with noscripts.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
💻 Step into the fascinating world of malware analysis! Creating a secure and efficient lab is critical for exploring, analyzing, and understanding malicious software without risking your primary systems. Here’s everything you need to set up your own lab:
🔧 Essential Components for a Malware Analysis Lab:
1️⃣ Isolated Virtual Environment:
• Use VMware, VirtualBox, or Hyper-V to create secure sandboxes.
• Take frequent snapshots to restore your environment quickly.
2️⃣ Diverse Operating Systems:
• Set up VMs for Windows (XP, 7, 10) and Linux distributions (Ubuntu, Kali).
• Include mobile OS emulators (Android Studio, Genymotion) for mobile malware.
3️⃣ Networking Tools:
• Simulate internet services with tools like INetSim.
• Use firewalls and private virtual networks to block outbound connections.
4️⃣ Static Analysis Tools:
• Disassemblers: IDA Pro, Ghidra, Radare2.
• Hex Editors: HxD, Bless.
• Decompiler Tools: OllyDbg, JD-GUI.
5️⃣ Dynamic Analysis Tools:
• Process Monitor (ProcMon), Process Explorer.
• Sandboxes: Cuckoo Sandbox, Any.Run.
• Network Analyzers: Wireshark, Fiddler.
6️⃣ Threat Intelligence Tools:
• YARA for custom rule creation.
• Use open-source platforms like VirusTotal, Hybrid Analysis, and Intezer.
7️⃣ Reverse Engineering Tools:
• Tools for unpacking malware (UPX, Exeinfo PE).
• Debuggers like x64dbg for in-depth analysis.
8️⃣ Log and Behavior Analysis:
• Sysmon for system activity monitoring.
• ELK stack (Elasticsearch, Logstash, Kibana) for log management.
9️⃣ Cloud-Based Labs:
• Platforms like Flare VM or REMnux for pre-configured setups.
• Use AWS or Azure with strict access controls for scalable labs.
10️⃣ Safety Practices:
• Disable shared folders and clipboard on VMs.
• Use NAT for internet access and a secure VPN for additional safety.
🛠 Bonus Tips for Malware Analysts:
✅ Keep your tools updated to detect new threats.
✅ Practice on known malware samples from trusted repositories like MalwareBazaar.
✅ Always document findings and automate repetitive tasks with noscripts.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🗿2👍1🔥1😱1🎉1
🌸پرونده تهدید سایبری : عملیات Shadow Hammer
یک گروه APT که گمان میرود با حمایت دولتی فعالیت میکند، از زنجیره تأمین برای نفوذ به سیستمها استفاده کرد.
مرحله 1: شناسایی اولیه حادثه
در سال 2019، یک شرکت امنیتی (Kaspersky) گزارش داد که نسخهای از نرمافزار مدیریت ASUS Live Update به خطر افتاده است. کاربران از طریق بروزرسانیهای رسمی ASUS بهصورت نامحسوس در معرض بدافزار قرار گرفته بودند. این بدافزار به دلیل استفاده از گواهی دیجیتال قانونی ASUS قابل تشخیص نبود.
ردپاهای اولیه:
کاربران گزارشهایی مبنی بر رفتار غیرعادی در نرمافزار خود ارسال کردند.
تحلیل ترافیک شبکه نشان داد که نرمافزار به دامنههای مشکوک متصل میشود.
گزارش کاربران: گزارشهایی از رفتار غیرمعمول نرمافزار ASUS Live Update.
تحلیل ترافیک شبکه:
ترافیک شبکه به دامنههای خارجی مشکوک، نظیر asushotfix.com، هدایت میشد.
استفاده از DNS مشکوک و ارتباطات رمزنگاریشده غیرمعمول.
اقدامات اولیه:
جمعآوری لاگها:
تحلیل لاگهای مربوط به نصب نرمافزار.
بررسی لیست فرآیندهای در حال اجرا و اتصالات شبکه.
استفاده از SIEM:
فیلترسازی رویدادها و شناسایی ارتباطات مشکوک به سرورهای خارجی.
ردیابی IPها و ارتباطات مشکوک با اطلاعات موجود در پایگاههای داده Threat Intelligence.
مرحله 2: تحلیل بدافزار
الف) تحلیل استاتیک:
نمونههای آلوده استخراج شدند و تحلیل استاتیک روی آنها انجام شد:
بررسی هدرهای PE فایل اجرایی:
فایل اجرایی دارای گواهی دیجیتال امضاشده ASUS بود.
هیچ تغییری در امضاهای دیجیتال به چشم نمیخورد، که نشاندهنده دسترسی مستقیم مهاجم به سیستم زنجیره تأمین بود.
بررسی کدها و باینریها:
کد مخرب در یک بخش خاص از فایل (بخش .text) مخفی شده بود.
از تکنیکهای کدگذاری XOR و رمزنگاری AES برای پنهانسازی payload استفاده شده بود.
ب) تحلیل دینامیک:
بدافزار در محیط Sandboxing (مثلاً Cuckoo Sandbox) اجرا شد:
مشاهده رفتار بدافزار:
جمعآوری اطلاعات سیستم:
MAC Address.
شناسههای سختافزاری.
مقایسه اطلاعات جمعآوریشده با یک لیست داخلی (embedded whitelist).
اگر سیستم هدف در لیست بود:
بدافزار payload مخرب را از سرور C2 دریافت میکرد و اجرا میکرد.
این payload قابلیت نصب backdoor را داشت.
بررسی ارتباطات شبکه:
استفاده از TLS برای رمزنگاری ارتباطات با سرور C2.
ترافیک شبکه شامل درخواستهای HTTP POST مشکوک با دادههای رمزنگاریشده بود.
ج) تحلیل پیشرفته کد:
با استفاده از IDA Pro یا Ghidra:
دیکامپایل کد: مشخص شد که بدافزار از APIهای زیر استفاده میکند:
از CreateFile، ReadFile، و WriteFile برای دسترسی به فایلهای سیستم.
از InternetOpen و InternetConnect برای ارتباط با اینترنت.
مکانیزم پایداری (Persistence): بدافزار از رجیستری ویندوز برای اجرای مجدد خود پس از ریبوت استفاده میکرد.
مرحله 3: رهگیری و تحلیل زیرساخت مهاجم
نت اول ؛ ادامه پست
الف) تحلیل دامنهها و IPها:
دامنههای مشکوک نظیر asushotfix.com تحلیل شدند.
ارتباطات به یک سرور C2 در منطقه آسیای شرقی ختم شد.
ب) استفاده از Threat Intelligence:
و IPها و دامنهها با اطلاعات موجود در پایگاه دادههای تهدید بررسی شدند.
تطابق با فعالیتهای قبلی گروه Shadow Hamme و مشاهده شده.
ج) کشف ابزارها و روشها:
ابزارهای مورد استفاده مهاجم:
بدافزار اصلی در محیطی شبیه به نرمافزار مشروع امضا شده بود.
تکنیکهای زنجیره تأمین برای توزیع نرمافزار آلوده.
تکنیکهای استتار:
استفاده از لیست هدف محدود.
رمزنگاری دادههای در حال انتقال و استفاده از امضای دیجیتال قانونی.
مرحله 4: اقدامات متقابل
اقدامات فوری:
مسدود کردن دامنهها و IPها:
از طریق فایروالها و راهکارهای DNS Filtering.
شناسایی سیستمهای آلوده:
بررسی MAC Address سیستمها برای تطابق با لیست هدف.
اقدامات بعدی:
انتشار هش فایلهای مخرب و Signature آنها.
اطلاعرسانی به ASUS برای اصلاح فرآیند امضای دیجیتال.
همکاری با نهادهای بینالمللی برای شناسایی و مختل کردن زیرساخت C2.
درسآموختهها و نتیجهگیری
تقویت زنجیره تأمین:
بررسی دقیق کد و فرآیند امضای دیجیتال.
استفاده از EDR و Threat Hunting:
مانیتورینگ پیشرفته برای کشف رفتارهای غیرعادی در شبکه و سیستم.
شناسایی APTها:
ترکیب اطلاعات تهدید، تحلیل بدافزار، و رهگیری زیرساخت مهاجم.
📱 Channel : @Engineer_Computer
یک گروه APT که گمان میرود با حمایت دولتی فعالیت میکند، از زنجیره تأمین برای نفوذ به سیستمها استفاده کرد.
مرحله 1: شناسایی اولیه حادثه
در سال 2019، یک شرکت امنیتی (Kaspersky) گزارش داد که نسخهای از نرمافزار مدیریت ASUS Live Update به خطر افتاده است. کاربران از طریق بروزرسانیهای رسمی ASUS بهصورت نامحسوس در معرض بدافزار قرار گرفته بودند. این بدافزار به دلیل استفاده از گواهی دیجیتال قانونی ASUS قابل تشخیص نبود.
ردپاهای اولیه:
کاربران گزارشهایی مبنی بر رفتار غیرعادی در نرمافزار خود ارسال کردند.
تحلیل ترافیک شبکه نشان داد که نرمافزار به دامنههای مشکوک متصل میشود.
گزارش کاربران: گزارشهایی از رفتار غیرمعمول نرمافزار ASUS Live Update.
تحلیل ترافیک شبکه:
ترافیک شبکه به دامنههای خارجی مشکوک، نظیر asushotfix.com، هدایت میشد.
استفاده از DNS مشکوک و ارتباطات رمزنگاریشده غیرمعمول.
اقدامات اولیه:
جمعآوری لاگها:
تحلیل لاگهای مربوط به نصب نرمافزار.
بررسی لیست فرآیندهای در حال اجرا و اتصالات شبکه.
استفاده از SIEM:
فیلترسازی رویدادها و شناسایی ارتباطات مشکوک به سرورهای خارجی.
ردیابی IPها و ارتباطات مشکوک با اطلاعات موجود در پایگاههای داده Threat Intelligence.
مرحله 2: تحلیل بدافزار
الف) تحلیل استاتیک:
نمونههای آلوده استخراج شدند و تحلیل استاتیک روی آنها انجام شد:
بررسی هدرهای PE فایل اجرایی:
فایل اجرایی دارای گواهی دیجیتال امضاشده ASUS بود.
هیچ تغییری در امضاهای دیجیتال به چشم نمیخورد، که نشاندهنده دسترسی مستقیم مهاجم به سیستم زنجیره تأمین بود.
بررسی کدها و باینریها:
کد مخرب در یک بخش خاص از فایل (بخش .text) مخفی شده بود.
از تکنیکهای کدگذاری XOR و رمزنگاری AES برای پنهانسازی payload استفاده شده بود.
ب) تحلیل دینامیک:
بدافزار در محیط Sandboxing (مثلاً Cuckoo Sandbox) اجرا شد:
مشاهده رفتار بدافزار:
جمعآوری اطلاعات سیستم:
MAC Address.
شناسههای سختافزاری.
مقایسه اطلاعات جمعآوریشده با یک لیست داخلی (embedded whitelist).
اگر سیستم هدف در لیست بود:
بدافزار payload مخرب را از سرور C2 دریافت میکرد و اجرا میکرد.
این payload قابلیت نصب backdoor را داشت.
بررسی ارتباطات شبکه:
استفاده از TLS برای رمزنگاری ارتباطات با سرور C2.
ترافیک شبکه شامل درخواستهای HTTP POST مشکوک با دادههای رمزنگاریشده بود.
ج) تحلیل پیشرفته کد:
با استفاده از IDA Pro یا Ghidra:
دیکامپایل کد: مشخص شد که بدافزار از APIهای زیر استفاده میکند:
از CreateFile، ReadFile، و WriteFile برای دسترسی به فایلهای سیستم.
از InternetOpen و InternetConnect برای ارتباط با اینترنت.
مکانیزم پایداری (Persistence): بدافزار از رجیستری ویندوز برای اجرای مجدد خود پس از ریبوت استفاده میکرد.
مرحله 3: رهگیری و تحلیل زیرساخت مهاجم
نت اول ؛ ادامه پست
الف) تحلیل دامنهها و IPها:
دامنههای مشکوک نظیر asushotfix.com تحلیل شدند.
ارتباطات به یک سرور C2 در منطقه آسیای شرقی ختم شد.
ب) استفاده از Threat Intelligence:
و IPها و دامنهها با اطلاعات موجود در پایگاه دادههای تهدید بررسی شدند.
تطابق با فعالیتهای قبلی گروه Shadow Hamme و مشاهده شده.
ج) کشف ابزارها و روشها:
ابزارهای مورد استفاده مهاجم:
بدافزار اصلی در محیطی شبیه به نرمافزار مشروع امضا شده بود.
تکنیکهای زنجیره تأمین برای توزیع نرمافزار آلوده.
تکنیکهای استتار:
استفاده از لیست هدف محدود.
رمزنگاری دادههای در حال انتقال و استفاده از امضای دیجیتال قانونی.
مرحله 4: اقدامات متقابل
اقدامات فوری:
مسدود کردن دامنهها و IPها:
از طریق فایروالها و راهکارهای DNS Filtering.
شناسایی سیستمهای آلوده:
بررسی MAC Address سیستمها برای تطابق با لیست هدف.
اقدامات بعدی:
انتشار هش فایلهای مخرب و Signature آنها.
اطلاعرسانی به ASUS برای اصلاح فرآیند امضای دیجیتال.
همکاری با نهادهای بینالمللی برای شناسایی و مختل کردن زیرساخت C2.
درسآموختهها و نتیجهگیری
تقویت زنجیره تأمین:
بررسی دقیق کد و فرآیند امضای دیجیتال.
استفاده از EDR و Threat Hunting:
مانیتورینگ پیشرفته برای کشف رفتارهای غیرعادی در شبکه و سیستم.
شناسایی APTها:
ترکیب اطلاعات تهدید، تحلیل بدافزار، و رهگیری زیرساخت مهاجم.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2🔥1👏1🤯1😱1
ابزارهایی برای بررسی ایمیل
https://readmedium.com/explore-17-free-tools-for-in-depth-email-investigation-2a8fe6188451
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://readmedium.com/explore-17-free-tools-for-in-depth-email-investigation-2a8fe6188451
Please open Telegram to view this post
VIEW IN TELEGRAM
Readmedium
Explore 17 FREE Tools for In-Depth Email Investigation
A comprehensive guide for uncovering actionable insights on any email address.
👍3🔥1😱1🤩1🕊1
فرآیند ها و ریسک
برای محاسبه ریسک ، شناسایی آسیب پذیری ها حیاتی است. یکی از نقاط ضعف یا همان آسیب پذیریهایی که کمتر بدان توجه شده است فرآیند ها است. در مقاله زیر به این موضوع پرداخته ام .
با هم ببینیم نگاه به ریسک اگر در فرآیند ما دمیده باشد چه مزایایی خواهیم داشت.
این موضوع مبحث درس ISSMP است؛ مدیریت عالی امنیت که پنج شنبه ها درحال برگزاری است
https://medium.com/@roozbeh.no/understanding-risk-aware-processes-in-modern-organizations-as-an-issmp-07b44a2265a9
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
برای محاسبه ریسک ، شناسایی آسیب پذیری ها حیاتی است. یکی از نقاط ضعف یا همان آسیب پذیریهایی که کمتر بدان توجه شده است فرآیند ها است. در مقاله زیر به این موضوع پرداخته ام .
با هم ببینیم نگاه به ریسک اگر در فرآیند ما دمیده باشد چه مزایایی خواهیم داشت.
این موضوع مبحث درس ISSMP است؛ مدیریت عالی امنیت که پنج شنبه ها درحال برگزاری است
https://medium.com/@roozbeh.no/understanding-risk-aware-processes-in-modern-organizations-as-an-issmp-07b44a2265a9
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Understanding Risk-Aware Processes in Modern Organizations as an ISSMP
In today’s volatile and fast-paced business environment, organizations are exposed to a myriad of risks ranging from cyber threats to…
❤2🔥2👏1😱1🎉1
سر و کله زدن با ترافیک کبالت استرایک
https://blog.nviso.eu/series/cobalt-strike-decrypting-traffic
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://blog.nviso.eu/series/cobalt-strike-decrypting-traffic
Please open Telegram to view this post
VIEW IN TELEGRAM
NVISO Labs
Cobalt Strike: Decrypting Traffic – NVISO Labs
In this series, we describe different methods and tools to decrypt Cobalt Strike network traffic.
👍3❤2🔥1👏1
#موقت
_پرسیدم، اگه ماشینت پنجر باشه باهاش میری سرکار؟!
+گفت: خب معلومه، نه
_گفتم: اگه توجه نکنی بری و بیایی باهاش، چی میشه؟!
+گفت: خب میترکه، نابود میشه
_گفتم: ما با ماشینمون اینکارو نمیکنیم، ولی بارها با خودمون اینکارو کردیم
کیلومترها خود پنجرمونو بردیم!
چکیده کتاب "سیلی واقعیت".
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
_پرسیدم، اگه ماشینت پنجر باشه باهاش میری سرکار؟!
+گفت: خب معلومه، نه
_گفتم: اگه توجه نکنی بری و بیایی باهاش، چی میشه؟!
+گفت: خب میترکه، نابود میشه
_گفتم: ما با ماشینمون اینکارو نمیکنیم، ولی بارها با خودمون اینکارو کردیم
کیلومترها خود پنجرمونو بردیم!
چکیده کتاب "سیلی واقعیت".
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤5🔥1😢1🕊1🗿1
استفاده عملی از فناوری جدید اینتل
Intel® Threat Detection Technology (Intel® TDT)
تفاوت بین زمانی که بنز ، کیا و پراید سوار شدی!!
https://www.crowdstrike.com/en-us/blog/falcon-enhances-fileless-attack-detection-with-accelerated-memory-scanning/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Intel® Threat Detection Technology (Intel® TDT)
تفاوت بین زمانی که بنز ، کیا و پراید سوار شدی!!
https://www.crowdstrike.com/en-us/blog/falcon-enhances-fileless-attack-detection-with-accelerated-memory-scanning/
Please open Telegram to view this post
VIEW IN TELEGRAM
CrowdStrike.com
Enhancing Fileless Attack Detection with Memory Scanning | CrowdStrike
Memory scanning provides another layer of visibility and protection for CrowdStrike's Falcon sensor. Read how this can help detect fileless attacks here.
❤3👍2🔥1👏1🎉1
هاردنینگ اکتیو دایرکتوری
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-1-%E2%80%93-disabling-ntlmv1/3934787
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-1-%E2%80%93-disabling-ntlmv1/3934787
Please open Telegram to view this post
VIEW IN TELEGRAM
TECHCOMMUNITY.MICROSOFT.COM
Active Directory Hardening Series - Part 1 – Disabling NTLMv1 | Microsoft Community Hub
In this series my goal is to help you understand how to move forward with confidence by better understanding the changes along with how to perform proper due...
❤4👍1🔥1🎉1🕊1
خبری شوکه آور
الگوریتم هایی که در استرالیا برای بعد از ۲۰۳۰ تاییدیه ندارند
متن کامل را با کپی کردن لینک زیر در readmedium.com رایگان بخوانید
https://billatnapier.medium.com/shock-news-sha-256-ecdsa-and-rsa-not-approved-in-australia-by-2030-3d1c286cad58
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
الگوریتم هایی که در استرالیا برای بعد از ۲۰۳۰ تاییدیه ندارند
متن کامل را با کپی کردن لینک زیر در readmedium.com رایگان بخوانید
https://billatnapier.medium.com/shock-news-sha-256-ecdsa-and-rsa-not-approved-in-australia-by-2030-3d1c286cad58
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Shock News: SHA-256, ECDSA and RSA Not Approved in Australia By 2030
I am a bit shocked … SHA-256 will not be approved for use in Australia by 2030. From what I know at the current time, AES-256 and SHA-256…
❤3👍1🔥1😱1🕊1👨💻1
نصب و راه اندازی OpenCTI
OpenCTI (Open Cyber Threat Intelligence)
https://readmedium.com/install-opencti-0c4bd5094ea5
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
OpenCTI (Open Cyber Threat Intelligence)
https://readmedium.com/install-opencti-0c4bd5094ea5
Please open Telegram to view this post
VIEW IN TELEGRAM
Readmedium
Install OpenCTI
OpenCTI (Open Cyber Threat Intelligence) is an open-source platform designed to collect, store, and utilize cyber threat data. It helps…
❤3👍1🔥1🤯1😱1👨💻1
و اما ابزار امروز
لینوکس را امن کنید
https://cisofy.com/lynis/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
لینوکس را امن کنید
https://cisofy.com/lynis/
Please open Telegram to view this post
VIEW IN TELEGRAM
Cisofy
Lynis - Security auditing and hardening tool for Linux/Unix
Lynis is an open source security auditing tool. Part of Lynis Enterprise Suite, its main goal is to audit and harden Unix and Linux based systems.
❤3👍1🔥1🤯1😱1🕊1
یکی از دوره های رایگان که داره خوب بحث تحلیل حافظه رو باز میکنه
امید که خوب ادامه پیدا کنه
ارائه توسط جناب امینی
https://www.aparat.com/v/j911qzw/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
امید که خوب ادامه پیدا کنه
ارائه توسط جناب امینی
https://www.aparat.com/v/j911qzw/
Please open Telegram to view this post
VIEW IN TELEGRAM
آپارات - سرویس اشتراک ویدیو
20-Basic Memory Forensic:Check Processes Name
بررسی و صحت سنجی نام پروسس های ویندوز
❤3👍1🔥1🤯1😱1🕊1
تحلیل حرکت عرضی
یک مقاله ی خوش نوشت
https://medium.com/@cyberengage.org/lateral-movement-analysis-using-chainsaw-hayabusa-and-logparser-for-cybersecurity-investigations-b927843bd8d4
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یک مقاله ی خوش نوشت
https://medium.com/@cyberengage.org/lateral-movement-analysis-using-chainsaw-hayabusa-and-logparser-for-cybersecurity-investigations-b927843bd8d4
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Lateral Movement Analysis: Using Chainsaw, Hayabusa, and LogParser for Cybersecurity Investigations
A few days ago, I received a request through my website from someone working on an incident response case. He mentioned a situation…
❤3👍1🔥1👏1🎉1🗿1
آدرس های پشت کلادفلر که هستند؟
ابزار reconnaissance
https://github.com/musana/CF-Hero
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
ابزار reconnaissance
https://github.com/musana/CF-Hero
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - musana/CF-Hero: CF-Hero is a reconnaissance tool that uses multiple data sources to discover the origin IP addresses of…
CF-Hero is a reconnaissance tool that uses multiple data sources to discover the origin IP addresses of Cloudflare-protected web applications - musana/CF-Hero
❤3🔥3👍1👏1🤩1🗿1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥3👍1👏1🤩1
1736652734844.pdf
238 KB
شبیهسازی مصاحبه برای موقعیت تحلیلگر امنیت سایبری (L1، L2، L3) از پسزمینههای مختلف تکمیل شده با نمونههای رزومه ATS
#INTERVIEW #CYBERSECURITY #ANALYST #VARIOUS #SIMULATION #SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1👏1🤩1🕊1
جامپ لیست ها چرا مهم هستند ؟
فارنزیک برای آنها چگونه است ؟
https://www.cybertriage.com/blog/jump-list-forensics-2025
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
فارنزیک برای آنها چگونه است ؟
https://www.cybertriage.com/blog/jump-list-forensics-2025
Please open Telegram to view this post
VIEW IN TELEGRAM
Cyber Triage
Jump Lists Forensics 2025
How to explain jump lists forensics to an old-school detective: Jump lists are fingerprints. They connect people to places and things. Jump lists
❤2👍2🔥1👏1🕊1👨💻1
فکر کنم وقت این رسیده این ابزارها رو با من تست کنید
https://github.com/MHaggis/PowerShell-Hunter
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/MHaggis/PowerShell-Hunter
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - MHaggis/PowerShell-Hunter: PowerShell tools to help defenders hunt smarter, hunt harder.
PowerShell tools to help defenders hunt smarter, hunt harder. - MHaggis/PowerShell-Hunter
❤3👨💻2🔥1🤯1🕊1