#امنیت_به_زبان_ساده
هندل (Handle) چیست؟
هندل (Handle) در ویندوز یک شناسهی عددی است که توسط سیستمعامل برای ارجاع به یک شیء (Object) در حافظه استفاده میشود. این اشیاء میتوانند شامل فایلها، پردازشها، رشتهها، سوکتهای شبکه، رجیستری و دیگر منابع سیستم باشند.
بهعبارت سادهتر، هندل مثل یک "دستگیره" است که به برنامهها اجازه میدهد به منابع سیستم دسترسی داشته باشند، بدون اینکه مستقیماً آدرس حافظه آن را بدانند.
🔹 انواع هندلها در ویندوز
در ویندوز، هر چیزی که یک برنامه باز میکند یا استفاده میکند، یک شیء (Object) است که یک هندل دارد. مهمترین انواع هندلها:
1️⃣ هندلهای پردازش (Process Handles)
✅ این هندلها برای کنترل و تعامل با پردازشهای دیگر استفاده میشوند.
✅ اگر یک بدافزار روی پردازشهای امنیتی مانند lsass.exe، taskmgr.exe یا MsMpEng.exe هندل باز کند، احتمالاً قصد تزریق کد یا سرقت اطلاعات دارد.
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》فیلتر روی نام پردازش مشکوک
2️⃣ هندلهای فایل (File Handles)
✅ هر برنامهای که یک فایل را باز میکند، یک هندل روی آن فایل میگیرد.
✅ بدافزارها ممکن است هندلهایی روی فایلهای سیستمی (.exe, .dll, .sys) باز کنند تا آنها را جایگزین کرده یا تغییر دهند.
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》 فیلتر روی C:\Windows\ یا مسیرهای مشکوک
3️⃣ هندلهای رجیستری (Registry Handles)
✅ وقتی یک برنامه مقدار رجیستری را میخواند یا تغییر میدهد، یک هندل روی آن کلید رجیستری باز میکند.
✅ بدافزارها معمولاً در مسیرهای زیر مقدارهایی اضافه میکنند تا در بوت اجرا شوند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》 فیلتر روی HKLM یا HKCU
4️⃣ هندلهای شبکه (Network Handles)
✅ این هندلها برای سوکتهای TCP/UDP استفاده میشوند.
✅ اگر یک برنامه هندلهای زیادی روی Device\Tcp داشته باشد، احتمالاً در حال ارسال یا دریافت اطلاعات از اینترنت است.
✅ برخی بدافزارها از Named Pipe (\Device\NamedPipe\) برای ارتباط مخفیانه استفاده میکنند.
🔍 ابزار برای بررسی: Process Hacker 》تب Handles 》 فیلتر روی \Device\Tcp یا \Device\NamedPipe\
🔹 چگونه هندلها در بدافزارها استفاده میشوند؟
1️⃣ سرقت اطلاعات دسترسی (Credential Dumping)
ابزارهای هکری مانند Mimikatz یک هندل روی lsass.exe باز میکنند تا اطلاعات لاگینها را استخراج کنند.
2️⃣ تزریق کد (Code Injection)
بسیاری از بدافزارها یک هندل روی پردازشهای قانونی (مانند explorer.exe) باز میکنند و کد مخرب را در آن تزریق میکنند.
3️⃣ بایپس آنتیویروس (AV Evasion)
برخی بدافزارها سعی میکنند روی MsMpEng.exe (Windows Defender) یا پردازشهای آنتیویروس هندل باز کنند تا آن را غیرفعال کنند.
4️⃣ برنامههای پنهان (Rootkits & Persistence)
بعضی از روتکیتها یک هندل روی رجیستری یا فایلهای سیستمی باز میکنند تا خودشان را در سیستم نگه دارند.
🔹 چطور هندلهای مشکوک را در Process Hacker بررسی کنیم؟
✅ مرحله 1:
Process Hacker
را باز کنید و به تب Handles بروید.
✅ مرحله 2:
روی یک پردازش مشکوک کلیک راست کنید 》 Properties 》 به تب Handles بروید.
✅ مرحله 3:
بررسی کنید که آیا پردازش روی مسیرهای زیر هندل باز کرده است:
lsass.exe 》 (حمله سرقت کردنشیال)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 》 (اجرای دائمی بدافزار)
\Device\Tcp\ یا \Device\NamedPipe\ 》 (ارتباط مشکوک با شبکه)
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
هندل (Handle) چیست؟
هندل (Handle) در ویندوز یک شناسهی عددی است که توسط سیستمعامل برای ارجاع به یک شیء (Object) در حافظه استفاده میشود. این اشیاء میتوانند شامل فایلها، پردازشها، رشتهها، سوکتهای شبکه، رجیستری و دیگر منابع سیستم باشند.
بهعبارت سادهتر، هندل مثل یک "دستگیره" است که به برنامهها اجازه میدهد به منابع سیستم دسترسی داشته باشند، بدون اینکه مستقیماً آدرس حافظه آن را بدانند.
🔹 انواع هندلها در ویندوز
در ویندوز، هر چیزی که یک برنامه باز میکند یا استفاده میکند، یک شیء (Object) است که یک هندل دارد. مهمترین انواع هندلها:
1️⃣ هندلهای پردازش (Process Handles)
✅ این هندلها برای کنترل و تعامل با پردازشهای دیگر استفاده میشوند.
✅ اگر یک بدافزار روی پردازشهای امنیتی مانند lsass.exe، taskmgr.exe یا MsMpEng.exe هندل باز کند، احتمالاً قصد تزریق کد یا سرقت اطلاعات دارد.
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》فیلتر روی نام پردازش مشکوک
2️⃣ هندلهای فایل (File Handles)
✅ هر برنامهای که یک فایل را باز میکند، یک هندل روی آن فایل میگیرد.
✅ بدافزارها ممکن است هندلهایی روی فایلهای سیستمی (.exe, .dll, .sys) باز کنند تا آنها را جایگزین کرده یا تغییر دهند.
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》 فیلتر روی C:\Windows\ یا مسیرهای مشکوک
3️⃣ هندلهای رجیستری (Registry Handles)
✅ وقتی یک برنامه مقدار رجیستری را میخواند یا تغییر میدهد، یک هندل روی آن کلید رجیستری باز میکند.
✅ بدافزارها معمولاً در مسیرهای زیر مقدارهایی اضافه میکنند تا در بوت اجرا شوند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
🔍 ابزار برای بررسی: Process Hacker 》 تب Handles 》 فیلتر روی HKLM یا HKCU
4️⃣ هندلهای شبکه (Network Handles)
✅ این هندلها برای سوکتهای TCP/UDP استفاده میشوند.
✅ اگر یک برنامه هندلهای زیادی روی Device\Tcp داشته باشد، احتمالاً در حال ارسال یا دریافت اطلاعات از اینترنت است.
✅ برخی بدافزارها از Named Pipe (\Device\NamedPipe\) برای ارتباط مخفیانه استفاده میکنند.
🔍 ابزار برای بررسی: Process Hacker 》تب Handles 》 فیلتر روی \Device\Tcp یا \Device\NamedPipe\
🔹 چگونه هندلها در بدافزارها استفاده میشوند؟
1️⃣ سرقت اطلاعات دسترسی (Credential Dumping)
ابزارهای هکری مانند Mimikatz یک هندل روی lsass.exe باز میکنند تا اطلاعات لاگینها را استخراج کنند.
2️⃣ تزریق کد (Code Injection)
بسیاری از بدافزارها یک هندل روی پردازشهای قانونی (مانند explorer.exe) باز میکنند و کد مخرب را در آن تزریق میکنند.
3️⃣ بایپس آنتیویروس (AV Evasion)
برخی بدافزارها سعی میکنند روی MsMpEng.exe (Windows Defender) یا پردازشهای آنتیویروس هندل باز کنند تا آن را غیرفعال کنند.
4️⃣ برنامههای پنهان (Rootkits & Persistence)
بعضی از روتکیتها یک هندل روی رجیستری یا فایلهای سیستمی باز میکنند تا خودشان را در سیستم نگه دارند.
🔹 چطور هندلهای مشکوک را در Process Hacker بررسی کنیم؟
✅ مرحله 1:
Process Hacker
را باز کنید و به تب Handles بروید.
✅ مرحله 2:
روی یک پردازش مشکوک کلیک راست کنید 》 Properties 》 به تب Handles بروید.
✅ مرحله 3:
بررسی کنید که آیا پردازش روی مسیرهای زیر هندل باز کرده است:
lsass.exe 》 (حمله سرقت کردنشیال)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 》 (اجرای دائمی بدافزار)
\Device\Tcp\ یا \Device\NamedPipe\ 》 (ارتباط مشکوک با شبکه)
Please open Telegram to view this post
VIEW IN TELEGRAM
سازمان شما با کارمندان دارای شغل های دوم و پارت تایم ؛ دچار خطر
گروهی چون لازاروس با اکانت فیک فریب میدهد و نفوذ میکند
https://www.bitdefender.com/en-us/blog/labs/lazarus-group-targets-organizations-with-sophisticated-linkedin-recruiting-scam
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
گروهی چون لازاروس با اکانت فیک فریب میدهد و نفوذ میکند
https://www.bitdefender.com/en-us/blog/labs/lazarus-group-targets-organizations-with-sophisticated-linkedin-recruiting-scam
Please open Telegram to view this post
VIEW IN TELEGRAM
Bitdefender Labs
Lazarus Group Targets Organizations with Sophisticated LinkedIn Recruiting Scam
Bitdefender Labs warns of an active campaign by the North Korea-linked Lazarus Group, targeting organizations by capturing credentials and delivering malware through fake LinkedIn job offers.
💫یه تبلیغی هست که میگه رویاها را باید زندگی کرد.
💢نمیتوان کاری نکرد اما انتظار معجزه داشت.
باید حرکت کنی و وقت بذاری و پس انداز کنی و درجایش خرج کنی.
کمی مانده به پایان سال .
خودمون رو جمع و جور کنیم ببینیم چی میخواستیم و چی شد.
برای ۱۴۰۴ برنامه ریزی کنیم و از همون ثانیه اول در ۱ فروردین با تمام روح و جانمون بهش وفادار باشیم.
🔆تهیه اون برنامه نیاز داره که این یکماه براش وقت بذاری و از گذشته عبرت بگیری و خواست هات رو دقیق کنی.
کلا هدف داریم و استراتژی
استراتژی راهکاری برای رسیدن به هدفه
- هدف باید دقیق ، شفاف و شور انگیز باشه
- استراتژی باید دقیق ، عاقلانه و قابل اجرا باشه
بعدش میمونه تعهد شما به برنامه ؛ این تعهد لازمش اینه که هر لحظه جهت حرکت خودتو و برنامه رو بپایی.
🔴نکته: نمیشه همه چیز رو با هم داشت. نیاز به نادیده گرفتن و نه گفتن هست و شاید قربانی دادن؛ تا یک برنامه موفق نوشته بشه.
✅بسم الله:
💫رویاهاتون رو زندگی کنید.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
💢نمیتوان کاری نکرد اما انتظار معجزه داشت.
باید حرکت کنی و وقت بذاری و پس انداز کنی و درجایش خرج کنی.
کمی مانده به پایان سال .
خودمون رو جمع و جور کنیم ببینیم چی میخواستیم و چی شد.
برای ۱۴۰۴ برنامه ریزی کنیم و از همون ثانیه اول در ۱ فروردین با تمام روح و جانمون بهش وفادار باشیم.
🔆تهیه اون برنامه نیاز داره که این یکماه براش وقت بذاری و از گذشته عبرت بگیری و خواست هات رو دقیق کنی.
کلا هدف داریم و استراتژی
استراتژی راهکاری برای رسیدن به هدفه
- هدف باید دقیق ، شفاف و شور انگیز باشه
- استراتژی باید دقیق ، عاقلانه و قابل اجرا باشه
بعدش میمونه تعهد شما به برنامه ؛ این تعهد لازمش اینه که هر لحظه جهت حرکت خودتو و برنامه رو بپایی.
🔴نکته: نمیشه همه چیز رو با هم داشت. نیاز به نادیده گرفتن و نه گفتن هست و شاید قربانی دادن؛ تا یک برنامه موفق نوشته بشه.
✅بسم الله:
💫رویاهاتون رو زندگی کنید.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
ابزاری نوین از مندینت( گوگل)
استخراج کانفیگ بدافزار بصورت اتوماتیک بدون اجرای آن
بسیار جالب
استفاده از این ابزار برای هانت
https://www.googlecloudcommunity.com/gc/Community-Blog/Consuming-Backscatter-Information-to-Perform-Threat-Hunting/ba-p/863828?linkId=12843927
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
استخراج کانفیگ بدافزار بصورت اتوماتیک بدون اجرای آن
بسیار جالب
استفاده از این ابزار برای هانت
https://www.googlecloudcommunity.com/gc/Community-Blog/Consuming-Backscatter-Information-to-Perform-Threat-Hunting/ba-p/863828?linkId=12843927
Please open Telegram to view this post
VIEW IN TELEGRAM
نکته ی روز : یک Wiper برای اکتیو دایرکتوری
اسکریپت BadBlood یک اسکریپت PowerShell است که بهطور خاص میتواند برای تخریب یک دامنه Active Directory استفاده شود. این اسکریپت با تغییر یا حذف کاربران، گروهها، سیاستها و سایر تنظیمات AD، محیط را بهطور کامل غیرقابل بازیابی میکند. یعنی یک ساختار جدیدی بنا میکند.
بنابراین، عملکرد آن به نوعی مشابه یک وایپر برای AD است، زیرا باعث از بین رفتن کامل دادهها و تنظیمات میشود.
به هوش باشید .
پی نوشت: اصولا این اسکریپت برای آماده سازی یک محیط اکتیو دایرکتوری برای تست و آموزش میباشد.
اما در امنیت تقریبا همه چیز دولبه است حتی انسان
https://github.com/davidprowe/BadBlood
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اسکریپت BadBlood یک اسکریپت PowerShell است که بهطور خاص میتواند برای تخریب یک دامنه Active Directory استفاده شود. این اسکریپت با تغییر یا حذف کاربران، گروهها، سیاستها و سایر تنظیمات AD، محیط را بهطور کامل غیرقابل بازیابی میکند. یعنی یک ساختار جدیدی بنا میکند.
بنابراین، عملکرد آن به نوعی مشابه یک وایپر برای AD است، زیرا باعث از بین رفتن کامل دادهها و تنظیمات میشود.
به هوش باشید .
پی نوشت: اصولا این اسکریپت برای آماده سازی یک محیط اکتیو دایرکتوری برای تست و آموزش میباشد.
اما در امنیت تقریبا همه چیز دولبه است حتی انسان
https://github.com/davidprowe/BadBlood
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - davidprowe/BadBlood: BadBlood by @davidprowe, Secframe.com, fills a Microsoft Active Directory Domain with a structure…
BadBlood by @davidprowe, Secframe.com, fills a Microsoft Active Directory Domain with a structure and thousands of objects. The output of the tool is a domain similar to a domain in the real world....
یک اشتباهی که رایج شده استفاده از Wazuh بعنوان EDR است .
اما اون یک EDR نیست
https://www.edr-telemetry.com/eligibility.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اما اون یک EDR نیست
https://www.edr-telemetry.com/eligibility.html
Please open Telegram to view this post
VIEW IN TELEGRAM
با من با زبان استدلال سخن بگوی!!
گامی در تقویت استدلال منطقی.
🟣تفاوت اساسی بین همبستگی (Correlation) و علیت (Causation)
در هوش تهدیدات سایبری (Cyber Threat Intelligence - CTI)
۱. همبستگی (Correlation)
همبستگی به این معنی است که بین دو متغیر یا دو رویداد، نوعی ارتباط آماری وجود دارد، اما لزوماً یکی باعث وقوع دیگری نمیشود. در دنیای CTI، ممکن است مشاهده کنیم که دو نوع حمله سایبری در یک بازه زمانی خاص رخ دادهاند، اما این به این معنی نیست که یکی باعث دیگری شده است.
🔶مثال در CTI:
فرض کنید در یک بازه زمانی مشخص، تعداد حملات فیشینگ افزایش یافته و در همان دوره تعداد حملات بدافزاری نیز بیشتر شده است. این دو رویداد با هم همبستگی دارند، اما ممکن است هیچ رابطه علّی مستقیمی بین آنها وجود نداشته باشد. شاید یک عامل مشترک (مثل تعطیلات یا یک کمپین جدید هکری) باعث افزایش هر دو شده باشد.
۲. علیت (Causation)
علیت به این معنی است که یک رویداد مستقیماً علت رویداد دیگری است. در CTI، اگر بتوانیم نشان دهیم که یک حمله سایبری خاص مستقیماً باعث نقض امنیتی یا رخنه داده شده است، این یک رابطه علّی است.
🔶مثال در CTI:
اگر بررسی کنیم که یک ایمیل فیشینگ حاوی بدافزار، باعث آلوده شدن سیستم و در نتیجه استخراج اطلاعات حساس شده است، این یک رابطه علّی محسوب میشود. یعنی حمله فیشینگ مستقیماً منجر به آلودگی و سرقت اطلاعات شده است.
🔴چرا این تفاوت در CTI مهم است؟
✔️تصمیمگیری درست: اگر صرفاً بر همبستگی تکیه کنیم، ممکن است اقدامات امنیتی نادرستی انجام دهیم، چون فکر میکنیم دو رویداد به هم مرتبط هستند، در حالی که اینطور نیست.
✔️تشخیص دقیق تهدیدات: تحلیلگران CTI باید بتوانند مشخص کنند که آیا یک عامل تهدید مستقیماً باعث یک حمله شده یا صرفاً رویدادهای مشابهی در یک زمان رخ دادهاند.
✔️بهبود پاسخ به تهدیدات: درک علیت به تیمهای امنیتی کمک میکند که روی ریشه مشکل تمرکز کنند، به جای اینکه منابع خود را روی شاخصهای صرفاً همبسته هدر دهند.
به طور خلاصه، همبستگی نشان میدهد که دو رویداد با هم مرتبط هستند، اما علیت نشان میدهد که یک رویداد علت وقوع رویداد دیگر است. در تحلیل تهدیدات سایبری، باید مراقب باشیم که صرفاً بر همبستگی تکیه نکنیم و تا حد امکان روابط علّی را کشف کنیم.
=============================
🔵سناریو
۱: همبستگی (Correlation)
فرض کنید تیم امنیتی یک بانک در حال تحلیل لاگهای امنیتی است و متوجه میشود که افزایش درخواستهای لاگین ناموفق (Failed Login Attempts) با افزایش ترافیک غیرعادی به سرورهای بانک همزمان شده است.
🔍 تحلیل اولیه:
ممکن است این دو رویداد با هم همبستگی داشته باشند.
اما آیا حملات لاگین ناموفق علت افزایش ترافیک غیرعادی است؟ هنوز مشخص نیست!
احتمال دارد هر دو به دلیل یک عامل خارجی مثل حمله گسترده باتنت یا کمپین حمله هماهنگ رخ داده باشند.
🟧 اشتباه رایج: اگر تیم امنیتی بدون بررسی بیشتر فرض کند که این حملات لاگین ناموفق علت اصلی افزایش ترافیک است، ممکن است منابع خود را روی اشتباهات کاربران متمرکز کند و حمله واقعی (مثلاً اسکن گسترده پورتها توسط یک باتنت) را نادیده بگیرد.
سناریو ۲: علیت (Causation)
تیم امنیتی بررسی بیشتری انجام میدهد و با تحلیل رفتار مهاجم (TTPs - Tactics, Techniques, and Procedures) متوجه میشود که افزایش تلاشهای ناموفق لاگین ناشی از یک حمله Brute Force روی RDP سرورها بوده است. پس از آن، یک لاگین موفق مشکوک از یک آدرس IP ناشناس رخ داده که منجر به اجرای یک بدافزار و استخراج دادهها شده است.
🔍 تحلیل فنی:
بررسی لاگها نشان میدهد که پس از چندین تلاش لاگین ناموفق، یک تلاش موفق از همان IP انجام شده است.
لاگین موفق باعث اجرای یک PowerShell Script مشکوک شده که از سرور C2 (Command & Control) دستور میگیرد.
این اسکریپت در نهایت به دزدیده شدن اطلاعات حساس مشتریان بانک منجر شده است.
✅ نتیجه: در اینجا، یک رابطه علّی (Causation) تایید شده است:
حمله Brute Force منجر به یک لاگین موفق شد.
پس از لاگین، اسکریپت مخرب اجرا شد.
اجرای اسکریپت باعث استخراج دادهها شد.
**استدلال منطقی و تفکر نقادانه یکی از مهارت های مهم در امنیت سایبری است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
گامی در تقویت استدلال منطقی.
🟣تفاوت اساسی بین همبستگی (Correlation) و علیت (Causation)
در هوش تهدیدات سایبری (Cyber Threat Intelligence - CTI)
۱. همبستگی (Correlation)
همبستگی به این معنی است که بین دو متغیر یا دو رویداد، نوعی ارتباط آماری وجود دارد، اما لزوماً یکی باعث وقوع دیگری نمیشود. در دنیای CTI، ممکن است مشاهده کنیم که دو نوع حمله سایبری در یک بازه زمانی خاص رخ دادهاند، اما این به این معنی نیست که یکی باعث دیگری شده است.
🔶مثال در CTI:
فرض کنید در یک بازه زمانی مشخص، تعداد حملات فیشینگ افزایش یافته و در همان دوره تعداد حملات بدافزاری نیز بیشتر شده است. این دو رویداد با هم همبستگی دارند، اما ممکن است هیچ رابطه علّی مستقیمی بین آنها وجود نداشته باشد. شاید یک عامل مشترک (مثل تعطیلات یا یک کمپین جدید هکری) باعث افزایش هر دو شده باشد.
۲. علیت (Causation)
علیت به این معنی است که یک رویداد مستقیماً علت رویداد دیگری است. در CTI، اگر بتوانیم نشان دهیم که یک حمله سایبری خاص مستقیماً باعث نقض امنیتی یا رخنه داده شده است، این یک رابطه علّی است.
🔶مثال در CTI:
اگر بررسی کنیم که یک ایمیل فیشینگ حاوی بدافزار، باعث آلوده شدن سیستم و در نتیجه استخراج اطلاعات حساس شده است، این یک رابطه علّی محسوب میشود. یعنی حمله فیشینگ مستقیماً منجر به آلودگی و سرقت اطلاعات شده است.
🔴چرا این تفاوت در CTI مهم است؟
✔️تصمیمگیری درست: اگر صرفاً بر همبستگی تکیه کنیم، ممکن است اقدامات امنیتی نادرستی انجام دهیم، چون فکر میکنیم دو رویداد به هم مرتبط هستند، در حالی که اینطور نیست.
✔️تشخیص دقیق تهدیدات: تحلیلگران CTI باید بتوانند مشخص کنند که آیا یک عامل تهدید مستقیماً باعث یک حمله شده یا صرفاً رویدادهای مشابهی در یک زمان رخ دادهاند.
✔️بهبود پاسخ به تهدیدات: درک علیت به تیمهای امنیتی کمک میکند که روی ریشه مشکل تمرکز کنند، به جای اینکه منابع خود را روی شاخصهای صرفاً همبسته هدر دهند.
به طور خلاصه، همبستگی نشان میدهد که دو رویداد با هم مرتبط هستند، اما علیت نشان میدهد که یک رویداد علت وقوع رویداد دیگر است. در تحلیل تهدیدات سایبری، باید مراقب باشیم که صرفاً بر همبستگی تکیه نکنیم و تا حد امکان روابط علّی را کشف کنیم.
=============================
🔵سناریو
۱: همبستگی (Correlation)
فرض کنید تیم امنیتی یک بانک در حال تحلیل لاگهای امنیتی است و متوجه میشود که افزایش درخواستهای لاگین ناموفق (Failed Login Attempts) با افزایش ترافیک غیرعادی به سرورهای بانک همزمان شده است.
🔍 تحلیل اولیه:
ممکن است این دو رویداد با هم همبستگی داشته باشند.
اما آیا حملات لاگین ناموفق علت افزایش ترافیک غیرعادی است؟ هنوز مشخص نیست!
احتمال دارد هر دو به دلیل یک عامل خارجی مثل حمله گسترده باتنت یا کمپین حمله هماهنگ رخ داده باشند.
🟧 اشتباه رایج: اگر تیم امنیتی بدون بررسی بیشتر فرض کند که این حملات لاگین ناموفق علت اصلی افزایش ترافیک است، ممکن است منابع خود را روی اشتباهات کاربران متمرکز کند و حمله واقعی (مثلاً اسکن گسترده پورتها توسط یک باتنت) را نادیده بگیرد.
سناریو ۲: علیت (Causation)
تیم امنیتی بررسی بیشتری انجام میدهد و با تحلیل رفتار مهاجم (TTPs - Tactics, Techniques, and Procedures) متوجه میشود که افزایش تلاشهای ناموفق لاگین ناشی از یک حمله Brute Force روی RDP سرورها بوده است. پس از آن، یک لاگین موفق مشکوک از یک آدرس IP ناشناس رخ داده که منجر به اجرای یک بدافزار و استخراج دادهها شده است.
🔍 تحلیل فنی:
بررسی لاگها نشان میدهد که پس از چندین تلاش لاگین ناموفق، یک تلاش موفق از همان IP انجام شده است.
لاگین موفق باعث اجرای یک PowerShell Script مشکوک شده که از سرور C2 (Command & Control) دستور میگیرد.
این اسکریپت در نهایت به دزدیده شدن اطلاعات حساس مشتریان بانک منجر شده است.
✅ نتیجه: در اینجا، یک رابطه علّی (Causation) تایید شده است:
حمله Brute Force منجر به یک لاگین موفق شد.
پس از لاگین، اسکریپت مخرب اجرا شد.
اجرای اسکریپت باعث استخراج دادهها شد.
**استدلال منطقی و تفکر نقادانه یکی از مهارت های مهم در امنیت سایبری است.
Please open Telegram to view this post
VIEW IN TELEGRAM
همه چیز را با امنیت بیاورید در سازمان
کوبرنتیز و امنیت
https://www.armosec.io/blog/kubernetes-security-best-practices/?utm_source=chatgpt.com
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
کوبرنتیز و امنیت
https://www.armosec.io/blog/kubernetes-security-best-practices/?utm_source=chatgpt.com
Please open Telegram to view this post
VIEW IN TELEGRAM
ARMO
Kubernetes Security Best Practices + Checklist
Enhance your Kubernetes security with our definitive guide for security professionals. Discover best practices and to protect your infrastructure.
🟣تمرین :کشف هوک
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
𝗜𝗻𝗰𝗶𝗱𝗲𝗻𝘁_𝗥𝗲𝘀𝗽𝗼𝗻𝘀𝗲_𝗣𝗹𝗮𝗻𝗻𝗶𝗻𝗴.pdf
1.6 MB
یکی از نشانه های پیشرفت وجود اسناد خوش نگارش فنی هست
از استرالیا بخوانیم
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
از استرالیا بخوانیم
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1🤩1👨💻1
🟣تمرین :کشف هوک
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
تحلیل روز بخوانیم
https://www.esentire.com/blog/mintsloader-stealc-and-boinc-delivery
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.esentire.com/blog/mintsloader-stealc-and-boinc-delivery
Please open Telegram to view this post
VIEW IN TELEGRAM
eSentire
MintsLoader: StealC and BOINC Delivery
In early January 2025, the eSentire Threat Response Unit (TRU) identified an ongoing campaign involving MintsLoader delivering second stage payloads like…
تزریق در صفحات بازدیدی کاربران
مقاله ترند میکرو
https://www.trendmicro.com/en_us/research/25/b/chinese-speaking-group-manipulates-seo-with-badiis.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
مقاله ترند میکرو
https://www.trendmicro.com/en_us/research/25/b/chinese-speaking-group-manipulates-seo-with-badiis.html
Please open Telegram to view this post
VIEW IN TELEGRAM
Trend Micro
Chinese-Speaking Group Manipulates SEO with BadIIS
This blog post details our analysis of an SEO manipulation campaign targeting Asia. We also share recommendations that can help enterprises proactively secure their environment.
👍1
مقاله اسپلانک برای کشف
https://www.splunk.com/en_us/blog/security/fantastic-iis-modules-and-how-to-find-them.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.splunk.com/en_us/blog/security/fantastic-iis-modules-and-how-to-find-them.html
Please open Telegram to view this post
VIEW IN TELEGRAM
Splunk
Fantastic IIS Modules and How to Find Them | Splunk
This blog showcases how to enable and ingest IIS operational logs, utilize PowerShell noscripted inputs to ingest installed modules and simulate AppCmd and PowerShell adding new IIS modules and disable HTTP logging using Atomic Red Team.
❤1👍1🔥1
نقش ها و مسوولیت ها در تیم CTI
https://readmedium.com/the-cti-team-roles-and-responsibilities-you-need-bdd3c03f781e
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://readmedium.com/the-cti-team-roles-and-responsibilities-you-need-bdd3c03f781e
Please open Telegram to view this post
VIEW IN TELEGRAM
Readmedium
The CTI Team: Roles and Responsibilities You Need
Discover the key roles and responsibilities required to build a successful cyber threat intelligence team.
❤1👍1🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1🔥1👏1
PowerShell_Threat_Hunting_Obfuscation_Detection_via_Standard_Deviation.wav
48 MB
پادکستی که توسط NotebookLM گوگل برای لینک زیر تولید شد
https://medium.com/@manuel.arrieta_34860/powershell-threat-hunting-identifying-obfuscation-using-standard-deviation-9b2d9f53697f
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://medium.com/@manuel.arrieta_34860/powershell-threat-hunting-identifying-obfuscation-using-standard-deviation-9b2d9f53697f
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1🕊1