مقاله ی برتر امروز

https://medium.com/@ctugglev/you-can-run-but-my-tracker-is-faster-38f9bacaf324

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

برای مهندسان کشف در لینوکس

https://www.elastic.co/security-labs/the-grand-finale-on-linux-persistence

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

حمله Unconstrained Delegation Attack چیست؟

☣️این حمله یکی از حملات پیشرفته در Active Directory (AD) است که از ویژگی Unconstrained Delegation در سرویس‌های ویندوز سوءاستفاده می‌کند. این ویژگی که از زمان Windows 2000 معرفی شد، به سرورهای مشخصی اجازه می‌دهد تا تیکت‌های Kerberos (TGT) کاربران را بدون محدودیت ذخیره و استفاده کنند. مهاجمان می‌توانند از این قابلیت برای دزدیدن نشست‌های احراز هویت کاربران و گسترش دسترسی در شبکه سوءاستفاده کنند.

⬅️این Unconstrained Delegation چیست؟
ویندوز از Kerberos Delegation برای انتقال احراز هویت کاربران بین سرویس‌های مختلف استفاده می‌کند. در Unconstrained Delegation، هر سیستمی که این قابلیت را داشته باشد، می‌تواند بدون هیچ محدودیتی تیکت‌های Kerberos کاربران احراز هویت‌شده را دریافت و استفاده کند.
💡 مشکل اصلی: اگر یک مهاجم کنترل سیستمی را به‌دست بیاورد که این قابلیت را دارد، می‌تواند از تیکت‌های کاربران دیگر برای جعل هویت آن‌ها در سطح شبکه سوءاستفاده کند.
⬅️ مراحل اجرای Unconstrained Delegation Attack
۱) شناسایی سیستم‌های دارای Unconstrained Delegation
مهاجم ابتدا سیستم‌هایی را پیدا می‌کند که این قابلیت را دارند. این کار را می‌توان با اجرای کوئری در PowerShell یا ابزارهای BloodHound و ldapsearch انجام داد:

Get-ADComputer -Filter {TrustedForDelegation -eq $true} -Properties TrustedForDelegation
این دستور لیست تمام سیستم‌هایی را نشان می‌دهد که قابلیت Unconstrained Delegation دارند.
۲) به‌دست آوردن کنترل یک سیستم آسیب‌پذیر
اگر مهاجم بتواند به سیستمی با Unconstrained Delegation دسترسی بگیرد (مثلاً از طریق یک آسیب‌پذیری یا مهندسی اجتماعی)، می‌تواند تیکت‌های کاربران دیگر را دریافت کند.
۳) دزدیدن و سوءاستفاده از تیکت‌های Kerberos
وقتی کاربری به سرور آسیب‌پذیر متصل شود، تیکت Kerberos او در حافظه (LSASS) سرور ذخیره می‌شود. مهاجم می‌تواند با ابزار Mimikatz این تیکت‌ها را استخراج کند:
privilege::debug
sekurlsa::tickets /export
مهاجم سپس می‌تواند این تیکت‌ها را برای جعل هویت کاربرانی مانند Domain Admins استفاده کند.
۴) گسترش دسترسی در شبکه
پس از سرقت تیکت‌های Kerberos، مهاجم می‌تواند:
✅ به سیستم‌های دیگر به‌عنوان کاربران معتبر متصل شود.
✅ به منابع حیاتی مانند Active Directory دسترسی پیدا کند.
✅ امتیازات خود را به سطح Domain Admin ارتقا دهد.
⬅️چطور از این حمله جلوگیری کنیم؟
🔵 غیرفعال‌سازی Unconstrained Delegation
تنظیمات Unconstrained Delegation را در Active Directory بررسی کرده و غیرضروری‌ها را غیرفعال کنید:
Get-ADComputer -Filter {TrustedForDelegation -eq $true} | Set-ADComputer -TrustedForDelegation $false
🔵استفاده از Constrained Delegation
به جای Unconstrained Delegation، از Constrained Delegation (با پروتکل Kerberos فقط) استفاده کنید که دسترسی‌ها را محدودتر می‌کند.
🔵نظارت بر تیکت‌های Kerberos
با ابزارهایی مثل Event Viewer و SIEM، لاگ‌های مرتبط با درخواست‌های Kerberos را بررسی کنید و ترافیک مشکوک را شناسایی کنید.
🔵 محدود کردن دسترسی حساب‌های حساس
✅ حساب‌های Domain Admins و Enterprise Admins نباید به سیستم‌هایی با Unconstrained Delegation لاگین کنند.
✅ از Protected Users Group استفاده کنید تا تیکت‌های Kerberos برای این حساب‌ها ذخیره نشود.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

دوستان عزیزی که باهم کالدرا کارکردیم و سایر دوستان که استفاده میکنند

🔴یک RCE در کالدرا پیدا شده .

احتیاط شرط عقله

https://securityonline.info/cve-2025-27364-cvss-10-remote-code-execution-flaw-found-in-mitre-caldera-poc-releases/

⬅️توضیح برای مبتدیان

کالدرا یک پلتفرم متن‌باز برای انجام شبیه‌سازی تهدیدات و اتوماتیک‌سازی عملیات قرمز (Red Teaming) است که توسط MITRE توسعه داده شده است. این ابزار به تیم‌های امنیتی کمک می‌کند تا حملات سایبری واقعی را شبیه‌سازی کرده و ضعف‌های امنیتی سازمان را شناسایی کنند.
ویژگی‌های کلیدی Caldera

شبیه‌سازی حملات APT: با استفاده از تکنیک‌های چارچوب MITRE ATT&CK، حملات پیشرفته مداوم (APT) را بازسازی می‌کند.
اتوماسیون عملیات Red Team: به تیم‌های قرمز اجازه می‌دهد حملات را بدون نیاز به اجرای دستی، به‌طور خودکار اجرا کنند.
پلاگین‌پذیری: می‌توان قابلیت‌های جدید را از طریق پلاگین‌ها اضافه کرد.
اجرای دستورات روی سیستم‌های هدف: عامل (Agent)های آن روی سیستم‌های مختلف نصب شده و امکان اجرای دستورات مخرب شبیه‌سازی‌شده را دارند.
ارزیابی دفاع سایبری: تیم‌های آبی (Blue Team) می‌توانند نحوه شناسایی و مقابله با حملات را بررسی کنند.

کاربردهای Caldera

تست امنیت سازمان در برابر حملات سایبری
بررسی کارایی سیستم‌های تشخیص و پاسخگویی به تهدیدات (EDR/SIEM)
تمرین و آموزش تحلیلگران امنیتی
شبیه‌سازی نفوذ و شناسایی نقاط ضعف در شبکه

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

به نظرم میارزه براش هزینه کنین

https://store.thedfirreport.com/products/dfir-labs-ctf

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ابزار Tetragon در Kubernetes چه کاری انجام می‌دهد؟

ابزار Tetragon یک ابزار Runtime Security و Observability برای Kubernetes است که توسط Cilium (Isovalent) توسعه یافته و از eBPF برای شکار تهدیدات، مانیتورینگ و اجرای سیاست‌های امنیتی در سطح کرنل استفاده می‌کند.

🚀 هدف اصلی:
✔️ شناسایی و جلوگیری از رفتارهای مخرب در کلاسترهای Kubernetes در زمان اجرا
✔️ دقیق‌ترین اطلاعات ممکن درباره پردازش‌ها، فایل‌ها، شبکه و Syscallها را ارائه می‌دهد
✔️ عدم نیاز به تغییر در کرنل یا برنامه‌های در حال اجرا
📌 قابلیت‌های کلیدی Tetragon
1️⃣ Runtime Process Tracing (رهگیری فرایندها در لحظه)

✅ مشاهده تمام فرایندهای در حال اجرا در Kubernetes
✅ شناسایی اجرای مشکوک دستورات در پادها (مثل bash در یک پاد غیرمنتظره)
✅ مانیتورینگ فرایندهای مرتبط با بدافزارها یا حملات ماندگار (Persistence)
2️⃣ Network Security Enforcement (کنترل امنیت شبکه)

✅ رهگیری ارتباطات شبکه‌ای از داخل کرنل بدون نیاز به iptables
✅ مسدود کردن اتصالات شبکه مشکوک بر اساس رفتارهای غیرعادی
✅ شناسایی Data Exfiltration و جلوگیری از ارسال داده‌ها به IPهای ناشناخته
3️⃣ File & I/O Monitoring (نظارت بر فایل و سیستم ذخیره‌سازی)

✅ رهگیری دسترسی به فایل‌های مهم مثل /etc/shadow
✅ جلوگیری از دسترسی غیرمجاز به فایل‌های حساس در کانتینرها
✅ شناسایی اجرای بدافزارها از دایرکتوری‌های موقت (/tmp)
4️⃣ Policy Enforcement with eBPF (اجرای سیاست‌های امنیتی eBPF)

✅ اعمال قوانین Custom Security Policies بدون نیاز به تغییر در کرنل
✅ جلوگیری از اجرای باینری‌های ناشناس یا غیرمجاز
✅ بلاک کردن استفاده از ابزارهای هک مانند nmap یا netcat در پادها
5️⃣ Deep Kubernetes & Container Security (امنیت عمیق کوبرنتیز و کانتینرها)

✅ بررسی ارتباط پردازش‌ها با namespaceهای K8s
✅ رهگیری تهدیدات در سطح Node، Pod، Container و Cluster
✅ مشاهده تعاملات بین کانتینرها و سیستم‌عامل میزبان

🎯 مثال استفاده از Tetragon در Kubernetes
📌 سناریو: شناسایی اجرای bash در یک Pod مشکوک

فرض کنید در یک Pod قانونی (nginx-pod)، مهاجم سعی می‌کند یک Shell مخفی باز کند.
🚀 راه‌حل با Tetragon:

✅ نصب Tetragon در K8s:

helm repo add cilium https://helm.cilium.io
helm install tetragon cilium/tetragon --namespace kube-system

✅ اجرای یک Policy برای شناسایی bash در Podهای خاص:

apiVersion: cilium.io/v1alpha1
kind: TracingPolicy
metadata:
name: detect-bash
spec:
kprobes:
- call: "do_execveat"
args:
- index: 0
type: "string"
selectors:
- matchArgs:
- index: 0
operator: "Prefix"
values:
- "/bin/bash"

✅ مشاهده لاگ‌ها در لحظه:

kubectl logs -n kube-system -l k8s-app=tetragon

🔍 خروجی (یعنی یک bash غیرمنتظره اجرا شده است! 😨)

{
"process": {
"pid": 12345,
"exe": "/bin/bash",
"args": ["bash"],
"container_id": "nginx-container",
"namespace": "default"
},
"event": "execve",
"timestamp": "2025-03-02T12:00:00Z"
}

✅ اقدام امنیتی: می‌توان با تغییر Policy، اجرای bash را بلاک کرد!
🔎 چرا Tetragon در Kubernetes مهم است؟

🔹 برخلاف SIEMها و ابزارهای معمولی، مستقیماً از کرنل با eBPF اطلاعات می‌گیرد
🔹 بررسی دقیق Syscallها، اجرای پردازش‌ها و فعالیت‌های مشکوک در سطح هسته سیستم
🔹 عدم نیاز به تغییر در کرنل یا نرم‌افزارهای در حال اجرا
🔹 مناسب برای تیم‌های امنیتی، DevSecOps و SOC برای شناسایی تهدیدات

#آکادمی_روزبه

ارتباط با اسپلانک و چالشها
https://isovalent.com/blog/post/top-tetragon-use-cases-part-2/

https://blog.shellnetsecurity.com/2024/01/723/security/from-scattered-to-splunk-bringing-order-to-your-kubernetes-logs/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

مراحل راه‌اندازی Tetragon و Splunk با OpenTelemetry Collector

1️⃣ راه‌اندازی Splunk و تنظیم HTTP Event Collector (HEC)

🔹 یک Splunk Enterprise یا Splunk Cloud داشته باشید.
🔹 این HEC را فعال کنید:

به Settings > Data Inputs > HTTP Event Collector بروید.
یک توکن جدید ایجاد کنید و Index مناسب را تنظیم کنید.
آدرس HEC معمولاً به این شکل است:

https://<your_splunk_hostname_or_ip>:8088/services/collector

2️⃣ راه‌اندازی Kubernetes و OpenTelemetry Collector

🔹 برای جمع‌آوری و ارسال لاگ‌های Kubernetes به Splunk، از Splunk OpenTelemetry Collector استفاده می‌کنیم.
🔹 این Collector را با Helm Chart مستقر کنید.
📌 ایجاد فایل values.yaml

این فایل شامل تنظیمات OpenTelemetry Collector برای ارسال داده‌ها به Splunk است:

clusterName: "my-k8s-cluster"

splunkPlatform:
endpoint: "https://<your_splunk_hostname_or_ip>:8088/services/collector"
token: "<your_hec_token>"
index: "kubernetes"
insecureSkipVerify: true
اگر از گواهی Self-Signed استفاده می‌کنید

logCollection:
enabled: true
excludePaths:
- "/var/log/containers/noisy-container*.log"

3️⃣ استقرار OpenTelemetry Collector در Kubernetes

helm repo add splunk-otel-collector https://signalfx.github.io/splunk-otel-collector-chart
helm install my-otel-collector splunk-otel-collector/splunk-otel-collector -f values.yaml

4️⃣ تأیید ارسال لاگ‌ها در Splunk

📌 در Splunk Search & Reporting، دستور زیر را اجرا کنید تا لاگ‌ها را مشاهده کنید:

index=kubernetes | stats count by host, source

📌 یکپارچه‌سازی Tetragon با Splunk

این Tetragon با جمع‌آوری لاگ‌های امنیتی و فرایندهای در حال اجرا، داده‌های حیاتی را به Splunk ارسال می‌کند.
🔹 ارسال لاگ‌های Tetragon به Splunk از طریق OpenTelemetry

📌 ایجاد tetragon-values.yaml برای تنظیمات Tetragon:

tetragon:
enabled: true
logLevel: "info"

exporters:
splunk_hec:
endpoint: "https://<your_splunk_hostname_or_ip>:8088"
token: "<your_hec_token>"
index: "tetragon"
source: "tetragon-security"
sourcetype: "_json"

📌 استقرار Tetragon با Helm:

helm install tetragon cilium/tetragon -f tetragon-values.yaml

5️⃣ ایجاد داشبورد امنیتی در Splunk

📌 اجرای Query برای نمایش فعالیت‌های مشکوک ثبت‌شده توسط Tetragon:

index=tetragon source="tetragon-security" | table timestamp, process, container, namespace, event_type

🔹 این Query نشان می‌دهد کدام پردازش‌ها در چه Namespace و کانتینری اجرا شده‌اند.
🎯 کاربردهای امنیتی Tetragon در Splunk

✅ تشخیص TLS ضعیف: پیدا کردن ارتباطات با Cipherهای ناامن
✅ ردیابی دسترسی به فایل‌های حساس: مثل /etc/shadow و /root/.ssh/
✅ شناسایی رفتار مشکوک در Pods: مثل اجرای bash در یک پاد غیرمنتظره
✅ ایجاد هشدارهای امنیتی در Splunk بر اساس داده‌های Tetragon
🔚 نتیجه‌گیری

🔹 اینTetragon با استفاده از OpenTelemetry Collector می‌تواند به Splunk متصل شود.
🔹 وSplunk می‌تواند لاگ‌های امنیتی Tetragon را تحلیل کند و هشدارهای لازم را ایجاد کند.
🔹 این یکپارچه‌سازی به تیم‌های امنیتی امکان نظارت دقیق بر فعالیت‌های مشکوک در Kubernetes را می‌دهد.

🚀 با این روش، می‌توان به یک سیستم SIEM قوی برای تحلیل رویدادهای امنیتی Kubernetes دست یافت.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#راهنمای جامع ابزار Mimikatz

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

‏یک گروه هکری مدعی هک بانک سپه شد

گروه هکری Codebreakers می‌گوید اطلاعات مشتریان بانک سپه را هک کرده است. این گروه مدعی شده بیش از ۱۲ ترابایت داده از اطلاعات ۴۲ میلیون مشتری بانک سپه را از سال ۱۳۰۴ تا ۱۴۰۴ در اختیار دارد.

همچنین طبق ادعای هکرها، اطلاعات هک‌شده شامل اطلاعات بانکی اشخاص نظامی نیز است.

این هک در روزهای گذشته انجام شده و هکرها ۷۲ ساعت به بانک سپه فرصت داده بودند که برای جلوگیری از فروش اطلاعات وارد مذاکره شود اما در پستی که در کانال تلگرامی هکرها منتشر شده، آمده است: «مدیران این بانک برای مشتریان خود ارزشی قائل نشده و حاضر به پرداخت حتی ۱ دلار برای حفظ اطلاعات هر مشتری نبودند.»

در تصاویری که هکرها منتشر کرده‌اند، اسنادی با عنوان «شناسنامه انباره داده» و با سربرگ شرکت «داتین» نیز دیده‌ می‌شود.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔹آژانس امنیت سایبری و امنیت زیرساخت‌ها (Cybersecurity and Infrastructure Security Agency) یا CISA، یک دفترچه کار (workbook) منتشر کرده و در آن برای تدوین طرح امنیت اطلاعات در سازمان، راهنمایی گام‌به گام را قرار داده است.

🔹هدف این دفترچه برنامه‌ریزی امنیتی، گردآوری اطلاعات کلیدی است که می‌تواند به شما در ساخت یک برنامه جامع امنیتی کمک کند.

🔹این راهنما انعطاف‌پذیر و مقیاس‌پذیر است و می‌تواند برای هر نوع کسب‌وکار یا سازمانی مناسب باشد.
#security
#planning
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

مراحل راه‌اندازی Tetragon و Splunk با OpenTelemetry Collector

1️⃣ راه‌اندازی Splunk و تنظیم HTTP Event Collector (HEC)

🔹 یک Splunk Enterprise یا Splunk Cloud داشته باشید.
🔹 این HEC را فعال کنید:

به Settings > Data Inputs > HTTP Event Collector بروید.
یک توکن جدید ایجاد کنید و Index مناسب را تنظیم کنید.
آدرس HEC معمولاً به این شکل است:

https://<your_splunk_hostname_or_ip>:8088/services/collector

2️⃣ راه‌اندازی Kubernetes و OpenTelemetry Collector

🔹 برای جمع‌آوری و ارسال لاگ‌های Kubernetes به Splunk، از Splunk OpenTelemetry Collector استفاده می‌کنیم.
🔹 این Collector را با Helm Chart مستقر کنید.
📌 ایجاد فایل values.yaml

این فایل شامل تنظیمات OpenTelemetry Collector برای ارسال داده‌ها به Splunk است:

clusterName: "my-k8s-cluster"

splunkPlatform:
endpoint: "https://<your_splunk_hostname_or_ip>:8088/services/collector"
token: "<your_hec_token>"
index: "kubernetes"
insecureSkipVerify: true
اگر از گواهی Self-Signed استفاده می‌کنید

logCollection:
enabled: true
excludePaths:
- "/var/log/containers/noisy-container*.log"

3️⃣ استقرار OpenTelemetry Collector در Kubernetes

helm repo add splunk-otel-collector https://signalfx.github.io/splunk-otel-collector-chart
helm install my-otel-collector splunk-otel-collector/splunk-otel-collector -f values.yaml

4️⃣ تأیید ارسال لاگ‌ها در Splunk

📌 در Splunk Search & Reporting، دستور زیر را اجرا کنید تا لاگ‌ها را مشاهده کنید:

index=kubernetes | stats count by host, source

📌 یکپارچه‌سازی Tetragon با Splunk

این Tetragon با جمع‌آوری لاگ‌های امنیتی و فرایندهای در حال اجرا، داده‌های حیاتی را به Splunk ارسال می‌کند.
🔹 ارسال لاگ‌های Tetragon به Splunk از طریق OpenTelemetry

📌 ایجاد tetragon-values.yaml برای تنظیمات Tetragon:

tetragon:
enabled: true
logLevel: "info"

exporters:
splunk_hec:
endpoint: "https://<your_splunk_hostname_or_ip>:8088"
token: "<your_hec_token>"
index: "tetragon"
source: "tetragon-security"
sourcetype: "_json"

📌 استقرار Tetragon با Helm:

helm install tetragon cilium/tetragon -f tetragon-values.yaml

5️⃣ ایجاد داشبورد امنیتی در Splunk

📌 اجرای Query برای نمایش فعالیت‌های مشکوک ثبت‌شده توسط Tetragon:

index=tetragon source="tetragon-security" | table timestamp, process, container, namespace, event_type

🔹 این Query نشان می‌دهد کدام پردازش‌ها در چه Namespace و کانتینری اجرا شده‌اند.
🎯 کاربردهای امنیتی Tetragon در Splunk

✅ تشخیص TLS ضعیف: پیدا کردن ارتباطات با Cipherهای ناامن
✅ ردیابی دسترسی به فایل‌های حساس: مثل /etc/shadow و /root/.ssh/
✅ شناسایی رفتار مشکوک در Pods: مثل اجرای bash در یک پاد غیرمنتظره
✅ ایجاد هشدارهای امنیتی در Splunk بر اساس داده‌های Tetragon
🔚 نتیجه‌گیری

🔹 اینTetragon با استفاده از OpenTelemetry Collector می‌تواند به Splunk متصل شود.
🔹 وSplunk می‌تواند لاگ‌های امنیتی Tetragon را تحلیل کند و هشدارهای لازم را ایجاد کند.
🔹 این یکپارچه‌سازی به تیم‌های امنیتی امکان نظارت دقیق بر فعالیت‌های مشکوک در Kubernetes را می‌دهد.

🚀 با این روش، می‌توان به یک سیستم SIEM قوی برای تحلیل رویدادهای امنیتی Kubernetes دست یافت.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

خبر روز

اتهام به کسپرسکی

بر اساس مقاله‌ای که در تاریخ ۲۸ فوریه ۲۰۲۵ در وب‌سایت KrebsOnSecurity منتشر شده است، یکی از ارائه‌دهندگان بدنام خدمات میزبانی وب موسوم به "Prospero OOO" که به تسهیل فعالیت‌های مجرمان سایبری می‌پردازد، عملیات خود را از طریق شبکه‌های شرکت امنیتی روسی کسپرسکی هدایت می‌کند. این شرکت به ارائه خدمات میزبانی مقاوم در برابر سوءاستفاده‌های قانونی، معروف به "bulletproof hosting"، شناخته می‌شود و از سال ۲۰۱۹ به میزبانی بدافزارها، سرورهای کنترل بات‌نت و وب‌سایت‌های فیشینگ مشغول بوده است.

شرکت امنیتی فرانسوی Intrinsec در سال گذشته ارتباطات Prospero را با سرویس‌های میزبانی مقاوم در برابر سوءاستفاده تحت نام‌های Securehost و BEARHOST در انجمن‌های جرایم سایبری روسی بررسی کرده است. این تحقیقات نشان می‌دهد که Prospero میزبان سرورهای کنترل برای چندین گروه باج‌افزار در دو سال گذشته بوده و به طور مکرر عملیات‌های بدافزاری مانند SocGholish و GootLoader را میزبانی کرده است که عمدتاً از طریق به‌روزرسانی‌های جعلی مرورگر در وب‌سایت‌های هک‌شده منتشر می‌شوند و اغلب زمینه‌ساز نفوذهای جدی‌تر سایبری، از جمله باج‌افزارها، هستند.

سازمان Spamhaus که بسیاری از ارائه‌دهندگان خدمات اینترنتی در سراسر جهان برای شناسایی و مسدود کردن منابع بدافزار و اسپم به آن متکی هستند، اخیراً مشاهده کرده است که Prospero اتصال خود به اینترنت را از طریق شبکه‌های کسپرسکی در مسکو انجام می‌دهد.

در واکنش به این موضوع، کسپرسکی در بیانیه‌ای اعلام کرده است که هیچ‌گونه همکاری با Prospero نداشته و مسیرهای شبکه‌ای که ممکن است نشان‌دهنده ارتباط باشند، به دلیل مسائل فنی و ارائه خدمات DDoS به سایر ارائه‌دهندگان مخابراتی است. کسپرسکی تأکید کرده است که به اصول اخلاقی در کسب‌وکار پایبند بوده و در حال بررسی این وضعیت برای اطلاع‌رسانی به شبکه‌های مربوطه به منظور اتخاذ تدابیر لازم است.


https://krebsonsecurity.com/2025/02/notorious-malware-spam-host-prospero-moves-to-kaspersky-lab/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

مروری بر HELK

در HELK (Hunting ELK) که یک پلتفرم متن‌باز برای تحلیل تهدیدات و شکار تهدیدات سایبری است، هر کامپوننت نقش خاصی در جمع‌آوری، پردازش، ذخیره‌سازی و تحلیل داده‌های امنیتی ایفا می‌کند.
🔹 کامپوننت‌های اصلی HELK و وظایف آن‌ها
1️⃣ Beats (جمع‌آوری داده)

🔹 وظیفه: جمع‌آوری لاگ‌ها و داده‌های سیستمی از نقاط انتهایی (Endpoints) و ارسال به سرور HELK.
✔️ شامل Filebeat (جمع‌آوری لاگ‌ها)، Winlogbeat (جمع‌آوری لاگ‌های ویندوز)، Packetbeat (تحلیل ترافیک شبکه).

🛠 مثال:
اگر بخواهیم لاگ‌های مربوط به PowerShell را از سیستم‌های ویندوزی دریافت کنیم، Winlogbeat را روی کلاینت‌ها نصب می‌کنیم تا این داده‌ها را ارسال کند.
2️⃣ Logstash
(پردازش و فرمت‌بندی داده‌ها)

🔹 وظیفه: پردازش داده‌ها، فیلتر کردن، فرمت‌بندی و ارسال به Elasticsearch.
✔️ تبدیل داده‌های خام به فرمت قابل جستجو و تحلیل.
✔️ حذف نویزها و داده‌های نامرتبط برای بهبود کارایی تحلیل‌ها.

🛠 مثال:
Logstash لاگ‌های دریافتی از Beats را پردازش کرده و به جای نمایش مقادیر خام، آن‌ها را به صورت نام کاربری، آدرس IP، نوع رویداد امنیتی و سطح تهدید دسته‌بندی می‌کند.
3️⃣ Kafka (مدیریت جریان داده‌ها)

🔹 وظیفه: به عنوان یک Message Broker عمل کرده و از ازدحام داده‌ها جلوگیری می‌کند.
✔️ ذخیره موقت و انتقال لاگ‌ها بین کامپوننت‌های مختلف.
✔️ تضمین می‌کند که هیچ داده‌ای در حجم بالا از بین نمی‌رود.

🛠 مثال:
وقتی تعداد زیادی لاگ از هزاران سیستم وارد HELK می‌شود، Kafka لاگ‌ها را مدیریت می‌کند تا Elasticsearch و Logstash دچار ازدحام پردازش نشوند.
4️⃣ Elasticsearch
(ذخیره‌سازی و جستجوی داده‌ها)

🔹 وظیفه: ذخیره‌سازی لاگ‌ها در قالب شاخص‌های جستجوپذیر (Indices).
✔️ امکان جستجوی سریع و انجام تحلیل‌های پیچیده روی داده‌ها.
✔️ پشتیبانی از کوئری‌های پیشرفته برای تهدیدکاوی و تحلیل رخدادها.

🛠 مثال:
اگر بخواهیم همه‌ی لاگ‌های مربوط به تلاش‌های ورود ناموفق به یک سرور خاص را پیدا کنیم، Elasticsearch این اطلاعات را با یک Query ساده در کسری از ثانیه استخراج می‌کند.
5️⃣ Kibana
(نمایش داده‌ها و داشبورد تحلیلی)

🔹 وظیفه: نمایش و تحلیل داده‌ها در قالب داشبوردهای گرافیکی و بصری.
✔️ امکان ایجاد نمودارهای امنیتی، هشدارها و داشبوردهای تعاملی.
✔️ کمک به تحلیلگران امنیتی و شکارچیان تهدید برای بررسی الگوهای حمله.

🛠 مثال:
اگر بخواهیم روند افزایش حملات Brute Force را در چند هفته گذشته مشاهده کنیم، Kibana نمودارهای زمان‌بندی شده ارائه می‌دهد که نشان می‌دهد چه زمانی حملات افزایش یافته‌اند.
6️⃣ Jupyter Notebook
(تحلیل داده‌های امنیتی و یادگیری ماشین)

🔹 وظیفه: استفاده از یادگیری ماشین و تحلیل داده‌های تهدیدات امنیتی.
✔️ امکان نوشتن کدهای پایتون برای تحلیل پیشرفته لاگ‌ها.
✔️ قابلیت اتصال به Elasticsearch و پردازش لاگ‌ها با الگوریتم‌های هوش مصنوعی.

🛠 مثال:
می‌توانیم با استفاده از Jupyter Notebook یک مدل یادگیری ماشین برای تشخیص رفتارهای مشکوک کاربران در شبکه آموزش دهیم.
🔹 جمع‌بندی: ارتباط بین کامپوننت‌های HELK

🔗 Beats → لاگ‌ها را از نقاط انتهایی جمع‌آوری می‌کند.
🔗 Logstash → لاگ‌ها را پردازش کرده و به Kafka یا Elasticsearch ارسال می‌کند.
🔗 Kafka → لاگ‌های حجیم را مدیریت می‌کند تا پردازش داده بهینه باشد.
🔗 Elasticsearch → داده‌های پردازش‌شده را ذخیره و آماده جستجو می‌کند.
🔗 Kibana → نمایش داده‌ها به صورت نمودار و داشبورد تحلیلی.
🔗 Jupyter Notebook → تحلیل داده‌ها با یادگیری ماشین برای شناسایی تهدیدات.

🎯 نتیجه: HELK یک پلتفرم یکپارچه برای شکار تهدیدات امنیتی است که داده‌ها را از منابع مختلف جمع‌آوری، پردازش، ذخیره‌سازی و تحلیل می‌کند.


🔹 کامپوننت‌های پیشرفته در HELK: Spark, ES-Hadoop, GraphFrames, KSQL

علاوه بر کامپوننت‌های اصلی، HELK از ابزارهای پیشرفته‌ای مانند Apache Spark, ES-Hadoop, GraphFrames و KSQL استفاده می‌کند که برای تحلیل داده‌های حجیم، پردازش توزیع‌شده و تحلیل گرافی به کار می‌روند. در ادامه، نقش هر کدام را بررسی می‌کنیم.
1️⃣ Apache Spark
(پردازش توزیع‌شده و آنالیز داده‌های بزرگ)

🔹 وظیفه: Spark یک موتور پردازش داده توزیع‌شده است که در HELK برای تحلیل سریع لاگ‌های حجیم و شکار تهدیدات امنیتی استفاده می‌شود.
✔️ پردازش موازی داده‌ها روی چندین نود.
✔️ تجزیه و تحلیل داده‌ها با Machine Learning و Stream Processing.
✔️ استفاده از PySpark برای نوشتن تحلیل‌های امنیتی

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ادامه از پست HELK

🛠 مثال:
در یک حمله Brute Force، اگر میلیون‌ها لاگ از تلاش‌های ناموفق ورود به سیستم را داشته باشیم، Spark به‌صورت توزیع‌شده این لاگ‌ها را پردازش و الگوهای حمله را شناسایی می‌کند.
2️⃣ ES-Hadoop
(اتصال Elasticsearch به Apache Spark و Hadoop)

🔹 وظیفه: ES-Hadoop یک پل ارتباطی بین Elasticsearch و Hadoop/Spark است که امکان پردازش داده‌های ذخیره‌شده در Elasticsearch را با Apache Spark یا Hadoop فراهم می‌کند.
✔️ اجرای کوئری‌های پیچیده روی داده‌های حجیم ذخیره‌شده در Elasticsearch.
✔️ امکان انتقال داده‌ها بین Elasticsearch و HDFS (Hadoop Distributed File System).

🛠 مثال:
فرض کنید می‌خواهیم داده‌های لاگ‌های سیستم‌های مختلف را که در Elasticsearch ذخیره شده‌اند، به HDFS انتقال دهیم تا پردازش توزیع‌شده‌ای روی آن‌ها انجام دهیم. ES-Hadoop این ارتباط را برقرار می‌کند.
3️⃣ GraphFrames
(تحلیل گرافی روی لاگ‌ها و ارتباطات مشکوک)

🔹 وظیفه: GraphFrames یک موتور تحلیل داده‌های گرافی در Apache Spark است که برای تحلیل ارتباطات میان کاربران، دستگاه‌ها و رویدادهای امنیتی در HELK استفاده می‌شود.
✔️ امکان شناسایی ارتباطات مشکوک بین کاربران و IPهای مخرب.
✔️ استفاده در تحلیل تهدیدات شبکه‌ای (مثلاً بررسی مسیرهای حمله یک APT).
✔️ امکان اجرای الگوریتم‌های گرافی مانند PageRank و Shortest Path برای تحلیل جریان داده‌ها.

🛠 مثال:
فرض کنید مهاجمی از چندین IP مختلف وارد شبکه شده و ارتباطاتی بین کاربران برقرار کرده است. با استفاده از GraphFrames می‌توان گراف این ارتباطات را رسم و نقاط کلیدی حمله را شناسایی کرد.
4️⃣ KSQL
(پردازش و تحلیل رویدادهای امنیتی به‌صورت Real-Time)

🔹 وظیفه: KSQL یک نسخه SQL-محور از Apache Kafka Streams است که برای پردازش و تحلیل جریان داده‌های امنیتی به‌صورت لحظه‌ای در HELK استفاده می‌شود.
✔️ نوشتن Queryهای SQL روی استریم‌های Kafka.
✔️ فیلتر کردن و تجزیه و تحلیل لاگ‌ها به‌صورت Real-Time.
✔️ تشخیص الگوهای حمله و تهدیدات سایبری در همان لحظه وقوع.

🛠 مثال:
اگر بخواهیم همه‌ی لاگ‌های مربوط به تلاش‌های ورود ناموفق از یک کشور خاص را در لحظه فیلتر کنیم، می‌توانیم از KSQL استفاده کنیم تا داده‌های Kafka را با یک کوئری SQL پردازش کنیم:

SELECT * FROM login_attempts_stream
WHERE status = 'failed'
AND country = 'Russia';

🔹 ارتباط این کامپوننت‌ها در HELK

✔️ Apache Spark
پردازش توزیع‌شده روی داده‌های حجیم را انجام می‌دهد.
✔️ ES-Hadoop
داده‌های Elasticsearch را برای Spark و Hadoop آماده می‌کند.
✔️ GraphFrames
تحلیل گرافی را روی ارتباطات مشکوک انجام می‌دهد.
✔️ KSQL
تحلیل لاگ‌های Kafka را به‌صورت Real-Time انجام می‌دهد.

✅ این ابزارها، HELK را به یک پلتفرم قدرتمند برای شکار تهدیدات سایبری و تحلیل داده‌های امنیتی تبدیل می‌کنند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

هوش هیجانی
و کاربرد آن در امنیت سایبری

در دنیای امروز، امنیت سایبری تنها به مهارت‌های فنی محدود نمی‌شود. یک تحلیلگر امنیتی نه‌تنها باید با تهدیدات، ابزارهای شناسایی و روش‌های حمله آشنا باشد، بلکه باید بتواند در شرایط بحرانی بهترین تصمیم را بگیرد، با تیم‌های مختلف همکاری کند و استرس ناشی از حوادث امنیتی را مدیریت کند. اینجاست که هوش هیجانی (Emotional Intelligence - EI) به عنوان یک مهارت حیاتی مطرح می‌شود.

🤔هوش هیجانی چیست؟

هوش هیجانی به توانایی فرد در شناخت، مدیریت و کنترل احساسات خود و دیگران اشاره دارد. دانیل گلمن، روانشناس برجسته، پنج مؤلفه اصلی هوش هیجانی را معرفی کرده است:

✳️ خودآگاهی (Self-Awareness) – توانایی شناخت احساسات خود و درک تأثیر آن‌ها بر تصمیم‌گیری و عملکرد.
✳️ خودمدیریتی (Self-Regulation) – کنترل احساسات، حفظ آرامش در شرایط بحرانی و جلوگیری از تصمیم‌های عجولانه.
✳️ انگیزه (Motivation) – داشتن انگیزه درونی برای پیشرفت و یادگیری مداوم.
✳️ همدلی (Empathy) – درک احساسات و دیدگاه‌های دیگران، که در ارتباطات تیمی حیاتی است.
✳️ مهارت‌های اجتماعی (Social Skills) – توانایی برقراری ارتباط مؤثر، مذاکره و حل تعارضات.

🔴چرا هوش هیجانی در امنیت سایبری مهم است؟
۱. مدیریت استرس در شرایط بحرانی

کارشناسان امنیتی اغلب در شرایط اضطراری مانند حملات سایبری، نشت داده‌ها و حوادث امنیتی کار می‌کنند. یک فرد با هوش هیجانی بالا می‌تواند آرامش خود را حفظ کرده، تصمیمات منطقی بگیرد و تیم را از سردرگمی نجات دهد.
۲. بهبود ارتباطات در تیم‌های امنیتی

امنیت سایبری نیاز به همکاری تیمی قوی دارد. کارشناسان امنیتی باید بتوانند یافته‌های خود را به سایر تیم‌ها مانند توسعه‌دهندگان، مدیران فناوری اطلاعات و حتی مدیران اجرایی منتقل کنند. افرادی که مهارت‌های ارتباطی قوی دارند، می‌توانند تهدیدات را بهتر توضیح دهند، دیگران را متقاعد کنند و راهکارهای امنیتی را اجرا کنند.
۳. تشخیص تهدیدات مهندسی اجتماعی

بسیاری از حملات سایبری، مانند فیشینگ، از طریق فریب و تأثیرگذاری بر احساسات افراد انجام می‌شوند. یک فرد با هوش هیجانی بالا می‌تواند احساسات خود را کنترل کند و کمتر تحت تأثیر ترفندهای روان‌شناختی هکرها قرار بگیرد.
۴. حل تعارضات و مدیریت اختلافات

در تیم‌های امنیتی، اختلاف‌نظر درباره روش‌های دفاع سایبری اجتناب‌ناپذیر است. افراد با هوش هیجانی بالا می‌توانند تعارضات را مدیریت کرده، راه‌حل‌های مشترک پیدا کنند و بدون ایجاد درگیری، نظرات خود را بیان کنند.
۵. افزایش انعطاف‌پذیری در برابر تغییرات

دنیای امنیت سایبری به سرعت در حال تغییر است. افرادی که انگیزه و انعطاف‌پذیری بالایی دارند، می‌توانند به‌راحتی با تکنولوژی‌های جدید سازگار شوند و مهارت‌های خود را ارتقا دهند.

✔️چگونه می‌توان هوش هیجانی را در امنیت سایبری تقویت کرد؟

۱. تمرین خودآگاهی: تحلیل احساسات خود در شرایط استرس‌زا و تلاش برای درک واکنش‌های هیجانی.
۲. تقویت مهارت‌های ارتباطی: تمرین مذاکره، ارائه گزارش‌های امنیتی مؤثر و تعامل با تیم‌های مختلف.
۳. مدیریت استرس: استفاده از تکنیک‌های کاهش استرس مانند تمرینات تنفسی، مدیتیشن و ورزش.
۴. توسعه همدلی: درک نیازها و دغدغه‌های کاربران و تیم‌های دیگر برای ارائه راهکارهای امنیتی کارآمدتر.
۵. یادگیری از تجربیات گذشته: بررسی نحوه مدیریت بحران‌های امنیتی و بهبود نقاط ضعف در تصمیم‌گیری.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ابزار روز

کمک مهمی در فارنزیک

https://m.youtube.com/watch?v=-aacZrfSgLg

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

معماری HELK


🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🫵 اگر به هم اعتماد نکنیم، همه می‌بازیم!

تئوری بازی (game theory) یکی از مسائل مورد علاقه من در ریاضیات است. تئوری‌‌ای که در اقتصاد، مهندسی و سیاست هم بسط پیدا کرده است. تقریبا در تمام منابعی که من دیده‌ام، از یک مثال ساده و کلاسیک برای توضیح این تئوری استفاده می‌شود. مثالی که به معمای دوگانه‌ی زندانی (Prisoner's Dilemma) معروف است:
دو نفر بازداشت می‌شوند. اگر هیچ کدام دیگری را لو ندهد و بر علیه او اعتراف نکند هر کدام یک سال حبس می‌گیرند، اگر هر دو بر علیه دیگری اعتراف کنند هر کدام پنج سال حبس می‌گیرند و اگر فقط یک نفر بر علیه دیگری اعتراف کند خودش آزاد می‌شود و فرد مقابل ده سال حبس می‌گیرد. حالا فکر می‌کنید چه اتفاقی خواهد افتاد؟
تئوری بازی با استفاده از مفاهیم ریاضی توضیح می‌دهد که اساسا وقتی سرنوشت ما و تصمیماتمان در یک فرآیند جمعی در گرو تصمیم دیگران است ما نمی‌توانیم با تصمیمات یکجانبه به تنهایی برنده باشیم. حتی مفهوم برنده بودن را هم بازتعریف می‌کند. ما گاهی بازی‌های جمع صفر (zero sum) داریم مثل شطرنج، که اگر من ببازم تو می‌بری. اما مسائل زیادی از جمله روابط انسانی اغلب جمع غیر صفر (non-zero sum) است یعنی من اگر ببازم، تو الزاما نمی‌بری.
بهانه نوشتن این متن اما جمله‌ای بود که از آقای مصطفی مهرآیین در یک مناظره شنیدم. ایشان خطاب به ساختار حاکم می‌گفت ما باید باور کنیم خوشحالی یک امر جمعی است، که یک گروه نمی‌تواند به تنهایی تصمیماتی بگیرد که فقط خودش شاد شود. حال من اگر خوب نباشد، حال تو هم خوب نخواهد شد (نقل به مضمون).
نمی‌دانم آقای مهرآیین با تئوری بازی آشنا هست یا نه ولی این می‌تواند یکی از زیباترین توصیفات این تئوری باشد. صرف نظر از دیدگاه‌های سیاسی، مذهبی، اجتماعی و فرهنگی، تا زمانی که ما فارسی صحبت می‌کنیم، تا زمانی که نوروز را با هم جشن می‌گیریم و تا زمانی که تمام دنیا ما را به یک نامِ واحدِ "ایرانی" می‌شناسد، ما چه از همدیگر خوشمان بیاید چه نیاید، چه بتوانیم با هم کنار بیایم چه نتوانیم، سرنوشتمان به هم گره خورده است. در رابطه با همکار و همسایه و همشهری که هیچ، حتی فراتر از مرزهای جغرافیایی، اگر تو که در ایران هستی ببازی، منی که دور از تو هستم نمی‌برم و همینطور برعکس.
ای کاش در کنار انبوه مفاهیم بی‌فایده‌ای که در ریاضیات به خورد ما دادند (که من هنوز هم نفهمیدم چه دردی از من دوا می‌شود اگر بتوانم عددی را از مبنای ۴ به مبنای ۷ ببرم!)، تئوری بازی را هم در مدارس آموزش می‌دادند. اصلا ای کاش مصطفی مهرآئین را بیاورند در یک مناظره فقط تئوری بازی آموزش بدهد!

✍️دکتر مسعود قدرت آبادی

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

فردی که در تصویر مشاهده می‌کنید، Noah Urban نام دارد؛ هکری ۲۰ ساله و از اعضای گروه هکری موسوم به Spider Hacking. او با بهره‌گیری از تکنیک پیشرفته‌ی SIM Swapping موفق شده است مجموعاً ۸۰۰ هزار دلار ارز دیجیتال را از ۵ قربانی مختلف سرقت کند.

در حمله‌ی SIM Swapping، مهاجم با استفاده از ترکیبی از مهندسی اجتماعی و ابزارهای تخصصی، موفق به انتقال مالکیت شماره تلفن قربانی به سیم‌کارتی می‌شود که در اختیار خودش قرار دارد. این فرآیند معمولاً با تماس یا جعل هویت قربانی نزد اپراتور مخابراتی انجام می‌شود.

برای اجرای این نوع حمله، مهاجم معمولاً از ابزارها و تکنیک‌های زیر استفاده می‌کند:
• مرحله OSINT tools (مانند Maltego یا Recon-ng) برای جمع‌آوری اطلاعات عمومی قربانی مثل تاریخ تولد، آدرس، ایمیل، شماره شناسنامه و اطلاعات حساب‌های آنلاین.
• مرحله Spoofing tools (مثل CallerID Spoofing apps) برای جعل شماره تماس و تماس با پشتیبانی اپراتور به‌عنوان شخص قربانی
• مرحله Phishing kits یا صفحات جعلی برای فریب کاربر و استخراج اطلاعات حساس مثل PIN حساب کاربری یا پاسخ به سوالات امنیتی
• مرحله Social Engineering noscripts برای متقاعدسازی اپراتور از طریق تماس تلفنی با استفاده از اطلاعات جمع‌آوری‌شده
• مرحله SIM Card Activation tools یا خدمات زیرزمینی برای فعال‌سازی سیم‌کارت جدید با شماره تلفن قربانی، در همکاری با افراد نفوذی یا از طریق نفوذ به سیستم‌های داخلی اپراتور

پس از در اختیار گرفتن شماره تلفن، مهاجم قادر است پیامک‌های احراز هویت (2FA) و سایر اطلاعات حساس را دریافت کرده و به حساب‌های مالی، کیف‌پول‌های رمزارزی و حتی ایمیل و شبکه‌های اجتماعی قربانی دسترسی پیدا کند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

𝗙𝗮𝗸𝗲 𝗣𝗮𝘀𝘀𝗽𝗼𝗿𝘁 𝗚𝗲𝗻𝗲𝗿𝗮𝘁𝗲𝗱 𝗯𝘆 𝗖𝗵𝗮𝘁𝗚𝗣𝗧 𝗕𝘆𝗽𝗮𝘀𝘀𝗲𝘀 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 !
-
A researcher used ChatGPT-4o to generate a fake passport that successfully passed a digital KYC check.

𝗧𝗵𝗲 𝗱𝗼𝗰𝘂𝗺𝗲𝗻𝘁 𝗹𝗼𝗼𝗸𝗲𝗱 𝗻𝗲𝗮𝗿𝗹𝘆 𝗶𝗱𝗲𝗻𝘁𝗶𝗰𝗮𝗹 𝘁𝗼 𝗮 𝗿𝗲𝗮𝗹 𝗼𝗻𝗲—despite lacking a chip—and highlighted a serious weakness in systems that rely only on ID photos and selfies.
-
💳 The fake passport didn’t include a chip, of course. But for services relying on just a photo ID and a selfie, like some fintech or crypto platforms… it was enough to trick the system.

⚠️This raises major concerns about identity theft, fake accounts, and credit fraud at scale.

✅ Experts recommend using NFC-based verification and eID for stronger, hardware-level authentication.
-
#CyberSecurity #KYC #AI #Fraud #IdentityTheft #Deepfakes #ChatGPT

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

RAID FORENSICS

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer