Network Security Channel

اپیزودی در حوزه DFIR https://open.spotify.com/show/4ifGmei1Z8eJJ5q08ayUfS?si=fFBTgI4RTFuayN_517FxpA بحث در رابطه با این مقاله است https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume/ 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

گزارشی از فعالیت های جهانی علیه حملات باج افزاری https://blog.bushidotoken.net/2025/01/analysis-of-counter-ransomware.html 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

زیر ساخت ESXi را تست کنید https://github.com/AlbinoGazelle/esxi-testing-toolkit 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

دوستان در SOC ؛ یک نگاه به این لینک بندازین مپ هست بین اتمیک تست و رولهای سیگما و اسپلانک https://attackrulemap.netlify.app/?v=2 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

بررسی تحرکات گروه لازاروس https://www.validin.com/blog/inoculating_contagious_interview_with_validin/

چرا پاورشل باید دستورات Encode شده را بپذیرد؟ همونطور که میدونیم برخی حملات سایبری با دستورات انکد شده انجام می‌شوند. که برای بررسی اون دستور باید دیکد بشن چون در ظاهر خوانایی ندارند. ⁉️حالا اصولا چرا باید امکان اجرای دستور بصورت انکد شده در سیستم عامل وجود داشته باشه ؟ چه ضرورتی هست ؟ ✅️دلایل طراحی و ضرورت پذیرش دستورات انکد شده در پاورشل 🟣انتقال امن و سازگار دستورات در شبکه این Base64 Encoding اطمینان می‌دهد که دستورات شامل کاراکترهای خاصی که ممکن است در مسیر انتقال (مانند شبکه یا فایل‌های متنی) باعث خطا شوند، به فرمت قابل انتقال و ایمن تبدیل شوند. این موضوع در سناریوهایی مانند مدیریت از راه دور (Remote Administration) بسیار اهمیت دارد. 🟣اجرا در محیط‌هایی با محدودیت کاراکتر در برخی موارد، ابزارها یا سیستم‌های واسط اجازه استفاده از کاراکترهای خاص (مانند نقل‌قول‌ها، نقطه‌ویرگول یا دیگر نمادهای رزرو شده) را نمی‌دهند. انکد کردن دستورات پاورشل به Base64، این محدودیت را دور می‌زند. 🟣یکپارچگی و جلوگیری از تغییر دستورات هنگامی که دستورات به صورت انکد شده ارسال می‌شوند، احتمال تغییر یا خراب شدن آن‌ها به دلیل محدودیت‌های پروتکل یا ابزار کمتر است. این ویژگی به خصوص در زمان مدیریت راه دور (مانند WinRM) و اسکریپت‌های پیچیده مفید است. 🟣امنیت موقتی و پنهان‌سازی در انتقال هرچند Base64 یک روش رمزگذاری نیست، اما نمایش مستقیم دستورات یا اطلاعات حساس را از کاربران غیرمجاز یا ابزارهای نظارتی عمومی پنهان می‌کند. 🟣خودکارسازی و ارسال دستورات طولانی پاورشل برای اجرای اسکریپت‌های طولانی یا پیچیده از طریق یک خط فرمان یا یک ابزار واسط (مانند Task Scheduler) طراحی شده است. در چنین شرایطی، انکد کردن دستور به Base64 ارسال و اجرا را ساده‌تر و مطمئن‌تر می‌کند.

چرا هرکسی نمیتونه ابزار امنیتی تولید کنه ؟ 🔅این روزها که در بسیاری از محل ها اجبار به استفاده از محصولات بومی وجود داره تب تولید محصول امنیتی بالاگرفته و خیلی ها به این سمت رفتن. 🔅از سوی دیگه هم نرخ مهاجرت بالا در بین متخصصان امنیت زیاد بوده لذا از تعداد منتقدان و ناظران پروژه های امنیتی بشدت کاسته شده که این هم دلیلی مزید بر علت شده تا تعداد بیشتری به سرشون بزنه تا ایده ای دارند؛ اونو به شکل محصول دربیارن. ✳️اینجاست که باید گفت توجه به استاندارد هایی چون CC به ما می‌آموزه که ساخت تجهیز و نرم افزار امنیتی تابع شرایطی هست و نمیشه با هر طریق و مسلکی ابزار امنیتی ساخت . ⚠️استفاده از ابزار امنیتی که در ساخت اون توجهات لازم صورت نگرفته هم ما رو امن نکرده بلکه میتونه خودش ابزاری علیه ما باشه . چطور ؟ لینک زیر ⭕️در این لینک میبینیم چطور ابزارهای امنیتی مطرح جهان دور می‌خورند و خودشون علیه صاحبشون اقدام می‌کنند. 🔴پس هر کسی و هر شرکتی نمیتواند دست به تولید نرم افزار و تجهیزات امنیتی بزند. https://neodyme.io/en/blog/com_hijacking_1/#security-risks-in-back-end-communication

شناسایی حملات و نفوذ از طریق بررسی فرآیندهای والد و فرزند ✍ روزبه نوروزی یکی از روش‌های مهم در تحلیل نفوذ ، بررسی ارتباط بین فرآیندهای والد و فرزند است. این روش به ما کمک می‌کند تا بفهمیم چگونه یک بدافزار اجرا شده و از چه روش‌هایی برای نفوذ به سیستم استفاده کرده است. فرآیند ( پراسس) والد چیست؟ فرآیند والد، فرآیندی است که یک فرآیند جدید (فرزند) را اجرا می‌کند. برای مثال، اگر یک برنامه‌ی مخرب توسط Explorer.exe اجرا شود، این بدان معناست که احتمالاً از طریق یک فایل میانبر مخرب (.lnk) اجرا شده است. شناسایی فرآیند والد می‌تواند به تحلیلگر کمک کند تا روش نفوذ بدافزار را تشخیص دهد. 🔶️نقش تجربه و ابزارها تشخیص این موارد نیازمند تجربه و استفاده از ابزارهای مناسب است. ابزارهایی مانند Process Explorer از Sysinternals و یا EDR مانند ترند میکرو و سیمنتک ، به تحلیلگران کمک می‌کنند تا ارتباط بین فرآیندها را به سرعت مشاهده کنند. 🔷️مثال‌هایی از پراسس های والد Explorer.exe اجرای بدافزار از طریق فایل‌های میانبر RunOnce.exe اجرای بدافزار با استفاده از کلیدهای رجیستری cmd.exe اجرای اسکریپت‌ها یا فایل‌های batch مخرب svchost.exe استفاده از سرویس‌های ویندوز برای مخفی کردن اجرای بدافزار. 🏮۶ مورد از تاریخچه حملات واقعی قابل کشف با این روش: 〽️-حمله Stuxnet تکنیک: استفاده از فرآیند Explorer.exe برای اجرای فایل‌های میانبر آلوده از طریق USB. روش شناسایی: شناسایی فرآیند والد Explorer.exe که فایل‌های .lnk مخرب را اجرا می‌کرد. 〽️ -حمله WannaCry تکنیک: استفاده از svchost.exe برای گسترش بدافزار در شبکه. روش شناسایی: بررسی فرآیندهای svchost.exe که ارتباطات غیرعادی برقرار می‌کردند. 〽️ -حمله Emotet تکنیک: استفاده از winword.exe برای اجرای ماکروهای مخرب در فایل‌های Word. روش شناسایی: ارتباط بین winword.exe و PowerShell که کد مخرب را اجرا می‌کرد. 〽️-حمله گروه APT29 (Cozy Bear) تکنیک: استفاده از mshta.exe برای اجرای کد مخرب از طریق فایل‌های HTML. روش شناسایی: مشاهده ارتباط بین mshta.exe و فرآیندهای دیگر مانند cmd.exe. 〽️-حمله TrickBot تکنیک: استفاده از powershell.exe برای دانلود و اجرای payload. روش شناسایی: بررسی فرآیند powershell.exe که از فرآیند والد مخربی ایجاد شده بود. 〽️ -حمله Dridex تکنیک: اجرای بدافزار از طریق explorer.exe با استفاده از پیوست‌های ایمیل آلوده. روش شناسایی: تحلیل فرآیندهای مرتبط با فایل‌های اجراشده از طریق Explorer.exe. بررسی ارتباط فرآیندهای والد و فرزند یکی از موثرترین روش‌ها در تحلیل و شناسایی بدافزارها است. با استفاده از ابزارهای مناسب و دانش کافی، می‌توان الگوهای رفتاری بدافزارها را شناسایی و از نفوذ آنها جلوگیری کرد.

❓️چرا تحلیل استاتیک بد افزار ممکن است موفقیت آمیز نباشد ؟ برای توضیح یک مثال واقعی و متداول در دنیای تحلیل بدافزارها را بررسی می‌کنیم که نشان می‌دهد چرا تحلیل استاتیک ممکن است در تشخیص یک بدافزار ناکام باشد و چگونه تحلیل دینامیک می‌تواند موفقیت‌آمیز باشد. مثال: بدافزار با تکنیک‌های مبهم‌سازی و ضد تحلیل یک بدافزار خاص، فرضاً یک تروجان بانکی به نام BankStealer، به شکلی طراحی شده که تحلیل استاتیک آن را گمراه کند. ❇️تحلیل استاتیک: در تحلیل استاتیک، کد بدافزار بدون اجرای آن بررسی می‌شود (مانند بررسی فایل‌های اجرایی با ابزارهایی مثل IDA Pro یا Ghidra). ویژگی‌های بدافزار: 🔶️مبهم‌سازی کد (Obfuscation): کد بدافزار با استفاده از ابزارهای مبهم‌سازی رمزگذاری شده یا تغییر یافته است. بنابراین، در ابزارهای تحلیل، تنها یکسری کدهای غیرقابل‌خوانش و توابع بی‌معنی مشاهده می‌شود. به عنوان مثال، توابع مهمی که اطلاعات بانکی را سرقت می‌کنند در فایل اجرایی رمزگذاری شده‌اند و تنها هنگام اجرا در حافظه رمزگشایی می‌شوند. 🔶️ استفاده از تکنیک‌های ضد تحلیل: بدافزار ممکن است از بسته‌بندی (Packing) یا رمزگذاری لایه‌های مختلف استفاده کند. این باعث می‌شود که حتی دی‌کامپایلرها (Decompiler) نتوانند کد واقعی را استخراج کنند. بخش‌های مهم بدافزار ممکن است به صورت پویا (Dynamic) تولید شوند و در فایل اجرایی اصلی وجود نداشته باشند. 🟢نتیجه تحلیل استاتیک: تحلیل‌گر نمی‌تواند عملکرد دقیق بدافزار را بدون اجرا شناسایی کند، زیرا بخش‌های کلیدی یا رمزگذاری شده‌اند یا مخفی هستند. ❇️تحلیل دینامیک: در تحلیل دینامیک، بدافزار در محیط ایزوله (مانند ماشین مجازی یا سندباکس) اجرا می‌شود و رفتار آن در زمان اجرا بررسی می‌گردد. ویژگی‌های کشف در تحلیل دینامیک: 🔷️ رمزگشایی کد در زمان اجرا: هنگام اجرای بدافزار، بخش‌های رمزگذاری‌شده در حافظه رمزگشایی می‌شوند و کد واقعی بدافزار آشکار می‌شود. ابزارهایی مثل Process Hacker یا x64dbg می‌توانند حافظه را بررسی کرده و کد واقعی را استخراج کنند. 🔷️ شناسایی رفتار بدافزار: بدافزار هنگام اجرا به سرور فرمان‌دهی (C2 Server) متصل می‌شود. این رفتار مشکوک توسط ابزارهایی مثل Wireshark یا Fiddler شناسایی می‌شود. بدافزار تلاش می‌کند اطلاعات بانکی را از مرورگرها استخراج کرده و به سرور ارسال کند. ابزارهایی مثل ProcMon این رفتار را نشان می‌دهند. 🔷️ کشف تکنیک‌های پنهان‌کاری: تکنیک‌هایی مانند تزریق کد به فرآیندهای دیگر (Code Injection) هنگام اجرا کشف می‌شوند. برای مثال، تزریق به مرورگر قربانی جهت سرقت اطلاعات ورود. 🟢نتیجه تحلیل دینامیک: با اجرای بدافزار و نظارت بر رفتار آن، تحلیل‌گر به اطلاعات واضحی از اهداف بدافزار، مکان‌های ارتباطی، و اطلاعات سرقت‌شده دست پیدا می‌کند. 🏮دلایل ناکامی تحلیل استاتیک: رمزگذاری و مبهم‌سازی کد که کد واقعی را از دید تحلیل‌گر مخفی می‌کند. استفاده از تکنیک‌های ضد تحلیل مانند بسته‌بندی، فشرده‌سازی، و تولید پویا. وابستگی عملکرد بدافزار به شرایط اجرای خاص (مانند بارگذاری در حافظه). 💠ابزارها و تکنیک‌ها: تحلیل استاتیک: IDA Pro، Ghidra، PEiD تحلیل دینامیک: Cuckoo Sandbox، Wireshark، ProcMon، Process Hacker، x64dbg 🌀این مثال نشان می‌دهد که چرا تحلیل دینامیک برای شناسایی بدافزارهای پیشرفته ضروری است و چگونه تکنیک‌های ضد تحلیل، تحلیل استاتیک را ناکارآمد می‌کنند.

10 ابزار کاربردی و هوش مصنوعی بسیار مفید و بی نهایت کاربردی برای دانشجویان دکتری و پژوهشگران تاکید میکنم برخی از سایت های زیر با تغییر ای پی ایران قابل دسترسی است. 𝟏 𝐒𝐜𝐡𝐨𝐥𝐚𝐫𝐜𝐲 اطلاعات کلیدی را از یک مقاله تحقیقاتی استخراج و خلاصه می کند. لینک: https://www.scholarcy.com/ 𝟐. 𝐎𝐭𝐭𝐞𝐫 شما فقط می توانید صحبت کنید و ایده تحقیق خود را ثبت کنید. Otter آن را برای شما ذخیره و رونویسی می کند. Otter صدا را ضبط می کند و به طور خودکار در زمان واقعی یادداشت می کند تا بتوانید روی بحث تمرکز کنید. هر زمان که خواستید، یادداشت ها را برای مرجع برجسته کنید. در جلسات مجازی، Otter به طور خودکار اسلایدهای سخنرانی را می گیرد و آنها را به یادداشت ها اضافه می کند و به دانشجویان کمک می کند تا جزئیات را با زمینه کامل به خاطر بیاورند. لینک: https://otter.ai/ 𝟑. 𝐂𝐡𝐚𝐭𝟐𝐒𝐭𝐚𝐭𝐬 داده های خود را در قالب csv آپلود کنید، به chatgpt دستور تجزیه و تحلیل و تجسم را بدهید. لینک: https://2stats.chat/ 𝟒. 𝐅𝐨𝐫𝐦𝐮𝐥𝐚 𝐁𝐨𝐭 شما می توانید تولید فرمول و تجزیه و تحلیل داده ها را در MS Excel با Formula Bot به صورت خودکار انجام دهید. لینک: https://formulabot.com/ 𝟓. 𝐆𝐚𝐦𝐦𝐚 می توانید از آن برای ارائه تحقیقات استفاده کنید. لینک: https://gamma.app/ 𝟔 𝐓𝐞𝐱𝐭 𝐁𝐥𝐚𝐳𝐞 در نوشتن، حذف کارهای تکراری و اشتباهات به شما کمک می کند. لینک: https://blaze.today/?ref=U5J9HFNL 𝟕. 𝐌𝐢𝐫𝐨 Miro به شما در طوفان فکری، سازماندهی ایده های تحقیقاتی و ایجاد ارائه های تعاملی کمک می کند. لینک: https://miro.com/ 🖌 𝐃𝐞𝐜𝐤𝐭𝐨𝐩𝐮𝐬 این الگوها، عناصر بصری و گزینه‌های سفارشی‌سازی را ارائه می‌دهد تا به محققان کمک کند تا ارائه‌های تاثیرگذار را بدون زحمت ایجاد کنند. 𝟗. 𝐍𝐮𝐦𝐞𝐫𝐨𝐮𝐬 𝐀𝐈 می تواند به شما در نوشتن فرمول ها در اکسل و پاک کردن داده ها کمک کند. لینک: https://numerous.ai/ 𝟏𝟎. 𝐑𝐞𝐯𝐢𝐞𝐰-𝐢𝐭 این ابزاری است که مقاله شما را مانند یک انسان بررسی می کند و نقاط قوت و ضعف مقاله شما را به اشتراک می گذارد. لینک: www.review-it.me

فکر کنم وقت این رسیده این ابزارها رو با من تست کنید https://github.com/MHaggis/PowerShell-Hunter

جامپ لیست ها چرا مهم هستند ؟ فارنزیک برای آنها چگونه است ؟ https://www.cybertriage.com/blog/jump-list-forensics-2025/

آدرس های پشت کلادفلر که هستند؟ ابزار reconnaissance https://github.com/musana/CF-Hero 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

تحلیل حرکت عرضی یک مقاله ی خوش نوشت https://medium.com/@cyberengage.org/lateral-movement-analysis-using-chainsaw-hayabusa-and-logparser-for-cybersecurity-investigations-b927843bd8d4