❏ </Mr. SAM/> ❏
░▒▓█ SecurityWeek █▓▒░
Anatsa Android Banking Trojan Now Targeting 830 Financial Apps
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ SecurityWeek █▓▒░
Anatsa Android Banking Trojan Now Targeting 830 Financial Apps
🔗 ➢➣➤ More ...
@NullError_ir 📢
SecurityWeek
Anatsa Android Banking Trojan Now Targeting 830 Financial Apps
The Anatsa Android banking trojan has expanded its target list to new countries and more cryptocurrency applications.
Forwarded from 🎄 DevTwitter | توییت برنامه نویسی
یکی از بزرگترین چالش فارسی زبانان حل کردم!
افزونه متنباز نوشتم ، اشتباهات رایج کیبورد (مثل \vs\,gds به پرسپولیس) و فینگلیش را به صورت آنی اصلاح میکند. این ابزار به عنوان دستیار دانش به ویکیپدیا و گوگل متصل است.
https://github.com/AmirMotefaker/Farsi-Smart-Assistant
@DevTwitter | <Amir Motefaker/>
افزونه متنباز نوشتم ، اشتباهات رایج کیبورد (مثل \vs\,gds به پرسپولیس) و فینگلیش را به صورت آنی اصلاح میکند. این ابزار به عنوان دستیار دانش به ویکیپدیا و گوگل متصل است.
https://github.com/AmirMotefaker/Farsi-Smart-Assistant
@DevTwitter | <Amir Motefaker/>
شناسایی اکسپلویتها بدون در اختیار داشتن نمونهی آلوده
یک چالش بزرگ برای محققان امنیتی
چرا شناسایی بدون نمونه مهم است؟
در بسیاری از حملات هدفمند (Targeted Attacks)، مهاجمان بسیار مراقب هستند که نمونههای بدافزار یا اکسپلویت آنها به دست محققان امنیتی نیفتد. اگر نمونهای در دسترس نباشد، تیمهای امنیتی نمیتوانند:
یک امضا (Signature) برای آنتیویروسها بسازند.
رفتار آن را تحلیل کنند.
از آن برای پیدا کردن قربانیان دیگر استفاده کنند.
بنابراین، محققان باید روشی پیدا کنند تا «شکار» را بدون دیدن خود «شکارچی» انجام دهند.
تکنیکهای شناسایی اکسپلویت بدون نمونه
این فرآیند مانند کار یک کارآگاه است که از روی صحنه جرم و شواهد موجود، به دنبال روش کار مجرم میگردد، حتی اگر خود مجرم را ندیده باشد. مراحل اصلی این کار به شرح زیر است:
۱. تحلیل ریشه آسیبپذیری (Vulnerability Root Cause Analysis)
همه چیز از درک عمیق خودِ حفرهی امنیتی شروع میشود.
گزارشهای فنی
محققان گزارشهای منتشر شده از سوی شرکتهایی مثل Citizen Lab یا دیگر غول های فناوری را به دقت مطالعه میکنند. برای مثال، در مورد FORCEDENTRY مشخص شد که آسیبپذیری در کتابخانه پردازش تصویر به نام
CoreGraphics و به دلیل یک سرریز عدد صحیح (Integer Overflow) رخ میدهد.مهندسی معکوس پچ (Patch Diffing)
یکی از قدرتمندترین تکنیکها، مقایسه نسخه آسیبپذیر یک نرمافزار با نسخه پچشدهی آن است. محققان با مقایسه این دو نسخه (مثلاً دو ورژن از سیستمعامل iOS)، دقیقاً متوجه میشوند که توسعهدهندگان کدام بخش از کد را برای رفع حفره تغییر دادهاند. این تغییرات، مانند یک نقشه گنج، محل دقیق آسیبپذیری و منطق آن را آشکار میکند.
۲. بازسازی اکسپلویت (Exploit Recreation)
وقتی محقق فهمید که آسیبپذیری دقیقاً چگونه کار میکند، تلاش میکند تا یک PoC (Proof-of-Concept) بسازد.
یک فایل PoC بیخطر (مثلاً یک PDF یا عکس) که دقیقاً همان ساختار معیوب اکسپلویت اصلی را دارد تا بتواند همان آسیبپذیری را فعال کند (مثلاً باعث کرش کردن برنامه شود).
هدف: این PoC به محقق یک «نمونه پاک» میدهد. حالا او یک فایل در دست دارد که میداند چه ویژگیهایی باعث فعال شدن حفره امنیتی میشود، بدون اینکه آلوده به بدافزار باشد.
۳. توسعه قوانین شناسایی (Detection Rule Development)
حالا که محقق میداند یک فایل اکسپلویتکننده چه شکلی است، میتواند برای آن یک قانون شناسایی بنویسد.
قوانین یارا (YARA Rules):
یارا ابزاری است که به محققان اجازه میدهد الگوها و مشخصههای خاصی را در فایلها جستجو کنند. برای FORCEDENTRY، محقق میتواند یک قانون یارا بنویسد که به دنبال فایلهای PDF با ساختار عجیب و خاصی بگردد که برای سوءاستفاده از آن حفره طراحی شدهاند.
ابزارسازی:
ابزاری مانند ELEGANTBOUNCER در واقع همین قوانین و منطقهای تشخیصی را در قالبی ساده و کاربردی پیادهسازی میکند. این ابزار فایلها را اسکن کرده و در صورت تطابق با الگوی اکسپلویت، هشدار میدهد.
مثال ساده برای درک بهتر:
فرض کنید یک دزد همیشه از یک نوع قفل خاص با یک سنجاق سر دستکاریشده عبور میکند. شما خود دزد را ندیدهاید و ابزار او را هم ندارید.
1. تحلیل آسیبپذیری: شما قفل را بررسی کرده و میفهمید که ضعف آن در پین شماره ۳ است.
2. بازسازی: خودتان یک سنجاق سر را طوری خم میکنید که بتواند پین شماره ۳ را دستکاری کند.
3. توسعه قانون شناسایی: یک سیستم هشدار طراحی میکنید که به محض وارد شدن ابزاری با آن شکل خاص (شکل سنجاق سر شما) به قفل، آژیر بکشد.
در این نوشته ELEGANTBOUNCER همان سیستم هشدار است که بدون دیدن دزد اصلی، روش کار او را شناسایی میکند. این دانش، اساس دفاع پیشگیرانه در امنیت سایبری مدرن است.
@NullError_ir 📢
Please open Telegram to view this post
VIEW IN TELEGRAM
Msuiche
ELEGANTBOUNCER: When You Can't Get the Samples but Still Need to Catch the Threat | Matt Suiche
The story of how ELEGANTBOUNCER was born from the frustration of not having access to in-the-wild exploit samples, and why structural analysis beats signatures for advanced mobile threats
❏ </Mr. SAM/> ❏
░▒▓█ BleepingComputer █▓▒░
New Android malware poses as antivirus from Russian intelligence agency
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ BleepingComputer █▓▒░
New Android malware poses as antivirus from Russian intelligence agency
🔗 ➢➣➤ More ...
@NullError_ir 📢
BleepingComputer
New Android malware poses as antivirus from Russian intelligence agency
A new Android malware posing as an antivirus tool software created by Russia's Federal Security Services agency (FSB) is being used to target executives of Russian businesses.
❏ </Mr. SAM/> ❏
░▒▓█ infosecwriteups █▓▒░
Blind XSS via Clipboard Paste Handling: A Detailed Guide
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ infosecwriteups █▓▒░
Blind XSS via Clipboard Paste Handling: A Detailed Guide
🔗 ➢➣➤ More ...
@NullError_ir 📢
Medium
Blind XSS via Clipboard Paste Handling: A Detailed Guide
Discover how attackers abuse clipboard paste handling to trigger Blind XSS from setup to exploitation
❏ </Mr. SAM/> ❏
░▒▓█ cybersecurity █▓▒░
Attaxion Releases Agentless Traffic Monitoring for Immediate Risk Prioritization
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ cybersecurity █▓▒░
Attaxion Releases Agentless Traffic Monitoring for Immediate Risk Prioritization
🔗 ➢➣➤ More ...
@NullError_ir 📢
Cyber Security News
Attaxion Releases Agentless Traffic Monitoring for Immediate Risk Prioritization
Attaxion announces the addition of the Agentless Traffic Monitoring capability to its exposure management platform.
❏ </Mr. SAM/> ❏
░▒▓█ TheHackersNews █▓▒░
Why SIEM Rules Fail and How to Fix Them: Insights from 160 Million Attack Simulations
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ TheHackersNews █▓▒░
Why SIEM Rules Fail and How to Fix Them: Insights from 160 Million Attack Simulations
🔗 ➢➣➤ More ...
@NullError_ir 📢
Telegram
Mr. SAM
یکشنبه
۷ ( دی = ۱۰ ) ۱٤۰٤
28 ( دسامبر = december = 12 ) 2025
تکنیکها ، کالبدشکافی ، درک عمیق ، یک قدم جلوتر ...
https://news.1rj.ru/str/boost/NullError_ir
۷ ( دی = ۱۰ ) ۱٤۰٤
28 ( دسامبر = december = 12 ) 2025
تکنیکها ، کالبدشکافی ، درک عمیق ، یک قدم جلوتر ...
https://news.1rj.ru/str/boost/NullError_ir
❏ </Mr. SAM/> ❏
░▒▓█ SecurityWeek █▓▒░
Aspire Rural Health System Data Breach Impacts Nearly 140,000
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ SecurityWeek █▓▒░
Aspire Rural Health System Data Breach Impacts Nearly 140,000
🔗 ➢➣➤ More ...
@NullError_ir 📢
SecurityWeek
Aspire Rural Health System Data Breach Impacts Nearly 140,000
Aspire Rural Health System was targeted last year by the BianLian ransomware group, which claimed to have stolen sensitive data.
❏ </Mr. SAM/> ❏
░▒▓█ cybersecurity █▓▒░
Multiple vtenext Vulnerabilities Let Attackers Bypass Authentication and Execute Remote Codes
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ cybersecurity █▓▒░
Multiple vtenext Vulnerabilities Let Attackers Bypass Authentication and Execute Remote Codes
🔗 ➢➣➤ More ...
@NullError_ir 📢
Cyber Security News
Multiple vtenext Vulnerabilities Let Attackers Bypass Authentication and Execute Remote Codes
A comprehensive security analysis of vtenext CRM version 25.02 has revealed multiple critical vulnerabilities that allow unauthenticated attackers to bypass authentication mechanisms through three distinct attack vectors, ultimately leading to remote code…
❏ </Mr. SAM/> ❏
░▒▓█ TheHackersNews █▓▒░
⚡ Weekly Recap: Password Manager Flaws, Apple 0-Day, Hidden AI Prompts, In-the-Wild Exploits & More
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ TheHackersNews █▓▒░
⚡ Weekly Recap: Password Manager Flaws, Apple 0-Day, Hidden AI Prompts, In-the-Wild Exploits & More
🔗 ➢➣➤ More ...
@NullError_ir 📢
Telegram
Mr. SAM
یکشنبه
۷ ( دی = ۱۰ ) ۱٤۰٤
28 ( دسامبر = december = 12 ) 2025
تکنیکها ، کالبدشکافی ، درک عمیق ، یک قدم جلوتر ...
https://news.1rj.ru/str/boost/NullError_ir
۷ ( دی = ۱۰ ) ۱٤۰٤
28 ( دسامبر = december = 12 ) 2025
تکنیکها ، کالبدشکافی ، درک عمیق ، یک قدم جلوتر ...
https://news.1rj.ru/str/boost/NullError_ir
❏ </Mr. SAM/> ❏
░▒▓█ DarkReading █▓▒░
Securing the Cloud in an Age of Escalating Cyber Threats
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ DarkReading █▓▒░
Securing the Cloud in an Age of Escalating Cyber Threats
🔗 ➢➣➤ More ...
@NullError_ir 📢
Dark Reading
Securing the Cloud in an Age of Higher Cyber Threats
As threats intensify and cloud adoption expands, organizations must leave outdated security models behind.
❏ </Mr. SAM/> ❏
░▒▓█ SecurityWeek █▓▒░
Pakistani Hackers Back at Targeting Indian Government Entities
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ SecurityWeek █▓▒░
Pakistani Hackers Back at Targeting Indian Government Entities
🔗 ➢➣➤ More ...
@NullError_ir 📢
SecurityWeek
Pakistani Hackers Back at Targeting Indian Government Entities
Pakistani state-sponsored hacking group APT36 is targeting Linux systems in a fresh campaign aimed at Indian government entities.
آشنایی با سرورهای فرماندهی و کنترل
در این مطلب، به معرفی سرورهای فرماندهی و کنترل (C2) میپردازیم .
سرور فرماندهی و کنترل (C&C یا C2) چیست؟
فرماندهی و کنترل (Command & Control) که به اختصار C2 یا C&C نامیده میشود، یک اصطلاح کلی برای سرورهایی است که در توزیع و کنترل بدافزارها نقش دارند
وظایف این سرورها شامل موارد زیر است، اما به آنها محدود نمیشود:
*میزبانی از محمولههای مخرب (Payloads).
*ارسال دستور به سیستمهای آلوده.
*دریافت دادههای استخراج (Exfiltrated) یا سرقت شده از قربانیان.
چالش تحلیل سرورهای C2
سرورهای C2 یک چالش منحصربهفرد برای تحلیلگران بدافزار ایجاد میکنند.اگرچه کد خودِ بدافزار برای مهندسی معکوس در دسترس باشد، اما کدی که روی سرور C2 اجرا میشود معمولاً در دسترس نیست.
به همین دلیل، همیشه مشخص نیست که زیرساخت C2 دقیقاً چگونه کار میکند یا چه قابلیتهایی دارد.
برخی از مهاجمان با سوءاستفاده از همین موضوع (خصوصی بودن کد سرور)، تکنیکهای ضد-تحلیل (Anti-Analysis) را در سمت سرور پیادهسازی میکنند. به عنوان مثال، بدافزار لیست پردازشهای در حال اجرای سیستم قربانی را به سرور ارسال میکند و اگر سرور ابزارهای مرتبط با تحلیل بدافزار را در آن لیست تشخیص دهد، از ارسال محموله مرحله دوم (2nd Stage Payload) خودداری میکند.
ایمنی در تحلیل: همیشه از ماشین مجازی استفاده کنید
اکیداً توصیه میشود که همیشه تمام تحلیلهای خود را در یک محیط ایزوله مانند ماشین مجازی (Virtual Machine) انجام دهید تا امنیت سیستم اصلی شما به خطر نیفتد.
محیط تحلیل پیشنهادی
برای شروع تحلیل بدافزار، میتوانید از محیط زیر استفاده کنید. این مشخصات، یک استاندارد صنعتی محسوب میشود و پشتیبانی بهتری برای آن وجود دارد.
سیستم میزبان (Host Machine):
هر سیستمی با پردازنده
x86_64 (پردازندههای ۳۲-بیتی پشتیبانی نمیشوند و پردازندههای ARM نیازمند شبیهساز هستند).ماشین مجازی (Virtual Machine): نرمافزارهای
VMware یا VirtualBox.سیستمعامل (Operating System):
ویندوز۱۰ نسخه ۶۴-بیتی.
دیساسمبلر (Disassembler):
نسخه رایگان
IDA Free (یا نسخههای تجاری آن در صورت دسترسی).دیساسمبلرها و دیکامپایلرهای جایگزین
تحلیل بدافزار را میتوان با ابزارهای دیگری مانند
Ghidra یا Binary Ninja نیز انجام داد.ابزار IDA یک استاندارد صنعتی برای تحلیل بدافزار است توصیه میشود حتی اگر قصد دارید در پروژههای شخصی خود از ابزار دیگری استفاده کنید، حتماً کار با IDA را یاد بگیرید.
نکات تکمیلی برای جامعتر شدن مطلب
سیستمعامل: ویندوز ۱۰ همچنان یک انتخاب عالی و پایدار برای آزمایشگاه تحلیل بدافزار است. با این حال، استفاده از ( ویندوز ۱۱ ) نیز کاملاً امکانپذیر و مناسب است. تحلیلگران حرفهای اغلب چندین ماشین مجازی با نسخههای مختلف ویندوز (حتی ویندوز ۷) نگه میدارند تا رفتار بدافزار را روی سیستمعاملهای متفاوت بررسی کنند.
ابزارهای مکمل ضروری:
تحلیل بدافزار فقط به دیساسمبلر محدود نمیشود. برای یک تحلیل کامل، به ابزارهای دیگری نیز نیاز دارید که بهتر است با آنها آشنا باشید:
دیباگرها (Debuggers):
ابزارهایی مانند
x64dbg (برای محیط کاربری) و WinDbg (برای تحلیلهای سطح پایین و کرنل) برای بررسی زنده و مرحله به مرحله اجرای کد ضروری هستند.ابزارهای مانیتورینگ (Monitoring Tools): مجموعه ابزار
Sysinternals Suite (بهخصوص Process Monitor و Process Explorer) برای مشاهده فعالیتهای بدافزار در سیستمعامل (مانند دسترسی به فایلها، رجیستری و شبکه) حیاتی است.تحلیل شبکه (Network Analysis):
ابزار
Wireshark برای شنود و تحلیل ترافیک شبکهای که بدافزار تولید میکند، یک استاندارد صنعتی است.لازم به ذکر است که موارد بالا، استاندارد طلایی برای بدافزارهای ویندوزی است که همچنان بیشترین حجم بدافزارها را تشکیل میدهند. تحلیل بدافزارهای لینوکس، مک، اندروید یا iOS نیازمند ابزارها و محیطهای متفاوتی است.
@NullError_ir 📢
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Mr. SAM
یکشنبه
۷ ( دی = ۱۰ ) ۱٤۰٤
28 ( دسامبر = december = 12 ) 2025
تکنیکها ، کالبدشکافی ، درک عمیق ، یک قدم جلوتر ...
https://news.1rj.ru/str/boost/NullError_ir
۷ ( دی = ۱۰ ) ۱٤۰٤
28 ( دسامبر = december = 12 ) 2025
تکنیکها ، کالبدشکافی ، درک عمیق ، یک قدم جلوتر ...
https://news.1rj.ru/str/boost/NullError_ir
❏ </Mr. SAM/> ❏
░▒▓█ BleepingComputer █▓▒░
Defending against malware persistence techniques with Wazuh
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ BleepingComputer █▓▒░
Defending against malware persistence techniques with Wazuh
🔗 ➢➣➤ More ...
@NullError_ir 📢
BleepingComputer
Defending against malware persistence techniques with Wazuh
Malware persistence keeps attackers in your systems long after reboots or resets. Wazuh helps detect and block hidden techniques like scheduled tasks, startup noscripts, and modified system files—before they turn into long-term compromise.
❏ </Mr. SAM/> ❏
░▒▓█ cybersecurity █▓▒░
Beware of Website Mimicking Google Play Store Pages to Deliver Android Malware
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ cybersecurity █▓▒░
Beware of Website Mimicking Google Play Store Pages to Deliver Android Malware
🔗 ➢➣➤ More ...
@NullError_ir 📢
Cyber Security News
Beware of Website Mimicking Google Play Store Pages to Deliver Android Malware
SpyNote RAT resurfaces via fake Google Play pages, tricking users into downloading APKs that enable full device control and spying.
❏ </Mr. SAM/> ❏
░▒▓█ hackday █▓▒░
Radio Apocalypse: America’s Doomsday Rocket Radios
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ hackday █▓▒░
Radio Apocalypse: America’s Doomsday Rocket Radios
🔗 ➢➣➤ More ...
@NullError_ir 📢
Hackaday
Radio Apocalypse: America’s Doomsday Rocket Radios
Even in the early days of the Cold War, it quickly became apparent that simply having hundreds or even thousands of nuclear weapons would never be a sufficient deterrent to atomic attack. For nucle…
❏ </Mr. SAM/> ❏
░▒▓█ BleepingComputer █▓▒░
Critical Docker Desktop flaw lets attackers hijack Windows hosts
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ BleepingComputer █▓▒░
Critical Docker Desktop flaw lets attackers hijack Windows hosts
🔗 ➢➣➤ More ...
@NullError_ir 📢
BleepingComputer
Critical Docker Desktop flaw lets attackers hijack Windows hosts
A critical vulnerability in Docker Desktop for Windows and macOS allows compromising the host by running a malicious container, even if the Enhanced Container Isolation (ECI) protection is active.
❏ </Mr. SAM/> ❏
░▒▓█ cybersecurity █▓▒░
Chinese APT Hackers Using Proxy and VPN Service to Anonymize Infrastructure
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ cybersecurity █▓▒░
Chinese APT Hackers Using Proxy and VPN Service to Anonymize Infrastructure
🔗 ➢➣➤ More ...
@NullError_ir 📢
Cyber Security News
Chinese APT Hackers Using Proxy and VPN Service to Anonymize Infrastructure
Chinese APT group uses proxy & VPNs to mask attacks via spear-phishing, waterhole sites, and stealthy HTTPS-based Trojan agents.
❏ </Mr. SAM/> ❏
░▒▓█ hackday █▓▒░
CERN’s Large Hadron Collider Runs on A Bendix G-15 in 2025
🔗 ➢➣➤ More ...
@NullError_ir 📢
░▒▓█ hackday █▓▒░
CERN’s Large Hadron Collider Runs on A Bendix G-15 in 2025
🔗 ➢➣➤ More ...
@NullError_ir 📢
Hackaday
CERN’s Large Hadron Collider Runs On A Bendix G-15 In 2025
The Bendix G-15 refurbished by [David at Usagi Electric] is well known as the oldest fully operational digital computer in North America. The question [David] gets most is “what can you do wi…