⭕سیستم تشخیص نفوذ (IDS) چیه و چجوری کار می‌کنه؟
یکی از اجزای مهم امنیت شبکه، چیزی نیست جز سیستم تشخیص نفوذ یا همون IDS (Intrusion Detection System)

کار اصلی IDS اینه که نفوذ یا حمله‌های احتمالی رو شناسایی کنه و هشدار بده. البته خودش مستقیماً جلو حمله رو نمی‌گیره (اون کار وظیفه‌ی IPS هست) ولی به‌عنوان دیده‌بان شبکه، می‌تونه حسابی مفید باشه
سیستم IDS چطوری کار می‌کنه؟
برای اینکه IDS بتونه کاری انجام بده باید یه کپی از ترافیک شبکه رو بگیره و بررسیش کنه. این سیستم معمولاً با استفاده از یک پایگاه داده از الگوها یا رفتارها، تصمیم می‌گیره که آیا ترافیکی مشکوک هست یا نه‼

انواع IDS
سیستم IDSها به طور کلی به دو دسته تقسیم می‌شن:
۱. Signature-based IDS
این نوع IDS بر اساس الگوها ( پترن حملات) یا امضاهای حملات شناخته‌شده کار می‌کنه. مثل وقتی که آنتی‌ویروس یه ویروس خاص رو از رو امضاش می‌شناسه. سیستم‌هایی مثل Snort و Suricata از این دسته هستن
ابزار های Snort و Suricata هر دو اوپن‌سورس و رایگان هستن
ولی نکته اینه که رول‌های دقیق و آپدیت‌شده برای Snort معمولاً پولی‌ان
و رول‌های Snort رو می‌تونیم توی Suricata هم استفاده کنیم
۲. Behavior-based IDS
این سیستم‌ها بر اساس تحلیل رفتار ترافیک کار می‌کنن مثلاً اگه یه سیستم معمولاً روزی ۱۰۰ پکت می‌فرسته ولی یهو شد ۱۰ هزار تا، این ممکنه نشونه‌ای از حمله باشه
وIDSهای رفتاری می‌تونن کمک زیادی توی شناسایی حملات Zero-day بکنن
یه مثال خوبش Zeek هست که خیلی هم محبوبه این ابزار
⬇️
چجوری ترافیک رو به IDS می‌دیم؟
خب، IDS خودش ترافیک رو sniff نمی‌کنه، باید یه کپی از ترافیک بهش داده بشه
برای این کار چند تا روش وجود داره:
۱. Port Mirroring یا SPAN
توی سوییچ‌های سیسکو بهش می‌گن SPAN، یعنی ترافیک یه پورت یا VLAN رو کپی می‌کنیم می‌فرستیم برای IDS.
ولی این روش یه مشکل اساسی داره: به منابع سوییچ فشار میاره و ممکنه باعث افت کارایی بشه.
۲. استفاده از TAP
میاییم از TAP (Test Access Point) استفاده میکنیم 
یه سخت‌افزار لایه یکه که بدون فشار به سوییچ، یه کپی از ترافیک رو به IDS می‌ده.

     ‼یه مشکل اساسی: ترافیک رمز‌شده‼

سیستم های IDS تا وقتی می‌تونه مفید باشه که بتونه محتوای بسته‌ها رو ببینه اگه ترافیک رمز شده باشه (SSL/TLS) IDS عملاً نمی‌تونه چیزی بفهمه

راهکار چیه؟
برای این موضوع هم راه‌حل هست:
از Forward Proxy یا Reverse Proxy استفاده می‌کنیم که بتونن ترافیک رو رمزگشایی کنن و یه کپی رمز نشده بدن به IDS

مثلاً روی دستگاه‌هایی مثل Gigamon TAP می‌تونیم کلید رمزگشایی SSL رو بدیم تا یه نسخه‌ی رمزگشایی‌شده برای IDS داده بشه
حتی توی فایروال‌های جدید، قابلیتی به نام SSL Decryption Mirroring داریم که همین کارو انجام میده
ذخیره‌سازی پکت‌ها: IDS پکت رو نگه نمی‌داره، پس چی کار کنیم؟
نکته مهم اینه که IDS ترافیک رو ذخیره نمی‌کنه، فقط تحلیل میکنه
ولی اگه بخوایم برای بررسی‌های فارنزیک یا بعد از حمله پکت‌ها رو داشته باشیم، باید از ابزارهایی برای ذخیره‌سازی استفاده کنیم

راه‌حل: FPC یا Full Packet Capture
با استفاده از سیستم‌هایی مثل Arkime (قبلاً به اسم Moloch بودش) می‌تونیم پکت‌ها رو به‌طور کامل ذخیره کنیم

حالا اگه با روش‌هایی که بالا گفتیم ترافیک رمزگشایی شده باشه، می‌تونیم نسخه‌ی قابل تحلیلش رو هم ذخیره کنیم، و بعداً برای بررسی‌های دقیق‌تر استفاده کنیم

اگه بخوام جمع‌بندی کنم
سیستم IDSوظیفش تحلیل و هشدار دادنه نه جلوگیری
ترافیک باید براش کپی بشه، با TAP بهتر از SPAN
موضوع رمزنگاری رو با ابزارهایی مثل proxy و SSL mirroring حلش میکنیم
برای ذخیره‌سازی دقیق‌تر FPC مثل Arkime استفاده میکنیم

https://news.1rj.ru/str/ViperNull

🌟 نمونه سوالات مصاحبه ی #امنیت #Cybersecurity

کتاب "Practical Malware Analysis" یه جورایی حکم قرآن هکرها و تحلیل‌گرای بدافزارو داره! اگه بخوای یاد بگیری یه بدافزار چطوری کار می‌کنه، از کجا میاد، چی کار می‌کنه، یا چطوری جلوی خرابکاریش رو بگیری، این کتاب یه مرجع توپ و حسابیه.

از اولش باهات راه میاد؛ یعنی فرض نمی‌کنه همه چی بلدی. از ابزارهای پایه مثل IDA Pro، OllyDbg، PEview گرفته تا تحلیل دستی و استاتیک و داینامیک (یعنی چه قبل اجرا چه بعد اجرا بررسی‌شون.
بهت یاد می‌ده چطور یه بدافزارو تو محیط امن اجرا کنی و رفتارشو ببینی.
مثال زیاد داره؛ یعنی فقط تئوری نمی‌گه، می‌گه "بیا اینو نگاه کن، ببین این بدافزار چه مرگشه.

@kali_signal

تفاوت بین EtherChannel در لایه دوم و لایه سوم چیه ؟


لایه ۲  EtherChannel

در سناریوهای مربوط به لایه دوم  وقتی چند لینک فیزیکی بین دو دستگاه (مثلاً سوئیچ‌ها) داریم، می‌تونیم اونها رو در قالب یک اتصال منطقی تجمیع کنیم این اتصال می‌تونه به عنوان یک Access یا Trunk تعریف بشه و تمام ترافیک‌های مربوط به VLAN و Broadcast از طریق همین گروه منتقل میشن
مبنای ارسال داده‌ها هم در این سطح معمولاً بر اساس آدرس MAC مقصد هست.
کاربردهاش چیه؟

اتصال دو سوئیچ در بستر لایه ۲

ارتباط به سرورهایی که NIC تیمینگ دارن

نمونه پیکربندی:

interface range fa0/1 - 4 channel-group 1 mode active interface port-channel 1 switchport mode trunk
با این تنظیمات، یه گروه EtherChannel در لایه ۲ ساختیم که به صورت trunk عمل میکنه

لایه ۳ و EtherChannel

در مدل لایه سوم عملکرد کمی متفاوت می‌شه اینجا لینک‌های فیزیکی دوباره یکی میشن، ولی نه به عنوان سوییچ پورت، بلکه به عنوان رابط مسیردهی (Routed Port)
در اینجا دیگه بحث VLAN وجود نداره و ترافیک بر اساس IP Routing مدیریت میشه می‌تونی مستقیم روی اینترفیس IP بدیم
موقعیت‌هایی که استفاده می‌شه:

ارتباط بین سوئیچ‌های core که وظیفه روتینگ دارن

اتصال بین سوئیچ و روتر

دیتاسنترهایی که لایه سوم رو مستقیم پیاده‌سازی می‌کنن

مثال کانفیگ:
interface range gi0/1 - 2 no switchport channel-group 2 mode active interface port-channel 2 no switchport ip address 192.168.100.1 255.255.255.0

تفاوت‌ها؛

برای ایجاد EtherChannel، دو پروتکل در دسترسه:

LACP (استاندارد IEEE)

PAgP (اختصاصی سیسکو)

اگه از من بپرسین، همیشه استفاده از LACP گزینه بهتر و قابل اعتمادتره، چون با تجهیزات مختلف سازگارتره

https://news.1rj.ru/str/ViperNull

⭕ویندوز ۱۱ هک شد! سه آسیب‌پذیری خطرناک در کمتر از یک روز کشف شد ‼

در مسابقات امنیتی Pwn2Own که همیشه پای ثابت خبرهای هیجان‌انگیز دنیای سایبره، امسال ویندوز ۱۱ دوباره تیتر اول شد
این رویداد در برلین و در تاریخ ۱۵ تا ۱۷ مه ۲۰۲۵ برگزار شد و در همون روز اول، سه آسیب‌پذیری بسیار مهم در ویندوز ۱۱ کشف و با موفقیت مورد بهره‌برداری قرار گرفت
این آسیب‌پذیری‌ها به محققان اجازه میداد تا دسترسی خودشون رو تا سطح SYSTEM بالا ببرن یعنی همون سطحی که تقریباً کنترل کامل سیستم رو در دستشون میذاره
حالا بیایید ببینیم چه کسانی پشت این ماجرا بودن و چطور تونستن این کار رو بکنن:

چن له چی (Chen Le Qi)
از تیم STARLabs SG با ترکیبی از دو آسیب‌پذیری (یکی use-after-free و یکی هم سرریز عدد صحیح) تونست سیستم رو هک کنه و بابتش ۳۰ هزار دلار جایزه گرفت.

مارسین ویازوفسکی (Marcin Wiązowski) هم با یک حمله نوشتن خارج از محدوده (Out-of-bounds write) موفق شد همین سطح دسترسی رو به دست بیاره و همون ۳۰ هزار دلار رو به جیب بزنه.

هیونجین چوی (Hyeonjin Choi) از تیم Out Of Bounds هم با استفاده از آسیب‌پذیری نوع‌پریشی (type confusion) ویندوز ۱۱ رو دور زد و ۱۵ هزار دلار دریافت کرد
جمع کل جایزه‌هایی که فقط برای این سه حمله داده شد: ۷۵ هزار دلار!
مسابقه Pwn2Own توسط شرکت Trend Micro و برنامهٔ Zero Day Initiative برگزار میشه و هدفش اینه که محققان امنیتی بتونن آسیب‌پذیری‌های مهم رو کشف کنن و به‌جای اینکه در اختیار هکرها قرار بدن، اون‌ها رو به صورت مسئولانه به شرکت‌های نرم‌افزاری مثل مایکروسافت گزارش بدن تا قبل از اینکه تبدیل به تهدیدی جدی بشه، اصلاح بشن.
در مجموع، فقط توی همین رویداد امسال بیش از ۱ میلیون دلار جایزه به محققان پرداخت شد. تیم STAR Labs SG هم با اختلاف به عنوان Master of Pwn یا همون "استاد نفوذ" امسال معرفی شد.
مایکروسافت احتمالاً توی ماه‌های آینده (معمولاً کمتر از ۹۰ روز) وصله‌های امنیتی لازم رو برای این آسیب‌پذیری‌ها منتشر می‌کنه. پس اگر ویندوز ۱۱ دارین، به‌خصوص اگر نسخه‌تون به‌روز نیست، بهتره که حتماً آپدیت‌ها رو جدی بگیرین.

https://news.1rj.ru/str/ViperNull

WAF چیه و چطور کار می‌کنه؟

⭕WAF یا Web Application Firewall⭕
یه فایروال مخصوص لایه ۷ از مدل OSI هست که دقیقاً برای محافظت از اپلیکیشن‌های تحت وب طراحی شده. برخلاف فایروال‌های معمولی که روی ترافیک شبکه یا لایه‌های پایین‌تر تمرکز دارن، WAF مستقیماً با پروتکل‌های HTTP و HTTPS تخصصی کارمیکنه داره.
هدف اصلی WAF اینه که جلوی حملات تحت وب مثل SQL Injection، Cross-Site Scripting (XSS)، File Inclusion، و کلی تهدید دیگه رو بگیره.

WAF دقیقاً چه کاری می‌کنه؟

وقتی ترافیک وب از سمت کاربر (کلاینت) به سمت وب‌سایت ما ارسال می‌شه، WAF وارد عمل میشه

تمام requestها و responseها رو بررسی می‌کنه

مقدار تمام inputهایی که کاربر فرستاده رو تحلیل میکنه

دنبال الگوهای مخرب، کدهای مشکوک، و رفتارهای غیرعادی می‌گرده

اگه چیزی مشکوک باشه، اون درخواست رو بلاک می‌کنه یا هشدار میده

برای اینکه بتونه این کار رو انجام بده، WAF باید ترافیک رو بخونه و تحلیل کنه. اما چطور این امکان رو پیدا می‌کنه؟ اینجاست که بحث پروکسی‌ها مطرح میشه.

پروکسی و نقش اون در WAF

WAF
معمولاً خودش رو جای وب‌سرور جا میزنه. یعنی وقتی کاربر از بیرون می‌خواد به سایت ما وصل بشه، در واقع اول به WAF وصل میشه
چرا؟ چون WAF به صورت یه Reverse Proxy وسط قرار میگیره.

پروکسی چیه؟

پروکسی یه واسطه‌ست که بین کلاینت و سرور قرار می‌گیره و ترافیک رو دریافت، تحلیل و بعداً ارسال میکنه. این وسط، پروکسی ترافیک رو:

Decapsulate (بازش می‌کنه و می‌خونه)

بعد از پردازش، دوباره Encapsulate می‌کنه (بسته‌بندیش می‌کنه و می‌فرسته جلو)

دو حالت کلی برای استفاده از پروکسی داریم:

1. Reverse Proxy (پروکسی معکوس):

برای وقتی که یه کلاینت از بیرون شبکه می‌خواد به سایت ما دسترسی داشته باشه.
در این حالت:

ادرس IP پابلیک ما روی WAF تنظیم شده

کلاینت فکر میکنه داره به سرور ما وصل می‌شه، ولی در واقع WAF درخواست رو می‌گیره ‼

بعد از بررسی، WAF خودش درخواست رو به سرور داخلی می‌فرسته، با IP خودش به عنوان مبدا

یعنی لایه ۳ و ۴ تغییر میکنه، در نتیجه این روتینگ نیست، پروکسیه

2. Forward Proxy (پروکسی مستقیم):

برای وقتی که کاربر داخل شبکه ما می‌خواد به یه سایت بیرونی وصل بشه.

اینجا WAF یا یه پراکسی دیگه میاد بین کاربر و اینترنت قرار میگیره

می‌تونه ترافیک خروجی رو هم بررسی و محدود کنه

چرا WAF ترافیک رو می‌تونه بخونه؟

به خاطر اینکه در این سناریو، WAF پایان ارتباط TLS هست SSL Termination یعنی

گواهی SSL روی WAF نصب شده

ترافیک HTTPS به WAF میرسه و اون می‌تونه دیکریپتش کنه

بعد از تحلیل، دوباره به صورت رمزنگاری‌شده یا غیررمزنگاری‌شده به سرور فرستاده می‌شه

قابلیت‌های مهم WAF:

جلوگیری از حملات OWASP Top 10

بررسی دقیق Request/Response

فیلتر بر اساس IP، Geo، User-Agent و ...

قابلیت Rate Limiting و جلوگیری از Brute Force

گزارش‌گیری و لاگ‌برداری از ترافیک مشکوک

بعضی‌هاش حتی قابلیت Bot Management دارن

انواع WAF:

Cloud-based WAF
مثل Cloudflare, AWS WAF، نیاز به نصب نداره، مقیاس‌پذیر و راحت

Host-based WAF
نصب روی همون سروری که اپلیکیشن هست (مثل ModSecurity روی Apache/NGINX)

Network-based WAF
به صورت فیزیکی یا مجازی روی شبکه قرار می‌گیره و ترافیک رو مستقیم بررسی میکنه
https://news.1rj.ru/str/ViperNull

‼سه باند باج‌افزاری روی موج یک باگ خطرناک — ماجرای CVE-2025-31324‼

تصور کن یه در مخفی توی یکی از قلعه‌های مهم دنیای فناوری (SAP NetWeaver) پیدا بشه، در حالی که نگهبان‌ها خبر ندارن و مهاجم‌ها ازش رفت‌و‌آمد می‌کنن
این دقیقاً داستان باگ امنیتی جدیدیه به اسم CVE-2025-31324. این حفره امنیتی مثل یه مسیر مخفی بود که هکرا تونستن ازش وارد بشن و عملیات خودشونو اجرا کنن

حالا چه خبره؟ دست‌کم سه گروه خطرناک باج‌افزاری خیلی سریع خودشونو به این باگ رسوندن و دارن ازش سواستفاده میکنن. این گروه‌ها عبارت‌اند از:

1. BianLian

یه باند بدنام باج‌افزاری که قبلاً هم سابقه حملات شدید و پیشرفته رو داشته. به‌جای رمزگذاری اطلاعات، معمولاً روی افشای داده‌ها تمرکز دارن تا قربانی‌ها رو وادار به پرداخت باج کنن.

2. RansomExx (معروف به Storm-2460)

این گروه هم بیشتر با حملات به سازمان‌های دولتی و بزرگ شناخته می‌شه. اون‌ها معمولاً از ابزارهای پیچیده و سفارشی شده استفاده می‌کنن.

3. Qilin

یه باند روسی باج‌افزاری که به‌صورت گروهی و سازمان‌یافته عمل می‌کنه. Qilin قبلاً هم توی چند حمله به زیرساخت‌های حیاتی نقش داشته و حالا دوباره برگشته!

چطوری حمله می‌کنن؟

اگه بخوام خیلی ساده توضیح بدم، روششون اینطوریه:

آپلود یه شل مخرب روی سرور SAP آسیب‌پذیر

اجرای فایلی به نام rs64c.exe (یه ابزار برای دسترسی بیشتر و کنترل سیستم)

برقراری ارتباط با سرور کنترل و فرمان (Cobalt Strike C2)

اجرای کدهای مخرب برای نفوذ عمیق‌تر به شبکه قربانی

مثل اینه که یه گروه دزد با کلید یدکی، شبانه وارد بانک بشن، با دوربین حرف بزنن (C2)، و قدم‌به‌قدم راه نفوذشون رو گسترش بدن.

یه ابزار عجیب: PipeMagic

این گروه‌ها از یه تروجان خاص به اسم PipeMagic هم استفاده کردن. این ابزار مثل یه جعبه‌ابزار چندکاره برای نفوذ عمیق‌تره و قبلاً هم در حملات مربوط به یه باگ دیگه در ویندوز دیده شده بود.

ردپای چینی‌ها هم پیدا شد!

جالبه بدونی که فقط این سه گروه نبودن که از این باگ سو‌استفاده کردن. گروه‌های چینی هم وارد ماجرا شدن و تونستن از همین حفره برای اجرای فایل‌های مخرب خودشون استفاده کنن. نشون می‌ده این باگ خیلی وسوسه‌برانگیز بوده!

حرف آخر: زودتر از همه خبردار شدن!

نکته عجیب و نگران‌کننده اینجاست که هکرا از چند هفته قبل از افشای عمومی این باگ، ازش استفاده می‌کردن! یعنی در حالی که دنیا تازه فهمیده مشکل چیه، مهاجم‌ها قبلاً داشتن کارشونو می‌کردن. این نشون می‌ده که امنیت سایبری دیگه یه گزینه نیست؛ یه نیاز حتمی و فوریه

پیشنهاد امنیتی:
اگه از SAP NetWeaver یا هر سیستمی که به اینترنت وصله استفاده می‌کنی، حتماً وصله‌های امنیتی رو سریع نصب کن. از ابزارهای تشخیص نفوذ مثل EDR استفاده کن و ارتباطات خروجی سرور رو دقیق بررسی کن. چون ممکنه یکی از همین گروه‌ها همین الان داخل قلعه‌ت باشه.

https://news.1rj.ru/str/ViperNull

#پادکست
🎤 اپیزود 85 رادیو امنیت - پگاسوس و دنیای تاریک جاسوسی - سی‌ام اردیبهشت 1404

💠 موضوعات این قسمت:
00:14 مقدمه
02:28 هک پنل مدیریتی باج‌افزار LockBit و افشای جزئیات داخلی
11:28 جریمه 530 میلیون یورویی تیک‌تاک به دلیل نقض GDPR
16:43 انتشار بدافزار Noodlophile توسط تولیدکننده‌های جعلی ویدئوی هوش مصنوعی
29:00 سواستفاده از آسیب‌پذیری زیرودی MDaemon توسط گروه APT28
40:54 جریمه 168میلیون یورویی گروه NSO (سازنده بدافزار پگاسوس)
50:37 انتشار نسخه چهارم OtterCookie با قابلیت‌های جدید

⬅️ لینک CastBox
https://lian.ac/BrZ

⬅️ مشاهده ایپزودهای قبلی:
https://liangroup.net/home/podcast

تغییرات زیادی از این قسمت تو برنامه رادیو امنیت (سیف‌کست) بوجود اومده. منتظر نقطه نظرات شما هستیم.

🔸 اطلاعات بیشتر:
☺️ 02191004151 | 😎 WhatsApp | 😎 Telegram

💻 گروه لیان
☺️ https://liangroup.net/
☺️ @AcademyLian

#کتاب فارنزیک فایل سیستم