یه تحلیل

بخونین بعد بخوابین خوبه
فوری نیست ولی آموزنده است

https://www.fortinet.com/blog/threat-research/coyote-banking-trojan-a-stealthy-attack-via-lnk-files

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

یکی از اون گزارش های خوب از واحد 42 پالو آلتو
https://buff.ly/3Cmfz1o

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

⭕️ شاید خطر مهم برای ما !!
یک فناوری مایکروسافت برای کمک به آنتی ویروس ؛ EDR و XDR


این پست را پیرو ابهام برخی دوستان در مورد پست قبلی ام در خصوص Bypass محصولات امنیتی میگذارم. فناوری PPL

✅فناوری Protected Process Light (PPL)یک مکانیسم امنیتی در ویندوز است که با استفاده از آن، مایکروسافت سطح محافظتی ویژه‌ای برای پردازش‌های حساس، مانند آنتی‌ویروس‌ها و EDRها، فراهم می‌کند. این مکانیسم چندین مزیت مهم برای این ابزارهای امنیتی دارد:

۱. جلوگیری از حملات تزریق کد و دستکاری پردازش

بدافزارها معمولاً سعی می‌کنند با تزریق کد به پردازش‌های امنیتی یا تغییر حافظه آن‌ها، فعالیتشان را غیرفعال کنند.
مکانیسم PPL اجازه نمی‌دهد که پردازش‌های غیرمجاز (حتی با سطح دسترسی بالا) به پردازش‌های محافظت‌شده دسترسی داشته باشند، مگر اینکه خودشان هم سطح محافظت مشابهی داشته باشند.

۲. محافظت از سرویس‌های آنتی‌ویروس و EDR

بسیاری از آنتی‌ویروس‌ها و EDRها پردازش‌های اصلی خود را در حالت PPL اجرا می‌کنند، به این معنی که حتی با دسترسی SYSTEM نیز امکان متوقف کردن یا دستکاری آن‌ها وجود ندارد.
این ویژگی مانع از غیرفعال‌سازی خودکار توسط بدافزارها می‌شود.

۳. محافظت از درایورهای کرنل

برخی راه‌حل‌های امنیتی علاوه بر پردازش‌های کاربری، از درایورهای کرنل هم استفاده می‌کنند.
این PPL می‌تواند از درایورهای مرتبط با این ابزارها نیز محافظت کند، به‌خصوص در برابر rootkitهایی که سعی در غیر فعال‌سازی درایورهای امنیتی دارند.

۴. افزایش سختی دور زدن مکانیزم‌های امنیتی

بدافزارهایی مانند KillAV معمولاً سعی می‌کنند سرویس‌های آنتی‌ویروس را متوقف کنند. اما PPL باعث می‌شود حتی اگر بدافزار دسترسی مدیریتی (Admin) هم داشته باشد، نتواند پردازش‌های آنتی‌ویروس یا EDR را متوقف کند.

۵. ارتباط امن با سایر سرویس‌های ویندوز

پردازش‌هایی که در حالت PPL اجرا می‌شوند، فقط می‌توانند با سایر پردازش‌های PPL یا پردازش‌های سیستمی خاص ارتباط داشته باشند.
این موضوع امنیت ارتباطات آنتی‌ویروس یا EDR با سرویس‌هایی مثل Windows Defender یا Credential Guard را افزایش می‌دهد.

🔴چالش‌های PPL

برخی بدافزارهای پیشرفته (مثل ابزارهای کرنل-level) سعی می‌کنند این مکانیزم را دور بزنند.
آنتی‌ویروس‌ها برای اجرای کامل در حالت PPL نیاز به امضای خاصی از مایکروسافت دارند

🔵نتیجه‌گیری

مکانیسم PPL یک سد امنیتی مهم برای جلوگیری از غیرفعال شدن یا دستکاری ابزارهای امنیتی مثل آنتی‌ویروس‌ها و EDR و XDR ها است. با این حال، سازمان‌ها باید این مکانیسم را در کنار سایر اقدامات امنیتی، مثل کنترل دسترسی‌ها و بررسی تهدیدات در سطح کرنل، به کار ببرند تا اثربخشی بالایی داشته باشد.

✴️ خطر : با توجه به متن فوق ؛ درحال حاضر محصولات بومی در این زمینه ضعف دارند و می‌توانند Bypass شوند، چون نمی‌توانند مورد تایید مایکروسافت قرار گیرند پس در PPL نیستند لذا بازی شروع نشده ، یک بر صفر در مقابله با نفوذ و بدافزار عقب هستیم.
راه حلی نیز بعنوان راهکار جایگزین بصورت عملی توسط محصولات بومی ارائه نشده است .

💥این متن مخالفت با تولید بومی نیست و فقط دغدغه ای در حوزه امنیت سازمانها و امنیت ملی را مطرح می‌کند انشالله که حل شود.

لینک توضیح فناوری

https://learn.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اسکنر داده های حساس در ریپو ها ( نمایشگر و اسکنر )

https://github.com/GONZOsint/trufflehog-explorer

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

پاورشل برای تست نفوذ

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

دیباگینگ (Debugging) چیست؟

اصولا دیباگینگ فرایند یافتن و رفع اشکالات (باگ‌ها) در نرم‌افزار یا سیستم‌های کامپیوتری است. این کار معمولاً با استفاده از دیباگر (Debugger) انجام می‌شود که به برنامه‌نویس یا تحلیل‌گر اجازه می‌دهد کد را خط به خط اجرا کرده، متغیرها را بررسی کند و رفتار برنامه را تحلیل کند.

اما در تحلیل بدافزار از این متد برای شناسایی رفتار برنامه مخرب استفاده می‌شود. در این روش مرحله به مرحله برنامه اجرا می‌شود و نتیجه ملاحظه میگردد.

چطور هکرها دیباگینگ را دور می‌زنند؟
برنامه‌های مخرب (مانند بدافزارها) معمولاً مکانیزم‌هایی دارند که تلاش برای دیباگ کردن آنها را تشخیص داده و از آن جلوگیری می‌کنند.

روش‌های رایج برای دور زدن دیباگینگ شامل موارد زیر است:

۱-شناسایی حضور دیباگر
بدافزارها با استفاده از APIهای سیستمی مانند IsDebuggerPresent در ویندوز یا خواندن رجیسترهای خاص (مثلاً DR0-DR7 در CPU) بررسی می‌کنند که آیا در حال اجرا در یک محیط دیباگ است.
اگر دیباگر شناسایی شود، برنامه ممکن است خود را متوقف کند یا رفتاری متفاوت نشان دهد.

۲-استفاده از ضد دیباگینگ مبتنی بر زمان
اجرای یک تابع Sleepبا مقدار زمانی مشخص و مقایسه زمان واقعی سپری‌شده، برای بررسی اینکه آیا دیباگر باعث کندی اجرا شده است.
استفاده از شمارنده‌های پردازنده مانند RDTSC برای تشخیص تغییر در سرعت اجرا.
۳-پنهان کردن کدهای اصلی (Code Obfuscation)
تکنیک‌هایی مانند Packing و Encryption استفاده می‌شود تا کدهای اصلی در زمان اجرا رمزگشایی شوند، و در حالت دیباگ غیرقابل دسترسی باشند.

۴-استفاده از تکنیک‌های Anti-Attach
بستن دیباگر با استفاده از APIهایی مانند NtSetInformationThread(ThreadHideFromDebugger) که باعث می‌شود دیباگر نتواند پروسس را متصل کند.

۵-انجام Hooking API و تغییر رفتار دیباگر
برخی بدافزارها APIهای دیباگر را Hook کرده و اطلاعات غلط به دیباگر می‌دهند، مثلاً مقدار متغیرها را تغییر می‌دهند تا تحلیل‌گران را گمراه کنند.

۶-خراب کردن حافظه دیباگر
تغییر مقادیر در حافظه‌ای که دیباگر برای خود استفاده می‌کند (مثلاً نوشتن روی بخش‌هایی از PEB در ویندوز)، که می‌تواند باعث کرش کردن دیباگر شود.

۷-اجرای کد در سطح کرنل
برخی بدافزارها در سطح کرنل اجرا می‌شوند (مثلاً درایورهای مخرب) که این باعث می‌شود بسیاری از دیباگرهای سطح کاربر نتوانند آنها را بررسی کنند.

۸-دیباگ کردن خود برنامه
بدافزار ممکن است یک نسخه از خود را اجرا کند و تلاش کند تا پروسس اصلی را دیباگ کند، که باعث می‌شود سیستم از اتصال هر دیباگر خارجی جلوگیری کند.

چطور این تکنیک‌ها را دور بزنیم؟
استفاده از پچ کردن کد برای غیرفعال کردن توابع ضد دیباگ.
استفاده از ماشین مجازی یا Sandbox برای اجرای بدافزار در محیط کنترل‌شده.
استفاده از دیباگرهای مخصوص مانند x64dbg، OllyDbg، WinDbg همراه با افزونه‌های ضد-دیباگ.
تغییر مقدار PEB.BeingDebugged در حافظه برای دور زدن چک‌های ساده‌ی ضد دیباگ.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

تمرین امشب : رویداد ۵۱۵۶ در ویندوز و کمک به شناسایی نفوذ


این شماره Event ID 5156 در لاگ‌های Windows Security مربوط به Filtering Platform Connection است و نشان‌دهنده‌ی این است که یک اتصال شبکه‌ای توسط فایروال ویندوز مجاز شناخته شده است.
از این لاگ می‌توان برای شکار تهدیدات به روش‌های زیر استفاده کرد:
1. شناسایی ارتباطات مشکوک به C2 (Command and Control)

دنبال ارتباطات غیرعادی با IPهای خارجی باشید، مخصوصاً اگر مقصد ناشناخته یا غیرمنتظره است.
بررسی کنید آیا فرآیندهای غیرعادی مانند powershell.exe، cmd.exe، wnoscript.exe، یا rundll32.exe اتصالات شبکه‌ای برقرار می‌کنند.
ارتباطات رمزگذاری‌شده (SSL/TLS) روی پورت‌های غیرمعمول را بررسی کنید.

2. کشف اجرای بدافزار

این Event ID 5156 را با Event ID 4688 (اجرای فرآیند جدید) ترکیب کنید تا ببینید آیا یک فرآیند مشکوک بلافاصله پس از اجرا اقدام به برقراری ارتباط شبکه‌ای کرده است.
استفاده از Splunk، ELK، یا SIEM برای ایجاد کوئری‌هایی که ارتباطات ناشناخته را شناسایی کنند.

3. تشخیص حرکات جانبی (Lateral Movement)

اگر Event ID 5156 نشان دهد که یک سیستم داخلی به سیستم دیگری در شبکه داخلی متصل شده است، این می‌تواند نشانه‌ای از پیشروی مهاجم در شبکه باشد.
بررسی کنید که آیا کاربر به‌طور غیرمنتظره‌ای به پورت‌های RDP (3389)، SMB (445)، یا WinRM (5985/5986) متصل شده است.

4. شناسایی استخراج داده (Data Exfiltration)

نظارت بر حجم داده‌های منتقل‌شده در هر اتصال و تشخیص ارسال حجم بالایی از داده‌ها به مقصدهای خارجی.
اتصالات HTTP/HTTPS با User-Agent غیرمعمول که ممکن است نشان‌دهنده‌ی استفاده از ابزارهای نفوذ مانند curl، wget یا Invoke-WebRequest باشد.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

برای آمادگی آزمون رسمی CISSP شما باید بر آخرین فناوری ها و آسیب پذیریهای آنها مسلط باشید

Common OAuth Vulnerabilities

https://blog.doyensec.com/2025/01/30/oauth-common-vulnerabilities.html

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اکی ، اصلا سیستم عامل مک ، خوب ... عالی !!

تو چرا بررسی نمیکنی در دنیا علیه مک چه خبره و اجازه میدی هرکسی مک بیاره وقتی زیرساختش رو نداری؟


https://securityonline.info/poc-exploit-released-for-macos-kernel-vulnerability-cve-2025-24118-cvss-9-8/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

یه گزارش خوب بخونیم تا سواد تحلیلمون نم نکشه

https://thedfirreport.com/2025/01/27/cobalt-strike-and-a-pair-of-socks-lead-to-lockbit-ransomware/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

رولهای جدید سیگما برای SOC

https://github.com/SigmaHQ/sigma/releases/tag/r2025-02-03

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

دیپ سیک رو لوکال بالا بیار
بدون اینترنت

این مدل به طور خاص برای استدلال منطقی، حل مسائل ریاضی، برنامه‌نویسی و پاسخ‌های تحلیلی دقیق‌تر توسعه داده شده است.
با استفاده از یادگیری تقویتی و روش‌های پیشرفته آموزش دیده تا در مسائل استنتاجی عملکرد بهتری داشته باشد.

https://readmedium.com/how-to-install-and-use-deepseek-r-1-in-your-local-pc-b77bc20f7566

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

مپ وریس به جدول مایتره


دوره مدرک CISSP

https://center-for-threat-informed-defense.github.io/mappings-explorer/external/veris/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اگر میدونید API های ویندوز چه هستند بیاین رفتار یک گروه APT رو در استفاده از اونها ببینیم و همچنین نحوه کشف رو بررسی کنیم .
🟣خواهیم دید چطور از ویندوز علیه ما استفاده میشود.


گروه APT29 که با نام Cozy Bear نیز شناخته می‌شود، یک گروه APT است که عمدتاً با دولت روسیه مرتبط است. این گروه به‌طور ویژه در جاسوسی سایبری علیه نهادهای دولتی، دیپلماتیک، پژوهشی، انرژی و بهداشت فعالیت دارد. آن‌ها از تکنیک‌های پیچیده برای مخفی‌سازی، سرقت اطلاعات و ماندگاری در سیستم‌ها استفاده می‌کنند.

در ادامه، لیستی از توابع API ویندوز که توسط APT29 استفاده می‌شود، به همراه روش‌های شناسایی این گروه آورده شده است.
۱. دسترسی اولیه و اجرای کد مخرب

⭕️ روش حمله: ارسال ایمیل‌های فیشینگ حاوی پیوست یا لینک مخرب.
✴️ توابع API استفاده‌شده:

CreateProcessA/W :
اجرای فرآیند جدید (مثلاً اجرای بدافزار)
ShellExecuteA/W :
اجرای فایل‌های اجرایی و اسکریپت‌ها

۲. ماندگاری در سیستم (Persistence)

⭕️ روش حمله: ایجاد وظایف زمان‌بندی‌شده، دستکاری رجیستری و بارگذاری DLL مخرب.
✴️ توابع API:

CreateService :
ایجاد سرویس جدید در ویندوز
RegSetValueEx :
اضافه کردن مقدار به رجیستری برای اجرای خودکار بدافزار
LoadLibrary :
بارگذاری DLL‌های مخرب

۳. سرقت اطلاعات دسترسی ها (Credential Access)

⭕️ روش حمله: دزدیدن رمزهای عبور از حافظه، استفاده از Mimikatz برای استخراج هش‌ها.
✴️ توابع API:

LsaRetrievePrivateData :
استخراج اطلاعات امنیتی
LogonUser :
تأیید اعتبار کاربر برای ورود بدون رمز عبور
NetUserEnum :
لیست کاربران موجود در سیستم

۴. دور زدن مکانیزم‌های امنیتی (Evasion Techniques)

⭕️ روش حمله: رمزگذاری، تزریق کد، و تشخیص دیباگر.
✴️ توابع API:

VirtualAlloc و WriteProcessMemory :
تزریق کد به پردازش‌های دیگر
IsDebuggerPresent :
شناسایی ابزارهای تحلیل بدافزار
NtQueryInformationProcess :
بررسی وجود دیباگر روی پردازش

۵. حرکت جانبی در شبکه (Lateral Movement)

⭕️ روش حمله: استفاده از RDP، WMI و PowerShell برای گسترش بدافزار در شبکه.
✴️توابع API:

WTSOpenServer و WTSEnumerateSessions :
RDP مشاهده‌ی نشست‌های
CoCreateInstance :
WMI اجرای دستورات مخرب با استفاده از

۶. استخراج اطلاعات (Exfiltration)

⭕️ روش حمله: ارسال داده‌های سرقت‌شده از طریق HTTP/S یا تونل‌زنی DNS.
✴️ توابع API:

WinHttpOpen و WinHttpSendRequest :
HTTP ارسال داده از طریق
InternetConnect :
ارتباط اینترنتی برای بارگذاری داده‌های سرقتی

✅روش‌های شناسایی APT29


۱. استفاده از EDR و SIEM

نظارت بر APIهای مشکوک مانند RegSetValueEx و CreateService
تحلیل رفتار کاربران و پردازش‌ها برای یافتن الگوهای غیرعادی

۲. پایش ترافیک شبکه

بررسی درخواست‌های DNS به دامنه‌های ناشناخته (تونل‌زنی DNS)
مانیتورینگ ارتباطات غیرعادی HTTP/S

۳. تحلیل وقایع لاگ ویندوز و Sysmon

رویداد ۴۶۲۴ و ۴۶۲۵ برای ورودهای مشکوک به سیستم
رویداد ۷ در Sysmon برای بارگذاری DLLهای ناشناخته
رویداد ۱۰ در Sysmon برای تزریق کد به پردازش‌ها

۴. استفاده از YARA برای تشخیص بدافزارهای APT29


۵. ادغام اطلاعات تهدید (Threat Intelligence)

استفاده از IOCها شامل IPها، هش فایل‌ها و دامنه‌های مرتبط با APT29
به‌روزرسانی مرتب قوانین شناسایی بر اساس داده‌های جدید

۶. فریب و دام‌گذاری (Deception Techniques)

ایجاد Honeypot برای شناسایی حرکت جانبی
استفاده از Honey Credentials برای ردیابی سرقت حقوق دسترسی

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

یک نکته ی مهم در هنگام آزمایش بدافزار
بدافزار شما را میپاید !!


🟣بسیاری از بدافزارها، قبل از اجرای کامل، بررسی می‌کنند که آیا در یک محیط مجازی (VM) یا سندباکس اجرا می‌شوند یا خیر. این تکنیک به آن‌ها کمک می‌کند تا از تحلیل و شناسایی توسط محققان امنیتی و سیستم‌های امنیتی جلوگیری کنند.

در ادامه چند نمونه از بدافزارهایی که چنین رفتاری دارند را معرفی می‌کنم:

1. Ursnif (Gozi)

این تروجان بانکی از APIهای ویندوز برای بررسی حضور پردازش‌های مربوط به محیط‌های مجازی مانند VMware، VirtualBox و QEMU استفاده می‌کند.
همچنین وجود ابزارهای تحلیل مانند Wireshark و Procmon را بررسی می‌کند.

2. TrickBot

قبل از اجرای عملیات، بررسی می‌کند که آیا ماشین در محیط VMware، VirtualBox یا سایر هایپروویزرها اجرا می‌شود.
همچنین میزان حافظه RAM و تعداد پردازنده‌ها را چک می‌کند؛ زیرا معمولاً ماشین‌های مجازی دارای مقدار کمی RAM و CPU هستند.

3. Zeus

این بدافزار از توابعی مانند CPUID برای تشخیص محیط مجازی استفاده می‌کند.
وجود فایل‌ها و پردازش‌های مرتبط با تحلیل‌گرهای امنیتی را نیز جستجو می‌کند.

4. Qbot (Qakbot)

تعداد هسته‌های CPU، حجم RAM و وجود ابزارهایی مانند Sandboxie را بررسی می‌کند.
بررسی می‌کند که آیا کاربر اخیراً فایل‌های Word و Excel را باز کرده است (در سندباکس معمولاً چنین داده‌هایی وجود ندارند).

5. Agent Tesla

یکی از شناخته‌شده‌ترین کی‌لاگرها است که قبل از اجرا، وجود پردازش‌های تحلیل مانند Process Explorer، Wireshark و Regmon را بررسی می‌کند.
اگر محیط مشکوک باشد، به جای اجرای کد مخرب، خاموش می‌شود.

6. Hancitor

تعداد هسته‌های پردازنده و میزان حافظه رم را بررسی می‌کند.
اگر مقدار RAM کمتر از یک حد مشخص باشد (مثلاً ۴ گیگابایت)، احتمال می‌دهد که در سندباکس اجرا شده و اجرا را متوقف می‌کند.

7. Emotet

یکی از بدافزارهای ماژولار که قبل از اجرا، شناسه سخت‌افزار، آدرس MAC و تنظیمات BIOS را بررسی می‌کند.
اگر مشخصات غیرعادی باشند (مانند MAC آدرس‌های مربوط به VMware)، اجرا نمی‌شود.

⚠️روش‌های کلی که این بدافزارها استفاده می‌کنند

⬅️ بررسی وجود پردازش‌های مرتبط با تحلیل و سندباکس
vmsrvc.exe (VMware)
sandboxie.exe
wireshark.exe
processhacker.exe

⬅️ بررسی نام ماشین و کاربر
DESKTOP-TEST
VIRUSLAB
SANDBOX

⬅️ بررسی تعداد CPU و RAM
اگر CPU کمتر از ۲ هسته و RAM کمتر از ۴ گیگابایت باشد، ممکن است در VM باشد.

⬅️ بررسی زمان‌بندی اجرای دستورات
در VM و سندباکس، اجرای دستورات ممکن است کندتر باشد.

⬅️ بررسی فایل‌های خاص در دیسک
بررسی وجود فایل‌های مرتبط با VMware مانند C:\windows\system32\drivers\vmhgfs.sys

✅ کلیت راهکارهای غلبه بر این مساله عبارتند از :

✔️ پچ کردن APIهای شناسایی VM و دیباگر با x64dbg
✔️ تغییر تنظیمات سخت‌افزاری VM برای شبیه‌سازی یک سیستم واقعی
✔️ مخفی کردن پردازش‌های تحلیل و تغییر نام ابزارها
✔️ دور زدن تأخیرهای زمانی و تغییر اطلاعات حافظه
✔️ تحلیل استاتیک به جای اجرای بدافزار با استفاده از IDA و Ghidra


انشالله در پستی دیگر دقیق تر بحث میکنم

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

هدیه امشب

تست کنید

https://blog.netmanageit.com/opencti-turnkey-virtualbox-ova/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

✳️ یک شبه انقلاب در سیستم های فریب
🟣هانی پات های مجهز به هوش مصنوعی


راهکار DECEIVE، یک هانی‌پات مبتنی بر هوش مصنوعی میباشد که برای تقویت دفاع سایبری طراحی شده است. این فناوری از مدل‌های زبانی پیشرفته استفاده می‌کند تا با مهاجمان تعاملات طبیعی‌تر و پیچیده‌تری داشته باشد و آنها را به اشتباه بیندازد.

هدف اصلی DECEIVE :

محدودیت‌های هانی‌پات‌های سنتی (مانند عدم تعامل واقعی یا قابل پیش‌بینی بودن) را کاهش دهد.
از هوش مصنوعی برای تطبیق‌پذیری بیشتر و ایجاد فریب‌های قانع‌کننده‌تر استفاده کند.
اطلاعات دقیقی از روش‌ها و تاکتیک‌های مهاجمان جمع‌آوری کند تا تیم‌های امنیتی بتوانند دفاع خود را بهبود دهند.

این رویکرد می‌تواند به شکار تهدیدات پیشرفته (Threat Hunting) و مقابله با حملات مدرن کمک کند.


مراحل نصب :

✅Clone the repository from GitHub.
✅Follow the setup instructions in the README and the documentation in the SSH/config.ini.TEMPLATE file to create SSH keys, configure users and passwords, or change the backend LLM (any OpenAI, Google, or AWS Bedrock model will work).
✅Set any environment variables your LLM backend requires (e.g., OPENAI_API_KEY for the default GPT-4o backend).
✅Modify the SSH/prompt.txt file to tell it what kind of system you'd like to emulate.
✅Run it in a lab environment to see how it simulates interactions and generates detailed session summaries.


https://www.splunk.com/en_us/blog/security/deceive-ai-honeypot-concept.html

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

یک گزارش خواندنی جدید از اسپلانک


وی پی ان لازم

https://www.splunk.com/en_us/blog/security/meduza-stealer-analysis.html

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Offensive MSSQL toolkit written in Python, based off SQLRecon

https://github.com/Tw1sm/PySQLRecon

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🟪 آشنایی با مشاغل : مهندسی کشف Detection Engineering


💲درآمد: از ۱۶۰ هزار تا ۲۴۰ هزار درسال در کشورهای مختلف ( بسته به سابقه و سطح)

یک مهندس کشف (Detection Engineer) مسئول طراحی، پیاده‌سازی، و بهبود سیستم‌های کشف تهدیدات سایبری است. او نقش کلیدی در امنیت سازمان دارد و باید با ترکیب دانش فنی و تحلیل داده، تهدیدات را شناسایی و کاهش دهد.

❇️وظایف اصلی مهندس کشف:

🔅تحلیل داده‌های امنیتی: بررسی داده‌های لاگ و ترافیک شبکه برای شناسایی تهدیدات و الگوهای مشکوک.
🔅ایجاد قوانین و امضاهای کشف: توسعه و بهینه‌سازی قواعد SIEM، YARA، Sigma، و Suricata برای شناسایی حملات.
🔅تحلیل تهدیدات: مطالعه روش‌های حمله جدید و تکنیک‌های مهاجمان (TTPs) و ایجاد مکانیسم‌های دفاعی مناسب.
🔅اتوماسیون و اسکریپت‌نویسی: استفاده از Python، PowerShell، یا Bash برای بهینه‌سازی فرآیندهای کشف و پاسخ.
🔅 یکپارچه‌سازی ابزارهای امنیتی: هماهنگ‌سازی SIEM، EDR، IDS/IPS و سایر ابزارهای امنیتی برای بهبود کشف.
🔅همکاری با تیم‌های امنیتی: تعامل با تیم‌های SOC، Incident Response و Threat Intelligence برای بهبود پاسخگویی به تهدیدات.
🔅 بهبود سیستم‌های کشف: بررسی میزان دقت و کارایی قوانین کشف و کاهش مثبت و منفی کاذب (False Positives & False Negatives).
🔅مستندسازی و گزارش‌دهی: ارائه گزارش از حملات کشف‌شده و اثربخشی مکانیسم‌های تشخیص به مدیریت ارشد.

✔️حوزه اختیارات مهندس کشف:

✅ طراحی و تغییر قوانین و امضاهای کشف در سیستم‌های SIEM و IDS/IPS.
✅ تحلیل رفتارهای مشکوک و تصمیم‌گیری درباره تهدیدات احتمالی.
✅ پیشنهاد راهکارهای بهبود امنیت برای کاهش سطح تهدیدات.
✅ دسترسی به داده‌های امنیتی و گزارش‌های مربوط به لاگ‌های سیستم.
✅ تعامل مستقیم با تیم‌های امنیتی برای افزایش هماهنگی و پاسخگویی به تهدیدات.

مهندس کشف نقش بسیار مهمی در جلوگیری از نفوذهای سایبری دارد و نیازمند مهارت‌های فنی، تحلیل داده و درک عمیق از حملات سایبری است.


🔰مدارک کمک کننده برای اخذ شغل با توجه به اطلاعیه های استخدامی جهانی:

✔️Certified Information Systems Security Professional (CISSP)
✔️Certified Ethical Hacker (CEH)
✔️GIAC Certified Intrusion Analyst (GCIA)
✔️GIAC Certified Incident Handler (GCIH)
✔️CompTIA Security+
✔️Certified Information Security Manager (CISM)

https://socprime.com/blog/what-is-detection-engineering/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔆نکته ی ریز: احتمالا مبدا بدافزار چه کشوری بوده است

می‌توان از بخش منابع (Resource Section - .rsrc) در فایل PE اطلاعاتی درباره زبان برنامه‌نویسی یا ویروس‌نویسی بدست آورد:
1. بررسی زبان رابط کاربری (UI) در منابع PE

در بخش منابع، اطلاعات مربوط به زبان محلی (Locale ID - LCID) ممکن است ذخیره شود. برخی از کامپایلرها و محیط‌های برنامه‌نویسی این مقدار را به طور خودکار درج می‌کنند. اگر یک بدافزار دارای منابع خاصی مانند دیالوگ‌ها، منوها یا رشته‌ها باشد، ممکن است از طریق LCID زبان مورد استفاده در سیستم توسعه را حدس زد.

🔍 چطور بررسی کنیم؟

ابزارهایی مانند Resource Hacker, PEStudio, PE-Bear می‌توانند مقدار LCID را استخراج کنند.
مقدار LCID در ورودی‌های LANGUAGE در .rsrc قابل مشاهده است.

📌 مثال:

LCID: 0x0409 : زبان انگلیسی (آمریکا)
احتمالاً برنامه در یک سیستم انگلیسی‌زبان کامپایل شده است.
LCID: 0x0419 : زبان روسی
احتمالاً بدافزار توسط یک توسعه‌دهنده روسی ساخته شده است.

2. نوع و ساختار منابع در تعیین کامپایلر یا زبان برنامه‌نویسی

برخی از زبان‌های برنامه‌نویسی و کامپایلرها الگوی خاصی در ذخیره منابع دارند. مثلاً:

زبانهای Delphi و ++Borland Cمعمولاً در .rsrc دارای فرم‌ها و ویجت‌های گرافیکی خاصی هستند.
در ++Microsoft Visual C معمولاً اطلاعات مربوط به نسخه DLLها و MANIFESTها را در .rsrc ذخیره می‌کند.
در AutoIT و برخی فریمورک‌ها فایل‌های .rsrc خاصی دارند که می‌توانند نشانگر زبان برنامه‌نویسی باشند.

🔍 چطور بررسی کنیم؟

با PEStudio یا CFF Explorer، مقادیر RT_VERSION و RT_MANIFEST را در .rsrc ببینید.
برخی از نسخه‌های کامپایلرها، امضاهای خاصی در این بخش می‌گذارند.

3. مخفی‌سازی کد و Shellcode در .rsrc

بعضی از بدافزارها Shellcode یا کدهای اجرایی مخفی را در بخش .rsrc ذخیره می‌کنند. این می‌تواند اطلاعاتی درباره زبان برنامه‌نویسی و تکنیک‌های ویروس‌نویسی بدهد:

اگر .rsrc شامل کد فشرده‌شده یا XOR شده باشد، احتمال دارد که بدافزار از تکنیک‌های Packers یا Loaders استفاده کند.
برخی کامپایلرهای خاص مانند Go و Rust در .rsrc داده‌های خاصی درج می‌کنند که می‌توانند نشان‌دهنده زبان باشند.

🔍 چطور بررسی کنیم؟

با exeinfoPE یا Detect It Easy (DIE) می‌توان مشخص کرد که فایل با چه زبانی کامپایل شده است.
اگر .rsrc حاوی داده‌های باینری غیرمعمول باشد، می‌توان با ابزارهای Hex Editor یا PE-sieve آن را استخراج و بررسی کرد.

⏮️نتیجه‌گیری

مقدار LCID در .rsrc می‌تواند نشانه‌ای از زبان سیستم توسعه باشد.
ساختار منابع PE می‌تواند سرنخ‌هایی درباره کامپایلر و زبان برنامه‌نویسی بدهد.
مخفی‌سازی کد در .rsrc می‌تواند نشان‌دهنده تکنیک‌های ویروس‌نویسی باشد.


پی نوشت: برای اینکه مقادیر فوق را ببینید یک فایل اجرایی را در Pestudio باز کنید . هدر ها و سکشن ها آنجا هستند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer