آکادمی آموزش روزبه 📚

02 June 2025 11:00

تهدید داخلی در سازمان و ملاحظات فناوری

شرکت Coinbase، یکی از بزرگ‌ترین صرافی‌های رمزارزی جهان، در آغاز ۲۰۲۴ هدف حمله‌ای قرار گرفت که توسط یک نیروی داخلی تسهیل شد؛ کارمندی با دسترسی گسترده که موفق شد برخی داده‌های حساس را در اختیار مهاجمان قرار دهد. ماهیت این رخداد، بار دیگر نشان داد که حتی قوی‌ترین دیوارهای امنیتی فنی (نظیر Zero Trust، رمزنگاری چندلایه و کنترل دسترسی سخت‌گیرانه)، در مواجهه با عنصر انسانی می‌توانند آسیب‌پذیر باشند.

درسی که از این حادثه برداشت می‌شود، فراتر از تمرکز صرف بر ابزارها و فناوری‌های پیشرفته امنیتی است. تهدید داخلی، به گونه‌ای ذاتاً پیچیده است، زیرا مهاجم در این سناریو آشنا با فرایندهای سازمانی، دارایی‌های کلیدی و مسیرهای دسترسی به اطلاعات حساس است و عمدتاً می‌تواند کنترل‌های استاندارد را دور بزند.

نقاط ضعف و چالش‌های آشکارشده

فقدان مانیتورینگ مؤثر و تحلیل رفتار غیرعادی کارکنان از مهم‌ترین نقاط ضعف Coinbase بود؛ موضوعی که نه تنها در این شرکت، بلکه در بسیاری از سازمان‌های مشابه وجود دارد. ریشه اصلی مشکل، اتکا بیش از حد به کنترل‌های فنی به جای موازنه با فرهنگ سازمانی امن و هوشمندی تهدید (Threat Intelligence) انسانی است.

در این رخداد مشخص شد که بخشی از کنترل‌های Segregation of Duties و Principle of Least Privilege به طور کامل پیاده‌سازی نشده بودند. همچنین فرآیند بررسی و پس‌بررسی (audit) دسترسی‌ها و رفتار کاری افراد دارای مجوز ویژه، به شکل پیوسته و تحلیلی اجرا نمی‌شد.
راهکارها و درس‌های کاربردی برای امنیت سازمانی

۱. مانیتورینگ رفتاری مداوم (UEBA)

فناوری‌هایی مانند User & Entity Behavior Analytics باید به‌صورت فعال، رفتار کارکنان و تغییر الگوهای دسترسی یا استخراج داده را رصد و آلارم کنند تا بتوان احتمال تهدید داخلی را در لحظه کاهش داد.

۲. مدیریت چرخه عمر دسترسی‌ها (Access Lifecycle Management)

بازنگری منظم دسترسی‌ها، به‌ویژه برای افراد دارای مجوز بالا، و کاهش دسترسی‌ها در کمترین سطح ممکن (Principle of Least Privilege) بسیار حیاتی است.

۳. فرهنگ‌سازی و آموزش سازمانی

افزایش آگاهی کارکنان نسبت به ریسک‌های داخلی و مکانیزم‌های گزارش‌دهی ناشناس وقوع رفتار مشکوک، اهمیت دوچندانی می‌یابد.

۴. گسترش تست‌های امنیتی اجتماعی و Red Teaming

ارزیابی‌های دوره‌ای با سناریوهای شبیه‌سازی‌شده حملات داخلی و تحلیل میزان پاسخ‌گویی زیرساخت، ابزاری مؤثر در سنجش آمادگی سازمان است.

۵. ارتقاء لاگینگ و قابلیت کشف سریع رخداد

بهبود سامانه لاگینگ، هم از نظر وسعت داده‌ها و هم از لحاظ کیفیت تحلیل، باعث کاهش چشمگیر بازه زمانی کشف و پاسخ به حوادث داخلی خواهد شد.


در یک کلام، جدی‌گرفتن تهدید داخلی یعنی پذیرش این واقعیت: هر راهکار فنی یا مدیریتی بدون توجه به عنصر انسانی، بخشی از امنیت را نادیده می‌گیرد و امکان بروز رخدادهایی شبیه آنچه برای Coinbase اتفاق افتاد همواره وجود دارد. راهکارهای چندلایه، تحلیل فعال و مشارکت همه اعضای سازمان، رمز مقابله با این تهدید است.



#آکادمی_روزبه
مرکز تخصصی CISSP

https://www.thestack.technology/coinbase-insider-threat-lessons/

آکادمی آموزش روزبه 📚

01 June 2025 21:14

وضعیت ما در SOC هایی که میبینم در خصوص پایش حوزه لینوکس نگران کننده است.
دقتی که همکاران برای حوزه ویندوز دارند در لینوکس انجام نمی‌شود و از آن مهم‌تر در خصوص اقدامات Prevention ضعیف عمل می‌کنیم

برویم یک مثال ببینیم


#آکادمی_روزبه
مرکز تخصصی CISSP


https://thehackernews.com/2025/05/new-linux-flaws-allow-password-hash.html?m=1

آکادمی آموزش روزبه 📚

01 June 2025 19:46

ستاره ی قطبی

رصد فناوری و اینکه ما کجا هستیم مهم است.
آینده ی ما شاید حال دیگران باشد

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

30 May 2025 20:09

👆👆ادامه از پست قبل


قسمت سوم

ساخت PE Header تقلبی برای شروع تحلیل: در صورتی که offset و entry point کشف شود، PE Header تقلبی ساخته و فایل dump در ابزارهای تحلیل بارگذاری شود.
تحلیل هیستوری حافظه: جستجو در page table برای یافتن الگوی بارگذاری غیرمعمول.
رهگیری پردازش‌های کوتاه‌عمر: بسیاری مهاجمان، shellcode را در پروسس‌های کوتاه‌عمر اجرا و بلافاصله نابود می‌کنند.

۷. توصیه‌های کاربردی برای تیم‌های IR و Threat Hunting

۱. مراکز عملیات SOC باید به Memory Forensics مجهز باشند: فقط AV/EDR مبتنی بر disk کافی نیست؛ تحلیل memory لازم است.

۲. به دنبال بخش‌های مشکوک با no PE header باشید: مثلاً process hollowing یا رفتار mapped manual.

۳. به روز رسانی رویه‌های incident response: ابزارهایی چون FTK Imager، Magnet RAM Capture و … باید در کنار Volatility و PE Sieve به کار گرفته شوند.

۴. استفاده از sandboxهای اختصاصی memory: برای شناسایی رفتار runtime.

۵. با تیم‌های امنیتی تهدید پیشرفته (Threat Intel) همکاری نزدیک داشته باشید: تجربه و ابزارهای آنها در این حوزه راهگشاست.
۸. جمع‌بندی

دنیای تهدیدات پیشرفته روزبه‌روز حرفه‌ای‌تر می‌شود و مهاجمان با حذف بخش‌های پایه‌ای فایل اجرایی (PE Header)، باعث سردرگمی ابزارها و تحلیل‌گران شده‌اند؛ Ghost PE و پیاده‌سازی آن (GhostPepper) شکل مدرن حمله «Fileless» و «in-memory execution» را ایجاد کرده است. راهکار مقابله، تجهیز تیم به ابزارهای پیشرفته forensic memory (مانند Volatility و PE-Sieve)، توسعه دانش تحلیل dynamic و memory-based، و ترکیب آن با تهدیدشناسی پیشرفته است. به مدد این رویکردها، حتی پیچیده‌ترین بدافزارهای Fileless قابل شناسایی و مهار خواهند شد.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy


https://www.fortinet.com/blog/threat-research/deep-dive-into-a-dumped-malware-without-a-pe-header

آکادمی آموزش روزبه 📚

30 May 2025 19:44

مقاله ی روز


نفوذ عمیق
کشفی از آزمایشگاه فورتی نت در دامپ ۳۳ گیگی حافظه

مقدمه

در دنیای تهدیدات پیچیده‌ روز، مهاجمان سایبری برای عبور از دیواره‌های دفاعی و سخت‌تر کردن فرآیند تحلیل و شکار تهدیدها، به تکنیک‌های جدید و نوآورانه‌ای روی آورده‌اند. یکی از این تکنیک‌های پیشرفته، حذف یا دستکاری PE Header در بدافزارهای فایل اجرایی ویندوز و یا پیاده‌سازی اجرا به صورت کامل در حافظه (in-memory execution) است که نمونه بارز آن را می‌توان در مقوله «Ghost PE» مشاهده کرد. این مقاله به بررسی عمیق dump کردن malwareهای بدون PE Header، چالش‌های تحلیل آن‌ها، مکانیزم Ghost PE، و تدابیر مقابله‌ای می‌پردازد، و بر اساس مطالعه‌ی موردی Fortinet و منابع معتبر دیگر نوشته شده است.

۱. ساختار فایل PE و نقش آن

ساختار PE (Portable Executable) فرمت اصلی فایل‌های اجرایی ویندوز است که شامل بخش‌های حیاتی همچون DOS Header، NT Headers، جدول sectionها (code, data, resource و…)، جدول importها و… می‌شود. وجود PE Header برای بارگذاری صحیح توسط سیستم عامل و ابزارهای تحلیل، لازم است. بسیاری از ابزارهای تحلیل استاتیک و فارنزیک نیز برای تشخیص صحیح، نیاز به وجود این header دارند.

چرا هدف قرار دادن PE Header؟

مهاجمان با حذف یا دستکاری Header، فایل را برای ابزارهای امنیتی غیرقابل شناسایی (undetectable) می‌کنند؛ بدین ترتیب، signatureها و heuristic بسیاری از آنتی‌ویروس‌ها و ابزارهای EDR بی‌اثر می‌شوند.
۲. سناریوی فورتی نت و Dumped Malware بدون PE Header؛ هدف و انگیزه مهاجم

مساله Dump کردن یک بدافزار معمولاً زمانی انجام می‌شود که یک تحلیل‌گر یا ابزار حافظه، بخش‌های مشکوک را مستقیماً از RAM استخراج می‌کند. اگر مهاجم بتواند PE Header را حذف کند یا بدافزار را به گونه‌ای اجرا کند که header در حافظه موجود نباشد، فرایند تحلیل پیچیده و زمان‌بر خواهد شد.

انگیزه‌های مهاجم

مقابله با signature-based detection: حذف بخش قابل شناسایی
دشوارسازی تحلیل post-mortem: متخصصان فارنزیک یا Incident Response با نمونه‌ی غیرقابل تحلیل مواجه می‌شوند
تسریع حمله Fileless: فایل اجرایی هرگز روی دیسک نمی‌نشیند و فقط در حافظه فعالیت دارد

فورتی نت در دامپ ۳۳ گیگی حافظه توانسته است تحلیلی از بدافزاری با PE هدر تخریب شده ارائه دهد.


پایان قسمت اول
ادامه در پستهای بعد ..👇👇


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

29 May 2025 10:13

🔰#تبلیغات #موقت


پیاده‌سازی امنیت در لبه شبکه با استفاده از Cisco FTD و Splunk

مقدمه

در سال‌های اخیر با افزایش پیچیدگی تهدیدات سایبری، حفاظت از لبه شبکه (Network Edge) بیش از هر زمان دیگری اهمیت یافته است. لبه شبکه به دلیل قرار گرفتن در نقطه ورود و خروج داده‌ها اولین خط دفاعی در برابر تهدیدات خارجی محسوب می‌شود. ابزارهایی مثل Cisco Firepower Threat Defense (FTD) با ترکیب قابلیت‌های نسل جدید فایروال، سیستم تشخیص و پیشگیری از تهدیدات (IPS)، و مدیریت یکپارچه، نقش مهمی در این حوزه ایفا می‌کنند. در کنار این ابزارهای امنیتی، Splunk به عنوان یک پلتفرم تجزیه و تحلیل و مدیریت لاگ، می‌تواند لایه دوم دید و پاسخ‌گویی سریع را فراهم کند.

نقش Cisco FTD در امنیت لبه شبکه

ابزار Cisco FTD یک راهکار تلفیقی است که امکانات متنوعی شامل فایروال Stateful، سیستم تشخیص و پیشگیری نفوذ (IDS/IPS)، قابلیت‌های فیلتر وب، و امنیت بر بستر نرم‌افزار را در سطح لبه شبکه ارائه می‌دهد. ویژگی کلیدی FTD توانایی شناسایی و لاگ‌گذاری انواع ترافیک و تهدیدات است، از رجیستر کردن کانکشن‌های ورودی و خروجی تا تشخیص حملات شناخته‌شده از طریق Snort و اعمال پالیسی‌های مبتنی بر آی‌پی، پورت، و حتی کاربرد.

از مهم‌ترین خروجی‌های FTD، می‌توان به تولید لاگ‌های دقیق، رویدادهای تهدید، تغییرات پالیسی، و هشدارهای بلادرنگ اشاره کرد. این داده‌ها برای تیم امنیت سازمان اهمیت حیاتی دارند اما به خودی خود برای شکار تهدیدات کافی نیستند؛ زیرا حجم و پیچیدگی بالایی دارند.

ضرورت مانیتورینگ و تحلیل با Splunk

در این مرحله، وظیفه Splunk شروع می‌شود: جمع‌آوری، ذخیره‌سازی و تحلیل لاگ‌های ارسالی از FTD و نمایش داده‌ها در قالب گزارشات، داشبورد و هشدارهای قابل اقدام. Splunk قابلیت مدیریت Big Data امنیتی را در محیط‌هایی با حجم عظیم ترافیک دارد.

ابزار Splunk علاوه بر نمایش لاگ‌ها، امکان ساخت کوئری‌های سفارشی (SPL)، ساخت داشبوردهای متریک، و طراحی Alert برای رویدادهای خاص را فراهم می‌کند.

نمونه‌هایی از کاربردهای عملی:

تشخیص ترافیک به منابع مشکوک (مثلاً سرورها یا آی‌پی‌های Blacklist): فایروال هر اتصال مشکوک را log می‌کند و Splunk می‌تواند با تهدیدات شناسایی شده هم‌پوشانی دهد.
بررسی تغییرات پالیسی فایروال: هرگونه تغییرات مشکوک در Rulebase می‌تواند به Splunk منتقل و بصورت هشدار نمایش داده شود.
ردیابی رفتارهای غیرمعمول: مثل تلاش برای ایجاد ارتباط SSH غیرمجاز از نقاط ناشناس یا ترافیک غیرنرمال بین سگمنت‌های شبکه.

ادغام FTD و Splunk در سناریوهای عملیاتی

ادغام Cisco FTD و Splunk نیازمند کانفیگ صحیح ارسال لاگ از FTD (مثلاً via syslog یا eStreamer) به ماشین Splunk است. پس از شناسایی فرمت‌های لاگ و تنظیم دریافت، Splunk از Add-on اختصاصی Cisco FTD برای پارس داده‌ها استفاده می‌کند.

با این امکانات، تیم SOC می‌تواند سناریوهایی مثل زیر را عملی کند:

انجام Threat Hunting: با استفاده از کوئری‌های پیچیده، حرکات lateral movement یا beaconing را تشخیص دهد.
و Incident Response: در صورت وقوع تهدید تایید شده، پاسخ سریع و خودکار، مثل بلاک IP یا ارسال هشدار.
اعلام هشدار بلادرنگ: مثلاً وقوع Signature Match یا تغییرات غیرمجاز در پالیسی فوراً به صورت ایمیل یا در داشبورد SOC نشان داده شود.

خودکارسازی (Automation) و تسریع پاسخگویی

یکی از مزایای کلیدی Splunk، امکان ادغام با ابزارهای SOAR (مثل Splunk Phantom) است. به کمک این یکپارچگی، اقداماتی مثل ایجاد Incident در سامانه تیکتینگ یا بلاک کردن خودکار آی‌پی مشکوک بر اساس رویداد دریافت‌شده از FTD به طور آنی انجام می‌شود.

به عنوان مثال، اگر FTD حمله Brute Force را شناسایی کند و این واقعه وارد Splunk شود، می‌توان از طریق Playbook، دستور بلاک موقت آدرس مبدأ را در فایروال صادر کرد. این امکان باعث کاهش زمان dwell time و هوشمندسازی عملیات دفاعی سازمان می‌شود.
افزایش Context و کاهش F/P

جمع‌آوری صرف داده کافی نیست. Splunk با enrich داده‌ها با منابع Threat Intelligence، GeoIP، اطلاعات Active Directory یا asset tagging، زمینه‌کاوی وقایع را تقویت می‌کند. به این ترتیب، نرخ False Positive بهبود و شناسایی تهدیدات واقعی دقیق‌تر انجام می‌شود.
این مدل معماری، گامی فراتر از مانیتورینگ سنتی است و می‌تواند سنگ بنای SOCهای پیشرفته و هوشمند (Next Gen SOC) باشد.

✳️برای تامین FTD و پیاده سازی حرفه ای و تلفیق با Splunk ؛ با شرکت پیشگامان فناوری اطلاعات هامون تماس بگیرید.

☎️0218810500
Www.haumoun.com



#تبلیغات
#موقت

آکادمی آموزش روزبه 📚

28 May 2025 09:04

👆👆ادامه از پست قبل

۱. حذف یا خارج کردن کلیدهای خصوصی CA بازنشسته
بعد از بازنشسته‌سازی CA، باید کلید خصوصی و فایل‌های حساس آن کاملاً حذف یا آفلاین شوند. نگهداری کلید، حتی برای بکاپ، تنها نباید روی سیستم‌های قابل دسترس انجام شود.
۲. بروزرسانی فرآیندهای Successor Registration
بعد از تعریف successor برای CA جدید، اطمینان حاصل کنید که هیچ راهی برای بازگرداندن یا استفاده مجدد از successor قبلی وجود نداشته باشد.
رکوردهای Active Directory مرتبط با CA بازنشسته را بررسی و پاک‌سازی کنید.
۳. رصد و لاگ کامل فعالیت‌ها
روی فعالیت‌های مرتبط با CA بازنشسته به طور ویژه لاگ فعال و هشدار تنظیم کنید.
هرگونه صدور گواهی غیرمنتظره از CA قدیمی باید سریعاً بررسی شود.
۴. ارزیابی زنجیره اعتماد در کلاینت‌ها
خط‌مشی‌های اعتبارسنجی را طوری پیکربندی کنید که برای CAهای بازنشسته و Successor تعامل بیشتری داشته باشد و صرفاً به Trust Chain اکتفا نکند.
۵. تست دوره‌ای فرآیند بازنشسته‌سازی
سناریوهای فرضی را تست کنید تا مطمئن شوید هیچ راهی برای بازیابی یا سوءاستفاده باقی نمانده است.
اهمیت Automation (خودکارسازی) در بررسی و پاک‌سازی رکوردهای قدیمی.

جمع‌بندی
حمله BadSuccessor یک یادآوری جدی برای متخصصان امنیت است که فرآیندهای مدیریتی و چرخه عمر CA به اندازه بروزرسانی و دیپلوی نرم‌افزارها اهمیت دارند. صرفاً جایگزینی یا بازنشسته کردن یک CA کافی نیست. باید فرآیند حذف کلید، پاک‌سازی رکوردها و نظارت دقیق بر فعالیت‌ها تکمیل‌گر این عملیات باشد. توصیه می‌شود سازمان‌ها راهکارهای ذکرشده را به‌سرعت اجرا نمایند و زیرساخت ADCS خود را در برابر این تهدید جدید مقاوم سازند.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

https://specterops.io/blog/2025/05/27/understanding-mitigating-badsuccessor/

آکادمی آموزش روزبه 📚

27 May 2025 17:37

آژانس‌های اطلاعاتی آمریکا (مثل NSA، CIA، FBI و غیره) دارن یک پورتال مرکزی به اسم Intelligence Community Data Consortium (ICDC) می‌سازن که بهشون اجازه می‌ده خیلی راحت‌تر و متمرکز به اطلاعات شخصی حساس که از شرکت‌ها و فروشنده‌های داده می‌خرن دسترسی داشته باشن. این اطلاعات شامل مواردی مثل موقعیت مکانی موبایل‌ها، رکوردهای املاک، داده‌های زیستی (biometric)، محتوای رسانه‌های اجتماعی و … می‌شه—یعنی چیزهایی که سابقاً گرفتنش نیازمند اجازه قاضی و مراحل قضایی بود.

حالا همه این اطلاعات، راحت و سریع، توی یه پورتال و بازار داده‌ای (data marketplace) جمع می‌شه و آژانس‌ها می‌تونن با استفاده از ابزارهای هوش مصنوعی اونها رو تحلیل کنن، در حالی‌که قبلاً هرکدوم جدا جدا باید خریداری می‌کردن.

منتقدها می‌گن این پلتفرم راهی برای دور زدن قوانین مربوط به حریم خصوصی و متمم چهارم قانون اساسی آمریکاست. یعنی دولت با خرید داده از شرکت‌ها داره اطلاعات مردم رو جمع می‌کنه، بدون اینکه نیاز به دستور قضایی داشته باشه.

دولت می‌گه می‌خواد با این پلتفرم کارها رو بهینه، هزینه‌ها رو کم و خرید تکراری داده رو حذف کنه، اما جواب نداده که دقیقاً چطور با حفظ حقوق شهروندی قرار داده‌ها رو مدیریت کنه یا از چه داده‌هایی استفاده می‌شه.

https://theintercept.com/2025/05/22/intel-agencies-buying-data-portal-privacy/

آکادمی آموزش روزبه 📚

27 May 2025 09:54

حرکتی قابل تقدیر

مرکز مدیریت راهبردی افتا، ماه گذشته، با درخواست صدور و یا تمدید 199 مجوز شرکت‌های متقاضی فعالیت در زیرساخت‌های حیاتی کشور موافقت کرد که رشدی 4 و نیم برابری نسبت به اردیبهشت سال قبل و قریب به سه برابری فروردین امسال داشته است.


#آکادمی_روزبه
مرکز تخصصی CISSP


مشروح این خبر در سایت مرکز افتا به نشانی زیر قابل مشاهده است:

https://afta.gov.ir/fa-IR/Portal/1/news/view/14594/2223/Staging/

آکادمی آموزش روزبه 📚

26 May 2025 19:59

از اسلاید های جلسه سوم CISSP

همین پنج شنبه



دو مفهوم Scoping و Tailoring نقش مهمی در شخصی‌سازی کنترل‌های امنیتی متناسب با سازمان دارند. این مفاهیم به‌ویژه در زمینه‌های استانداردهایی مانند NIST SP 800-53 و ISO/IEC 27001 نیز به‌کار می‌روند.

مفهوم Scoping (دامنه‌بندی):

مفهوم Scoping یعنی تعیین محدوده و بُرد کنترل‌های امنیتی که باید پیاده‌سازی شوند. در این مرحله بررسی می‌شود:

کدام بخش‌های سازمان در دامنه امنیت اطلاعات قرار می‌گیرند؟

چه نوع سیستم‌ها، فرآیندها، کاربران و داده‌هایی باید تحت پوشش باشند؟

آیا همه سیستم‌ها نیاز به کنترل‌های یکسان دارند؟

مثال:
اگر یک شرکت فقط یک دیتاسنتر دارد که داده حساس پردازش می‌کند، ممکن است دامنه پیاده‌سازی کنترل‌ها به آن دیتاسنتر محدود شود و دیگر سیستم‌های غیرحساس خارج از دامنه قرار گیرند.
مفهوم Tailoring (سفارشی‌سازی):

مفهوم Tailoring یعنی تطبیق و تنظیم کنترل‌ها پس از تعیین دامنه، به‌گونه‌ای که متناسب با شرایط خاص سازمان باشد. در این مرحله ممکن است:

برخی کنترل‌ها اضافه یا حذف شوند.

کنترل‌هایی سبک‌تر یا شدیدتر اعمال شوند.

پیاده‌سازی کنترل‌ها بر اساس ریسک، بودجه، الزامات قانونی یا فرهنگی تنظیم شود.

مثال:
در NIST SP 800-53 اگر کنترل "دسترسی چندعاملی" برای همه کاربران توصیه شده، سازمان می‌تواند آن را فقط برای کاربران دارای دسترسی به داده حساس اعمال کند.

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

25 May 2025 19:58

ادامه از پست قبل 👆👆


سازگاری نرم‌افزارها: همه سرویس‌ها و اپلیکیشن‌ها ممکن است بلافاصله از DMSA پشتیبانی نکنند و لازم است بررسی شود که نرم‌افزار مورد نظر امکان استفاده از این نوع اکانت را دارد یا نه.

آموزش به ادمین‌ها: مدیران شبکه باید با نحوه ایجاد، مدیریت و حذف DMSA کامل آشنا شوند تا بهره‌وری مناسب از این قابلیت فراهم گردد.

جمع‌بندی

اکانت DMSA به عنوان نسل جدید حساب‌های سرویس، پاسخگوی یکی از نیازهای اساسی مدیران شبکه و امنیت، یعنی کاهش ریسک lateral movement و ایزوله کردن دسترسی‌های حیاتی در لایه عملیاتی ویندوز سرور است. مزیت اختصاصی بودن DMSA به هر ماشین، امنیت سرویس‌های حساس را تا حد قابل توجهی بالا برده و مهاجمان را در نفوذ به سایر بخش‌های شبکه دچار مشکل می‌کند.

انتظار می‌رود با فراگیری بیشتر این قابلیت و بهبود پشتیبانی نرم‌افزاری، DMSA به زودی جایگزین پیش‌فرض برای سرویس اکانت‌های حیاتی در سازمان‌ها باشد و مدیران امنیتی باید از همین امروز آشنایی و اعمال آن را در استراتژی‌های خود قرار دهند.


#آکادمی_روزبه
مرکز تخصصی CISSP
www.roozbeh.academy

آکادمی آموزش روزبه 📚

25 May 2025 07:01

یک PoC برای حمله در اکتیو دایرکتوری

ابزار SharpSuccessor یک POC بر پایه دات‌نت است که حمله‌ای به نام BadSuccessor را پیاده‌سازی می‌کند. این حمله توسط یووال گوردون (@YuG0rd) از شرکت Akamai معرفی شده است. هدف این ابزار نمایش عملی نحوه سوءاستفاده از آسیب‌پذیری‌های اکتیو دایرکتوری برای افزایش سطح دسترسی (Privilege Escalation) کاربران است.


جزییات بیشتر:

این آسیب‌پذیری بر مبنای دسترسی CreateChild در یک Organizational Unit (OU) اکتیو دایرکتوری کار می‌کند؛ یعنی اگر کاربری دسترسی لازم برای ایجاد اشیای جدید در یک OU داشته باشد، ممکن است بتواند از این طریق مجوزهای بالاتری به دست بیاورد.
کد پروژه به طور کامل در دات‌نت نوشته شده و صرفاً با هدف آموزشی و برای بررسی و درک آسیب‌پذیری منتشر شده است.

این پروژه نه برای به‌کارگیری در محیط‌های عملیاتی، بلکه برای فهم بهتر جزییات فنی حمله BadSuccessor و راه‌حل‌های مقابله با آن طراحی شده است.

خلاصه کاربرد:

پژوهشگران و متخصصان امنیت می‌توانند با بررسی این پروژه نحوه سوءاستفاده احتمالی کاربران با سطح دسترسی پایین را بفهمند و اقدامات لازم جهت ایمن‌سازی اکتیودایرکتوری (مثل چک کردن مجوزهای CreateChild) را اجرا کنند.

#آکادمی_روزبه
مرکز تخصصی CISSP
www.roozbeh.academy


https://github.com/logangoins/SharpSuccessor/

آکادمی آموزش روزبه 📚

23 May 2025 21:35

جنگ روسیه و اکراین
در سه قسمت

#آکادمی_روزبه
مرکز تخصصی CISSP

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/three-years-of-cyber-warfare-how-digital-attacks-have-shaped-the-russia-ukraine-war/

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/attacks-against-government-entities-defense-sector-and-human-targets/

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/the-russia-ukraine-cyber-war-part-3-attacks-on-telecom-and-critical-infrastructure/

آکادمی آموزش روزبه 📚

23 May 2025 19:51

ادامه از پست قبل

این مطالعه بخشی از یک سری گسترده‌تر است که نویسنده آن تاکنون چندین آسیب‌پذیری شاخص بر محصولات EDR کشف و معرفی کرده است. در بخش‌های قبل به حمله به مینی‌فیلترها، باگ ران‌تایم و حتی دور زدن مکانیزم‌های محافظتی سطح کرنل پرداخته شده بود.

تحقیقات از این جنس ضعف‌های بنیادی در محصولات امنیتی سازمانی را آشکار می‌کند ــ نقاط ضعفی که می‌توانند «خط دفاع آخر» سازمان را به زانو درآورند. نکته مهم اینجاست که محصولات امنیتی باید خود بیشترین مقاومت را مقابل تکنیک‌های حمله و بهره‌کشی داشته باشند اما متاسفانه شتاب شرکت‌ها برای انتشار قابلیت و عدم بازبینی عمیق امنیتی، فرصت حمله را فراهم می‌کند.


#آکادمی_روزبه
مرکز تخصصی CISSP

https://labs.infoguard.ch/posts/attacking_edr_part4_fuzzing_defender_scanning_and_emulation_engine/

آکادمی آموزش روزبه 📚

23 May 2025 16:18

اینهم تقدیمی امروز به شما

#آکادمی_روزبه
مرکز تخصصی CISSP
https://github.com/infosecB/Rulehound

آکادمی آموزش روزبه 📚

02 June 2025 07:21

راهکارهای کشف آسیب‌پذیری File Inclusion

آسیب‌پذیری File Inclusion (شامل LFI و RFI) یعنی وقتی مهاجم می‌تواند با کنترل مسیر یک فایل، فایل‌های ناخواسته (محلی یا راه دور) را در برنامه وارد کند. این مشکل اغلب به علت دریافت نام فایل یا مسیر از ورودی کاربر و الحاق مستقیم آن در توابعی مثل include یا require بدون اعتبارسنجی رخ می‌دهد. عواقب آن می‌تواند افشای اطلاعات حساس، اجرای کد مخرب روی سرور یا حتی تصرف کل سامانه باشد. جلوگیری از این آسیب‌پذیری با اعتبارسنجی ورودی و محدود کردن انتخاب فایل به لیست مجاز انجام می‌شود.

۱. تست دستی (Manual Testing)

ورودی‌های مشکوک مثل پارامترهای URL (?file=...) را با مقادیر مخرب (مثلاً ../../etc/passwd یا URL از راه دور) تست کنید.
بررسی رفتار برنامه در مواجهه با ورودی غیرمنتظره (فایل نامعتبر یا فایل راه دور).

۲. استفاده از ابزارهای خودکار (Automated Tools)

ابزارهای DAST مثل: Burp Suite، OWASP ZAP، Acunetix، Nikto (برای یافتن پارامترهای حساس به فایل)
اسکنرهای SAST برای شناسایی کدهای مشکوک مثل include, require, fopen, file_get_contents
ابزار مخصوص مثل LFISuite و fimap

۳. بررسی لاگ و رفتار غیرعادی سرور

جستجوی خطاهای مربوط به فایل یا مسیر در لاگ وب‌سرور (مثلاً خطاهای 500 یا خطاهای مرتبط با include در PHP)
تحلیل رفتار فایل‌های آپلودشده یا فایل‌های موقت غیرمنتظره

۴. تحلیل کد (Code Review)

جستجوی کدهایی که فایل‌ها را به صورت داینامیک و بر اساس داده کاربر لود می‌کنند، بدون اعتبارسنجی مناسب
استفاده از ابزارهای استاتیک مانند SonarQube یا PHPStan

راهکارهای مقابله و کاهش ریسک File Inclusion

۱. اعتبارسنجی (Validation) و پاک‌سازی ورودی‌ها

هرگز به داده ورودی کاربر به عنوان نام فایل اعتماد نکنید.
فقط اجازه انتخاب از لیست ثابت بدهید (whitelist).
حذف کاراکترهای خطرناک مانند ../, ..%2F, null byte‌ها (%00) و …

۲. محدود کردن دسترسی‌ها و تنظیمات سرور

غیرفعال کردن allow_url_include و allow_url_fopen در PHP.
محدودکردن دسترسی‌های فایل به حداقل نیاز؛ به ویژه فایل‌های حساس مثل /etc/passwd.

۳. استفاده از realpath و توابع ایمن

قبل از دسترسی به فایل، مسیر را با realpath چک کنید تا از شل‌کد یا دسترسی غیرمجاز جلوگیری شود.
توابع امن سفارشی برای مدیریت فایل استفاده کنید.

۴. پیاده‌سازی مکانیزم‌های امنیتی وب سرور/برنامه

استفاده از WAF و سخت‌سازی (Hardening).
محدودکردن متدهای HTTP و اسکریپت‌های قابل اجرا

۵. به‌روزرسانی منظم نرم‌افزار

تمامی کامپوننت‌ها (CMS، کتابخانه‌ها و فریم‌ورک‌ها) را به‌روز نگه دارید تا از پچ‌شدن آسیب‌پذیری‌های شناخته‌شده مطمئن شوید.

۶. پایش (Monitoring) و تحلیل رویدادها

فعال‌سازی مانیتورینگ و هشدار برای رخدادهای مشکوک یا تلاش برای دسترسی به فایل‌های غیرمجاز.


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

01 June 2025 20:41

روش استفاده از جدول ATT&CK برای سنجش بلوغ SOC

✍️روزبه نوروزی

۱. تعریف پایه

جدول MITRE ATT&CK نمایشی ساخت‌یافته از تاکتیک‌ها ، تکنیک‌ها ، و فرایندهای مهاجمان است.

این جدول، یک نقشه حمله (Threat Map) است که قدرتمندترین ابزار برای تحلیل‌شناسی، ارزیابی قابلیت تشخیص و پاسخ SOC و Gap Analysis به‌شمار می‌رود.

۲. گام‌های ارزیابی بلوغ با استفاده از ATT&CK

الف. ارزیابی پوشش تشخیصی (Detection Coverage Mapping)

لیستی از تکنیک‌های ATT&CK را استخراج میکنیم .
بررسی میکنیم در سازمان شما چه تکنیک‌هایی توسط SOC یا ابزارها (SIEM, EDR, NDR و…) قابل تشخیص و هشداردهی‌اند.
این کار معمولاً با ابزارهایی مثل MITRE ATT&CK Navigator یا فایل اکسل انجام می‌شود.

ب. سطح پاسخ (Response Capability Mapping)

فقط تشخیص کافی نیست؛ باید ببینید برای هر تکنیک:
آیا Playbook پاسخ‌ دارد؟
آیا حذف تهدید یا واکنش اتوماتیک یا نیمه‌اتوماتیک دارید؟
آیا تحلیلگرها می‌توانند مراحل حمله را بازسازی کنند و وضعیت lateral movement یا privilege escalation را تریاژ کنند؟

ج. تحلیل شکاف (Coverage Gap Analysis)

تکنیک‌هایی که پوشش ندارید یا فقط به صورت دستی پوشش می‌دهید، ضعف بلوغ است.
هر چه تعداد تکنیک‌هایی که تا انتها (Detection → Investigation → Response) پوشش قوی‌تری دارند، بالاتر است، سطح بلوغ SOC بالاتر خواهد بود.

۳. نگاشت سطوح بلوغ به ATT&CK
سطح ۱ و ۲ (Initial/Defined)

فقط پوشش محدود بر تکنیک‌های رایج (مثل Credential Dumping, Command & Control رایج، Malware Initial Access)
تحلیل داده‌ها دستی، پاسخ عمدتاً واکنشی و غیراستاندارد (بدون پیروی از ATT&CK)

سطح ۳ (Managed)

برای تکنیک‌های شایع، Alert استاندارد و Playbook پایه ‌(Contain, Investigate) وجود دارد
بخش قابل‌توجهی از ماتریس ATT&CK پوشش داده می‌شود، hunting برای برخی تاکتیک‌ها انجام می‌شود

سطح ۴ (Quantitative Managed)

بخش بزرگی از تکنیک‌های جدول ATT&CK، پوشش قاعده‌مند (Rule, Alert, Use Case) دارد
SOC مجهز به Threat Hunting ساختارمند منطبق با ATT&CK
داشتن Incident Response Playbook برای اکثر تاکتیک‌ها
میزان Gap Coverage در حال کاهش است، KPI پوشش مرتباً سنجیده می‌شود

سطح ۵ (Optimizing)

تقریباً کل ماتریس ATT&CK سازمان، پوشش فعال (تشخیص، تحلیل، پاسخ، APT Detection)
اتوماسیون پیشرفته، استفاده از AI/ML برای تشخیص تکنیک‌های پیچیده و ناشناخته
به‌روزرسانی سریع Playbookها با تغییر تکنیک‌های واقعی مهاجمین (APTها)
Threat Intelligence داخلی، خارجی و همکاری با دیگر سازمان‌ها (ISAC)

۴. بومی‌سازی و مثال عملی

فرض کنید سازمانی از SIEM و یک EDR استفاده می‌کند. با کمک تیم SOC، برای هر ردیف جدول ATT&CK بررسی می‌کنیم:

کدام تکنیک به صورت خودکار تشخیص داده می‌شود؟
آیا روی آن event Playbook، Alert، یا Threat Hunting rule (مثلاً KQL/QL یا SPL) داریم؟
Process Injection، LSASS Dump، Golden Ticket، C2 over HTTP — هر کدام به صورت “پوشش دارد/ندارد/محدود” علامت بزنید

نتیجه:

اگر بیشتر تکنیک‌ها “بدون پوشش” یا “دستی” بودند → سطح بلوغ پایین
اگر پراکندگی پوشش کامل و Playbook پاسخ خودکار وجود دارد → سطح بلوغ بالا

۵. ابزار برای مستندسازی و نمایش حرفه‌ای (برای گزارش مدیریت)

استفاده از MITRE ATT&CK Navigator (نسخه آفلاین یا آنلاین) برای رنگ‌آمیزی سلول‌ها بر اساس پوشش (سبز: کامل، زرد: جزیی، قرمز: ناقص)
خروجی گرفتن اکسل یا PDF و درج عنوان “نقشه بلوغ SOC بر اساس ATT&CK”
قیاس با دیگر شرکت ها در صنعت خودمان یا استانداردهای صنعتی (Gartner, ENISA)

جمع‌بندی

با نگاه حرفه‌ای به جدول ATT&CK، اگر SOC شما:

هرچه تکنیک بیشتری را با سطح عمیق‌تر و خودکارتر شناسایی و پاسخ دهد،
هرچه Gapها را پیوسته شناسایی و کاهش دهد،
سطح بلوغ عملیاتی و مدیریتی بالاتری را نشان خواهد داد.

این روش، یکی از بهترین Benchmark حرفه‌ای‌های SOC جهانی است برای نشان دادن واقعی سطح maturity است (نه صرفاً ادعاهای کاتالوگی!).


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

31 May 2025 07:25

ابزارهای پیشنهادی برای اوسینت

#آکادمی_روزبه
مرکز تخصصی CISSP

https://cyble.com/knowledge-hub/top-15-osint-tools-for-powerful-intelligence-gathering/

آکادمی آموزش روزبه 📚

30 May 2025 20:09

👆👆 ادامه از پست قبل


قسمت دوم

۳. تکنیک Ghost PE و GhostPepper

تکنیک Ghost PE که در برخی منابع با نام GhostPepper نیز شناخته می‌شود، ترکیبی از لودرهای اختصاصی و shellcode پیشرفته است. هدف اصلی، لود کردن یک فایل اجرایی به صورت کامل در حافظه، بدون وابستگی به سیستم بارگذاری استاندارد ویندوز است.

طرز کار تکنیک Ghost PE:

لودینگ دستی (Manual Mapping): لودر، ساختارهای لازم (مثل sectionها، importها و relocationها) را، مشابه NT Loader، به صورت دستی، فقط در فضای حافظه، بازسازی و بارگذاری می‌کند.
عدم نیاز به PE Header: پس از map شدن، header اصلی حذف می‌شود، اما بسته به نیاز، اطلاعات موردنیاز (مثلاً آدرس توابع، entry point و …) ذخیره می‌شود.
اجرا به صورت in-memory shellcode: هیچ فایلی روی دیسک پدید نمی‌آید و بخش اجرایی حتی می‌تواند فقط بخش code section باشد.
دورزدن AV/EDR: ترکیبی از Reflective DLL Injection و manual mapping است، ولی هیچ نقطه‌ی ثابت و signature واضحی برای ابزارهای دفاعی نمی‌گذارد.

مقایسه با Variable های مشابه

در تکنیک‌هایی مثل Process Hollowing یا Reflective DLL Injection، عمدتاً یک پروسس legitimate ساخته می‌شود و سپس با shellcode یا DLL، “hollow” یا “reflective” می‌شود. اما در Ghost PE کل بارگذاری انجام می‌شود بدون اینکه استاندارد فایل PE (در حافظه یا دیسک) حفظ گردد.
ابزارهای معروف در این مقاله :

ابزار GhostPepper (SpecterOps): اجرای PE کامل در حافظه
ابزار Donut: تزریق shellcode مدرن
ابزار PE-Sieve: کشف اجرای غیرمتعارف PE

۴. مطالعه موردی بر اساس Fortinet: «malware dump بدون PE Header»

مقاله Fortinet، نمونه‌ای از بدافزاری را بررسی می‌کند که پس از dump شدن از حافظه، فاقد PE Header است. در این سناریو حمله، بدافزار به وسیله‌ی یک تکنیک manual map در فضای حافظه اجرا شده و سربرگ PE بلافاصله پاک شده یا هیچگاه به صورت کامل map نگشته است.
چالش‌های تحلیل:

باز نشدن نمونه توسط ابزارهای PE Analysis: نرم‌افزارهایی چون PEStudio/IDA نمی‌توانند بخش کد را دقیقاً پیدا یا disassemble کنند.
مشخص نبودن بخش‌های کد/داده/import: ساختار sections از دست رفته است.
اشتباه گرفتن با shellcode محض: زمانی که ساختار PE قابل تشخیص نیست، گمان می‌رود فقط shellcode است.
ابهام در شناسایی نقاط ورودی: entry point می‌تواند با جابجایی offset در dump غیرقابل تعیین شود.

مراحل تحلیل:

۱. جستجوی Manual برای یافتن امضاهای مشترک (Signature carving): نمونه را از نظر الگوهای رایج اسمبلی و API های ویندوز بررسی کردند.

۲. یافتن توالی‌های مشکوک: به کمک نشانه‌هایی مثل توابع imported یا توالی‌های رایج compilation (مانند epilog یا prolog های کامپایلرهای کلاسیک مایکروسافت).

۳. تحلیل رفتاری (dynamic): اجرای نمونه در محیط ایزوله و بررسی تعاملات حافظه (با ابزارهایی مانند x64dbg یا Ollydbg).

۴. بازسازی Header (Image Reconstruction): در برخی موارد، تحلیل‌گران سعی کردند با پیدا کردن موقعیت نسبی سورس، یک PE header اولیه (fake) ایجاد کنند تا فایل در تحلیلگر باز شود.

۵. مقوله Memory Forensics: استفاده از ابزاری چون Volatility و پلاگین‌هایی مثل malfind برای شناسایی و استخراج ایندی‌کتورهای حمله.
۵. چالش‌ها در تحلیل این دسته نمونه‌ها

مهمترین چالش تحلیل dump های فاقد PE Header عدم تطابق آنها با فرمت‌های استاندارد ابزارهای تحلیل استاتیک است:

یافتن Offsetهای مهم (مانند entry point، importها یا exportها) باید به صورت manual انجام شود.
امکان پنهان‌سازی سورس اصلی: مهاجم می‌تواند بخش زیادی از کد را پراکنده/کدر یا رمز کند.
شناسایی Signature Memory-based: تشخیص رفتار در حافظه سخت می‌شود، مگر اینکه EDR یا کارشناس تهدید با ابزار memory scanner پیشرفته کار کند.
اتکای زیاد به Dynamic & Memory Analysis: استخراج رفتار در زمان اجرا در sandbox و memory dump analysis حیاتی است.

۶. راهکارها و تدابیر مقابله‌ای برای تحلیل‌گران

ابزارهای تخصصی Memory Hunting

ابزار PE-Sieve: بازیابی نمونه‌های mapped شده PE از حافظه، حتی در موارد فقدان سربرگ؛ بازسازی section و importها.
ابزار Volatility (و پلاگین malfind): شناسایی فرآیندهای مشکوک، تزریق سشن و memory carving.
ابزار Rekall: رقیب Volatility با امکانات بیشتر در memory scanning.
ابزار YARA با ruleهای memory: شناسایی ساختار و توالی‌های رایج کامپایلر یا code cave خاص.

تاکتیک‌های عملیاتی:


ادامه در پست بعدی.. 👇👇

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

30 May 2025 12:52

ویدئو هایی برای Velociraptor

#آکادمی_روزبه
مرکز تخصصی CISSP

https://www.youtube.com/playlist?list=PLz4xB83Y3Vbjtqr_ttOkBWZZ_ewEVVPXQ

آکادمی آموزش روزبه 📚

29 May 2025 07:36

استفاده از Velociraptor در تحلیل تخصصی Dead Disk Forensics

تحلیل جرم‌شناسی دیجیتال یا Forensics همیشه با چالش بازیابی داده از سیستم‌هایی که دیگر فعال نیستند (dead disks) روبروست. ابزار Velociraptor که معمولا به‌عنوان یک EDR و سیستم جمع‌آوری شواهد زنده (live response) شناخته می‌شود، قابلیت‌های ویژه‌ای برای تحلیل دیسک‌های خاموش نیز دارد. این ویژگی Velociraptor را علاوه‌بر جمع‌آوری داده‌های RAM و پروسس‌های فعال، به انتخابی مناسب جهت بررسی سیستم‌های خاموش تبدیل می‌کند.
این dead disk forensics چیست؟

در این سناریوها، کارشناس امنیت سایبری با یک Snapshot یا Image از دیسک سر و کار دارد و امکان اجرای هیچ کد یا عامل روی سیستم هدف وجود ندارد. معمولاً رویکردهای سنتی استفاده از نرم‌افزارهایی مثل FTK Imager و Autopsy است، اما انعطاف آن‌ها محدود به اسکریپت‌نویسی و جمع‌آوری داده به صورت خودکار نیست. اینجاست که Velociraptor وارد عمل می‌شود.
نحوه عملکرد Velociraptor در dead disk

در Velociraptor با قابلیت اجرای Queries سفارشی یا VQL (Velociraptor Query Language)، اجازه می‌دهد تحلیلگر با نوشتن کوئری‌های پیچیده، دقیقاً همان شواهد مورد نیاز را از ایمیج‌های دیسک استخراج کند. مثلاً بررسی event logها، رجیستری، artifactهای Application و اینترنت، بدون حمله به داده‌های زنده یا خطر Overwrite شدن محتوا.

مهم‌ترین مزایای Velociraptor در این زمینه:

قابلیت اجرای Query Scriptable: ابزارهای سنتی بیشتر گرافیکی هستند، اما Velociraptor با VQL اجازه پرتکل دقیق و اتوماتیک ارائه می‌دهد.
پشتیبانی Artifact محور: هر Artifact (registry, file, browser history و …) یک ساختار قابل جستجو دارد که با یک یا چند VQL کوئری قابل تعریف است.
پشتیبانی از Image Mount: فقط کافیست ایمیج دیسک را به‌عنوان volume مکانیکی روی سیستم متصل کنیم، سپس با انتخاب مسیر C:\mounted_image به جای مسیر واقعی، همه VQLها قابل اجراست.

سناریوی عملی بر اساس مقاله

در مقاله، یک سناریوی واقعی شرح داده شده: یک ایمیج از یک سیستم ویندوز که به صورت Suspect مطرح شده و باید بدون اجرای هیچ‌گونه کد مخرب، شواهد حیاتی بررسی شود. با Velociraptor به‌جای اجرای AGENT روی سیستم هدف، ایمیج دیسک را روی سیستم تحلیل‌گر Mount، و سپس Artifactها مثل EventLogs، ShimCache، Amcache و Prefetch را استخراج می‌کنیم.

برای مثال، کوئری VQL زیر می‌تواند تمام Windows Event Logs را بخواند:



SELECT * FROM artifacts.windows.eventlogs("C:\mounted_disk\Windows\System32\winevt\Logs")

یا برای رجیستریها:


SELECT * FROM artifacts.windows.registry("C:\mounted_disk\Windows\system32\config\SYSTEM")

مزایا و محدودیت‌ها

مزیت: مقیاس‌پذیری و اسکریپت‌پذیری بالا، همراه با سرعت عملیات و خروجی‌های قابل فیلتر.
محدودیت: وابستگی بالا به دسترس‌پذیری artifactها. اگر داده‌ای حذف یا آسیب دیده باشد، بازیابی دشوار است. همچنین نیاز به آشنایی کامل با VQL و ساختار artifactها برای گرفتن بیشترین بهره وجود دارد.


#آکادمی_روزبه
مرکز تخصصی CISSP

www.Roozbeh.academy

https://kyjonin.blogspot.com/2025/05/velociraptor-dead-disk-forensics.html?m=1

آکادمی آموزش روزبه 📚

28 May 2025 09:04

تحلیل و مقابله با حمله BadSuccessor: آسیب‌پذیری جدید در Microsoft Active Directory Certificate Services

✍️روزبه نوروزی

مقدمه
در سال‌های اخیر، حملات به زیرساخت‌های هویتی مانند Active Directory (AD) و Active Directory Certificate Services (ADCS) به شدت افزایش یافته است. این حملات معمولاً با سوءاستفاده از پیکربندی‌های نادرست، آسیب‌پذیری‌های نرم‌افزاری یا اِشکال در فرآیندهای صدور گواهی اتفاق می‌افتد. در ماه می ۲۰۲۵، تیم تحقیقاتی SpecterOps حمله جدیدی با نام BadSuccessor معرفی کرد که نقطه ضعف جدیدی را در سازوکار CA (Certificate Authority) مایکروسافت افشا می‌کند. این آسیب‌پذیری به مهاجمان امکان می‌دهد که حتی پس از جابه‌جایی یا بازنشست کردن یک CA قدیمی، همچنان گواهی‌های مخرب صادر کنند و زنجیره اعتماد را تضعیف نمایند.

ساختار Active Directory و اهمیت ADCS

سرویس Active Directory Certificate Services (ADCS) یکی از سرویس‌های کلیدی در مایکروسافت اکوسیستم است که امکان صدور، مدیریت و اعتبارسنجی گواهی‌های دیجیتال را برای شبکه‌های داخلی فراهم می‌کند. با صدور گواهی‌های SSL/TLS، گواهی‌های ورود دستگاه و کاربر و حتی انجام فرآیندهای رمزگذاری ایمیل، ADCS هسته امنیتی بسیاری از شبکه‌های سازمانی به حساب می‌آید. هرگونه آسیب‌پذیری در این سرویس می‌تواند موجب دسترسی غیرمجاز، جعل هویت یا حملات پیشرفته (مانند Golden Ticket) گردد.

حمله BadSuccessor دقیقا چیست؟

حمله BadSuccessor یک آسیب‌پذیری منطقی است که فرآیند مدیریت چرخه عمر کلیدهای CA را هدف قرار می‌دهد؛ به‌خصوص درحالتی که یک CA بازنشسته (Retired CA) با CA دیگری جایگزین می‌شود (در اصطلاح، Successor CA). شبکه‌ها معمولاً پس از بازنشسته کردن CA قدیمی (مثلا به خاطر انقضای کلید یا آپگرید به الگوریتم‌های مدرن‌تر)، CA جدیدی به عنوان Successor معرفی می‌کنند و انتظار دارند زنجیره اعتبار همچنان برقرار اما امن‌تر باشد.
اینجاست که مشکل پیش می‌آید:
این CA Successor (جدید) می‌تواند همچنان به عنوان صادرکننده تایید شده توسط زنجیره اصلی معرفی شود، اما مکانیزم بررسی revocation یا لغو اعتبار CA قدیمی معمولا ناکافی است.
مهاجم می‌تواند گواهی‌ای تقلبی صادرشده توسط CA بازنشسته وارد کند و شبکه یا کلاینت تصور می‌کند چون Successor معرفی شده و زنجیره معتبر است، این گواهی باید قابل اعتماد باشد.
این آسیب‌پذیری ناشی از نحوه ذخیره‌سازی و بررسی فیلد CA Successor در ADCS است.

عملکرد فنی BadSuccessor

برای درک تاثیر این حمله، باید بدانیم پس از بازنشست شدن CA، زنجیره گواهی‌ها از طریق اکستنشن CA Version و رکورد successor در AD به‌هم متصل می‌شوند. در سناریوی واقعی:
سازمان CA قدیمی را بازنشسته می‌کند و CA جدید را به عنوان successor ثبت می‌کند.
این CA قدیمی می‌تواند یا باید غیر فعال و کلیدش حذف شود؛ اما اغلب بنا به اشتباه نگهداری یا پیکربندی ناقص، این کلید و دسترسی‌ها باقی می‌ماند.
مهاجم، اگر کنترل یا دسترسی به کلید خصوصی CA قدیمی یا سیستم مرتبط را داشته باشد، می‌تواند همچنان گواهی مطابق با زنجیره موردقبول صادر کند و آن را توسط Successor به شبکه تحمیل کند.
نکته مهم: بیشتر نرم‌افزارها و کلاینت‌ها، بررسی جدی روی زنجیره Successor انجام نمی‌دهند و صرفاً به زنجیره اعتماد (Chain of Trust) نگاه می‌کنند. همین باعث می‌شود گواهی جعلی با امضای CA بازنشسته اما متصل به Successor معتبر تلقی شود.

سناریوی حمله BadSuccessor

در سناریوی کلاسیک:
مهاجم دسترسی ادمینی به سیستم یا کلید خصوصی CA بازنشسته را کسب می‌کند (مثلاً از طریق هک قدیمی، باگ یا غفلت امنیتی).
یک گواهی مخرب ایجاد می‌کند (مثلاً برای برداشتن محدودیت‌های احراز هویت Kerberos یا جعل نام کاربر).
این گواهی، به خاطر زنجیره successor به راحتی به عنوان معتبر توسط کلاینت‌ها/سرویس‌ها شناخته می‌شود.
اثر: مسیر نفوذ تا سطح Domain Admin و حتی بالاتر (Persistence و Evasion پیشرفته).

چرا شناسایی این حمله دشوار است؟

بسیاری از ابزارهای امنیتی تمرکز خود را صرفاً بر گواهی‌های جاری‌ دارند و کمتر به زنجیره successor و وضعیت CA بازنشسته توجه می‌کنند.
لاگینگ ناکافی بر روی فرآیند بازنشسته‌سازی CA و فعالیت‌های مرتبط.
فرض رایج (ولی غلط) مبنی بر اینکه بازنشسته کردن CA و غیر فعال‌سازی آن، به طور پیش‌فرض امنیت کافی ایجاد می‌کند.

روش‌های مقابله و Mitigation

روش‌هایی برای کاهش ریسک حمله BadSuccessor پیشنهاد شده که در اینجا جمع‌بندی شده‌اند:


ادامه در پست بعدی...👇👇


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

27 May 2025 13:36

به روزرسانی رولهای سیگما

#آکادمی_روزبه
مرکز تخصصی CISSP

https://github.com/SigmaHQ/sigma/releases/tag/r2025-05-21

آکادمی آموزش روزبه 📚

27 May 2025 09:01

داده ها برای پردازش میتوانند رمز شده باشند!!

✍روزبه نوروزی


همیشه خوانده ایم داده ها برای پردازش لازم است از حالت رمز دربیایند امااااا

پردازش روی داده رمزنگاری‌شده قابل انجام است:
برخی روش‌های پیشرفته رمزنگاری مثل
Homomorphic Encryption (رمزنگاری همومورفیک)
اجازه می‌دهد محاسبات خاصی مستقیماً روی داده رمزنگاری‌شده انجام بشود بدون اینکه اول لازم باشد دیتای خام decrypt بشود.

فرض کنید دیتابیس مالی شرکت رمزنگاری‌شده است و شما لازم دارید مثلاً جمع مبالغ پرداختی یک شخص را بدانید. با این روش می‌شود مجموع مقادیر را به‌دست آورد، بدون اینکه دیتابیس را “کلاً” رمزگشایی کنید.
مزیت:
امنیت بالاتر، چون حتی سیستم اجرایی یا مدیر سیستم هم دیتای اصلی را هرگز نمی‌بیند.
جمع‌بندی:
بله، به طور سنتی برای استفاده و پردازش داده، باید رمزگشایی انجام شود.
اما تکنولوژی‌های جدید مثل رمزنگاری همومورفیک یا Secure Enclaves تا حدودی این قاعده را تغییر داده‌اند.
اما این تکنولوژی‌ها هنوز کاملاً رایج نشده‌اند و اکثریت سیستم‌عامل‌ها همین رفتار کلاسیک را دارند.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

26 May 2025 08:37

ابزار n8n رو جدی بگیرید .


#آکادمی_روزبه
مرکز تخصصی CISSP
www.roozbeh.academy

آکادمی آموزش روزبه 📚

25 May 2025 19:58

اکانت DMSA: نسل جدید اکانت‌های سرویس در اکتیودایرکتوری و تفاوت آن با gMSA

مقدمه
مدیریت امن سرویس اکانت‌ها همیشه یکی از دغدغه‌های اصلی مدیران اکتیودایرکتوری بوده است. سرویس اکانت‌ها معمولاً با سطح دسترسی بالا در سیستم‌ها اجرا می‌شوند و آسیب‌پذیری یا افشای پسورد این اکانت‌ها می‌تواند منجر به نفوذ گسترده در سازمان شود. برای رفع این مشکل، مایکروسافت پیش‌تر Group Managed Service Account یا gMSA را ایجاد کرد تا پسورد سرویس اکانت‌ها به طور خودکار و دوره‌ای تغییر کند و فقط سرورهای مجاز به آن دسترسی داشته باشند.
اما با پیشرفت نیازهای امنیتی و پیچیده‌تر شدن تهدیدات، مایکروسافت نوع جدیدی از این حساب‌ها را معرفی کرده است که تحت عنوان Delegated Managed Service Account یا DMSA شناخته می‌شود. در این مقاله به بررسی مفهوم DMSA، تفاوت‌های آن با gMSA و مزیت ویژه DMSA یعنی تخصیص آن به یک ماشین خاص می‌پردازیم.

Managed Service Accounts: مروری کوتاه
قبل از ورود به بحث DMSA، نیاز است به طور خلاصه با مفهوم Managed Service Accounts (MSA) آشنا شویم. MSAs اکانت‌هایی هستند که جهت اجرای سرویس‌ها و برنامه‌ها روی ویندوز سرورها تعریف می‌شوند. هدف اصلی MSA ساده‌سازی مدیریت پسورد و کاهش ریسک‌های افشای آن در محیط‌های بزرگ است.

اماgMSA چیست؟
این gMSA مخفف Group Managed Service Account بوده و این امکان را فراهم می‌کند که یک حساب سرویس، توسط چندین سرور یا سیستم به اشتراک گذاشته شود. به عبارت ساده‌تر اگر یک گروه سرور (مثلاً چندین سرور SQL) نیاز به اجرای یک سرویس با یک حساب مشخص دارند، gMSA بهترین انتخاب خواهد بود. پسورد این حساب‌ها توسط اکتیودایرکتوری به صورت خودکار در فواصل زمانی مشخص تولید و مدیریت می‌شود و فقط سرورهایی که مشخص شده‌اند، می‌توانند این پسورد را دریافت و از آن استفاده کنند.

و DMSA چیست؟

این DMSA یا Delegated Managed Service Account نسل جدید حساب‌های سرویس مدیریت‌شده است که در ویندوز سرورهای جدیدتر معرفی شده است. تفاوت اصلی DMSA با gMSA در موارد زیر است:
۱. تخصیص به یک ماشین (Single Machine Binding)
مهم‌ترین و برجسته‌ترین ویژگی DMSA این است که اکانت فقط به یک ماشین خاص تعلق می‌گیرد. به این معنی که حتی اگر یک مهاجم موفق به بدست آوردن پسورد یا دسترسی DMSA شود، نمی‌تواند از آن روی ماشین‌ها یا سرورهای دیگر سوءاستفاده کند؛ زیرا DMSA فقط روی همان ماشین تعریف‌شده معتبر است. این ویژگی ریسک lateral movement را (حرکت جانبی مهاجم بین سرورها) به شدت کاهش می‌دهد.
۲. مدل مدیریتی متفاوت با gMSA
در gMSA، مدیریت پسورد به طور کامل توسط اکتیودایرکتوری انجام می‌شود و ادمین صرفاً سرورهای مجاز را تعیین می‌کند. اما در DMSA، مدیریت حساب تا حدی به مدیر local آن ماشین یا یک مدیر delegated محول می‌شود. این یعنی ادمین‌ها انعطاف بیشتری دارند، اما نیاز به توجه بیشتر به مسائل امنیتی و مدیریتی نیز دارند.
۳. تطبیق با نیازهای امنیتی امروزی
با توجه به پیچیده‌تر شدن تهدیدات و حملات هدفمند به اکتیودایرکتوری، مدل single machine DMSA پاسخی به نیازهای امنیتی جدید است. این مدل می‌تواند امنیت سرویس‌هایی که روی سرورهای حیاتی یا حساس اجرا می‌شوند را افزایش چشمگیری دهد.

مزیت Single Machine بودن DMSA

ویژگی تخصیص تک‌ماشینی (Single Machine) در DMSA یک تغییر بنیادی در فلسفه مدیریت سرویس اکانت‌ها است. در مدل سنتی یا حتی gMSA، در صورت نفوذ به یک سرور و افشای پسورد سرویس اکانت، مهاجم می‌تواند از همین حساب روی سایر سرورها نیز بهره‌برداری کند، که اصطلاحاً به آن lateral movement می‌گویند؛ یعنی حرکت جانبی بین سرورها در شبکه. اما DMSA با اختصاص اکانت برای فقط یک سرور خاص، این ریسک را تا حد زیادی حذف می‌کند.

برای مثال فرض کنید سازمانی سرویس‌های مالی حساس یا اپلیکیشن‌هایی با دسترسی بالا به دیتابیس دارد. اگر این سرویس‌ها با DMSA راه‌اندازی شوند حتی در صورت compromise شدن یک سرور، مهاجم به هیچ‌وجه نمی‌تواند با همان اکانت وارد سایر بخش‌های شبکه شود. همین مزیت باعث افزایش چشمگیر امنیت در زیرساخت‌های سازمانی می‌شود.


چالش‌ها و نکات مهم در استفاده از DMSA

البته پیاده‌سازی DMSA نیز مانند هر فناوری جدید، چالش‌های خودش را دارد که آگاهی از آن‌ها ضروری است:

مدیریت لوکال: چون بخشی از مدیریت حساب به عهده لوکال ادمین هر ماشین گذاشته شده، باید کنترل‌های امنیتی لازم وجود داشته باشد تا از سوءاستفاده یا اشتباهات جلوگیری شود.

ریکاوری یا انتقال: در صورت نیاز به انتقال سرویس به ماشین دیگر (مثلاً هنگام failover یا upgrade)، لازم است مراحل خاصی برای ریجستر و انتقال DMSA انجام شود.

ادامه در پست بعدی....👇👇


#آکادمی_روزبه
مرکز تخصصی CISSP
www.roozbeh.academy

آکادمی آموزش روزبه 📚

25 May 2025 06:23

مقاله LOLBins: نسخه به روز از huntress

#آکادمی_روزبه
مرکز تخصصی CISSP
www.roozbeh.academy

https://www.huntress.com/blog/detecting-malicious-use-of-lolbins

آکادمی آموزش روزبه 📚

23 May 2025 19:54

استرس تست سایبری

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

23 May 2025 19:51

حمله به EDRها: Fuzzing موتور اسکن و شبیه‌ساز Defender (mpengine.dll)


مقدمه

موتور شناسایی بدافزار مایکروسافت دیفندر (Microsoft Defender) که با نام mpengine.dll شناخته می‌شود، هسته اصلی سیستم دفاعEndpoint Detection and Response یا همان EDR مایکروسافت است. این ابزار به طور پیش‌فرض روی سیستم‌های ویندوز نصب است، با بالاترین سطح دسترسی اجرا می‌شود و مسئول اسکن فایل‌ها و شبیه‌سازی اجرای آن‌ها برای یافتن بدافزار است. باتوجه به حجم بالای کد، گستردگی فرمت‌های قابل پردازش و قابلیت اجرای مستقیم در ویندوز، این موتور به یک هدف بسیار جذاب برای پژوهش آسیب‌پذیری و حمله تبدیل شده است.

با وجود اهمیت بالای این سرویس، مطالعات و افشاهای عمومی توانمندسازی حمله علیه آن کمتر از حد انتظار بوده است. همین موضوع انگیزه‌ای شد تا نویسنده این مقاله، به بررسی عمیق‌تر سطوح حمله این محصول بپردازد تا بتواند نقاط ضعف بالقوه را شناسایی و تحلیل کند.

خلاصه‌ای از یافته‌ها

در این تحلیل، موتو اسکن Defender با بهره‌گیری از روش Fuzzing و ابزار WTF و سایر ابزارهای مرتبط مانند kAFL/NYX و Jackalope مورد بررسی قرار گرفت. با استفاده از تکنیک Snapshot Fuzzing موفق به کشف نه باگ مختلف از نوع OOB-Read (خواندن خارج از محدوده حافظه) و Null Dereference (ارائه نشانی پوچ) شدند.

این آسیب‌پذیری‌ها منجر به کرش‌کردن فرآیند اصلی دیفندر (MsMpEng.exe) هنگام اسکن برخی فایل‌های مخرب می‌شود، به‌گونه‌ای که با طراحی یک فایل ویژه، می‌توان موتور دفاعی مایکروسافت را از کار انداخت. لازم به ذکر است براساس تحلیل نویسنده، هیچ یک از این آسیب‌پذیری‌ها قابلیت اجرای کد مخرب (RCE) ندارند، اما سبب می‌شوند فرآیند محافظتی دیفندر متوقف گردد و راه برای حملات بعدی هموار شود.

یکی از کاربردهای عملی این آسیب‌پذیری‌ها آن است که مهاجم بتواند پیش از اجرای Payload اصلی (مثلاً بدافزار نهایی) با انتقال یک فایل مخرب علاوه بر بی‌اثر کردن آنتی‌ویروس، مسیر اجرای کد مخرب را هموار نماید. این تهدید به ویژه در حملات سازمان‌یافته و نفوذهای هدفمند، می‌تواند ابزار ارزشمندی برای مهاجمین تلقی شود.

تاریخچه تحقیقات روی موتور mpengine.dll

نخستین مطالعات جدی روی این ماژول توسط Tavis Ormandy از تیم Project Zero گوگل انجام شد. وی با شناسایی آسیب‌پذیری CVE-2017-8558 و همچنین توسعه یک لودر DLL روی لینوکس برای اجرای Fuzzing ابتدایی mpengine.dll، توجه پژوهشگران آسیب‌پذیری را جلب کرد.

در سال‌های بعدی آسیب‌پذیری شاخص دیگری با کد CVE-2021-34522 نیز کشف گردید، اما در مجموع موتور دیفندر به نسبت دیگر آنتی‌ویروس‌ها کمتر مورد توجه پژوهشگران آسیب‌پذیری بوده است. این خلاء مطالعاتی انگیزه‌ای برای نویسنده شد تا با امکانات جدید فازینگ مانند WTF و ابزارهای متن‌باز جدید، بار دیگر امنیت این هسته کلیدی را به چالش بکشد.
روش اجرای Fuzzing روی mpengine.dll

اجرای فرآیند Fuzzing روی mpengine.dll، به دلیل وابستگی به محیط ویندوز و پیچیدگی ماژول، نیازمند ابزارها و تکنیک‌های خاص است. در ابتدا، پژوهشگران Project Zero، با استفاده از loadlibrary روی لینوکس و یک فرآیند Harness سفارشی (mpclient.c)، مقدمات Fuzzing را فراهم کردند. با گذشت زمان و تغییر نسخه‌های mpengine این ابزار نیاز به به‌روزرسانی پیدا کرد.

در این پژوهش، مرکز ثقل تست‌ها روی ویندوز و ابزار WTF قرار گرفت. این ابزار به کمک Snapshot Fuzzing می‌تواند حالت اجرایی ماشین را ذخیره و به سرعت به وضعیت اولیه برگرداند، لذا تست‌های تکرارشونده بدون سربار بالا انجام می‌شود. همچنین ابزارهای kAFL/NYX و Jackalope برای تطبیق با فرآیندهای قبلی (همانند آنچه در تحلیل فازینگ Sophos Intercept X استفاده شد) نیز تست شدند.

نتایج نهایی نشان داد WTF با فاصله قابل توجهی بهترین نتیجه را روی این هدف ارائه می‌دهد و موفق به کشف باگ‌های جدید شد.
اهمیت آسیب‌پذیری‌های کشف شده

اگرچه باگ‌های شناسایی شده تا لحظه نگارش مقاله تایید نشده‌اند که قابل بهره‌برداری برای اجرای کد باشند، اما توانایی مهاجم برای ایجاد کرش در فراِیند MsMpEng.exe اهمیت زیادی دارد. در فضای عملی، مهاجم می‌تواند با انتقال یک فایل آلوده به سرور یا سیستم هدف و اسکن شدن آن توسط دیفندر، آنتی‌ویروس را از کار بیندازد. این وضعیت در بسیاری از سناریوهای حمله پیشرفته مانند credential dumping یا lateral movement اهمیت دارد.

پاسخ مایکروسافت به گزارشات پژوهشگر، چندان جدی نبوده است. در نمایه رسمی، مایکروسافت اعلام می‌کند این موارد از منظر سطح تهدید، متوسط ارزیابی شده و مشمول سرویس‌رسانی فوری نمی‌گردد! با این‌حال حداقل یکی از باگ‌ها در فاصله کوتاهی بی‌سروصدا وصله شده است.

جایگاه این پژوهش در امنیت EDR

ادامه در پست بعدی

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

23 May 2025 10:52

حملات سال ۲۰۲۵

#آکادمی_روزبه