📢 Hiring: SOC Analyst L1 (Fresh - 2 Years Experience)
📍 Location: Islamabad / Rawalpindi (Onsite)
🏢 Company: SecureQuanta
💼 Employment Type: Full-Time
Send your Resume till 3rd July 2025 on : naveed.abbas@securequanta.com

Position:
We are looking for a Level 1 SOC Analyst with 0–2 years of experience to join our growing team. This role is ideal for recent graduates or early-career professionals passionate about cybersecurity and eager to gain hands-on experience in a fast-paced, collaborative environment.

Requirements:
Bachelor’s degree in Cybersecurity, Computer Science, Information Technology, or related field
0–2 years of experience in a SOC or cybersecurity role (fresh graduates are welcome)
Understanding of common security tools (e.g., SIEM, firewalls, IDS/IPS)
Basic knowledge of network protocols and operating systems
Strong analytical, problem-solving, and communication skills
Willingness to work in a 24/7 rotating shift environment (if required).

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

📢 Still Exploring New Roles | Network & Security Engineer

🔍 Looking for English-speaking positions across Austria and wider Europe
Hello LinkedIn network 👋

It’s been a productive month of networking, and I’m still actively looking for new opportunities in Network Engineering, IT Security, and Systems Administration — ideally on-site or hybrid roles.

I’ve recently completed several certifications to sharpen my cloud and infrastructure skills:
🎓 AWS Cloud Practitioner (CLF-C02) – Cloud Concepts & Security
🎓 Ansible Essential Training | ISO 27001:2022 Cybersecurity
🎓 Microsoft Azure Fundamentals | Learning Kubernetes
With 10+ years of experience, I bring strong expertise in:
📡 Network design & troubleshooting
🛠 Linux, Windows Server, AD, firewall configuration
📊 Monitoring with Zabbix, OPManager

If you or someone you know is hiring — I’d love a referral, a message, or even a share. Thanks in advance 🙏
Let’s connect!
📧 Contact: faraji[dot]tahmineh[at]outlook[dot]com

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ابزار Forensic Timeliner

این ابزار که در این پست معرفی میکنم ، یک ابزار تایم‌لاین‌ساز سریع مخصوص تحلیل‌های دیجیتال (Digital Forensics) هست، مخصوص کسانی که توی حوزه‌ی DFIR (Digital Forensics and Incident Response) کار می‌کنن.

💡 کار اصلی این ابزار چیه؟


اطلاعات جمع‌آوری‌شده از سیستم (مثل لاگ‌ها، آرتیفکت‌ها و فایل‌ها) رو می‌گیره، اون‌ها رو مرتب می‌کنه و به صورت یک تایم‌لاین (خط زمانی) منظم در میاره.

یعنی چی؟
یعنی شما می‌تونید ببینید:

چه اتفاقی در چه زمانی افتاده؟

کِی یه فایل خاص ساخته یا حذف شده؟

چه زمانی یوزری لاگین کرده؟

و خیلی اطلاعات دقیق زمانی دیگه...

✨ ویژگی‌های جدید نسخه 2.2:

پیش‌نمایش تعاملی فیلترهای YAML برای لاگ‌های MFT و Event Logs

پیشنهاد تگ‌گذاری با کلمات کلیدی (TLE tagging) برای تولید session با پسوند .tle_sess

پشتیبانی از علامت [] در فیلترها برای پوشش همه Event IDها


✅ از چی پشتیبانی می‌کنه؟

با ابزارهای مطرح تحلیل دیجیتال کار می‌کنه، مثل:

EZ Tools/KAPE

Chainsaw

Hayabusa

Axiom


🔍 مناسب برای چه کسانیه؟

تحلیلگران فورنزیک دیجیتال

تیم‌های Incident Response

تیم SOC Analystهایی که دنبال کشف زمان وقوع و ترتیب رویدادها هستن

https://github.com/acquiredsecurity/forensic-timeliner

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

برای دانشجویان به زبان ساده

شنود سیستم کال

سیستم کال و نه API اپلیکیشن تحت وب، شنود تماس‌های API بین اجزای سیستم‌عامل، سرویس‌ها، یا حتی بین برنامه و کرنل هست؛ مثلاً:

شنود System Call API در لینوکس یا ویندوز (مثلاً NtCreateFile, ReadFile, socket, execve)

تحلیل رفتار بدافزار یا برنامه از طریق API Monitoring

استفاده از ابزارهایی مثل strace, sysdig, procmon, یا API Monitor


🎯 هدف: آموزش شنود APIهای سیستم به دانشجویان
🔹 ۱. تعریف ساده و کاربردی

«در سیستم‌عامل‌ها، وقتی برنامه‌ای می‌خواد کاری انجام بده مثل خوندن یک فایل، باز کردن اینترنت، یا اختصاص دادن حافظه، درخواستش رو از طریق یک API یا System Call به سیستم‌عامل می‌فرسته. شنود این APIها یعنی بررسی اینکه چه برنامه‌ای چه دستوری به سیستم‌عامل داده.»

🟣 مثال ساده:

وقتی Notepad رو باز می‌کنی و یک فایل رو ذخیره می‌کنی، پشت صحنه سیستم از CreateFile, WriteFile, CloseHandle استفاده می‌کنه. ما می‌تونیم این APIها رو ببینیم.

🔹 ۲. چرا لازمه API Callهای سیستم شنود بشن؟

تحلیل رفتار برنامه‌ها:
آیا برنامه بدون اجازه شما به فایل یا شبکه دسترسی داره؟

کشف بدافزارها:
بدافزارها با APIها رفتار خودشون رو نشون می‌دن، مثلاً VirtualAlloc برای رزرو حافظه جهت shellcode
مهندسی معکوس:
این API Callها قدم به قدم به شما می‌گن برنامه داره چه‌کار می‌کنه
شناسایی رفتار مشکوک:
اگر برنامه‌ای پشت صحنه keylogger اجرا کنه، APIهای GetAsyncKeyState یا SetWindowsHookEx ظاهر می‌شن
تست امنیتی:
فهمیدن اینکه یه برنامه از چه System Callهایی استفاده می‌کنه، می‌تونه به تست نفوذ کمک کنه

🔹 ۳. ابزارهای پیشنهادی (بسته به سیستم‌عامل):
✅ ویندوز:

ابزار Process Monitor (Procmon) – از Sysinternals. برای دیدن File, Registry, Network, و API Calls.

ابزار API Monitor – برای رصد کردن دقیق APIهای ویندوز (user-mode و kernel-mode).

ابزار WinDbg + Sysinternals – برای سطح پایین‌تر، مخصوص دانشجویان پیشرفته‌تر.

✅ لینوکس:

ابزار strace – برای دیدن System Callهای سطح پایین مثل open, read, write

ابزار lsof, dstat, iotop – برای مشاهده منابع درگیر

ابزار sysdig – تحلیل و شنود عمیق‌تر از kernel space

ابزار auditd – برای مانیتور کردن دقیق سیاست‌محور از system callها

این API Callها مثل گفت‌وگوی مخفی بین نرم‌افزار و سیستم‌عامل هستند. شنیدن این مکالمه‌ها یعنی اینکه بفهمیم برنامه‌ها واقعاً چی کار می‌کنند، نه فقط اون چیزی که در ظاهر نشون می‌دن. این یک سلاح کلیدی برای شکار تهدید، مهندسی معکوس، و تحلیل امنیتی هست.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

پایداری سایبری در زیرساخت‌های حیاتی
مستندی از ISACA

نگاهی به NIS2 و DORA
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Switch-Router Architectures📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Sybex CCENT ICND1 Study Guide Exam📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Sybex Mastering VMware Infrastructure📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Stallings, William Cryptography📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

SSH📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

SSCP Systems Security Certified📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Sybex Group Policy📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

SysAdmin Network Services📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Sybex CCNA Cloud Complete Study Guide📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

TCPIP Illustrated volume 1 📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔍 مقدمه ای بر گوگل هکینگ

گوگل هکینگ (Google Hacking) یعنی استفاده از جستجوی پیشرفته گوگل برای پیدا کردن اطلاعات حساس، آسیب‌پذیری‌ها یا اشتباهات امنیتی وب‌سایت‌ها و سرورها، این کار معمولا با استفاده از ( دورک یا Google Dork ) انجام می‌شود . مثلا می‌توان فایل‌های مخفی، پسوردها، تنظیمات ناامن و حتی سورس‌کدها را داخل وب پیدا کرد یا نسخه‌های آسیب‌پذیر نرم‌افزارها را شناسایی کرد.

این تکنیک یکی از روش‌های محبوب جمع‌آوری اطلاعات برای تست نفوذ، ردتیم و حتی هکرهاست.

ما را به دوستانتان معرفی کنید .

#GoogleHacking

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Cyber Security Engineer
VA-Springfield, Job Title: Cyber Security Engineer Location: Springfield, VA Type: Contract To Hire Compensation: Contractor Work Model: Onsite Hours: Add the job’s scheduled days and times (delete if not needed) Security Clearance: List security clearance requirements (delete if not needed) Cyber Security Engineer Springfield, VA TS/SCI $135k What You’ll Get to Do: Coordinate and implement cyber security respons

http://jobview.monster.com/Cyber-Security-Engineer-Job-Springfield-VA-US-292107030.aspx

#US #Cyber Security Engineer

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

راهنمای جامع تشخیص ترافیک DoH (DNS-over-HTTPS) با استفاده از Zeek و Splunk Stream

ترافیک DNS-over-HTTPS (DoH) با رمزگذاری درخواست‌های DNS درون ترافیک وب HTTPS، نظارت و کنترل سنتی بر DNS را برای تیم‌های امنیتی به یک چالش جدی تبدیل کرده است. بدافزارها، ابزارهای نفوذ و حتی مرورگرهای استاندارد از این تکنیک برای دور زدن سیاست‌های امنیتی و پنهان کردن فعالیت‌های خود استفاده می‌کنند. این راهنما به صورت جامع به شما نشان می‌دهد چگونه با استفاده از دو ابزار قدرتمند Zeek و Splunk Stream این ترافیک پنهان را شناسایی کنید.

اصول کلیدی شناسایی ترافیک DoH

قبل از پرداختن به ابزارها، باید بدانیم به دنبال چه سرنخ‌هایی هستیم. شناسایی موفق DoH بر پایه‌ی ترکیبی از شاخص‌های زیر استوار است:

1. سرورهای مقصد شناخته‌شده: اتصال به IPها یا دامنه‌هایی که به عنوان ارائه‌دهنده‌ی عمومی DoH شناخته می‌شوند (مانند Cloudflare, Google, Quad9).
2. پورت استاندارد: ترافیک DoH تقریباً همیشه از پورت استاندارد HTTPS یعنی 443/tcp استفاده می‌کند.
3. مسیر URI خاص: درخواست‌های DoH معمولاً به مسیرهای URI مشخصی مانند /dns-query یا /resolve ارسال می‌شوند.
4. هدرهای HTTP: وجود هدر Content-Type: application/dns-message در درخواست‌های POST یک شاخص بسیار قوی است.
5. متادیتای TLS:
و SNI نام دامنه‌ای که کلاینت قصد اتصال به آن را دارد و حتی در ترافیک رمزگذاری‌شده نیز قابل مشاهده است.
فینگرپرینت JA3/JA3S: اثر انگشت منحصر به فرد کلاینت و سرور TLS که می‌تواند برای شناسایی ابزارها یا بدافزارهای خاص استفاده شود.



بخش اول: تشخیص DoH با Zeek

و Zeek با تحلیل عمیق پروتکل‌ها، ابزاری ایده‌آل برای این کار است. به جای تکیه بر اسکریپت‌های آماده، بهترین رویکرد، ایجاد یک اسکریپت سفارشی برای تولید لاگ‌های ساختاریافته و اختصاصی است.

رویکرد حرفه‌ای: ایجاد لاگ اختصاصی doh.log

این رویکرد به جای چاپ خروجی در کنسول، یک فایل لاگ جداگانه و تمیز به نام doh.log ایجاد می‌کند که تحلیل و یکپارچه‌سازی آن با سایر ابزارها (مانند SIEM) را بسیار آسان می‌سازد.

اسکریپت detect-doh.zeek:

این اسکریپت را در مسیر site/ یا local.zeek خود بارگذاری کنید.


# file: site/detect-doh.zeek

1. تعریف ماژول و ساختار لاگ اختصاصی
module DOH;

export {
تعریف نوع داده برای نگهداری اطلاعات رویداد DoH
type Info: record {
ts: time &log; زمان دقیق رویداد
uid: string &log; شناسه یکتای اتصال برای ارتباط با سایر لاگ‌ها
id: conn_id &log; اطلاعات کامل اتصال (IPها و پورت‌ها)
method: string &log; متد HTTP (GET/POST)
host: string &log &optional; هدر هاست از درخواست HTTP
uri: string &log; URI کامل درخواست
user_agent: string &log &optional; User-Agent کلاینت
ja3: string &log &optional; فینگرپرینت TLS کلاینت (از ssl.log)
};

2. ایجاد یک جریان لاگ جدید به نام doh.log
const log_file = "doh.log";
global log_stream: Log::Stream = Log::create_stream(DOH::log_file, [$columns=Info]);
}

3. پردازش رویدادهای HTTP برای شناسایی الگو
event http_request(c: connection, method: string, original_URI: string, unescaped_URI: string, version: string)
{
# شرط اصلی: پورت 443 و URIهای شناخته‌شده
if ( c$id$resp_p == 443/tcp &&
( "/dns-query" in unescaped_URI || "/resolve" in unescaped_URI ) )
{
# ساختن رکورد لاگ با اطلاعات استخراج شده
local doh_info: Info;
doh_info$ts = network_time();
doh_info$uid = c$uid;
doh_info$id = c$id;
doh_info$method = method;
doh_info$host = c$http$host;
doh_info$uri = unescaped_URI;
doh_info$user_agent = c$http$user_agent;

# اگر اتصال TLS بوده، فینگرپرینت JA3 را اضافه کن
if ( c$ssl?$ja3 ) {
doh_info$ja3 = c$ssl$ja3;
}

4. نوشتن رکورد نهایی در فایل doh.log
Log::write(DOH::log_stream, doh_info);
}
}


تحلیل خروجی

پس از اجرای Zeek با این اسکریپت، فایل logs/current/doh.log شما حاوی رکوردهایی ساختاریافته خواهد بود. شما می‌توانید با استفاده از فیلد uid، هر رویداد DoH را به لاگ‌های دیگر مانند ssl.log (برای تحلیل عمیق TLS) و conn.log` (برای مشاهده حجم داده و مدت زمان اتصال) مرتبط کنید.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

قسمت دوم

وSplunk Stream می‌تواند ترافیک شبکه را به صورت زنده تحلیل و داده‌های ارزشمندی استخراج کند. نکته کلیدی در اینجا، آگاهی از وضعیت رمزگشایی TLS است.

پیش‌نیاز کلیدی: وضعیت رمزگشایی ترافیک TLS

* اگر رمزگشایی TLS فعال است:شما به محتوای کامل HTTP (مانند uri_path) دسترسی دارید.
* اگر رمزگشایی TLS فعال نیست (سناریوی رایج): شما نمی‌توانید محتوای HTTP را ببینید، اما همچنان به متادیتای بسیار ارزشمند TLS دسترسی دارید.

روش ۱: جستجو در ترافیک رمزگشایی‌شده (مبتنی بر HTTP)

این کوئری زمانی کار می‌کند که Splunk Stream قادر به دیدن محتوای ترافیک HTTPS باشد.


sourcetype=stream:http dest_port=443 (uri_path="/dns-query" OR uri_path="/resolve")
| stats count by src_ip, dest_ip, uri_path, http_method, user_agent, ja3
| sort - count

روش ۲: استفاده از متادیتای TLS (رویکرد پیشنهادی و واقع‌گرایانه)

این روش نیازی به رمزگشایی ترافیک ندارد و با تحلیل فیلد SNI (server_name`) در هندشیک TLS کار می‌کند. این روش بسیار قابل اعتمادتر است.


sourcetype=stream:tls dest_port=443 server_name IN ("*.cloudflare-dns.com", "dns.google", "mozilla.cloudflare-dns.com", "doh.opendns.com", "dns.quad9.net")
| stats count, dc(src_ip) as distinct_clients by server_name, dest_ip, ja3, ja3s
| rename server_name as DOH_Provider
| sort - count

* نکته: لیست IN (...) را باید به‌روز نگه دارید.
* فیلدهای ja3 و ja3s به شما در شناسایی کلاینت‌ها (مرورگرها یا بدافزارها) کمک می‌کنند.

روش ۳: کوئری ترکیبی برای حداکثر دقت

این کوئری هر دو روش بالا را ترکیب می‌کند تا جامع‌ترین دید را ارائه دهد و احتمال خطا را کاهش دهد.


(sourcetype=stream:http dest_port=443 (uri_path="/dns-query" OR uri_path="/resolve")) OR
(sourcetype=stream:tls dest_port=443 server_name IN ("*.cloudflare-dns.com", "dns.google", "*.quad9.net"))
| stats values(uri_path) as uri_paths, values(http_method) as methods, count by src_ip, dest_ip, server_name, ja3, user_agent
| sort - count


جمع‌بندی و استراتژی نهایی

شناسایی ترافیک DoH یک بازی "همه یا هیچ" نیست، بلکه یک فرآیند مبتنی بر تجمیع شواهد است.

1. با روش‌های با دقت بالا شروع کنید: جستجو بر اساس لیست دامنه‌های DoH شناخته‌شده (server_name در Splunk یا host در Zeek) کمترین میزان هشدارهای کاذب را دارد.
2. از شاخص‌های عمومی‌تر برای کشف موارد ناشناخته استفاده کنید: الگوهایی مانند uri_path="/dns-query"` می‌توانند سرویس‌های DoH جدید یا خصوصی را کشف کنند.
3. از JA3 برای شناسایی ابزارها استفاده کنید: فینگرپرینت‌های JA3 می‌توانند به شما بگویند آیا ترافیک DoH از یک مرورگر استاندارد (مثلاً Firefox) نشأت می‌گیرد یا از یک ابزار ناشناخته یا مخرب.
4. ایجاد خط پایه (Baseline): رفتار عادی DoH در شبکه خود را بشناسید. افزایش ناگهانی یا ظهور کلاینت‌های جدید DoH می‌تواند یک زنگ خطر باشد.

با به کارگیری این راهنمای جامع، شما قادر خواهید بود دید کاملی بر این نقطه کور امنیتی پیدا کرده و به طور موثرتری از شبکه خود محافظت کنید.



🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Tricky Things About Proxy Requests(B)

2️⃣ 👀 نقش پراکسی معکوس و Intercepting Proxy در مبهم‌سازی زبان و مسیر درخواست‌ها

پراکسی‌هایی مثل Intercepting Proxy (مثلاً در تجهیزات شبکه یا تست ابزارهایی مثل Burp Suite)، یا پراکسی معکوس (Reverse Proxy)، می‌توانند:

هدرها را بازنویسی کنند

IP/Host اصلی را پنهان کنند

یا حتی زبان برنامه‌نویسی سمت سرور را برای کلاینت قابل تشخیص نکنند

✅ این موضوع برای باگ‌بانتی‌کاران مهم است چون ممکن است فکر کنند با یک سرور واقعی روبه‌رو هستند، در حالی که پشت پرده یک لایه پراکسی همه چیز را فیلتر می‌کند.

3️⃣ ✏️ اصلاح هوشمندانه URI توسط مرورگرها یا افزونه‌ها

برخی مرورگرها یا افزونه‌های آن‌ها به‌صورت خودکار تلاش می‌کنند URI ناقص یا اشتباه را "تصحیح" کنند.
مثلاً اگر آدرسی با /example داده شود، مرورگر ممکن است آن را به http://example.com/example تبدیل کند.

⚠️ در ترکیب با پراکسی، این رفتار می‌تواند باعث:

تغییر در مسیر اصلی درخواست

ایجاد حملات redirect/host header injection

بای‌پس برخی ruleهای WAF شود

4️⃣ 🌐 تأثیر زبان برنامه‌نویسی و دامنه‌ها در عملکرد پراکسی‌ها

برخی پراکسی‌ها مسیرها را بسته به زبان سمت سرور یا پسوند فایل‌ها متفاوت رفتار می‌دهند.
مثلاً مسیرهای php را differently rewrite می‌کنند یا cache policy برای js با json فرق دارد.

📌 دانستن این تفاوت‌ها برای اجرای موفق حملات XSS/Path Traversal یا اجرای payloadهای خاص بسیار مهم است.

🎯 نتیجه‌گیری:

هر باگ‌بانتی‌کار یا تحلیل‌گر امنیتی باید بداند:
«پراکسی فقط واسطه نیست، بلکه گاهی تصمیم‌گیرنده و تغییر‌دهنده‌ مسیر، ساختار و هویت درخواست‌هاست.»

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#HTTP #Proxy #CyberSecurity

SANS SOC Survey 2025

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer