Network Security Channel

راهنمای جامع تشخیص ترافیک DoH (DNS-over-HTTPS) با استفاده از Zeek و Splunk Stream ترافیک DNS-over-HTTPS (DoH) با رمزگذاری درخواست‌های DNS درون ترافیک وب HTTPS، نظارت و کنترل سنتی بر DNS را برای تیم‌های امنیتی به یک چالش جدی تبدیل کرده است. بدافزارها، ابزارهای نفوذ و حتی مرورگرهای استاندارد از این تکنیک برای دور زدن سیاست‌های امنیتی و پنهان کردن فعالیت‌های خود استفاده می‌کنند. این راهنما به صورت جامع به شما نشان می‌دهد چگونه با استفاده از دو ابزار قدرتمند Zeek و Splunk Stream این ترافیک پنهان را شناسایی کنید. اصول کلیدی شناسایی ترافیک DoH قبل از پرداختن به ابزارها، باید بدانیم به دنبال چه سرنخ‌هایی هستیم. شناسایی موفق DoH بر پایه‌ی ترکیبی از شاخص‌های زیر استوار است: 1. سرورهای مقصد شناخته‌شده: اتصال به IPها یا دامنه‌هایی که به عنوان ارائه‌دهنده‌ی عمومی DoH شناخته می‌شوند (مانند Cloudflare, Google, Quad9). 2. پورت استاندارد: ترافیک DoH تقریباً همیشه از پورت استاندارد HTTPS یعنی 443/tcp استفاده می‌کند. 3. مسیر URI خاص: درخواست‌های DoH معمولاً به مسیرهای URI مشخصی مانند /dns-query یا /resolve ارسال می‌شوند. 4. هدرهای HTTP: وجود هدر Content-Type: application/dns-message در درخواست‌های POST یک شاخص بسیار قوی است. 5. متادیتای TLS: و SNI نام دامنه‌ای که کلاینت قصد اتصال به آن را دارد و حتی در ترافیک رمزگذاری‌شده نیز قابل مشاهده است. فینگرپرینت JA3/JA3S: اثر انگشت منحصر به فرد کلاینت و سرور TLS که می‌تواند برای شناسایی ابزارها یا بدافزارهای خاص استفاده شود. بخش اول: تشخیص DoH با Zeek و Zeek با تحلیل عمیق پروتکل‌ها، ابزاری ایده‌آل برای این کار است. به جای تکیه بر اسکریپت‌های آماده، بهترین رویکرد، ایجاد یک اسکریپت سفارشی برای تولید لاگ‌های ساختاریافته و اختصاصی است. رویکرد حرفه‌ای: ایجاد لاگ اختصاصی doh.log این رویکرد به جای چاپ خروجی در کنسول، یک فایل لاگ جداگانه و تمیز به نام doh.log ایجاد می‌کند که تحلیل و یکپارچه‌سازی آن با سایر ابزارها (مانند SIEM) را بسیار آسان می‌سازد. اسکریپت detect-doh.zeek: این اسکریپت را در مسیر site/ یا local.zeek خود بارگذاری کنید. # file: site/detect-doh.zeek 1. تعریف ماژول و ساختار لاگ اختصاصی module DOH; export { تعریف نوع داده برای نگهداری اطلاعات رویداد DoH type Info: record { ts: time &log; زمان دقیق رویداد uid: string &log; شناسه یکتای اتصال برای ارتباط با سایر لاگ‌ها id: conn_id &log; اطلاعات کامل اتصال (IPها و پورت‌ها) method: string &log; متد HTTP (GET/POST) host: string &log &optional; هدر هاست از درخواست HTTP uri: string &log; URI کامل درخواست user_agent: string &log &optional; User-Agent کلاینت ja3: string &log &optional; فینگرپرینت TLS کلاینت (از ssl.log) }; 2. ایجاد یک جریان لاگ جدید به نام doh.log const log_file = "doh.log"; global log_stream: Log::Stream = Log::create_stream(DOH::log_file, [$columns=Info]); } 3. پردازش رویدادهای HTTP برای شناسایی الگو event http_request(c: connection, method: string, original_URI: string, unescaped_URI: string, version: string) { # شرط اصلی: پورت 443 و URIهای شناخته‌شده if ( c$id$resp_p == 443/tcp && ( "/dns-query" in unescaped_URI || "/resolve" in unescaped_URI ) ) { # ساختن رکورد لاگ با اطلاعات استخراج شده local doh_info: Info; doh_info$ts = network_time(); doh_info$uid = c$uid; doh_info$id = c$id; doh_info$method = method; doh_info$host = c$http$host; doh_info$uri = unescaped_URI; doh_info$user_agent = c$http$user_agent; # اگر اتصال TLS بوده، فینگرپرینت JA3 را اضافه کن if ( c$ssl?$ja3 ) { doh_info$ja3 = c$ssl$ja3; } 4. نوشتن رکورد نهایی در فایل doh.log Log::write(DOH::log_stream, doh_info); } } تحلیل خروجی پس از اجرای Zeek با این اسکریپت، فایل logs/current/doh.log شما حاوی رکوردهایی ساختاریافته خواهد بود. شما می‌توانید با استفاده از فیلد uid، هر رویداد DoH را به لاگ‌های دیگر مانند ssl.log (برای تحلیل عمیق TLS) و conn.log` (برای مشاهده حجم داده و مدت زمان اتصال) مرتبط کنید. @Engineer_Computer

Cyber Security Engineer VA-Springfield, Job Title: Cyber Security Engineer Location: Springfield, VA Type: Contract To Hire Compensation: Contractor Work Model: Onsite Hours: Add the job’s scheduled days and times (delete if not needed) Security Clearance: List security clearance requirements (delete if not needed) Cyber Security Engineer Springfield, VA TS/SCI $135k What You’ll Get to Do: Coordinate and implement cyber security respons http://jobview.monster.com/Cyber-Security-Engineer-Job-Springfield-VA-US-292107030.aspx #US #Cyber Security Engineer @Engineer_Computer

برای دانشجویان به زبان ساده شنود سیستم کال سیستم کال و نه API اپلیکیشن تحت وب، شنود تماس‌های API بین اجزای سیستم‌عامل، سرویس‌ها، یا حتی بین برنامه و کرنل هست؛ مثلاً: شنود System Call API در لینوکس یا ویندوز (مثلاً NtCreateFile, ReadFile, socket, execve) تحلیل رفتار بدافزار یا برنامه از طریق API Monitoring استفاده از ابزارهایی مثل strace, sysdig, procmon, یا API Monitor 🎯 هدف: آموزش شنود APIهای سیستم به دانشجویان 🔹 ۱. تعریف ساده و کاربردی «در سیستم‌عامل‌ها، وقتی برنامه‌ای می‌خواد کاری انجام بده مثل خوندن یک فایل، باز کردن اینترنت، یا اختصاص دادن حافظه، درخواستش رو از طریق یک API یا System Call به سیستم‌عامل می‌فرسته. شنود این APIها یعنی بررسی اینکه چه برنامه‌ای چه دستوری به سیستم‌عامل داده.» 🟣 مثال ساده: وقتی Notepad رو باز می‌کنی و یک فایل رو ذخیره می‌کنی، پشت صحنه سیستم از CreateFile, WriteFile, CloseHandle استفاده می‌کنه. ما می‌تونیم این APIها رو ببینیم. 🔹 ۲. چرا لازمه API Callهای سیستم شنود بشن؟ تحلیل رفتار برنامه‌ها: آیا برنامه بدون اجازه شما به فایل یا شبکه دسترسی داره؟ کشف بدافزارها: بدافزارها با APIها رفتار خودشون رو نشون می‌دن، مثلاً VirtualAlloc برای رزرو حافظه جهت shellcode مهندسی معکوس: این API Callها قدم به قدم به شما می‌گن برنامه داره چه‌کار می‌کنه شناسایی رفتار مشکوک: اگر برنامه‌ای پشت صحنه keylogger اجرا کنه، APIهای GetAsyncKeyState یا SetWindowsHookEx ظاهر می‌شن تست امنیتی: فهمیدن اینکه یه برنامه از چه System Callهایی استفاده می‌کنه، می‌تونه به تست نفوذ کمک کنه 🔹 ۳. ابزارهای پیشنهادی (بسته به سیستم‌عامل): ✅ ویندوز: ابزار Process Monitor (Procmon) – از Sysinternals. برای دیدن File, Registry, Network, و API Calls. ابزار API Monitor – برای رصد کردن دقیق APIهای ویندوز (user-mode و kernel-mode). ابزار WinDbg + Sysinternals – برای سطح پایین‌تر، مخصوص دانشجویان پیشرفته‌تر. ✅ لینوکس: ابزار strace – برای دیدن System Callهای سطح پایین مثل open, read, write ابزار lsof, dstat, iotop – برای مشاهده منابع درگیر ابزار sysdig – تحلیل و شنود عمیق‌تر از kernel space ابزار auditd – برای مانیتور کردن دقیق سیاست‌محور از system callها این API Callها مثل گفت‌وگوی مخفی بین نرم‌افزار و سیستم‌عامل هستند. شنیدن این مکالمه‌ها یعنی اینکه بفهمیم برنامه‌ها واقعاً چی کار می‌کنند، نه فقط اون چیزی که در ظاهر نشون می‌دن. این یک سلاح کلیدی برای شکار تهدید، مهندسی معکوس، و تحلیل امنیتی هست. @Engineer_Computer

ابزار Forensic Timeliner این ابزار که در این پست معرفی میکنم ، یک ابزار تایم‌لاین‌ساز سریع مخصوص تحلیل‌های دیجیتال (Digital Forensics) هست، مخصوص کسانی که توی حوزه‌ی DFIR (Digital Forensics and Incident Response) کار می‌کنن. 💡 کار اصلی این ابزار چیه؟ اطلاعات جمع‌آوری‌شده از سیستم (مثل لاگ‌ها، آرتیفکت‌ها و فایل‌ها) رو می‌گیره، اون‌ها رو مرتب می‌کنه و به صورت یک تایم‌لاین (خط زمانی) منظم در میاره. یعنی چی؟ یعنی شما می‌تونید ببینید: چه اتفاقی در چه زمانی افتاده؟ کِی یه فایل خاص ساخته یا حذف شده؟ چه زمانی یوزری لاگین کرده؟ و خیلی اطلاعات دقیق زمانی دیگه... ✨ ویژگی‌های جدید نسخه 2.2: پیش‌نمایش تعاملی فیلترهای YAML برای لاگ‌های MFT و Event Logs پیشنهاد تگ‌گذاری با کلمات کلیدی (TLE tagging) برای تولید session با پسوند .tle_sess پشتیبانی از علامت [] در فیلترها برای پوشش همه Event IDها ✅ از چی پشتیبانی می‌کنه؟ با ابزارهای مطرح تحلیل دیجیتال کار می‌کنه، مثل: EZ Tools/KAPE Chainsaw Hayabusa Axiom 🔍 مناسب برای چه کسانیه؟ تحلیلگران فورنزیک دیجیتال تیم‌های Incident Response تیم SOC Analystهایی که دنبال کشف زمان وقوع و ترتیب رویدادها هستن https://github.com/acquiredsecurity/forensic-timeliner @Engineer_Computer

📢 Still Exploring New Roles | Network & Security Engineer 🔍 Looking for English-speaking positions across Austria and wider Europe Hello LinkedIn network 👋 It’s been a productive month of networking, and I’m still actively looking for new opportunities in Network Engineering, IT Security, and Systems Administration — ideally on-site or hybrid roles. I’ve recently completed several certifications to sharpen my cloud and infrastructure skills: 🎓 AWS Cloud Practitioner (CLF-C02) – Cloud Concepts & Security 🎓 Ansible Essential Training | ISO 27001:2022 Cybersecurity 🎓 Microsoft Azure Fundamentals | Learning Kubernetes With 10+ years of experience, I bring strong expertise in: 📡 Network design & troubleshooting 🛠 Linux, Windows Server, AD, firewall configuration 📊 Monitoring with Zabbix, OPManager If you or someone you know is hiring — I’d love a referral, a message, or even a share. Thanks in advance 🙏 Let’s connect! 📧 Contact: faraji[dot]tahmineh[at]outlook[dot]com 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

📢 Hiring: SOC Analyst L1 (Fresh - 2 Years Experience) 📍 Location: Islamabad / Rawalpindi (Onsite) 🏢 Company: SecureQuanta 💼 Employment Type: Full-Time Send your Resume till 3rd July 2025 on : naveed.abbas@securequanta.com Position: We are looking for a Level 1 SOC Analyst with 0–2 years of experience to join our growing team. This role is ideal for recent graduates or early-career professionals passionate about cybersecurity and eager to gain hands-on experience in a fast-paced, collaborative environment. Requirements: Bachelor’s degree in Cybersecurity, Computer Science, Information Technology, or related field 0–2 years of experience in a SOC or cybersecurity role (fresh graduates are welcome) Understanding of common security tools (e.g., SIEM, firewalls, IDS/IPS) Basic knowledge of network protocols and operating systems Strong analytical, problem-solving, and communication skills Willingness to work in a 24/7 rotating shift environment (if required). 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer

ما در مرکز عملیات امنیت hashtag#کارگزاری_مفید قصد داریم یک نفر کارشناس (SOC) به تیم اضافه کنیم. لطفا چنانچه علاقمند هستید رزومه برای من ارسال بفرمایید. 🔐 شرح کارهایی که انجام میشه هست: o مانیتورینگ و پایش داشبوردها و Alert ها در سامانه SIEM o تنظیم و بهینه‌سازی قوانین و سناریوهای SIEM برای هشداردهی دقیق. o تجزیه و تحلیل گزارش‌ها و همبستگی داده‌ها برای شناسایی الگوهای حمله. o گزارش نویسی و تهیه تیکت با جزئیات و توضیحات کامل. 💡 نیازمندی های این شغل هستند: o آشنایی با امنیت در فضای ابری o آشنایی با هاردنینگ سیستم‌عامل‌ها و ممیزی امنیتی o تسلط بر راهکارهای امنیت شبکه از منظر تیم آبی o تسلط بر Python, PowerShell, Bash برای اتوماسیون پاسخ به حوادث، توسعه ابزارهای سفارشی امنیتی o دارای مدرک کارشناسی مهندسی کامپیوتر / IT. o آشنایی با انواع محصولات امنیتی مانند فایروال‌ها، IPS/IDS، WAF. o آشنایی با تکنیک‌های پنهان‌سازی (Obfuscation, Packing, Anti-Debugging) o تسلط بر سرفصل‌های دوره‌هایی مانندSANS 503, SANS 504, SANS 511,SANS 555 . توانایی مطالعه و بررسی مقالات تخصصی انگلیسی. تسلط بر مفاهیم هوش تهدید. توانایی حل مسئله. علاقمند به توسعه فردی. دست کم پنج سال سابقه کار. 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer #جذب #استخدام #کارشناس_SOC #مرکز_عملیات_امنیت #SOC

تجربه امنیتی واقعی با FortiGate امروز در لاگ‌های FortiGate متوجه بلاک شدن ترافیک HTTPS به دامنه nobitex.ir شدم. بررسی لاگ نشون می‌داد که علت بلاک شدن، استفاده از content-encoding ناشناخته (aws-chunked) بوده: 🔒 پیام بلاک: Unknown content-encoding detected and blocked 🔎 URL: https://nobitex.ir/... 📌 نوع ترافیک: HTTPS – با پروفایل آنتی‌ویروس با توجه به حمله اخیر به این سایت (که در خرداد ۱۴۰۳ هک شده بود)، تصمیم گرفتم بررسی کامل انجام بدم: ✅ وضعیت فعلی سایت به نظر سالم می‌رسه. 🧪 اما FortiGate هنوز ترافیک رمزگذاری‌شده خاص رو قابل اعتماد نمی‌دونه. 📌 نکات مهم برای مدیران امنیتی: 1. اگر SSL Inspection فعال دارید، چنین خطاهایی رو جدی بگیرید. 2. بررسی encoding جدید مثل aws-chunked می‌تونه false positive ایجاد کنه. 3. مراقب سایت‌هایی باشید که سابقه نشت اطلاعات دارند—even بعد از بازگشت. ⚙️ پیشنهاد من: – استثنا (exception) برای ترافیک nobitex تنها در صورت نیاز – نظارت دقیق روی ترافیک HTTPS – فعال‌سازی لاگ‌گیری و مانیتورینگ برای رفتارهای مشکوک 🔹 Share & Support Us 🔹 📱 Channel : @Engineer_Computer