هاردنینگ اکتیو دایرکتوری
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-1-%E2%80%93-disabling-ntlmv1/3934787
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-1-%E2%80%93-disabling-ntlmv1/3934787
Please open Telegram to view this post
VIEW IN TELEGRAM
TECHCOMMUNITY.MICROSOFT.COM
Active Directory Hardening Series - Part 1 – Disabling NTLMv1 | Microsoft Community Hub
In this series my goal is to help you understand how to move forward with confidence by better understanding the changes along with how to perform proper due...
❤4👍1🔥1🎉1🕊1
خبری شوکه آور
الگوریتم هایی که در استرالیا برای بعد از ۲۰۳۰ تاییدیه ندارند
متن کامل را با کپی کردن لینک زیر در readmedium.com رایگان بخوانید
https://billatnapier.medium.com/shock-news-sha-256-ecdsa-and-rsa-not-approved-in-australia-by-2030-3d1c286cad58
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
الگوریتم هایی که در استرالیا برای بعد از ۲۰۳۰ تاییدیه ندارند
متن کامل را با کپی کردن لینک زیر در readmedium.com رایگان بخوانید
https://billatnapier.medium.com/shock-news-sha-256-ecdsa-and-rsa-not-approved-in-australia-by-2030-3d1c286cad58
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Shock News: SHA-256, ECDSA and RSA Not Approved in Australia By 2030
I am a bit shocked … SHA-256 will not be approved for use in Australia by 2030. From what I know at the current time, AES-256 and SHA-256…
❤3👍1🔥1😱1🕊1👨💻1
نصب و راه اندازی OpenCTI
OpenCTI (Open Cyber Threat Intelligence)
https://readmedium.com/install-opencti-0c4bd5094ea5
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
OpenCTI (Open Cyber Threat Intelligence)
https://readmedium.com/install-opencti-0c4bd5094ea5
Please open Telegram to view this post
VIEW IN TELEGRAM
Readmedium
Install OpenCTI
OpenCTI (Open Cyber Threat Intelligence) is an open-source platform designed to collect, store, and utilize cyber threat data. It helps…
❤3👍1🔥1🤯1😱1👨💻1
و اما ابزار امروز
لینوکس را امن کنید
https://cisofy.com/lynis/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
لینوکس را امن کنید
https://cisofy.com/lynis/
Please open Telegram to view this post
VIEW IN TELEGRAM
Cisofy
Lynis - Security auditing and hardening tool for Linux/Unix
Lynis is an open source security auditing tool. Part of Lynis Enterprise Suite, its main goal is to audit and harden Unix and Linux based systems.
❤3👍1🔥1🤯1😱1🕊1
یکی از دوره های رایگان که داره خوب بحث تحلیل حافظه رو باز میکنه
امید که خوب ادامه پیدا کنه
ارائه توسط جناب امینی
https://www.aparat.com/v/j911qzw/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
امید که خوب ادامه پیدا کنه
ارائه توسط جناب امینی
https://www.aparat.com/v/j911qzw/
Please open Telegram to view this post
VIEW IN TELEGRAM
آپارات - سرویس اشتراک ویدیو
20-Basic Memory Forensic:Check Processes Name
بررسی و صحت سنجی نام پروسس های ویندوز
❤3👍1🔥1🤯1😱1🕊1
تحلیل حرکت عرضی
یک مقاله ی خوش نوشت
https://medium.com/@cyberengage.org/lateral-movement-analysis-using-chainsaw-hayabusa-and-logparser-for-cybersecurity-investigations-b927843bd8d4
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یک مقاله ی خوش نوشت
https://medium.com/@cyberengage.org/lateral-movement-analysis-using-chainsaw-hayabusa-and-logparser-for-cybersecurity-investigations-b927843bd8d4
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Lateral Movement Analysis: Using Chainsaw, Hayabusa, and LogParser for Cybersecurity Investigations
A few days ago, I received a request through my website from someone working on an incident response case. He mentioned a situation…
❤3👍1🔥1👏1🎉1🗿1
آدرس های پشت کلادفلر که هستند؟
ابزار reconnaissance
https://github.com/musana/CF-Hero
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
ابزار reconnaissance
https://github.com/musana/CF-Hero
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - musana/CF-Hero: CF-Hero is a reconnaissance tool that uses multiple data sources to discover the origin IP addresses of…
CF-Hero is a reconnaissance tool that uses multiple data sources to discover the origin IP addresses of Cloudflare-protected web applications - musana/CF-Hero
❤3🔥3👍1👏1🤩1🗿1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥3👍1👏1🤩1
1736652734844.pdf
238 KB
شبیهسازی مصاحبه برای موقعیت تحلیلگر امنیت سایبری (L1، L2، L3) از پسزمینههای مختلف تکمیل شده با نمونههای رزومه ATS
#INTERVIEW #CYBERSECURITY #ANALYST #VARIOUS #SIMULATION #SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1👏1🤩1🕊1
جامپ لیست ها چرا مهم هستند ؟
فارنزیک برای آنها چگونه است ؟
https://www.cybertriage.com/blog/jump-list-forensics-2025
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
فارنزیک برای آنها چگونه است ؟
https://www.cybertriage.com/blog/jump-list-forensics-2025
Please open Telegram to view this post
VIEW IN TELEGRAM
Cyber Triage
Jump Lists Forensics 2025
How to explain jump lists forensics to an old-school detective: Jump lists are fingerprints. They connect people to places and things. Jump lists
❤2👍2🔥1👏1🕊1👨💻1
فکر کنم وقت این رسیده این ابزارها رو با من تست کنید
https://github.com/MHaggis/PowerShell-Hunter
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/MHaggis/PowerShell-Hunter
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - MHaggis/PowerShell-Hunter: PowerShell tools to help defenders hunt smarter, hunt harder.
PowerShell tools to help defenders hunt smarter, hunt harder. - MHaggis/PowerShell-Hunter
❤3👨💻2🔥1🤯1🕊1
10 ابزار کاربردی و هوش مصنوعی بسیار مفید و بی نهایت کاربردی برای دانشجویان دکتری و پژوهشگران
تاکید میکنم برخی از سایت های زیر با تغییر ای پی ایران قابل دسترسی است.
𝟏 𝐒𝐜𝐡𝐨𝐥𝐚𝐫𝐜𝐲
اطلاعات کلیدی را از یک مقاله تحقیقاتی استخراج و خلاصه می کند.
لینک: https://www.scholarcy.com/
𝟐. 𝐎𝐭𝐭𝐞𝐫
شما فقط می توانید صحبت کنید و ایده تحقیق خود را ثبت کنید. Otter آن را برای شما ذخیره و رونویسی می
کند.
Otter صدا را ضبط می کند و به طور خودکار در زمان واقعی یادداشت می کند تا بتوانید روی بحث تمرکز کنید. هر زمان که خواستید، یادداشت ها را برای مرجع برجسته کنید. در جلسات مجازی، Otter به طور خودکار اسلایدهای سخنرانی را می گیرد و آنها را به یادداشت ها اضافه می کند و به دانشجویان کمک می کند تا جزئیات را با زمینه کامل به خاطر بیاورند.
لینک: https://otter.ai/
𝟑. 𝐂𝐡𝐚𝐭𝟐𝐒𝐭𝐚𝐭𝐬
داده های خود را در قالب csv آپلود کنید، به chatgpt دستور تجزیه و تحلیل و تجسم را بدهید.
لینک: https://2stats.chat/
𝟒. 𝐅𝐨𝐫𝐦𝐮𝐥𝐚 𝐁𝐨𝐭
شما می توانید تولید فرمول و تجزیه و تحلیل داده ها را در MS Excel با Formula Bot به صورت خودکار انجام دهید.
لینک: https://formulabot.com/
𝟓. 𝐆𝐚𝐦𝐦𝐚
می توانید از آن برای ارائه تحقیقات استفاده کنید.
لینک: https://gamma.app/
𝟔 𝐓𝐞𝐱𝐭 𝐁𝐥𝐚𝐳𝐞
در نوشتن، حذف کارهای تکراری و اشتباهات به شما کمک می کند.
لینک: https://blaze.today/?ref=U5J9HFNL
𝟕. 𝐌𝐢𝐫𝐨
Miro به شما در طوفان فکری، سازماندهی ایده های تحقیقاتی و ایجاد ارائه های تعاملی کمک می کند.
لینک: https://miro.com/
🖌 𝐃𝐞𝐜𝐤𝐭𝐨𝐩𝐮𝐬
این الگوها، عناصر بصری و گزینههای سفارشیسازی را ارائه میدهد تا به محققان کمک کند تا ارائههای تاثیرگذار را بدون زحمت ایجاد کنند.
𝟗. 𝐍𝐮𝐦𝐞𝐫𝐨𝐮𝐬 𝐀𝐈
می تواند به شما در نوشتن فرمول ها در اکسل و پاک کردن داده ها کمک کند.
لینک: https://numerous.ai/
𝟏𝟎. 𝐑𝐞𝐯𝐢𝐞𝐰-𝐢𝐭
این ابزاری است که مقاله شما را مانند یک انسان بررسی می کند و نقاط قوت و ضعف مقاله شما را به اشتراک می گذارد.
لینک: www.review-it.me
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تاکید میکنم برخی از سایت های زیر با تغییر ای پی ایران قابل دسترسی است.
𝟏 𝐒𝐜𝐡𝐨𝐥𝐚𝐫𝐜𝐲
اطلاعات کلیدی را از یک مقاله تحقیقاتی استخراج و خلاصه می کند.
لینک: https://www.scholarcy.com/
𝟐. 𝐎𝐭𝐭𝐞𝐫
شما فقط می توانید صحبت کنید و ایده تحقیق خود را ثبت کنید. Otter آن را برای شما ذخیره و رونویسی می
کند.
Otter صدا را ضبط می کند و به طور خودکار در زمان واقعی یادداشت می کند تا بتوانید روی بحث تمرکز کنید. هر زمان که خواستید، یادداشت ها را برای مرجع برجسته کنید. در جلسات مجازی، Otter به طور خودکار اسلایدهای سخنرانی را می گیرد و آنها را به یادداشت ها اضافه می کند و به دانشجویان کمک می کند تا جزئیات را با زمینه کامل به خاطر بیاورند.
لینک: https://otter.ai/
𝟑. 𝐂𝐡𝐚𝐭𝟐𝐒𝐭𝐚𝐭𝐬
داده های خود را در قالب csv آپلود کنید، به chatgpt دستور تجزیه و تحلیل و تجسم را بدهید.
لینک: https://2stats.chat/
𝟒. 𝐅𝐨𝐫𝐦𝐮𝐥𝐚 𝐁𝐨𝐭
شما می توانید تولید فرمول و تجزیه و تحلیل داده ها را در MS Excel با Formula Bot به صورت خودکار انجام دهید.
لینک: https://formulabot.com/
𝟓. 𝐆𝐚𝐦𝐦𝐚
می توانید از آن برای ارائه تحقیقات استفاده کنید.
لینک: https://gamma.app/
𝟔 𝐓𝐞𝐱𝐭 𝐁𝐥𝐚𝐳𝐞
در نوشتن، حذف کارهای تکراری و اشتباهات به شما کمک می کند.
لینک: https://blaze.today/?ref=U5J9HFNL
𝟕. 𝐌𝐢𝐫𝐨
Miro به شما در طوفان فکری، سازماندهی ایده های تحقیقاتی و ایجاد ارائه های تعاملی کمک می کند.
لینک: https://miro.com/
🖌 𝐃𝐞𝐜𝐤𝐭𝐨𝐩𝐮𝐬
این الگوها، عناصر بصری و گزینههای سفارشیسازی را ارائه میدهد تا به محققان کمک کند تا ارائههای تاثیرگذار را بدون زحمت ایجاد کنند.
𝟗. 𝐍𝐮𝐦𝐞𝐫𝐨𝐮𝐬 𝐀𝐈
می تواند به شما در نوشتن فرمول ها در اکسل و پاک کردن داده ها کمک کند.
لینک: https://numerous.ai/
𝟏𝟎. 𝐑𝐞𝐯𝐢𝐞𝐰-𝐢𝐭
این ابزاری است که مقاله شما را مانند یک انسان بررسی می کند و نقاط قوت و ضعف مقاله شما را به اشتراک می گذارد.
لینک: www.review-it.me
Please open Telegram to view this post
VIEW IN TELEGRAM
Scholarcy
Scholarcy - Knowledge made simple
Summarize anything, understand complex research, and organise your knowledge with Scholarcy.
❤3👍1🔥1🎉1🤩1🕊1👨💻1🗿1
❓چرا تحلیل استاتیک بد افزار ممکن است موفقیت آمیز نباشد ؟
برای توضیح یک مثال واقعی و متداول در دنیای تحلیل بدافزارها را بررسی میکنیم که نشان میدهد چرا تحلیل استاتیک ممکن است در تشخیص یک بدافزار ناکام باشد و چگونه تحلیل دینامیک میتواند موفقیتآمیز باشد.
مثال: بدافزار با تکنیکهای مبهمسازی و ضد تحلیل
یک بدافزار خاص، فرضاً یک تروجان بانکی به نام BankStealer، به شکلی طراحی شده که تحلیل استاتیک آن را گمراه کند.
❇️تحلیل استاتیک:
در تحلیل استاتیک، کد بدافزار بدون اجرای آن بررسی میشود (مانند بررسی فایلهای اجرایی با ابزارهایی مثل IDA Pro یا Ghidra).
ویژگیهای بدافزار:
🔶مبهمسازی کد (Obfuscation):
کد بدافزار با استفاده از ابزارهای مبهمسازی رمزگذاری شده یا تغییر یافته است. بنابراین، در ابزارهای تحلیل، تنها یکسری کدهای غیرقابلخوانش و توابع بیمعنی مشاهده میشود.
به عنوان مثال، توابع مهمی که اطلاعات بانکی را سرقت میکنند در فایل اجرایی رمزگذاری شدهاند و تنها هنگام اجرا در حافظه رمزگشایی میشوند.
🔶 استفاده از تکنیکهای ضد تحلیل:
بدافزار ممکن است از بستهبندی (Packing) یا رمزگذاری لایههای مختلف استفاده کند. این باعث میشود که حتی دیکامپایلرها (Decompiler) نتوانند کد واقعی را استخراج کنند.
بخشهای مهم بدافزار ممکن است به صورت پویا (Dynamic) تولید شوند و در فایل اجرایی اصلی وجود نداشته باشند.
🟢نتیجه تحلیل استاتیک:
تحلیلگر نمیتواند عملکرد دقیق بدافزار را بدون اجرا شناسایی کند، زیرا بخشهای کلیدی یا رمزگذاری شدهاند یا مخفی هستند.
❇️تحلیل دینامیک:
در تحلیل دینامیک، بدافزار در محیط ایزوله (مانند ماشین مجازی یا سندباکس) اجرا میشود و رفتار آن در زمان اجرا بررسی میگردد.
ویژگیهای کشف در تحلیل دینامیک:
🔷 رمزگشایی کد در زمان اجرا:
هنگام اجرای بدافزار، بخشهای رمزگذاریشده در حافظه رمزگشایی میشوند و کد واقعی بدافزار آشکار میشود.
ابزارهایی مثل Process Hacker یا x64dbg میتوانند حافظه را بررسی کرده و کد واقعی را استخراج کنند.
🔷 شناسایی رفتار بدافزار:
بدافزار هنگام اجرا به سرور فرماندهی (C2 Server) متصل میشود. این رفتار مشکوک توسط ابزارهایی مثل Wireshark یا Fiddler شناسایی میشود.
بدافزار تلاش میکند اطلاعات بانکی را از مرورگرها استخراج کرده و به سرور ارسال کند. ابزارهایی مثل ProcMon این رفتار را نشان میدهند.
🔷 کشف تکنیکهای پنهانکاری:
تکنیکهایی مانند تزریق کد به فرآیندهای دیگر (Code Injection) هنگام اجرا کشف میشوند. برای مثال، تزریق به مرورگر قربانی جهت سرقت اطلاعات ورود.
🟢نتیجه تحلیل دینامیک:
با اجرای بدافزار و نظارت بر رفتار آن، تحلیلگر به اطلاعات واضحی از اهداف بدافزار، مکانهای ارتباطی، و اطلاعات سرقتشده دست پیدا میکند.
🏮دلایل ناکامی تحلیل استاتیک:
رمزگذاری و مبهمسازی کد که کد واقعی را از دید تحلیلگر مخفی میکند.
استفاده از تکنیکهای ضد تحلیل مانند بستهبندی، فشردهسازی، و تولید پویا.
وابستگی عملکرد بدافزار به شرایط اجرای خاص (مانند بارگذاری در حافظه).
💠ابزارها و تکنیکها:
تحلیل استاتیک: IDA Pro، Ghidra، PEiD
تحلیل دینامیک: Cuckoo Sandbox، Wireshark، ProcMon، Process Hacker، x64dbg
🌀این مثال نشان میدهد که چرا تحلیل دینامیک برای شناسایی بدافزارهای پیشرفته ضروری است و چگونه تکنیکهای ضد تحلیل، تحلیل استاتیک را ناکارآمد میکنند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
برای توضیح یک مثال واقعی و متداول در دنیای تحلیل بدافزارها را بررسی میکنیم که نشان میدهد چرا تحلیل استاتیک ممکن است در تشخیص یک بدافزار ناکام باشد و چگونه تحلیل دینامیک میتواند موفقیتآمیز باشد.
مثال: بدافزار با تکنیکهای مبهمسازی و ضد تحلیل
یک بدافزار خاص، فرضاً یک تروجان بانکی به نام BankStealer، به شکلی طراحی شده که تحلیل استاتیک آن را گمراه کند.
❇️تحلیل استاتیک:
در تحلیل استاتیک، کد بدافزار بدون اجرای آن بررسی میشود (مانند بررسی فایلهای اجرایی با ابزارهایی مثل IDA Pro یا Ghidra).
ویژگیهای بدافزار:
🔶مبهمسازی کد (Obfuscation):
کد بدافزار با استفاده از ابزارهای مبهمسازی رمزگذاری شده یا تغییر یافته است. بنابراین، در ابزارهای تحلیل، تنها یکسری کدهای غیرقابلخوانش و توابع بیمعنی مشاهده میشود.
به عنوان مثال، توابع مهمی که اطلاعات بانکی را سرقت میکنند در فایل اجرایی رمزگذاری شدهاند و تنها هنگام اجرا در حافظه رمزگشایی میشوند.
🔶 استفاده از تکنیکهای ضد تحلیل:
بدافزار ممکن است از بستهبندی (Packing) یا رمزگذاری لایههای مختلف استفاده کند. این باعث میشود که حتی دیکامپایلرها (Decompiler) نتوانند کد واقعی را استخراج کنند.
بخشهای مهم بدافزار ممکن است به صورت پویا (Dynamic) تولید شوند و در فایل اجرایی اصلی وجود نداشته باشند.
🟢نتیجه تحلیل استاتیک:
تحلیلگر نمیتواند عملکرد دقیق بدافزار را بدون اجرا شناسایی کند، زیرا بخشهای کلیدی یا رمزگذاری شدهاند یا مخفی هستند.
❇️تحلیل دینامیک:
در تحلیل دینامیک، بدافزار در محیط ایزوله (مانند ماشین مجازی یا سندباکس) اجرا میشود و رفتار آن در زمان اجرا بررسی میگردد.
ویژگیهای کشف در تحلیل دینامیک:
🔷 رمزگشایی کد در زمان اجرا:
هنگام اجرای بدافزار، بخشهای رمزگذاریشده در حافظه رمزگشایی میشوند و کد واقعی بدافزار آشکار میشود.
ابزارهایی مثل Process Hacker یا x64dbg میتوانند حافظه را بررسی کرده و کد واقعی را استخراج کنند.
🔷 شناسایی رفتار بدافزار:
بدافزار هنگام اجرا به سرور فرماندهی (C2 Server) متصل میشود. این رفتار مشکوک توسط ابزارهایی مثل Wireshark یا Fiddler شناسایی میشود.
بدافزار تلاش میکند اطلاعات بانکی را از مرورگرها استخراج کرده و به سرور ارسال کند. ابزارهایی مثل ProcMon این رفتار را نشان میدهند.
🔷 کشف تکنیکهای پنهانکاری:
تکنیکهایی مانند تزریق کد به فرآیندهای دیگر (Code Injection) هنگام اجرا کشف میشوند. برای مثال، تزریق به مرورگر قربانی جهت سرقت اطلاعات ورود.
🟢نتیجه تحلیل دینامیک:
با اجرای بدافزار و نظارت بر رفتار آن، تحلیلگر به اطلاعات واضحی از اهداف بدافزار، مکانهای ارتباطی، و اطلاعات سرقتشده دست پیدا میکند.
🏮دلایل ناکامی تحلیل استاتیک:
رمزگذاری و مبهمسازی کد که کد واقعی را از دید تحلیلگر مخفی میکند.
استفاده از تکنیکهای ضد تحلیل مانند بستهبندی، فشردهسازی، و تولید پویا.
وابستگی عملکرد بدافزار به شرایط اجرای خاص (مانند بارگذاری در حافظه).
💠ابزارها و تکنیکها:
تحلیل استاتیک: IDA Pro، Ghidra، PEiD
تحلیل دینامیک: Cuckoo Sandbox، Wireshark، ProcMon، Process Hacker، x64dbg
🌀این مثال نشان میدهد که چرا تحلیل دینامیک برای شناسایی بدافزارهای پیشرفته ضروری است و چگونه تکنیکهای ضد تحلیل، تحلیل استاتیک را ناکارآمد میکنند.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1👍1👏1🤩1🕊1👨💻1🗿1
شناسایی حملات و نفوذ از طریق بررسی فرآیندهای والد و فرزند
یکی از روشهای مهم در تحلیل نفوذ ، بررسی ارتباط بین فرآیندهای والد و فرزند است. این روش به ما کمک میکند تا بفهمیم چگونه یک بدافزار اجرا شده و از چه روشهایی برای نفوذ به سیستم استفاده کرده است.
فرآیند ( پراسس) والد چیست؟
فرآیند والد، فرآیندی است که یک فرآیند جدید (فرزند) را اجرا میکند. برای مثال، اگر یک برنامهی مخرب توسط Explorer.exe اجرا شود، این بدان معناست که احتمالاً از طریق یک فایل میانبر مخرب (.lnk) اجرا شده است. شناسایی فرآیند والد میتواند به تحلیلگر کمک کند تا روش نفوذ بدافزار را تشخیص دهد.
🔶نقش تجربه و ابزارها
تشخیص این موارد نیازمند تجربه و استفاده از ابزارهای مناسب است. ابزارهایی مانند Process Explorer از Sysinternals و یا EDR مانند ترند میکرو و سیمنتک ، به تحلیلگران کمک میکنند تا ارتباط بین فرآیندها را به سرعت مشاهده کنند.
🔷مثالهایی از پراسس های والد
Explorer.exe
اجرای بدافزار از طریق فایلهای میانبر
RunOnce.exe
اجرای بدافزار با استفاده از کلیدهای رجیستری
cmd.exe
اجرای اسکریپتها یا فایلهای batch مخرب
svchost.exe
استفاده از سرویسهای ویندوز برای مخفی کردن اجرای بدافزار.
🏮۶ مورد از تاریخچه حملات واقعی قابل کشف با این روش:
〽️-حمله Stuxnet
تکنیک: استفاده از فرآیند Explorer.exe برای اجرای فایلهای میانبر آلوده از طریق USB.
روش شناسایی: شناسایی فرآیند والد Explorer.exe که فایلهای .lnk مخرب را اجرا میکرد.
〽️ -حمله WannaCry
تکنیک: استفاده از svchost.exe برای گسترش بدافزار در شبکه.
روش شناسایی: بررسی فرآیندهای svchost.exe که ارتباطات غیرعادی برقرار میکردند.
〽️ -حمله Emotet
تکنیک: استفاده از winword.exe برای اجرای ماکروهای مخرب در فایلهای Word.
روش شناسایی: ارتباط بین winword.exe و PowerShell که کد مخرب را اجرا میکرد.
〽️-حمله گروه APT29 (Cozy Bear)
تکنیک: استفاده از mshta.exe برای اجرای کد مخرب از طریق فایلهای HTML.
روش شناسایی: مشاهده ارتباط بین mshta.exe و فرآیندهای دیگر مانند cmd.exe.
〽️-حمله TrickBot
تکنیک: استفاده از powershell.exe برای دانلود و اجرای payload.
روش شناسایی: بررسی فرآیند powershell.exe که از فرآیند والد مخربی ایجاد شده بود.
〽️ -حمله Dridex
تکنیک: اجرای بدافزار از طریق explorer.exe با استفاده از پیوستهای ایمیل آلوده.
روش شناسایی: تحلیل فرآیندهای مرتبط با فایلهای اجراشده از طریق Explorer.exe.
بررسی ارتباط فرآیندهای والد و فرزند یکی از موثرترین روشها در تحلیل و شناسایی بدافزارها است. با استفاده از ابزارهای مناسب و دانش کافی، میتوان الگوهای رفتاری بدافزارها را شناسایی و از نفوذ آنها جلوگیری کرد.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یکی از روشهای مهم در تحلیل نفوذ ، بررسی ارتباط بین فرآیندهای والد و فرزند است. این روش به ما کمک میکند تا بفهمیم چگونه یک بدافزار اجرا شده و از چه روشهایی برای نفوذ به سیستم استفاده کرده است.
فرآیند ( پراسس) والد چیست؟
فرآیند والد، فرآیندی است که یک فرآیند جدید (فرزند) را اجرا میکند. برای مثال، اگر یک برنامهی مخرب توسط Explorer.exe اجرا شود، این بدان معناست که احتمالاً از طریق یک فایل میانبر مخرب (.lnk) اجرا شده است. شناسایی فرآیند والد میتواند به تحلیلگر کمک کند تا روش نفوذ بدافزار را تشخیص دهد.
🔶نقش تجربه و ابزارها
تشخیص این موارد نیازمند تجربه و استفاده از ابزارهای مناسب است. ابزارهایی مانند Process Explorer از Sysinternals و یا EDR مانند ترند میکرو و سیمنتک ، به تحلیلگران کمک میکنند تا ارتباط بین فرآیندها را به سرعت مشاهده کنند.
🔷مثالهایی از پراسس های والد
Explorer.exe
اجرای بدافزار از طریق فایلهای میانبر
RunOnce.exe
اجرای بدافزار با استفاده از کلیدهای رجیستری
cmd.exe
اجرای اسکریپتها یا فایلهای batch مخرب
svchost.exe
استفاده از سرویسهای ویندوز برای مخفی کردن اجرای بدافزار.
🏮۶ مورد از تاریخچه حملات واقعی قابل کشف با این روش:
〽️-حمله Stuxnet
تکنیک: استفاده از فرآیند Explorer.exe برای اجرای فایلهای میانبر آلوده از طریق USB.
روش شناسایی: شناسایی فرآیند والد Explorer.exe که فایلهای .lnk مخرب را اجرا میکرد.
〽️ -حمله WannaCry
تکنیک: استفاده از svchost.exe برای گسترش بدافزار در شبکه.
روش شناسایی: بررسی فرآیندهای svchost.exe که ارتباطات غیرعادی برقرار میکردند.
〽️ -حمله Emotet
تکنیک: استفاده از winword.exe برای اجرای ماکروهای مخرب در فایلهای Word.
روش شناسایی: ارتباط بین winword.exe و PowerShell که کد مخرب را اجرا میکرد.
〽️-حمله گروه APT29 (Cozy Bear)
تکنیک: استفاده از mshta.exe برای اجرای کد مخرب از طریق فایلهای HTML.
روش شناسایی: مشاهده ارتباط بین mshta.exe و فرآیندهای دیگر مانند cmd.exe.
〽️-حمله TrickBot
تکنیک: استفاده از powershell.exe برای دانلود و اجرای payload.
روش شناسایی: بررسی فرآیند powershell.exe که از فرآیند والد مخربی ایجاد شده بود.
〽️ -حمله Dridex
تکنیک: اجرای بدافزار از طریق explorer.exe با استفاده از پیوستهای ایمیل آلوده.
روش شناسایی: تحلیل فرآیندهای مرتبط با فایلهای اجراشده از طریق Explorer.exe.
بررسی ارتباط فرآیندهای والد و فرزند یکی از موثرترین روشها در تحلیل و شناسایی بدافزارها است. با استفاده از ابزارهای مناسب و دانش کافی، میتوان الگوهای رفتاری بدافزارها را شناسایی و از نفوذ آنها جلوگیری کرد.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1🤩1🕊1👨💻1🗿1
چرا هرکسی نمیتونه ابزار امنیتی تولید کنه ؟
🔅این روزها که در بسیاری از محل ها اجبار به استفاده از محصولات بومی وجود داره تب تولید محصول امنیتی بالاگرفته و خیلی ها به این سمت رفتن.
🔅از سوی دیگه هم نرخ مهاجرت بالا در بین متخصصان امنیت زیاد بوده لذا از تعداد منتقدان و ناظران پروژه های امنیتی بشدت کاسته شده که این هم دلیلی مزید بر علت شده تا تعداد بیشتری به سرشون بزنه تا ایده ای دارند؛ اونو به شکل محصول دربیارن.
✳️اینجاست که باید گفت توجه به استاندارد هایی چون CC به ما میآموزه که ساخت تجهیز و نرم افزار امنیتی تابع شرایطی هست و نمیشه با هر طریق و مسلکی ابزار امنیتی ساخت .
⚠️استفاده از ابزار امنیتی که در ساخت اون توجهات لازم صورت نگرفته هم ما رو امن نکرده بلکه میتونه خودش ابزاری علیه ما باشه .
چطور ؟ لینک زیر
⭕️در این لینک میبینیم چطور ابزارهای امنیتی مطرح جهان دور میخورند و خودشون علیه صاحبشون اقدام میکنند.
🔴پس هر کسی و هر شرکتی نمیتواند دست به تولید نرم افزار و تجهیزات امنیتی بزند.
https://neodyme.io/en/blog/com_hijacking_1/#security-risks-in-back-end-communication
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
🔅این روزها که در بسیاری از محل ها اجبار به استفاده از محصولات بومی وجود داره تب تولید محصول امنیتی بالاگرفته و خیلی ها به این سمت رفتن.
🔅از سوی دیگه هم نرخ مهاجرت بالا در بین متخصصان امنیت زیاد بوده لذا از تعداد منتقدان و ناظران پروژه های امنیتی بشدت کاسته شده که این هم دلیلی مزید بر علت شده تا تعداد بیشتری به سرشون بزنه تا ایده ای دارند؛ اونو به شکل محصول دربیارن.
✳️اینجاست که باید گفت توجه به استاندارد هایی چون CC به ما میآموزه که ساخت تجهیز و نرم افزار امنیتی تابع شرایطی هست و نمیشه با هر طریق و مسلکی ابزار امنیتی ساخت .
⚠️استفاده از ابزار امنیتی که در ساخت اون توجهات لازم صورت نگرفته هم ما رو امن نکرده بلکه میتونه خودش ابزاری علیه ما باشه .
چطور ؟ لینک زیر
⭕️در این لینک میبینیم چطور ابزارهای امنیتی مطرح جهان دور میخورند و خودشون علیه صاحبشون اقدام میکنند.
🔴پس هر کسی و هر شرکتی نمیتواند دست به تولید نرم افزار و تجهیزات امنیتی بزند.
https://neodyme.io/en/blog/com_hijacking_1/#security-risks-in-back-end-communication
Please open Telegram to view this post
VIEW IN TELEGRAM
neodyme.io
The Key to COMpromise - Pwning AVs and EDRs by Hijacking COM Interfaces, Part 1
In this series of blog posts, we cover how we could exploit five reputable security products to gain SYSTEM privileges with COM hijacking. If you've never heard of this, no worries. We introduce all relevant background information, describe our approach to…
❤2🔥2👍1😁1🕊1👨💻1🗿1
چرا پاورشل باید دستورات Encode شده را بپذیرد؟
همونطور که میدونیم برخی حملات سایبری با دستورات انکد شده انجام میشوند. که برای بررسی اون دستور باید دیکد بشن چون در ظاهر خوانایی ندارند.
⁉️حالا اصولا چرا باید امکان اجرای دستور بصورت انکد شده در سیستم عامل وجود داشته باشه ؟ چه ضرورتی هست ؟
✅دلایل طراحی و ضرورت پذیرش دستورات انکد شده در پاورشل
🟣انتقال امن و سازگار دستورات در شبکه
این Base64 Encoding اطمینان میدهد که دستورات شامل کاراکترهای خاصی که ممکن است در مسیر انتقال (مانند شبکه یا فایلهای متنی) باعث خطا شوند، به فرمت قابل انتقال و ایمن تبدیل شوند.
این موضوع در سناریوهایی مانند مدیریت از راه دور (Remote Administration) بسیار اهمیت دارد.
🟣اجرا در محیطهایی با محدودیت کاراکتر
در برخی موارد، ابزارها یا سیستمهای واسط اجازه استفاده از کاراکترهای خاص (مانند نقلقولها، نقطهویرگول یا دیگر نمادهای رزرو شده) را نمیدهند. انکد کردن دستورات پاورشل به Base64، این محدودیت را دور میزند.
🟣یکپارچگی و جلوگیری از تغییر دستورات
هنگامی که دستورات به صورت انکد شده ارسال میشوند، احتمال تغییر یا خراب شدن آنها به دلیل محدودیتهای پروتکل یا ابزار کمتر است. این ویژگی به خصوص در زمان مدیریت راه دور (مانند WinRM) و اسکریپتهای پیچیده مفید است.
🟣امنیت موقتی و پنهانسازی در انتقال
هرچند Base64 یک روش رمزگذاری نیست، اما نمایش مستقیم دستورات یا اطلاعات حساس را از کاربران غیرمجاز یا ابزارهای نظارتی عمومی پنهان میکند.
🟣خودکارسازی و ارسال دستورات طولانی
پاورشل برای اجرای اسکریپتهای طولانی یا پیچیده از طریق یک خط فرمان یا یک ابزار واسط (مانند Task Scheduler) طراحی شده است. در چنین شرایطی، انکد کردن دستور به Base64 ارسال و اجرا را سادهتر و مطمئنتر میکند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
همونطور که میدونیم برخی حملات سایبری با دستورات انکد شده انجام میشوند. که برای بررسی اون دستور باید دیکد بشن چون در ظاهر خوانایی ندارند.
⁉️حالا اصولا چرا باید امکان اجرای دستور بصورت انکد شده در سیستم عامل وجود داشته باشه ؟ چه ضرورتی هست ؟
✅دلایل طراحی و ضرورت پذیرش دستورات انکد شده در پاورشل
🟣انتقال امن و سازگار دستورات در شبکه
این Base64 Encoding اطمینان میدهد که دستورات شامل کاراکترهای خاصی که ممکن است در مسیر انتقال (مانند شبکه یا فایلهای متنی) باعث خطا شوند، به فرمت قابل انتقال و ایمن تبدیل شوند.
این موضوع در سناریوهایی مانند مدیریت از راه دور (Remote Administration) بسیار اهمیت دارد.
🟣اجرا در محیطهایی با محدودیت کاراکتر
در برخی موارد، ابزارها یا سیستمهای واسط اجازه استفاده از کاراکترهای خاص (مانند نقلقولها، نقطهویرگول یا دیگر نمادهای رزرو شده) را نمیدهند. انکد کردن دستورات پاورشل به Base64، این محدودیت را دور میزند.
🟣یکپارچگی و جلوگیری از تغییر دستورات
هنگامی که دستورات به صورت انکد شده ارسال میشوند، احتمال تغییر یا خراب شدن آنها به دلیل محدودیتهای پروتکل یا ابزار کمتر است. این ویژگی به خصوص در زمان مدیریت راه دور (مانند WinRM) و اسکریپتهای پیچیده مفید است.
🟣امنیت موقتی و پنهانسازی در انتقال
هرچند Base64 یک روش رمزگذاری نیست، اما نمایش مستقیم دستورات یا اطلاعات حساس را از کاربران غیرمجاز یا ابزارهای نظارتی عمومی پنهان میکند.
🟣خودکارسازی و ارسال دستورات طولانی
پاورشل برای اجرای اسکریپتهای طولانی یا پیچیده از طریق یک خط فرمان یا یک ابزار واسط (مانند Task Scheduler) طراحی شده است. در چنین شرایطی، انکد کردن دستور به Base64 ارسال و اجرا را سادهتر و مطمئنتر میکند.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1👏1🤯1🎉1🕊1👨💻1
بررسی تحرکات گروه لازاروس
https://www.validin.com/blog/inoculating_contagious_interview_with_validin
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.validin.com/blog/inoculating_contagious_interview_with_validin
Please open Telegram to view this post
VIEW IN TELEGRAM
Validin
Lazarus APT: Techniques for Hunting Contagious Interview | Validin
This blog post details how the Lazarus APT uses social engineering to trick job seekers into installing malware during fake video job interviews, and how Validin can be used to identify and track the infrastructure used in these attacks.
🔥2❤1👏1🤩1🕊1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤1👍1👏1🤩1
دوستان در SOC ؛ یک نگاه به این لینک بندازین
مپ هست بین اتمیک تست و رولهای سیگما و اسپلانک
https://attackrulemap.netlify.app/?v=2
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
مپ هست بین اتمیک تست و رولهای سیگما و اسپلانک
https://attackrulemap.netlify.app/?v=2
Please open Telegram to view this post
VIEW IN TELEGRAM
attackrulemap.netlify.com
ARM - AttackRuleMap
Mapping of open-source detection rules and atomic tests.
🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1