آکادمی آموزش روزبه 📚

18 июня 2025 12:54

بی‌توجهی به مجوزهای امنیت سایبری؛ تهدیدی برای امنیت ملی
بحران نوبیتکس

در دنیای امروز، امنیت سایبری نه‌تنها یک ضرورت برای محافظت از داده‌ها و دارایی‌های دیجیتال شهروندان و شرکت‌هاست، بلکه به شکل فزاینده‌ای به یک مسئله حیاتی در حوزه امنیت ملی تبدیل شده است. در کشوری مانند ایران که در معرض تهدیدات گسترده سایبری قرار دارد، عدم نظارت مؤثر بر رعایت الزامات امنیت سایبری توسط کسب‌وکارها، می‌تواند پیامدهایی فراتر از زیان‌های مالی یا نارضایتی عمومی به دنبال داشته باشد و زمینه‌ساز بحران‌های امنیتی شود.

یک نمونه واقعی: حمله به نوبیتکس

در میانه‌ی جنگ سایبری و واقعی کنونی ، حمله‌ی سایبری اخیر به صرافی رمز ارز نوبیتکس – یکی از بزرگ‌ترین پلتفرم‌های مبادله رمزارز در ایران – یک زنگ خطر جدی است. در این حمله، هکرها موفق به استخراج مقادیر قابل توجهی از دارایی‌های دیجیتال شدند و به‌جای انتقال و استفاده از آن‌ها، دارایی‌ها را در اقدامی نمایشی و بی‌سابقه "سوزاندند"؛ به عبارتی آن‌ها را به آدرسی غیرقابل دسترسی منتقل کردند که منجر به نابودی دائمی‌شان شد.

این اقدام علاوه بر خسارت مالی گسترده برای کاربران، تبعات روانی و اجتماعی عمیقی دارد: از بین رفتن اعتماد عمومی به زیرساخت‌های دیجیتال کشور، احساس ناامنی در فضای فناوری، و مهم‌تر از همه، پتانسیل ایجاد خشم، عصبانیت و ناآرامی در جامعه. در بستر یک جنگ، چنین بی‌ثباتی روانی اجتماعی می‌تواند به ابزار جنگ ترکیبی تبدیل شود.
عدم وجود چارچوب‌های اجباری امنیتی

یکی از مشکلات بنیادی که زمینه‌ساز چنین بح ان هایی می‌شود، نبود نظارت قوی بر میزان آمادگی سایبری کسب‌وکارهاست. در ایران، برخلاف بسیاری از کشورهای پیشرفته، دریافت مجوز امنیت سایبری یا رعایت استانداردهایی مانند ISO/IEC 27001، NIST Cybersecurity Framework یا الزامات OWASP برای پلتفرم‌های فناوری‌محور آنچنان الزامی و ساختاریافته نیست. کسب‌وکارها عموماً تنها در مواجهه با یک حمله واقعی به اهمیت امنیت سایبری پی می‌برند، اما در این لحظه، دیگر برای جبران خیلی دیر شده است.


ابعاد امنیت ملی موضوع

در شرایط جنگی، هدف قرار دادن زیرساخت‌های مالی و تکنولوژیکی یک کشور می‌تواند به اندازه حملات نظامی مؤثر باشد. از بین رفتن منابع مالی هزاران شهروند، در کنار ناتوانی در پاسخ‌گویی و جبران، می‌تواند به افزایش احساس بی‌عدالتی، نارضایتی شدید اجتماعی، و حتی زمینه‌ساز شورش‌های مردمی بدل شود. به عبارت دیگر، یک رخنه ساده در یک پلتفرم تجاری خصوصی، می‌تواند به یک تهدید امنیتی ملی تمام‌عیار تبدیل شود.
چه باید کرد؟

الزام مجوز امنیت سایبری: کلیه کسب‌وکارهای فناوری‌محور باید ملزم به دریافت گواهینامه امنیتی معتبر از نهادهای مشخص شوند و هرگونه فعالیت بدون این مجوز غیرقانونی اعلام گردد.

بازبینی دوره‌ای و آزمون نفوذ: سازمان‌ها باید ملزم شوند که به‌طور منظم توسط نهادهای مستقل مورد آزمون نفوذ قرار گیرند و نتایج این ارزیابی‌ها در اختیار نهادهای نظارتی قرار گیرد.

ایجاد سامانه نظارتی واحد: ایجاد یک مرجع ملی یکپارچه برای ثبت، نظارت، و رتبه‌بندی امنیت سایبری کسب‌وکارها می‌تواند شفافیت و اعتماد عمومی را افزایش دهد.

سخت‌گیری در حوزه رمزارز: به‌دلیل حساسیت بالا، صرافی‌های رمزارزی باید در طبقه‌بندی حساس‌ترین نهادهای مالی کشور قرار گیرند و ملزم به رعایت استانداردهای امنیتی در سطح بانک‌ها و مؤسسات مالی شوند.

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

18 июня 2025 09:40

یه حرف حق 👍

واقعا منو یکی از جوانب علمی روشن کنه اگر چیزی هست

اونهایی که لازم بود پاک کنند به موقعش ظاهرا پاک نکردن
واسه مردم عادی این چه ربطی داره

مردیم به خدا از بی سوادی و عوام بودن

جالبش اینجاست برخی کانال های مهم امنیت هم دستور به حذف واتس اپ دادن!!!

آکادمی آموزش روزبه 📚

17 июня 2025 11:49

جلسه این هفته درس CISSP

✅ بخش اول کلاس:طراحی امن محیط فیزیکی ؛ از محیط کار تا دیتاسنتر

🟣بخش دوم کلاس: چطور CTI می‌تواند در جنگها نقش داشته باشد


#آکادمی_روزبه
مرکز تخصصی CISSP
پنج شنبه ها
واتس اپ 09902857290

آکادمی آموزش روزبه 📚

16 июня 2025 21:07

به جای شعار منطقی باشیم و در حوزه تخصصی و حرفه ای خود علمی، عمل و رفتار کنیم

وظیفه و رسالت متخصص CISSP در هنگام جنگ (حملات سایبری یا نظامی)
نگاه به اصول اخلاقی ISC2

مقدمه

در دوران بحران، به ویژه هنگام جنگ یا تنش‌های شدید (مانند حملات سایبری گسترده یا سابوتاژهای زیرساختی)، نقش متخصصان امنیت اطلاعات با مدرک CISSP‌ به شدت حیاتی و حساس می‌شود. این مسئولیت نه تنها فنی، بلکه اخلاقی، حقوقی و حرفه‌ای است.
وظایف اصلی متخصص CISSP در زمان جنگ و بحران
۱. حفاظت از زیرساخت‌های حیاتی (Critical Infrastructure)

متخصص باید هرگونه تهدید علیه سیستم‌های حیاتی (مانند شبکه‌ی برق، آب، ارتباطات، بانک‌ها و سیستم‌های درمانی) را با جدیت شناسایی و با اقدامات پیشگیرانه، بازیابی و واکنشی، حفاظت کند.
۲. بی‌طرفی و استقلال حرفه‌ای

طبق اصول اخلاقی (ISC)²، متخصص امنیت نباید سوگیری شخصی، عقیدتی یا سیاسی در اجرای وظایف خود وارد کند. باید صرفاً براساس اصول حرفه‌ای و مصالح جامعه عمل کند، حتی اگر تحولات سیاسی یا نظامی کشور دستخوش تغییر شده باشد.
۳. حداکثرسازی صیانت از مردم و جلوگیری از آسیب به شهروندان

هنگام حملات (چه سایبری و چه فیزیکی)، وظیفه‌ی اصلی حفاظت از جان و رفاه مردم است. یعنی حفظ قابلیت دسترسی به سرویس‌های حیاتی (Availability)، یکپارچگی داده‌ها (Integrity) و محرمانگی (Confidentiality) باید در اولویت باشد.
۴. پاسخ و مدیریت بحران (Incident Response & Crisis Management)

متخصص CISSP باید آماده‌ی اجرای برنامه‌های مدیریت Incident و Disaster Recovery باشد. شامل هدایت تیم‌ها، اطلاع‌رسانی شفاف، و کمک به تصمیم‌گیران در اتخاذ راهکارهای درست، سریع و اثربخش.
۵. حمایت از حاکمیت قانون و چهارچوب‌های اخلاقی

در زمان جنگ، ممکن است درخواست‌هایی برای اقدامات غیراخلاقی یا غیرقانونی مطرح شود (مانند هک، تخریب عمدی زیرساخت، یا نقض حقوق بشر/حریم خصوصی). متخصص CISSP وظیفه دارد براساس چهارچوب‌های اخلاقی بین‌المللی و قانون عمل کند، حتی اگر در تضاد با دستورات مقطعی باشد.
جمع‌بندی - رسالت نهایی

متخصص CISSP در بحران، باید بدون چشم‌پوشی، بی‌طرف و حرفه‌ای بماند و رسالت خود را “صیانت از زیرساخت، مردم و ارزش‌های حیاتی جامعه” بداند. حفظ سلامت اطلاعات، تداوم سرویس‌دهی، و جلوگیری از آسیب‌رسانی به مردم و دارایی‌های ملی، بالاتر از هر دغدغه‌ی مقطعی یا دستوری است.


**پس خودمونی بگم : بدور از هیجان زدگی به هرطرفی، اگر کاری بلدی بشین انجام بده

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

16 июня 2025 13:47

مهندسی طراحی امن سیستم های امنیتی
ضرورتی پنهان

از فصل طراحی امن سیستم ها درس CISSP



مفهوم “Fail Securely” با مثال تخصصی EDR و SOC

تعریف ساده:

مفهوم “Fail Securely” یعنی وقتی یک سیستم امنیتی یا زیرساخت به هر دلیلی دچار ایراد، قطع یا crash شد، به جای قرار گرفتن در وضعیت ناامن یا باز (Open)، باید در حالت امن باقی بماند یا به حالت امن سوئیچ کند.

مثال واقعی در دنیای امنیت (EDR/SOC):

تصور کنید یک سازمان بزرگ از EDR قدرتمند برای محافظت از سرورها و EndPointها استفاده می‌کند. حالا فرض کنید Agent این EDR روی سرور معمولا به دلیل آپدیت‌های معیوب یا حملات غیرمنتظره، از کار بیفتد (crash کند).

دو سناریو مقایسه‌ای:

اول Fail Open (شکست ناامن):Agent که CRASH کند:

هیچ کنترلی روی اجرای فایل‌های جدید نیست

مهاجم بدون مزاحمت هر فایلی را اجرا می‌کند

هیچ لاگ و آلارمی برای SOC نمی‌فرستد

نتیجه: مهاجم بدون شناسایی شدن حرکت می‌کند!

اماFail Securely (شکست امن):Agent که CRASH کند:

سیستم به طور خودکار شبکه را قطع می‌کند یا اجرای برنامه‌های ناشناخته را بلوکه می‌کند

فایل‌های حساس فقط به صورت read-only در دسترس می‌شود

وEventها در لاگ محلی امن ذخیره می‌شوند (حتی اگر EDR نباشد)

بعد از بازگشت EDR، همه اقدامات ثبت شده بازنگری می‌شود

نتیجه: حمله متوقف یا شدیداً محدود می‌شود، احتمال شناسایی بالا می‌رود.

مصداق عملی:

بعضی EDRها مثل CrowdStrike Falcon یا trendmicro دقیقاً این رفتار را نشان می‌دهند: اگر Agent به هر دلیل crash کند، سرویس اجراهای جدید را بلوکه یا شبکه سیستم را محدود می‌کند (“contain on agent failure”).

مثال قدیمی‌تر در فایروال‌ها: اگر fail open باشند، وقت از کار افتادن، کل ترافیک را عبور می‌دهند (خطرناک!)؛ اگر fail securely باشند، همه ترافیک را قطع می‌کنند.

**نکته کنکوری و سوال آزمون رسمی : صفحه آبی یا همون مرگ ویندوز هم میتونه در این قالب تلقی باشه .


#آکادمی_روزبه

مرکز تخصصی CISSP
واتس اپ 09902857290

آکادمی آموزش روزبه 📚

15 июня 2025 21:21

#تبلیغات
#موقت

مرز باریک ابزار و تهدید

ابزارهای ادمینی (Remote Administration Tools, Scripting Engines, File Transfer Utilities و…) به دلیل نیازهای عملیاتی، روی بسیاری از سرورها و شبکه‌ها نصب‌اند. اما تاریخچه حملات موفق، بارها نشان داده مهاجمان همواره تلاش می‌کنند از همین ابزارهای مشروع به نفع خود بهره برداری کنند—دقیقاً مطابق روش “Living off the Land”.
واقعیت‌ها و نمونه‌های تاریخی
۱. استفاده مهاجمان از Remote Desktop و PsExec
در حملات باج‌افزاری بزرگی مانند WannaCry و NotPetya، بلافاصله پس از نفوذ اولیه، مهاجمین از ابزارهای ادمینی مثل PsExec (یک ابزار مایکروسافتی جهت اجرای دستورات از راه دور) برای حرکت جانبی (Lateral Movement) به سایر سرورها استفاده کردند.
حتی ابزارهایی چون PowerShell، WMIC و RDP بارها به وسیله مهاجمین برای اجرای اسکریپت‌های تخریبی و استخراج داده‌ها مورد سوءاستفاده قرار گرفته‌اند.
۲. هدایت حملات از طریق SCCM و Group Policy
در حمله مشهور SolarWinds (2020)، مهاجمان پس از نفوذ به محیط مدیریت مرکزی، کد مخرب را روی کل زیرساخت با استفاده از سیستم‌های مدیریت سازمانی (مثل MS SCCM، Group Policy Objects) پخش کردند—همان ابزارهایی که برای اعمال وصله‌ها و پیکربندی امن شبکه در نظر گرفته شده‌اند.
۳. سوءاستفاده از اسکریپت‌ها و کامند-لاین‌ها
در حمله به زیرساخت شرکت Target (۲۰۱۳)، مهاجمان با دسترسی یافتن به اکانت ادمینِ یک پیمانکار، ابزارها و اسکریپت‌های رایج مدیریت را برای استخراج مختصات کارت‌های بانکی مورد بهره‌برداری قرار دادند؛ کاری که در ظاهر یک عملیات ادمینی عادی به نظر می‌رسید.
چرا این اتفاق می‌افتد؟
ابزار ادمینی اغلب توسط سیاست‌های امنیتی مسدود نمی‌شوند؛ چرا که کسب‌و‌کار متکی به آن‌هاست.
لاگ این ابزار ها نویزی هستند.
به‌سختی می‌توان عملیات مخرب را از امور روزمره تمیز داد.
تهدید مدرن “Insider Threat”: وقتی اکانت ادمین توسط پرسنل ناراضی، مهاجم داخلی یا Credential Theft در دسترس قرار می‌گیرد، ابزار مشروع بدل به سلاح تهاجمی می‌شود.
درس‌های عملیاتی برای SOC و مدیران امنیت
مانیتور هویت، نه ابزار: اصل «کی از چی استفاده می‌کند» بالاتر از «چه ابزارهایی نصب است» اهمیت دارد.
انجام Least Privilege & Just-in-Time Access: کمترین سطح دسترسی و دسترسی لحظه‌ای، آسیب‌پذیری را به شدت کاهش می‌دهد.
لاگ‌برداری دقیق و هوشمند: حتما Monitor کنید چه کسانی، چه زمانی و چرا از ابزار ادمینی استفاده می‌کنند.
تهدیدی به نام سایه‌ادمین‌ها (Shadow Admins): ادمین مخفی و غیررسمی یا اکانت‌های با امتیاز مشکوک را مستند و محدود کنید.
رفتارشناسی (UEBA): هرگونه استفاده غیرعادی از ابزار مدیریت (خارج از تایم‌زون معمول، از IP ناشناس و…) باید بلافاصله بررسی شود


✅برای پایش این ابزار ها از دپارتمان SOC و برای تدوین راهکار؛ از خدمات vCISO شرکت هامون استفاده کنید

Www.haumoun.com

#تبلیغات
#موقت

آکادمی آموزش روزبه 📚

14 июня 2025 19:44

همزاد هوش مصنوعی: انقلابی در تسهیل فرآیندهای DFIR برای تیم‌های SOC

✍️روزبه نوروزی

در دنیای امنیت سایبری که تهدیدات روزبه‌روز پیچیده‌تر می‌شوند، تیم‌های مرکز عملیات امنیت (SOC) با چالش‌های متعددی در تحلیل فارنزیک دیجیتال و پاسخ به حوادث (DFIR) مواجه‌اند. فرآیندهای پیچیده DFIR، مانند جمع‌آوری داده‌های فارنزیک ، شکار تهدیدات، و تحلیل لاگ‌ها، اغلب نیازمند دانش فنی عمیق و صرف زمان قابل‌توجهی هستند. در این میان، ابزار نوآورانه‌ای مانند mcp-velociraptor به‌عنوان یک “همزاد هوش مصنوعی” (AI Copilot) وارد عمل شده و با تلفیق هوش مصنوعی و پلتفرم Velociraptor، این فرآیندها را ساده و قابل‌دسترس کرده است.

ابزار mcp-velociraptor با ادغام مدل‌های زبانی بزرگ (LLMs) و Velociraptor از طریق پروتکل زمینه مدل (MCP)، امکان اجرای کوئری‌های پیچیده را با زبان طبیعی فراهم می‌کند.
به‌جای تسلط بر زبان کوئری Velociraptor (VQL)، کاربران می‌توانند سؤالاتی مانند “ارتباطات شبکه مشکوک را شناسایی کن” یا “تاریخچه مرورگر دستگاه X را نشان بده” مطرح کنند.
این ابزار سؤالات را به کوئری‌های VQL ترجمه کرده و از طریق API Velociraptor داده‌های زنده را از endpoint‌ها جمع‌آوری می‌کند. این قابلیت، حتی برای افرادی با دانش فنی محدود، امکان بهره‌مندی از ابزار قدرتمند Velociraptor را فراهم می‌کند.

مزیت اصلی این همزاد هوش مصنوعی، کاهش زمان پاسخ به حوادث و افزایش کارایی تیم‌های SOC است. با خودکارسازی فرآیندهای تکراری مانند نگارش کوئری و تحلیل داده‌ها، تحلیلگران می‌توانند بر شناسایی تهدیدات پیشرفته متمرکز شوند.
معماری این ابزار شامل اجزایی مانند mcp_velociraptor_bridge.py برای ترجمه زبان طبیعی به VQL و velociraptor_api.py برای تعامل با سرور Velociraptor است. این ساختار ماژولار، استقرار و استفاده از ابزار را در محیط‌های مختلف تسهیل می‌کند.

علاوه بر این، mcp-velociraptor با ساده‌سازی شکار تهدیدات و تحلیل فارنزیک، به تیم‌های SOC کمک می‌کند تا با سرعت بیشتری به تهدیدات پاسخ دهند. برای مثال، شناسایی الگوهای مشکوک در لاگ‌ها یا جمع‌آوری شواهد قانونی از هزاران دستگاه، که پیش‌تر ساعت‌ها زمان می‌برد، اکنون با چند دستور زبان طبیعی قابل‌انجام است. این ابزار همچنین با پشتیبانی از استقرار در مقیاس بزرگ، برای سازمان‌های بزرگ ایده‌آل است.

چالش ها:

بااین‌حال، چالش‌هایی مانند وابستگی به دقت مدل‌های زبانی، پیچیدگی اولیه استقرار، و نگرانی‌های امنیتی مرتبط با داده‌های حساس وجود دارد. برای غلبه بر این مسائل، سازمان‌ها باید مدل‌های زبانی را به‌صورت محلی میزبانی کنند و به‌روزرسانی‌های مداوم را اعمال کنند.

درنهایت، mcp-velociraptor به‌عنوان یک همزاد هوش مصنوعی، با سهل کردن کردن دسترسی به ابزارهای پیشرفته DFIR، تحولی در عملیات SOC ایجاد کرده است. این ابزار نه‌تنها بهره‌وری را افزایش می‌دهد، بلکه به افراد غیرمتخصص نیز امکان مشارکت در فرآیندهای امنیتی را می‌دهد. با ادامه توسعه این فناوری، آینده امنیت سایبری روشن‌تر و پاسخگویی به تهدیدات کارآمدتر خواهد شد.


برای اینکه بیشتر با مقاله من درگیر شوید یک لینک بهتون معرفی میکنم تا عملگرا باشید


#آکادمی_روزبه
مرکز تخصصی CISSP
همیشه پیشرو

balasubramanya.c/unleashing-ai-augmented-forensics-a-deep-dive-into-mcp-velociraptor-8f020c2ca5b8" rel="nofollow">https://medium.com/@balasubramanya.c/unleashing-ai-augmented-forensics-a-deep-dive-into-mcp-velociraptor-8f020c2ca5b8

آکادمی آموزش روزبه 📚

13 июня 2025 16:22

هوش مصنوعی چطور می‌تواند در خدمت کشف APT باشد

✍روزبه نوروزی

مقدمه‌ای بر شبکه‌های مولد تخاصمی (GANها)

شبکه‌های مولد تخاصمی ، که توسط ایان گودفلو و همکارانش در سال ۲۰۱۴ معرفی شدند، یک چارچوب قدرتمند در یادگیری ماشین و به ویژه در یادگیری بدون نظارت هستند. ایده اصلی GAN بر پایه یک “بازی” بین دو شبکه عصبی استوار است: مولد (Generator) و متمایزکننده (Discriminator). مولد تلاش می‌کند داده‌های مصنوعی (مانند تصاویر، متن، یا صدا) تولید کند که تا حد امکان به داده‌های واقعی شباهت داشته باشند. در مقابل، متمایزکننده سعی می‌کند تشخیص دهد که داده ورودی واقعی است یا توسط مولد ساخته شده. این دو شبکه به طور همزمان آموزش می‌بینند و در یک فرآیند رقابتی، مولد در تولید داده‌های واقعی‌تر و متمایزکننده در تشخیص داده‌های جعلی ماهرتر می‌شوند، تا جایی که مولد بتواند داده‌هایی تولید کند که متمایزکننده قادر به تفکیک آن‌ها از داده‌های واقعی نباشد.

نمونه واقعی:

چگونه می‌توانست GAN در کشف حمله‌ی SolarWinds مؤثر باشد؟ (بدافزار Sunburst):

شرح مختصر حمله: مهاجمان به زنجیره تأمین نرم‌افزار نفوذ کرده و یک در پشتی (بدافزار Sunburst) را در به‌روزرسانی‌های قانونی پلتفرم مانیتورینگ Orion شرکت SolarWinds جاسازی کردند. این بدافزار پس از نصب، برای مدتی غیرفعال می‌ماند، سپس با یک دامنه تولید شده الگوریتمی (DGA) برای دریافت دستورات و کنترل (C2) ارتباط برقرار می‌کرد. ارتباطات C2 طوری طراحی شده بود که شبیه ترافیک عادی Orion به نظر برسد.
ببینیم چگونه GAN می‌توانست کمک کند:

ناهنجاری در الگوی DNS و HTTP/S:
حتی اگر ارتباطات C2 سعی در تقلید ترافیک عادی داشت، GAN می‌توانست تفاوت‌های ظریف را تشخیص دهد. برای مثال:
زمان‌بندی بیکن‌ها: بیکن‌های C2 ممکن است دارای یک الگوی زمانی بسیار منظم (مثلاً هر X دقیقه با دقت بالا) یا بالعکس، یک الگوی تصادفی باشند که با الگوهای عادی درخواست‌های Orion متفاوت است.
مقصد ارتباط: حتی اگر نام دامنه سعی در تقلید داشت (مثلاً avasoftware[.]com برای Sunburst)، خود این دامنه برای مدل GAN که روی ترافیک عادی آموزش دیده، “جدید” و “غیرمنتظره” بود. اگرچه ممکن است از نظر معنایی شبیه به نظر برسد، اما از نظر آماری و ارتباطی، یک مقصد جدید است.
ویژگی‌های ارتباطی سطح پایین: اندازه بسته‌ها، توالی پرچم‌های TCP، یا حتی ویژگی‌های رمزنگاری TLS (مانند ciphersuites) برای ارتباطات C2 ممکن است با آنچه مدل از ارتباطات عادی Orion یاد گرفته بود، تفاوت‌های جزئی داشته باشد.
شناسایی “اولین تماس”: اولین باری که یک میزبان داخلی آلوده سعی در برقراری ارتباط با دامنه C2 جدید می‌کرد، به عنوان یک ناهنجاری برجسته توسط GAN شناسایی می‌شد، زیرا این الگو (میزبان X در حال صحبت با دامنه Y) قبلاً در داده‌های آموزشی “نرمال” دیده نشده بود.
کشف سریع‌تر: به جای ماه‌ها، این ناهنجاری‌ها می‌توانستند در عرض چند روز یا هفته پس از فعال شدن بدافزار شناسایی شوند، قبل از اینکه مهاجمان به اهداف اصلی خود برسند یا حجم زیادی از داده‌ها را استخراج کنند.


در واقع ؛ هنگام حمله فوق از GAN استفاده نشد اما این مقاله نشان داد میتوان از یادگیری ماشینی در کشف APT مانند فوق استفاده کرد

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

12 июня 2025 20:53

👆👆👆


این مقاله، Surveyor را از یک ابزار ساده “جمع‌آوری اطلاعات” به یک ابزار توانمندساز برای شکار تهدید مبتنی بر فرضیه (Hypothesis-Driven Threat Hunting) ارتقا می‌دهد. فلسفه اصلی این است: به جای تکیه بر امضاها (Signatures) یا هشدارهای از پیش تعریف‌شده، شما به عنوان یک شکارچی، داده‌های خام و ساختاریافته را در مقیاس جمع‌آوری کرده و سپس با استفاده از دانش خود از TTPهای مهاجمان، به دنبال انحراف از حالت عادی (Deviation from Baseline) می‌گردید.
1. فلسفه اصلی: جمع‌آوری داده در مقیاس برای شکار مبتنی بر فرضیه

مشکل اصلی در بسیاری از سازمان‌ها، فقدان دید یکپارچه و آنی از وضعیت تمام سیستم‌ها است. EDRها این مشکل را تا حدی حل می‌کنند، اما همیشه در دسترس نیستند یا ممکن است لاگ‌های مورد نیاز را به طور پیش‌فرض جمع‌آوری نکنند. Surveyor این خلاء را پر می‌کند.

بحث Point-in-Time Snapshot: این ابزار یک “عکس فوری” از وضعیت حیاتی سیستم در یک لحظه خاص می‌گیرد. این عکس فوری برای ایجاد یک خط پایه (Baseline) یا مقایسه وضعیت فعلی با یک وضعیت سالم شناخته‌شده، حیاتی است.
خروجی ساختاریافته (JSON): این مهم‌ترین ویژگی برای یک شکارچی است. داده‌های خام و بدون ساختار بی‌فایده هستند. خروجی JSON به شما اجازه می‌دهد که:
داده‌ها را از صدها یا هزاران سیستم به یک مخزن مرکزی (مانند یک S3 bucket، Elasticsearch، یا حتی یک پوشه شبکه) منتقل کنید.
با استفاده از ابزارهای خط فرمان قدرتمند مانند jq یا اسکریپت‌های Python (با کتابخانه‌های pandas/polars) و PowerShell، داده‌ها را به سرعت query، فیلتر، agregare و تحلیل کنید. شما دیگر به صورت دستی فایل‌های لاگ را نمی‌خوانید؛ شما در حال query زدن روی یک پایگاه داده از وضعیت سیستم‌ها هستید.

2. تکنیک‌های شکار عملی با استفاده از داده‌های Surveyor (Practical Hunting Techniques)

مقاله به درستی به چند سناریوی شکار بسیار مؤثر اشاره می‌کند. بیایید آن‌ها را با جزئیات فنی بیشتری بررسی کنیم:

سناریوی شکار ۱: خدمات (Services) مشکوک برای پایداری (Persistence)

فرضیه (Hypothesis): مهاجمان برای حفظ دسترسی خود پس از ری‌استارت سیستم، یک سرویس مخرب نصب می‌کنند. (مرتبط با MITRE ATT&CK T1543.003: Create or Modify System Process: Windows Service)
نقاط داده کلیدی در JSON خروجی:
Service.PathName
Service.Signature.IsSigned
Service.Signature.Signer
Service.State
ناهنجاری‌هایی که باید به دنبالشان باشید:

سرویس‌های بدون امضای دیجیتال (Unsigned Services): این یک Red Flag بسیار بزرگ است. تقریباً تمام سرویس‌های اصلی ویندوز و نرم‌افزارهای معتبر، امضا شده‌اند.

Query نمونه با jq:


cat surveyor-output.json | jq '.Services[] | select(.Signature.IsSigned == false)'


مسیرهای اجرایی غیر استاندارد: سرویس‌ها معمولاً از C:\Windows\System32 یا C:\Program Files اجرا می‌شوند. سرویسی که از C:\Users\...\AppData, C:\Temp, C:\Windows\Tasks یا C:\ProgramData اجرا شود، به شدت مشکوک است.

Query نمونه با jq:


cat surveyor-output.json | jq '.Services[] | select(.PathName | test("(?i)C:\\\\(Users|Temp|ProgramData|Windows\\\\Tasks)") )'


سرویس‌هایی که از ابزارهای دوگانه (Dual-Use Tools) استفاده می‌کنند: سرویسی که خط فرمان آن شامل powershell.exe -enc ..., rundll32.exe, mshta.exe یا certutil.exe باشد، باید فوراً بررسی شود.

سناریوی شکار ۲: فرایندهای ماسک‌شده (Masquerading Processes)

فرضیه: مهاجمان نام ابزارهای خود را به نام‌های فرایندهای سیستمی مشروع (مانند svchost.exe, lsass.exe) تغییر می‌دهند تا شناسایی نشوند. (مرتبط با MITRE ATT&CK T1036: Masquerading)
نقاط داده کلیدی در JSON خروجی:
Process.Name
Process.PE.InternalName
Process.PE.OriginalFileName
Process.Parent.Name
ناهنجاری‌هایی که باید به دنبالشان باشید:

عدم تطابق نام فرایند با نام داخلی PE: یک svchost.exe واقعی، در متادیتای فایل PE خود نیز نام داخلی svchost.exe را دارد. اگر Process.Name برابر svchost.exe باشد اما Process.PE.InternalName چیزی مانند mimikatz.exe یا evil.exe باشد، شما یک تهدید را کشف کرده‌اید.

Query نمونه با jq:


cat surveyor-output.json | jq '.Processes[] | select(.Name == "svchost.exe" and .PE.InternalName != "svchost.exe")'

ادامه در پست بعد

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

12 июня 2025 19:16

ادامه از پست قبل

شنود در اندروید

جایگزینی ماژول: در یک دستگاه روت شده، فایل APEX اصلی را با نسخه دستکاری شده خود جایگزین می‌کنند.
راه‌اندازی مجدد: پس از ریبوت کردن دستگاه، اندروید ماژول ConscryptConscrypt دستکاری شده را بارگذاری می‌کند.

نتیجه نهایی و اهمیت آن

شنود کامل و شفاف: از این لحظه به بعد، کل سیستم‌عامل اندروید و تقریباً تمام اپلیکیشن‌هایی که از کتابخانه استاندارد استفاده می‌کنند، گواهینامه ابزار شنود شما را به عنوان یک گواهینامه کاملاً معتبر و سیستمی می‌شناسند.
دور زدن اکثر دفاع‌ها: این روش بسیاری از مکانیزم‌های دفاعی از جمله بررسی خزانه کاربری و حتی برخی پیاده‌سازی‌های ساده Certificate Pinning را به طور کامل دور می‌زند، زیرا تغییر در پایین‌ترین سطح ممکن (کتابخانه TLS) اعمال شده است.

نکات و محدودیت‌ها:

نیاز به روت: این تکنیک نیازمند دسترسی روت به دستگاه است. این یک آسیب‌پذیری نیست که یک هکر بتواند از راه دور از آن استفاده کند، بلکه ابزاری قدرتمند در دست محققان امنیتی و تسترهای نفوذ است که از قبل به دستگاه دسترسی فیزیکی یا روت دارند.
سطح حمله جدید: این روش یک سطح حمله جدید را برجسته می‌کند: ماژول‌های Mainline. اگر یک مهاجم بتواند به دستگاه شما دسترسی روت پیدا کند، می‌تواند با دستکاری این ماژول‌های حیاتی، کنترل عمیق و پایداری بر روی سیستم شما به دست آورد.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://blog.nviso.eu/2025/06/05/intercepting-traffic-on-android-with-mainline-and-conscrypt/

آکادمی آموزش روزبه 📚

12 июня 2025 13:11

👆👆👆ادامه از پست قبل

این مانند معمای گربه شرودینگر در امنیت سایبری است: تا زمانی که جعبه (سیستم) را برای تحلیل باز نکنیم، نمی‌دانیم که آیا بدافزار (گربه) زنده (فعال) است یا مرده (غیرفعال). اما خود عمل باز کردن جعبه، نتیجه را تعیین می‌کند.

شکارچیان تهدید آینده باید به “بازیگر” تبدیل شوند. تحلیل باید به صورت پنهانی و غیرمستقیم صورت گیرد. شاید به جای تحلیل مستقیم یک سیستم، مجبور شویم از طریق تحلیل عوارض جانبی (Side-Channel Analysis) مانند الگوی مصرف برق پردازنده یا تشعشعات الکترومغناطیسی آن، به فعالیت‌های داخلی‌اش پی ببریم. رویکرد ما باید از یک جستجوی فعال به یک نظارت منفعل و هوشمند تغییر کند.!!!

در نهایت، ایده “بدافزار کوانتومی” یک تلنگر است. تلنگری به ما برای اینکه به یاد داشته باشیم دشمنان ما نیز در حال تکامل هستند و از هر مفهومی، حتی از دل فیزیک نظری، برای پیشبرد اهداف خود الهام می‌گیرند. نبرد آینده در امنیت سایبری، نه تنها نبردی بر سر کدها و الگوریتم‌ها، بلکه نبردی بر سر ادراک، توجه و خودآگاهی خواهد بود. و در این نبرد، تنها آن‌هایی پیروز خواهند شد که بتوانند سایه‌ها را حتی زمانی که در تاریکی مطلق پنهان شده‌اند، ببینند.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

12 июня 2025 12:57

سلسله ارائه هایی در زیرمجموعه وزارت نفت داشتم که به آینده IT و OT ؛ امنیت و هوش مصنوعی پرداختم
مقاله زیر یکی از ابعادی است که در اون ارائه اشاره کردم


✍️روزبه نوروزی CISSP, PMP, ECSA,CEH,ISO 27001 LA,COBIT5,MCSA

🌀بدافزار کوانتومی: تهدیدی که تنها در غیاب ناظر، وجود دارد

مقدمه: رقص سایه‌ها در دنیای دیجیتال و فلسفه

در دنیای عجیب و شگفت‌انگیز فیزیک کوانتوم، اصلی وجود دارد که همواره ذهن فلاسفه و دانشمندان را به خود مشغول کرده است: اثر مشاهده‌گر (Observer Effect). این اصل، که به شکلی با اصل عدم قطعیت هایزنبرگ گره خورده، به ما می‌گوید که عمل ساده‌ی مشاهده یا اندازه‌گیری یک سیستم کوانتومی، ذاتاً حالت آن سیستم را تغییر می‌دهد. یک ذره تا زمانی که مشاهده نشده، می‌تواند در چندین حالت به طور همزمان وجود داشته باشد (برهم‌نهی کوانتومی)، اما به محض اینکه نگاه کنجکاو ما به آن می‌افتد، مجبور به انتخاب یک حالت مشخص می‌شود.

برای سال‌ها، من این مفهوم را صرفاً یک شگفتی در مقیاس زیراتمی می‌دانستم. اما امروز، در مقام یک پژوهشگر امنیت سایبری، به این فکر می‌کنم که آیا این اصل مرموز، یک همزاد دیجیتال در تاریک‌ترین کوچه‌های دنیای مجازی ندارد؟

این مقاله، کاوشی است در یک ایده که در ابتدا ممکن است علمی-تخیلی به نظر برسد، اما ریشه‌های آن عمیقاً در واقعیت‌های امروز ما تنیده شده است: چه می‌شود اگر بدافزارها بتوانند مانند ذرات کوانتومی رفتار کنند و تنها زمانی ماهیت واقعی و مخرب خود را آشکار سازند که هیچ‌کس، به‌خصوص یک تحلیلگر امنیتی، در حال تماشای آن‌ها نباشد؟

وضعیت موجود: بدافزارهای ضدتحلیل، پیش‌درآمدی بر یک پارادایم جدید

ایده‌ی بدافزاری که از مشاهده فراری است، کاملاً جدید نیست. ما سال‌هاست که با خانواده‌ای از تهدیدها به نام بدافزارهای ضدتحلیل (Anti-Analysis) دست‌وپنجه نرم می‌کنیم ( رجوع شود به کتاب EvasiveMalware که در گروه تلگرام روزبه خواندیم ) . این بدافزارها مجهز به مجموعه‌ای از ترفندها هستند تا از شناسایی شدن توسط ابزارهای تحلیلگران امنیتی بگریزند. این تکنیک‌ها اولین گام‌ها در مسیر تحقق “بدافزار کوانتومی” هستند:

ضد دیباگینگ (Anti-Debugging): بدافزار به طور مداوم بررسی می‌کند که آیا یک دیباگر (Debugger) به فرآیند آن متصل شده است یا خیر. با استفاده از توابعی مانند IsDebuggerPresent() در ویندوز یا بررسی وقفه‌های نرم‌افزاری، بدافزار می‌تواند حضور تحلیلگر را حس کرده و بلافاصله اجرای خود را متوقف کند یا یک مسیر اجرایی بی‌خطر را در پیش بگیرد.

ضد ماشین مجازی (Anti-VM): سندباکس‌ها (Sandbox) و ماشین‌های مجازی، زمین بازی اصلی تحلیلگران هستند. بدافزارهای پیشرفته با بررسی مشخصات سخت‌افزاری (مانند شناسه‌های MAC مربوط به VMware یا VirtualBox)، فایل‌های سیستمی خاص یا کلیدهای رجیستری که حضور یک محیط مجازی را لو می‌دهند، از اجرا در این محیط‌ها خودداری می‌کنند.

بررسی‌های زمانی و ترفندهای تأخیر (Timing Checks & Sleep Tricks): این یکی از هوشمندانه‌ترین روش‌هاست. اجرای کد در یک محیط شبیه‌سازی‌شده معمولاً کندتر از سخت‌افزار واقعی است. بدافزار می‌تواند زمان اجرای یک ....



ادامه مقاله در پستهای آینده

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

10 июня 2025 20:52

ماشالله به دوستان که خسته نمیشن از بازتولید یک نسل خاص از SIEM

بازم یه SIEM جدید به محصولات بومی اضافه شد تا بتونیم به تعداد SIEM های جهانی نمونه وطنی داشته باشیم .
دریغ از توانمندی مورد نیاز.

ما هیچ ما نگاه

آکادمی آموزش روزبه 📚

10 июня 2025 07:52

موضوع بحث گروه کلاسی CISSP: عملیات DRAGONCLONE؛ سوءاستفاده از امضای دیجیتال Wondershare برای تحویل بدافزار VELETRIX

✍️روزبه نوروزی

به‌عنوان یه متخصص SOC و تحلیل بدافزار در تدریس CISSP فصل عملیات امنیت، همیشه دنبال نکات فنی جدیدم که هم خودم رو به چالش بکشه و هم شاگردام رو تو کلاس‌های آموزشی هیجان‌زده کنه. تازگی‌ها مقاله‌ای از Seqrite Labs درباره کمپین “Operation DRAGONCLONE” خوندم که یه تکنیک فوق‌العاده مخفیانه رو معرفی کرده: سوءاستفاده از DLL Sideloading با استفاده از امضای دیجیتال معتبر Wondershare برای تحویل بدافزار VELETRIX. این تکنیک نه‌تنها پیچیده‌ست، بلکه نشون می‌ده چطور مهاجمان از اعتماد سیستم‌های امنیتی به فایل‌های امضا‌شده سوءاستفاده می‌کنند.

توی این کمپین، که صنعت مخابرات چین (به‌ویژه China Mobile Tietong) رو هدف گرفته، مهاجمان از یه فایل ZIP مخرب ZIP استفاده کردن. داخل این ZIP، یه فایل اجرایی شناخته میشه به نام “2025 China Mobile Tietong Internal Training Program” وجود داره که در واقع نسخه‌ای تغییرنام‌یافته از drstat.exe (متعلق به نرم‌افزار Wondershare RepairIt) با امضای دیجیتال معتبره. این فایل وقتی اجرا می‌شه، به‌جای DLL قانونی، یه DLL مخرب به اسم drstat.dll رو لود می‌کنه که حاوی بدافزار VELETRIXاست. این بدافزار 64 بیتی، با توابعی مثل dr_data_stop، می‌تونه داده جمع‌آوری کنه یا به سرور C2 متصل بشه و به مرحله بعدی حمله، یعنی VShell، بره.

چیز جذابی که برام هست ، استفاده از امضای دیجیتال Wondershare برای فریب سیستم‌های امنیتیه. چون فایل اجرایی امضا معتبر داره، آنتی‌ویروس‌ها و حتی EDRهای سنتی ممکنه بهش اعتماد کنن. مهاجمان با تغییر نام فایل (مثل “Registration-link.exe”) و جاسازی DLL مخرب، بدون دستکاری امضا، بدافزار رو اجرا می‌کنند. این یعنی تشخیصش با روش‌های مبتنی بر امضا تقریباً غیرممکنه! نکته جالب دیگه، استفاده از گواهی دیجیتال "Shenzhen Thunder Networking Technologies Ltd"هست که قبلاً تو حملات چینی دیده شده.

برای شناسایی این تهدید، باید سراغ تحلیل رفتاری بریم. ابزارهای EDR و XDR مثل ترند میکرو می‌تونن لود DLLهای غیرمنتظره رو رصد کنند. تنظیم Sysmon برای لاگ کردن رویدادهای لود DLL (Event ID 7) هم خیلی کمک‌کننده‌ست. مثلاً می‌تونیم با این تنظیم، لود drstat.dll رو بررسی کنیم:


<ImageLoad onmatch="include">
<ImageLoaded condition="contains">drstat.dll</ImageLoaded>
</ImageLoad>

تحلیل حافظه با Volatility برای بررسی ناهنجاری‌های VAD و مانیتورینگ ترافیک شبکه برای تشخیص ارتباطات مشکوک هم ضروریه. این تکنیک به ما یادآوری می‌کنه که حتی فایل‌های امضا‌شده هم می‌تونن مخرب باشن، و باید رفتارشون رو عمیق‌تر تحلیل کنیم.

برای شاگردام این سوال رو مطرح کردم: اگه یه فایل امضا‌شده از Wondershare رفتار مشکوک نشون بده، چطور تحقیق می‌کنید؟ این سوال اونا رو به سمت Memory Forensics و Threat Hunting می‌بره. این کمپین، که احتمالاً کار گروه‌های APT چینی مثل APT41ه، نشون می‌ده تهدیدات مدرن چطور از ابزارهای قانونی برای حملات هدفمند استفاده می‌کنن.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://www.seqrite.com/blog/operation-dragonclone-chinese-telecom-veletrix-vshell-malware/

آکادمی آموزش روزبه 📚

09 июня 2025 12:44

و Kali GPT ....

۱.این ابزار یک افزودنی مبتکرانه به توزیع لینوکسی Kali است که با استفاده از قدرت هوش مصنوعی (مدل زبان بزرگ) به هکرها، پنتسترها و تحلیل‌گران امنیت سایبری کمک می‌کند تا ارتباط با ابزارها را ساده، آموزش ببینند و سریع‌تر به هدف برسند. برخلاف صرفاً نصب ابزار، حالا می‌توان دستورات و اسکریپت‌های لازم، توضیحات، پارامترهای کاربردی و حتی نمونه‌کد را مستقیماً از طریق چت دریافت کرد.

۲. کاربردها و مزایای ملموس:

تولید سریع دستورات: کافیست هدف خود را مطرح کنید («چطور با nmap scan کنم؟»)، Kali GPT توضیح و دستور کامل را می‌دهد. برای مبتدی‌ها فوق‌العاده است و حتی افراد حرفه‌ای را از جستجو در داکیومنت، خلاص می‌کند.
اکسپلویت و راهنمایی مرحله به مرحله: به‌جای جستجو در صفحات اینترنت، Kali GPT مرحله‌های نفوذ یا تست نفوذ را با جزییات ارائه داده و خط فرمان مناسب هر ابزار را تولید می‌کند.
یادگیری و آموزش در لحظه: می‌توانید نحوه عملکرد هر ابزار امنیتی را سوال کنید یا کاربردش را بخواهید. پاسخ‌ها به زبان ساده و همراه مثال است.
کاهش خطای انسانی: با دریافت دستورات شخصی‌سازی‌شده، احتمال اشتباه در سوئیچ‌ها یا سینتکس کاهش می‌یابد.
یافتن سریع آسیب‌پذیری/بای‌پس: برخی فرامین پیچیده یا «ترکیبی» را که یادآوری‌شان سخت است، می‌توان به کمک هوش مصنوعی، با یک پرسش درست و آماده دریافت کرد.

۳. محدودیت‌ها و چالش‌های فعلی:

نمی‌تواند جای تجربه را بگیرد. در نهایت تحلیل و قضاوت انسانی حیاتی است؛ کالی GPT صرفاً ابزار کمکی است.
بروزرسانی دیتا: میزان به‌روزبودن مدل و اطلاعات ابزارها نقش کلیدی در کارایی دارد. اگر دیتای مدل قدیمی باشد، خروجی آن هم به‌روز نیست.
مسائل امنیت داده: اگرچه در خود کالی اجرا می‌شود اما همیشه باید مراقب بود چه چیزی به مدل داده می‌شود.

۴. برای چه کسانی واقعاً مفیده؟

مبتدی‌ها: دیگر نیاز به حفظ کلی دستور و پارامتر ندارند؛ فقط سوال و هدف را وارد می‌کنند.
پنتسترهای حرفه‌ای: فرایند کار سریع‌تر و تمیزتر؛ می‌تواند مثل یک helper همیشه در دسترس باشد.
آموزش‌دهنده‌ها و مربیان امنیت: در ارائه مثال‌ها و توضیح مفاهیم کاربردی و به زبان ساده، یک کمک آموزشی پرقدرت محسوب می‌شود.

جمع‌بندی و ارزش افزوده واقعی برای شما:

این Kali GPT دقیقاً همان “دستیار هوشمندی” است که سرعت یادگیری و اجرای تست‌های امنیتی را افزایش می‌دهد. شما دیگر وقت خود را صرف جستجو در داکیومنت نمی‌کنید، بلکه تمرکز شما روی تحلیل واقعی و کشف آسیب‌پذیری خواهد بود.
مهم‌تر این‌که این ابزار هم برای یادگیری و هم پروژه‌های واقعی استفاده می‌شود و جایگاه Kali را در دنیای پنتست به عصر AI ارتقا می‌دهد.

اگر دانش فنیِ پایه را داشته باشی، عملاً Kali GPT باعث می‌شه راحت‌تر و سریع‌تر ایده‌ات رو عملی کنی و آخر هر کار هم یک لایه‌ی توضیح و Learning برات باقی می‌گذاره


#آکادمی_روزبه
مرکز تخصصی CISSP

https://cybersecuritynews.com/kali-gpt/#google_vignette

آکادمی آموزش روزبه 📚

18 июня 2025 10:18

توضیح


نفوذ فعلی در کشور امری برنامه ریزی شده در بلند مدت بوده و از نظر من ضعف اطلاعاتی / ضد اطلاعاتی این شرایط رو ایجاد کرده
همه نکات هم برمیگرده به عدم نگاه علمی به مسائل

مثلا نبودن دید استراتژیک به حل مسائل؛ یک نقطه ضعف بزرگ در کشور هست.

الان تمام SMS ها که بسیاری از سازمان‌ها اطلاعات حساسشون رو روی اون می‌فرستند توسط برنامه مسیج گوگل روی اندویید خونده میشه!!

اما بعید می‌دانم در جایی در مستندی در برنامه استراتژیکی این موضوع دیده شده باشه
خود اندرویید و گوگل با وجود لابی گری کمیته AIPAC ببین چه ملغمه ای میتونه باشه که کل زندگی ما روش هست

من‌میگم هیچ توجهی به مسائل در کلیت نشده اونوقت یکنفر تز واتس اپ داده و خیلی ها هم پیرو شدند

الان تمام دفترچه تلفن اکثر مردم روی سرور گوگل هست . گوگل هم خیلی مبرا نیست که Data warehouse سازمان‌های اطلاعاتی نباشه
پس یافتن لینک بین افراد و حتی عنوان و محل شغل؛ از کانتکت ها همین الان از خیلی روشها قابل انجام هست

پس نفوذ عمیق تر و وسیع تر از این حرفهاست . نگاه لازمه کلان تر باشه



پی نوشت: همیشه نمیشه هرچیزی رو نوشت لذا باید برخی موارد اول به تخصص فرد نگاه کنیم بعد دقیق بشیم و استدلالش رو بخونیم . اونی که ازش تصویر متن رو گذاشتم قبول داشتم که متنش رو منتشر کردم .
حالا خیلی موضوع رو باز نکردند ولی خب متخصص هستند.

آکادمی آموزش روزبه 📚

18 июня 2025 09:09

تعریف blast radius در کانتینرها:


مفهوم Blast radius در کانتینرها به محدوده‌ای از سیستم یا زیرساخت گفته می‌شود که در صورت نفوذ، خطا یا حمله به یک کانتینر، ممکن است تحت تأثیر قرار گیرد.
🧠 چرا مهم است؟
در محیط‌هایی مانند Kubernetes، کانتینرها در کنار هم در یک نود اجرا می‌شوند. اگر یکی از آن‌ها آلوده شود و محدودیت‌های مناسب اعمال نشده باشد، ممکن است:
به سایر کانتینرهای همان نود دسترسی پیدا کند.
از طریق Volume‌های مشترک به داده‌های حساس دسترسی یابد.
به شبکه داخلی یا سرویس‌های مهم حمله کند.
به کرنل سیستم عامل میزبان نفوذ کند.
📌 مثال:
فرض کنید در یک کلاستر Kubernetes یک پاد (Pod) شامل یک کانتینر آسیب‌پذیر است و شما قابلیت‌هایی مانند hostNetwork, hostPID یا privileged را به آن داده‌اید.
🔴 اگر این کانتینر هک شود، ممکن است مهاجم بتواند:
به سایر کانتینرهای همان نود دسترسی پیدا کند.
به کرنل دستورات سیستمی بدهد.
شبکه کل کلاستر را اسکن کرده و lateral movement انجام دهد.
✅ در اینجا blast radius بزرگ است.
🎯 هدف امنیتی:
در طراحی امنیتی کانتینرها و میکروسرویس‌ها، باید هدف این باشد که:
این blast radius را کاهش دهید


راهکار های کاهش::


Least Privilege

کانتینرها را با حداقل سطح دسترسی اجرا کنید (مثلاً به‌صورت non-root).
Network Policies

دسترسی شبکه‌ای بین پادها را محدود کنید.
Pod Security Policies / OPA Gatekeeper
محدودیت‌هایی برای اجرای پادها اعمال کنید (مانند ممنوعیت privileged mode).
Namespace Isolation
سرویس‌ها را در namespaceهای جداگانه اجرا کنید.
Read-only Filesystems
فایل‌سیستم کانتینرها را فقط‌خواندنی کنید.
Minimal Base Images
از ایمیج‌های سبک و بدون پکیج‌های اضافه استفاده کنید.
Runtime Protection Tools
ابزارهایی مانند Falco یا AppArmor برای شناسایی رفتار مشکوک در زمان اجرا.

#آکادمی_روزبه
مرکز تخصصی CISSP
واتس اپ 09902857290

آکادمی آموزش روزبه 📚

17 июня 2025 10:17

اگه همزمان بخوای یک چیزی رو هم resize کنی هم پاک، کرنل ویندوز گیج می‌شه و می‌ریزه به هم!!!

این باگ از اون تیپ آسیب‌پذیری‌هاست که در سناریوهای real-world، اگر exploitable بشه، می‌تونه به تهدید مهم DoS علیه سیستم‌های حیاتی تبدیل بشه، به‌خصوص جایی که سرویس‌های شبکه حجم بالا دارن (مثل دیتاسنترها ـ با حملات Insider محتمل‌تره).

توی یکی از کامپوننت‌های کرنل ویندوز به اسم afd.sys (Ancillary Function Driver for Winsock)، یک باگ Race Condition پیدا کرده که باعث می‌شه سیستم عامل هنگ (crash/DoS) کنه. این باگ موقع مدیریت Registered IO اتفاق میافته، یعنی همون بخش از ویندوز که با I/O شبکه به‌شکل سریع و بهینه سر و کار داره (RIO).




#آکادمی_روزبه
مرکز تخصصی CISSP


https://www.pixiepointsecurity.com/blog/advisory-pps-2024-0919/

آکادمی آموزش روزبه 📚

16 июня 2025 20:03

اطلاعات، ضد اطلاعات، جاسوسی و ضد جاسوسی در سازمان‌های اطلاعاتی کشورها

در هر کشور، امنیت ملی به‌شدت به عملکرد و بلوغ سازمان‌های اطلاعاتی آن وابسته است. این سازمان‌ها وظایفی دارند که عموماً در دو حوزه اصلی «اطلاعات» (Intelligence) و «ضد اطلاعات» (Counter-intelligence) تعریف می‌شوند.
۱. اطلاعات (Intelligence)

اطلاعات به معنای جمع‌آوری، پردازش، تحلیل و بهره‌برداری از داده‌ها و اخبار برای تصمیم‌گیری‌های راهبردی و عملیاتی است. این اطلاعات می‌تواند نظامی، سیاسی، اقتصادی، فنّی یا حتی سایبری باشد. سازمان‌های اطلاعاتی مانند CIA آمریکا، MI6 انگلیس، وزارت اطلاعات ایران، GRU روسیه و MSS چین هرکدام وظیفه دارند داده‌ها را از منابع علنی (OSINT) یا محرمانه (HUMINT, SIGINT, IMINT و غیره) جمع‌آوری و برای حفاظت از منافع ملی استفاده کنند.
۲. ضد اطلاعات (Counter-Intelligence)

ضد اطلاعات به مجموعه اقداماتی گفته می‌شود که برای جلوگیری از رخنه و نفوذ دشمنان به ساختارها و منابع حساس کشور، محافظت از اطلاعات طبقه‌بندی‌شده و شناسایی و خنثی‌سازی عملیات‌های اطلاعاتی بیگانه صورت می‌گیرد. هدف ضد اطلاعات این است که از جمع‌آوری اطلاعات توسط دشمن جلوگیری شود و عملیات‌های جاسوسی شناسایی و مهار گردد. بخش ضد اطلاعات در اکثر سازمان‌های امنیتی مانند FBI آمریکا یا وزارت اطلاعات ایران ساختاری اختصاصی دارد.
۳. جاسوسی (Espionage)

جاسوسی به معنای کسب پنهانی اطلاعاتِ طبقه‌بندی‌شده یا حساس از طرف دشمن یا رقباست. عوامل انسانی (جاسوس‌ها)، ابزارهای فنی (نظیر شنود، بدافزارها) یا عملیات‌های سایبری، رایج‌ترین روش‌های جاسوسی هستند. جاسوس‌ها اغلب با ظاهر شهروند عادی یا با پوشش دیپلماتیک به جمع‌آوری اسرار نظامی، سیاست‌گذاری، تسلیحاتی یا اقتصادی می‌پردازند. حتی در عصر جدید، جاسوسی سایبری مانند نفوذ به شبکه‌ها و استخراج داده، اهمیت ویژه‌ای یافته است.
۴. ضد جاسوسی (Counter-Espionage)

ضد جاسوسی شاخه‌ای از ضد اطلاعات است و تمرکز خاصی بر شناسایی و بی‌اثر نمودن تلاش عوامل بیگانه یا داخلی برای دسترسی به اسرار کشور دارد. این اقدامات شامل رصد فعالیت مشکوک، تست وفاداری نیروها، مانیتورینگ ارتباطات، اجرای عملیات‌های فریب (Deception) و دستگیری جاسوسان می‌شود. موفقیت ضد جاسوسی، هم به فناوری (مثلاً سامانه‌های SIEM، تحلیل ترافیک شبکه) و هم مهارت انسانی وابسته است. معروف‌ترین ضد‌جاسوسی‌های موفق تاریخ مربوط به انهدام شبکه‌های جاسوسی بلوک شرق و غرب در طول جنگ سرد است.
جمع‌بندی و اهمیت

نبرد دائمی بین جاسوسی و ضد جاسوسی، ستون فقرات امنیت ملی کشورهاست. ضعف در هر بخش می‌تواند به لو رفتن برنامه‌ها، تحریم، حمله فیزیکی یا سایبری و حتی فروپاشی ساختارهای حیاتی بینجامد. در دوران مدرن، تلفیق عملیات‌های سایبری و HUMINT، نقش مضاعفی پیدا کرده و سازمان‌های اطلاعاتی با بهره‌گیری از فناوری‌های نوین (AI، تحلیل بیگ دیتا، رفتارشناسی) مرزهای جدیدی از این نبرد را رقم زده‌اند.

هر بخش از این حوزه‌ها ساختار، روند، ابزار و چالش‌های تخصصی خودش را دارد و آموزش و تمرین مداوم، نقش کلیدی در موفقیت نیروهای اطلاعاتی ایفا می‌کند


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

16 июня 2025 12:20

اسلایدی از درس CISSP
فصل طراحی سیستم های امن


**طراحی نا امن باعث میشود امکان نفوذ در ذات سیستم دمیده شود و این موضوع میتواند بدترین و خطرناک ترین نفوذ را به همراه داشته باشد.


#آکادمی_روزبه
مرکز تخصصی CISSP
واتس اپ 09902857290

آکادمی آموزش روزبه 📚

14 июня 2025 20:36

سرویس و دیتا رو کجا هاست کردی؟
قراردادت رو خوندی ؟

طرح تداوم کسب‌وکار (BCP) در مراکز داده‌ی ایران نقش بسیار مهمی در اطمینان از پایداری و حفاظت از داده‌های مشتریان ایفا می‌کند. BCP شامل برنامه‌ریزی‌های دقیق و استراتژیک برای مقابله با حوادث و بحران‌های پیش‌بینی نشده است که می‌تواند سیستم‌ها و خدمات حیاتی را تحت تأثیر قرار دهد. اجرای مؤثر BCP به کاهش زمان تعلیق و از دست رفتن داده‌ها کمک کرده و اطمینان حاصل می‌کند که عملیات کسب‌وکار بدون وقفه ادامه پیدا کند.

یکی از دغدغه‌های اصلی که BCP به آن می‌پردازد، مدیریت خطرات مرتبط با از دست دادن داده‌ها و تضمین بازیابی سریع سیستم‌ها است. این امر به ویژه در مراکز داده‌ی ایران حیاتی است، چرا که داده‌های با ارزش بسیاری از شرکت‌ها در این مراکز میزبانی می‌شوند و حفظ امنیت و دسترس‌پذیری آن‌ها از اولویت‌های اساسی محسوب می‌شود.

بسیاری از شرکت‌ها و افراد وقتی داده‌های خود را در مراکز داده‌ی مختلف میزبانی یا کولوکیت می‌کنند، تصورات نادرستی درباره مسئولیت‌ها و تعهدات مرکز داده نسبت به حفاظت و نگهداری از اطلاعات دارند. در اینجا به جذابیت و دقت توجه به تعهدات قراردادی در این زمینه خواهیم پرداخت.

افرادی که از خدمات کولوکیشن (Colocation) استفاده می‌کنند، به‌طور کلی از مسئولیت‌های مشخصی نسبت به مدیریت فیزیکی سرورها و داده‌های خود برخوردارند. اما برای آن‌هایی که از خدمات سرور مجازی خصوصی (VPS) یا میزبانی اشتراکی استفاده می‌کنند، وضعیت کمی پیچیده‌تر می‌شود. این افراد باید به دقت متن قراردادهای خود را مطالعه کرده و از جزئیات تعهدات و مسئولیت‌های مرکز داده و همچنین خودشان مطلع شوند.

شرایطی که در قرارداد اشاره شده نیاز به توجه دقیق دارد، به خصوص در مورد سقف جریمه‌ها و نحوه پرداخت خسارت. گاهی اوقات ممکن است تنها مسئولیت مرکز داده به پرداخت جریمه محدود شود. بنابراین، در صورتی که کاربری در مواجهه با از دست رفتن داده‌ها اعلام کند که به جریمه نیازی ندارد و داده‌هایش را می‌خواهد، ممکن است مرکز داده صرفاً به افزودن چند روز به مدت سرویس ارائه‌شده اکتفا کند، که این راه‌حل معمولاً برای مصرف‌کننده مفید نیست.

بنابراین، بهترین راهکار این است که کاربران قبل از عقد قرارداد با مراکز داده، با دقت تمام جزئیات و بندهای قرارداد را بررسی کنند تا از تمام شرایط و تعهدات هر دو طرف مطلع شوند. این دقت و بررسی به جلوگیری از سوءبرداشت‌های احتمالی و تأمین امنیت و سلامت داده‌ها کمک می‌کند. در نهایت، کاربران مسئولیت اصلی حفاظت و مدیریت داده‌های خود را به عهده دارند و باید همیشه نظارت کافی بر برآورده شدن تعهدات قراردادی مراکز داده داشته باشند.

بخشی از درس BCP
#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

13 июня 2025 17:53

نشانه‌های وجود APT در شبکه و سامانه‌های سازمانی

تشخیص وجود مهاجمان پیشرفته (APT) در شبکه سازمانی یک چالش مستمر و حیاتی است، زیرا APTها با هدف دسترسی طولانی‌مدت، پنهان‌کاری و سرقت اطلاعات راهبردی عمل می‌کنند. تحلیلگران باید فراتر از آلارم‌های سطحی رفته و به بررسی الگوهای رفتاری ظریف، دستکاری‌های تدریجی و شواهد ترکیبی بپردازند. مهم‌ترین نشانه‌های وجود APT عبارت‌اند از:

۱. ترافیک شبکه مشکوک و غیرمعمول

شناسایی ارتباطات beaconing با فواصل زمان‌بندی شده و پروتکل‌های ناشناس (مانند HTTPS غیرمعمول به آدرس‌های ناشناخته)
حجم غیرعادی یا رمزگذاری‌شده داده به مقصد خارج از سازمان (C2، Exfiltration)
استفاده از tunneling یا پروتکل‌های مخفی‌سازی (DNS tunneling، ICMP tunneling)

۲. رفتار غیرعادی کاربری و سیستمی

لاگین‌های موفق از مکان، دستگاه، یا ساعت غیرمعمول (مثلاً لاگین از کشورهای مختلف در مدت کوتاه)
اجرای ابزارهای داخلی ویندوز یا لینوکس (Living off the Land) توسط کاربران عادی، مخصوصاً PowerShell، WMIC، یا اسکریپت‌های ناشناس
افزایش تدریجی سطح دسترسی یا تغییر رول کاربران بدون توجیه

۳. نشانه‌های بدافزار و فایل‌های مشکوک

فرآیندهای ناشناس یا اجرای سرویس‌هایی با نام مشابه سرویس‌های معتبر (svchost، lsass)
تغییرات غیرمنتظره در فایل‌ها یا رجیستری، مخصوصاً در مسیرهایی مثل Startup یا Scheduled Tasks
وجود فایل‌های droppers، loaders یا ابزار post-exploitation مانند Cobalt Strike

۴. تغییر و دستکاری لاگ‌ها

پاک کردن یا دستکاری selective لاگ‌های امنیتی و حذف trail وقایع حساس
فقدان لاگ یا وجود لاگ‌های بسیار زیاد و بی‌معنی برای گمراهی

۵. شواهد فنی و رفتاری پیوندی

مشاهده حملات lateral movement مثل Pass-the-Hash/Pass-the-Ticket
شناسایی inode یا ارتباط متقاطع بین آرتیفکت‌های مختلف (مثلاً ارتباط نرم با ATT&CK TTPها)


تحلیل موفق APT نیازمند کنار هم قراردادن weak signalها و تحلیل رفتاری است. استفاده از ابزارهای EDR، تحلیل ترافیک شبکه (PCAP/NetFlow)، جستجوی تخصصی در لاگ‌ها و مقایسه با پروفایل نرمال سازمان ضروری است. مهم‌تر از هر چیز، تحلیلگر باید خلاق، جستجوگر و آماده‌ی آزمون فرضیات متنوع باشد.

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

12 июня 2025 20:53

👆👆ادامه از پست قبل


رابطه والد-فرزندی اشتباه: svchost.exe همیشه توسط services.exe اجرا می‌شود. lsass.exe همیشه توسط wininit.exe اجرا می‌شود. اگر یک svchost.exe را پیدا کردید که والد آن explorer.exe یا powershell.exe است، این یک ناهنجاری جدی است که می‌تواند نشان‌دهنده Process Injection یا تکنیک‌های دیگر باشد.

سناریوی شکار ۳: اتصالات شبکه غیرمنتظره

فرضیه: فرایندهای سیستمی که به طور معمول نباید با اینترنت ارتباط برقرار کنند، در حال ارسال یا دریافت ترافیک هستند. این می‌تواند نشانه ارتباط با سرور Command & Control (C2) باشد. (مرتبط با MITRE ATT&CK T1071: Application Layer Protocol)
نقاط داده کلیدی در JSON خروجی:
Network.Process.Name
Network.RemoteAddress
Network.RemotePort
Network.State (e.g., ESTABLISHED)
ناهنجاری‌هایی که باید به دنبالشان باشید:

ارتباطات خروجی از فرایندهای نامرتبط: چرا notepad.exe باید یک اتصال TCP به یک آدرس IP خارجی روی پورت 443 داشته باشد؟ چرا calc.exe باید به جایی وصل شود؟
ارتباطات lsass.exe: فرایند lsass.exe فقط باید با Domain Controllerها ارتباط برقرار کند. هرگونه اتصال خروجی از lsass.exe به یک آدرس IP ناشناس در اینترنت، یک هشدار بسیار جدی برای سرقت Credential (Credential Dumping) است.

Query نمونه با jq:


cat surveyor-output.json | jq '.Network[] | select(.Process.Name == "lsass.exe" and .RemoteAddress != "DC_IP_ADDRESS")'


3. جریان کاری (Workflow) یک شکارچی با Surveyor

تعریف فرضیه: با یک تکنیک ATT&CK شروع کنید. مثال: “مهاجم از Scheduled Tasks برای پایداری استفاده می‌کند.” (T1053.005)
اجرای Surveyor در مقیاس: با استفاده از PowerShell Remoting, PsExec یا ابزار مدیریت Endpoint خود، surveyor.exe -p را روی گروهی از ماشین‌های هدف (مثلاً تمام سرورهای وب) اجرا کنید.
تجمیع و نرمال‌سازی داده‌ها: تمام فایل‌های JSON خروجی را در یک مکان مرکزی جمع‌آوری کنید.
شکار و تحلیل:

ابتدا به دنبال ناهنجاری‌های آشکار بگردید (سرویس‌های بدون امضا، وظایف زمان‌بندی شده در مسیرهای کاربری).
سپس به سراغ تحلیل آماری بروید: “کدام مسیرهای اجرایی برای Scheduled Tasks در کل سازمان من شایع‌ترین هستند؟” هر چیزی که خارج از این شیوع باشد، یک Outlier است و نیاز به بررسی دارد.
مثال: یک وظیفه زمان‌بندی شده که rundll32.exe را با پارامترهای عجیب فراخوانی می‌کند، باید فوراً بررسی شود.

عملیاتی کردن یافته‌ها: پس از شناسایی یک ناهنجاری روی یک سیستم، از داده‌های Surveyor (مانند PID, Path, Hash) برای Pivot کردن به ابزارهای دیگر (مانند لاگ‌های EDR، تحلیل حافظه زنده (Live Memory Analysis) یا فارنزیک دیسک) برای تحقیقات عمیق‌تر استفاده کنید.

جمع‌بندی برای متخصص

مقاله Red Canary به شما نمی‌گوید چه چیزی بد است. به شما می‌گوید چگونه با استفاده از داده‌های ساختاریافته، خودتان تعریف کنید که “بد” در محیط شما به چه معناست. Surveyor یک ابزار ساده نیست؛ یک پلتفرم جمع‌آوری داده است که به شما به عنوان یک شکارچی، قدرت می‌دهد تا فرضیه‌های خود را در مقیاس وسیع آزمایش کرده و ناهنجاری‌هایی را پیدا کنید که سیستم‌های تشخیص خودکار ممکن است از دست بدهند. این ابزار، شکار تهدید را از یک فعالیت واکنشی به یک فعالیت کنشگرانه و مبتنی بر داده تبدیل می‌کند. آن را به جعبه ابزار خود اضافه کنید.


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

12 июня 2025 19:40

ابزار روز برای IR
جمع آوری اطلاعات در مقیاس بزرگ


لینک برای مطالعه بیشتر و مشاهده ویدئو
https://redcanary.com/blog/threat-detection/detecting-anomalies-with-surveyor/?utm_source=linkedin&amp;utm_medium=social

#آکادمی_روزبه
مرکز تخصصی CISSP

لینک ابزار

https://github.com/redcanaryco/surveyor

آکادمی آموزش روزبه 📚

12 июня 2025 19:14

شنود در اندروید های مدرن
خطری برای App های بانکی و حساس


راه‌حل ارائه شده توسط nviso در لینک زیر ، یک تکنیک خلاقانه است که به جای تلاش برای فریب دادن اپلیکیشن یا سیستم‌عامل، یکی از اجزای اصلی و پایه‌ای خود سیستم‌عامل اندروید را دستکاری می‌کند تا ترافیک را به سادگی قابل شنود کند.

بخش اول: مشکل کجاست؟ چرا روش‌های قدیمی دیگر کار نمی‌کنند؟

برای درک اهمیت این روش جدید، باید ابتدا با مشکل آشنا شویم:

    روش استاندارد (و قدیمی): برای شنود ترافیک HTTPS، ابزارهایی مانند Burp Suite یا mitmproxy از یک حمله “مرد میانی” (Man-in-the-Middle) استفاده می‌کنند. برای این کار، شما باید یک گواهینامه دیجیتال (CA Certificate) مربوط به ابزار خود را روی دستگاه اندروید نصب کنید.
    محدودیت‌های اندروید مدرن: از اندروید ۷ (Nougat) به بعد، سیستم‌عامل به طور پیش‌فرض دیگر به گواهینامه‎‌هایی که توسط کاربر نصب شده‌اند، اعتماد نمی‌کند. این یعنی اپلیکیشن‌ها فقط گواهینامه‌های موجود در “خزانه گواهینامه‌های سیستمی” (system′s trust storesystem′s trust store) را معتبر می‌دانند.
   انجام  Certificate Pinning: بسیاری از اپلیکیشن‌های امن (مانند اپ‌های بانکی) یک قدم فراتر می‌روند و از تکنیکی به نام “پین کردن گواهینامه” (Certificate PinningCertificate Pinning) استفاده می‌کنند. در این روش، اپلیکیشن فقط و فقط گواهینامه خاص سرور خودش را قبول می‌کند و هر گواهینامه دیگری (حتی اگر در سیستم معتبر باشد) را رد می‌کند.
    راه حل‌های موجود (و مشکلاتشان): راه حل رایج برای دور زدن این محدودیت‌ها، روت کردن دستگاه و قرار دادن گواهینامه ابزار شنود در خزانه سیستمی است. اما این کار هم همیشه جواب نمی‌دهد و ابزارهایی مانند Frida برای غیرفعال کردن Certificate Pinning در لحظه اجرا (runtime) نیاز است که پیچیدگی‌های خاص خود را دارد.

    نتیجه: شنود ترافیک در اندروید مدرن به یک بازی موش و گربه پیچیده تبدیل شده است.

بخش دوم: تکنولوژی‌های کلیدی در روش جدید nviso

روش nviso بر پایه درک عمیق دو جزء اصلی از معماری مدرن اندروید استوار است:
۱. این Project Mainline (یا Google Play System Updates)

    یک ابتکار از سوی گوگل برای ماژولار کردن سیستم‌عامل اندروید. به جای اینکه برای آپدیت یک جزء حیاتی (مثل کتابخانه امنیتی یا کدک‌های رسانه) منتظر یک آپدیت کامل سیستم‌عامل (OTA) از سوی سازنده گوشی (مثل سامسونگ) بمانیم، گوگل می‌تواند این ماژول‌ها را مستقیماً از طریق Google Play به‌روزرسانی کند.
    چرا مهم است؟ این ماژول‌ها در قالب فایل‌هایی با فرمتAPEX (Android Pony EXpress) ارائه می‌شوند. این فایل‌ها در واقع بسته‌هایی حاوی فایل‌های سیستمی هستند که در زمان بوت شدن دستگاه، در یک مسیر خاص mount می‌شوند.

۲. بحث Conscrypt

     کتابخانه پیش‌فرض و اصلی اندروید برای مدیریت ارتباطات امن TLS/SSL (همان S در HTTPS) است. وقتی یک اپلیکیشن می‌خواهد یک اتصال امن برقرار کند، در پشت صحنه از ConscryptConscrypt استفاده می‌کند.
    چرا مهم است؟ ConscryptConscrypt مسئول بررسی و تایید اعتبار گواهینامه‌هاست. این کتابخانه خودش یک ماژول Mainline است، یعنی در یک فایل com.google.android.conscrypt.apex قرار دارد و توسط گوگل آپدیت می‌شود.

بخش سوم: روش خلاقانه nviso برای حل مشکل

ایده اصلی محققان nviso بسیار هوشمندانه است:

    “اگر ConscryptConscrypt مسئول اعتماد کردن به گواهینامه‌هاست و خودش یک ماژول قابل تعویض است، چرا خودِ ConscryptConscrypt را طوری دستکاری نکنیم که به گواهینامه ما ذاتاً اعتماد کند؟”

مراحل انجام این کار به شرح زیر است:

    استخراج ماژول: ابتدا فایل com.google.android.conscrypt.apex را از یک دستگاه روت شده یا شبیه‌ساز اندروید استخراج می‌کنند.
    باز کردن بسته APEX: این فایل را باز می‌کنند. درون آن یک فایل ایمیج به نام apex_payload.img وجود دارد که حاوی فایل‌های اصلی ماژول است.
    یافتن خزانه اعتماد: درون این ایمیج، به دنبال فایل خزانه گواهینامه‌های سیستمی می‌گردند. این فایل معمولاً cacerts نام دارد و شامل تمام گواهینامه‌های ریشه (Root CAs) است که اندروید به آن‌ها اعتماد دارد.
    تزریق گواهینامه مخرب: گواهینامه ابزار شنود (مثلاً Burp Suite) را به این فایل cacerts اضافه می‌کنند.
    بسته‌بندی و امضای مجدد: ماژول دستکاری شده را دوباره به فرمت APEX بسته‌بندی کرده و با کلیدهای شخصی خودشان امضا می‌کنند. این مرحله بسیار کلیدی است، زیرا سیستم‌عامل فایل‌های APEX بدون امضا را قبول نمی‌کند.

قسمت دوم در پست بعد 👇👇👇

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

12 июня 2025 13:07

👆👆👆بخش دوم از مقاله فوق


قطعه کد مشخص را اندازه‌گیری کند و اگر این زمان از حد معینی بیشتر بود، نتیجه می‌گیرد که تحت نظارت است. علاوه بر این، برخی بدافزارها با استفاده از یک “بمب منطقی” (Logic Bomb)، برای روزها یا هفته‌ها غیرفعال می‌مانند. از آنجایی که سندباکس‌ها معمولاً برای چند دقیقه یک فایل را تحلیل می‌کنند، این بدافزارها به سادگی از زیر دست آن‌ها فرار می‌کنند و تنها زمانی فعال می‌شوند که سیستم به حال خود رها شده باشد.

این تکنیک‌ها نشان می‌دهند که مهاجمان از قبل به این نتیجه رسیده‌اند که “عدم مشاهده” یک مزیت استراتژیک است. اما تمام این روش‌ها، واکنشی هستند. آن‌ها در برابر حضور یک تحلیلگر واکنش نشان می‌دهند.
سوال بزرگ‌تر این است: آیا می‌توان این معادله را معکوس کرد؟

جهش کوانتومی: بدافزاری که تنها با “عدم مشاهده” فعال می‌شود

بیایید پا را یک قدم فراتر بگذاریم. تصور کنید بدافزاری طراحی شود که منطق آن برعکس است: این بدافزار به طور پیش‌فرض غیرفعال و بی‌خطر است و تنها در صورتی که به یقین برسد که تحت هیچ‌گونه نظارتی قرار ندارد، ماشه‌ی فعالیت مخرب خود را می‌کشد. این دیگر یک فرار ساده از سندباکس نیست؛ این یک تغییر ماهیت بر اساس سطح توجه است.

چگونه چنین چیزی ممکن است؟

ماشه بر اساس رفتار کاربر (User Behavior Triggers): بدافزار می‌تواند برای مدتی طولانی در پس‌زمینه به جمع‌آوری داده‌های مربوط به رفتار کاربر بپردازد. الگوهای تایپ کردن، حرکات موس، نرم‌افزارهای پراستفاده، ساعات فعالیت و استراحت. یک تحلیلگر امنیتی الگوهای رفتاری کاملاً متفاوتی نسبت به یک کارمند معمولی دارد. تحلیلگر ممکن است ساعت‌ها بدون حرکت موس به یک پنجره کد اسمبلی خیره شود یا چندین ابزار تحلیل شبکه را همزمان اجرا کند. بدافزار با یادگیری الگوی “طبیعی” کاربر هدف، تنها زمانی فعال می‌شود که آن الگو برای مدتی طولانی و بدون وقفه تکرار شود؛ یعنی زمانی که مطمئن است سیستم در حالت استفاده روزمره قرار دارد، نه تحلیل.

ماشه بر اساس حسگرهای بیومتریک (Biometric Sensing Triggers): با فراگیر شدن حسگرهای اثر انگشت، دوربین‌های تشخیص چهره و میکروفون‌ها در دستگاه‌های امروزی، بُعد جدیدی از تهدیدات ظهور می‌کند. آیا یک بدافزار می‌تواند از طریق وب‌کم، حضور فیزیکی کاربر را تشخیص دهد اما با تحلیل صدای محیط (مثلاً سکوت مطلق یا صدای فن کامپیوتر) نتیجه بگیرد که کاربر پای سیستم نیست و این بهترین زمان برای حمله است؟ یا حتی فراتر از آن، با تحلیل نبض نوری بازتاب‌شده از صورت کاربر، سطح استرس او را بسنجد و در آرام‌ترین لحظات، حمله را آغاز کند؟

اینجاست که مرز بین امنیت سایبری و فیزیولوژی انسان شروع به محو شدن می‌کند.

آینده تحلیل بدافزار: هوش مصنوعی و نبرد با سایه‌ها

اگر بدافزارها بتوانند به چنین سطحی از آگاهی محیطی دست یابند، ما تحلیلگران نیز باید ابزارهای خود را تکامل دهیم. نبرد آینده، نبردی بر سر “توجه” خواهد بود.

تصور کنید بدافزاری طراحی شده که می‌تواند حالت‌های شناختی تحلیلگر را حس کند. این دیگر داستان علمی-تخیلی نیست. با ورود حسگرهای EEG (نوار مغزی) پوشیدنی یا دوربین‌های پیشرفته‌ی ردیابی چشم (Eye-Tracking) به محیط‌های کاری، این سناریو به واقعیت نزدیک‌تر می‌شود. بدافزار می‌تواند تشخیص دهد که آیا نگاه تحلیلگر برای مدتی طولانی بر روی پنجره‌ی دیباگر متمرکز شده یا اینکه آیا امواج مغزی او نشان‌دهنده‌ی تمرکز عمیق است یا حواس‌پرتی. در چنین شرایطی، بدافزار می‌تواند تا زمانی که تحلیلگر خسته، ناامید یا حواس‌پرت نشده، در حالت خفته باقی بماند.

در این آینده، هوش مصنوعی نقش دوگانه‌ای خواهد داشت: هم در خدمت مهاجمان برای ساخت بدافزارهای هوشمندتر و هم در خدمت مدافعان برای ساخت سندباکس‌هایی که دیگر یک محیط ایزوله و مرده نیستند، بلکه یک شبیه‌ساز کامل از رفتار انسان هستند. این سندباکس‌های نسل بعد، با استفاده از AI، الگوهای انسانی را تقلید می‌کنند، وب‌گردی می‌کنند، ایمیل می‌نویسند و حتی اشتباهات تایپی دارند تا بدافزار “کوانتومی” را فریب دهند و متقاعدش کنند که در یک محیط واقعی و بدون ناظر قرار دارد.

چالشی نو برای شکارچیان تهدید: چگونه چیزی را شکار کنیم که از دیده شدن می‌گریزد؟

این پارادایم جدید، شکار تهدید (Threat Hunting) مدرن را با یک چالش فلسفی و عملی مواجه می‌کند. ما همیشه به دنبال “نشانه” بوده‌ایم: یک فرآیند مشکوک، یک ترافیک شبکه غیرعادی، یک فایل ناشناخته. اما اگر بدافزار آینده هیچ نشانه‌ای از خود بروز ندهد تا زمانی که ما دست از جستجو برنداریم، رویکرد ما باید چگونه تغییر کند؟.......



ادامه در پست بعد👇👇👇

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

12 июня 2025 12:12

درفت مستند NIST برای حریم شخصی

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

10 июня 2025 14:38

اسپلانک را به روز کنید

#آکادمی_روزبه
مرکز تخصصی CISSP

https://cybersecuritynews.com/splunk-enterprise-xss-vulnerability/

آکادمی آموزش روزبه 📚

09 июня 2025 21:25

دوستان شبکه تون رو سگمنت کنید !!

امروز باز جایی رو IR داشتیم و چه راحت هکر Lateral move کرده بود.

آکادمی آموزش روزبه 📚

09 июня 2025 11:26

یک نکته کلیدی و تاثیرگذار درباره پیاده‌سازی SOAR اسپلانک

«کیفیت و استانداردسازی داده‌های ورودی» (Input Data Quality & Standardization) اهمیت حیاتی دارد.

چرا این نکته مهم‌ترین است؟

۱.ابزار SOAR بدون داده درست، کور است:
دریافت Eventهای بی‌کیفیت، ناقص یا غیرهمسان (مثلاً Syslog خام یا Logهای بدون ساختار درست Splunk CIM)، باعث می‌شود Playbookها یا به‌درستی تریگر نشوند، یا اکشن‌ها خطا دهند و اتوماسیون به هشدارهای اشتباه پاسخ‌ دهد. اسپلانک SOAR کاملاً روی هشدارهای SIEM (ES، UBA و…)، داده Assetها، Alert Enrichment و تسک‌های بعدی وابسته است.
۲.تنوع ساختار لاگ و وقایع:
در محیط‌هایی با محصولات متنوع امنیتی (Firewall، EDR، XDR، فروشنده‌های مختلف)، تفاوت در فرمت/کلیدهای داده یک چالش دائمی است. Playbookها بر اساس الگوهای داده طراحی می‌شوند؛ اگر ورودی استاندارد نباشد، کل عملیات مختل می‌شود.
۳.کد و منطق Playbook وابسته به Consistency:
حتی یک اختلاف کوچک در نام فیلد (source_ip vs src_ip)، باعث می‌شود بخش قابل توجهی از اتوماسیون عمل نکند.
۴.توسعه پایدار، مانیتورینگ و بهینه‌سازی:
اگر داده‌های ورودی درست Tag، Label و دسته‌بندی نشده باشند، گزارش‌گیری، Root Cause Analysis، و حتی آموزش Analystها دچار مشکل می‌شود.

راهکار عملی
قبل از هر چیز، روی CIM (Common Information Model) Splunk، صحت‌سنجی و فیلتر لاگ‌ها وقت بگذارید. اگر لازم شد، حتی تیمی برای Mapping و Refine کردن جریان عبوری داده ایجاد کنید. با این کار، Playbookهایت واقعا با هر Event جدید، پیش‌بینی‌پذیر و قابل اطمینان اجرا خواهند شد.
خلاصه:
اگر فقط یک درس مهم بخواهم بگم:
‌‌"اگر داده ورودی تمیز، کامل و استاندارد نباشد، اسپلانک SOAR هر چقدر هم پیشرفته باشد، عملاً کارایی خودش را از دست می‌دهد."


#آکادمی_روزبه
مرکز تخصصی CISSP