🔰فهرست الگوهای حمله رایج (CAPEC) یا Common Attack Pattern Enumeration and Classification :

✅یک فرهنگ لغت جامع از الگوهای حمله شناخته شده است که توسط مهاجمان سایبری استفاده می‌شود. این فهرست که توسط سازمان MITRE توسعه و نگهداری می‌شود، اطلاعات دقیقی در مورد انواع حملات، روش‌های آنها، نقاط ضعفی که مورد سوءاستفاده قرار می‌گیرند و نحوه دفاع در برابر آنها ارائه می‌دهد. CAPEC ابزاری ارزشمند برای متخصصان امنیت سایبری است که به آنها کمک می‌کند تا تاکتیک‌ها، تکنیک‌ها و روش‌های مورد استفاده مهاجمان را بشناسند و از این طریق، تدابیر دفاعی قوی‌تری ایجاد کنند.

✳️ چرا CAPEC مهم است؟
🔸اشتراک دانش: CAPEC به اشتراک‌گذاری دانش استاندارد شده در مورد الگوهای حمله در جامعه امنیت سایبری کمک می‌کند.
🔸ارزیابی ریسک: متخصصان امنیت می‌توانند با استفاده از CAPEC، آسیب‌پذیری‌های موجود در سیستم‌های خود را ارزیابی کرده و بفهمند که مهاجمان چگونه ممکن است از آنها سوءاستفاده کنند.
🔸تقویت دفاع: با درک الگوهای حمله رایج، سازمان‌ها می‌توانند استراتژی‌های بهتری برای تشخیص و جلوگیری از حملات ایجاد کنند.

📚 مثال: سناریوی استفاده از CAPEC در مقابله با حمله تزریق SQL :
1-زمینه: شرکت "ShopSecure" یک شرکت تجارت الکترونیکی است که یک پلتفرم خرید آنلاین دارد که مشتریان از طریق آن می‌توانند محصولات را مشاهده کرده، خرید کنند و حساب کاربری خود را مدیریت نمایند. با گسترش شرکت، نگرانی‌ها درباره امنیت برنامه وب آنها به دلیل افزایش تهدیدات سایبری هدفمند به سایت‌های تجارت الکترونیک بیشتر می‌شود.

2-تهدید: تیم امنیت سایبری ShopSecure متوجه فعالیت‌های غیرمعمولی در وب‌سایت می‌شوند. چندین تلاش ناموفق برای ورود به سیستم و الگوهای عجیب بازیابی داده‌ها از پایگاه داده محصولات وجود دارد. تیم امنیتی به این نتیجه می‌رسد که یک مهاجم احتمالا در حال اجرای یک حمله تزریق SQL (SQL Injection) است.

3-استفاده از CAPEC: تیم امنیتی تصمیم می‌گیرد از CAPEC برای تحلیل و پاسخ به این تهدید استفاده کند:

4-شناسایی الگوی حمله: آنها از طریق CAPEC الگوی حمله تزریق SQL (CAPEC-66) را شناسایی می‌کنند. این الگو نشان می‌دهد که مهاجم چگونه از ورودی‌های غیرمعتبر برای دستکاری پرس‌وجوهای SQL استفاده می‌کند.

5-درک روش‌های حمله: با مطالعه CAPEC، تیم امنیتی روش‌های مختلف تزریق SQL را یاد می‌گیرد، مانند حمله‌های تزریق مبتنی بر خطا، Blind و Union-based.

6-اقدامات دفاعی: با توجه به راهنمایی‌های CAPEC، تیم امنیتی فوراً اقداماتی را برای جلوگیری از حمله انجام می‌دهد، مانند استفاده از Prepared Statements، اعتبارسنجی ورودی‌ها، و پیاده‌سازی قوانین فایروال برنامه وب (WAF) برای مسدودسازی فعالیت‌های مشکوک.

7-نتیجه: با استفاده از CAPEC، تیم امنیتی توانستند حمله تزریق SQL را شناسایی کرده و قبل از آسیب رساندن به سیستم، از آن جلوگیری کنند. این سناریو نشان می‌دهد که چگونه CAPEC می‌تواند به تیم‌های امنیتی در شناسایی، درک و مقابله با حملات سایبری کمک کند.

https://capec.mitre.org/

#CAPEC
T.me/ICTlive

🔰در مورد MISP که سیستمی کارآمد در حوزه هوش تهدید است، در قسمت های قبل اشاره کردیم. لینک های زیر آموزش هایی در مورد استفاده از این سیستم می باشد:
https://t.me/ICTlive/336
https://t.me/ICTlive/338
https://t.me/ICTlive/340
https://t.me/ICTlive/343


🔰در این پست به یکی از ویژگی های بسیار مفید دیگر آن می پردازیم.

✅شما قادر هستید در پلتفرم MISP تعداد زیادی event و attribute مرتبط با IOC‌ها (شاخص‌های نفوذ) را مشاهده کنید.
✅می توانید تمامی event ها و attribute ها را که به فرمت‌های CSV، JSON و XML موجود هستند، دانلود کنید.
✅همچنین تعداد زیادی از قوانین Snort، Suricata، Bro و Yara مرتبط با این eventها و attributeها وجود دارند که می‌توانید از آن‌ها در سیستم‌های دفاعی خود مانند IDS استفاده کنید.

روش استفاده:
1- به بخش Home > Export مراجعه کنید و چندین گزینه برای انتخاب خواهید داشت.
2- ابتدا روی "generate" کلیک کنید و بعد از مدتی می‌توانید آن‌ها را "download" کنید.

#MISP
#Threat_Intelligence

T.me/ICTlive

🔰حمله Slowloris :
یک نوع حمله‌ی DoS (Denial of Service) است که به‌طور خاص روی سرورهای وب متمرکز می‌شود و با اشغال منابع سرور تلاش می‌کند که دسترسی به سرویس‌های آن را مختل کند. Slowloris در حملات مختلفی ازجمله حمله به وب‌سایت‌های دولتی ایران در سال 2009 استفاده شده است.

🔸نحوه عملکرد Slowloris:
در حمله Slowloris، مهاجم به سرور درخواست‌های HTTP متعدد ارسال می‌کند، اما این درخواست‌ها ناقص هستند و به صورت کامل ارسال نمی‌شوند. به این معنی که سرور را منتظر نگه می‌دارد تا بخش‌های بعدی درخواست را دریافت کند. با این کار، ارتباطات باز نگه داشته می‌شود و منابع سرور به درخواست‌های ناقص اختصاص داده می‌شوند.
از آنجایی که سرور منتظر تکمیل این درخواست‌ها می‌ماند، تعداد محدودی از ارتباطات همزمان باقی می‌ماند و در نتیجه سرور دیگر نمی‌تواند به درخواست‌های معتبر جدید پاسخ دهد. این عمل منجر به اختلال یا عدم دسترسی به سرویس‌های وب می‌شود.

🔸تفاوت Slowloris با حملات DDoS
_هدف:
در حمله DDoS (Distributed Denial of Service)، معمولاً حجم بسیار بالایی از ترافیک از منابع مختلف به سمت سرور ارسال می‌شود تا سرور تحت فشار قرار بگیرد و از کار بیفتد.
اما Slowloris به جای استفاده از حجم ترافیک زیاد، تعداد کمی از اتصالات باز نگه داشته را استفاده می‌کند، اما با هوشمندی باعث می‌شود سرور نتواند به درخواست‌های دیگر پاسخ دهد.

_مقیاس:
حملات DDoS نیاز به تعداد زیادی از منابع (سیستم‌ها) دارد که معمولاً از طریق بات‌نت‌ها انجام می‌شود.
ولی Slowloris می‌تواند تنها با یک یا چند سیستم انجام شود و همچنان کارآمد باشد.

_پنهان‌کاری:
حملات Slowloris به‌دلیل حجم کم ترافیک، سخت‌تر شناسایی می‌شوند و ممکن است مدت زمان بیشتری طول بکشد تا سرورها متوجه اختلال شوند.
در مقابل، حملات DDoS به دلیل حجم بسیار زیاد ترافیک معمولاً به سرعت شناسایی می‌شوند.

_هدف‌گیری خاص:
به طور خاص Slowloris برای آسیب رساندن به سرورهای HTTP استفاده می‌شود.
ولی DDoS می‌تواند هر نوع سرویسی را تحت تأثیر قرار دهد، از جمله وب‌سایت‌ها، سرورهای DNS و غیره.


#Slowloris
#DOS_DDOS
T.me/ICTlive

🔰ابزار Falco یک ابزار امنیتی متن‌باز است که به‌منظور شناسایی تهدیدات و حملات در محیط‌های کانتینری و Kubernetes طراحی شده است. این ابزار از قوانین و سیاست‌های از پیش تعریف‌شده برای نظارت بر رفتارهای غیرعادی سیستم و فعالیت‌های مشکوک استفاده می‌کند.

🔸ویژگی‌های اصلی Falco:
_شناسایی تهدیدات در لحظه: Falco قادر است فعالیت‌های مشکوک در سطح سیستم عامل، کانتینرها، و برنامه‌ها را شناسایی کرده و به سرعت به آنها واکنش نشان دهد.
_قوانین قابل تنظیم: این ابزار به کاربران اجازه می‌دهد تا قوانین امنیتی خاص خود را بر اساس نیازهای محیط کاری‌شان تعریف کنند.
_نظارت بر رفتارها: Falco می‌تواند تغییرات غیرعادی در فایل‌ها، اجرای دستورات غیرمجاز، و تلاش‌های دسترسی به شبکه را شناسایی کند.
_یکپارچگی با ابزارهای دیگر: این ابزار قابلیت یکپارچه‌سازی با سایر ابزارهای مدیریت رخدادها مانند Slack، Elasticsearch، Prometheus و دیگر سیستم‌های مانیتورینگ را دارد.

لینک وب سایت و گیت:
https://falco.org/
https://github.com/falcosecurity/falco

T.me/ICTlive

🔰سامانه Security Onion یک سیستم عامل متن‌باز است که برای تشخیص نفوذ، تحلیل ترافیک شبکه، و مدیریت رویدادهای امنیتی طراحی شده است. این سیستم به شما کمک می‌کند تا به سرعت تهدیدات را شناسایی و بررسی کنید.

🔹 ویژگی‌های نسخه رایگان Security Onion:

_جمع‌آوری و تجزیه‌وتحلیل داده‌های شبکه و لاگ‌ها
_شناسایی تهدیدات پیشرفته
_پشتیبانی از ابزارهای قدرتمند مانند Suricata، Zeek، و Elastic Stack
_داشبوردهای سفارشی برای تحلیل سریع‌تر
_پشتیبانی از تشخیص و پاسخ خودکار به رخدادهای امنیتی

🔸 ویژگی‌های نسخه‌های پولی (Security Onion Solutions) که غالبا مربوط به پشتیبانی هستند:

_پشتیبانی حرفه‌ای تیم تخصصی
_پشتیبانی کامل ۲۴/۷
_دوره‌های آموزشی کامل و پیشرفته (در وب سایت شرکت نیز برخی ویدئو ها موجود هست) و ویژگی‌های سفارشی.


در پایان با تجربه ای که من با این سامانه داشتم، برای سازمان ها و شرکت های میان رده گزینه بسیار خوبی است. البته به شرط راه اندازی درست و متناسب با نیاز.

✅لینک وب سایت و دانلود:
https://securityonionsolutions.com/
https://github.com/Security-Onion-Solutions/securityonion

#Security_onion
T.me/ICTlive

🔰ابزار Shuffle یک پلتفرم متن‌باز SOAR است که برای خودکارسازی و ساده‌سازی عملیات امنیت طراحی شده است. این ابزار با رابط کشیدن و رها کردن بدون نیاز به کدنویسی، دسترسی آسانی را برای کاربران با همه سطوح مهارت فراهم می‌کند و از طریق وب‌هوک‌ها، APIها و افزونه‌ها با ابزارهای امنیتی مختلف یکپارچه می‌شود.

از جمله کاربردهای کلیدی Shuffle می‌توان به :
_تشخیص خودکار تهدیدات، مدیریت رخدادها
_پاسخ به حملات فیشینگ
_و مدیریت آسیب‌پذیری‌ها اشاره کرد.

❇️این پلتفرم بدون نیاز به سرور، مقیاس‌پذیر و به طور کامل با پایتون قابل سفارشی‌سازی است و به عنوان جایگزینی انعطاف‌پذیر و جامعه‌محور برای راهکارهای گران‌قیمت SOAR تجاری شناخته می‌شود.

وب سایت و گیت:
shuffler.io
github.com/shuffle/shuffle

#SOAR
T.me/ICTlive

🔰نمونه سوال مصاحبه کاری:

با توجه به نیاز شرکت های فعال در حوزه امنیت سایبری به مهندس و تحلیل گر امنیت، آمادگی برای مصاحبه های فنی بسیار مهم است.

⛔️البته در حال حاضر متاسفانه بیشتر شرکت ها برای راضی نگه داشتن کارفرما، بیشتر به دنبال پر کردن صندلی هستند تا استقرار نیروی کاربلد!!

🔰در این پست 50 سوال مهم برای مصاحبه کاری در حوزه امنیت سایبری گنجانده شده که می توانید خود را ارزیابی کنید. به نظرم سوالات خوبی هستند.

#Interview
T.me/ICTlive

🔰یکی از مهمترین دغدغه های کارفرما و پیمانکار در حوزه تست نفوذ و ارزیابی آسیب پذیری، اسناد مربوط به گزارش فنی و مدیریتی و هم چنین اسناد مورد توافق دو طرف می باشد.

در لینک ارائه شده می توانید نمونه های مختلفی از گزارش تست نفوذ را بررسی و استفاده کنید.
https://pentestreports.com/

✅موارد دیگری که در این وب سایت موجود است:

_نمونه گزارش آسیب پذیری Zero day
_لیست شرکت های فعال در حوزه سایبری
_نمونه گزارش های سایبری
_انواع گزارش سند تهاجمی و تدافعی

#Penetration_Testing
#Report

T.me/ICTlive

🔰 معرفی قابلیت XDR در Wazuh

🔒سامانه XDR (eXtended Detection and Response) یک فناوری پیشرفته در حوزه امنیت سایبری است که امکان شناسایی، بررسی و پاسخ‌دهی یکپارچه به تهدیدات را در کل زیرساخت سازمان فراهم می‌کند.

📌 قابلیت XDR در Wazuh چیست؟ Wazuh، به‌عنوان یک پلتفرم امنیتی متن‌باز، قابلیت‌های XDR را برای شناسایی و مدیریت تهدیدات سایبری پیشرفته ارائه می‌دهد. این ویژگی به سازمان‌ها کمک می‌کند تا با تجزیه و تحلیل جامع داده‌ها از منابع مختلف، از جمله سیستم‌عامل‌ها، برنامه‌ها، شبکه‌ها و پایگاه‌های داده، امنیت خود را ارتقا دهند.

ویژگی‌های کلیدی XDR در Wazuh:

📊 تجمیع داده‌ها:
جمع‌آوری لاگ‌ها و داده‌های امنیتی از منابع مختلف.
ایجاد دید جامع از رویدادها و تهدیدات.

🛠 تحلیل پیشرفته:
استفاده از قابلیت‌های تحلیل لاگ و یادگیری ماشینی برای شناسایی رفتارهای غیرعادی.
ارائه هشدارهای دقیق برای تهدیدات ناشناخته.

🔍 شناسایی تهدیدات:
قابلیت تشخیص تهدیدات پیچیده و چندلایه.
شناسایی حملات پیشرفته مانند حملات هدفمند (APT) و بدافزارهای مخرب.

🚨 واکنش خودکار:
انجام اقدامات خودکار برای جلوگیری از گسترش تهدیدات.
قابلیت قرنطینه کردن سیستم‌های آلوده یا مسدود کردن آی‌پی‌های مهاجم.

🌐 یکپارچگی کامل:
ادغام با ابزارهای امنیتی دیگر مانند فایروال‌ها، SIEM و ابزارهای مدیریت آسیب‌پذیری.
قابلیت اتصال به سرویس‌های ابری و سیستم‌های داخلی.

✅به طور کلی مزایایی استفاده از XDR در Wazuh:
_کاهش زمان شناسایی و پاسخ‌دهی به تهدیدات.
_افزایش کارایی تیم‌های امنیتی و SOC.
_ارائه دید جامع و پیشگیری از حملات پیچیده.
_هزینه پایین و قابلیت سفارشی‌سازی بالا به دلیل متن‌باز بودن.

#Wazuh
#XDR

T.me/ICTlive

🔰با توجه به سوالات برخی دوستان، فایل مفیدی در مورد موقعیت های کاری در حوزه امنیت سایبری به همراه توضیحات کامل؛ شامل میزان درامد، ترند های سال 2024، تعدادی سوال مصاحبه و نیازمندی فنی برای هر موقعیت شغلی قرار داده شده است.

به نظرم فایل خیلی خوبی بود. شاید در مورد رنج حقوقی؛ در کشورهای مختلف کمی تفاوت وجود داشته باشه ولی ترند های شغلی در سال 2024 و همچنین دسته بندی موضوعات بخوبی بیان شده بود.

#Cybersecurity
#Job_Career

T.me/ICT_live

فایل پیوست:
Cybersecurity career roadmap


#Cybersecurity
#Job_Career

T.me/ICT_live

🔰ابزار های Censys و Shodan دو موتور جستجوی تخصصی هستند که برای شناسایی و تحلیل دستگاه‌ها و سرویس‌های متصل به اینترنت طراحی شده‌اند. هر دو ابزار در حوزه امنیت سایبری و تحقیقات OSINT (جمع‌آوری اطلاعات از منابع عمومی) کاربرد گسترده‌ای دارند، اما تفاوت‌هایی در نحوه عملکرد و قابلیت‌های آن‌ها وجود دارد.

✅ابزار Shodan: به عنوان یکی از اولین موتورهای جستجوی اینترنت اشیاء شناخته می‌شود. این ابزار به کاربران امکان می‌دهد دستگاه‌های متصل به اینترنت مانند روترها، سرورها، دوربین‌های مداربسته و سیستم‌های کنترل صنعتی را جستجو و تحلیل کنند. Shodan با اسکن پورت‌ها و جمع‌آوری بنرهای سرویس‌ها، اطلاعاتی درباره نرم‌افزارها، نسخه‌ها و پیکربندی‌های دستگاه‌ها ارائه می‌دهد. این اطلاعات برای ارزیابی سطح امنیتی دستگاه‌ها و شناسایی آسیب‌پذیری‌ها مفید است.

✅ابزار Censys: با اسکن مداوم کل فضای آدرس IPv4 و جمع‌آوری داده‌های لایه‌های مختلف، نقشه‌ای جامع از دستگاه‌ها و سرویس‌های متصل به اینترنت ارائه می‌دهد. Censys با استفاده از ابزارهایی مانند ZMap و ZGrab، داده‌های دقیقی درباره پیکربندی‌های امنیتی، گواهی‌های SSL/TLS و سایر ویژگی‌های دستگاه‌ها فراهم می‌کند.

✅مقایسه Censys و Shodan:

🔸سرعت کشف: طبق بررسی های انجام شده Censys در شناسایی سرویس‌های جدید سریع‌تر از Shodan عمل می‌کند. به‌طور متوسط، Censys در عرض 12 ساعت سرویس‌های جدید را کشف می‌کند، در حالی که Shodan حدود 70 ساعت زمان نیاز دارد. (⁉️این مورد رو میتونید با تغییر سرویس و مشاهده شناسایی تغییرات در این ابزارها ببینید).

🔸پوشش‌دهی: Censys توانسته 100٪ از سرویس‌های جدید را در عرض یک هفته شناسایی کند، در حالی که Shodan در همین بازه زمانی تنها 57٪ از سرویس‌ها را شناسایی کرده است. ✔️پیشنهاد میکنم ابزار Zmap و کامپوننت های دیگر اون رو بررسی کنید. این ابزار مهمترین کار رو برای Censys انجام میده.

🔸رابط کاربری و API: هر دو پلتفرم دارای رابط کاربری وب و API برای دسترسی به داده‌ها هستند. Shodan علاوه بر این، از طریق ابزارهایی مانند Maltego و Recon-ng نیز قابل استفاده است.

🔗لینک:
censys.com
shodan.io

🔗✔️این وب سایت ها هم اطلاعات جالبی دارن که Censys ازش بهره میبره.
Scans.io
Zmap.io

#OSINT
#Shodan
#Censys
#Zmap

T.me/ICTlive

🔰 معرفی Vuls: اسکنر آسیب‌پذیری بدون نیاز به agent برای لینوکس و FreeBSD

✅ ابزار Vuls یک اسکنر آسیب‌پذیری متن‌باز و بدون نیاز به نصب عامل (Agent-less) است که برای سیستم‌عامل‌های لینوکس و FreeBSD طراحی شده است. این ابزار با استفاده از اطلاعات منابعی مانند NVD، OVAL و دیگر پایگاه‌های داده، به شناسایی و گزارش آسیب‌پذیری‌های موجود در سیستم‌ها می‌پردازد.


✅ ویژگی‌های کلیدی Vuls:
🔸بدون نیاز به نصب عامل: Vuls می‌تواند از طریق SSH به سرورهای هدف متصل شده و بدون نیاز به نصب نرم‌افزار اضافی بر روی آن‌ها، اسکن‌های خود را انجام دهد.
🔸پشتیبانی از چندین سیستم‌عامل: این ابزار از توزیع‌های مختلف لینوکس مانند CentOS، Ubuntu، Debian و همچنین FreeBSD پشتیبانی می‌کند.
🔸اسکن سریع و عمیق: Vuls دارای حالت‌های اسکن سریع (بدون نیاز به دسترسی ریشه) و اسکن عمیق (با جزئیات بیشتر) است که به کاربران امکان می‌دهد بر اساس نیاز خود انتخاب کنند.
🔸تحلیل پویا: قابلیت اجرای دستورات بر روی سرورهای هدف برای جمع‌آوری اطلاعات و شناسایی فرآیندهایی که نیاز به راه‌اندازی مجدد دارند.
🔸شناسایی آسیب‌پذیری‌های بسته‌های غیرسیستمی: توانایی شناسایی آسیب‌پذیری‌ها در بسته‌ها و کتابخانه‌های غیرسیستمی، مانند نرم‌افزارهای کامپایل‌شده دستی یا کتابخانه‌های زبان‌های برنامه‌نویسی.

✳️ مزایای استفاده از Vuls:
🔸کاهش بار مدیریتی: با خودکارسازی فرآیند شناسایی آسیب‌پذیری‌ها، نیاز به بررسی دستی کاهش می‌یابد.
🔸اطلاع‌رسانی به‌موقع: قابلیت ارسال گزارش‌ها از طریق ایمیل یا Slack برای اطلاع‌رسانی سریع به تیم‌های مرتبط.
🔸یکپارچگی با ابزارهای دیگر: امکان استفاده از رابط کاربری وب مانند VulsRepo برای تحلیل نتایج اسکن‌ها.

⚠️ محدودیت‌ها و چالش‌ها:
❗️عدم به‌روزرسانی خودکار: Vuls تنها آسیب‌پذیری‌ها را شناسایی می‌کند و به‌روزرسانی بسته‌ها را انجام نمی‌دهد.
❗️نیاز به پیکربندی اولیه: برای استفاده بهینه، نیاز به پیکربندی صحیح و تنظیمات اولیه دارد.

وب‌سایت رسمی: vuls.io
گیت‌هاب: github.com/future-architect/vuls

#Vuls
#Vulnerability

T.me/ICTlive

🔰 بهترین راهکار برای مقابله با حملات باج‌افزاری از دیدگاه یک Incident Responder :

باج‌افزارها یکی از خطرناک‌ترین تهدیدات سایبری هستند که داده‌های شما را قفل کرده و در ازای بازگرداندن آن‌ها، درخواست پرداخت پول می‌کنند. از دیدگاه یک متخصص Incident Response، بهترین راهکارها برای مقابله با این تهدید عبارت‌اند از:

1️⃣ پیشگیری قبل از وقوع حمله:

🔸پشتیبان‌گیری منظم از داده‌ها روی سیستم‌های آفلاین و ایمن (نسخه‌های Cold Backup).
🔸به‌روز نگه داشتن سیستم‌عامل‌ها، نرم‌افزارها و تجهیزات امنیتی.
🔸آموزش پرسنل برای تشخیص ایمیل‌ها و لینک‌های مشکوک (فیشینگ).
🔸استفاده از ضدباج‌افزار و نرم‌افزارهای EDR (Endpoint Detection and Response). (در پست های قبلی در مورد EDR صحبت کرده ایم)

2️⃣ تشخیص سریع و واکنش آنی

🔸پیاده‌سازی سیستم‌های SIEM و مانیتورینگ برای تشخیص رفتارهای غیرعادی در شبکه.
🔸راه‌اندازی Playbook و Runbook برای تیم‌های پاسخ به رخداد.
🔸قطع سریع ارتباط سیستم‌های آلوده از شبکه برای جلوگیری از گسترش حمله. (بخصوص سرویس های اشتراکی فایل و ...)

3️⃣ اقدامات بعد از حمله

🔸تجزیه‌وتحلیل دقیق حمله برای شناسایی بردارهای نفوذ و نقاط ضعف.
🔸بازگرداندن سیستم‌ها از نسخه‌های پشتیبان سالم.
🔸مستندسازی حادثه و آموزش درس‌آموخته‌ها به تیم IT و امنیت سازمان.

❗️ نکته کلیدی:
"پیشگیری" بهترین دفاع در برابر باج‌افزار است. هیچ‌وقت به مجرمان سایبری باج ندهید! پرداخت باج، شما را به هدفی جذاب‌تر برای حملات بعدی تبدیل می‌کند و تضمینی برای بازگرداندن داده‌ها وجود ندارد.

✳️لینک زیر برای Decrypt کردن برخی از باج افزار ها مناسب هست:
https://www.nomoreransom.org/en/decryption-tools.html

#Ransomware
#Incident_Response

T.me/ICTlive

🔰Best Open-Source Malware Analysis Tools
Malware analysis tools are typically categorized into two main approaches:

1️⃣ Static Analysis: Examining a file without executing it (code, PE structure, strings, signatures, etc.).
2️⃣ Dynamic Analysis (Sandboxing) : Executing the file in a controlled environment to observe its behavior (network connections, registry changes, processes, etc.).

🔰 Open-Source and free Tools
Static Analysis
🔸 Radare2 / Cutter: Reverse engineering framework and disassembler.
🔸Ghidra (NSA): Powerful reverse engineering tool with GUI support.
🔸Capstone / Keystone: Lightweight disassembler and assembler for scripting.
🔸Detect It Easy (DIE): Identifies packers/compilers of executables.
🔸YARA: Rule-based engine for malware detection.
🔸PEStudio: Analyzes PE file structure (free and pro versions).

Dynamic Analysis
🔹 Cuckoo Sandbox: The most popular open-source sandbox for running malware in VMs.
🔹CAPEv2: Enhanced Cuckoo version with unpacking and config extraction.
🔹REMnux: Linux distribution tailored for malware analysis.
🔹Sysinternals Suite (Microsoft): Tools like Process Monitor, Autoruns, TCPView.
🔹Volatility / Rekall: Memory forensics frameworks to analyze malware artifacts.

#Malware
#Ghidra
#Volatility

T.me/ICTlive