🕷bootstrap sector virus  یا boot kit
چیست؟
خب اول از همه راجب اینکه ( Boot Sector ) چیه یه توضیح کلی بدم
ما هر هارد دیسک که داریم قسمت اول اون هارد دیسک یعنی 512byte اون هارد دیسک  که شامل اطلاعاتی مانند چگونگی شروع بوت شدن سیستم عامل هست رزرو که بهش میگن
MBR(  Master Boot Record  )
حالا MBR از دو قسمت تشکیل شده که یکیش کد های Boot strap یکیش partition table و magic number
خب وظایف هرکدام چیه؟
1⃣bootstrap یا boot loader ( 446 BYTE )
وقتی سیستم ما روشن میشه اولین کاری که اتفاق میفته میره این قسمت یعنی بوت لودر هارد دیسک رو میخونه و سیستم بوت میشه
2⃣partition table ( 64 BYTE )
اطلاعات پارتیشن های اون هارد دیسک قرار داره توشون مثلا چقدر فضا برای هر پارتیشن باقی مونده چقدرش مصرف شده اسم هر پارتیشن چیه و اطلاعات مربوط به پارتیشن های سیستم
3⃣ magick number ( 2 BYTE )
وظیفش اینه که بیاد برسی کنه که کد های قسمت بوت لودر یا همون بوت استرپ‌تعقیری کرده یانه ( حالا بر اساس اون عملیات ریاضی که انجام میده و یه کدی که بدست میاد برسی میکنه ) اون عدد بدست اومده دو طرف برابر باشه یعنی تعقیری نیست اما اگه برابر نباشه یعنی تعقیر ایجاد شده روی بوت لود و یه پیغامی بهمون نمایش میده که همینجا مشخص میشه  boot sector virus یا همون boot kit هست این وسط
➖➖➖➖➖➖➖➖➖➖➖➖

بوت سکتور میتواند توسط بدافزار ها مورد هدف قرار بگیره و سیستم شما را آلوده کنه.
بدافزار نویسان علاقه زیادی به آلوده کردن سیستم از راه Boot sector دارند چون کد های بوت سکتور به طور اتوماتیک اجرا میشوند و زمانی که سیستم شروع به بوت شدن میکنه این ویروس ها میتونن شروع به فعالیت کنن  ' یعنی وقتی سیستم خاموش یا روشن باشه نمیتونن فعالیت کنن وقتی که سیستم لود میشه

حالا bot kit ها دقیقا چکار هایی انجام میدن ؟!
سرقت دیتا - لود نشدن سیستم یا برای مثال میتونن هنگام لود شدن سیستم بما پیامی نشون بدن که مثلا مموری شما خرابه و نمیتونید وارد سیستم عامل بشید ، با اینکه اصلا مموری خراب نیست !!
یا حتی بیان اطلاعات مربوط به قسمت پارتیشن تیبل رو تعقیر بدن مثلا بیان کلا تمام پارتیشن ها و اطلاعاتو پاکشون کنن یا مثلا اطلاعات درایو هارو تعقیرش بدن

چطوری تکثیر پیدا میکنن ؟!
برای تکثیر پیداکردن اکثرا از محیط dos سیستم استفاده میکنه ،  کد های مخرب خودش رو وارد میکنه و زمانی که یه flapy  یا منظور همان بوت لودری بخاد وصل بشه به سیستم خودشون رو انتقال بدن بهش 
➖➖➖➖➖➖➖➖➖
راهکار های شناسایی BOOT KIT ؟!
انتی ویروس ها
برسی مجیک‌نامبر
bootable virus scanner
{
نمونه ای از این نرم افزارها  Anvi Rescue Disk ، AVG Rescue CD ، Avira Rescue System ، Kaspersky Rescue Disk و ...  }

برخی از مادربورد ها که از تکنولوژی UEFI پشتیبانی میکنند مانع از اجرا شدن برخی از بدافزارها در هنگام بوت شدن سیستم میشود UEFI به طور فعال از تغییر یافتن بوت سکتور جلوگیری میکند و فعال بودن این ویژگی باعث جلوگیری میشود
نسل جدید این ویروس ها خیلی سخت شناسایی میشن ، ویروس میاد اون قسمت بوت استرپ رکورد رو رمزنگاری میکنه و مجیک نامبر نمیتونه این قسمت رو نگاه کنه و خود ویروس میاد کلید رو روی بوت لود اعمال میکنه و فعال میشه


دوستان ممنون میشم اگه چیزی جا موند و یا اشتباه بود رو برام توی کامنتا بگید اصلاحش کنم 🙏🌹

@Sec_networks🕷

انواع رکوردهای DNS#


‏A Record

این رکورد باعث ارتباط و پیوند یک نام دامنه به یک IP  آدرس می‌شود. این بدین معناست که اسم مورد نظر، اشاره به IP  آدرس سایت شما دارد و IP  آدرس سایت شما به‌عنوان پاسخ برگردانده می‌شود. پس دامنه و سایت شما هم با خود IP  آدرسش، هم‌چنین با نام تعیین شده دردسترس خواهد بود.

‏MX Record

رکورد MX یا Mail Exchange Record برای معرفی آدرس میل سرور به‌کار می‌رود که بیان‌گر آدرس ایمیل سرور است که ایمیل‌ها به‌سوی آن هدایت یا منتقل شوند. این رکورد هم‌چنین یک بخش اولویت یا Priority دارد که گویای داشتن اولویت و فرستاده شدن ایمیل‌ها براساس اولویت سرورهاست.

‏NS Record

شما می‌توانید برای آن دسته از زیردامنه‌ها یا اسم‌هایی که می‌خواهید از یک DNS سرور دیگر پاسخ داده شوند، NS رکورد مربوط به آن دامنه را اضافه و هم‌چنین آدرس DNS سرور مورد نظر خود را، برای برگرداندن اطلاعات DNS آن اسم، وارد کنید.

‏TXT Record

‏TXTرکورد یا Text Record برای اضافه کردن هرگونه توضیح به‌کار می‌رود، هم‌چنین TXT رکورد می‌تواند برای سیستم تصدیق ایمیل spf و هم‌چنین به‌منظور دادن و فراهم‌آوری اطلاعات مربوط به آن به‌کار رود.

‏CNAME رکورد

این رکورد به A رکوردی ارجاع می‌دهد که شما پیش‌تر تنظیم کرده‌اید و تنظیمات ابری آن در داخل A رکوردی که معرفی می‌کنید انجام شده است.

⚓️ @sec_netw

❇️ Portmaster

فایروال خیلی خوبی هست و اگر تمایلی داشتین نصبش کنید بصورت اوپن سورس هست و کاملا رایگانه

مهمترین و اصلی ترین تمرکز اون روی حریم خصوصی هست هر چند که امکانات بسیار جالبی هم داره مثلا میتونید سایتی رو داخل کروم بلاک کنید ولی داخل فایرفاکس باز بشه و خیلی چیزای دیگه که سعی کنید باهاش کار کنید تا متوجه بشید

🔗 https://safing.io/

@sec_netw🕷

انواع ویروس سیستمی و اختلال های پیش امده

#ویروس

@sec_netw🕷

#نکته جالب راجب سویچ های mls

سویچ های مثل
2960
2960xr
که جدیدا قابلیت روتینگ پیدا کردن اگه بیاییم اولین بار  دستور iprouting رو بزنیم ارور میگیریم و کار نمیکنه
چطور این مشکل رو برطرفش کنیم؟
سویچ‌ها یه سخت افزاری دارن که میگن ( A S I C )
یا همون application specific ic  که میاد قابلیت فورواردینگ سری رو به سویچ ها میده.
سویچ از فناوری ASIC برای پردازش استفاده می‌کند. در نتیجه موجب Load کمتر و سرعت بیشتر میشه
حالا این asic ها هرکدومشون یه مموری دارن که این حافظه تخصیص داده میشه به موضوعات مختلف مثلا بخشیش یه cam تیبل و بخش دیگه ای برای جداول مختلف استفاده میشه ، که حالا میتونه یه بخشیش هم به روتینگ تیبل که بهش میگن FiB اختصاص پیدا کنه

برای همین معمولا هیچ حافظه ای برای روتینگ تخصیص داده نشده و ما باید بیاییم حافظه ای با ابزار sdm بهش بدیم

دستورات مورد نیاز برای این کار ؛
sdm prefer lanbase-routing
 
و بعد وارد کردن این دستور سویچ‌رو باید خاموش و روشن کنیم که با دستور
relood 
این کارو میشه انجام داد
حالا میتونیم دستور
ip routing 
رو بزنیم و از این قابلیت استفاده کنیم

نکته * اگه این دستورات رو وارد کردید و نشد سویچ از این قابلیت پشتیبانی نمیکنه

@sec_netw🕷

اگه سویچی اجازه ساخت vlan رو نداد
یکی از دلایلش میتونه
فعال بودن vtp روی سویچ باشه

vtp چیه ؟
ما میاییم یکی از سویچ های ما بعنوان vtp سرور انتخاب میکنیم و بقیه اونهارو vtp کلاینت

وقتی میاییم یه تعقیری ایجاد میکنیم روی vtp سرور مثلا میاییم یه vlan میسازیم روی همه اونا اعمال میشه و همون vlan رو پاکش کنیم روی همشون پاک میشه

حالا اگه ما همچین سناریو ای نداشته باشیم و اجازه ساخت vlan هم بما نده سویچ، میتونه یکی از دلایلش همین باشه
با دستور زیر میتونیم vtp رو خاموش کنیم که روی شبکه تاثیری نداشته باشه

vtp mode transparent

@sec_netw🕷

آیا واقعا ارتباط wan ما که service provider برقرار میکنه امنه؟ 🤔

جواب خیر هستش
دلیلش اینه که اصلا امنیت ارتباط ما به service provider مربوط نیست چون وظیفه provider اینه که بیاد ارتباط بین دوتا router مارو برقرار کنه و برقراری امنیت ترافیک LAN ما مربوط به provider نیست

📍 برای همینه که اکثر سازمان ها میان بحث tunneling رو پیاده میکنن
اما باز هم خود tunnel و vpn به خودی خود secur نیست
حالا چه میخاد از نوع Dmvpn یا gretunnel باشه

🔆 قابلیت ipsec هستش که میاد امنیت رو روی tunnel های ما برقرار میکنه

ip sec
چیکار میکنه؟
بر اساس پروتکل‌های رمزنگاری ESP (Encapsulating Security Payload) و AH (Authentication Header) کار می‌کنه و به کمک آن، اطلاعات در مسیر ارتباطی به صورت رمزنگاری شد هستش و امنیت بالایی داره

درنتیجه پیاده سازی tunneling برای defensible بودن شبکه کمک میکنه


@sec_netw🕷

🔫 گروه APT روسی تورلا (Turla) دوباره دست به کار شد! 🔫

این گروه پیشرفته، که قبلاً هم عملیات‌های خفنی رو مدیریت کرده، تو یه کمپین جدید و غیرمستند از سال ۲۰۲۲، به سرورهای فرماندهی و کنترل (C2) یه گروه هکری پاکستانی به اسم Storm-0156 نفوذ کرده و از زیرساخت‌های اون‌ها برای اجرای کارای خودش استفاده کرده!

بعد این که دسترسی گرفتن از طریق اون دسترسی با استفاده دو تا بدافزار TwoDash و Statuezy به شبکه های دولتی افغانستان حمله کرده !!!!! کارو ببین

یه حمله عجیب غریب تمیز داشتن آدم کیف میکنه اینجور حمله هارو میبینه فکر کنید یجارو هک کردن از اونجا به جای دیگه حمله کردن ! 🟩





@sec_netw🕷

چین یه حمله جدید داشته که داخل این حمله از بارگذاری جانبی DLL برای اجرای کدهای مخرب استفاده کرده.

ابزارهایی مثل FileZilla، Impacket، PSCP و حتی برنامه‌های داخلی ویندوز مثل WMI، PsExec و PowerShell رو داخل این حمله به کار گرفته 🟩

@sec_netw🕷

✨قسمت چهلم و سوم Safe Cast✨
New Linux Rotkit

🔹بدافزار ایرانی IOCONTROL روی سیستم های کنترل صنعتی
🔹عملیات چشم دیجیتال هکرهای چینی از طریق تونل VSCode


💢 شرح و بررسی عملکرد و معماری روت کیت لینوکسی PUMAKIT

🎙با اجرای رضا الفت

@safe_defense
#safe_cast

یکی از خطا های احتمالی که هنگام نصب ویندوز 11 ، 12 و ویندوز سرور 2022 و 2025 ممکنه بهش بخوریم ......



خطای که میده اینه که حدقل نیاز های سخت افزاری برای من رفع نشده یکی از دلایلش قدیمی بودن سیستم Bios هستش و منابع محدودی روی سیستم وجود داره و یه ماژول امنیتی سخت افزاری بنام
TPM
مخفف Trusted Platform Module
وجود نداره و به همین دلیل این نسخه از ویندوز ها چون نمیتونن از اون ماژول استفاده کنن خطای حدقل منابع سخت افزاری رو میدن

درمورد ماژول امنیتی tpm توی پست های بعدی توضیح میدم ...

برای رفعش
هنگام نصب کلید ترکیبی
shift + F10
رو میزنیم که کامند پرام باز میشه
وارد ریجستری ویندوز میشیم از این قسمت
regedit
حالا وارد مسیر
HKE_LOCAL_MACHINE
system
setup
در قسمت setup یه کلید ایجاد میکنیم
کلیک راست و new key و یه اسمی میدیم بهش
۳ تا کلید میسازیم داخلش
new --> bypass securboot
new --> ram by pass
new --> tpm check
مقدار هر ۳ تارو 1 میزاریم یعنی دور زدن رو انجام بده
و مشکل ما حل میشه

@sec_netw🕷

✨قسمت چهلم و چهارم Safe Cast✨
Exploit Microsoft Teams and AnyDesk to Deploy DarkGate Malware

🔹عملیات علیه بدافزار BADBOX
🔹آسیب پذیری Apache Struts


💢 استفاده هکرها از Microsoft teams برای بارگزاری بدافزار Darkgate

🎙با اجرای رضا الفت

@safe_defense
#safe_cast

📍یکی از نکات امنیتی بسیار مهم توی پروتکل های ipv4 و ipv6     
 
تجهیزات ما به طور پیش فرض از ipv6 پشتیبانی میکنن و حتی ممکنه روی فایروال ها روتر های ما بصورت پیشفرض فعال باشه. این قابلیت اگه بصورت صحیح مدیریت نشه میتونه باعث بشه که نفوذگران فرصت برای حمله ایجاد کنن
یعنی  وقتی که ما پالیسی های امنیتی خودمون رو روی ipv4 تعریف کنیم ( برای مثال acl یا قوانین فایروال برای محدود کردن ترافیک ورودی و خروجی که اعمال میکنیم ) این قوانین فقط برای ipv4 اعمال میشه.   اما اگه ipv6 به طور فعال روی تجهیزات شبکه ما فعال باشه  و ما قوانین امنیتی رو برای این پروتکول در نطر نگیریم مهاجمین میتونن با استفاده از ادرس های ipv6 به راحتی اون محدودیت های ipv4 رو دور بزنن  و به این ترتیب میتونن حمله های مختلفی مانند اسکن شبکه دسترسی به منابع حساس یا حتی حملات ddos رو بدون اینکه قوانین امنیتی ما اونارو شناسایی کنن به راحتی انجام بشن.     

  🔆 برای مثال اگه اتکر بتونه از ادرس ipv6 معتبر توی شبکه ما استفاده کنه این ادرس دربرابر قوانین فایروال ما برای ipv4 غیرقابل شناسایی میشه و در نتیجه تمامی ساست هایی که روی ipv4 تعریف کردیم به راحتی دور زده میشه  
    

✅ راه حل ؛ اگه ما توی شبکه نیاز به استفاده از ipv6 نداریم مهم ترین اقدام اینه که این پروتکل رو غیرفعال بکنیم. غیرفعال کردن ipv6 باعث میشه که تجهیزات و فایروال ها تنها به ترافیک ipv4 توجه کنن و حملات از سمت ipv6 نخاهیم داشت  اما اگه از این پروتکل استفاده میکنید توصیه میکنم که فرایند های امنیتی رو این پروتکل هم انجام بدید  


⭕و در اخر برسی و مدیریت صحیح پروتکول های مختلف شبکه و تنظیم پالیسی های امنیتی میتونه امنیت شبکه رو افزایش بده


@sec_netw🕷

محققان سه آسیب‌پذیری خطرناک توی سوئیچ‌های WGS-804HPT که توی سیستم‌های اتوماسیون استفاده می‌شه پیدا کردن. این آسیب‌پذیری‌ها می‌تونن به مهاجم‌ها اجازه بدن که از راه دور کد دلخواه اجرا کنن 🟩

⤷ CVE-2024-52320 & CVE-2024-48871 : Critical 9.8

با یه درخواست HTTP مخرب، مهاجم‌ها می‌تونن سیستم رو هک کنن و کد دلخواه اجرا کنن

مثال عملی برای این آسیب پذیری ⏬

1️⃣شما توی یه شرکت کار می‌کنید و همه سیستم‌ها به همین  سوئیچ‌های WGS-804HPT وصلن

2️⃣یه مهاجم از اینترنت یا از بیرون میاد و با ارسال یه درخواست HTTP به سوئیچ‌ها می‌تونه شبکه رو دستکاری کنه

3️⃣حالا، چون سیستم شما به این شبکه وصل بوده، مهاجم می‌تونه به راحتی به دستگاه شما وارد بشه و اطلاعات رو بدزده یا حتی به دستگاه شما حمله کنه

4️⃣در نهایت، ممکنه ویندوز شما مستقیماً تحت تاثیر این آسیب‌پذیری‌ها نباشه، ولی اگه شبکه‌ای که بهش وصل هستید آسیب‌پذیر باشه، دستگاه شما هم ممکنه در معرض خطر قرار بگیره


 #آسیب_پذیری

@sec_netw🕷

✨قسمت چهلم و ششم Safe Cast✨

خبرهای داغ :
🔹حذف بدافزار plugX توسط FBI
🔹کیت فیشینگ Sneaky 2FA روی حساب های Microsoft 365
🔹حمله بدافزار روسی به قزاقستان
🔹باج افزار RansomHub با Backdoor Python

زنگ خطر CVE های داغ هفته :
🔹Windows Hyper V NT Kernel Integration VSP
🔹Fortinet
🔹Apple macOS
🔹Kubernetes

دور دنیا در امنیت سایبری :
🔹طرح انگلستان جهت ممنوعیت پرداخت باج به هکرها
🔹نشت اطلاعات Gravy Analytics
🔹اتصال کارمندان شرکت ها به هکرها از طریق سرویس دارک وبی
🔹تکنیک PVC موثر در استخراج دیتا از حافظه Raspberry Pi

بخش اصلی :
💢 5 تهدید بزرگ Malware برای سال 2025 :
🔺Lumma
🔺XWorm
🔺AsyncRAT
🔺Remcos
🔺LockBit

🎙با اجرای رضا الفت

@safe_defense
#safe_cast