Україна Online: Новини | Політика
Телеграмна служба новин - Україна
Резидент
Мир сегодня с "Юрий Подоляка"
Труха⚡️Україна
Николаевский Ванёк
Лачен пише
Реальний Київ | Украина
Реальна Війна
Україна Online: Новини | Політика
Телеграмна служба новин - Україна
Резидент
Мир сегодня с "Юрий Подоляка"
Труха⚡️Україна
Николаевский Ванёк
Лачен пише
Реальний Київ | Украина
Реальна Війна
Україна Online: Новини | Політика
Телеграмна служба новин - Україна
Резидент
آکادمی آموزش روزبه 📚
🍎آموزش و ترویج علمی فناوری اطلاعات ، امنیت و مدیریت پروژه های مرتبط
🍁 و کمی هم اخلاق و انسانیت
Training of Information Technology, Cyber Security, Project Management, Ethics and Humanitarian
ارتباط با مدیر کانال:
@roozbehadm
🍁 و کمی هم اخلاق و انسانیت
Training of Information Technology, Cyber Security, Project Management, Ethics and Humanitarian
ارتباط با مدیر کانال:
@roozbehadm
Рейтинг TGlist
0
0
ТипПублічний
Верифікація
Не верифікованийДовіреність
Не надійнийРозташування
МоваІнша
Дата створення каналуГруд 24, 2016
Додано до TGlist
Квіт 19, 2025Рекорди
19.04.202523:59
3.7KПідписників16.04.202523:59
0Індекс цитування18.04.202520:08
588Охоплення 1 допису19.04.202523:59
353Охоп рекл. допису18.04.202520:08
2.04%ER18.04.202520:08
15.70%ERR19.04.202516:08
درس تحلیل بدافزار
کتاب Evasive malware
ماجرای بدافزار فایلنویس بدون API!
سناریو:
یه تیم امنیتی یه فایل exe پیدا میکنه روی یه سیستم آلوده. عجیبیش اینه که:
هیچ ترافیکی به بیرون نداره.
هیچ API مشکوکی (مثل WriteFile, CreateFile, WinExec, یا VirtualAlloc) هم توش دیده نمیشه!
اما داره فایل مخرب تولید میکنه و بهنوعی خودش رو کپی میکنه تو مسیرهای دیگه و درایورها رو آلوده میکنه.
خب پس چطور داره فایل مینویسه؟!
وقتی فایل رو دیساسمبل میکنیم، یه چیز عجیب میبینیم:
هیچکدوم از توابع استاندارد ویندوز استفاده نشده.
بلکه چه کاری انجام شده ؟
1. مستقیم به حافظهی کرنل و توابع NT دسترسی گرفته
بدافزار از طریق جدول SSDT (System Service Descriptor Table) رفته سراغ NtWriteFile، NtCreateFile و… بدون اینکه از نسخههای user-mode استفاده کنه!
این یعنی kernel32.dll یا ntdll.dll رو Bypass کرده. تحلیلگرهای عادی که فقط API Call ها رو نگاه میکنن، چیزی نمیبینن!
2. استفاده از Shellcode پیچیده با Obfuscation بالا
بخشی از عملکرد بدافزار به شکل شِلکد رمز شده توی پشته (stack) تزریق میشه،
و بعد با اجرای دستی jump به آدرس رمزگشاییشده، کد اجرا میشه.
بدافزار هیچ ردپایی در حافظه عادی سیستمعامل نمیذاره.
3. ارتباط بدون استفاده از Winsock یا WinINet
برای ارتباط با سرور C2، بدافزار از درایورهای سطح پایین مثل NDIS.sys و tcpip.sys استفاده میکنه!
یعنی حتی فایروال ویندوز هم نمیفهمه این برنامه داره به اینترنت وصل میشه!
نکته پایان درس :
تحلیلگرهایی که فقط APIهای معمولی رو بررسی میکنن، اصلاً متوجه نمیشن این بدافزار چیکار میکنه.
اینجاست که تحلیل کرنل، درک معماری ویندوز و تسلط روی دیساسمبلی واقعاً معنی پیدا میکنه.
#آکادمی_روزبه
کتاب Evasive malware
ماجرای بدافزار فایلنویس بدون API!
سناریو:
یه تیم امنیتی یه فایل exe پیدا میکنه روی یه سیستم آلوده. عجیبیش اینه که:
هیچ ترافیکی به بیرون نداره.
هیچ API مشکوکی (مثل WriteFile, CreateFile, WinExec, یا VirtualAlloc) هم توش دیده نمیشه!
اما داره فایل مخرب تولید میکنه و بهنوعی خودش رو کپی میکنه تو مسیرهای دیگه و درایورها رو آلوده میکنه.
خب پس چطور داره فایل مینویسه؟!
وقتی فایل رو دیساسمبل میکنیم، یه چیز عجیب میبینیم:
هیچکدوم از توابع استاندارد ویندوز استفاده نشده.
بلکه چه کاری انجام شده ؟
1. مستقیم به حافظهی کرنل و توابع NT دسترسی گرفته
بدافزار از طریق جدول SSDT (System Service Descriptor Table) رفته سراغ NtWriteFile، NtCreateFile و… بدون اینکه از نسخههای user-mode استفاده کنه!
این یعنی kernel32.dll یا ntdll.dll رو Bypass کرده. تحلیلگرهای عادی که فقط API Call ها رو نگاه میکنن، چیزی نمیبینن!
2. استفاده از Shellcode پیچیده با Obfuscation بالا
بخشی از عملکرد بدافزار به شکل شِلکد رمز شده توی پشته (stack) تزریق میشه،
و بعد با اجرای دستی jump به آدرس رمزگشاییشده، کد اجرا میشه.
بدافزار هیچ ردپایی در حافظه عادی سیستمعامل نمیذاره.
3. ارتباط بدون استفاده از Winsock یا WinINet
برای ارتباط با سرور C2، بدافزار از درایورهای سطح پایین مثل NDIS.sys و tcpip.sys استفاده میکنه!
یعنی حتی فایروال ویندوز هم نمیفهمه این برنامه داره به اینترنت وصل میشه!
نکته پایان درس :
تحلیلگرهایی که فقط APIهای معمولی رو بررسی میکنن، اصلاً متوجه نمیشن این بدافزار چیکار میکنه.
اینجاست که تحلیل کرنل، درک معماری ویندوز و تسلط روی دیساسمبلی واقعاً معنی پیدا میکنه.
#آکادمی_روزبه
18.04.202512:42
به روزرسانی از راه دور UF اسپلانک
ابزار جدیدی به نام "Splunk Remote Upgrader for Linux Universal Forwarders" ارائه شده است که این ابزار به مدیران سیستم یا تیمهای امنیتی کمک میکنه که Universal Forwarderهای لینوکسی خودشون رو از راه دور و بهصورت متمرکز آپگرید کنن، بدون اینکه نیاز باشه به صورت دستی روی هر سرور این کار انجام بشه.
مشکل قبلی: آپگرید کردن Universal Forwarderها (UF) روی لینوکسها معمولاً یک کار وقتگیر و دستی بود، بهخصوص در محیطهایی که تعداد زیادی UF دارند.
راهکار جدید: Splunk یک اسکریپت Bash معرفی کرده که به صورت remote و اتوماتیک این کار رو انجام میده.
مزایا:
صرفهجویی در زمان.
کاهش احتمال خطای انسانی.
سازگار با ابزارهای اتوماسیون و CI/CD.
میشه در مقیاس بزرگ ازش استفاده کرد.
چطوری کار میکنه:
فایل باینری جدید UF به یک مکان مرکزی کپی میشه.
از طریق SSH به سرورها وصل میشه.
اونUF قدیمی رو حذف یا بروز میکنه، کانفیگها حفظ میشن.
سرویس UF دوباره راهاندازی میشه.
پی نوشت :
درسته که Deployment Server (DS) توی Splunk برای مدیریت پیکربندی Universal Forwarderها استفاده میشه، اما باید به یه نکتهی مهم دقت کنیم:
سرور Deployment Server چی کار میکنه؟
فقط پیکربندی (configs) رو مدیریت میکنه: مثل inputs.conf, outputs.conf, props.conf و ...
میتونه این تنظیمات رو به گروهی از UFها push کنه.
اما...
این Deployment Server آپگرید نرمافزار UF رو انجام نمیده.
یعنی:
اگر نسخه UF روی کلاینت 7.3 باشه و شما بخوای به 9.2 ارتقا بدی، DS نمیتونه خودش فایل باینری جدید رو نصب کنه.
اینDS کاری به خود بروزرسانی نسخهی UF نداره. فقط کانفیگ میده.
#آکادمی_روزبه
https://www.splunk.com/en_us/blog/platform/splunk-remote-upgrader-for-linux-universal-forwarders.html?utm_source=linkedin&utm_medium=social-media&linkId=799806695
ابزار جدیدی به نام "Splunk Remote Upgrader for Linux Universal Forwarders" ارائه شده است که این ابزار به مدیران سیستم یا تیمهای امنیتی کمک میکنه که Universal Forwarderهای لینوکسی خودشون رو از راه دور و بهصورت متمرکز آپگرید کنن، بدون اینکه نیاز باشه به صورت دستی روی هر سرور این کار انجام بشه.
مشکل قبلی: آپگرید کردن Universal Forwarderها (UF) روی لینوکسها معمولاً یک کار وقتگیر و دستی بود، بهخصوص در محیطهایی که تعداد زیادی UF دارند.
راهکار جدید: Splunk یک اسکریپت Bash معرفی کرده که به صورت remote و اتوماتیک این کار رو انجام میده.
مزایا:
صرفهجویی در زمان.
کاهش احتمال خطای انسانی.
سازگار با ابزارهای اتوماسیون و CI/CD.
میشه در مقیاس بزرگ ازش استفاده کرد.
چطوری کار میکنه:
فایل باینری جدید UF به یک مکان مرکزی کپی میشه.
از طریق SSH به سرورها وصل میشه.
اونUF قدیمی رو حذف یا بروز میکنه، کانفیگها حفظ میشن.
سرویس UF دوباره راهاندازی میشه.
پی نوشت :
درسته که Deployment Server (DS) توی Splunk برای مدیریت پیکربندی Universal Forwarderها استفاده میشه، اما باید به یه نکتهی مهم دقت کنیم:
سرور Deployment Server چی کار میکنه؟
فقط پیکربندی (configs) رو مدیریت میکنه: مثل inputs.conf, outputs.conf, props.conf و ...
میتونه این تنظیمات رو به گروهی از UFها push کنه.
اما...
این Deployment Server آپگرید نرمافزار UF رو انجام نمیده.
یعنی:
اگر نسخه UF روی کلاینت 7.3 باشه و شما بخوای به 9.2 ارتقا بدی، DS نمیتونه خودش فایل باینری جدید رو نصب کنه.
اینDS کاری به خود بروزرسانی نسخهی UF نداره. فقط کانفیگ میده.
#آکادمی_روزبه
https://www.splunk.com/en_us/blog/platform/splunk-remote-upgrader-for-linux-universal-forwarders.html?utm_source=linkedin&utm_medium=social-media&linkId=799806695
19.04.202515:57
بررسی آسیب پذیری
1. مکانیسم و مفهوم Canonicalization در Kerberos یعنی چه؟
در Kerberos، وقتی کاربر یا سرویس قصد داره احراز هویت بشه، یک "نام اصلی" یا Principal Name (مثل user@DOMAIN.COM) به کنترلر دامین (Domain Controller یا DC) داده میشه.
اما گاهی کاربر ممکنه اینو با فرمتهای مختلف وارد کنه، مثلاً:
user
user@domain.com
DOMAIN\user
این Canonicalization یعنی استانداردسازی این نامها به یک فرمت مشخص تا Kerberos بدونه که دقیقاً کدوم حساب کاربری منظوره.
این کار توسط DC انجام میشه، مثلاً:
ورودی: DOMAIN\user
خروجی Canonicalized: user@domain.com
این مرحله مهمه چون اگر به درستی انجام نشه، ممکنه DC نتونه کاربر رو درست شناسایی کنه یا از طرف دیگه، سیستم امنیتی گول بخوره!
2. آسیبپذیریهای CVE-2025-21299 و CVE-2025-29809
حالا که Canonicalization رو گفتم ، بریم سراغ مشکل.
محققها کشف کردن که در نسخههایی از ویندوز، فرایند Canonicalization در Kerberos درست و امن انجام نمیشه.
یعنی مهاجم میتونه یک نام کاربری جعلی یا با ساختار خاص بده که در ابتدا بیخطر بهنظر میرسه،ولی بعد از Canonicalization، به یک حساب واقعی (یا دارای سطح دسترسی بالا) تبدیل بشه!
اونوقت چه اتفاقی میافته؟
مهاجم از یک ماشین لوکال، با دسترسی محدود، یه درخواست احراز هویت به DC میفرسته.
اسم کاربری یا سرویس رو جوری میسازه که بعد از Canonicalization، تبدیل به یه حساب مهم بشه.
مکانیسم Credential Guard (که مسئول جلوگیری از دسترسی به توکنها و هشهاست)، فریب میخوره.
مهاجم میتونه به توکن Kerberos یا هشهای NTLM دسترسی پیدا کنه.
از این طریق ممکنه بتونه حملهی Pass-the-Hash یا Kerberos Ticket Replay انجام بده.
پس مفهوم کلی آسیبپذیری چیه؟
وقتی Canonicalization درست انجام نشه، مهاجم میتونه هویت خودش رو جوری دستکاری کنه که Credential Guard رو دور بزنه.
و این یعنی کل مکانیزم محافظت از اعتبارنامهها (که ویندوز خیلی روش مانور میده)، بیاثر میشه.
#آکادمی_روزبه
پی نوشت از درس CISSP: آسیب پذیری این بار در خود پروتکل نیست و در پیاده سازی پروتکل بوده است
https://www.netspi.com/blog/technical-blog/adversary-simulation/cve-2025-21299-cve-2025-29809-unguarding-microsoft-credential-guard/
1. مکانیسم و مفهوم Canonicalization در Kerberos یعنی چه؟
در Kerberos، وقتی کاربر یا سرویس قصد داره احراز هویت بشه، یک "نام اصلی" یا Principal Name (مثل user@DOMAIN.COM) به کنترلر دامین (Domain Controller یا DC) داده میشه.
اما گاهی کاربر ممکنه اینو با فرمتهای مختلف وارد کنه، مثلاً:
user
user@domain.com
DOMAIN\user
این Canonicalization یعنی استانداردسازی این نامها به یک فرمت مشخص تا Kerberos بدونه که دقیقاً کدوم حساب کاربری منظوره.
این کار توسط DC انجام میشه، مثلاً:
ورودی: DOMAIN\user
خروجی Canonicalized: user@domain.com
این مرحله مهمه چون اگر به درستی انجام نشه، ممکنه DC نتونه کاربر رو درست شناسایی کنه یا از طرف دیگه، سیستم امنیتی گول بخوره!
2. آسیبپذیریهای CVE-2025-21299 و CVE-2025-29809
حالا که Canonicalization رو گفتم ، بریم سراغ مشکل.
محققها کشف کردن که در نسخههایی از ویندوز، فرایند Canonicalization در Kerberos درست و امن انجام نمیشه.
یعنی مهاجم میتونه یک نام کاربری جعلی یا با ساختار خاص بده که در ابتدا بیخطر بهنظر میرسه،ولی بعد از Canonicalization، به یک حساب واقعی (یا دارای سطح دسترسی بالا) تبدیل بشه!
اونوقت چه اتفاقی میافته؟
مهاجم از یک ماشین لوکال، با دسترسی محدود، یه درخواست احراز هویت به DC میفرسته.
اسم کاربری یا سرویس رو جوری میسازه که بعد از Canonicalization، تبدیل به یه حساب مهم بشه.
مکانیسم Credential Guard (که مسئول جلوگیری از دسترسی به توکنها و هشهاست)، فریب میخوره.
مهاجم میتونه به توکن Kerberos یا هشهای NTLM دسترسی پیدا کنه.
از این طریق ممکنه بتونه حملهی Pass-the-Hash یا Kerberos Ticket Replay انجام بده.
پس مفهوم کلی آسیبپذیری چیه؟
وقتی Canonicalization درست انجام نشه، مهاجم میتونه هویت خودش رو جوری دستکاری کنه که Credential Guard رو دور بزنه.
و این یعنی کل مکانیزم محافظت از اعتبارنامهها (که ویندوز خیلی روش مانور میده)، بیاثر میشه.
#آکادمی_روزبه
پی نوشت از درس CISSP: آسیب پذیری این بار در خود پروتکل نیست و در پیاده سازی پروتکل بوده است
https://www.netspi.com/blog/technical-blog/adversary-simulation/cve-2025-21299-cve-2025-29809-unguarding-microsoft-credential-guard/
16.04.202505:59
روشهای لود شدن درایورهای کرنل (Kernel Drivers)
در سیستمعاملها (بهویژه ویندوز و لینوکس) بسته به معماری سیستمعامل و نوع درایور روش لود میتوانند متفاوت باشند. در ادامه، روشهای اصلی بارگذاری درایورها در کرنل را بررسی میکنم:
🔵 در ویندوز (Windows):
1. لود شدن از طریق Service Control Manager (SCM)
ویندوز از SCM برای مدیریت سرویسها و درایورها استفاده میکند.
درایورها در رجیستری در مسیر زیر تعریف میشوند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
در اینجا، کلید Start مشخص میکند درایور در چه زمانی بارگذاری شود (Boot، System، Manual، ...).
مقدار توضیح
0 لود درایور در زمان بوت شدن بوتلودر (BOOT_START)
1 لود درایور در زمان لود شدن کرنل (SYSTEM_START)
2 لود دستی توسط سیستم یا کاربر
3 لود دستی فقط با دستور صریح
4 غیر فعال (Disabled)
2. لود از طریق NtLoadDriver
این API سیستمی که برای لود دستی درایور از فضای User-mode استفاده میشود.
ابزارهایی مانند sc.exe, OSRLoader یا برنامههای سفارشی از این API استفاده میکنند.
3. لود از طریق فریمورکهای درایور (مانند KMDF/UMDF)
این Windows Driver Frameworks اجازه میدهند درایورها به صورت مدرنتر و کنترلشدهتر لود شوند.
4. لود توسط بدافزار یا rootkit
گاهی از تکنیکهایی مانند بارگذاری درایور unsigned از طریق آسیبپذیری، استفاده از CVEها، یا Patch کردن Kernel Memory برای بایپس کردن امضا استفاده میشود.
🟢 در لینوکس (Linux):
1. لود در زمان بوت توسط initramfs/initrd
برخی ماژولهای کرنل (درایورها) در مرحله بوت اولیه لود میشوند.
پیکربندیها معمولاً در /etc/initramfs-tools/ یا /boot/ وجود دارند.
2. لود خودکار توسط udev
زمانی که یک سختافزار شناسایی میشود، udev به صورت داینامیک ماژول مناسب را بارگذاری میکند.
با دستور modprobe یا insmod میتوان به صورت دستی نیز ماژول را بارگذاری کرد.
3. لود دستی:
با ابزارهای:
modprobe
insmod
و حذف با:
rmmod
modprobe -r
4. لود از طریق فایل /etc/modules
برای لود شدن خودکار ماژولها در زمان بوت.
🛡 نکته امنیتی:
لود شدن درایور کرنل (بهویژه در ویندوز) نیاز به دسترسی سطح کرنل یا Administrative privileges دارد. سوءاستفاده از این مکانیزم میتواند باعث اجرای کد با دسترسی بالا و ساخت rootkit شود.
#آکادمی_روزبه
در سیستمعاملها (بهویژه ویندوز و لینوکس) بسته به معماری سیستمعامل و نوع درایور روش لود میتوانند متفاوت باشند. در ادامه، روشهای اصلی بارگذاری درایورها در کرنل را بررسی میکنم:
🔵 در ویندوز (Windows):
1. لود شدن از طریق Service Control Manager (SCM)
ویندوز از SCM برای مدیریت سرویسها و درایورها استفاده میکند.
درایورها در رجیستری در مسیر زیر تعریف میشوند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
در اینجا، کلید Start مشخص میکند درایور در چه زمانی بارگذاری شود (Boot، System، Manual، ...).
مقدار توضیح
0 لود درایور در زمان بوت شدن بوتلودر (BOOT_START)
1 لود درایور در زمان لود شدن کرنل (SYSTEM_START)
2 لود دستی توسط سیستم یا کاربر
3 لود دستی فقط با دستور صریح
4 غیر فعال (Disabled)
2. لود از طریق NtLoadDriver
این API سیستمی که برای لود دستی درایور از فضای User-mode استفاده میشود.
ابزارهایی مانند sc.exe, OSRLoader یا برنامههای سفارشی از این API استفاده میکنند.
3. لود از طریق فریمورکهای درایور (مانند KMDF/UMDF)
این Windows Driver Frameworks اجازه میدهند درایورها به صورت مدرنتر و کنترلشدهتر لود شوند.
4. لود توسط بدافزار یا rootkit
گاهی از تکنیکهایی مانند بارگذاری درایور unsigned از طریق آسیبپذیری، استفاده از CVEها، یا Patch کردن Kernel Memory برای بایپس کردن امضا استفاده میشود.
🟢 در لینوکس (Linux):
1. لود در زمان بوت توسط initramfs/initrd
برخی ماژولهای کرنل (درایورها) در مرحله بوت اولیه لود میشوند.
پیکربندیها معمولاً در /etc/initramfs-tools/ یا /boot/ وجود دارند.
2. لود خودکار توسط udev
زمانی که یک سختافزار شناسایی میشود، udev به صورت داینامیک ماژول مناسب را بارگذاری میکند.
با دستور modprobe یا insmod میتوان به صورت دستی نیز ماژول را بارگذاری کرد.
3. لود دستی:
با ابزارهای:
modprobe
insmod
و حذف با:
rmmod
modprobe -r
4. لود از طریق فایل /etc/modules
برای لود شدن خودکار ماژولها در زمان بوت.
🛡 نکته امنیتی:
لود شدن درایور کرنل (بهویژه در ویندوز) نیاز به دسترسی سطح کرنل یا Administrative privileges دارد. سوءاستفاده از این مکانیزم میتواند باعث اجرای کد با دسترسی بالا و ساخت rootkit شود.
#آکادمی_روزبه
18.04.202511:17
مقالهی زیر به بررسی سوءاستفاده مهاجمان سایبری از ابزارهای مدیریت و نظارت از راه دور (RMM) مانند TeamViewer، AnyDesk و ScreenConnect میپردازد.
این ابزارها که برای مدیریت سیستمها توسط ارائهدهندگان خدمات مدیریتشده (MSP) طراحی شدهاند، در صورت عدم مدیریت صحیح، میتوانند به نقاط ضعف امنیتی تبدیل شوند.
نکات کلیدی مقاله:
استفاده مخرب از ابزارهای RMM: مهاجمان با نصب ابزارهای RMM بر روی سیستمهای قربانی، دسترسی پایدار و مخفیانهای به شبکهها پیدا میکنند. این دسترسی میتواند از طریق روشهایی مانند پروتکل Remote Desktop (RDP) یا فیشینگ به دست آید.
سوءاستفاده از نصبهای قبلی: در برخی موارد، مهاجمان از نسخههای نصبشدهی قبلی ابزارهایی مانند TeamViewer که هنوز در سیستمها فعال هستند، بهرهبرداری میکنند. این دسترسیها ممکن است به دلیل افشای اطلاعات ورود یا عدم حذف کامل ابزارهای قدیمی باشد.
اهمیت مدیریت ابزارهای قدیمی: در صورتی که یک کسبوکار ارائهدهنده خدمات MSP خود را تغییر دهد، ابزارهای RMM قدیمی ممکن است همچنان در سیستمها باقی بمانند و به عنوان درهای پشتی برای مهاجمان عمل کنند.
توصیههای امنیتی: مقاله پیشنهاد میکند که سازمانها باید فهرستی دقیق از نرمافزارهای نصبشده و فعال در سیستمهای خود داشته باشند و بهویژه فایلهای لاگ مانند ‘connections_incoming.txt’ در TeamViewer را برای شناسایی دسترسیهای مشکوک بررسی کنند.
در مجموع، مقاله هشدار میدهد که ابزارهای RMM، در صورت عدم مدیریت صحیح، میتوانند به نقاط ضعف امنیتی تبدیل شوند و تأکید میکند که سازمانها باید نظارت دقیقی بر این ابزارها داشته باشند تا از سوءاستفادههای احتمالی جلوگیری کنند.
#آکادمی_روزبه
https://www.huntress.com/blog/tales-of-too-many-rmms
این ابزارها که برای مدیریت سیستمها توسط ارائهدهندگان خدمات مدیریتشده (MSP) طراحی شدهاند، در صورت عدم مدیریت صحیح، میتوانند به نقاط ضعف امنیتی تبدیل شوند.
نکات کلیدی مقاله:
استفاده مخرب از ابزارهای RMM: مهاجمان با نصب ابزارهای RMM بر روی سیستمهای قربانی، دسترسی پایدار و مخفیانهای به شبکهها پیدا میکنند. این دسترسی میتواند از طریق روشهایی مانند پروتکل Remote Desktop (RDP) یا فیشینگ به دست آید.
سوءاستفاده از نصبهای قبلی: در برخی موارد، مهاجمان از نسخههای نصبشدهی قبلی ابزارهایی مانند TeamViewer که هنوز در سیستمها فعال هستند، بهرهبرداری میکنند. این دسترسیها ممکن است به دلیل افشای اطلاعات ورود یا عدم حذف کامل ابزارهای قدیمی باشد.
اهمیت مدیریت ابزارهای قدیمی: در صورتی که یک کسبوکار ارائهدهنده خدمات MSP خود را تغییر دهد، ابزارهای RMM قدیمی ممکن است همچنان در سیستمها باقی بمانند و به عنوان درهای پشتی برای مهاجمان عمل کنند.
توصیههای امنیتی: مقاله پیشنهاد میکند که سازمانها باید فهرستی دقیق از نرمافزارهای نصبشده و فعال در سیستمهای خود داشته باشند و بهویژه فایلهای لاگ مانند ‘connections_incoming.txt’ در TeamViewer را برای شناسایی دسترسیهای مشکوک بررسی کنند.
در مجموع، مقاله هشدار میدهد که ابزارهای RMM، در صورت عدم مدیریت صحیح، میتوانند به نقاط ضعف امنیتی تبدیل شوند و تأکید میکند که سازمانها باید نظارت دقیقی بر این ابزارها داشته باشند تا از سوءاستفادههای احتمالی جلوگیری کنند.
#آکادمی_روزبه
https://www.huntress.com/blog/tales-of-too-many-rmms
17.04.202519:02
#جایزه
به هر دانشجوی کلاس CISSP که در آزمون رسمی قبول شود مبلغ 3 میلیون تومان جایزه پرداخت میشود🌹
این حداقل کاری است که برای قدردانی از شما قابل انجام است
انشالله استفاده شود ✅
روزبه نوروزی💫
به هر دانشجوی کلاس CISSP که در آزمون رسمی قبول شود مبلغ 3 میلیون تومان جایزه پرداخت میشود🌹
این حداقل کاری است که برای قدردانی از شما قابل انجام است
انشالله استفاده شود ✅
روزبه نوروزی💫
19.04.202515:00
آسیبپذیری امنیتی در ویندوز با شناسه CVE-2025-24054 است که بهتازگی مورد سوءاستفاده قرار گرفته است.
خلاصهای از موضوع:
نوع آسیبپذیری: افشای هشهای NTLM از طریق فایلهای مخرب .
شدت: متوسط (امتیاز CVSS: 6.5).
نحوه سوءاستفاده: مهاجمان با استفاده از فایلهای خاص با پسوند .library-ms، کاربران را فریب میدهند تا این فایلها را دانلود و باز کنند. حتی با یک کلیک ساده یا مشاهده فایل، ویندوز بهصورت خودکار تلاش میکند از طریق پروتکل SMB به یک سرور راه دور متصل شود و در این فرآیند، هشهای NTLM کاربر را افشا میکند.
کمپینهای فعال: از ۱۹ مارس ۲۰۲۵، حملاتی در لهستان و رومانی گزارش شدهاند که از این آسیبپذیری برای سرقت هشهای NTLM استفاده کردهاند.
وضعیت پچ: مایکروسافت در ماه گذشته این آسیبپذیری را در بهروزرسانیهای خود رفع کرده است.
توصیهها:
سیستمهای ویندوز خود را بهروزرسانی کنید تا پچهای امنیتی اخیر اعمال شوند.
از باز کردن فایلهای ناشناس، بهویژه با پسوند .library-ms، خودداری کنید.
در صورت امکان، استفاده از پروتکل NTLM را غیرفعال کرده و به پروتکلهای امنتر مانند Kerberos مهاجرت کنید.
#آکادمی_روزبه
https://thehackernews.com/2025/04/cve-2025-24054-under-active.html
خلاصهای از موضوع:
نوع آسیبپذیری: افشای هشهای NTLM از طریق فایلهای مخرب .
شدت: متوسط (امتیاز CVSS: 6.5).
نحوه سوءاستفاده: مهاجمان با استفاده از فایلهای خاص با پسوند .library-ms، کاربران را فریب میدهند تا این فایلها را دانلود و باز کنند. حتی با یک کلیک ساده یا مشاهده فایل، ویندوز بهصورت خودکار تلاش میکند از طریق پروتکل SMB به یک سرور راه دور متصل شود و در این فرآیند، هشهای NTLM کاربر را افشا میکند.
کمپینهای فعال: از ۱۹ مارس ۲۰۲۵، حملاتی در لهستان و رومانی گزارش شدهاند که از این آسیبپذیری برای سرقت هشهای NTLM استفاده کردهاند.
وضعیت پچ: مایکروسافت در ماه گذشته این آسیبپذیری را در بهروزرسانیهای خود رفع کرده است.
توصیهها:
سیستمهای ویندوز خود را بهروزرسانی کنید تا پچهای امنیتی اخیر اعمال شوند.
از باز کردن فایلهای ناشناس، بهویژه با پسوند .library-ms، خودداری کنید.
در صورت امکان، استفاده از پروتکل NTLM را غیرفعال کرده و به پروتکلهای امنتر مانند Kerberos مهاجرت کنید.
#آکادمی_روزبه
https://thehackernews.com/2025/04/cve-2025-24054-under-active.html
17.04.202518:05
فراخوان OWASP برای ایجاد یک چارچوب متحد جهانی برای شناسایی و مدیریت آسیبپذیریها
بنیاد OWASP در مقالهای به قلم استیو
اسپرینگت، نایبرئیس هیئتمدیره جهانی OWASP، فراخوانی برای ایجاد یک چارچوب متحد جهانی برای شناسایی و مدیریت آسیبپذیریها منتشر کرد. این اقدام در پاسخ به نگرانیهای فزاینده درباره اثربخشی برنامه CVE و پایداری نقش دولت ایالات متحده در مدیریت بزرگترین پایگاه داده آسیبپذیریهای جهان صورت گرفته است.
دلایل این فراخوان چیست؟
برنامه CVE و پایگاه داده ملی آسیبپذیریها (NVD) که در ابتدا برای محیطهای نرمافزاری تجاری طراحی شده بودند، اکنون با چالشهایی مواجه هستند:
افزایش استفاده از نرمافزارهای متنباز:
بیش از ۹۰٪ از برنامههای مدرن به اجزای متنباز متکی هستند، اما برنامه CVE اغلب در شناسایی سریع و مؤثر آسیبپذیریهای این اجزا ناکام است.
نیازهای نوظهور امنیتی:
شناسایی ضعفها در الگوریتمهای رمزنگاری مانند AES-128 یا مسائل امنیتی در سیستمهای هوش مصنوعی و دستگاههای پزشکی، که در چارچوب سنتی آسیبپذیریها جای نمیگیرند، نیازمند رویکردهای جدیدی است.
محدودیتهای مدل متمرکز:
وابستگی به یک مرجع مرکزی برای مدیریت اطلاعات آسیبپذیریها، در برابر تهدیدات گسترده و پیچیده امروزی ناکارآمد به نظر میرسد.
پیشنهاد OWASP چیست؟
اینجا OWASP پیشنهاد میکند که یک مدل فدرال و غیرمتمرکز برای شناسایی و مدیریت آسیبپذیریها ایجاد شود. این مدل با همکاری بینالمللی و مشارکت جوامع مختلف، از جمله تولیدکنندگان دستگاههای پزشکی و گروههای صنعتی، به دنبال ایجاد سیستمی انعطافپذیر و قابل توسعه است که بتواند طیف گستردهای از مسائل امنیتی را پوشش دهد.
چگونه میتوان مشارکت کرد؟
انجمن OWASP از دولتها، رهبران صنعت، پژوهشگران و کارشناسان جامعه دعوت میکند تا با ارائه نظرات، تخصص و منابع خود، در شکلگیری این مدل جدید همکاری کنند.
هدف، ایجاد سیستمی است که نه تنها آسیبپذیریهای سنتی، بلکه مسائل امنیتی نوظهور را نیز در بر گیرد.
#آکادمی_روزبه
ثبت نام دوره آزمون CISSP
واتس اپ 09902857290
https://owasp.org/blog/2025/04/17/owasp-global-vulnerability-intelligence.html
بنیاد OWASP در مقالهای به قلم استیو
اسپرینگت، نایبرئیس هیئتمدیره جهانی OWASP، فراخوانی برای ایجاد یک چارچوب متحد جهانی برای شناسایی و مدیریت آسیبپذیریها منتشر کرد. این اقدام در پاسخ به نگرانیهای فزاینده درباره اثربخشی برنامه CVE و پایداری نقش دولت ایالات متحده در مدیریت بزرگترین پایگاه داده آسیبپذیریهای جهان صورت گرفته است.
دلایل این فراخوان چیست؟
برنامه CVE و پایگاه داده ملی آسیبپذیریها (NVD) که در ابتدا برای محیطهای نرمافزاری تجاری طراحی شده بودند، اکنون با چالشهایی مواجه هستند:
افزایش استفاده از نرمافزارهای متنباز:
بیش از ۹۰٪ از برنامههای مدرن به اجزای متنباز متکی هستند، اما برنامه CVE اغلب در شناسایی سریع و مؤثر آسیبپذیریهای این اجزا ناکام است.
نیازهای نوظهور امنیتی:
شناسایی ضعفها در الگوریتمهای رمزنگاری مانند AES-128 یا مسائل امنیتی در سیستمهای هوش مصنوعی و دستگاههای پزشکی، که در چارچوب سنتی آسیبپذیریها جای نمیگیرند، نیازمند رویکردهای جدیدی است.
محدودیتهای مدل متمرکز:
وابستگی به یک مرجع مرکزی برای مدیریت اطلاعات آسیبپذیریها، در برابر تهدیدات گسترده و پیچیده امروزی ناکارآمد به نظر میرسد.
پیشنهاد OWASP چیست؟
اینجا OWASP پیشنهاد میکند که یک مدل فدرال و غیرمتمرکز برای شناسایی و مدیریت آسیبپذیریها ایجاد شود. این مدل با همکاری بینالمللی و مشارکت جوامع مختلف، از جمله تولیدکنندگان دستگاههای پزشکی و گروههای صنعتی، به دنبال ایجاد سیستمی انعطافپذیر و قابل توسعه است که بتواند طیف گستردهای از مسائل امنیتی را پوشش دهد.
چگونه میتوان مشارکت کرد؟
انجمن OWASP از دولتها، رهبران صنعت، پژوهشگران و کارشناسان جامعه دعوت میکند تا با ارائه نظرات، تخصص و منابع خود، در شکلگیری این مدل جدید همکاری کنند.
هدف، ایجاد سیستمی است که نه تنها آسیبپذیریهای سنتی، بلکه مسائل امنیتی نوظهور را نیز در بر گیرد.
#آکادمی_روزبه
ثبت نام دوره آزمون CISSP
واتس اپ 09902857290
https://owasp.org/blog/2025/04/17/owasp-global-vulnerability-intelligence.html
19.04.202508:00
پکیج ورود به دنیای امنیت
پیرو درخواست خیلی از دوستان یک پکیج آماده کردم که واسه ورود به دنیای امنیت مناسبه
حدود ۵۰ ساعت هست
تسهیلات اقساط داره
ولی پرداخت کامل شامل تخفیف هست
تماس با واتس اپ 09902857290
پیرو درخواست خیلی از دوستان یک پکیج آماده کردم که واسه ورود به دنیای امنیت مناسبه
حدود ۵۰ ساعت هست
تسهیلات اقساط داره
ولی پرداخت کامل شامل تخفیف هست
تماس با واتس اپ 09902857290
18.04.202519:10
BloodHound-MCP-AI is integration that connects BloodHound with AI through Model Context Protocol, allowing security professionals to analyze Active Directory attack paths using natural language instead of complex Cypher queries.
#آکادمی_روزبه
با مدلهای LLM به بلادهاوند کوئری بزنید
https://github.com/MorDavid/BloodHound-MCP-AI
#آکادمی_روزبه
با مدلهای LLM به بلادهاوند کوئری بزنید
https://github.com/MorDavid/BloodHound-MCP-AI
18.04.202519:29
ضرورت تدوین قوانینی چون GDPR
آنطور که رئیس ملی مرکز فضای مجازی اعلام کرده اند نشت اطلاعات بانک سپه هک نبوده و سرقت اطلاعات است .
اما در این میان گویا با این صحبت؛ اثر نشت اطلاعات درحال فراموشی است.
باید دانست تمام کسانی که از مردم ایران اطلاعاتی جمع آوری میکنند؛ در قبال نگهداری آن مسوول هستند. حالا چه هک شوند چه سرقت اتفاق بیفتد چه مورد عمدی باشد چه سهوی.
در اینجاست که دیده میشود برای رسیدگی به این موضوع و جلوگیری از برخورد سلیقه ای باید قوانین دفاع از حریم شخصی مانند GDPR در ایران داشته باشیم .
بر نمایندگان مردم در مجلس شورای اسلامی و وزارت ارتباطات و تمامی نهاد های مرتبط واجب است درخصوص تدوین قوانین مرتبط جهت حفظ اطلاعات مردم گام بردارند.
آنطور که رئیس ملی مرکز فضای مجازی اعلام کرده اند نشت اطلاعات بانک سپه هک نبوده و سرقت اطلاعات است .
اما در این میان گویا با این صحبت؛ اثر نشت اطلاعات درحال فراموشی است.
باید دانست تمام کسانی که از مردم ایران اطلاعاتی جمع آوری میکنند؛ در قبال نگهداری آن مسوول هستند. حالا چه هک شوند چه سرقت اتفاق بیفتد چه مورد عمدی باشد چه سهوی.
در اینجاست که دیده میشود برای رسیدگی به این موضوع و جلوگیری از برخورد سلیقه ای باید قوانین دفاع از حریم شخصی مانند GDPR در ایران داشته باشیم .
بر نمایندگان مردم در مجلس شورای اسلامی و وزارت ارتباطات و تمامی نهاد های مرتبط واجب است درخصوص تدوین قوانین مرتبط جهت حفظ اطلاعات مردم گام بردارند.
Увійдіть, щоб розблокувати більше функціональності.