🏮جایی که ابزار کم میاورد اما دانش میتواند جلو برود
◀️بسیاری از ما از volatility برای تحلیل حافظه در فارنزیک و کشف حملات پیچیده استفاده میکنیم. اما آیا به این فکر کرده اید این دستوراتی که درvolatility اینقدر سر راست برای ما اطلاعات را بیرون میکشند زمانی ممکن است دور بخورند ؟
🔴خیلی سوال مهمی است چون در برخی کلاسها تاکید بسیاری بر این ابزار است اما آیا در عمل کاملا میتواند موفق باشد ؟
✴️نمونه بدافزارهایی که Volatility را میتوانند دور بزنند:
Turla Rootkit (Snake):
این بدافزار از تکنیکهای پنهانسازی پیشرفته برای پنهان کردن فعالیتهای خود در حافظه و شبکه استفاده میکند.
Stuxnet:
با تزریق کدهای پیشرفته به فرآیندهای سیستم و استفاده از مبهمسازی.
ShadowHammer:
این بدافزار با دستکاری ماژولها و استفاده از گواهینامههای معتبر سعی در گمراه کردن تحلیلگران داشت.
GrayFish (Equation Group):
این بدافزار در BIOS و حافظه مخفی میشود و تشخیص آن بسیار دشوار است.
🔵تکلیف : کمی درباره علت توضیح دادم ولی بیشتر دقیق شوید و بررسی کنید چرا این اتفاقات میافتد.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
◀️بسیاری از ما از volatility برای تحلیل حافظه در فارنزیک و کشف حملات پیچیده استفاده میکنیم. اما آیا به این فکر کرده اید این دستوراتی که درvolatility اینقدر سر راست برای ما اطلاعات را بیرون میکشند زمانی ممکن است دور بخورند ؟
🔴خیلی سوال مهمی است چون در برخی کلاسها تاکید بسیاری بر این ابزار است اما آیا در عمل کاملا میتواند موفق باشد ؟
✴️نمونه بدافزارهایی که Volatility را میتوانند دور بزنند:
Turla Rootkit (Snake):
این بدافزار از تکنیکهای پنهانسازی پیشرفته برای پنهان کردن فعالیتهای خود در حافظه و شبکه استفاده میکند.
Stuxnet:
با تزریق کدهای پیشرفته به فرآیندهای سیستم و استفاده از مبهمسازی.
ShadowHammer:
این بدافزار با دستکاری ماژولها و استفاده از گواهینامههای معتبر سعی در گمراه کردن تحلیلگران داشت.
GrayFish (Equation Group):
این بدافزار در BIOS و حافظه مخفی میشود و تشخیص آن بسیار دشوار است.
🔵تکلیف : کمی درباره علت توضیح دادم ولی بیشتر دقیق شوید و بررسی کنید چرا این اتفاقات میافتد.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1👏1
خب این جمعه تمرکز رو بگذاریم رو تحلیل بدافزار
شروع رو از یک تمرین ساده با Ghidra داریم
خیلی سختش نکنید
ویدئو رو ببینید
این لینک هم بخونین
https://medium.com/@cy1337/reversing-a-simple-crackme-with-ghidra-decompiler-5dd1b1c3c0ba
https://m.youtube.com/watch?v=fTGTnrgjuGA
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
شروع رو از یک تمرین ساده با Ghidra داریم
خیلی سختش نکنید
ویدئو رو ببینید
این لینک هم بخونین
https://medium.com/@cy1337/reversing-a-simple-crackme-with-ghidra-decompiler-5dd1b1c3c0ba
https://m.youtube.com/watch?v=fTGTnrgjuGA
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Reversing a Simple CrackMe with Ghidra Decompiler
In this article, I will walk through a simple crackme challenge from the collection of sample files for A Guide to Reversing with Ghidra…
❤1🔥1👏1
یک تحلیل واقعی
برای مبتدیان
برای انجام یک تحلیل واقعی با استفاده از Ghidra، میتوانیم یک نمونه ساده از برنامههای CrackMe را بررسی کنیم. این برنامهها برای تمرین مهارتهای مهندسی معکوس طراحی شدهاند و محیطی امن برای یادگیری فراهم میکنند.
مرحله 1: دانلود یک نمونه CrackMe
دریافت فایل:
به وبسایت Crackmes.one مراجعه کنید.
یک CrackMe با سطح دشواری "آسان" را انتخاب و دانلود کنید.
مرحله 2: راهاندازی Ghidra
ایجاد پروژه جدید:
Ghidra را باز کنید و یک پروژه جدید ایجاد کنید.
نام پروژه را متناسب با نمونه انتخابی قرار دهید.
وارد کردن فایل اجرایی:
فایل CrackMe دانلودشده را به پروژه وارد کنید.
Ghidra بهطور خودکار نوع فایل را شناسایی میکند.
مرحله 3: تحلیل اولیه فایل
اجرای تحلیل خودکار:
پس از وارد کردن فایل، Ghidra پیشنهاد میدهد که تحلیل خودکار را انجام دهد؛ این فرآیند را تأیید کنید.
این تحلیل شامل شناسایی توابع، رشتهها و ساختارهای دادهای است.
مرحله 4: جستجوی رشتهها (Strings)
نمایش رشتهها:
از منوی Window > Defined Strings استفاده کنید تا تمامی رشتههای موجود در برنامه را مشاهده کنید.
به دنبال رشتههایی مانند "Password incorrect" یا "Access granted" باشید که ممکن است به فرآیند تأیید رمز عبور مرتبط باشند.
مرحله 5: تحلیل توابع مرتبط با رمز عبور
شناسایی توابع مهم:
در پنجره Symbol Tree، به بخش Functions بروید و توابعی که ممکن است با تأیید رمز عبور مرتبط باشند را شناسایی کنید.
توابعی با نامهایی مانند check_password یا validate میتوانند مورد توجه باشند.
دیکامپایل توابع:
روی تابع مورد نظر دوبار کلیک کنید تا کد اسمبلی آن نمایش داده شود.
در پنجره Decompile، کد شبهC نمایش داده میشود که درک آن سادهتر است.
مرحله 6: شناسایی رمز عبور
بررسی منطق تأیید:
در کد دیکامپایلشده، به دنبال مقایسههایی باشید که ورودی کاربر را با یک مقدار ثابت مقایسه میکنند.
اگر مقدار ثابت (رمز عبور) در کد مشخص باشد، میتوانید آن را استخراج کنید.
شناسایی الگوریتمهای مبهمسازی:
در صورتی که رمز عبور بهصورت مستقیم در کد نباشد، ممکن است از الگوریتمهای رمزنگاری یا مبهمسازی استفاده شده باشد که نیاز به تحلیل دقیقتر دارد.
مرحله 7: آزمایش رمز عبور
اجرای برنامه:
برنامه CrackMe را اجرا کنید و رمز عبور استخراجشده را وارد کنید.
در صورت صحیح بودن تحلیل، باید پیام موفقیت را مشاهده کنید.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
برای مبتدیان
برای انجام یک تحلیل واقعی با استفاده از Ghidra، میتوانیم یک نمونه ساده از برنامههای CrackMe را بررسی کنیم. این برنامهها برای تمرین مهارتهای مهندسی معکوس طراحی شدهاند و محیطی امن برای یادگیری فراهم میکنند.
مرحله 1: دانلود یک نمونه CrackMe
دریافت فایل:
به وبسایت Crackmes.one مراجعه کنید.
یک CrackMe با سطح دشواری "آسان" را انتخاب و دانلود کنید.
مرحله 2: راهاندازی Ghidra
ایجاد پروژه جدید:
Ghidra را باز کنید و یک پروژه جدید ایجاد کنید.
نام پروژه را متناسب با نمونه انتخابی قرار دهید.
وارد کردن فایل اجرایی:
فایل CrackMe دانلودشده را به پروژه وارد کنید.
Ghidra بهطور خودکار نوع فایل را شناسایی میکند.
مرحله 3: تحلیل اولیه فایل
اجرای تحلیل خودکار:
پس از وارد کردن فایل، Ghidra پیشنهاد میدهد که تحلیل خودکار را انجام دهد؛ این فرآیند را تأیید کنید.
این تحلیل شامل شناسایی توابع، رشتهها و ساختارهای دادهای است.
مرحله 4: جستجوی رشتهها (Strings)
نمایش رشتهها:
از منوی Window > Defined Strings استفاده کنید تا تمامی رشتههای موجود در برنامه را مشاهده کنید.
به دنبال رشتههایی مانند "Password incorrect" یا "Access granted" باشید که ممکن است به فرآیند تأیید رمز عبور مرتبط باشند.
مرحله 5: تحلیل توابع مرتبط با رمز عبور
شناسایی توابع مهم:
در پنجره Symbol Tree، به بخش Functions بروید و توابعی که ممکن است با تأیید رمز عبور مرتبط باشند را شناسایی کنید.
توابعی با نامهایی مانند check_password یا validate میتوانند مورد توجه باشند.
دیکامپایل توابع:
روی تابع مورد نظر دوبار کلیک کنید تا کد اسمبلی آن نمایش داده شود.
در پنجره Decompile، کد شبهC نمایش داده میشود که درک آن سادهتر است.
مرحله 6: شناسایی رمز عبور
بررسی منطق تأیید:
در کد دیکامپایلشده، به دنبال مقایسههایی باشید که ورودی کاربر را با یک مقدار ثابت مقایسه میکنند.
اگر مقدار ثابت (رمز عبور) در کد مشخص باشد، میتوانید آن را استخراج کنید.
شناسایی الگوریتمهای مبهمسازی:
در صورتی که رمز عبور بهصورت مستقیم در کد نباشد، ممکن است از الگوریتمهای رمزنگاری یا مبهمسازی استفاده شده باشد که نیاز به تحلیل دقیقتر دارد.
مرحله 7: آزمایش رمز عبور
اجرای برنامه:
برنامه CrackMe را اجرا کنید و رمز عبور استخراجشده را وارد کنید.
در صورت صحیح بودن تحلیل، باید پیام موفقیت را مشاهده کنید.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1👏1🤩1
کشف دامپ با taskmanager
در حمله ای مشاهده شده که هکر با دسترسی ادمینی که داشته بجای استفاده از Mimikatz از taskmanager اومده و دامپ lsass.exe رو گرفته تا بتونه کردنشیال رو دربیاره .
چرا از این روش که استفاده از LOLBins - ابزارهای ویندوز-نام داره استفاده کرده ؟
تا ابزارهای حساس به Mimikatz که ابزاری هکری هست فعال نشن.
واسه گرفتن این رفتار من از سیسمون استفاده میکنم. به شرح کانفیگ فایل زیر .
شما هم اگر نظری دارید بفرمایید .
<EventFiltering>
<ProcessAccess onmatch="include">
<TargetImage condition="contains">lsass.exe</TargetImage>
<SourceImage condition="contains">taskmgr.exe</SourceImage>
<GrantedAccess condition="contains">0x1410</GrantedAccess> <!-- Specific LSASS memory access -->
</ProcessAccess>
<ProcessCreate onmatch="include">
<Image condition="contains">taskmgr.exe</Image>
<CommandLine condition="contains">lsass</CommandLine> <!-- Task Manager dump triggers -->
</ProcessCreate>
<FileCreate onmatch="include">
<TargetFilename condition="ends with">.dmp</TargetFilename>
<TargetFilename condition="contains">\Windows\Temp\</TargetFilename>
<TargetFilename condition="contains">\CrashDumps\</TargetFilename>
</FileCreate>
</EventFiltering>
تایپ دسترسی (0x1410) تلاش برای خواندن رو لاگ میکنه اگر شما اینو که فیلتر GrantedAccess است در کانفیگ سیسمون نداشته باشید دچار FP میشین.
حتما باید ایجاد پراسس پایش بشه
خروجی دامپ با پسوند .dmp
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
در حمله ای مشاهده شده که هکر با دسترسی ادمینی که داشته بجای استفاده از Mimikatz از taskmanager اومده و دامپ lsass.exe رو گرفته تا بتونه کردنشیال رو دربیاره .
چرا از این روش که استفاده از LOLBins - ابزارهای ویندوز-نام داره استفاده کرده ؟
تا ابزارهای حساس به Mimikatz که ابزاری هکری هست فعال نشن.
واسه گرفتن این رفتار من از سیسمون استفاده میکنم. به شرح کانفیگ فایل زیر .
شما هم اگر نظری دارید بفرمایید .
<EventFiltering>
<ProcessAccess onmatch="include">
<TargetImage condition="contains">lsass.exe</TargetImage>
<SourceImage condition="contains">taskmgr.exe</SourceImage>
<GrantedAccess condition="contains">0x1410</GrantedAccess> <!-- Specific LSASS memory access -->
</ProcessAccess>
<ProcessCreate onmatch="include">
<Image condition="contains">taskmgr.exe</Image>
<CommandLine condition="contains">lsass</CommandLine> <!-- Task Manager dump triggers -->
</ProcessCreate>
<FileCreate onmatch="include">
<TargetFilename condition="ends with">.dmp</TargetFilename>
<TargetFilename condition="contains">\Windows\Temp\</TargetFilename>
<TargetFilename condition="contains">\CrashDumps\</TargetFilename>
</FileCreate>
</EventFiltering>
تایپ دسترسی (0x1410) تلاش برای خواندن رو لاگ میکنه اگر شما اینو که فیلتر GrantedAccess است در کانفیگ سیسمون نداشته باشید دچار FP میشین.
حتما باید ایجاد پراسس پایش بشه
خروجی دامپ با پسوند .dmp
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1👍1
⭕️ تبریک ویژه به علیرضا امیرحیدری محقق امنیت سایبری برجسته که در ماه های اخیر جز Top 10 محقق های امنیت مایکروسافت قرار گرفت.
رتبه سوم :
2024 Q4 Azure Leaderboard
رتبه هفتم :
2024 Q4 Security Researcher Leaderboard
تاحالا حدود 20 هزار دلار جایزه بابت گزارش های متعدد آسیب پذیری دریافت کرده.
+ تعدادی آسیب پذیری دیگه هم گزارش داده که منتظر تاییدیه نهایی برای پرداخت بانتی هستن:)
https://msrc.microsoft.com/blog/2025/01/congratulations-to-the-top-msrc-2024-q4-security-researchers/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
رتبه سوم :
2024 Q4 Azure Leaderboard
رتبه هفتم :
2024 Q4 Security Researcher Leaderboard
تاحالا حدود 20 هزار دلار جایزه بابت گزارش های متعدد آسیب پذیری دریافت کرده.
+ تعدادی آسیب پذیری دیگه هم گزارش داده که منتظر تاییدیه نهایی برای پرداخت بانتی هستن:)
https://msrc.microsoft.com/blog/2025/01/congratulations-to-the-top-msrc-2024-q4-security-researchers/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍1🔥1
managing-cyber-risk-stakeholder-capitalism.pdf
1.6 MB
مقاله فوق: "مدیریت ریسک سایبری در عصر سرمایهداری ذینفعمحور" ،
نشان میدهد که رویکردهای سنتی ارزیابی ریسکهای سایبری ناکافی هستند و نیاز به یک چارچوب جامعتر وجود دارد. با استفاده از معیارهای اجتماعی و حکمرانی (SG)، سازمانها میتوانند هزینههای واقعی ناشی از نقض امنیت سایبری را بهتر درک کنند و استراتژیهای بهتری برای مدیریت این ریسکها توسعه دهند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
نشان میدهد که رویکردهای سنتی ارزیابی ریسکهای سایبری ناکافی هستند و نیاز به یک چارچوب جامعتر وجود دارد. با استفاده از معیارهای اجتماعی و حکمرانی (SG)، سازمانها میتوانند هزینههای واقعی ناشی از نقض امنیت سایبری را بهتر درک کنند و استراتژیهای بهتری برای مدیریت این ریسکها توسعه دهند.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥1👏1
🔴مهم برای SOC
پراسس هالویینگ با آخرین به روز رسانی ویندوز ۱۱ دیگر ممکن نیست !
اما لینک زیر چیز دیگر میگوید
پس به فکر کشف باشید که دیر نشود
https://hshrzd.wordpress.com/2025/01/27/process-hollowing-on-windows-11-24h2
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
پراسس هالویینگ با آخرین به روز رسانی ویندوز ۱۱ دیگر ممکن نیست !
اما لینک زیر چیز دیگر میگوید
پس به فکر کشف باشید که دیر نشود
https://hshrzd.wordpress.com/2025/01/27/process-hollowing-on-windows-11-24h2
Please open Telegram to view this post
VIEW IN TELEGRAM
hasherezade's 1001 nights
Process Hollowing on Windows 11 24H2
Process Hollowing (a.k.a. RunPE) is probably the oldest, and the most popular process impersonation technique (it allows to run a malicious executable under the cover of a benign process). It is us…
🔥1🤩1👨💻1🗿1
طرح آزمایشی اتصال مستقیم تلفن همراه به اینترنت ماهوارهای استارلینک، یک روز دیگر آغاز میشود
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🎉1🤩1🕊1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1🔥1👏1
مقاله تحلیلی DFIR
https://thedfirreport.com/2025/01/27/cobalt-strike-and-a-pair-of-socks-lead-to-lockbit-ransomware
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://thedfirreport.com/2025/01/27/cobalt-strike-and-a-pair-of-socks-lead-to-lockbit-ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
The DFIR Report
Cobalt Strike and a Pair of SOCKS Lead to LockBit Ransomware
Key Takeaways This intrusion began with the download and execution of a Cobalt Strike beacon that impersonated a Windows Media Configuration Utility. The threat actor used Rclone to exfiltrate data…
👍1🔥1👏1🕊1
ران بوک های مدیریت حادثه
https://github.com/securitytemplates/sectemplates/blob/main/incident-response/v1/Incident_response_runbook.md
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/securitytemplates/sectemplates/blob/main/incident-response/v1/Incident_response_runbook.md
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
sectemplates/incident-response/v1/Incident_response_runbook.md at main · securitytemplates/sectemplates
Open source templates you can use to bootstrap your security programs - securitytemplates/sectemplates
🔥2❤1👍1
joint-guidance-closing-the-software-understanding-gap-508c.pdf
944.9 KB
نگاهی به امنیت نرم افزار از زاویه ای دیگر
مستندی جدید در سال 2025
مقاله ای از سازمانهایCISA, DARPA, OUSD R&E, and NSA
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
مستندی جدید در سال 2025
مقاله ای از سازمانهایCISA, DARPA, OUSD R&E, and NSA
Please open Telegram to view this post
VIEW IN TELEGRAM
🕊2🔥1👏1
یه تحلیل
بخونین بعد بخوابین خوبه
فوری نیست ولی آموزنده است
https://www.fortinet.com/blog/threat-research/coyote-banking-trojan-a-stealthy-attack-via-lnk-files
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
بخونین بعد بخوابین خوبه
فوری نیست ولی آموزنده است
https://www.fortinet.com/blog/threat-research/coyote-banking-trojan-a-stealthy-attack-via-lnk-files
Please open Telegram to view this post
VIEW IN TELEGRAM
Fortinet Blog
Coyote Banking Trojan: A Stealthy Attack via LNK Files
FortiGuard Labs observes a threat actor using a LNK file to deploy Coyote attacks, unleashing malicious payloads and escalating the risk to financial cybersecurity.…
❤2🔥2👍1
یکی از اون گزارش های خوب از واحد 42 پالو آلتو
https://buff.ly/3Cmfz1o
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://buff.ly/3Cmfz1o
Please open Telegram to view this post
VIEW IN TELEGRAM
Unit 42
CL-STA-0048: An Espionage Operation Against High-Value Targets in South Asia
A Chinese-linked espionage campaign targeted entities in South Asia using rare techniques like DNS exfiltration, with the aim to steal sensitive data. A Chinese-linked espionage campaign targeted entities in South Asia using rare techniques like DNS exfiltration…
🔥3👍1👨💻1
⭕️ شاید خطر مهم برای ما !!
یک فناوری مایکروسافت برای کمک به آنتی ویروس ؛ EDR و XDR
این پست را پیرو ابهام برخی دوستان در مورد پست قبلی ام در خصوص Bypass محصولات امنیتی میگذارم. فناوری PPL
✅فناوری Protected Process Light (PPL)یک مکانیسم امنیتی در ویندوز است که با استفاده از آن، مایکروسافت سطح محافظتی ویژهای برای پردازشهای حساس، مانند آنتیویروسها و EDRها، فراهم میکند. این مکانیسم چندین مزیت مهم برای این ابزارهای امنیتی دارد:
۱. جلوگیری از حملات تزریق کد و دستکاری پردازش
بدافزارها معمولاً سعی میکنند با تزریق کد به پردازشهای امنیتی یا تغییر حافظه آنها، فعالیتشان را غیرفعال کنند.
مکانیسم PPL اجازه نمیدهد که پردازشهای غیرمجاز (حتی با سطح دسترسی بالا) به پردازشهای محافظتشده دسترسی داشته باشند، مگر اینکه خودشان هم سطح محافظت مشابهی داشته باشند.
۲. محافظت از سرویسهای آنتیویروس و EDR
بسیاری از آنتیویروسها و EDRها پردازشهای اصلی خود را در حالت PPL اجرا میکنند، به این معنی که حتی با دسترسی SYSTEM نیز امکان متوقف کردن یا دستکاری آنها وجود ندارد.
این ویژگی مانع از غیرفعالسازی خودکار توسط بدافزارها میشود.
۳. محافظت از درایورهای کرنل
برخی راهحلهای امنیتی علاوه بر پردازشهای کاربری، از درایورهای کرنل هم استفاده میکنند.
این PPL میتواند از درایورهای مرتبط با این ابزارها نیز محافظت کند، بهخصوص در برابر rootkitهایی که سعی در غیر فعالسازی درایورهای امنیتی دارند.
۴. افزایش سختی دور زدن مکانیزمهای امنیتی
بدافزارهایی مانند KillAV معمولاً سعی میکنند سرویسهای آنتیویروس را متوقف کنند. اما PPL باعث میشود حتی اگر بدافزار دسترسی مدیریتی (Admin) هم داشته باشد، نتواند پردازشهای آنتیویروس یا EDR را متوقف کند.
۵. ارتباط امن با سایر سرویسهای ویندوز
پردازشهایی که در حالت PPL اجرا میشوند، فقط میتوانند با سایر پردازشهای PPL یا پردازشهای سیستمی خاص ارتباط داشته باشند.
این موضوع امنیت ارتباطات آنتیویروس یا EDR با سرویسهایی مثل Windows Defender یا Credential Guard را افزایش میدهد.
🔴چالشهای PPL
برخی بدافزارهای پیشرفته (مثل ابزارهای کرنل-level) سعی میکنند این مکانیزم را دور بزنند.
آنتیویروسها برای اجرای کامل در حالت PPL نیاز به امضای خاصی از مایکروسافت دارند
🔵نتیجهگیری
مکانیسم PPL یک سد امنیتی مهم برای جلوگیری از غیرفعال شدن یا دستکاری ابزارهای امنیتی مثل آنتیویروسها و EDR و XDR ها است. با این حال، سازمانها باید این مکانیسم را در کنار سایر اقدامات امنیتی، مثل کنترل دسترسیها و بررسی تهدیدات در سطح کرنل، به کار ببرند تا اثربخشی بالایی داشته باشد.
✴️ خطر : با توجه به متن فوق ؛ درحال حاضر محصولات بومی در این زمینه ضعف دارند و میتوانند Bypass شوند، چون نمیتوانند مورد تایید مایکروسافت قرار گیرند پس در PPL نیستند لذا بازی شروع نشده ، یک بر صفر در مقابله با نفوذ و بدافزار عقب هستیم.
راه حلی نیز بعنوان راهکار جایگزین بصورت عملی توسط محصولات بومی ارائه نشده است .
💥این متن مخالفت با تولید بومی نیست و فقط دغدغه ای در حوزه امنیت سازمانها و امنیت ملی را مطرح میکند انشالله که حل شود.
لینک توضیح فناوری
https://learn.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یک فناوری مایکروسافت برای کمک به آنتی ویروس ؛ EDR و XDR
این پست را پیرو ابهام برخی دوستان در مورد پست قبلی ام در خصوص Bypass محصولات امنیتی میگذارم. فناوری PPL
✅فناوری Protected Process Light (PPL)یک مکانیسم امنیتی در ویندوز است که با استفاده از آن، مایکروسافت سطح محافظتی ویژهای برای پردازشهای حساس، مانند آنتیویروسها و EDRها، فراهم میکند. این مکانیسم چندین مزیت مهم برای این ابزارهای امنیتی دارد:
۱. جلوگیری از حملات تزریق کد و دستکاری پردازش
بدافزارها معمولاً سعی میکنند با تزریق کد به پردازشهای امنیتی یا تغییر حافظه آنها، فعالیتشان را غیرفعال کنند.
مکانیسم PPL اجازه نمیدهد که پردازشهای غیرمجاز (حتی با سطح دسترسی بالا) به پردازشهای محافظتشده دسترسی داشته باشند، مگر اینکه خودشان هم سطح محافظت مشابهی داشته باشند.
۲. محافظت از سرویسهای آنتیویروس و EDR
بسیاری از آنتیویروسها و EDRها پردازشهای اصلی خود را در حالت PPL اجرا میکنند، به این معنی که حتی با دسترسی SYSTEM نیز امکان متوقف کردن یا دستکاری آنها وجود ندارد.
این ویژگی مانع از غیرفعالسازی خودکار توسط بدافزارها میشود.
۳. محافظت از درایورهای کرنل
برخی راهحلهای امنیتی علاوه بر پردازشهای کاربری، از درایورهای کرنل هم استفاده میکنند.
این PPL میتواند از درایورهای مرتبط با این ابزارها نیز محافظت کند، بهخصوص در برابر rootkitهایی که سعی در غیر فعالسازی درایورهای امنیتی دارند.
۴. افزایش سختی دور زدن مکانیزمهای امنیتی
بدافزارهایی مانند KillAV معمولاً سعی میکنند سرویسهای آنتیویروس را متوقف کنند. اما PPL باعث میشود حتی اگر بدافزار دسترسی مدیریتی (Admin) هم داشته باشد، نتواند پردازشهای آنتیویروس یا EDR را متوقف کند.
۵. ارتباط امن با سایر سرویسهای ویندوز
پردازشهایی که در حالت PPL اجرا میشوند، فقط میتوانند با سایر پردازشهای PPL یا پردازشهای سیستمی خاص ارتباط داشته باشند.
این موضوع امنیت ارتباطات آنتیویروس یا EDR با سرویسهایی مثل Windows Defender یا Credential Guard را افزایش میدهد.
🔴چالشهای PPL
برخی بدافزارهای پیشرفته (مثل ابزارهای کرنل-level) سعی میکنند این مکانیزم را دور بزنند.
آنتیویروسها برای اجرای کامل در حالت PPL نیاز به امضای خاصی از مایکروسافت دارند
🔵نتیجهگیری
مکانیسم PPL یک سد امنیتی مهم برای جلوگیری از غیرفعال شدن یا دستکاری ابزارهای امنیتی مثل آنتیویروسها و EDR و XDR ها است. با این حال، سازمانها باید این مکانیسم را در کنار سایر اقدامات امنیتی، مثل کنترل دسترسیها و بررسی تهدیدات در سطح کرنل، به کار ببرند تا اثربخشی بالایی داشته باشد.
✴️ خطر : با توجه به متن فوق ؛ درحال حاضر محصولات بومی در این زمینه ضعف دارند و میتوانند Bypass شوند، چون نمیتوانند مورد تایید مایکروسافت قرار گیرند پس در PPL نیستند لذا بازی شروع نشده ، یک بر صفر در مقابله با نفوذ و بدافزار عقب هستیم.
راه حلی نیز بعنوان راهکار جایگزین بصورت عملی توسط محصولات بومی ارائه نشده است .
💥این متن مخالفت با تولید بومی نیست و فقط دغدغه ای در حوزه امنیت سازمانها و امنیت ملی را مطرح میکند انشالله که حل شود.
لینک توضیح فناوری
https://learn.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-
Please open Telegram to view this post
VIEW IN TELEGRAM
Docs
Protecting anti-malware services - Win32 apps
Learn about protecting anti-malware (AM) user mode services and how you can opt to include this feature in your anti-malware service.
❤1🔥1👏1🗿1
اسکنر داده های حساس در ریپو ها ( نمایشگر و اسکنر )
https://github.com/GONZOsint/trufflehog-explorer
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/GONZOsint/trufflehog-explorer
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - GONZOsint/trufflehog-explorer: TruffleHog Explorer, a user-friendly web-based tool to visualize and analyze data extracted…
TruffleHog Explorer, a user-friendly web-based tool to visualize and analyze data extracted using TruffleHog. - GONZOsint/trufflehog-explorer
❤1👍1🔥1👏1
دیباگینگ (Debugging) چیست؟
اصولا دیباگینگ فرایند یافتن و رفع اشکالات (باگها) در نرمافزار یا سیستمهای کامپیوتری است. این کار معمولاً با استفاده از دیباگر (Debugger) انجام میشود که به برنامهنویس یا تحلیلگر اجازه میدهد کد را خط به خط اجرا کرده، متغیرها را بررسی کند و رفتار برنامه را تحلیل کند.
اما در تحلیل بدافزار از این متد برای شناسایی رفتار برنامه مخرب استفاده میشود. در این روش مرحله به مرحله برنامه اجرا میشود و نتیجه ملاحظه میگردد.
چطور هکرها دیباگینگ را دور میزنند؟
برنامههای مخرب (مانند بدافزارها) معمولاً مکانیزمهایی دارند که تلاش برای دیباگ کردن آنها را تشخیص داده و از آن جلوگیری میکنند.
روشهای رایج برای دور زدن دیباگینگ شامل موارد زیر است:
۱-شناسایی حضور دیباگر
بدافزارها با استفاده از APIهای سیستمی مانند IsDebuggerPresent در ویندوز یا خواندن رجیسترهای خاص (مثلاً DR0-DR7 در CPU) بررسی میکنند که آیا در حال اجرا در یک محیط دیباگ است.
اگر دیباگر شناسایی شود، برنامه ممکن است خود را متوقف کند یا رفتاری متفاوت نشان دهد.
۲-استفاده از ضد دیباگینگ مبتنی بر زمان
اجرای یک تابع Sleepبا مقدار زمانی مشخص و مقایسه زمان واقعی سپریشده، برای بررسی اینکه آیا دیباگر باعث کندی اجرا شده است.
استفاده از شمارندههای پردازنده مانند RDTSC برای تشخیص تغییر در سرعت اجرا.
۳-پنهان کردن کدهای اصلی (Code Obfuscation)
تکنیکهایی مانند Packing و Encryption استفاده میشود تا کدهای اصلی در زمان اجرا رمزگشایی شوند، و در حالت دیباگ غیرقابل دسترسی باشند.
۴-استفاده از تکنیکهای Anti-Attach
بستن دیباگر با استفاده از APIهایی مانند NtSetInformationThread(ThreadHideFromDebugger) که باعث میشود دیباگر نتواند پروسس را متصل کند.
۵-انجام Hooking API و تغییر رفتار دیباگر
برخی بدافزارها APIهای دیباگر را Hook کرده و اطلاعات غلط به دیباگر میدهند، مثلاً مقدار متغیرها را تغییر میدهند تا تحلیلگران را گمراه کنند.
۶-خراب کردن حافظه دیباگر
تغییر مقادیر در حافظهای که دیباگر برای خود استفاده میکند (مثلاً نوشتن روی بخشهایی از PEB در ویندوز)، که میتواند باعث کرش کردن دیباگر شود.
۷-اجرای کد در سطح کرنل
برخی بدافزارها در سطح کرنل اجرا میشوند (مثلاً درایورهای مخرب) که این باعث میشود بسیاری از دیباگرهای سطح کاربر نتوانند آنها را بررسی کنند.
۸-دیباگ کردن خود برنامه
بدافزار ممکن است یک نسخه از خود را اجرا کند و تلاش کند تا پروسس اصلی را دیباگ کند، که باعث میشود سیستم از اتصال هر دیباگر خارجی جلوگیری کند.
چطور این تکنیکها را دور بزنیم؟
استفاده از پچ کردن کد برای غیرفعال کردن توابع ضد دیباگ.
استفاده از ماشین مجازی یا Sandbox برای اجرای بدافزار در محیط کنترلشده.
استفاده از دیباگرهای مخصوص مانند x64dbg، OllyDbg، WinDbg همراه با افزونههای ضد-دیباگ.
تغییر مقدار PEB.BeingDebugged در حافظه برای دور زدن چکهای سادهی ضد دیباگ.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اصولا دیباگینگ فرایند یافتن و رفع اشکالات (باگها) در نرمافزار یا سیستمهای کامپیوتری است. این کار معمولاً با استفاده از دیباگر (Debugger) انجام میشود که به برنامهنویس یا تحلیلگر اجازه میدهد کد را خط به خط اجرا کرده، متغیرها را بررسی کند و رفتار برنامه را تحلیل کند.
اما در تحلیل بدافزار از این متد برای شناسایی رفتار برنامه مخرب استفاده میشود. در این روش مرحله به مرحله برنامه اجرا میشود و نتیجه ملاحظه میگردد.
چطور هکرها دیباگینگ را دور میزنند؟
برنامههای مخرب (مانند بدافزارها) معمولاً مکانیزمهایی دارند که تلاش برای دیباگ کردن آنها را تشخیص داده و از آن جلوگیری میکنند.
روشهای رایج برای دور زدن دیباگینگ شامل موارد زیر است:
۱-شناسایی حضور دیباگر
بدافزارها با استفاده از APIهای سیستمی مانند IsDebuggerPresent در ویندوز یا خواندن رجیسترهای خاص (مثلاً DR0-DR7 در CPU) بررسی میکنند که آیا در حال اجرا در یک محیط دیباگ است.
اگر دیباگر شناسایی شود، برنامه ممکن است خود را متوقف کند یا رفتاری متفاوت نشان دهد.
۲-استفاده از ضد دیباگینگ مبتنی بر زمان
اجرای یک تابع Sleepبا مقدار زمانی مشخص و مقایسه زمان واقعی سپریشده، برای بررسی اینکه آیا دیباگر باعث کندی اجرا شده است.
استفاده از شمارندههای پردازنده مانند RDTSC برای تشخیص تغییر در سرعت اجرا.
۳-پنهان کردن کدهای اصلی (Code Obfuscation)
تکنیکهایی مانند Packing و Encryption استفاده میشود تا کدهای اصلی در زمان اجرا رمزگشایی شوند، و در حالت دیباگ غیرقابل دسترسی باشند.
۴-استفاده از تکنیکهای Anti-Attach
بستن دیباگر با استفاده از APIهایی مانند NtSetInformationThread(ThreadHideFromDebugger) که باعث میشود دیباگر نتواند پروسس را متصل کند.
۵-انجام Hooking API و تغییر رفتار دیباگر
برخی بدافزارها APIهای دیباگر را Hook کرده و اطلاعات غلط به دیباگر میدهند، مثلاً مقدار متغیرها را تغییر میدهند تا تحلیلگران را گمراه کنند.
۶-خراب کردن حافظه دیباگر
تغییر مقادیر در حافظهای که دیباگر برای خود استفاده میکند (مثلاً نوشتن روی بخشهایی از PEB در ویندوز)، که میتواند باعث کرش کردن دیباگر شود.
۷-اجرای کد در سطح کرنل
برخی بدافزارها در سطح کرنل اجرا میشوند (مثلاً درایورهای مخرب) که این باعث میشود بسیاری از دیباگرهای سطح کاربر نتوانند آنها را بررسی کنند.
۸-دیباگ کردن خود برنامه
بدافزار ممکن است یک نسخه از خود را اجرا کند و تلاش کند تا پروسس اصلی را دیباگ کند، که باعث میشود سیستم از اتصال هر دیباگر خارجی جلوگیری کند.
چطور این تکنیکها را دور بزنیم؟
استفاده از پچ کردن کد برای غیرفعال کردن توابع ضد دیباگ.
استفاده از ماشین مجازی یا Sandbox برای اجرای بدافزار در محیط کنترلشده.
استفاده از دیباگرهای مخصوص مانند x64dbg، OllyDbg، WinDbg همراه با افزونههای ضد-دیباگ.
تغییر مقدار PEB.BeingDebugged در حافظه برای دور زدن چکهای سادهی ضد دیباگ.
Please open Telegram to view this post
VIEW IN TELEGRAM
تمرین امشب : رویداد ۵۱۵۶ در ویندوز و کمک به شناسایی نفوذ
این شماره Event ID 5156 در لاگهای Windows Security مربوط به Filtering Platform Connection است و نشاندهندهی این است که یک اتصال شبکهای توسط فایروال ویندوز مجاز شناخته شده است.
از این لاگ میتوان برای شکار تهدیدات به روشهای زیر استفاده کرد:
1. شناسایی ارتباطات مشکوک به C2 (Command and Control)
دنبال ارتباطات غیرعادی با IPهای خارجی باشید، مخصوصاً اگر مقصد ناشناخته یا غیرمنتظره است.
بررسی کنید آیا فرآیندهای غیرعادی مانند powershell.exe، cmd.exe، wnoscript.exe، یا rundll32.exe اتصالات شبکهای برقرار میکنند.
ارتباطات رمزگذاریشده (SSL/TLS) روی پورتهای غیرمعمول را بررسی کنید.
2. کشف اجرای بدافزار
این Event ID 5156 را با Event ID 4688 (اجرای فرآیند جدید) ترکیب کنید تا ببینید آیا یک فرآیند مشکوک بلافاصله پس از اجرا اقدام به برقراری ارتباط شبکهای کرده است.
استفاده از Splunk، ELK، یا SIEM برای ایجاد کوئریهایی که ارتباطات ناشناخته را شناسایی کنند.
3. تشخیص حرکات جانبی (Lateral Movement)
اگر Event ID 5156 نشان دهد که یک سیستم داخلی به سیستم دیگری در شبکه داخلی متصل شده است، این میتواند نشانهای از پیشروی مهاجم در شبکه باشد.
بررسی کنید که آیا کاربر بهطور غیرمنتظرهای به پورتهای RDP (3389)، SMB (445)، یا WinRM (5985/5986) متصل شده است.
4. شناسایی استخراج داده (Data Exfiltration)
نظارت بر حجم دادههای منتقلشده در هر اتصال و تشخیص ارسال حجم بالایی از دادهها به مقصدهای خارجی.
اتصالات HTTP/HTTPS با User-Agent غیرمعمول که ممکن است نشاندهندهی استفاده از ابزارهای نفوذ مانند curl، wget یا Invoke-WebRequest باشد.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
این شماره Event ID 5156 در لاگهای Windows Security مربوط به Filtering Platform Connection است و نشاندهندهی این است که یک اتصال شبکهای توسط فایروال ویندوز مجاز شناخته شده است.
از این لاگ میتوان برای شکار تهدیدات به روشهای زیر استفاده کرد:
1. شناسایی ارتباطات مشکوک به C2 (Command and Control)
دنبال ارتباطات غیرعادی با IPهای خارجی باشید، مخصوصاً اگر مقصد ناشناخته یا غیرمنتظره است.
بررسی کنید آیا فرآیندهای غیرعادی مانند powershell.exe، cmd.exe، wnoscript.exe، یا rundll32.exe اتصالات شبکهای برقرار میکنند.
ارتباطات رمزگذاریشده (SSL/TLS) روی پورتهای غیرمعمول را بررسی کنید.
2. کشف اجرای بدافزار
این Event ID 5156 را با Event ID 4688 (اجرای فرآیند جدید) ترکیب کنید تا ببینید آیا یک فرآیند مشکوک بلافاصله پس از اجرا اقدام به برقراری ارتباط شبکهای کرده است.
استفاده از Splunk، ELK، یا SIEM برای ایجاد کوئریهایی که ارتباطات ناشناخته را شناسایی کنند.
3. تشخیص حرکات جانبی (Lateral Movement)
اگر Event ID 5156 نشان دهد که یک سیستم داخلی به سیستم دیگری در شبکه داخلی متصل شده است، این میتواند نشانهای از پیشروی مهاجم در شبکه باشد.
بررسی کنید که آیا کاربر بهطور غیرمنتظرهای به پورتهای RDP (3389)، SMB (445)، یا WinRM (5985/5986) متصل شده است.
4. شناسایی استخراج داده (Data Exfiltration)
نظارت بر حجم دادههای منتقلشده در هر اتصال و تشخیص ارسال حجم بالایی از دادهها به مقصدهای خارجی.
اتصالات HTTP/HTTPS با User-Agent غیرمعمول که ممکن است نشاندهندهی استفاده از ابزارهای نفوذ مانند curl، wget یا Invoke-WebRequest باشد.
Please open Telegram to view this post
VIEW IN TELEGRAM
برای آمادگی آزمون رسمی CISSP شما باید بر آخرین فناوری ها و آسیب پذیریهای آنها مسلط باشید
Common OAuth Vulnerabilities
https://blog.doyensec.com/2025/01/30/oauth-common-vulnerabilities.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Common OAuth Vulnerabilities
https://blog.doyensec.com/2025/01/30/oauth-common-vulnerabilities.html
Please open Telegram to view this post
VIEW IN TELEGRAM