آکادمی آموزش روزبه 📚

22 June 2025 22:45

من که گفتم مشاوران امنیت شبکه بانکی و برخی مسوولین امنیت اون رو باید یه جاروی درست حسابی کرد... ولی کسی گوش نکرد !!

این مشاوران و مسوولین سالهاست دربین بانک‌ها درحال چرخش هستند و حالا داره مشخص میشه اثراتش

آکادمی آموزش روزبه 📚

22 June 2025 17:54

ترجمه



امروز، چیزی کوچک از طریق پست رسید — اما وزنی دارد که فقط دارندگان CISSP واقعاً آن را درک می‌کنند.
این سنجاق کت (lapel pin) چیزی فراتر از یک مدرک را نشان می‌دهد. این یک یادآور بی‌صدای شب‌های طولانی، جلسات مطالعه بی‌وقفه، تمرین‌های بی‌پایان و تعهد به رعایت بالاترین استانداردها در حوزه امنیت سایبری است.

پوشیدن آن ( زدن به سینه )فقط مربوط به حروف نیست — بلکه مربوط به مسیر، رشد، و مسئولیتی است که با آن همراه است.

برای همه کسانی که هنوز در این مسیر هستند: ادامه بدهید. ارزشش را دارد، در هر قدم.

#CISSP #ISC2

(در تصویر پایین نیز سنجاق رسمی CISSP را روی کارت خوش‌آمدگویی ISC2 می‌بینیم که نوشته:
"Your journey begins here." یعنی: "سفر شما از اینجا آغاز می‌شود.")


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

22 June 2025 09:51

سناریو کارگاه: تحلیل ایمیج دیسک “مرده” ویندوز با Velociraptor

#آکادمی_روزبه
مرکز تخصصی CISSP


https://kyjonin.blogspot.com/2025/05/velociraptor-dead-disk-forensics.html?m=1

آکادمی آموزش روزبه 📚

22 June 2025 08:36

تمرین



بخش اول: برنامه ساده C شارپ که چند System Call صدا می‌زنه

این برنامه یک فایل متنی ایجاد می‌کنه، داخلش می‌نویسه، از شبکه استفاده می‌کنه، و سپس می‌خوابه.

using System;
using System.IO;
using System.Net;
using System.Threading;

class Program
{
static void Main(string[] args)
{
Console.WriteLine(" شروع برنامه...");

// 1. ایجاد و نوشتن در فایل
string path = "test_log.txt";
File.WriteAllText(path, "این یک تست است.\n");

// 2. ارسال یک درخواست ساده HTTP
using (var client = new WebClient())
{
string result = client.DownloadString("http://example.com");
Console.WriteLine(" داده از example.com دریافت شد.");
}

// 3. وقفه
Thread.Sleep(3000);

Console.WriteLine(" پایان برنامه.");
}
}


بخش دوم: چطور System Callها رو ببینیم؟
🔹 برای ویندوز (با استفاده از Procmon)

ابزار: Process Monitor (Procmon)
📌 مراحل:

Procmon را اجرا کنید.

فیلتر زیر را تنظیم کنید:

Process Name is Program.exe (یا اسم اجرایی برنامه C# خودتون)

حالا برنامه C# رو اجرا کنید (مثلاً dotnet run یا .exe تولید شده رو مستقیم اجرا کنید).

در Procmon، خواهید دید:

CreateFile

WriteFile

ReadFile

RegOpenKey

TCP Connect

Sleep (به شکل وقفه بین درخواست‌ها)

می‌تونید روی هر آیتم دابل‌کلیک کنید و جزئیات رو ببینید: مسیر فایل، نتیجه API، رجیستری‌ها و حتی IP مقصد.


سوالات برای بحث :

آیا مسیر فایل نوشته شده در System Call‌ها با چیزی که انتظار داشتید، هم‌خوانی داشت؟

آیا برنامه به دامنه‌ای متصل شد که انتظارش رو نداشتید؟

چه اطلاعاتی از رفتار برنامه فقط از طریق شنود API متوجه شدید؟


#آکادمی_روزبه
مرکز تخصصی CISSP

تئوری و تمرین ضروری برای یادگیری

آکادمی آموزش روزبه 📚

22 June 2025 06:15

پایداری سایبری در زیرساخت‌های حیاتی
مستندی از ISACA

نگاهی به NIS2 و DORA

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

21 June 2025 19:31

مایکروسافت توی ویندوز ۱۱ یه سیستم گذاشته که وقتی می‌خوای کاری با دسترسی ادمین انجام بدی، یه حساب مخصوص ادمین مخفی استفاده می‌کنه تا امنیت بره بالا. این باعث می‌شه بدافزارها سخت‌تر بتونن کنترل سیستم رو بگیرن.



قبلاً در ویندوز، وقتی یه کاربر معمولی می‌خواست کاری مثل نصب برنامه انجام بده، ویندوز ازش می‌پرسید:
«آیا می‌خوای این کار رو با دسترسی ادمین انجام بدی؟» (همون پنجره UAC که Yes/No داره)

ولی بعضی برنامه‌ها می‌تونستن بدون اینکه این پنجره نشون داده بشه، مخفیانه خودشونو ادمین کنن! این یعنی خطر برای امنیت.

راه‌حل جدید ویندوز چیه؟

ویندوز ۱۱ یه کار جالب کرده:

به‌جای اینکه به همون کاربر اجازه‌ی ادمین بده، میاد یه حساب جداگانه به اسم admin_اسم‌کاربر درست می‌کنه.

مثلاً اگر اسم کاربر milad باشه، یه حساب مخفی به اسم admin_milad ساخته می‌شه که فقط مخصوص کارهای ادمینه.

وقتی کاربر لازم داره کاری با دسترسی ادمین انجام بده:

ویندوز از اون حساب admin_milad استفاده می‌کنه تا کار انجام بشه، نه از همون حساب کاربر.

این چه فایده‌ای داره؟

برنامه‌های بدخواه(مثل ویروس‌ها) دیگه نمی‌تونن راحت از UAC رد بشن و خودشونو ادمین کنن.

چون الان باید از یه حساب جداگانه استفاده بشه که شرایط خاصی داره.

آیا هنوز هم راه دور زدن هست؟

بله، مقاله زیر می‌گه بعضی از روش‌های قدیمی هنوز ممکنه توی شرایطی کار کنن، ولی مایکروسافت داره اوضاع رو خیلی سخت‌تر می‌کنه برای مهاجم‌ها.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://specterops.io/blog/2025/06/18/administrator-protection/

آکادمی آموزش روزبه 📚

21 June 2025 17:25

تهدیدی جدید

رولها رو به روز کنید


تهدید جدیدی که Red Canary اسمش رو گذاشته Mocha Manakin (از اوایل ژانویه ۲۰۲۵ کشف شده)، و به تکنیکی به اسم paste‑and‑run متکی هست. تکنیک به این شکله: کاربر ترغیب می‌شه کدی رو از یک صفحه (مثل Fake CAPTCHA یا پیام “برای دسترسی باید تایید کنید”) کپی کنه و در پنجره Run ویندوز بچسبونه، بدون اینکه بدونه داره یک PowerShell مخرب اجرا می‌کنه

.
🔍 مراحل فعالیت Mocha Manakin

اول : ورود به سیستم (Initial Access)
با همین ترفند paste‑and‑run، اسکریپتی دانلود و اجرا می‌شه که فایل مخربی مثل یک backdoor دانلود می‌کنه


دوم Payload – NodeInitRAT

این payload یک backdoor نوشته‌شده با NodeJS هست که فایل node.exe قانونی رو اجرا کرده و از طریق آن backdoor فعال می‌شه


ثبت persistence از طریق کلید رجیستری

کشف اطلاعات سیستم و دامین‌ها

برقراری ارتباط با سرور C2 از طریق HTTP/Cloudflare

اجرای دستورات دلخواه و دانلود payloadهای بیشتر


سوم: ارتباط با باج‌افزار
این تهدید احتمالاً مقدمات لازم برای حمله باج‌افزاری را فراهم می‌کند، هر چند تا می ۲۰۲۵ باج‌افزار مشاهده نشده، اما تشدید حمله منطقی است .

🛡️ توصیه‌های دفاعی

مراقبت از تکنیک paste‑and‑run

با GPO‌ می‌توان shortcut ویندوز+R را غیرفعال کرد (خیلی کاربردی نیست چون کاربران هم ازش استفاده می‌کنند)

آموزش کاربران برای شناسایی ترفندهایی مانند "برای دسترسی کلیک کنید"


شناسایی NodeInitRAT

بررسی پردازه‌های node.exe فعال

حذف فایل‌هایی با مسیر \AppData\Roaming\[a-z0-9]{8}.log

پاک‌سازی کلیدهای رجیستری Run

بلوکه کردن دامنه‌ها/IPهای مرتبط با trycloudflare[.]com


هشدار مبتنی بر رفتار

مانیتورینگ اجرای PowerShell با invoke-expression و invoke-restmethod همراه آدرس IP برای بارگذاری اسکریپت مخرب


شناسایی node.exe که cmd.exe را اجرا می‌کند تا کلید رجیستری تنظیم کند .

#آکادمی_روزبه
مرکز تخصصی CISSP

https://redcanary.com/blog/threat-intelligence/mocha-manakin-nodejs-backdoor/?utm_source=linkedin&utm_medium=social

آکادمی آموزش روزبه 📚

21 June 2025 17:03

تحلیل حملات سایبری بین ایران و رژیم صهیونیستی


این حملات را که گاهی به آن «جنگ سایبری سایه‌ها» (Shadow Cyber War) گفته می‌شود – یکی از پیچیده‌ترین و مداوم‌ترین نبردهای سایبری در سطح جهان است. این حملات طیف وسیعی از اهداف شامل زیرساخت‌های حیاتی، صنایع، شرکت‌های فناوری، دانشگاه‌ها، مراکز امنیتی و حتی بخش‌های عمومی را هدف قرار داده‌اند.
1. نمای کلی جنگ سایبری ایران و اسرائیل
نوع حملات: تخریب‌گر، جاسوسی، اخاذی، اطلاعاتی، و حملات زنجیره تأمین.
بازیگران کلیدی:
از سوی ایران: گروه‌های APT مانند APT34 (OilRig)، APT35 (Charming Kitten)، Agrius، و MuddyWater.
از سوی اسرائیل : LAPIS/LAC, گروه‌هایی با نام‌های ناشناس یا گروه‌هایی که ظاهراً در قالب "Hacktivist" ظاهر می‌شوند مثل Predatory Sparrow (گنجشک درنده).
2. ابزارها و تکنیک‌های مورد استفاده
🔻 از سمت ایران:
📌 ابزارها و بدافزارهای شاخص:
POWGOOP / POWERTRASH / POWERSTATS: ابزارهای RAT مبتنی بر PowerShell.
Shamoon Variant: در حملات خرابکارانه.
Pierogi / NokNok / Tonedeaf: توسط APT34.
Remote Access Tools مثل njRAT و Remcos در حملات سطح پایین‌تر.
🔧 تکنیک‌های رایج:
Phishing / Spear Phishing برای دسترسی اولیه.
Living off the Land (LotL): استفاده از ابزارهای داخلی ویندوز مانند PowerShell و WMI.
Credential Dumping (استفاده از Mimikatz).
DNS Tunneling برای ارتباط C2.
Web Shells مثل
China Chopper برای پایداری.
استفاده از فایل‌های مخرب Word و Excel با ماکرو فعال.
Watering Hole Attacks (آلوده‌سازی سایت‌های خاص برای هدف‌گیری کاربران خاص).
🔻 از سمت اسرائیل :
📌 ابزارها و بدافزارها:
ZeroCleare
(نسبت داده شده به همکاری IBM X-Force و گروه‌های اسرائیلی).
MalKamak:
یک گروه ناشناخته که زیرساخت‌های ایرانی را هدف گرفت.
Wiper Malware
ها مثل MeteorExpress و Azerbaijani Wiper.
Predatory Sparrow Tools:
بدافزارهایی که در حملات تخریبگرانه در ایران استفاده شده‌اند (مانند حوزه بنزین‌، سامانه راه‌آهن، و کارخانه‌های فولاد).
🔧 تکنیک‌ها:
حملات بسیار دقیق تخریب‌گرانه (Destructive attacks) با استفاده از Wiper Malware.
پنهان‌کاری پیشرفته در حملات زنجیره تأمین و سیستم‌های OT.
استفاده از ابزارهای خاص برای هدف‌گیری زیرساخت‌های صنعتی (ICS/SCADA).
پوشش رسانه‌ای و جنگ روانی هم‌زمان با حملات سایبری (Cyber-Psychological Warfare).
3. نمونه حملات معروف
📍 حملات منتسب به ایران:
حمله به شرکت‌های اسرائیلی در حوزه دفاعی و لجستیک (2020–2021) با هدف جاسوسی.
حمله به شبکه برق اسرائیل
انتشار اطلاعات کاربران سایت‌های همسریابی.
حمله به دانشگاه‌های اسرائیل برای سرقت تحقیقات علمی.
📍 حملات منتسب به اسرائیل:
Stuxnet (2010):
اولین حمله صنعتی واقعی به سانتریفیوژهای نطنز
حمله به سیستم سوخت‌رسانی ایران (2021): اختلال گسترده در پمپ‌های بنزین.
حمله به سامانه راه‌آهن ایران (2021): پیام جعلی "تاخیر در حرکت قطار" روی تابلوها.
حمله به کارخانه‌های فولاد ایران (2022)

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

18 June 2025 10:18

توضیح


نفوذ فعلی در کشور امری برنامه ریزی شده در بلند مدت بوده و از نظر من ضعف اطلاعاتی / ضد اطلاعاتی این شرایط رو ایجاد کرده
همه نکات هم برمیگرده به عدم نگاه علمی به مسائل

مثلا نبودن دید استراتژیک به حل مسائل؛ یک نقطه ضعف بزرگ در کشور هست.

الان تمام SMS ها که بسیاری از سازمان‌ها اطلاعات حساسشون رو روی اون می‌فرستند توسط برنامه مسیج گوگل روی اندویید خونده میشه!!

اما بعید می‌دانم در جایی در مستندی در برنامه استراتژیکی این موضوع دیده شده باشه
خود اندرویید و گوگل با وجود لابی گری کمیته AIPAC ببین چه ملغمه ای میتونه باشه که کل زندگی ما روش هست

من‌میگم هیچ توجهی به مسائل در کلیت نشده اونوقت یکنفر تز واتس اپ داده و خیلی ها هم پیرو شدند

الان تمام دفترچه تلفن اکثر مردم روی سرور گوگل هست . گوگل هم خیلی مبرا نیست که Data warehouse سازمان‌های اطلاعاتی نباشه
پس یافتن لینک بین افراد و حتی عنوان و محل شغل؛ از کانتکت ها همین الان از خیلی روشها قابل انجام هست

پس نفوذ عمیق تر و وسیع تر از این حرفهاست . نگاه لازمه کلان تر باشه



پی نوشت: همیشه نمیشه هرچیزی رو نوشت لذا باید برخی موارد اول به تخصص فرد نگاه کنیم بعد دقیق بشیم و استدلالش رو بخونیم . اونی که ازش تصویر متن رو گذاشتم قبول داشتم که متنش رو منتشر کردم .
حالا خیلی موضوع رو باز نکردند ولی خب متخصص هستند.

آکادمی آموزش روزبه 📚

18 June 2025 09:09

تعریف blast radius در کانتینرها:


مفهوم Blast radius در کانتینرها به محدوده‌ای از سیستم یا زیرساخت گفته می‌شود که در صورت نفوذ، خطا یا حمله به یک کانتینر، ممکن است تحت تأثیر قرار گیرد.
🧠 چرا مهم است؟
در محیط‌هایی مانند Kubernetes، کانتینرها در کنار هم در یک نود اجرا می‌شوند. اگر یکی از آن‌ها آلوده شود و محدودیت‌های مناسب اعمال نشده باشد، ممکن است:
به سایر کانتینرهای همان نود دسترسی پیدا کند.
از طریق Volume‌های مشترک به داده‌های حساس دسترسی یابد.
به شبکه داخلی یا سرویس‌های مهم حمله کند.
به کرنل سیستم عامل میزبان نفوذ کند.
📌 مثال:
فرض کنید در یک کلاستر Kubernetes یک پاد (Pod) شامل یک کانتینر آسیب‌پذیر است و شما قابلیت‌هایی مانند hostNetwork, hostPID یا privileged را به آن داده‌اید.
🔴 اگر این کانتینر هک شود، ممکن است مهاجم بتواند:
به سایر کانتینرهای همان نود دسترسی پیدا کند.
به کرنل دستورات سیستمی بدهد.
شبکه کل کلاستر را اسکن کرده و lateral movement انجام دهد.
✅ در اینجا blast radius بزرگ است.
🎯 هدف امنیتی:
در طراحی امنیتی کانتینرها و میکروسرویس‌ها، باید هدف این باشد که:
این blast radius را کاهش دهید


راهکار های کاهش::


Least Privilege

کانتینرها را با حداقل سطح دسترسی اجرا کنید (مثلاً به‌صورت non-root).
Network Policies

دسترسی شبکه‌ای بین پادها را محدود کنید.
Pod Security Policies / OPA Gatekeeper
محدودیت‌هایی برای اجرای پادها اعمال کنید (مانند ممنوعیت privileged mode).
Namespace Isolation
سرویس‌ها را در namespaceهای جداگانه اجرا کنید.
Read-only Filesystems
فایل‌سیستم کانتینرها را فقط‌خواندنی کنید.
Minimal Base Images
از ایمیج‌های سبک و بدون پکیج‌های اضافه استفاده کنید.
Runtime Protection Tools
ابزارهایی مانند Falco یا AppArmor برای شناسایی رفتار مشکوک در زمان اجرا.

#آکادمی_روزبه
مرکز تخصصی CISSP
واتس اپ 09902857290

آکادمی آموزش روزبه 📚

17 June 2025 10:17

اگه همزمان بخوای یک چیزی رو هم resize کنی هم پاک، کرنل ویندوز گیج می‌شه و می‌ریزه به هم!!!

این باگ از اون تیپ آسیب‌پذیری‌هاست که در سناریوهای real-world، اگر exploitable بشه، می‌تونه به تهدید مهم DoS علیه سیستم‌های حیاتی تبدیل بشه، به‌خصوص جایی که سرویس‌های شبکه حجم بالا دارن (مثل دیتاسنترها ـ با حملات Insider محتمل‌تره).

توی یکی از کامپوننت‌های کرنل ویندوز به اسم afd.sys (Ancillary Function Driver for Winsock)، یک باگ Race Condition پیدا کرده که باعث می‌شه سیستم عامل هنگ (crash/DoS) کنه. این باگ موقع مدیریت Registered IO اتفاق میافته، یعنی همون بخش از ویندوز که با I/O شبکه به‌شکل سریع و بهینه سر و کار داره (RIO).




#آکادمی_روزبه
مرکز تخصصی CISSP


https://www.pixiepointsecurity.com/blog/advisory-pps-2024-0919/

آکادمی آموزش روزبه 📚

16 June 2025 20:03

اطلاعات، ضد اطلاعات، جاسوسی و ضد جاسوسی در سازمان‌های اطلاعاتی کشورها

در هر کشور، امنیت ملی به‌شدت به عملکرد و بلوغ سازمان‌های اطلاعاتی آن وابسته است. این سازمان‌ها وظایفی دارند که عموماً در دو حوزه اصلی «اطلاعات» (Intelligence) و «ضد اطلاعات» (Counter-intelligence) تعریف می‌شوند.
۱. اطلاعات (Intelligence)

اطلاعات به معنای جمع‌آوری، پردازش، تحلیل و بهره‌برداری از داده‌ها و اخبار برای تصمیم‌گیری‌های راهبردی و عملیاتی است. این اطلاعات می‌تواند نظامی، سیاسی، اقتصادی، فنّی یا حتی سایبری باشد. سازمان‌های اطلاعاتی مانند CIA آمریکا، MI6 انگلیس، وزارت اطلاعات ایران، GRU روسیه و MSS چین هرکدام وظیفه دارند داده‌ها را از منابع علنی (OSINT) یا محرمانه (HUMINT, SIGINT, IMINT و غیره) جمع‌آوری و برای حفاظت از منافع ملی استفاده کنند.
۲. ضد اطلاعات (Counter-Intelligence)

ضد اطلاعات به مجموعه اقداماتی گفته می‌شود که برای جلوگیری از رخنه و نفوذ دشمنان به ساختارها و منابع حساس کشور، محافظت از اطلاعات طبقه‌بندی‌شده و شناسایی و خنثی‌سازی عملیات‌های اطلاعاتی بیگانه صورت می‌گیرد. هدف ضد اطلاعات این است که از جمع‌آوری اطلاعات توسط دشمن جلوگیری شود و عملیات‌های جاسوسی شناسایی و مهار گردد. بخش ضد اطلاعات در اکثر سازمان‌های امنیتی مانند FBI آمریکا یا وزارت اطلاعات ایران ساختاری اختصاصی دارد.
۳. جاسوسی (Espionage)

جاسوسی به معنای کسب پنهانی اطلاعاتِ طبقه‌بندی‌شده یا حساس از طرف دشمن یا رقباست. عوامل انسانی (جاسوس‌ها)، ابزارهای فنی (نظیر شنود، بدافزارها) یا عملیات‌های سایبری، رایج‌ترین روش‌های جاسوسی هستند. جاسوس‌ها اغلب با ظاهر شهروند عادی یا با پوشش دیپلماتیک به جمع‌آوری اسرار نظامی، سیاست‌گذاری، تسلیحاتی یا اقتصادی می‌پردازند. حتی در عصر جدید، جاسوسی سایبری مانند نفوذ به شبکه‌ها و استخراج داده، اهمیت ویژه‌ای یافته است.
۴. ضد جاسوسی (Counter-Espionage)

ضد جاسوسی شاخه‌ای از ضد اطلاعات است و تمرکز خاصی بر شناسایی و بی‌اثر نمودن تلاش عوامل بیگانه یا داخلی برای دسترسی به اسرار کشور دارد. این اقدامات شامل رصد فعالیت مشکوک، تست وفاداری نیروها، مانیتورینگ ارتباطات، اجرای عملیات‌های فریب (Deception) و دستگیری جاسوسان می‌شود. موفقیت ضد جاسوسی، هم به فناوری (مثلاً سامانه‌های SIEM، تحلیل ترافیک شبکه) و هم مهارت انسانی وابسته است. معروف‌ترین ضد‌جاسوسی‌های موفق تاریخ مربوط به انهدام شبکه‌های جاسوسی بلوک شرق و غرب در طول جنگ سرد است.
جمع‌بندی و اهمیت

نبرد دائمی بین جاسوسی و ضد جاسوسی، ستون فقرات امنیت ملی کشورهاست. ضعف در هر بخش می‌تواند به لو رفتن برنامه‌ها، تحریم، حمله فیزیکی یا سایبری و حتی فروپاشی ساختارهای حیاتی بینجامد. در دوران مدرن، تلفیق عملیات‌های سایبری و HUMINT، نقش مضاعفی پیدا کرده و سازمان‌های اطلاعاتی با بهره‌گیری از فناوری‌های نوین (AI، تحلیل بیگ دیتا، رفتارشناسی) مرزهای جدیدی از این نبرد را رقم زده‌اند.

هر بخش از این حوزه‌ها ساختار، روند، ابزار و چالش‌های تخصصی خودش را دارد و آموزش و تمرین مداوم، نقش کلیدی در موفقیت نیروهای اطلاعاتی ایفا می‌کند


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

16 June 2025 12:20

اسلایدی از درس CISSP
فصل طراحی سیستم های امن


**طراحی نا امن باعث میشود امکان نفوذ در ذات سیستم دمیده شود و این موضوع میتواند بدترین و خطرناک ترین نفوذ را به همراه داشته باشد.


#آکادمی_روزبه
مرکز تخصصی CISSP
واتس اپ 09902857290

آکادمی آموزش روزبه 📚

14 June 2025 20:36

سرویس و دیتا رو کجا هاست کردی؟
قراردادت رو خوندی ؟

طرح تداوم کسب‌وکار (BCP) در مراکز داده‌ی ایران نقش بسیار مهمی در اطمینان از پایداری و حفاظت از داده‌های مشتریان ایفا می‌کند. BCP شامل برنامه‌ریزی‌های دقیق و استراتژیک برای مقابله با حوادث و بحران‌های پیش‌بینی نشده است که می‌تواند سیستم‌ها و خدمات حیاتی را تحت تأثیر قرار دهد. اجرای مؤثر BCP به کاهش زمان تعلیق و از دست رفتن داده‌ها کمک کرده و اطمینان حاصل می‌کند که عملیات کسب‌وکار بدون وقفه ادامه پیدا کند.

یکی از دغدغه‌های اصلی که BCP به آن می‌پردازد، مدیریت خطرات مرتبط با از دست دادن داده‌ها و تضمین بازیابی سریع سیستم‌ها است. این امر به ویژه در مراکز داده‌ی ایران حیاتی است، چرا که داده‌های با ارزش بسیاری از شرکت‌ها در این مراکز میزبانی می‌شوند و حفظ امنیت و دسترس‌پذیری آن‌ها از اولویت‌های اساسی محسوب می‌شود.

بسیاری از شرکت‌ها و افراد وقتی داده‌های خود را در مراکز داده‌ی مختلف میزبانی یا کولوکیت می‌کنند، تصورات نادرستی درباره مسئولیت‌ها و تعهدات مرکز داده نسبت به حفاظت و نگهداری از اطلاعات دارند. در اینجا به جذابیت و دقت توجه به تعهدات قراردادی در این زمینه خواهیم پرداخت.

افرادی که از خدمات کولوکیشن (Colocation) استفاده می‌کنند، به‌طور کلی از مسئولیت‌های مشخصی نسبت به مدیریت فیزیکی سرورها و داده‌های خود برخوردارند. اما برای آن‌هایی که از خدمات سرور مجازی خصوصی (VPS) یا میزبانی اشتراکی استفاده می‌کنند، وضعیت کمی پیچیده‌تر می‌شود. این افراد باید به دقت متن قراردادهای خود را مطالعه کرده و از جزئیات تعهدات و مسئولیت‌های مرکز داده و همچنین خودشان مطلع شوند.

شرایطی که در قرارداد اشاره شده نیاز به توجه دقیق دارد، به خصوص در مورد سقف جریمه‌ها و نحوه پرداخت خسارت. گاهی اوقات ممکن است تنها مسئولیت مرکز داده به پرداخت جریمه محدود شود. بنابراین، در صورتی که کاربری در مواجهه با از دست رفتن داده‌ها اعلام کند که به جریمه نیازی ندارد و داده‌هایش را می‌خواهد، ممکن است مرکز داده صرفاً به افزودن چند روز به مدت سرویس ارائه‌شده اکتفا کند، که این راه‌حل معمولاً برای مصرف‌کننده مفید نیست.

بنابراین، بهترین راهکار این است که کاربران قبل از عقد قرارداد با مراکز داده، با دقت تمام جزئیات و بندهای قرارداد را بررسی کنند تا از تمام شرایط و تعهدات هر دو طرف مطلع شوند. این دقت و بررسی به جلوگیری از سوءبرداشت‌های احتمالی و تأمین امنیت و سلامت داده‌ها کمک می‌کند. در نهایت، کاربران مسئولیت اصلی حفاظت و مدیریت داده‌های خود را به عهده دارند و باید همیشه نظارت کافی بر برآورده شدن تعهدات قراردادی مراکز داده داشته باشند.

بخشی از درس BCP
#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

13 June 2025 17:53

نشانه‌های وجود APT در شبکه و سامانه‌های سازمانی

تشخیص وجود مهاجمان پیشرفته (APT) در شبکه سازمانی یک چالش مستمر و حیاتی است، زیرا APTها با هدف دسترسی طولانی‌مدت، پنهان‌کاری و سرقت اطلاعات راهبردی عمل می‌کنند. تحلیلگران باید فراتر از آلارم‌های سطحی رفته و به بررسی الگوهای رفتاری ظریف، دستکاری‌های تدریجی و شواهد ترکیبی بپردازند. مهم‌ترین نشانه‌های وجود APT عبارت‌اند از:

۱. ترافیک شبکه مشکوک و غیرمعمول

شناسایی ارتباطات beaconing با فواصل زمان‌بندی شده و پروتکل‌های ناشناس (مانند HTTPS غیرمعمول به آدرس‌های ناشناخته)
حجم غیرعادی یا رمزگذاری‌شده داده به مقصد خارج از سازمان (C2، Exfiltration)
استفاده از tunneling یا پروتکل‌های مخفی‌سازی (DNS tunneling، ICMP tunneling)

۲. رفتار غیرعادی کاربری و سیستمی

لاگین‌های موفق از مکان، دستگاه، یا ساعت غیرمعمول (مثلاً لاگین از کشورهای مختلف در مدت کوتاه)
اجرای ابزارهای داخلی ویندوز یا لینوکس (Living off the Land) توسط کاربران عادی، مخصوصاً PowerShell، WMIC، یا اسکریپت‌های ناشناس
افزایش تدریجی سطح دسترسی یا تغییر رول کاربران بدون توجیه

۳. نشانه‌های بدافزار و فایل‌های مشکوک

فرآیندهای ناشناس یا اجرای سرویس‌هایی با نام مشابه سرویس‌های معتبر (svchost، lsass)
تغییرات غیرمنتظره در فایل‌ها یا رجیستری، مخصوصاً در مسیرهایی مثل Startup یا Scheduled Tasks
وجود فایل‌های droppers، loaders یا ابزار post-exploitation مانند Cobalt Strike

۴. تغییر و دستکاری لاگ‌ها

پاک کردن یا دستکاری selective لاگ‌های امنیتی و حذف trail وقایع حساس
فقدان لاگ یا وجود لاگ‌های بسیار زیاد و بی‌معنی برای گمراهی

۵. شواهد فنی و رفتاری پیوندی

مشاهده حملات lateral movement مثل Pass-the-Hash/Pass-the-Ticket
شناسایی inode یا ارتباط متقاطع بین آرتیفکت‌های مختلف (مثلاً ارتباط نرم با ATT&CK TTPها)


تحلیل موفق APT نیازمند کنار هم قراردادن weak signalها و تحلیل رفتاری است. استفاده از ابزارهای EDR، تحلیل ترافیک شبکه (PCAP/NetFlow)، جستجوی تخصصی در لاگ‌ها و مقایسه با پروفایل نرمال سازمان ضروری است. مهم‌تر از هر چیز، تحلیلگر باید خلاق، جستجوگر و آماده‌ی آزمون فرضیات متنوع باشد.

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

22 June 2025 18:30

اتمام خوانش کتاب Evasive Malware بدافزار های پیشرفته ( شناخت ، بررسی و روش کشف) با ۲۶۰ نفر در گروه کانال تلگرام آکادمی روزبه

امیدوارم موثر واقع شده باشه

و ادای دینی هم به مردم و دانشجوهای کشور و توسعه علم باشه

روزبه نوروزی

آکادمی آموزش روزبه 📚

22 June 2025 17:48

اشک شوق برای تلاش و پشتکار و شب نخوابی ها برای علم آموزی و پیشرفت 🥹🥹👏👏👏

آکادمی آموزش روزبه 📚

22 June 2025 08:43

خلاصه دو پست قبل برای مرور


دنبال این بودیم که بفهمیم وقتی یک برنامه با سیستم‌عامل کار می‌کنه (مثل خوندن یا نوشتن فایل، یا وصل شدن به اینترنت)، در پشت‌صحنه چه اتفاقی می‌افته و چطور می‌تونیم اون دستورات یا "درخواست‌ها" رو که به سیستم داده می‌شه ببینیم.

به این درخواست‌ها می‌گیم:
👉 System Call (یا API Call به سیستم‌عامل)

🧪 آزمایشی که انجام دادیم:

یه برنامه ساده با زبان C شارپ نوشتیم که:

یه فایل می‌سازه و داخلش می‌نویسه.

به یه سایت وصل می‌شه و اطلاعاتی می‌گیره.

چند ثانیه صبر می‌کنه.

بعد با استفاده از ابزار Procmon (برای ویندوز) اومدیم:

ببینیم برنامه دقیقاً چه کارهایی انجام داده.

مثلاً چه فایلی باز کرده؟ آیا واقعاً به اینترنت وصل شده؟ چقدر طول کشید؟

✅ نتیجه:

ما تونستیم درخواست‌های پنهان بین برنامه و سیستم‌عامل رو ببینیم. این کار در تحلیل بدافزار، بررسی امنیت، یا حتی رفع باگ خیلی مهمه.



#آکادمی_روزبه
مرکز تخصصی CISSP
آموزش تئوری و عملی

آکادمی آموزش روزبه 📚

22 June 2025 08:27

برای دانشجویان به زبان ساده

شنود سیستم کال

سیستم کال و نه API اپلیکیشن تحت وب، شنود تماس‌های API بین اجزای سیستم‌عامل، سرویس‌ها، یا حتی بین برنامه و کرنل هست؛ مثلاً:

شنود System Call API در لینوکس یا ویندوز (مثلاً NtCreateFile, ReadFile, socket, execve)

تحلیل رفتار بدافزار یا برنامه از طریق API Monitoring

استفاده از ابزارهایی مثل strace, sysdig, procmon, یا API Monitor


🎯 هدف: آموزش شنود APIهای سیستم به دانشجویان
🔹 ۱. تعریف ساده و کاربردی

«در سیستم‌عامل‌ها، وقتی برنامه‌ای می‌خواد کاری انجام بده مثل خوندن یک فایل، باز کردن اینترنت، یا اختصاص دادن حافظه، درخواستش رو از طریق یک API یا System Call به سیستم‌عامل می‌فرسته. شنود این APIها یعنی بررسی اینکه چه برنامه‌ای چه دستوری به سیستم‌عامل داده.»

🟣 مثال ساده:

وقتی Notepad رو باز می‌کنی و یک فایل رو ذخیره می‌کنی، پشت صحنه سیستم از CreateFile, WriteFile, CloseHandle استفاده می‌کنه. ما می‌تونیم این APIها رو ببینیم.

🔹 ۲. چرا لازمه API Callهای سیستم شنود بشن؟

تحلیل رفتار برنامه‌ها:
آیا برنامه بدون اجازه شما به فایل یا شبکه دسترسی داره؟

کشف بدافزارها:
بدافزارها با APIها رفتار خودشون رو نشون می‌دن، مثلاً VirtualAlloc برای رزرو حافظه جهت shellcode
مهندسی معکوس:
این API Callها قدم به قدم به شما می‌گن برنامه داره چه‌کار می‌کنه
شناسایی رفتار مشکوک:
اگر برنامه‌ای پشت صحنه keylogger اجرا کنه، APIهای GetAsyncKeyState یا SetWindowsHookEx ظاهر می‌شن
تست امنیتی:
فهمیدن اینکه یه برنامه از چه System Callهایی استفاده می‌کنه، می‌تونه به تست نفوذ کمک کنه

🔹 ۳. ابزارهای پیشنهادی (بسته به سیستم‌عامل):
✅ ویندوز:

ابزار Process Monitor (Procmon) – از Sysinternals. برای دیدن File, Registry, Network, و API Calls.

ابزار API Monitor – برای رصد کردن دقیق APIهای ویندوز (user-mode و kernel-mode).

ابزار WinDbg + Sysinternals – برای سطح پایین‌تر، مخصوص دانشجویان پیشرفته‌تر.

✅ لینوکس:

ابزار strace – برای دیدن System Callهای سطح پایین مثل open, read, write

ابزار lsof, dstat, iotop – برای مشاهده منابع درگیر

ابزار sysdig – تحلیل و شنود عمیق‌تر از kernel space

ابزار auditd – برای مانیتور کردن دقیق سیاست‌محور از system callها

این API Callها مثل گفت‌وگوی مخفی بین نرم‌افزار و سیستم‌عامل هستند. شنیدن این مکالمه‌ها یعنی اینکه بفهمیم برنامه‌ها واقعاً چی کار می‌کنند، نه فقط اون چیزی که در ظاهر نشون می‌دن. این یک سلاح کلیدی برای شکار تهدید، مهندسی معکوس، و تحلیل امنیتی هست.

🔆🔆مثال تمرینی در پستهای آتی


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

21 June 2025 19:50

ابزار Forensic Timeliner

این ابزار که در این پست معرفی میکنم ، یک ابزار تایم‌لاین‌ساز سریع مخصوص تحلیل‌های دیجیتال (Digital Forensics) هست، مخصوص کسانی که توی حوزه‌ی DFIR (Digital Forensics and Incident Response) کار می‌کنن.

💡 کار اصلی این ابزار چیه؟


اطلاعات جمع‌آوری‌شده از سیستم (مثل لاگ‌ها، آرتیفکت‌ها و فایل‌ها) رو می‌گیره، اون‌ها رو مرتب می‌کنه و به صورت یک تایم‌لاین (خط زمانی) منظم در میاره.

یعنی چی؟
یعنی شما می‌تونید ببینید:

چه اتفاقی در چه زمانی افتاده؟

کِی یه فایل خاص ساخته یا حذف شده؟

چه زمانی یوزری لاگین کرده؟

و خیلی اطلاعات دقیق زمانی دیگه...

✨ ویژگی‌های جدید نسخه 2.2:

پیش‌نمایش تعاملی فیلترهای YAML برای لاگ‌های MFT و Event Logs

پیشنهاد تگ‌گذاری با کلمات کلیدی (TLE tagging) برای تولید session با پسوند .tle_sess

پشتیبانی از علامت [] در فیلترها برای پوشش همه Event IDها


✅ از چی پشتیبانی می‌کنه؟

با ابزارهای مطرح تحلیل دیجیتال کار می‌کنه، مثل:

EZ Tools/KAPE

Chainsaw

Hayabusa

Axiom


🔍 مناسب برای چه کسانیه؟

تحلیلگران فورنزیک دیجیتال

تیم‌های Incident Response

تیم SOC Analystهایی که دنبال کشف زمان وقوع و ترتیب رویدادها هستن


#آکادمی_روزبه
مرکز تخصصی CISSP

https://github.com/acquiredsecurity/forensic-timeliner

آکادمی آموزش روزبه 📚

21 June 2025 18:09

به روز رسانی در BloodHound

نقش Privilege Zones در تقویت مرزبندی امنیتی سازمان‌ها


مقدمه
در چشم‌انداز مدرن امنیت سایبری، مدل "حداقل دسترسی" (Least Privilege) یکی از مهم‌ترین اصول برای محافظت از دارایی‌های حساس سازمانی محسوب می‌شود. با این حال، پیاده‌سازی عملی این مدل در شبکه‌های پیچیده، به‌ویژه در ترکیب محیط‌های محلی و ابری، همواره چالش‌برانگیز بوده است. شرکت SpecterOps در پاسخ به این نیاز، ویژگی جدیدی به نام "Privilege Zones" را به پلتفرم BloodHound Enterprise افزوده است که می‌تواند گامی عملی و مهم در جهت مرزبندی دسترسی و جلوگیری از حرکت جانبی مهاجمان باشد.

تعریف Privilege Zones

این Privilege Zones به زبان ساده، امکان ایجاد "زون‌های منطقی امنیتی" را فراهم می‌کند که دارایی‌های سازمان درون آن دسته‌بندی می‌شوند. این زون‌ها بر اساس معیارهای عملیاتی یا امنیتی مانند الزامات قانونی (مثلاً HIPAA، PCI-DSS)، نوع سیستم‌ها (مانند سرورهای مالی، سامانه‌های توسعه کد) یا سطح حساسیت تعریف می‌شوند. هر زون به‌عنوان یک مرز مجازی عمل می‌کند که فقط موجودیت‌های خاص و مجاز، حق دسترسی و تعامل میان آن‌ها را دارند.

قابلیت‌های کلیدی Privilege Zones

تفکیک منابع حیاتی: جلوگیری از دسترسی تصادفی یا هدفمند به سیستم‌های بحرانی از سوی کاربران یا اکانت‌های غیرمرتبط.
کنترل حرکت جانبی (Lateral Movement): کاهش مسیرهای ممکن برای مهاجمان از طریق قطع ارتباط مستقیم میان زون‌ها.
تقویت سیاست Least Privilege: تعیین دقیق و قابل اجرا برای آنکه چه افرادی در چه زون‌هایی و با چه امتیازاتی مجاز به فعالیت هستند.
افزایش قابلیت مانیتورینگ و پاسخ: امکان تحلیل حملات و دسترسی‌های غیرمجاز در قالب مرزهای زون، ساده‌تر و دقیق‌تر می‌شود.

مثال کاربردی
فرض کنید سازمانی دارای چندین گروه منابع شامل تیم توسعه، بخش مالی و سیستم‌های درمانی باشد. با استفاده از Privilege Zones، می‌توان دسترسی کاربران تیم توسعه را تنها به زیرساخت‌های مورد نیاز خود محدود کرد و از دسترسی به داده‌های پزشکی یا مالی جلوگیری نمود. در عین حال، مسیرهای حمله‌ای که ممکن است از یک اکانت آسیب‌پذیر در تیم توسعه آغاز شده و به منابع حیاتی برسد، مسدود خواهد شد.

مزیت نسبت به مدل سنتی
در مدل‌های قدیمی، سیاست Least Privilege به صورت دستی و در سطح حساب‌های کاربری یا گروه‌های Active Directory تعریف می‌شد که هم پیچیده و هم خطاپذیر بود. در Privilege Zones با تجزیه خودکار مسیرهای حمله و پیشنهاد کنترل‌های پیشگیرانه، این روند را ساختاریافته، مقیاس‌پذیر و قابل نگهداری می‌کند.

نتیجه‌گیری


قابلیت Privilege Zones تحولی مهم در پیاده‌سازی عملی least privilege در شبکه‌های سازمانی ایجاد کرده است. این ویژگی با تمرکز بر مرزبندی منابع و کاهش سطح حمله، به تیم‌های امنیتی کمک می‌کند تا در برابر تهدیدات پیشرفته مقاوم‌تر شوند. در عصر تهدیدات مداوم و حرکت جانبی پیچیده، چنین ابزارهایی نقش حیاتی در دفاع پیشگیرانه خواهند داشت.


#آکادمی_روزبه
مرکز تخصصی CISSP

https://specterops.io/news/specterops-launches-privilege-zones-in-bloodhound-enterprise-to-protect-mission-critical-assets-from-identity-compromise/

آکادمی آموزش روزبه 📚

21 June 2025 17:13

تحویل بدافزار از طریق قرارداد هوشمند در بلاک‌چین؛ روش نوین فرار از شناسایی

در سال‌های اخیر، مهاجمان سایبری از بلاک‌چین تنها برای پول‌شویی و دریافت رمزارز استفاده نمی‌کنند؛ بلکه از زنجیره‌های بلاک‌چین عمومی مانند BSC (Binance Smart Chain) برای مخفی‌سازی و تحویل بدافزار نیز بهره می‌برند. این تکنیک نوظهور به عنوان یک روش «بدافزار به‌عنوان قرارداد هوشمند» (Malware-as-a-Smart-Contract) شناخته می‌شود.

در این روش، مهاجم یک قرارداد هوشمند روی شبکه BSC منتشر می‌کند که شامل یک متغیر مخفی (معمولاً رشته‌ای hex یا base64) است. این متغیر در واقع کد مخرب است که باید در سمت کلاینت (قربانی) اجرا شود. سپس یک وب‌سایت آلوده، معمولاً با سوءاستفاده از آسیب‌پذیری یا تزریق در قالب وردپرس، مرورگر قربانی را وادار می‌کند تا از طریق JavaScript به این قرارداد متصل شده و مقدار آن را بخواند. کد خوانده‌شده، decode شده و نهایتاً با دستوراتی مانند eval() اجرا می‌شود.

برتری این روش در پایداری و فرار از شناسایی است. چون اطلاعات بدافزار در بلاک‌چین ذخیره شده، نه‌تنها حذف آن تقریباً غیرممکن است، بلکه ابزارهای سنتی امنیتی مانند آنتی‌ویروس‌ها و فایروال‌ها که روی دامنه‌ها یا URL تمرکز دارند، نمی‌توانند رفتار مشکوک را شناسایی کنند.

این تکنیک نشان می‌دهد که زیرساخت‌های غیرمتمرکز، در صورت فقدان سیاست‌های امنیتی، می‌توانند به بستری برای حملات نوآورانه تبدیل شوند. سازمان‌ها باید از تحلیل رفتار مرورگر، ترافیک بلاک‌چینی، و استفاده مشکوک از eval() در صفحات وب آگاه باشند و برای محافظت از کاربران خود سیاست‌هایی پیشگیرانه اتخاذ کنند.


#آکادمی_روزبه
مرکز تخصصی CISSP

https://labs.jumpsec.com/malware-as-a-smart-contract-part-1-weaponising-bsc-to-target-windows-users-via-wordpress/

آکادمی آموزش روزبه 📚

18 June 2025 12:54

بی‌توجهی به مجوزهای امنیت سایبری؛ تهدیدی برای امنیت ملی
بحران نوبیتکس

در دنیای امروز، امنیت سایبری نه‌تنها یک ضرورت برای محافظت از داده‌ها و دارایی‌های دیجیتال شهروندان و شرکت‌هاست، بلکه به شکل فزاینده‌ای به یک مسئله حیاتی در حوزه امنیت ملی تبدیل شده است. در کشوری مانند ایران که در معرض تهدیدات گسترده سایبری قرار دارد، عدم نظارت مؤثر بر رعایت الزامات امنیت سایبری توسط کسب‌وکارها، می‌تواند پیامدهایی فراتر از زیان‌های مالی یا نارضایتی عمومی به دنبال داشته باشد و زمینه‌ساز بحران‌های امنیتی شود.

یک نمونه واقعی: حمله به نوبیتکس

در میانه‌ی جنگ سایبری و واقعی کنونی ، حمله‌ی سایبری اخیر به صرافی رمز ارز نوبیتکس – یکی از بزرگ‌ترین پلتفرم‌های مبادله رمزارز در ایران – یک زنگ خطر جدی است. در این حمله، هکرها موفق به استخراج مقادیر قابل توجهی از دارایی‌های دیجیتال شدند و به‌جای انتقال و استفاده از آن‌ها، دارایی‌ها را در اقدامی نمایشی و بی‌سابقه "سوزاندند"؛ به عبارتی آن‌ها را به آدرسی غیرقابل دسترسی منتقل کردند که منجر به نابودی دائمی‌شان شد.

این اقدام علاوه بر خسارت مالی گسترده برای کاربران، تبعات روانی و اجتماعی عمیقی دارد: از بین رفتن اعتماد عمومی به زیرساخت‌های دیجیتال کشور، احساس ناامنی در فضای فناوری، و مهم‌تر از همه، پتانسیل ایجاد خشم، عصبانیت و ناآرامی در جامعه. در بستر یک جنگ، چنین بی‌ثباتی روانی اجتماعی می‌تواند به ابزار جنگ ترکیبی تبدیل شود.
عدم وجود چارچوب‌های اجباری امنیتی

یکی از مشکلات بنیادی که زمینه‌ساز چنین بح ان هایی می‌شود، نبود نظارت قوی بر میزان آمادگی سایبری کسب‌وکارهاست. در ایران، برخلاف بسیاری از کشورهای پیشرفته، دریافت مجوز امنیت سایبری یا رعایت استانداردهایی مانند ISO/IEC 27001، NIST Cybersecurity Framework یا الزامات OWASP برای پلتفرم‌های فناوری‌محور آنچنان الزامی و ساختاریافته نیست. کسب‌وکارها عموماً تنها در مواجهه با یک حمله واقعی به اهمیت امنیت سایبری پی می‌برند، اما در این لحظه، دیگر برای جبران خیلی دیر شده است.


ابعاد امنیت ملی موضوع

در شرایط جنگی، هدف قرار دادن زیرساخت‌های مالی و تکنولوژیکی یک کشور می‌تواند به اندازه حملات نظامی مؤثر باشد. از بین رفتن منابع مالی هزاران شهروند، در کنار ناتوانی در پاسخ‌گویی و جبران، می‌تواند به افزایش احساس بی‌عدالتی، نارضایتی شدید اجتماعی، و حتی زمینه‌ساز شورش‌های مردمی بدل شود. به عبارت دیگر، یک رخنه ساده در یک پلتفرم تجاری خصوصی، می‌تواند به یک تهدید امنیتی ملی تمام‌عیار تبدیل شود.
چه باید کرد؟

الزام مجوز امنیت سایبری: کلیه کسب‌وکارهای فناوری‌محور باید ملزم به دریافت گواهینامه امنیتی معتبر از نهادهای مشخص شوند و هرگونه فعالیت بدون این مجوز غیرقانونی اعلام گردد.

بازبینی دوره‌ای و آزمون نفوذ: سازمان‌ها باید ملزم شوند که به‌طور منظم توسط نهادهای مستقل مورد آزمون نفوذ قرار گیرند و نتایج این ارزیابی‌ها در اختیار نهادهای نظارتی قرار گیرد.

ایجاد سامانه نظارتی واحد: ایجاد یک مرجع ملی یکپارچه برای ثبت، نظارت، و رتبه‌بندی امنیت سایبری کسب‌وکارها می‌تواند شفافیت و اعتماد عمومی را افزایش دهد.

سخت‌گیری در حوزه رمزارز: به‌دلیل حساسیت بالا، صرافی‌های رمزارزی باید در طبقه‌بندی حساس‌ترین نهادهای مالی کشور قرار گیرند و ملزم به رعایت استانداردهای امنیتی در سطح بانک‌ها و مؤسسات مالی شوند.

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

18 June 2025 09:40

یه حرف حق 👍

واقعا منو یکی از جوانب علمی روشن کنه اگر چیزی هست

اونهایی که لازم بود پاک کنند به موقعش ظاهرا پاک نکردن
واسه مردم عادی این چه ربطی داره

مردیم به خدا از بی سوادی و عوام بودن

جالبش اینجاست برخی کانال های مهم امنیت هم دستور به حذف واتس اپ دادن!!!

آکادمی آموزش روزبه 📚

17 June 2025 11:49

جلسه این هفته درس CISSP

✅ بخش اول کلاس:طراحی امن محیط فیزیکی ؛ از محیط کار تا دیتاسنتر

🟣بخش دوم کلاس: چطور CTI می‌تواند در جنگها نقش داشته باشد


#آکادمی_روزبه
مرکز تخصصی CISSP
پنج شنبه ها
واتس اپ 09902857290

آکادمی آموزش روزبه 📚

16 June 2025 21:07

به جای شعار منطقی باشیم و در حوزه تخصصی و حرفه ای خود علمی، عمل و رفتار کنیم

وظیفه و رسالت متخصص CISSP در هنگام جنگ (حملات سایبری یا نظامی)
نگاه به اصول اخلاقی ISC2

مقدمه

در دوران بحران، به ویژه هنگام جنگ یا تنش‌های شدید (مانند حملات سایبری گسترده یا سابوتاژهای زیرساختی)، نقش متخصصان امنیت اطلاعات با مدرک CISSP‌ به شدت حیاتی و حساس می‌شود. این مسئولیت نه تنها فنی، بلکه اخلاقی، حقوقی و حرفه‌ای است.
وظایف اصلی متخصص CISSP در زمان جنگ و بحران
۱. حفاظت از زیرساخت‌های حیاتی (Critical Infrastructure)

متخصص باید هرگونه تهدید علیه سیستم‌های حیاتی (مانند شبکه‌ی برق، آب، ارتباطات، بانک‌ها و سیستم‌های درمانی) را با جدیت شناسایی و با اقدامات پیشگیرانه، بازیابی و واکنشی، حفاظت کند.
۲. بی‌طرفی و استقلال حرفه‌ای

طبق اصول اخلاقی (ISC)²، متخصص امنیت نباید سوگیری شخصی، عقیدتی یا سیاسی در اجرای وظایف خود وارد کند. باید صرفاً براساس اصول حرفه‌ای و مصالح جامعه عمل کند، حتی اگر تحولات سیاسی یا نظامی کشور دستخوش تغییر شده باشد.
۳. حداکثرسازی صیانت از مردم و جلوگیری از آسیب به شهروندان

هنگام حملات (چه سایبری و چه فیزیکی)، وظیفه‌ی اصلی حفاظت از جان و رفاه مردم است. یعنی حفظ قابلیت دسترسی به سرویس‌های حیاتی (Availability)، یکپارچگی داده‌ها (Integrity) و محرمانگی (Confidentiality) باید در اولویت باشد.
۴. پاسخ و مدیریت بحران (Incident Response & Crisis Management)

متخصص CISSP باید آماده‌ی اجرای برنامه‌های مدیریت Incident و Disaster Recovery باشد. شامل هدایت تیم‌ها، اطلاع‌رسانی شفاف، و کمک به تصمیم‌گیران در اتخاذ راهکارهای درست، سریع و اثربخش.
۵. حمایت از حاکمیت قانون و چهارچوب‌های اخلاقی

در زمان جنگ، ممکن است درخواست‌هایی برای اقدامات غیراخلاقی یا غیرقانونی مطرح شود (مانند هک، تخریب عمدی زیرساخت، یا نقض حقوق بشر/حریم خصوصی). متخصص CISSP وظیفه دارد براساس چهارچوب‌های اخلاقی بین‌المللی و قانون عمل کند، حتی اگر در تضاد با دستورات مقطعی باشد.
جمع‌بندی - رسالت نهایی

متخصص CISSP در بحران، باید بدون چشم‌پوشی، بی‌طرف و حرفه‌ای بماند و رسالت خود را “صیانت از زیرساخت، مردم و ارزش‌های حیاتی جامعه” بداند. حفظ سلامت اطلاعات، تداوم سرویس‌دهی، و جلوگیری از آسیب‌رسانی به مردم و دارایی‌های ملی، بالاتر از هر دغدغه‌ی مقطعی یا دستوری است.


**پس خودمونی بگم : بدور از هیجان زدگی به هرطرفی، اگر کاری بلدی بشین انجام بده

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

16 June 2025 13:47

مهندسی طراحی امن سیستم های امنیتی
ضرورتی پنهان

از فصل طراحی امن سیستم ها درس CISSP



مفهوم “Fail Securely” با مثال تخصصی EDR و SOC

تعریف ساده:

مفهوم “Fail Securely” یعنی وقتی یک سیستم امنیتی یا زیرساخت به هر دلیلی دچار ایراد، قطع یا crash شد، به جای قرار گرفتن در وضعیت ناامن یا باز (Open)، باید در حالت امن باقی بماند یا به حالت امن سوئیچ کند.

مثال واقعی در دنیای امنیت (EDR/SOC):

تصور کنید یک سازمان بزرگ از EDR قدرتمند برای محافظت از سرورها و EndPointها استفاده می‌کند. حالا فرض کنید Agent این EDR روی سرور معمولا به دلیل آپدیت‌های معیوب یا حملات غیرمنتظره، از کار بیفتد (crash کند).

دو سناریو مقایسه‌ای:

اول Fail Open (شکست ناامن):Agent که CRASH کند:

هیچ کنترلی روی اجرای فایل‌های جدید نیست

مهاجم بدون مزاحمت هر فایلی را اجرا می‌کند

هیچ لاگ و آلارمی برای SOC نمی‌فرستد

نتیجه: مهاجم بدون شناسایی شدن حرکت می‌کند!

اماFail Securely (شکست امن):Agent که CRASH کند:

سیستم به طور خودکار شبکه را قطع می‌کند یا اجرای برنامه‌های ناشناخته را بلوکه می‌کند

فایل‌های حساس فقط به صورت read-only در دسترس می‌شود

وEventها در لاگ محلی امن ذخیره می‌شوند (حتی اگر EDR نباشد)

بعد از بازگشت EDR، همه اقدامات ثبت شده بازنگری می‌شود

نتیجه: حمله متوقف یا شدیداً محدود می‌شود، احتمال شناسایی بالا می‌رود.

مصداق عملی:

بعضی EDRها مثل CrowdStrike Falcon یا trendmicro دقیقاً این رفتار را نشان می‌دهند: اگر Agent به هر دلیل crash کند، سرویس اجراهای جدید را بلوکه یا شبکه سیستم را محدود می‌کند (“contain on agent failure”).

مثال قدیمی‌تر در فایروال‌ها: اگر fail open باشند، وقت از کار افتادن، کل ترافیک را عبور می‌دهند (خطرناک!)؛ اگر fail securely باشند، همه ترافیک را قطع می‌کنند.

**نکته کنکوری و سوال آزمون رسمی : صفحه آبی یا همون مرگ ویندوز هم میتونه در این قالب تلقی باشه .


#آکادمی_روزبه

مرکز تخصصی CISSP
واتس اپ 09902857290

آکادمی آموزش روزبه 📚

15 June 2025 21:21

#تبلیغات
#موقت

مرز باریک ابزار و تهدید

ابزارهای ادمینی (Remote Administration Tools, Scripting Engines, File Transfer Utilities و…) به دلیل نیازهای عملیاتی، روی بسیاری از سرورها و شبکه‌ها نصب‌اند. اما تاریخچه حملات موفق، بارها نشان داده مهاجمان همواره تلاش می‌کنند از همین ابزارهای مشروع به نفع خود بهره برداری کنند—دقیقاً مطابق روش “Living off the Land”.
واقعیت‌ها و نمونه‌های تاریخی
۱. استفاده مهاجمان از Remote Desktop و PsExec
در حملات باج‌افزاری بزرگی مانند WannaCry و NotPetya، بلافاصله پس از نفوذ اولیه، مهاجمین از ابزارهای ادمینی مثل PsExec (یک ابزار مایکروسافتی جهت اجرای دستورات از راه دور) برای حرکت جانبی (Lateral Movement) به سایر سرورها استفاده کردند.
حتی ابزارهایی چون PowerShell، WMIC و RDP بارها به وسیله مهاجمین برای اجرای اسکریپت‌های تخریبی و استخراج داده‌ها مورد سوءاستفاده قرار گرفته‌اند.
۲. هدایت حملات از طریق SCCM و Group Policy
در حمله مشهور SolarWinds (2020)، مهاجمان پس از نفوذ به محیط مدیریت مرکزی، کد مخرب را روی کل زیرساخت با استفاده از سیستم‌های مدیریت سازمانی (مثل MS SCCM، Group Policy Objects) پخش کردند—همان ابزارهایی که برای اعمال وصله‌ها و پیکربندی امن شبکه در نظر گرفته شده‌اند.
۳. سوءاستفاده از اسکریپت‌ها و کامند-لاین‌ها
در حمله به زیرساخت شرکت Target (۲۰۱۳)، مهاجمان با دسترسی یافتن به اکانت ادمینِ یک پیمانکار، ابزارها و اسکریپت‌های رایج مدیریت را برای استخراج مختصات کارت‌های بانکی مورد بهره‌برداری قرار دادند؛ کاری که در ظاهر یک عملیات ادمینی عادی به نظر می‌رسید.
چرا این اتفاق می‌افتد؟
ابزار ادمینی اغلب توسط سیاست‌های امنیتی مسدود نمی‌شوند؛ چرا که کسب‌و‌کار متکی به آن‌هاست.
لاگ این ابزار ها نویزی هستند.
به‌سختی می‌توان عملیات مخرب را از امور روزمره تمیز داد.
تهدید مدرن “Insider Threat”: وقتی اکانت ادمین توسط پرسنل ناراضی، مهاجم داخلی یا Credential Theft در دسترس قرار می‌گیرد، ابزار مشروع بدل به سلاح تهاجمی می‌شود.
درس‌های عملیاتی برای SOC و مدیران امنیت
مانیتور هویت، نه ابزار: اصل «کی از چی استفاده می‌کند» بالاتر از «چه ابزارهایی نصب است» اهمیت دارد.
انجام Least Privilege & Just-in-Time Access: کمترین سطح دسترسی و دسترسی لحظه‌ای، آسیب‌پذیری را به شدت کاهش می‌دهد.
لاگ‌برداری دقیق و هوشمند: حتما Monitor کنید چه کسانی، چه زمانی و چرا از ابزار ادمینی استفاده می‌کنند.
تهدیدی به نام سایه‌ادمین‌ها (Shadow Admins): ادمین مخفی و غیررسمی یا اکانت‌های با امتیاز مشکوک را مستند و محدود کنید.
رفتارشناسی (UEBA): هرگونه استفاده غیرعادی از ابزار مدیریت (خارج از تایم‌زون معمول، از IP ناشناس و…) باید بلافاصله بررسی شود


✅برای پایش این ابزار ها از دپارتمان SOC و برای تدوین راهکار؛ از خدمات vCISO شرکت هامون استفاده کنید

Www.haumoun.com

#تبلیغات
#موقت

آکادمی آموزش روزبه 📚

14 June 2025 19:44

همزاد هوش مصنوعی: انقلابی در تسهیل فرآیندهای DFIR برای تیم‌های SOC

✍️روزبه نوروزی

در دنیای امنیت سایبری که تهدیدات روزبه‌روز پیچیده‌تر می‌شوند، تیم‌های مرکز عملیات امنیت (SOC) با چالش‌های متعددی در تحلیل فارنزیک دیجیتال و پاسخ به حوادث (DFIR) مواجه‌اند. فرآیندهای پیچیده DFIR، مانند جمع‌آوری داده‌های فارنزیک ، شکار تهدیدات، و تحلیل لاگ‌ها، اغلب نیازمند دانش فنی عمیق و صرف زمان قابل‌توجهی هستند. در این میان، ابزار نوآورانه‌ای مانند mcp-velociraptor به‌عنوان یک “همزاد هوش مصنوعی” (AI Copilot) وارد عمل شده و با تلفیق هوش مصنوعی و پلتفرم Velociraptor، این فرآیندها را ساده و قابل‌دسترس کرده است.

ابزار mcp-velociraptor با ادغام مدل‌های زبانی بزرگ (LLMs) و Velociraptor از طریق پروتکل زمینه مدل (MCP)، امکان اجرای کوئری‌های پیچیده را با زبان طبیعی فراهم می‌کند.
به‌جای تسلط بر زبان کوئری Velociraptor (VQL)، کاربران می‌توانند سؤالاتی مانند “ارتباطات شبکه مشکوک را شناسایی کن” یا “تاریخچه مرورگر دستگاه X را نشان بده” مطرح کنند.
این ابزار سؤالات را به کوئری‌های VQL ترجمه کرده و از طریق API Velociraptor داده‌های زنده را از endpoint‌ها جمع‌آوری می‌کند. این قابلیت، حتی برای افرادی با دانش فنی محدود، امکان بهره‌مندی از ابزار قدرتمند Velociraptor را فراهم می‌کند.

مزیت اصلی این همزاد هوش مصنوعی، کاهش زمان پاسخ به حوادث و افزایش کارایی تیم‌های SOC است. با خودکارسازی فرآیندهای تکراری مانند نگارش کوئری و تحلیل داده‌ها، تحلیلگران می‌توانند بر شناسایی تهدیدات پیشرفته متمرکز شوند.
معماری این ابزار شامل اجزایی مانند mcp_velociraptor_bridge.py برای ترجمه زبان طبیعی به VQL و velociraptor_api.py برای تعامل با سرور Velociraptor است. این ساختار ماژولار، استقرار و استفاده از ابزار را در محیط‌های مختلف تسهیل می‌کند.

علاوه بر این، mcp-velociraptor با ساده‌سازی شکار تهدیدات و تحلیل فارنزیک، به تیم‌های SOC کمک می‌کند تا با سرعت بیشتری به تهدیدات پاسخ دهند. برای مثال، شناسایی الگوهای مشکوک در لاگ‌ها یا جمع‌آوری شواهد قانونی از هزاران دستگاه، که پیش‌تر ساعت‌ها زمان می‌برد، اکنون با چند دستور زبان طبیعی قابل‌انجام است. این ابزار همچنین با پشتیبانی از استقرار در مقیاس بزرگ، برای سازمان‌های بزرگ ایده‌آل است.

چالش ها:

بااین‌حال، چالش‌هایی مانند وابستگی به دقت مدل‌های زبانی، پیچیدگی اولیه استقرار، و نگرانی‌های امنیتی مرتبط با داده‌های حساس وجود دارد. برای غلبه بر این مسائل، سازمان‌ها باید مدل‌های زبانی را به‌صورت محلی میزبانی کنند و به‌روزرسانی‌های مداوم را اعمال کنند.

درنهایت، mcp-velociraptor به‌عنوان یک همزاد هوش مصنوعی، با سهل کردن کردن دسترسی به ابزارهای پیشرفته DFIR، تحولی در عملیات SOC ایجاد کرده است. این ابزار نه‌تنها بهره‌وری را افزایش می‌دهد، بلکه به افراد غیرمتخصص نیز امکان مشارکت در فرآیندهای امنیتی را می‌دهد. با ادامه توسعه این فناوری، آینده امنیت سایبری روشن‌تر و پاسخگویی به تهدیدات کارآمدتر خواهد شد.


برای اینکه بیشتر با مقاله من درگیر شوید یک لینک بهتون معرفی میکنم تا عملگرا باشید


#آکادمی_روزبه
مرکز تخصصی CISSP
همیشه پیشرو

balasubramanya.c/unleashing-ai-augmented-forensics-a-deep-dive-into-mcp-velociraptor-8f020c2ca5b8" rel="nofollow">https://medium.com/@balasubramanya.c/unleashing-ai-augmented-forensics-a-deep-dive-into-mcp-velociraptor-8f020c2ca5b8

آکادمی آموزش روزبه 📚

13 June 2025 16:22

هوش مصنوعی چطور می‌تواند در خدمت کشف APT باشد

✍روزبه نوروزی

مقدمه‌ای بر شبکه‌های مولد تخاصمی (GANها)

شبکه‌های مولد تخاصمی ، که توسط ایان گودفلو و همکارانش در سال ۲۰۱۴ معرفی شدند، یک چارچوب قدرتمند در یادگیری ماشین و به ویژه در یادگیری بدون نظارت هستند. ایده اصلی GAN بر پایه یک “بازی” بین دو شبکه عصبی استوار است: مولد (Generator) و متمایزکننده (Discriminator). مولد تلاش می‌کند داده‌های مصنوعی (مانند تصاویر، متن، یا صدا) تولید کند که تا حد امکان به داده‌های واقعی شباهت داشته باشند. در مقابل، متمایزکننده سعی می‌کند تشخیص دهد که داده ورودی واقعی است یا توسط مولد ساخته شده. این دو شبکه به طور همزمان آموزش می‌بینند و در یک فرآیند رقابتی، مولد در تولید داده‌های واقعی‌تر و متمایزکننده در تشخیص داده‌های جعلی ماهرتر می‌شوند، تا جایی که مولد بتواند داده‌هایی تولید کند که متمایزکننده قادر به تفکیک آن‌ها از داده‌های واقعی نباشد.

نمونه واقعی:

چگونه می‌توانست GAN در کشف حمله‌ی SolarWinds مؤثر باشد؟ (بدافزار Sunburst):

شرح مختصر حمله: مهاجمان به زنجیره تأمین نرم‌افزار نفوذ کرده و یک در پشتی (بدافزار Sunburst) را در به‌روزرسانی‌های قانونی پلتفرم مانیتورینگ Orion شرکت SolarWinds جاسازی کردند. این بدافزار پس از نصب، برای مدتی غیرفعال می‌ماند، سپس با یک دامنه تولید شده الگوریتمی (DGA) برای دریافت دستورات و کنترل (C2) ارتباط برقرار می‌کرد. ارتباطات C2 طوری طراحی شده بود که شبیه ترافیک عادی Orion به نظر برسد.
ببینیم چگونه GAN می‌توانست کمک کند:

ناهنجاری در الگوی DNS و HTTP/S:
حتی اگر ارتباطات C2 سعی در تقلید ترافیک عادی داشت، GAN می‌توانست تفاوت‌های ظریف را تشخیص دهد. برای مثال:
زمان‌بندی بیکن‌ها: بیکن‌های C2 ممکن است دارای یک الگوی زمانی بسیار منظم (مثلاً هر X دقیقه با دقت بالا) یا بالعکس، یک الگوی تصادفی باشند که با الگوهای عادی درخواست‌های Orion متفاوت است.
مقصد ارتباط: حتی اگر نام دامنه سعی در تقلید داشت (مثلاً avasoftware[.]com برای Sunburst)، خود این دامنه برای مدل GAN که روی ترافیک عادی آموزش دیده، “جدید” و “غیرمنتظره” بود. اگرچه ممکن است از نظر معنایی شبیه به نظر برسد، اما از نظر آماری و ارتباطی، یک مقصد جدید است.
ویژگی‌های ارتباطی سطح پایین: اندازه بسته‌ها، توالی پرچم‌های TCP، یا حتی ویژگی‌های رمزنگاری TLS (مانند ciphersuites) برای ارتباطات C2 ممکن است با آنچه مدل از ارتباطات عادی Orion یاد گرفته بود، تفاوت‌های جزئی داشته باشد.
شناسایی “اولین تماس”: اولین باری که یک میزبان داخلی آلوده سعی در برقراری ارتباط با دامنه C2 جدید می‌کرد، به عنوان یک ناهنجاری برجسته توسط GAN شناسایی می‌شد، زیرا این الگو (میزبان X در حال صحبت با دامنه Y) قبلاً در داده‌های آموزشی “نرمال” دیده نشده بود.
کشف سریع‌تر: به جای ماه‌ها، این ناهنجاری‌ها می‌توانستند در عرض چند روز یا هفته پس از فعال شدن بدافزار شناسایی شوند، قبل از اینکه مهاجمان به اهداف اصلی خود برسند یا حجم زیادی از داده‌ها را استخراج کنند.


در واقع ؛ هنگام حمله فوق از GAN استفاده نشد اما این مقاله نشان داد میتوان از یادگیری ماشینی در کشف APT مانند فوق استفاده کرد

#آکادمی_روزبه
مرکز تخصصی CISSP