⭕️ به نام خداوند بخشنده و مهربان
سلام و درود فراوان خدمت همگی عزیزان
مرکز تخصصی آپا دانشگاه صنعتی شریف با افتخار فصل تازهای از فعالیتهای خود را آغاز کرده است؛ حرکتی نو با نگاهی به آینده، با هدف ایجاد فضایی پویا برای یادگیری، رشد و همافزایی میان علاقهمندان و متخصصان حوزه امنیت سایبری.
در عصری که تهدیدات دیجیتال روز به روز پیچیدهتر میشوند و فرصتهای یادگیری بهسرعت در گذرند، ما بر آن شدیم تا با رویکردی منسجم و بهروز، محتوایی کاربردی، تحلیلی و تخصصی در زمینه آسیبپذیریها، تهدیدات نوظهور و تحولات مهم دنیای امنیت اطلاعات ارائه کنیم.
این مسیر، تنها یک جریان خبری نخواهد بود، بلکه بستری خواهد بود برای کنجکاوی، یادگیری مداوم و گام برداشتن بهسوی عمق دانش فنی و پرورش تفکر سنجشگر.
در این راستا، فعالیتهای ما بر سه محور کلیدی متمرکز خواهد بود:
امنیت تهاجمی (Offensive Security): با تمرکز بر Red Teaming، آزمون نفوذ و تحلیل رفتار مهاجمان.
امنیت دفاعی (Defensive Security): شامل مرکز عملیات امنیت(SOC)، شکار تهدید (Threat Hunting)، پاسخگویی به رخداد و تحلیل جرم دیجیتال (DFIR).
مهندسی معکوس و تحلیل بدافزار: کشف رفتارهای مخرب و درک عمیق از سازوکار تهدیدات پیچیده.
اگر به آینده امنیت سایبری فکر میکنید، اگر بهدنبال ساختن پایهای محکم برای دانش خود هستید و میخواهید در قلب تحولات این حوزه قرار بگیرید، ما را در این مسیر تازه همراهی کنید.
@sharifCERT
سلام و درود فراوان خدمت همگی عزیزان
مرکز تخصصی آپا دانشگاه صنعتی شریف با افتخار فصل تازهای از فعالیتهای خود را آغاز کرده است؛ حرکتی نو با نگاهی به آینده، با هدف ایجاد فضایی پویا برای یادگیری، رشد و همافزایی میان علاقهمندان و متخصصان حوزه امنیت سایبری.
در عصری که تهدیدات دیجیتال روز به روز پیچیدهتر میشوند و فرصتهای یادگیری بهسرعت در گذرند، ما بر آن شدیم تا با رویکردی منسجم و بهروز، محتوایی کاربردی، تحلیلی و تخصصی در زمینه آسیبپذیریها، تهدیدات نوظهور و تحولات مهم دنیای امنیت اطلاعات ارائه کنیم.
این مسیر، تنها یک جریان خبری نخواهد بود، بلکه بستری خواهد بود برای کنجکاوی، یادگیری مداوم و گام برداشتن بهسوی عمق دانش فنی و پرورش تفکر سنجشگر.
در این راستا، فعالیتهای ما بر سه محور کلیدی متمرکز خواهد بود:
امنیت تهاجمی (Offensive Security): با تمرکز بر Red Teaming، آزمون نفوذ و تحلیل رفتار مهاجمان.
امنیت دفاعی (Defensive Security): شامل مرکز عملیات امنیت(SOC)، شکار تهدید (Threat Hunting)، پاسخگویی به رخداد و تحلیل جرم دیجیتال (DFIR).
مهندسی معکوس و تحلیل بدافزار: کشف رفتارهای مخرب و درک عمیق از سازوکار تهدیدات پیچیده.
اگر به آینده امنیت سایبری فکر میکنید، اگر بهدنبال ساختن پایهای محکم برای دانش خود هستید و میخواهید در قلب تحولات این حوزه قرار بگیرید، ما را در این مسیر تازه همراهی کنید.
@sharifCERT
⭕️تحلیل تخصصی آسیبپذیری CVE-2024-21762 و نقش HTTP Request Smuggling در آن
مقدمه
در فوریه ۲۰۲۴، آسیبپذیری بحرانی با شناسه CVE-2024-21762 در Fortinet FortiOS کشف شد. این باگ در ماژول SSL VPN قراردارد و به مهاجم اجازه میدهد تا با بهره گیری از تکنیکهایی مانند HTTP Request Smuggling (HRS)، بدون احراز هویت کد دلخواه اجرا کند (RCE).این نوع آسیبپذیری از نوع Out-of-Bounds Write بوده است .
("نوشتن خارج از محدوده حافظه" یعنی وقتی برنامه میخواد اطلاعاتی رو توی یه قسمت از حافظه بنویسه، ولی اشتباه میکنه و اون اطلاعات رو توی جایی مینویسه که اصلاً نباید بنویسد مثل اینه که یه دفتر ۱۰ صفحهای داریم، ولی بری روی صفحه ۱۵ چیزی بنویسیم! اون صفحه مال شما نیست و ممکنه اطلاعات مهمی اونجا باشه.این کار میتونه باعث بشه برنامه خراب بشه یا حتی مهاجم بتونه کنترل کامل سیستم رو به دست بگیره.) امتیاز CVSS بین 9.6 تا 9.8 دارد که نشاندهنده شدت بسیار بالای آن است.
HTTP Request Smuggling چیست؟
HTTP Request Smuggling یا بهاختصار HRS، حملهای است که بر ناهماهنگی تفسیر درخواستهای HTTP توسط سرور frontendمثلاً پراکسی یا WAF) و backend (وبسرور) تکیه دارد. این حمله عمدتاً با استفاده از تضاد بین headerهای Content-Length وTransfer-Encoding انجام میشود.
در سناریوی معمول، مهاجم میتواند دو درخواست را در یک payload ترکیب کند. پراکسی ممکن است فقط درخواست اول را ببیند، در حالیکه backend درخواست دوم را نیز اجرا میکند. این شکاف در تفسیر باعث میشود تا مهاجم بتواند:
• درخواستهای مدیریتی تزریق کند.
• احراز هویت را دور بزند.
• دادههای حساس را نشت دهد.
ترکیب آسیبپذیری CVE-2024-21762 با HRS
در FortiOS، آسیبپذیری در ماژول SSL VPN به مهاجم اجازه میدهد تا با تزریق یک درخواست خاص، باعث نوشتن داده در خارج از محدوده حافظه مجاز شود. حال اگر این حمله با HTTP Request Smuggling ترکیب شود، مهاجم میتواند یک حمله pre-auth RCE (اجرای کد بدون نیاز به لاگین) انجام دهد.
سناریو حمله:
1. مهاجم یک درخواست HTTP خاص با header های متناقض (Transfer-Encoding: chunked) و(Content-Length)ارسال میکند.
2. قسمت دوم درخواست (smuggled) حاوی دستوری است که مستقیماً در سیستم مقصد اجرا میشود.
3.در FortiOS به دلیل نقص در مدیریت حافظه و بررسی صحیح این headerها، درخواست را پردازش کرده و کد مهاجم اجرا میشود.
ایمپکتهای آسیبپذیری
• RCE (Remote Code Execution): اجرای هر نوع دستور با سطح دسترسی بالا
• دور زدن احراز هویت: دسترسی به پنل مدیریت بدون لاگین
• نشت اطلاعات کاربران: مانند session token یا credentialها
• حرکت جانبی در شبکه (Lateral Movement)
• امکان chain کردن با سایر آسیبپذیریها در حملات پیچیده
نسخههای آسیبپذیر و پچها
Fortinet برای مقابله با این آسیبپذیری پچهایی ارائه کرده:
• FortiOS 7.4 → ارتقاء به 7.4.3
• FortiOS 7.2 → ارتقاء به 7.2.7
• FortiOS 7.0 → ارتقاء به 7.0.14
• FortiOS 6.4 → ارتقاء به 6.4.15
• FortiOS 6.2 → ارتقاء به 6.2.16
در صورت عدم امکان آپدیت، غیرفعال کردن SSL VPN موقتاً توصیه میشود.
راهکارهای کاهش ریسک
1. آپدیت سریع FortiOS به آخرین نسخه
@sharifCERT
مقدمه
در فوریه ۲۰۲۴، آسیبپذیری بحرانی با شناسه CVE-2024-21762 در Fortinet FortiOS کشف شد. این باگ در ماژول SSL VPN قراردارد و به مهاجم اجازه میدهد تا با بهره گیری از تکنیکهایی مانند HTTP Request Smuggling (HRS)، بدون احراز هویت کد دلخواه اجرا کند (RCE).این نوع آسیبپذیری از نوع Out-of-Bounds Write بوده است .
("نوشتن خارج از محدوده حافظه" یعنی وقتی برنامه میخواد اطلاعاتی رو توی یه قسمت از حافظه بنویسه، ولی اشتباه میکنه و اون اطلاعات رو توی جایی مینویسه که اصلاً نباید بنویسد مثل اینه که یه دفتر ۱۰ صفحهای داریم، ولی بری روی صفحه ۱۵ چیزی بنویسیم! اون صفحه مال شما نیست و ممکنه اطلاعات مهمی اونجا باشه.این کار میتونه باعث بشه برنامه خراب بشه یا حتی مهاجم بتونه کنترل کامل سیستم رو به دست بگیره.) امتیاز CVSS بین 9.6 تا 9.8 دارد که نشاندهنده شدت بسیار بالای آن است.
HTTP Request Smuggling چیست؟
HTTP Request Smuggling یا بهاختصار HRS، حملهای است که بر ناهماهنگی تفسیر درخواستهای HTTP توسط سرور frontendمثلاً پراکسی یا WAF) و backend (وبسرور) تکیه دارد. این حمله عمدتاً با استفاده از تضاد بین headerهای Content-Length وTransfer-Encoding انجام میشود.
در سناریوی معمول، مهاجم میتواند دو درخواست را در یک payload ترکیب کند. پراکسی ممکن است فقط درخواست اول را ببیند، در حالیکه backend درخواست دوم را نیز اجرا میکند. این شکاف در تفسیر باعث میشود تا مهاجم بتواند:
• درخواستهای مدیریتی تزریق کند.
• احراز هویت را دور بزند.
• دادههای حساس را نشت دهد.
ترکیب آسیبپذیری CVE-2024-21762 با HRS
در FortiOS، آسیبپذیری در ماژول SSL VPN به مهاجم اجازه میدهد تا با تزریق یک درخواست خاص، باعث نوشتن داده در خارج از محدوده حافظه مجاز شود. حال اگر این حمله با HTTP Request Smuggling ترکیب شود، مهاجم میتواند یک حمله pre-auth RCE (اجرای کد بدون نیاز به لاگین) انجام دهد.
سناریو حمله:
1. مهاجم یک درخواست HTTP خاص با header های متناقض (Transfer-Encoding: chunked) و(Content-Length)ارسال میکند.
2. قسمت دوم درخواست (smuggled) حاوی دستوری است که مستقیماً در سیستم مقصد اجرا میشود.
3.در FortiOS به دلیل نقص در مدیریت حافظه و بررسی صحیح این headerها، درخواست را پردازش کرده و کد مهاجم اجرا میشود.
ایمپکتهای آسیبپذیری
• RCE (Remote Code Execution): اجرای هر نوع دستور با سطح دسترسی بالا
• دور زدن احراز هویت: دسترسی به پنل مدیریت بدون لاگین
• نشت اطلاعات کاربران: مانند session token یا credentialها
• حرکت جانبی در شبکه (Lateral Movement)
• امکان chain کردن با سایر آسیبپذیریها در حملات پیچیده
نسخههای آسیبپذیر و پچها
Fortinet برای مقابله با این آسیبپذیری پچهایی ارائه کرده:
• FortiOS 7.4 → ارتقاء به 7.4.3
• FortiOS 7.2 → ارتقاء به 7.2.7
• FortiOS 7.0 → ارتقاء به 7.0.14
• FortiOS 6.4 → ارتقاء به 6.4.15
• FortiOS 6.2 → ارتقاء به 6.2.16
در صورت عدم امکان آپدیت، غیرفعال کردن SSL VPN موقتاً توصیه میشود.
راهکارهای کاهش ریسک
1. آپدیت سریع FortiOS به آخرین نسخه
@sharifCERT
⭕️بررسی جامع آسیب بحرانی CVE-2025-24985 در درایور FAST FAT سیستم عامل ویندوز
در مارس 2025 یک آسیب پذیر بحرانی در درایور Fast fat سیستم عامل ویندوز شناسایی شد که میتواند به مهاجمان اجازه دهد تا از راه دور کنترل کامل یک سیستم آسیب پذیر را در اختیار بگیرند. این نقص امنیتی با شناسه ی CVE-2025-24985 شناخته میشود و در دسته اسیب پذیری های بحرانی از نوع سرریز عدد صحیح (inreger overflow ) طبقه بندی شده است.
درایور FAST FAT بخشی از زیرساخت فایلسیستمهای ویندوز است که وظیفه پشتیبانی از فرمتهای FAT و FAT32 را دارد. این فرمتها همچنان در بسیاری از تجهیزات جانبی مانند فلشمموریها، کارتهای حافظه و دیسکهای مجازی (VHD) استفاده میشوند با وجود قدمت این فایلسیستمها، ویندوز برای سازگاری عقبرو (backward compatibility) از Fast FAT پشتیبانی میکند.
ماهیت آسیبپذیری:
این آسیبپذیری به دلیل عدم بررسی مناسب مقادیر عددی در عملیاتهای حافظه در کد درایور Fast FAT ایجاد میشود. بهطور خاص، هنگامی که سیستم عامل اقدام به پردازش یک فایل VHD مخرب میکند، مقدار دهی نادرست به متغیرهای عددی باعث میشود تا حافظهای کمتر از مقدار مورد انتظار تخصیص داده شود. این مسأله میتواند منجر به نوشتن اطلاعات بیشتر از ظرفیت تخصیص داده شده شود که در اصطلاح به آن سرریز عدد صحیح گفته میشود.
نتیجه این سرریز میتواند اجرای کد دلخواه مهاجم (Arbitrary Code Execution) با سطح دسترسی System باشد، که بالاترین سطح دسترسی در ویندوز محسوب میشود.
نحوه سوءاستفاده از آسیبپذیری:
مهاجمان با ایجاد یک فایل دیسک سخت مجازی (VHD) بهصورت خاص و بارگذاری آن توسط کاربر قربانی، میتوانند این آسیبپذیری را فعال کنند. بارگذاری میتواند بهصورت مستقیم (مثلاً باز کردن فایل از یک ایمیل یا حافظه جانبی) یا غیرمستقیم (از طریق اسکریپت یا بدافزار) صورت گیرد.
به دلیل گستردگی استفاده از فایلهای VHD در محیطهای سازمانی (مثلاً برای ماشینهای مجازی)، این برد حمله بسیار واقعی و خطرناک است.
محصولات آسیبپذیر
بر اساس اطلاعات منتشر شده، نسخههای زیر از ویندوز در برابر این آسیبپذیری آسیبپذیر هستند:
● Windows 10 (تمام نسخههای پشتیبانیشده)
● Windows 11
● Windows Server 2016
● Windows Server 2019
● Windows Server 2022
وضعیت فعلی تهدید (Active Exploitation):
مرکز امنیت سایبری این آسیبپذیری را در فهرست "آسیبپذیریهای مورد بهرهبرداری فعال" (Known Exploited Vulnerabilities) قرار داده است. این بدان معناست که مهاجمان در حال حاضر از این نقص برای انجام حملات واقعی استفاده میکنند.
برخی از حملات گزارششده از طریق ایمیلهای فیشینگ حاوی فایلهای VHD مخرب صورت گرفتهاند که پس از باز شدن توسط کاربر، باعث اجرای کد مخرب و نفوذ به سیستم میشوند.
راهکارهای مقابله و توصیههای امنیتی:
۱. نصب بهروزرسانیهای امنیتی
مایکروسافت در بهروزرسانی امنیتی مارس ۲۰۲۵، پچ لازم برای این آسیبپذیری را منتشر کرده است. کاربران باید در اسرع وقت سیستمعاملهای خود را بهروزرسانی کنند.
۲. پیشگیری از بارگذاری فایلهای مشکوک
کاربران باید از باز کردن فایلهای VHD ناشناس یا مشکوک خودداری کنند، بهویژه زمانی که این فایلها از طریق ایمیل، لینک یا حافظههای جانبی ارسال شده باشند.
۳. استفاده از ابزارهای EDR و آنتیویروس
ابزارهای تشخیص و پاسخ نقاط پایانی (EDR) و آنتیویروسهای بهروز میتوانند فعالیتهای مشکوک را شناسایی و مسدود کنند.
جمعبندی:
آسیبپذیری CVE-2025-24985 نشاندهنده اهمیت بهروزرسانی مداوم سیستمعامل و نظارت فعال بر فعالیتهای شبکه و کاربران است. با توجه به اینکه این آسیبپذیری بهطور فعال مورد سوءاستفاده قرار گرفته و میتواند کنترل کامل سیستم را در اختیار مهاجم قرار دهد، واکنش سریع و اتخاذ اقدامات پیشگیرانه برای محافظت از دادهها و زیرساختهای حیاتی، امری حیاتی است.
اطلاعات بیشتر:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24985
https://nvd.nist.gov/vuln/detail/CVE-2025-24985
https://www.vicarius.io/vsociety/posts/cve-2025-24985-integer-overflow-vulnerability-in-microsoft-windows-fast-fat-driver-mitigation-noscript
https://www.youtube.com/watch?v=4dBC4SVRrsA
@SharifCERT
در مارس 2025 یک آسیب پذیر بحرانی در درایور Fast fat سیستم عامل ویندوز شناسایی شد که میتواند به مهاجمان اجازه دهد تا از راه دور کنترل کامل یک سیستم آسیب پذیر را در اختیار بگیرند. این نقص امنیتی با شناسه ی CVE-2025-24985 شناخته میشود و در دسته اسیب پذیری های بحرانی از نوع سرریز عدد صحیح (inreger overflow ) طبقه بندی شده است.
درایور FAST FAT بخشی از زیرساخت فایلسیستمهای ویندوز است که وظیفه پشتیبانی از فرمتهای FAT و FAT32 را دارد. این فرمتها همچنان در بسیاری از تجهیزات جانبی مانند فلشمموریها، کارتهای حافظه و دیسکهای مجازی (VHD) استفاده میشوند با وجود قدمت این فایلسیستمها، ویندوز برای سازگاری عقبرو (backward compatibility) از Fast FAT پشتیبانی میکند.
ماهیت آسیبپذیری:
این آسیبپذیری به دلیل عدم بررسی مناسب مقادیر عددی در عملیاتهای حافظه در کد درایور Fast FAT ایجاد میشود. بهطور خاص، هنگامی که سیستم عامل اقدام به پردازش یک فایل VHD مخرب میکند، مقدار دهی نادرست به متغیرهای عددی باعث میشود تا حافظهای کمتر از مقدار مورد انتظار تخصیص داده شود. این مسأله میتواند منجر به نوشتن اطلاعات بیشتر از ظرفیت تخصیص داده شده شود که در اصطلاح به آن سرریز عدد صحیح گفته میشود.
نتیجه این سرریز میتواند اجرای کد دلخواه مهاجم (Arbitrary Code Execution) با سطح دسترسی System باشد، که بالاترین سطح دسترسی در ویندوز محسوب میشود.
نحوه سوءاستفاده از آسیبپذیری:
مهاجمان با ایجاد یک فایل دیسک سخت مجازی (VHD) بهصورت خاص و بارگذاری آن توسط کاربر قربانی، میتوانند این آسیبپذیری را فعال کنند. بارگذاری میتواند بهصورت مستقیم (مثلاً باز کردن فایل از یک ایمیل یا حافظه جانبی) یا غیرمستقیم (از طریق اسکریپت یا بدافزار) صورت گیرد.
به دلیل گستردگی استفاده از فایلهای VHD در محیطهای سازمانی (مثلاً برای ماشینهای مجازی)، این برد حمله بسیار واقعی و خطرناک است.
محصولات آسیبپذیر
بر اساس اطلاعات منتشر شده، نسخههای زیر از ویندوز در برابر این آسیبپذیری آسیبپذیر هستند:
● Windows 10 (تمام نسخههای پشتیبانیشده)
● Windows 11
● Windows Server 2016
● Windows Server 2019
● Windows Server 2022
وضعیت فعلی تهدید (Active Exploitation):
مرکز امنیت سایبری این آسیبپذیری را در فهرست "آسیبپذیریهای مورد بهرهبرداری فعال" (Known Exploited Vulnerabilities) قرار داده است. این بدان معناست که مهاجمان در حال حاضر از این نقص برای انجام حملات واقعی استفاده میکنند.
برخی از حملات گزارششده از طریق ایمیلهای فیشینگ حاوی فایلهای VHD مخرب صورت گرفتهاند که پس از باز شدن توسط کاربر، باعث اجرای کد مخرب و نفوذ به سیستم میشوند.
راهکارهای مقابله و توصیههای امنیتی:
۱. نصب بهروزرسانیهای امنیتی
مایکروسافت در بهروزرسانی امنیتی مارس ۲۰۲۵، پچ لازم برای این آسیبپذیری را منتشر کرده است. کاربران باید در اسرع وقت سیستمعاملهای خود را بهروزرسانی کنند.
۲. پیشگیری از بارگذاری فایلهای مشکوک
کاربران باید از باز کردن فایلهای VHD ناشناس یا مشکوک خودداری کنند، بهویژه زمانی که این فایلها از طریق ایمیل، لینک یا حافظههای جانبی ارسال شده باشند.
۳. استفاده از ابزارهای EDR و آنتیویروس
ابزارهای تشخیص و پاسخ نقاط پایانی (EDR) و آنتیویروسهای بهروز میتوانند فعالیتهای مشکوک را شناسایی و مسدود کنند.
جمعبندی:
آسیبپذیری CVE-2025-24985 نشاندهنده اهمیت بهروزرسانی مداوم سیستمعامل و نظارت فعال بر فعالیتهای شبکه و کاربران است. با توجه به اینکه این آسیبپذیری بهطور فعال مورد سوءاستفاده قرار گرفته و میتواند کنترل کامل سیستم را در اختیار مهاجم قرار دهد، واکنش سریع و اتخاذ اقدامات پیشگیرانه برای محافظت از دادهها و زیرساختهای حیاتی، امری حیاتی است.
اطلاعات بیشتر:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24985
https://nvd.nist.gov/vuln/detail/CVE-2025-24985
https://www.vicarius.io/vsociety/posts/cve-2025-24985-integer-overflow-vulnerability-in-microsoft-windows-fast-fat-driver-mitigation-noscript
https://www.youtube.com/watch?v=4dBC4SVRrsA
@SharifCERT
www.vicarius.io
CVE-2025-24985 - Integer Overflow Vulnerability in Microsoft Windows Fast FAT Driver - Mitigation Script - vsociety
⭕️ آسیبپذیری CVE-2025-48539 که در Bluetooth Stack اندروید کشف شده که از طریق Adjacent WiFi ( وای فای مجاور - بدون نیاز به تعامل کاربر) قابل دسترسی است استفاده میشود.
با استفاده از زنجیرههای تامین امتیاز (Privilege Escalation Chains)، مهاجم میتواند به صورت ریموت دسترسی کامل به دستگاه را به دست آورد.
https://osv.dev/vulnerability/ASB-A-406785684
@SharifCERT
با استفاده از زنجیرههای تامین امتیاز (Privilege Escalation Chains)، مهاجم میتواند به صورت ریموت دسترسی کامل به دستگاه را به دست آورد.
https://osv.dev/vulnerability/ASB-A-406785684
@SharifCERT
osv.dev
OSV - Open Source Vulnerabilities
Comprehensive vulnerability database for your open source projects and dependencies.
🔔 مرکز آپا شریف برگزار میکند:
💡 دوره نتورکپلاس۱
💥 آشنایی با اصول شبکههای کامپیوتری
📜 همراه با مدرک معتبر
⏳ مدت زمان کل تدریس: ١۵ ساعت
📆 زمانهای برگزاری دوره:
• پنجشنبهها ساعت ۹ تا ۱۲
• شروع، از پنجشنبه ۲۷ آذر ۱۴۰۴
🔹 هزینه ثبت نام:
ثبت نام آزاد: یک میلیون تومان
دانشجویان دانشگاه شریف: ۲۵۰ هزار تومان
دانشجویان دیگر دانشگاهها: ۵۰۰ هزار تومان
📍برگزاری در اسکایروم
📌برای ثبت نام از لینک زیر اقدام نمایید:
https://survey.porsline.ir/s/rzPbSljv
❇️ برای کسب اطلاعات بیشتر میتوانید به آیدی زیر مراجعه فرمایید:
@SharifCERT_admin
🆔 @SharifCERT
💡 دوره نتورکپلاس۱
💥 آشنایی با اصول شبکههای کامپیوتری
📜 همراه با مدرک معتبر
⏳ مدت زمان کل تدریس: ١۵ ساعت
📆 زمانهای برگزاری دوره:
• پنجشنبهها ساعت ۹ تا ۱۲
• شروع، از پنجشنبه ۲۷ آذر ۱۴۰۴
🔹 هزینه ثبت نام:
ثبت نام آزاد: یک میلیون تومان
دانشجویان دانشگاه شریف: ۲۵۰ هزار تومان
دانشجویان دیگر دانشگاهها: ۵۰۰ هزار تومان
📍برگزاری در اسکایروم
📌برای ثبت نام از لینک زیر اقدام نمایید:
https://survey.porsline.ir/s/rzPbSljv
❇️ برای کسب اطلاعات بیشتر میتوانید به آیدی زیر مراجعه فرمایید:
@SharifCERT_admin
🆔 @SharifCERT
Forwarded from شاخه دانشجویی انجمن رمز شریف
🎙سلسله سخنرانیهای شاخه دانشجویی انجمن رمز دانشگاه صنعتی شریف
✨ Block Cipher Cryptanalysis
حملات رمزهای قالبی
👤 سخنران مهمان:
مهندس عطیه میرزائی
دانشجو دکتری مهندسی برق دانشگاه صنعتی شریف
در این رویداد با حملات رمزهای قالبی آشنا میشویم. رمزهای قالبی پایهی امنیت بسیاری از پروتکلهای رمزنگاری به شمار میروند؛ بنابراین، نیازمند بررسیهای دقیق برای ارزیابی مقاومت آنها در برابر حملات متنوع هستند. از این رو در این ارائه ابتدا مفاهیم پایهی تحلیل رمزهای قالبی بررسی می شود؛ سپس، انواع حملات و شباهتهای ساختاری آنها، ابزارهای بهینهسازی و جایگاهشان در خودکارسازی جستجوی حملات، کاربردهای هوش مصنوعی در تحلیل رمزهای قالبی و افقهای پیش روی این حوزه تشریح میگردد.
این ارائه پیشنیاز خاصی ندارد.
🗓 سهشنبه ۱۴۰۴/۱۰/۲
⏰ ۱۶ الی ۱۷:۳۰
🔗 برای حضور از طریق لینک زیر و به عنوان مهمان وارد شوید:
لینک حضور در جلسه
📞 برای اطلاعات بیشتر:
🆔 @Farnoosh14
📱صفحه لینکدین شاخه دانشجویی انجمن رمز ایران در دانشگاه صنعتی شریف
📱کانال تلگرام شاخه دانشجویی انجمن رمز ایران در دانشگاه صنعتی شریف
✨ Block Cipher Cryptanalysis
حملات رمزهای قالبی
👤 سخنران مهمان:
مهندس عطیه میرزائی
دانشجو دکتری مهندسی برق دانشگاه صنعتی شریف
در این رویداد با حملات رمزهای قالبی آشنا میشویم. رمزهای قالبی پایهی امنیت بسیاری از پروتکلهای رمزنگاری به شمار میروند؛ بنابراین، نیازمند بررسیهای دقیق برای ارزیابی مقاومت آنها در برابر حملات متنوع هستند. از این رو در این ارائه ابتدا مفاهیم پایهی تحلیل رمزهای قالبی بررسی می شود؛ سپس، انواع حملات و شباهتهای ساختاری آنها، ابزارهای بهینهسازی و جایگاهشان در خودکارسازی جستجوی حملات، کاربردهای هوش مصنوعی در تحلیل رمزهای قالبی و افقهای پیش روی این حوزه تشریح میگردد.
این ارائه پیشنیاز خاصی ندارد.
🗓 سهشنبه ۱۴۰۴/۱۰/۲
⏰ ۱۶ الی ۱۷:۳۰
🔗 برای حضور از طریق لینک زیر و به عنوان مهمان وارد شوید:
لینک حضور در جلسه
📞 برای اطلاعات بیشتر:
🆔 @Farnoosh14
📱صفحه لینکدین شاخه دانشجویی انجمن رمز ایران در دانشگاه صنعتی شریف
📱کانال تلگرام شاخه دانشجویی انجمن رمز ایران در دانشگاه صنعتی شریف
📣 اطلاعرسانی | شناسایی ابزارهای فیشینگ پیشرفته جدید با استفاده از هوش مصنوعی و روشهای دور زدن MFA برای سرقت گسترده اعتبارنامهها
📅 تاریخ انتشار: 12 دسامبر 2025
🔴 خلاصه خبر:
محققان امنیت سایبری چهار کیت جدید فیشینگ به نامهای BlackForce، GhostFrame، InboxPrime AI و Spiderman را شناسایی کردهاند که از روشهای پیشرفته برای سرقت گسترده اعتبارنامه کاربران استفاده میکنند. این ابزارها با ترکیب تکنیکهای دورزدن تأیید هویت چندعاملی (MFA) و در برخی موارد استفاده از هوش مصنوعی برای اتوماسیون حملات ایمیلی، قابلیت اجرای حملات فیشینگ در مقیاس بالا را فراهم میکنند.
🔴 متن کامل خبر:
محققان امنیت سایبری چهار کیت جدید فیشینگ با نامهای BlackForce، GhostFrame، InboxPrime AI و Spiderman را شناسایی کردهاند که قادر به سرقت اعتبارنامهها در مقیاس گسترده هستند.
🔹(بریکفورس) BlackForce که برای اولین بار در آگوست ۲۰۲۵ شناسایی شد، برای سرقت اعتبارنامهها و اجرای حملات Man-in-the-Browser (MitB) طراحی شده و میتواند رمزهای یکبار مصرف (OTP) و MFA را دور بزند. این کیت در فرومهای تلگرام با قیمت بین ۲۰۰ تا ۳۰۰ یورو به فروش میرسد.
براساس گزارش محققان Zscaler ThreatLabz، این ابزار برای جعل بیش از ۱۱ برند، از جملهDisney ، Netflix، DHL و UPS استفاده شده و همچنان در مرحله توسعه فعال قرار دارد. این کیت شامل چندین تکنیک دورزدن امنیتی است و دارای فهرست مسدودسازی برای فیلتر کردن فروشندگان امنیتی، وبکراولرها و اسکنرهاست. صفحات فیشینگ مرتبط با BlackForce از فایلهای جاوااسکریپت با هشهای خاص استفاده میکنند تا مرورگر قربانی همیشه جدیدترین نسخه اسکریپت مخرب را بارگیری کند.
در حمله معمولی با این کیت، قربانیان با کلیک روی لینک به صفحه فیشینگ هدایت میشوند، سپس یک بررسی سمت سرور، کراولرها و باتها را فیلتر میکند و صفحهای طراحیشده برای تقلید از سایت قانونی را نشان میدهد. پس از وارد کردن اعتبارنامه، دادهها به یک ربات تلگرام و پنل C2 ارسال میشود. هنگامی که مهاجم سعی میکند با اعتبارنامههای سرقتشده وارد سایت قانونی شود، MFA فعال میشود و تکنیک MitB یک صفحه MFA جعلی را به مرورگر قربانی نمایش میدهد. اگر قربانی کد MFA را وارد کند، جمعآوری شده و برای دسترسی غیرمجاز توسط مهاجم استفاده میشود. پس از پایان حمله، قربانی به صفحه اصلی سایت قانونی بازگردانده میشود تا شواهد حمله مخفی بماند.
🔹کیت فیشینگ GhostFrame از سپتامبر ۲۰۲۵ شناخته شده و هسته آن یک فایل HTML ساده است که رفتار مخرب خود را در iframe مخفی پنهان میکند و قربانیان را به صفحه ورود فیشینگ Microsoft 365 یا Google هدایت میکند. طراحی iframe اجازه میدهد محتوای فیشینگ بدون تغییر صفحه اصلی به راحتی بهروزرسانی شود و منطقه هدف تغییر کند.
حملات GhostFrame با ایمیلهای فیشینگ معمولی آغاز میشوند که بهظاهر درباره قراردادهای کاری، فاکتورها و درخواستهای بازنشانی رمز هستند، اما کاربران را به صفحه جعلی هدایت میکنند. این کیت از تکنیکهای ضدتحلیل و ضددیباگ استفاده میکند و هر بار یک زیر دامنه تصادفی تولید میکند تا شناسایی سختتر شود.
InboxPrime AI و اتوماسیون حملات ایمیلی
کیت InboxPrime AI از هوش مصنوعی برای اتوماسیون کمپینهای ایمیلی انبوه استفاده میکند. این کیت در یک کانال تلگرام ۱۳۰۰ عضو به صورت MaaS (Malware-as-a-Service) با هزینه ۱۰۰۰ دلار ارائه میشود و دسترسی کامل به کد منبع را فراهم میکند.
🔹(اینباکس پرایم) InboxPrime AI رفتار واقعی ایمیل انسانی را تقلید میکند و از رابط وب Gmail برای عبور از فیلترهای معمول استفاده میکند. رابط کاربری آن مشابه ابزارهای بازاریابی ایمیلی حرفهای است و امکان تولید ایمیلهای کامل با خطوط موضوع و محتوای شبیه به ایمیل واقعی را فراهم میآورد. این ابزار همچنین قابلیتهای پیشرفتهای مثل تشخیص اسپم، تغییر هویت فرستنده و تولید قالبهای قابل استفاده مجدد را دارد.
🔹کیت Spiderman به مهاجم امکان میدهد مشتریان دهها بانک و ارائهدهنده خدمات مالی اروپایی مانند Blau، CaixaBank، Comdirect، Commerzbank، Deutsche Bank، ING، O2، Volksbank، Klarna و PayPal را هدف قرار دهد. این کیت یک چارچوب فیشینگ کامل است که صفحات ورود بانکی را شبیهسازی میکند و امکان اجرای کمپینهای فیشینگ، جمعآوری اعتبارنامهها و مدیریت دادههای نشست سرقتشده را به صورت زمان واقعی فراهم میآورد.
🔴 منابع:
[1] The Hacker News, New Advanced Phishing Kits Use AI and MFA Bypass Tactics to Steal Credentials at Scale, The Hacker News, 2025.
[2] WebProNews, AI Phishing Kits Evolve: Bypassing MFA and Scaling Cyber Threats, WebProNews, 2025.
https://news.1rj.ru/str/SharifCERT
📅 تاریخ انتشار: 12 دسامبر 2025
🔴 خلاصه خبر:
محققان امنیت سایبری چهار کیت جدید فیشینگ به نامهای BlackForce، GhostFrame، InboxPrime AI و Spiderman را شناسایی کردهاند که از روشهای پیشرفته برای سرقت گسترده اعتبارنامه کاربران استفاده میکنند. این ابزارها با ترکیب تکنیکهای دورزدن تأیید هویت چندعاملی (MFA) و در برخی موارد استفاده از هوش مصنوعی برای اتوماسیون حملات ایمیلی، قابلیت اجرای حملات فیشینگ در مقیاس بالا را فراهم میکنند.
🔴 متن کامل خبر:
محققان امنیت سایبری چهار کیت جدید فیشینگ با نامهای BlackForce، GhostFrame، InboxPrime AI و Spiderman را شناسایی کردهاند که قادر به سرقت اعتبارنامهها در مقیاس گسترده هستند.
🔹(بریکفورس) BlackForce که برای اولین بار در آگوست ۲۰۲۵ شناسایی شد، برای سرقت اعتبارنامهها و اجرای حملات Man-in-the-Browser (MitB) طراحی شده و میتواند رمزهای یکبار مصرف (OTP) و MFA را دور بزند. این کیت در فرومهای تلگرام با قیمت بین ۲۰۰ تا ۳۰۰ یورو به فروش میرسد.
براساس گزارش محققان Zscaler ThreatLabz، این ابزار برای جعل بیش از ۱۱ برند، از جملهDisney ، Netflix، DHL و UPS استفاده شده و همچنان در مرحله توسعه فعال قرار دارد. این کیت شامل چندین تکنیک دورزدن امنیتی است و دارای فهرست مسدودسازی برای فیلتر کردن فروشندگان امنیتی، وبکراولرها و اسکنرهاست. صفحات فیشینگ مرتبط با BlackForce از فایلهای جاوااسکریپت با هشهای خاص استفاده میکنند تا مرورگر قربانی همیشه جدیدترین نسخه اسکریپت مخرب را بارگیری کند.
در حمله معمولی با این کیت، قربانیان با کلیک روی لینک به صفحه فیشینگ هدایت میشوند، سپس یک بررسی سمت سرور، کراولرها و باتها را فیلتر میکند و صفحهای طراحیشده برای تقلید از سایت قانونی را نشان میدهد. پس از وارد کردن اعتبارنامه، دادهها به یک ربات تلگرام و پنل C2 ارسال میشود. هنگامی که مهاجم سعی میکند با اعتبارنامههای سرقتشده وارد سایت قانونی شود، MFA فعال میشود و تکنیک MitB یک صفحه MFA جعلی را به مرورگر قربانی نمایش میدهد. اگر قربانی کد MFA را وارد کند، جمعآوری شده و برای دسترسی غیرمجاز توسط مهاجم استفاده میشود. پس از پایان حمله، قربانی به صفحه اصلی سایت قانونی بازگردانده میشود تا شواهد حمله مخفی بماند.
🔹کیت فیشینگ GhostFrame از سپتامبر ۲۰۲۵ شناخته شده و هسته آن یک فایل HTML ساده است که رفتار مخرب خود را در iframe مخفی پنهان میکند و قربانیان را به صفحه ورود فیشینگ Microsoft 365 یا Google هدایت میکند. طراحی iframe اجازه میدهد محتوای فیشینگ بدون تغییر صفحه اصلی به راحتی بهروزرسانی شود و منطقه هدف تغییر کند.
حملات GhostFrame با ایمیلهای فیشینگ معمولی آغاز میشوند که بهظاهر درباره قراردادهای کاری، فاکتورها و درخواستهای بازنشانی رمز هستند، اما کاربران را به صفحه جعلی هدایت میکنند. این کیت از تکنیکهای ضدتحلیل و ضددیباگ استفاده میکند و هر بار یک زیر دامنه تصادفی تولید میکند تا شناسایی سختتر شود.
InboxPrime AI و اتوماسیون حملات ایمیلی
کیت InboxPrime AI از هوش مصنوعی برای اتوماسیون کمپینهای ایمیلی انبوه استفاده میکند. این کیت در یک کانال تلگرام ۱۳۰۰ عضو به صورت MaaS (Malware-as-a-Service) با هزینه ۱۰۰۰ دلار ارائه میشود و دسترسی کامل به کد منبع را فراهم میکند.
🔹(اینباکس پرایم) InboxPrime AI رفتار واقعی ایمیل انسانی را تقلید میکند و از رابط وب Gmail برای عبور از فیلترهای معمول استفاده میکند. رابط کاربری آن مشابه ابزارهای بازاریابی ایمیلی حرفهای است و امکان تولید ایمیلهای کامل با خطوط موضوع و محتوای شبیه به ایمیل واقعی را فراهم میآورد. این ابزار همچنین قابلیتهای پیشرفتهای مثل تشخیص اسپم، تغییر هویت فرستنده و تولید قالبهای قابل استفاده مجدد را دارد.
🔹کیت Spiderman به مهاجم امکان میدهد مشتریان دهها بانک و ارائهدهنده خدمات مالی اروپایی مانند Blau، CaixaBank، Comdirect، Commerzbank، Deutsche Bank، ING، O2، Volksbank، Klarna و PayPal را هدف قرار دهد. این کیت یک چارچوب فیشینگ کامل است که صفحات ورود بانکی را شبیهسازی میکند و امکان اجرای کمپینهای فیشینگ، جمعآوری اعتبارنامهها و مدیریت دادههای نشست سرقتشده را به صورت زمان واقعی فراهم میآورد.
🔴 منابع:
[1] The Hacker News, New Advanced Phishing Kits Use AI and MFA Bypass Tactics to Steal Credentials at Scale, The Hacker News, 2025.
[2] WebProNews, AI Phishing Kits Evolve: Bypassing MFA and Scaling Cyber Threats, WebProNews, 2025.
https://news.1rj.ru/str/SharifCERT
Telegram
APA Sharif
کانال مرکز تخصصی آپا دانشگاه صنعتی شریف
🔔 مرکز آپا دانشگاه صنعتی شریف برگزار میکند:
💡 دوره SANS SEC 542
💥 دوره تست نفوذ وب
📜 همراه با مدرک معتبر
⏳ مدت زمان کل تدریس: ۳۶ ساعت
📆 زمانهای برگزاری دوره:
• سه شنبه ها ساعت ۱۶ تا ۲۰
• شروع، از سه شنبه ۲۳ دی ۱۴۰۴
🔹 هزینه ثبت نام:
دانشجویان دانشگاه صنعتی شریف: ۶۰۰ هزار تومان
دانشجویان دیگر دانشگاهها: ۱ میلیون و ۲۰۰ هزار تومان
همکاران سایر مراکز آپا: ۱ میلیون و ۸۰۰ هزار تومان
ثبت نام آزاد: ۲ میلیون و ۴۰۰ هزار تومان
📍برگزاری در اسکایروم (مجازی)
📌برای ثبت نام از طریق لینک زیر اقدام نمایید:
https://pay.sharif.edu/form2/3/160533
🌟 توجه فرمایید، برای لحاظ نمودن تخفیف، به صورت دستی مبلغ پرداختی را به اعداد ذکر شده تغییر دهید و پس از پرداخت، مدرک تخفیف را به اکانت تلگرامی @SharifCERT_admin بفرستید.
❇️ برای کسب اطلاعات بیشتر نیز میتوانید به آیدی تلگرامی ذیل مراجعه فرمایید:
@SharifCERT_admin
به کانال تلگرامی مرکز آپا شریف بپیوندید:
🆔 @SharifCERT
💡 دوره SANS SEC 542
💥 دوره تست نفوذ وب
📜 همراه با مدرک معتبر
⏳ مدت زمان کل تدریس: ۳۶ ساعت
📆 زمانهای برگزاری دوره:
• سه شنبه ها ساعت ۱۶ تا ۲۰
• شروع، از سه شنبه ۲۳ دی ۱۴۰۴
🔹 هزینه ثبت نام:
دانشجویان دانشگاه صنعتی شریف: ۶۰۰ هزار تومان
دانشجویان دیگر دانشگاهها: ۱ میلیون و ۲۰۰ هزار تومان
همکاران سایر مراکز آپا: ۱ میلیون و ۸۰۰ هزار تومان
ثبت نام آزاد: ۲ میلیون و ۴۰۰ هزار تومان
📍برگزاری در اسکایروم (مجازی)
📌برای ثبت نام از طریق لینک زیر اقدام نمایید:
https://pay.sharif.edu/form2/3/160533
🌟 توجه فرمایید، برای لحاظ نمودن تخفیف، به صورت دستی مبلغ پرداختی را به اعداد ذکر شده تغییر دهید و پس از پرداخت، مدرک تخفیف را به اکانت تلگرامی @SharifCERT_admin بفرستید.
❇️ برای کسب اطلاعات بیشتر نیز میتوانید به آیدی تلگرامی ذیل مراجعه فرمایید:
@SharifCERT_admin
به کانال تلگرامی مرکز آپا شریف بپیوندید:
🆔 @SharifCERT