❇️ Portmaster
فایروال خیلی خوبی هست و اگر تمایلی داشتین نصبش کنید بصورت اوپن سورس هست و کاملا رایگانه
مهمترین و اصلی ترین تمرکز اون روی حریم خصوصی هست هر چند که امکانات بسیار جالبی هم داره مثلا میتونید سایتی رو داخل کروم بلاک کنید ولی داخل فایرفاکس باز بشه و خیلی چیزای دیگه که سعی کنید باهاش کار کنید تا متوجه بشید
🔗 https://safing.io/
@sec_netw🕷
فایروال خیلی خوبی هست و اگر تمایلی داشتین نصبش کنید بصورت اوپن سورس هست و کاملا رایگانه
مهمترین و اصلی ترین تمرکز اون روی حریم خصوصی هست هر چند که امکانات بسیار جالبی هم داره مثلا میتونید سایتی رو داخل کروم بلاک کنید ولی داخل فایرفاکس باز بشه و خیلی چیزای دیگه که سعی کنید باهاش کار کنید تا متوجه بشید
🔗 https://safing.io/
@sec_netw🕷
👍3❤1🔥1
ViperNułł
@sec_netw🕷
#نکته جالب راجب سویچ های mls
سویچ های مثل
2960
2960xr
که جدیدا قابلیت روتینگ پیدا کردن اگه بیاییم اولین بار دستور iprouting رو بزنیم ارور میگیریم و کار نمیکنه
چطور این مشکل رو برطرفش کنیم؟
سویچها یه سخت افزاری دارن که میگن ( A S I C )
یا همون application specific ic که میاد قابلیت فورواردینگ سری رو به سویچ ها میده.
سویچ از فناوری ASIC برای پردازش استفاده میکند. در نتیجه موجب Load کمتر و سرعت بیشتر میشه
حالا این asic ها هرکدومشون یه مموری دارن که این حافظه تخصیص داده میشه به موضوعات مختلف مثلا بخشیش یه cam تیبل و بخش دیگه ای برای جداول مختلف استفاده میشه ، که حالا میتونه یه بخشیش هم به روتینگ تیبل که بهش میگن FiB اختصاص پیدا کنه
برای همین معمولا هیچ حافظه ای برای روتینگ تخصیص داده نشده و ما باید بیاییم حافظه ای با ابزار sdm بهش بدیم
دستورات مورد نیاز برای این کار ؛
sdm prefer lanbase-routing
و بعد وارد کردن این دستور سویچرو باید خاموش و روشن کنیم که با دستور
relood
این کارو میشه انجام داد
حالا میتونیم دستور
ip routing
رو بزنیم و از این قابلیت استفاده کنیم
نکته * اگه این دستورات رو وارد کردید و نشد سویچ از این قابلیت پشتیبانی نمیکنه
@sec_netw🕷
سویچ های مثل
2960
2960xr
که جدیدا قابلیت روتینگ پیدا کردن اگه بیاییم اولین بار دستور iprouting رو بزنیم ارور میگیریم و کار نمیکنه
چطور این مشکل رو برطرفش کنیم؟
سویچها یه سخت افزاری دارن که میگن ( A S I C )
یا همون application specific ic که میاد قابلیت فورواردینگ سری رو به سویچ ها میده.
سویچ از فناوری ASIC برای پردازش استفاده میکند. در نتیجه موجب Load کمتر و سرعت بیشتر میشه
حالا این asic ها هرکدومشون یه مموری دارن که این حافظه تخصیص داده میشه به موضوعات مختلف مثلا بخشیش یه cam تیبل و بخش دیگه ای برای جداول مختلف استفاده میشه ، که حالا میتونه یه بخشیش هم به روتینگ تیبل که بهش میگن FiB اختصاص پیدا کنه
برای همین معمولا هیچ حافظه ای برای روتینگ تخصیص داده نشده و ما باید بیاییم حافظه ای با ابزار sdm بهش بدیم
دستورات مورد نیاز برای این کار ؛
sdm prefer lanbase-routing
و بعد وارد کردن این دستور سویچرو باید خاموش و روشن کنیم که با دستور
relood
این کارو میشه انجام داد
حالا میتونیم دستور
ip routing
رو بزنیم و از این قابلیت استفاده کنیم
نکته * اگه این دستورات رو وارد کردید و نشد سویچ از این قابلیت پشتیبانی نمیکنه
@sec_netw🕷
🔥4❤1
اگه سویچی اجازه ساخت vlan رو نداد
یکی از دلایلش میتونه
فعال بودن vtp روی سویچ باشه
vtp چیه ؟
ما میاییم یکی از سویچ های ما بعنوان vtp سرور انتخاب میکنیم و بقیه اونهارو vtp کلاینت
وقتی میاییم یه تعقیری ایجاد میکنیم روی vtp سرور مثلا میاییم یه vlan میسازیم روی همه اونا اعمال میشه و همون vlan رو پاکش کنیم روی همشون پاک میشه
حالا اگه ما همچین سناریو ای نداشته باشیم و اجازه ساخت vlan هم بما نده سویچ، میتونه یکی از دلایلش همین باشه
با دستور زیر میتونیم vtp رو خاموش کنیم که روی شبکه تاثیری نداشته باشه
vtp mode transparent
@sec_netw🕷
یکی از دلایلش میتونه
فعال بودن vtp روی سویچ باشه
vtp چیه ؟
ما میاییم یکی از سویچ های ما بعنوان vtp سرور انتخاب میکنیم و بقیه اونهارو vtp کلاینت
وقتی میاییم یه تعقیری ایجاد میکنیم روی vtp سرور مثلا میاییم یه vlan میسازیم روی همه اونا اعمال میشه و همون vlan رو پاکش کنیم روی همشون پاک میشه
حالا اگه ما همچین سناریو ای نداشته باشیم و اجازه ساخت vlan هم بما نده سویچ، میتونه یکی از دلایلش همین باشه
با دستور زیر میتونیم vtp رو خاموش کنیم که روی شبکه تاثیری نداشته باشه
vtp mode transparent
@sec_netw🕷
👏5
آیا واقعا ارتباط wan ما که service provider برقرار میکنه امنه؟ 🤔
جواب خیر هستش
دلیلش اینه که اصلا امنیت ارتباط ما به service provider مربوط نیست چون وظیفه provider اینه که بیاد ارتباط بین دوتا router مارو برقرار کنه و برقراری امنیت ترافیک LAN ما مربوط به provider نیست
📍 برای همینه که اکثر سازمان ها میان بحث tunneling رو پیاده میکنن
اما باز هم خود tunnel و vpn به خودی خود secur نیست
حالا چه میخاد از نوع Dmvpn یا gretunnel باشه
🔆 قابلیت ipsec هستش که میاد امنیت رو روی tunnel های ما برقرار میکنه
ip sec
چیکار میکنه؟
بر اساس پروتکلهای رمزنگاری ESP (Encapsulating Security Payload) و AH (Authentication Header) کار میکنه و به کمک آن، اطلاعات در مسیر ارتباطی به صورت رمزنگاری شد هستش و امنیت بالایی داره
درنتیجه پیاده سازی tunneling برای defensible بودن شبکه کمک میکنه
@sec_netw🕷
جواب خیر هستش
دلیلش اینه که اصلا امنیت ارتباط ما به service provider مربوط نیست چون وظیفه provider اینه که بیاد ارتباط بین دوتا router مارو برقرار کنه و برقراری امنیت ترافیک LAN ما مربوط به provider نیست
📍 برای همینه که اکثر سازمان ها میان بحث tunneling رو پیاده میکنن
اما باز هم خود tunnel و vpn به خودی خود secur نیست
حالا چه میخاد از نوع Dmvpn یا gretunnel باشه
🔆 قابلیت ipsec هستش که میاد امنیت رو روی tunnel های ما برقرار میکنه
ip sec
چیکار میکنه؟
بر اساس پروتکلهای رمزنگاری ESP (Encapsulating Security Payload) و AH (Authentication Header) کار میکنه و به کمک آن، اطلاعات در مسیر ارتباطی به صورت رمزنگاری شد هستش و امنیت بالایی داره
درنتیجه پیاده سازی tunneling برای defensible بودن شبکه کمک میکنه
@sec_netw🕷
🔥4
🔫 گروه APT روسی تورلا (Turla) دوباره دست به کار شد! 🔫
این گروه پیشرفته، که قبلاً هم عملیاتهای خفنی رو مدیریت کرده، تو یه کمپین جدید و غیرمستند از سال ۲۰۲۲، به سرورهای فرماندهی و کنترل (C2) یه گروه هکری پاکستانی به اسم Storm-0156 نفوذ کرده و از زیرساختهای اونها برای اجرای کارای خودش استفاده کرده!
بعد این که دسترسی گرفتن از طریق اون دسترسی با استفاده دو تا بدافزار TwoDash و Statuezy به شبکه های دولتی افغانستان حمله کرده !!!!! کارو ببین
یه حمله عجیب غریب تمیز داشتن آدم کیف میکنه اینجور حمله هارو میبینه فکر کنید یجارو هک کردن از اونجا به جای دیگه حمله کردن ! 🟩
@sec_netw🕷
این گروه پیشرفته، که قبلاً هم عملیاتهای خفنی رو مدیریت کرده، تو یه کمپین جدید و غیرمستند از سال ۲۰۲۲، به سرورهای فرماندهی و کنترل (C2) یه گروه هکری پاکستانی به اسم Storm-0156 نفوذ کرده و از زیرساختهای اونها برای اجرای کارای خودش استفاده کرده!
بعد این که دسترسی گرفتن از طریق اون دسترسی با استفاده دو تا بدافزار TwoDash و Statuezy به شبکه های دولتی افغانستان حمله کرده !!!!! کارو ببین
یه حمله عجیب غریب تمیز داشتن آدم کیف میکنه اینجور حمله هارو میبینه فکر کنید یجارو هک کردن از اونجا به جای دیگه حمله کردن ! 🟩
@sec_netw🕷
👍4
Forwarded from Safe Defense 🇮🇷
یک Malware در زمان اجرا از تکنیک Process Injection استفاده میکند تا خود را در memory space یک Process قابلاعتماد load کند. هدف اصلی این تکنیک چیست؟
Anonymous Quiz
70%
دور زدن ابزارهای Anti-Malware
6%
افزایش سرعت اجرای کد Malware
13%
تزریق Malware به دیسک اصلی
10%
رمزگشایی فایلهای مخرب در memory
👍1
اپیزود 76 رادیو امنیت - روتکیت جدید لینوکسی
LianGroup.net
✨قسمت چهلم و سوم Safe Cast✨
New Linux Rotkit
🔹بدافزار ایرانی IOCONTROL روی سیستم های کنترل صنعتی
🔹عملیات چشم دیجیتال هکرهای چینی از طریق تونل VSCode
💢 شرح و بررسی عملکرد و معماری روت کیت لینوکسی PUMAKIT
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
New Linux Rotkit
🔹بدافزار ایرانی IOCONTROL روی سیستم های کنترل صنعتی
🔹عملیات چشم دیجیتال هکرهای چینی از طریق تونل VSCode
💢 شرح و بررسی عملکرد و معماری روت کیت لینوکسی PUMAKIT
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
👍3
یکی از خطا های احتمالی که هنگام نصب ویندوز 11 ، 12 و ویندوز سرور 2022 و 2025 ممکنه بهش بخوریم ......
خطای که میده اینه که حدقل نیاز های سخت افزاری برای من رفع نشده یکی از دلایلش قدیمی بودن سیستم Bios هستش و منابع محدودی روی سیستم وجود داره و یه ماژول امنیتی سخت افزاری بنام
TPM
مخفف Trusted Platform Module
وجود نداره و به همین دلیل این نسخه از ویندوز ها چون نمیتونن از اون ماژول استفاده کنن خطای حدقل منابع سخت افزاری رو میدن
درمورد ماژول امنیتی tpm توی پست های بعدی توضیح میدم ...
برای رفعش
هنگام نصب کلید ترکیبی
shift + F10
رو میزنیم که کامند پرام باز میشه
وارد ریجستری ویندوز میشیم از این قسمت
regedit
حالا وارد مسیر
HKE_LOCAL_MACHINE
system
setup
در قسمت setup یه کلید ایجاد میکنیم
کلیک راست و new key و یه اسمی میدیم بهش
۳ تا کلید میسازیم داخلش
new --> bypass securboot
new --> ram by pass
new --> tpm check
مقدار هر ۳ تارو 1 میزاریم یعنی دور زدن رو انجام بده
و مشکل ما حل میشه
@sec_netw🕷
خطای که میده اینه که حدقل نیاز های سخت افزاری برای من رفع نشده یکی از دلایلش قدیمی بودن سیستم Bios هستش و منابع محدودی روی سیستم وجود داره و یه ماژول امنیتی سخت افزاری بنام
TPM
مخفف Trusted Platform Module
وجود نداره و به همین دلیل این نسخه از ویندوز ها چون نمیتونن از اون ماژول استفاده کنن خطای حدقل منابع سخت افزاری رو میدن
درمورد ماژول امنیتی tpm توی پست های بعدی توضیح میدم ...
برای رفعش
هنگام نصب کلید ترکیبی
shift + F10
رو میزنیم که کامند پرام باز میشه
وارد ریجستری ویندوز میشیم از این قسمت
regedit
حالا وارد مسیر
HKE_LOCAL_MACHINE
system
setup
در قسمت setup یه کلید ایجاد میکنیم
کلیک راست و new key و یه اسمی میدیم بهش
۳ تا کلید میسازیم داخلش
new --> bypass securboot
new --> ram by pass
new --> tpm check
مقدار هر ۳ تارو 1 میزاریم یعنی دور زدن رو انجام بده
و مشکل ما حل میشه
@sec_netw🕷
🔥3
Forwarded from Safe Defense 🇮🇷
در یک عملیات Red Team پیشرفته، مهاجم برای پنهانسازی عملیات C2 خود از تکنیک Domain Fronting استفاده کرده است. کدام یک از سناریوهای زیر بهترین توصیف برای نحوه عملکرد این تکنیک است؟
Final Results
42%
ارسال دادههای C2 با ترافیک HTTPS به یک دامنهی legit که درخواست را به سرور C2 مهاجم هدایت میکند.
13%
مخفی کردن payload داخل یک فایل تصویری و ارسال آن به سرور C2 از طریق پروتکل HTTP.
27%
ایجاد یک دامنه تقلبی مشابه دامنههای معتبر و ارسال درخواستهای C2 به آن.
19%
استفاده از پروتکل DNS Tunneling برای برقراری ارتباط با سرور C2.
👍2
اپیزود 77 رادیو امنیت - استفاده هکرها از مایکروسافت تیمز برای بارگزاری…
LianGroup.net
✨قسمت چهلم و چهارم Safe Cast✨
Exploit Microsoft Teams and AnyDesk to Deploy DarkGate Malware
🔹عملیات علیه بدافزار BADBOX
🔹آسیب پذیری Apache Struts
💢 استفاده هکرها از Microsoft teams برای بارگزاری بدافزار Darkgate
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
Exploit Microsoft Teams and AnyDesk to Deploy DarkGate Malware
🔹عملیات علیه بدافزار BADBOX
🔹آسیب پذیری Apache Struts
💢 استفاده هکرها از Microsoft teams برای بارگزاری بدافزار Darkgate
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
👍2
ViperNułł
@sec_netw🕷
📍یکی از نکات امنیتی بسیار مهم توی پروتکل های ipv4 و ipv6
تجهیزات ما به طور پیش فرض از ipv6 پشتیبانی میکنن و حتی ممکنه روی فایروال ها روتر های ما بصورت پیشفرض فعال باشه. این قابلیت اگه بصورت صحیح مدیریت نشه میتونه باعث بشه که نفوذگران فرصت برای حمله ایجاد کنن
یعنی وقتی که ما پالیسی های امنیتی خودمون رو روی ipv4 تعریف کنیم ( برای مثال acl یا قوانین فایروال برای محدود کردن ترافیک ورودی و خروجی که اعمال میکنیم ) این قوانین فقط برای ipv4 اعمال میشه. اما اگه ipv6 به طور فعال روی تجهیزات شبکه ما فعال باشه و ما قوانین امنیتی رو برای این پروتکول در نطر نگیریم مهاجمین میتونن با استفاده از ادرس های ipv6 به راحتی اون محدودیت های ipv4 رو دور بزنن و به این ترتیب میتونن حمله های مختلفی مانند اسکن شبکه دسترسی به منابع حساس یا حتی حملات ddos رو بدون اینکه قوانین امنیتی ما اونارو شناسایی کنن به راحتی انجام بشن.
🔆 برای مثال اگه اتکر بتونه از ادرس ipv6 معتبر توی شبکه ما استفاده کنه این ادرس دربرابر قوانین فایروال ما برای ipv4 غیرقابل شناسایی میشه و در نتیجه تمامی ساست هایی که روی ipv4 تعریف کردیم به راحتی دور زده میشه
✅ راه حل ؛ اگه ما توی شبکه نیاز به استفاده از ipv6 نداریم مهم ترین اقدام اینه که این پروتکل رو غیرفعال بکنیم. غیرفعال کردن ipv6 باعث میشه که تجهیزات و فایروال ها تنها به ترافیک ipv4 توجه کنن و حملات از سمت ipv6 نخاهیم داشت اما اگه از این پروتکل استفاده میکنید توصیه میکنم که فرایند های امنیتی رو این پروتکل هم انجام بدید
⭕و در اخر برسی و مدیریت صحیح پروتکول های مختلف شبکه و تنظیم پالیسی های امنیتی میتونه امنیت شبکه رو افزایش بده
@sec_netw🕷
تجهیزات ما به طور پیش فرض از ipv6 پشتیبانی میکنن و حتی ممکنه روی فایروال ها روتر های ما بصورت پیشفرض فعال باشه. این قابلیت اگه بصورت صحیح مدیریت نشه میتونه باعث بشه که نفوذگران فرصت برای حمله ایجاد کنن
یعنی وقتی که ما پالیسی های امنیتی خودمون رو روی ipv4 تعریف کنیم ( برای مثال acl یا قوانین فایروال برای محدود کردن ترافیک ورودی و خروجی که اعمال میکنیم ) این قوانین فقط برای ipv4 اعمال میشه. اما اگه ipv6 به طور فعال روی تجهیزات شبکه ما فعال باشه و ما قوانین امنیتی رو برای این پروتکول در نطر نگیریم مهاجمین میتونن با استفاده از ادرس های ipv6 به راحتی اون محدودیت های ipv4 رو دور بزنن و به این ترتیب میتونن حمله های مختلفی مانند اسکن شبکه دسترسی به منابع حساس یا حتی حملات ddos رو بدون اینکه قوانین امنیتی ما اونارو شناسایی کنن به راحتی انجام بشن.
🔆 برای مثال اگه اتکر بتونه از ادرس ipv6 معتبر توی شبکه ما استفاده کنه این ادرس دربرابر قوانین فایروال ما برای ipv4 غیرقابل شناسایی میشه و در نتیجه تمامی ساست هایی که روی ipv4 تعریف کردیم به راحتی دور زده میشه
✅ راه حل ؛ اگه ما توی شبکه نیاز به استفاده از ipv6 نداریم مهم ترین اقدام اینه که این پروتکل رو غیرفعال بکنیم. غیرفعال کردن ipv6 باعث میشه که تجهیزات و فایروال ها تنها به ترافیک ipv4 توجه کنن و حملات از سمت ipv6 نخاهیم داشت اما اگه از این پروتکل استفاده میکنید توصیه میکنم که فرایند های امنیتی رو این پروتکل هم انجام بدید
⭕و در اخر برسی و مدیریت صحیح پروتکول های مختلف شبکه و تنظیم پالیسی های امنیتی میتونه امنیت شبکه رو افزایش بده
@sec_netw🕷
🔥3
محققان سه آسیبپذیری خطرناک توی سوئیچهای WGS-804HPT که توی سیستمهای اتوماسیون استفاده میشه پیدا کردن. این آسیبپذیریها میتونن به مهاجمها اجازه بدن که از راه دور کد دلخواه اجرا کنن 🟩
⤷ CVE-2024-52320 & CVE-2024-48871 : Critical 9.8
با یه درخواست HTTP مخرب، مهاجمها میتونن سیستم رو هک کنن و کد دلخواه اجرا کنن
مثال عملی برای این آسیب پذیری ⏬
1️⃣شما توی یه شرکت کار میکنید و همه سیستمها به همین سوئیچهای WGS-804HPT وصلن
2️⃣یه مهاجم از اینترنت یا از بیرون میاد و با ارسال یه درخواست HTTP به سوئیچها میتونه شبکه رو دستکاری کنه
3️⃣حالا، چون سیستم شما به این شبکه وصل بوده، مهاجم میتونه به راحتی به دستگاه شما وارد بشه و اطلاعات رو بدزده یا حتی به دستگاه شما حمله کنه
4️⃣در نهایت، ممکنه ویندوز شما مستقیماً تحت تاثیر این آسیبپذیریها نباشه، ولی اگه شبکهای که بهش وصل هستید آسیبپذیر باشه، دستگاه شما هم ممکنه در معرض خطر قرار بگیره
#آسیب_پذیری
@sec_netw🕷
⤷ CVE-2024-52320 & CVE-2024-48871 : Critical 9.8
با یه درخواست HTTP مخرب، مهاجمها میتونن سیستم رو هک کنن و کد دلخواه اجرا کنن
مثال عملی برای این آسیب پذیری ⏬
1️⃣شما توی یه شرکت کار میکنید و همه سیستمها به همین سوئیچهای WGS-804HPT وصلن
2️⃣یه مهاجم از اینترنت یا از بیرون میاد و با ارسال یه درخواست HTTP به سوئیچها میتونه شبکه رو دستکاری کنه
3️⃣حالا، چون سیستم شما به این شبکه وصل بوده، مهاجم میتونه به راحتی به دستگاه شما وارد بشه و اطلاعات رو بدزده یا حتی به دستگاه شما حمله کنه
4️⃣در نهایت، ممکنه ویندوز شما مستقیماً تحت تاثیر این آسیبپذیریها نباشه، ولی اگه شبکهای که بهش وصل هستید آسیبپذیر باشه، دستگاه شما هم ممکنه در معرض خطر قرار بگیره
#آسیب_پذیری
@sec_netw🕷
👍3
Forwarded from Cyber Warfar
75836 Document.pdf
3.7 MB
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥1
اپیزود 79 رادیو امنیت - پنج تهدید بزرگ بدافزارها برای سال 2025
liangroup.net
✨قسمت چهلم و ششم Safe Cast✨
خبرهای داغ :
🔹حذف بدافزار plugX توسط FBI
🔹کیت فیشینگ Sneaky 2FA روی حساب های Microsoft 365
🔹حمله بدافزار روسی به قزاقستان
🔹باج افزار RansomHub با Backdoor Python
زنگ خطر CVE های داغ هفته :
🔹Windows Hyper V NT Kernel Integration VSP
🔹Fortinet
🔹Apple macOS
🔹Kubernetes
دور دنیا در امنیت سایبری :
🔹طرح انگلستان جهت ممنوعیت پرداخت باج به هکرها
🔹نشت اطلاعات Gravy Analytics
🔹اتصال کارمندان شرکت ها به هکرها از طریق سرویس دارک وبی
🔹تکنیک PVC موثر در استخراج دیتا از حافظه Raspberry Pi
بخش اصلی :
💢 5 تهدید بزرگ Malware برای سال 2025 :
🔺Lumma
🔺XWorm
🔺AsyncRAT
🔺Remcos
🔺LockBit
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
خبرهای داغ :
🔹حذف بدافزار plugX توسط FBI
🔹کیت فیشینگ Sneaky 2FA روی حساب های Microsoft 365
🔹حمله بدافزار روسی به قزاقستان
🔹باج افزار RansomHub با Backdoor Python
زنگ خطر CVE های داغ هفته :
🔹Windows Hyper V NT Kernel Integration VSP
🔹Fortinet
🔹Apple macOS
🔹Kubernetes
دور دنیا در امنیت سایبری :
🔹طرح انگلستان جهت ممنوعیت پرداخت باج به هکرها
🔹نشت اطلاعات Gravy Analytics
🔹اتصال کارمندان شرکت ها به هکرها از طریق سرویس دارک وبی
🔹تکنیک PVC موثر در استخراج دیتا از حافظه Raspberry Pi
بخش اصلی :
💢 5 تهدید بزرگ Malware برای سال 2025 :
🔺Lumma
🔺XWorm
🔺AsyncRAT
🔺Remcos
🔺LockBit
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
👍3
🔒 what is #Bootkit?
#بوت_کیت چیست؟
نوعی #بدافزار مدرن برای اتصال نرم افزار های مخرب به سیستم های کامپیوتری
اغلب از ابزار های #روت_کیت برای فرار از تشخیص استفاده میکنند
هدف این حملات UEFI# است
نرمافزاری که سیستم عامل کامپیوتر را به سخت افزار دستگاه متصل میکند.
#Rootkit vs Bootkit :تفاوت روت کیت و بوت کیت
روت کیت مجموعه ای از ابزار های نرم افزاری برای دادن کنترل از راه دور سیستم به مهاجمان طراحی شده است
🔹به گونه ای ساخته شده که بدون تشخیص باقی بمانند.
🔹با غیر فعال کردن آنتی ویروس امکان نصب نرم افزار های مخرب را فراهم میکنند
🔹 با هدف حمله به امنیت شبکه یا برنامهها به سیستم وارد میشوند.
🔻بوت کیت ها این فرآیند را یک قدم به جلو برده اند.برای آلوده کردن رکورد بوت طراحی شدند با این کار بوت کیت میتواند قبل از بارگذاری سیستم عامل اجرا شود.آلودگی های بوت کیت معمولا تشخیص داده نمیشوند زیرا تمام اجزای آن خارج از سیستم فایل ویندوز قرار دارند.
🔹برخی از نشانههای آلودگی بوتکیت شامل ناپایداری سیستم (مانند نمایش صفحه آبی) و عدم توانایی در راهاندازی سیستم عامل است.
____________________________________
🔐چرا بوتکیتها یک تهدید امنیتی جدی هستند؟
بوت کیت خطرناک است چون حذف آن دشوار است به جای نوشته شدن روی هارد در مادربرد جاسازی شده
پیامد های وجود روت کیت در سیستم شما:
حذف فایلها,دسترسی از راه دور,سرقت اطلاعات,نصب بدافزار های بیشتر
🔸پیشگیری از آلودگی به بوتکیت
سورس بوت: این ویژگی امنیتی تضمین میکند که سیستم فقط با نرمافزارهای مورد اعتماد راهاندازی شود.
اجتناب از رسانههای ناشناس(USB,CD,DVD,ISO,NETWORK): از بوت سیستم عامل از رسانههای ناشناس خودداری کنید.
بهروزرسانی سیستم: همیشه سیستم عامل و فِرموِر(میان افزار) خود را بهروز نگه دارید.
🔸حذف بوتکیت
حذف بوتکیت امکانپذیر است و نیاز به نرمافزارهای تخصصی حذف بدافزار دارد. حذف روتکیتها اغلب آسانتر است، زیرا میتوانید هارد دیسک خود را پاک کنید تا آنها را حذف کنید. یافتن ابزار مناسب برای حذف آلودگی بوتکیت از سیستم شما بسیار مهم است.
🔸چگونه از شر بوتکیتها خلاص شویم؟
نوع ابزاری که نیاز دارید، یک دیسک تعمیر بوت است که میتواند رکورد بوت اصلی (Master Boot Record) شما را پاک کند. این نرمافزار باید برای پاککردن رکورد بوت اصلی استفاده شود، نه تعمیر آن. به این ترتیب میتوانید مطمئن شوید که بوتکیت حذف شده است. پس از پاککردن، میتوانید یک رکورد بوت اصلی تمیز ایجاد کنید و پارتیشنهای جدید درایو را فرمت کنید.
🔸از خود در برابر حملات بدافزاری محافظت کنید
با آگاهی از تهدیدات بدافزاری پنهان، میتوانید کسبوکار خود را در برابر بوتکیتها و سایر حملات روتکیت ایمن نگه دارید.
#بوت_کیت چیست؟
نوعی #بدافزار مدرن برای اتصال نرم افزار های مخرب به سیستم های کامپیوتری
اغلب از ابزار های #روت_کیت برای فرار از تشخیص استفاده میکنند
هدف این حملات UEFI# است
نرمافزاری که سیستم عامل کامپیوتر را به سخت افزار دستگاه متصل میکند.
#Rootkit vs Bootkit :تفاوت روت کیت و بوت کیت
روت کیت مجموعه ای از ابزار های نرم افزاری برای دادن کنترل از راه دور سیستم به مهاجمان طراحی شده است
🔹به گونه ای ساخته شده که بدون تشخیص باقی بمانند.
🔹با غیر فعال کردن آنتی ویروس امکان نصب نرم افزار های مخرب را فراهم میکنند
🔹 با هدف حمله به امنیت شبکه یا برنامهها به سیستم وارد میشوند.
🔻بوت کیت ها این فرآیند را یک قدم به جلو برده اند.برای آلوده کردن رکورد بوت طراحی شدند با این کار بوت کیت میتواند قبل از بارگذاری سیستم عامل اجرا شود.آلودگی های بوت کیت معمولا تشخیص داده نمیشوند زیرا تمام اجزای آن خارج از سیستم فایل ویندوز قرار دارند.
🔹برخی از نشانههای آلودگی بوتکیت شامل ناپایداری سیستم (مانند نمایش صفحه آبی) و عدم توانایی در راهاندازی سیستم عامل است.
____________________________________
🔐چرا بوتکیتها یک تهدید امنیتی جدی هستند؟
بوت کیت خطرناک است چون حذف آن دشوار است به جای نوشته شدن روی هارد در مادربرد جاسازی شده
پیامد های وجود روت کیت در سیستم شما:
حذف فایلها,دسترسی از راه دور,سرقت اطلاعات,نصب بدافزار های بیشتر
🔸پیشگیری از آلودگی به بوتکیت
سورس بوت: این ویژگی امنیتی تضمین میکند که سیستم فقط با نرمافزارهای مورد اعتماد راهاندازی شود.
اجتناب از رسانههای ناشناس(USB,CD,DVD,ISO,NETWORK): از بوت سیستم عامل از رسانههای ناشناس خودداری کنید.
بهروزرسانی سیستم: همیشه سیستم عامل و فِرموِر(میان افزار) خود را بهروز نگه دارید.
🔸حذف بوتکیت
حذف بوتکیت امکانپذیر است و نیاز به نرمافزارهای تخصصی حذف بدافزار دارد. حذف روتکیتها اغلب آسانتر است، زیرا میتوانید هارد دیسک خود را پاک کنید تا آنها را حذف کنید. یافتن ابزار مناسب برای حذف آلودگی بوتکیت از سیستم شما بسیار مهم است.
🔸چگونه از شر بوتکیتها خلاص شویم؟
نوع ابزاری که نیاز دارید، یک دیسک تعمیر بوت است که میتواند رکورد بوت اصلی (Master Boot Record) شما را پاک کند. این نرمافزار باید برای پاککردن رکورد بوت اصلی استفاده شود، نه تعمیر آن. به این ترتیب میتوانید مطمئن شوید که بوتکیت حذف شده است. پس از پاککردن، میتوانید یک رکورد بوت اصلی تمیز ایجاد کنید و پارتیشنهای جدید درایو را فرمت کنید.
🔸از خود در برابر حملات بدافزاری محافظت کنید
با آگاهی از تهدیدات بدافزاری پنهان، میتوانید کسبوکار خود را در برابر بوتکیتها و سایر حملات روتکیت ایمن نگه دارید.
🔥3
Forwarded from لیان - آموزش امنیت و تستنفوذ
CIS Controls Benchmarks.pdf
1.1 MB
عنوان مقاله: CIS Controls Benchmarks
نویسنده: هیژا خسروی (دانشجوی دوره Security+ آکادمی لیان)
💻 🔫 🔫 🔫 🔫 🔫 🔫 🔫 🔫 🔫
☺️ https://liangroup.net/
☺️ @AcademyLian
نویسنده: هیژا خسروی (دانشجوی دوره Security+ آکادمی لیان)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2👏1
Forwarded from Safe Defense 🇮🇷
تیم آبی در بررسی ترافیک شبکه متوجه میشه که بعضی endpointها در ساعات غیرکاری کانکشنهای مداومی با یک IP ناشناس خارجی برقرار میکنند. این ارتباطات دارای الگوی Beaconing هستند و از پورت 443 استفاده میکنند. بهترین روش برای شناسایی و مهار این تهدید چیست؟
Final Results
17%
الف) استفاده از JA3/JA3S Fingerprinting برای شناسایی TLS Handshakeهای مشکوک
13%
ب) مسدود کردن تمامی ارتباطات خروجی روی پورت 443 تا بررسی کامل انجام شود
34%
ج) اعمال Deep Packet Inspection (DPI) روی تمامی ترافیک HTTPS برای شناسایی C2
35%
د) قرنطینه کردن سیستمهای مشکوک و اجرای Forensic Analysis برای یافتن بدافزار
❤🔥2👍1