🥷 وقتی مهاجم از در اصلی وارد میشه
زمانی که مهاجمان با یک Raspberry Pi به قیمت 10 دلار یا یک Mikrotik کوچکتر از جعبه سیگار، مستقیماً وارد شبکه شما میشوند. این تکنیک Hardware Initial Access نام دارد و راه نفوذی به شبکههای Air-Gapped و محافظتشده است.
سه سلاح اصلی مهاجم:
Direct Access Nodes (Mikrotik، Raspberry Pi): اتصال مستقیم به شبکه با قابلیت VPN، LTE و کنترل از راه دورIn-line Devices: نصب شفاف بین دو نقطه شبکه برای Sniffing و Manipulation ترافیکReverse SSH Tunnel: حفظ دسترسی پایدار از طریق VPS واسط، حتی در شبکههای ایزوله دفاع چندلایه؛ تنها راه نجات:
تیمهای Blue باید ترکیبی از NAC، Physical Audit منظم، Wireless IDS، RF Scanning، Behavioral Analysis و حتی Thermal Imaging را به کار بگیرند. شناسایی یک Raspberry Pi مخفی در پشت rack سرور نیازمند چیزی بیش از یک SIEM است؛ نیازمند چشم تیزبین و فرآیند منظم است.
مشاهده کامل مراحل حمله
@vulncity
زمانی که مهاجمان با یک Raspberry Pi به قیمت 10 دلار یا یک Mikrotik کوچکتر از جعبه سیگار، مستقیماً وارد شبکه شما میشوند. این تکنیک Hardware Initial Access نام دارد و راه نفوذی به شبکههای Air-Gapped و محافظتشده است. سه سلاح اصلی مهاجم:Direct Access Nodes (Mikrotik، Raspberry Pi): اتصال مستقیم به شبکه با قابلیت VPN، LTE و کنترل از راه دورIn-line Devices: نصب شفاف بین دو نقطه شبکه برای Sniffing و Manipulation ترافیکReverse SSH Tunnel: حفظ دسترسی پایدار از طریق VPS واسط، حتی در شبکههای ایزوله
دفاع چندلایه؛ تنها راه نجات:تیمهای Blue باید ترکیبی از NAC، Physical Audit منظم، Wireless IDS، RF Scanning، Behavioral Analysis و حتی Thermal Imaging را به کار بگیرند. شناسایی یک Raspberry Pi مخفی در پشت rack سرور نیازمند چیزی بیش از یک SIEM است؛ نیازمند چشم تیزبین و فرآیند منظم است.
مشاهده کامل مراحل حمله @vulncity
Scapy یک کتابخانه قدرتمند Python برای دستکاری و تحلیل بستههای شبکه است که امکان ساخت، ارسال، دریافت و تحلیل بستهها در لایههای مختلف شبکه را فراهم میکند.
با Scapy میتوانید بستههای سفارشی در پروتکلهای مختلف (TCP, UDP, ICMP, ARP, DNS و…) بسازید، ترافیک شبکه را شنود کنید و بستهها را با فیلترهای BPF تحلیل نمایید.
این ابزار برای کاربردهای متنوعی مانند اسکن شبکه، تست نفوذ، عیبیابی پروتکلها، شناسایی سیستم عامل و تحلیل امنیتی شبکه استفاده میشود.
راهنمای کامل استفاده از Scapy
@vulncity
با Scapy میتوانید بستههای سفارشی در پروتکلهای مختلف (TCP, UDP, ICMP, ARP, DNS و…) بسازید، ترافیک شبکه را شنود کنید و بستهها را با فیلترهای BPF تحلیل نمایید.
این ابزار برای کاربردهای متنوعی مانند اسکن شبکه، تست نفوذ، عیبیابی پروتکلها، شناسایی سیستم عامل و تحلیل امنیتی شبکه استفاده میشود.
راهنمای کامل استفاده از Scapy @vulncity۱۱
از کاربر عادی تا Domain Admin: سوءاستفاده از ADCSADCS سرویسی در ویندوز سرور است که گواهیهای دیجیتال صادر میکند و برای احراز هویت کاربران در شبکه استفاده میشود. اگر تنظیمات این سرویس درست پیکربندی نشود، یک کاربر عادی میتواند گواهی جعلی به نام Administrator دریافت کند و کنترل کامل دامنه را به دست بگیرد. ابزار Certipy-AD به مهاجمان کمک میکند تا این ضعفها را پیدا کرده و از آنها سوءاستفاده کنند. این حمله بدون نیاز به رمز عبور انجام میشود و یکی از خطرناکترین روشهای نفوذ به Active Directory است. برای جلوگیری از این حملات باید دسترسیهای صدور گواهی را محدود کرد و رویدادهای مشکوک را رصد نمود. در این مقاله تمام مراحل حمله و راههای دفاع به صورت عملی توضیح داده شده است.
شرح کامل مراحل این تکنیک @vulncity۲️Telegram Channel : https://t.me/VulnCity۱
ابزار پنهان: Windows Fiberبخش Fiber واحد اجرایی سبکوزنی در ویندوز است که برخلاف Thread، توسط سیستمعامل زمانبندی نمیشود و کنترل آن با برنامهنویس است. این ویژگی به مهاجمان اجازه میدهد shellcode را بدون ایجاد Thread جدید اجرا کرده و از EDRها فرار کنند. APIهای CreateFiber و SwitchToFiber کمتر Hook میشوند و footprint کمتری نسبت به CreateRemoteThread دارند.در عملیاتهای Red Team از Fiberها برای اجرای payload، stack spoofing و sleep obfuscation استفاده میشود. شناسایی این تکنیک برای متخصصان امنیت دفاعی ضروری است.مشاهده کامل مقاله @Vulncity
راهنمای کامل Zeek برای مانیتورینگ
ا Syslog خیلی کمه، FPC خیلی گرونه. Zeek یه راه سومه که با یکدرصد حجم FPC، خیلی از اطلاعاتی که نیاز داری رو بهت میده.
معماری Zeek هم standalone هست، هم cluster. توی محیطهای بزرگ هر node یه نقش داره: Worker ترافیک رو آنالیز میکنه، Logger لاگ مینویسه، Proxy هماهنگ میکنه و Manager کل cluster رو کنترل میکنه.
پیکربندی اصلی توی node.cfg و local.zeek انجام میشه. با چند خط میتونی خروجی JSON فعال کنی و لاگها رو مستقیم به Elasticsearch بفرستی.
ا Zeek توی هر connection یه فیلد history ثبت میکنه. مثلاً الگوی ^D*d نشونه احتمالی یه Reverse Shellه. conn_state برابر S0 در تعداد بالا هم معمولاً Port Scan رو نشون میده.
لاگهایی مثل conn، dns، http، ssl، ssh، smb، kerberos، weird و intel هر کدوم یه زاویه مشخص از ترافیک رو پوشش میدن.
مشکلات رایجی مثل Packet Drop، لاگنشدن ترافیک و خطاهای Cluster Initialization هم توی مقاله کامل بررسی شدن.
مشاهده کامل مقاله به همراه کد
@vulncity
ا Syslog خیلی کمه، FPC خیلی گرونه. Zeek یه راه سومه که با یکدرصد حجم FPC، خیلی از اطلاعاتی که نیاز داری رو بهت میده. معماری Zeek هم standalone هست، هم cluster. توی محیطهای بزرگ هر node یه نقش داره: Worker ترافیک رو آنالیز میکنه، Logger لاگ مینویسه، Proxy هماهنگ میکنه و Manager کل cluster رو کنترل میکنه. پیکربندی اصلی توی node.cfg و local.zeek انجام میشه. با چند خط میتونی خروجی JSON فعال کنی و لاگها رو مستقیم به Elasticsearch بفرستی.ا Zeek توی هر connection یه فیلد history ثبت میکنه. مثلاً الگوی ^D*d نشونه احتمالی یه Reverse Shellه. conn_state برابر S0 در تعداد بالا هم معمولاً Port Scan رو نشون میده. لاگهایی مثل conn، dns، http، ssl، ssh، smb، kerberos، weird و intel هر کدوم یه زاویه مشخص از ترافیک رو پوشش میدن. مشکلات رایجی مثل Packet Drop، لاگنشدن ترافیک و خطاهای Cluster Initialization هم توی مقاله کامل بررسی شدن.مشاهده کامل مقاله به همراه کد @vulncity
ابزار پنهان: Windows Fiberبخش Fiber واحد اجرایی سبکوزنی در ویندوز است که برخلاف Thread، توسط سیستمعامل زمانبندی نمیشود و کنترل آن با برنامهنویس است. این ویژگی به مهاجمان اجازه میدهد shellcode را بدون ایجاد Thread جدید اجرا کرده و از EDRها فرار کنند. APIهای CreateFiber و SwitchToFiber کمتر Hook میشوند و footprint کمتری نسبت به CreateRemoteThread دارند.در عملیاتهای Red Team از Fiberها برای اجرای payload، stack spoofing و sleep obfuscation استفاده میشود. شناسایی این تکنیک برای متخصصان امنیت دفاعی ضروری است. مشاهده مراحل حمله و POC ها @vulncity مشکل ثبتنام در سایت حل شد
راهنمای کامل؛ FPC و Arkime
Full Packet Capture (FPC) یعنی ضبط کامل frameهای لایه ۲ تا ۷ در قالب فایلهای PCAP روی wire — نه فقط لاگ یا متادیتا. header تمام لایهها، payload رمزنگارینشده، و timing دقیق هر بسته. توجه: در ترافیک TLS/HTTPS بدون کلید یا SSL Inspection، payload خوانا نیست و فقط metadata در دسترس است.
برای تیمهای Arkime ، Blue Team ابزار اصلی پیادهسازی FPC در مقیاس enterprise است. این ابزار open-source از سه مؤلفه تشکیل شده: موتور capture برای ضبط بستهها، viewer برای جستجو و تحلیل، و OpenSearch/Elasticsearch برای ایندکس metadata. از رصد passive دستگاههای OT/ICS (مثل Modbus، DNP3) بدون نیاز به Agent از طریق SPAN port یا Network TAP، تا تحلیل حملات APT و کشف Data Exfiltration — همه در یک پنل متمرکز قابل جستجو هستند.
چالش اصلی FPC هزینه ذخیرهسازی و پردازش است. استراتژی بهینه و لایهای اینه که NetFlow/IPFIX برای کل شبکه (متادیتا، نگهداری بلندمدت)، FPC دائمی فقط روی سگمنتهای حساس باشد یا FPC هدفمند on-demand هنگام هر Incident روی IP/port خاص فعال داشته باشید.
مشاهده کامل مقاله
@vulncity
Full Packet Capture (FPC) یعنی ضبط کامل frameهای لایه ۲ تا ۷ در قالب فایلهای PCAP روی wire — نه فقط لاگ یا متادیتا. header تمام لایهها، payload رمزنگارینشده، و timing دقیق هر بسته. توجه: در ترافیک TLS/HTTPS بدون کلید یا SSL Inspection، payload خوانا نیست و فقط metadata در دسترس است. برای تیمهای Arkime ، Blue Team ابزار اصلی پیادهسازی FPC در مقیاس enterprise است. این ابزار open-source از سه مؤلفه تشکیل شده: موتور capture برای ضبط بستهها، viewer برای جستجو و تحلیل، و OpenSearch/Elasticsearch برای ایندکس metadata. از رصد passive دستگاههای OT/ICS (مثل Modbus، DNP3) بدون نیاز به Agent از طریق SPAN port یا Network TAP، تا تحلیل حملات APT و کشف Data Exfiltration — همه در یک پنل متمرکز قابل جستجو هستند. چالش اصلی FPC هزینه ذخیرهسازی و پردازش است. استراتژی بهینه و لایهای اینه که NetFlow/IPFIX برای کل شبکه (متادیتا، نگهداری بلندمدت)، FPC دائمی فقط روی سگمنتهای حساس باشد یا FPC هدفمند on-demand هنگام هر Incident روی IP/port خاص فعال داشته باشید.مشاهده کامل مقاله @vulncity
دفاع سایبری با ابزارهای Open Source
ابزارهایی مثل Wazuh، Suricata و OpenCTI میتوانند یک زیرساخت امنیتی جدی بسازند — اما «رایگان بودن لایسنس» با «بدون هزینه بودن» فرق دارد.
در یک مقاله کامل، تمام جزئیات پیادهسازی یک SOC متنباز پوشش داده شده: از Endpoint Security با Velociraptor و OSQuery، تا Network Hunting با Zeek و Suricata، Log Investigation با Graylog و OpenSearch، IOC Matching با YARA و SIGMA، و Threat Intelligence با MISP و OpenCTI — برای هر ابزار روش نصب، کاربرد، مزایا و معایب نسبت به رقبای تجاری توضیح داده شده.
اما واقعیت اینجاست: لایسنس رایگان است، نه پیادهسازی. این stack به تیم متخصص داخلی، ماهها زمان برای Tune کردن، و پذیرش این واقعیت نیاز دارد که در بحران هیچ SLA رسمیای پشت خط نیست.
مشاهده کامل مقاله
@vulncity
ابزارهایی مثل Wazuh، Suricata و OpenCTI میتوانند یک زیرساخت امنیتی جدی بسازند — اما «رایگان بودن لایسنس» با «بدون هزینه بودن» فرق دارد.در یک مقاله کامل، تمام جزئیات پیادهسازی یک SOC متنباز پوشش داده شده: از Endpoint Security با Velociraptor و OSQuery، تا Network Hunting با Zeek و Suricata، Log Investigation با Graylog و OpenSearch، IOC Matching با YARA و SIGMA، و Threat Intelligence با MISP و OpenCTI — برای هر ابزار روش نصب، کاربرد، مزایا و معایب نسبت به رقبای تجاری توضیح داده شده.
اما واقعیت اینجاست: لایسنس رایگان است، نه پیادهسازی. این stack به تیم متخصص داخلی، ماهها زمان برای Tune کردن، و پذیرش این واقعیت نیاز دارد که در بحران هیچ SLA رسمیای پشت خط نیست. مشاهده کامل مقاله @vulncity