آکادمی آموزش روزبه 📚

12 June 2025 20:53

👆👆ادامه از پست قبل


رابطه والد-فرزندی اشتباه: svchost.exe همیشه توسط services.exe اجرا می‌شود. lsass.exe همیشه توسط wininit.exe اجرا می‌شود. اگر یک svchost.exe را پیدا کردید که والد آن explorer.exe یا powershell.exe است، این یک ناهنجاری جدی است که می‌تواند نشان‌دهنده Process Injection یا تکنیک‌های دیگر باشد.

سناریوی شکار ۳: اتصالات شبکه غیرمنتظره

فرضیه: فرایندهای سیستمی که به طور معمول نباید با اینترنت ارتباط برقرار کنند، در حال ارسال یا دریافت ترافیک هستند. این می‌تواند نشانه ارتباط با سرور Command & Control (C2) باشد. (مرتبط با MITRE ATT&CK T1071: Application Layer Protocol)
نقاط داده کلیدی در JSON خروجی:
Network.Process.Name
Network.RemoteAddress
Network.RemotePort
Network.State (e.g., ESTABLISHED)
ناهنجاری‌هایی که باید به دنبالشان باشید:

ارتباطات خروجی از فرایندهای نامرتبط: چرا notepad.exe باید یک اتصال TCP به یک آدرس IP خارجی روی پورت 443 داشته باشد؟ چرا calc.exe باید به جایی وصل شود؟
ارتباطات lsass.exe: فرایند lsass.exe فقط باید با Domain Controllerها ارتباط برقرار کند. هرگونه اتصال خروجی از lsass.exe به یک آدرس IP ناشناس در اینترنت، یک هشدار بسیار جدی برای سرقت Credential (Credential Dumping) است.

Query نمونه با jq:


cat surveyor-output.json | jq '.Network[] | select(.Process.Name == "lsass.exe" and .RemoteAddress != "DC_IP_ADDRESS")'


3. جریان کاری (Workflow) یک شکارچی با Surveyor

تعریف فرضیه: با یک تکنیک ATT&CK شروع کنید. مثال: “مهاجم از Scheduled Tasks برای پایداری استفاده می‌کند.” (T1053.005)
اجرای Surveyor در مقیاس: با استفاده از PowerShell Remoting, PsExec یا ابزار مدیریت Endpoint خود، surveyor.exe -p را روی گروهی از ماشین‌های هدف (مثلاً تمام سرورهای وب) اجرا کنید.
تجمیع و نرمال‌سازی داده‌ها: تمام فایل‌های JSON خروجی را در یک مکان مرکزی جمع‌آوری کنید.
شکار و تحلیل:

ابتدا به دنبال ناهنجاری‌های آشکار بگردید (سرویس‌های بدون امضا، وظایف زمان‌بندی شده در مسیرهای کاربری).
سپس به سراغ تحلیل آماری بروید: “کدام مسیرهای اجرایی برای Scheduled Tasks در کل سازمان من شایع‌ترین هستند؟” هر چیزی که خارج از این شیوع باشد، یک Outlier است و نیاز به بررسی دارد.
مثال: یک وظیفه زمان‌بندی شده که rundll32.exe را با پارامترهای عجیب فراخوانی می‌کند، باید فوراً بررسی شود.

عملیاتی کردن یافته‌ها: پس از شناسایی یک ناهنجاری روی یک سیستم، از داده‌های Surveyor (مانند PID, Path, Hash) برای Pivot کردن به ابزارهای دیگر (مانند لاگ‌های EDR، تحلیل حافظه زنده (Live Memory Analysis) یا فارنزیک دیسک) برای تحقیقات عمیق‌تر استفاده کنید.

جمع‌بندی برای متخصص

مقاله Red Canary به شما نمی‌گوید چه چیزی بد است. به شما می‌گوید چگونه با استفاده از داده‌های ساختاریافته، خودتان تعریف کنید که “بد” در محیط شما به چه معناست. Surveyor یک ابزار ساده نیست؛ یک پلتفرم جمع‌آوری داده است که به شما به عنوان یک شکارچی، قدرت می‌دهد تا فرضیه‌های خود را در مقیاس وسیع آزمایش کرده و ناهنجاری‌هایی را پیدا کنید که سیستم‌های تشخیص خودکار ممکن است از دست بدهند. این ابزار، شکار تهدید را از یک فعالیت واکنشی به یک فعالیت کنشگرانه و مبتنی بر داده تبدیل می‌کند. آن را به جعبه ابزار خود اضافه کنید.


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

12 June 2025 19:40

ابزار روز برای IR
جمع آوری اطلاعات در مقیاس بزرگ


لینک برای مطالعه بیشتر و مشاهده ویدئو
https://redcanary.com/blog/threat-detection/detecting-anomalies-with-surveyor/?utm_source=linkedin&utm_medium=social

#آکادمی_روزبه
مرکز تخصصی CISSP

لینک ابزار

https://github.com/redcanaryco/surveyor

آکادمی آموزش روزبه 📚

12 June 2025 19:14

شنود در اندروید های مدرن
خطری برای App های بانکی و حساس


راه‌حل ارائه شده توسط nviso در لینک زیر ، یک تکنیک خلاقانه است که به جای تلاش برای فریب دادن اپلیکیشن یا سیستم‌عامل، یکی از اجزای اصلی و پایه‌ای خود سیستم‌عامل اندروید را دستکاری می‌کند تا ترافیک را به سادگی قابل شنود کند.

بخش اول: مشکل کجاست؟ چرا روش‌های قدیمی دیگر کار نمی‌کنند؟

برای درک اهمیت این روش جدید، باید ابتدا با مشکل آشنا شویم:

    روش استاندارد (و قدیمی): برای شنود ترافیک HTTPS، ابزارهایی مانند Burp Suite یا mitmproxy از یک حمله “مرد میانی” (Man-in-the-Middle) استفاده می‌کنند. برای این کار، شما باید یک گواهینامه دیجیتال (CA Certificate) مربوط به ابزار خود را روی دستگاه اندروید نصب کنید.
    محدودیت‌های اندروید مدرن: از اندروید ۷ (Nougat) به بعد، سیستم‌عامل به طور پیش‌فرض دیگر به گواهینامه‎‌هایی که توسط کاربر نصب شده‌اند، اعتماد نمی‌کند. این یعنی اپلیکیشن‌ها فقط گواهینامه‌های موجود در “خزانه گواهینامه‌های سیستمی” (system′s trust storesystem′s trust store) را معتبر می‌دانند.
   انجام  Certificate Pinning: بسیاری از اپلیکیشن‌های امن (مانند اپ‌های بانکی) یک قدم فراتر می‌روند و از تکنیکی به نام “پین کردن گواهینامه” (Certificate PinningCertificate Pinning) استفاده می‌کنند. در این روش، اپلیکیشن فقط و فقط گواهینامه خاص سرور خودش را قبول می‌کند و هر گواهینامه دیگری (حتی اگر در سیستم معتبر باشد) را رد می‌کند.
    راه حل‌های موجود (و مشکلاتشان): راه حل رایج برای دور زدن این محدودیت‌ها، روت کردن دستگاه و قرار دادن گواهینامه ابزار شنود در خزانه سیستمی است. اما این کار هم همیشه جواب نمی‌دهد و ابزارهایی مانند Frida برای غیرفعال کردن Certificate Pinning در لحظه اجرا (runtime) نیاز است که پیچیدگی‌های خاص خود را دارد.

    نتیجه: شنود ترافیک در اندروید مدرن به یک بازی موش و گربه پیچیده تبدیل شده است.

بخش دوم: تکنولوژی‌های کلیدی در روش جدید nviso

روش nviso بر پایه درک عمیق دو جزء اصلی از معماری مدرن اندروید استوار است:
۱. این Project Mainline (یا Google Play System Updates)

    یک ابتکار از سوی گوگل برای ماژولار کردن سیستم‌عامل اندروید. به جای اینکه برای آپدیت یک جزء حیاتی (مثل کتابخانه امنیتی یا کدک‌های رسانه) منتظر یک آپدیت کامل سیستم‌عامل (OTA) از سوی سازنده گوشی (مثل سامسونگ) بمانیم، گوگل می‌تواند این ماژول‌ها را مستقیماً از طریق Google Play به‌روزرسانی کند.
    چرا مهم است؟ این ماژول‌ها در قالب فایل‌هایی با فرمتAPEX (Android Pony EXpress) ارائه می‌شوند. این فایل‌ها در واقع بسته‌هایی حاوی فایل‌های سیستمی هستند که در زمان بوت شدن دستگاه، در یک مسیر خاص mount می‌شوند.

۲. بحث Conscrypt

     کتابخانه پیش‌فرض و اصلی اندروید برای مدیریت ارتباطات امن TLS/SSL (همان S در HTTPS) است. وقتی یک اپلیکیشن می‌خواهد یک اتصال امن برقرار کند، در پشت صحنه از ConscryptConscrypt استفاده می‌کند.
    چرا مهم است؟ ConscryptConscrypt مسئول بررسی و تایید اعتبار گواهینامه‌هاست. این کتابخانه خودش یک ماژول Mainline است، یعنی در یک فایل com.google.android.conscrypt.apex قرار دارد و توسط گوگل آپدیت می‌شود.

بخش سوم: روش خلاقانه nviso برای حل مشکل

ایده اصلی محققان nviso بسیار هوشمندانه است:

    “اگر ConscryptConscrypt مسئول اعتماد کردن به گواهینامه‌هاست و خودش یک ماژول قابل تعویض است، چرا خودِ ConscryptConscrypt را طوری دستکاری نکنیم که به گواهینامه ما ذاتاً اعتماد کند؟”

مراحل انجام این کار به شرح زیر است:

    استخراج ماژول: ابتدا فایل com.google.android.conscrypt.apex را از یک دستگاه روت شده یا شبیه‌ساز اندروید استخراج می‌کنند.
    باز کردن بسته APEX: این فایل را باز می‌کنند. درون آن یک فایل ایمیج به نام apex_payload.img وجود دارد که حاوی فایل‌های اصلی ماژول است.
    یافتن خزانه اعتماد: درون این ایمیج، به دنبال فایل خزانه گواهینامه‌های سیستمی می‌گردند. این فایل معمولاً cacerts نام دارد و شامل تمام گواهینامه‌های ریشه (Root CAs) است که اندروید به آن‌ها اعتماد دارد.
    تزریق گواهینامه مخرب: گواهینامه ابزار شنود (مثلاً Burp Suite) را به این فایل cacerts اضافه می‌کنند.
    بسته‌بندی و امضای مجدد: ماژول دستکاری شده را دوباره به فرمت APEX بسته‌بندی کرده و با کلیدهای شخصی خودشان امضا می‌کنند. این مرحله بسیار کلیدی است، زیرا سیستم‌عامل فایل‌های APEX بدون امضا را قبول نمی‌کند.

قسمت دوم در پست بعد 👇👇👇

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

12 June 2025 13:07

👆👆👆بخش دوم از مقاله فوق


قطعه کد مشخص را اندازه‌گیری کند و اگر این زمان از حد معینی بیشتر بود، نتیجه می‌گیرد که تحت نظارت است. علاوه بر این، برخی بدافزارها با استفاده از یک “بمب منطقی” (Logic Bomb)، برای روزها یا هفته‌ها غیرفعال می‌مانند. از آنجایی که سندباکس‌ها معمولاً برای چند دقیقه یک فایل را تحلیل می‌کنند، این بدافزارها به سادگی از زیر دست آن‌ها فرار می‌کنند و تنها زمانی فعال می‌شوند که سیستم به حال خود رها شده باشد.

این تکنیک‌ها نشان می‌دهند که مهاجمان از قبل به این نتیجه رسیده‌اند که “عدم مشاهده” یک مزیت استراتژیک است. اما تمام این روش‌ها، واکنشی هستند. آن‌ها در برابر حضور یک تحلیلگر واکنش نشان می‌دهند.
سوال بزرگ‌تر این است: آیا می‌توان این معادله را معکوس کرد؟

جهش کوانتومی: بدافزاری که تنها با “عدم مشاهده” فعال می‌شود

بیایید پا را یک قدم فراتر بگذاریم. تصور کنید بدافزاری طراحی شود که منطق آن برعکس است: این بدافزار به طور پیش‌فرض غیرفعال و بی‌خطر است و تنها در صورتی که به یقین برسد که تحت هیچ‌گونه نظارتی قرار ندارد، ماشه‌ی فعالیت مخرب خود را می‌کشد. این دیگر یک فرار ساده از سندباکس نیست؛ این یک تغییر ماهیت بر اساس سطح توجه است.

چگونه چنین چیزی ممکن است؟

ماشه بر اساس رفتار کاربر (User Behavior Triggers): بدافزار می‌تواند برای مدتی طولانی در پس‌زمینه به جمع‌آوری داده‌های مربوط به رفتار کاربر بپردازد. الگوهای تایپ کردن، حرکات موس، نرم‌افزارهای پراستفاده، ساعات فعالیت و استراحت. یک تحلیلگر امنیتی الگوهای رفتاری کاملاً متفاوتی نسبت به یک کارمند معمولی دارد. تحلیلگر ممکن است ساعت‌ها بدون حرکت موس به یک پنجره کد اسمبلی خیره شود یا چندین ابزار تحلیل شبکه را همزمان اجرا کند. بدافزار با یادگیری الگوی “طبیعی” کاربر هدف، تنها زمانی فعال می‌شود که آن الگو برای مدتی طولانی و بدون وقفه تکرار شود؛ یعنی زمانی که مطمئن است سیستم در حالت استفاده روزمره قرار دارد، نه تحلیل.

ماشه بر اساس حسگرهای بیومتریک (Biometric Sensing Triggers): با فراگیر شدن حسگرهای اثر انگشت، دوربین‌های تشخیص چهره و میکروفون‌ها در دستگاه‌های امروزی، بُعد جدیدی از تهدیدات ظهور می‌کند. آیا یک بدافزار می‌تواند از طریق وب‌کم، حضور فیزیکی کاربر را تشخیص دهد اما با تحلیل صدای محیط (مثلاً سکوت مطلق یا صدای فن کامپیوتر) نتیجه بگیرد که کاربر پای سیستم نیست و این بهترین زمان برای حمله است؟ یا حتی فراتر از آن، با تحلیل نبض نوری بازتاب‌شده از صورت کاربر، سطح استرس او را بسنجد و در آرام‌ترین لحظات، حمله را آغاز کند؟

اینجاست که مرز بین امنیت سایبری و فیزیولوژی انسان شروع به محو شدن می‌کند.

آینده تحلیل بدافزار: هوش مصنوعی و نبرد با سایه‌ها

اگر بدافزارها بتوانند به چنین سطحی از آگاهی محیطی دست یابند، ما تحلیلگران نیز باید ابزارهای خود را تکامل دهیم. نبرد آینده، نبردی بر سر “توجه” خواهد بود.

تصور کنید بدافزاری طراحی شده که می‌تواند حالت‌های شناختی تحلیلگر را حس کند. این دیگر داستان علمی-تخیلی نیست. با ورود حسگرهای EEG (نوار مغزی) پوشیدنی یا دوربین‌های پیشرفته‌ی ردیابی چشم (Eye-Tracking) به محیط‌های کاری، این سناریو به واقعیت نزدیک‌تر می‌شود. بدافزار می‌تواند تشخیص دهد که آیا نگاه تحلیلگر برای مدتی طولانی بر روی پنجره‌ی دیباگر متمرکز شده یا اینکه آیا امواج مغزی او نشان‌دهنده‌ی تمرکز عمیق است یا حواس‌پرتی. در چنین شرایطی، بدافزار می‌تواند تا زمانی که تحلیلگر خسته، ناامید یا حواس‌پرت نشده، در حالت خفته باقی بماند.

در این آینده، هوش مصنوعی نقش دوگانه‌ای خواهد داشت: هم در خدمت مهاجمان برای ساخت بدافزارهای هوشمندتر و هم در خدمت مدافعان برای ساخت سندباکس‌هایی که دیگر یک محیط ایزوله و مرده نیستند، بلکه یک شبیه‌ساز کامل از رفتار انسان هستند. این سندباکس‌های نسل بعد، با استفاده از AI، الگوهای انسانی را تقلید می‌کنند، وب‌گردی می‌کنند، ایمیل می‌نویسند و حتی اشتباهات تایپی دارند تا بدافزار “کوانتومی” را فریب دهند و متقاعدش کنند که در یک محیط واقعی و بدون ناظر قرار دارد.

چالشی نو برای شکارچیان تهدید: چگونه چیزی را شکار کنیم که از دیده شدن می‌گریزد؟

این پارادایم جدید، شکار تهدید (Threat Hunting) مدرن را با یک چالش فلسفی و عملی مواجه می‌کند. ما همیشه به دنبال “نشانه” بوده‌ایم: یک فرآیند مشکوک، یک ترافیک شبکه غیرعادی، یک فایل ناشناخته. اما اگر بدافزار آینده هیچ نشانه‌ای از خود بروز ندهد تا زمانی که ما دست از جستجو برنداریم، رویکرد ما باید چگونه تغییر کند؟.......



ادامه در پست بعد👇👇👇

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

12 June 2025 12:12

درفت مستند NIST برای حریم شخصی

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

10 June 2025 14:38

اسپلانک را به روز کنید

#آکادمی_روزبه
مرکز تخصصی CISSP

https://cybersecuritynews.com/splunk-enterprise-xss-vulnerability/

آکادمی آموزش روزبه 📚

09 June 2025 21:25

دوستان شبکه تون رو سگمنت کنید !!

امروز باز جایی رو IR داشتیم و چه راحت هکر Lateral move کرده بود.

آکادمی آموزش روزبه 📚

09 June 2025 11:26

یک نکته کلیدی و تاثیرگذار درباره پیاده‌سازی SOAR اسپلانک

«کیفیت و استانداردسازی داده‌های ورودی» (Input Data Quality & Standardization) اهمیت حیاتی دارد.

چرا این نکته مهم‌ترین است؟

۱.ابزار SOAR بدون داده درست، کور است:
دریافت Eventهای بی‌کیفیت، ناقص یا غیرهمسان (مثلاً Syslog خام یا Logهای بدون ساختار درست Splunk CIM)، باعث می‌شود Playbookها یا به‌درستی تریگر نشوند، یا اکشن‌ها خطا دهند و اتوماسیون به هشدارهای اشتباه پاسخ‌ دهد. اسپلانک SOAR کاملاً روی هشدارهای SIEM (ES، UBA و…)، داده Assetها، Alert Enrichment و تسک‌های بعدی وابسته است.
۲.تنوع ساختار لاگ و وقایع:
در محیط‌هایی با محصولات متنوع امنیتی (Firewall، EDR، XDR، فروشنده‌های مختلف)، تفاوت در فرمت/کلیدهای داده یک چالش دائمی است. Playbookها بر اساس الگوهای داده طراحی می‌شوند؛ اگر ورودی استاندارد نباشد، کل عملیات مختل می‌شود.
۳.کد و منطق Playbook وابسته به Consistency:
حتی یک اختلاف کوچک در نام فیلد (source_ip vs src_ip)، باعث می‌شود بخش قابل توجهی از اتوماسیون عمل نکند.
۴.توسعه پایدار، مانیتورینگ و بهینه‌سازی:
اگر داده‌های ورودی درست Tag، Label و دسته‌بندی نشده باشند، گزارش‌گیری، Root Cause Analysis، و حتی آموزش Analystها دچار مشکل می‌شود.

راهکار عملی
قبل از هر چیز، روی CIM (Common Information Model) Splunk، صحت‌سنجی و فیلتر لاگ‌ها وقت بگذارید. اگر لازم شد، حتی تیمی برای Mapping و Refine کردن جریان عبوری داده ایجاد کنید. با این کار، Playbookهایت واقعا با هر Event جدید، پیش‌بینی‌پذیر و قابل اطمینان اجرا خواهند شد.
خلاصه:
اگر فقط یک درس مهم بخواهم بگم:
‌‌"اگر داده ورودی تمیز، کامل و استاندارد نباشد، اسپلانک SOAR هر چقدر هم پیشرفته باشد، عملاً کارایی خودش را از دست می‌دهد."


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

08 June 2025 20:13

معرفی و تحلیل ابزار امنیتی malwoverview

با رشد چشمگیر حملات سایبری و گسترش بدافزارها، تیم‌های پاسخگویی به رخداد (Incident Response) و شکار تهدیدات (Threat Hunting) بیش ‌از هر زمان دیگری نیازمند ابزارهایی هستند که بتوانند در کوتاه‌ترین زمان ممکن، اطلاعات جامعی را درباره فایل‌های مشکوک و نمونه‌های بدافزاری گردآوری و تحلیل کنند. یکی از ابزارهای مطرح در این حوزه malwoverview است که به خوبی توانسته خلأ موجود در جمع‌آوری سریع اطلاعات تهدید را برای تحلیل‌گران امنیتی پر کند.
سایتmalwoverview چیست؟
سایت malwoverview یک ابزار متن‌باز و مبتنی بر پایتون است که به عنوان یک پلتفرم پاسخ اولیه (first response) در حوزه شکار تهدید و تحلیل بدافزار عمل می‌کند. ویژگی منحصر به فرد این ابزار، تجمیع داده‌های تهدید از منابع معتبر و متنوع است که از جمله آن‌ها می‌توان به VirusTotal، Hybrid Analysis، URLHaus، Polyswarm، Malshare، AlienVault، Malpedia، Malware Bazaar، ThreatFox، Triage، InQuest، VxExchange و IPInfo اشاره کرد.
ابزار با دریافت نمونه فایل (یا هش) مورد نظر، به صورت خودکار درخواست‌هایی به این سرویس‌های اطلاعاتی ارسال کرده و گزارش‌های مربوط را جمع‌آوری و تجمیع می‌کند. چنین رویکردی کمک می‌کند تحلیل‌گران امنیتی خیلی سریع‌تر به دید جامعی درباره ماهیت تهدیدات دست پیدا کنند.
نقاط قوت و مزایا
تجمیع داده‌ها از منابع مختلف: شاید بزرگ‌ترین مزیت malwoverview گردآوری سریع و خودکار اطلاعات تهدید از طیف گسترده‌ای از سرویس‌های عمومی و خصوصی باشد. این امر، دقت و جامعیت گزارش‌ها را افزایش می‌دهد و کار تحلیل‌گران را ساده‌تر می‌کند.
پشتیبانی از تهدیدات اندرویدی: با افزایش سهم بدافزارهای موبایلی در حملات، قابلیت اسکن و تحلیل نمونه‌های اندرویدی نسبت به ویروس‌تو‌تال در malwoverview برجسته است.
کاربری ساده و قابل سفارشی‌سازی: ابزار کاملاً مبتنی بر خط فرمان (CLI) است و خروجی قابل اسکریپت‌نویسی دارد. این قابلیت باعث می‌شود malwoverview به آسانی در سناریوهای اتوماسیون (مثلاً در Playbookهای SOAR) و حتی SIEMهای اختصاصی قابل استفاده باشد.
کاربردها در محیط عملیاتی SOC
ابزارهایی مانند malwoverview در عملیات‌های واکنش سریع (first response) و همچنین مانیتورینگ پیوسته (continuous monitoring) در SOC بسیار حیاتی هستند. جمع‌آوری داده‌ی چندمنبعی (multi-source) باعث می‌شود که تیم دفاع، دیدی متقاطع نسبت به هر هش یا فایل مشکوک داشته باشد و حتی بتواند Indicatorهای مرتبط را در سایر لاگ‌ها و رویدادها جست‌وجو کند. بخش قابل توجهی از ارزش malwoverview در همین ساده‌سازی و تسریع فرآیند شناسایی است.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy


https://github.com/alexandreborges/malwoverview

آکادمی آموزش روزبه 📚

07 June 2025 21:01

نابود سازی( امحا) 200 ترابایت داده در یک ثانیه !!Wipe عملی
برای محو امن داده طبقه بندی شده در دیتاسنتر های بزرگ

در دیسک‌های خودرمزنگار (Self-Encrypting Drive / SED) داده‌ها همیشه به صورت رمزنگاری‌شده ذخیره می‌شوند. با چیپی که روی دیسک وجود دارد داده ها رمز شده و کلید هم در آن چیپ است.
اما اصل قضیه به این صورت است:
۱. همه‌چیز به کلید رمزنگاری بستگی دارد
دیتای روی دیسک SED، نه به صورت ساده، بلکه با رمزنگاری الگوریتم symmetric (مثلاً AES-256) نگهداری می‌شود.
کلید رمزنگاری اصلی (Encryption Key) درون سخت‌افزار دیسک (در Crypto Processor داخلی) ذخیره شده و هرگز به بیرون فاش نمی‌شود.
۲. فرآیند پاک‌سازی سنتی در هارد معمولی
در هارد معمولی، باید کل سکتورها را با داده جدید overwrite کنید تا داده قبلی غیرقابل بازیابی شود. این عملیات ساعتها یا روزها زمان می‌برد، مخصوصاً برای ظرفیت‌های بالا.
۳. پاک‌سازی آنی در SED
در SED کافیست فقط کلید رمزنگاری قبلی بازنویسی یا نابود شود (مثلاً با یک کلید جدید جایگزین شود).
تمام داده‌های روی دیسک که با کلید قبلی رمزنگاری شده بودند، ناگهان و برای همیشه غیرقابل دسترسی می‌شوند؛ زیرا بدون داشتن کلید قبلی، تمام اطلاعات به صورت رمزی و غیرقابل بازیابی باقی می‌ماند.
این فرایند تنها چند میلی‌ثانیه تا چند ثانیه طول می‌کشد، چون نیاز به لمس فیزیکی همه سکتورها نیست—صرفاً یک عملیات سریع hard reset یا overwrite روی کلید رمزنگاری است.
۴. امنیت در سطح خیلی بالا
از نظر امنیت اطلاعات، چنین wipe‌ای مساوی با نابودی کامل فیزیکی دیسک است، زیرا رمزگشایی اطلاعات عملاً غیرممکن می‌شود.
حتی اگر یک مهاجم کل دیسک را کپی کند، بدون کلید اصلی هیچ راهی برای بازیابی داده‌ها ندارد.
جمع‌بندی
دلیل آنی بودن wipe در SED:
پاک‌سازی فوری به این دلیل شدنی است که نابودی فقط یک کلید رمزنگاری (که همه داده‌ها را پنهان کرده) بلافاصله باعث غیرقابل دسترس شدن کل فضای داده‌ای می‌شود.


**منظور از عملا غیر ممکن است ؛ یعنی با فناوریهای موجود تقریبا ناممکن است

#آکادمی_روزبه
مرکز تخصصی CISSP
www.roozbeh.academy

آکادمی آموزش روزبه 📚

07 June 2025 10:48

معماری امنیت : هنرمندی بین ضرورت و واقعیت

✍️روزبه نوروزی


آنچه که من بر اساس بهروش های روز جهان منجمله مستندات ISC2 و درس CISSP تاکید میکنم، رعایت امنیت با در نظرگرفتن عوامل مختلف است نه صرف خود امنیت.
نمونه اش رو در هفته گذشته در خصوص مساله ذخیره سازی کارتهای بانکی ملاحظه نمودید.
امروز پیرو تدریس CISSP در پنجشنبه ها لازم دیدم موضوع ضرورت و واقعیت در امنیت را از زاویه ای دیگر بررسی کنم .

بحث امروز :ترکیب Zero Trust و Trust But Verify بعنوان دو مفهوم اساسی در امنیت؛ رویکردی واقع‌گرایانه در امنیت سازمانی


در سال‌های اخیر، مدل‌های امنیتی سنتی که مبتنی بر مرز شبکه و اعتماد اولیه به کاربران داخلی سازمان بودند، دیگر پاسخگوی تهدیدات پیچیده و پیشرفته امروزی نیستند. در این میان، دو مدل پرکاربرد یعنی Zero Trust (بی‌اعتمادی مطلق) و Trust But Verify (اعتماد کن اما راستی‌آزمایی کن) وارد صحنه شده‌اند تا امنیت را بر پایه شک، بررسی و کنترل مداوم قرار دهند.
عموما مدل اول در نوشته ها و گروه های تلگرامی باب شده و متداول است اما آیا واقعا شدنی است؟مورد دوم هم اصلی در امنیت است که برای " انجام کار " در نظر گرفته میشود تا چرخ بیزنس چرخش بچرخد!!

اما کدام‌یک برای سازمان شما مناسب‌تر است؟
یا آیا ترکیبی از هر دو بهترین گزینه نیست؟

مقوله Zero Trust بر این اصل استوار است که هیچ کاربری، حتی اگر داخل سازمان باشد، نباید مورد اعتماد قرار گیرد، مگر آنکه هر بار درخواست دسترسی، هویت و مجوزهایش را به دقت اثبات کند. این مدل، عملاً فرض می‌کند هر سیستم یا شخصی بالقوه مهاجم است و باید تحت شدیدترین کنترل‌ها قرار گیرد. در این رویکرد، دارایی‌های کلیدی سازمان - مانند سرورهای مالی، پایگاه‌های داده حساس و منابع استراتژیک - موسوم به “protected surface” انتخاب می‌شوند و امنیت آن‌ها با سیاست‌هایی چون احراز هویت چندمرحله‌ای، تفکیک حداقل دسترسی و نظارت مستمر تضمین می‌شود.
در مقابل، Trust But Verify مدلی معتدل‌تر است. این روش فرض می‌کند که برخی فعالیت‌ها و کاربران می‌توانند تا حدی مورد اعتماد قرار گیرند، با این حال، تمامی فعالیت‌ها باید لاگ شوند و به‌صورت دوره‌ای توسط ابزارها یا کارشناسان امنیتی بررسی شوند. این اصل، به‌ویژه در بخش‌هایی از سازمان که سطح حساسیت کمتری دارند یا اعمال کنترل شدید باعث افت بهر‌ه‌وری می‌شود، کاربرد زیادی دارد. چرا که کنترل بیش از حد ممکن است فرآیندها را مختل کند و موجب نارضایتی کارکنان شود.
در عمل، ترکیب این دو رویکرد بهترین پاسخ به نیازهای امنیتی سازمان‌هاست. ابتدا باید “سطوح محافظت‌شده” تعیین شود تا بخش‌های بحرانی تحت سیاست Zero Trust قرار گیرند. بقیه سامانه‌ها و کاربران با مدل Trust But Verify مدیریت می‌شوند، بدین شکل که رفتارهای آن‌ها به شکل هوشمندانه پایش و تحلیل شده و در صورت مشاهده رفتار مشکوک یا تهدید، به سرعت اقدامات اصلاحی انجام می‌گیرد.
این شیوه ترکیبی علاوه بر بهبود امنیت، باعث حفظ کارایی سازمان و به حداقل رساندن اصطکاک امنیت با فعالیت‌های روزمره می‌شود. در نهایت، امنیت کامل یک هدف نیست، بلکه طیفی از اقدامات هوشمندانه و رو به رشد است که باید براساس ریسک‌های واقعی هر سازمان طراحی و اجرا شود.


#آکادمی_روزبه
مرکز تخصصی CISSP
www.roozbeh.academy

آکادمی آموزش روزبه 📚

04 June 2025 20:54

نگرش امنیتی داشتنsecurity mindset ضرورتی در دنیای امنیت


داشتن «نگرش امنیتی» (security mindset) در تدوین رول‌های auditd و همچنین کانفیگ فایروال FortiGate، تفاوت زیادی در کیفیت محافظت، کارایی رخدادنگاری (auditing) و پیشگیری از رخدادهای امنیتی ایجاد می‌کند. چند محور کلیدی:
در تدوین رول‌های auditd:

تشخیص سناریوهای حمله واقعی: فردی با نگرش امنیتی فقط لاگ مسیرهای obvious یا فعالیت‌های سیستماتیک ساده را log نمی‌کند؛ بلکه دنبال رفتارهای غیرعادی، سوءاستفاده‌های privilege escalation، تغییر مجوز فایل‌های سیستمی، exec شدن باینری‌های مشکوک و… است.
توازن بین حجم لاگ و اثربخشی: security mindset کمک می‌کند تنظیمات auditd به‌گونه‌ای باشد که نه فقط همه چیز log شود (که باعث noisy و تحمیل overhead می‌شود)، نه اطلاعات حیاتی از قلم بیفتد. مثلا ورود موفق و ناموفق به sudo، تغییرات در /etc/passwd، اجرای اسکریپت‌ها در /tmp ــ دقیق و هدفمند ثبت می‌شوند.
پوشش Blind Spotها: کسی با دید security، رول‌هایی مثل log گرفتن از setcap، mount، kernel module insertion و تغییر مالکیت فایل‌های کلیدی را، که در بسیاری از سیستم‌ها نادیده می‌مانند، جدی می‌گیرد.

در پیاده‌سازی فایروال FortiGate:

تحلیل رفتار ترافیک و Attack Surface: با ذهن امنیتی، رول‌ها صرفاً بر اساس چک‌باکس‌ها یا مستندات vendor نوشته نمی‌شوند؛ بلکه انواع حمله، lateral movement، و misconfiguration محتمل در نظر گرفته می‌شود. مثلاً allow نکردن ترافیک internal غیرضروری، توجه به rule order و جلوگیری از rule overlap.
فعال کردن Logging کافی: فایروال بدون log کامل، فقط یک “سد” خاموش است. security mindset یعنی توجه به log های reject/accept، حتی test rule ها و logging تراکنش‌هایی که معمولاً بی‌اهمیت تلقی می‌شوند اما می‌توانند pivot point در یک حمله باشند.
آزمایش و بازنگری مداوم رول‌ها: افراد با نگرش امنیتی مرتب رول‌ها را با تست penetration یا threat simulation (مانند ابزارهای شبیه‌ساز حمله) بازبینی می‌کنند تا blind spotها یا rule misconfiguration شناسایی و رفع شود.

نتیجه‌گیری

نگرش امنیتی security mindset به این معنی است که لاگ‌گیری و سیاست‌گذاری صرفاً براساس سلیقه یا الگوهای آماده نباشد؛ بلکه با نگاه تهدیدمحور، احتمال abuse و رفتار تطبیقی مهاجم، هر rule یا لاگ را تدوین و نگهداری کنیم. این دیدگاه، gapها را ‌حداقل و قابلیت دفاع عملیاتی سازمان یا شبکه را چند برابر می‌کند.


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

04 June 2025 18:24

ضعف‌های پنهان امنیت ایمیل: عبور حملات فیشینگ از SPF، DKIM و DMARC

در دنیای امروز که ایمیل‌ها بخش جدایی‌ناپذیری از چرخه تجاری و عملیاتی سازمان‌ها هستند، بسیاری بر این باورند که با اعمال سیاست‌های SPF، DKIM و DMARC می‌توانند جلوی نفوذ پیام‌های فیشینگ و جعل هویت را به‌طور کامل بگیرند. اما صرفاً تکیه بر این مکانیزم‌ها، به‌ویژه در پیاده‌سازی‌های خاص نظیر استفاده از سرویس‌هایی چون Cloudflare Email Routing، می‌تواند سازمان‌ها را در معرض حمله‌ قرار دهد.
سناریوی حمله: عبور فیشینگ با هدرهای معتبر

در یک نمونه خاص، مهاجم با استفاده از یک دامنه جعلی و سرویس مسیریابی ایمیل Cloudflare موفق شده است ایمیلی با ظاهر کاملاً مشروع به هدف ارسال کند. نکته کلیدی اینکه تمام سیاست‌های امنیتی موجود یعنی SPF (تعیین مجاز بودن سرور ارسال‌کننده)، DKIM (امضای رمزنگاری‌شده صحت پیام) و DMARC (سیاست تطبیق دامنه) را با موفقیت پشت سر گذاشته است.

روند حمله به این شکل است:

مهاجم ایمیلی را به دامنه هدف از طریق کلادفلر ارسال کرده؛ در حالی که آدرس فرستنده را دقیقاً مشابه با ایمیل واقعی قربانی قرار داده است.
چون رکورد SPF دامنه قربانی اجازه ارسال ایمیل از سمت کلادفلر را می‌دهد، SPF ایمیل را معتبر می‌داند.
مهاجم دامنه‌ای مشابه با Cloudflare (مثل cloudflare-email[.]net) ثبت و روی آن DKIM فعال می‌کند تا امضای رمزنگاری‌شده DKIM نیز معتبر باشد.
چون سیاست DMARC روی p=quarantine و با Alignment سختگیرانه تنظیم نشده، پیام در نهایت بدون هیچ هشداری به inbox قربانی می‌رسد.

ابعاد فنی پشت پرده

به شکل جزئی‌تر، این حمله بر این نکات فنی مبتنی است:

پیام ابتدا از سرور دیگری (مثلاً plesk.page hosting) ارسال می‌شود اما از طریق سرورهای ایمیل کلادفلر به مقصد می‌رسد.
دامنه استفاده شده برای امضای DKIM متعلق به مهاجم و ساختگی است اما با نامی مشابه سرویس معتبر (Cloudflare) که مورد اعتماد سیستم ایمیل قربانی است.
تنظیمات DMARC دامنه قربانی تطبیق سختگیرانه بین دامنه فرستنده و دامنه امضای DKIM را الزامی نکرده است.

در نتیجه، مهاجم با ثبت یک دامنه شبیه‌سازی‌شده و ساختن زیرساخت انتقال پیام (Cloudflare Routing)، سدهای امنیتی رایج را دور می‌زند و یک پیام فیشینگ کاملاً شبیه به پیام‌های سازمانی و قانونی می‌فرستد.

توصیه‌های امنیتی و نقاط قابل‌بهبود

در فضای عملیاتی کشور و شرکت‌هایی که از Cloudflare Email Routing یا سرویس‌های خارجی مشابه استفاده می‌کنند، ضروری است:

بازبینی دقیق تنظیمات DMARC: فعال‌سازی سیاست p=reject و الزام به تطبیق سخت‌گیرانه (Strict Alignment) میان دامنه‌های From, DKIM و SPF.
عدم اطمینان صرف به SPF و DKIM: این دو مکانیزم به‌تنهایی حتی در صورت پاس شدن، جلوی حمله دامنه‌های lookalike یا فیشینگ را نمی‌گیرند.
مونیتورینگ و تحلیل دقیق Logها: هرگاه زیرساخت یا سرویس جانبی (مانند کلادفلر) به‌عنوان واسطه ارسال ایمیل قرار می‌گیرد، باید ارسال‌های غیرمنتظره و دامنه‌های مشابه (lookalike) به‌دقت رصد شوند.
آموزش ساختاریافته کاربران و تیم امنیت: تاکید بر اهمیت تحلیل هدرهای ایمیل و تشخیص تفاوت‌های ظریف دامنه‌ها در کنار ابزارهای فنی.

هیچ مکانیزم تکی ایمیل، حتی استانداردهای جهانی مثل SPF و DKIM، جایگزین پیاده‌سازی درست، تطبیق سختگیرانه دامنه و آموزش امنیتی مداوم برای کاهش ریسک حملات فیشینگ پیشرفته نیست

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

03 June 2025 19:04

هایپروایزر و نقش آن در حافظه‌ درون نگری!! و مهندسی معکوس

در سال‌های اخیر، رشد چشمگیر فناوری مجازی‌سازی باعث شده ابزارهای امنیت سایبری و تحلیل آسیب‌پذیری، به ویژه در حوزه مهندسی معکوس بدافزار و بررسی رفتارهای تهدیدگرانه، به استفاده از هایپروایزرها (Hypervisor) برای حافظه‌ درون نگری (Memory Introspection) روی بیاورند. مقاله منتشر شده در سایت Secret Club به بررسی دقیق این روند و پیشران‌های فنی آن پرداخته است.

ذات Memory Introspection

حافظه‌ نگری به روشی اطلاق می‌شود که در آن، یک فرآیند خارجی (خارج از سیستم عامل هدف) فعالیت‌ها، داده‌ها و تغییرات حافظه یک ماشین هدف را مشاهده و تحلیل می‌کند؛ بدون آنکه از درون خودِ سیستم عامل قربانی عمل کند. این رویکرد، نقاط قوت عمده‌ای دارد:

عبور از محدودیت‌ها و دید امنیتی سیستم عامل هدف (مثل rootkit/bootkit و…)
مقاومت بالاتر در برابر تکنیک‌های ضدتحلیل بدافزارها
امکان ایجاد ابزارهای دقیق‌تر برای ردیابی فعالیت بدافزارها و اکسپلویت‌ها

نقش هایپروایزر

هایپروایزر میان‌افزاری است که سخت‌افزار را بین چند ماشین مجازی مدیریت می‌کند. هسته مقاله Secret Club این است که سطح دسترسی بالای هایپروایزر (VMM) و موقعیت خارج از سیستم عامل اجازه می‌دهد:

حافظه مهمان به صورت real-time و بدون تداخل بررسی شود؛
تغییرات حافظه، اجرای کد، و حتی دستکاری‌ها بدون هشدار به سیستم عامل قربانی، پایش گردد؛
تهدیدها یا rootkitها قبل از تلاش برای اختفا کشف شوند.

ابزارهایی چون DRAKVUF، Virtuoso و XenAccess مثال‌های بارز این فلسفه هستند که به کمک APIهای هایپروایزر (اغلب Xen و KVM)، ابزارهای تحلیل حافظه پیشرفته‌ای ایجاد کرده‌اند و تحلیل‌گران می‌توانند فعالیت‌های یک سیستم قربانی را زیرنظر بگیرند.

چالش‌ها و فرصت‌ها

فرصت‌ها:

فراهم کردن تحلیل غیرمخرب (non-intrusive) از سیستم‌های هدف، حتی هنگام بررسی بدافزارهای لایه‌پایین و پیچیده؛
سرعت و دقت بالا در snapshot‌گیری و جستجوی الگوی رفتاری تهدیدها؛
سادگی در پیاده‌سازی اتوماسیون تحلیل و حتی sandboxing پیشرفته بدافزار؛

چالش‌ها:

پیچیدگی پیاده‌سازی، نیاز به مهارت‌های سطح‌پایین (درک ساختار kernel، حافظه، و اصول مجازی‌سازی)؛
سوءاستفاده مهاجمان پیشرفته از آسیب‌پذیری‌های هایپروایزر;
حفظ عملکرد و کارایی (performance overhead) هنگام پایش زنده حجم بالای داده؛
دشواری در تحلیل real-time سیستم‌های بزرگ یا توزیع‌شده.

جمع‌بندی و افق آینده

مقاله تأکید می‌کند که استفاده از هایپروایزرها برای حافظه‌ درون نگری و مهندسی معکوس، نه تنها نقطه‌عطفی در امنیت سایبری است، بلکه ابزارهایی برای آینده تحلیل تهدید و شناسایی بدافزار به صورت stealthy و مؤثر پدید آورده است. هرچند هنوز موانع فنی باقی است، اما موج جدید VMI (Virtual Machine Introspection) پنجره‌ای به دنیای تحلیل پیشرفته Incident Response، Malware Analysis و حتی Threat Hunting گشوده است.

از منظر عملیاتی، اتخاذ این فناوری‌ها خصوصاً در تیم‌های IR و SOC می‌تواند دقت و سرعت کشف تهدیدات پیشرفته را چند برابر کند، به شرط آنکه تیم فنی زیرساخت و مهارت لازم را داشته باشد.



#آکادمی_روزبه
مرکز تخصصی CISSP


https://secret.club/2025/06/02/hypervisors-for-memory-introspection-and-reverse-engineering.html

آکادمی آموزش روزبه 📚

02 June 2025 16:07

هوشمندی تهدیدات داخلی (Insider Threat Intelligence)؛ فهم، تحلیل و راهبردهای مقابله بر اساس چارچوب CISSP

مقدمه
در دنیای امروز امنیت سایبری، تهدیدات داخلی (Insider Threats) به‌عنوان یکی از چالش‌برانگیزترین و پرهزینه‌ترین ریسک‌ها برای سازمان‌ها شناخته می‌شوند. برخلاف حملات بیرونی که منشأ آن‌ها اغلب مهاجمان ناشناس است، تهدیدات داخلی از سوی افرادی رخ می‌دهد که به منابع و داده‌های حساس سازمان دسترسی قانونی دارند. این افراد شامل کارکنان، پیمانکاران، شرکای تجاری و حتی کارکنان سابق می‌شوند. Insider Threat Intelligence (هوشمندی تهدیدات داخلی)، یعنی مجموعه فرایندها و فناوری‌هایی که به شناسایی، تحلیل، پیشگیری و پاسخ مؤثر به این دسته از تهدیدات می‌پردازد و از اهمیت فزاینده‌ای در چارچوب‌هایی مثل CISSP برخوردار است.

دسته‌بندی تهدیدات داخلی

تهدید داخلی به دو دسته اصلی تقسیم می‌شود:
عمدی (Malicious/Intentional):شامل افرادی که با اهداف خصمانه، به قصد سرقت، خرابکاری یا فروش اطلاعات دست به اقدام می‌زنند. مثال‌های رایج: انتقال غیرمجاز داده به رقبا، خرابکاری عمدی زیرساخت یا فروش اطلاعات.
غيرعمدی (Negligent/Unintentional):حاصل سهل‌انگاری یا عدم رعایت سیاست‌های امنیتی توسط افراد مجاز است. نمونه: ارسال اشتباهی فایل محرمانه به ایمیل خارجی، کلیک روی لینک‌های مخرب.

چرایی اهمیت هوشمندی تهدیدات داخلی

دسترسی عمیق: افراد داخلی غالباً به منابعی مثل پایگاه‌های داده بحرانی، کد منبع و سامانه‌های استراتژیک دسترسی مستقیم دارند.
دور زدن کنترل‌ها: دانش کافی برای عبور از کنترل‌های امنیتی متعارف مثل فایروال یا سامانه‌های تشخیص نفوذ دارند.
تشخیص دشوارتر: بسیاری از فعالیت‌های آن‌ها در ظاهر، “عادی” به نظر می‌رسد. همین موضوع، کشف و پاسخ سریع را دشوار می‌کند.
اجزا و مراحل تحلیل هوشمندی تهدید داخلی
بر اساس چارچوب CISSP و رویکردهای نوین Threat Intelligence، مراحل زیر توصیه می‌شود:
۱. جمع‌آوری داده (Data Collection):
ثبت لاگ‌های دسترسی کاربران (Authentication, File Access, Network Connection).
رهگیری رفتار کاربری در سامانه‌های بحرانی.
مانیتورینگ ایمیل‌ها، انتقال فایل و ترافیک داخلی.
۲. تحلیل رفتاری (Behavioral Analytics):
User & Entity Behavior Analytics (UEBA):تحلیل الگوهای عادی و غیرعادی کاربران. برای مثال، انتقال ناگهانی حجم زیاد داده یا دسترسی به سیستم در ساعات غیرکاری به‌عنوان شاخص رفتار مشکوک.
۳. تهیه شاخص‌های هشدار (Indicators of Insider Threat):
تعریف قواعد یا سناریوهایی که نشانه‌های تهدید داخلی را آشکار می‌کند (مثل تلاش برای کپی فایل‌های محرمانه به USB).
گردآوری اطلاعات تهدیدات واقعی و اشتراک‌گذاری با سایر سازمان‌ها (Threat Sharing).
۴. پاسخ و مقابله (Incident Response):
طرح اختصاصی واکنش به تهدیدات داخلی (جدای از IR معمول).
آموزش پرسنل امنیت و مدیران منابع انسانی برای برخورد سریع، قانونی و حرفه‌ای با وقایع.
۵. بازنگری و بهبود مستمر:
ممیزی ادواری سیاست‌های دسترسی، تفکیک وظایف (Separation of Duties)، اصل کمترین دسترسی (Least Privilege).
پیاده‌سازی سامانه‌های DLP و رمزنگاری داده‌های حساس.

نمونه راهکارها و فناوری‌ها

Data Loss Prevention (DLP): جلوگیری از نشت داده‌های حساس.
SIEM (Security Information & Event Management): جمع‌آوری، همبسته‌سازی و هشدار به رخدادها.
Privileged Access Management (PAM): نظارت بر رفتار حساب‌های دارای دسترسی ویژه.
Threat Intelligence Platforms (TIP): گردآوری و اشتراک‌گذاری داده‌های تهدیدات بروز.
UEBA: پایش رفتار کاربران و کشف الگوهای غیرعادی به صورت Real-Time.

ملاحظات انسانی و فرهنگی

هوشمندی تهدید داخلی صرفاً مسأله‌ای فنی نیست؛ بلکه نیازمند سیاست‌گذاری و فرهنگ‌سازی عمیق است:

فرهنگ گزارش‌دهی (Whistleblowing): ایجاد امکان گزارش رفتار مشکوک به صورت محرمانه و بدون ترس.
آموزش کارکنان: ارتقا آگاهی از سیاست‌ها و آثار رفتار ناهنجار در محیط کاری.
ارزش‌یابی مداوم ریسک پرسنلی: بررسی زمینه‌های نارضایتی، فشارهای روانی و تغییرات غیرمنتظره در رفتار ظرفیت تهدید را کاهش می‌دهد.
ایفای نقش تهدیدات داخلی در چارچوب CISSP
در آزمون و چارچوب CISSP، تهدیدات داخلی در مباحث Domain 1 (Security & Risk Management)، Domain 7 (Security Operations) و Domain 8 (Software Development Security) نقش کلیدی دارند. درک دقیق فرایند هوشمندی، این امکان را به دانشجویان می‌دهد تا کنترل‌ها، سیاست‌ها، فناوری‌ها و رویه‌های تشخیص و پاسخ را در سطحی کاربردی و مدیریتی پیاده‌سازی کنند.

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

12 June 2025 20:53

👆👆👆


این مقاله، Surveyor را از یک ابزار ساده “جمع‌آوری اطلاعات” به یک ابزار توانمندساز برای شکار تهدید مبتنی بر فرضیه (Hypothesis-Driven Threat Hunting) ارتقا می‌دهد. فلسفه اصلی این است: به جای تکیه بر امضاها (Signatures) یا هشدارهای از پیش تعریف‌شده، شما به عنوان یک شکارچی، داده‌های خام و ساختاریافته را در مقیاس جمع‌آوری کرده و سپس با استفاده از دانش خود از TTPهای مهاجمان، به دنبال انحراف از حالت عادی (Deviation from Baseline) می‌گردید.
1. فلسفه اصلی: جمع‌آوری داده در مقیاس برای شکار مبتنی بر فرضیه

مشکل اصلی در بسیاری از سازمان‌ها، فقدان دید یکپارچه و آنی از وضعیت تمام سیستم‌ها است. EDRها این مشکل را تا حدی حل می‌کنند، اما همیشه در دسترس نیستند یا ممکن است لاگ‌های مورد نیاز را به طور پیش‌فرض جمع‌آوری نکنند. Surveyor این خلاء را پر می‌کند.

بحث Point-in-Time Snapshot: این ابزار یک “عکس فوری” از وضعیت حیاتی سیستم در یک لحظه خاص می‌گیرد. این عکس فوری برای ایجاد یک خط پایه (Baseline) یا مقایسه وضعیت فعلی با یک وضعیت سالم شناخته‌شده، حیاتی است.
خروجی ساختاریافته (JSON): این مهم‌ترین ویژگی برای یک شکارچی است. داده‌های خام و بدون ساختار بی‌فایده هستند. خروجی JSON به شما اجازه می‌دهد که:
داده‌ها را از صدها یا هزاران سیستم به یک مخزن مرکزی (مانند یک S3 bucket، Elasticsearch، یا حتی یک پوشه شبکه) منتقل کنید.
با استفاده از ابزارهای خط فرمان قدرتمند مانند jq یا اسکریپت‌های Python (با کتابخانه‌های pandas/polars) و PowerShell، داده‌ها را به سرعت query، فیلتر، agregare و تحلیل کنید. شما دیگر به صورت دستی فایل‌های لاگ را نمی‌خوانید؛ شما در حال query زدن روی یک پایگاه داده از وضعیت سیستم‌ها هستید.

2. تکنیک‌های شکار عملی با استفاده از داده‌های Surveyor (Practical Hunting Techniques)

مقاله به درستی به چند سناریوی شکار بسیار مؤثر اشاره می‌کند. بیایید آن‌ها را با جزئیات فنی بیشتری بررسی کنیم:

سناریوی شکار ۱: خدمات (Services) مشکوک برای پایداری (Persistence)

فرضیه (Hypothesis): مهاجمان برای حفظ دسترسی خود پس از ری‌استارت سیستم، یک سرویس مخرب نصب می‌کنند. (مرتبط با MITRE ATT&CK T1543.003: Create or Modify System Process: Windows Service)
نقاط داده کلیدی در JSON خروجی:
Service.PathName
Service.Signature.IsSigned
Service.Signature.Signer
Service.State
ناهنجاری‌هایی که باید به دنبالشان باشید:

سرویس‌های بدون امضای دیجیتال (Unsigned Services): این یک Red Flag بسیار بزرگ است. تقریباً تمام سرویس‌های اصلی ویندوز و نرم‌افزارهای معتبر، امضا شده‌اند.

Query نمونه با jq:


cat surveyor-output.json | jq '.Services[] | select(.Signature.IsSigned == false)'


مسیرهای اجرایی غیر استاندارد: سرویس‌ها معمولاً از C:\Windows\System32 یا C:\Program Files اجرا می‌شوند. سرویسی که از C:\Users\...\AppData, C:\Temp, C:\Windows\Tasks یا C:\ProgramData اجرا شود، به شدت مشکوک است.

Query نمونه با jq:


cat surveyor-output.json | jq '.Services[] | select(.PathName | test("(?i)C:\\\\(Users|Temp|ProgramData|Windows\\\\Tasks)") )'


سرویس‌هایی که از ابزارهای دوگانه (Dual-Use Tools) استفاده می‌کنند: سرویسی که خط فرمان آن شامل powershell.exe -enc ..., rundll32.exe, mshta.exe یا certutil.exe باشد، باید فوراً بررسی شود.

سناریوی شکار ۲: فرایندهای ماسک‌شده (Masquerading Processes)

فرضیه: مهاجمان نام ابزارهای خود را به نام‌های فرایندهای سیستمی مشروع (مانند svchost.exe, lsass.exe) تغییر می‌دهند تا شناسایی نشوند. (مرتبط با MITRE ATT&CK T1036: Masquerading)
نقاط داده کلیدی در JSON خروجی:
Process.Name
Process.PE.InternalName
Process.PE.OriginalFileName
Process.Parent.Name
ناهنجاری‌هایی که باید به دنبالشان باشید:

عدم تطابق نام فرایند با نام داخلی PE: یک svchost.exe واقعی، در متادیتای فایل PE خود نیز نام داخلی svchost.exe را دارد. اگر Process.Name برابر svchost.exe باشد اما Process.PE.InternalName چیزی مانند mimikatz.exe یا evil.exe باشد، شما یک تهدید را کشف کرده‌اید.

Query نمونه با jq:


cat surveyor-output.json | jq '.Processes[] | select(.Name == "svchost.exe" and .PE.InternalName != "svchost.exe")'

ادامه در پست بعد

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

12 June 2025 19:16

ادامه از پست قبل

شنود در اندروید

جایگزینی ماژول: در یک دستگاه روت شده، فایل APEX اصلی را با نسخه دستکاری شده خود جایگزین می‌کنند.
راه‌اندازی مجدد: پس از ریبوت کردن دستگاه، اندروید ماژول ConscryptConscrypt دستکاری شده را بارگذاری می‌کند.

نتیجه نهایی و اهمیت آن

شنود کامل و شفاف: از این لحظه به بعد، کل سیستم‌عامل اندروید و تقریباً تمام اپلیکیشن‌هایی که از کتابخانه استاندارد استفاده می‌کنند، گواهینامه ابزار شنود شما را به عنوان یک گواهینامه کاملاً معتبر و سیستمی می‌شناسند.
دور زدن اکثر دفاع‌ها: این روش بسیاری از مکانیزم‌های دفاعی از جمله بررسی خزانه کاربری و حتی برخی پیاده‌سازی‌های ساده Certificate Pinning را به طور کامل دور می‌زند، زیرا تغییر در پایین‌ترین سطح ممکن (کتابخانه TLS) اعمال شده است.

نکات و محدودیت‌ها:

نیاز به روت: این تکنیک نیازمند دسترسی روت به دستگاه است. این یک آسیب‌پذیری نیست که یک هکر بتواند از راه دور از آن استفاده کند، بلکه ابزاری قدرتمند در دست محققان امنیتی و تسترهای نفوذ است که از قبل به دستگاه دسترسی فیزیکی یا روت دارند.
سطح حمله جدید: این روش یک سطح حمله جدید را برجسته می‌کند: ماژول‌های Mainline. اگر یک مهاجم بتواند به دستگاه شما دسترسی روت پیدا کند، می‌تواند با دستکاری این ماژول‌های حیاتی، کنترل عمیق و پایداری بر روی سیستم شما به دست آورد.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://blog.nviso.eu/2025/06/05/intercepting-traffic-on-android-with-mainline-and-conscrypt/

آکادمی آموزش روزبه 📚

12 June 2025 13:11

👆👆👆ادامه از پست قبل

این مانند معمای گربه شرودینگر در امنیت سایبری است: تا زمانی که جعبه (سیستم) را برای تحلیل باز نکنیم، نمی‌دانیم که آیا بدافزار (گربه) زنده (فعال) است یا مرده (غیرفعال). اما خود عمل باز کردن جعبه، نتیجه را تعیین می‌کند.

شکارچیان تهدید آینده باید به “بازیگر” تبدیل شوند. تحلیل باید به صورت پنهانی و غیرمستقیم صورت گیرد. شاید به جای تحلیل مستقیم یک سیستم، مجبور شویم از طریق تحلیل عوارض جانبی (Side-Channel Analysis) مانند الگوی مصرف برق پردازنده یا تشعشعات الکترومغناطیسی آن، به فعالیت‌های داخلی‌اش پی ببریم. رویکرد ما باید از یک جستجوی فعال به یک نظارت منفعل و هوشمند تغییر کند.!!!

در نهایت، ایده “بدافزار کوانتومی” یک تلنگر است. تلنگری به ما برای اینکه به یاد داشته باشیم دشمنان ما نیز در حال تکامل هستند و از هر مفهومی، حتی از دل فیزیک نظری، برای پیشبرد اهداف خود الهام می‌گیرند. نبرد آینده در امنیت سایبری، نه تنها نبردی بر سر کدها و الگوریتم‌ها، بلکه نبردی بر سر ادراک، توجه و خودآگاهی خواهد بود. و در این نبرد، تنها آن‌هایی پیروز خواهند شد که بتوانند سایه‌ها را حتی زمانی که در تاریکی مطلق پنهان شده‌اند، ببینند.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

12 June 2025 12:57

سلسله ارائه هایی در زیرمجموعه وزارت نفت داشتم که به آینده IT و OT ؛ امنیت و هوش مصنوعی پرداختم
مقاله زیر یکی از ابعادی است که در اون ارائه اشاره کردم


✍️روزبه نوروزی CISSP, PMP, ECSA,CEH,ISO 27001 LA,COBIT5,MCSA

🌀بدافزار کوانتومی: تهدیدی که تنها در غیاب ناظر، وجود دارد

مقدمه: رقص سایه‌ها در دنیای دیجیتال و فلسفه

در دنیای عجیب و شگفت‌انگیز فیزیک کوانتوم، اصلی وجود دارد که همواره ذهن فلاسفه و دانشمندان را به خود مشغول کرده است: اثر مشاهده‌گر (Observer Effect). این اصل، که به شکلی با اصل عدم قطعیت هایزنبرگ گره خورده، به ما می‌گوید که عمل ساده‌ی مشاهده یا اندازه‌گیری یک سیستم کوانتومی، ذاتاً حالت آن سیستم را تغییر می‌دهد. یک ذره تا زمانی که مشاهده نشده، می‌تواند در چندین حالت به طور همزمان وجود داشته باشد (برهم‌نهی کوانتومی)، اما به محض اینکه نگاه کنجکاو ما به آن می‌افتد، مجبور به انتخاب یک حالت مشخص می‌شود.

برای سال‌ها، من این مفهوم را صرفاً یک شگفتی در مقیاس زیراتمی می‌دانستم. اما امروز، در مقام یک پژوهشگر امنیت سایبری، به این فکر می‌کنم که آیا این اصل مرموز، یک همزاد دیجیتال در تاریک‌ترین کوچه‌های دنیای مجازی ندارد؟

این مقاله، کاوشی است در یک ایده که در ابتدا ممکن است علمی-تخیلی به نظر برسد، اما ریشه‌های آن عمیقاً در واقعیت‌های امروز ما تنیده شده است: چه می‌شود اگر بدافزارها بتوانند مانند ذرات کوانتومی رفتار کنند و تنها زمانی ماهیت واقعی و مخرب خود را آشکار سازند که هیچ‌کس، به‌خصوص یک تحلیلگر امنیتی، در حال تماشای آن‌ها نباشد؟

وضعیت موجود: بدافزارهای ضدتحلیل، پیش‌درآمدی بر یک پارادایم جدید

ایده‌ی بدافزاری که از مشاهده فراری است، کاملاً جدید نیست. ما سال‌هاست که با خانواده‌ای از تهدیدها به نام بدافزارهای ضدتحلیل (Anti-Analysis) دست‌وپنجه نرم می‌کنیم ( رجوع شود به کتاب EvasiveMalware که در گروه تلگرام روزبه خواندیم ) . این بدافزارها مجهز به مجموعه‌ای از ترفندها هستند تا از شناسایی شدن توسط ابزارهای تحلیلگران امنیتی بگریزند. این تکنیک‌ها اولین گام‌ها در مسیر تحقق “بدافزار کوانتومی” هستند:

ضد دیباگینگ (Anti-Debugging): بدافزار به طور مداوم بررسی می‌کند که آیا یک دیباگر (Debugger) به فرآیند آن متصل شده است یا خیر. با استفاده از توابعی مانند IsDebuggerPresent() در ویندوز یا بررسی وقفه‌های نرم‌افزاری، بدافزار می‌تواند حضور تحلیلگر را حس کرده و بلافاصله اجرای خود را متوقف کند یا یک مسیر اجرایی بی‌خطر را در پیش بگیرد.

ضد ماشین مجازی (Anti-VM): سندباکس‌ها (Sandbox) و ماشین‌های مجازی، زمین بازی اصلی تحلیلگران هستند. بدافزارهای پیشرفته با بررسی مشخصات سخت‌افزاری (مانند شناسه‌های MAC مربوط به VMware یا VirtualBox)، فایل‌های سیستمی خاص یا کلیدهای رجیستری که حضور یک محیط مجازی را لو می‌دهند، از اجرا در این محیط‌ها خودداری می‌کنند.

بررسی‌های زمانی و ترفندهای تأخیر (Timing Checks & Sleep Tricks): این یکی از هوشمندانه‌ترین روش‌هاست. اجرای کد در یک محیط شبیه‌سازی‌شده معمولاً کندتر از سخت‌افزار واقعی است. بدافزار می‌تواند زمان اجرای یک ....



ادامه مقاله در پستهای آینده

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

10 June 2025 20:52

ماشالله به دوستان که خسته نمیشن از بازتولید یک نسل خاص از SIEM

بازم یه SIEM جدید به محصولات بومی اضافه شد تا بتونیم به تعداد SIEM های جهانی نمونه وطنی داشته باشیم .
دریغ از توانمندی مورد نیاز.

ما هیچ ما نگاه

آکادمی آموزش روزبه 📚

10 June 2025 07:52

موضوع بحث گروه کلاسی CISSP: عملیات DRAGONCLONE؛ سوءاستفاده از امضای دیجیتال Wondershare برای تحویل بدافزار VELETRIX

✍️روزبه نوروزی

به‌عنوان یه متخصص SOC و تحلیل بدافزار در تدریس CISSP فصل عملیات امنیت، همیشه دنبال نکات فنی جدیدم که هم خودم رو به چالش بکشه و هم شاگردام رو تو کلاس‌های آموزشی هیجان‌زده کنه. تازگی‌ها مقاله‌ای از Seqrite Labs درباره کمپین “Operation DRAGONCLONE” خوندم که یه تکنیک فوق‌العاده مخفیانه رو معرفی کرده: سوءاستفاده از DLL Sideloading با استفاده از امضای دیجیتال معتبر Wondershare برای تحویل بدافزار VELETRIX. این تکنیک نه‌تنها پیچیده‌ست، بلکه نشون می‌ده چطور مهاجمان از اعتماد سیستم‌های امنیتی به فایل‌های امضا‌شده سوءاستفاده می‌کنند.

توی این کمپین، که صنعت مخابرات چین (به‌ویژه China Mobile Tietong) رو هدف گرفته، مهاجمان از یه فایل ZIP مخرب ZIP استفاده کردن. داخل این ZIP، یه فایل اجرایی شناخته میشه به نام “2025 China Mobile Tietong Internal Training Program” وجود داره که در واقع نسخه‌ای تغییرنام‌یافته از drstat.exe (متعلق به نرم‌افزار Wondershare RepairIt) با امضای دیجیتال معتبره. این فایل وقتی اجرا می‌شه، به‌جای DLL قانونی، یه DLL مخرب به اسم drstat.dll رو لود می‌کنه که حاوی بدافزار VELETRIXاست. این بدافزار 64 بیتی، با توابعی مثل dr_data_stop، می‌تونه داده جمع‌آوری کنه یا به سرور C2 متصل بشه و به مرحله بعدی حمله، یعنی VShell، بره.

چیز جذابی که برام هست ، استفاده از امضای دیجیتال Wondershare برای فریب سیستم‌های امنیتیه. چون فایل اجرایی امضا معتبر داره، آنتی‌ویروس‌ها و حتی EDRهای سنتی ممکنه بهش اعتماد کنن. مهاجمان با تغییر نام فایل (مثل “Registration-link.exe”) و جاسازی DLL مخرب، بدون دستکاری امضا، بدافزار رو اجرا می‌کنند. این یعنی تشخیصش با روش‌های مبتنی بر امضا تقریباً غیرممکنه! نکته جالب دیگه، استفاده از گواهی دیجیتال "Shenzhen Thunder Networking Technologies Ltd"هست که قبلاً تو حملات چینی دیده شده.

برای شناسایی این تهدید، باید سراغ تحلیل رفتاری بریم. ابزارهای EDR و XDR مثل ترند میکرو می‌تونن لود DLLهای غیرمنتظره رو رصد کنند. تنظیم Sysmon برای لاگ کردن رویدادهای لود DLL (Event ID 7) هم خیلی کمک‌کننده‌ست. مثلاً می‌تونیم با این تنظیم، لود drstat.dll رو بررسی کنیم:


<ImageLoad onmatch="include">
<ImageLoaded condition="contains">drstat.dll</ImageLoaded>
</ImageLoad>

تحلیل حافظه با Volatility برای بررسی ناهنجاری‌های VAD و مانیتورینگ ترافیک شبکه برای تشخیص ارتباطات مشکوک هم ضروریه. این تکنیک به ما یادآوری می‌کنه که حتی فایل‌های امضا‌شده هم می‌تونن مخرب باشن، و باید رفتارشون رو عمیق‌تر تحلیل کنیم.

برای شاگردام این سوال رو مطرح کردم: اگه یه فایل امضا‌شده از Wondershare رفتار مشکوک نشون بده، چطور تحقیق می‌کنید؟ این سوال اونا رو به سمت Memory Forensics و Threat Hunting می‌بره. این کمپین، که احتمالاً کار گروه‌های APT چینی مثل APT41ه، نشون می‌ده تهدیدات مدرن چطور از ابزارهای قانونی برای حملات هدفمند استفاده می‌کنن.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://www.seqrite.com/blog/operation-dragonclone-chinese-telecom-veletrix-vshell-malware/

آکادمی آموزش روزبه 📚

09 June 2025 12:44

و Kali GPT ....

۱.این ابزار یک افزودنی مبتکرانه به توزیع لینوکسی Kali است که با استفاده از قدرت هوش مصنوعی (مدل زبان بزرگ) به هکرها، پنتسترها و تحلیل‌گران امنیت سایبری کمک می‌کند تا ارتباط با ابزارها را ساده، آموزش ببینند و سریع‌تر به هدف برسند. برخلاف صرفاً نصب ابزار، حالا می‌توان دستورات و اسکریپت‌های لازم، توضیحات، پارامترهای کاربردی و حتی نمونه‌کد را مستقیماً از طریق چت دریافت کرد.

۲. کاربردها و مزایای ملموس:

تولید سریع دستورات: کافیست هدف خود را مطرح کنید («چطور با nmap scan کنم؟»)، Kali GPT توضیح و دستور کامل را می‌دهد. برای مبتدی‌ها فوق‌العاده است و حتی افراد حرفه‌ای را از جستجو در داکیومنت، خلاص می‌کند.
اکسپلویت و راهنمایی مرحله به مرحله: به‌جای جستجو در صفحات اینترنت، Kali GPT مرحله‌های نفوذ یا تست نفوذ را با جزییات ارائه داده و خط فرمان مناسب هر ابزار را تولید می‌کند.
یادگیری و آموزش در لحظه: می‌توانید نحوه عملکرد هر ابزار امنیتی را سوال کنید یا کاربردش را بخواهید. پاسخ‌ها به زبان ساده و همراه مثال است.
کاهش خطای انسانی: با دریافت دستورات شخصی‌سازی‌شده، احتمال اشتباه در سوئیچ‌ها یا سینتکس کاهش می‌یابد.
یافتن سریع آسیب‌پذیری/بای‌پس: برخی فرامین پیچیده یا «ترکیبی» را که یادآوری‌شان سخت است، می‌توان به کمک هوش مصنوعی، با یک پرسش درست و آماده دریافت کرد.

۳. محدودیت‌ها و چالش‌های فعلی:

نمی‌تواند جای تجربه را بگیرد. در نهایت تحلیل و قضاوت انسانی حیاتی است؛ کالی GPT صرفاً ابزار کمکی است.
بروزرسانی دیتا: میزان به‌روزبودن مدل و اطلاعات ابزارها نقش کلیدی در کارایی دارد. اگر دیتای مدل قدیمی باشد، خروجی آن هم به‌روز نیست.
مسائل امنیت داده: اگرچه در خود کالی اجرا می‌شود اما همیشه باید مراقب بود چه چیزی به مدل داده می‌شود.

۴. برای چه کسانی واقعاً مفیده؟

مبتدی‌ها: دیگر نیاز به حفظ کلی دستور و پارامتر ندارند؛ فقط سوال و هدف را وارد می‌کنند.
پنتسترهای حرفه‌ای: فرایند کار سریع‌تر و تمیزتر؛ می‌تواند مثل یک helper همیشه در دسترس باشد.
آموزش‌دهنده‌ها و مربیان امنیت: در ارائه مثال‌ها و توضیح مفاهیم کاربردی و به زبان ساده، یک کمک آموزشی پرقدرت محسوب می‌شود.

جمع‌بندی و ارزش افزوده واقعی برای شما:

این Kali GPT دقیقاً همان “دستیار هوشمندی” است که سرعت یادگیری و اجرای تست‌های امنیتی را افزایش می‌دهد. شما دیگر وقت خود را صرف جستجو در داکیومنت نمی‌کنید، بلکه تمرکز شما روی تحلیل واقعی و کشف آسیب‌پذیری خواهد بود.
مهم‌تر این‌که این ابزار هم برای یادگیری و هم پروژه‌های واقعی استفاده می‌شود و جایگاه Kali را در دنیای پنتست به عصر AI ارتقا می‌دهد.

اگر دانش فنیِ پایه را داشته باشی، عملاً Kali GPT باعث می‌شه راحت‌تر و سریع‌تر ایده‌ات رو عملی کنی و آخر هر کار هم یک لایه‌ی توضیح و Learning برات باقی می‌گذاره


#آکادمی_روزبه
مرکز تخصصی CISSP

https://cybersecuritynews.com/kali-gpt/#google_vignette

آکادمی آموزش روزبه 📚

09 June 2025 08:07

معماری، اجزا و منطق Risk Scoring در Splunk UBA

ابزار Splunk UBA (User Behavior Analytics) به‌عنوان یک زیرسیستم مستقل از Splunk Enterprise Security، برای کشف تهدیدات پیشرفته مبتنی بر رفتار و تشخیص ناهنجاری (Anomaly Detection) طراحی شده است. این ماژول بر مبنای مکانیزم‌های تحلیل داده‌های بزرگ (Big Data) و یادگیری ماشین (ML) توسعه یافته و از یک معماری چندلایه بهره می‌برد.
۱. لایه جمع‌آوری و پردازش داده (Data Ingestion & Processing)
بخش UBA Connectorهای Splunk: دریافت داده از SPL، Syslog، فایل‌های خام، API، و اتصال بومی به Splunk Enterprise (طبق CIM).
بخش Normalize & Enrich: داده‌های خام در مرحله “Normalizing” و “Enrichment” به فرمت استاندارد UBA تبدیل، و با اطلاعات کاربری، دیوایس‌ها، آدرس‌های IP و شبکه غنی‌سازی می‌شوند.
بخش Data Lake: ذخیره داده‌ها در دیتابیس NoSQL (معمولاً HBase روی Hadoop)، با امکان پردازش موازی حجیم.
۲. لایه مدل‌سازی و تحلیل (Analytics & Modeling Layer)
بخش Model Runner Engine: موتور اختصاصی اجرای مدل‌های یادگیری ماشین روی داده‌های جمع‌آوری‌شده.
مدل‌های تحلیلی (Analytics Models): ده‌ها مدل، شامل:
Account Anomaly Models:
شناسایی Login مشکوک، دسترسی‌های غیرمعمول، Brute Force.
Endpoint/Host Models:
کشف Process مشکوک، Lateral Movement.
Data Exfiltration Models:
تشخیص جابه‌جایی/خروج داده حساس.
Network Models:
مثل DGA Detection، ارتباط غیرعادی Peerها.
هر مدل، خروجی‌ای به نام Anomaly Event تولید می‌کند با توصیف، شدت، timestamp و لینک به داده خام.
۳. لایه امتیازدهی و تجمیع (Risk Scoring & Aggregation)
Anomaly Correlator:
مدام رفتارها را رصد می‌کند؛ هر ناهنجاری یک امتیاز ریسک پایه دارد (Base Risk Score) که بسته به حساسیت مدل و نوع داده (مثلاً لاگین از کشور ناآشنا شدیدتر است).
Aggregation Rule Sets:
اگر در یک بازه زمانی مشخص، چند ناهنجاری باهم رخ دهند (مثلاً Escalation، Data Access، Lateral Movement)، امتیازها تجمیع می‌شوند و وزن بیشتری می‌گیرند.
Entity Risk Score:
برای هر User/Asset یک متغیر به‌روزشونده وجود دارد که مجموع نمرات ریسک را نگه می‌دارد (Entity-based, Contextual).
۴. لایه شناسایی تهدید (Threat Detection & Threat Packaging)
Threat Package Builder:
پس از عبور یک Entity از آستانه ریسک (Risk Threshold)، چندین ناهنجاری مرتبط را “بسته‌بندی” و به شکل یک Threat Object بامحتوای کامل (تاریخچه، مسیر، جزئیات فنی) به ماژول SIEM ارسال می‌کند.
نمایش در UI: داشبورد جامع، تایم‌لاین رفتار کاربر/سیستم، گراف روابط (Entity Graph)، و امکان Pivoting روی داده خام.
۵. یکپارچگی با اکوسیستم و واکنش
ارسال هشدارها به Splunk ES
یک API Integration برای اتصال به SOAR و واکنش خودکار
وFeedback Loop برای تریاژ و ارتقای صحت مدل‌های ML

مزیت فنی رویکرد UBA
ریاضیات امتیازدهی ریسک بر پایه تجمیع وزن‌دار است:
Risk Score = Σ(Anomaly Score × Model Weight) × Contextual Modifier
توجیه‌پذیری هشدارها توسط “توالی‌نگاری تهدید” (Threat Timeline) برای تیم SOC
کاهش هشدارهای کاذب بواسطه Thresholdهای چندلایه، مدل Correlation، و وزن‌دهی پویا

در نتیجه، Splunk UBA با تحلیل لایه به لایه ناهنجاری‌ها، مدل‌سازی پویا و Scoring هدفمند، تهدیدهای منتج از رفتار ترکیبی را کشف و عمیقاً Contextual می‌کند؛ در حالی که نقاط قوت و ضعف هر لایه به‌صورت ماژولار قابل پایش و بهینه‌سازی است.


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

08 June 2025 13:47

🟣عوامل فنی و فرهنگی در به‌کارگیری Splunk SOAR در SOC
🔆۱۰ سال تلاش برای جا انداختن Incident response خودکار در ایران


✍روزبه نوروزی


در سال‌های گذشته، یکی از چالش‌های اصلی تیم‌های SOC که برای خودکارسازی فرایندهای پاسخ به حادثه (Incident Response) با آنها درگیر بودم این بود که دسترسی اکانت‌ها و اعتبارات (Credentials) تجهیزات شبکه و امنیتی در اختیارشان قرار نمی‌گرفت. این مانع فنی-سازمانی عملاً اجازه نمی‌داد اسکریپت‌ها یا ربات‌های پاسخ خودکار، دقیقا اقدمات اصلاحی (Containment, Remediation) را به‌صورت امن و اتوماتیک اجرا کنند. اما امروز بسیاری از شرکت‌ها به لطف راه‌حل‌های SOAR (Security Orchestration, Automation and Response) به ویژه Splunk SOAR توانسته‌اند فرایندهای عملیات پس از کشف تهدید را به‌طور مؤثر اتومات کنند. در اینجا، مهم‌ترین عوامل فنی و فرهنگی این گذار را بررسی می‌کنم.

✅️ عوامل فنی

۱. درگاه متمرکز مدیریت اعتبار (Credential Vault)
🔸️ابزار SOARها مثل Splunk SOAR یک «گنجینه» امن برای ذخیره‌ و بازیابی خودکار نام‌کاربری/رمز عبور و توکن‌های API ارائه می‌کنند.
🔸️با استفاده از Vault، نیازی به اشتراک مستقیم اکانت شبکه با تیم SOC یا قرار دادن پسورد در اسکریپت نیست.
۲. کتابخانه گسترده Connector و API
🔸️اتصالات (Connectors) و Appهای آماده برای فایروال‌ها، سوئیچ‌ها، Endpoint Security و غیره
🔸️تبدیل هر فرمان CLI یا REST API به یک اکشن قابل فراخوانی در Playbook
۳. وجود Playbookهای قابل ویرایش و گراف‌محور
🔸️طراح گرافیکی (Visual Playbook Designer) که بدون کدنویسی سنگین اجازه مدل‌سازی چک‌لیست، تریگرها، شرایط و واکنش‌ها را می‌دهد.
🔸️امکان اشتراک Playbook در داخل سازمان و استفاده مجدد
۴. سیستم کنترل نسخه و تست خودکار
🔸️پیش از انتشار تغییرات، امکان تست Playbook روی دیتای شبیه‌سازی‌شده (Sandbox)
🔸️بازگشت به نسخه قبلی در صورت بروز خطا
۵. گزارش‌دهی و Audit Trail دقیق
🔸️ثبت تمامی اکشن‌های اتوماتیک و دستی با جزئیات زمان، کاربر و نتیجه
🔸️تسهیل اثبات رعایت مقررات (Compliance) و استانداردهای امنیتی
۶. معماری توزیع‌شده و مقیاس‌پذیر
🔸️ابزار SOAR می‌تواند در مدل‌های Active-Active یا Cluster پیاده شود تا با رشد حجم هشدارها (Alerts) پاسخگو بماند.

✅️ عوامل فرهنگی و سازمانی

۱. جلب اعتماد تیم‌های شبکه و زیرساخت
🔹️قبل‌تر بخش شبکه، با توهم «از دست رفتن کنترل» یا «خطر تغییرات خودکار»، اکانت‌ها را در اختیار SOC نمی‌گذاشت.
🔹️با معرفی «Vault» و «Role-Based Access Control»، دسترسی حداقلی و فقط برای اکشن‌های تعریف‌شده تضمین شد.
۲.اصول Least Privilege و Separation of Duty
🔹️تعریف نقش (Role) و مجوز دقیق (Permission) برای هر تیم
🔹️جلوگیری از دسترسی مستقیم به اکانت‌های کلیدی و تفکیک وظایف بین امنیت و شبکه
۳.فرهنگ همکاری و هم‌افزایی (Silo Breaking)
🔹️نشست‌های مشترک Security و Infrastructure برای شفاف‌سازی نیازها
🔹️تعریف استانداردهای API و Playbook مشترک
🔹️تأکید بر هدف مشترک «کاهش زمان پاسخ» (MTTR)
۴.حمایت مدیریت ارشد و پروژه‌های پایلوت (Proof-of-Concept)
🔹️اجرای پروژه‌های کوچک با زیرساخت آزمایشی
ارائه گزارش ROI از کاهش کار دستی و خطا تا جلب بودجه برای گسترش
۵.آموزش و افزایش مهارت تیم SOC
🔹️دوره‌های داخلی یا رسمی Splunk برای طراحی Playbook و نگهداری SOAR
🔹️مستندسازی فرایندها و استقرار فرهنگ DevSecOps
۶.پذیرش خطا و بهبود مستمر (Blameless Learning)
🔹️فرهنگ گزارش خطا بدون سرزنش
🔹️جلسات پس از حادثه (Post-Mortem) برای اصلاح Playbook و به‌روزرسانی مستمر


#تجربه
#درس_آموخته


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

07 June 2025 19:44

سطح دیگری از توانمندی EDRو XDR:اندازه‌گیری صحت نرم‌افزار با Attestation مبتنی برTPM


در عصر تهدیدات پیچیده‌ سایبری، سازمان‌ها نیازمند راهکاری فراتر از آنتی‌ویروس‌های سنتی هستند؛ جایی که فناوری‌هایی مانند EDR (Endpoint Detection and Response) و XDR (Extended Detection and Response) همراه با TPM وارد میدان می‌شوند. یکی از ابزارهای کلیدی این راهکارها، مکانیسم Remote Attestation است.
بحث Attestation یا تأیید صحت، فرآیندی است که طی آن وضعیت نرم‌افزاری و سیستمی یک دستگاه به یک سامانه مرکزی گزارش می‌شود. ابزار TPM، که یک ماژول امنیتی سخت‌افزاری است، نقش حیاتی در این فرآیند ایفا می‌کند. هر زمانی که سیستم راه‌اندازی می‌شود، TPM مقادیر هش مربوط به بخش‌های حساس سیستم مانند Boot Loader، Kernel، درایورها و حتی برنامه‌های حیاتی را در رجیسترهای اختصاصی خودش (PCR: Platform Configuration Register) ثبت می‌کند.
راه‌حل‌های مدرن EDR/XDR می‌توانند با درخواست همین مقادیر ثبت‌شده از TPM، وضعیت سلامت واقعی سیستم را به صورت امن و غیرقابل جعل، برای سرور مرکزی ارسال کنند. این سرور مرکزی با مقادیر مورد انتظار مقایسه انجام می‌دهد و اگر هر تغییری نسبت به وضعیت سالم مشاهده شود (مثلاً تزریق Rootkit، تغییر فایل سیستمی توسط تروجان یا دستکاری Bootloader)، بلافاصله هشدار به تیم امنیتی یا حتی اقدامات قرنطینه انجام می‌دهد.
بنابراین، TPM از جعل، دور زدن نرم‌افزار امنیتی، و پنهان شدن بدافزار در عمق سیستم جلوگیری می‌کند. Attestation مبتنی بر TPM گام بزرگی است به سمت مقابله با تهدیدات سطح پایین و مخفی و به مدیران امنیت سازمان اطمینان خاطر بیشتری از صحت واقعی و لحظه‌ای وضعیت endpointها و سرورها می‌بخشد.

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

04 June 2025 21:04

مهندسی اجتماعی نوین

اغلب سازمان‌ها هنوز تمرکز خود را صرفا بر ایمیل و شیوه‌های کلاسیک حمله می‌گذارند، در حالی که مهاجمان با ترکیب تکنیک‌ها—از ایمیل تا صدا و پیام‌رسان‌ها—زنجیره حمله را چندلایه و گمراه‌کننده می‌سازند. آن‌ها گاهی پس از موفقیت در فیشینگ ایمیلی، از اطلاعات جمع‌شده برای تماس تلفنی مستند و قانع‌کننده استفاده می‌کنند و ضعف‌های انسانی (نظیر اضطراب یا اعتماد افراطی) را هدف می‌گیرند.

مهاجم پس از جمع‌آوری اطلاعات اولیه (اغلب از طریق حملات قبلی فیشینگ یا رخنه داده‌های سازمانی) به‌صورت هدفمند با کارمند یا مدیر سازمان تماس می‌گیرد. تماس‌ها با روش‌هایی نظیر spoofing شماره تماس انجام می‌شود تا اعتبار کافی نزد هدف ایجاد گردد. گاهی صدای مصنوعی (deepfake) یا اسکریپت‌های از پیش آماده برای شبیه‌سازی لحن مدیر سازمان هم استفاده می‌شود. هدف عمدتاً اخذ داده‌های حساس (مانند رمز عبور، کد MFA، اطلاعات ورود به سامانه مالی/اداری) یا ترغیب کاربر به انجام یک اقدام آسیب‌زا (مثل انتقال پول یا باز کردن فایل مخرب) است.

در بسیاری موارد جدید، پس از اینکه مهاجم دسترسی اولیه یا داده‌های حیاتی را بدست آورد، به جای فروش اطلاعات یا استفاده مستقیم، تهدید به افشای عمومی یا نابودی اطلاعات می‌کند و از سازمان درخواست پرداخت باج دارد. این رویکرد که با اصطلاح data extortion شناخته می‌شود، نه تنها مؤلفه فنی، بلکه فشار روانی، شهرتی و حقوقی را نیز بر قربانی وارد می‌کند.


#آکادمی_روزبه
مرکز تخصصی CISSP


https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

آکادمی آموزش روزبه 📚

04 June 2025 18:50

سیستم نام‌گذاری گروه‌های تهدید (Threat Actor Naming) ابداعی توسط مایکروسافت

سالها گروههای هکری را بر اساس دسته بندی شرکت FireEye میشناسیم اما یک سیستم نام گذاری توسط مایکروسافت به منظور استانداردسازی و شفاف‌سازی ارتباط میان گزارش‌ها و پژوهش‌های تهدیدات سایبری تدوین شده است. این رویکرد، گروه‌های مهاجم را بر اساس اهداف، رفتارها، وابستگی ملی و تکنیک‌ها به دسته‌های مشخص تقسیم و نام‌گذاری می‌کند.

در این چارچوب، مایکروسافت از نام‌های اختصاصی (مانند STRONTIUM برای APT28 یا NOBELIUM برای APT29) استفاده می‌کند و گروه‌های نوظهور یا ناشناخته را با نام‌های دسته‌ای مثل Storm-* (برای فعالیت‌های نقشه‌دار بی‌مقدمه) یا Flood-* (برای فعالیت‌های خودکار و اسپمی) مشخص می‌کند. این شیوه به تیم‌های SOC و تحلیلگران کمک می‌کند مسیر زیست گروه‌ها، حجم فعالیت و تغییر وابستگی‌ها را در طول زمان به‌صورت دقیق رصد و مستندسازی کنند.

نکته کلیدی روش مایکروسافت، عدم اتکای صرف به نسبت دادن کشوری یا سازمانی است؛ بلکه براساس رفتار، ابزار و زیرساخت‌ها، Actorها دسته‌بندی می‌شوند. این کار به تحلیل‌گران کشور هم امکان می‌دهد تا در تهدیدشناسی عملیاتی، با استانداردهای جهانی همگام باشند و دچار چندگانگی نام (Naming Confusion) نشوند. سرانجام، این مدل تطبیق‌پذیر بوده و در مقابل افشای عمومی و تغییر تاکتیک‌ها توسط مهاجمان، قابلیت به‌روزرسانی مستمر دارد.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://learn.microsoft.com/en-us/unified-secops-platform/microsoft-threat-actor-naming

آکادمی آموزش روزبه 📚

04 June 2025 17:42

مفهوم clandestine operations و covert operations در امنیت سایبری



۱.عملیات Covert در فضای سایبری معمولاً به فعالیت‌هایی اطلاق می‌شود که هدف آن، مخفی نگاه داشتن هویت و نقش عامل مهاجم است؛ حتی اگر اصل عملیات بعداً کشف شود. انکارپذیری (Plausible Deniability) فلسفه اصلی این دسته عملیات است.

مثال‌ها:

حملات سایبری مبتنی بر APT:
گروهی همچون APT43 یا Lazarus در حملاتشان سعی می‌کنند با جعل آدرس IP، استفاده از ابزارهای چندملیتی و تکنیک‌های OPSEC مثل TTPهای متنوع، به انکارپذیری کامل برسند.
در Malware with False Flags:بدافزارهای دارای کدهای دوپهلو (مثلاً با قرار دادن زبان روسی یا عبری در سورس) به‌منظور گمراه‌سازی تیم‌های تحلیل تهدید.
استفاده از ابزارهای عمومی (Living off the land):مهاجمان با استفاده از ابزارهای بومی سیستم (Powershell، WMIC، Bash) ردپای اختصاصی باقی نمی‌گذارند و اثبات مجری عملیات بطور قطع را سخت می‌کنند.

نکته عملیاتی برای SOC:

در رویکرد Covert، شناسایی Attribution بسیار چالش‌برانگیز است، پس تیم‌های SOC باید تمرکز را روی تحلیل فنی، شناسایی anomalieها و همکاری اطلاعاتی با سایر نهادها بگذارند تا شواهد را ترکیب و Attribution محتاطانه‌ای بسازند.
۲. مفهوم Clandestine Operations در امنیت سایبری

عملیات Clandestine تمرکز ویژه‌ای بر پنهان‌ماندن خود فرآیند دارد؛ یعنی نه‌تنها هویت مهاجم، بلکه اصل وقوع عملیات تا حد امکان کشف نشود. نمونه‌ها:

Stealthy Malware/Rootkit Deployment:
بدافزارهایی مانند Rootkitها یا Firmware Implants که سال‌ها بدون جلب توجه، حضور دارند و شناسایی بسیار دشوار است (مثلاً GrayFish یا UEFI implants).
انجام Data Exfiltration با روش‌های پنهان:
خارج‌کردن داده از شبکه قربانی با پروتکل‌هایی که ترافیک‌شان تقلید رفتار عادی دارد (مثلاً DNS tunneling یا استفاده از HTTPS legit).
انجام Bypassing Detection:مهاجمان تمام مراحل kill chain را طوری اجرا می‌کنند که حتی SIEM و EDRها نیز آلارمی دریافت نکنند (بهره‌گیری از LOLBins، اجرای کد در Memory، حذف فرضیاتی چون ایجاد فایل).

نکته عملیاتی برای SOC:

در مقابله با این رویکرد، باید معیارهای رفتاری (Behavioral Analytics)، تحلیل مستمر لاگ‌ها، و آنومالی‌کشفی با کمک یادگیری ماشین را جدی گرفت. فرض SOC باید این باشد که «مهاجم همیشه سعی می‌کند دیده نشود»؛ به‌همین‌دلیل نیاز به همبسته سازی داده‌های مختلف و استفاده حداکثری از Telemetry مجموعه‌ای (EDR, NDR, SIEM) حیاتی است.


نتیجه کاربردی برای محیط کشور:

در عمل، تهدیدهای سایبری با ماهیت Covert و Clandestine، فارغ از وابستگی جغرافیایی، برای زیرساخت‌های ایرانی با حساسیت بالا (OT/ICS، انرژی، دولت) تهدید جدی هستند. توسعه دانش Attribution و Analytic Tradecraft، همراه با تحلیل رفتار شبکه و لاگ‌های عمیق، باید جزو برنامه عملیاتی تمامی SOCهای پیشرو قرار گیرد. از دیگر مسائل مهم اشتراک اطلاعات تهدید فیمابین سازمان‌های ایرانی است.



#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

02 June 2025 17:40

نقطه کور در زمین بازی لینوکس
نکاتی در هانت

اگر دنبال privilege escalation هستید یا می‌خواهید threat hunting روی لینوکس رو واقعا حرفه‌ای انجام بدید ، حتماً audit و پایش کردن Capabilitiesها (نه فقط suidها) رو از قلم نندازید؛ این یکی از جالب ترین، پنهان‌ترین و کمتر شناخته‌شده‌ترین نقاط زمین بازی لینوکسه.


🔰بحث Linx capabilites؛ قدرت بیشتر از SUDO و SetUID بدون نیاز به Root کامل

در کرنل‌های جدید لینوکس (۲.۲ به بعد)، مفهوم Linux Capabilities معرفی شده که به‌جای دادن دسترسی “کامل” root (با sudo یا ست‌کردن bit‌ setuid به باینری)، میشه فقط یه بخش خیلی خاص از دسترسی‌های سیستمی رو به پروسس یا فایل بدیم.

کاربرد هکری و دفاعی:

مهاجم اگه بتونه یه فایل اجرا رو با setcap بجای‌ setuid رو تنظیم کنه، شاید بتونه مثلاً فقط قابلیت شنود شبکه (CAP_NET_RAW) به یک باینری معمولی اضافه کند، بدون خطرات همیشگی root شدن کامل باینری!
همین موضوع نقطه‌ی کور خیلی از ماژول‌ها و حتی SIEMهاست چون مدیریت و هشدار روی Capabilities کلاً با setuid فرق داره و کمتر دیده میشه.

دستورات کلیدی:


setcap cap_net_raw+ep /path/to/bin
getcap -r / # لیست‌کردن همه فایل‌هایی که capabilities خاص گرفتن

نکته امنیتی:

خیلی وقتها سرورهای لینوکسی با فایل‌هایی که با setcap تنظیم شدند و دسترسی‌های حیاتی گرفتند ولی مالک شون root نیستند یا حتی ناشناخته هست، مورد حمله قرار می‌گیرند یا مهاجم داره با حداقل ردپا privilege escalation انجام میده—در حالی‌که audit معمول دنبال suid می‌گرده، نه Capabilitiesها.


مساله Capabilities سطح granularتری از privilege رو به پروسس/باینری میدهد؛ یعنی با کمترین سطح دسترسی، امکان حمله یا پایداری (Persistence) بدون جلب توجه فراهم می‌شود.
مهاجم حرفه‌ای سعی می‌‌کند همین کورسویی که در audit کلاسیک پنهان است برای privilege escalation و حمله استفاده کند.
بررسی و هشدار به getcap -r / در کنار SUID hunting باید جزو default playbook هر سفر شکار تهدید لینوکس باشد.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

02 June 2025 13:09

و اما یادگاری امروز
یه سایت خوب

Hack The Logs, a dedicated documentation platform and central hub for learning about logs across different systems and platforms. This resource mostly explains the different types of logs, their formats, and how they can help improve cybersecurity.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://www.hackthelogs.com/