Network Security Channel

پاسخ به یک سوال مهم : پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید : ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمی‌دهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا می‌کنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ می‌دهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!! من تعاملی با ChatGPT داشتم به جواب زیر رسیدم Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications. ### Relation Between Windows PatchGuard and EDR Drivers #### 1. Kernel-Level Drivers and PatchGuard - EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel. - PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as: - System Service Descriptor Table (SSDT) hooks - Interrupt Descriptor Table (IDT) hooks - Kernel Object Manipulation - Modification of the Kernel Debugger This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures. #### 2. Signed Drivers and PatchGuard Compliance - Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system. - Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities. #### 3. Driver Operation Without Violating PatchGuard - Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they: - Hook into legitimate, documented APIs that provide system monitoring capabilities. - Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events. - Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures. - User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard. ادامه در پست بعد @Engineer_Computer #cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr

💥 در مارس ۲۰۲۳، یکی از بزرگ‌ترین حملات دیفای روی پروتکل وام‌دهی Euler رخ داد و هکرها تونستن حدود ۱۹۷ میلیون دلار رو به سرقت ببرن! 😱💸 🔍 این حمله با استفاده از یک ضعف در منطق قراردادهای هوشمند و بهره‌برداری از تکنیک Flash Loan انجام شد. هکر از مکانیزمی استفاده کرد که بهش اجازه می‌داد بدون بازپرداخت وام، مقدار بیشتری دارایی از سیستم خارج کنه! 🏦💻 📖 برای جزئیات بیشتر، می‌تونید این تحلیل جامع از Zellic رو ببینید. 👮‍♂️ بعد از این اتفاق، تیم‌های بلاکچین فارنزیک وارد عمل شدن و مهاجم رو شناسایی کردن. 😎 با وجود اینکه از روش‌های پیچیده‌ای مثل CoinJoin و Tornado Cash استفاده کرده بود، باز هم نتونست رد خودش رو کاملاً مخفی کنه! 👁‍🗨🔗 🔍 مسیر دقیق هکر و تکنیک‌هایی که استفاده کرد در این گزارش تحلیلی از Aleno.ai به‌طور کامل توضیح داده شده. 😨 مهاجم بعد از شناسایی، تحت فشار قرار گرفت و مجبور شد کل پول دزدیده‌شده رو برگردونه! 💼💰 🤝 ما رو به دوستان خود معرفی کنید 🆔️ @w3sec_info 🆔️ @w3sec_info_group

2FA Bypass Techniques 1. Response manipulation 2. Status code manipulation 3. 2FA code reusability 4. 2FA code leakage 5. Lack of brute-force protection 6. Bypassing 2FA with null or 000000 8. Missing 2FA code integrity validation 9.Handling of Previous Sessions @Engineer_Computer

#Iran #Cyberattack #Ransom #Banks طی خبری که پایگاه POLITICO اعلام داشته، بیش از 20 موسسه بانکی و چندین بانک خصوصی و دولتی ایران هک شده است. این هک بواسطه نفوذ به نرم افزار Core Banking شرکت توسن رخ داده است که بواسطه احتمالا یک آسیب پذیری، مهاجمین امکان سرقت اطلاعات را پیدا کرده و با گروگان گرفتن این اطلاعات، درخواست 10 میلیون دلار باج کرده اند که نهایتا 3 میلیون دلار دریافت کرده اند. سیستم جامع مدیریت بانکی شرکت توسن به عنوان یک اسب تروجان عمل کرده و موجب آلوده سازی بسیاری از بانک ها و موسسات مالی کرده که از این نرم افزار استفاده می کرده است، لذا مهاجمین امکان اجرای بدافزار بر روی سرور های تمامی بانک ها نام برده شده را پیدا کرده و دسترسی غیر مجازی را ایجاد کرده اند. نهایتا با سرقت اطلاعات اقدام به باج خواهی در فضای Darkweb صورت گرفته است. @Engineer_Computer

#CVE-2024-38063 #Integer_Overflow on tcpip.sys اخیرا آسیب پذیری ای ثبت شد در پروتکل TCP/IP که از نوع Integer Overflow و Integer Underflow بود به معنی سر ریز عددی یک ورودی عددی. این آسیب پذیری در فرایند Fragmentation و Reassemble کردن تکه های بسته پروتکل IPv6 قرار داشت که محققین با بررسی این فرایند متوجه شدند در زمانی که ساختار بسته IPv6 تکه تکه میشوند، آخرین بسته با تاخیر 60 ثانیه ای تحویل Parser گیرنده داده میشود. این تاخیر 60 ثانیه ای تابعی با نام Ipv6pReassemblyTimeout را فراخوانی کرده که این تابع بسته ها را drop میکند، همچنین به فیلد More میبایست مقدار 0 بگیرد تا اعلام کند آخرین بسته است. اینجا در تصویر Disassemble شده کد سی پلاس، اگر دقت کنید ثبات edx که یک اشاره گر به rdi+68h داخلش انتقال داده شده، در ادامه در نوع داده dx خودش که میشود 16 بیتی، مقادیر 8 و r15+8 اضافه میشود. اینجا اگر مقدار packet_length برابر با 0xFFD0 باشد و بعد مقدار 8 بایت بهش اضافه شود، مقدار 0xFFD8 میشود، حالا اگر مقدار net_buffer_length بیشتر از 0x27 باشد، مثلا 39 بایت، اینجا ثبات DX سر ریز عددی خواهد کرد. @Engineer_Computer

آیا پایان عمر WSUS شروع شد ؟ کار می‌کند اما فیچر جدیدی نخواهد داشت https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-server-update-services-wsus-deprecation/ba-p/4250436 @Engineer_Computer

به روز رسانی شرایط حریم شخصی تلگرام آیا دادگاه فرانسه باعث و بانی آن شده است ؟ دروف در کانال خود اطلاعیه ای منتشر کرده که گفته با اصلاح خط مشی حریم شخصی خود؛ شماره تلفن و IP افرادی که از خط مشی تلگرام تخطی کنند به مسوولان دولت ها و امور قضایی ( با درخواست معتبر ) ارائه خواهد شد 🚫 To further deter criminals from abusing Telegram Search, we have updated our Terms of Service and Privacy Policy, ensuring they are consistent across the world. We’ve made it clear that the IP addresses and phone numbers of those who violate our rules can be disclosed to relevant authorities in response to valid legal requests. #خط_مشی #پالیسی #privacy #ethics @Engineer_Computer

📣 با توجه به استقبال بی‌نظیر و حضور گسترده‌ی شما در اولین جلسه‌ی دوره‌ی یادگیری ماشین دانشکده‌ی مهندسی کامپیوتر دانشگاه صنعتی شریف، و مشکلات فنی در پخش آن، به اطلاع می‌رسانیم که کلاس فردا، ۳ مهر، از ساعت ۹ الی ۱۰:۱۵ صبح، به صورت زنده از طریق کانال آپارات به نشانی https://www.aparat.com/SharifML/live و همچنین از طریق لنز به نشانی https://lenz.ir/epgs/2167 پخش خواهد شد. این کلاس برای تمامی مخاطبان داخل و خارج از کشور قابل مشاهده خواهد بود. 📣 از هفته‌ی دوم مهر ماه، در بستر کلاس مجازی نیز میزبان شما خواهیم بود تا ارتباط تعاملی بهتری صورت گیرد. اطلاعات تکمیلی در این خصوص متعاقباً از طریق وب‌سایت و کانال تلگرام دوره به اطلاع شما عزیزان خواهد رسید. از همراهی شما صمیمانه سپاس‌گزاریم.

tools Offensive security 1. Loading BOF on Linux https://lnkd.in/dawuC5mv 2. Ransomware Tool Matrix https://lnkd.in/dcYxh6Hp 3. cryptography Project Wycheproof tests crypto libraries against known attacks https://lnkd.in/dhAgnijc @Engineer_Computer

⭕️ از سال 2020، گروه‌های هکری وابسته به چین به دستگاه‌های edge مانند فایروال‌ها، VPNها و دستگاه‌های اینترنت اشیا (IoT) در زیرساخت‌های دولتی تایوان نفوذ کردند این هکرها با استفاده از آسیب‌پذیری‌های (0-day) در دستگاه‌هایی مانند فایروال‌های Sophos و VPNهای Array SSL، از این دستگاه‌ها برای ایجاد بات‌نت‌ها، پخش اطلاعات نادرست و سرقت داده‌های حساس استفاده می‌کنند. 🔺 این حملات شامل تکنیک‌های پیشرفته‌ای مانند بک‌دورهای مبتنی بر port-knocking و سو استفاده از (LoLbin) هستند که به مهاجمان اجازه می‌دهد تا بدون شناسایی توسط نرم‌افزارهای امنیتی به سیستم‌ها نفوذ کنند و کنترل آنها را به دست بگیرند. ♨️ در این ارائه، نمونه‌های واقعی از دستگاه‌های edge که توسط این حملات هدف قرار گرفته‌اند و راه‌های مقابله با این تهدیدات را بررسی خواهد کرد. 🌐 https://www.youtube.com/watch?v=PSaix1C-UMI Slides: https://teamt5.org/en/posts/black-hat-asia-2024/ #RedTeam #APT #Black_Hat_Asia_2024 @Engineer_Computer

♨️ ابزار DriverJack به منظور بارگذاری یک درایور آسیب‌پذیر در سیستم از تکنیک‌های کمتر شناخته شده NTFS استفاده می‌کند. هدف اصلی این ابزار، دور زدن روش‌های معمول برای ثبت و بارگذاری درایورها در سیستم است. این ابزار با ربودن سرویس‌های موجود و جعل مسیرهای درایور، میتواند موفق به پنهان‌سازی درایور مخرب شود. ☠️ مراحل کلیدی حمله 🦠 دور زدن ثبت سرویس درایور این روش به مهاجم اجازه می‌دهد که بدون نیاز به ثبت سرویس درایور جدید، از سرویس‌های موجود در سیستم سوءاستفاده کند و درایور آسیب‌پذیر را بارگذاری کند 🦠 جعل مسیر درایور در هنگام بارگذاری درایور، مسیر فایل درایور به‌گونه‌ای جعل می‌شود که به نظر برسد فایل درایور از مسیری دیگر (مثلاً یک فایل ISO نصب شده) بارگذاری شده است. این کار تشخیص درایور مخرب را توسط سیستم‌های نظارتی دشوارتر می‌کند 🦠 سوءاستفاده از سیستم فایل شبیه‌سازی شده (Emulated Filesystem) ابزار DriverJack همچنین از یک ضعف در سیستم فایل استفاده می‌کند که به آن امکان می‌دهد فایل‌های موجود روی فایل‌سیستم‌های شبیه‌سازی شده (مثل ISO) را به صفحاتی قابل نوشتن (RW) مجدد تبدیل کند و محتوای آن‌ها را تغییر دهد. این تکنیک به عنوان "Read-Only Bypass" شناخته می‌شود و در کتابخانه IoCdfsLib پیاده‌سازی شده است. 📚 در سیستم‌عامل ویندوز، فایل‌ها و دایرکتوری‌ها می‌توانند به صورت شبیه‌سازی شده (Emulated) بارگذاری شوند. این یعنی فایل‌ها می‌توانند از طریق فایل‌های ایمیج، مانند فایل‌های ISO، به سیستم معرفی شوند و به نظر برسد که بخشی از سیستم فایل عادی هستند. به عنوان مثال، وقتی یک فایل ISO را روی سیستم باز می‌کنید، محتوای آن به صورت یک درایو مجازی (مثل درایو CD) در سیستم نمایش داده می‌شود و این درایو به طور معمول فقط خواندنی (Read-Only) است، یعنی نمی‌توانید محتویات آن را تغییر دهید. 💢 این ابزار با استفاده از کتابخانه IoCdfsLib ، فایل‌های موجود در این درایو مجازی را از حالت فقط خواندنی به قابل نوشتن تبدیل می‌کند سپس محتوای این فایل‌ها را تغییر می‌دهد تا درایور مخرب خود را جایگزین فایل‌های معتبر کند. 🕷 پس از دستکاری فایل‌ها، درایور مخرب به عنوان یک فایل معتبر از درایو ISO بارگذاری می‌شود، و این فرآیند به سیستم اجازه می‌دهد تا بدون تشخیص مخرب بودن، این درایور را بارگذاری کند. 👁‍🗨 https://github.com/klezVirus/DriverJack #tools #RedTeam @Engineer_Computer

در این حمله چین تارگت شد. لینک گزارش حمله در زیر مطالعه گزارش رو برای سطح ۲ مرکز عملیات امنیت توصیه میکنم https://www.trendmicro.com/en_no/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html **از جایی به بعد دوره رفتن کمتر لازمه و بهتره چنین گزارش هایی دائم پیگیری بشه #cybersecurity #threathunting #securityawareness #risk @Engineer_Computer

گزارش تحلیلی باج افزار بخوانیم. جدید https://www.huntress.com/blog/readtext34-ransomware-incident @Engineer_Computer

🔘مراحل تدوین استانداردهای بین المللی در ايزو : 🔶استانداردهای منتشره توسط ایزو چهار نوع می‌باشند: 1. ISO/PAS (Publicly Available Specification) 2. ISO/TR (Technical Report) 3. ISO/TS (Technical Specification) 4. IS (International Standard) در ایزو ، روال تدوین استانداردها به این صورت است که استانداردها توسط کشورهای عضو فعال در کمیتۀ فنی مربوطه پیشنهاد داده می‌شوند و برای همه کشورهای عضو جهت رأی‌گیری ارسال می‌شوند. روند تدوین استانداردها دارای چندین مرحله است که درهر مرحله سند استاندارد مربوطه توسط کشور پیشنهاد دهنده تکمیل‌تر شده و برای رأی‌گیری به کشورها ارسال می‌شود و کشورها نظرات تخصصی در مورد استاندارد مربوطه ارائه می‌کنند و در صورتی که نظرات داده شده مورد قبول واقع شود در سند استاندارد مربوطه اعمال می‌شود و در نهایت استاندارد نهایی با اجماع نظرکشورها منتشر می‌شود. تدوین یک استاندارد در ایزو از زمان پیشنهاد آن تا زمان نشر به طور متوسط به 3 سال زمان نیاز دارد. 🔶مراحل تدوین استاندارد: 1- پیشنهاد اولیه( NP- New Proposal) در مرحله نخست ، موضوع پیشنهادی از طریق کمیته فنی ذیربط برای کلیه کشورهای عضو فعال و ناظر در کمیته مذکور ارسال و نظر خواهی می شود. شرط پذیرفته شدن هر موضوع پذیرش آن از سوی پنج کشور عضو فعال و معرفی کارشناس جهت همکاری می باشد. که در صورت پذیرفته شدن موضوع پیشنهادی ثبت شده در دستورکار کمیته فنی /فرعی قرار می گیرد که در این زمان عنوان AWI- Approved Work Item به آن داده شده و به کشور پیشنهاد دهنده اطلاع داده می شود. معمولا هر عضو پیشنهاد دهنده به عنوان مدیر پروژه معرفی خواهد شد تا کار را آغاز و تا پایان مراحل تدوین هدایت نماید. 2- پیش نویس اولیه (Working Draft - WD) اولین مدرک تهیه شده توسط گروه کاری پیش نویس اولیه است که این مدرک توسط کمیته فنی /فرعی مربوطه برای برای رأی گیری و نظر دهی برای کشورهای عضو فعال و ناظر کمیته ارسال می‌شود و اگر بیش از نیمی از کشورها رأی مثبت دادند بعد از اعمال نظرات تخصصی کشورها این سند وارد مرحله بعدی می‌شود. 3- پیش نویس کمیته (CD- Committee Draft) در این مرحله سند استاندارد مربوطه تکمیل‌تر شده و نظرات تخصصی کشورها در صورتی که وارد تشخیص داده شود در سند استاندارد مربوطه اعمال می‌شود و دوباره برای نظر خواهی و رای دهی به کشورها ارسال می‌شود. مهلت رای دادن در این مرحله حدود پنج ماه است . در پایان مهلت رای دهی در صورتی که بیش از 65% کشورهای عضو فعال رای مثبت داده باشند مدرک به مرحله بعدی تدوین هدایت میشود. 4- پیش نویس استاندارد بین المللی (DIS- Draft International Standard) در این مرحله، پیش نویس وارد مرحله دیگری می شود و پس از اعمال نظرات دریافتی تکمیل‌تر شده و مجددا برای رأی‌گیری به کشورهای عضو فعال و ناظر ارسال می‌شود. مهلت رای دادن در این مرحله حدود پنج ماه است و در پایان مهلت رای دهی در صورتی که بیش از 65% کشورهای عضو فعال رای مثبت داده باشند مدرک به مرحله بعدی تدوین هدایت میشود. 5- پیش نویس نهایی استاندارد بین المللی (FDIS-Final Draft International Standard) پیش نویس استاندارد بین المللی پس از بررسی توسط کشورهای عضو و پذیرفته شدن به مرحله نهایی تدوین استاندارد صعود می کند. در این مرحله دوماه مهلت رای گیری است که آن هم صرفا مسائل ویراستاری است . 6- استاندارد بین المللی (IS_ International Standard) پیش نویس نهایی پس از مهلت رای گیری جهت چاپ به عنوان استاندارد بین المللی ارسال می شود. #iso 🔰 🔰 🔰 🔰 🔰 🔰 @Engineer_Computer

سلام وقت بخیر دو تا طرح اختراع جهانی PCT در رشته (کامپیوتر در گرایش امنیت ) و (کامپیوتر همه گرایش ها) در حال ثبت است اگر از عزیزان کسی مایل به همکاری در بحث فنی و مالی هست به ایدی زیر پیام بدید و البته طرح چند رشته ای ترکیبی برای رشته های مختلف هم هست که هنوز شروع به ثبت نکردیم و در رشته های مهندسی پزشکی - پزشکی - دندان پزشکی و شیمی و هوش مصنوعی و دارو سازی و الکترونیک رو شامل میشه 👇👇👇 @Developer_Network #اخترع_جهانی #استخدام #اختراع #اختراعات #نواوری #امریه #بنیاد_ملی_نخبگان #PCT #innovation #NIW #EB2 #EB1 @Engineer_Computer

گزارش ISC2 آنچه نیروی کار امنیت فکر می‌کند بازار نیاز دارد آنچه استخدام کنندگان می‌خواهند https://www.isc2.org/Insights/2024/09/Employers-Must-Act-Cybersecurity-Workforce-Growth-Stalls-as-Skills-Gaps-Widen @Engineer_Computer

باج افزاری که از بیت لاکر ویندوز علیه ما استفاده می‌کند به همراه کانتنت های اسپلانک #اسپلانک #امنیت #splunk https://www.splunk.com/en_us/blog/security/shrinklocker-malware-abusing-bitlocker-to-lock-your-data.html?utm_source=linkedin&utm_medium=social-media&linkId=594262321 @Engineer_Computer

استفاده از هوش مصنوعی در تحلیل بد افزار و مهندسی معکوس راه انداری یک open source disassembler https://cryptax.medium.com/using-ai-assisted-decompilation-of-radare2-e81a882863c9 @Engineer_Computer

مجموعه مقالات #امنیت_به_زبان_ساده دو واژه : LoLBin و LOLBAS انجام هک در سالها پیش از اقلام محدودی تشکیل شده بود. یعنی هکر با یک یا دو عمل ، ویروسی می نوشت و تخریب مد نظر را انجام میداد یا با هک یک وبسایت به کل  دارایی های سازمان تسلط می یافت. روز به روز به تکنیک های هک افزوده شد و آن تکنیک هاپیچیده شدند و درقالب تاکتیک هایی تجمیع گردیدند. در طرف مقابل تیم امنیت هم بر توان و قدرت دفاعی و کشفی خود افزود. این شد که نفوذ برای دزدی یا تخریب اطلاعات مشکل شد.  در این بین بدلیل مهاجرت سازمانها به فضای دیجیتال ، بخش عمده ای از سازمان به فضای سایبری منتقل شدند. و این سطح تاثیر سازمان از هکر ها را افزایش داد. لذا سازمانها سعی کردند با پیاده سازی مکانیسم دفاع لایه ای به مقابله با نفوذ بپردازند به نحوی که با وجود گسترش فضای دیجیتال در سازمان؛  حجم ریسک‌ها کنترل شده باقی بماند. در این بین هکرها راهی جدید برای نفوذ پیدا کردند. اصولا امروزه هک شامل یک یا دو قدم معدود نمی‌شود و انجام هک در سازمان شامل چندین پله و شامل فرآیند است. که مجموعه آنرا میتوانید در جدول ATT&CK  ملاحظه کنید. در روش‌های نفوذ جدید ؛ هکر ها از ابزارهای موجود روی سیستم های سازمان علیه خود سازمان استفاده می‌کنند. این روش چه مزیتی دارد ؟ اول اینکه این ابزار ها کاملا در دسترس هستند و نیازی به انتقال آنها به شبکه و سیستم قربانی نیست. دوم اینکه سیستمهای امنیتی به این اقلام اعتماد دارند. سوم اینکه با استفاده از این ها ، رد پای کمتری باقی می‌ماند و جرم شناسی و شکار توسط امنیت چی ها سخت می‌شود. البته نکات دیگری در این میان هست که فعلا برای جلوگیری از اطاله کلام از آنها چشم پوشی میکنم تا لب مطلب اخذ گردد. حالا برویم سراغ واژه ای که در ابتدای متن گفته شد: به مجموعه ای از باینری هایی که در سیستم های سازمان وجود دارد و ما به آنها اعتماد داریم ولی در طول سال‌ها از آنها سوء استفاده شده است  LoLBin و LOLBAS گفته می‌شود یعنی : Living of the land binary این یعنی هکر در مراحلی از نفوذ خودش؛  ابزارهای نفوذ را می‌سازد یا از جایی تهیه می‌کند ولی در مراحل دیگری از نفوذ ، او از این مجموعه باینری خود سیستم عامل یا سامانه برای تقویت یا افزایش نفوذ و یا اقداماتی چون خروج داده از سازمان و یا رمزنگاری آنها استفاده می‌کند. این مساله مشکلی در راه مقابله و کشف نفوذ ایحاد کرده است. البته در SOC ها راهکارهایی برای این موضوع پیاده می‌شود. لیست این پاینری ها در پروژه ای جمع آوری شده است که در لینک زیر آنها را ببینید. https://lolbas-project.github.io/# #آموزش #امنیت #امنیت_سایبری #امنیت_به_زبان_ساده #cybersecurity #threathunting #cyberforensics 🔆 برای آگاهی دیگران ، دانش را نشر دهید و این پست را فوروارد کنید @Engineer_Computer