دیپ سیک رو لوکال بالا بیار
بدون اینترنت

این مدل به طور خاص برای استدلال منطقی، حل مسائل ریاضی، برنامه‌نویسی و پاسخ‌های تحلیلی دقیق‌تر توسعه داده شده است.
با استفاده از یادگیری تقویتی و روش‌های پیشرفته آموزش دیده تا در مسائل استنتاجی عملکرد بهتری داشته باشد.

https://readmedium.com/how-to-install-and-use-deepseek-r-1-in-your-local-pc-b77bc20f7566

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

مپ وریس به جدول مایتره


دوره مدرک CISSP

https://center-for-threat-informed-defense.github.io/mappings-explorer/external/veris/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اگر میدونید API های ویندوز چه هستند بیاین رفتار یک گروه APT رو در استفاده از اونها ببینیم و همچنین نحوه کشف رو بررسی کنیم .
🟣خواهیم دید چطور از ویندوز علیه ما استفاده میشود.


گروه APT29 که با نام Cozy Bear نیز شناخته می‌شود، یک گروه APT است که عمدتاً با دولت روسیه مرتبط است. این گروه به‌طور ویژه در جاسوسی سایبری علیه نهادهای دولتی، دیپلماتیک، پژوهشی، انرژی و بهداشت فعالیت دارد. آن‌ها از تکنیک‌های پیچیده برای مخفی‌سازی، سرقت اطلاعات و ماندگاری در سیستم‌ها استفاده می‌کنند.

در ادامه، لیستی از توابع API ویندوز که توسط APT29 استفاده می‌شود، به همراه روش‌های شناسایی این گروه آورده شده است.
۱. دسترسی اولیه و اجرای کد مخرب

⭕️ روش حمله: ارسال ایمیل‌های فیشینگ حاوی پیوست یا لینک مخرب.
✴️ توابع API استفاده‌شده:

CreateProcessA/W :
اجرای فرآیند جدید (مثلاً اجرای بدافزار)
ShellExecuteA/W :
اجرای فایل‌های اجرایی و اسکریپت‌ها

۲. ماندگاری در سیستم (Persistence)

⭕️ روش حمله: ایجاد وظایف زمان‌بندی‌شده، دستکاری رجیستری و بارگذاری DLL مخرب.
✴️ توابع API:

CreateService :
ایجاد سرویس جدید در ویندوز
RegSetValueEx :
اضافه کردن مقدار به رجیستری برای اجرای خودکار بدافزار
LoadLibrary :
بارگذاری DLL‌های مخرب

۳. سرقت اطلاعات دسترسی ها (Credential Access)

⭕️ روش حمله: دزدیدن رمزهای عبور از حافظه، استفاده از Mimikatz برای استخراج هش‌ها.
✴️ توابع API:

LsaRetrievePrivateData :
استخراج اطلاعات امنیتی
LogonUser :
تأیید اعتبار کاربر برای ورود بدون رمز عبور
NetUserEnum :
لیست کاربران موجود در سیستم

۴. دور زدن مکانیزم‌های امنیتی (Evasion Techniques)

⭕️ روش حمله: رمزگذاری، تزریق کد، و تشخیص دیباگر.
✴️ توابع API:

VirtualAlloc و WriteProcessMemory :
تزریق کد به پردازش‌های دیگر
IsDebuggerPresent :
شناسایی ابزارهای تحلیل بدافزار
NtQueryInformationProcess :
بررسی وجود دیباگر روی پردازش

۵. حرکت جانبی در شبکه (Lateral Movement)

⭕️ روش حمله: استفاده از RDP، WMI و PowerShell برای گسترش بدافزار در شبکه.
✴️توابع API:

WTSOpenServer و WTSEnumerateSessions :
RDP مشاهده‌ی نشست‌های
CoCreateInstance :
WMI اجرای دستورات مخرب با استفاده از

۶. استخراج اطلاعات (Exfiltration)

⭕️ روش حمله: ارسال داده‌های سرقت‌شده از طریق HTTP/S یا تونل‌زنی DNS.
✴️ توابع API:

WinHttpOpen و WinHttpSendRequest :
HTTP ارسال داده از طریق
InternetConnect :
ارتباط اینترنتی برای بارگذاری داده‌های سرقتی

✅روش‌های شناسایی APT29


۱. استفاده از EDR و SIEM

نظارت بر APIهای مشکوک مانند RegSetValueEx و CreateService
تحلیل رفتار کاربران و پردازش‌ها برای یافتن الگوهای غیرعادی

۲. پایش ترافیک شبکه

بررسی درخواست‌های DNS به دامنه‌های ناشناخته (تونل‌زنی DNS)
مانیتورینگ ارتباطات غیرعادی HTTP/S

۳. تحلیل وقایع لاگ ویندوز و Sysmon

رویداد ۴۶۲۴ و ۴۶۲۵ برای ورودهای مشکوک به سیستم
رویداد ۷ در Sysmon برای بارگذاری DLLهای ناشناخته
رویداد ۱۰ در Sysmon برای تزریق کد به پردازش‌ها

۴. استفاده از YARA برای تشخیص بدافزارهای APT29


۵. ادغام اطلاعات تهدید (Threat Intelligence)

استفاده از IOCها شامل IPها، هش فایل‌ها و دامنه‌های مرتبط با APT29
به‌روزرسانی مرتب قوانین شناسایی بر اساس داده‌های جدید

۶. فریب و دام‌گذاری (Deception Techniques)

ایجاد Honeypot برای شناسایی حرکت جانبی
استفاده از Honey Credentials برای ردیابی سرقت حقوق دسترسی

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

یک نکته ی مهم در هنگام آزمایش بدافزار
بدافزار شما را میپاید !!


🟣بسیاری از بدافزارها، قبل از اجرای کامل، بررسی می‌کنند که آیا در یک محیط مجازی (VM) یا سندباکس اجرا می‌شوند یا خیر. این تکنیک به آن‌ها کمک می‌کند تا از تحلیل و شناسایی توسط محققان امنیتی و سیستم‌های امنیتی جلوگیری کنند.

در ادامه چند نمونه از بدافزارهایی که چنین رفتاری دارند را معرفی می‌کنم:

1. Ursnif (Gozi)

این تروجان بانکی از APIهای ویندوز برای بررسی حضور پردازش‌های مربوط به محیط‌های مجازی مانند VMware، VirtualBox و QEMU استفاده می‌کند.
همچنین وجود ابزارهای تحلیل مانند Wireshark و Procmon را بررسی می‌کند.

2. TrickBot

قبل از اجرای عملیات، بررسی می‌کند که آیا ماشین در محیط VMware، VirtualBox یا سایر هایپروویزرها اجرا می‌شود.
همچنین میزان حافظه RAM و تعداد پردازنده‌ها را چک می‌کند؛ زیرا معمولاً ماشین‌های مجازی دارای مقدار کمی RAM و CPU هستند.

3. Zeus

این بدافزار از توابعی مانند CPUID برای تشخیص محیط مجازی استفاده می‌کند.
وجود فایل‌ها و پردازش‌های مرتبط با تحلیل‌گرهای امنیتی را نیز جستجو می‌کند.

4. Qbot (Qakbot)

تعداد هسته‌های CPU، حجم RAM و وجود ابزارهایی مانند Sandboxie را بررسی می‌کند.
بررسی می‌کند که آیا کاربر اخیراً فایل‌های Word و Excel را باز کرده است (در سندباکس معمولاً چنین داده‌هایی وجود ندارند).

5. Agent Tesla

یکی از شناخته‌شده‌ترین کی‌لاگرها است که قبل از اجرا، وجود پردازش‌های تحلیل مانند Process Explorer، Wireshark و Regmon را بررسی می‌کند.
اگر محیط مشکوک باشد، به جای اجرای کد مخرب، خاموش می‌شود.

6. Hancitor

تعداد هسته‌های پردازنده و میزان حافظه رم را بررسی می‌کند.
اگر مقدار RAM کمتر از یک حد مشخص باشد (مثلاً ۴ گیگابایت)، احتمال می‌دهد که در سندباکس اجرا شده و اجرا را متوقف می‌کند.

7. Emotet

یکی از بدافزارهای ماژولار که قبل از اجرا، شناسه سخت‌افزار، آدرس MAC و تنظیمات BIOS را بررسی می‌کند.
اگر مشخصات غیرعادی باشند (مانند MAC آدرس‌های مربوط به VMware)، اجرا نمی‌شود.

⚠️روش‌های کلی که این بدافزارها استفاده می‌کنند

⬅️ بررسی وجود پردازش‌های مرتبط با تحلیل و سندباکس
vmsrvc.exe (VMware)
sandboxie.exe
wireshark.exe
processhacker.exe

⬅️ بررسی نام ماشین و کاربر
DESKTOP-TEST
VIRUSLAB
SANDBOX

⬅️ بررسی تعداد CPU و RAM
اگر CPU کمتر از ۲ هسته و RAM کمتر از ۴ گیگابایت باشد، ممکن است در VM باشد.

⬅️ بررسی زمان‌بندی اجرای دستورات
در VM و سندباکس، اجرای دستورات ممکن است کندتر باشد.

⬅️ بررسی فایل‌های خاص در دیسک
بررسی وجود فایل‌های مرتبط با VMware مانند C:\windows\system32\drivers\vmhgfs.sys

✅ کلیت راهکارهای غلبه بر این مساله عبارتند از :

✔️ پچ کردن APIهای شناسایی VM و دیباگر با x64dbg
✔️ تغییر تنظیمات سخت‌افزاری VM برای شبیه‌سازی یک سیستم واقعی
✔️ مخفی کردن پردازش‌های تحلیل و تغییر نام ابزارها
✔️ دور زدن تأخیرهای زمانی و تغییر اطلاعات حافظه
✔️ تحلیل استاتیک به جای اجرای بدافزار با استفاده از IDA و Ghidra


انشالله در پستی دیگر دقیق تر بحث میکنم

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

هدیه امشب

تست کنید

https://blog.netmanageit.com/opencti-turnkey-virtualbox-ova/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

✳️ یک شبه انقلاب در سیستم های فریب
🟣هانی پات های مجهز به هوش مصنوعی


راهکار DECEIVE، یک هانی‌پات مبتنی بر هوش مصنوعی میباشد که برای تقویت دفاع سایبری طراحی شده است. این فناوری از مدل‌های زبانی پیشرفته استفاده می‌کند تا با مهاجمان تعاملات طبیعی‌تر و پیچیده‌تری داشته باشد و آنها را به اشتباه بیندازد.

هدف اصلی DECEIVE :

محدودیت‌های هانی‌پات‌های سنتی (مانند عدم تعامل واقعی یا قابل پیش‌بینی بودن) را کاهش دهد.
از هوش مصنوعی برای تطبیق‌پذیری بیشتر و ایجاد فریب‌های قانع‌کننده‌تر استفاده کند.
اطلاعات دقیقی از روش‌ها و تاکتیک‌های مهاجمان جمع‌آوری کند تا تیم‌های امنیتی بتوانند دفاع خود را بهبود دهند.

این رویکرد می‌تواند به شکار تهدیدات پیشرفته (Threat Hunting) و مقابله با حملات مدرن کمک کند.


مراحل نصب :

✅Clone the repository from GitHub.
✅Follow the setup instructions in the README and the documentation in the SSH/config.ini.TEMPLATE file to create SSH keys, configure users and passwords, or change the backend LLM (any OpenAI, Google, or AWS Bedrock model will work).
✅Set any environment variables your LLM backend requires (e.g., OPENAI_API_KEY for the default GPT-4o backend).
✅Modify the SSH/prompt.txt file to tell it what kind of system you'd like to emulate.
✅Run it in a lab environment to see how it simulates interactions and generates detailed session summaries.


https://www.splunk.com/en_us/blog/security/deceive-ai-honeypot-concept.html

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

یک گزارش خواندنی جدید از اسپلانک


وی پی ان لازم

https://www.splunk.com/en_us/blog/security/meduza-stealer-analysis.html

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Offensive MSSQL toolkit written in Python, based off SQLRecon

https://github.com/Tw1sm/PySQLRecon

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🟪 آشنایی با مشاغل : مهندسی کشف Detection Engineering


💲درآمد: از ۱۶۰ هزار تا ۲۴۰ هزار درسال در کشورهای مختلف ( بسته به سابقه و سطح)

یک مهندس کشف (Detection Engineer) مسئول طراحی، پیاده‌سازی، و بهبود سیستم‌های کشف تهدیدات سایبری است. او نقش کلیدی در امنیت سازمان دارد و باید با ترکیب دانش فنی و تحلیل داده، تهدیدات را شناسایی و کاهش دهد.

❇️وظایف اصلی مهندس کشف:

🔅تحلیل داده‌های امنیتی: بررسی داده‌های لاگ و ترافیک شبکه برای شناسایی تهدیدات و الگوهای مشکوک.
🔅ایجاد قوانین و امضاهای کشف: توسعه و بهینه‌سازی قواعد SIEM، YARA، Sigma، و Suricata برای شناسایی حملات.
🔅تحلیل تهدیدات: مطالعه روش‌های حمله جدید و تکنیک‌های مهاجمان (TTPs) و ایجاد مکانیسم‌های دفاعی مناسب.
🔅اتوماسیون و اسکریپت‌نویسی: استفاده از Python، PowerShell، یا Bash برای بهینه‌سازی فرآیندهای کشف و پاسخ.
🔅 یکپارچه‌سازی ابزارهای امنیتی: هماهنگ‌سازی SIEM، EDR، IDS/IPS و سایر ابزارهای امنیتی برای بهبود کشف.
🔅همکاری با تیم‌های امنیتی: تعامل با تیم‌های SOC، Incident Response و Threat Intelligence برای بهبود پاسخگویی به تهدیدات.
🔅 بهبود سیستم‌های کشف: بررسی میزان دقت و کارایی قوانین کشف و کاهش مثبت و منفی کاذب (False Positives & False Negatives).
🔅مستندسازی و گزارش‌دهی: ارائه گزارش از حملات کشف‌شده و اثربخشی مکانیسم‌های تشخیص به مدیریت ارشد.

✔️حوزه اختیارات مهندس کشف:

✅ طراحی و تغییر قوانین و امضاهای کشف در سیستم‌های SIEM و IDS/IPS.
✅ تحلیل رفتارهای مشکوک و تصمیم‌گیری درباره تهدیدات احتمالی.
✅ پیشنهاد راهکارهای بهبود امنیت برای کاهش سطح تهدیدات.
✅ دسترسی به داده‌های امنیتی و گزارش‌های مربوط به لاگ‌های سیستم.
✅ تعامل مستقیم با تیم‌های امنیتی برای افزایش هماهنگی و پاسخگویی به تهدیدات.

مهندس کشف نقش بسیار مهمی در جلوگیری از نفوذهای سایبری دارد و نیازمند مهارت‌های فنی، تحلیل داده و درک عمیق از حملات سایبری است.


🔰مدارک کمک کننده برای اخذ شغل با توجه به اطلاعیه های استخدامی جهانی:

✔️Certified Information Systems Security Professional (CISSP)
✔️Certified Ethical Hacker (CEH)
✔️GIAC Certified Intrusion Analyst (GCIA)
✔️GIAC Certified Incident Handler (GCIH)
✔️CompTIA Security+
✔️Certified Information Security Manager (CISM)

https://socprime.com/blog/what-is-detection-engineering/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔆نکته ی ریز: احتمالا مبدا بدافزار چه کشوری بوده است

می‌توان از بخش منابع (Resource Section - .rsrc) در فایل PE اطلاعاتی درباره زبان برنامه‌نویسی یا ویروس‌نویسی بدست آورد:
1. بررسی زبان رابط کاربری (UI) در منابع PE

در بخش منابع، اطلاعات مربوط به زبان محلی (Locale ID - LCID) ممکن است ذخیره شود. برخی از کامپایلرها و محیط‌های برنامه‌نویسی این مقدار را به طور خودکار درج می‌کنند. اگر یک بدافزار دارای منابع خاصی مانند دیالوگ‌ها، منوها یا رشته‌ها باشد، ممکن است از طریق LCID زبان مورد استفاده در سیستم توسعه را حدس زد.

🔍 چطور بررسی کنیم؟

ابزارهایی مانند Resource Hacker, PEStudio, PE-Bear می‌توانند مقدار LCID را استخراج کنند.
مقدار LCID در ورودی‌های LANGUAGE در .rsrc قابل مشاهده است.

📌 مثال:

LCID: 0x0409 : زبان انگلیسی (آمریکا)
احتمالاً برنامه در یک سیستم انگلیسی‌زبان کامپایل شده است.
LCID: 0x0419 : زبان روسی
احتمالاً بدافزار توسط یک توسعه‌دهنده روسی ساخته شده است.

2. نوع و ساختار منابع در تعیین کامپایلر یا زبان برنامه‌نویسی

برخی از زبان‌های برنامه‌نویسی و کامپایلرها الگوی خاصی در ذخیره منابع دارند. مثلاً:

زبانهای Delphi و ++Borland Cمعمولاً در .rsrc دارای فرم‌ها و ویجت‌های گرافیکی خاصی هستند.
در ++Microsoft Visual C معمولاً اطلاعات مربوط به نسخه DLLها و MANIFESTها را در .rsrc ذخیره می‌کند.
در AutoIT و برخی فریمورک‌ها فایل‌های .rsrc خاصی دارند که می‌توانند نشانگر زبان برنامه‌نویسی باشند.

🔍 چطور بررسی کنیم؟

با PEStudio یا CFF Explorer، مقادیر RT_VERSION و RT_MANIFEST را در .rsrc ببینید.
برخی از نسخه‌های کامپایلرها، امضاهای خاصی در این بخش می‌گذارند.

3. مخفی‌سازی کد و Shellcode در .rsrc

بعضی از بدافزارها Shellcode یا کدهای اجرایی مخفی را در بخش .rsrc ذخیره می‌کنند. این می‌تواند اطلاعاتی درباره زبان برنامه‌نویسی و تکنیک‌های ویروس‌نویسی بدهد:

اگر .rsrc شامل کد فشرده‌شده یا XOR شده باشد، احتمال دارد که بدافزار از تکنیک‌های Packers یا Loaders استفاده کند.
برخی کامپایلرهای خاص مانند Go و Rust در .rsrc داده‌های خاصی درج می‌کنند که می‌توانند نشان‌دهنده زبان باشند.

🔍 چطور بررسی کنیم؟

با exeinfoPE یا Detect It Easy (DIE) می‌توان مشخص کرد که فایل با چه زبانی کامپایل شده است.
اگر .rsrc حاوی داده‌های باینری غیرمعمول باشد، می‌توان با ابزارهای Hex Editor یا PE-sieve آن را استخراج و بررسی کرد.

⏮️نتیجه‌گیری

مقدار LCID در .rsrc می‌تواند نشانه‌ای از زبان سیستم توسعه باشد.
ساختار منابع PE می‌تواند سرنخ‌هایی درباره کامپایلر و زبان برنامه‌نویسی بدهد.
مخفی‌سازی کد در .rsrc می‌تواند نشان‌دهنده تکنیک‌های ویروس‌نویسی باشد.


پی نوشت: برای اینکه مقادیر فوق را ببینید یک فایل اجرایی را در Pestudio باز کنید . هدر ها و سکشن ها آنجا هستند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#امنیت_به_زبان_ساده

هندل (Handle) چیست؟


هندل (Handle) در ویندوز یک شناسه‌ی عددی است که توسط سیستم‌عامل برای ارجاع به یک شیء (Object) در حافظه استفاده می‌شود. این اشیاء می‌توانند شامل فایل‌ها، پردازش‌ها، رشته‌ها، سوکت‌های شبکه، رجیستری و دیگر منابع سیستم باشند.

به‌عبارت ساده‌تر، هندل مثل یک "دستگیره" است که به برنامه‌ها اجازه می‌دهد به منابع سیستم دسترسی داشته باشند، بدون اینکه مستقیماً آدرس حافظه آن را بدانند.
🔹 انواع هندل‌ها در ویندوز

در ویندوز، هر چیزی که یک برنامه باز می‌کند یا استفاده می‌کند، یک شیء (Object) است که یک هندل دارد. مهم‌ترین انواع هندل‌ها:
1️⃣ هندل‌های پردازش (Process Handles)

✅ این هندل‌ها برای کنترل و تعامل با پردازش‌های دیگر استفاده می‌شوند.
✅ اگر یک بدافزار روی پردازش‌های امنیتی مانند lsass.exe، taskmgr.exe یا MsMpEng.exe هندل باز کند، احتمالاً قصد تزریق کد یا سرقت اطلاعات دارد.

🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》فیلتر روی نام پردازش مشکوک
2️⃣ هندل‌های فایل (File Handles)

✅ هر برنامه‌ای که یک فایل را باز می‌کند، یک هندل روی آن فایل می‌گیرد.
✅ بدافزارها ممکن است هندل‌هایی روی فایل‌های سیستمی (.exe, .dll, .sys) باز کنند تا آن‌ها را جایگزین کرده یا تغییر دهند.

🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》 فیلتر روی C:\Windows\ یا مسیرهای مشکوک
3️⃣ هندل‌های رجیستری (Registry Handles)

✅ وقتی یک برنامه مقدار رجیستری را می‌خواند یا تغییر می‌دهد، یک هندل روی آن کلید رجیستری باز می‌کند.
✅ بدافزارها معمولاً در مسیرهای زیر مقدارهایی اضافه می‌کنند تا در بوت اجرا شوند:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》 فیلتر روی HKLM یا HKCU
4️⃣ هندل‌های شبکه (Network Handles)

✅ این هندل‌ها برای سوکت‌های TCP/UDP استفاده می‌شوند.
✅ اگر یک برنامه هندل‌های زیادی روی Device\Tcp داشته باشد، احتمالاً در حال ارسال یا دریافت اطلاعات از اینترنت است.
✅ برخی بدافزارها از Named Pipe (\Device\NamedPipe\) برای ارتباط مخفیانه استفاده می‌کنند.

🔍 ابزار برای بررسی: Process Hacker 》تب Handles 》 فیلتر روی \Device\Tcp یا \Device\NamedPipe\
🔹 چگونه هندل‌ها در بدافزارها استفاده می‌شوند؟

1️⃣ سرقت اطلاعات دسترسی (Credential Dumping)

ابزارهای هکری مانند Mimikatz یک هندل روی lsass.exe باز می‌کنند تا اطلاعات لاگین‌ها را استخراج کنند.

2️⃣ تزریق کد (Code Injection)

بسیاری از بدافزارها یک هندل روی پردازش‌های قانونی (مانند explorer.exe) باز می‌کنند و کد مخرب را در آن تزریق می‌کنند.

3️⃣ بایپس آنتی‌ویروس (AV Evasion)

برخی بدافزارها سعی می‌کنند روی MsMpEng.exe (Windows Defender) یا پردازش‌های آنتی‌ویروس هندل باز کنند تا آن را غیرفعال کنند.

4️⃣ برنامه‌های پنهان (Rootkits & Persistence)

بعضی از روتکیت‌ها یک هندل روی رجیستری یا فایل‌های سیستمی باز می‌کنند تا خودشان را در سیستم نگه دارند.

🔹 چطور هندل‌های مشکوک را در Process Hacker بررسی کنیم؟


✅ مرحله 1:

Process Hacker
را باز کنید و به تب Handles بروید.

✅ مرحله 2:

روی یک پردازش مشکوک کلیک راست کنید 》 Properties 》 به تب Handles بروید.

✅ مرحله 3:

بررسی کنید که آیا پردازش روی مسیرهای زیر هندل باز کرده است:
lsass.exe 》 (حمله سرقت کردنشیال)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 》 (اجرای دائمی بدافزار)
\Device\Tcp\ یا \Device\NamedPipe\ 》 (ارتباط مشکوک با شبکه)

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

سازمان شما با کارمندان دارای شغل های دوم و پارت تایم ؛ دچار خطر

گروهی چون لازاروس با اکانت فیک فریب میدهد و نفوذ میکند

https://www.bitdefender.com/en-us/blog/labs/lazarus-group-targets-organizations-with-sophisticated-linkedin-recruiting-scam

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

💫یه تبلیغی هست که میگه رویاها را باید زندگی کرد.

💢نمیتوان کاری نکرد اما انتظار معجزه داشت.

باید حرکت کنی و وقت بذاری و پس انداز کنی و درجایش خرج کنی.

کمی مانده به پایان سال .
خودمون رو جمع و جور کنیم ببینیم چی می‌خواستیم و چی شد.

برای ۱۴۰۴ برنامه ریزی کنیم و از همون ثانیه اول در ۱ فروردین با تمام روح و جانمون بهش وفادار باشیم.

🔆تهیه اون برنامه نیاز داره که این یکماه براش وقت بذاری و از گذشته عبرت بگیری و خواست هات رو دقیق کنی.

کلا هدف داریم و استراتژی

استراتژی راهکاری برای رسیدن به هدفه

- هدف باید دقیق ، شفاف و شور انگیز باشه

- استراتژی باید دقیق ، عاقلانه و قابل اجرا باشه

بعدش میمونه تعهد شما به برنامه ؛ این تعهد لازمش اینه که هر لحظه جهت حرکت خودتو و برنامه رو بپایی.

🔴نکته: نمیشه همه چیز رو با هم داشت. نیاز به نادیده گرفتن و نه گفتن هست و شاید قربانی دادن؛ تا یک برنامه موفق نوشته بشه.


✅بسم الله:
💫رویاهاتون رو زندگی کنید.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

هانت از زبان سایبورگ

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

سرفصل به روز آزمون CISSP

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ابزاری نوین از مندینت( گوگل)

استخراج کانفیگ بدافزار بصورت اتوماتیک بدون اجرای آن

بسیار جالب

استفاده از این ابزار برای هانت

https://www.googlecloudcommunity.com/gc/Community-Blog/Consuming-Backscatter-Information-to-Perform-Threat-Hunting/ba-p/863828?linkId=12843927

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

نکته ی روز : یک Wiper برای اکتیو دایرکتوری

اسکریپت BadBlood یک اسکریپت PowerShell است که به‌طور خاص میتواند برای تخریب یک دامنه Active Directory استفاده شود. این اسکریپت با تغییر یا حذف کاربران، گروه‌ها، سیاست‌ها و سایر تنظیمات AD، محیط را به‌طور کامل غیرقابل بازیابی می‌کند. یعنی یک ساختار جدیدی بنا میکند.
بنابراین، عملکرد آن به نوعی مشابه یک وایپر برای AD است، زیرا باعث از بین رفتن کامل داده‌ها و تنظیمات می‌شود.

به هوش باشید .

پی نوشت: اصولا این اسکریپت برای آماده سازی یک محیط اکتیو دایرکتوری برای تست و آموزش میباشد.
اما در امنیت تقریبا همه چیز دولبه است حتی انسان‌

https://github.com/davidprowe/BadBlood

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

یک اشتباهی که رایج شده استفاده از Wazuh بعنوان EDR است .

اما اون یک EDR نیست

https://www.edr-telemetry.com/eligibility.html

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

با من با زبان استدلال سخن بگوی!!
گامی در تقویت استدلال منطقی.

🟣تفاوت اساسی بین همبستگی (Correlation) و علیت (Causation)
در هوش تهدیدات سایبری (Cyber Threat Intelligence - CTI)

۱. همبستگی (Correlation)
همبستگی به این معنی است که بین دو متغیر یا دو رویداد، نوعی ارتباط آماری وجود دارد، اما لزوماً یکی باعث وقوع دیگری نمی‌شود. در دنیای CTI، ممکن است مشاهده کنیم که دو نوع حمله سایبری در یک بازه زمانی خاص رخ داده‌اند، اما این به این معنی نیست که یکی باعث دیگری شده است.
🔶مثال در CTI:
فرض کنید در یک بازه زمانی مشخص، تعداد حملات فیشینگ افزایش یافته و در همان دوره تعداد حملات بدافزاری نیز بیشتر شده است. این دو رویداد با هم همبستگی دارند، اما ممکن است هیچ رابطه علّی مستقیمی بین آنها وجود نداشته باشد. شاید یک عامل مشترک (مثل تعطیلات یا یک کمپین جدید هکری) باعث افزایش هر دو شده باشد.
۲. علیت (Causation)
علیت به این معنی است که یک رویداد مستقیماً علت رویداد دیگری است. در CTI، اگر بتوانیم نشان دهیم که یک حمله سایبری خاص مستقیماً باعث نقض امنیتی یا رخنه داده شده است، این یک رابطه علّی است.
🔶مثال در CTI:
اگر بررسی کنیم که یک ایمیل فیشینگ حاوی بدافزار، باعث آلوده شدن سیستم و در نتیجه استخراج اطلاعات حساس شده است، این یک رابطه علّی محسوب می‌شود. یعنی حمله فیشینگ مستقیماً منجر به آلودگی و سرقت اطلاعات شده است.
🔴چرا این تفاوت در CTI مهم است؟

✔️تصمیم‌گیری درست: اگر صرفاً بر همبستگی تکیه کنیم، ممکن است اقدامات امنیتی نادرستی انجام دهیم، چون فکر می‌کنیم دو رویداد به هم مرتبط هستند، در حالی که اینطور نیست.
✔️تشخیص دقیق تهدیدات: تحلیلگران CTI باید بتوانند مشخص کنند که آیا یک عامل تهدید مستقیماً باعث یک حمله شده یا صرفاً رویدادهای مشابهی در یک زمان رخ داده‌اند.
✔️بهبود پاسخ به تهدیدات: درک علیت به تیم‌های امنیتی کمک می‌کند که روی ریشه مشکل تمرکز کنند، به جای اینکه منابع خود را روی شاخص‌های صرفاً همبسته هدر دهند.

به طور خلاصه، همبستگی نشان می‌دهد که دو رویداد با هم مرتبط هستند، اما علیت نشان می‌دهد که یک رویداد علت وقوع رویداد دیگر است. در تحلیل تهدیدات سایبری، باید مراقب باشیم که صرفاً بر همبستگی تکیه نکنیم و تا حد امکان روابط علّی را کشف کنیم.

=============================
🔵سناریو
۱: همبستگی (Correlation)
فرض کنید تیم امنیتی یک بانک در حال تحلیل لاگ‌های امنیتی است و متوجه می‌شود که افزایش درخواست‌های لاگین ناموفق (Failed Login Attempts) با افزایش ترافیک غیرعادی به سرورهای بانک هم‌زمان شده است.
🔍 تحلیل اولیه:
ممکن است این دو رویداد با هم همبستگی داشته باشند.
اما آیا حملات لاگین ناموفق علت افزایش ترافیک غیرعادی است؟ هنوز مشخص نیست!
احتمال دارد هر دو به دلیل یک عامل خارجی مثل حمله گسترده بات‌نت یا کمپین حمله هماهنگ رخ داده باشند.
🟧 اشتباه رایج: اگر تیم امنیتی بدون بررسی بیشتر فرض کند که این حملات لاگین ناموفق علت اصلی افزایش ترافیک است، ممکن است منابع خود را روی اشتباهات کاربران متمرکز کند و حمله واقعی (مثلاً اسکن گسترده پورت‌ها توسط یک بات‌نت) را نادیده بگیرد.


سناریو ۲: علیت (Causation)
تیم امنیتی بررسی بیشتری انجام می‌دهد و با تحلیل رفتار مهاجم (TTPs - Tactics, Techniques, and Procedures) متوجه می‌شود که افزایش تلاش‌های ناموفق لاگین ناشی از یک حمله Brute Force روی RDP سرورها بوده است. پس از آن، یک لاگین موفق مشکوک از یک آدرس IP ناشناس رخ داده که منجر به اجرای یک بدافزار و استخراج داده‌ها شده است.
🔍 تحلیل فنی:
بررسی لاگ‌ها نشان می‌دهد که پس از چندین تلاش لاگین ناموفق، یک تلاش موفق از همان IP انجام شده است.
لاگین موفق باعث اجرای یک PowerShell Script مشکوک شده که از سرور C2 (Command & Control) دستور می‌گیرد.
این اسکریپت در نهایت به دزدیده شدن اطلاعات حساس مشتریان بانک منجر شده است.
✅ نتیجه: در اینجا، یک رابطه علّی (Causation) تایید شده است:
حمله Brute Force منجر به یک لاگین موفق شد.
پس از لاگین، اسکریپت مخرب اجرا شد.
اجرای اسکریپت باعث استخراج داده‌ها شد.


**استدلال منطقی و تفکر نقادانه یکی از مهارت های مهم در امنیت سایبری است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

همه چیز را با امنیت بیاورید در سازمان
کوبرنتیز و امنیت

https://www.armosec.io/blog/kubernetes-security-best-practices/?utm_source=chatgpt.com

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🟣تمرین :کشف هوک


همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار می‌گیرند به این می‌گویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی می‌کنند.

✔️حالا بیایید تمرین عملی با ابزار داشته باشیم


مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد

ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازش‌ها استفاده می‌شود. این ابزار می‌تواند روش‌هایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter

ابتدا ابزار را از Nektra دانلود کنید.

نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده می‌کنیم.

۲. اسکن کردن تمام پردازش‌های در حال اجرا

یک روش رایج برای تشخیص API Hooking، بررسی همه پردازش‌ها برای یافتن کدهای تغییر یافته است.

دستور زیر را در CMD با دسترسی Administrator اجرا کنید:

HollowsHunter.exe /all

این دستور همه پردازش‌های در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش می‌دهد.
۳. بررسی یک پردازش خاص

برای اسکن یک پردازش خاص (مثلاً explorer.exe)، می‌توانید از PID یا نام آن استفاده کنید:

HollowsHunter.exe /pid 1234

یا

HollowsHunter.exe /proc explorer.exe

اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش می‌دهد:

[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX

۴. بررسی DLLهای بارگذاری‌شده برای Hooking

برای تشخیص DLL Injection و بررسی تغییرات در کتابخانه‌های بارگذاری‌شده:

HollowsHunter.exe /hooks

این دستور بررسی می‌کند که آیا توابع سیستم‌عامل مانند ntdll.dll و kernel32.dll تغییر کرده‌اند یا نه. اگر تغییری وجود داشته باشد، گزارش می‌دهد که این DLLها Hook شده‌اند.
۵. ذخیره گزارش برای بررسی دقیق‌تر

برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، می‌توانید از این دستور استفاده کنید:

HollowsHunter.exe /all /json report.json

این دستور خروجی را در قالب JSON ذخیره می‌کند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک

اگر ابزار نشانه‌هایی از Hooking یا تزریق کد پیدا کند، می‌توان پردازش را به‌صورت دستی متوقف کرد:

taskkill /PID 1234 /F

اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است به‌طور طبیعی از Hooking استفاده کنند.

🔰جمع‌بندی

✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ می‌توان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، می‌توان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer