پایداری سایبری در زیرساخت‌های حیاتی
مستندی از ISACA

نگاهی به NIS2 و DORA
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Switch-Router Architectures📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Sybex CCENT ICND1 Study Guide Exam📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Sybex Mastering VMware Infrastructure📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Stallings, William Cryptography📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

SSH📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

SSCP Systems Security Certified📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Sybex Group Policy📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

SysAdmin Network Services📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Sybex CCNA Cloud Complete Study Guide📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

TCPIP Illustrated volume 1 📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔍 مقدمه ای بر گوگل هکینگ

گوگل هکینگ (Google Hacking) یعنی استفاده از جستجوی پیشرفته گوگل برای پیدا کردن اطلاعات حساس، آسیب‌پذیری‌ها یا اشتباهات امنیتی وب‌سایت‌ها و سرورها، این کار معمولا با استفاده از ( دورک یا Google Dork ) انجام می‌شود . مثلا می‌توان فایل‌های مخفی، پسوردها، تنظیمات ناامن و حتی سورس‌کدها را داخل وب پیدا کرد یا نسخه‌های آسیب‌پذیر نرم‌افزارها را شناسایی کرد.

این تکنیک یکی از روش‌های محبوب جمع‌آوری اطلاعات برای تست نفوذ، ردتیم و حتی هکرهاست.

ما را به دوستانتان معرفی کنید .

#GoogleHacking

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Cyber Security Engineer
VA-Springfield, Job Title: Cyber Security Engineer Location: Springfield, VA Type: Contract To Hire Compensation: Contractor Work Model: Onsite Hours: Add the job’s scheduled days and times (delete if not needed) Security Clearance: List security clearance requirements (delete if not needed) Cyber Security Engineer Springfield, VA TS/SCI $135k What You’ll Get to Do: Coordinate and implement cyber security respons

http://jobview.monster.com/Cyber-Security-Engineer-Job-Springfield-VA-US-292107030.aspx

#US #Cyber Security Engineer

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

راهنمای جامع تشخیص ترافیک DoH (DNS-over-HTTPS) با استفاده از Zeek و Splunk Stream

ترافیک DNS-over-HTTPS (DoH) با رمزگذاری درخواست‌های DNS درون ترافیک وب HTTPS، نظارت و کنترل سنتی بر DNS را برای تیم‌های امنیتی به یک چالش جدی تبدیل کرده است. بدافزارها، ابزارهای نفوذ و حتی مرورگرهای استاندارد از این تکنیک برای دور زدن سیاست‌های امنیتی و پنهان کردن فعالیت‌های خود استفاده می‌کنند. این راهنما به صورت جامع به شما نشان می‌دهد چگونه با استفاده از دو ابزار قدرتمند Zeek و Splunk Stream این ترافیک پنهان را شناسایی کنید.

اصول کلیدی شناسایی ترافیک DoH

قبل از پرداختن به ابزارها، باید بدانیم به دنبال چه سرنخ‌هایی هستیم. شناسایی موفق DoH بر پایه‌ی ترکیبی از شاخص‌های زیر استوار است:

1. سرورهای مقصد شناخته‌شده: اتصال به IPها یا دامنه‌هایی که به عنوان ارائه‌دهنده‌ی عمومی DoH شناخته می‌شوند (مانند Cloudflare, Google, Quad9).
2. پورت استاندارد: ترافیک DoH تقریباً همیشه از پورت استاندارد HTTPS یعنی 443/tcp استفاده می‌کند.
3. مسیر URI خاص: درخواست‌های DoH معمولاً به مسیرهای URI مشخصی مانند /dns-query یا /resolve ارسال می‌شوند.
4. هدرهای HTTP: وجود هدر Content-Type: application/dns-message در درخواست‌های POST یک شاخص بسیار قوی است.
5. متادیتای TLS:
و SNI نام دامنه‌ای که کلاینت قصد اتصال به آن را دارد و حتی در ترافیک رمزگذاری‌شده نیز قابل مشاهده است.
فینگرپرینت JA3/JA3S: اثر انگشت منحصر به فرد کلاینت و سرور TLS که می‌تواند برای شناسایی ابزارها یا بدافزارهای خاص استفاده شود.



بخش اول: تشخیص DoH با Zeek

و Zeek با تحلیل عمیق پروتکل‌ها، ابزاری ایده‌آل برای این کار است. به جای تکیه بر اسکریپت‌های آماده، بهترین رویکرد، ایجاد یک اسکریپت سفارشی برای تولید لاگ‌های ساختاریافته و اختصاصی است.

رویکرد حرفه‌ای: ایجاد لاگ اختصاصی doh.log

این رویکرد به جای چاپ خروجی در کنسول، یک فایل لاگ جداگانه و تمیز به نام doh.log ایجاد می‌کند که تحلیل و یکپارچه‌سازی آن با سایر ابزارها (مانند SIEM) را بسیار آسان می‌سازد.

اسکریپت detect-doh.zeek:

این اسکریپت را در مسیر site/ یا local.zeek خود بارگذاری کنید.


# file: site/detect-doh.zeek

1. تعریف ماژول و ساختار لاگ اختصاصی
module DOH;

export {
تعریف نوع داده برای نگهداری اطلاعات رویداد DoH
type Info: record {
ts: time &log; زمان دقیق رویداد
uid: string &log; شناسه یکتای اتصال برای ارتباط با سایر لاگ‌ها
id: conn_id &log; اطلاعات کامل اتصال (IPها و پورت‌ها)
method: string &log; متد HTTP (GET/POST)
host: string &log &optional; هدر هاست از درخواست HTTP
uri: string &log; URI کامل درخواست
user_agent: string &log &optional; User-Agent کلاینت
ja3: string &log &optional; فینگرپرینت TLS کلاینت (از ssl.log)
};

2. ایجاد یک جریان لاگ جدید به نام doh.log
const log_file = "doh.log";
global log_stream: Log::Stream = Log::create_stream(DOH::log_file, [$columns=Info]);
}

3. پردازش رویدادهای HTTP برای شناسایی الگو
event http_request(c: connection, method: string, original_URI: string, unescaped_URI: string, version: string)
{
# شرط اصلی: پورت 443 و URIهای شناخته‌شده
if ( c$id$resp_p == 443/tcp &&
( "/dns-query" in unescaped_URI || "/resolve" in unescaped_URI ) )
{
# ساختن رکورد لاگ با اطلاعات استخراج شده
local doh_info: Info;
doh_info$ts = network_time();
doh_info$uid = c$uid;
doh_info$id = c$id;
doh_info$method = method;
doh_info$host = c$http$host;
doh_info$uri = unescaped_URI;
doh_info$user_agent = c$http$user_agent;

# اگر اتصال TLS بوده، فینگرپرینت JA3 را اضافه کن
if ( c$ssl?$ja3 ) {
doh_info$ja3 = c$ssl$ja3;
}

4. نوشتن رکورد نهایی در فایل doh.log
Log::write(DOH::log_stream, doh_info);
}
}


تحلیل خروجی

پس از اجرای Zeek با این اسکریپت، فایل logs/current/doh.log شما حاوی رکوردهایی ساختاریافته خواهد بود. شما می‌توانید با استفاده از فیلد uid، هر رویداد DoH را به لاگ‌های دیگر مانند ssl.log (برای تحلیل عمیق TLS) و conn.log` (برای مشاهده حجم داده و مدت زمان اتصال) مرتبط کنید.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

قسمت دوم

وSplunk Stream می‌تواند ترافیک شبکه را به صورت زنده تحلیل و داده‌های ارزشمندی استخراج کند. نکته کلیدی در اینجا، آگاهی از وضعیت رمزگشایی TLS است.

پیش‌نیاز کلیدی: وضعیت رمزگشایی ترافیک TLS

* اگر رمزگشایی TLS فعال است:شما به محتوای کامل HTTP (مانند uri_path) دسترسی دارید.
* اگر رمزگشایی TLS فعال نیست (سناریوی رایج): شما نمی‌توانید محتوای HTTP را ببینید، اما همچنان به متادیتای بسیار ارزشمند TLS دسترسی دارید.

روش ۱: جستجو در ترافیک رمزگشایی‌شده (مبتنی بر HTTP)

این کوئری زمانی کار می‌کند که Splunk Stream قادر به دیدن محتوای ترافیک HTTPS باشد.


sourcetype=stream:http dest_port=443 (uri_path="/dns-query" OR uri_path="/resolve")
| stats count by src_ip, dest_ip, uri_path, http_method, user_agent, ja3
| sort - count

روش ۲: استفاده از متادیتای TLS (رویکرد پیشنهادی و واقع‌گرایانه)

این روش نیازی به رمزگشایی ترافیک ندارد و با تحلیل فیلد SNI (server_name`) در هندشیک TLS کار می‌کند. این روش بسیار قابل اعتمادتر است.


sourcetype=stream:tls dest_port=443 server_name IN ("*.cloudflare-dns.com", "dns.google", "mozilla.cloudflare-dns.com", "doh.opendns.com", "dns.quad9.net")
| stats count, dc(src_ip) as distinct_clients by server_name, dest_ip, ja3, ja3s
| rename server_name as DOH_Provider
| sort - count

* نکته: لیست IN (...) را باید به‌روز نگه دارید.
* فیلدهای ja3 و ja3s به شما در شناسایی کلاینت‌ها (مرورگرها یا بدافزارها) کمک می‌کنند.

روش ۳: کوئری ترکیبی برای حداکثر دقت

این کوئری هر دو روش بالا را ترکیب می‌کند تا جامع‌ترین دید را ارائه دهد و احتمال خطا را کاهش دهد.


(sourcetype=stream:http dest_port=443 (uri_path="/dns-query" OR uri_path="/resolve")) OR
(sourcetype=stream:tls dest_port=443 server_name IN ("*.cloudflare-dns.com", "dns.google", "*.quad9.net"))
| stats values(uri_path) as uri_paths, values(http_method) as methods, count by src_ip, dest_ip, server_name, ja3, user_agent
| sort - count


جمع‌بندی و استراتژی نهایی

شناسایی ترافیک DoH یک بازی "همه یا هیچ" نیست، بلکه یک فرآیند مبتنی بر تجمیع شواهد است.

1. با روش‌های با دقت بالا شروع کنید: جستجو بر اساس لیست دامنه‌های DoH شناخته‌شده (server_name در Splunk یا host در Zeek) کمترین میزان هشدارهای کاذب را دارد.
2. از شاخص‌های عمومی‌تر برای کشف موارد ناشناخته استفاده کنید: الگوهایی مانند uri_path="/dns-query"` می‌توانند سرویس‌های DoH جدید یا خصوصی را کشف کنند.
3. از JA3 برای شناسایی ابزارها استفاده کنید: فینگرپرینت‌های JA3 می‌توانند به شما بگویند آیا ترافیک DoH از یک مرورگر استاندارد (مثلاً Firefox) نشأت می‌گیرد یا از یک ابزار ناشناخته یا مخرب.
4. ایجاد خط پایه (Baseline): رفتار عادی DoH در شبکه خود را بشناسید. افزایش ناگهانی یا ظهور کلاینت‌های جدید DoH می‌تواند یک زنگ خطر باشد.

با به کارگیری این راهنمای جامع، شما قادر خواهید بود دید کاملی بر این نقطه کور امنیتی پیدا کرده و به طور موثرتری از شبکه خود محافظت کنید.



🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Tricky Things About Proxy Requests(B)

2️⃣ 👀 نقش پراکسی معکوس و Intercepting Proxy در مبهم‌سازی زبان و مسیر درخواست‌ها

پراکسی‌هایی مثل Intercepting Proxy (مثلاً در تجهیزات شبکه یا تست ابزارهایی مثل Burp Suite)، یا پراکسی معکوس (Reverse Proxy)، می‌توانند:

هدرها را بازنویسی کنند

IP/Host اصلی را پنهان کنند

یا حتی زبان برنامه‌نویسی سمت سرور را برای کلاینت قابل تشخیص نکنند

✅ این موضوع برای باگ‌بانتی‌کاران مهم است چون ممکن است فکر کنند با یک سرور واقعی روبه‌رو هستند، در حالی که پشت پرده یک لایه پراکسی همه چیز را فیلتر می‌کند.

3️⃣ ✏️ اصلاح هوشمندانه URI توسط مرورگرها یا افزونه‌ها

برخی مرورگرها یا افزونه‌های آن‌ها به‌صورت خودکار تلاش می‌کنند URI ناقص یا اشتباه را "تصحیح" کنند.
مثلاً اگر آدرسی با /example داده شود، مرورگر ممکن است آن را به http://example.com/example تبدیل کند.

⚠️ در ترکیب با پراکسی، این رفتار می‌تواند باعث:

تغییر در مسیر اصلی درخواست

ایجاد حملات redirect/host header injection

بای‌پس برخی ruleهای WAF شود

4️⃣ 🌐 تأثیر زبان برنامه‌نویسی و دامنه‌ها در عملکرد پراکسی‌ها

برخی پراکسی‌ها مسیرها را بسته به زبان سمت سرور یا پسوند فایل‌ها متفاوت رفتار می‌دهند.
مثلاً مسیرهای php را differently rewrite می‌کنند یا cache policy برای js با json فرق دارد.

📌 دانستن این تفاوت‌ها برای اجرای موفق حملات XSS/Path Traversal یا اجرای payloadهای خاص بسیار مهم است.

🎯 نتیجه‌گیری:

هر باگ‌بانتی‌کار یا تحلیل‌گر امنیتی باید بداند:
«پراکسی فقط واسطه نیست، بلکه گاهی تصمیم‌گیرنده و تغییر‌دهنده‌ مسیر، ساختار و هویت درخواست‌هاست.»

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#HTTP #Proxy #CyberSecurity

SANS SOC Survey 2025

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

تا زمانیکه برای نیرو ارزش قائل نباشید #مهاجرت خواهند کرد
چه بخواهید چه نخواهید

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

باج افزار BERT تهدید جدی برای دیتای شما! خیلی راحت رمزنگاری میکنه و داده ها رو ارسال میکنه! ⚠️ خیلی جاها رو آلوده کرده تا امروز ⚠️⛔️
تشخیص و کاهش اثر باج‌افزار BERT در محیط‌های ویندوز و لینوکس/ESXi
باج‌افزار BERT یک تهدید سایبری پیشرفته است که از آوریل ۲۰۲۵ محیط‌های ویندوز و لینوکس/ESXi را هدف قرار داده است. این باج‌افزار با رمزگذاری فایل‌ها (با پسوندهایی مانند .encryptedbybert یا .hellofrombert)، استخراج داده‌ها و ارسال به سرورهای فرمان و کنترل (C2) با آدرس‌های IP مانند 185.100.157.74 و 82.115.223.89، و غیرفعال‌سازی ماشین‌های مجازی ESXi، از مدل double-extortion بهره می‌برد. BERT با استفاده از ابزارهای قانونی مانند PowerShell و rclone، فعالیت‌های خود را مخفی نگه می‌دارد.

🔐 راهکارهای کاهش اثر تهدید

- محدودسازی دسترسی‌ها: غیرفعال‌سازی دسترسی‌های غیرضروری به Remote Desktop Protocol (RDP) و پیاده‌سازی احراز هویت چندمرحله‌ای (MFA).
- ایجاد نسخه‌های پشتیبان امن: تهیه نسخه‌های پشتیبان آفلاین و آزمایش فرآیندهای بازیابی به‌صورت دوره‌ای.
- پایش لاگ‌های امنیتی: بررسی رویدادهای Sysmon (با شناسه‌های EventID 1 و 11) و لاگ‌های syslog برای شناسایی دستورات مشکوک مانند esxcli vm process kill.
- استفاده از رول Sigma: رول Sigma با شناسه b2c3d4e5-f6a7-8901-bcde-2345678901fe برای تشخیص فرآیندهای مخرب، فایل‌های رمزگذاری‌شده، و اتصالات شبکه به سرورهای C2 طراحی شده است.
- آموزش کارکنان: برگزاری برنامه‌های آموزشی برای شناسایی ایمیل‌های فیشینگ و اجتناب از باز کردن پیوست‌های مشکوک.
- به‌کارگیری ابزارهای امنیتی: استفاده از راه‌حل‌های تشخیص و پاسخ نقطه پایانی (EDR) و ابزارهای تحلیل شبکه مانند Zeek برای شناسایی رفتارهای مشکوک.

🕵️ نحوه تشخیص تهدید

رول Sigma طراحی‌شده برای شناسایی فعالیت‌های BERT در محیط‌های ویندوز و لینوکس/ESXi، بر موارد زیر تمرکز دارد:

اجرای فرآیندهای مخرب مانند powershell.exe، newcryptor.exe، و payload.exe.
دستورات PowerShell مشکوک مانند DisableRealtimeMonitoring یا .downloadstring(.
فایل‌های رمزگذاری‌شده با پسوندهایی مانند .encryptedbybert و یادداشت‌های باج‌خواهی.
فعالیت‌های مخرب در ESXi مانند اجرای دستور esxcli vm process kill.
اتصالات شبکه به آدرس‌های IP سرورهای C2 (185.100.157.74، 82.115.223.89) و پورت‌های 3030 و 80.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

حمله چندلایه منتسب به ایران با سوءاستفاده از آسیب‌پذیری جدید Microsoft Server علیه زیرساخت‌های اسرائیل

تاریخ گزارش: هفته گذشته (طبق گزارش Financial Times)
نسبت‌دهی: چندین گروه APT وابسته به ایران
دامنه حمله: حدود ۵۰ سازمان اسرائیلی در حوزه‌های لجستیک، سوخت و منابع انسانی
بردار نفوذ: آسیب‌پذیری روزصفر (Zero-Day) در Microsoft Server (IIS / Exchange)

زنجیره حمله (TTPs)
دسترسی اولیه (Initial Access)
• تکنیک: اکسپلویت آسیب‌پذیری Microsoft Server در سرویس‌های IIS و Exchange
• MITRE ATT&CK: [T1203 – Exploitation for Client Execution]
• جزئیات: امکان اجرای کد از راه دور (RCE) با دسترسی سطح بالا و عبور از دفاع‌های محیطی.

فیشینگ و مهندسی اجتماعی (Phishing / Social Engineering)
• تکنیک: ارسال پیام هشدار اضطراری جعلی با ظاهر سامانه‌های امنیتی رسمی
• روش: Domain Spoofing جهت فریب کاربران
• MITRE ATT&CK: [T1194 – Spearphishing via Service]
• جزئیات: سرقت اعتبارنامه و تصاحب نشست‌های کاربری (Session Hijacking) از طریق پیام‌های با اولویت بالا.

نفوذ به IoT و سامانه‌های نظارت تصویری
(IoT & CCTV Compromise)
• تکنیک: استفاده از گذرواژه‌های پیش‌فرض و فریمورهای آسیب‌پذیر در تجهیزات
• سوءاستفاده از پروتکل: RTSP برای مشاهده زنده فید دوربین‌ها
• MITRE ATT&CK: [T1210 – Exploitation of Remote Services]
• جزئیات: ضعف ایمن‌سازی تجهیزات نظارتی باعث حرکت جانبی (Lateral Movement) به شبکه‌های عملیاتی شد.

عملیات تخریبی (Impact Operations)
• تکنیک‌ها:
• حملات DDoS علیه سامانه‌های هشدار و سرورهای C2 داخلی
• بدافزار توقف سرویس‌ها ([T1489 – Service Stop])
• دیفیس و تغییر داده‌های عملیاتی ([T1491 – Defacement])
• جزئیات: اختلال همزمان در زیرساخت دیجیتال و کارکرد عملیاتی سامانه‌ها.

جمع‌بندی ارزیابی
این حادثه یک عملیات ترکیبی سایبری–فیزیکی (Hybrid Cyber-Physical) محسوب می‌شود که از نفوذ در لایه IT آغاز و با تخریب و اختلال در سامانه‌های فیزیکی ادامه یافته است. توانایی مهاجم در ترکیب اکسپلویت زیرساخت سازمانی، نفوذ به تجهیزات IoT/OT و ایجاد اختلال عملیاتی نشان‌دهنده بلوغ عملیاتی بالاست.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🌟 Join Our Cutting-Edge Blockchain + AI Project
Looking for an expert in Hyperledger Fabric, Iroha, and AI integration to help us build a next-gen platform. Remote | Full-Time or Contract | Competitive Pay
📌 See PDF for full role denoscription & requirements.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer