آکادمی آموزش روزبه 📚

28 June 2025 13:57

😢🔴
#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

28 June 2025 13:25

قسمت دوم از پست قبل


مثال‌های عملی: کاربرد لاگ‌های خاص در کشف تهدید
۱. Microsoft-Windows-Shell-Core/Operational

این کانال، به طور خاص رفتار پروسه‌هایی را جمع‌آوری می‌کند که با پایداری شروع به کار یا اجرا از مسیرهای حساس رجیستری (مانند Run یا RunOnce) دارند.

EID 9707:

این رویداد زمانی لاگ می‌شود که برنامه‌ای با استفاده از کلیدهای مذکور استارت می‌شود. در این لاگ، CommandLine کامل و اطلاعات اجرایی ثبت می‌شود؛ یک منبع بی‌نظیر برای شناسایی پایایی‌های ساده و رایج مانند Run Keys که مهاجمان برای باقی‌ماندن پس از ریبوت استفاده می‌کنند.

نمونه‌ی واقعی: مهاجمی که بدافزار خود را به CommandLine Run اضافه کند، حتی با پاکسازی سایر لاگ‌ها، این ایونت را در دیفالت‌ترین حالت خواهد داشت.

EID 9708:

خاتمه اجرای همان پروسه را با PID مربوط لاگ می‌کند. قابلیت “Correlation” با EID 9707 نه‌تنها طول عمر پروسه، بلکه بررسی آثار آن پس از اجرا را هم ممکن می‌کند.

EID 28115:

هر افزوده شدن شورتکات به App Resolver Cache را ارجاع می‌دهد—که معمولاً در نتیجه نصب برنامه‌ی جدید یا تکنیک‌های نصب سایلنت رخ می‌دهد. این event زمانی به‌کار می‌آید که رفتار غیرمنتظره نصب برنامه جدید را بدون دخالت کاربر می‌خواهیم کشف کنیم.

۲. Microsoft-Windows-WinINet-Config/ProxyConfigChanged

این منبع برای تمامی تغییرات در تنظیمات Proxy (سیستم یا مرورگر) دارای EID 5600 است.

اهمیت آن چیست؟

مهاجم برای پنهان‌کاری فعالیت، عبور ترافیک به سرور فرماندهی یا دور زدن فیلترینگ داخلی ممکن است پروکسی را تغییر دهد. چنین رویدادی، که معمولاً در لاگ‌گیری سنتی فایروال یا آنتی‌ویروس منعکس نمی‌شود، می‌تواند نقطه شروع تحلیل تفصیلی باشد.

استفاده عملی:

در پیگیری حمله، مشاهده چندین تغییر ProxyConfig بدون دلیل موجه یا همراه شدن با اجرای سیستم‌های ناشناس، قرینه بارزی از فعالیت C2 یا Exfiltration است.


۳. سایر منابع کارآمد برای SOC و Forensic

Microsoft-Windows-TaskScheduler/Operational

هرنوع اصلاح، حذف، فعال/غیرفعال کردن یا اجرای زمان‌بندی‌شده jobs را ثبت می‌کند. بسیار کاربردی برای کشف Techniques like Scheduled Task Persistence/T1053.

Microsoft-Windows-VHDMP-Operational

تمامی نصب (Mount) یا جداسازی (Unmount) دیسک‌های مجازی (VHD/VHDX) را با جزییات ثبت می‌کند. برخی بدافزارها یا مهاجمان برای مخفی کردن داده یا اجرای ابزار محافظت‌شده از این تکنیک بهره می‌برند.

Microsoft-Windows-AppModel-Runtime/Operational

رویدادهای مرتبط با اجرا، نصب، و به‌روزرسانی پکیج‌های برنامه‌های مدرن ویندوز (UWP/Store apps) را نگهداری می‌کند که در حملات مبتنی بر App Sideloading یا برنامه‌های خاص اهمیت دارد.



#آکادمی_روزبه
مرکز تخصصی CISSP


ادامه دارد ....

آکادمی آموزش روزبه 📚

27 June 2025 17:17

#موقت

🌀مداخلات روانشناسانه
برای افزایش بهره وری در SOC
شرکت هامون

✍تدوین: روزبه نوروزی با همیاری مشاور منابع انسانی شرکت هامون


فرسودگی شغلی (Burnout) در تیم‌های مرکز عملیات امنیت (SOC): یک بررسی روان‌شناختی

چکیده

فرسودگی شغلی (Burnout) یکی از پدیده‌های روان‌شناختی شایع در مشاغل پرتنش است که می‌تواند سلامت روانی و عملکرد حرفه‌ای افراد را تهدید کند. متخصصان مرکز عملیات امنیت (Security Operations Center - SOC)، که وظیفه پایش، تحلیل و پاسخ به تهدیدات سایبری را دارند، به دلیل ماهیت حساس، استرس‌زا و دائمی کار خود، در معرض سطوح بالایی از فرسودگی شغلی قرار می‌گیرند. این مقاله به بررسی عوامل روان‌شناختی مؤثر بر بروز Burnout در تیم‌های SOC، پیامدهای آن بر سلامت روان و بهره‌وری سازمانی، و راهکارهای مداخله‌ای می‌پردازد.

مقدمه

فرسودگی شغلی، مفهومی که نخستین‌بار توسط فرویدنبرگر (1974) مطرح شد، به‌عنوان یک واکنش روان‌شناختی به استرس مزمن شغلی تعریف می‌شود و شامل سه بعد اصلی است: خستگی هیجانی (Emotional Exhaustion)، مسخ شخصیت (Depersonalization) و کاهش احساس موفقیت فردی (Reduced Personal Accomplishment) (Maslach & Jackson, 1981).

در سال‌های اخیر، با افزایش حملات سایبری و پیچیدگی تهدیدات، فشار روانی بر متخصصان امنیت سایبری، به‌ویژه کارکنان SOC، افزایش یافته است. این تیم‌ها غالباً به‌صورت 24/7 در محیط‌هایی با ریسک بالا، حجم کاری سنگین و الزامات پاسخ سریع فعالیت می‌کنند که زمینه‌ساز فرسودگی شغلی است.

عوامل روان‌شناختی مؤثر بر Burnout در تیم‌های SOC

1. استرس شغلی مزمن:
کارکنان SOC به‌طور مداوم با حجم زیادی از هشدارهای امنیتی، تصمیم‌گیری‌های سریع و موقعیت‌های بحرانی مواجه‌اند. این شرایط، استرس شغلی را به‌صورت مزمن افزایش می‌دهد که مطابق با نظریه استرس لازاروس و فولکمن (1984)، اگر منابع مقابله‌ای ناکافی باشد، منجر به آسیب روانی می‌شود.

2. خستگی تصمیم‌گیری (Decision Fatigue):
موقعیت‌های پیچیده و مبهم در SOC، مستلزم تصمیم‌گیری‌های پی‌درپی است. خستگی تصمیم‌گیری به‌عنوان عامل فرسودگی روان‌شناختی و کاهش بهره‌وری در این محیط‌ها شناخته می‌شود.

3. کار شیفتی و اختلالات خواب:
مطالعات نشان داده‌اند که کار در شیفت‌های شبانه یا نامنظم با افزایش اختلالات خواب، کاهش کیفیت زندگی و افزایش ریسک افسردگی و اضطراب مرتبط است (Åkerstedt, 2003). این موضوع در تیم‌های SOC بسیار رایج است.

4. اثر تونل دید (Tunnel Vision) و تکرارپذیری بالا:
ماهیت کار تکراری، بررسی رویدادهای مشابه و نگاه محدود به تهدیدات می‌تواند باعث کاهش انگیزش درونی و احساس یکنواختی شود که از عوامل روان‌شناختی مهم در ایجاد Burnout است.

5. نبود بازخورد مثبت و قدردانی:
مطابق نظریه خودتعیینی (Deci & Ryan, 1985)، نیاز به شایستگی و قدردانی در محیط کار، نقش مهمی در سلامت روان ایفا می‌کند. در بسیاری از موارد، عملکرد تیم‌های SOC زمانی دیده می‌شود که شکست رخ دهد، نه زمانی که موفقیت در پیشگیری حاصل شده است.

پیامدهای روان‌شناختی و سازمانی Burnout در SOC

افزایش اضطراب، افسردگی و اختلالات روان‌تنی

افت کیفیت تصمیم‌گیری و افزایش خطاهای انسانی

کاهش رضایت شغلی و افزایش نرخ ترک خدمت (Turnover)

تضعیف کار تیمی و افزایش تعارضات بین‌فردی

تهدید مستقیم برای امنیت سایبری سازمان به‌دلیل کاهش بهره‌وری

رویکردهای روان‌شناختی برای پیشگیری و مداخله

1. مداخلات شناختی-رفتاری (CBT):
برگزاری کارگاه‌های CBT برای مدیریت استرس، افزایش تاب‌آوری روانی و اصلاح سبک‌های شناختی منفی در کارکنان.

2. بهینه‌سازی نظام شیفت‌بندی:
استفاده از اصول روان‌شناسی خواب برای طراحی شیفت‌های کاری که کمترین آسیب را به سلامت جسم و روان وارد کند.

3. ایجاد فرهنگ قدردانی و بازخورد مثبت:
پیاده‌سازی سیستم‌های انگیزشی بر اساس رویکردهای روان‌شناسی سازمانی برای افزایش احساس ارزشمندی و تعلق سازمانی.

4. آموزش مهارت‌های خودمراقبتی:
تقویت آگاهی کارکنان نسبت به اهمیت خواب، تغذیه سالم، فعالیت بدنی و مراقبت روانی فردی.

5. غربالگری و پایش سلامت روان:
استفاده از ابزارهای روان‌سنجی معتبر مانند پرسشنامه Maslach Burnout Inventory (MBI) برای شناسایی زودهنگام نشانه‌های فرسودگی و ارجاع به مداخلات تخصصی.

نتیجه‌گیری

فرسودگی شغلی در تیم‌های SOC یک پدیده چندعاملی با ابعاد روان‌شناختی عمیق است که پیامدهای فردی و سازمانی گسترده‌ای دارد. رویکردهای پیشگیرانه و مداخله‌ای مبتنی بر روان‌شناسی می‌توانند نقش مهمی در ارتقاء سلامت روان، افزایش بهره‌وری و کاهش ریسک‌های امنیتی ایفا کنند. توجه به این ابعاد برای سازمان‌های مدرن با زیرساخت‌های حیاتی، امری ضروری است.


💫شرکت پیشگامان فناوری اطلاعات هامون
Www.haumoun.com

آکادمی آموزش روزبه 📚

27 June 2025 15:42

تحلیلی امنیتی بر برنامه “OpenAI for Countries”
نگاه استراتژیک به رقابت هوش مصنوعی و پیامدهای امنیت ملی


مقدمه
در حالی‌که رقابت بین‌المللی در حوزه هوش مصنوعی (AI) شدت می‌گیرد، شرکت OpenAI به‌عنوان یکی از رهبران فناوری جهان، برنامه‌ای موسوم به “OpenAI for Countries” معرفی کرده است. این برنامه پاسخی مستقیم به پیشروی فزاینده چین در عرصه AI، مخصوصاً در بازارهای نوظهور آسیایی، آفریقایی و خاورمیانه است.
اما این پروژه تنها جنبه اقتصادی یا فناورانه ندارد؛ بلکه به‌طور مستقیم با امنیت ملی، حفاظت داده‌ها، استقلال سایبری و رقابت ژئوپلیتیکی گره خورده است.
اهداف آشکار و پنهان “OpenAI for Countries”
اهداف آشکار:
گسترش دسترسی کشورهای مختلف به مدل‌های زبانی پیشرفته (مانند GPT)
کمک به رشد زیرساخت‌های فناوری در کشورهای در حال توسعه
ارائه سرویس‌های شخصی‌سازی شده با توجه به نیازهای هر کشور
اهداف پنهان یا استراتژیک:
مهار نفوذ فناوری‌های چینی مانند Zhipu AI و DeepSeek در بازارهای حساس
جلوگیری از تسلط چین بر استانداردهای AI در کشورهای فاقد زیرساخت بومی
ایجاد نوعی “وابستگی نرم” به اکوسیستم OpenAI برای کنترل غیرمستقیم فضای داده و مدل‌های زبانی
ریسک‌ها و ملاحظات امنیتی مرتبط
۱. کنترل داده و حاکمیت ملی
با ورود OpenAI به زیرساخت‌های فناوری یک کشور، ممکن است داده‌های حساس یا استراتژیک در معرض تحلیل و پردازش خارجی قرار گیرد. حتی اگر داده‌ها در همان کشور باقی بماند، وابستگی به مدل‌های خارجی، ریسک‌های حاکمیت سایبری را افزایش می‌دهد.
۲. تقابل ژئوپلیتیکی هوش مصنوعی
برنامه‌هایی مانند “OpenAI for Countries” به نوعی جنگ سرد فناوری دامن می‌زنند؛ کشورها باید بین اکوسیستم‌های غربی (OpenAI، Google DeepMind) و شرقی (Zhipu، Baidu، DeepSeek) انتخاب کنند که این تقسیم‌بندی ممکن است منجر به بلوک‌بندی‌های امنیتی و اقتصادی جدید شود.
۳. پنهان‌سازی قابلیت‌های جاسوسی
همانطور که نگرانی‌ها در مورد ابزارهای چینی (مثل Huawei یا Zhipu) مطرح است، برخی کشورها ممکن است به OpenAI نیز با تردید نگاه کنند. هرچند OpenAI خود را به‌عنوان سازمانی مستقل معرفی می‌کند، اما نفوذ سیاسی و تعامل آن با دولت آمریکا انکارناپذیر است.
۴. رقابت بر سر استانداردها = رقابت بر سر کنترل
استانداردهای اخلاقی، امنیتی و فنی AI نقش حیاتی در شکل‌دهی آینده فناوری دارند. اگر OpenAI بتواند استانداردهای خود را در کشورهای در حال توسعه جا بیندازد، کنترل بلندمدت بر ساختار تصمیم‌گیری فناورانه آن کشورها را در اختیار خواهد داشت.
نتیجه‌گیری: فرصت یا تهدید؟
برنامه “OpenAI for Countries” در ظاهر یک پروژه توسعه‌ای و فناورانه است، اما در بطن آن یک نبرد پیچیده امنیتی، سیاسی و اقتصادی جریان دارد. برای کشورهای هدف، این برنامه می‌تواند:
✅ فرصت رشد سریع فناوری و بهره‌مندی از هوش مصنوعی پیشرفته را فراهم کند
⚠️ اما هم‌زمان، ریسک‌های مرتبط با وابستگی فناورانه، از دست دادن کنترل داده‌ها و افت استقلال سایبری را افزایش می‌دهد
پیشنهاد به تصمیم‌گیرندگان امنیتی
کشورهایی که هدف این برنامه هستند باید:
بررسی‌های عمیق امنیتی و حقوقی انجام دهند
سیاست‌های حفاظت از داده و حاکمیت سایبری را شفاف تدوین کنند
با دقت بین مزایا و تهدیدهای ناشی از ورود اکوسیستم‌های خارجی، به‌ویژه در حوزه AI، تعادل برقرار کنند

#آکادمی_روزبه

آکادمی آموزش روزبه 📚

27 June 2025 14:21

ارزیابی ریسک امنیت هوش مصنوعی

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

27 June 2025 12:48

دوره های اسپلانک و هانت

رایگان
آقای میراسداللهی

https://www.udemy.com/course/soc-cybersecurity-threat-hunting-with-splunk/?couponCode=1871A1F1633C4220B96F


https://www.udemy.com/course/threat-hunting-with-data-science-and-splunk-for-beginners/?couponCode=7A8D11541D311F4CF03B

آکادمی آموزش روزبه 📚

25 June 2025 19:24

احمد صبحي علی با پروژه لینک زیر نشان داده ساخت یک pipeline کامل SIEM در پایتون امکان‌پذیر و قابل فهم است. از collection تا alert، همه کنترل در اختیار شماست. اگر قصد دارید تفاوت بین rule-based و AI-driven detection را به‌صورت عملی ببینید، یا می‌خواهید سیستم قابل ارتقا و self-hosted داشته باشید، این مقاله الهام‌بخش و کاربردی است.

#آکادمی_روزبه
مرکز تخصصی CISSP


ahmedsobhialii/demystifying-siem-how-i-built-a-real-time-ai-detection-pipeline-in-pure-python-24ee10974587" rel="nofollow">https://medium.com/@ahmedsobhialii/demystifying-siem-how-i-built-a-real-time-ai-detection-pipeline-in-pure-python-24ee10974587

آکادمی آموزش روزبه 📚

25 June 2025 15:17

دفترچه تحلیل ایمیل‌

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

25 June 2025 09:29

پولامون رو کی میتونیم برداریم ؟
پولهامون رو به کدوم بانک انتقال بدیم ؟

سوالی که دم به ساعت مردم با استرس ازم میپرسن

همینقدر زیبا !! مسوولین امنیت بانک‌ها؛ امنیت روانی برای مردم ایجاد کردن

آکادمی آموزش روزبه 📚

25 June 2025 08:26

اسکریپت های ارتقای دسترسی

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

25 June 2025 07:19

تحلیل آکادمیک آسیب‌پذیری‌های موتور اسکن و شبیه‌سازی Microsoft Defender با استفاده از Snapshot Fuzzing
مطالعه موردی بر اساس گزارش InfoGuard Labs

مقدمه

ابزارهای ضد بدافزار و سیستم‌های EDR (Endpoint Detection and Response) مدت‌هاست به‌عنوان اجزای اصلی امنیت سایبری سازمان‌ها شناخته می‌شوند. با این حال، پیچیدگی ذاتی این ابزارها و تعامل مستقیم آن‌ها با داده‌های غیرقابل اعتماد، سبب می‌شود که خود به هدف بالقوه‌ای برای حملات تبدیل شوند.

در این زمینه، پژوهش اخیر منتشر شده در وب‌سایت InfoGuard Labs تحت عنوان Attacking EDR - Part 4: Fuzzing Defender Scanning and Emulation Engine، نمونه‌ای ارزشمند از بررسی امنیتی دقیق یکی از پرکاربردترین آنتی‌ویروس‌های جهان یعنی Microsoft Defender است. این تحقیق نشان می‌دهد که چگونه می‌توان با استفاده از تکنیک‌های Fuzzing پیشرفته، آسیب‌پذیری‌های حیاتی در موتور اسکن و شبیه‌ساز Defender کشف و بهره‌برداری کرد.

این مقاله با رویکردی تحلیلی و آکادمیک به بررسی ساختار، روش‌ها و یافته‌های این پژوهش می‌پردازد و در نهایت، ابعاد امنیتی و راهکارهای پیشنهادی را واکاوی می‌کند.

⏮️یافته‌های فنی و آسیب‌پذیری‌های کشف‌شده

در مجموع، این تحقیق منجر به کشف ۹ آسیب‌پذیری حافظه در Microsoft Defender شد. دسته‌بندی کلی این باگ‌ها:

Out-of-Bounds Read (خواندن داده خارج از محدوده مجاز حافظه)

Null Pointer Dereference (ارجاع به اشاره‌گر تهی)

Crashهای کنترل‌شده در تعامل با فرمت‌های خاص فایل

↩️ تحلیل امنیتی: پیامدهای عملی و تهدیدات بالقوه

اگرچه اکثر آسیب‌پذیری‌های کشف‌شده در این پروژه منجر به اجرای مستقیم کد مخرب (RCE) نمی‌شوند، اما اثرگذاری آن‌ها در سناریوهای زیر مشهود است:

حملات DoS علیه Defender: ارسال فایل‌های خاص باعث کرش موتور شده و در این بازه زمانی سیستم بدون محافظ باقی می‌ماند.

دور زدن EDR در حملات زنجیره‌ای: مهاجمان ابتدا Defender را غیرفعال و سپس ابزارهای پیچیده‌تر را اجرا می‌کنند.

سوءاستفاده در محیط‌های ایزوله (Sandbox): برخی باگ‌ها می‌توانند باعث اختلال در تحلیل رفتاری بدافزار در محیط‌های مجازی شوند.

این موضوع یادآور اصل «Defensive Depth» است که نشان می‌دهد تکیه صرف بر یک ابزار امنیتی کافی نیست و باید چندین لایه حفاظتی هم‌پوشانی داشته باشند.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://labs.infoguard.ch/posts/attacking_edr_part4_fuzzing_defender_scanning_and_emulation_engine/

آکادمی آموزش روزبه 📚

24 June 2025 16:53

#موقت

خوبه این وسطه هم یادی کنیم از روسیه و چین که نه در هنگام حملات کمکی کردند نه در آتش بس نقشی داشتند و ضمنا جزایر ایرانی رو هم واسه ما نمیدونن!!

پس به عزیزان فنی بگم :
لطفا به سمت این دوتا غش نکنیم و ببینیم صلاح مملکت چیه

آکادمی آموزش روزبه 📚

24 June 2025 15:12

بررسی تکنیک فراخوانی توابع DLL با Ordinal: تهدیدی پنهان در حملات مبتنی بر LOLBIN

در فضای امنیت سایبری، یکی از روش‌های زیرکانه که مهاجمان و بدافزارها برای پنهان‌کاری استفاده می‌کنند، فراخوانی توابع یک DLL با استفاده از شماره ترتیبی (Ordinal) به‌جای نام تابع است. این تکنیک عمدتاً در سوءاستفاده از LOLBINها (ابزارهای بومی سیستم‌عامل که برای اهداف مخرب به کار گرفته می‌شوند) دیده می‌شود.

برای مثال، در دستور زیر:

rundll32.exe comsvcs.dll,#24

تابع شماره ۲۴ از فایل comsvcs.dll اجرا می‌شود. اگر تحلیل‌گر نداند این شماره به چه تابعی اشاره دارد، عملاً درک دقیقی از عملکرد این دستور نخواهد داشت. در این مثال، شماره ۲۴ معمولاً به تابع MiniDumpW مربوط است که برای استخراج حافظه فرآیندهایی مانند LSASS به‌کار می‌رود و می‌تواند منجر به سرقت رمزهای عبور شود.

مهم‌ترین چالش این تکنیک، عدم شفافیت آن است. نام تابع نمایش داده نمی‌شود و ابزارهای پایش ساده یا بررسی‌های سطحی نمی‌توانند رفتار واقعی فراخوانی را تشخیص دهند. مهاجمان می‌توانند:

توابع مخرب را با ظاهری بی‌خطر فراخوانی کنند.

وDLLهای جعلی ایجاد کنند که ظاهر و نام مشابه دارند اما رفتار داخلی کاملاً متفاوت است.

از این طریق ابزارهای دفاعی مبتنی بر تشخیص مبتنی بر نام تابع را دور بزنند.

برای مقابله با این روش، اسکریپت‌های تحلیلی مانند PowerShell معرفی‌شده در این زمینه، جدول صادرات (Export Address Table) DLL را استخراج می‌کنند و با نگاشت اعداد Ordinal به نام توابع واقعی، امکان تحلیل دقیق را فراهم می‌کنند.

جمع‌بندی:
این تکنیک یک روش کلاسیک برای استتار اقدامات مخرب است که در ترکیب با LOLBINها یا DLLهای جعلی، می‌تواند امنیت سازمان‌ها را تهدید کند. بنابراین، تحلیل عمیق فراخوانی‌های DLL و داشتن ابزارهای مناسب برای ترجمه Ordinal به نام تابع، برای تیم‌های شکار تهدید و تحلیل بدافزار ضروری است.


#آکادمی_روزبه
مرکز تخصصی CISSP



نمونه کد


# مسیر DLL هدف را مشخص کنید
$dllPath = "C:\Windows\System32\comsvcs.dll"

# بارگذاری DLL با استفاده از Reflection
Add-Type @"
using System;
using System.Runtime.InteropServices;

public class NativeMethods {
[DllImport("kernel32.dll", CharSet = CharSet.Auto)]
public static extern IntPtr LoadLibrary(string lpFileName);

[DllImport("kernel32.dll", CharSet = CharSet.Auto)]
public static extern IntPtr GetProcAddress(IntPtr hModule, IntPtr ordinal);
}
"@

# بارگذاری DLL
$dllHandle = [NativeMethods]::LoadLibrary($dllPath)

if ($dllHandle -eq 0) {
Write-Host "خطا در بارگذاری DLL"
exit
}

# حلقه برای بررسی تعدادی Ordinal (مثلاً 1 تا 50)
1..50 | ForEach-Object {
$ordinal = $_
$ordinalPtr = [IntPtr]::op_Explicit($ordinal)

$procAddress = [NativeMethods]::GetProcAddress($dll

آکادمی آموزش روزبه 📚

24 June 2025 09:36

هرچی فکر میکنم میبینم جای یه تبریک به مردم ایران بابت آتش بس و رسیدن به آرامش خالیه 💐🌹

انشالله روال زندگی عادی براتون جاری بشه

این تبریک رو خصوصا برای اقشار جامعه که در لبه های خطرناک اقتصادی قراردارند تقدیم میکنم؛
امیدوارم زندگیشون به حالت عادی برگرده و مثلا اگر بیکار شدن برگردن سر کار یا حقوق عقب مانده پرداخت بشه و کالای مورد نیازشون رو داشته باشند .

روزبه نوروزی
سوم تیرماه ۱۴۰۴
Www.Roozbeh.academy
#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

23 June 2025 19:58

چرا Live Forensics اهمیت دارد؟

در بسیاری از موارد، پس از اعلام وقوع جرم روی یک رایانه و موبایل یا نفوذ بدافزار ؛ خاموش کردن سیستم یا دستکاری فیزیکی آن می‌تواند منجر به از دست رفتن داده‌های مهم یا تغییر در ساختار شواهد شود. برای مثال:

مهاجم ممکن است مکانیزم‌هایی طراحی کرده باشد که با خاموش شدن سیستم، آثار حمله حذف شوند.

برخی شواهد مانند اطلاعات RAM فقط در زمان اجرا قابل دسترسی هستند.

خاموش کردن سرورهای حیاتی می‌تواند آسیب‌های جدی به کسب‌وکار وارد کند.

بنابراین تحلیل زنده بهترین گزینه برای حفظ یکپارچگی داده‌ها و انجام بررسی سریع است. یعنی شکافتن بدن رایانه درحالت زنده!!

چالش‌ها و ملاحظات

اگرچه Live Forensics ابزار قدرتمندی است، اما نیازمند رعایت دقت بالاست. هرگونه اقدام نادرست می‌تواند موجب تغییر در وضعیت سیستم شده یا اعتبار شواهد را زیر سؤال ببرد. به همین دلیل، کارشناسان باید از ابزارهای Read-Only استفاده کرده و هر قدم را مستند کنند.


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

28 June 2025 13:31

قسمت سوم از مقاله فوق


چالش‌ها و فرصت‌ها در تحلیل لاگ‌های فرعی

۱. حجم و پیچیدگی:

برخلاف System/Security که تقریباً همه با فرمت و ساختارشان آشنا هستند، لاگ‌های Operational دارای رویدادهای خاص و بعضاً مستندسازی ناقص‌اند. این مسأله فرآیند Query نویسی و Hunting را دشوار می‌کند و نیاز به دانش پیش‌زمینه یا تمرین عملی دارد.

۲. نبود ابزار تخصصی:

ابزارهایی مانند SIEMها یا EDRهای آماده عموماً Query و Detection پیش‌ساخته برای این منابع ندارند، پس تحلیلگر باید خود الگو و KQL/Splunk Query اختصاصی بنویسد.

۳. ارزش عملیاتی:

وقتی سیستم هدف تحت لاگ‌گیری مینیمال یا کانفیگ پیش‌فرض است، داشتن حتی یک سرنخ در این لاگ‌ها می‌تواند بازی را عوض کند. فضای فکری مهم: “دنبال چی بگردیم”، و “این لاگ خاص، سرنخ کدام رفتار مهاجم است؟”


توصیه‌های عملی برای بهره‌برداری بهتر در SOC/DFIR

۱. مطالعه، مستندسازی و جمع آوری لیست Event IDهای مهم هر لاگ فرعی. این داده را با فعال‌سازی lab یا ساخت سناریوهای Red Team/Blue Team توسعه بدهید.

۲. ایجاد Query و تقاطع زمانی میان این لاگ‌ها با لاگ‌های اصلی. مثلاً تطبیق WinINet Proxy Change با اجرای مشکوک، یا محاسبه gap بین EID 9707 و 9708 برای کشف اجرای بدافزار زمانبر.

۳. تهیه Alert Template سفارشی بر اساس Use Case سازمان؛ مثلاً لاگ Run/RunOnce فقط در سرور خاص اصلاً نباید رخ دهد، پس آن‌را Alert کنید.

۴. مطالعه لاگ‌های ناشناخته، تمرین تحلیل Event Raw و ساخت نمودار Correlation در کلاس، بدیهی است دانشجویان علاوه بر Detection Engineering، ذهنیت Forensic تفکیکی و کاربردی پیدا کنند.

۵. ساخت سناریو برای Incident Response که در آن فقط به این لاگ‌ها دسترسی دارند (Fail-Safe Labs) تا قدرت تحلیل عمیق در شرایط کمبود داده افزایش یابد.


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

28 June 2025 11:01

اهمیت لاگ‌های کمتر شناخته‌شده ویندوز در کشف تهدید و تحلیل Forensic

روزبه نوروزی

بخش اول


مقدمه

یکی از مهم‌ترین مهارت‌های تحلیل‌گران امنیتی و تیم‌های SOC، توانایی به “درست دیدن” و “درست پرسیدن” سوال‌های جست‌وجو در داده‌های عظیم است. بخش عمده‌ای از این داده‌ها در اکوسیستم ویندوزی، مربوط به رویدادها و لاگ‌هایی است که سیستم‌عامل به طور مستمر در پس‌زمینه جمع‌آوری می‌کند. معمولاً قضاوت درباره ارزش این لاگ‌ها به سه دسته اصلی System، Application و Security خلاصه می‌شود؛ اما ویندوز فراتر از این سه، ده‌ها کانال و منبع دیگر برای لاگ‌نویسی دارد که عمدتاً دست‌نخورده و ناشناخته باقی می‌مانند—درحالی‌که همین لاگ‌های “کمتر شناخته‌شده” می‌توانند سرنوشت یک تحقیقات Forensic یا فرآیند شکار تهدید (Threat Hunting) را دگرگون کنند.
ساختار و تنوع لاگ‌های ویندوز

هر سیستم ویندوزی به‌طور متوسط شامل ده‌ها لاگ فعال است که در مسیرهای مختلف Event Viewer طبقه‌بندی شده‌اند. علاوه بر “سه گانه کلاسیک” (System, Application, Security)، انواع Operational و Diagnostic نیز وجود دارند که عموماً برای عیب‌یابی، توسعه نرم‌افزار، تحلیل عملکرد یا بررسی رویدادهای سیستمی خاص نوشته می‌شوند.

این لاگ‌ها دارای سطح دسترسی و پراکندگی متفاوتی‌اند؛ برخی فقط با سطح Administrator قابل مشاهده‌اند و برخی صرفاً در قالب لاگ ماشین (Machine-level) ذخیره می‌شوند. نکته کلیدی اینجاست که در بسیاری از سازمان‌ها به علت عدم آگاهی یا کم‌اهمیت فرض کردن این منابع، بررسی آن‌ها نادیده گرفته شده و ریسک “دیدن تنها نوک کوه یخ فعالیت مهاجم” وجود دارد.
کمبود لاگ، طلای پنهان: چرا باید سراغ منابع غیراستاندارد رفت؟

در بسیاری از حملات، مهاجمین آگاهانه تلاش می‌کنند ردپای خود را در لاگ‌های اصلی پاک کنند، یا برای مدت کوتاهی حضور خود را مخفی نگه‌دارند. همچنین در محیط‌های عملیاتی و سیستم‌هایی که لاگ‌گیری کامل یا ابزارهای EDR پیشرفته ندارند—مثلاً شبکه‌های صنعتی قدیمی یا بخش‌هایی از نیم‌سازمان‌های دولتی—اتکا به منابع پیش‌فرض و افزونه نشده، اجتناب‌ناپذیر است.

در اینجاست که مرور و تحلیل Event Logهای فرعی مانند Shell-Core، AppModel-Runtime، TaskScheduler، VHDMP و غیره به عنوان «طلای پنهان» قابلیت استناد و اعتماد بالقوه را پیدا می‌کند.

پایان بخش اول


#آکادمی_روزبه
مرکز تخصصی CISSP


این مقاله ادامه دارد ....

آکادمی آموزش روزبه 📚

27 June 2025 15:50

تحلیل استراتژیک: چین در برابر بلوک غرب در حوزه هوش مصنوعی

مقدمه
در رقابت جهانی بر سر تسلط بر فناوری هوش مصنوعی، آمریکا سال‌هاست که با تکیه بر انحصار تولید سخت‌افزارهای پیشرفته، از جمله تراشه‌های گرافیکی (GPU) و شتاب‌دهنده‌های یادگیری ماشین، برتری فنی خود را حفظ کرده است. با این حال، چین با درک محدودیت‌های سخت‌افزاری و تحریم‌های خارجی، مسیر متفاوت و هوشمندانه‌ای را انتخاب کرده است: بهینه‌سازی نرم‌افزار و مدل‌های زبانی برای بهره‌وری حداکثری از منابع محدود.

این تغییر استراتژیک، معادلات قدرت در حوزه AI را وارد مرحله جدیدی می‌کند که فراتر از بحث‌های فناورانه، اثرات مستقیم بر امنیت ملی، رقابت اقتصادی و نفوذ ژئوپلیتیکی دارد.

استراتژی چین: غلبه بر محدودیت سخت‌افزار با ابزار نرم‌افزار
چین با بهره‌گیری از تکنیک‌های پیشرفته مانند:
✅ Quantization (کوانتایزیشن) — کاهش دقت محاسبات برای مصرف کمتر منابع
✅ Distillation (استخراج دانش) — انتقال قابلیت‌های مدل‌های عظیم به نسخه‌های سبک و سریع
✅ Model Optimization (بهینه‌سازی مدل‌ها) — بازطراحی معماری مدل برای اجرا روی سخت‌افزار ضعیف‌تر

توانسته فاصله خود را با بازیگران غربی کاهش دهد و در بسیاری از بازارهای کلیدی، رقابت جدی ایجاد کند.

ابعاد ژئوپلیتیکی و امنیتی این رویکرد
۱. خنثی‌سازی تحریم‌های فناورانه آمریکا
تحریم صادرات چیپ‌های پیشرفته به چین، اثرگذاری خود را از دست می‌دهد اگر چین بتواند با منابع موجود، مدل‌های کارآمد توسعه دهد.
این روند استقلال فناوری چین را تقویت و مقاومت آن را در برابر فشارهای خارجی افزایش می‌دهد.
۲. ایجاد اکوسیستم مستقل و بومی
مدل‌های فشرده و بهینه‌شده نیازی به دیتاسنترهای عظیم یا زیرساخت‌های غربی ندارند.
این به چین اجازه می‌دهد زنجیره فناوری AI را به‌صورت کامل در داخل کنترل کند؛ موضوعی که از منظر امنیت ملی، مزیت حیاتی محسوب می‌شود.
۳. افزایش قدرت نفوذ در کشورهای در حال توسعه
مدل‌های سبک، کم‌هزینه و قابل‌اجرا روی سخت‌افزار متوسط، امکان استقرار سریع AI چینی در آفریقا، خاورمیانه و آسیا را فراهم می‌کند.
این نفوذ فناورانه می‌تواند در بلندمدت به وابستگی تکنولوژیک و تاثیرگذاری سیاسی منجر شود.
۴. تهدید بلندمدت برای انحصار فناوری غرب
اگر چین موفق شود مدل‌هایی با عملکرد بالا و مصرف پایین توسعه دهد، مزیت سخت‌افزاری غرب تضعیف خواهد شد.
این شکستن انحصار می‌تواند توزیع قدرت در حوزه فناوری را متحول و موازنه ژئوپلیتیکی را تغییر دهد.

جمع‌بندی استراتژیک
تحلیل وضعیت کنونی نشان می‌دهد که نبرد هوش مصنوعی دیگر صرفاً بر سر قدرت پردازشی نیست، بلکه وارد مرحله‌ای شده که:
✅ هوش در مدیریت منابع، به‌اندازه توان پردازش حیاتی است
✅ سیاست‌های تحریم و کنترل صادرات بدون استراتژی نرم‌افزاری مکمل، اثر بلندمدت نخواهند داشت
✅ کشورهایی که قادرند با بهینه‌سازی، محدودیت‌های زیرساختی را دور بزنند، شانس بیشتری برای استقلال فناوری دارند
چین دقیقاً در این مسیر حرکت می‌کند و این روند، چالش‌های جدیدی را برای کشورهای غربی و همچنین بازیگران جهان سوم ایجاد خواهد کرد.


#آکادمی_روزبه

آکادمی آموزش روزبه 📚

27 June 2025 15:12

تزریق ترس یا آرامش ؟

تحلیل استراتژیک: اثرات روانی جنگ‌های ترکیبی و نقش مدیران امنیت در کنترل فضای ترس

در محیط پیچیده جنگ‌های نوین که حملات سایبری، عملیات روانی و درگیری‌های فیزیکی هم‌زمان رخ می‌دهد، مدیران امنیت سازمان‌ها با مسئولیت دوگانه روبه‌رو هستند: افزایش آمادگی فنی و مدیریت روانی سازمان.

بخش اول: ضرورت ارتقاء آماده‌باش و حساسیت فنی
مطالعات میدانی و تجربیات جنگ‌های اخیر (مانند بحران‌های اوکراین، خاورمیانه و تنش‌های سایبری چین-آمریکا و ایران-اسراییل) نشان می‌دهد:
✅ حملات سایبری در دوران «آتش‌بس رسمی» به‌طور پنهان افزایش می‌یابد،
✅ عملیات نفوذ و جاسوسی زیرساختی در پوشش صلح یا مذاکرات شدت می‌گیرد،
✅ گروه‌های وابسته به دولت‌ها (APTها) از فرصت کاهش هوشیاری برای کاشت Backdoor یا خرابکاری‌های خاموش استفاده می‌کنند.
در چنین شرایطی، کاهش حساسیت تیم‌های فنی به بهانه آرامش نسبی، خطرناک‌ترین اشتباه راهبردی است. مدیر امنیت موظف است حتی در دوره‌های ظاهراً کم‌تنش:
✔ سطح بررسی رخدادها و هشدارها را حفظ کند،
✔ شکار تهدیدات پیشرفته (Threat Hunting) را متوقف نکند،
✔ سناریوهای بحران و رزمایش‌های امنیتی را ادامه دهد.


بخش دوم: خطرات بزرگ‌نمایی تهدید و فضای روانی ناپایدار

اما افزایش بی‌رویه فضای ترس نیز پیامدهای منفی دارد:
❌ فرسودگی روانی تیم‌های عملیاتی (Burnout)،
❌ افزایش نرخ اشتباهات انسانی ناشی از استرس،
❌ افت بهره‌وری سازمان به دلیل اضطراب مداوم،
❌ بی‌اعتمادی داخلی و بروز اختلافات میان تیم‌ها.
تجربه نشان داده، در بسیاری از موارد، فضاهای بیش‌ازحد امنیتی که بدون چارچوب منطقی اعمال می‌شوند، خود به تهدیدی برای سلامت سازمان و کارکنان بدل می‌شوند.

توصیه استراتژیک برای مدیران:

🔹 فرهنگ‌سازی امنیتی را با اطلاع‌رسانی شفاف، غیرترساننده و مبتنی بر داده واقعی اجرا کنید.
🔹 تفکیک کنید میان «آگاهی‌بخشی فنی برای تیم‌های عملیاتی» و «اطلاع‌رسانی عمومی برای کاهش اضطراب».
🔹 ظرفیت روانی تیم‌های امنیت را مدیریت کنید؛ Alert Fatigue و استرس مزمن، بهره‌وری را کاهش می‌دهد.
🔹 در شرایط بحران، اولویت را به تصمیم‌گیری مبتنی بر تحلیل بدهید، نه واکنش احساسی یا فضای ترس.
نتیجه نهایی:
موفقیت سازمان در دوران جنگ‌های ترکیبی، تنها به ابزارهای فنی وابسته نیست. مدیریت روانی، کنترل فضای ترس، و حفظ تعادل بین هوشیاری و آرامش، تعیین‌کننده بقای سازمان و حفظ توان مقابله در بلندمدت است.

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

27 June 2025 14:04

آیا چین الگوریتم RSA را شکسته است ؟

باید گفت بر خلاف عنوان مقاله لینک زیر نکاتی متصور است که باید توجه شود


الگوریتم RSA فعلاً در عمل امن است.

شکستن RSA توسط چین محدود به آزمایش بسیار کوچک و علمی است.

برای حفاظت بلندمدت، آماده‌سازی برای رمزنگاری مقاوم در برابر کوانتوم ضروری است.

سازمان‌ها باید به سمت رمزنگاری مقاوم در برابر کوانتوم (Post-Quantum Cryptography) حرکت کنند، همانطور که نهادهایی مانند NIST آمریکا در حال استانداردسازی این الگوریتم‌ها هستند.


در عمل، RSA با کلیدهای بلند (مثلاً ۲۰۴۸ بیت یا بیشتر) همچنان در مقابل حملات کلاسیک و کوانتومی ایمن محسوب می‌شود، زیرا:

✅ برای شکستن یک کلید RSA واقعی به اجرای کامل الگوریتم Shor روی یک رایانه کوانتومی بسیار بزرگ و پایدار نیاز است. تخمین‌ها می‌گویند برای شکستن RSA ۲۰۴۸ باید حدود ۲۰ میلیون کیوبیت پایدار و بدون خطا داشت، درحالی‌که قوی‌ترین رایانه‌های کوانتومی جهان فعلاً چند هزار کیوبیت دارند و آن هم با خطای بالا.

✅ آنچه در چین انجام شده بیشتر شبیه یک نمایش تکنیکی از پیشرفت است، نه یک تهدید عملیاتی علیه رمزنگاری فعلی.


#آکادمی_روزبه
مرکز تخصصی CISSP

https://www.earth.com/news/china-breaks-rsa-encryption-with-a-quantum-computer-threatening-global-data-security/

آکادمی آموزش روزبه 📚

25 June 2025 20:58

دیگران کجایند و ما کجا

#آکادمی_روزبه
مرکز تخصصی CISSP

https://asrgen.streamlit.app/

آکادمی آموزش روزبه 📚

25 June 2025 15:30

دور خوردن Suricata

در دنیای امنیت شبکه، بررسی دقیق ترافیک رمزگذاری‌شده و تکنیک‌های گمراه‌سازی مهاجمان اهمیت بالایی دارد. یکی از ابزارهای رایج برای تحلیل و شناسایی تهدیدها در سطح شبکه، Suricata است. این ابزار بازرسی عمیق بسته‌ها (IDS/IPS) انجام می‌دهد، اما اگر به‌درستی تنظیم نشود، می‌تواند قربانی تکنیک‌های ساده دور زدن شود؛ یکی از این روش‌ها، سواستفاده از URL Encoding است.

در استاندارد RFC 3986، کاراکترهای خاص در URLها به‌صورت رمزگذاری‌شده نمایش داده می‌شوند، به‌عنوان مثال فاصله با %20 جایگزین می‌شود. با این حال، در فرم‌های HTML طبق استاندارد قدیمی‌تر RFC 1866، کاراکتر + نیز می‌تواند معادل فاصله باشد. این اختلاف باعث می‌شود که برخی ابزارها یا مرورگرها ترافیک را متفاوت پردازش کنند.

این سوریکاتا به‌طور پیش‌فرض دو نوع بافر برای آدرس‌های URL ارائه می‌دهد:

مقدار http.uri.raw که حاوی رشته اصلی بدون تغییر است.

مقدار http.uri که یک مرحله decode انجام می‌دهد، اما معمولاً کاراکتر + را به فاصله تبدیل نمی‌کند مگر اینکه صراحتاً در قانون ذکر شود.

اینجاست که ضعف امنیتی ایجاد می‌شود؛ مهاجمان می‌توانند با درج کاراکتر + در مقادیر حساس URL، قوانین ساده Suricata را دور بزنند. برای مثال، فیلترهایی که به‌دنبال پارامترهای مخرب مانند fileid= هستند، اگر به‌درستی تنظیم نشوند، ممکن است نتوانند این تهدید را شناسایی کنند.

برای جلوگیری از این نوع دور زدن، باید در نوشتن قوانین Suricata گزینه url_decode را فعال نمود. همچنین بررسی ترکیبی بافرهای http.uri.raw و http.uri به شناسایی دقیق‌تر کمک می‌کند. این مقاله تأکید می‌کند که بدون توجه به جزییات فنی مربوط به رمزگشایی URL، حتی بهترین ابزارهای امنیتی هم می‌توانند فریب بخورند و تهدیدها از دید پنهان بمانند.


#آکادمی_روزبه
مرکز تخصصی CISSP
همیشه بخوان

https://www.labs.greynoise.io/grimoire/2025-06-05-suricata-url-decoding/

آکادمی آموزش روزبه 📚

25 June 2025 12:26

تهدیدات l33tspeak در جنگ شناختی و حملات مهندسی اجتماعی

در سال‌های اخیر، پیچیدگی فضای سایبری و جنگ شناختی باعث شده مهاجمان از تکنیک‌های زبانی نوآورانه برای دور زدن سازوکارهای امنیتی و تحلیل خودکار استفاده کنند. یکی از مؤثرترین روش‌ها، بهره‌گیری از زبان تغییرشکل‌یافته موسوم به l33tspeak است؛ زبانی که با جایگزینی حروف با اعداد و نمادها، ساختار متن را برای انسان قابل درک نگاه می‌دارد اما الگوریتم‌های پردازش زبان طبیعی (NLP) را دچار اختلال می‌کند.

در عملیات نفوذ روانی (PSYOPS) یا جنگ شناختی، انتشار پیام‌های منفی، اخبار جعلی یا کمپین‌های تخریبی به زبان l33tspeak می‌تواند سه اثر مخرب برجای بگذارد:

✅ نخست، این تکنیک باعث گمراهی الگوریتم‌های تحلیل احساسات و شناسایی کمپین‌های مخرب می‌شود. مدل‌هایی که برای تشخیص حملات روانی یا رفتارهای خصمانه طراحی شده‌اند، غالباً با پیام‌های l33tspeak‌شده دچار افت دقت می‌شوند.

✅ دوم، چنین حملاتی می‌تواند اطمینان عمومی به سیستم‌های تحلیل فضای مجازی را تضعیف کند. اگر کاربران شاهد ناتوانی ابزارهای امنیتی در شناسایی محتوای مخرب باشند، اعتبار این سیستم‌ها زیر سؤال می‌رود.

✅ سوم، مقابله با شایعات و اطلاعات غلط دشوارتر می‌شود. وقتی محتوای مخرب در لفافه l33tspeak ارائه می‌شود، کشف و حذف آن برای نهادهای امنیتی و شرکت‌های فناوری پیچیده‌تر می‌شود.

فراتر از جنگ شناختی، مجرمان سایبری نیز در حملات مهندسی اجتماعی پیشرفته از همین روش بهره می‌گیرند:

✅ با استفاده از l33tspeak، فیلترهای ایمیل‌های فیشینگ به‌راحتی دور زده می‌شوند، چرا که بسیاری از این فیلترها بر تحلیل الگوهای متنی کلاسیک متکی هستند.

✅ پیام‌های جعلی یا دستکاری‌شده نیز با این تکنیک معتبرتر جلوه می‌کنند، زیرا تحلیل‌گر انسانی یا الگوریتم‌های ساده‌تر، متوجه تغییرات مخفی در متن نمی‌شوند.

✅ در نهایت، مسیر حمله به افراد هدف، به‌ویژه کارکنان حساس یا مدیران، با کاهش احتمال کشف زودهنگام، هموارتر می‌شود.

در مجموع، l33tspeak نه‌تنها یک بازی زبانی بلکه ابزاری قدرتمند در خدمت عملیات تخریب روانی و حملات سایبری پیشرفته است و مقابله مؤثر با آن، نیازمند ارتقای زیرساخت‌های تحلیل زبان و آگاهی بیشتر کارشناسان امنیت است.

#آکادمی_روزبه
مرکز تخصصی CISSP

برای اطلاعات بیشتر لینک زیر مطالعه شود

https://specterops.io/blog/2025/06/24/lost-in-translation-how-l33tspeak-might-throw-sentiment-analysis-models-for-a-loop/?_gl=1*5zlb6w*_up*MQ..*_ga*MTg1MDA4NjQ4NC4xNzUwNzg0NjUz*_ga_53SGLN9EBJ*czE3NTA3ODQ2NTIkbzEkZzAkdDE3NTA3ODQ2NTIkajYwJGwwJGgw

آکادمی آموزش روزبه 📚

25 June 2025 09:19

مهاجمان سایبری اخیراً از QEMU، که معمولاً برای شبیه‌سازی سیستم‌عامل‌های مجازی به‌کار می‌رود، برای ایجاد تونل‌های شبکه‌ای و عبور مخفیانه از فایروال‌ها و محدودیت‌های شبکه استفاده کرده‌اند. این روش نوعی Network Tunneling محسوب می‌شود که به مهاجم اجازه می‌دهد از طریق سیستم‌های قربانی، دسترسی غیرمجاز به شبکه‌های داخلی پیدا کند.
در این تکنیک، مهاجم روی یک سیستم به نام PivotHost، که دسترسی به اینترنت دارد، QEMU را بدون راه‌اندازی کامل ماشین مجازی اجرا می‌کند. این QEMU با تنظیمات خاص مانند -netdev socket و -netdev user، یک تونل شبکه‌ای ایجاد می‌کند که ترافیک را به یک سرور دیگر مهاجم منتقل می‌کند. این سرور می‌تواند در اینترنت یا زیرساخت ابری باشد و یک QEMU دیگر روی آن اجرا شده تا ارتباط دوسویه برقرار شود.
این تونل به مهاجم اجازه می‌دهد ترافیک پروتکل‌هایی مانند RDP را که در حالت عادی فقط در شبکه داخلی مجاز است، از طریق اینترنت عبور دهد، بدون آنکه فایروال یا تجهیزات امنیتی به‌راحتی متوجه شوند.
تشخیص این نوع فعالیت دشوار است، اما چند سرنخ مهم وجود دارد:
اجرای QEMU با مقادیر غیرمعمول حافظه مانند -m 1M یا بدون دیسک و سیستم‌عامل، مشکوک است.
مشاهده فرآیندهای QEMU با پارامترهای شبکه نظیر -netdev socket باید به‌عنوان هشدار امنیتی بررسی شود.
تحلیل ترافیک شبکه برای یافتن بسته‌های TCP غیرمنتظره یا ترافیک غیرمعمول روی پورت‌هایی مانند 443 یا 4444 که حاوی encapsulated Ethernet هستند.
استفاده از EDR، NDR و قوانین Sigma برای شناسایی رفتار غیرطبیعی QEMU در شبکه و سیستم‌ها.
این تکنیک نمونه‌ای پیشرفته از سواستفاده از ابزارهای قانونی برای اهداف مخرب است و نیازمند نظارت دقیق و تحلیل عمیق در شبکه‌های سازمانی می‌باشد.



#آکادمی_روزبه
مرکز تخصصی CISSP


https://securelist.com/network-tunneling-with-qemu/111803/

آکادمی آموزش روزبه 📚

25 June 2025 07:44

و نسخه جدید MISP منتشر شد


https://www.misp-project.org/2025/06/24/misp.2.5.15.and.2.4.113.html/

آکادمی آموزش روزبه 📚

24 June 2025 19:54

چگونه با یک باینری امضا‌شده‌ی مایکروسافت از AMSI، ETW و CLM عبور میکنند

مقدمه

در چند سال اخیر، ابزارهای امنیتی ویندوز مثل ضدبدافزار و EDRها اتکا زیادی به AMSI (رابط اسکن ضدبدافزاری) پیدا کرده‌اند. این قابلیت تقریباً هر اسکریپت Powershell، Jscript، VBScript، VBA یا .NET رو زمان اجرا می‌گیره و به آنتی‌ویروس ارسال می‌کنه تا بررسی بشه

حالا، یه روش جالب پیدا شده که با استفاده از یک ابزار امضا شده توسط مایکروسافت – یعنی CDB یا NTSD – بدون نیاز به نوشتن کد مخرب یا پچ کردن مستقیم DLL، نه فقط AMSI رو دور می‌زنه، بلکه قابلیت کنترل زبان (CLM) و ETW هم دورش زدنیه.
گام اول: فهمیدن ایراد AMSI

تو دنیای امنیت، رایج‌ترین بای‌پس‌ها روی تابع AmsiScanBuffer انجام می‌شد؛ اغلب توجه به مقدار بازگشتی داشتند. اگر تابع همیشه 0x80070057 (مقدار E_INVALIDARG) برگردونه، اسکن انجام‌نشده به‌حساب میاد

قبلاً می‌تونستیم این مقدار رو با چند خط PowerShell یا پچ ساده دستی اعمال کنیم، ولی حالا EDRها نسبت بهش حساس شدن و اون روش‌ها دیگه اثربخش نیستند.
گام دوم: رسیدگی با CDB/NTSD

اینجا وارد بازی می‌شیم: CDB و NTSD ابزارهای دیباگر کنسولی مایکروسافت هستن که توسط خود مایکروسافت امضا و به‌صورت پیش‌فرض امن و معتبرند

ما می‌تونیم با نوشتن اسکریپت خاص، PowerShell رو با CDB اجرا کنیم، breakpoint بذاریم روی AmsiScanBuffer، وقتی اجرا شد مقدار برگردونده رو دستکاری کنیم و ادامه بدیم—بدون دست زدن مستقیم به DLL مغشوش.

مثلاً اسکریپتی می‌نویسیم که به‌صورت زیر اجرا بشه:

cdb -cf bypass.txt "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"

اسکریپت bypass.txt اجرای PowerShell رو نظارت می‌کنه، موقعی که تابع AMSI فراخوانی شد سریع مقدار بازگشتی رو تغییر می‌ده و ادامه اجرا رو بدون اسکن امن می‌کنه

گام سوم: کنترل محدودیت زبان (CLM)

حالا که AMSIبا روش CDB قابل دورزدن بود، سراغ بخشی جذاب‌تر می‌ریم: کنترل کردن زبان PowerShell. تابع SystemPolicy.GetSystemLockdownPolicyمسئول وضعیت محدودیت زبانه. با استفاده از ویژگی‌های دیباگر CDB و بارگذاری sos.dll، می‌تونیم breakpoint بذاریم روی این تابع و به‌صورت مستقیم مقدار بازگشتی رو تغییر بدیم — و مثلاً مقدار 0 (بدون محدودیت) یا 2 (ConstrainedLanguage) رو برگردونیم


این کار تو محیط x86/x64 امتحان شده و واقعا جواب داده: امکان تغییر وضعیت زبان PowerShell پیش از اینکه حتی ماژول‌ها بارگذاری بشن فراهم میشه

گام چهارم: خاموش‌کردن ETW

نکته جالب دیگه اینه که با پچ مشابه می‌شه ETW (Event Tracing for Windows) رو هم دور زد، بدون اینکه در سطح هسته تغییر محسوسی بدیم . آزمون شده که رویدادهایی مثل EventID 4103 (اجرای pipeline) ثبت نمیشن—یعنی بار کاملاً پنهان‌کارانه‌ای اجرا شده

نتیجه‌گیری

این روش ابزار خیلی قدرتمندی به ما میده:

دور زدن AMSI

تنظیم وضعیت محدودیت زبان (CLM)

خاموش کردن یا محدود کردن ETW

و مهمتر اینکه همه با استفاده از ابزارهای امضا‌شده مایکروسافت انجام می‌گیره—بدون نیاز به فایل‌های DLL غیرمعتبر یا باینری‌های ناشناس.



#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

24 June 2025 15:24

بررسی آسیب‌پذیری Heap Overflow و اجرای کد از راه دور در Llama.cpp


در سال‌های اخیر، ابزارهای اجرای مدل‌های زبانی به‌شدت فراگیر شده‌اند و پروژه‌های متن‌باز مانند llama.cpp به کاربران اجازه می‌دهند مدل‌های پیشرفته را به‌صورت محلی و بدون نیاز به سخت‌افزار قدرتمند اجرا کنند. اما محبوبیت این ابزارها باعث شده است که سطح حمله (Attack Surface) نیز گسترش یابد.
در یک پژوهش عمیق، Patrick Peng موفق شد آسیب‌پذیری خطرناکی را در بخش RPC Server کتابخانه llama.cpp کشف کند که می‌تواند منجر به اجرای کد از راه دور (RCE) شود. این آسیب‌پذیری در تابع ggml_backend_cpu_buffer_cpy_tensor() نهفته است که برای کپی داده‌های Tensor در حافظه استفاده می‌شود.
هرچند کد پروژه شامل بررسی‌های مرزی، assertهای متعددی و مکانیزم‌های دفاعی سطح بالا است، اما نویسنده موفق شد با دستکاری هوشمندانه پارامترهای ne[] و nb[] که ابعاد و اندازه داده‌های Tensor را کنترل می‌کنند، یک Heap Overflow ایجاد کند. این نوع از overflow برخلاف buffer overflow کلاسیک، حافظه Heap را هدف قرار می‌دهد و می‌تواند ساختارهای مجاور حافظه را تغییر دهد.
اما بهره‌برداری از این نقص آسان نبود. به گفته نویسنده، طبیعت پیچیده ساختار حافظه و حفاظت‌های موجود، نیازمند یک رویکرد ترکیبی بود. در نهایت او موفق شد با استفاده از تکنیکی موسوم به NullPointerNoException، اشاره‌گرهای داخلی را به گونه‌ای تغییر دهد که بدون ایجاد crash، به لیک آدرس‌های حیاتی مانند libggml-base.so منجر شود. این لیک آدرس‌ها گام اول در کنار زدن ASLR و آماده‌سازی Memory Layout برای اجرای کد مخرب است.
یکی دیگر از چالش‌های این حمله، نیاز به نوشتن جزئی (Partial-Write) روی بخش‌های خاصی از حافظه و هماهنگی دقیق ساختارهای Heap بود که نشان‌دهنده سطح بالای تخصص موردنیاز برای چنین Exploit پیچیده‌ای است.
نتیجه‌گیری:
این آسیب‌پذیری بار دیگر اهمیت ایمن‌سازی ابزارهای متن‌باز و ماژول‌های مربوط به شبکه را نشان می‌دهد. فعال بودن RPC Server بدون احراز هویت و محدودیت، می‌تواند در صورت وجود ضعف‌هایی نظیر Heap Overflow، به سادگی کنترل کامل سیستم را در اختیار مهاجم قرار دهد. به‌ویژه در حوزه هوش مصنوعی که مدل‌ها معمولاً روی سرورهای قدرتمند اجرا می‌شوند، چنین ضعف‌هایی می‌توانند تبعات سنگینی داشته باشند.


#آکادمی_روزبه
مرکز تخصصی CISSP

https://retr0.blog/blog/llama-rpc-rce

آکادمی آموزش روزبه 📚

24 June 2025 12:45

این حمله از یک ضعف منطقی در لینک‌های دعوت Discord سوءاستفاده می‌کند. مهاجم لینک معتبر یک سرور معروف را کپی می‌کند و پس از منقضی شدن آن، همان کد را روی سرور مخرب خودش ثبت می‌کند. کاربران با کلیک روی لینک، به سرور جعلی منتقل می‌شوند و برای تأیید هویت، یک اسکریپت مخرب PowerShell به آن‌ها داده می‌شود که پس از اجرا، سیستم قربانی را آلوده می‌کند. این روش به دلیل اعتماد کاربران به لینک قبلی و نبود کنترل روی کدهای منقضی شده مؤثر است و نشان می‌دهد صرفاً اسکن امنیتی کافی نیست.

#آکادمی_روزبه
مرکز تخصصی CISSP


https://rohittamma.substack.com/p/how-attackers-weaponized-an-expired

آکادمی آموزش روزبه 📚

24 June 2025 07:29

بازم یه نکته علمی اما این بار از جنگ


اگر در این ساعت، یعنی ۸ صبح مورخ ۳ تیرماه ۱۴۰۴ خبر برقراری آتش بس صحیح باشه و پایدار ؛زمان خوبیه برای شروع یه کار مهم : تدوین درس آموخته !!

درس آموخته یا Lesson learned یا همون تجربه خودمون ، امروزه در بسیاری از استاندارد ها منجمله PMBOK و... خودش منبع دانش است که بعنوان ارجاع به حل مشکلات و موانع مورد استفاده قرار میگیره .

لذا من پیشنهاد میکنم در هر سطح و لایه و هر عمقی شروع به جمع آوری و ثبت درس آموخته ها بشه .

اینها یک منبع دانش غنی برای ما و نسل آینده است

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

23 June 2025 06:58

منکر تلاش عزیزانی که دل در گرو کار دارند و عزیزانی که اگر بلد نیستند کنار می‌کشند نیستم
همین که شبکه بانکی الان درحال خدمت رسانی به مردم هست نشان از وجود تعدادی افرادی لایق و باسواد است ؛ ولی خوب که نگاه کنید از ۱۰ سال پیش بانک ها و مراکز درحال هک شدن هستند و مشاوران تقریبا همان و مسوولین هم اگر ارتقاء نگرفته و پست بهتری نگرفته باشند از بانکی به بانک دیگر جابجا شده اند و کسی نپرسیده درجای قبلی که نفوذ رخ داد چقدر مسوولیت داشتی و چه شد که هک شدید ؟ ( شاید هم بوده و من نمیدانم )

درضمن اگر با من آشنا باشید میدانید همینطوری صحبت نمیکنم و برای صحبت هایم دلایل و مصادیق دارم و اصولا همیشه علم مبنای بیانهایم است. و چون نمی‌شود الان به جزئیات بیان کرد نظر کلی و کارشناسی خودم رو فقط مینویسم.