Network Security Channel

سلام دوستان در این پست به تکنیک Persistence با کمک schtasks پرداخته شده. اتکر برای اجرای dll مخرب خودش، ممکنه یک Com Object بسازه و بعد در قالب یک schtasks اجرای اون رو تعریف کنه یا dll مورد نظر خودش رو مستقیم به صورت یک schtasks در نظر بگیره که دستورات زیر هر دو حالت رو نشون میده: SCHTASKS /Create  /ru SYSTEM /sc onlogon /tn HuntingTest /tr "rundll32   C:\ProgramData\malicious.dll" یا SCHTASKS /Create  /ru SYSTEM /sc onlogon /tn HuntingTest /tr "rundll32  -sta {CLSID} در دستور بالا، CLSID اشاره به COM Objectای داره که اتکر، dll مخرب خودش رو اونجا قرار داده. اگر کاربر signout کنه، dll مخرب اتکر اجرا میشه چون سوییچ onlogon استفاده شده، به محض اینکه کاربر لاگین کنه، dll مد نظر اتکر اجرا میشه. در سطح دسترسی System، برای اجرا هیچ Promptای باز نمیشه. برای هانت باید به دنبال Event ID 4698 باشین که نشان دهنده ایجاد یک schtasks است(فرمت لاگ ها به صورت xmlای هست) که در ادامه فیلد مهمی که باید بهش توجه بشه، آورده شده:     <Exec>       <Command>rundll32</Command>       <Arguments>C:\ProgramData\malicious.dll</Arguments>     </Exec> همچنین نیازه Event ID 11 Sysmon هم بررسی بشه: Image: C:\Windows\system32\svchost.exe TargetFilename: C:\Windows\System32\Tasks\HuntingTest و در نهایت نیاز به بررسی Event ID 13 Sysmon هم هست: Image=C\:\\Windows\\system32\\svchost.exe TargetObject=HKLM\\SOFTWARE\\Microsoft\\Windows*NT\\CurrentVersion\\Schedule\\TaskCache\\Tasks\\* @Engineer_Computer

#Infrastructure #Cybersecurity #Strategy پیرو مطلبی که شش ماه پیش منتشر کردیم مبنی بر اقدامات انگلستان در سند راهبردی استراتژی های امنیت سایبری، یکی از موارد سرمایه گذاری بر روی نوجوانان انگلستان در خصوص آشنایی و استعداد یابی در حوزه علوم سایبری بوده است. کشور ایران در حوزه نیروی انسانی حوزه فناوری اطلاعات به مرز بحران رسیده و این وضع در حوزه علوم امنیت سایبر بسیار وخیم تر شده است. اما در این میان، دبیر شورای عالی فضای مجازی، خبر از منصوب کردن میثم غلامی به عنوان سرپرست پژوهشگاه فضای مجازی میدهد. وی دانش آموخته خارج فقه و اصول در حوزه علمیه قم بوده و همچنین فازغ التحصیل فلسفه اخلاق از دانشگاه قم است. واقعا تا کی جوانان این مملکت باید بنشینند و ببینید که حاکمیت بجای پیروی از سیاست های شایسته سالاری، در حال بر سرکار آوردن افرادی است که تحصیلات مرتبط با پستی که دریافت میکنند را ندارند. اگر جوانان این کشور مهاجرت میکنند کاملا حق دارند چرا که در حاکمیت ایران، عموم جوانان این کشور که مقید به تظاهرات ظاهری مذهبی نیستند، به عنوان تهدید پنداشته میشوند و قشر مذهبی نما صرفا در صلاحیت است. @Engineer_Computer

⭐️Different Types of VPN⭐️ @Engineer_Computer

🚨 آگهی استخدام 🚨 ▫️ 𝐇𝐞𝐥𝐩 𝐃𝐞𝐬𝐤 کارشناس ▫️ شرایط: 🔹جنسیت : آقا 🔹سن : تا ۳۵ سال 🔹مدرک تحصیلی : فوق دیپلم به بالا 📍آدرس: تهران ، آرژانتین وظایف : 🔸رفع ایراد نرم افزاری و سخت افزاری سیستم ها 🔸آشنا به ماشین های اداری و رفع ایراد آنها 🔸رفع مشکلات شبکه و Passive ⏰ساعت کاری: شنبه تا چهارشنبه از ساعت 7 تا 15:30 مزایا : ✔️بیمه تامین اجتماعی ✔️بیمه تکمیلی ✔️بن،بسته معیشتی،کارانه معیشتی,اعیاد و مناسبت ها و ... 💡حقوق : 12 الی 15 میلیون تومان ارسال رزومه : 👇👇👇👇👇👇 ✅ Sinasanaei@hotmail.com 📌جهت اطلاع از آخرین موقعیت های شغلی IT و همچنین آموزش برای ورود به بازار کار شبکه کانال زیر را دنبال کنید 👇👇👇👇👇 👇 @Engineer_Computer #hiring #job #helpdesk #computernetworking #استخدام #هلپ_دسک #شبکه #آگهی_شغلی

⭕️ با هوش مصنوعی تمپلیت های nuclei بسازید! با استفاده از این ابزار شما میتونید با وارد کردن یک توضیح متنی راجع به تمپلیت مورد نظرتون اون رو بسازید. 🔗 https://bit.ly/3OP6Hn6 #Nuclei #BugBounty @Engineer_Computer

⭕️ Bypassing 403 endpoints using automated Trickest workflows تکنیک های دور زدن مسیر های 403 در وب سرور و API ها: 1. فاز تو در تو اگر به مسیری مثل log/ درخواست زدید و 403 گرفتید ادامه این مسیر رو به شکل /log/FUZZ/ میتونید فاز کنید 2. هدر های HTTP بعضی از هدر های خاص HTTP مثل X-Forwarded-For میتونه در این زمینه کمکتون کنه 3. استفاده از کاراکتر های خاص برای مثال اگر به info.php/ درخواست زدید و 403 گرفتید میتونید مسیر */info.php/ رو هم تست کنید 4. تغییر HTTP Method این موضوع که تحت عنوان verb tampering هم شناخته میشه بررسی کردن متد های مختلف HTTP نظیر GET POST PUT PATCH در مسیر ها و اندپوینت های مختلف هست. 5. تغییر extension فایل برای مثال تغییر config.php/ به .config.php/ ( به نقطه آخرش توجه کنید) 6. تغییر ورژن پروتکل HTTP شما می تونید نسخه های مختلف این پروتکل رو بررسی کنید مثلا HTTP/1.0 و HTTP/1.1 و ... منبع https://trickest.com/blog/bypass-403-endpoints-with-trickest/ #bypass403 @Engineer_Computer

🔗 Detect Malicious traffic in your Network using Maltrail این مقاله در مورد ابزاری به نام Maltrail است که می تواند برای شناسایی ترافیک مخرب در شبکه شما استفاده شود. Maltrail یک پروژه رایگان و منبع باز است که از لیست سیاه الگوهای ترافیکی مخرب و شناخته شده برای شناسایی فعالیت های مشکوک استفاده می کند. هنگامی که Maltrail بر روی یک شبکه نصب می شود، تمام ترافیک شبکه را کنترل می کند و به دنبال مطابقت با الگوهای ترافیک مخرب شناخته شده می گردد. اگر مطابقت پیدا شود، Maltrail به مدیر شبکه هشدار می دهد. 🔏برخی از نکات کلیدی مقاله: یک . Maltrail با ردیابی لیست سیاه الگوهای ترافیکی مخرب شناخته شده کار می کند. دو . Maltrail می تواند برای شناسایی طیف گسترده ای از بدافزارها از جمله بات نت ها، باج افزارها و تروجان ها استفاده شود. سه . Maltrail را می توان بر روی هر سیستم لینوکس یا ویندوز نصب و پیکربندی کرد ،‌همچنین نصب و استفاده از آن آسان است. چهار . Maltrail به طور مداوم با الگوهای ترافیکی مخرب جدید به روز می شود. #Maltrail #security @Engineer_Computer

🏆Top 100 Splunk Commands https://github.com/Ahmed-AL-Maghraby/SIEM-Cheat-Sheet/tree/main/Splunk-Cheat-Sheet #security @Engineer_Computer

سلام دو روز پیش یه آسیب‌پذیری آمد بیرون روی winrar که به مهاجم اجازه اجرای کد از راه دور (RCE) میداد. یعنی فایل رو اکسترکت کنی به چوخ میری! https://www.bleepingcomputer.com/news/security/winrar-flaw-lets-hackers-run-programs-when-you-open-rar-archives/amp/ راه جلوگیری: بروزرسانی به نسخه ۶.۲۳ رفتار نرمال winrar رو میتونید از لینک زیر اون قسمت کامندلاینش استخراج کنید: https://documentation.help/WinRAR/ @Engineer_Computer

تولید لاگ برای مقاصد تست توسط ابزاری از مایکروسافت https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/eventcreate برای تولید لاگ سیسمان ، این ابزار پیشنهاد می‌شود https://github.com/ScarredMonk/SysmonSimulator/tree/main @Engineer_Computer