SysAdmin Network Services📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Sybex CCNA Cloud Complete Study Guide📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

TCPIP Illustrated volume 1 📚

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🔍 مقدمه ای بر گوگل هکینگ

گوگل هکینگ (Google Hacking) یعنی استفاده از جستجوی پیشرفته گوگل برای پیدا کردن اطلاعات حساس، آسیب‌پذیری‌ها یا اشتباهات امنیتی وب‌سایت‌ها و سرورها، این کار معمولا با استفاده از ( دورک یا Google Dork ) انجام می‌شود . مثلا می‌توان فایل‌های مخفی، پسوردها، تنظیمات ناامن و حتی سورس‌کدها را داخل وب پیدا کرد یا نسخه‌های آسیب‌پذیر نرم‌افزارها را شناسایی کرد.

این تکنیک یکی از روش‌های محبوب جمع‌آوری اطلاعات برای تست نفوذ، ردتیم و حتی هکرهاست.

ما را به دوستانتان معرفی کنید .

#GoogleHacking

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Cyber Security Engineer
VA-Springfield, Job Title: Cyber Security Engineer Location: Springfield, VA Type: Contract To Hire Compensation: Contractor Work Model: Onsite Hours: Add the job’s scheduled days and times (delete if not needed) Security Clearance: List security clearance requirements (delete if not needed) Cyber Security Engineer Springfield, VA TS/SCI $135k What You’ll Get to Do: Coordinate and implement cyber security respons

http://jobview.monster.com/Cyber-Security-Engineer-Job-Springfield-VA-US-292107030.aspx

#US #Cyber Security Engineer

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

راهنمای جامع تشخیص ترافیک DoH (DNS-over-HTTPS) با استفاده از Zeek و Splunk Stream

ترافیک DNS-over-HTTPS (DoH) با رمزگذاری درخواست‌های DNS درون ترافیک وب HTTPS، نظارت و کنترل سنتی بر DNS را برای تیم‌های امنیتی به یک چالش جدی تبدیل کرده است. بدافزارها، ابزارهای نفوذ و حتی مرورگرهای استاندارد از این تکنیک برای دور زدن سیاست‌های امنیتی و پنهان کردن فعالیت‌های خود استفاده می‌کنند. این راهنما به صورت جامع به شما نشان می‌دهد چگونه با استفاده از دو ابزار قدرتمند Zeek و Splunk Stream این ترافیک پنهان را شناسایی کنید.

اصول کلیدی شناسایی ترافیک DoH

قبل از پرداختن به ابزارها، باید بدانیم به دنبال چه سرنخ‌هایی هستیم. شناسایی موفق DoH بر پایه‌ی ترکیبی از شاخص‌های زیر استوار است:

1. سرورهای مقصد شناخته‌شده: اتصال به IPها یا دامنه‌هایی که به عنوان ارائه‌دهنده‌ی عمومی DoH شناخته می‌شوند (مانند Cloudflare, Google, Quad9).
2. پورت استاندارد: ترافیک DoH تقریباً همیشه از پورت استاندارد HTTPS یعنی 443/tcp استفاده می‌کند.
3. مسیر URI خاص: درخواست‌های DoH معمولاً به مسیرهای URI مشخصی مانند /dns-query یا /resolve ارسال می‌شوند.
4. هدرهای HTTP: وجود هدر Content-Type: application/dns-message در درخواست‌های POST یک شاخص بسیار قوی است.
5. متادیتای TLS:
و SNI نام دامنه‌ای که کلاینت قصد اتصال به آن را دارد و حتی در ترافیک رمزگذاری‌شده نیز قابل مشاهده است.
فینگرپرینت JA3/JA3S: اثر انگشت منحصر به فرد کلاینت و سرور TLS که می‌تواند برای شناسایی ابزارها یا بدافزارهای خاص استفاده شود.



بخش اول: تشخیص DoH با Zeek

و Zeek با تحلیل عمیق پروتکل‌ها، ابزاری ایده‌آل برای این کار است. به جای تکیه بر اسکریپت‌های آماده، بهترین رویکرد، ایجاد یک اسکریپت سفارشی برای تولید لاگ‌های ساختاریافته و اختصاصی است.

رویکرد حرفه‌ای: ایجاد لاگ اختصاصی doh.log

این رویکرد به جای چاپ خروجی در کنسول، یک فایل لاگ جداگانه و تمیز به نام doh.log ایجاد می‌کند که تحلیل و یکپارچه‌سازی آن با سایر ابزارها (مانند SIEM) را بسیار آسان می‌سازد.

اسکریپت detect-doh.zeek:

این اسکریپت را در مسیر site/ یا local.zeek خود بارگذاری کنید.


# file: site/detect-doh.zeek

1. تعریف ماژول و ساختار لاگ اختصاصی
module DOH;

export {
تعریف نوع داده برای نگهداری اطلاعات رویداد DoH
type Info: record {
ts: time &log; زمان دقیق رویداد
uid: string &log; شناسه یکتای اتصال برای ارتباط با سایر لاگ‌ها
id: conn_id &log; اطلاعات کامل اتصال (IPها و پورت‌ها)
method: string &log; متد HTTP (GET/POST)
host: string &log &optional; هدر هاست از درخواست HTTP
uri: string &log; URI کامل درخواست
user_agent: string &log &optional; User-Agent کلاینت
ja3: string &log &optional; فینگرپرینت TLS کلاینت (از ssl.log)
};

2. ایجاد یک جریان لاگ جدید به نام doh.log
const log_file = "doh.log";
global log_stream: Log::Stream = Log::create_stream(DOH::log_file, [$columns=Info]);
}

3. پردازش رویدادهای HTTP برای شناسایی الگو
event http_request(c: connection, method: string, original_URI: string, unescaped_URI: string, version: string)
{
# شرط اصلی: پورت 443 و URIهای شناخته‌شده
if ( c$id$resp_p == 443/tcp &&
( "/dns-query" in unescaped_URI || "/resolve" in unescaped_URI ) )
{
# ساختن رکورد لاگ با اطلاعات استخراج شده
local doh_info: Info;
doh_info$ts = network_time();
doh_info$uid = c$uid;
doh_info$id = c$id;
doh_info$method = method;
doh_info$host = c$http$host;
doh_info$uri = unescaped_URI;
doh_info$user_agent = c$http$user_agent;

# اگر اتصال TLS بوده، فینگرپرینت JA3 را اضافه کن
if ( c$ssl?$ja3 ) {
doh_info$ja3 = c$ssl$ja3;
}

4. نوشتن رکورد نهایی در فایل doh.log
Log::write(DOH::log_stream, doh_info);
}
}


تحلیل خروجی

پس از اجرای Zeek با این اسکریپت، فایل logs/current/doh.log شما حاوی رکوردهایی ساختاریافته خواهد بود. شما می‌توانید با استفاده از فیلد uid، هر رویداد DoH را به لاگ‌های دیگر مانند ssl.log (برای تحلیل عمیق TLS) و conn.log` (برای مشاهده حجم داده و مدت زمان اتصال) مرتبط کنید.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

قسمت دوم

وSplunk Stream می‌تواند ترافیک شبکه را به صورت زنده تحلیل و داده‌های ارزشمندی استخراج کند. نکته کلیدی در اینجا، آگاهی از وضعیت رمزگشایی TLS است.

پیش‌نیاز کلیدی: وضعیت رمزگشایی ترافیک TLS

* اگر رمزگشایی TLS فعال است:شما به محتوای کامل HTTP (مانند uri_path) دسترسی دارید.
* اگر رمزگشایی TLS فعال نیست (سناریوی رایج): شما نمی‌توانید محتوای HTTP را ببینید، اما همچنان به متادیتای بسیار ارزشمند TLS دسترسی دارید.

روش ۱: جستجو در ترافیک رمزگشایی‌شده (مبتنی بر HTTP)

این کوئری زمانی کار می‌کند که Splunk Stream قادر به دیدن محتوای ترافیک HTTPS باشد.


sourcetype=stream:http dest_port=443 (uri_path="/dns-query" OR uri_path="/resolve")
| stats count by src_ip, dest_ip, uri_path, http_method, user_agent, ja3
| sort - count

روش ۲: استفاده از متادیتای TLS (رویکرد پیشنهادی و واقع‌گرایانه)

این روش نیازی به رمزگشایی ترافیک ندارد و با تحلیل فیلد SNI (server_name`) در هندشیک TLS کار می‌کند. این روش بسیار قابل اعتمادتر است.


sourcetype=stream:tls dest_port=443 server_name IN ("*.cloudflare-dns.com", "dns.google", "mozilla.cloudflare-dns.com", "doh.opendns.com", "dns.quad9.net")
| stats count, dc(src_ip) as distinct_clients by server_name, dest_ip, ja3, ja3s
| rename server_name as DOH_Provider
| sort - count

* نکته: لیست IN (...) را باید به‌روز نگه دارید.
* فیلدهای ja3 و ja3s به شما در شناسایی کلاینت‌ها (مرورگرها یا بدافزارها) کمک می‌کنند.

روش ۳: کوئری ترکیبی برای حداکثر دقت

این کوئری هر دو روش بالا را ترکیب می‌کند تا جامع‌ترین دید را ارائه دهد و احتمال خطا را کاهش دهد.


(sourcetype=stream:http dest_port=443 (uri_path="/dns-query" OR uri_path="/resolve")) OR
(sourcetype=stream:tls dest_port=443 server_name IN ("*.cloudflare-dns.com", "dns.google", "*.quad9.net"))
| stats values(uri_path) as uri_paths, values(http_method) as methods, count by src_ip, dest_ip, server_name, ja3, user_agent
| sort - count


جمع‌بندی و استراتژی نهایی

شناسایی ترافیک DoH یک بازی "همه یا هیچ" نیست، بلکه یک فرآیند مبتنی بر تجمیع شواهد است.

1. با روش‌های با دقت بالا شروع کنید: جستجو بر اساس لیست دامنه‌های DoH شناخته‌شده (server_name در Splunk یا host در Zeek) کمترین میزان هشدارهای کاذب را دارد.
2. از شاخص‌های عمومی‌تر برای کشف موارد ناشناخته استفاده کنید: الگوهایی مانند uri_path="/dns-query"` می‌توانند سرویس‌های DoH جدید یا خصوصی را کشف کنند.
3. از JA3 برای شناسایی ابزارها استفاده کنید: فینگرپرینت‌های JA3 می‌توانند به شما بگویند آیا ترافیک DoH از یک مرورگر استاندارد (مثلاً Firefox) نشأت می‌گیرد یا از یک ابزار ناشناخته یا مخرب.
4. ایجاد خط پایه (Baseline): رفتار عادی DoH در شبکه خود را بشناسید. افزایش ناگهانی یا ظهور کلاینت‌های جدید DoH می‌تواند یک زنگ خطر باشد.

با به کارگیری این راهنمای جامع، شما قادر خواهید بود دید کاملی بر این نقطه کور امنیتی پیدا کرده و به طور موثرتری از شبکه خود محافظت کنید.



🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

Tricky Things About Proxy Requests(B)

2️⃣ 👀 نقش پراکسی معکوس و Intercepting Proxy در مبهم‌سازی زبان و مسیر درخواست‌ها

پراکسی‌هایی مثل Intercepting Proxy (مثلاً در تجهیزات شبکه یا تست ابزارهایی مثل Burp Suite)، یا پراکسی معکوس (Reverse Proxy)، می‌توانند:

هدرها را بازنویسی کنند

IP/Host اصلی را پنهان کنند

یا حتی زبان برنامه‌نویسی سمت سرور را برای کلاینت قابل تشخیص نکنند

✅ این موضوع برای باگ‌بانتی‌کاران مهم است چون ممکن است فکر کنند با یک سرور واقعی روبه‌رو هستند، در حالی که پشت پرده یک لایه پراکسی همه چیز را فیلتر می‌کند.

3️⃣ ✏️ اصلاح هوشمندانه URI توسط مرورگرها یا افزونه‌ها

برخی مرورگرها یا افزونه‌های آن‌ها به‌صورت خودکار تلاش می‌کنند URI ناقص یا اشتباه را "تصحیح" کنند.
مثلاً اگر آدرسی با /example داده شود، مرورگر ممکن است آن را به http://example.com/example تبدیل کند.

⚠️ در ترکیب با پراکسی، این رفتار می‌تواند باعث:

تغییر در مسیر اصلی درخواست

ایجاد حملات redirect/host header injection

بای‌پس برخی ruleهای WAF شود

4️⃣ 🌐 تأثیر زبان برنامه‌نویسی و دامنه‌ها در عملکرد پراکسی‌ها

برخی پراکسی‌ها مسیرها را بسته به زبان سمت سرور یا پسوند فایل‌ها متفاوت رفتار می‌دهند.
مثلاً مسیرهای php را differently rewrite می‌کنند یا cache policy برای js با json فرق دارد.

📌 دانستن این تفاوت‌ها برای اجرای موفق حملات XSS/Path Traversal یا اجرای payloadهای خاص بسیار مهم است.

🎯 نتیجه‌گیری:

هر باگ‌بانتی‌کار یا تحلیل‌گر امنیتی باید بداند:
«پراکسی فقط واسطه نیست، بلکه گاهی تصمیم‌گیرنده و تغییر‌دهنده‌ مسیر، ساختار و هویت درخواست‌هاست.»

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#HTTP #Proxy #CyberSecurity

SANS SOC Survey 2025

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

تا زمانیکه برای نیرو ارزش قائل نباشید #مهاجرت خواهند کرد
چه بخواهید چه نخواهید

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

باج افزار BERT تهدید جدی برای دیتای شما! خیلی راحت رمزنگاری میکنه و داده ها رو ارسال میکنه! ⚠️ خیلی جاها رو آلوده کرده تا امروز ⚠️⛔️
تشخیص و کاهش اثر باج‌افزار BERT در محیط‌های ویندوز و لینوکس/ESXi
باج‌افزار BERT یک تهدید سایبری پیشرفته است که از آوریل ۲۰۲۵ محیط‌های ویندوز و لینوکس/ESXi را هدف قرار داده است. این باج‌افزار با رمزگذاری فایل‌ها (با پسوندهایی مانند .encryptedbybert یا .hellofrombert)، استخراج داده‌ها و ارسال به سرورهای فرمان و کنترل (C2) با آدرس‌های IP مانند 185.100.157.74 و 82.115.223.89، و غیرفعال‌سازی ماشین‌های مجازی ESXi، از مدل double-extortion بهره می‌برد. BERT با استفاده از ابزارهای قانونی مانند PowerShell و rclone، فعالیت‌های خود را مخفی نگه می‌دارد.

🔐 راهکارهای کاهش اثر تهدید

- محدودسازی دسترسی‌ها: غیرفعال‌سازی دسترسی‌های غیرضروری به Remote Desktop Protocol (RDP) و پیاده‌سازی احراز هویت چندمرحله‌ای (MFA).
- ایجاد نسخه‌های پشتیبان امن: تهیه نسخه‌های پشتیبان آفلاین و آزمایش فرآیندهای بازیابی به‌صورت دوره‌ای.
- پایش لاگ‌های امنیتی: بررسی رویدادهای Sysmon (با شناسه‌های EventID 1 و 11) و لاگ‌های syslog برای شناسایی دستورات مشکوک مانند esxcli vm process kill.
- استفاده از رول Sigma: رول Sigma با شناسه b2c3d4e5-f6a7-8901-bcde-2345678901fe برای تشخیص فرآیندهای مخرب، فایل‌های رمزگذاری‌شده، و اتصالات شبکه به سرورهای C2 طراحی شده است.
- آموزش کارکنان: برگزاری برنامه‌های آموزشی برای شناسایی ایمیل‌های فیشینگ و اجتناب از باز کردن پیوست‌های مشکوک.
- به‌کارگیری ابزارهای امنیتی: استفاده از راه‌حل‌های تشخیص و پاسخ نقطه پایانی (EDR) و ابزارهای تحلیل شبکه مانند Zeek برای شناسایی رفتارهای مشکوک.

🕵️ نحوه تشخیص تهدید

رول Sigma طراحی‌شده برای شناسایی فعالیت‌های BERT در محیط‌های ویندوز و لینوکس/ESXi، بر موارد زیر تمرکز دارد:

اجرای فرآیندهای مخرب مانند powershell.exe، newcryptor.exe، و payload.exe.
دستورات PowerShell مشکوک مانند DisableRealtimeMonitoring یا .downloadstring(.
فایل‌های رمزگذاری‌شده با پسوندهایی مانند .encryptedbybert و یادداشت‌های باج‌خواهی.
فعالیت‌های مخرب در ESXi مانند اجرای دستور esxcli vm process kill.
اتصالات شبکه به آدرس‌های IP سرورهای C2 (185.100.157.74، 82.115.223.89) و پورت‌های 3030 و 80.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

حمله چندلایه منتسب به ایران با سوءاستفاده از آسیب‌پذیری جدید Microsoft Server علیه زیرساخت‌های اسرائیل

تاریخ گزارش: هفته گذشته (طبق گزارش Financial Times)
نسبت‌دهی: چندین گروه APT وابسته به ایران
دامنه حمله: حدود ۵۰ سازمان اسرائیلی در حوزه‌های لجستیک، سوخت و منابع انسانی
بردار نفوذ: آسیب‌پذیری روزصفر (Zero-Day) در Microsoft Server (IIS / Exchange)

زنجیره حمله (TTPs)
دسترسی اولیه (Initial Access)
• تکنیک: اکسپلویت آسیب‌پذیری Microsoft Server در سرویس‌های IIS و Exchange
• MITRE ATT&CK: [T1203 – Exploitation for Client Execution]
• جزئیات: امکان اجرای کد از راه دور (RCE) با دسترسی سطح بالا و عبور از دفاع‌های محیطی.

فیشینگ و مهندسی اجتماعی (Phishing / Social Engineering)
• تکنیک: ارسال پیام هشدار اضطراری جعلی با ظاهر سامانه‌های امنیتی رسمی
• روش: Domain Spoofing جهت فریب کاربران
• MITRE ATT&CK: [T1194 – Spearphishing via Service]
• جزئیات: سرقت اعتبارنامه و تصاحب نشست‌های کاربری (Session Hijacking) از طریق پیام‌های با اولویت بالا.

نفوذ به IoT و سامانه‌های نظارت تصویری
(IoT & CCTV Compromise)
• تکنیک: استفاده از گذرواژه‌های پیش‌فرض و فریمورهای آسیب‌پذیر در تجهیزات
• سوءاستفاده از پروتکل: RTSP برای مشاهده زنده فید دوربین‌ها
• MITRE ATT&CK: [T1210 – Exploitation of Remote Services]
• جزئیات: ضعف ایمن‌سازی تجهیزات نظارتی باعث حرکت جانبی (Lateral Movement) به شبکه‌های عملیاتی شد.

عملیات تخریبی (Impact Operations)
• تکنیک‌ها:
• حملات DDoS علیه سامانه‌های هشدار و سرورهای C2 داخلی
• بدافزار توقف سرویس‌ها ([T1489 – Service Stop])
• دیفیس و تغییر داده‌های عملیاتی ([T1491 – Defacement])
• جزئیات: اختلال همزمان در زیرساخت دیجیتال و کارکرد عملیاتی سامانه‌ها.

جمع‌بندی ارزیابی
این حادثه یک عملیات ترکیبی سایبری–فیزیکی (Hybrid Cyber-Physical) محسوب می‌شود که از نفوذ در لایه IT آغاز و با تخریب و اختلال در سامانه‌های فیزیکی ادامه یافته است. توانایی مهاجم در ترکیب اکسپلویت زیرساخت سازمانی، نفوذ به تجهیزات IoT/OT و ایجاد اختلال عملیاتی نشان‌دهنده بلوغ عملیاتی بالاست.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🌟 Join Our Cutting-Edge Blockchain + AI Project
Looking for an expert in Hyperledger Fabric, Iroha, and AI integration to help us build a next-gen platform. Remote | Full-Time or Contract | Competitive Pay
📌 See PDF for full role denoscription & requirements.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

فرایند بوت شدن لینوکس
در بلاگ بعد این فرایند تشریح خواهد شد

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#BOOT #Linux #OS #CyberSecurity

📢 فرآیند بوت لینوکس به زبان ساده 🐧

لینوکس چگونه بوت می‌شود؟ این تصویر به‌صورت خلاصه و گام‌به‌گام فرآیند بوت سیستم‌عامل لینوکس را نشان می‌دهد:

🔹 ۱. روشن‌کردن سیستم (Power On):

سیستم روشن می‌شود و سخت‌افزار اولیه فعال می‌گردد.

🔹 ۲. اجرای BIOS/UEFI:

تشخیص دستگاه‌های متصل (Detect Devices).

بارگذاری تنظیمات از حافظه غیرفرار (Load from non-volatile memory).

اجرای تست سلامت سخت‌افزار (POST).

🔹 ۳. بارگذاری GRUB:

خواندن فایل پیکربندی /etc/grub2.cfg.

اجرای کرنل لینوکس (Execute Kernel).

🔹 ۴. اجرای systemd (اولین پروسه در فضای کاربر):

بارگذاری کتابخانه‌های مورد نیاز (Load Supported Libraries).

اجرای فایل‌های هدف (Run Target Files) مانند:

default.target

multi-user.target

basic.target

getty.target

🔹 ۵. اجرای اسکریپت‌های راه‌اندازی:

/etc/profile

~/.bashrc

سرویس‌هایی مانند ssh.service و systemd-logind.

🔹 ۶. آماده‌سازی سیستم برای کاربران:

سیستم آماده ورود کاربران می‌شود (Users can login now).

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#BOOT #Linux #OS #CyberSecurity

🛡 ۵۰ اصطلاح مهم دنیای امنیت سایبری که در ۲۰۲۵ باید بلد باشید!

✅ مفاهیم پایه امنیت:

🔸 CIA – محرمانگی، یکپارچگی، دسترس‌پذیری
🔸 APT – تهدید ماندگار پیشرفته
🔸 SOC – مرکز عملیات امنیت
🔸 SIEM – مدیریت اطلاعات و رویدادهای امنیتی
🔸 DLP – جلوگیری از نشت اطلاعات

🌐 امنیت شبکه و نقطه پایانی:

🔸 IDS – سیستم تشخیص نفوذ
🔸 IPS – سیستم جلوگیری از نفوذ
🔸 EDR – تشخیص و پاسخ نقطه پایانی
🔸 NAC – کنترل دسترسی به شبکه
🔸 UEBA – تحلیل رفتار کاربران و نهادها

🔐 مدیریت هویت و دسترسی:

🔸 IAM – مدیریت هویت و دسترسی
🔸 MFA – احراز هویت چندمرحله‌ای
🔸 SSO – ورود یکپارچه
🔸 RBAC – کنترل دسترسی مبتنی بر نقش
🔸 PAM – مدیریت دسترسی ممتاز

🧠 اطلاعات تهدید و بدافزار:

🔸 IOC – نشانگرهای نفوذ
🔸 TTP – تاکتیک‌ها، تکنیک‌ها، روش‌ها
🔸 MITRE ATT&CK – پایگاه دانش رفتارهای مهاجم
🔸 C2 – فرمان و کنترل
🔸 RAT – تروجان دسترسی از راه دور

☁️ امنیت وب، اپلیکیشن و فضای ابری:

🔸 WAF – فایروال اپلیکیشن وب
🔸 CASB – واسط امنیتی دسترسی به فضای ابری
🔸 SAST – تست امنیت ایستای کد
🔸 DAST – تست امنیت پویا
🔸 CSPM – مدیریت وضعیت امنیت فضای ابری

📋 ریسک و تطابق با قوانین:

🔸 GRC – حاکمیت، ریسک و انطباق
🔸 PII – اطلاعات شناسایی شخصی
🔸 GDPR – مقررات حفاظت از داده اتحادیه اروپا
🔸 HIPAA – قانون حفاظت اطلاعات سلامت
🔸 SOX – قانون ساربنز-آکسلی

🚨 واکنش به رخداد و تداوم کسب‌وکار:

🔸 IR – پاسخ به رخداد
🔸 BCP – برنامه تداوم کسب‌وکار
🔸 DRP – برنامه بازیابی از فاجعه
🔸 MTTR – میانگین زمان بازیابی
🔸 RTO – هدف زمان بازیابی

🧩 چارچوب‌های امنیت سایبری:

🔸 NIST – مؤسسه استانداردهای ملی آمریکا
🔸 ISO – سازمان بین‌المللی استانداردسازی
🔸 CIS – مرکز امنیت اینترنت
🔸 CMMC – گواهی بلوغ امنیت سایبری
🔸 COBIT – اهداف کنترلی برای فناوری اطلاعات

💣 تهدیدات و اکسپلویت‌ها:

🔸 DoS – حمله محروم‌سازی از سرویس
🔸 DDoS – حمله توزیع‌شده محروم‌سازی
🔸 XSS – اسکریپت‌نویسی بین سایتی
🔸 SQLi – تزریق SQL
🔸 MITM – مرد میانی

🚀 فناوری‌های نوظهور و ابزارهای امنیتی:

🔸 SOAR – ارکستراسیون و خودکارسازی امنیت
🔸 XDR – تشخیص و پاسخ گسترده
🔸 ZTA – معماری اعتماد صفر
🔸 SASE – دسترسی ایمن به لبه سرویس
🔸 CNAPP – پلتفرم حفاظت از اپلیکیشن‌های ابری بومی

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#Blog #CyberSecurity

https://github.com/TryHackBox/Kaveh-WebDiff-Monitor
توضیحات ابزار :

این ابزار یک مانیتورینگ تغییرات و وضعیت HTTP است که برای بررسی سلامت سرویس‌های وب، مانیتورینگ Virtual Hostها و شناسایی تغییرات محتوا استفاده می‌شود.
با استفاده از این اسکریپت می‌توانید چندین IP/Port/Schema/Vhost را به صورت دوره‌ای بررسی کنید و در صورت تغییر وضعیت پاسخ یا تغییر در محتوای صفحه، هشدار دریافت کنید.

ویژگی‌ها

نظارت زمان‌بندی‌شده: اجرای خودکار در بازه‌های زمانی مشخص.

پشتیبانی از HTTP و HTTPS با امکان نادیده گرفتن خطاهای SSL.

Virtual Host Routing:
اتصال مستقیم به IP با هدر Host سفارشی (مناسب برای تست دامنه‌های روی یک سرور).

بررسی تغییر محتوا بر اساس تعداد کلمات و کد وضعیت HTTP.

ذخیره‌سازی وضعیت‌ها در فایل /tmp/http_mon.log برای مقایسه.

قابل استفاده در تست نفوذ برای شناسایی تغییرات، از کار افتادن سرویس یا تغییرات مشکوک.

نحوه اجرا در لینوکس

1. اسکریپت را کلون یا دانلود کنید:

   git clone https://github.com/TryHackBox/Kaveh-WebDiff-Monitor.git
   cd Kaveh-WebDiff-Monitor
   chmod +x Kaveh-Webdiff-Monitor.sh

2. یک فایل متنی شامل لیست اهداف ایجاد کنید (هر خط شامل IP، پورت، پروتکل و vhost):  
   192.168.1.10 443 https example.com
   10.0.0.5 80 http test.local
  

3. اجرای اسکریپت:

   ./Kaveh-Webdiff-Monitor.sh targets.txt

  
4. خروجی نمونه:
   Fri Aug 15 23:45:05 UTC 2025
   [*] 192.168.1.10 443 example.com: 200 157
   [*] 10.0.0.5 80 test.local: 404 12
   [!] تغییر وضعیت برای example.com
  
کاربرد در تست نفوذ

در فرایند تست نفوذ، این ابزار می‌تواند نقش مهمی داشته باشد:

شناسایی تغییرات در محتوای وب در زمان انجام حملات (مثلاً تغییر پیام خطا بعد از تزریق).

نظارت مداوم Virtual Hostها برای پیدا کردن دامنه‌های در حال توسعه یا فعال شدن سرویس‌های مخفی.

ردیابی پاسخ سرور بعد از تست‌های سنگین (مانند تست فشار یا ارسال حجم بالای درخواست ها).

شناسایی قطع سرویس یا تغییر پیکربندی در زمان حملات Man-in-the-Middle یا Bypass WAF.

کمک به فاز Post-Exploitation برای تشخیص تغییرات ایجادشده توسط شما یا تیم قرمز روی سیستم تارگت.

نکات

مسیر /tmp/http_mon.log در هر بار بوت ریست می‌شود؛ در صورت نیاز می‌توانید آن را به مسیر دائمی تغییر دهید.

برای استفاده در شبکه‌های بزرگ یا اسکن همزمان چند صد تارگت، پیشنهاد می‌شود بازه زمانی (INTERVAL) را متناسب افزایش دهید تا فشار روی سیستم تارگت کم شود.

این ابزار نیاز به curl و محیط Bash دارد.

اگر این ابزار براتون مفید بود استارز یادتون نشه
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#فرصت_شغلی
#مانیتورینگ
#zabbix
#noc

سلام به دوستان و همکاران عزیز
یک شرکت خصوصی در حوزه ی بانکی ، جهت تکمیل نیروی فنی واحد مانیتورینگ شبکه و سرویس ، از افراد واجد شرایط زیر دعوت به همکاری می‌نماید:

عنوان شغلی: کارشناس توسعه ی مانیتورینگ

وظایف:
توسعه و نگهداری سامانه ی مانیتورینگ زبیکس

مهارت‌ها و توانایی‌ها:
تسلط بر نرم‌افزار مانیتورینگ Zabbix
توانایی مانیتور کردن شبکه و زیرساخت ، دیتابیس ها ، اپلیکیشن ها و سرویس ها با نرم‌افزار زبیکس
آشنایی با مفاهیم لینوکس در حد مدرک LPIC-1
آشنایی با ELK
توانایی تحلیل مشکلات شبکه و سرورها
دقت و مسئولیت‌پذیری بالا

آشنایی با دوره‌های splunk ، ccna و grafana مزیت محسوب‌ میشود.



لطفا رزومه ی خود را از طریق دایرکت لینکدین و یا سایت جابینجا ارسال بفرمایید.

https://jobinja.ir/1391768


🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#دعوت_به_همکاری
با سلام ؛
مجموعه‌ی ارویس جهت تکمیل کادر فنی خود از کارشناسان واجد شرایط زیر دعوت به همکاری مینماید :

۱-تسلط به مباحث زیرساخت شبکه در سطح CCNP
۲-آشنا با فایروال ها از جمله Sophos و Fortigate
۳-آشنایی کلی با سرویس های ماکروسافتی
۴-اتمام و یا معافیت خدمت سربازی


مزایا:بیمه تکمیلی و ناهار
ساعت کاری : ۷ الی ۱۶

برای ارسال رزومه به شرکت تماس بگیرید

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

وقتی اعضای تیم #المپیادنجوم فهمیدند هر پنج نفر #طلا بردند.

اعضای تیم ایران در این رقابت‌ها شامل حسین سلطانی، هیربد فودازی، حسین معصومی، ارشیا میرشمسی کاخکی و علی نادری لردجانی هستند که توانستند با کسب ۵ نشان طلا، قهرمان مسابقات جهانی هند ۲۰۲۵ شوند.

امیدوارم عالی باشند و سالم

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🎯 حمله سایبری APT29 با C2 نامرئی – ترکیب CDN، HTTP/3 و DoH

در سال ۱۴۰۲، سازمان امنیت ملی آمریکا و شرکت امنیتی Mandiant اعلام کردند که گروه هکری APT29، وابسته به سرویس اطلاعات خارجی روسیه، موفق شده‌اند به یکی از نهادهای دیپلماتیک ایالات متحده نفوذ کنند.
آنچه این عملیات را به یکی از پیچیده‌ترین حملات سایبری اخیر تبدیل کرد، زیرساخت فرماندهی و کنترل (C2) آن بود که عملا از دید هر سیستم مانیتورینگ پنهان مانده بود.

فاز اول – پنهان‌سازی C2 پشت شبکه توزیع محتوا (CDN)

به جای استفاده از یک سرور C2 مستقیم، مهاجمان دامنه‌ای مشابه سرویس‌های به‌روزرسانی رسمی ثبت کردند و آن را از طریق Cloudflare به سرور واقعی خود مسیردهی کردند.
مزیت این کار:

تمام ارتباطات با C2 در قالب ترافیک HTTPS معتبر به یک CDN شناخته‌شده انجام می‌شد.
سیستم‌های امنیتی مقصد فقط «cloudflare.com» را به عنوان مقصد می‌دیدند.
امکان بلاک کردن ترافیک بدون اختلال گسترده در سرویس‌های دیگر تقریبا وجود نداشت.


فاز دوم – استفاده از پروتکل HTTP/3 مبتنی بر QUIC

به جای HTTP/1.1 یا HTTP/2، مهاجمان از HTTP/3 روی بستر QUIC بهره بردند.
این انتخاب چند مزیت حیاتی داشت:

برقراری ارتباط روی UDP/443 به جای TCP، که بسیاری از ابزارهای NIDS/IPS به‌خوبی آن را تحلیل نمی‌کنند.
رمزگذاری لایه حمل به شکلی که حتی پس از TLS Inspection، الگوهای ترافیکی شناسایی‌پذیر نباشند. امکان تغییر مسیر و زیرساخت با حداقل وقفه در صورت شناسایی.

فاز سوم – مخفی‌سازی درخواست‌های DNS با DoH

در این روش، درخواست‌های DNS سنتی روی پورت ۵۳ حذف شده و به جای آن از DNS over HTTPS استفاده شد.
به این ترتیب:

هر Query به شکل یک درخواست HTTPS رمزگذاری‌شده به سرور DoH (مثلاً cloudflare-dns.com) ارسال می‌شد.
هیچ لاگ قابل‌مشاهده‌ای در DNS Resolver سازمان مقصد وجود نداشت.
تشخیص دامنه‌های مخرب از روی ترافیک شبکه به‌شدت دشوار شد.

فاز چهارم – بارگذاری و اجرای Implant

مهاجمان از طریق فایل‌های فیشینگ (ISO یا Word با ماکرو)، یک Implant نوشته‌شده با Golang را روی سیستم قربانی مستقر کردند.
ویژگی‌های این Implant:

کراس‌پلتفرم بودن (Windows/Linux)
فشرده‌سازی با UPX برای جلوگیری از شناسایی توسط آنتی‌ویروس‌ها
برقراری Beacon نامنظم به دامنه C2 از طریق HTTP/3 و DoH
پشتیبانی از اجرای فرمان، استخراج فایل‌ها و حرکت جانبی (Lateral Movement) در شبکه داخلی

فاز پنجم – فرار از شناسایی

ترکیب این سه تکنیک (CDN + HTTP/3 + DoH) باعث شد:

ترافیک C2 با ترافیک عادی مرورگرها یکسان به نظر برسد.
ابزارهای امنیتی سنتی هیچ الگوی مشخصی از Beaconing پیدا نکنند.
حتی تحلیل‌گران SOC، بدون استفاده از روش‌های پیشرفته تحلیل متادیتا، نتوانند ارتباطات مخرب را از عادی تفکیک کنند.

روش‌های شکار (Threat Hunting)

برای مقابله با چنین حملاتی، نیاز به پایش سطح پیشرفته وجود دارد:

پروفایل‌سازی ترافیک QUIC و شناسایی ارتباطات غیرمرورگری روی UDP/443
بررسی Fingerprintهای TLS/JA3 و مقایسه با مرورگرهای استاندارد
تحلیل طول بسته‌ها و فواصل زمانی ارسال آن‌ها (Traffic Flow Analysis)
ایجاد لیست سفید برای سرورهای DoH و مسدودسازی موارد غیرمجاز

📌 نتیجه‌گیری:
این حمله نشان می‌دهد که گروه‌های پیشرفته (APT) دیگر نیازی به دامنه‌های مشکوک یا پورت‌های غیرمعمول ندارند.
امروز، زیرساخت‌های قانونی مثل Cloudflare، Akamai و پروتکل‌های مدرن مانند HTTP/3 و DoH می‌توانند به راحتی به سپر نامرئی برای C2 مهاجمان تبدیل شوند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer