چرا پاورشل باید دستورات Encode شده را بپذیرد؟
همونطور که میدونیم برخی حملات سایبری با دستورات انکد شده انجام میشوند. که برای بررسی اون دستور باید دیکد بشن چون در ظاهر خوانایی ندارند.
⁉️حالا اصولا چرا باید امکان اجرای دستور بصورت انکد شده در سیستم عامل وجود داشته باشه ؟ چه ضرورتی هست ؟
✅دلایل طراحی و ضرورت پذیرش دستورات انکد شده در پاورشل
🟣انتقال امن و سازگار دستورات در شبکه
این Base64 Encoding اطمینان میدهد که دستورات شامل کاراکترهای خاصی که ممکن است در مسیر انتقال (مانند شبکه یا فایلهای متنی) باعث خطا شوند، به فرمت قابل انتقال و ایمن تبدیل شوند.
این موضوع در سناریوهایی مانند مدیریت از راه دور (Remote Administration) بسیار اهمیت دارد.
🟣اجرا در محیطهایی با محدودیت کاراکتر
در برخی موارد، ابزارها یا سیستمهای واسط اجازه استفاده از کاراکترهای خاص (مانند نقلقولها، نقطهویرگول یا دیگر نمادهای رزرو شده) را نمیدهند. انکد کردن دستورات پاورشل به Base64، این محدودیت را دور میزند.
🟣یکپارچگی و جلوگیری از تغییر دستورات
هنگامی که دستورات به صورت انکد شده ارسال میشوند، احتمال تغییر یا خراب شدن آنها به دلیل محدودیتهای پروتکل یا ابزار کمتر است. این ویژگی به خصوص در زمان مدیریت راه دور (مانند WinRM) و اسکریپتهای پیچیده مفید است.
🟣امنیت موقتی و پنهانسازی در انتقال
هرچند Base64 یک روش رمزگذاری نیست، اما نمایش مستقیم دستورات یا اطلاعات حساس را از کاربران غیرمجاز یا ابزارهای نظارتی عمومی پنهان میکند.
🟣خودکارسازی و ارسال دستورات طولانی
پاورشل برای اجرای اسکریپتهای طولانی یا پیچیده از طریق یک خط فرمان یا یک ابزار واسط (مانند Task Scheduler) طراحی شده است. در چنین شرایطی، انکد کردن دستور به Base64 ارسال و اجرا را سادهتر و مطمئنتر میکند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
همونطور که میدونیم برخی حملات سایبری با دستورات انکد شده انجام میشوند. که برای بررسی اون دستور باید دیکد بشن چون در ظاهر خوانایی ندارند.
⁉️حالا اصولا چرا باید امکان اجرای دستور بصورت انکد شده در سیستم عامل وجود داشته باشه ؟ چه ضرورتی هست ؟
✅دلایل طراحی و ضرورت پذیرش دستورات انکد شده در پاورشل
🟣انتقال امن و سازگار دستورات در شبکه
این Base64 Encoding اطمینان میدهد که دستورات شامل کاراکترهای خاصی که ممکن است در مسیر انتقال (مانند شبکه یا فایلهای متنی) باعث خطا شوند، به فرمت قابل انتقال و ایمن تبدیل شوند.
این موضوع در سناریوهایی مانند مدیریت از راه دور (Remote Administration) بسیار اهمیت دارد.
🟣اجرا در محیطهایی با محدودیت کاراکتر
در برخی موارد، ابزارها یا سیستمهای واسط اجازه استفاده از کاراکترهای خاص (مانند نقلقولها، نقطهویرگول یا دیگر نمادهای رزرو شده) را نمیدهند. انکد کردن دستورات پاورشل به Base64، این محدودیت را دور میزند.
🟣یکپارچگی و جلوگیری از تغییر دستورات
هنگامی که دستورات به صورت انکد شده ارسال میشوند، احتمال تغییر یا خراب شدن آنها به دلیل محدودیتهای پروتکل یا ابزار کمتر است. این ویژگی به خصوص در زمان مدیریت راه دور (مانند WinRM) و اسکریپتهای پیچیده مفید است.
🟣امنیت موقتی و پنهانسازی در انتقال
هرچند Base64 یک روش رمزگذاری نیست، اما نمایش مستقیم دستورات یا اطلاعات حساس را از کاربران غیرمجاز یا ابزارهای نظارتی عمومی پنهان میکند.
🟣خودکارسازی و ارسال دستورات طولانی
پاورشل برای اجرای اسکریپتهای طولانی یا پیچیده از طریق یک خط فرمان یا یک ابزار واسط (مانند Task Scheduler) طراحی شده است. در چنین شرایطی، انکد کردن دستور به Base64 ارسال و اجرا را سادهتر و مطمئنتر میکند.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1👏1🤯1🎉1🕊1👨💻1
بررسی تحرکات گروه لازاروس
https://www.validin.com/blog/inoculating_contagious_interview_with_validin
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.validin.com/blog/inoculating_contagious_interview_with_validin
Please open Telegram to view this post
VIEW IN TELEGRAM
Validin
Lazarus APT: Techniques for Hunting Contagious Interview | Validin
This blog post details how the Lazarus APT uses social engineering to trick job seekers into installing malware during fake video job interviews, and how Validin can be used to identify and track the infrastructure used in these attacks.
🔥2❤1👏1🤩1🕊1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤1👍1👏1🤩1
دوستان در SOC ؛ یک نگاه به این لینک بندازین
مپ هست بین اتمیک تست و رولهای سیگما و اسپلانک
https://attackrulemap.netlify.app/?v=2
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
مپ هست بین اتمیک تست و رولهای سیگما و اسپلانک
https://attackrulemap.netlify.app/?v=2
Please open Telegram to view this post
VIEW IN TELEGRAM
attackrulemap.netlify.com
ARM - AttackRuleMap
Mapping of open-source detection rules and atomic tests.
🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
زیر ساخت ESXi را تست کنید
https://github.com/AlbinoGazelle/esxi-testing-toolkit
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/AlbinoGazelle/esxi-testing-toolkit
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - AlbinoGazelle/esxi-testing-toolkit: 🧰 ESXi Testing Tookit is a command-line utility designed to help security teams test…
🧰 ESXi Testing Tookit is a command-line utility designed to help security teams test ESXi detections. - AlbinoGazelle/esxi-testing-toolkit
🔥1
گزارشی از فعالیت های جهانی علیه حملات باج افزاری
https://blog.bushidotoken.net/2025/01/analysis-of-counter-ransomware.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://blog.bushidotoken.net/2025/01/analysis-of-counter-ransomware.html
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
اپیزودی در حوزه DFIR
https://open.spotify.com/show/4ifGmei1Z8eJJ5q08ayUfS?si=fFBTgI4RTFuayN_517FxpA
بحث در رابطه با این مقاله است
https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://open.spotify.com/show/4ifGmei1Z8eJJ5q08ayUfS?si=fFBTgI4RTFuayN_517FxpA
بحث در رابطه با این مقاله است
https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume/
Please open Telegram to view this post
VIEW IN TELEGRAM
The DFIR Report
The Curious Case of an Egg-Cellent Resume
Key Takeaways Initial access was via a resume lure as part of a TA4557/FIN6 campaign. The threat actor abused LOLbins like ie4uinit.exe and msxsl.exe to run the more_eggs malware. Cobalt Strike and…
❤1🔥1
🦊 Leaked 15k+ #FortiGate VPN accounts including configuration files and #VPN passwords via CVE-2022-40684.
Origin: belsenacdodoy3nsmmyjfmtgjen6ipaqkti7dm2q57vabjx2vzq6tnad.onion/files/FortiGate.zip
Download: https://mega.nz/file/wDhQEC5Y#OctAHTwgv57eRbEc3nvPRb53aX5vxXFIW1HopceZXUI
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Origin: belsenacdodoy3nsmmyjfmtgjen6ipaqkti7dm2q57vabjx2vzq6tnad.onion/files/FortiGate.zip
Download: https://mega.nz/file/wDhQEC5Y#OctAHTwgv57eRbEc3nvPRb53aX5vxXFIW1HopceZXUI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
تحلیل svchost.exe با استفاده از Volatility: بررسی تزریق کد و رفتار مشکوک
تمرین عملی
مقدمه
پروسس svchost.exe در سیستمعامل ویندوز بهعنوان میزبان سرویسهای مختلف سیستم عمل میکند. با این حال، به دلیل ماهیت چندمنظوره و اجرای سرویسهای قانونی، این پروسس هدف محبوبی برای مهاجمان است تا کدهای مخرب را در آن تزریق کنند و از شناسایی توسط ابزارهای امنیتی فرار کنند.
ابزار Volatility بهعنوان یکی از بهترین ابزارهای تحلیل حافظه، میتواند برای شناسایی تزریق کد به svchost.exe و تحلیل رفتار آن استفاده شود.
مراحل تحلیل svchost.exe با Volatility
مرحله 1: جمعآوری حافظه سیستم (Memory Dump)
برای شروع تحلیل، نیاز به یک Memory Dump از سیستم آلوده دارید. این فایل میتواند با استفاده از ابزارهایی مانند DumpIt، FTK Imager، یا LiME ایجاد شود.
مرحله 2: شناسایی پروفایل حافظه
Volatility برای کار با فایل حافظه نیاز به شناسایی پروفایل سیستم دارد. از دستور زیر برای شناسایی پروفایل استفاده کنید:
volatility -f memory.dmp imageinfo
خروجی:
این دستور پروفایلهای پیشنهادی سیستم (مانند Win7SP1x64) را ارائه میدهد.
مرحله 3: شناسایی پروسسهای فعال
با استفاده از دستور pslist یا psscan، فهرست پروسسهای فعال در حافظه را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 pslist
خروجی نمونه:
PID PPID Name Offset(V) 1000 4 System 0x00000000 1500 1000 svchost.exe 0x12345678
این خروجی نشان میدهد که svchost.exe در سیستم اجرا شده است.
مرحله 4: بررسی DLLهای بارگذاریشده توسط svchost.exe
حملات تزریق کد معمولاً شامل بارگذاری DLLهای مخرب در پراسس های قانونی هستند. برای شناسایی DLLهای بارگذاریشده توسط svchost.exe، از دستور dlllist استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 dlllist -p 1500
خروجی نمونه:
Base Size Path 0x7ffd9000 0x12000 C:\Windows\System32\kernel32.dll 0x6d9c0000 0x1f000 C:\Windows\Temp\malicious.dll
در اینجا، DLL مشکوکی به نام malicious.dll شناسایی شده که در مسیر غیرمعمولی (Temp) قرار دارد.
مرحله 5: جستجوی تزریق کد در حافظه
تزریق کد معمولاً شامل تخصیص حافظه جدید در پروسس هدف است. با استفاده از دستور malfind، تزریق کد را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500
خروجی نمونه:
Process: svchost.exe PID: 1500 Address: 0x7a45000 Injected Code: 0x7a45000 - 0x7a46000 Dumped to malfind.1500.0x7a45000.dmp
این خروجی نشان میدهد که کد تزریقی در آدرس حافظه 0x7a45000 قرار دارد.
مرحله 6: استخراج کد تزریقشده
برای تحلیل بیشتر، کد تزریقشده را استخراج کنید. Volatility این امکان را فراهم میکند که محتویات حافظه را برای تحلیل دستی ذخیره کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500 --dump-dir=./dumps
فایلهای تولیدشده را میتوان با ابزارهایی مانند IDA Pro، Ghidra، یا PEStudio بررسی کرد.
مرحله 7: بررسی اتصالات شبکهای svchost.exe
برای شناسایی ارتباطات شبکهای مرتبط با svchost.exe، از دستور netscan استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 netscan
خروجی نمونه:
Proto Local Address Foreign Address PID TCP 192.168.1.10:5040 198.51.100.23:443 1500
در اینجا، svchost.exe با آدرس خارجی مشکوک 198.51.100.23 در حال ارتباط است.
یافتههای تحلیل
تزریق کد در آدرس حافظه 0x7a45000 شناسایی شد.
اینجا DLL مشکوک malicious.dll بارگذاری شده است.
ارتباط شبکهای به آدرس خارجی ناشناخته نشاندهنده احتمال ارتباط با سرور Command and Control است.
جمعبندی
تحلیل پروسس svchost.exe با Volatility میتواند به شناسایی تزریق کد، بارگذاری DLLهای مخرب، و رفتارهای شبکهای غیرعادی کمک کند. این روش برای پاسخ به حوادث امنیتی (Incident Response) و تحلیل بدافزارها ضروری است. با استفاده از ابزارهایی مانند Volatility و بررسی دقیق خروجیها، امکان شناسایی و مقابله با تهدیدات سایبری فراهم میشود.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تمرین عملی
مقدمه
پروسس svchost.exe در سیستمعامل ویندوز بهعنوان میزبان سرویسهای مختلف سیستم عمل میکند. با این حال، به دلیل ماهیت چندمنظوره و اجرای سرویسهای قانونی، این پروسس هدف محبوبی برای مهاجمان است تا کدهای مخرب را در آن تزریق کنند و از شناسایی توسط ابزارهای امنیتی فرار کنند.
ابزار Volatility بهعنوان یکی از بهترین ابزارهای تحلیل حافظه، میتواند برای شناسایی تزریق کد به svchost.exe و تحلیل رفتار آن استفاده شود.
مراحل تحلیل svchost.exe با Volatility
مرحله 1: جمعآوری حافظه سیستم (Memory Dump)
برای شروع تحلیل، نیاز به یک Memory Dump از سیستم آلوده دارید. این فایل میتواند با استفاده از ابزارهایی مانند DumpIt، FTK Imager، یا LiME ایجاد شود.
مرحله 2: شناسایی پروفایل حافظه
Volatility برای کار با فایل حافظه نیاز به شناسایی پروفایل سیستم دارد. از دستور زیر برای شناسایی پروفایل استفاده کنید:
volatility -f memory.dmp imageinfo
خروجی:
این دستور پروفایلهای پیشنهادی سیستم (مانند Win7SP1x64) را ارائه میدهد.
مرحله 3: شناسایی پروسسهای فعال
با استفاده از دستور pslist یا psscan، فهرست پروسسهای فعال در حافظه را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 pslist
خروجی نمونه:
PID PPID Name Offset(V) 1000 4 System 0x00000000 1500 1000 svchost.exe 0x12345678
این خروجی نشان میدهد که svchost.exe در سیستم اجرا شده است.
مرحله 4: بررسی DLLهای بارگذاریشده توسط svchost.exe
حملات تزریق کد معمولاً شامل بارگذاری DLLهای مخرب در پراسس های قانونی هستند. برای شناسایی DLLهای بارگذاریشده توسط svchost.exe، از دستور dlllist استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 dlllist -p 1500
خروجی نمونه:
Base Size Path 0x7ffd9000 0x12000 C:\Windows\System32\kernel32.dll 0x6d9c0000 0x1f000 C:\Windows\Temp\malicious.dll
در اینجا، DLL مشکوکی به نام malicious.dll شناسایی شده که در مسیر غیرمعمولی (Temp) قرار دارد.
مرحله 5: جستجوی تزریق کد در حافظه
تزریق کد معمولاً شامل تخصیص حافظه جدید در پروسس هدف است. با استفاده از دستور malfind، تزریق کد را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500
خروجی نمونه:
Process: svchost.exe PID: 1500 Address: 0x7a45000 Injected Code: 0x7a45000 - 0x7a46000 Dumped to malfind.1500.0x7a45000.dmp
این خروجی نشان میدهد که کد تزریقی در آدرس حافظه 0x7a45000 قرار دارد.
مرحله 6: استخراج کد تزریقشده
برای تحلیل بیشتر، کد تزریقشده را استخراج کنید. Volatility این امکان را فراهم میکند که محتویات حافظه را برای تحلیل دستی ذخیره کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500 --dump-dir=./dumps
فایلهای تولیدشده را میتوان با ابزارهایی مانند IDA Pro، Ghidra، یا PEStudio بررسی کرد.
مرحله 7: بررسی اتصالات شبکهای svchost.exe
برای شناسایی ارتباطات شبکهای مرتبط با svchost.exe، از دستور netscan استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 netscan
خروجی نمونه:
Proto Local Address Foreign Address PID TCP 192.168.1.10:5040 198.51.100.23:443 1500
در اینجا، svchost.exe با آدرس خارجی مشکوک 198.51.100.23 در حال ارتباط است.
یافتههای تحلیل
تزریق کد در آدرس حافظه 0x7a45000 شناسایی شد.
اینجا DLL مشکوک malicious.dll بارگذاری شده است.
ارتباط شبکهای به آدرس خارجی ناشناخته نشاندهنده احتمال ارتباط با سرور Command and Control است.
جمعبندی
تحلیل پروسس svchost.exe با Volatility میتواند به شناسایی تزریق کد، بارگذاری DLLهای مخرب، و رفتارهای شبکهای غیرعادی کمک کند. این روش برای پاسخ به حوادث امنیتی (Incident Response) و تحلیل بدافزارها ضروری است. با استفاده از ابزارهایی مانند Volatility و بررسی دقیق خروجیها، امکان شناسایی و مقابله با تهدیدات سایبری فراهم میشود.
Please open Telegram to view this post
VIEW IN TELEGRAM
استاکس نت تحولی در عصر نفوذ رو رقم زد مستند zero days رو برای مطلع شدن از ابعاد قضیه پیشنهاد میکنم
اما چند مقاله مهم و فنی در این خصوص رو در زیر میگذارم.
من در کلاسهایم در هر سطحی بالاخره یک مروری بر استاکس نت دارم حالا اگر کلاس فنی باشد جزئیات فنی را پیش میکشم و اگر مدیریتی باشد مسائل غیر آن .
چون درس آموخته های استاکس نت خودش آموزش بزرگیست.
مقاله سیمنتک
https://docs.broadcom.com/doc/security-response-w32-stuxnet-dossier-11-en
مقاله کسپرسکی
https://www.kaspersky.com/resource-center/definitions/what-is-stuxnet
https://www.langner.com/stuxnet/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اما چند مقاله مهم و فنی در این خصوص رو در زیر میگذارم.
من در کلاسهایم در هر سطحی بالاخره یک مروری بر استاکس نت دارم حالا اگر کلاس فنی باشد جزئیات فنی را پیش میکشم و اگر مدیریتی باشد مسائل غیر آن .
چون درس آموخته های استاکس نت خودش آموزش بزرگیست.
مقاله سیمنتک
https://docs.broadcom.com/doc/security-response-w32-stuxnet-dossier-11-en
مقاله کسپرسکی
https://www.kaspersky.com/resource-center/definitions/what-is-stuxnet
https://www.langner.com/stuxnet/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1👏1🕊1
🏮جایی که ابزار کم میاورد اما دانش میتواند جلو برود
◀️بسیاری از ما از volatility برای تحلیل حافظه در فارنزیک و کشف حملات پیچیده استفاده میکنیم. اما آیا به این فکر کرده اید این دستوراتی که درvolatility اینقدر سر راست برای ما اطلاعات را بیرون میکشند زمانی ممکن است دور بخورند ؟
🔴خیلی سوال مهمی است چون در برخی کلاسها تاکید بسیاری بر این ابزار است اما آیا در عمل کاملا میتواند موفق باشد ؟
✴️نمونه بدافزارهایی که Volatility را میتوانند دور بزنند:
Turla Rootkit (Snake):
این بدافزار از تکنیکهای پنهانسازی پیشرفته برای پنهان کردن فعالیتهای خود در حافظه و شبکه استفاده میکند.
Stuxnet:
با تزریق کدهای پیشرفته به فرآیندهای سیستم و استفاده از مبهمسازی.
ShadowHammer:
این بدافزار با دستکاری ماژولها و استفاده از گواهینامههای معتبر سعی در گمراه کردن تحلیلگران داشت.
GrayFish (Equation Group):
این بدافزار در BIOS و حافظه مخفی میشود و تشخیص آن بسیار دشوار است.
🔵تکلیف : کمی درباره علت توضیح دادم ولی بیشتر دقیق شوید و بررسی کنید چرا این اتفاقات میافتد.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
◀️بسیاری از ما از volatility برای تحلیل حافظه در فارنزیک و کشف حملات پیچیده استفاده میکنیم. اما آیا به این فکر کرده اید این دستوراتی که درvolatility اینقدر سر راست برای ما اطلاعات را بیرون میکشند زمانی ممکن است دور بخورند ؟
🔴خیلی سوال مهمی است چون در برخی کلاسها تاکید بسیاری بر این ابزار است اما آیا در عمل کاملا میتواند موفق باشد ؟
✴️نمونه بدافزارهایی که Volatility را میتوانند دور بزنند:
Turla Rootkit (Snake):
این بدافزار از تکنیکهای پنهانسازی پیشرفته برای پنهان کردن فعالیتهای خود در حافظه و شبکه استفاده میکند.
Stuxnet:
با تزریق کدهای پیشرفته به فرآیندهای سیستم و استفاده از مبهمسازی.
ShadowHammer:
این بدافزار با دستکاری ماژولها و استفاده از گواهینامههای معتبر سعی در گمراه کردن تحلیلگران داشت.
GrayFish (Equation Group):
این بدافزار در BIOS و حافظه مخفی میشود و تشخیص آن بسیار دشوار است.
🔵تکلیف : کمی درباره علت توضیح دادم ولی بیشتر دقیق شوید و بررسی کنید چرا این اتفاقات میافتد.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1👏1
خب این جمعه تمرکز رو بگذاریم رو تحلیل بدافزار
شروع رو از یک تمرین ساده با Ghidra داریم
خیلی سختش نکنید
ویدئو رو ببینید
این لینک هم بخونین
https://medium.com/@cy1337/reversing-a-simple-crackme-with-ghidra-decompiler-5dd1b1c3c0ba
https://m.youtube.com/watch?v=fTGTnrgjuGA
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
شروع رو از یک تمرین ساده با Ghidra داریم
خیلی سختش نکنید
ویدئو رو ببینید
این لینک هم بخونین
https://medium.com/@cy1337/reversing-a-simple-crackme-with-ghidra-decompiler-5dd1b1c3c0ba
https://m.youtube.com/watch?v=fTGTnrgjuGA
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Reversing a Simple CrackMe with Ghidra Decompiler
In this article, I will walk through a simple crackme challenge from the collection of sample files for A Guide to Reversing with Ghidra…
❤1🔥1👏1
یک تحلیل واقعی
برای مبتدیان
برای انجام یک تحلیل واقعی با استفاده از Ghidra، میتوانیم یک نمونه ساده از برنامههای CrackMe را بررسی کنیم. این برنامهها برای تمرین مهارتهای مهندسی معکوس طراحی شدهاند و محیطی امن برای یادگیری فراهم میکنند.
مرحله 1: دانلود یک نمونه CrackMe
دریافت فایل:
به وبسایت Crackmes.one مراجعه کنید.
یک CrackMe با سطح دشواری "آسان" را انتخاب و دانلود کنید.
مرحله 2: راهاندازی Ghidra
ایجاد پروژه جدید:
Ghidra را باز کنید و یک پروژه جدید ایجاد کنید.
نام پروژه را متناسب با نمونه انتخابی قرار دهید.
وارد کردن فایل اجرایی:
فایل CrackMe دانلودشده را به پروژه وارد کنید.
Ghidra بهطور خودکار نوع فایل را شناسایی میکند.
مرحله 3: تحلیل اولیه فایل
اجرای تحلیل خودکار:
پس از وارد کردن فایل، Ghidra پیشنهاد میدهد که تحلیل خودکار را انجام دهد؛ این فرآیند را تأیید کنید.
این تحلیل شامل شناسایی توابع، رشتهها و ساختارهای دادهای است.
مرحله 4: جستجوی رشتهها (Strings)
نمایش رشتهها:
از منوی Window > Defined Strings استفاده کنید تا تمامی رشتههای موجود در برنامه را مشاهده کنید.
به دنبال رشتههایی مانند "Password incorrect" یا "Access granted" باشید که ممکن است به فرآیند تأیید رمز عبور مرتبط باشند.
مرحله 5: تحلیل توابع مرتبط با رمز عبور
شناسایی توابع مهم:
در پنجره Symbol Tree، به بخش Functions بروید و توابعی که ممکن است با تأیید رمز عبور مرتبط باشند را شناسایی کنید.
توابعی با نامهایی مانند check_password یا validate میتوانند مورد توجه باشند.
دیکامپایل توابع:
روی تابع مورد نظر دوبار کلیک کنید تا کد اسمبلی آن نمایش داده شود.
در پنجره Decompile، کد شبهC نمایش داده میشود که درک آن سادهتر است.
مرحله 6: شناسایی رمز عبور
بررسی منطق تأیید:
در کد دیکامپایلشده، به دنبال مقایسههایی باشید که ورودی کاربر را با یک مقدار ثابت مقایسه میکنند.
اگر مقدار ثابت (رمز عبور) در کد مشخص باشد، میتوانید آن را استخراج کنید.
شناسایی الگوریتمهای مبهمسازی:
در صورتی که رمز عبور بهصورت مستقیم در کد نباشد، ممکن است از الگوریتمهای رمزنگاری یا مبهمسازی استفاده شده باشد که نیاز به تحلیل دقیقتر دارد.
مرحله 7: آزمایش رمز عبور
اجرای برنامه:
برنامه CrackMe را اجرا کنید و رمز عبور استخراجشده را وارد کنید.
در صورت صحیح بودن تحلیل، باید پیام موفقیت را مشاهده کنید.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
برای مبتدیان
برای انجام یک تحلیل واقعی با استفاده از Ghidra، میتوانیم یک نمونه ساده از برنامههای CrackMe را بررسی کنیم. این برنامهها برای تمرین مهارتهای مهندسی معکوس طراحی شدهاند و محیطی امن برای یادگیری فراهم میکنند.
مرحله 1: دانلود یک نمونه CrackMe
دریافت فایل:
به وبسایت Crackmes.one مراجعه کنید.
یک CrackMe با سطح دشواری "آسان" را انتخاب و دانلود کنید.
مرحله 2: راهاندازی Ghidra
ایجاد پروژه جدید:
Ghidra را باز کنید و یک پروژه جدید ایجاد کنید.
نام پروژه را متناسب با نمونه انتخابی قرار دهید.
وارد کردن فایل اجرایی:
فایل CrackMe دانلودشده را به پروژه وارد کنید.
Ghidra بهطور خودکار نوع فایل را شناسایی میکند.
مرحله 3: تحلیل اولیه فایل
اجرای تحلیل خودکار:
پس از وارد کردن فایل، Ghidra پیشنهاد میدهد که تحلیل خودکار را انجام دهد؛ این فرآیند را تأیید کنید.
این تحلیل شامل شناسایی توابع، رشتهها و ساختارهای دادهای است.
مرحله 4: جستجوی رشتهها (Strings)
نمایش رشتهها:
از منوی Window > Defined Strings استفاده کنید تا تمامی رشتههای موجود در برنامه را مشاهده کنید.
به دنبال رشتههایی مانند "Password incorrect" یا "Access granted" باشید که ممکن است به فرآیند تأیید رمز عبور مرتبط باشند.
مرحله 5: تحلیل توابع مرتبط با رمز عبور
شناسایی توابع مهم:
در پنجره Symbol Tree، به بخش Functions بروید و توابعی که ممکن است با تأیید رمز عبور مرتبط باشند را شناسایی کنید.
توابعی با نامهایی مانند check_password یا validate میتوانند مورد توجه باشند.
دیکامپایل توابع:
روی تابع مورد نظر دوبار کلیک کنید تا کد اسمبلی آن نمایش داده شود.
در پنجره Decompile، کد شبهC نمایش داده میشود که درک آن سادهتر است.
مرحله 6: شناسایی رمز عبور
بررسی منطق تأیید:
در کد دیکامپایلشده، به دنبال مقایسههایی باشید که ورودی کاربر را با یک مقدار ثابت مقایسه میکنند.
اگر مقدار ثابت (رمز عبور) در کد مشخص باشد، میتوانید آن را استخراج کنید.
شناسایی الگوریتمهای مبهمسازی:
در صورتی که رمز عبور بهصورت مستقیم در کد نباشد، ممکن است از الگوریتمهای رمزنگاری یا مبهمسازی استفاده شده باشد که نیاز به تحلیل دقیقتر دارد.
مرحله 7: آزمایش رمز عبور
اجرای برنامه:
برنامه CrackMe را اجرا کنید و رمز عبور استخراجشده را وارد کنید.
در صورت صحیح بودن تحلیل، باید پیام موفقیت را مشاهده کنید.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1👏1🤩1
کشف دامپ با taskmanager
در حمله ای مشاهده شده که هکر با دسترسی ادمینی که داشته بجای استفاده از Mimikatz از taskmanager اومده و دامپ lsass.exe رو گرفته تا بتونه کردنشیال رو دربیاره .
چرا از این روش که استفاده از LOLBins - ابزارهای ویندوز-نام داره استفاده کرده ؟
تا ابزارهای حساس به Mimikatz که ابزاری هکری هست فعال نشن.
واسه گرفتن این رفتار من از سیسمون استفاده میکنم. به شرح کانفیگ فایل زیر .
شما هم اگر نظری دارید بفرمایید .
<EventFiltering>
<ProcessAccess onmatch="include">
<TargetImage condition="contains">lsass.exe</TargetImage>
<SourceImage condition="contains">taskmgr.exe</SourceImage>
<GrantedAccess condition="contains">0x1410</GrantedAccess> <!-- Specific LSASS memory access -->
</ProcessAccess>
<ProcessCreate onmatch="include">
<Image condition="contains">taskmgr.exe</Image>
<CommandLine condition="contains">lsass</CommandLine> <!-- Task Manager dump triggers -->
</ProcessCreate>
<FileCreate onmatch="include">
<TargetFilename condition="ends with">.dmp</TargetFilename>
<TargetFilename condition="contains">\Windows\Temp\</TargetFilename>
<TargetFilename condition="contains">\CrashDumps\</TargetFilename>
</FileCreate>
</EventFiltering>
تایپ دسترسی (0x1410) تلاش برای خواندن رو لاگ میکنه اگر شما اینو که فیلتر GrantedAccess است در کانفیگ سیسمون نداشته باشید دچار FP میشین.
حتما باید ایجاد پراسس پایش بشه
خروجی دامپ با پسوند .dmp
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
در حمله ای مشاهده شده که هکر با دسترسی ادمینی که داشته بجای استفاده از Mimikatz از taskmanager اومده و دامپ lsass.exe رو گرفته تا بتونه کردنشیال رو دربیاره .
چرا از این روش که استفاده از LOLBins - ابزارهای ویندوز-نام داره استفاده کرده ؟
تا ابزارهای حساس به Mimikatz که ابزاری هکری هست فعال نشن.
واسه گرفتن این رفتار من از سیسمون استفاده میکنم. به شرح کانفیگ فایل زیر .
شما هم اگر نظری دارید بفرمایید .
<EventFiltering>
<ProcessAccess onmatch="include">
<TargetImage condition="contains">lsass.exe</TargetImage>
<SourceImage condition="contains">taskmgr.exe</SourceImage>
<GrantedAccess condition="contains">0x1410</GrantedAccess> <!-- Specific LSASS memory access -->
</ProcessAccess>
<ProcessCreate onmatch="include">
<Image condition="contains">taskmgr.exe</Image>
<CommandLine condition="contains">lsass</CommandLine> <!-- Task Manager dump triggers -->
</ProcessCreate>
<FileCreate onmatch="include">
<TargetFilename condition="ends with">.dmp</TargetFilename>
<TargetFilename condition="contains">\Windows\Temp\</TargetFilename>
<TargetFilename condition="contains">\CrashDumps\</TargetFilename>
</FileCreate>
</EventFiltering>
تایپ دسترسی (0x1410) تلاش برای خواندن رو لاگ میکنه اگر شما اینو که فیلتر GrantedAccess است در کانفیگ سیسمون نداشته باشید دچار FP میشین.
حتما باید ایجاد پراسس پایش بشه
خروجی دامپ با پسوند .dmp
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1👍1
⭕️ تبریک ویژه به علیرضا امیرحیدری محقق امنیت سایبری برجسته که در ماه های اخیر جز Top 10 محقق های امنیت مایکروسافت قرار گرفت.
رتبه سوم :
2024 Q4 Azure Leaderboard
رتبه هفتم :
2024 Q4 Security Researcher Leaderboard
تاحالا حدود 20 هزار دلار جایزه بابت گزارش های متعدد آسیب پذیری دریافت کرده.
+ تعدادی آسیب پذیری دیگه هم گزارش داده که منتظر تاییدیه نهایی برای پرداخت بانتی هستن:)
https://msrc.microsoft.com/blog/2025/01/congratulations-to-the-top-msrc-2024-q4-security-researchers/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
رتبه سوم :
2024 Q4 Azure Leaderboard
رتبه هفتم :
2024 Q4 Security Researcher Leaderboard
تاحالا حدود 20 هزار دلار جایزه بابت گزارش های متعدد آسیب پذیری دریافت کرده.
+ تعدادی آسیب پذیری دیگه هم گزارش داده که منتظر تاییدیه نهایی برای پرداخت بانتی هستن:)
https://msrc.microsoft.com/blog/2025/01/congratulations-to-the-top-msrc-2024-q4-security-researchers/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍1🔥1
managing-cyber-risk-stakeholder-capitalism.pdf
1.6 MB
مقاله فوق: "مدیریت ریسک سایبری در عصر سرمایهداری ذینفعمحور" ،
نشان میدهد که رویکردهای سنتی ارزیابی ریسکهای سایبری ناکافی هستند و نیاز به یک چارچوب جامعتر وجود دارد. با استفاده از معیارهای اجتماعی و حکمرانی (SG)، سازمانها میتوانند هزینههای واقعی ناشی از نقض امنیت سایبری را بهتر درک کنند و استراتژیهای بهتری برای مدیریت این ریسکها توسعه دهند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
نشان میدهد که رویکردهای سنتی ارزیابی ریسکهای سایبری ناکافی هستند و نیاز به یک چارچوب جامعتر وجود دارد. با استفاده از معیارهای اجتماعی و حکمرانی (SG)، سازمانها میتوانند هزینههای واقعی ناشی از نقض امنیت سایبری را بهتر درک کنند و استراتژیهای بهتری برای مدیریت این ریسکها توسعه دهند.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥1👏1
🔴مهم برای SOC
پراسس هالویینگ با آخرین به روز رسانی ویندوز ۱۱ دیگر ممکن نیست !
اما لینک زیر چیز دیگر میگوید
پس به فکر کشف باشید که دیر نشود
https://hshrzd.wordpress.com/2025/01/27/process-hollowing-on-windows-11-24h2
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
پراسس هالویینگ با آخرین به روز رسانی ویندوز ۱۱ دیگر ممکن نیست !
اما لینک زیر چیز دیگر میگوید
پس به فکر کشف باشید که دیر نشود
https://hshrzd.wordpress.com/2025/01/27/process-hollowing-on-windows-11-24h2
Please open Telegram to view this post
VIEW IN TELEGRAM
hasherezade's 1001 nights
Process Hollowing on Windows 11 24H2
Process Hollowing (a.k.a. RunPE) is probably the oldest, and the most popular process impersonation technique (it allows to run a malicious executable under the cover of a benign process). It is us…
🔥1🤩1👨💻1🗿1
طرح آزمایشی اتصال مستقیم تلفن همراه به اینترنت ماهوارهای استارلینک، یک روز دیگر آغاز میشود
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🎉1🤩1🕊1