📌از Event ID های مهم windows که هر تحلیلگر SOC باید بلد باشه.
برای دسترسی سریع تر ، ذخیرش کن✅
https://t.me/Blue_Trace
برای دسترسی سریع تر ، ذخیرش کن✅
https://t.me/Blue_Trace
❤3
🛡BlueTrace
Photo
📌 Modern Cyber Attacks Are No Longer About Breaking In — They’re About Logging In
در سالهای اخیر (۲۰۲۴–۲۰۲۵)، یکی از مهمترین و رایجترین نوع حملات سایبری، حملات مبتنی بر هویت یا Identity-Based Attacks هست. بر خلاف گذشته که تمرکز حملهها روی exploit و malware بود، امروز مهاجمها سعی نمیکنن سیستم رو هک کنن؛ بلکه سعی میکنن مثل یک کاربر واقعی واردش بشن.
این حملات معمولاً با phishing یا ابزارهای سرقت اطلاعات شروع میشن. مهاجمها با فریب کاربر، نام کاربری و رمز عبور یا حتی session cookie رو بهدست میارن. در مرحله بعد، با استفاده از تکنیکهایی مثل Adversary-in-the-Middle (AiTM) یا خسته کردن کاربر با درخواستهای مکرر (MFA fatigue)، احراز هویت چندمرحلهای (MFA) رو دور میزنن. وقتی به حساب دسترسی پیدا کردن، بدون نیاز به هیچ بدافزاری، وارد سیستم یا سرویسهای ابری مثل Microsoft 365 یا Azure میشن و فعالیتشون رو شروع میکنن.
چیزی که این نوع حمله رو خطرناک میکنه اینه که رفتار مهاجم کاملاً شبیه یک کاربر عادیه. لاگین واقعی انجام میده، از ابزارهای معمول استفاده میکنه و به همین دلیل شناسایی اون برای تیمهای امنیتی سختتر میشه. در خیلی از موارد، هیچ فایل مخربی روی سیستم دیده نمیشه و همه چیز “نرمال” به نظر میاد.
با این حال، نشانههایی وجود داره که میتونه این نوع حملات رو مشخص کنه. مثلاً لاگین از موقعیت جغرافیایی غیرعادی، اتفاقی مثل impossible travel، تغییر ناگهانی سطح دسترسی، یا ایجاد ruleهای مشکوک در ایمیل. اینها همون جاهایی هستن که تیم SOC باید دقت بیشتری داشته باشه.
برای مقابله با این نوع حملات، تمرکز باید از صرفاً محافظت از سیستمها به سمت محافظت از هویتها تغییر کنه. استفاده از MFA قوی (مثل FIDO2 یا hardware key)، مانیتورینگ دقیق رفتار لاگینها، محدود کردن سطح دسترسیها (least privilege) و مهمتر از همه، correlation بین لاگهای مختلف در SIEM نقش کلیدی دارن. آموزش کاربران هم همچنان یکی از مهمترین خط دفاعیهاست.
https://t.me/Blue_Trace
در سالهای اخیر (۲۰۲۴–۲۰۲۵)، یکی از مهمترین و رایجترین نوع حملات سایبری، حملات مبتنی بر هویت یا Identity-Based Attacks هست. بر خلاف گذشته که تمرکز حملهها روی exploit و malware بود، امروز مهاجمها سعی نمیکنن سیستم رو هک کنن؛ بلکه سعی میکنن مثل یک کاربر واقعی واردش بشن.
این حملات معمولاً با phishing یا ابزارهای سرقت اطلاعات شروع میشن. مهاجمها با فریب کاربر، نام کاربری و رمز عبور یا حتی session cookie رو بهدست میارن. در مرحله بعد، با استفاده از تکنیکهایی مثل Adversary-in-the-Middle (AiTM) یا خسته کردن کاربر با درخواستهای مکرر (MFA fatigue)، احراز هویت چندمرحلهای (MFA) رو دور میزنن. وقتی به حساب دسترسی پیدا کردن، بدون نیاز به هیچ بدافزاری، وارد سیستم یا سرویسهای ابری مثل Microsoft 365 یا Azure میشن و فعالیتشون رو شروع میکنن.
چیزی که این نوع حمله رو خطرناک میکنه اینه که رفتار مهاجم کاملاً شبیه یک کاربر عادیه. لاگین واقعی انجام میده، از ابزارهای معمول استفاده میکنه و به همین دلیل شناسایی اون برای تیمهای امنیتی سختتر میشه. در خیلی از موارد، هیچ فایل مخربی روی سیستم دیده نمیشه و همه چیز “نرمال” به نظر میاد.
با این حال، نشانههایی وجود داره که میتونه این نوع حملات رو مشخص کنه. مثلاً لاگین از موقعیت جغرافیایی غیرعادی، اتفاقی مثل impossible travel، تغییر ناگهانی سطح دسترسی، یا ایجاد ruleهای مشکوک در ایمیل. اینها همون جاهایی هستن که تیم SOC باید دقت بیشتری داشته باشه.
برای مقابله با این نوع حملات، تمرکز باید از صرفاً محافظت از سیستمها به سمت محافظت از هویتها تغییر کنه. استفاده از MFA قوی (مثل FIDO2 یا hardware key)، مانیتورینگ دقیق رفتار لاگینها، محدود کردن سطح دسترسیها (least privilege) و مهمتر از همه، correlation بین لاگهای مختلف در SIEM نقش کلیدی دارن. آموزش کاربران هم همچنان یکی از مهمترین خط دفاعیهاست.
https://t.me/Blue_Trace
❤2
🚨 کشف آسیبپذیری Zero-Day در Microsoft Defender؛ هشدار برای بهروزرسانی فوری
یک آسیبپذیری امنیتی از نوع Zero-Day در ابزار Microsoft Defender با شناسه رسمی CVE-2026-33825 شناسایی شده که طبق گزارشها، در برخی حملات واقعی مورد سوءاستفاده قرار گرفته است.
این خبر در تاریخ 24 آوریل 2026 (4 اردیبهشت 1405) منتشر شده و توجه بسیاری از کارشناسان امنیتی را به خود جلب کرده است.
بر اساس اطلاعات منتشرشده، این آسیبپذیری از نوع افزایش سطح دسترسی (Privilege Escalation) است. به این معنا که مهاجم پس از دستیابی اولیه به سیستم (از طریق روشهایی مانند فیشینگ یا بدافزار)، میتواند با سوءاستفاده از این باگ، سطح دسترسی خود را افزایش داده و به سطحهای بالاتر مانند دسترسی سیستمی (SYSTEM) برسد.
گزارشها نشان میدهند این ضعف امنیتی در برخی سناریوهای واقعی مورد استفاده قرار گرفته و به همین دلیل در فهرست آسیبپذیریهای در حال سوءاستفاده (Known Exploited Vulnerabilities) قرار گرفته است.
سازمان امنیت سایبری و زیرساخت آمریکا (CISA) در این رابطه توصیه کرده است که سازمانها و کاربران در اسرع وقت بهروزرسانیهای امنیتی مربوطه را اعمال کنند تا از سوءاستفاده احتمالی جلوگیری شود.
https://t.me/Blue_Trace
یک آسیبپذیری امنیتی از نوع Zero-Day در ابزار Microsoft Defender با شناسه رسمی CVE-2026-33825 شناسایی شده که طبق گزارشها، در برخی حملات واقعی مورد سوءاستفاده قرار گرفته است.
این خبر در تاریخ 24 آوریل 2026 (4 اردیبهشت 1405) منتشر شده و توجه بسیاری از کارشناسان امنیتی را به خود جلب کرده است.
بر اساس اطلاعات منتشرشده، این آسیبپذیری از نوع افزایش سطح دسترسی (Privilege Escalation) است. به این معنا که مهاجم پس از دستیابی اولیه به سیستم (از طریق روشهایی مانند فیشینگ یا بدافزار)، میتواند با سوءاستفاده از این باگ، سطح دسترسی خود را افزایش داده و به سطحهای بالاتر مانند دسترسی سیستمی (SYSTEM) برسد.
گزارشها نشان میدهند این ضعف امنیتی در برخی سناریوهای واقعی مورد استفاده قرار گرفته و به همین دلیل در فهرست آسیبپذیریهای در حال سوءاستفاده (Known Exploited Vulnerabilities) قرار گرفته است.
سازمان امنیت سایبری و زیرساخت آمریکا (CISA) در این رابطه توصیه کرده است که سازمانها و کاربران در اسرع وقت بهروزرسانیهای امنیتی مربوطه را اعمال کنند تا از سوءاستفاده احتمالی جلوگیری شود.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
❤2
🚨 کشف آسیبپذیری امنیتی در پروتکل پرکاربرد AI؛ نگرانی برای کاربران و توسعهدهندگان
یک آسیبپذیری امنیتی جدید در Model Context Protocol (MCP) — یکی از پروتکلهای مورد استفاده در ابزارهای هوش مصنوعی — شناسایی شده که میتواند طیف گستردهای از سیستمها و کاربران را تحت تأثیر قرار دهد.
این خبر در تاریخ 22 تا 23 آوریل 2026 (اوایل اردیبهشت 1405) منتشر شده و بهسرعت مورد توجه کارشناسان امنیت سایبری قرار گرفته است.
بر اساس گزارش منتشرشده، این آسیبپذیری از نوع اجرای کد از راه دور (Remote Code Execution - RCE) است. به این معنا که در صورت سوءاستفاده، مهاجم میتواند از طریق ارسال ورودیهای مخرب، کدهای خود را روی سیستم هدف اجرا کند. علت اصلی این مشکل، پردازش ناامن دادههای ورودی (عدم اعتبارسنجی مناسب) در این پروتکل عنوان شده است.
گزارشها نشان میدهند این پروتکل در چندین زبان برنامهنویسی از جمله Python، JavaScript و Rust پیادهسازی شده و بهطور گسترده در ابزارها و زیرساختهای مرتبط با هوش مصنوعی مورد استفاده قرار میگیرد. همین موضوع باعث شده دامنه تأثیر این آسیبپذیری قابلتوجه باشد.
کارشناسان هشدار دادهاند که در صورت عدم بهروزرسانی یا اعمال اصلاحات امنیتی، این ضعف میتواند برای دسترسی غیرمجاز، اجرای دستورات مخرب و حتی سرقت دادهها مورد استفاده قرار گیرد.
https://t.me/Blue_Trace
یک آسیبپذیری امنیتی جدید در Model Context Protocol (MCP) — یکی از پروتکلهای مورد استفاده در ابزارهای هوش مصنوعی — شناسایی شده که میتواند طیف گستردهای از سیستمها و کاربران را تحت تأثیر قرار دهد.
این خبر در تاریخ 22 تا 23 آوریل 2026 (اوایل اردیبهشت 1405) منتشر شده و بهسرعت مورد توجه کارشناسان امنیت سایبری قرار گرفته است.
بر اساس گزارش منتشرشده، این آسیبپذیری از نوع اجرای کد از راه دور (Remote Code Execution - RCE) است. به این معنا که در صورت سوءاستفاده، مهاجم میتواند از طریق ارسال ورودیهای مخرب، کدهای خود را روی سیستم هدف اجرا کند. علت اصلی این مشکل، پردازش ناامن دادههای ورودی (عدم اعتبارسنجی مناسب) در این پروتکل عنوان شده است.
گزارشها نشان میدهند این پروتکل در چندین زبان برنامهنویسی از جمله Python، JavaScript و Rust پیادهسازی شده و بهطور گسترده در ابزارها و زیرساختهای مرتبط با هوش مصنوعی مورد استفاده قرار میگیرد. همین موضوع باعث شده دامنه تأثیر این آسیبپذیری قابلتوجه باشد.
کارشناسان هشدار دادهاند که در صورت عدم بهروزرسانی یا اعمال اصلاحات امنیتی، این ضعف میتواند برای دسترسی غیرمجاز، اجرای دستورات مخرب و حتی سرقت دادهها مورد استفاده قرار گیرد.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
Alert در SOC.pdf
229.6 KB
یک Alert از کجا میاد؟
کی واقعیه ؟ کی False Positive ؟
توی این PDF همشو ساده و کاربردی توضیح دادم✅
https://t.me/Blue_Trace
کی واقعیه ؟ کی False Positive ؟
توی این PDF همشو ساده و کاربردی توضیح دادم✅
https://t.me/Blue_Trace
MITRE ATT&CK یه نقشه راهه برای فهمیدن اینکه حملهها دقیقاً چطور اتفاق میفتن.
اگر این مدل فکری رو یاد بگیری، بهجای دیدن لاگ، رفتار مهاجم رو میبینی.
📌 اینو سیو کن، خیلی به کارت میاد.
https://t.me/Blue_Trace
اگر این مدل فکری رو یاد بگیری، بهجای دیدن لاگ، رفتار مهاجم رو میبینی.
📌 اینو سیو کن، خیلی به کارت میاد.
https://t.me/Blue_Trace