اموزش اختراعات جهانی
https://news.1rj.ru/str/+FOS7OTtjSCAxOGY8
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://news.1rj.ru/str/+FOS7OTtjSCAxOGY8
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
#CVE-2025-29927 #Bypass_Authorization
آسیب پذیری Bypass Authorization که برای Next.js در نسخه های زیر 13.5.6 و 14.2.25 و 15.2.3 آمده است.
ماجرا از این قرار که Middleware های طراحی شده در Next.js امکان اعمال تغییر در درخواست دریافتی را دارند، قبل از اینکه پارسر کد درخواست رو تحویل بگیره.
دور زدن مکانیزم کنترل سطح دسترسی یا Authorization زمانی انجام میشود که در درخواست ارسالی Header با نام x-middleware-subrequest تنظیم شده که بدان معنی است درخواست به Middleware تحویل داده شود و در شرط خط 707 اومده که زمانی که نام middleware در آرایه subrequests قرار داشته باشه پاسخ از نوع ()NextResponse.next برگشت داده شده و عملیات همزمان با ()Promise.resolve ادامه پیدا خواهد کرد.
اگر Header با نام x-middleware-subrequest تعریف شده باشه، Middleware بررسی امنیتی رو نادیده گرفته و درخواست رو به مقصد اصلی هدایت خواهد کرد که اینجا آسیب پذیری رخ خواهد داد.
مقدار MiddlewareInfo.name میتونه بدست بیاد و مسیر Middleware امکان تشخیص رو داشته چرا که در مسیریابی pages و با نام middleware.ts_ قرار داشته است.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
آسیب پذیری Bypass Authorization که برای Next.js در نسخه های زیر 13.5.6 و 14.2.25 و 15.2.3 آمده است.
ماجرا از این قرار که Middleware های طراحی شده در Next.js امکان اعمال تغییر در درخواست دریافتی را دارند، قبل از اینکه پارسر کد درخواست رو تحویل بگیره.
دور زدن مکانیزم کنترل سطح دسترسی یا Authorization زمانی انجام میشود که در درخواست ارسالی Header با نام x-middleware-subrequest تنظیم شده که بدان معنی است درخواست به Middleware تحویل داده شود و در شرط خط 707 اومده که زمانی که نام middleware در آرایه subrequests قرار داشته باشه پاسخ از نوع ()NextResponse.next برگشت داده شده و عملیات همزمان با ()Promise.resolve ادامه پیدا خواهد کرد.
اگر Header با نام x-middleware-subrequest تعریف شده باشه، Middleware بررسی امنیتی رو نادیده گرفته و درخواست رو به مقصد اصلی هدایت خواهد کرد که اینجا آسیب پذیری رخ خواهد داد.
مقدار MiddlewareInfo.name میتونه بدست بیاد و مسیر Middleware امکان تشخیص رو داشته چرا که در مسیریابی pages و با نام middleware.ts_ قرار داشته است.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
#امن_سازی اکتیو دایرکتوری
🚫 محدودسازی Join به Domain در Active Directory
بهصورت پیشفرض، هر کاربر احراز هویتشده (Authenticated User) در Active Directory، میتواند تا ۱۰ عدد کامپیوتر را به دامنه اضافه کند (Join to Domain)؛ حتی اگر هیچگونه سطح دسترسی مدیریتی خاصی در دامین نداشته باشه. این موضوع اگر بهدرستی مدیریت نشود، میتواند باعث ایجاد ریسکهای امنیتی جدی شود.
1- دسترسی کامل به سیستمی که به دامنه اضافه میکند(کاربر به عنوان Owner آن در AD ثبت شده).
2- با استفاده از چند تا ترفند خودش رو تبدیل به Local Admin کنه
3- اضافه کردن سیستمهای بدون رعایت استانداردهای امنیتی به دامنه( سیستم عامل قدیمی، بدون وجود آنتی ویروس و ...)
راهکار کاهش ریسک:
1- محدود کردن امکان Join توسط کاربران عادی
Remove the "Add workstations to domain" user right from the Authenticated Users Group
2- ایجاد حساب کاربری محدود برای join کردن سیستمها
3- نظارت و گزارشگیری از کامپیوترهای جدید
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
🚫 محدودسازی Join به Domain در Active Directory
بهصورت پیشفرض، هر کاربر احراز هویتشده (Authenticated User) در Active Directory، میتواند تا ۱۰ عدد کامپیوتر را به دامنه اضافه کند (Join to Domain)؛ حتی اگر هیچگونه سطح دسترسی مدیریتی خاصی در دامین نداشته باشه. این موضوع اگر بهدرستی مدیریت نشود، میتواند باعث ایجاد ریسکهای امنیتی جدی شود.
1- دسترسی کامل به سیستمی که به دامنه اضافه میکند(کاربر به عنوان Owner آن در AD ثبت شده).
2- با استفاده از چند تا ترفند خودش رو تبدیل به Local Admin کنه
3- اضافه کردن سیستمهای بدون رعایت استانداردهای امنیتی به دامنه( سیستم عامل قدیمی، بدون وجود آنتی ویروس و ...)
راهکار کاهش ریسک:
1- محدود کردن امکان Join توسط کاربران عادی
Remove the "Add workstations to domain" user right from the Authenticated Users Group
2- ایجاد حساب کاربری محدود برای join کردن سیستمها
3- نظارت و گزارشگیری از کامپیوترهای جدید
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
عمیق در Ceph!!!! یک راهنمای ساده برای درک این سیستم ذخیرهسازی انقلابی!☢️
سلام به همه دوستداران تکنولوژی! 👋
شاید اسم Ceph را شنیده باشید، اما ندونید دقیقاً چیست یا چرا اینقدر در دنیای ذخیرهسازی ابری مورد توجه است.
امروز میخوام خیلی ساده و به زبان انسانی (!) توضیح دهم که Ceph چیست، چرا عالی است و چرا شرکتهای بزرگ مثلRedHat و IBM از آن استفاده میکنند.
💠Ceph یک سیستم ذخیرهسازی توزیعشده (Distributed Storage) است که دادههای شما را به صورت خودکار بین چندین سرور پخش میکند تا:
✅ هیچ نقطهٔ شکست واحدی (Single Point of Failure) نداشته باشد.
✅ مقیاسپذیر (Scalable) باشد (یعنی هرچقدر داده داشته باشید، میتوانید سرور اضافه کنید!).
✅ ارزانتر از راهحلهای انحصاری (مثل NetApp یا EMC) باشد.
🧩Ceph چطور کار میکند؟ (مثل لگو ساختن!)
تصور کنید میخواهید یک کاخ با بلوکهای لگو بسازید، اما:
🔹بلوکها (دادههای شما) هستند.
🔹دوستان شما (سرورهای مختلف) هرکدام تعدادی بلوک نگه میدارند.
🔹حتی اگر یکی از دوستانتان بلوکهایش را گم کند (سرور خراب شود)، بقیه میتوانند کاخ را کامل کنند!
Ceph دقیقاً همین کار را میکند، اما برای دادههای دیجیتال!
🔍 اجزای اصلی Ceph (بدون اصطلاحات پیچیده!)
🔸RADOS (پایهٔ اصلی Ceph)
مثل یک کارگر نامرئی است که دادهها را بین سرورها مدیریت میکند.
تضمین میکند دادهها همیشه در دسترس و سالم باشند.
🔸RBD (ذخیرهسازی بلاک — مثل هارد دیسک مجازی)
اگر از ماشینهای مجازی (VM) استفاده میکنید، RBD به شما یک هارد مجازی میدهد که پرسرعت و قابل اطمینان است.
🔸CephFS (فایلسیستم — مثل یک پوشهٔ اشتراکی)
مثل Google Drive یا Dropbox، اما روی سرورهای خودتان!
میتوانید فایلها را بین چندین کاربر به اشتراک بگذارید.
🔸RGW (ذخیرهسازی اشیا — مثل Amazon S3)
برای ذخیرهٔ عکسها، ویدیوها یا فایلهای حجیم مناسب است.
شرکتهایی که سرویس ابری ارائه میدهند (مثل ایرانسل یا آپارات) از این بخش استفاده میکنند.
💡چرا Ceph اینقدر خاص است؟
✳️نمیمیرد! (مقاوم در برابر خرابی)
حتی اگر ۳ تا از سرورها همزمان از کار بیفتند، دادههای شما سالم میمانند!
✳️رشد میکند! (مقیاسپذیر)
اگر فضای ذخیرهسازی کم آوردید، فقط یک سرور جدید اضافه کنید، Ceph بقیهٔ کارها را انجام میدهد!
✳️رایگان است! (متنباز)
برخلاف سیستمهایی مثل NetApp یا EMC که هزینهٔ بالایی دارند، Ceph رایگان است و روی هر سختافزاری کار میکند.
▪️یک مثال واقعی: Ceph در زندگی روزمره🚀
فرض کنید یک اپلیکیشن موزیک دارید که کاربران آهنگ آپلود میکنند:
Ceph دادهها را بین چندین سرور در نقاط مختلف کپی میکند.
اگر یک سرور در تهران قطع شود، کاربران در اصفهان متوجه نمیشوند و موزیک همچنان پخش میشود!
اگر کاربران شما ۱۰ برابر شوند، فقط سرورهای جدید اضافه میکنید و Ceph خودش همه چیز را مدیریت میکند.
💠اگر فکر میکنید این مطلب میتونه برای بقیه هم مفید باشه، شیر کنید تا بیشتر باهم یاد بگیریم!💠
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
#Ceph #Storage #OpenSource #CloudComputing #DistributedSystems
سلام به همه دوستداران تکنولوژی! 👋
شاید اسم Ceph را شنیده باشید، اما ندونید دقیقاً چیست یا چرا اینقدر در دنیای ذخیرهسازی ابری مورد توجه است.
امروز میخوام خیلی ساده و به زبان انسانی (!) توضیح دهم که Ceph چیست، چرا عالی است و چرا شرکتهای بزرگ مثلRedHat و IBM از آن استفاده میکنند.
💠Ceph یک سیستم ذخیرهسازی توزیعشده (Distributed Storage) است که دادههای شما را به صورت خودکار بین چندین سرور پخش میکند تا:
✅ هیچ نقطهٔ شکست واحدی (Single Point of Failure) نداشته باشد.
✅ مقیاسپذیر (Scalable) باشد (یعنی هرچقدر داده داشته باشید، میتوانید سرور اضافه کنید!).
✅ ارزانتر از راهحلهای انحصاری (مثل NetApp یا EMC) باشد.
🧩Ceph چطور کار میکند؟ (مثل لگو ساختن!)
تصور کنید میخواهید یک کاخ با بلوکهای لگو بسازید، اما:
🔹بلوکها (دادههای شما) هستند.
🔹دوستان شما (سرورهای مختلف) هرکدام تعدادی بلوک نگه میدارند.
🔹حتی اگر یکی از دوستانتان بلوکهایش را گم کند (سرور خراب شود)، بقیه میتوانند کاخ را کامل کنند!
Ceph دقیقاً همین کار را میکند، اما برای دادههای دیجیتال!
🔍 اجزای اصلی Ceph (بدون اصطلاحات پیچیده!)
🔸RADOS (پایهٔ اصلی Ceph)
مثل یک کارگر نامرئی است که دادهها را بین سرورها مدیریت میکند.
تضمین میکند دادهها همیشه در دسترس و سالم باشند.
🔸RBD (ذخیرهسازی بلاک — مثل هارد دیسک مجازی)
اگر از ماشینهای مجازی (VM) استفاده میکنید، RBD به شما یک هارد مجازی میدهد که پرسرعت و قابل اطمینان است.
🔸CephFS (فایلسیستم — مثل یک پوشهٔ اشتراکی)
مثل Google Drive یا Dropbox، اما روی سرورهای خودتان!
میتوانید فایلها را بین چندین کاربر به اشتراک بگذارید.
🔸RGW (ذخیرهسازی اشیا — مثل Amazon S3)
برای ذخیرهٔ عکسها، ویدیوها یا فایلهای حجیم مناسب است.
شرکتهایی که سرویس ابری ارائه میدهند (مثل ایرانسل یا آپارات) از این بخش استفاده میکنند.
💡چرا Ceph اینقدر خاص است؟
✳️نمیمیرد! (مقاوم در برابر خرابی)
حتی اگر ۳ تا از سرورها همزمان از کار بیفتند، دادههای شما سالم میمانند!
✳️رشد میکند! (مقیاسپذیر)
اگر فضای ذخیرهسازی کم آوردید، فقط یک سرور جدید اضافه کنید، Ceph بقیهٔ کارها را انجام میدهد!
✳️رایگان است! (متنباز)
برخلاف سیستمهایی مثل NetApp یا EMC که هزینهٔ بالایی دارند، Ceph رایگان است و روی هر سختافزاری کار میکند.
▪️یک مثال واقعی: Ceph در زندگی روزمره🚀
فرض کنید یک اپلیکیشن موزیک دارید که کاربران آهنگ آپلود میکنند:
Ceph دادهها را بین چندین سرور در نقاط مختلف کپی میکند.
اگر یک سرور در تهران قطع شود، کاربران در اصفهان متوجه نمیشوند و موزیک همچنان پخش میشود!
اگر کاربران شما ۱۰ برابر شوند، فقط سرورهای جدید اضافه میکنید و Ceph خودش همه چیز را مدیریت میکند.
💠اگر فکر میکنید این مطلب میتونه برای بقیه هم مفید باشه، شیر کنید تا بیشتر باهم یاد بگیریم!💠
#Ceph #Storage #OpenSource #CloudComputing #DistributedSystems
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍2🔥1👏1
🔴پاک کردن رد پا +🟢 راهکار
هکر به روشهای مختلفی اقدام به پاک کردن ردپا میکند. اما هکرهای خلاق مواظب ردپای خود در حافظه هم هستند پس میروند دنبال اینکه اونو پاک کنند .
تابع RtlZeroMemory در ویندوز، یک تابع از NTDLL.DLL است که مسئول پاک کردن محتویات یک بخش از حافظه میباشد. هکرها از این تابع برای پاک کردن ردپاهای خود در حافظه استفاده میکنند تا تحلیلگران امنیتی یا ابزارهای فارنزیک نتوانند شواهدی از اجرای بدافزار را پیدا کنند.
🚨 روشهای استفاده از RtlZeroMemory برای پاک کردن ردپا
1️⃣ پاک کردن شواهد پردازش (Process Hollowing / Code Injection)
🔹 هکرها در حملات Process Hollowing یا DLL Injection، بعد از اجرای کد مخرب، از RtlZeroMemory برای پاک کردن بخشهای حساس حافظه استفاده میکنند.
🔹 این روش باعث میشود ابزارهای Memory Dump نتوانند دادههای مربوط به اجرای بدافزار را بازیابی کنند.
📌 مثال کد مخرب:
#include <windows.h>
#include <winternl.h>
void EraseMemory(void* address, SIZE_T size) {
RtlZeroMemory(address, size);
}
int main() {
char secretData[] = "Malicious Code Here!";
printf("Before Erasing: %s\n", secretData);
EraseMemory(secretData, sizeof(secretData));
printf("After Erasing: %s\n", secretData); // اطلاعات پاک شده است
return 0;
}
2️⃣ حذف لاگهای امنیتی در حافظه
🔹 برخی بدافزارها لاگهای ذخیرهشده در حافظه (مثل ETW - Event Tracing for Windows) را شناسایی و پاک میکنند.
🔹 برای این کار، قبل از خاتمه اجرا، مقدار حافظه مرتبط با لاگها را با RtlZeroMemory پاک میکنند.
📌 مثال پاک کردن ساختار لاگها در حافظه:
#include <windows.h>
#include <evntprov.h>
void ClearETWLogs(PEVENT_TRACE_LOGFILE logFile) {
RtlZeroMemory(logFile, sizeof(EVENT_TRACE_LOGFILE));
}
3️⃣ پنهانسازی کلیدهای رمزگذاری شده در حافظه
🔹 بدافزارها اطلاعاتی مثل کلیدهای رمزنگاری یا توکنهای احراز هویت را در حافظه ذخیره میکنند.
🔹 برای جلوگیری از بازیابی این دادهها با ابزارهای Memory Forensics، بعد از استفاده، مقدارشان را با RtlZeroMemory پاک میکنند.
📌 مثال حذف کلید رمزگذاری از حافظه:
void SecureDelete(char* key, size_t length) {
RtlZeroMemory(key, length);
}
🔰 روشهای مقابله با RtlZeroMemory در تحلیل امنیتی
✅ 1. استفاده از Memory Dump قبل از پاک شدن حافظه
🔹 ابزارهایی مثل WinDbg, Volatility و Rekall میتوانند قبل از حذف حافظه، آن را تحلیل کنند.
🔹 راهکار: اجرای Volatility برای بررسی پردازشهای Hollowed یا Injecte
✅ 2. استفاده از SIEM برای لاگبرداری از API Calls
🔹 ابزارهایی مثل Splunk, ELK به کمک Sysmon میتوانند فراخوانی توابع مشکوک را لاگ کنند.
🔹 راهکار: ایجاد یک قانون Sysmon برای شناسایی استفاده از RtlZeroMemory
✅ 3. جلوگیری از Process Injection با EDR/XDR
🔹 بسیاری از EDRها مانند CrowdStrike, SentinelOne, و Microsoft Defender قابلیت شناسایی پردازشهای مشکوک را دارند.
✅ 4. بررسی رفتارهای مشکوک در حافظه
🔹 میتوان از ابزارهای Memory Monitoring مثل MemProcFS یا KAPE برای بررسی تغییرات مشکوک در حافظه استفاده کرد.
🔹 راهکار: مانیتورینگ تغییرات رجیستری و حافظه برای شناسایی پاک شدن دادهها.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
هکر به روشهای مختلفی اقدام به پاک کردن ردپا میکند. اما هکرهای خلاق مواظب ردپای خود در حافظه هم هستند پس میروند دنبال اینکه اونو پاک کنند .
تابع RtlZeroMemory در ویندوز، یک تابع از NTDLL.DLL است که مسئول پاک کردن محتویات یک بخش از حافظه میباشد. هکرها از این تابع برای پاک کردن ردپاهای خود در حافظه استفاده میکنند تا تحلیلگران امنیتی یا ابزارهای فارنزیک نتوانند شواهدی از اجرای بدافزار را پیدا کنند.
🚨 روشهای استفاده از RtlZeroMemory برای پاک کردن ردپا
1️⃣ پاک کردن شواهد پردازش (Process Hollowing / Code Injection)
🔹 هکرها در حملات Process Hollowing یا DLL Injection، بعد از اجرای کد مخرب، از RtlZeroMemory برای پاک کردن بخشهای حساس حافظه استفاده میکنند.
🔹 این روش باعث میشود ابزارهای Memory Dump نتوانند دادههای مربوط به اجرای بدافزار را بازیابی کنند.
📌 مثال کد مخرب:
#include <windows.h>
#include <winternl.h>
void EraseMemory(void* address, SIZE_T size) {
RtlZeroMemory(address, size);
}
int main() {
char secretData[] = "Malicious Code Here!";
printf("Before Erasing: %s\n", secretData);
EraseMemory(secretData, sizeof(secretData));
printf("After Erasing: %s\n", secretData); // اطلاعات پاک شده است
return 0;
}
2️⃣ حذف لاگهای امنیتی در حافظه
🔹 برخی بدافزارها لاگهای ذخیرهشده در حافظه (مثل ETW - Event Tracing for Windows) را شناسایی و پاک میکنند.
🔹 برای این کار، قبل از خاتمه اجرا، مقدار حافظه مرتبط با لاگها را با RtlZeroMemory پاک میکنند.
📌 مثال پاک کردن ساختار لاگها در حافظه:
#include <windows.h>
#include <evntprov.h>
void ClearETWLogs(PEVENT_TRACE_LOGFILE logFile) {
RtlZeroMemory(logFile, sizeof(EVENT_TRACE_LOGFILE));
}
3️⃣ پنهانسازی کلیدهای رمزگذاری شده در حافظه
🔹 بدافزارها اطلاعاتی مثل کلیدهای رمزنگاری یا توکنهای احراز هویت را در حافظه ذخیره میکنند.
🔹 برای جلوگیری از بازیابی این دادهها با ابزارهای Memory Forensics، بعد از استفاده، مقدارشان را با RtlZeroMemory پاک میکنند.
📌 مثال حذف کلید رمزگذاری از حافظه:
void SecureDelete(char* key, size_t length) {
RtlZeroMemory(key, length);
}
🔰 روشهای مقابله با RtlZeroMemory در تحلیل امنیتی
✅ 1. استفاده از Memory Dump قبل از پاک شدن حافظه
🔹 ابزارهایی مثل WinDbg, Volatility و Rekall میتوانند قبل از حذف حافظه، آن را تحلیل کنند.
🔹 راهکار: اجرای Volatility برای بررسی پردازشهای Hollowed یا Injecte
✅ 2. استفاده از SIEM برای لاگبرداری از API Calls
🔹 ابزارهایی مثل Splunk, ELK به کمک Sysmon میتوانند فراخوانی توابع مشکوک را لاگ کنند.
🔹 راهکار: ایجاد یک قانون Sysmon برای شناسایی استفاده از RtlZeroMemory
✅ 3. جلوگیری از Process Injection با EDR/XDR
🔹 بسیاری از EDRها مانند CrowdStrike, SentinelOne, و Microsoft Defender قابلیت شناسایی پردازشهای مشکوک را دارند.
✅ 4. بررسی رفتارهای مشکوک در حافظه
🔹 میتوان از ابزارهای Memory Monitoring مثل MemProcFS یا KAPE برای بررسی تغییرات مشکوک در حافظه استفاده کرد.
🔹 راهکار: مانیتورینگ تغییرات رجیستری و حافظه برای شناسایی پاک شدن دادهها.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤1🔥1🤩1
فراخوانی های CSC.exe و Msbuild.exe را در SOC بپایید.
یکی از روشهای اجرای کد مخرب ، انتقال کد ( خام و غیر اجرایی ) به سرور یا کلاینت قربانی و کامپایل کردن اون با ابزارهای فوق که ذاتی ویندوز هستند میباشد.
با توجه به اینکه کد مخرب در فرمت باینری به سیستم قربانی منتقل نمیشود ، امکان کشف آن سخت تر است .
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یکی از روشهای اجرای کد مخرب ، انتقال کد ( خام و غیر اجرایی ) به سرور یا کلاینت قربانی و کامپایل کردن اون با ابزارهای فوق که ذاتی ویندوز هستند میباشد.
با توجه به اینکه کد مخرب در فرمت باینری به سیستم قربانی منتقل نمیشود ، امکان کشف آن سخت تر است .
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1🔥1🤯1
👆👆=======توضیح برای برای مبتدیان
حمله Fileless چیست؟
حمله Fileless نوعی حمله سایبری است که بدون نیاز به ذخیره هیچ فایلی روی دیسک اجرا میشود. برخلاف بدافزارهای سنتی که روی هارد دیسک ذخیره شده و اجرا میشوند، در این حمله، کد مخرب مستقیماً در حافظه (RAM) اجرا میشود. این روش باعث میشود شناسایی آن توسط آنتیویروسها و EDRها سختتر شود.
🕵️♂️ چرا حمله Fileless خطرناک است؟
✅ عدم نیاز به فایل → چیزی روی دیسک ذخیره نمیشود، بنابراین آنتیویروسهای سنتی که فایلهای مخرب را اسکن میکنند، نمیتوانند آن را تشخیص دهند.
✅ استفاده از ابزارهای قانونی ویندوز → مهاجم از ابزارهای داخلی مانند PowerShell, WMI, Regsvr32, rundll32 برای اجرای کد استفاده میکند، که تشخیص را سخت میکند.
✅ اجرای در حافظه (RAM) → بدافزار فقط در حافظه اجرا شده و پس از ریستارت شدن سیستم، اثری از آن باقی نمیماند.
✅ بایپس کردن کنترلهای امنیتی → بسیاری از آنتیویروسها و راهکارهای امنیتی روی فایلها و پردازشهای دیسک تمرکز دارند، نه روی اجرای کد در حافظه
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
حمله Fileless چیست؟
حمله Fileless نوعی حمله سایبری است که بدون نیاز به ذخیره هیچ فایلی روی دیسک اجرا میشود. برخلاف بدافزارهای سنتی که روی هارد دیسک ذخیره شده و اجرا میشوند، در این حمله، کد مخرب مستقیماً در حافظه (RAM) اجرا میشود. این روش باعث میشود شناسایی آن توسط آنتیویروسها و EDRها سختتر شود.
🕵️♂️ چرا حمله Fileless خطرناک است؟
✅ عدم نیاز به فایل → چیزی روی دیسک ذخیره نمیشود، بنابراین آنتیویروسهای سنتی که فایلهای مخرب را اسکن میکنند، نمیتوانند آن را تشخیص دهند.
✅ استفاده از ابزارهای قانونی ویندوز → مهاجم از ابزارهای داخلی مانند PowerShell, WMI, Regsvr32, rundll32 برای اجرای کد استفاده میکند، که تشخیص را سخت میکند.
✅ اجرای در حافظه (RAM) → بدافزار فقط در حافظه اجرا شده و پس از ریستارت شدن سیستم، اثری از آن باقی نمیماند.
✅ بایپس کردن کنترلهای امنیتی → بسیاری از آنتیویروسها و راهکارهای امنیتی روی فایلها و پردازشهای دیسک تمرکز دارند، نه روی اجرای کد در حافظه
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥2👍1
درخصوص مدلسازی تهدید با کمک از LLM
هم گیت هاب هم ویدئو
https://m.youtube.com/watch?v=aaH9nBeKC2A
https://github.com/mrwadams/stride-gpt
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
هم گیت هاب هم ویدئو
https://m.youtube.com/watch?v=aaH9nBeKC2A
https://github.com/mrwadams/stride-gpt
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
STRIDE GPT v0.12 - Threat Modeling
This demo showcases STRIDE GPT, an innovative tool that leverages AI to rapidly generate comprehensive threat models based on the STRIDE methodology (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege).…
👍2❤1👎1🔥1
سوال روز :
در مرحله ای از یک حمله Fileless، هکر بدافزار را در رجیستری ذخیره میکند. چرا با اینکه رجیستری روی دیسک است با این حال هنوز حمله فایل لس در نظر گرفته میشود ؟
منتظر پاسخ شما هستم . خودم چند روز دیگه پاسخ رو روی همین پست ریپست خواهم کرد.
تصویر فوق از گروه کتابخوانی نوروز Evasive Malware در خصوص حمله فایل لس
در نوروز قرار است یک پله رشد خوب در شاخه تحلیل بدافزار برای مهندسان کشف
داشته باشیم
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
در مرحله ای از یک حمله Fileless، هکر بدافزار را در رجیستری ذخیره میکند. چرا با اینکه رجیستری روی دیسک است با این حال هنوز حمله فایل لس در نظر گرفته میشود ؟
منتظر پاسخ شما هستم . خودم چند روز دیگه پاسخ رو روی همین پست ریپست خواهم کرد.
تصویر فوق از گروه کتابخوانی نوروز Evasive Malware در خصوص حمله فایل لس
در نوروز قرار است یک پله رشد خوب در شاخه تحلیل بدافزار برای مهندسان کشف
داشته باشیم
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥1🕊1👨💻1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1🔥1🎉1
1744491290094.pdf
186.9 KB
تجربه من در حل مشکل احراز هویت برای لینکدین
در ۴۸ ساعت گذشته سره یه تغییر ایمیل لینکدین بهم مشکوک شد و اکانتم رو بست
لحظهی بدی بود چون دیده بودم خیلی ها سره همین موضوع دیگه نتونستن برگردن لینکدین اینا مهم نبود ۳ پیح کاری هم داشتم که همشو سوپر منیحر بودم
حالا مشکل چیه : ما ایران هستیم و در هر زمینه حساب نمیشیم متاسفانه و لینکدین برای احراز هویت مدارک ایران رو قبول نمیکنه یا پاسپورت باید ماله کشوری بحز ایران باشه
حالا اینجا بعضی ها کسب و کار راه انداختن و با قیمت های نجومی پاسپورت حعل میکنند برات که همون ۷ روز طول میکشه و کم کم ۶ میلیون هزینه پات میوفته
تنها راهی که دیدم این بود در بخش راهنمایی لینکدین تیکت زدم و شفاف اعلام کردم مشکل چیه ازم پاسپورت خواست
در جواب گفتم ایرانی هستم و پاسپورت ندارم راه حل چیه یه لینک احراز هویت داد که pdf رو پیوست کردم که میخواست از نهاد دولتی (دفتر اسناد رسمی) هویت خودمو تایید کنم
امروز صبح درگیر این کارا بودم و اسکن کردم و فرستادم انتظار داشتم گیر بده که فارسی قبول نیست برو ترجمه کن ولی ظاهرا همین جواب بود و چند ساعت پیش محدودیت اکانتم برداشته شد و تونستم برگردم اینجا
چون خودم خیلی سرچ کردم و راه های مختلف و اشتباه زیادی وجود داشت سعی کردم اینحا تجربمو بزارم شاید بدرد کسی بخوره و بتونه به اکانتش برگرده چون عوام فریبی شده در رسانه ها که برخی از دوستان برای کسب درامد در این موارد بخوان مدارک جعلی بفروشن که بتونید مشکلتون رو حل کنید
من هیچ کدوم از این وب سایت های حل مشکل وریفای لینکدین رو از نظر انسانی و قیمتی درست نمیبینم نهایت هزینه اون اسناد تقلبی ۲ تومن باشع نه ۶ الی ۱۴ میلیون برای این چیزا هزینه نکنید از این روش برید جلو و تحربه کاربران ارزشمند تر از نظرات رضایت مند فیکی برخی سایت های مدعی در حل این مشکلات هست که البته تضکینی نیست با مدرک جعلی بتونی وریفای کنید
امیدوارم این اتفاقا برای شما نیوفته
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
در ۴۸ ساعت گذشته سره یه تغییر ایمیل لینکدین بهم مشکوک شد و اکانتم رو بست
لحظهی بدی بود چون دیده بودم خیلی ها سره همین موضوع دیگه نتونستن برگردن لینکدین اینا مهم نبود ۳ پیح کاری هم داشتم که همشو سوپر منیحر بودم
حالا مشکل چیه : ما ایران هستیم و در هر زمینه حساب نمیشیم متاسفانه و لینکدین برای احراز هویت مدارک ایران رو قبول نمیکنه یا پاسپورت باید ماله کشوری بحز ایران باشه
حالا اینجا بعضی ها کسب و کار راه انداختن و با قیمت های نجومی پاسپورت حعل میکنند برات که همون ۷ روز طول میکشه و کم کم ۶ میلیون هزینه پات میوفته
تنها راهی که دیدم این بود در بخش راهنمایی لینکدین تیکت زدم و شفاف اعلام کردم مشکل چیه ازم پاسپورت خواست
در جواب گفتم ایرانی هستم و پاسپورت ندارم راه حل چیه یه لینک احراز هویت داد که pdf رو پیوست کردم که میخواست از نهاد دولتی (دفتر اسناد رسمی) هویت خودمو تایید کنم
امروز صبح درگیر این کارا بودم و اسکن کردم و فرستادم انتظار داشتم گیر بده که فارسی قبول نیست برو ترجمه کن ولی ظاهرا همین جواب بود و چند ساعت پیش محدودیت اکانتم برداشته شد و تونستم برگردم اینجا
چون خودم خیلی سرچ کردم و راه های مختلف و اشتباه زیادی وجود داشت سعی کردم اینحا تجربمو بزارم شاید بدرد کسی بخوره و بتونه به اکانتش برگرده چون عوام فریبی شده در رسانه ها که برخی از دوستان برای کسب درامد در این موارد بخوان مدارک جعلی بفروشن که بتونید مشکلتون رو حل کنید
من هیچ کدوم از این وب سایت های حل مشکل وریفای لینکدین رو از نظر انسانی و قیمتی درست نمیبینم نهایت هزینه اون اسناد تقلبی ۲ تومن باشع نه ۶ الی ۱۴ میلیون برای این چیزا هزینه نکنید از این روش برید جلو و تحربه کاربران ارزشمند تر از نظرات رضایت مند فیکی برخی سایت های مدعی در حل این مشکلات هست که البته تضکینی نیست با مدرک جعلی بتونی وریفای کنید
امیدوارم این اتفاقا برای شما نیوفته
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥1👏1🎉1🤩1
دوستان شرکت ما در کانادا نیاز یه یک توسعه دهنده هوش مصنوعی داره که هم مهندسی نرم افزار بدونه هم هوش مصنوعی.
لطفا رزومه های خودتون رو به ایمیل زیر ارسال کنید:
behnam.nikbakht@gmail.com
#موقعیت_شغلی
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
لطفا رزومه های خودتون رو به ایمیل زیر ارسال کنید:
behnam.nikbakht@gmail.com
#موقعیت_شغلی
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍1👏1🎉1🕊1
Forwarded from Hidden Bytes ( End )
🔧 Penetration Test Tool Box
#notion
یه نوشن مرتب برای تست نفوذ طراحی کردم که شامل دستهبندی دقیق و لینک مستقیم به ابزارهای موردنیاز در زمینههای مختلفه؛ از جمعآوری اطلاعات و اکسپلویت تا رمزنگاری و تحلیل بدافزار.
این صفحه توی Notion ساخته شده و سعی کردم همهچیز کاربردی، واضح و قابل استفاده باشه — هم برای یادگیری، هم موقع کار واقعی.
📁 دستهبندی ابزارها به شکل منظم
🔗 دسترسی سریع به هر ابزار
🧰 مناسب برای دانشجوها، علاقهمندان و فعالهای حوزه امنیت
اگر به دنیای تست نفوذ و امنیت علاقهمند هستی، امیدوارم برات مفید باشه.
👨💻 لینک:
https://admitted-brain-8ff.notion.site/Penetration-Test-Tool-Box-19d82d810d6f80eea1afe5b80a34067b
Hidden Bytes Channel : t.me/hidden_bytes
#notion
یه نوشن مرتب برای تست نفوذ طراحی کردم که شامل دستهبندی دقیق و لینک مستقیم به ابزارهای موردنیاز در زمینههای مختلفه؛ از جمعآوری اطلاعات و اکسپلویت تا رمزنگاری و تحلیل بدافزار.
این صفحه توی Notion ساخته شده و سعی کردم همهچیز کاربردی، واضح و قابل استفاده باشه — هم برای یادگیری، هم موقع کار واقعی.
📁 دستهبندی ابزارها به شکل منظم
🔗 دسترسی سریع به هر ابزار
🧰 مناسب برای دانشجوها، علاقهمندان و فعالهای حوزه امنیت
اگر به دنیای تست نفوذ و امنیت علاقهمند هستی، امیدوارم برات مفید باشه.
👨💻 لینک:
https://admitted-brain-8ff.notion.site/Penetration-Test-Tool-Box-19d82d810d6f80eea1afe5b80a34067b
Hidden Bytes Channel : t.me/hidden_bytes
❤2🔥1👏1🎉1🕊1👨💻1
مهارت های زیر رو بلد باشند
network+
ccna
lpic1
با حقوق و مزایا عالی
جهت ارسال رزومه به آی دی زیر داخل تلگرام پیام بدید.
باتشکر
@SHAMEDJJ
Please open Telegram to view this post
VIEW IN TELEGRAM
این شبها با عزیزی اینو بحث کردیم گفتم شما هم بدونید که تست کنید. برخی از شما در کلاسهایی که داشتیم باهم کارکردیم برخی هم اگر کار نکردین انجام بدین
https://github.com/NextronSystems/APTSimulator
تجربیات کلیدی از کار با APT Simulator
🎈عدم شناسایی برخی تکنیکها توسط SIEM
وقتی برای اولین بار APT Simulator را در مجموعه ای اجرا کردم، انتظار داشتم SIEM بهسرعت همه رفتارهای مشکوک را تشخیص بده اما در کمال تعجب، برخی حملات کاملاً از دید SIEM مخفی ماندند!
نمونهای از تکنیکی که شناسایی نشد:
تکنیک T1086 – PowerShell Execution اجرا شد و در Windows Event Logs (ID 4104) نشانههایی از اجرای PowerShell دیده شد، اما SIEM هیچ هشداری نداد!
✅ درس آموختهشده:
باید قوانین سفارشی را در SIEM نوشت تا اجرای PowerShell مشکوک را تشخیص دهد.
🎈فرار از شناسایی توسط EDR
در یک سناریو، قصد داشتم ببینم که آیا EDR قادر به شناسایی اجرای مخفیانه ابزارهای مخرب است یا خیر. APT Simulator از تکنیکی مثل T1055 – Process Injection استفاده کرد.
نتیجه:
در اون سازمان EDR برخی رفتارهای مخرب را شناسایی کرد، اما در برخی موارد که حمله روی فرآیندهای سیستمی امضا نشده اجرا شد، تشخیص داده نشد.
✅ درس آموختهشده:
نسبت به تغییر EDR اقدام کردیم
🎈 بررسی اثر حملات بر روی لاگهای ویندوز
یکی از مفیدترین تجربهها برای من این بود که بعد از اجرای حملات، بررسی کنم که چه تغییراتی در لاگهای ویندوز ایجاد شده است.
متوجه شدم Auditing به دقت تنظیم نشده است لذا یکبار بر این موضوع وقت گذاشتم البته برای یک مجموعه دیگر بر روی سیسمون کار کردم
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/NextronSystems/APTSimulator
تجربیات کلیدی از کار با APT Simulator
🎈عدم شناسایی برخی تکنیکها توسط SIEM
وقتی برای اولین بار APT Simulator را در مجموعه ای اجرا کردم، انتظار داشتم SIEM بهسرعت همه رفتارهای مشکوک را تشخیص بده اما در کمال تعجب، برخی حملات کاملاً از دید SIEM مخفی ماندند!
نمونهای از تکنیکی که شناسایی نشد:
تکنیک T1086 – PowerShell Execution اجرا شد و در Windows Event Logs (ID 4104) نشانههایی از اجرای PowerShell دیده شد، اما SIEM هیچ هشداری نداد!
✅ درس آموختهشده:
باید قوانین سفارشی را در SIEM نوشت تا اجرای PowerShell مشکوک را تشخیص دهد.
🎈فرار از شناسایی توسط EDR
در یک سناریو، قصد داشتم ببینم که آیا EDR قادر به شناسایی اجرای مخفیانه ابزارهای مخرب است یا خیر. APT Simulator از تکنیکی مثل T1055 – Process Injection استفاده کرد.
نتیجه:
در اون سازمان EDR برخی رفتارهای مخرب را شناسایی کرد، اما در برخی موارد که حمله روی فرآیندهای سیستمی امضا نشده اجرا شد، تشخیص داده نشد.
✅ درس آموختهشده:
نسبت به تغییر EDR اقدام کردیم
🎈 بررسی اثر حملات بر روی لاگهای ویندوز
یکی از مفیدترین تجربهها برای من این بود که بعد از اجرای حملات، بررسی کنم که چه تغییراتی در لاگهای ویندوز ایجاد شده است.
متوجه شدم Auditing به دقت تنظیم نشده است لذا یکبار بر این موضوع وقت گذاشتم البته برای یک مجموعه دیگر بر روی سیسمون کار کردم
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - NextronSystems/APTSimulator: A toolset to make a system look as if it was the victim of an APT attack
A toolset to make a system look as if it was the victim of an APT attack - NextronSystems/APTSimulator
نمیدونم بگم اونهایی که این نوع مقالات رو میخونن چه جایگاهی دارند؛ ولی کارشون درسته که بنیادین عمل میکنند
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-4-%E2%80%93-enforcing-aes-for-kerberos/4114965
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-4-%E2%80%93-enforcing-aes-for-kerberos/4114965
Please open Telegram to view this post
VIEW IN TELEGRAM
TECHCOMMUNITY.MICROSOFT.COM
Active Directory Hardening Series - Part 4 – Enforcing AES for Kerberos | Microsoft Community Hub
Disabling Kerberos RC4 is a top priority for many organizations today but identifying devices that don't support AES has been very challenging. In this...
استفاده از دستگاه دروغ سنج در دپارتمان امنیت ملی آمریکا برای یافتن سرمنشاء نشت اطلاعات
https://www-nbcnews-com.cdn.ampproject.org/c/s/www.nbcnews.com/news/amp/rcna195485
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www-nbcnews-com.cdn.ampproject.org/c/s/www.nbcnews.com/news/amp/rcna195485
Please open Telegram to view this post
VIEW IN TELEGRAM
www-nbcnews-com.cdn.ampproject.org
DHS has begun performing polygraph tests on employees to find leakers
DHS Secretary Kristi Noem and border czar Tom Homan have blamed lower-than-expected ICE arrest numbers on recent leaks about planned operations.
یه ویدئو براتون میگذارم تا چیستی ETW دستتون بیاد
https://youtu.be/-i_xAF7JqyA?si=Iov9GT_bnJyU6Kfg
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://youtu.be/-i_xAF7JqyA?si=Iov9GT_bnJyU6Kfg
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Introduction to ETW
اینم یه مقاله خوب واسه سطح ۲ مرکز عملیات
https://www.thedfirspot.com/post/lateral-movement-remote-desktop-protocol-rdp-event-logs
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.thedfirspot.com/post/lateral-movement-remote-desktop-protocol-rdp-event-logs
Please open Telegram to view this post
VIEW IN TELEGRAM
The DFIR Spot
Lateral Movement - Remote Desktop Protocol (RDP) Event Logs
Identify the important Windows Event logs to hunt RDP lateral movement, both from the source and target system.
سیسمون و Audit در ویندوز برای SOC
میدونیم که سیسمون چه رویداد هایی رو لاگ میاندازد. و میدونیم ویندوز بصورت پیش فرض یکسری رویداد ها را لاگ نمیکند و لازم است Audit را تنظیم کرد. حالا با نگاهی به حملات بیایید بررسی کنیم چه چیزهایی رو نمیشه با تنظیم سیسمون گرفت و لازمه با تنظیم audit در ویندوز لاگ گیری کرد ، آیا سیسمون به تنهایی کافیه؟
سیسمون (Sysmon) یک ابزار قدرتمند برای لاگگیری از فعالیتهای سیستمی در ویندوز است، اما محدودیتهایی دارد که باعث میشود در برخی موارد نیاز به تنظیمات Windows Audit Policy باشد. در اینجا برخی از حملات را بررسی میکنیم و مشخص میکنیم که آیا سیسمون بهتنهایی کافی است یا باید از Windows Audit نیز استفاده شود:
۱. حملات اجرای کد از راه دور (RCE) و Exploitation
✅ سیسمون لاگ میگیرد:
این Sysmon با Event ID 1 (Process Creation) میتواند اجرای پردازشهای مشکوک را ثبت کند.
Event ID 8 (CreateRemoteThread) و Event ID 10 (ProcessAccess) میتوانند برای شناسایی حملات تزریق کد به کار روند.
❌ اما کافی نیست، Audit لازم است:
Object Access > Audit Handle Manipulation
میتواند برای بررسی دسترسیهای غیرمجاز روی حافظه یا فایلها کمک کند.
Privilege Use > Audit Sensitive Privilege Use
میتواند استفاده از توکنهای حساس را لاگ کند.
۲. حملات مربوط به دستکاری لاگها و حذف ردپاها
✅ سیسمون لاگ میگیرد:
Event ID 5 (Process Terminated)
برای بررسی فرآیندهای غیرعادی که در تلاش برای حذف ردپاها هستند.
Event ID 22 (DNS Query)
برای شناسایی درخواستهای مشکوک به سرویسهای C2.
❌ اما کافی نیست، Audit لازم است:
Audit Policy Change برای بررسی تغییرات در تنظیمات لاگگیری ویندوز.
System > Audit System Integrity
برای بررسی تغییرات غیرمجاز در رجیستری و فایلهای سیستم.
۳. حملات Pass-the-Hash (PtH) و Pass-the-Ticket (PtT)
✅ سیسمون لاگ میگیرد:
Event ID 10 (Process Access) برای مشاهده تلاشهای دسترسی به پردازشهای LSASS.
❌ اما کافی نیست، Audit لازم است:
Logon/Logoff > Audit Logon برای ثبت لاگینهای مشکوک.
Credential Validation > Audit Credential Validation
برای بررسی تأییدیههای هویتی.
Special Logon
برای بررسی ورودهای مدیریتی و استفاده از توکنهای خاص.
۴. حملات مربوط به ایجاد کاربر و تغییر دسترسیها (Privilege Escalation)
✅ سیسمون لاگ میگیرد:
Event ID 1 (Process Creation) میتواند اجرای ابزارهایی مثل net user یا wmic را ثبت کند.
❌ اما کافی نیست، Audit لازم است:
Account Management > Audit User Account Management برای بررسی ایجاد یا حذف کاربران.
Privilege Use > Audit Privilege Use
برای مشاهده دسترسیهای سطح بالا.
۵. حملات به Active Directory و Kerberos
✅ سیسمون لاگ میگیرد:
Event ID 13 (Registry Key and Value Change)
برای بررسی تغییرات در رجیستری که ممکن است روی Kerberos تأثیر بگذارد.
❌ اما کافی نیست، Audit لازم است:
Account Logon > Audit Kerberos Authentication Service
برای بررسی درخواستهای احراز هویت Kerberos.
Audit Directory Service Access
برای لاگ کردن تغییرات در Active Directory.
۶. حملات مربوط به اجرای اسکریپتهای مخرب (PowerShell, WMI, HTA, VBA)
✅ سیسمون لاگ میگیرد:
Event ID 1 (Process Creation) برای اجرای اسکریپتهای مشکوک.
Event ID 11 (File Create)
برای بررسی ایجاد فایلهای مشکوک.
❌ اما کافی نیست، Audit لازم است:
Script Block Logging در Group Policy
برای لاگ کردن اسکریپتهای PowerShell.
WMI Auditing
برای بررسی اجرای WMI در سطح سیستم.
نتیجهگیری
سیسمون ابزار بسیار خوبی برای مشاهده رفتارهای مشکوک در سطح پردازش، شبکه، و رجیستری است، اما بهتنهایی برای تحلیل همهی حملات کافی نیست. تنظیم Windows Audit Policy میتواند لاگهای اضافی و ارزشمندی را فراهم کند، بهخصوص در موارد زیر:
احراز هویت و لاگینها (Kerberos, PtH, PtT)
دسترسیهای مدیریتی و تغییرات در سیستم (Account Management, Privilege Use)
دسترسی به Active Directory و لاگهای امنیتی (Audit Directory Service Access)
تغییرات در Audit Policy و حذف لاگها (Audit Policy Change, System Integrity)
این Sysmon را برای بررسی فعالیتهای مشکوک در سطح پردازش و رجیستری فعال نگهدارید.
مقوله Windows Audit Policy را روی دستههای Logon, Privilege Use, Object Access, و System Integrity تنظیم کنید تا حملات پیچیدهتر قابل مشاهده باشند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
میدونیم که سیسمون چه رویداد هایی رو لاگ میاندازد. و میدونیم ویندوز بصورت پیش فرض یکسری رویداد ها را لاگ نمیکند و لازم است Audit را تنظیم کرد. حالا با نگاهی به حملات بیایید بررسی کنیم چه چیزهایی رو نمیشه با تنظیم سیسمون گرفت و لازمه با تنظیم audit در ویندوز لاگ گیری کرد ، آیا سیسمون به تنهایی کافیه؟
سیسمون (Sysmon) یک ابزار قدرتمند برای لاگگیری از فعالیتهای سیستمی در ویندوز است، اما محدودیتهایی دارد که باعث میشود در برخی موارد نیاز به تنظیمات Windows Audit Policy باشد. در اینجا برخی از حملات را بررسی میکنیم و مشخص میکنیم که آیا سیسمون بهتنهایی کافی است یا باید از Windows Audit نیز استفاده شود:
۱. حملات اجرای کد از راه دور (RCE) و Exploitation
✅ سیسمون لاگ میگیرد:
این Sysmon با Event ID 1 (Process Creation) میتواند اجرای پردازشهای مشکوک را ثبت کند.
Event ID 8 (CreateRemoteThread) و Event ID 10 (ProcessAccess) میتوانند برای شناسایی حملات تزریق کد به کار روند.
❌ اما کافی نیست، Audit لازم است:
Object Access > Audit Handle Manipulation
میتواند برای بررسی دسترسیهای غیرمجاز روی حافظه یا فایلها کمک کند.
Privilege Use > Audit Sensitive Privilege Use
میتواند استفاده از توکنهای حساس را لاگ کند.
۲. حملات مربوط به دستکاری لاگها و حذف ردپاها
✅ سیسمون لاگ میگیرد:
Event ID 5 (Process Terminated)
برای بررسی فرآیندهای غیرعادی که در تلاش برای حذف ردپاها هستند.
Event ID 22 (DNS Query)
برای شناسایی درخواستهای مشکوک به سرویسهای C2.
❌ اما کافی نیست، Audit لازم است:
Audit Policy Change برای بررسی تغییرات در تنظیمات لاگگیری ویندوز.
System > Audit System Integrity
برای بررسی تغییرات غیرمجاز در رجیستری و فایلهای سیستم.
۳. حملات Pass-the-Hash (PtH) و Pass-the-Ticket (PtT)
✅ سیسمون لاگ میگیرد:
Event ID 10 (Process Access) برای مشاهده تلاشهای دسترسی به پردازشهای LSASS.
❌ اما کافی نیست، Audit لازم است:
Logon/Logoff > Audit Logon برای ثبت لاگینهای مشکوک.
Credential Validation > Audit Credential Validation
برای بررسی تأییدیههای هویتی.
Special Logon
برای بررسی ورودهای مدیریتی و استفاده از توکنهای خاص.
۴. حملات مربوط به ایجاد کاربر و تغییر دسترسیها (Privilege Escalation)
✅ سیسمون لاگ میگیرد:
Event ID 1 (Process Creation) میتواند اجرای ابزارهایی مثل net user یا wmic را ثبت کند.
❌ اما کافی نیست، Audit لازم است:
Account Management > Audit User Account Management برای بررسی ایجاد یا حذف کاربران.
Privilege Use > Audit Privilege Use
برای مشاهده دسترسیهای سطح بالا.
۵. حملات به Active Directory و Kerberos
✅ سیسمون لاگ میگیرد:
Event ID 13 (Registry Key and Value Change)
برای بررسی تغییرات در رجیستری که ممکن است روی Kerberos تأثیر بگذارد.
❌ اما کافی نیست، Audit لازم است:
Account Logon > Audit Kerberos Authentication Service
برای بررسی درخواستهای احراز هویت Kerberos.
Audit Directory Service Access
برای لاگ کردن تغییرات در Active Directory.
۶. حملات مربوط به اجرای اسکریپتهای مخرب (PowerShell, WMI, HTA, VBA)
✅ سیسمون لاگ میگیرد:
Event ID 1 (Process Creation) برای اجرای اسکریپتهای مشکوک.
Event ID 11 (File Create)
برای بررسی ایجاد فایلهای مشکوک.
❌ اما کافی نیست، Audit لازم است:
Script Block Logging در Group Policy
برای لاگ کردن اسکریپتهای PowerShell.
WMI Auditing
برای بررسی اجرای WMI در سطح سیستم.
نتیجهگیری
سیسمون ابزار بسیار خوبی برای مشاهده رفتارهای مشکوک در سطح پردازش، شبکه، و رجیستری است، اما بهتنهایی برای تحلیل همهی حملات کافی نیست. تنظیم Windows Audit Policy میتواند لاگهای اضافی و ارزشمندی را فراهم کند، بهخصوص در موارد زیر:
احراز هویت و لاگینها (Kerberos, PtH, PtT)
دسترسیهای مدیریتی و تغییرات در سیستم (Account Management, Privilege Use)
دسترسی به Active Directory و لاگهای امنیتی (Audit Directory Service Access)
تغییرات در Audit Policy و حذف لاگها (Audit Policy Change, System Integrity)
این Sysmon را برای بررسی فعالیتهای مشکوک در سطح پردازش و رجیستری فعال نگهدارید.
مقوله Windows Audit Policy را روی دستههای Logon, Privilege Use, Object Access, و System Integrity تنظیم کنید تا حملات پیچیدهتر قابل مشاهده باشند.
Please open Telegram to view this post
VIEW IN TELEGRAM
راهکار فرار بدافزارهای جدید
🔴وقتی از امنیت علیه امنیت استفاده میشه
خیلی خطرناک هستند
🟣واقعا راهکارهای جدیدی برای کشف این نوع نفوذ ها لازمه
https://www.akamai.com/blog/security-research/2025/feb/2025-february-abusing-vbs-enclaves-evasive-malware
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
🔴وقتی از امنیت علیه امنیت استفاده میشه
خیلی خطرناک هستند
🟣واقعا راهکارهای جدیدی برای کشف این نوع نفوذ ها لازمه
https://www.akamai.com/blog/security-research/2025/feb/2025-february-abusing-vbs-enclaves-evasive-malware
Please open Telegram to view this post
VIEW IN TELEGRAM