مروری بر HELK

در HELK (Hunting ELK) که یک پلتفرم متن‌باز برای تحلیل تهدیدات و شکار تهدیدات سایبری است، هر کامپوننت نقش خاصی در جمع‌آوری، پردازش، ذخیره‌سازی و تحلیل داده‌های امنیتی ایفا می‌کند.
🔹 کامپوننت‌های اصلی HELK و وظایف آن‌ها
1️⃣ Beats (جمع‌آوری داده)

🔹 وظیفه: جمع‌آوری لاگ‌ها و داده‌های سیستمی از نقاط انتهایی (Endpoints) و ارسال به سرور HELK.
✔️ شامل Filebeat (جمع‌آوری لاگ‌ها)، Winlogbeat (جمع‌آوری لاگ‌های ویندوز)، Packetbeat (تحلیل ترافیک شبکه).

🛠 مثال:
اگر بخواهیم لاگ‌های مربوط به PowerShell را از سیستم‌های ویندوزی دریافت کنیم، Winlogbeat را روی کلاینت‌ها نصب می‌کنیم تا این داده‌ها را ارسال کند.
2️⃣ Logstash
(پردازش و فرمت‌بندی داده‌ها)

🔹 وظیفه: پردازش داده‌ها، فیلتر کردن، فرمت‌بندی و ارسال به Elasticsearch.
✔️ تبدیل داده‌های خام به فرمت قابل جستجو و تحلیل.
✔️ حذف نویزها و داده‌های نامرتبط برای بهبود کارایی تحلیل‌ها.

🛠 مثال:
Logstash لاگ‌های دریافتی از Beats را پردازش کرده و به جای نمایش مقادیر خام، آن‌ها را به صورت نام کاربری، آدرس IP، نوع رویداد امنیتی و سطح تهدید دسته‌بندی می‌کند.
3️⃣ Kafka (مدیریت جریان داده‌ها)

🔹 وظیفه: به عنوان یک Message Broker عمل کرده و از ازدحام داده‌ها جلوگیری می‌کند.
✔️ ذخیره موقت و انتقال لاگ‌ها بین کامپوننت‌های مختلف.
✔️ تضمین می‌کند که هیچ داده‌ای در حجم بالا از بین نمی‌رود.

🛠 مثال:
وقتی تعداد زیادی لاگ از هزاران سیستم وارد HELK می‌شود، Kafka لاگ‌ها را مدیریت می‌کند تا Elasticsearch و Logstash دچار ازدحام پردازش نشوند.
4️⃣ Elasticsearch
(ذخیره‌سازی و جستجوی داده‌ها)

🔹 وظیفه: ذخیره‌سازی لاگ‌ها در قالب شاخص‌های جستجوپذیر (Indices).
✔️ امکان جستجوی سریع و انجام تحلیل‌های پیچیده روی داده‌ها.
✔️ پشتیبانی از کوئری‌های پیشرفته برای تهدیدکاوی و تحلیل رخدادها.

🛠 مثال:
اگر بخواهیم همه‌ی لاگ‌های مربوط به تلاش‌های ورود ناموفق به یک سرور خاص را پیدا کنیم، Elasticsearch این اطلاعات را با یک Query ساده در کسری از ثانیه استخراج می‌کند.
5️⃣ Kibana
(نمایش داده‌ها و داشبورد تحلیلی)

🔹 وظیفه: نمایش و تحلیل داده‌ها در قالب داشبوردهای گرافیکی و بصری.
✔️ امکان ایجاد نمودارهای امنیتی، هشدارها و داشبوردهای تعاملی.
✔️ کمک به تحلیلگران امنیتی و شکارچیان تهدید برای بررسی الگوهای حمله.

🛠 مثال:
اگر بخواهیم روند افزایش حملات Brute Force را در چند هفته گذشته مشاهده کنیم، Kibana نمودارهای زمان‌بندی شده ارائه می‌دهد که نشان می‌دهد چه زمانی حملات افزایش یافته‌اند.
6️⃣ Jupyter Notebook
(تحلیل داده‌های امنیتی و یادگیری ماشین)

🔹 وظیفه: استفاده از یادگیری ماشین و تحلیل داده‌های تهدیدات امنیتی.
✔️ امکان نوشتن کدهای پایتون برای تحلیل پیشرفته لاگ‌ها.
✔️ قابلیت اتصال به Elasticsearch و پردازش لاگ‌ها با الگوریتم‌های هوش مصنوعی.

🛠 مثال:
می‌توانیم با استفاده از Jupyter Notebook یک مدل یادگیری ماشین برای تشخیص رفتارهای مشکوک کاربران در شبکه آموزش دهیم.
🔹 جمع‌بندی: ارتباط بین کامپوننت‌های HELK

🔗 Beats → لاگ‌ها را از نقاط انتهایی جمع‌آوری می‌کند.
🔗 Logstash → لاگ‌ها را پردازش کرده و به Kafka یا Elasticsearch ارسال می‌کند.
🔗 Kafka → لاگ‌های حجیم را مدیریت می‌کند تا پردازش داده بهینه باشد.
🔗 Elasticsearch → داده‌های پردازش‌شده را ذخیره و آماده جستجو می‌کند.
🔗 Kibana → نمایش داده‌ها به صورت نمودار و داشبورد تحلیلی.
🔗 Jupyter Notebook → تحلیل داده‌ها با یادگیری ماشین برای شناسایی تهدیدات.

🎯 نتیجه: HELK یک پلتفرم یکپارچه برای شکار تهدیدات امنیتی است که داده‌ها را از منابع مختلف جمع‌آوری، پردازش، ذخیره‌سازی و تحلیل می‌کند.


🔹 کامپوننت‌های پیشرفته در HELK: Spark, ES-Hadoop, GraphFrames, KSQL

علاوه بر کامپوننت‌های اصلی، HELK از ابزارهای پیشرفته‌ای مانند Apache Spark, ES-Hadoop, GraphFrames و KSQL استفاده می‌کند که برای تحلیل داده‌های حجیم، پردازش توزیع‌شده و تحلیل گرافی به کار می‌روند. در ادامه، نقش هر کدام را بررسی می‌کنیم.
1️⃣ Apache Spark
(پردازش توزیع‌شده و آنالیز داده‌های بزرگ)

🔹 وظیفه: Spark یک موتور پردازش داده توزیع‌شده است که در HELK برای تحلیل سریع لاگ‌های حجیم و شکار تهدیدات امنیتی استفاده می‌شود.
✔️ پردازش موازی داده‌ها روی چندین نود.
✔️ تجزیه و تحلیل داده‌ها با Machine Learning و Stream Processing.
✔️ استفاده از PySpark برای نوشتن تحلیل‌های امنیتی

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ادامه از پست HELK

🛠 مثال:
در یک حمله Brute Force، اگر میلیون‌ها لاگ از تلاش‌های ناموفق ورود به سیستم را داشته باشیم، Spark به‌صورت توزیع‌شده این لاگ‌ها را پردازش و الگوهای حمله را شناسایی می‌کند.
2️⃣ ES-Hadoop
(اتصال Elasticsearch به Apache Spark و Hadoop)

🔹 وظیفه: ES-Hadoop یک پل ارتباطی بین Elasticsearch و Hadoop/Spark است که امکان پردازش داده‌های ذخیره‌شده در Elasticsearch را با Apache Spark یا Hadoop فراهم می‌کند.
✔️ اجرای کوئری‌های پیچیده روی داده‌های حجیم ذخیره‌شده در Elasticsearch.
✔️ امکان انتقال داده‌ها بین Elasticsearch و HDFS (Hadoop Distributed File System).

🛠 مثال:
فرض کنید می‌خواهیم داده‌های لاگ‌های سیستم‌های مختلف را که در Elasticsearch ذخیره شده‌اند، به HDFS انتقال دهیم تا پردازش توزیع‌شده‌ای روی آن‌ها انجام دهیم. ES-Hadoop این ارتباط را برقرار می‌کند.
3️⃣ GraphFrames
(تحلیل گرافی روی لاگ‌ها و ارتباطات مشکوک)

🔹 وظیفه: GraphFrames یک موتور تحلیل داده‌های گرافی در Apache Spark است که برای تحلیل ارتباطات میان کاربران، دستگاه‌ها و رویدادهای امنیتی در HELK استفاده می‌شود.
✔️ امکان شناسایی ارتباطات مشکوک بین کاربران و IPهای مخرب.
✔️ استفاده در تحلیل تهدیدات شبکه‌ای (مثلاً بررسی مسیرهای حمله یک APT).
✔️ امکان اجرای الگوریتم‌های گرافی مانند PageRank و Shortest Path برای تحلیل جریان داده‌ها.

🛠 مثال:
فرض کنید مهاجمی از چندین IP مختلف وارد شبکه شده و ارتباطاتی بین کاربران برقرار کرده است. با استفاده از GraphFrames می‌توان گراف این ارتباطات را رسم و نقاط کلیدی حمله را شناسایی کرد.
4️⃣ KSQL
(پردازش و تحلیل رویدادهای امنیتی به‌صورت Real-Time)

🔹 وظیفه: KSQL یک نسخه SQL-محور از Apache Kafka Streams است که برای پردازش و تحلیل جریان داده‌های امنیتی به‌صورت لحظه‌ای در HELK استفاده می‌شود.
✔️ نوشتن Queryهای SQL روی استریم‌های Kafka.
✔️ فیلتر کردن و تجزیه و تحلیل لاگ‌ها به‌صورت Real-Time.
✔️ تشخیص الگوهای حمله و تهدیدات سایبری در همان لحظه وقوع.

🛠 مثال:
اگر بخواهیم همه‌ی لاگ‌های مربوط به تلاش‌های ورود ناموفق از یک کشور خاص را در لحظه فیلتر کنیم، می‌توانیم از KSQL استفاده کنیم تا داده‌های Kafka را با یک کوئری SQL پردازش کنیم:

SELECT * FROM login_attempts_stream
WHERE status = 'failed'
AND country = 'Russia';

🔹 ارتباط این کامپوننت‌ها در HELK

✔️ Apache Spark
پردازش توزیع‌شده روی داده‌های حجیم را انجام می‌دهد.
✔️ ES-Hadoop
داده‌های Elasticsearch را برای Spark و Hadoop آماده می‌کند.
✔️ GraphFrames
تحلیل گرافی را روی ارتباطات مشکوک انجام می‌دهد.
✔️ KSQL
تحلیل لاگ‌های Kafka را به‌صورت Real-Time انجام می‌دهد.

✅ این ابزارها، HELK را به یک پلتفرم قدرتمند برای شکار تهدیدات سایبری و تحلیل داده‌های امنیتی تبدیل می‌کنند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

هوش هیجانی
و کاربرد آن در امنیت سایبری

در دنیای امروز، امنیت سایبری تنها به مهارت‌های فنی محدود نمی‌شود. یک تحلیلگر امنیتی نه‌تنها باید با تهدیدات، ابزارهای شناسایی و روش‌های حمله آشنا باشد، بلکه باید بتواند در شرایط بحرانی بهترین تصمیم را بگیرد، با تیم‌های مختلف همکاری کند و استرس ناشی از حوادث امنیتی را مدیریت کند. اینجاست که هوش هیجانی (Emotional Intelligence - EI) به عنوان یک مهارت حیاتی مطرح می‌شود.

🤔هوش هیجانی چیست؟

هوش هیجانی به توانایی فرد در شناخت، مدیریت و کنترل احساسات خود و دیگران اشاره دارد. دانیل گلمن، روانشناس برجسته، پنج مؤلفه اصلی هوش هیجانی را معرفی کرده است:

✳️ خودآگاهی (Self-Awareness) – توانایی شناخت احساسات خود و درک تأثیر آن‌ها بر تصمیم‌گیری و عملکرد.
✳️ خودمدیریتی (Self-Regulation) – کنترل احساسات، حفظ آرامش در شرایط بحرانی و جلوگیری از تصمیم‌های عجولانه.
✳️ انگیزه (Motivation) – داشتن انگیزه درونی برای پیشرفت و یادگیری مداوم.
✳️ همدلی (Empathy) – درک احساسات و دیدگاه‌های دیگران، که در ارتباطات تیمی حیاتی است.
✳️ مهارت‌های اجتماعی (Social Skills) – توانایی برقراری ارتباط مؤثر، مذاکره و حل تعارضات.

🔴چرا هوش هیجانی در امنیت سایبری مهم است؟
۱. مدیریت استرس در شرایط بحرانی

کارشناسان امنیتی اغلب در شرایط اضطراری مانند حملات سایبری، نشت داده‌ها و حوادث امنیتی کار می‌کنند. یک فرد با هوش هیجانی بالا می‌تواند آرامش خود را حفظ کرده، تصمیمات منطقی بگیرد و تیم را از سردرگمی نجات دهد.
۲. بهبود ارتباطات در تیم‌های امنیتی

امنیت سایبری نیاز به همکاری تیمی قوی دارد. کارشناسان امنیتی باید بتوانند یافته‌های خود را به سایر تیم‌ها مانند توسعه‌دهندگان، مدیران فناوری اطلاعات و حتی مدیران اجرایی منتقل کنند. افرادی که مهارت‌های ارتباطی قوی دارند، می‌توانند تهدیدات را بهتر توضیح دهند، دیگران را متقاعد کنند و راهکارهای امنیتی را اجرا کنند.
۳. تشخیص تهدیدات مهندسی اجتماعی

بسیاری از حملات سایبری، مانند فیشینگ، از طریق فریب و تأثیرگذاری بر احساسات افراد انجام می‌شوند. یک فرد با هوش هیجانی بالا می‌تواند احساسات خود را کنترل کند و کمتر تحت تأثیر ترفندهای روان‌شناختی هکرها قرار بگیرد.
۴. حل تعارضات و مدیریت اختلافات

در تیم‌های امنیتی، اختلاف‌نظر درباره روش‌های دفاع سایبری اجتناب‌ناپذیر است. افراد با هوش هیجانی بالا می‌توانند تعارضات را مدیریت کرده، راه‌حل‌های مشترک پیدا کنند و بدون ایجاد درگیری، نظرات خود را بیان کنند.
۵. افزایش انعطاف‌پذیری در برابر تغییرات

دنیای امنیت سایبری به سرعت در حال تغییر است. افرادی که انگیزه و انعطاف‌پذیری بالایی دارند، می‌توانند به‌راحتی با تکنولوژی‌های جدید سازگار شوند و مهارت‌های خود را ارتقا دهند.

✔️چگونه می‌توان هوش هیجانی را در امنیت سایبری تقویت کرد؟

۱. تمرین خودآگاهی: تحلیل احساسات خود در شرایط استرس‌زا و تلاش برای درک واکنش‌های هیجانی.
۲. تقویت مهارت‌های ارتباطی: تمرین مذاکره، ارائه گزارش‌های امنیتی مؤثر و تعامل با تیم‌های مختلف.
۳. مدیریت استرس: استفاده از تکنیک‌های کاهش استرس مانند تمرینات تنفسی، مدیتیشن و ورزش.
۴. توسعه همدلی: درک نیازها و دغدغه‌های کاربران و تیم‌های دیگر برای ارائه راهکارهای امنیتی کارآمدتر.
۵. یادگیری از تجربیات گذشته: بررسی نحوه مدیریت بحران‌های امنیتی و بهبود نقاط ضعف در تصمیم‌گیری.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ابزار روز

کمک مهمی در فارنزیک

https://m.youtube.com/watch?v=-aacZrfSgLg

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

معماری HELK


🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🫵 اگر به هم اعتماد نکنیم، همه می‌بازیم!

تئوری بازی (game theory) یکی از مسائل مورد علاقه من در ریاضیات است. تئوری‌‌ای که در اقتصاد، مهندسی و سیاست هم بسط پیدا کرده است. تقریبا در تمام منابعی که من دیده‌ام، از یک مثال ساده و کلاسیک برای توضیح این تئوری استفاده می‌شود. مثالی که به معمای دوگانه‌ی زندانی (Prisoner's Dilemma) معروف است:
دو نفر بازداشت می‌شوند. اگر هیچ کدام دیگری را لو ندهد و بر علیه او اعتراف نکند هر کدام یک سال حبس می‌گیرند، اگر هر دو بر علیه دیگری اعتراف کنند هر کدام پنج سال حبس می‌گیرند و اگر فقط یک نفر بر علیه دیگری اعتراف کند خودش آزاد می‌شود و فرد مقابل ده سال حبس می‌گیرد. حالا فکر می‌کنید چه اتفاقی خواهد افتاد؟
تئوری بازی با استفاده از مفاهیم ریاضی توضیح می‌دهد که اساسا وقتی سرنوشت ما و تصمیماتمان در یک فرآیند جمعی در گرو تصمیم دیگران است ما نمی‌توانیم با تصمیمات یکجانبه به تنهایی برنده باشیم. حتی مفهوم برنده بودن را هم بازتعریف می‌کند. ما گاهی بازی‌های جمع صفر (zero sum) داریم مثل شطرنج، که اگر من ببازم تو می‌بری. اما مسائل زیادی از جمله روابط انسانی اغلب جمع غیر صفر (non-zero sum) است یعنی من اگر ببازم، تو الزاما نمی‌بری.
بهانه نوشتن این متن اما جمله‌ای بود که از آقای مصطفی مهرآیین در یک مناظره شنیدم. ایشان خطاب به ساختار حاکم می‌گفت ما باید باور کنیم خوشحالی یک امر جمعی است، که یک گروه نمی‌تواند به تنهایی تصمیماتی بگیرد که فقط خودش شاد شود. حال من اگر خوب نباشد، حال تو هم خوب نخواهد شد (نقل به مضمون).
نمی‌دانم آقای مهرآیین با تئوری بازی آشنا هست یا نه ولی این می‌تواند یکی از زیباترین توصیفات این تئوری باشد. صرف نظر از دیدگاه‌های سیاسی، مذهبی، اجتماعی و فرهنگی، تا زمانی که ما فارسی صحبت می‌کنیم، تا زمانی که نوروز را با هم جشن می‌گیریم و تا زمانی که تمام دنیا ما را به یک نامِ واحدِ "ایرانی" می‌شناسد، ما چه از همدیگر خوشمان بیاید چه نیاید، چه بتوانیم با هم کنار بیایم چه نتوانیم، سرنوشتمان به هم گره خورده است. در رابطه با همکار و همسایه و همشهری که هیچ، حتی فراتر از مرزهای جغرافیایی، اگر تو که در ایران هستی ببازی، منی که دور از تو هستم نمی‌برم و همینطور برعکس.
ای کاش در کنار انبوه مفاهیم بی‌فایده‌ای که در ریاضیات به خورد ما دادند (که من هنوز هم نفهمیدم چه دردی از من دوا می‌شود اگر بتوانم عددی را از مبنای ۴ به مبنای ۷ ببرم!)، تئوری بازی را هم در مدارس آموزش می‌دادند. اصلا ای کاش مصطفی مهرآئین را بیاورند در یک مناظره فقط تئوری بازی آموزش بدهد!

✍️دکتر مسعود قدرت آبادی

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

فردی که در تصویر مشاهده می‌کنید، Noah Urban نام دارد؛ هکری ۲۰ ساله و از اعضای گروه هکری موسوم به Spider Hacking. او با بهره‌گیری از تکنیک پیشرفته‌ی SIM Swapping موفق شده است مجموعاً ۸۰۰ هزار دلار ارز دیجیتال را از ۵ قربانی مختلف سرقت کند.

در حمله‌ی SIM Swapping، مهاجم با استفاده از ترکیبی از مهندسی اجتماعی و ابزارهای تخصصی، موفق به انتقال مالکیت شماره تلفن قربانی به سیم‌کارتی می‌شود که در اختیار خودش قرار دارد. این فرآیند معمولاً با تماس یا جعل هویت قربانی نزد اپراتور مخابراتی انجام می‌شود.

برای اجرای این نوع حمله، مهاجم معمولاً از ابزارها و تکنیک‌های زیر استفاده می‌کند:
• مرحله OSINT tools (مانند Maltego یا Recon-ng) برای جمع‌آوری اطلاعات عمومی قربانی مثل تاریخ تولد، آدرس، ایمیل، شماره شناسنامه و اطلاعات حساب‌های آنلاین.
• مرحله Spoofing tools (مثل CallerID Spoofing apps) برای جعل شماره تماس و تماس با پشتیبانی اپراتور به‌عنوان شخص قربانی
• مرحله Phishing kits یا صفحات جعلی برای فریب کاربر و استخراج اطلاعات حساس مثل PIN حساب کاربری یا پاسخ به سوالات امنیتی
• مرحله Social Engineering noscripts برای متقاعدسازی اپراتور از طریق تماس تلفنی با استفاده از اطلاعات جمع‌آوری‌شده
• مرحله SIM Card Activation tools یا خدمات زیرزمینی برای فعال‌سازی سیم‌کارت جدید با شماره تلفن قربانی، در همکاری با افراد نفوذی یا از طریق نفوذ به سیستم‌های داخلی اپراتور

پس از در اختیار گرفتن شماره تلفن، مهاجم قادر است پیامک‌های احراز هویت (2FA) و سایر اطلاعات حساس را دریافت کرده و به حساب‌های مالی، کیف‌پول‌های رمزارزی و حتی ایمیل و شبکه‌های اجتماعی قربانی دسترسی پیدا کند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

𝗙𝗮𝗸𝗲 𝗣𝗮𝘀𝘀𝗽𝗼𝗿𝘁 𝗚𝗲𝗻𝗲𝗿𝗮𝘁𝗲𝗱 𝗯𝘆 𝗖𝗵𝗮𝘁𝗚𝗣𝗧 𝗕𝘆𝗽𝗮𝘀𝘀𝗲𝘀 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 !
-
A researcher used ChatGPT-4o to generate a fake passport that successfully passed a digital KYC check.

𝗧𝗵𝗲 𝗱𝗼𝗰𝘂𝗺𝗲𝗻𝘁 𝗹𝗼𝗼𝗸𝗲𝗱 𝗻𝗲𝗮𝗿𝗹𝘆 𝗶𝗱𝗲𝗻𝘁𝗶𝗰𝗮𝗹 𝘁𝗼 𝗮 𝗿𝗲𝗮𝗹 𝗼𝗻𝗲—despite lacking a chip—and highlighted a serious weakness in systems that rely only on ID photos and selfies.
-
💳 The fake passport didn’t include a chip, of course. But for services relying on just a photo ID and a selfie, like some fintech or crypto platforms… it was enough to trick the system.

⚠️This raises major concerns about identity theft, fake accounts, and credit fraud at scale.

✅ Experts recommend using NFC-based verification and eID for stronger, hardware-level authentication.
-
#CyberSecurity #KYC #AI #Fraud #IdentityTheft #Deepfakes #ChatGPT

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

RAID FORENSICS

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اخیرا یک روشی ابداع شده برای دانلود بدافزار رو سیستم قربانی که با زدن روی تیک احراز هویت برای تشخیص روبات نبودن از این روش استفاده میشه و مرورگر اگر فایلهای دانلودی رو به صورت اتوماتیک دانلود کنه با این روش ممکنه سیستم شما آلوده بشه
جالب اینجاست این موارد تو سایتهایی که والت انلاین دارن بیشتر دیده شده و باید بسیار مراقب بود
متن زیر مربوط به تویت این مطلب هست

Do this ASAP to avoid getting Drained 🚨

Hackers are getting more subtle with their scams and if you ain't up to date you'd lose a lot without you knowing.

Ensure you never click on the “Verify you are human” cloudflare antibot verification

~~ It automatically downloads a file that will DRAIN YOUR Wallets, whether you open them the same day or not ❌

And funny thing is you won't know your device has been compromised till you're drained.

Imagine you're expecting your salary or payment for a deal and that happens. What do you do next?

WANT TO AVOID THAT? ENSURE YOU DO THIS:

▫️Go To Your Chrome account
▫️ Go to settings (Top right Wheely Icon)
▫️ Go to “Privacy and Security”
▫️Scroll down to “Site settings” (Note for some users, just scroll to site settings directly before Privacy)
▫️ Scroll down to “Additional Permissions”
▫️ Navigate to “Automatic Downloads”
▫️ Tap on “Don’t allow sites to automatically download multiple files”
▫️For Some users it's just a toggle on/off switch for automatic downloads.

RT to share the Word 🫡


https://x.com/I_am_Subcaptain/status/1906679139676872906?t=iUidW4GI1HGH2nN3HoFfZQ&s=09

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔔 استخدام بانک ایران ونزوئلا
بانک مشترک ایران-ونزوئلا جهت تکمیل کادر سرمایه انسانی خود در مشاغل زیر استخدام می کند
ارسال روزمه :
ایمیل : info@ivbb.ir
ارتباط با بانک: 02157198

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اموزش اختراعات جهانی
https://news.1rj.ru/str/+FOS7OTtjSCAxOGY8

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#CVE-2025-29927 #Bypass_Authorization
آسیب پذیری Bypass Authorization که برای Next.js در نسخه های زیر 13.5.6 و 14.2.25 و 15.2.3 آمده است.

ماجرا از این قرار که Middleware های طراحی شده در Next.js امکان اعمال تغییر در درخواست دریافتی را دارند، قبل از اینکه پارسر کد درخواست رو تحویل بگیره.

دور زدن مکانیزم کنترل سطح دسترسی یا Authorization زمانی انجام میشود که در درخواست ارسالی Header با نام x-middleware-subrequest تنظیم شده که بدان معنی است درخواست به Middleware تحویل داده شود و در شرط خط 707 اومده که زمانی که نام middleware در آرایه subrequests قرار داشته باشه پاسخ از نوع ()NextResponse.next برگشت داده شده و عملیات همزمان با ()Promise.resolve ادامه پیدا خواهد کرد.

اگر Header با نام x-middleware-subrequest تعریف شده باشه، Middleware بررسی امنیتی رو نادیده گرفته و درخواست رو به مقصد اصلی هدایت خواهد کرد که اینجا آسیب پذیری رخ خواهد داد.

مقدار MiddlewareInfo.name میتونه بدست بیاد و مسیر Middleware امکان تشخیص رو داشته چرا که در مسیریابی pages و با نام middleware.ts_ قرار داشته است.


🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#امن_سازی اکتیو دایرکتوری
🚫 محدودسازی Join به Domain در Active Directory
به‌صورت پیش‌فرض، هر کاربر احراز هویت‌شده (Authenticated User) در Active Directory، می‌تواند تا ۱۰ عدد کامپیوتر را به دامنه اضافه کند (Join to Domain)؛ حتی اگر هیچگونه سطح دسترسی مدیریتی خاصی در دامین نداشته باشه. این موضوع اگر به‌درستی مدیریت نشود، می‌تواند باعث ایجاد ریسک‌های امنیتی جدی شود.
1- دسترسی کامل به سیستمی که به دامنه اضافه می‏کند(کاربر به عنوان Owner آن در AD ثبت شده).
2- با استفاده از چند تا ترفند خودش رو تبدیل به Local Admin کنه
3- اضافه کردن سیستم‏های بدون رعایت استانداردهای امنیتی به دامنه( سیستم عامل قدیمی، بدون وجود آنتی ویروس و ...)

راهکار کاهش ریسک:
1- محدود کردن امکان Join توسط کاربران عادی

Remove the "Add workstations to domain" user right from the Authenticated Users Group

2- ایجاد حساب کاربری محدود برای join کردن سیستم‏ها
3- نظارت و گزارش‏گیری از کامپیوترهای جدید

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

عمیق در Ceph!!!! یک راهنمای ساده برای درک این سیستم ذخیره‌سازی انقلابی!☢️
سلام به همه دوستداران تکنولوژی! 👋
شاید اسم Ceph را شنیده باشید، اما ندونید دقیقاً چیست یا چرا اینقدر در دنیای ذخیره‌سازی ابری مورد توجه است.
امروز می‌خوام خیلی ساده و به زبان انسانی (!) توضیح دهم که Ceph چیست، چرا عالی است و چرا شرکت‌های بزرگ مثلRedHat و IBM از آن استفاده می‌کنند.
💠Ceph یک سیستم ذخیره‌سازی توزیع‌شده (Distributed Storage) است که داده‌های شما را به صورت خودکار بین چندین سرور پخش می‌کند تا:
✅ هیچ نقطهٔ شکست واحدی (Single Point of Failure) نداشته باشد.
✅ مقیاس‌پذیر (Scalable) باشد (یعنی هرچقدر داده داشته باشید، می‌توانید سرور اضافه کنید!).
✅ ارزان‌تر از راه‌حل‌های انحصاری (مثل NetApp یا EMC) باشد.
🧩Ceph چطور کار می‌کند؟ (مثل لگو ساختن!)
تصور کنید می‌خواهید یک کاخ با بلوک‌های لگو بسازید، اما:
🔹بلوک‌ها (داده‌های شما) هستند.
🔹دوستان شما (سرورهای مختلف) هرکدام تعدادی بلوک نگه می‌دارند.
🔹حتی اگر یکی از دوستانتان بلوک‌هایش را گم کند (سرور خراب شود)، بقیه می‌توانند کاخ را کامل کنند!
Ceph دقیقاً همین کار را می‌کند، اما برای داده‌های دیجیتال!
🔍 اجزای اصلی Ceph (بدون اصطلاحات پیچیده!)
🔸RADOS (پایهٔ اصلی Ceph)
مثل یک کارگر نامرئی است که داده‌ها را بین سرورها مدیریت می‌کند.
تضمین می‌کند داده‌ها همیشه در دسترس و سالم باشند.
🔸RBD (ذخیره‌سازی بلاک — مثل هارد دیسک مجازی)
اگر از ماشین‌های مجازی (VM) استفاده می‌کنید، RBD به شما یک هارد مجازی می‌دهد که پرسرعت و قابل اطمینان است.
🔸CephFS (فایل‌سیستم — مثل یک پوشهٔ اشتراکی)
مثل Google Drive یا Dropbox، اما روی سرورهای خودتان!
می‌توانید فایل‌ها را بین چندین کاربر به اشتراک بگذارید.
🔸RGW (ذخیره‌سازی اشیا — مثل Amazon S3)
برای ذخیرهٔ عکس‌ها، ویدیوها یا فایل‌های حجیم مناسب است.
شرکت‌هایی که سرویس ابری ارائه می‌دهند (مثل ایرانسل یا آپارات) از این بخش استفاده می‌کنند.
💡چرا Ceph اینقدر خاص است؟
✳️نمی‌میرد! (مقاوم در برابر خرابی)
حتی اگر ۳ تا از سرورها همزمان از کار بیفتند، داده‌های شما سالم می‌مانند!
✳️رشد می‌کند! (مقیاس‌پذیر)
اگر فضای ذخیره‌سازی کم آوردید، فقط یک سرور جدید اضافه کنید، Ceph بقیهٔ کارها را انجام می‌دهد!
✳️رایگان است! (متن‌باز)
برخلاف سیستم‌هایی مثل NetApp یا EMC که هزینهٔ بالایی دارند، Ceph رایگان است و روی هر سخت‌افزاری کار می‌کند.
▪️یک مثال واقعی: Ceph در زندگی روزمره🚀
فرض کنید یک اپلیکیشن موزیک دارید که کاربران آهنگ آپلود می‌کنند:
Ceph داده‌ها را بین چندین سرور در نقاط مختلف کپی می‌کند.
اگر یک سرور در تهران قطع شود، کاربران در اصفهان متوجه نمی‌شوند و موزیک همچنان پخش می‌شود!
اگر کاربران شما ۱۰ برابر شوند، فقط سرورهای جدید اضافه می‌کنید و Ceph خودش همه چیز را مدیریت می‌کند.
💠اگر فکر میکنید این مطلب میتونه برای بقیه هم مفید باشه، شیر کنید تا بیشتر باهم یاد بگیریم!💠

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#Ceph #Storage #OpenSource #CloudComputing #DistributedSystems

🔴پاک کردن رد پا +🟢 راهکار

هکر به روشهای مختلفی اقدام به پاک کردن ردپا میکند. اما هکرهای خلاق مواظب ردپای خود در حافظه هم هستند پس میروند دنبال اینکه اونو پاک کنند .

تابع RtlZeroMemory در ویندوز، یک تابع از NTDLL.DLL است که مسئول پاک کردن محتویات یک بخش از حافظه می‌باشد. هکرها از این تابع برای پاک کردن ردپاهای خود در حافظه استفاده می‌کنند تا تحلیلگران امنیتی یا ابزارهای فارنزیک نتوانند شواهدی از اجرای بدافزار را پیدا کنند.
🚨 روش‌های استفاده از RtlZeroMemory برای پاک کردن ردپا

1️⃣ پاک کردن شواهد پردازش (Process Hollowing / Code Injection)
🔹 هکرها در حملات Process Hollowing یا DLL Injection، بعد از اجرای کد مخرب، از RtlZeroMemory برای پاک کردن بخش‌های حساس حافظه استفاده می‌کنند.
🔹 این روش باعث می‌شود ابزارهای Memory Dump نتوانند داده‌های مربوط به اجرای بدافزار را بازیابی کنند.

📌 مثال کد مخرب:
#include <windows.h>
#include <winternl.h>

void EraseMemory(void* address, SIZE_T size) {
  RtlZeroMemory(address, size);
}

int main() {
  char secretData[] = "Malicious Code Here!";
  printf("Before Erasing: %s\n", secretData);

  EraseMemory(secretData, sizeof(secretData));
  printf("After Erasing: %s\n", secretData); // اطلاعات پاک شده است
  return 0;
}

2️⃣ حذف لاگ‌های امنیتی در حافظه
🔹 برخی بدافزارها لاگ‌های ذخیره‌شده در حافظه (مثل ETW - Event Tracing for Windows) را شناسایی و پاک می‌کنند.
🔹 برای این کار، قبل از خاتمه اجرا، مقدار حافظه مرتبط با لاگ‌ها را با RtlZeroMemory پاک می‌کنند.
📌 مثال پاک کردن ساختار لاگ‌ها در حافظه:
#include <windows.h>
#include <evntprov.h>

void ClearETWLogs(PEVENT_TRACE_LOGFILE logFile) {
  RtlZeroMemory(logFile, sizeof(EVENT_TRACE_LOGFILE));
}
3️⃣ پنهان‌سازی کلیدهای رمزگذاری شده در حافظه
🔹 بدافزارها اطلاعاتی مثل کلیدهای رمزنگاری یا توکن‌های احراز هویت را در حافظه ذخیره می‌کنند.
🔹 برای جلوگیری از بازیابی این داده‌ها با ابزارهای Memory Forensics، بعد از استفاده، مقدارشان را با RtlZeroMemory پاک می‌کنند.
📌 مثال حذف کلید رمزگذاری از حافظه:
void SecureDelete(char* key, size_t length) {
  RtlZeroMemory(key, length);
}


🔰 روش‌های مقابله با RtlZeroMemory در تحلیل امنیتی

✅ 1. استفاده از Memory Dump قبل از پاک شدن حافظه
🔹 ابزارهایی مثل WinDbg, Volatility و Rekall می‌توانند قبل از حذف حافظه، آن را تحلیل کنند.
🔹 راهکار: اجرای Volatility برای بررسی پردازش‌های Hollowed یا Injecte
✅ 2. استفاده از SIEM برای لاگ‌برداری از API Calls
🔹 ابزارهایی مثل Splunk, ELK به کمک Sysmon می‌توانند فراخوانی توابع مشکوک را لاگ کنند.
🔹 راهکار: ایجاد یک قانون Sysmon برای شناسایی استفاده از RtlZeroMemory
✅ 3. جلوگیری از Process Injection با EDR/XDR
🔹 بسیاری از EDRها مانند CrowdStrike, SentinelOne, و Microsoft Defender قابلیت شناسایی پردازش‌های مشکوک را دارند.
✅ 4. بررسی رفتارهای مشکوک در حافظه
🔹 می‌توان از ابزارهای Memory Monitoring مثل MemProcFS یا KAPE برای بررسی تغییرات مشکوک در حافظه استفاده کرد.
🔹 راهکار: مانیتورینگ تغییرات رجیستری و حافظه برای شناسایی پاک شدن داده‌ها.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

فراخوانی های CSC.exe و Msbuild.exe را در SOC بپایید.

یکی از روشهای اجرای کد مخرب ، انتقال کد ( خام و غیر اجرایی ) به سرور یا کلاینت قربانی و کامپایل کردن اون با ابزارهای فوق که ذاتی ویندوز هستند میباشد.

با توجه به اینکه کد مخرب در فرمت باینری به سیستم قربانی منتقل نمیشود ، امکان کشف آن سخت تر است .
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

👆👆=======توضیح برای برای مبتدیان

حمله Fileless چیست؟

حمله Fileless نوعی حمله سایبری است که بدون نیاز به ذخیره هیچ فایلی روی دیسک اجرا می‌شود. برخلاف بدافزارهای سنتی که روی هارد دیسک ذخیره شده و اجرا می‌شوند، در این حمله، کد مخرب مستقیماً در حافظه (RAM) اجرا می‌شود. این روش باعث می‌شود شناسایی آن توسط آنتی‌ویروس‌ها و EDRها سخت‌تر شود.
🕵️‍♂️ چرا حمله Fileless خطرناک است؟
✅ عدم نیاز به فایل → چیزی روی دیسک ذخیره نمی‌شود، بنابراین آنتی‌ویروس‌های سنتی که فایل‌های مخرب را اسکن می‌کنند، نمی‌توانند آن را تشخیص دهند.
✅ استفاده از ابزارهای قانونی ویندوز → مهاجم از ابزارهای داخلی مانند PowerShell, WMI, Regsvr32, rundll32 برای اجرای کد استفاده می‌کند، که تشخیص را سخت می‌کند.
✅ اجرای در حافظه (RAM) → بدافزار فقط در حافظه اجرا شده و پس از ریستارت شدن سیستم، اثری از آن باقی نمی‌ماند.
✅ بای‌پس کردن کنترل‌های امنیتی → بسیاری از آنتی‌ویروس‌ها و راهکارهای امنیتی روی فایل‌ها و پردازش‌های دیسک تمرکز دارند، نه روی اجرای کد در حافظه

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

درخصوص مدلسازی تهدید با کمک از LLM

هم گیت هاب هم ویدئو

https://m.youtube.com/watch?v=aaH9nBeKC2A

https://github.com/mrwadams/stride-gpt


🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

سوال روز :
در مرحله ای از یک حمله Fileless، هکر بدافزار را در رجیستری ذخیره میکند. چرا با اینکه رجیستری روی دیسک است با این حال هنوز حمله فایل لس در نظر گرفته میشود ؟

منتظر پاسخ شما هستم . خودم چند روز دیگه پاسخ رو روی همین پست ریپست خواهم کرد.

تصویر فوق از گروه کتابخوانی نوروز Evasive Malware در خصوص حمله فایل لس

در نوروز قرار است یک پله رشد خوب در شاخه تحلیل بدافزار برای مهندسان کشف
داشته باشیم

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

200 سوال پرتکرار درمصاحبه های شغلی امنیت سایبری
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer