🌟 نمونه سوالات مصاحبه ی #امنیت #Cybersecurity

کتاب "Practical Malware Analysis" یه جورایی حکم قرآن هکرها و تحلیل‌گرای بدافزارو داره! اگه بخوای یاد بگیری یه بدافزار چطوری کار می‌کنه، از کجا میاد، چی کار می‌کنه، یا چطوری جلوی خرابکاریش رو بگیری، این کتاب یه مرجع توپ و حسابیه.

از اولش باهات راه میاد؛ یعنی فرض نمی‌کنه همه چی بلدی. از ابزارهای پایه مثل IDA Pro، OllyDbg، PEview گرفته تا تحلیل دستی و استاتیک و داینامیک (یعنی چه قبل اجرا چه بعد اجرا بررسی‌شون.
بهت یاد می‌ده چطور یه بدافزارو تو محیط امن اجرا کنی و رفتارشو ببینی.
مثال زیاد داره؛ یعنی فقط تئوری نمی‌گه، می‌گه "بیا اینو نگاه کن، ببین این بدافزار چه مرگشه.

@kali_signal

تفاوت بین EtherChannel در لایه دوم و لایه سوم چیه ؟


لایه ۲  EtherChannel

در سناریوهای مربوط به لایه دوم  وقتی چند لینک فیزیکی بین دو دستگاه (مثلاً سوئیچ‌ها) داریم، می‌تونیم اونها رو در قالب یک اتصال منطقی تجمیع کنیم این اتصال می‌تونه به عنوان یک Access یا Trunk تعریف بشه و تمام ترافیک‌های مربوط به VLAN و Broadcast از طریق همین گروه منتقل میشن
مبنای ارسال داده‌ها هم در این سطح معمولاً بر اساس آدرس MAC مقصد هست.
کاربردهاش چیه؟

اتصال دو سوئیچ در بستر لایه ۲

ارتباط به سرورهایی که NIC تیمینگ دارن

نمونه پیکربندی:

interface range fa0/1 - 4 channel-group 1 mode active interface port-channel 1 switchport mode trunk
با این تنظیمات، یه گروه EtherChannel در لایه ۲ ساختیم که به صورت trunk عمل میکنه

لایه ۳ و EtherChannel

در مدل لایه سوم عملکرد کمی متفاوت می‌شه اینجا لینک‌های فیزیکی دوباره یکی میشن، ولی نه به عنوان سوییچ پورت، بلکه به عنوان رابط مسیردهی (Routed Port)
در اینجا دیگه بحث VLAN وجود نداره و ترافیک بر اساس IP Routing مدیریت میشه می‌تونی مستقیم روی اینترفیس IP بدیم
موقعیت‌هایی که استفاده می‌شه:

ارتباط بین سوئیچ‌های core که وظیفه روتینگ دارن

اتصال بین سوئیچ و روتر

دیتاسنترهایی که لایه سوم رو مستقیم پیاده‌سازی می‌کنن

مثال کانفیگ:
interface range gi0/1 - 2 no switchport channel-group 2 mode active interface port-channel 2 no switchport ip address 192.168.100.1 255.255.255.0

تفاوت‌ها؛

برای ایجاد EtherChannel، دو پروتکل در دسترسه:

LACP (استاندارد IEEE)

PAgP (اختصاصی سیسکو)

اگه از من بپرسین، همیشه استفاده از LACP گزینه بهتر و قابل اعتمادتره، چون با تجهیزات مختلف سازگارتره

https://news.1rj.ru/str/ViperNull

⭕ویندوز ۱۱ هک شد! سه آسیب‌پذیری خطرناک در کمتر از یک روز کشف شد ‼

در مسابقات امنیتی Pwn2Own که همیشه پای ثابت خبرهای هیجان‌انگیز دنیای سایبره، امسال ویندوز ۱۱ دوباره تیتر اول شد
این رویداد در برلین و در تاریخ ۱۵ تا ۱۷ مه ۲۰۲۵ برگزار شد و در همون روز اول، سه آسیب‌پذیری بسیار مهم در ویندوز ۱۱ کشف و با موفقیت مورد بهره‌برداری قرار گرفت
این آسیب‌پذیری‌ها به محققان اجازه میداد تا دسترسی خودشون رو تا سطح SYSTEM بالا ببرن یعنی همون سطحی که تقریباً کنترل کامل سیستم رو در دستشون میذاره
حالا بیایید ببینیم چه کسانی پشت این ماجرا بودن و چطور تونستن این کار رو بکنن:

چن له چی (Chen Le Qi)
از تیم STARLabs SG با ترکیبی از دو آسیب‌پذیری (یکی use-after-free و یکی هم سرریز عدد صحیح) تونست سیستم رو هک کنه و بابتش ۳۰ هزار دلار جایزه گرفت.

مارسین ویازوفسکی (Marcin Wiązowski) هم با یک حمله نوشتن خارج از محدوده (Out-of-bounds write) موفق شد همین سطح دسترسی رو به دست بیاره و همون ۳۰ هزار دلار رو به جیب بزنه.

هیونجین چوی (Hyeonjin Choi) از تیم Out Of Bounds هم با استفاده از آسیب‌پذیری نوع‌پریشی (type confusion) ویندوز ۱۱ رو دور زد و ۱۵ هزار دلار دریافت کرد
جمع کل جایزه‌هایی که فقط برای این سه حمله داده شد: ۷۵ هزار دلار!
مسابقه Pwn2Own توسط شرکت Trend Micro و برنامهٔ Zero Day Initiative برگزار میشه و هدفش اینه که محققان امنیتی بتونن آسیب‌پذیری‌های مهم رو کشف کنن و به‌جای اینکه در اختیار هکرها قرار بدن، اون‌ها رو به صورت مسئولانه به شرکت‌های نرم‌افزاری مثل مایکروسافت گزارش بدن تا قبل از اینکه تبدیل به تهدیدی جدی بشه، اصلاح بشن.
در مجموع، فقط توی همین رویداد امسال بیش از ۱ میلیون دلار جایزه به محققان پرداخت شد. تیم STAR Labs SG هم با اختلاف به عنوان Master of Pwn یا همون "استاد نفوذ" امسال معرفی شد.
مایکروسافت احتمالاً توی ماه‌های آینده (معمولاً کمتر از ۹۰ روز) وصله‌های امنیتی لازم رو برای این آسیب‌پذیری‌ها منتشر می‌کنه. پس اگر ویندوز ۱۱ دارین، به‌خصوص اگر نسخه‌تون به‌روز نیست، بهتره که حتماً آپدیت‌ها رو جدی بگیرین.

https://news.1rj.ru/str/ViperNull

WAF چیه و چطور کار می‌کنه؟

⭕WAF یا Web Application Firewall⭕
یه فایروال مخصوص لایه ۷ از مدل OSI هست که دقیقاً برای محافظت از اپلیکیشن‌های تحت وب طراحی شده. برخلاف فایروال‌های معمولی که روی ترافیک شبکه یا لایه‌های پایین‌تر تمرکز دارن، WAF مستقیماً با پروتکل‌های HTTP و HTTPS تخصصی کارمیکنه داره.
هدف اصلی WAF اینه که جلوی حملات تحت وب مثل SQL Injection، Cross-Site Scripting (XSS)، File Inclusion، و کلی تهدید دیگه رو بگیره.

WAF دقیقاً چه کاری می‌کنه؟

وقتی ترافیک وب از سمت کاربر (کلاینت) به سمت وب‌سایت ما ارسال می‌شه، WAF وارد عمل میشه

تمام requestها و responseها رو بررسی می‌کنه

مقدار تمام inputهایی که کاربر فرستاده رو تحلیل میکنه

دنبال الگوهای مخرب، کدهای مشکوک، و رفتارهای غیرعادی می‌گرده

اگه چیزی مشکوک باشه، اون درخواست رو بلاک می‌کنه یا هشدار میده

برای اینکه بتونه این کار رو انجام بده، WAF باید ترافیک رو بخونه و تحلیل کنه. اما چطور این امکان رو پیدا می‌کنه؟ اینجاست که بحث پروکسی‌ها مطرح میشه.

پروکسی و نقش اون در WAF

WAF
معمولاً خودش رو جای وب‌سرور جا میزنه. یعنی وقتی کاربر از بیرون می‌خواد به سایت ما وصل بشه، در واقع اول به WAF وصل میشه
چرا؟ چون WAF به صورت یه Reverse Proxy وسط قرار میگیره.

پروکسی چیه؟

پروکسی یه واسطه‌ست که بین کلاینت و سرور قرار می‌گیره و ترافیک رو دریافت، تحلیل و بعداً ارسال میکنه. این وسط، پروکسی ترافیک رو:

Decapsulate (بازش می‌کنه و می‌خونه)

بعد از پردازش، دوباره Encapsulate می‌کنه (بسته‌بندیش می‌کنه و می‌فرسته جلو)

دو حالت کلی برای استفاده از پروکسی داریم:

1. Reverse Proxy (پروکسی معکوس):

برای وقتی که یه کلاینت از بیرون شبکه می‌خواد به سایت ما دسترسی داشته باشه.
در این حالت:

ادرس IP پابلیک ما روی WAF تنظیم شده

کلاینت فکر میکنه داره به سرور ما وصل می‌شه، ولی در واقع WAF درخواست رو می‌گیره ‼

بعد از بررسی، WAF خودش درخواست رو به سرور داخلی می‌فرسته، با IP خودش به عنوان مبدا

یعنی لایه ۳ و ۴ تغییر میکنه، در نتیجه این روتینگ نیست، پروکسیه

2. Forward Proxy (پروکسی مستقیم):

برای وقتی که کاربر داخل شبکه ما می‌خواد به یه سایت بیرونی وصل بشه.

اینجا WAF یا یه پراکسی دیگه میاد بین کاربر و اینترنت قرار میگیره

می‌تونه ترافیک خروجی رو هم بررسی و محدود کنه

چرا WAF ترافیک رو می‌تونه بخونه؟

به خاطر اینکه در این سناریو، WAF پایان ارتباط TLS هست SSL Termination یعنی

گواهی SSL روی WAF نصب شده

ترافیک HTTPS به WAF میرسه و اون می‌تونه دیکریپتش کنه

بعد از تحلیل، دوباره به صورت رمزنگاری‌شده یا غیررمزنگاری‌شده به سرور فرستاده می‌شه

قابلیت‌های مهم WAF:

جلوگیری از حملات OWASP Top 10

بررسی دقیق Request/Response

فیلتر بر اساس IP، Geo، User-Agent و ...

قابلیت Rate Limiting و جلوگیری از Brute Force

گزارش‌گیری و لاگ‌برداری از ترافیک مشکوک

بعضی‌هاش حتی قابلیت Bot Management دارن

انواع WAF:

Cloud-based WAF
مثل Cloudflare, AWS WAF، نیاز به نصب نداره، مقیاس‌پذیر و راحت

Host-based WAF
نصب روی همون سروری که اپلیکیشن هست (مثل ModSecurity روی Apache/NGINX)

Network-based WAF
به صورت فیزیکی یا مجازی روی شبکه قرار می‌گیره و ترافیک رو مستقیم بررسی میکنه
https://news.1rj.ru/str/ViperNull

‼سه باند باج‌افزاری روی موج یک باگ خطرناک — ماجرای CVE-2025-31324‼

تصور کن یه در مخفی توی یکی از قلعه‌های مهم دنیای فناوری (SAP NetWeaver) پیدا بشه، در حالی که نگهبان‌ها خبر ندارن و مهاجم‌ها ازش رفت‌و‌آمد می‌کنن
این دقیقاً داستان باگ امنیتی جدیدیه به اسم CVE-2025-31324. این حفره امنیتی مثل یه مسیر مخفی بود که هکرا تونستن ازش وارد بشن و عملیات خودشونو اجرا کنن

حالا چه خبره؟ دست‌کم سه گروه خطرناک باج‌افزاری خیلی سریع خودشونو به این باگ رسوندن و دارن ازش سواستفاده میکنن. این گروه‌ها عبارت‌اند از:

1. BianLian

یه باند بدنام باج‌افزاری که قبلاً هم سابقه حملات شدید و پیشرفته رو داشته. به‌جای رمزگذاری اطلاعات، معمولاً روی افشای داده‌ها تمرکز دارن تا قربانی‌ها رو وادار به پرداخت باج کنن.

2. RansomExx (معروف به Storm-2460)

این گروه هم بیشتر با حملات به سازمان‌های دولتی و بزرگ شناخته می‌شه. اون‌ها معمولاً از ابزارهای پیچیده و سفارشی شده استفاده می‌کنن.

3. Qilin

یه باند روسی باج‌افزاری که به‌صورت گروهی و سازمان‌یافته عمل می‌کنه. Qilin قبلاً هم توی چند حمله به زیرساخت‌های حیاتی نقش داشته و حالا دوباره برگشته!

چطوری حمله می‌کنن؟

اگه بخوام خیلی ساده توضیح بدم، روششون اینطوریه:

آپلود یه شل مخرب روی سرور SAP آسیب‌پذیر

اجرای فایلی به نام rs64c.exe (یه ابزار برای دسترسی بیشتر و کنترل سیستم)

برقراری ارتباط با سرور کنترل و فرمان (Cobalt Strike C2)

اجرای کدهای مخرب برای نفوذ عمیق‌تر به شبکه قربانی

مثل اینه که یه گروه دزد با کلید یدکی، شبانه وارد بانک بشن، با دوربین حرف بزنن (C2)، و قدم‌به‌قدم راه نفوذشون رو گسترش بدن.

یه ابزار عجیب: PipeMagic

این گروه‌ها از یه تروجان خاص به اسم PipeMagic هم استفاده کردن. این ابزار مثل یه جعبه‌ابزار چندکاره برای نفوذ عمیق‌تره و قبلاً هم در حملات مربوط به یه باگ دیگه در ویندوز دیده شده بود.

ردپای چینی‌ها هم پیدا شد!

جالبه بدونی که فقط این سه گروه نبودن که از این باگ سو‌استفاده کردن. گروه‌های چینی هم وارد ماجرا شدن و تونستن از همین حفره برای اجرای فایل‌های مخرب خودشون استفاده کنن. نشون می‌ده این باگ خیلی وسوسه‌برانگیز بوده!

حرف آخر: زودتر از همه خبردار شدن!

نکته عجیب و نگران‌کننده اینجاست که هکرا از چند هفته قبل از افشای عمومی این باگ، ازش استفاده می‌کردن! یعنی در حالی که دنیا تازه فهمیده مشکل چیه، مهاجم‌ها قبلاً داشتن کارشونو می‌کردن. این نشون می‌ده که امنیت سایبری دیگه یه گزینه نیست؛ یه نیاز حتمی و فوریه

پیشنهاد امنیتی:
اگه از SAP NetWeaver یا هر سیستمی که به اینترنت وصله استفاده می‌کنی، حتماً وصله‌های امنیتی رو سریع نصب کن. از ابزارهای تشخیص نفوذ مثل EDR استفاده کن و ارتباطات خروجی سرور رو دقیق بررسی کن. چون ممکنه یکی از همین گروه‌ها همین الان داخل قلعه‌ت باشه.

https://news.1rj.ru/str/ViperNull

#پادکست
🎤 اپیزود 85 رادیو امنیت - پگاسوس و دنیای تاریک جاسوسی - سی‌ام اردیبهشت 1404

💠 موضوعات این قسمت:
00:14 مقدمه
02:28 هک پنل مدیریتی باج‌افزار LockBit و افشای جزئیات داخلی
11:28 جریمه 530 میلیون یورویی تیک‌تاک به دلیل نقض GDPR
16:43 انتشار بدافزار Noodlophile توسط تولیدکننده‌های جعلی ویدئوی هوش مصنوعی
29:00 سواستفاده از آسیب‌پذیری زیرودی MDaemon توسط گروه APT28
40:54 جریمه 168میلیون یورویی گروه NSO (سازنده بدافزار پگاسوس)
50:37 انتشار نسخه چهارم OtterCookie با قابلیت‌های جدید

⬅️ لینک CastBox
https://lian.ac/BrZ

⬅️ مشاهده ایپزودهای قبلی:
https://liangroup.net/home/podcast

تغییرات زیادی از این قسمت تو برنامه رادیو امنیت (سیف‌کست) بوجود اومده. منتظر نقطه نظرات شما هستیم.

🔸 اطلاعات بیشتر:
☺️ 02191004151 | 😎 WhatsApp | 😎 Telegram

💻 گروه لیان
☺️ https://liangroup.net/
☺️ @AcademyLian

#کتاب فارنزیک فایل سیستم

بررسی ابزارهای تحلیل و ردگیری IP در اوسینت (OSINT)
در فرایند جمع‌آوری اطلاعات از طریق اوسینت، بررسی آدرس‌های IP می‌تواند داده‌های ارزشمندی درباره موقعیت جغرافیایی، وضعیت امنیتی، ارتباطات دامنه‌ای و نشتی اطلاعات در اختیار ما بگذارد.
در این راستا، ابزارها و سرویس‌های متعددی برای تحلیل IP وجود دارد که در دسته‌بندی‌های مختلف قابل معرفی هستند:

موقعیت جغرافیایی (GeoIP):
برای تعیین موقعیت IPها می‌توان از سرویس‌هایی نظیر MaxMind، SypexGeo و IPinfo استفاده کرد.

اطلاعات مالکیت دامنه و DNS:
ابزارهایی چون DomainTools، ViewDNS، DNSDumpster، PTRArchive و DNSlytics امکان مشاهده اطلاعات WHOIS، تحلیل رکوردهای DNS و شناسایی دامنه‌های مرتبط با یک IP را فراهم می‌کنند.

نشت داده‌ها (Data Leaks):
سرویس‌هایی مانند IntelX، LeakIX و آرشیو CyberHub امکان بررسی افشای اطلاعات مرتبط با IP را در منابع عمومی فراهم می‌سازند.

ارزیابی کیفیت و شهرت IP:
Talos Intelligence و IPQualityScore دو ابزار مفید برای بررسی اعتبار و ریسک احتمالی IPها هستند.

سرویس‌های مربوط به اینترنت اشیا (IoT):
پایگاه‌هایی مانند Shodan، ZoomEye، Censys، FOFA و Spyse امکان شناسایی دستگاه‌های متصل به اینترنت را از طریق IP می‌دهند.

چارچوب‌ها و ابزارهای خودکار تحلیل:
Frameworkهایی مانند Spiderfoot و OTX (AlienVault) برای تحلیل جامع داده‌های مربوط به IP کاربرد دارند.

تصویری‌سازی و ارتباط‌سنجی:
ThreatCrowd از جمله ابزارهایی است که ارتباط بین IP، دامنه و ایمیل را به‌صورت گرافیکی نمایش می‌دهد.

رهگیری و ثبت IP از طریق لینک‌ها:
برای ثبت آدرس‌های IP بازدیدکننده از لینک‌ها می‌توان از سرویس‌هایی مانند CanaryTokens، Grabify و IPLogger بهره گرفت.

نظارت بر دانلودهای همتا به همتا:
وب‌سایتی مانند IKnowWhatYouDownload می‌تواند سابقه دانلودهای انجام‌شده با یک IP را نشان دهد.


https://news.1rj.ru/str/ViperNull