بیایم و ببینیم این چلنج به چه صورت حل میشد
یبار دیگه اینجا اشاره میکنم که سطح چلنج اسون بود و روش حل پیچیده ای هم قرار نیست داشته باشه

من اومدم یدور سوال ها رو بخونم و سوال اول رو وقتی خوندم
" ۱)کدام IP توسط مهاجم برای دسترسی اولیه استفاده شده؟"
و بعدش رسیدم به سوال دوم
"۲)نام فایل مخرب استفاده‌شده برای دسترسی اولیه چیست؟"
متوجه شدم با فایل قرار سرکار داشته باشم و بجای اینکه بیام کل ترافیک رو تحلیل کنم اومدم از یه ابزار کمک گرفتم که فایل .pcap رو تحلیل میکنه و فایل هایی که رد بدل شده داخل ترافیک رو برام پیدا میکنه
لینک ابزار (https://github.com/Sh3n0bi/NetForensicAI)
و یه همچین خروجی بهم داد

2025-06-11 16:59:43,078 - INFO - Top 5 DPI Results:
2025-06-11 16:59:43,079 - INFO - Source: 10.2.14.101:49786 -> Destination: 62.173.142.148:80
2025-06-11 16:59:43,079 - INFO - Payload Preview: GET /login.php HTTP/1.1
Host: portfolio.serveirc....
2025-06-11 16:59:43,079 - INFO - Source: 62.173.142.148:80 -> Destination: 10.2.14.101:49786
2025-06-11 16:59:43,079 - INFO - Payload Preview: HTTP/1.1 200 OK
Server: nginx/1.14.0 (Ubuntu)
Da...
2025-06-11 16:59:43,079 - INFO - Source: 62.173.142.148:80 -> Destination: 10.2.14.101:49786
2025-06-11 16:59:43,080 - INFO - Payload Preview: BmkqW7HAt28','iSktWPxcO8k5y0WHsce','E8k3WQG+W5e','...
2025-06-11 16:59:43,080 - INFO - Source: 62.173.142.148:80 -> Destination: 10.2.14.101:49786
2025-06-11 16:59:43,080 - INFO - Payload Preview: 23c2();return _0x57c2=function(_0x57c28d,_0x19268b...
2025-06-11 16:59:43,080 - INFO - Source: 62.173.142.148:80 -> Destination: 10.2.14.101:49786
2025-06-11 16:59:43,080 - INFO - Payload Preview: )%0x100,_0x5c44af=_0x14b9a0[_0x363895],_0x14b9a0[_...

که ایپی اتکر و قربانی رو تونستم پیدا کنم و سوال اول حل شد


بعدش رسیدم به سوال دوم که اسم فایل رو میخواست با فیلتر کردن ایپی اتکر رسیدم چند تا پکت که داخلشون دوتا پکت HTTP بود که تو یکیشون فایل ارسال شده بود و تونستم اسمش رو پیدا کنم
Content-disposition: attachment;filename=allegato_708.js

و سوال دوم هم حل شدش


حالا میرسیم به سوال سوم که از اینجاش کلا سر پایینی هستش
باید هش فایل مخرب اولیه رو پیدا کنیم (sha-256)
چون خود فایل تو فایل pcap. نبودش مجبور شدم برم سراغ سایت هایی که فایل های مخرب رو تحلیل میکنن که شاید اونجا پیداشون کنم اول رفتم سراغ any.run چون تحلیلاش بهتره که دیدم با اسم فایل نمیتونم پیداش کنم
بعدش رفتم سراغ hybrid-analysis.com و اینجا تونستم با اسم فایل تحلیلش رو پیدا کنم خیلی سریع sha256 فایل رو برداشتم (847b4ad90b1daba2d9117a8e05776f3f902dda593fb1252289538acf476c4268) راستی سوال سوم هم حل شدش و تحلیلش رو تو any.run با هش پیدا کردم و رفتم سراغ ادامه کار

دیگه بعد اینجاش گشتن تو سندباکس انلاین any.run هستش که فقط ریپورت رو بررسی کنیم و جوابارو پیدا کنیم

ریپورت(https://any.run/report/847b4ad90b1daba2d9117a8e05776f3f902dda593fb1252289538acf476c4268/a886894d-8ae4-4d59-a990-b59536885da8#i-table-processes-4da0a0b5-235f-4a5d-ad6b-b436b0e71204)
سوال چهارم میپرسه کدوم فرایند فایل مخرب رو اجرا کردش
که جوابش wnoscript.exe هست یه ابزاری برای ران کردن فایل هایی مثل js.

بعدشم سوال پنجم در مورد پسوند فایل مخرب دوم میپرسه که داخل تحلیل نشون داده که اتکر یه پیلود :

%WINDIR%\system32\advapi32.dll

اجرا کرده
و جواب .dll هست
اما اخرین سوال که هش MD5 فایل مخرب دوم رو میخواد

و میریم سراغ Dropped files فایل ها که اونجا دوتا فایل قابل اجرا پیدا میکنیم که یکیش جواب ما قرار باشه :

C:\Users\admin\AppData\Local\Temp\JffleeTicl.dll

و هش md5 اون رو برداریم:
E758E07113016ACA55D9EDA2B0FFEEBE

پایان چالش

میتونستم صرفاً لینک چالش رو بدم و بگم خودتون برید انجامش بدید.
اما خواستم کمی شخصی‌تر و تعاملی‌ترش کنم تا حس رقابت و کنجکاوی ایجاد بشه و دوستان بیشتری درگیر حلش بشن

WordPress Sites Turned Weapon: How VexTrio and Affiliates Run a Global Scam Network
#news
➖➖➖➖➖
CHANNEL  
GROUP
DISCORD

🎯 بررسی آسیب‌پذیری CVE-2020-0601 – جعل CA مثل مایکروسافت!

در هفته ۵۵ از برنامه‌ی GO-TO CVE، سراغ یک آسیب‌پذیری بسیار خطرناک در زیرساخت ساین دیجیتال ویندوز رفتیم که با نام رسمی Windows CryptoAPI Spoofing Vulnerability شناخته می‌شه. این باگ در فایل سیستمی Crypt32.dll وجود داشت و به مهاجم اجازه می‌داد root CA جعلی بسازه که از دید ویندوز معتبر به نظر می‌رسه – حتی با نام و ظاهر Microsoft!

🔹 Week: 55
🔹 CVE: CVE-2020-0601
🔹 Type: ECC Certificate Spoofing → Signed Malware Execution
🔹 Component: Windows CryptoAPI (Crypt32.dll)
🔹 CVSS: 8.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)

#week_55

You can also use quick cache and archive search
➖➖➖➖➖
CHANNEL  
GROUP
DISCORD

Only 12 days left to join the Community OSINT #CTF on June 25. We’ve answered the most common questions to help you get started. Sign up today to explore real-world OSINT use cases: https://maltego.com/community-ctf/?utm_source=twitter&utm_medium=social&utm_campaign=all&utm_content=
➖➖➖➖➖
CHANNEL  
GROUP
DISCORD

دوستان به دلیل شرایط فعلی و وضعیت بد اینترنت فعلا پستی نخواهیم داشت

♦️Six step incedent response process

🐍-سلام‌امروز قراره راجب ۶ تا مرحله و فرایندی که باید طی بشه تا به یه حادثه امنیتی  پاسخ داده بشه صحبت بکنم.

خب اول از همه بهتره بدونیم که پاسخ به یه رخداد امنیتی یعنی چی؟
پاسخ به یه رخداد امنیتی یعنی مجموعه ای از فرایند ها و رویه ها که ما انجام میدیم تا باعث
Identification incident
containment  incident
Eradication incident
Recovery
و درنهایت
Post-incident-analysis

اون حادثه امنیتی بشه .
برای مثال ؛

فرض کنید یه گزارشی از تیم نتورک دریافت کردید مبنی بر infect شدن یه سیستم توسط یه malwear  یا تیم امنیتی تشخیص داده که dns tunneling صورت گرفته و درحال exfilter data هستش خب 🔥
وظیفه تیم incident respons  اینه که به اون incident رخ داده پاسخ بده و دراین شرایط پاسخ به یه رخداد به شکل زیر ادامه پیدا میکنه؛


1.آمادگی ( preparation):
این مرحله قبل از وقوع یه رخداد امنیتی هستش
ما باید تیم رو اماده کنیم ، وظیفه هر شخص توی تیم مشخص بشه ، چک لیست داشته باشیم ، از قبل مانور ها و تمرین هایی کرده باشه تیم،
و از همه مهم تر از قبل باید ابزار هامون اماده باشه

و یه نکته ما بلخره باید از یه جایی متوجه بشم که یه incident رخ داده ما باید تمام اون ابزار های ditection و نیرو( soc ) رو شبکمون داشته باشه تا به بهترین شکل یه رخداد امنیتی را تشخیص بدیم

2. شناسایی (Identification):
توی این مرحله ما اول باید برسی بکنیم اون گزارش false positive یا true positive که با بررسی لاگ‌ها، ترافیک شبکه، و سیستم آلوده برای تأیید حمله
و بعد از اون باید scoping تعیین دقیق محدوده‌ی رخداد صورت بگیره مثال؛
چقدر حادثه بزرگ بوده تا کجا ها پیش رفته و الان درچه مرحله ای هست ( طبق فریم ورک mitr&Attacks ) و چه سیستم های infect شدن و کدوما نشدن کدوما اولیت پاسخ دهی بالایی دارن ، تخمین خسارت و.. که باعث جمع اوری data and evidence ها میشه که بهتر بشناسیم فعالیت ها و رفتار های مخرب رو

3. مهار (Containment):
قرنطینه کردن سیستم آلوده، قطع ارتباط با اینترنت یا DNS خارجی برای جلوگیری از نشت بیشتر داده‌ها ، درواقع ما توی این مرحله تاثیر حمله رو کم میکنیم تا باعث جلوگیری از پیشرفت هکر توی شبکه بشه
که به دوصورت
Short term ;
محار کوتاه مدت مثل  قط ارتباط - مسدود کردن - محدود کردن - که توی کوتاه مدت جلوگیری کنیم از گسترش
Long term ;
محار بلند مدت مثل پچ کردن بازنگری و..

4. پاک‌سازی (Eradication):
حذف بدافزار، بستن آسیب‌پذیری‌ها، و حذف مسیرهای ارتباطی مهاجم مثل دامنه‌های مخرب اگه یوزری ساخته پاک بشه اگه بکدوری هست از بین بره
درواقع remediation هدف بازیابی کامل سیستم و رفع ریشه ای اون حادثه و اسیب پذیری هستش


5. بازیابی (Recovery):
بازگرداندن سیستم به وضعیت پایدار، بررسی کامل برای اطمینان از حذف تهدید
نکته ؛ بکاپ بازگردانده شده برسی بشه که الوده نباشه

6. تحلیل نهایی (Lessons Learned):
مستندسازی حادثه، بررسی نقاط ضعف، و تقویت سیستم‌ها برای جلوگیری از رخدادهای مشابه در آینده



ممنون میشم اگه موردی موندش داخل کامنت ها بهم بگین

چنل تلگرام؛
https://news.1rj.ru/str/ViperNull