ViperNułł
Chanel telegram : @sec_netw🕷
حمله ARP Spoofing چیه؟ معرفی ARP Poisoning و روش مقابله با ان
❗️پروتکول ARP) Address resolation protocol) پروتکلی برای تبدیل ادرس ip به مکادرسه و مهاجم از این پروتکول برای اهداف مخربانه خود استفاده میکند در این حمله مهاجم با ارسال بسته های ARP Gratuitous) GARP ) خود را برای مثال بعنوان gateway شبکه اعلام میکنه سیستم های موجود در شبکه اطلاعات دریافت شده از بسته arp را در arp table خود ذخیره و بروزرسانی میکنند
پس کامپیوترها ترافیک خارج از شبکه خود را تحویل مهاجم می دهند و اگر مهاجم بعد از بدست آوردن اطلاعات مورد نیاز خود ترافیک به گیت وی اصلی ارسال کند کاربران از این اتفاق بی خبر خواهند بود این حمله را(men in the middle)می نامند
برای جلوگیری از این نوع حمله ما با استفاده از Dynamic ARP inspection باعث میشود DHCP Snooping کار کند تا جلوی این حمله را بگیرد
در Dynamic ARP inspection پورت های trusted و untrusted مشخص می شود پورت های Access باید به عنوان untrusted و پورت های متصل به روتر یا سویچ و دستگاه های که نمی خواهد بسته های ARP آنها چک نشوند را در حالت trusted قرار میدیم
با استفاده از دستور زیر پورت را در حالت trusted قرار داده می شود.
Switch(config)# ip arp inspection vlan 1
Switch(config-if)# ip arp inspection trust
Chanel telegram : @sec_netw🕷
❗️پروتکول ARP) Address resolation protocol) پروتکلی برای تبدیل ادرس ip به مکادرسه و مهاجم از این پروتکول برای اهداف مخربانه خود استفاده میکند در این حمله مهاجم با ارسال بسته های ARP Gratuitous) GARP ) خود را برای مثال بعنوان gateway شبکه اعلام میکنه سیستم های موجود در شبکه اطلاعات دریافت شده از بسته arp را در arp table خود ذخیره و بروزرسانی میکنند
پس کامپیوترها ترافیک خارج از شبکه خود را تحویل مهاجم می دهند و اگر مهاجم بعد از بدست آوردن اطلاعات مورد نیاز خود ترافیک به گیت وی اصلی ارسال کند کاربران از این اتفاق بی خبر خواهند بود این حمله را(men in the middle)می نامند
برای جلوگیری از این نوع حمله ما با استفاده از Dynamic ARP inspection باعث میشود DHCP Snooping کار کند تا جلوی این حمله را بگیرد
در Dynamic ARP inspection پورت های trusted و untrusted مشخص می شود پورت های Access باید به عنوان untrusted و پورت های متصل به روتر یا سویچ و دستگاه های که نمی خواهد بسته های ARP آنها چک نشوند را در حالت trusted قرار میدیم
با استفاده از دستور زیر پورت را در حالت trusted قرار داده می شود.
Switch(config)# ip arp inspection vlan 1
Switch(config-if)# ip arp inspection trust
Chanel telegram : @sec_netw🕷
❤🔥6
ViperNułł
Chanel telegram : @sec_netw🕷
منظور از hashing چیه ؟
سلام امروز میخامراجب اینموضوع که hashing چیه صحبت کنم
خب اول از همه hashing چیه؟ Hashing یا درهم سازی به تبدیل کردن یک رشته داده ورودی متغیر و خروجی ثابت میگن که بر اساس هر الگوریتم خروجی hasing متفاوت است. برای مثال ما یه فایل ۱۰ هزار خطی داریم وقتی اون رو با یه الگوریتم hashing مثل md5 اونرو hash میکنیم یه خروجی ab7b6da7342ea2599198c3ba396984b55 شبیه این دریافت خاهیم کرد و حتی ما اگه یه فایل متنی ۵ خطی هم وارد کنیم با همین تعداد کارکتر یه خروخی دریافت خاهیم کرد .
فرض کنید ما پسورد ۱۲۳۴۵۶ رو داریم و خب بسیار حدس زدنش سادس و به راحتی کرک میشود ولی اگه هش کنیم یه خروجی ab7b6da7342ea2599198c3ba3e884b55
به این شکل تحویلمون میده خب سخت شد کار.
آشپزی، Hashing به معنی خرد و سپس مخلوط کردن یک چیزه در علوم کامپیوتر، هشینگ معنی تقریبا یکسانی داره در اینجا یک کامپیوتر قطعهای داده را بدون توجه به طولش دریافت کرده و با استفاده از فرمولهای ریاضی، اون رو خرد و مخلوط میکنه. نتیجه همیشه دارای طول ثابت است و به اندازه ورودی بستگی ندارد. به همین دلیل طول هش شش کاراکتر "123456" با هش متن ۱۰ هزار خطی یکسان شد.
از تقریبا هر محتوای دیجیتال نظیر یک سند، یک تصویر، یک فایل صوتی نظیر موزیک یا هر چیز دیگر میتوان یک هش تولید کرد. هر محتوای دیجیتال در عمل و در پایینترین سطح، چیزی به جز یک مشت 0 و 1 نیست. با در نظر گرفتن این شباهت، تولید هش هر نوع داده امکانپذیر میشود.
کاربردترین استفاده های یک تابع درهم سازی یا Hashing Function در پایگاه داده های وب سایت ها یا حتی سیستم خود شما برای نگهداری رمزهای عبور است. تمامی رمزهای عبوری که در پایگاه داده یک وب سایت ذخیره می شوند به حالت Hash شده نگهداری می شوند ، این یعنی اینکه اگر رمز عبور شما 1 کاراکتر باشد و یا اینکه 100 کاراکتر باشد در نهایت بصورت مثلا یک رشته داده 128 بیتی در پایگاه داده بصورت درهم سازی شده نگهداری می شود. هر بار که شما می خواهید به وب سایت وارد شوید ، رمز عبور شما دریافت می شود و تبدیل به مقدار یا Hash Value می شود و با پایگاه داده مورد نظر مقایسه می شود ، اگر مقادیر برابر بود یعنی رمز شما درست است ، دیگر فرقی نمی کند رمز شما یک کاراکتر باشد یا ده ها کاراکتر در نهایت سرعت جستجو در چنین حالتی بسیار بالا خواهد رفت.
Chanel telegram : @sec_netw🕷
سلام امروز میخامراجب اینموضوع که hashing چیه صحبت کنم
خب اول از همه hashing چیه؟ Hashing یا درهم سازی به تبدیل کردن یک رشته داده ورودی متغیر و خروجی ثابت میگن که بر اساس هر الگوریتم خروجی hasing متفاوت است. برای مثال ما یه فایل ۱۰ هزار خطی داریم وقتی اون رو با یه الگوریتم hashing مثل md5 اونرو hash میکنیم یه خروجی ab7b6da7342ea2599198c3ba396984b55 شبیه این دریافت خاهیم کرد و حتی ما اگه یه فایل متنی ۵ خطی هم وارد کنیم با همین تعداد کارکتر یه خروخی دریافت خاهیم کرد .
فرض کنید ما پسورد ۱۲۳۴۵۶ رو داریم و خب بسیار حدس زدنش سادس و به راحتی کرک میشود ولی اگه هش کنیم یه خروجی ab7b6da7342ea2599198c3ba3e884b55
به این شکل تحویلمون میده خب سخت شد کار.
آشپزی، Hashing به معنی خرد و سپس مخلوط کردن یک چیزه در علوم کامپیوتر، هشینگ معنی تقریبا یکسانی داره در اینجا یک کامپیوتر قطعهای داده را بدون توجه به طولش دریافت کرده و با استفاده از فرمولهای ریاضی، اون رو خرد و مخلوط میکنه. نتیجه همیشه دارای طول ثابت است و به اندازه ورودی بستگی ندارد. به همین دلیل طول هش شش کاراکتر "123456" با هش متن ۱۰ هزار خطی یکسان شد.
از تقریبا هر محتوای دیجیتال نظیر یک سند، یک تصویر، یک فایل صوتی نظیر موزیک یا هر چیز دیگر میتوان یک هش تولید کرد. هر محتوای دیجیتال در عمل و در پایینترین سطح، چیزی به جز یک مشت 0 و 1 نیست. با در نظر گرفتن این شباهت، تولید هش هر نوع داده امکانپذیر میشود.
کاربردترین استفاده های یک تابع درهم سازی یا Hashing Function در پایگاه داده های وب سایت ها یا حتی سیستم خود شما برای نگهداری رمزهای عبور است. تمامی رمزهای عبوری که در پایگاه داده یک وب سایت ذخیره می شوند به حالت Hash شده نگهداری می شوند ، این یعنی اینکه اگر رمز عبور شما 1 کاراکتر باشد و یا اینکه 100 کاراکتر باشد در نهایت بصورت مثلا یک رشته داده 128 بیتی در پایگاه داده بصورت درهم سازی شده نگهداری می شود. هر بار که شما می خواهید به وب سایت وارد شوید ، رمز عبور شما دریافت می شود و تبدیل به مقدار یا Hash Value می شود و با پایگاه داده مورد نظر مقایسه می شود ، اگر مقادیر برابر بود یعنی رمز شما درست است ، دیگر فرقی نمی کند رمز شما یک کاراکتر باشد یا ده ها کاراکتر در نهایت سرعت جستجو در چنین حالتی بسیار بالا خواهد رفت.
Chanel telegram : @sec_netw🕷
🔥4
ViperNułł
Chanel telegram : @sec_netw🕷
چه جوری میشه فهمید ک یه سوییچ سیسکو واقعا full poe هستش؟
#جواب
به چند روش امکانپذیره
۱. بررسی مشخصات دستگاه:
اولین و سادهترین روش، (datasheet) سوییچ
سیسکو معمولاً نوع PoE پشتیبانی شده رو تو مشخصات فنی دستگاه مشخص میکنه اگر سوییچ Full PoE باشه تو مشخصات به
PoE+ (802.3at) یا UPOE (Universal Power over Ethernet)
اشاره میکنه ، Full PoE به معنای تأمین برق تا 30 وات برای هر پورته (در PoE+)
۲. دستور نمایش قابلیتهای PoE:
میتونی به سوئیچ CLI بزنی با دستور زیر ببینی که سوییچ از Full PoE پشتیبانی میکنه یا نه
# show power inline
با زدن این دستور اطلاعاتی در مورد توان هر پورت و وضعیت PoE رو میتونی ببینی حالا اگه مقدار Max Power برای هر پورت نزدیک به 30 وات یا بیشتر بود نشون نیده سوییچ شما Full PoE هستش
۳. بررسی مدل و سری سوییچ:
حالا بعضی مدلهای سوییچ سیسکو بهطور خاص برای Full PoE شاخته شده مثلا ، سوییچهای سری Cisco Catalyst 9000 و بعضی مدلهای Cisco Catalyst 2960X و Cisco Catalyst 3650 از Full PoE پشتیبانی میکنه
اگرتو اسممدل، عبارات P یا UPoE دیدی نشون میده که پشتیبانی از PoE+ یا UPOE داره
۴. بررسی لیبل روی دستگاه:
معمولاً سوییچهایی که PoE پشتیبانی میکنن، برچسبی روی بدنه دارن که مشخص میکنه این سوییچ PoE یا PoE+ هست
۵. بررسی توان کلی (Total Power Budget):
یه راه حل دیگه مهست
سوییچهای Full PoE یه توان کلی مشخصی برای پشتیبانی از تعداد پورتهای PoE دارن مثلا ، یه سوییچ Full PoE باید توان کافی برای تأمین برق تمامی پورتهای PoE+ (30 وات) داشته باشه
Chanel telegram : @sec_netw🕷
#جواب
به چند روش امکانپذیره
۱. بررسی مشخصات دستگاه:
اولین و سادهترین روش، (datasheet) سوییچ
سیسکو معمولاً نوع PoE پشتیبانی شده رو تو مشخصات فنی دستگاه مشخص میکنه اگر سوییچ Full PoE باشه تو مشخصات به
PoE+ (802.3at) یا UPOE (Universal Power over Ethernet)
اشاره میکنه ، Full PoE به معنای تأمین برق تا 30 وات برای هر پورته (در PoE+)
۲. دستور نمایش قابلیتهای PoE:
میتونی به سوئیچ CLI بزنی با دستور زیر ببینی که سوییچ از Full PoE پشتیبانی میکنه یا نه
# show power inline
با زدن این دستور اطلاعاتی در مورد توان هر پورت و وضعیت PoE رو میتونی ببینی حالا اگه مقدار Max Power برای هر پورت نزدیک به 30 وات یا بیشتر بود نشون نیده سوییچ شما Full PoE هستش
۳. بررسی مدل و سری سوییچ:
حالا بعضی مدلهای سوییچ سیسکو بهطور خاص برای Full PoE شاخته شده مثلا ، سوییچهای سری Cisco Catalyst 9000 و بعضی مدلهای Cisco Catalyst 2960X و Cisco Catalyst 3650 از Full PoE پشتیبانی میکنه
اگرتو اسممدل، عبارات P یا UPoE دیدی نشون میده که پشتیبانی از PoE+ یا UPOE داره
۴. بررسی لیبل روی دستگاه:
معمولاً سوییچهایی که PoE پشتیبانی میکنن، برچسبی روی بدنه دارن که مشخص میکنه این سوییچ PoE یا PoE+ هست
۵. بررسی توان کلی (Total Power Budget):
یه راه حل دیگه مهست
سوییچهای Full PoE یه توان کلی مشخصی برای پشتیبانی از تعداد پورتهای PoE دارن مثلا ، یه سوییچ Full PoE باید توان کافی برای تأمین برق تمامی پورتهای PoE+ (30 وات) داشته باشه
Chanel telegram : @sec_netw🕷
❤3
Forwarded from Safe Defense 🇮🇷
در حملات HTTP Flood، مهاجم برای دور زدن مکانیزمهای تشخیص و جلوگیری، از کدام تکنیک پیشرفته استفاده میکند که شامل ارسال درخواستهای جعلی شبیه به رفتار کاربران واقعی است؟
Anonymous Quiz
33%
الف) استفاده از باتنتهای توزیعشده برای جعل IP
35%
ب) تنظیم نرخ درخواستها برای جلوگیری از شناسایی الگوهای غیرعادی
20%
ج) بهرهگیری از بستههای کوچک و ناقص برای اشغال منابع سرور
12%
د) استفاده از پروتکل UDP برای اشباع پهنای باند سرور
👏1
هکرهای کره شمالی چگونه به سیستم های امنیتی و سایبری میخندند؟
هکرهای کره شمالی، به ویژه گروههای معروف مانند Lazarus Group، با استفاده از روشهای پیچیده و هدفمند به سیستمهای امنیتی نفوذ میکنند. آنها اغلب از تکنیکهایی مانند فیشینگ هدفمند، بدافزارهای پیچیده، سوءاستفاده از ضعفهای امنیتی روز صفر (zero-day vulnerabilities)، و تزریق بدافزار در بهروزرسانیهای نرمافزارهای معتبر استفاده میکنند.
این هکرها بهخوبی در حملات زنجیره تامین (supply chain attacks) مهارت دارند. در این حملات، به جای حمله مستقیم به هدف نهایی، به یک شرکت تأمینکننده نرمافزار یا سختافزار نفوذ میکنند و با وارد کردن بدافزار، آن را به سیستمهای بیشتری انتقال میدهند.
به دلیل استفاده از این تاکتیکها و پیشبینینشدنی بودن حملات، برخی از کارشناسان معتقدند که هکرهای کره شمالی "به سیستمهای امنیتی میخندند"، چرا که بهراحتی میتوانند اقدامات امنیتی پیچیده را دور بزنند و به اهداف خود دست پیدا کنند. همچنین این گروهها از پروتکلهای مبهم، شبکههای ناشناس و سرورهای پروکسی متعدد استفاده میکنند تا شناسایی و ردگیری آنها دشوار شود.
@sec_netw
هکرهای کره شمالی، به ویژه گروههای معروف مانند Lazarus Group، با استفاده از روشهای پیچیده و هدفمند به سیستمهای امنیتی نفوذ میکنند. آنها اغلب از تکنیکهایی مانند فیشینگ هدفمند، بدافزارهای پیچیده، سوءاستفاده از ضعفهای امنیتی روز صفر (zero-day vulnerabilities)، و تزریق بدافزار در بهروزرسانیهای نرمافزارهای معتبر استفاده میکنند.
این هکرها بهخوبی در حملات زنجیره تامین (supply chain attacks) مهارت دارند. در این حملات، به جای حمله مستقیم به هدف نهایی، به یک شرکت تأمینکننده نرمافزار یا سختافزار نفوذ میکنند و با وارد کردن بدافزار، آن را به سیستمهای بیشتری انتقال میدهند.
به دلیل استفاده از این تاکتیکها و پیشبینینشدنی بودن حملات، برخی از کارشناسان معتقدند که هکرهای کره شمالی "به سیستمهای امنیتی میخندند"، چرا که بهراحتی میتوانند اقدامات امنیتی پیچیده را دور بزنند و به اهداف خود دست پیدا کنند. همچنین این گروهها از پروتکلهای مبهم، شبکههای ناشناس و سرورهای پروکسی متعدد استفاده میکنند تا شناسایی و ردگیری آنها دشوار شود.
@sec_netw
👍4
ابزار تشخیص نفوذ به شبکه وای فای خانگی و شرکت های کوچک
برنامه NetAlertX یک ابزار تشخیص نفوذ به Wi-Fi/LAN است که دستگاههای متصل به شبکه را اسکن و در صورت شناسایی دستگاههای جدید یا ناشناخته، هشدار میدهد و مناسب محیطهای کوچک مثل «خانه» است.
🟢یک ویژگی باحال آن، امکان طراحی Kill Switch برای قطع همه چیز است!
@sec_netw🕷
برنامه NetAlertX یک ابزار تشخیص نفوذ به Wi-Fi/LAN است که دستگاههای متصل به شبکه را اسکن و در صورت شناسایی دستگاههای جدید یا ناشناخته، هشدار میدهد و مناسب محیطهای کوچک مثل «خانه» است.
🟢یک ویژگی باحال آن، امکان طراحی Kill Switch برای قطع همه چیز است!
@sec_netw🕷
🔥4👍1
ViperNułł
@Sec_networks🕷
🕷bootstrap sector virus یا boot kit
چیست؟
خب اول از همه راجب اینکه ( Boot Sector ) چیه یه توضیح کلی بدم
ما هر هارد دیسک که داریم قسمت اول اون هارد دیسک یعنی 512byte اون هارد دیسک که شامل اطلاعاتی مانند چگونگی شروع بوت شدن سیستم عامل هست رزرو که بهش میگن
MBR( Master Boot Record )
حالا MBR از دو قسمت تشکیل شده که یکیش کد های Boot strap یکیش partition table و magic number
خب وظایف هرکدام چیه؟
1⃣bootstrap یا boot loader ( 446 BYTE )
وقتی سیستم ما روشن میشه اولین کاری که اتفاق میفته میره این قسمت یعنی بوت لودر هارد دیسک رو میخونه و سیستم بوت میشه
2⃣partition table ( 64 BYTE )
اطلاعات پارتیشن های اون هارد دیسک قرار داره توشون مثلا چقدر فضا برای هر پارتیشن باقی مونده چقدرش مصرف شده اسم هر پارتیشن چیه و اطلاعات مربوط به پارتیشن های سیستم
3⃣ magick number ( 2 BYTE )
وظیفش اینه که بیاد برسی کنه که کد های قسمت بوت لودر یا همون بوت استرپتعقیری کرده یانه ( حالا بر اساس اون عملیات ریاضی که انجام میده و یه کدی که بدست میاد برسی میکنه ) اون عدد بدست اومده دو طرف برابر باشه یعنی تعقیری نیست اما اگه برابر نباشه یعنی تعقیر ایجاد شده روی بوت لود و یه پیغامی بهمون نمایش میده که همینجا مشخص میشه boot sector virus یا همون boot kit هست این وسط
➖➖➖➖➖➖➖➖➖➖➖➖
بوت سکتور میتواند توسط بدافزار ها مورد هدف قرار بگیره و سیستم شما را آلوده کنه.
بدافزار نویسان علاقه زیادی به آلوده کردن سیستم از راه Boot sector دارند چون کد های بوت سکتور به طور اتوماتیک اجرا میشوند و زمانی که سیستم شروع به بوت شدن میکنه این ویروس ها میتونن شروع به فعالیت کنن ' یعنی وقتی سیستم خاموش یا روشن باشه نمیتونن فعالیت کنن وقتی که سیستم لود میشه
حالا bot kit ها دقیقا چکار هایی انجام میدن ؟!
سرقت دیتا - لود نشدن سیستم یا برای مثال میتونن هنگام لود شدن سیستم بما پیامی نشون بدن که مثلا مموری شما خرابه و نمیتونید وارد سیستم عامل بشید ، با اینکه اصلا مموری خراب نیست !!
یا حتی بیان اطلاعات مربوط به قسمت پارتیشن تیبل رو تعقیر بدن مثلا بیان کلا تمام پارتیشن ها و اطلاعاتو پاکشون کنن یا مثلا اطلاعات درایو هارو تعقیرش بدن
چطوری تکثیر پیدا میکنن ؟!
برای تکثیر پیداکردن اکثرا از محیط dos سیستم استفاده میکنه ، کد های مخرب خودش رو وارد میکنه و زمانی که یه flapy یا منظور همان بوت لودری بخاد وصل بشه به سیستم خودشون رو انتقال بدن بهش
➖➖➖➖➖➖➖➖➖
راهکار های شناسایی BOOT KIT ؟!
انتی ویروس ها
برسی مجیکنامبر
bootable virus scanner
{
نمونه ای از این نرم افزارها Anvi Rescue Disk ، AVG Rescue CD ، Avira Rescue System ، Kaspersky Rescue Disk و ... }
برخی از مادربورد ها که از تکنولوژی UEFI پشتیبانی میکنند مانع از اجرا شدن برخی از بدافزارها در هنگام بوت شدن سیستم میشود UEFI به طور فعال از تغییر یافتن بوت سکتور جلوگیری میکند و فعال بودن این ویژگی باعث جلوگیری میشود
نسل جدید این ویروس ها خیلی سخت شناسایی میشن ، ویروس میاد اون قسمت بوت استرپ رکورد رو رمزنگاری میکنه و مجیک نامبر نمیتونه این قسمت رو نگاه کنه و خود ویروس میاد کلید رو روی بوت لود اعمال میکنه و فعال میشه
دوستان ممنون میشم اگه چیزی جا موند و یا اشتباه بود رو برام توی کامنتا بگید اصلاحش کنم 🙏🌹
@Sec_networks🕷
چیست؟
خب اول از همه راجب اینکه ( Boot Sector ) چیه یه توضیح کلی بدم
ما هر هارد دیسک که داریم قسمت اول اون هارد دیسک یعنی 512byte اون هارد دیسک که شامل اطلاعاتی مانند چگونگی شروع بوت شدن سیستم عامل هست رزرو که بهش میگن
MBR( Master Boot Record )
حالا MBR از دو قسمت تشکیل شده که یکیش کد های Boot strap یکیش partition table و magic number
خب وظایف هرکدام چیه؟
1⃣bootstrap یا boot loader ( 446 BYTE )
وقتی سیستم ما روشن میشه اولین کاری که اتفاق میفته میره این قسمت یعنی بوت لودر هارد دیسک رو میخونه و سیستم بوت میشه
2⃣partition table ( 64 BYTE )
اطلاعات پارتیشن های اون هارد دیسک قرار داره توشون مثلا چقدر فضا برای هر پارتیشن باقی مونده چقدرش مصرف شده اسم هر پارتیشن چیه و اطلاعات مربوط به پارتیشن های سیستم
3⃣ magick number ( 2 BYTE )
وظیفش اینه که بیاد برسی کنه که کد های قسمت بوت لودر یا همون بوت استرپتعقیری کرده یانه ( حالا بر اساس اون عملیات ریاضی که انجام میده و یه کدی که بدست میاد برسی میکنه ) اون عدد بدست اومده دو طرف برابر باشه یعنی تعقیری نیست اما اگه برابر نباشه یعنی تعقیر ایجاد شده روی بوت لود و یه پیغامی بهمون نمایش میده که همینجا مشخص میشه boot sector virus یا همون boot kit هست این وسط
➖➖➖➖➖➖➖➖➖➖➖➖
بوت سکتور میتواند توسط بدافزار ها مورد هدف قرار بگیره و سیستم شما را آلوده کنه.
بدافزار نویسان علاقه زیادی به آلوده کردن سیستم از راه Boot sector دارند چون کد های بوت سکتور به طور اتوماتیک اجرا میشوند و زمانی که سیستم شروع به بوت شدن میکنه این ویروس ها میتونن شروع به فعالیت کنن ' یعنی وقتی سیستم خاموش یا روشن باشه نمیتونن فعالیت کنن وقتی که سیستم لود میشه
حالا bot kit ها دقیقا چکار هایی انجام میدن ؟!
سرقت دیتا - لود نشدن سیستم یا برای مثال میتونن هنگام لود شدن سیستم بما پیامی نشون بدن که مثلا مموری شما خرابه و نمیتونید وارد سیستم عامل بشید ، با اینکه اصلا مموری خراب نیست !!
یا حتی بیان اطلاعات مربوط به قسمت پارتیشن تیبل رو تعقیر بدن مثلا بیان کلا تمام پارتیشن ها و اطلاعاتو پاکشون کنن یا مثلا اطلاعات درایو هارو تعقیرش بدن
چطوری تکثیر پیدا میکنن ؟!
برای تکثیر پیداکردن اکثرا از محیط dos سیستم استفاده میکنه ، کد های مخرب خودش رو وارد میکنه و زمانی که یه flapy یا منظور همان بوت لودری بخاد وصل بشه به سیستم خودشون رو انتقال بدن بهش
➖➖➖➖➖➖➖➖➖
راهکار های شناسایی BOOT KIT ؟!
انتی ویروس ها
برسی مجیکنامبر
bootable virus scanner
{
نمونه ای از این نرم افزارها Anvi Rescue Disk ، AVG Rescue CD ، Avira Rescue System ، Kaspersky Rescue Disk و ... }
برخی از مادربورد ها که از تکنولوژی UEFI پشتیبانی میکنند مانع از اجرا شدن برخی از بدافزارها در هنگام بوت شدن سیستم میشود UEFI به طور فعال از تغییر یافتن بوت سکتور جلوگیری میکند و فعال بودن این ویژگی باعث جلوگیری میشود
نسل جدید این ویروس ها خیلی سخت شناسایی میشن ، ویروس میاد اون قسمت بوت استرپ رکورد رو رمزنگاری میکنه و مجیک نامبر نمیتونه این قسمت رو نگاه کنه و خود ویروس میاد کلید رو روی بوت لود اعمال میکنه و فعال میشه
دوستان ممنون میشم اگه چیزی جا موند و یا اشتباه بود رو برام توی کامنتا بگید اصلاحش کنم 🙏🌹
@Sec_networks🕷
🔥4
انواع رکوردهای DNS#
A Record
این رکورد باعث ارتباط و پیوند یک نام دامنه به یک IP آدرس میشود. این بدین معناست که اسم مورد نظر، اشاره به IP آدرس سایت شما دارد و IP آدرس سایت شما بهعنوان پاسخ برگردانده میشود. پس دامنه و سایت شما هم با خود IP آدرسش، همچنین با نام تعیین شده دردسترس خواهد بود.
MX Record
رکورد MX یا Mail Exchange Record برای معرفی آدرس میل سرور بهکار میرود که بیانگر آدرس ایمیل سرور است که ایمیلها بهسوی آن هدایت یا منتقل شوند. این رکورد همچنین یک بخش اولویت یا Priority دارد که گویای داشتن اولویت و فرستاده شدن ایمیلها براساس اولویت سرورهاست.
NS Record
شما میتوانید برای آن دسته از زیردامنهها یا اسمهایی که میخواهید از یک DNS سرور دیگر پاسخ داده شوند، NS رکورد مربوط به آن دامنه را اضافه و همچنین آدرس DNS سرور مورد نظر خود را، برای برگرداندن اطلاعات DNS آن اسم، وارد کنید.
TXT Record
TXTرکورد یا Text Record برای اضافه کردن هرگونه توضیح بهکار میرود، همچنین TXT رکورد میتواند برای سیستم تصدیق ایمیل spf و همچنین بهمنظور دادن و فراهمآوری اطلاعات مربوط به آن بهکار رود.
CNAME رکورد
این رکورد به A رکوردی ارجاع میدهد که شما پیشتر تنظیم کردهاید و تنظیمات ابری آن در داخل A رکوردی که معرفی میکنید انجام شده است.
⚓️ @sec_netw
A Record
این رکورد باعث ارتباط و پیوند یک نام دامنه به یک IP آدرس میشود. این بدین معناست که اسم مورد نظر، اشاره به IP آدرس سایت شما دارد و IP آدرس سایت شما بهعنوان پاسخ برگردانده میشود. پس دامنه و سایت شما هم با خود IP آدرسش، همچنین با نام تعیین شده دردسترس خواهد بود.
MX Record
رکورد MX یا Mail Exchange Record برای معرفی آدرس میل سرور بهکار میرود که بیانگر آدرس ایمیل سرور است که ایمیلها بهسوی آن هدایت یا منتقل شوند. این رکورد همچنین یک بخش اولویت یا Priority دارد که گویای داشتن اولویت و فرستاده شدن ایمیلها براساس اولویت سرورهاست.
NS Record
شما میتوانید برای آن دسته از زیردامنهها یا اسمهایی که میخواهید از یک DNS سرور دیگر پاسخ داده شوند، NS رکورد مربوط به آن دامنه را اضافه و همچنین آدرس DNS سرور مورد نظر خود را، برای برگرداندن اطلاعات DNS آن اسم، وارد کنید.
TXT Record
TXTرکورد یا Text Record برای اضافه کردن هرگونه توضیح بهکار میرود، همچنین TXT رکورد میتواند برای سیستم تصدیق ایمیل spf و همچنین بهمنظور دادن و فراهمآوری اطلاعات مربوط به آن بهکار رود.
CNAME رکورد
این رکورد به A رکوردی ارجاع میدهد که شما پیشتر تنظیم کردهاید و تنظیمات ابری آن در داخل A رکوردی که معرفی میکنید انجام شده است.
⚓️ @sec_netw
🙏3❤1👍1
❇️ Portmaster
فایروال خیلی خوبی هست و اگر تمایلی داشتین نصبش کنید بصورت اوپن سورس هست و کاملا رایگانه
مهمترین و اصلی ترین تمرکز اون روی حریم خصوصی هست هر چند که امکانات بسیار جالبی هم داره مثلا میتونید سایتی رو داخل کروم بلاک کنید ولی داخل فایرفاکس باز بشه و خیلی چیزای دیگه که سعی کنید باهاش کار کنید تا متوجه بشید
🔗 https://safing.io/
@sec_netw🕷
فایروال خیلی خوبی هست و اگر تمایلی داشتین نصبش کنید بصورت اوپن سورس هست و کاملا رایگانه
مهمترین و اصلی ترین تمرکز اون روی حریم خصوصی هست هر چند که امکانات بسیار جالبی هم داره مثلا میتونید سایتی رو داخل کروم بلاک کنید ولی داخل فایرفاکس باز بشه و خیلی چیزای دیگه که سعی کنید باهاش کار کنید تا متوجه بشید
🔗 https://safing.io/
@sec_netw🕷
👍3❤1🔥1
ViperNułł
@sec_netw🕷
#نکته جالب راجب سویچ های mls
سویچ های مثل
2960
2960xr
که جدیدا قابلیت روتینگ پیدا کردن اگه بیاییم اولین بار دستور iprouting رو بزنیم ارور میگیریم و کار نمیکنه
چطور این مشکل رو برطرفش کنیم؟
سویچها یه سخت افزاری دارن که میگن ( A S I C )
یا همون application specific ic که میاد قابلیت فورواردینگ سری رو به سویچ ها میده.
سویچ از فناوری ASIC برای پردازش استفاده میکند. در نتیجه موجب Load کمتر و سرعت بیشتر میشه
حالا این asic ها هرکدومشون یه مموری دارن که این حافظه تخصیص داده میشه به موضوعات مختلف مثلا بخشیش یه cam تیبل و بخش دیگه ای برای جداول مختلف استفاده میشه ، که حالا میتونه یه بخشیش هم به روتینگ تیبل که بهش میگن FiB اختصاص پیدا کنه
برای همین معمولا هیچ حافظه ای برای روتینگ تخصیص داده نشده و ما باید بیاییم حافظه ای با ابزار sdm بهش بدیم
دستورات مورد نیاز برای این کار ؛
sdm prefer lanbase-routing
و بعد وارد کردن این دستور سویچرو باید خاموش و روشن کنیم که با دستور
relood
این کارو میشه انجام داد
حالا میتونیم دستور
ip routing
رو بزنیم و از این قابلیت استفاده کنیم
نکته * اگه این دستورات رو وارد کردید و نشد سویچ از این قابلیت پشتیبانی نمیکنه
@sec_netw🕷
سویچ های مثل
2960
2960xr
که جدیدا قابلیت روتینگ پیدا کردن اگه بیاییم اولین بار دستور iprouting رو بزنیم ارور میگیریم و کار نمیکنه
چطور این مشکل رو برطرفش کنیم؟
سویچها یه سخت افزاری دارن که میگن ( A S I C )
یا همون application specific ic که میاد قابلیت فورواردینگ سری رو به سویچ ها میده.
سویچ از فناوری ASIC برای پردازش استفاده میکند. در نتیجه موجب Load کمتر و سرعت بیشتر میشه
حالا این asic ها هرکدومشون یه مموری دارن که این حافظه تخصیص داده میشه به موضوعات مختلف مثلا بخشیش یه cam تیبل و بخش دیگه ای برای جداول مختلف استفاده میشه ، که حالا میتونه یه بخشیش هم به روتینگ تیبل که بهش میگن FiB اختصاص پیدا کنه
برای همین معمولا هیچ حافظه ای برای روتینگ تخصیص داده نشده و ما باید بیاییم حافظه ای با ابزار sdm بهش بدیم
دستورات مورد نیاز برای این کار ؛
sdm prefer lanbase-routing
و بعد وارد کردن این دستور سویچرو باید خاموش و روشن کنیم که با دستور
relood
این کارو میشه انجام داد
حالا میتونیم دستور
ip routing
رو بزنیم و از این قابلیت استفاده کنیم
نکته * اگه این دستورات رو وارد کردید و نشد سویچ از این قابلیت پشتیبانی نمیکنه
@sec_netw🕷
🔥4❤1
اگه سویچی اجازه ساخت vlan رو نداد
یکی از دلایلش میتونه
فعال بودن vtp روی سویچ باشه
vtp چیه ؟
ما میاییم یکی از سویچ های ما بعنوان vtp سرور انتخاب میکنیم و بقیه اونهارو vtp کلاینت
وقتی میاییم یه تعقیری ایجاد میکنیم روی vtp سرور مثلا میاییم یه vlan میسازیم روی همه اونا اعمال میشه و همون vlan رو پاکش کنیم روی همشون پاک میشه
حالا اگه ما همچین سناریو ای نداشته باشیم و اجازه ساخت vlan هم بما نده سویچ، میتونه یکی از دلایلش همین باشه
با دستور زیر میتونیم vtp رو خاموش کنیم که روی شبکه تاثیری نداشته باشه
vtp mode transparent
@sec_netw🕷
یکی از دلایلش میتونه
فعال بودن vtp روی سویچ باشه
vtp چیه ؟
ما میاییم یکی از سویچ های ما بعنوان vtp سرور انتخاب میکنیم و بقیه اونهارو vtp کلاینت
وقتی میاییم یه تعقیری ایجاد میکنیم روی vtp سرور مثلا میاییم یه vlan میسازیم روی همه اونا اعمال میشه و همون vlan رو پاکش کنیم روی همشون پاک میشه
حالا اگه ما همچین سناریو ای نداشته باشیم و اجازه ساخت vlan هم بما نده سویچ، میتونه یکی از دلایلش همین باشه
با دستور زیر میتونیم vtp رو خاموش کنیم که روی شبکه تاثیری نداشته باشه
vtp mode transparent
@sec_netw🕷
👏5
آیا واقعا ارتباط wan ما که service provider برقرار میکنه امنه؟ 🤔
جواب خیر هستش
دلیلش اینه که اصلا امنیت ارتباط ما به service provider مربوط نیست چون وظیفه provider اینه که بیاد ارتباط بین دوتا router مارو برقرار کنه و برقراری امنیت ترافیک LAN ما مربوط به provider نیست
📍 برای همینه که اکثر سازمان ها میان بحث tunneling رو پیاده میکنن
اما باز هم خود tunnel و vpn به خودی خود secur نیست
حالا چه میخاد از نوع Dmvpn یا gretunnel باشه
🔆 قابلیت ipsec هستش که میاد امنیت رو روی tunnel های ما برقرار میکنه
ip sec
چیکار میکنه؟
بر اساس پروتکلهای رمزنگاری ESP (Encapsulating Security Payload) و AH (Authentication Header) کار میکنه و به کمک آن، اطلاعات در مسیر ارتباطی به صورت رمزنگاری شد هستش و امنیت بالایی داره
درنتیجه پیاده سازی tunneling برای defensible بودن شبکه کمک میکنه
@sec_netw🕷
جواب خیر هستش
دلیلش اینه که اصلا امنیت ارتباط ما به service provider مربوط نیست چون وظیفه provider اینه که بیاد ارتباط بین دوتا router مارو برقرار کنه و برقراری امنیت ترافیک LAN ما مربوط به provider نیست
📍 برای همینه که اکثر سازمان ها میان بحث tunneling رو پیاده میکنن
اما باز هم خود tunnel و vpn به خودی خود secur نیست
حالا چه میخاد از نوع Dmvpn یا gretunnel باشه
🔆 قابلیت ipsec هستش که میاد امنیت رو روی tunnel های ما برقرار میکنه
ip sec
چیکار میکنه؟
بر اساس پروتکلهای رمزنگاری ESP (Encapsulating Security Payload) و AH (Authentication Header) کار میکنه و به کمک آن، اطلاعات در مسیر ارتباطی به صورت رمزنگاری شد هستش و امنیت بالایی داره
درنتیجه پیاده سازی tunneling برای defensible بودن شبکه کمک میکنه
@sec_netw🕷
🔥4
🔫 گروه APT روسی تورلا (Turla) دوباره دست به کار شد! 🔫
این گروه پیشرفته، که قبلاً هم عملیاتهای خفنی رو مدیریت کرده، تو یه کمپین جدید و غیرمستند از سال ۲۰۲۲، به سرورهای فرماندهی و کنترل (C2) یه گروه هکری پاکستانی به اسم Storm-0156 نفوذ کرده و از زیرساختهای اونها برای اجرای کارای خودش استفاده کرده!
بعد این که دسترسی گرفتن از طریق اون دسترسی با استفاده دو تا بدافزار TwoDash و Statuezy به شبکه های دولتی افغانستان حمله کرده !!!!! کارو ببین
یه حمله عجیب غریب تمیز داشتن آدم کیف میکنه اینجور حمله هارو میبینه فکر کنید یجارو هک کردن از اونجا به جای دیگه حمله کردن ! 🟩
@sec_netw🕷
این گروه پیشرفته، که قبلاً هم عملیاتهای خفنی رو مدیریت کرده، تو یه کمپین جدید و غیرمستند از سال ۲۰۲۲، به سرورهای فرماندهی و کنترل (C2) یه گروه هکری پاکستانی به اسم Storm-0156 نفوذ کرده و از زیرساختهای اونها برای اجرای کارای خودش استفاده کرده!
بعد این که دسترسی گرفتن از طریق اون دسترسی با استفاده دو تا بدافزار TwoDash و Statuezy به شبکه های دولتی افغانستان حمله کرده !!!!! کارو ببین
یه حمله عجیب غریب تمیز داشتن آدم کیف میکنه اینجور حمله هارو میبینه فکر کنید یجارو هک کردن از اونجا به جای دیگه حمله کردن ! 🟩
@sec_netw🕷
👍4
Forwarded from Safe Defense 🇮🇷
یک Malware در زمان اجرا از تکنیک Process Injection استفاده میکند تا خود را در memory space یک Process قابلاعتماد load کند. هدف اصلی این تکنیک چیست؟
Anonymous Quiz
70%
دور زدن ابزارهای Anti-Malware
6%
افزایش سرعت اجرای کد Malware
13%
تزریق Malware به دیسک اصلی
10%
رمزگشایی فایلهای مخرب در memory
👍1
اپیزود 76 رادیو امنیت - روتکیت جدید لینوکسی
LianGroup.net
✨قسمت چهلم و سوم Safe Cast✨
New Linux Rotkit
🔹بدافزار ایرانی IOCONTROL روی سیستم های کنترل صنعتی
🔹عملیات چشم دیجیتال هکرهای چینی از طریق تونل VSCode
💢 شرح و بررسی عملکرد و معماری روت کیت لینوکسی PUMAKIT
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
New Linux Rotkit
🔹بدافزار ایرانی IOCONTROL روی سیستم های کنترل صنعتی
🔹عملیات چشم دیجیتال هکرهای چینی از طریق تونل VSCode
💢 شرح و بررسی عملکرد و معماری روت کیت لینوکسی PUMAKIT
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
👍3