‼️ عارف إن فيه ثغرة في سيسكو واخدة 10 من 10 في الخطورة

ممكن تدي الهاكر تحكم "root" كامل؟ السر كله في ثغرة برمجية جوه خاصية الـ Spam Quarantine لو واجهتها مكشوفة للإنترنت بشكل مباشر. لو بتستخدم نظام AsyncOS، تقدر تفهم الثغره في قناة الفريق Hidden Lock.✨

https://t.me/hiddenlockteamc/2349

خلي بالك وأنت بتدور على PoC.. الـ Webrat Malware بقا بيصطاد الـ Researchers!

فيه حملة Malware جديدة ماشية بقالها كام شهر ويفضل تاخدوا بالكم منها، خصوصاً الطلبة والـ Junior Security Researchers اللي بيدوروا على Exploits لثغرات لسه طالعة "تريند".

الموضوع بدأ بـ Malware اسمه Webrat. في الأول كان بيستهدف الجيمرز (Rust, Roblox, CS) عن طريق Game Cheats أو برامج مكركة. بس من أول شهر سبتمبر اللي فات، الـ Threat Actors قرروا يغيروا "الزبون" ويستهدفوا الناس اللي شغالة في الـ InfoSec.



بيحصل إيه بالظبط؟ (The Attack Vector) 🤔

الهكرز بيعملوا GitHub Repositories شكلها احترافي جداً لثغرات حقيقية وليها High CVSS scores (زي CVE-2025-59295).

الـ README: مكتوب بـ AI، متقسم صح جداً (Overview, Specifications, Mitigation)، عشان يخليك تثق إن ده PoC حقيقي.

الـ Trap: جوا الـ Repo بتلاقي ملف ZIP محمي بكلمة سر (عشان يهرب من الـ Scanner بتاع GitHub).

> "The attackers are leveraging the sense of urgency around new vulnerabilities to trick researchers into bypassing their own security protocols."



تحليل الـ Infection Chain
لما بتفك الضغط عن الملف، بتلاقي 4 حاجات:

1. pass – 8511: ملف فاضي، بس اسمه هو الباسورد بتاع الـ Archive.

2. payload.dll: ده مجرد Decoy (ملف تالف) ملوش لازمة غير إنه يشتت انتباهك.

3. rasmanesc.exe: ده "السم في العسل". أول ما بيشتغل بيعمل:

- Privilege Escalation: بيعلي صلاحياته للـ Admin.

- Disable Windows Defender: بيقفل الحماية عشان يشتغل براحته.

- Fetch Payload: بيكلم الـ C2 Server عشان ينزل الـ Webrat الأساسي.

4. start_exp.bat: ملف بسيط بيشغل الـ exe عشان يسهل عليك تلبس في الـ Malware.



إيه هو الـ Webrat ده أصلاً وبيعمل إيه؟ 🕵️‍♂️
الـ Webrat عبارة عن Backdoor قوي جداً، وإمكانياته مش سهلة:

Info Stealing: بيسرق الـ Sessions بتاعة (Telegram, Discord, Steam) والـ Crypto Wallets.

Spyware: بيقدر يفتح الميكروفون والكاميرا، ويعمل Screen Recording و Keylogging.

Remote Control: الهكر بيبقا معاه Control كامل على جهازك.


الهكرز عارفين إن الـ Researchers بيجروا ورا الـ Zero-days والـ PoCs الجديدة، فبيستخدموا ده طُعم.

Rule #1: مفيش حاجة اسمها تجرب PoC على جهازك الشخصي (Host Machine).

Rule #2: أي شغل تحليل أو تجربة لازم يكون جوا Isolated Environment (زي VMware أو VirtualBox أو Sandbox).

Rule #3: بص بصه على الـ Code قبل ما تشغل أي .exe أو .bat جاي من Repo مجهول، حتى لو شكله احترافي.


Stay Safe and Happy Hunting! 🛡

عشان فرص الشغل الـ Remote والشركات العالمية بقت حلم لكل Developer، بقى فيه Hackers محترفين بيستغلوا ده عشان يوقعوا المطورين ويسرقوا بياناتهم من خلال فخ الـ "Contagious Interview" - فالبوست ده هقولك تعمل إيه عشان تحمي جهازك وشغلك لو جالك عرض مغري وطلبوا منك Technical Task، قبل ما تقع في الفخ وتخسر كل حاجة!

أول حاجة، لازم تشك في أي Recruiter بيكلمك من شركة Crypto مسمعتش عنها قبل كدة وبيبعتلك Repository عشان تحل فيه تاسك، وخد بالك جداً من الـ Folder اللي اسمه .vscode وتحديداً ملف الـ tasks.json، لأن الهاكرز بيخبوا جواه Malicious Commands بتشتغل أول ما تعمل Build للمشروع، ومتحاولش تفتح أي مشروع وتدوس "Trust" وأنت مغمض لمجرد إنك مستعجل تخلص التاسك!

تاني حاجة، لو مضطر تفتح مشروع من حد غريب، افتحه دايماً في بيئة معزولة زي Sandbox أو Virtual Machine، عشان تضمن إن أي أمر "مستخبي" يشتغل بعيد عن ملفات جهازك الأساسية والـ Crypto Wallets بتاعتك. الهاكرز دول هدفهم يزرعوا برامج خبيثة زي BeaverTail و InvisibleFerret عشان يشفطوا الـ Passwords بتاعتك ويبنوا Backdoor في جهازك، فخليك دايماً أذكى منهم.

ولو شاكك في أي Task جالك، اسأل زمايلك الـ Experts أو اتأكد من هوية الشخص اللي بيكلمك كويس جداً، بلاش الفرحة بعرض الشغل تنسيك أمن جهازك لأن غلطة واحدة بضغطة زرار ممكن تنهي مستقبلك الرقمي وتخلي جهازك ميبقاش ملكك خلاص.

ياريت نخلي بالنا.

محتاج حد متخصص في blue team ينشر محتوى، ينشر بشكل مستمر.
@ANB0_01

من السجلات إلى الرؤى: بناء خط أنابيب SIEM باستخدام Elasticsearch و Kibana و Winlogbeat

من مشاهد التطور في CyberSecurity، الـ Logs هي العمود الفقري لأي أستراتيجية دفاعيه، اذا فتحت اي ملف logs ممكن تلاحظ ان الملف غير مفهوم، وده امر طبيعي وهنا ممكن نطلق عليه مصطلح السجلات الخام، لأنها غير مرتبه وصعب ان يتم تفسيرها يدوياً، وده موضوعنا انهارده.

في نظام SIEM بشكل مختصر ده عباره عن نظام اداري للمعلومات، وفي المقال هنطبق مفهومه بحيث اننا نقدر نتعامل مع الداتا الـ Logs بشكل اننا نفهمها، هنستخدم حاجة اسمها الـ pipline، هو مفهوم بسيط وفعال علشان نقدر نحول اي Logs من شكل غير مرتب انه يكون مرتب ومفهوم وهنستخدم حاجة أسمها Elastic Stack

‼️ المكونات الرئيسية (The Stack)

هنستخدم حاجة اسمها ElasticSearch، وهو Search هيقوم بتخزين وفهرسه الـ data، وهنستخدم الـ Kibana وهي واجهه بيتم استخدامها في تصور الData واستكشافها، بالنسبة الى Winlogbeat، هو proxy خفيف في الحجم تقدر تثبه في ويندوز ومن خلال الـ Proxy بيبعت الـ Log لـ elasticsearch، خلينا نبدأ في تثبيت الادوات.

‼️ تثبيت Elasticsearch

اول حاجة التثبيت هيكون من الموقع الرسمي لـ elastic وطبعاً التحميل هيكون معتمد على نظامك وبعدها تفتح ملف الـ config/elasticsearch.yml وهتعمل التعديلات دي

 network.host: 0.0.0.0
http.port: 9200
discovery.type: single-node
xpack.security.enabled: false

وقت عملية التشغيل هيكون من هنا bin/elasticsearch.bat وهتبدأ في دخول الى http://localhost:9200.

‼️ تحميل Kibana وتجهيزه

بشكل مختصر هو العين هتشوف من خلال الـ Logs، الطبيعي انت هتحمله من مصدره، وبعدها هتفك الضغط، بعدها هتفتح ملف الـ config وهتعمل الأعدادات دي

server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]

هتشغل الملف من خلال kibana.bat وبعدها هيحمل شويه، ولما ينتهي هتفتح الـ localhost على نفس البورت

‼️ تحميل وتجهيز winlogbeat

اهميته هو تجميع الـ Logs وإرسالها، الطبيعي انك هتحمله وهتفك الضغط، وتثبيته هيكون من خلال PowerShell كـ administrator وهتبدأ التثبيت:

cd "C:\Program Files\Winlogbeat"
.\install-service-winlogbeat.ps1

هتفتح ملف الـ config هيكون اسمه winlogbeat.yml هتحديد الـ Logs

winlogbeat.event_logs:
  - name: Application
  - name: System
  - name: Security

output.elasticsearch:
  hosts: ["localhost:9200"]

طيب هنبدأ تجهيز الـ dashboards، الـ Winlogbeat بيوفرها جاهزة وهتشغلها بالامر ده

.\winlogbeat.exe setup

وبعد كده

Start-Service winlogbeat

بمجرد ما تشغل winlogbeat، هتبدأ البيانات انها تتبعت للـ Elasticsearch، هتفتح Kibana وبعدها قسم الـ dashboard، هتبحث عن الـ dashboard الخاصه بـ winlogbeat.

وبعدها هتشوف تمثيل بالرسوم لكل حاجة بتحصل في الويندوز، زي اي محاولات Login غلط، واذا حد حاول يعمل bruteforce هيظهر.

في حاله لو عايز تعمل مستخدم جديد هتقدر، ولو عايز تعدل الصلاحيات برده هتقدر، هتقدر برده تشوف الـ Log الخاصه بالنظام والـ applications.