جزئیات پروسه و نخ در لینوکس

به صورت خلاصه از دید ویندوز پروسه فقط یک container می‌باشد که اجرا نشده و فضایی برای اجرای Threadها فراهم می‌کند و در سطح کرنل نیز دو ساختار EPROCESS, ETHREAD برای این دو تعریف شده‌اند. اما در لینوکس ماجرا متفاوت است و Process, Thread هر دو قابلیت اجرا داشته و در سطح کرنل نیز یک ساختار task_struct برای آن‌ها تعریف شده است. در دنیای شی‌گرایی مثل این است که در لینوکس یک کلاس برای این دو وجود دارد و فقط در زمان ایجاد شی خصوصیات متفاوتی برای آن‌ها تنظیم می‌شود.

اگر به سراغ برنامه‌نویسی سیستمی در لینوکس برویم، تابع fork برای ایجاد پروسه استفاده شده و از تابع pthread_create نیز برای ایجاد نخ در لینوکس استفاده می‌شود. در سطحی کمی پایین‌تر، هر دوی این توابع syscallای به نام clone را فراخوانی می‌کنند و با ست‌کردن فلگ‌هایی مشخص می‌کنند که قصد ایجاد پروسه یا نخ را دارند. در زمان بررسی برنامه‌ها، در خروجی دستور ps برای یک برنامه‌ی چند پروسه‌ای pidهای مختلفی خواهیم دید ولی در یک برنامه‌ی چند نخی pidها یکسان بوده ولی عددهای متفاوتی در فیلد Light-Weight Process-LWP می‌بینیم.

نکته‌ی جالب دیگر این است که در سطح کرنل پروسه‌ها یک لیست پیوندی تشکیل می‌دهند. هم شیوه‌ی ایجاد لیست پیوندی Generic در سطح کرنل و در زبان C موضوع جالبی است و هم اینکه به کمک فیلدی به اسم tasks می‌توانیم یک لیست پیوندی از پروسه‌ها تشکیل دهیم که به پروسه‌های قبلی و بعدی اشاره می‌کند.

این موارد و موارد دیگری از جزئیات پروسه‌ها و نخ‌های لینوکس مواردی هستند که در این ویدئو به آن می‌پردازیم.

لینک ویدئو در یوتیوب:
https://youtu.be/0fxYtyFn8Jc
لینک ویدئو در آپارات:
https://aparat.com/v/cnytp55

#ShortLinuxInternals #linux #internals #syscalls #kernel #process #thread #gdb #qemu #clone #LWP

⭕️ ارائه برنامه ProcDump برای سیستم عامل Mac در مجموعه Sysinternals.
در حال حاضر این برنامه در سیستم عامل های ویندوز، لینوکس و مک قابل استفاده خواهد بود.

ProcDump 1.0 for Mac

#Sysinternals #ProcDump
@Securation

⭕️ پیکربندی نادرست سرور DHCP می‌تواند نه تنها باعث غیرفعال شدن این سرویس توسط مهاجم شود، بلکه زمینه را برای حملات MITM فراهم کند که به مهاجم امکان رهگیری و دسترسی به اطلاعات حساس را می‌دهد.

در این مقاله، با پیام‌های DHCP و ساختار هدر DHCP آشنا خواهید شد.

Attacks on DHCP: Exploring Starvation and Spoofing Techniques and How to Protect Against Them

#DHCP #MITM
@Securation

‏⭕️ مدتی پیش تحقیقی مبنی بر شناسایی تهدیدات در سطح مموری با استفاده از Kernel ETW Call Stacks ها ارایه شد، که XDR Elastic ادعا بر انجام آن کرده بود.
حال پروژه ای مبتنی بر پروژه های LoudSunRun و CallStackSpoofer ایجاد شده که Stack spoofing توسط Fake stack frame اقدام به دور زدن این مورد میکند.
به طوری که:
ما با قرار دادن اسم Module مورد نظر و Fake frame در کلاس مورد نظر این اقدام را انجام میدهیم،از جهتی در پروژه قبلی از گجت jmp RBX مورد استفاده قرار میگرفت، اما در این پروژه از jmp RDI استفاده میشود.

#RedTeam #Evasion #MalDev
@securation

⭕️طبق صحبتی که با دوستان بخش امنیت صرافی نوبیتکس داشتم نیاز شد اطلاع رسانی بشه در این مورد.
دوستان گفتن که ما همون دقایق ابتدایی ادعا با اون کانال ارتباط گرفتیم ازشون درخواست کردیم که دیتا بدن که اثبات کنه مرتبط با نوبیتکس هست و دقیقاً ازشون خواستیم که داده ها یا از جنس تراکنش کاربرانمون باشه یا از جنس داده های احراز مرتبط با نوبیتکس مثل عکس یا ویدئو، به ما اول یک لیست کد ملی دادن. این لیست حدود 150 هزار تایی کد ملی دادن که با دیتابیس ما هم منطبق نبود ولی اشتراک داشت.
دوباره تأکید کردیم که داده هایی بدن که مشخصاً مرتبط با نوبیتکس باشه که در ادامه یک لیست کارت بانکی متصل به کد ملی ها دادن که باز مشخصاً با دیتابیس ما کاملا متفاوت بود. حتی مشخصات خیلی از کاربرانی که اشتراک داشتیم باهاشون هم متفاوت بود مثلا تو دیتابیس ما زینب بود تو اون زینب السادات. توضیح اینکه این داده ها مشخصاً مرتبط با هکی در سطح psp هست چرا که مثلا تو همون ست اشتراکی هم مثلا کاربر ما 5 تا کارت ثبت کرده بود ولی اینا 1 کارت ارائه دادن بودن که دقیقا همون کارتی بود که واریزی بانکی ازش انجام شده.
هیچ لیک اطلاعاتی سمت نوبیتکس نیست. ما همچنان اعلام آمادگی کردیم بر اساس باگ بانتیمون که تو سایت هم هست حتی بخشی از اطلاعات مرتبط با نوبیتکس رو هم ارائه بدن برای یک جامعه آماری محدود در حد 100 نفر که اعلام کردن امکانش رو ندارن. ویدئو مذاکرات و اسکرین هاشم داریم در صورت لزوم انتشار خواهیم داد. البته که از این جنس ادعاها کلا هفته ای یکی دو مورد داریم.
صفحه باگ بانتی نوبیتکس فعال هست و میتونید در هرزمانی درصورت کشف آسیب پذیری گزارش بدید و جایزه دریافت کنید :

https://nobitex.ir/bugbounty

#nobitex #news
@securation

⭕️بررسی Event ID 15 در Sysmon

#ThreatHunting #sysmon
@securation

⭕️بررسی Event ID 15 در Sysmon

سیسمان یکی از ابزارهای قدرتمند مجموعه Sysinternals است که به‌طور گسترده در تحلیل رفتارهای سیستمی و شناسایی فعالیت‌های مشکوک در سیستم‌های ویندوزی استفاده می‌شود.
این ابزار با ثبت رویدادهای مختلف در سیستم، به تحلیلگران امنیتی کمک می‌کند تا حملات سایبری و فعالیت‌های مخرب را شناسایی کنند.
یکی از رویدادهای مهمی که Sysmon ثبت می‌کند، Event ID 15 است.

تعریف Event ID 15:
ایونت آیدی 15 در Sysmon مربوط به ایجاد یک جریان (Stream) در فایل است. این رویداد زمانی ثبت می‌شود که Alternate Data Streams (ADS) به یک فایل متصل شوند.

تعریف Alternate Data Streams (ADS):
قابلیتی در سیستم فایل NTFS است که اجازه می‌دهد داده‌های اضافی به فایل‌ها اضافه شود، بدون این‌که اندازه یا ویژگی‌های اصلی فایل تغییر کنند.

چرا Event ID 15 مهم است؟
در ویندوز ADS ها در حالت عادی کاربردهایی مانند ذخیره متادیتا دارند، اما مهاجمان می‌توانند از این قابلیت برای پنهان‌سازی بدافزارها، اسکریپت‌ها یا داده‌های مخرب استفاده کنند. Event ID 15 به ما امکان می‌دهد این تغییرات را شناسایی کنند.
حملات سایبری که از طریق Event ID 15 قابل شناسایی‌اند:
1. پنهان‌سازی بدافزار در ADS
مهاجمان ممکن است بدافزارها را در جریان‌های داده‌ی جایگزین (ADS) یک فایل مخفی کنند.
نشانه: ثبت یک Event ID 15 در فایلی که نیازی به ADS ندارد.
تحلیل: فایل مشکوک را بررسی کرده و جریان‌های داده‌ی آن را استخراج کنید. ابزارهایی مانند streams.exe می‌توانند کمک کنند.

2. اجرای کد مخرب از طریق ADS
مهاجمان ممکن است کدهای مخرب را در ADS ذخیره کرده و از آنجا اجرا کنند.
نشانه: ایجاد ADS در فایل‌هایی که در فرآیندهای سیستم حیاتی یا حساس نقش دارند.
تحلیل: مسیر فایل را ردیابی کرده و تغییرات مرتبط با آن را ارزیابی کنید.

3. پنهان‌سازی داده‌های سرقت‌شده
‌در این حملات ADS ها می‌توانند برای پنهان‌سازی داده‌های حساس و سرقت‌شده از سیستم استفاده شوند.
نشانه: ایجاد ADS‌های غیرمنتظره پس از دسترسی‌های مشکوک.
تحلیل: فایل‌های تغییر یافته و محتویات ADS را بررسی کنید.

4. ردپای مهاجم یا ابزارهای هک
برخی ابزارهای هک (مثل Mimikatz یا Cobalt Strike) ممکن است داده‌ها یا تنظیمات خود را در ADS ذخیره کنند.
نشانه: مشاهده ADS در کنار ابزارهای اجرایی یا فایل‌های سیستمی.
تحلیل: فایل‌های اجرایی را با هش‌گذاری یا تحلیل رفتاری بررسی کنید.

#ThreatHunting #sysmon
@securation

⭕️شکار تهدید (Threat Hunting) با WMI در ویندوز

ابزار WMI (Windows Management Instrumentation) ابزاری قدرتمند در ویندوز است که برای جمع‌آوری اطلاعات سیستم و مدیریت فرآیندها استفاده می‌شود. این ابزار توسط مهاجمان برای مخفی کردن فعالیت‌های خود نیز بهره‌برداری می‌شود. در شکار تهدید، WMI می‌تواند به شناسایی فعالیت‌های مشکوک کمک کند.

روش‌های عملی شکار تهدید با WMI
1. شناسایی فرآیندهای مشکوک
بررسی فرآیندهایی که در مسیرهای غیرعادی اجرا می‌شوند:

Get-WmiObject Win32_Process | Where-Object { $_.ExecutablePath -like "*Temp*" } | Select-Object Name, ExecutablePath

این دستور فرآیندهایی را که از پوشه Temp اجرا می‌شوند نمایش می‌دهد.

2. پایش ایجاد فرآیندهای جدید
برای نظارت بر ایجاد فرآیندهای جدید:

Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_Process'" -Action { Write-Output $EventArgs.NewEvent }

هر فرآیند جدید به‌طور خودکار لاگ می‌شود و می‌توانید رفتارهای غیرعادی را بررسی کنید.

3. بررسی تغییرات رجیستری
شناسایی تغییرات کلیدی رجیستری که ممکن است برای پایداری بدافزار استفاده شود:

Get-WmiObject -Query "SELECT * FROM StdRegProv WHERE sSubKeyName = 'Software\\Microsoft\\Windows\\CurrentVersion\\Run'"

این دستور مقدارهای رجیستری مربوط به اجرای خودکار برنامه‌ها را بازیابی می‌کند.

مطالعه بیشتر:

Link

#ThreatHunting #WMI
@securation

⭕️ CVE-2024-49112

A critical vulnerability in Windows LDAP client that according to Microsoft allows remote code execution. This exploit leverages the vulnerability to crash target Windows Server systems by interacting with their Netlogon Remote Protocol (NRPC), and LDAP client.

Blog: https://securityonline.info/poc-exploit-released-for-zero-click-vulnerability-cve-2024-49112-in-windows/
@securation

⭕️ هشدار گوگل در مورد خطر بکدور Playfulghost

تیم امنیت گوگل یک تحلیل فنی از یک بدافزار که به عنوان یک بکدور عمل میکند ارائه داده و هشدار داده که این بدافزار از قابلیت هایی مانند ضبط صفحه نمایش، ضبط صوت از محیط اطراف، ریموت شل و فایل ترنسفر پشتیبانی میکند.
این بدافزار به اسم playfulghost شناخته میشود، که از طریق متودولوژی های SEO poisoning در قالب VPN های مطرح گوگل پلی که با این بدافزار بایند شده اند انتشار یافته است.



لینک خبر :
https://www.forbes.com/sites/daveywinder/2025/01/06/google-security-alert-as-backdoor-vpn-threat-confirmed/
#Malware #Backdoor #Phishing
@Securation

ماشین گزارش شفافیت تلگرام با آدرس زیر به شما میگه براساس ای‌پی شما و/یا شماره تلفن شما چه تعداد درخواست از طرف دولت دریافت کرده و چه تعداد کاربر بابت اون درخواست اطلاعاتشان به دولت داده شده. اگر در ایران هستید خوبه حتمن آزمایش کنید.
t.me/transparency‎

⭕️ تبریک ویژه به علیرضا امیرحیدری محقق امنیت سایبری برجسته که در ماه های اخیر جز Top 10 محقق های امنیت مایکروسافت قرار گرفت.
رتبه سوم :
2024 Q4 Azure Leaderboard
رتبه هفتم :
2024 Q4 Security Researcher Leaderboard

تاحالا حدود 20 هزار دلار جایزه بابت گزارش های متعدد آسیب پذیری دریافت کرده.
+ تعدادی آسیب پذیری دیگه هم گزارش داده که منتظر تاییدیه نهایی برای پرداخت بانتی هستن:)

https://msrc.microsoft.com/blog/2025/01/congratulations-to-the-top-msrc-2024-q4-security-researchers/
@securation

نوروز باستان بر ایرانیان پیروز باد 💐

🔴 تحلیل آسیب‌پذیری بحرانی CVE-2025-29927 در Next.js

یک آسیب‌پذیری خطرناک در فریم‌ورک Next.js شناسایی شده است که به مهاجمان امکان دور زدن کنترل‌های امنیتی Middleware را از طریق دستکاری هدر x-middleware-subrequest می‌دهد.
این آسیب‌پذیری می‌تواند منجر به دسترسی غیرمجاز به بخش‌های حساس برنامه شود.

-میزان خطر: بسیار بالا (Critical)
-دامنه تأثیرپذیری: بیش از ۹.۵ میلیون سرویس مبتنی بر Next.js
نسخه‌های آسیب‌پذیر: 11.x تا 15.x (نسخه‌های قبل از 15.2.3)


مکانیزم فنی Middleware در Next.js

وظیفه: پردازش درخواست‌ها قبل از رسیدن به صفحه مقصد.
مشکل: اگر هدر x-middleware-subrequest وجود داشته باشد، سیستم آن را به عنوان یک درخواست داخلی شناسایی می‌کند و Middleware را اجرا نمی‌کند (NextResponse.next()).

نمونه کد آسیب‌پذیر در next-server.ts :

if (subRequests.includes(middlewareInfo.name)) {
    return NextResponse.next(); // bypass Middleware
}

هکر می‌تواند مقدار middlewareInfo.name را حدس بزند (مثلاً pages/_middleware یا src/middleware).


نحوه اکسپلویت کردن :
یک نمونه برای نسخه‌های قدیمی (قبل از 12.2)
کافیست یک درخواست معمولی با هدر جعلی ارسال شود:

GET /admin HTTP/1.1
Host: example.com
x-middleware-subrequest: pages/_middleware

سیستم فکر می‌کند این یک درخواست "داخلی" است.
تمام مکانیزم های Middleware (مثل Auth) نادیده گرفته می‌شوند.

Reference:
https://github.com/azu/nextjs-cve-2025-29927-poc
@securation

⭕️ یک آسیب پذیری اجرای کد از راه دور (RCE) در برنامه Telegram برای سیستم عامل MacOS کشف شده که یک محقق امنیتی با استفاده از هوش مصنوعی Manus تونسته کشف کنه.
این آسیب پذیری از طریق یک روش خاص، محدودیت‌های فایل Telegram را دور می‌زند.
به این ترتیب، فایل‌های دانلود شده بدون نیاز به تأیید کاربر قابل اجرا هستند.
این آسیب پذیری در آخرین نسخه‌های Telegram برای MacOS نیز تست شده و کار می‌کند.

Reference:
https://mp.weixin.qq.com/s/RiFgghK96QN-201SE5q8ag
#Telegram #0day
@securation