مجموعه ای ازابزارهای امنیتی کانتینر
veinmind-tools
توسط فناوری chaitin که یک مجموعه ابزار امنیتی کانتینری مبتنی بر veinmind-sdk است، توسعه یافته است.
veinmind-runner
یک میزبان امنیتی کانتینری است که توسط Chaitin Technology توسعه یافته است.
با پیشینه تجربه غنی تحقیق و توسعه، تیم chaitin یک سیستم پلاگین را در veinmind-sdk طراحی کرد. با پشتیبانی از این سیستم افزونه، فقط باید با API ارائه شده توسط veinmind-sdk تماس بگیرید تا به طور خودکار افزونه هایی مطابق با مشخصات استاندارد تولید کنید. (برای مثالهای کد خاص، به مثال مراجعه کنید) بهعنوان یک پلتفرم افزونه، veinmind-runner بهطور خودکار افزونههایی را که با مشخصات مطابقت دارند اسکن میکند و اطلاعات تصویری را که باید اسکن شود به افزونههای مربوطه ارسال میکند.
فیچرها:
اسکن و ثبت خودکار افزونه ها در دایرکتوری فعلی (از جمله زیر شاخه ها)
عملکرد یکپارچه پلاگین های پیاده سازی شده به زبان های مختلف
افزونهها میتوانند با runner ارتباط برقرار کنند، مانند گزارش رویدادها برای هشدار و غیره.
veinmind-malicious
یک ابزار اسکن فایل های مخرب برای تصاویر است که توسط Chaitin Technology توسعه یافته است
فیچرها :
اسکن سریع تصاویر برای فایلهای مخرب (ClamAV و VirusTotal پشتیبانی میشوند)
از زمان اجرای کانتینر مانند Docker / containerd پشتیبانی کنید
از انواع مختلف خروجی مانند JSON / CSV / HTML پشتیبانی کنید
veinmind-weakpass
یک ابزار اسکن رمز عبور ضعیف برای تصاویر است که توسط Chaitin Technology توسعه یافته است
فیچرها
رمز عبور ضعیف موجود در تصویر را به سرعت اسکن کنید
پشتیبانی از تعریف ماکرو رمز عبور ضعیف
پشتیبانی از اسکن همزمان برای رمزهای عبور ضعیف
پشتیبانی از نام کاربری و فرهنگ لغت سفارشی
از Containerd و Dockerd در زمان اجرای کانتینر پشتیبانی کنید
veinmind-sensitive
یک ابزار اسکن اطلاعات حساس به تصویر است که توسط Chaitin Technology توسعه یافته است
فیچرها :
اسکن سریع تصاویر برای اطلاعات حساس
از قوانین اسکن اطلاعات حساس سفارشی پشتیبانی کنید
از Containerd و Dockerd در زمان اجرای کانتینر پشتیبانی کنید
veinmind-backdoor
یک ابزار اسکن درب پشتی برای تصویر است که توسط Chaitin Technology توسعه یافته است
فیچرها :
به سرعت درهای پشتی را در تصویر اسکن کنید
پشتیبانی از نوشتن اسکریپت های تشخیص درپشتی در حالت پلاگین
از اسکن درب پشتی تصویر Containerd/Dockerd پشتیبانی کنید
veinmind-history
یک ابزار اسکن فرمان تاریخچه ناهنجاری تصویر است که توسط Chaitin Technology توسعه یافته است
فیچرها :
به سرعت تصویر را برای دستورات تاریخچه غیرعادی اسکن کنید
از قوانین تشخیص دستورات تاریخی سفارشی پشتیبانی کنید
از دو Container Runtime Container و Dockerd پشتیبانی کنید
veinmind-asset
عمدتا برای اسکن اطلاعات دارایی داخلی تصاویر و ظروف استفاده می شود
فیچرها
اطلاعات سیستم عامل تصویر را اسکن کنید
اطلاعات بسته های نصب شده در تصویر را اسکن کنید
کتابخانه های نصب شده توسط برنامه را در تصویر اسکن کنید
نظرت درمورد این پست چیه؟
#tools
@TryHackBox
veinmind-tools
توسط فناوری chaitin که یک مجموعه ابزار امنیتی کانتینری مبتنی بر veinmind-sdk است، توسعه یافته است.
veinmind-runner
یک میزبان امنیتی کانتینری است که توسط Chaitin Technology توسعه یافته است.
با پیشینه تجربه غنی تحقیق و توسعه، تیم chaitin یک سیستم پلاگین را در veinmind-sdk طراحی کرد. با پشتیبانی از این سیستم افزونه، فقط باید با API ارائه شده توسط veinmind-sdk تماس بگیرید تا به طور خودکار افزونه هایی مطابق با مشخصات استاندارد تولید کنید. (برای مثالهای کد خاص، به مثال مراجعه کنید) بهعنوان یک پلتفرم افزونه، veinmind-runner بهطور خودکار افزونههایی را که با مشخصات مطابقت دارند اسکن میکند و اطلاعات تصویری را که باید اسکن شود به افزونههای مربوطه ارسال میکند.
فیچرها:
اسکن و ثبت خودکار افزونه ها در دایرکتوری فعلی (از جمله زیر شاخه ها)
عملکرد یکپارچه پلاگین های پیاده سازی شده به زبان های مختلف
افزونهها میتوانند با runner ارتباط برقرار کنند، مانند گزارش رویدادها برای هشدار و غیره.
veinmind-malicious
یک ابزار اسکن فایل های مخرب برای تصاویر است که توسط Chaitin Technology توسعه یافته است
فیچرها :
اسکن سریع تصاویر برای فایلهای مخرب (ClamAV و VirusTotal پشتیبانی میشوند)
از زمان اجرای کانتینر مانند Docker / containerd پشتیبانی کنید
از انواع مختلف خروجی مانند JSON / CSV / HTML پشتیبانی کنید
veinmind-weakpass
یک ابزار اسکن رمز عبور ضعیف برای تصاویر است که توسط Chaitin Technology توسعه یافته است
فیچرها
رمز عبور ضعیف موجود در تصویر را به سرعت اسکن کنید
پشتیبانی از تعریف ماکرو رمز عبور ضعیف
پشتیبانی از اسکن همزمان برای رمزهای عبور ضعیف
پشتیبانی از نام کاربری و فرهنگ لغت سفارشی
از Containerd و Dockerd در زمان اجرای کانتینر پشتیبانی کنید
veinmind-sensitive
یک ابزار اسکن اطلاعات حساس به تصویر است که توسط Chaitin Technology توسعه یافته است
فیچرها :
اسکن سریع تصاویر برای اطلاعات حساس
از قوانین اسکن اطلاعات حساس سفارشی پشتیبانی کنید
از Containerd و Dockerd در زمان اجرای کانتینر پشتیبانی کنید
veinmind-backdoor
یک ابزار اسکن درب پشتی برای تصویر است که توسط Chaitin Technology توسعه یافته است
فیچرها :
به سرعت درهای پشتی را در تصویر اسکن کنید
پشتیبانی از نوشتن اسکریپت های تشخیص درپشتی در حالت پلاگین
از اسکن درب پشتی تصویر Containerd/Dockerd پشتیبانی کنید
veinmind-history
یک ابزار اسکن فرمان تاریخچه ناهنجاری تصویر است که توسط Chaitin Technology توسعه یافته است
فیچرها :
به سرعت تصویر را برای دستورات تاریخچه غیرعادی اسکن کنید
از قوانین تشخیص دستورات تاریخی سفارشی پشتیبانی کنید
از دو Container Runtime Container و Dockerd پشتیبانی کنید
veinmind-asset
عمدتا برای اسکن اطلاعات دارایی داخلی تصاویر و ظروف استفاده می شود
فیچرها
اطلاعات سیستم عامل تصویر را اسکن کنید
اطلاعات بسته های نصب شده در تصویر را اسکن کنید
کتابخانه های نصب شده توسط برنامه را در تصویر اسکن کنید
نظرت درمورد این پست چیه؟
#tools
@TryHackBox
GitHub
veinmind-tools/README.en.md at master · chaitin/veinmind-tools
veinmind-tools 是由长亭科技自研,基于 veinmind-sdk 打造的容器安全工具集 - veinmind-tools/README.en.md at master · chaitin/veinmind-tools
👍2
Attack Frameworks: MITRE ATT&CK
یکی از چارچوبهای حمله که در سالهای اخیر ظهور کرده است، مدل MITER ATT&CK است که مراحل دقیق بسیاری از حملات رایج، از جمله مهندسی اجتماعی را توصیف میکند.
برخی از مراحل و دسته بندی ها عبارتند از
شناسایی
- جستجو برای حساب آنلاین و حضور در رسانه های اجتماعی که ممکن است نشان دهنده اهداف مفید باشد
- جستجوی آنلاین برای اعتبارنامه هایی که ممکن است مفید باشند (احتمالاً از نقض های قبلی یا قرار گرفتن در معرض تصادفی)
- فیشینگ برای اطلاعات (شبیه به نقض توییتر در سال 2020)
- به دنبال روابط تجاری و سایر اطلاعات مرتبط برای ایجاد زمینه حمله باورپذیر
توسعه منابع
- ایجاد پروفایلها و حسابهای نادرست یا حتی کل وبسایتها که میتوانند در هنگام حملات مهندسی اجتماعی مورد استفاده قرار گیرند.
دسترسی اولیه
- ارسال ایمیل های فیشینگ هدفمند با لینک های مخرب یا بدافزار
- به خطر انداختن حساب ها از طریق ربودن اعتبار یا روش های دیگر
این چارچوب اغلب بهروزرسانی میشود و هر آزمایشکننده قلم باید از الگوهای حمله مدل برای کمک به تلاشهای بهرهبرداری هدفمند استفاده کند.
#SE
@TryHackBox
یکی از چارچوبهای حمله که در سالهای اخیر ظهور کرده است، مدل MITER ATT&CK است که مراحل دقیق بسیاری از حملات رایج، از جمله مهندسی اجتماعی را توصیف میکند.
برخی از مراحل و دسته بندی ها عبارتند از
شناسایی
- جستجو برای حساب آنلاین و حضور در رسانه های اجتماعی که ممکن است نشان دهنده اهداف مفید باشد
- جستجوی آنلاین برای اعتبارنامه هایی که ممکن است مفید باشند (احتمالاً از نقض های قبلی یا قرار گرفتن در معرض تصادفی)
- فیشینگ برای اطلاعات (شبیه به نقض توییتر در سال 2020)
- به دنبال روابط تجاری و سایر اطلاعات مرتبط برای ایجاد زمینه حمله باورپذیر
توسعه منابع
- ایجاد پروفایلها و حسابهای نادرست یا حتی کل وبسایتها که میتوانند در هنگام حملات مهندسی اجتماعی مورد استفاده قرار گیرند.
دسترسی اولیه
- ارسال ایمیل های فیشینگ هدفمند با لینک های مخرب یا بدافزار
- به خطر انداختن حساب ها از طریق ربودن اعتبار یا روش های دیگر
این چارچوب اغلب بهروزرسانی میشود و هر آزمایشکننده قلم باید از الگوهای حمله مدل برای کمک به تلاشهای بهرهبرداری هدفمند استفاده کند.
#SE
@TryHackBox
👍3
روانشناسی مهندسی اجتماعی
در این بخش، برخی از اصول روانشناسی کلیدی را که برای مهندسی اجتماعی باید در نظر داشته باشید، پوشش می دهیم. اگرچه این به هیچ وجه درمان عمیقی از روانشناسی متقاعدسازی و دستکاری انسان نیست، اما درک نکات کلیدی برای هر پنتستری که به دنبال موفقیت در کمپین های مختلف SE# هست، مهم است.
@TryHackBox
در این بخش، برخی از اصول روانشناسی کلیدی را که برای مهندسی اجتماعی باید در نظر داشته باشید، پوشش می دهیم. اگرچه این به هیچ وجه درمان عمیقی از روانشناسی متقاعدسازی و دستکاری انسان نیست، اما درک نکات کلیدی برای هر پنتستری که به دنبال موفقیت در کمپین های مختلف SE# هست، مهم است.
@TryHackBox
👍3
اصول متقاعدسازی
بسیاری معتقدند که رابرت سیالدینی «پدر» تحقیقات متقاعدسازی انسانی است که مستقیماً با فعالیت های مرتبط با مهندسی اجتماعی مرتبط است. دکتر سیالدینی انواع مختلفی از رفتارهای انسانی را مورد مطالعه قرار داد، اما بر ویژگیهای طبیعت انسان که بیشتر مستعد دستکاری بود، تمرکز کرد. دکتر Cialdini در اثر مهم خود Influence: The Psychology of Persuasion، اصول عمدهای را بیان میکند که مبنای بسیاری از نحوه تأثیرگذاری ما بر مردم امروزی است. این در مورد همه انواع نفوذ صدق می کند، از فروشنده خانمی که می داند چگونه یک قرارداد موفق داشته باشد، تا کارمندی که در حال مذاکره برای افزایش حقوق است، تا یک مهندس اجتماعی که تلاش می کند شما را وادار کند روی یک پیوند کلیک کنید.
در چند اسلاید بعدی، کار دکتر Cialdini را از دیدگاه یک مهندس اجتماعی حرفه ای مورد بحث قرار می دهیم. او شش اصل را ارائه کرده است که با الگوهای رفتاری انسانی مرتبط با متقاعدسازی مرتبط است - چه چیزی باعث می شود افراد تیک بزنند؟ چگونه می توان آنها را متقاعد کرد که اطلاعات خود را در اختیار یک مهندس اجتماعی قرار دهند؟ مهندسان اجتماعی چگونه باید رفتار کنند و کمپین های آنها باید شامل چه ویژگی های ایده آلی باشد تا حساسیت به SE را به حداکثر برساند؟ بیایید روانشناسی واقعی پشت مهندسی اجتماعی را اکنون بررسی کنیم.
#SE
@TryHackBox
بسیاری معتقدند که رابرت سیالدینی «پدر» تحقیقات متقاعدسازی انسانی است که مستقیماً با فعالیت های مرتبط با مهندسی اجتماعی مرتبط است. دکتر سیالدینی انواع مختلفی از رفتارهای انسانی را مورد مطالعه قرار داد، اما بر ویژگیهای طبیعت انسان که بیشتر مستعد دستکاری بود، تمرکز کرد. دکتر Cialdini در اثر مهم خود Influence: The Psychology of Persuasion، اصول عمدهای را بیان میکند که مبنای بسیاری از نحوه تأثیرگذاری ما بر مردم امروزی است. این در مورد همه انواع نفوذ صدق می کند، از فروشنده خانمی که می داند چگونه یک قرارداد موفق داشته باشد، تا کارمندی که در حال مذاکره برای افزایش حقوق است، تا یک مهندس اجتماعی که تلاش می کند شما را وادار کند روی یک پیوند کلیک کنید.
در چند اسلاید بعدی، کار دکتر Cialdini را از دیدگاه یک مهندس اجتماعی حرفه ای مورد بحث قرار می دهیم. او شش اصل را ارائه کرده است که با الگوهای رفتاری انسانی مرتبط با متقاعدسازی مرتبط است - چه چیزی باعث می شود افراد تیک بزنند؟ چگونه می توان آنها را متقاعد کرد که اطلاعات خود را در اختیار یک مهندس اجتماعی قرار دهند؟ مهندسان اجتماعی چگونه باید رفتار کنند و کمپین های آنها باید شامل چه ویژگی های ایده آلی باشد تا حساسیت به SE را به حداکثر برساند؟ بیایید روانشناسی واقعی پشت مهندسی اجتماعی را اکنون بررسی کنیم.
#SE
@TryHackBox
👍6
اصل شماره 1: متقابل
اولین اصلی که دکتر سیالدینی توضیح می دهد «مقابله» است. به طور خلاصه، مردم وقتی کاری برای آنها انجام می دهند احساس بدهکاری می کنند و اغلب اطلاعاتی را ارائه می دهند یا فعالیت های نمادینی را برای پرداخت "بدهی" انجام می دهند. تفاوت های ظریف زیادی در این اصل وجود دارد. اولاً، حتی لازم نیست که بدهی درک شده درک شود، فقط پیشنهاد چیزی خوب اغلب برای ایجاد یک بدهی ذهنی کافی است. دوم، آنچه که SE درخواست می کند باید متناسب با آنچه داده شده یا ارائه شده باشد. شما نمی توانید پیشنهاد دهید که در را برای کسی نگه دارید و سپس انتظار داشته باشید که شماره حساب بانکی خود را به شما بدهد. با این حال، می توانید انتظار داشته باشید که در ازای آن (در برخی موارد) یا چیزی مشابه، درب دوم را برای شما نگه دارند.
این تکنیک همیشه توسط مهندسان اجتماعی و مجرمان به طور یکسان استفاده می شود. یکی از معروفترین نمونههای این اصل در عمل، کمپین کلاسیک اسپم «شاهزاده نیجریه» است. ایمیلی وارد میشود که ادعا میکند از طرف یک پادشاه نیجریه (یا دیگر) است که در موقعیت ناخوشایندی قرار گرفته است که باید مقدار زیادی پول را به سرعت از کشورش خارج کند. این شخص به کمک گیرنده نیاز دارد که باید مشخصات بانکی را برای انتقال پول به آن ارائه دهد که مبلغ یا درصدی از پول در حال جابجایی به او جبران می شود. آنها درخواست کمک می کنند، اما دادن پول به شما باعث می شود که این کار را مدیون خود کنید. البته، هیچ پول یا پادشاهی وجود ندارد، این فقط یک کلاهبرداری برای دریافت اطلاعات بانکی است. با این حال، باید روی کسی کار کند، زیرا همچنان در طبیعت دیده می شود. مثالهای ظریفتری که در تمرینهای مهندسی اجتماعی کار میکنند شامل جلب نظر شخصی یا دادن یک هدیه یا نشانه کوچک است. مثال اول ممکن است به شکل یک ایمیل سفارشی باشد که می پرسد آیا هدف علاقه مند به سخنرانی در یک کنفرانس یا شرکت در یک رویداد معتبر است یا خیر. برای اطلاع از آن، آنها باید روی یک پیوند کلیک کنند یا یک پیوست را باز کنند. مورد دوم ممکن است در یک نمایشگاه تجاری اتفاق بیفتد، جایی که فروشنده یک درایو USB رایگان را به شما می دهد اما قبل از ارائه آن، آدرس ایمیل و اطلاعات تماس شما را برای پیگیری می خواهد.
یک مثال عالی آزمایشی است که در سال 2004 در بریتانیا انجام شد، که در آن محققان یک تکه شکلات را به مسافرانی که رمز عبور خود را می دادند، پیشنهاد کردند. بیش از 70٪ رعایت کردند:
http://news.bbc.co.uk/2/hi/technology/3639679.stm.
خلاصه از مطالب بالا :
مردم وقتی برایشان کاری انجام می دهند احساس بدهکاری می کنند
این چگونه در مهندسی اجتماعی کار می کند؟
- نگه داشتن در برای مردم
- کمپین های اسپم کلاسیک (شاهزاده نیجریه)
- توسل به نفس ("لطفا صحبت کنید/شرکت کنید")
- هدیه دادن USB یا توکن "هدیه"
آزمایش "شکلات برای رمزهای عبور".
#SE
@TryHackBox
اولین اصلی که دکتر سیالدینی توضیح می دهد «مقابله» است. به طور خلاصه، مردم وقتی کاری برای آنها انجام می دهند احساس بدهکاری می کنند و اغلب اطلاعاتی را ارائه می دهند یا فعالیت های نمادینی را برای پرداخت "بدهی" انجام می دهند. تفاوت های ظریف زیادی در این اصل وجود دارد. اولاً، حتی لازم نیست که بدهی درک شده درک شود، فقط پیشنهاد چیزی خوب اغلب برای ایجاد یک بدهی ذهنی کافی است. دوم، آنچه که SE درخواست می کند باید متناسب با آنچه داده شده یا ارائه شده باشد. شما نمی توانید پیشنهاد دهید که در را برای کسی نگه دارید و سپس انتظار داشته باشید که شماره حساب بانکی خود را به شما بدهد. با این حال، می توانید انتظار داشته باشید که در ازای آن (در برخی موارد) یا چیزی مشابه، درب دوم را برای شما نگه دارند.
این تکنیک همیشه توسط مهندسان اجتماعی و مجرمان به طور یکسان استفاده می شود. یکی از معروفترین نمونههای این اصل در عمل، کمپین کلاسیک اسپم «شاهزاده نیجریه» است. ایمیلی وارد میشود که ادعا میکند از طرف یک پادشاه نیجریه (یا دیگر) است که در موقعیت ناخوشایندی قرار گرفته است که باید مقدار زیادی پول را به سرعت از کشورش خارج کند. این شخص به کمک گیرنده نیاز دارد که باید مشخصات بانکی را برای انتقال پول به آن ارائه دهد که مبلغ یا درصدی از پول در حال جابجایی به او جبران می شود. آنها درخواست کمک می کنند، اما دادن پول به شما باعث می شود که این کار را مدیون خود کنید. البته، هیچ پول یا پادشاهی وجود ندارد، این فقط یک کلاهبرداری برای دریافت اطلاعات بانکی است. با این حال، باید روی کسی کار کند، زیرا همچنان در طبیعت دیده می شود. مثالهای ظریفتری که در تمرینهای مهندسی اجتماعی کار میکنند شامل جلب نظر شخصی یا دادن یک هدیه یا نشانه کوچک است. مثال اول ممکن است به شکل یک ایمیل سفارشی باشد که می پرسد آیا هدف علاقه مند به سخنرانی در یک کنفرانس یا شرکت در یک رویداد معتبر است یا خیر. برای اطلاع از آن، آنها باید روی یک پیوند کلیک کنند یا یک پیوست را باز کنند. مورد دوم ممکن است در یک نمایشگاه تجاری اتفاق بیفتد، جایی که فروشنده یک درایو USB رایگان را به شما می دهد اما قبل از ارائه آن، آدرس ایمیل و اطلاعات تماس شما را برای پیگیری می خواهد.
یک مثال عالی آزمایشی است که در سال 2004 در بریتانیا انجام شد، که در آن محققان یک تکه شکلات را به مسافرانی که رمز عبور خود را می دادند، پیشنهاد کردند. بیش از 70٪ رعایت کردند:
http://news.bbc.co.uk/2/hi/technology/3639679.stm.
خلاصه از مطالب بالا :
مردم وقتی برایشان کاری انجام می دهند احساس بدهکاری می کنند
این چگونه در مهندسی اجتماعی کار می کند؟
- نگه داشتن در برای مردم
- کمپین های اسپم کلاسیک (شاهزاده نیجریه)
- توسل به نفس ("لطفا صحبت کنید/شرکت کنید")
- هدیه دادن USB یا توکن "هدیه"
آزمایش "شکلات برای رمزهای عبور".
#SE
@TryHackBox
news.bbc.co.uk
BBC NEWS | Technology | Passwords revealed by sweet deal
British people are very lax when it comes to protecting confidential information, two surveys have found.
👍5🔥1
این امار دلسرد کنندس بنظرم فعلا از مهندسی اجتماعی بگذریم بریم مباحث فنی .
خوشحال میشم اگر حمایتی کنید نکنید هم که هیچ وقت کمتری میزارم برای کانال ، لفت دادن و حمایت نکردنتون باعث ناراحتی هست .
من قبلا هم خواستم کانال پاک کنم به همین دلیل ولی گفتم حداقل کسایی که زبان ضعیفی دارند یا وضع مالی خوبی ندارند یا دارن خوداموز یاد میگیرن ( از منبع اصلی ) کنارش مطالب کانال دنبال کنند که کمکشون کرده باشم .
نظر شما چیه؟
@TryHackBox
خوشحال میشم اگر حمایتی کنید نکنید هم که هیچ وقت کمتری میزارم برای کانال ، لفت دادن و حمایت نکردنتون باعث ناراحتی هست .
من قبلا هم خواستم کانال پاک کنم به همین دلیل ولی گفتم حداقل کسایی که زبان ضعیفی دارند یا وضع مالی خوبی ندارند یا دارن خوداموز یاد میگیرن ( از منبع اصلی ) کنارش مطالب کانال دنبال کنند که کمکشون کرده باشم .
نظر شما چیه؟
@TryHackBox
👍18
pivoting در تست نفوذ چیست؟
Pivoting در تست نفوذ عمل انتقال از میزبان به میزبان از طریق سازش است. Pivoting را می توان به عنوان lateral movement نامید.پنتستر از اکسپلویت ها برای دسترسی به یک سیستم استفاده می کند، سپس از آن سیستم بر دیگری غلبه می کند. اغلب لازم است که سیستم دوم غیرقابل نفوذ یا امن تر باشد اگر سیستم اول در معرض خطر قرار نگیرد.
Pivoting شبکه چیست؟
Pivoting شبکه عمل دستیابی به سیستم های دیگری است که به طور مستقیم در دسترس نیستند.
این میتواند در شبکههای دیگر یا در edge points شبکه یا در همان شبکه باشد، اما به پنتستر امکان دسترسی به سیستمهای جدیدی را میدهد که قابل exploitable نیستند.
تکنیک های Pivoting شبکه
تکنیکهای Pivoting شبکه بر سیستمهای در معرض خطری که دسترسی ویژه دارند، متکی هستند. این می تواند یک سیستم با دو کارت شبکه باشد که به مهاجم اجازه دسترسی به شبکه دوم را می دهد. یکی دیگر این است که کنترل سیستمی را به دست آورید که اعتبار فایروال یا روتر را ذخیره کرده است و می توان از آنها برای تغییر لیست های کنترل دسترسی استفاده کرد. آزمایشکنندگان همچنین میتوانند ابزارهایی را به صورت محلی روی سیستم اجرا کنند تا اعتبار حساب کاربری را در سیستمهای دیگر به دست آورند.
Pivoting vs lateral movement
Lateral movement عمل گسترش در یک محیط با Pivoting از سیستمی به سیستم دیگر است. به یک معنا آنها یکسان هستند، فقطLateral movement اغلب شامل چندین pivots است.
Pivoting pentest/Tam red pivoting
یک تست خوب قلم یا تمرین تیم قرمز به آزمایشکنندگان اجازه میدهد تا در محیط pivot.
این کار می تواند درک بهتری از آنچه که یک هکر در واقع می تواند فراتر از اسکن آسیب پذیری ها انجام دهد، به دست آورد.
#pivot
@TryHackBox
Pivoting در تست نفوذ عمل انتقال از میزبان به میزبان از طریق سازش است. Pivoting را می توان به عنوان lateral movement نامید.پنتستر از اکسپلویت ها برای دسترسی به یک سیستم استفاده می کند، سپس از آن سیستم بر دیگری غلبه می کند. اغلب لازم است که سیستم دوم غیرقابل نفوذ یا امن تر باشد اگر سیستم اول در معرض خطر قرار نگیرد.
Pivoting شبکه چیست؟
Pivoting شبکه عمل دستیابی به سیستم های دیگری است که به طور مستقیم در دسترس نیستند.
این میتواند در شبکههای دیگر یا در edge points شبکه یا در همان شبکه باشد، اما به پنتستر امکان دسترسی به سیستمهای جدیدی را میدهد که قابل exploitable نیستند.
تکنیک های Pivoting شبکه
تکنیکهای Pivoting شبکه بر سیستمهای در معرض خطری که دسترسی ویژه دارند، متکی هستند. این می تواند یک سیستم با دو کارت شبکه باشد که به مهاجم اجازه دسترسی به شبکه دوم را می دهد. یکی دیگر این است که کنترل سیستمی را به دست آورید که اعتبار فایروال یا روتر را ذخیره کرده است و می توان از آنها برای تغییر لیست های کنترل دسترسی استفاده کرد. آزمایشکنندگان همچنین میتوانند ابزارهایی را به صورت محلی روی سیستم اجرا کنند تا اعتبار حساب کاربری را در سیستمهای دیگر به دست آورند.
Pivoting vs lateral movement
Lateral movement عمل گسترش در یک محیط با Pivoting از سیستمی به سیستم دیگر است. به یک معنا آنها یکسان هستند، فقطLateral movement اغلب شامل چندین pivots است.
Pivoting pentest/Tam red pivoting
یک تست خوب قلم یا تمرین تیم قرمز به آزمایشکنندگان اجازه میدهد تا در محیط pivot.
این کار می تواند درک بهتری از آنچه که یک هکر در واقع می تواند فراتر از اسکن آسیب پذیری ها انجام دهد، به دست آورد.
#pivot
@TryHackBox
👍4
Try Hack Box
اصل شماره 1: متقابل اولین اصلی که دکتر سیالدینی توضیح می دهد «مقابله» است. به طور خلاصه، مردم وقتی کاری برای آنها انجام می دهند احساس بدهکاری می کنند و اغلب اطلاعاتی را ارائه می دهند یا فعالیت های نمادینی را برای پرداخت "بدهی" انجام می دهند. تفاوت های ظریف…
یک مثال میزنم واستون :
در یک شرکتی در هلند اوردم یک ایمیل از شخص رییس شرکت به دو نفر از کارمندان زدم و درخواست کردم که یه سری مطالب رو از یک سایت که خودم گذاشته بودم رو مطالعه کنن اونها اومدن از همون ایمیل و رمز شرکت استفاده کردن و ورود زدن با این کار من دسترسی به این این کارمندها و رمزهاشون رو داشتم شروع کردم به این که ببینم این کارمندها در گوگل و ایمیلهاشون چیکار می کنن و دنبال چی هستن و یکی از کارمندان به دنبال داروی خاصی می گشت و پس از بررسی فهمیدم که این دارو برای شیمی درمانی هستش و میشه کاری کرد پس اومدم یک پیشنهاد به عنوان کمک بهش دادم که ایا می تونم در پیدا کردن دارو کمکش کنم که مشتاقانه قبول کرد و این باعث شد دوستی و رفت و امد داشته باشیم و از شرکت و کارهاش اطلاعات بگیرو و نرم افزارهای روی سیستمو و یک روز از طریق یک فلش دسترسی به کل سیستم رو دریافت کردم و دستور پرداخت پول به حسابداری برای یک اکانتی که ناشناس در یک کشور دیگه بود که با من در ارتباط بود رو دادم و حتی یک قرارداد هم از طرف اونها امضا شد و پول از شرکت انتقال داده شد و کار من تمام شده بود و درصد انتقال و کار رو به صورت بیت دریافت کردم
#SE
@TryHackBox
در یک شرکتی در هلند اوردم یک ایمیل از شخص رییس شرکت به دو نفر از کارمندان زدم و درخواست کردم که یه سری مطالب رو از یک سایت که خودم گذاشته بودم رو مطالعه کنن اونها اومدن از همون ایمیل و رمز شرکت استفاده کردن و ورود زدن با این کار من دسترسی به این این کارمندها و رمزهاشون رو داشتم شروع کردم به این که ببینم این کارمندها در گوگل و ایمیلهاشون چیکار می کنن و دنبال چی هستن و یکی از کارمندان به دنبال داروی خاصی می گشت و پس از بررسی فهمیدم که این دارو برای شیمی درمانی هستش و میشه کاری کرد پس اومدم یک پیشنهاد به عنوان کمک بهش دادم که ایا می تونم در پیدا کردن دارو کمکش کنم که مشتاقانه قبول کرد و این باعث شد دوستی و رفت و امد داشته باشیم و از شرکت و کارهاش اطلاعات بگیرو و نرم افزارهای روی سیستمو و یک روز از طریق یک فلش دسترسی به کل سیستم رو دریافت کردم و دستور پرداخت پول به حسابداری برای یک اکانتی که ناشناس در یک کشور دیگه بود که با من در ارتباط بود رو دادم و حتی یک قرارداد هم از طرف اونها امضا شد و پول از شرکت انتقال داده شد و کار من تمام شده بود و درصد انتقال و کار رو به صورت بیت دریافت کردم
#SE
@TryHackBox
👍4
سلام هکرهای آینده ، به دنیای هک خوش آمدید. شما به اینجا آمدید زیرا نمی خواهید در این نسل از هک کردن، یک noscript kiddie باشید. شما باید بدانید که چگونه ابزارهای هک خود را بنویسید و همچنین باید بدانید که چگونه بدافزار خود را بنویسید (به عنوان مثال:-ویروس، تروجان، نرم افزارهای جاسوسی، باج افزار،...) و بسیاری دیگر.
قبل از بررسی عمیق در یک جلسه برنامه نویسی، ابتدا باید برخی از اصول محاسبات و بسیاری موارد دیگر فراتر از هک را بدانیم.
موضوعی اماده کردیم تحت عنوان :
زبان C برای هکرها و فراتر از آن!
با هشتگ #ProHack این پست را دنبال کنید
@TryHackBox
قبل از بررسی عمیق در یک جلسه برنامه نویسی، ابتدا باید برخی از اصول محاسبات و بسیاری موارد دیگر فراتر از هک را بدانیم.
موضوعی اماده کردیم تحت عنوان :
زبان C برای هکرها و فراتر از آن!
با هشتگ #ProHack این پست را دنبال کنید
@TryHackBox
🔥7👍3
دوستان بدلیل اینکه از شما عزیزان در سطح های مختلف هستید تصمیم گرفتم یک بخش از کانال را آموزش های پایه Lpic1 و Lpic2 و Net+ و CCNA , CCNP , MCSA , MCSE اضافه بشه ولی برای عدم سردرگمی شما عزیزان یک کانال و گروه جدا تهیه کردیم در کانال زیر عضو شید و به پشتیبانی ما پیام بدید تا لینک و گروه برای شما عزیزان ارسال شود .
@TryHackBox_Network
💢 ظرفیت 100 نفر .
متاسفانه امکان همکاری با دوستانی که پیام دادند نشد ، شرایط لازم نداشتند اگر قصد دارید در این راه به عزیزان دیگر کمک کنید با ما در ارتباط باشید .
@TryHackBox
@TryHackBox_Network
💢 ظرفیت 100 نفر .
متاسفانه امکان همکاری با دوستانی که پیام دادند نشد ، شرایط لازم نداشتند اگر قصد دارید در این راه به عزیزان دیگر کمک کنید با ما در ارتباط باشید .
@TryHackBox
👍3
#همکاری
دوستان بعد از پایان آموزش #SE آموزش pwk را برگزار میکنم
من خودم خوشم نمیاد دوره ظبط کنم برای همین در قالب مقاله هست اموزش ها ولی اگر کسی از دوستان دوست داشت دوره ضبط کنه ( البته باید pwk رو خودش بلد باشه ) من تمامی مطالب در اختیارش میذارم و میتونه شروع به ظبط کنه ، فرقی نداره به جز pwk برای هر دوره ام خواستید میتونید اینکارو کنید من حمایتتون میکنم ، شما هم دوره رو با اسم خودتون (رایگان) منتشر کنید تو کانال ما ، اینجوری یک رزومه خوب هم برای خودتون اماده میکنید .
اگر کسی دوست داشت همکاری کنه با ما در ارتباط باشه
> @THB_support
دوستان بعد از پایان آموزش #SE آموزش pwk را برگزار میکنم
من خودم خوشم نمیاد دوره ظبط کنم برای همین در قالب مقاله هست اموزش ها ولی اگر کسی از دوستان دوست داشت دوره ضبط کنه ( البته باید pwk رو خودش بلد باشه ) من تمامی مطالب در اختیارش میذارم و میتونه شروع به ظبط کنه ، فرقی نداره به جز pwk برای هر دوره ام خواستید میتونید اینکارو کنید من حمایتتون میکنم ، شما هم دوره رو با اسم خودتون (رایگان) منتشر کنید تو کانال ما ، اینجوری یک رزومه خوب هم برای خودتون اماده میکنید .
اگر کسی دوست داشت همکاری کنه با ما در ارتباط باشه
> @THB_support
👍7👎1
Try Hack Box
اصل شماره 1: متقابل اولین اصلی که دکتر سیالدینی توضیح می دهد «مقابله» است. به طور خلاصه، مردم وقتی کاری برای آنها انجام می دهند احساس بدهکاری می کنند و اغلب اطلاعاتی را ارائه می دهند یا فعالیت های نمادینی را برای پرداخت "بدهی" انجام می دهند. تفاوت های ظریف…
اصل شماره 2: اثبات اجتماعی
دومین اصلی که سیالدینی توصیف می کند، اصلی است که او آن را «اثبات اجتماعی» می نامد. در اصل، این مفهوم به این موضوع مربوط میشود که چگونه انسانها وقتی نمیدانند چگونه عمل کنند یا پاسخ دهند، به دنبال اطمینان هستند. بیشتر افراد اگر بخشی از گروه اطرافیان باشند، مانند دیگران رفتار میکنند و به ویژه زمانی که توسط رهبران یا کسانی که در موقعیتهای قدرت یا اقتدار هستند، رفتارهایی را تقلید میکنند.
به عنوان مثال، ایمیلهایی که کاربر را به انجام عملی ترغیب میکنند (مثلاً کلیک کردن بر روی لینک یا باز کردن یک فایل) میتوانند جعل شده و شبیه فردی در گروه همتای هدف یا گروه دیگری به نظر برسند، که ممکن است احتمال این را افزایش دهد. حمله موفق شد اگر سایرین در گروه همتا یا یک گروه مرتبط همگی از یک برنامه یا فناوری خاص استفاده می کنند، یک حمله هدفمند که از "فشار اطرافیان" برای استفاده از همان فناوری یا برنامه استفاده می کند (با یک لینک فرضی به برنامه در یک ایمیل، شاید ) ممکن است موفق تر باشد. هنجارهای گروهی، مانند سیگار کشیدن در بیرون یا بازدید از کافی شاپ خاصی در نزدیکی، نیز می تواند برای هدف قرار دادن و به خطر انداختن قربانی استفاده شود.
این روش باید شخصی سازی شود، به این معنی که برخی از تکالیف را برای پنتستر انجام دهید. به منظور ایجاد تکنیکهای اجباری قانعکننده از اطرافیان دوستان و سایر همکاران، پنتسترها باید درباره آنها و رفتارهایشان بیاموزند.
+ وقتی مردم در مورد مسیر عملی خود مطمئن نیستند، تمایل دارند به اطرافیان خود نگاه کنند تا تصمیمات و اقدامات خود را راهنمایی کنند.
+ ذهنیت "به دنبال گله" یا "تطبیق در".
+ کاربرد در مهندسی اجتماعی:
- جعل ایمیل (مشکلات اعتماد)
- نصب برنامه هایی که دیگران استفاده می کنند
- هنجارهای گروهی (سیگار کشیدن در بیرون و غیره)
+ شخصی سازی کلید این روش است
#SE
@TryHackBox
دومین اصلی که سیالدینی توصیف می کند، اصلی است که او آن را «اثبات اجتماعی» می نامد. در اصل، این مفهوم به این موضوع مربوط میشود که چگونه انسانها وقتی نمیدانند چگونه عمل کنند یا پاسخ دهند، به دنبال اطمینان هستند. بیشتر افراد اگر بخشی از گروه اطرافیان باشند، مانند دیگران رفتار میکنند و به ویژه زمانی که توسط رهبران یا کسانی که در موقعیتهای قدرت یا اقتدار هستند، رفتارهایی را تقلید میکنند.
به عنوان مثال، ایمیلهایی که کاربر را به انجام عملی ترغیب میکنند (مثلاً کلیک کردن بر روی لینک یا باز کردن یک فایل) میتوانند جعل شده و شبیه فردی در گروه همتای هدف یا گروه دیگری به نظر برسند، که ممکن است احتمال این را افزایش دهد. حمله موفق شد اگر سایرین در گروه همتا یا یک گروه مرتبط همگی از یک برنامه یا فناوری خاص استفاده می کنند، یک حمله هدفمند که از "فشار اطرافیان" برای استفاده از همان فناوری یا برنامه استفاده می کند (با یک لینک فرضی به برنامه در یک ایمیل، شاید ) ممکن است موفق تر باشد. هنجارهای گروهی، مانند سیگار کشیدن در بیرون یا بازدید از کافی شاپ خاصی در نزدیکی، نیز می تواند برای هدف قرار دادن و به خطر انداختن قربانی استفاده شود.
این روش باید شخصی سازی شود، به این معنی که برخی از تکالیف را برای پنتستر انجام دهید. به منظور ایجاد تکنیکهای اجباری قانعکننده از اطرافیان دوستان و سایر همکاران، پنتسترها باید درباره آنها و رفتارهایشان بیاموزند.
+ وقتی مردم در مورد مسیر عملی خود مطمئن نیستند، تمایل دارند به اطرافیان خود نگاه کنند تا تصمیمات و اقدامات خود را راهنمایی کنند.
+ ذهنیت "به دنبال گله" یا "تطبیق در".
+ کاربرد در مهندسی اجتماعی:
- جعل ایمیل (مشکلات اعتماد)
- نصب برنامه هایی که دیگران استفاده می کنند
- هنجارهای گروهی (سیگار کشیدن در بیرون و غیره)
+ شخصی سازی کلید این روش است
#SE
@TryHackBox
👍4
اصل سوم: تعهد و ثبات
سومین اصل Cialdini تعهد یا سازگاری است. اگر کسی قبول کند کاری را به صورت شفاهی یا کتبی انجام دهد، به احتمال زیاد آن را دنبال خواهد کرد. لازم نیست این اتفاق یکباره بیفتد یا توافقات کوچک و تدریجی برای انجام کارها در نهایت می تواند منجر به درخواست یک مهاجم برای تعهد بزرگتر شود، که ممکن است بعدا اتفاق بیفتد. معمولاً درخواست فوراً برای یک تعهد بزرگ ممکن است باعث سوء ظن شود، بنابراین مهاجمان دقیق باید یک تعهد کوچک بخواهند (کلیک کردن روی لینک) یا به یک تعهد بزرگتر (پرداخت داده های حساس) عمل کنند.
ثبات فقط یک ویژگی انسانی است. ما تمایل داریم هر روز از الگوها پیروی کنیم. ما تمایل داریم در صورت امکان، هر روز در همان نقطه پارک کنیم، در برخی از رستورانهای مشابه غذا بخوریم و در همان زمانها برای سیگار استراحت کنیم. مهاجمان می توانند این الگوها را یاد بگیرند و به طور بالقوه از آنها سوء استفاده کنند. کوین میتنیک به این سبک حمله معروف بود. او به طور منظم با مردم تماس می گرفت (ایجاد قوام) و سپس به تدریج درخواست لطف می کرد. در نهایت، او آنچه را که از آنها می خواست به دست می آورد.
بعد از اینکه به صورت شفاهی یا کتبی با آن موافقت کردیم، به احتمال زیاد کاری را انجام خواهیم داد
+ هر چه فرد مسن تر باشد، این موضوع نیز بیشتر صادق است
+ کاربرد در مهندسی اجتماعی:
- حملات چند قسمتی (اول، درخواست، سپس، پیگیری)
-تاثیر طولانی مدت بر رفتار
+ کوین میتنیک از این به خوبی استفاده کرد
#SE
@TryHackBox
سومین اصل Cialdini تعهد یا سازگاری است. اگر کسی قبول کند کاری را به صورت شفاهی یا کتبی انجام دهد، به احتمال زیاد آن را دنبال خواهد کرد. لازم نیست این اتفاق یکباره بیفتد یا توافقات کوچک و تدریجی برای انجام کارها در نهایت می تواند منجر به درخواست یک مهاجم برای تعهد بزرگتر شود، که ممکن است بعدا اتفاق بیفتد. معمولاً درخواست فوراً برای یک تعهد بزرگ ممکن است باعث سوء ظن شود، بنابراین مهاجمان دقیق باید یک تعهد کوچک بخواهند (کلیک کردن روی لینک) یا به یک تعهد بزرگتر (پرداخت داده های حساس) عمل کنند.
ثبات فقط یک ویژگی انسانی است. ما تمایل داریم هر روز از الگوها پیروی کنیم. ما تمایل داریم در صورت امکان، هر روز در همان نقطه پارک کنیم، در برخی از رستورانهای مشابه غذا بخوریم و در همان زمانها برای سیگار استراحت کنیم. مهاجمان می توانند این الگوها را یاد بگیرند و به طور بالقوه از آنها سوء استفاده کنند. کوین میتنیک به این سبک حمله معروف بود. او به طور منظم با مردم تماس می گرفت (ایجاد قوام) و سپس به تدریج درخواست لطف می کرد. در نهایت، او آنچه را که از آنها می خواست به دست می آورد.
بعد از اینکه به صورت شفاهی یا کتبی با آن موافقت کردیم، به احتمال زیاد کاری را انجام خواهیم داد
+ هر چه فرد مسن تر باشد، این موضوع نیز بیشتر صادق است
+ کاربرد در مهندسی اجتماعی:
- حملات چند قسمتی (اول، درخواست، سپس، پیگیری)
-تاثیر طولانی مدت بر رفتار
+ کوین میتنیک از این به خوبی استفاده کرد
#SE
@TryHackBox
👍2
اصل چهارم: دوست داشتن
درک این موضوع بسیار آسان است.
برای استفاده از این اصل Cialdini، پنتسترها باید با اهداف ارتباط برقرار کنند. از آنجایی که این یکی از مؤثرترین تکنیکها برای مهندسی اجتماعی موفق است، کلید جلب علاقه مردم به شما این است که درباره سرگرمیها و علایق آنها تحقیق کنید و آنها را تکرار کنید. این نیاز به تمرین دارد. شما همچنین می توانید از مردم تعریف کنید، اما این یک هنر است، زیرا تعریف بیش از حد در واقع منجر به مشکوک شدن هدف یا از بین بردن مهاجم می شود.
اگرچه کلیشه ای به نظر می رسد، اما گاهی اوقات کلید جلب علاقه مردم این است که تا حد امکان شبیه آنها باشید. این ممکن است به معنای لباس پوشیدن به شیوه ای خاص، عمل کردن به شیوه ای خاص یا استفاده از نوع خاصی از زبان باشد.
+ مردم ترجیح می دهند به کسانی که می شناسند و دوست دارند «بله» بگویند.
مردم همچنین بیشتر از کسانی که از نظر فیزیکی جذاب هستند، شبیه خودشان هستند یا از آنها تعریف و تمجید می کنند، حمایت می کنند
کاربرد در مهندسی اجتماعی:
+ قسمت رو ببین "تناسب".
- بیشتر برای کار در محل کاربرد دارد، اما می توان آن را برای ایمیل ها اعمال کرد،
و غیره.
#SE
@TryHackBox
درک این موضوع بسیار آسان است.
برای استفاده از این اصل Cialdini، پنتسترها باید با اهداف ارتباط برقرار کنند. از آنجایی که این یکی از مؤثرترین تکنیکها برای مهندسی اجتماعی موفق است، کلید جلب علاقه مردم به شما این است که درباره سرگرمیها و علایق آنها تحقیق کنید و آنها را تکرار کنید. این نیاز به تمرین دارد. شما همچنین می توانید از مردم تعریف کنید، اما این یک هنر است، زیرا تعریف بیش از حد در واقع منجر به مشکوک شدن هدف یا از بین بردن مهاجم می شود.
اگرچه کلیشه ای به نظر می رسد، اما گاهی اوقات کلید جلب علاقه مردم این است که تا حد امکان شبیه آنها باشید. این ممکن است به معنای لباس پوشیدن به شیوه ای خاص، عمل کردن به شیوه ای خاص یا استفاده از نوع خاصی از زبان باشد.
+ مردم ترجیح می دهند به کسانی که می شناسند و دوست دارند «بله» بگویند.
مردم همچنین بیشتر از کسانی که از نظر فیزیکی جذاب هستند، شبیه خودشان هستند یا از آنها تعریف و تمجید می کنند، حمایت می کنند
کاربرد در مهندسی اجتماعی:
+ قسمت رو ببین "تناسب".
- بیشتر برای کار در محل کاربرد دارد، اما می توان آن را برای ایمیل ها اعمال کرد،
و غیره.
#SE
@TryHackBox
👍3