✳️ یک شبه انقلاب در سیستم های فریب
🟣هانی پات های مجهز به هوش مصنوعی
راهکار DECEIVE، یک هانیپات مبتنی بر هوش مصنوعی میباشد که برای تقویت دفاع سایبری طراحی شده است. این فناوری از مدلهای زبانی پیشرفته استفاده میکند تا با مهاجمان تعاملات طبیعیتر و پیچیدهتری داشته باشد و آنها را به اشتباه بیندازد.
هدف اصلی DECEIVE :
محدودیتهای هانیپاتهای سنتی (مانند عدم تعامل واقعی یا قابل پیشبینی بودن) را کاهش دهد.
از هوش مصنوعی برای تطبیقپذیری بیشتر و ایجاد فریبهای قانعکنندهتر استفاده کند.
اطلاعات دقیقی از روشها و تاکتیکهای مهاجمان جمعآوری کند تا تیمهای امنیتی بتوانند دفاع خود را بهبود دهند.
این رویکرد میتواند به شکار تهدیدات پیشرفته (Threat Hunting) و مقابله با حملات مدرن کمک کند.
مراحل نصب :
✅Clone the repository from GitHub.
✅Follow the setup instructions in the README and the documentation in the SSH/config.ini.TEMPLATE file to create SSH keys, configure users and passwords, or change the backend LLM (any OpenAI, Google, or AWS Bedrock model will work).
✅Set any environment variables your LLM backend requires (e.g., OPENAI_API_KEY for the default GPT-4o backend).
✅Modify the SSH/prompt.txt file to tell it what kind of system you'd like to emulate.
✅Run it in a lab environment to see how it simulates interactions and generates detailed session summaries.
https://www.splunk.com/en_us/blog/security/deceive-ai-honeypot-concept.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
🟣هانی پات های مجهز به هوش مصنوعی
راهکار DECEIVE، یک هانیپات مبتنی بر هوش مصنوعی میباشد که برای تقویت دفاع سایبری طراحی شده است. این فناوری از مدلهای زبانی پیشرفته استفاده میکند تا با مهاجمان تعاملات طبیعیتر و پیچیدهتری داشته باشد و آنها را به اشتباه بیندازد.
هدف اصلی DECEIVE :
محدودیتهای هانیپاتهای سنتی (مانند عدم تعامل واقعی یا قابل پیشبینی بودن) را کاهش دهد.
از هوش مصنوعی برای تطبیقپذیری بیشتر و ایجاد فریبهای قانعکنندهتر استفاده کند.
اطلاعات دقیقی از روشها و تاکتیکهای مهاجمان جمعآوری کند تا تیمهای امنیتی بتوانند دفاع خود را بهبود دهند.
این رویکرد میتواند به شکار تهدیدات پیشرفته (Threat Hunting) و مقابله با حملات مدرن کمک کند.
مراحل نصب :
✅Clone the repository from GitHub.
✅Follow the setup instructions in the README and the documentation in the SSH/config.ini.TEMPLATE file to create SSH keys, configure users and passwords, or change the backend LLM (any OpenAI, Google, or AWS Bedrock model will work).
✅Set any environment variables your LLM backend requires (e.g., OPENAI_API_KEY for the default GPT-4o backend).
✅Modify the SSH/prompt.txt file to tell it what kind of system you'd like to emulate.
✅Run it in a lab environment to see how it simulates interactions and generates detailed session summaries.
https://www.splunk.com/en_us/blog/security/deceive-ai-honeypot-concept.html
Please open Telegram to view this post
VIEW IN TELEGRAM
Splunk
Introducing DECEIVE: A Proof-of-Concept Honeypot Powered by AI | Splunk
Explore DECEIVE: an AI-powered proof-of-concept honeypot by SURGe. Learn how AI simplifies cybersecurity with dynamic simulations and session summaries, paving the way for innovative security solutions.
یک گزارش خواندنی جدید از اسپلانک
وی پی ان لازم
https://www.splunk.com/en_us/blog/security/meduza-stealer-analysis.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
وی پی ان لازم
https://www.splunk.com/en_us/blog/security/meduza-stealer-analysis.html
Please open Telegram to view this post
VIEW IN TELEGRAM
Splunk
Meduza Stealer Analysis: A Closer Look at its Techniques and Attack Vector | Splunk
Uncover Meduza Stealer, a 2023 malware targeting credentials and crypto wallets. Explore its evasion tactics, attack methods, and Splunk’s expert insights for enhanced security.
Offensive MSSQL toolkit written in Python, based off SQLRecon
https://github.com/Tw1sm/PySQLRecon
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/Tw1sm/PySQLRecon
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Tw1sm/PySQLRecon: Offensive MSSQL toolkit written in Python, based off SQLRecon
Offensive MSSQL toolkit written in Python, based off SQLRecon - Tw1sm/PySQLRecon
🟪 آشنایی با مشاغل : مهندسی کشف Detection Engineering
💲درآمد: از ۱۶۰ هزار تا ۲۴۰ هزار درسال در کشورهای مختلف ( بسته به سابقه و سطح)
یک مهندس کشف (Detection Engineer) مسئول طراحی، پیادهسازی، و بهبود سیستمهای کشف تهدیدات سایبری است. او نقش کلیدی در امنیت سازمان دارد و باید با ترکیب دانش فنی و تحلیل داده، تهدیدات را شناسایی و کاهش دهد.
❇️وظایف اصلی مهندس کشف:
🔅تحلیل دادههای امنیتی: بررسی دادههای لاگ و ترافیک شبکه برای شناسایی تهدیدات و الگوهای مشکوک.
🔅ایجاد قوانین و امضاهای کشف: توسعه و بهینهسازی قواعد SIEM، YARA، Sigma، و Suricata برای شناسایی حملات.
🔅تحلیل تهدیدات: مطالعه روشهای حمله جدید و تکنیکهای مهاجمان (TTPs) و ایجاد مکانیسمهای دفاعی مناسب.
🔅اتوماسیون و اسکریپتنویسی: استفاده از Python، PowerShell، یا Bash برای بهینهسازی فرآیندهای کشف و پاسخ.
🔅 یکپارچهسازی ابزارهای امنیتی: هماهنگسازی SIEM، EDR، IDS/IPS و سایر ابزارهای امنیتی برای بهبود کشف.
🔅همکاری با تیمهای امنیتی: تعامل با تیمهای SOC، Incident Response و Threat Intelligence برای بهبود پاسخگویی به تهدیدات.
🔅 بهبود سیستمهای کشف: بررسی میزان دقت و کارایی قوانین کشف و کاهش مثبت و منفی کاذب (False Positives & False Negatives).
🔅مستندسازی و گزارشدهی: ارائه گزارش از حملات کشفشده و اثربخشی مکانیسمهای تشخیص به مدیریت ارشد.
✔️حوزه اختیارات مهندس کشف:
✅ طراحی و تغییر قوانین و امضاهای کشف در سیستمهای SIEM و IDS/IPS.
✅ تحلیل رفتارهای مشکوک و تصمیمگیری درباره تهدیدات احتمالی.
✅ پیشنهاد راهکارهای بهبود امنیت برای کاهش سطح تهدیدات.
✅ دسترسی به دادههای امنیتی و گزارشهای مربوط به لاگهای سیستم.
✅ تعامل مستقیم با تیمهای امنیتی برای افزایش هماهنگی و پاسخگویی به تهدیدات.
مهندس کشف نقش بسیار مهمی در جلوگیری از نفوذهای سایبری دارد و نیازمند مهارتهای فنی، تحلیل داده و درک عمیق از حملات سایبری است.
🔰مدارک کمک کننده برای اخذ شغل با توجه به اطلاعیه های استخدامی جهانی:
✔️Certified Information Systems Security Professional (CISSP)
✔️Certified Ethical Hacker (CEH)
✔️GIAC Certified Intrusion Analyst (GCIA)
✔️GIAC Certified Incident Handler (GCIH)
✔️CompTIA Security+
✔️Certified Information Security Manager (CISM)
https://socprime.com/blog/what-is-detection-engineering/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
💲درآمد: از ۱۶۰ هزار تا ۲۴۰ هزار درسال در کشورهای مختلف ( بسته به سابقه و سطح)
یک مهندس کشف (Detection Engineer) مسئول طراحی، پیادهسازی، و بهبود سیستمهای کشف تهدیدات سایبری است. او نقش کلیدی در امنیت سازمان دارد و باید با ترکیب دانش فنی و تحلیل داده، تهدیدات را شناسایی و کاهش دهد.
❇️وظایف اصلی مهندس کشف:
🔅تحلیل دادههای امنیتی: بررسی دادههای لاگ و ترافیک شبکه برای شناسایی تهدیدات و الگوهای مشکوک.
🔅ایجاد قوانین و امضاهای کشف: توسعه و بهینهسازی قواعد SIEM، YARA، Sigma، و Suricata برای شناسایی حملات.
🔅تحلیل تهدیدات: مطالعه روشهای حمله جدید و تکنیکهای مهاجمان (TTPs) و ایجاد مکانیسمهای دفاعی مناسب.
🔅اتوماسیون و اسکریپتنویسی: استفاده از Python، PowerShell، یا Bash برای بهینهسازی فرآیندهای کشف و پاسخ.
🔅 یکپارچهسازی ابزارهای امنیتی: هماهنگسازی SIEM، EDR، IDS/IPS و سایر ابزارهای امنیتی برای بهبود کشف.
🔅همکاری با تیمهای امنیتی: تعامل با تیمهای SOC، Incident Response و Threat Intelligence برای بهبود پاسخگویی به تهدیدات.
🔅 بهبود سیستمهای کشف: بررسی میزان دقت و کارایی قوانین کشف و کاهش مثبت و منفی کاذب (False Positives & False Negatives).
🔅مستندسازی و گزارشدهی: ارائه گزارش از حملات کشفشده و اثربخشی مکانیسمهای تشخیص به مدیریت ارشد.
✔️حوزه اختیارات مهندس کشف:
✅ طراحی و تغییر قوانین و امضاهای کشف در سیستمهای SIEM و IDS/IPS.
✅ تحلیل رفتارهای مشکوک و تصمیمگیری درباره تهدیدات احتمالی.
✅ پیشنهاد راهکارهای بهبود امنیت برای کاهش سطح تهدیدات.
✅ دسترسی به دادههای امنیتی و گزارشهای مربوط به لاگهای سیستم.
✅ تعامل مستقیم با تیمهای امنیتی برای افزایش هماهنگی و پاسخگویی به تهدیدات.
مهندس کشف نقش بسیار مهمی در جلوگیری از نفوذهای سایبری دارد و نیازمند مهارتهای فنی، تحلیل داده و درک عمیق از حملات سایبری است.
🔰مدارک کمک کننده برای اخذ شغل با توجه به اطلاعیه های استخدامی جهانی:
✔️Certified Information Systems Security Professional (CISSP)
✔️Certified Ethical Hacker (CEH)
✔️GIAC Certified Intrusion Analyst (GCIA)
✔️GIAC Certified Incident Handler (GCIH)
✔️CompTIA Security+
✔️Certified Information Security Manager (CISM)
https://socprime.com/blog/what-is-detection-engineering/
Please open Telegram to view this post
VIEW IN TELEGRAM
SOC Prime
What Is Detection Engineering? | SOC Prime
Learn about Detection Engineering, its benefits, and what role it plays in boosting the organization’s cyber defense backed by SOC Prime Platform.
❤1👍1🔥1
🔆نکته ی ریز: احتمالا مبدا بدافزار چه کشوری بوده است
میتوان از بخش منابع (Resource Section - .rsrc) در فایل PE اطلاعاتی درباره زبان برنامهنویسی یا ویروسنویسی بدست آورد:
1. بررسی زبان رابط کاربری (UI) در منابع PE
در بخش منابع، اطلاعات مربوط به زبان محلی (Locale ID - LCID) ممکن است ذخیره شود. برخی از کامپایلرها و محیطهای برنامهنویسی این مقدار را به طور خودکار درج میکنند. اگر یک بدافزار دارای منابع خاصی مانند دیالوگها، منوها یا رشتهها باشد، ممکن است از طریق LCID زبان مورد استفاده در سیستم توسعه را حدس زد.
🔍 چطور بررسی کنیم؟
ابزارهایی مانند Resource Hacker, PEStudio, PE-Bear میتوانند مقدار LCID را استخراج کنند.
مقدار LCID در ورودیهای LANGUAGE در .rsrc قابل مشاهده است.
📌 مثال:
LCID: 0x0409 : زبان انگلیسی (آمریکا)
احتمالاً برنامه در یک سیستم انگلیسیزبان کامپایل شده است.
LCID: 0x0419 : زبان روسی
احتمالاً بدافزار توسط یک توسعهدهنده روسی ساخته شده است.
2. نوع و ساختار منابع در تعیین کامپایلر یا زبان برنامهنویسی
برخی از زبانهای برنامهنویسی و کامپایلرها الگوی خاصی در ذخیره منابع دارند. مثلاً:
زبانهای Delphi و ++Borland Cمعمولاً در .rsrc دارای فرمها و ویجتهای گرافیکی خاصی هستند.
در ++Microsoft Visual C معمولاً اطلاعات مربوط به نسخه DLLها و MANIFESTها را در .rsrc ذخیره میکند.
در AutoIT و برخی فریمورکها فایلهای .rsrc خاصی دارند که میتوانند نشانگر زبان برنامهنویسی باشند.
🔍 چطور بررسی کنیم؟
با PEStudio یا CFF Explorer، مقادیر RT_VERSION و RT_MANIFEST را در .rsrc ببینید.
برخی از نسخههای کامپایلرها، امضاهای خاصی در این بخش میگذارند.
3. مخفیسازی کد و Shellcode در .rsrc
بعضی از بدافزارها Shellcode یا کدهای اجرایی مخفی را در بخش .rsrc ذخیره میکنند. این میتواند اطلاعاتی درباره زبان برنامهنویسی و تکنیکهای ویروسنویسی بدهد:
اگر .rsrc شامل کد فشردهشده یا XOR شده باشد، احتمال دارد که بدافزار از تکنیکهای Packers یا Loaders استفاده کند.
برخی کامپایلرهای خاص مانند Go و Rust در .rsrc دادههای خاصی درج میکنند که میتوانند نشاندهنده زبان باشند.
🔍 چطور بررسی کنیم؟
با exeinfoPE یا Detect It Easy (DIE) میتوان مشخص کرد که فایل با چه زبانی کامپایل شده است.
اگر .rsrc حاوی دادههای باینری غیرمعمول باشد، میتوان با ابزارهای Hex Editor یا PE-sieve آن را استخراج و بررسی کرد.
⏮️نتیجهگیری
مقدار LCID در .rsrc میتواند نشانهای از زبان سیستم توسعه باشد.
ساختار منابع PE میتواند سرنخهایی درباره کامپایلر و زبان برنامهنویسی بدهد.
مخفیسازی کد در .rsrc میتواند نشاندهنده تکنیکهای ویروسنویسی باشد.
پی نوشت: برای اینکه مقادیر فوق را ببینید یک فایل اجرایی را در Pestudio باز کنید . هدر ها و سکشن ها آنجا هستند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
میتوان از بخش منابع (Resource Section - .rsrc) در فایل PE اطلاعاتی درباره زبان برنامهنویسی یا ویروسنویسی بدست آورد:
1. بررسی زبان رابط کاربری (UI) در منابع PE
در بخش منابع، اطلاعات مربوط به زبان محلی (Locale ID - LCID) ممکن است ذخیره شود. برخی از کامپایلرها و محیطهای برنامهنویسی این مقدار را به طور خودکار درج میکنند. اگر یک بدافزار دارای منابع خاصی مانند دیالوگها، منوها یا رشتهها باشد، ممکن است از طریق LCID زبان مورد استفاده در سیستم توسعه را حدس زد.
🔍 چطور بررسی کنیم؟
ابزارهایی مانند Resource Hacker, PEStudio, PE-Bear میتوانند مقدار LCID را استخراج کنند.
مقدار LCID در ورودیهای LANGUAGE در .rsrc قابل مشاهده است.
📌 مثال:
LCID: 0x0409 : زبان انگلیسی (آمریکا)
احتمالاً برنامه در یک سیستم انگلیسیزبان کامپایل شده است.
LCID: 0x0419 : زبان روسی
احتمالاً بدافزار توسط یک توسعهدهنده روسی ساخته شده است.
2. نوع و ساختار منابع در تعیین کامپایلر یا زبان برنامهنویسی
برخی از زبانهای برنامهنویسی و کامپایلرها الگوی خاصی در ذخیره منابع دارند. مثلاً:
زبانهای Delphi و ++Borland Cمعمولاً در .rsrc دارای فرمها و ویجتهای گرافیکی خاصی هستند.
در ++Microsoft Visual C معمولاً اطلاعات مربوط به نسخه DLLها و MANIFESTها را در .rsrc ذخیره میکند.
در AutoIT و برخی فریمورکها فایلهای .rsrc خاصی دارند که میتوانند نشانگر زبان برنامهنویسی باشند.
🔍 چطور بررسی کنیم؟
با PEStudio یا CFF Explorer، مقادیر RT_VERSION و RT_MANIFEST را در .rsrc ببینید.
برخی از نسخههای کامپایلرها، امضاهای خاصی در این بخش میگذارند.
3. مخفیسازی کد و Shellcode در .rsrc
بعضی از بدافزارها Shellcode یا کدهای اجرایی مخفی را در بخش .rsrc ذخیره میکنند. این میتواند اطلاعاتی درباره زبان برنامهنویسی و تکنیکهای ویروسنویسی بدهد:
اگر .rsrc شامل کد فشردهشده یا XOR شده باشد، احتمال دارد که بدافزار از تکنیکهای Packers یا Loaders استفاده کند.
برخی کامپایلرهای خاص مانند Go و Rust در .rsrc دادههای خاصی درج میکنند که میتوانند نشاندهنده زبان باشند.
🔍 چطور بررسی کنیم؟
با exeinfoPE یا Detect It Easy (DIE) میتوان مشخص کرد که فایل با چه زبانی کامپایل شده است.
اگر .rsrc حاوی دادههای باینری غیرمعمول باشد، میتوان با ابزارهای Hex Editor یا PE-sieve آن را استخراج و بررسی کرد.
⏮️نتیجهگیری
مقدار LCID در .rsrc میتواند نشانهای از زبان سیستم توسعه باشد.
ساختار منابع PE میتواند سرنخهایی درباره کامپایلر و زبان برنامهنویسی بدهد.
مخفیسازی کد در .rsrc میتواند نشاندهنده تکنیکهای ویروسنویسی باشد.
پی نوشت: برای اینکه مقادیر فوق را ببینید یک فایل اجرایی را در Pestudio باز کنید . هدر ها و سکشن ها آنجا هستند.
Please open Telegram to view this post
VIEW IN TELEGRAM
#امنیت_به_زبان_ساده
هندل (Handle) چیست؟
هندل (Handle) در ویندوز یک شناسهی عددی است که توسط سیستمعامل برای ارجاع به یک شیء (Object) در حافظه استفاده میشود. این اشیاء میتوانند شامل فایلها، پردازشها، رشتهها، سوکتهای شبکه، رجیستری و دیگر منابع سیستم باشند.
بهعبارت سادهتر، هندل مثل یک "دستگیره" است که به برنامهها اجازه میدهد به منابع سیستم دسترسی داشته باشند، بدون اینکه مستقیماً آدرس حافظه آن را بدانند.
🔹 انواع هندلها در ویندوز
در ویندوز، هر چیزی که یک برنامه باز میکند یا استفاده میکند، یک شیء (Object) است که یک هندل دارد. مهمترین انواع هندلها:
1️⃣ هندلهای پردازش (Process Handles)
✅ این هندلها برای کنترل و تعامل با پردازشهای دیگر استفاده میشوند.
✅ اگر یک بدافزار روی پردازشهای امنیتی مانند lsass.exe، taskmgr.exe یا MsMpEng.exe هندل باز کند، احتمالاً قصد تزریق کد یا سرقت اطلاعات دارد.
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》فیلتر روی نام پردازش مشکوک
2️⃣ هندلهای فایل (File Handles)
✅ هر برنامهای که یک فایل را باز میکند، یک هندل روی آن فایل میگیرد.
✅ بدافزارها ممکن است هندلهایی روی فایلهای سیستمی (.exe, .dll, .sys) باز کنند تا آنها را جایگزین کرده یا تغییر دهند.
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》 فیلتر روی C:\Windows\ یا مسیرهای مشکوک
3️⃣ هندلهای رجیستری (Registry Handles)
✅ وقتی یک برنامه مقدار رجیستری را میخواند یا تغییر میدهد، یک هندل روی آن کلید رجیستری باز میکند.
✅ بدافزارها معمولاً در مسیرهای زیر مقدارهایی اضافه میکنند تا در بوت اجرا شوند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》 فیلتر روی HKLM یا HKCU
4️⃣ هندلهای شبکه (Network Handles)
✅ این هندلها برای سوکتهای TCP/UDP استفاده میشوند.
✅ اگر یک برنامه هندلهای زیادی روی Device\Tcp داشته باشد، احتمالاً در حال ارسال یا دریافت اطلاعات از اینترنت است.
✅ برخی بدافزارها از Named Pipe (\Device\NamedPipe\) برای ارتباط مخفیانه استفاده میکنند.
🔍 ابزار برای بررسی: Process Hacker 》تب Handles 》 فیلتر روی \Device\Tcp یا \Device\NamedPipe\
🔹 چگونه هندلها در بدافزارها استفاده میشوند؟
1️⃣ سرقت اطلاعات دسترسی (Credential Dumping)
ابزارهای هکری مانند Mimikatz یک هندل روی lsass.exe باز میکنند تا اطلاعات لاگینها را استخراج کنند.
2️⃣ تزریق کد (Code Injection)
بسیاری از بدافزارها یک هندل روی پردازشهای قانونی (مانند explorer.exe) باز میکنند و کد مخرب را در آن تزریق میکنند.
3️⃣ بایپس آنتیویروس (AV Evasion)
برخی بدافزارها سعی میکنند روی MsMpEng.exe (Windows Defender) یا پردازشهای آنتیویروس هندل باز کنند تا آن را غیرفعال کنند.
4️⃣ برنامههای پنهان (Rootkits & Persistence)
بعضی از روتکیتها یک هندل روی رجیستری یا فایلهای سیستمی باز میکنند تا خودشان را در سیستم نگه دارند.
🔹 چطور هندلهای مشکوک را در Process Hacker بررسی کنیم؟
✅ مرحله 1:
Process Hacker
را باز کنید و به تب Handles بروید.
✅ مرحله 2:
روی یک پردازش مشکوک کلیک راست کنید 》 Properties 》 به تب Handles بروید.
✅ مرحله 3:
بررسی کنید که آیا پردازش روی مسیرهای زیر هندل باز کرده است:
lsass.exe 》 (حمله سرقت کردنشیال)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 》 (اجرای دائمی بدافزار)
\Device\Tcp\ یا \Device\NamedPipe\ 》 (ارتباط مشکوک با شبکه)
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
هندل (Handle) چیست؟
هندل (Handle) در ویندوز یک شناسهی عددی است که توسط سیستمعامل برای ارجاع به یک شیء (Object) در حافظه استفاده میشود. این اشیاء میتوانند شامل فایلها، پردازشها، رشتهها، سوکتهای شبکه، رجیستری و دیگر منابع سیستم باشند.
بهعبارت سادهتر، هندل مثل یک "دستگیره" است که به برنامهها اجازه میدهد به منابع سیستم دسترسی داشته باشند، بدون اینکه مستقیماً آدرس حافظه آن را بدانند.
🔹 انواع هندلها در ویندوز
در ویندوز، هر چیزی که یک برنامه باز میکند یا استفاده میکند، یک شیء (Object) است که یک هندل دارد. مهمترین انواع هندلها:
1️⃣ هندلهای پردازش (Process Handles)
✅ این هندلها برای کنترل و تعامل با پردازشهای دیگر استفاده میشوند.
✅ اگر یک بدافزار روی پردازشهای امنیتی مانند lsass.exe، taskmgr.exe یا MsMpEng.exe هندل باز کند، احتمالاً قصد تزریق کد یا سرقت اطلاعات دارد.
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》فیلتر روی نام پردازش مشکوک
2️⃣ هندلهای فایل (File Handles)
✅ هر برنامهای که یک فایل را باز میکند، یک هندل روی آن فایل میگیرد.
✅ بدافزارها ممکن است هندلهایی روی فایلهای سیستمی (.exe, .dll, .sys) باز کنند تا آنها را جایگزین کرده یا تغییر دهند.
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》 فیلتر روی C:\Windows\ یا مسیرهای مشکوک
3️⃣ هندلهای رجیستری (Registry Handles)
✅ وقتی یک برنامه مقدار رجیستری را میخواند یا تغییر میدهد، یک هندل روی آن کلید رجیستری باز میکند.
✅ بدافزارها معمولاً در مسیرهای زیر مقدارهایی اضافه میکنند تا در بوت اجرا شوند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》 فیلتر روی HKLM یا HKCU
4️⃣ هندلهای شبکه (Network Handles)
✅ این هندلها برای سوکتهای TCP/UDP استفاده میشوند.
✅ اگر یک برنامه هندلهای زیادی روی Device\Tcp داشته باشد، احتمالاً در حال ارسال یا دریافت اطلاعات از اینترنت است.
✅ برخی بدافزارها از Named Pipe (\Device\NamedPipe\) برای ارتباط مخفیانه استفاده میکنند.
🔍 ابزار برای بررسی: Process Hacker 》تب Handles 》 فیلتر روی \Device\Tcp یا \Device\NamedPipe\
🔹 چگونه هندلها در بدافزارها استفاده میشوند؟
1️⃣ سرقت اطلاعات دسترسی (Credential Dumping)
ابزارهای هکری مانند Mimikatz یک هندل روی lsass.exe باز میکنند تا اطلاعات لاگینها را استخراج کنند.
2️⃣ تزریق کد (Code Injection)
بسیاری از بدافزارها یک هندل روی پردازشهای قانونی (مانند explorer.exe) باز میکنند و کد مخرب را در آن تزریق میکنند.
3️⃣ بایپس آنتیویروس (AV Evasion)
برخی بدافزارها سعی میکنند روی MsMpEng.exe (Windows Defender) یا پردازشهای آنتیویروس هندل باز کنند تا آن را غیرفعال کنند.
4️⃣ برنامههای پنهان (Rootkits & Persistence)
بعضی از روتکیتها یک هندل روی رجیستری یا فایلهای سیستمی باز میکنند تا خودشان را در سیستم نگه دارند.
🔹 چطور هندلهای مشکوک را در Process Hacker بررسی کنیم؟
✅ مرحله 1:
Process Hacker
را باز کنید و به تب Handles بروید.
✅ مرحله 2:
روی یک پردازش مشکوک کلیک راست کنید 》 Properties 》 به تب Handles بروید.
✅ مرحله 3:
بررسی کنید که آیا پردازش روی مسیرهای زیر هندل باز کرده است:
lsass.exe 》 (حمله سرقت کردنشیال)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 》 (اجرای دائمی بدافزار)
\Device\Tcp\ یا \Device\NamedPipe\ 》 (ارتباط مشکوک با شبکه)
Please open Telegram to view this post
VIEW IN TELEGRAM
سازمان شما با کارمندان دارای شغل های دوم و پارت تایم ؛ دچار خطر
گروهی چون لازاروس با اکانت فیک فریب میدهد و نفوذ میکند
https://www.bitdefender.com/en-us/blog/labs/lazarus-group-targets-organizations-with-sophisticated-linkedin-recruiting-scam
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
گروهی چون لازاروس با اکانت فیک فریب میدهد و نفوذ میکند
https://www.bitdefender.com/en-us/blog/labs/lazarus-group-targets-organizations-with-sophisticated-linkedin-recruiting-scam
Please open Telegram to view this post
VIEW IN TELEGRAM
Bitdefender Labs
Lazarus Group Targets Organizations with Sophisticated LinkedIn Recruiting Scam
Bitdefender Labs warns of an active campaign by the North Korea-linked Lazarus Group, targeting organizations by capturing credentials and delivering malware through fake LinkedIn job offers.
💫یه تبلیغی هست که میگه رویاها را باید زندگی کرد.
💢نمیتوان کاری نکرد اما انتظار معجزه داشت.
باید حرکت کنی و وقت بذاری و پس انداز کنی و درجایش خرج کنی.
کمی مانده به پایان سال .
خودمون رو جمع و جور کنیم ببینیم چی میخواستیم و چی شد.
برای ۱۴۰۴ برنامه ریزی کنیم و از همون ثانیه اول در ۱ فروردین با تمام روح و جانمون بهش وفادار باشیم.
🔆تهیه اون برنامه نیاز داره که این یکماه براش وقت بذاری و از گذشته عبرت بگیری و خواست هات رو دقیق کنی.
کلا هدف داریم و استراتژی
استراتژی راهکاری برای رسیدن به هدفه
- هدف باید دقیق ، شفاف و شور انگیز باشه
- استراتژی باید دقیق ، عاقلانه و قابل اجرا باشه
بعدش میمونه تعهد شما به برنامه ؛ این تعهد لازمش اینه که هر لحظه جهت حرکت خودتو و برنامه رو بپایی.
🔴نکته: نمیشه همه چیز رو با هم داشت. نیاز به نادیده گرفتن و نه گفتن هست و شاید قربانی دادن؛ تا یک برنامه موفق نوشته بشه.
✅بسم الله:
💫رویاهاتون رو زندگی کنید.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
💢نمیتوان کاری نکرد اما انتظار معجزه داشت.
باید حرکت کنی و وقت بذاری و پس انداز کنی و درجایش خرج کنی.
کمی مانده به پایان سال .
خودمون رو جمع و جور کنیم ببینیم چی میخواستیم و چی شد.
برای ۱۴۰۴ برنامه ریزی کنیم و از همون ثانیه اول در ۱ فروردین با تمام روح و جانمون بهش وفادار باشیم.
🔆تهیه اون برنامه نیاز داره که این یکماه براش وقت بذاری و از گذشته عبرت بگیری و خواست هات رو دقیق کنی.
کلا هدف داریم و استراتژی
استراتژی راهکاری برای رسیدن به هدفه
- هدف باید دقیق ، شفاف و شور انگیز باشه
- استراتژی باید دقیق ، عاقلانه و قابل اجرا باشه
بعدش میمونه تعهد شما به برنامه ؛ این تعهد لازمش اینه که هر لحظه جهت حرکت خودتو و برنامه رو بپایی.
🔴نکته: نمیشه همه چیز رو با هم داشت. نیاز به نادیده گرفتن و نه گفتن هست و شاید قربانی دادن؛ تا یک برنامه موفق نوشته بشه.
✅بسم الله:
💫رویاهاتون رو زندگی کنید.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
ابزاری نوین از مندینت( گوگل)
استخراج کانفیگ بدافزار بصورت اتوماتیک بدون اجرای آن
بسیار جالب
استفاده از این ابزار برای هانت
https://www.googlecloudcommunity.com/gc/Community-Blog/Consuming-Backscatter-Information-to-Perform-Threat-Hunting/ba-p/863828?linkId=12843927
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
استخراج کانفیگ بدافزار بصورت اتوماتیک بدون اجرای آن
بسیار جالب
استفاده از این ابزار برای هانت
https://www.googlecloudcommunity.com/gc/Community-Blog/Consuming-Backscatter-Information-to-Perform-Threat-Hunting/ba-p/863828?linkId=12843927
Please open Telegram to view this post
VIEW IN TELEGRAM
نکته ی روز : یک Wiper برای اکتیو دایرکتوری
اسکریپت BadBlood یک اسکریپت PowerShell است که بهطور خاص میتواند برای تخریب یک دامنه Active Directory استفاده شود. این اسکریپت با تغییر یا حذف کاربران، گروهها، سیاستها و سایر تنظیمات AD، محیط را بهطور کامل غیرقابل بازیابی میکند. یعنی یک ساختار جدیدی بنا میکند.
بنابراین، عملکرد آن به نوعی مشابه یک وایپر برای AD است، زیرا باعث از بین رفتن کامل دادهها و تنظیمات میشود.
به هوش باشید .
پی نوشت: اصولا این اسکریپت برای آماده سازی یک محیط اکتیو دایرکتوری برای تست و آموزش میباشد.
اما در امنیت تقریبا همه چیز دولبه است حتی انسان
https://github.com/davidprowe/BadBlood
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اسکریپت BadBlood یک اسکریپت PowerShell است که بهطور خاص میتواند برای تخریب یک دامنه Active Directory استفاده شود. این اسکریپت با تغییر یا حذف کاربران، گروهها، سیاستها و سایر تنظیمات AD، محیط را بهطور کامل غیرقابل بازیابی میکند. یعنی یک ساختار جدیدی بنا میکند.
بنابراین، عملکرد آن به نوعی مشابه یک وایپر برای AD است، زیرا باعث از بین رفتن کامل دادهها و تنظیمات میشود.
به هوش باشید .
پی نوشت: اصولا این اسکریپت برای آماده سازی یک محیط اکتیو دایرکتوری برای تست و آموزش میباشد.
اما در امنیت تقریبا همه چیز دولبه است حتی انسان
https://github.com/davidprowe/BadBlood
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - davidprowe/BadBlood: BadBlood by @davidprowe, Secframe.com, fills a Microsoft Active Directory Domain with a structure…
BadBlood by @davidprowe, Secframe.com, fills a Microsoft Active Directory Domain with a structure and thousands of objects. The output of the tool is a domain similar to a domain in the real world....
یک اشتباهی که رایج شده استفاده از Wazuh بعنوان EDR است .
اما اون یک EDR نیست
https://www.edr-telemetry.com/eligibility.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اما اون یک EDR نیست
https://www.edr-telemetry.com/eligibility.html
Please open Telegram to view this post
VIEW IN TELEGRAM
با من با زبان استدلال سخن بگوی!!
گامی در تقویت استدلال منطقی.
🟣تفاوت اساسی بین همبستگی (Correlation) و علیت (Causation)
در هوش تهدیدات سایبری (Cyber Threat Intelligence - CTI)
۱. همبستگی (Correlation)
همبستگی به این معنی است که بین دو متغیر یا دو رویداد، نوعی ارتباط آماری وجود دارد، اما لزوماً یکی باعث وقوع دیگری نمیشود. در دنیای CTI، ممکن است مشاهده کنیم که دو نوع حمله سایبری در یک بازه زمانی خاص رخ دادهاند، اما این به این معنی نیست که یکی باعث دیگری شده است.
🔶مثال در CTI:
فرض کنید در یک بازه زمانی مشخص، تعداد حملات فیشینگ افزایش یافته و در همان دوره تعداد حملات بدافزاری نیز بیشتر شده است. این دو رویداد با هم همبستگی دارند، اما ممکن است هیچ رابطه علّی مستقیمی بین آنها وجود نداشته باشد. شاید یک عامل مشترک (مثل تعطیلات یا یک کمپین جدید هکری) باعث افزایش هر دو شده باشد.
۲. علیت (Causation)
علیت به این معنی است که یک رویداد مستقیماً علت رویداد دیگری است. در CTI، اگر بتوانیم نشان دهیم که یک حمله سایبری خاص مستقیماً باعث نقض امنیتی یا رخنه داده شده است، این یک رابطه علّی است.
🔶مثال در CTI:
اگر بررسی کنیم که یک ایمیل فیشینگ حاوی بدافزار، باعث آلوده شدن سیستم و در نتیجه استخراج اطلاعات حساس شده است، این یک رابطه علّی محسوب میشود. یعنی حمله فیشینگ مستقیماً منجر به آلودگی و سرقت اطلاعات شده است.
🔴چرا این تفاوت در CTI مهم است؟
✔️تصمیمگیری درست: اگر صرفاً بر همبستگی تکیه کنیم، ممکن است اقدامات امنیتی نادرستی انجام دهیم، چون فکر میکنیم دو رویداد به هم مرتبط هستند، در حالی که اینطور نیست.
✔️تشخیص دقیق تهدیدات: تحلیلگران CTI باید بتوانند مشخص کنند که آیا یک عامل تهدید مستقیماً باعث یک حمله شده یا صرفاً رویدادهای مشابهی در یک زمان رخ دادهاند.
✔️بهبود پاسخ به تهدیدات: درک علیت به تیمهای امنیتی کمک میکند که روی ریشه مشکل تمرکز کنند، به جای اینکه منابع خود را روی شاخصهای صرفاً همبسته هدر دهند.
به طور خلاصه، همبستگی نشان میدهد که دو رویداد با هم مرتبط هستند، اما علیت نشان میدهد که یک رویداد علت وقوع رویداد دیگر است. در تحلیل تهدیدات سایبری، باید مراقب باشیم که صرفاً بر همبستگی تکیه نکنیم و تا حد امکان روابط علّی را کشف کنیم.
=============================
🔵سناریو
۱: همبستگی (Correlation)
فرض کنید تیم امنیتی یک بانک در حال تحلیل لاگهای امنیتی است و متوجه میشود که افزایش درخواستهای لاگین ناموفق (Failed Login Attempts) با افزایش ترافیک غیرعادی به سرورهای بانک همزمان شده است.
🔍 تحلیل اولیه:
ممکن است این دو رویداد با هم همبستگی داشته باشند.
اما آیا حملات لاگین ناموفق علت افزایش ترافیک غیرعادی است؟ هنوز مشخص نیست!
احتمال دارد هر دو به دلیل یک عامل خارجی مثل حمله گسترده باتنت یا کمپین حمله هماهنگ رخ داده باشند.
🟧 اشتباه رایج: اگر تیم امنیتی بدون بررسی بیشتر فرض کند که این حملات لاگین ناموفق علت اصلی افزایش ترافیک است، ممکن است منابع خود را روی اشتباهات کاربران متمرکز کند و حمله واقعی (مثلاً اسکن گسترده پورتها توسط یک باتنت) را نادیده بگیرد.
سناریو ۲: علیت (Causation)
تیم امنیتی بررسی بیشتری انجام میدهد و با تحلیل رفتار مهاجم (TTPs - Tactics, Techniques, and Procedures) متوجه میشود که افزایش تلاشهای ناموفق لاگین ناشی از یک حمله Brute Force روی RDP سرورها بوده است. پس از آن، یک لاگین موفق مشکوک از یک آدرس IP ناشناس رخ داده که منجر به اجرای یک بدافزار و استخراج دادهها شده است.
🔍 تحلیل فنی:
بررسی لاگها نشان میدهد که پس از چندین تلاش لاگین ناموفق، یک تلاش موفق از همان IP انجام شده است.
لاگین موفق باعث اجرای یک PowerShell Script مشکوک شده که از سرور C2 (Command & Control) دستور میگیرد.
این اسکریپت در نهایت به دزدیده شدن اطلاعات حساس مشتریان بانک منجر شده است.
✅ نتیجه: در اینجا، یک رابطه علّی (Causation) تایید شده است:
حمله Brute Force منجر به یک لاگین موفق شد.
پس از لاگین، اسکریپت مخرب اجرا شد.
اجرای اسکریپت باعث استخراج دادهها شد.
**استدلال منطقی و تفکر نقادانه یکی از مهارت های مهم در امنیت سایبری است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
گامی در تقویت استدلال منطقی.
🟣تفاوت اساسی بین همبستگی (Correlation) و علیت (Causation)
در هوش تهدیدات سایبری (Cyber Threat Intelligence - CTI)
۱. همبستگی (Correlation)
همبستگی به این معنی است که بین دو متغیر یا دو رویداد، نوعی ارتباط آماری وجود دارد، اما لزوماً یکی باعث وقوع دیگری نمیشود. در دنیای CTI، ممکن است مشاهده کنیم که دو نوع حمله سایبری در یک بازه زمانی خاص رخ دادهاند، اما این به این معنی نیست که یکی باعث دیگری شده است.
🔶مثال در CTI:
فرض کنید در یک بازه زمانی مشخص، تعداد حملات فیشینگ افزایش یافته و در همان دوره تعداد حملات بدافزاری نیز بیشتر شده است. این دو رویداد با هم همبستگی دارند، اما ممکن است هیچ رابطه علّی مستقیمی بین آنها وجود نداشته باشد. شاید یک عامل مشترک (مثل تعطیلات یا یک کمپین جدید هکری) باعث افزایش هر دو شده باشد.
۲. علیت (Causation)
علیت به این معنی است که یک رویداد مستقیماً علت رویداد دیگری است. در CTI، اگر بتوانیم نشان دهیم که یک حمله سایبری خاص مستقیماً باعث نقض امنیتی یا رخنه داده شده است، این یک رابطه علّی است.
🔶مثال در CTI:
اگر بررسی کنیم که یک ایمیل فیشینگ حاوی بدافزار، باعث آلوده شدن سیستم و در نتیجه استخراج اطلاعات حساس شده است، این یک رابطه علّی محسوب میشود. یعنی حمله فیشینگ مستقیماً منجر به آلودگی و سرقت اطلاعات شده است.
🔴چرا این تفاوت در CTI مهم است؟
✔️تصمیمگیری درست: اگر صرفاً بر همبستگی تکیه کنیم، ممکن است اقدامات امنیتی نادرستی انجام دهیم، چون فکر میکنیم دو رویداد به هم مرتبط هستند، در حالی که اینطور نیست.
✔️تشخیص دقیق تهدیدات: تحلیلگران CTI باید بتوانند مشخص کنند که آیا یک عامل تهدید مستقیماً باعث یک حمله شده یا صرفاً رویدادهای مشابهی در یک زمان رخ دادهاند.
✔️بهبود پاسخ به تهدیدات: درک علیت به تیمهای امنیتی کمک میکند که روی ریشه مشکل تمرکز کنند، به جای اینکه منابع خود را روی شاخصهای صرفاً همبسته هدر دهند.
به طور خلاصه، همبستگی نشان میدهد که دو رویداد با هم مرتبط هستند، اما علیت نشان میدهد که یک رویداد علت وقوع رویداد دیگر است. در تحلیل تهدیدات سایبری، باید مراقب باشیم که صرفاً بر همبستگی تکیه نکنیم و تا حد امکان روابط علّی را کشف کنیم.
=============================
🔵سناریو
۱: همبستگی (Correlation)
فرض کنید تیم امنیتی یک بانک در حال تحلیل لاگهای امنیتی است و متوجه میشود که افزایش درخواستهای لاگین ناموفق (Failed Login Attempts) با افزایش ترافیک غیرعادی به سرورهای بانک همزمان شده است.
🔍 تحلیل اولیه:
ممکن است این دو رویداد با هم همبستگی داشته باشند.
اما آیا حملات لاگین ناموفق علت افزایش ترافیک غیرعادی است؟ هنوز مشخص نیست!
احتمال دارد هر دو به دلیل یک عامل خارجی مثل حمله گسترده باتنت یا کمپین حمله هماهنگ رخ داده باشند.
🟧 اشتباه رایج: اگر تیم امنیتی بدون بررسی بیشتر فرض کند که این حملات لاگین ناموفق علت اصلی افزایش ترافیک است، ممکن است منابع خود را روی اشتباهات کاربران متمرکز کند و حمله واقعی (مثلاً اسکن گسترده پورتها توسط یک باتنت) را نادیده بگیرد.
سناریو ۲: علیت (Causation)
تیم امنیتی بررسی بیشتری انجام میدهد و با تحلیل رفتار مهاجم (TTPs - Tactics, Techniques, and Procedures) متوجه میشود که افزایش تلاشهای ناموفق لاگین ناشی از یک حمله Brute Force روی RDP سرورها بوده است. پس از آن، یک لاگین موفق مشکوک از یک آدرس IP ناشناس رخ داده که منجر به اجرای یک بدافزار و استخراج دادهها شده است.
🔍 تحلیل فنی:
بررسی لاگها نشان میدهد که پس از چندین تلاش لاگین ناموفق، یک تلاش موفق از همان IP انجام شده است.
لاگین موفق باعث اجرای یک PowerShell Script مشکوک شده که از سرور C2 (Command & Control) دستور میگیرد.
این اسکریپت در نهایت به دزدیده شدن اطلاعات حساس مشتریان بانک منجر شده است.
✅ نتیجه: در اینجا، یک رابطه علّی (Causation) تایید شده است:
حمله Brute Force منجر به یک لاگین موفق شد.
پس از لاگین، اسکریپت مخرب اجرا شد.
اجرای اسکریپت باعث استخراج دادهها شد.
**استدلال منطقی و تفکر نقادانه یکی از مهارت های مهم در امنیت سایبری است.
Please open Telegram to view this post
VIEW IN TELEGRAM
همه چیز را با امنیت بیاورید در سازمان
کوبرنتیز و امنیت
https://www.armosec.io/blog/kubernetes-security-best-practices/?utm_source=chatgpt.com
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
کوبرنتیز و امنیت
https://www.armosec.io/blog/kubernetes-security-best-practices/?utm_source=chatgpt.com
Please open Telegram to view this post
VIEW IN TELEGRAM
ARMO
Kubernetes Security Best Practices + Checklist
Enhance your Kubernetes security with our definitive guide for security professionals. Discover best practices and to protect your infrastructure.
🟣تمرین :کشف هوک
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
𝗜𝗻𝗰𝗶𝗱𝗲𝗻𝘁_𝗥𝗲𝘀𝗽𝗼𝗻𝘀𝗲_𝗣𝗹𝗮𝗻𝗻𝗶𝗻𝗴.pdf
1.6 MB
یکی از نشانه های پیشرفت وجود اسناد خوش نگارش فنی هست
از استرالیا بخوانیم
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
از استرالیا بخوانیم
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1🤩1👨💻1
🟣تمرین :کشف هوک
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
تحلیل روز بخوانیم
https://www.esentire.com/blog/mintsloader-stealc-and-boinc-delivery
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.esentire.com/blog/mintsloader-stealc-and-boinc-delivery
Please open Telegram to view this post
VIEW IN TELEGRAM
eSentire
MintsLoader: StealC and BOINC Delivery
In early January 2025, the eSentire Threat Response Unit (TRU) identified an ongoing campaign involving MintsLoader delivering second stage payloads like…