دوستان اگه میخاین وارد باگ بانتی بشین این پادکست رو حتما گوش کنین مسیر خوبیه

شماره پورت هایی که لازمه بدونید

@sec_netw🕷

این کتاب شامل تمرین‌ها و راه‌حل‌هایی با ویروس‌ها و روت‌کیت‌های واقعی و مخربه نویسندگان این کتاب عمدا این کار رو انجام دادن تا اطمینان پیدا کنن که خوانندگان می‌تونن فورا مهارت‌های که یاد گرفتن خودشون استفاده کنن نمونه‌های بدافزار به ترتیب حروف الفبا (نمونه A، B، C، …)
انواع معماری رو هم میگه Arm x64 x86

🛑چگونه متوجه شویم چه دامنه‌هایی روی یک IP خاص ثبت شده‌اند؟ 

➖بررسی دامنه‌های مرتبط با یک آدرس ایپی (Reverse IP Lookup)
یکی از روش‌های رایج برای شناسایی وب‌سایت‌ها یا سرویس‌هایی است که روی یک سرور مشترک میزبانی می‌شوند. این فرآیند به شما کمک می‌کند تا با وارد کردن یک آدرس IP، لیستی از دامنه‌های متصل به آن را پیدا کنید. در این مقاله، با روش‌ها و ابزارهای انجام این کار آشنا می‌شوید.


🗯وب سایت هایی که فرایند Reverse ip Lookup رو انجام میدن عبارتند از ؛

1- Domain tools
Aderess :  https://www.domaintools.com

- نحوه کار: 
   - وارد وب‌سایت Domain Tools شوید. 
   - از منوی بالای صفحه، گزینه Reverse IP Lookup را انتخاب کنید. 
   - آدرس IP مورد نظر خود را وارد کرده و روی Search کلیک کنید. 
   - لیست دامنه‌های مرتبط با آن IP نمایش داده می‌شود. 
- ویژگی‌ها: 
  - ارائه اطلاعات دقیق درباره مالک IP و تاریخچه دامنه. 
  - امکان مشاهده دامنه‌های فعال و غیرفعال. 

2-MXToolBox 
Aderess: https://mxtoolbox.com
- نحوه کار: 
  - وارد بخش Reverse IP Lookup شوید. 
  - ایپی مورد نظر را وارد کرده و روی Reverse Lookup کلیک کنید. 
  - لیست دامنه‌ها و رکوردهای DNS مرتبط نمایش داده می‌شود. 
- ویژگی‌ها: 
  - رایگان و سریع. 
  - امکان بررسی وضعیت سرور (Online/Offline). 

3-SecurityTrails 
Aderess:
https://securitytrails.com
- نحوه کار: 
  - در بخش Search، گزینه IP را انتخاب کنید. 
  - آدرس IP را وارد کرده و Enter بزنید. 
  - در قسمت Hosted Domains، دامنه‌های مرتبط با IP نمایش داده می‌شود. 
- ویژگی‌ها: 
  - ارائه جزئیات امنیتی مانند تاریخچه DNS و اطلاعات سرور. 

4-ViewDNS.info 
aderess: https://viewdns.info
- نحوه کار: 
  - از منوی Tools، گزینه Reverse IP Lookup را انتخاب کنید. 
  - ایپی را وارد کرده و روی Lookup کلیک کنید. 
- ویژگی‌ها: 
  - رابط کاربری ساده و رایگان. 

➖➖➖➖➖

@sec_netw🕷

#سوال
معمولاً چگونه به یک شبکه هدف دسترسی اولیه پیدا می‌کنید؟

این سوال یک پاسخ ثابت نداره چرا که روش‌های دسترسی اولیه به شبکه بسیار متنوع هستند و بستگی به عوامل زیر دارد:
مهارت مهاجم (مبتدی vs حرفه‌ای)،
سطح امنیت شبکه هدف،
نوع سیستم‌ها و سرویس‌های در دسترس،
منابع و زمان در اختیار مهاجم.
و موارد دیگر


⭕ | روش‌های دیگری نیز برای دسترسی اولیه به شبکه هدف وجود دارد. برخی از این روش‌ها عبارتند از:

+ مهندسی اجتماعی
+ دسترسی فیزیکی
+ حمله زنجیره تامین
+ استفاده از اعتبارنامه های لو رفته
+ و موارد دیگه

هر یک از این روش‌ها بسته به سطح امنیت شبکه هدف، پیچیدگی فنی، و منابع مهاجم ممکن است استفاده شوند.

🧩 مثال برای درک بهتر:

اگر سازمانی کاربران آموزش‌ندیده داشته باشد، احتمال موفقیت فیشینگ یا مهندسی اجتماعی بیشتر است.
اگر سازمانی سرویس‌های قدیمی با آسیب‌پذیری‌های شناخته‌شده داشته باشد، سوءاستفاده از اکسپلویت‌ها روش کارآمدتری است.

اگر مهاجم دسترسی فیزیکی به تجهیزات داشته باشد، ممکن است از کیلاگر یا دستگاه‌های مخرب USB استفاده کند.

💢 حال ما فرض میکنیم جواب این سوال :

دسترسی اولیه به یک شبکه هدف معمولاً از طریق تکنیک‌هایی مانند فیشینگ، سوءاستفاده از آسیب‌پذیری‌ها یا استفاده از پیکربندی‌های نادرست به دست می‌آید.

⭕ | خب بریم کمی وارد این جواب بشیم و به طور عملی کار کنیم :

اول فشینگ را بررسی میکنیم :

چگونه اتفاق می‌افتد؟

مهاجمان با ارسال ایمیل‌ها، پیام‌ها یا لینک‌های جعلی، کاربران را فریب می‌دهند تا اطلاعات حساس مانند نام کاربری، رمز عبور یا سایر داده‌ها را افشا کنند. این لینک‌ها ممکن است به صفحات ورود جعلی هدایت شوند یا حاوی فایل‌های مخرب باشند.

ابزارها و کدهای مورد استفاده:
ابزارهایی مانند SET (Social-Engineer Toolkit) یا Gophish برای ایجاد صفحات فیشینگ و ارسال ایمیل‌های جعلی.
کدهای HTML و JavaScript برای طراحی صفحات جعلی.
فایل‌های مخرب مانند اسکریپت‌های PowerShell یا ماکروهای Office که پس از اجرا، دسترسی مهاجم را فراهم می‌کنند.

این پست ادامه دارد ...
@TryHackBox

SET یا Social-Engineer Toolkit 
یکی از ابزارهای قدرتمند و محبوب برای انجام حملات فیشینگ است. این ابزار به مهاجمان اجازه می‌دهد تا صفحات ورود جعلی ایجاد کنند، ایمیل‌های فیشینگ ارسال کنند و حتی بدافزارها را توزیع کنند. در اینجا مراحل انجام یک حمله فیشینگ با استفاده از SET به طور کامل و با جزئیات توضیح داده شده است:


مراحل انجام فیشینگ با SET:

۱. نصب و راه‌اندازی SET:

معمولاً به صورت پیش‌فرض در توزیع‌های لینوکس مانند Kali Linux نصب شده است. اگر نصب نیست، می‌توانید آن را با دستور زیر نصب کنید:

sudo apt install setoolkit

پس از نصب، SET را با دستور زیر اجرا کنید:

setoolkit

۲. پیکربندی اولیه SET:
پس از اجرای SET، ممکن است از شما خواسته شود که برخی تنظیمات اولیه را انجام دهید. این تنظیمات شامل انتخاب نوع حمله، پیکربندی سرور و غیره است. برای شروع، معمولاً گزینه‌های پیش‌فرض کافی هستند.

۳. انتخاب نوع حمله:

پس از اجرای SET، منوی اصلی نمایش داده می‌شود. گزینه‌های مختلفی برای حملات وجود دارد. برای فیشینگ، گزینه ۱) Social-Engineering Attacks را انتخاب کنید.

Select from the menu:
1) Social-Engineering Attacks
2) Penetration Testing (Fast-Track)
3) Third Party Modules
4) Update the Social-Engineer Toolkit
5) Update SET configuration 6) Help, Credits, and About set> 1

۴. انتخاب روش فیشینگ:
در مرحله بعد، گزینه‌های مختلفی برای حملات فیشینگ نمایش داده می‌شود. برای ایجاد یک صفحه ورود جعلی، گزینه ۲) Website Attack Vectors را انتخاب کنید.

Select from the menu:
1) Spear-Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino-Based Attack Vector 7) Wireless Access Point Attack Vector
8) QRCode Generator Attack Vector
9) Powershell Attack Vectors 10) Third Party Modules
set> 2

۵. انتخاب نوع حمله وب‌سایت:
حالا باید نوع حمله وب‌سایت را انتخاب کنید. برای ایجاد یک صفحه ورود جعلی، گزینه ۳) Credential Harvester Attack Method را انتخاب کنید.

Select from the menu:
1) Java Applet Attack Method
2) Metasploit Browser Exploit Method
3) Credential Harvester Attack Method
4) Tabnabbing Attack Method
5) Web Jacking Attack Method
6) Multi-Attack Web Method
7) HTA Attack Method
set> 3

۶. انتخاب روش ایجاد صفحه جعلی:
در این مرحله، SET از شما می‌پرسد که آیا می‌خواهید از یک قالب آماده استفاده کنید یا یک صفحه وب را کپی کنید. برای سادگی، گزینه ۲) Site Cloner را انتخاب کنید.

Select from the menu:
1) Web Templates
2) Site Cloner
3) Custom Import
set> 2

۷. وارد کردن آدرس وب‌سایت واقعی:
حالا باید آدرس وب‌سایت واقعی را وارد کنید که می‌خواهید از آن تقلید کنید. برای مثال، اگر می‌خواهید یک صفحه ورود جعلی برای Gmail ایجاد کنید، آدرس زیر را وارد کنید:

Enter the url to clone: https://www.gmail.com

۸. راه‌اندازی سرور فیشینگ:

به طور خودکار صفحه ورود جعلی را ایجاد می‌کند و یک سرور محلی راه‌اندازی می‌کند. این سرور در آدرس IP شما (مثلاً 192.168.1.100) و پورت پیش‌فرض (مثلاً ۸۰) در دسترس خواهد بود.

[*] Cloning the website: https://www.gmail.com [*] This could take a little bit...
[*] The Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed below:

۹. ارسال ایمیل فیشینگ:
حالا باید کاربران را به صفحه جعلی هدایت کنید. این کار معمولاً با ارسال یک ایمیل فیشینگ انجام می‌شود که حاوی لینک به صفحه جعلی است. متن ایمیل ممکن است شبیه به این باشد:

موضوع: امنیت حساب کاربری شما متن: برای حفظ امنیت حساب کاربری خود، لطفاً روی لینک زیر کلیک کنید و وارد شوید: http://192.168.1.100



۱۰. جمع‌آوری اطلاعات:
وقتی کاربران روی لینک کلیک کنند و اطلاعات ورود خود را وارد کنند، این اطلاعات به سرور SET ارسال می‌شود و در ترمینال نمایش داده می‌شود:

[*] WE GOT A HIT! Email: user@example.com Password: password123

نکات امنیتی برای جلوگیری از فیشینگ:

کاربران:

هرگز روی لینک‌های ناشناس کلیک نکنید.

همیشه آدرس وب‌سایت را به دقت بررسی کنید.

از احراز هویت دو مرحله‌ای (2FA) استفاده کنید.

سازمان‌ها:

آموزش کاربران درباره فیشینگ و تکنیک‌های مهندسی اجتماعی.

استفاده از ابزارهای ضد فیشینگ و فیلتر کردن ایمیل‌های مخرب.

نظارت مداوم بر ترافیک شبکه برای شناسایی فعالیت‌های مشکوک.


اگر موافق هستید توی کامنت ها بگید روش های دیگه دسترسی به شبکه را هم توضیح بدیم .

ما را معرفی کنید ❤
@TryHackBox

mechanism for allocation of network addresses to hosts.

شاید اولین چیزی که با دیدن کلمه Allocation به ذهنت برسه، پروتکل DHCP باشه. اما یه نکته مهم این وسط هست
باید به کلمه Mechanism دقت کنیم. اینجا بحث سر نحوه اختصاص آدرس IP به هاست‌هاست، نه صرفاً پروتکل DHCP.

خب، حالا سؤال اینه:
پس آدرس IP چطور به یه هاست اختصاص داده می‌شه؟
دو روش کلی داریم:
روش اول Static (دستی): یعنی خودمون به‌صورت مستقیم یه IP روی دستگاه ست می‌کنیم.
روش دوم Dynamic (خودکار): یعنی یه سیستم خودش بر اساس یه مکانیزم، IP رو اختصاص می‌ده.

حالا این داینامیک می‌تونه به روش‌های مختلفی انجام بشه، که فقط یکی از این روش‌ها DHCP هست.

مثلاً وقتی از VPN یا Hotspot میکروتیک استفاده می‌کنی، بدون اینکه DHCP فعال باشه، هاستت داره IP می‌گیره. پس DHCP تنها روش نیست!

حتی باید دقت کنیم که داریم درباره اختصاص IP در یه شبکه LAN صحبت می‌کنیم یا در شبکه‌های وسیع‌تری مثل اینترنت؟ چون مکانیزم‌ها نسبت به ابعاد شبکه فرق دارن.

یه مثال دیگه: زمانی که برای خونه اشتراک adsl تهیه میکنی مگه روی مودم dhcp فعاله که بخواد از isp ادرس ایپی دریافت کنه؟!!! معلوم که نه، چون از pppoe استفاده میکنه برای احراز هویت و از همین طریق ادرس آیپی رو دریافت میکنه.

-------------------------------------

اینو میدونستی که حتی خود DHCP سه تا روش زیر رو برای اختصاص آدرس آیپی به هاست داره؟!
1.automatic allocation
2.dynamic allocation
3.manual allocation

-------------------------------------
چطور از یادگیری سطحی به یادگیری عمیق برسیم؟
۱. سوالات "چرا؟" و "چطور؟" بپرس
فقط حفظ نکن، سعی کن بفهمی "چرا اینطوریه؟" و "چطور کار می‌کنه؟".

۲. سناریوهای واقعی تمرین کن
به‌جای حفظ تعاریف، اونا رو توی محیط واقعی پیاده‌سازی کن و تست بگیر.

۳. مفاهیم رو به هم مرتبط کن
مثلاً DHCP رو فقط یه پروتکل تخصیص IP نبین، بلکه بررسی کن که چطور با NAT، VLAN، و سایر مفاهیم شبکه ارتباط داره.

۴. به دیگران آموزش بده
اگه بتونی یه مفهوم رو برای کسی توضیح بدی، یعنی واقعاً عمیق درکش کردی

تو یه جامعه‌ای که اکثراً سطحی کار می‌کنن، تو عمیق شو ارزشش رو داره، چون سکوی پرتابت می‌شه.

#به_قلم_میلاد_احمدی✍️
🕡06:22

استدلال معکوس در امنیت سایبری – درس‌هایی از شرلوک هولمز
----------------------------------------------------------------------
"در حل یک مسئله از این نوع، مهم‌ترین چیز توانایی استدلال معکوس است... بیشتر مردم، اگر یک روند وقایع را برایشان توضیح دهید، می‌توانند نتیجه‌ی نهایی را پیش‌بینی کنند. آن‌ها می‌توانند این وقایع را در ذهن خود کنار هم قرار دهند و نتیجه بگیرند که چه اتفاقی خواهد افتاد. اما افراد بسیار کمی هستند که اگر فقط نتیجه نهایی را بدانند، بتوانند مراحل و وقایعی را که به آن نتیجه منجر شده است، بازسازی کنند. این توانایی همان چیزی است که من هنگام صحبت از استدلال معکوس یا تحلیل‌گرایانه به آن اشاره می‌کنم."
— شرلوک هولمز
مفهوم این اصل در امنیت سایبری
در امنیت سایبری، بسیاری از ابزارها و کارشناسان می‌توانند وقتی یک حمله یا رویداد مشکوک رخ می‌دهد، تأثیرات و پیامدهای آن را شناسایی کنند. اما تحلیل‌گران امنیتی خبره کسانی هستند که می‌توانند از یک نشانه یا رویداد نهایی، مسیر وقوع حمله را بازسازی کنند و بفهمند که حمله از کجا آغاز شده و چه مراحلی طی شده است.
به‌عبارت دیگر، متخصصان امنیتی باید همانند شرلوک هولمز، به‌جای پیش‌بینی حملات، مسیر آن‌ها را از آخر به اول بازسازی کنند. این کار به آن‌ها کمک می‌کند تا نقاط ضعف را کشف کرده و از حملات مشابه در آینده جلوگیری کنند.

کاربردهای عملی استدلال معکوس در امنیت سایبری
✅ تحلیل حملات سایبری
فرض کنید یک سازمان متوجه می‌شود که داده‌هایش به بیرون درز کرده‌اند. روش کلاسیک تحلیل ممکن است روی بررسی تأثیرات حمله تمرکز کند، اما روش استدلال معکوس به ما کمک می‌کند تا بفهمیم:
• نقطه ورود مهاجم به شبکه کجا بوده است؟
• مهاجم از چه آسیب‌پذیری‌هایی استفاده کرده است؟
• چگونه به داده‌های حساس دسترسی پیدا کرده و آن‌ها را خارج کرده است؟
✅ پاسخ به رخدادهای امنیتی
پس از شناسایی یک نفوذ یا رفتار مشکوک، تیم‌های امنیتی باید مسیر حرکت مهاجم را در شبکه به عقب دنبال کنند. این کار شامل بررسی لاگ‌ها، تغییرات در سیستم‌ها، و رفتارهای غیرعادی کاربران است تا متوجه شوند که مهاجم چگونه توانسته به سیستم نفوذ کند.
✅ تحلیل جرایم سایبری و مهندسی معکوس بدافزارها
در جرایم سایبری، محققان امنیتی و تیم‌های واکنش به رخدادها (CSIRT) باید از ردپاهای دیجیتالی استفاده کنند تا مراحل یک حمله را بازسازی کنند. همچنین، در مهندسی معکوس بدافزارها، تحلیل‌گران باید بفهمند که یک کد مخرب چگونه کار می‌کند و چه تغییراتی در سیستم ایجاد کرده است.
@TolueRise

✨قسمت چهلم و هشتم Safe Cast✨

🔹استفاده از آسیب‌پذیری Symlink در SSL-VPN جهت حفظ دسترسی FortiGate

🔹فیشینگ مبتنی بر بررسی زمان واقعی ایمیل قربانی، قبل از سرقت اطلاعات

🔹حمله هدفمند ResolverRAT با ترفندهای فیشینگ و DLL Side-Loading

🎙با اجرای حسین الفت

@safe_defense
#safe_cast

🔴 فروم ناشناس 4chan هک شد!

فروم 4Chan یک فروم ناشناس هستش که در سال 2003 تاسیس و به دلیل ساختار ساده و محتوای جنجالیش معروف شد. این سایت به کاربران اجازه میده بدون ثبت‌نام و بصورت ناشناس پستهایی شامل متن و تصویر در تالارهای گفتگوی مختلف (مثل /b/، /pol/، /a/) منتشر کنن. این پلتفرم نقش مهمی در فرهنگ اینترنت داشته و گروه‌هایی مثل Anonymous، جنبشهای مثل Gamergate و QAnon، و حتی رویدادهایی مثل نشت عکسهای خصوصی سلبریتی‌ها (The Fappening) ازش سرچشمه گرفتن.

داستان هکش هم اینجوری بوده که یک تالار قدیمی و مسدود شده در 4chan به نام /QA/ برای مدت کوتاهی دوباره آنلاین شده و پیامی با مضمون «U GOT HACKED XD» روی سایت ظاهر شده. در همون زمان، اکانتی در یک فروم رقیب بنام Soyjak.party اسکرین‌ شات‌هایی منتشر کرد که ادعا کرده سیستمهای بک‌اند 4chan و لیستی از نامهای کاربری مدیران و ناظران سایت همراه با ایمیلهای مرتبط رو نشون میده. پس از انتشار این ایمیلها، کاربران Soyjak.party شروع به افشای اطلاعات شخصی کردن و عکسها و اطلاعات شخصی اکانتهای لو رفته رو منتشر کردن.

گفته شده که این هک در نتیجه استفاده از نرم افزارهای قدیمی و عدم بروزرسانی اونا رخ داده و گویا هکر به مدت یکسال در سیستم 4chan بوده.

هک تایید شده و سایت در دسترس نیست.

اگرچه فعالیت در فروم ناشناس بوده اما خود سایت IP کاربران رو ذخیره میکرده، لو رفتن داده ها میتونه تبعات زیادی برای ادمین ها و کاربراش داشته باشه.

مثلا قبلا از طریق این فروم حملات DDOS رو برنامه ریزی میکردن. الان با انتشار دیتابیس ها و اطلاعات حساس، مقامات اجرای قانون میتونن به این افراد دسترسی داشته باشن.

همچنین با توجه به اینکه فروم پستهای توهین آمیز و نفرت انگیز و نژادپرستانه هم داشته، بخصوص از طرف ناظران، لو رفتن هویت پشت این پستها باعث تهدید جانی یا حملات از طرف کاربران به ارسال کنندگان این پستها هم میشه./ منبع

#هک #نقض_داده
#4chan #leak #hack #breach

🆔 @onhex_ir
➡️ ALL Link

🔍 یکی از جامع‌ترین ابزارهای #OSINT برای پژوهشگران و متخصصان حوزه #امنیت_سایبری 
پلتفرم FaganFinder با دسته‌بندی هوشمند منابع اینترنتی، قادر است تقریباً هر نوع اطلاعاتی را در اینترنت شناسایی کند! از ردیابی شبکه‌های اجتماعی تا تحلیل داده‌های عمومی و جستجو در آرشیوهای تخصصی. 🎯 

📌 قابلیت‌های کلیدی: 
- جستجوی پیشرفته در ۲۰۰+ پلتفرم مرجع 
- فیلترسازی بر اساس نوع محتوا (اسناد، نقشه‌ها، اخبار و...) 
- ابزارهای تحلیل تصاویر و متادیتا 
- دسترسی به پایگاه‌های داده کمیاب 

👇 برای اکتشاف حرفه‌ای در تحقیقات امنیتی  
https://www.faganfinder.com



@sec_netw🕷

🔹🎙 بررسی حمله انجام شده برروی اپراتور همراه اول

💢 باعث تاسف هست که تو فاصله زمانی کوتاهی دو تا هک بزرگ اتفاق افتاد و اطلاعات کاربران زیادی به دست هکر ها افتاده، همراه اول توسط گروه هکری ShadowBits هک شده و اطلاعات بیش از ۳۰ میلیون کاربر در اختیار این تیم هست ، جزئیاتی از حمله انجام شده ارائه نشده من تحلیل خودمو نسبت به این حمله بهتون توضیح میدم

#هک_همراه_اول

@UltraSecurity

🌐 ساب نت‌های IPv4


#IPv4


@sec_netw🕷

🛰 فرض کنید توی یک خیابان هستید افراد زیادی دارن با هدست های بلوتوثی صحبت میکنن یا موزیک گوش می‌کنن ، توی این شرایط شخص هکر میتونه از طریق بلوتوث تمامی مکالمات رو شنود کنه!! یا حتی صدایی که خودش میخواد برای اون فرد پخش بشه !!


♦️ آیا همچین چیزی ممکنه؟ بله

🔺 از نظر فنی خیلی کامل بررسی می‌کنیم که چطوری میشه این سناریو رو انجام داد با اسکریپت مورد نیازش 💪


👍 لایک ها این پست به ۱۷۰ تا لایک برسه ویسش توی کانال قرار میگیره
#BluetoothHacking
@UltraSecurity

🎙 چطوری میشه از طریق بلوتوث (Bluetooth) مکالمات رو شنود کرد؟


♦️ لینک ابزار در گیت هاب :

https://github.com/TarlogicSecurity/BlueSpy


👍 ممنون از حمایت فوق العاده شما ❤️

@UltraSecurity

🚫 نقش Zone.ID در شناسایی و تحلیل فایل‌های مشکوک 🚫

در دنیای امنیت سایبری، یکی از روش‌های اولیه و بسیار موثر برای شناسایی منشأ فایل‌ها و تحلیل رفتار آن‌ها، بررسی Zone Identifier یا همون Zone.ID است. این ویژگی کمتر دیده شده اما بسیار حیاتی در سیستم‌عامل ویندوز، می‌تواند اطلاعات ارزشمندی درباره نحوه‌ی ورود فایل به سیستم در اختیار تیم‌های امنیتی، مثل SOCها و ابزارهای EDR قرار بده .‼

در واقع Zone.ID بخشی از داده‌های Meta Data فایل است که هنگام دریافت فایل از منابع خارجی به اون اضافه می‌شه. این داده مشخص می‌کند که فایل موردنظر از چه محیط یا شبکه‌ای وارد سیستم شده است. 💻

انواع Zone.ID و تفسیر آن‌ها

به طور کلی، ویندوز پنج نوع Zone.ID تعریف کرده که هرکدام نمایانگر سطح متفاوتی از ریسک هستند:

Zone.ID = 0:
فایل لوکال است : یعنی مستقیماً از خود سیستم یا دیسک داخلی ایجاد یا جابه‌جا شده. این دسته کمترین میزان ریسک رو دارن.

Zone.ID = 1:
فایل از یک شبکه LAN دریافت شده. میزان خطر این نوع فایل‌ها نسبت به فایل‌های لوکال اندکی بالاتره ، اما همچنان در محدوده‌ی کنترل‌شده‌ای قرار داره.

Zone.ID = 2:
فایل از یک سایت معتبر و شناخته‌شده بارگیری شده. مرورگرها و ویندوز بر اساس گواهی‌ها و تنظیمات امنیتی، برخی سایت‌ها را "معتبر" دسته‌بندی می‌کنن.

Zone.ID = 3:
فایل از اینترنت عمومی دانلود شده؛ جایی که سطح اطمینان کمتر و احتمال آلودگی بسیار بیشتر است.

Zone.ID = 4:
فایل از یک منبع محدود یا بلاک‌شده اومده. این فایل‌ها بالاترین سطح هشدار را دارن و معمولاً به طور پیش‌فرض توسط سیستم بلاک یا قرنطینه می‌شون.



              ©️ اهمیت Zone.ID در فرآیندهای دفاعی ©️


بسیاری از راهکارهای امنیتی با بررسی Zone.ID فایل‌ها تصمیم می‌گیرند که آیا اجازه‌ی اجرا به فایل بدهند یا خیر. به عنوان مثال، فایلی که Zone.ID آن برابر ۳ یا ۴ باشد، احتمال بیشتری دارد که توسط آنتی‌ویروس یا EDR به عنوان مشکوک شناسایی شود و تحت برسی دقیق‌تر قرار بگیره.
از این رو، یکی از شاخص‌های اولیه برای تشخیص تهدیدات سایبری، همین بررسی منبع فایل از طریق Zone.ID هستش. حتی برخی از حملات هدفمند، از تغییرات در این مقدار برای مخفی‌سازی منشأ خود بهره می‌برند.

روش‌های دور زدن سیستم شناسایی Zone.ID

با وجود اهمیت بالای Zone.ID در دفاع سایبری، مهاجمان و برخی افراد فنی روش‌هایی برای دور زدن این کنترل‌ها توسعه داده‌اند. از جمله این روش‌ها می‌توان به موارد زیر اشاره کرد:

حذف Zone.Identifier: فایل‌های دریافتی در ویندوز اغلب دارای یک داده‌ی پنهان در ساختار Alternate Data Stream (ADS) هستند. با حذف این بخش، می‌توان Zone.ID را پاک کرد و فایل را به ظاهر به عنوان یک فایل محلی (Zone.ID=0) جلوه داد.

انتقال فایل بین فایل‌سیستم‌ها: با کپی کردن فایل به حافظه‌های جانبی (مثل فلش‌مموری) و بازگرداندن آن به سیستم، Zone.ID حذف می‌شود.

استفاده از ابزارهای خودکار: ابزارهای تخصصی متعددی وجود دارند که فرآیند حذف یا تغییر Zone.ID را به صورت خودکار انجام می‌دهند.

و راه های دیگه ای هم‌وجود داره مثل  ؛

حذف ADS با ابزارهای مانند
Streams.exe
 

   streams.exe -d C:\MaliciousFile.exe
   

  
   نکته: این کار ممکنه در لاگ‌های سیستم ردیابی بشه (مثال: Event ID 4663 در Auditing File Access).

تغییر Zone.ID از طریق رجیستری؛
   تغییر کلید HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

استفاده از پروتکل‌های غیرمتداول: 

   انتقال فایل از طریق پروتکل‌هایی مانند SMB یا FTP که Zone.ID را به طور پیش‌فرض تنظیم نمی‌کنن


نکته‌ی مهم و هشدار

هرچند تغییر یا حذف Zone.ID ممکن است به عنوان یک تکنیک بای‌پس برای عبور از کنترل‌های امنیتی کاربرد داشته باشد، اما این کار ،باعث تغییر در meta deta فایل می‌تواند زنگ توجه تیم‌های مانیتورینگ را جلب کنه و باعث بررسی‌ بیشتر بشه.

در نتیجه، استفاده از این روش‌ها بدون درک کامل از پیامدهای احتمالی، می‌تواند نتایج معکوسی به همراه داشته باشه.

‼  🕷‌‌‌   ‼

.هرچقدر شناخت ما از ساختارها و نشانه‌های فایل‌ها عمیق‌تر باشد، قدرت بیشتری در شناسایی تهدیدات، جلوگیری از نفوذ و دفاع در برابر حملات خواهیم داشت.
به خاطر داشته باشیم که امنیت، بازی با نشانه‌ها و جزئیات است. Zone.ID یکی از همین نشانه‌های کوچک اما بسیار مؤثر هستش.


@ViperNull