#Video #ReverseEngineering
🖥 Software Deobfuscation Techniques Live in Youtube
امشب Tim Blazytko قراره یه لایو یوتیوب بذاره دربارهی تکنیکهای ضد مبهمسازی و میزبانش هم تیم Binary Ninja هست.
اگه به تحلیل بدافزار و تکنیکهای مبهمسازی علاقه دارید، پیشنهاد میکنم این لایو رو ببینید. من سالهاست Tim رو میشناسم و کاراشو دنبال میکنم.
احتمال زیاد لایو ذخیره میشه، ولی اگه سؤال خاصی دارید که میخواید حتما بپرسید، بهتره همون ساعت پخش زنده شرکت کنید.
🦅 کانال بایت امن | گروه بایت امن
_
🖥 Software Deobfuscation Techniques Live in Youtube
امشب Tim Blazytko قراره یه لایو یوتیوب بذاره دربارهی تکنیکهای ضد مبهمسازی و میزبانش هم تیم Binary Ninja هست.
اگه به تحلیل بدافزار و تکنیکهای مبهمسازی علاقه دارید، پیشنهاد میکنم این لایو رو ببینید. من سالهاست Tim رو میشناسم و کاراشو دنبال میکنم.
احتمال زیاد لایو ذخیره میشه، ولی اگه سؤال خاصی دارید که میخواید حتما بپرسید، بهتره همون ساعت پخش زنده شرکت کنید.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🔥6👍2
Forwarded from OS Internals (Abolfazl Kazemi)
📢 انتشار فصل ششم دوره Linux Exploit Development
ℹ️ مقدمات برنامهنویسی ROP
📚 در این فصل وارد دنیای Return Oriented Programming (ROP) میشویم؛ تکنیکی قدرتمند برای دور زدن مکانیزمهای امنیتی مدرن مثل NX، ASLR و PIE. با یادگیری ROP میتوانیم بدون نیاز به اجرای مستقیم شلکد، با استفاده از «گجت»های موجود در باینری یا کتابخانهها، جریان اجرای برنامه را کنترل کنیم و به اهداف دلخواه برسیم.
در این فصل ابتدا با فلسفهٔ ROP و اینکه چرا اصلاً به آن نیاز داریم آشنا میشویم، سپس یک مثال کلاسیک را بررسی میکنیم، یاد میگیریم چگونه با ترکیب GDB و Pwntools یک ROP chain بسازیم و در نهایت با حل چند چالش واقعی ۳۲ و ۶۴بیتی مهارتهای ROP خود را تثبیت میکنیم.
✍️ لینک ویدئوهای فصل ۶ در یوتیوب:
P06-01) Why and What of Return Oriented Programming
P06-02) ROP Example from the Slides
P06-03) Using GDB with PwnTools
P06-04) Solving PicoCTF 2022 BOF2 x64 Using ROP
P06-05) Solving PicoCTF 2022 ropfu - x86 ROP
✍️ لینک ویدئوهای فصل ۶ در آپارات:
https://aparat.com/v/jvk1197
https://aparat.com/v/qrmoa1w
https://aparat.com/v/mduh9nw
https://aparat.com/v/ebe78jn
https://aparat.com/v/qne1782
#linux #exploitdev #gdb #rop #buffer_overflow #x64 #PicoCTF #CTF
ℹ️ مقدمات برنامهنویسی ROP
📚 در این فصل وارد دنیای Return Oriented Programming (ROP) میشویم؛ تکنیکی قدرتمند برای دور زدن مکانیزمهای امنیتی مدرن مثل NX، ASLR و PIE. با یادگیری ROP میتوانیم بدون نیاز به اجرای مستقیم شلکد، با استفاده از «گجت»های موجود در باینری یا کتابخانهها، جریان اجرای برنامه را کنترل کنیم و به اهداف دلخواه برسیم.
در این فصل ابتدا با فلسفهٔ ROP و اینکه چرا اصلاً به آن نیاز داریم آشنا میشویم، سپس یک مثال کلاسیک را بررسی میکنیم، یاد میگیریم چگونه با ترکیب GDB و Pwntools یک ROP chain بسازیم و در نهایت با حل چند چالش واقعی ۳۲ و ۶۴بیتی مهارتهای ROP خود را تثبیت میکنیم.
✍️ لینک ویدئوهای فصل ۶ در یوتیوب:
P06-01) Why and What of Return Oriented Programming
P06-02) ROP Example from the Slides
P06-03) Using GDB with PwnTools
P06-04) Solving PicoCTF 2022 BOF2 x64 Using ROP
P06-05) Solving PicoCTF 2022 ropfu - x86 ROP
✍️ لینک ویدئوهای فصل ۶ در آپارات:
https://aparat.com/v/jvk1197
https://aparat.com/v/qrmoa1w
https://aparat.com/v/mduh9nw
https://aparat.com/v/ebe78jn
https://aparat.com/v/qne1782
#linux #exploitdev #gdb #rop #buffer_overflow #x64 #PicoCTF #CTF
YouTube
P06-01) Why and What of Return Oriented Programming [PER]
مقدمهای بر ROP دلیل پیدایش آن، مفهوم «گجت»، روش ساختن chain و اینکه این تکنیک چگونه محدودیتهای امنیتی مثل NX را دور میزند.
❤15👍2🔥2
کانال بایت امن
#Video #ReverseEngineering 🖥 Software Deobfuscation Techniques Live in Youtube امشب Tim Blazytko قراره یه لایو یوتیوب بذاره دربارهی تکنیکهای ضد مبهمسازی و میزبانش هم تیم Binary Ninja هست. اگه به تحلیل بدافزار و تکنیکهای مبهمسازی علاقه دارید، پیشنهاد…
توضیحات مرتبط با وبینار :
توی وبینار بیشتر درباره این صحبت شد که چطور میشه الگوهای مدرن مبهمسازی کد رو شناسایی و تحلیل کرد
بخش عملی با پلاگین Obfuscation Detection شروع شد ابزاری که کمک میکنه تو باینریهای بزرگ سریع بفهمیم کد کجا عجیبغریب شده که این پلاگین در Binary Ninja قابل استفاده هست و مواردی مثل:
تشخیص control‑flow flattening و استیتماشینهایی که با یه حلقه dispatcher کل CFG رو میچرخونن
پیدا کردن تابعهایی با پیچیدگی غیرعادی
شناسایی basic block های خیلی بزرگ که معمولا نشونهی crypto unrolling یا شلوغکاری آرتیمتیکه
مقایسه n‑gram های دستوری برای فهمیدن اینکه خروجی استاندارد کامپایلر نیست و فایل دستکاری شده
هیوریستیکهای مخصوص بدافزار (XOR decryptorها، الگوهای RC4 و…).
🦅 کانال بایت امن | گروه بایت امن
_
توی وبینار بیشتر درباره این صحبت شد که چطور میشه الگوهای مدرن مبهمسازی کد رو شناسایی و تحلیل کرد
بخش عملی با پلاگین Obfuscation Detection شروع شد ابزاری که کمک میکنه تو باینریهای بزرگ سریع بفهمیم کد کجا عجیبغریب شده که این پلاگین در Binary Ninja قابل استفاده هست و مواردی مثل:
تشخیص control‑flow flattening و استیتماشینهایی که با یه حلقه dispatcher کل CFG رو میچرخونن
پیدا کردن تابعهایی با پیچیدگی غیرعادی
شناسایی basic block های خیلی بزرگ که معمولا نشونهی crypto unrolling یا شلوغکاری آرتیمتیکه
مقایسه n‑gram های دستوری برای فهمیدن اینکه خروجی استاندارد کامپایلر نیست و فایل دستکاری شده
هیوریستیکهای مخصوص بدافزار (XOR decryptorها، الگوهای RC4 و…).
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍3🔥1
این چند وقت باید چندتا کتاب میخریدم از آمازون و سایت های دیگه و چاپ میکردم اما یه چیزی دیدم بین کتاب ها و نویسنده ها که خیلی غیرعادی بود.
عنوانهای بزرگ و چشمگیر، کاورهای خیلی حرفهای که معلومه با هوش مصنوعی ساخته شدن. اما کافیه کتاب رو باز کنی، چند صفحه اول متوجه میشی همهچیز فقط ظاهر بوده.
متنها سطحی و تکراری، بدون هیچ عمق یا تحقیق جدی. نه تحلیلی هست، نه توضیح حسابی، نه حتی یک تصویر یا گرافیک که کمک کنه بهتر بفهمی.
انگار فقط چند پاراگراف آماده رو کنار هم چیدن تا کتابی دربیاد.
از نویسنده هم چیزی دستتون نمیاد بعضی وقتها حتی معلوم نیست واقعی هست یا فقط اسمی گذاشته شده کنار خروجی یک مدل هوش مصنوعی.
ظاهر این کتابها قشنگه، اما وقتی میری داخلشون، چیزی برای ارائه ندارن. محتوا خامه، نصفهنیمهست و حتی ویرایش درستوحسابی هم نشده.
حتما سعی کنید هنگام خرید، پابلیشر ها معتبر باشند و نویسنده ها شناخته شده.
_
عنوانهای بزرگ و چشمگیر، کاورهای خیلی حرفهای که معلومه با هوش مصنوعی ساخته شدن. اما کافیه کتاب رو باز کنی، چند صفحه اول متوجه میشی همهچیز فقط ظاهر بوده.
متنها سطحی و تکراری، بدون هیچ عمق یا تحقیق جدی. نه تحلیلی هست، نه توضیح حسابی، نه حتی یک تصویر یا گرافیک که کمک کنه بهتر بفهمی.
انگار فقط چند پاراگراف آماده رو کنار هم چیدن تا کتابی دربیاد.
از نویسنده هم چیزی دستتون نمیاد بعضی وقتها حتی معلوم نیست واقعی هست یا فقط اسمی گذاشته شده کنار خروجی یک مدل هوش مصنوعی.
ظاهر این کتابها قشنگه، اما وقتی میری داخلشون، چیزی برای ارائه ندارن. محتوا خامه، نصفهنیمهست و حتی ویرایش درستوحسابی هم نشده.
حتما سعی کنید هنگام خرید، پابلیشر ها معتبر باشند و نویسنده ها شناخته شده.
_
❤10👍6😢1
این عکس رو تو سوشال دیدم و به نکته ی خوبی اشاره کرده.
همه ابزارهای سطحی را میشناسند.
راز واقعی پنهان ماندن، در اعماق است:
ایمپلنتهای سفارشی، فراخوانی های سیستمی مستقیم (direct syscalls)، و رعایت اصول امنیت عملیاتی (OPSEC).
𝘛𝘰𝘰𝘭𝘴 𝘥𝘰𝘯’t 𝘮𝘢𝘬𝘦 𝘺𝘰𝘶 𝘴𝘵𝘦𝘢𝘭𝘵𝘩𝘺, 𝘥𝘪𝘴𝘤𝘪𝘱𝘭𝘪𝘯𝘦 𝘥𝘰𝘦𝘴.
🦅 کانال بایت امن | گروه بایت امن
_
همه ابزارهای سطحی را میشناسند.
راز واقعی پنهان ماندن، در اعماق است:
ایمپلنتهای سفارشی، فراخوانی های سیستمی مستقیم (direct syscalls)، و رعایت اصول امنیت عملیاتی (OPSEC).
𝘛𝘰𝘰𝘭𝘴 𝘥𝘰𝘯’t 𝘮𝘢𝘬𝘦 𝘺𝘰𝘶 𝘴𝘵𝘦𝘢𝘭𝘵𝘩𝘺, 𝘥𝘪𝘴𝘤𝘪𝘱𝘭𝘪𝘯𝘦 𝘥𝘰𝘦𝘴.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23❤4🔥3
#Tools
این چند وقته متوجه شدم چیزی به اسم NativePHP اومده و به تازگی نگارش جدیدش هم منتشر شده.
اینجاست که وقتی شما PHP کار و مخصوصا لاراول کار باشید، تازه متوجه میشید میتونید اپهایی که مینویسید رو به صورت کراس پلتفرم خروجی بگیرید!
یعنی برای دسکتاپ از Electron استفاده میکنه، برای اندروید Kotlin و برای iOS هم Swift.
و اگه براتون سوال پیش اومده که امنیتش چی میشه، NativePHP این موضوع رو هم در نظر گرفته.
من خودم باهاش کار کردم و یه پروژه لاراول که از قبل داشتم رو تبدیل کردم، خروجی واقعا عالی بود. فقط یه سری اپتیمایزها لازمه انجام بدین که سخت هم نیست.
🦅 کانال بایت امن | گروه بایت امن
_
این چند وقته متوجه شدم چیزی به اسم NativePHP اومده و به تازگی نگارش جدیدش هم منتشر شده.
اینجاست که وقتی شما PHP کار و مخصوصا لاراول کار باشید، تازه متوجه میشید میتونید اپهایی که مینویسید رو به صورت کراس پلتفرم خروجی بگیرید!
یعنی برای دسکتاپ از Electron استفاده میکنه، برای اندروید Kotlin و برای iOS هم Swift.
و اگه براتون سوال پیش اومده که امنیتش چی میشه، NativePHP این موضوع رو هم در نظر گرفته.
من خودم باهاش کار کردم و یه پروژه لاراول که از قبل داشتم رو تبدیل کردم، خروجی واقعا عالی بود. فقط یه سری اپتیمایزها لازمه انجام بدین که سخت هم نیست.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍2🎉1
This media is not supported in your browser
VIEW IN TELEGRAM
#Technology #Electronic
این ویدیو نشان میدهد ترانزیستورها تا چه اندازه میتوانند کوچک شوند و آنها را در مقایسه با اشیای واقعی به تصویر میکشد.
در گذشته اندازه ترانزیستورها بسیار بزرگ بود، اما با گذشت زمان آنقدر کوچک شدهاند که امروز ابعادی نزدیک به DNA دارند. با این حال، پژوهشگران همچنان در حال توسعه فناوریهای جدید برای ساخت سیستمهایی کوچکتر، سریعتر و کارآمدتر هستند.
شرکت Texas Instruments نیز امروز کوچکترین میکروکنترلر (MCU) جهان را معرفی کرده است تراشهای با اندازه تنها ۱.۳۸ میلیمتر مربع، تقریباً هماندازه یک دانه فلفل سیاه. این محصول برای کاربردهایی مانند تجهیزات پوشیدنی پزشکی و ابزارهای الکترونیکی جمعوجور طراحی شده است.
این MCU حدود ۳۸ درصد کوچکتر از کوچکترین مدلهای فعلی بازار است و به طراحان اجازه میدهد بدون افت کارایی، فضای برد را بهطور چشمگیری کاهش دهند. این تراشه همچنین به خانواده MSPM0 اضافه شده که هدف آن بهبود سنجش و کنترل در سیستمهای توکار و کاهش هزینه، پیچیدگی و زمان طراحی است.
🦅 کانال بایت امن | گروه بایت امن
_
این ویدیو نشان میدهد ترانزیستورها تا چه اندازه میتوانند کوچک شوند و آنها را در مقایسه با اشیای واقعی به تصویر میکشد.
در گذشته اندازه ترانزیستورها بسیار بزرگ بود، اما با گذشت زمان آنقدر کوچک شدهاند که امروز ابعادی نزدیک به DNA دارند. با این حال، پژوهشگران همچنان در حال توسعه فناوریهای جدید برای ساخت سیستمهایی کوچکتر، سریعتر و کارآمدتر هستند.
شرکت Texas Instruments نیز امروز کوچکترین میکروکنترلر (MCU) جهان را معرفی کرده است تراشهای با اندازه تنها ۱.۳۸ میلیمتر مربع، تقریباً هماندازه یک دانه فلفل سیاه. این محصول برای کاربردهایی مانند تجهیزات پوشیدنی پزشکی و ابزارهای الکترونیکی جمعوجور طراحی شده است.
این MCU حدود ۳۸ درصد کوچکتر از کوچکترین مدلهای فعلی بازار است و به طراحان اجازه میدهد بدون افت کارایی، فضای برد را بهطور چشمگیری کاهش دهند. این تراشه همچنین به خانواده MSPM0 اضافه شده که هدف آن بهبود سنجش و کنترل در سیستمهای توکار و کاهش هزینه، پیچیدگی و زمان طراحی است.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍1🔥1
#Video #Electronic #Security
No Key, No Problem: Vulnerabilities in Master Lock Smart Locks
در کنفرانس Defcon 16 ارائهای توسط Anthony Rose و Ben Ramsey با موضوع "باز کردن قفلهای بلوتوثی" برگزار شد. این ارائه نسخهای جدید از روشهای LockPicking بود، با این تفاوت که اینبار از رابط بلوتوث و یک اپلیکیشن اندرویدی برای تعامل با قفلها استفاده میشد.
در آن زمان اعلام شد که قفلهای بلوتوثی MasterLock با بازار هدف بیش از ۲.۶ میلیارد مصرفکننده آسیبپذیر محسوب نمیشوند و حتی نسبت به دیگر رقبا امنترین گزینه به شمار میرفتند.
اما در رویداد WOOT 2025، پژوهشهای جدید نشان داد که این اعتماد مطلق درست نبوده است. بررسیها ثابت کرد که میتوان سیستم امنیتی برخی مدلهای این قفل را دور زد و آسیبپذیری آنها را اثبات کرد.
قفلهای هوشمند MasterLock معمولاً در مکانهایی مانند درب هتلها، باشگاهها، انباریها، انبارهای اشتراکی، کمد مدارس، شرکتها و فضاهایی که نیاز به دسترسی آسان اما کنترلشده دارند مورد استفاده قرار میگیرند.
در این تحقیق مشخص شد که با مهندسی معکوس اپلیکیشن اندرویدی قفل (نسخه 2.28.0.1)، این نرمافزار از تکنیکهای مبهمسازی مانند موارد زیر استفاده میکند:
تغییر نام نمادها
رمزگذاری و کدگذاری ثابتها
فراخوانی توابع Native
بارگذاری DEX به صورت پویا
مبهم سازی control flows
پس از آن، با تحلیل نحوه ارتباط قفل با سرور، بلوتوث و روشهای رمزنگاری، اثبات شد که مدل Master Lock D1000 دارای آسیبپذیری امنیتی است.
تو این آدرس می تونید به اسلاید و سایر فایل ها دسترسی داشته باشید.
🦅 کانال بایت امن | گروه بایت امن
_
No Key, No Problem: Vulnerabilities in Master Lock Smart Locks
در کنفرانس Defcon 16 ارائهای توسط Anthony Rose و Ben Ramsey با موضوع "باز کردن قفلهای بلوتوثی" برگزار شد. این ارائه نسخهای جدید از روشهای LockPicking بود، با این تفاوت که اینبار از رابط بلوتوث و یک اپلیکیشن اندرویدی برای تعامل با قفلها استفاده میشد.
در آن زمان اعلام شد که قفلهای بلوتوثی MasterLock با بازار هدف بیش از ۲.۶ میلیارد مصرفکننده آسیبپذیر محسوب نمیشوند و حتی نسبت به دیگر رقبا امنترین گزینه به شمار میرفتند.
اما در رویداد WOOT 2025، پژوهشهای جدید نشان داد که این اعتماد مطلق درست نبوده است. بررسیها ثابت کرد که میتوان سیستم امنیتی برخی مدلهای این قفل را دور زد و آسیبپذیری آنها را اثبات کرد.
قفلهای هوشمند MasterLock معمولاً در مکانهایی مانند درب هتلها، باشگاهها، انباریها، انبارهای اشتراکی، کمد مدارس، شرکتها و فضاهایی که نیاز به دسترسی آسان اما کنترلشده دارند مورد استفاده قرار میگیرند.
در این تحقیق مشخص شد که با مهندسی معکوس اپلیکیشن اندرویدی قفل (نسخه 2.28.0.1)، این نرمافزار از تکنیکهای مبهمسازی مانند موارد زیر استفاده میکند:
تغییر نام نمادها
رمزگذاری و کدگذاری ثابتها
فراخوانی توابع Native
بارگذاری DEX به صورت پویا
مبهم سازی control flows
پس از آن، با تحلیل نحوه ارتباط قفل با سرور، بلوتوث و روشهای رمزنگاری، اثبات شد که مدل Master Lock D1000 دارای آسیبپذیری امنیتی است.
تو این آدرس می تونید به اسلاید و سایر فایل ها دسترسی داشته باشید.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤3👍2
#Security
سه بدافزار معروف که قبلا از بین رفتند اما دوباره برگشتهاند
تروجان Emotet پس از نابودی سراسری در سال 2021 و توقیف زیرساخت سرورهایش، تصور میشد برای همیشه از بین رفته است. اما این بدافزار مدتی بعد با بهرهگیری از زیرساخت TrickBot بازسازی شد و به یک باتنت ماژولار پیشرفتهتر تبدیل گردید. اکنون قابلیتهای جدیدی مانند سرقت گستردهتر ایمیل و Loaderهای توسعهیافته دارد. آخرین IOCهای شناساییشده مربوط به آن شامل دامنه reelancedigitales[.]com و آدرس 146.19.212[.]210 هستند.
رنسام LockBit در سال 2024 طی عملیات مشترک بینالمللی با نام Operation Cronos هدف قرار گرفت وبسایتهای مرتبط با آن توقیف و برخی اعضای گروه دستگیر شدند. با این حال تنها چند هفته بعد این گروه با زیرساخت جدید و نسخه 4.0 دوباره بازگشت. LockBit اکنون با افزایش شبکه Affiliates و یک مدل اخاذی سریعتر و تهاجمیتر فعالیت میکند. از مهمترین IOCهای اخیراً مرتبط با آن میتوان به loki-locker[.]one و securebestapp20[.]com اشاره کرد.
بدافزار Lumma نیز در سال 2024 پس از توقیف دامنههایش توسط وزارت دادگستری آمریکا تصور میشد از فعالیت خارج شده است، اما مانند بسیاری از تهدیدات مشابه تنها چند هفته بعد با انتشار نسخه جدید LummaC v4.x بازگشت. این نسخه با زیرساخت تازه، تکنیکهای ابهامسازی پیچیدهتر و قابلیتهای ضدتحلیل قویتر همراه بوده است. تازهترین IOCهای گزارششده شامل 128.199.149[.]174 و 4.209.216[.]163 هستند.
🦅 کانال بایت امن | گروه بایت امن
_
سه بدافزار معروف که قبلا از بین رفتند اما دوباره برگشتهاند
تروجان Emotet پس از نابودی سراسری در سال 2021 و توقیف زیرساخت سرورهایش، تصور میشد برای همیشه از بین رفته است. اما این بدافزار مدتی بعد با بهرهگیری از زیرساخت TrickBot بازسازی شد و به یک باتنت ماژولار پیشرفتهتر تبدیل گردید. اکنون قابلیتهای جدیدی مانند سرقت گستردهتر ایمیل و Loaderهای توسعهیافته دارد. آخرین IOCهای شناساییشده مربوط به آن شامل دامنه reelancedigitales[.]com و آدرس 146.19.212[.]210 هستند.
رنسام LockBit در سال 2024 طی عملیات مشترک بینالمللی با نام Operation Cronos هدف قرار گرفت وبسایتهای مرتبط با آن توقیف و برخی اعضای گروه دستگیر شدند. با این حال تنها چند هفته بعد این گروه با زیرساخت جدید و نسخه 4.0 دوباره بازگشت. LockBit اکنون با افزایش شبکه Affiliates و یک مدل اخاذی سریعتر و تهاجمیتر فعالیت میکند. از مهمترین IOCهای اخیراً مرتبط با آن میتوان به loki-locker[.]one و securebestapp20[.]com اشاره کرد.
بدافزار Lumma نیز در سال 2024 پس از توقیف دامنههایش توسط وزارت دادگستری آمریکا تصور میشد از فعالیت خارج شده است، اما مانند بسیاری از تهدیدات مشابه تنها چند هفته بعد با انتشار نسخه جدید LummaC v4.x بازگشت. این نسخه با زیرساخت تازه، تکنیکهای ابهامسازی پیچیدهتر و قابلیتهای ضدتحلیل قویتر همراه بوده است. تازهترین IOCهای گزارششده شامل 128.199.149[.]174 و 4.209.216[.]163 هستند.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍4🔥1
خیلیها مفهوم Red Team رو اشتباه میگیرن
رد تیم این معانی رو نداره :
❌ ساخت بدافزار
❌ دور زدن آنتیویروس و EDR
❌ اکسپلویت کرنل یا کاربر
❌ تست امنیت وب یا اپلیکیشن
❌ حملات فیشینگ
❌ تست Active Directory
❌ راهاندازی C2
✅ رد تیم، یک رویکرد استراتژیک، مخفیانه و هدفمحور برای سنجش توان سازمان در شناسایی، واکنش و مقاومت در برابر یک مهاجم واقعی.
🎯 هدف رد تیم این نیست که فقط نفوذ کنه
بلکه باید نشان بده سازمان چقدر توانایی دفاع و پاسخ سریع در برابر یک تهدید واقعی رو داره
🦅 کانال بایت امن | گروه بایت امن
_
رد تیم این معانی رو نداره :
✅ رد تیم، یک رویکرد استراتژیک، مخفیانه و هدفمحور برای سنجش توان سازمان در شناسایی، واکنش و مقاومت در برابر یک مهاجم واقعی.
🎯 هدف رد تیم این نیست که فقط نفوذ کنه
بلکه باید نشان بده سازمان چقدر توانایی دفاع و پاسخ سریع در برابر یک تهدید واقعی رو داره
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤24👍3👎2🔥1
#Article #MalwareAnalysis
MastaStealer Weaponizes Windows LNK Files, Executes PowerShell Command, and Evades Defender
در یک آلودگی اخیر مربوط به MastaStealer، یک کاربر ایمیلی هدفمند (Spear-phishing) دریافت کرد که منجر به دانلود یک فایل ZIP شد که فقط یک فایل با پسوند .lnk داخل آن بود.
وقتی قربانی روی آن کلیک کرد، این فایل LNK برنامه msedge.exe را اجرا کرد و سایت anydesk[.]com را در صفحه باز کرد تا بیخطر به نظر برسد، اما در پسزمینه به صورت مخفیانه یک فایل نصب MSI را از anydesck[.]net دانلود کرد.
یک کاربر ایمیلی هدفمند (فیشینگ) دریافت کرده که داخلش یک فایل ZIP بوده و فقط یک فایل .lnk داشت. کاربر روی آن کلیک کرده و فایل LNK ظاهراً فقط مرورگر Edge را باز کرده و سایت anydesk.com را نمایش داده تا همه چیز عادی به نظر برسد.
اما در پشت صحنه، همان فایل LNK یک فایل MSI مخرب را از سایت جعلی anydesck.net دانلود کرده و تلاش کرده نصبش کند. چون کاربر دسترسی ادمین نداشت، نصب شکست خورده و لاگ خطای Event ID 11708 ثبت شده که باعث شد تیم امنیت متوجه ماجرا شود.
اگر نصب موفق میشد، این بدافزار:
فایلها را در مسیر Temp باز و استخراج میکرد
یک فایل اجرایی به نام dwm.exe در مسیر LOCALAPPDATA\Microsoft\Windows قرار میداد
یک دستور PowerShell اجرا میکرد تا Windows Defender از اسکن این فایل جلوگیری کند
این فایل dwm.exe در واقع بدافزاری است که با سرورها و آدرسهای مشخصشده در متن تماس گرفته و فرمان میگیرد.
🦅 کانال بایت امن | گروه بایت امن
_
MastaStealer Weaponizes Windows LNK Files, Executes PowerShell Command, and Evades Defender
در یک آلودگی اخیر مربوط به MastaStealer، یک کاربر ایمیلی هدفمند (Spear-phishing) دریافت کرد که منجر به دانلود یک فایل ZIP شد که فقط یک فایل با پسوند .lnk داخل آن بود.
وقتی قربانی روی آن کلیک کرد، این فایل LNK برنامه msedge.exe را اجرا کرد و سایت anydesk[.]com را در صفحه باز کرد تا بیخطر به نظر برسد، اما در پسزمینه به صورت مخفیانه یک فایل نصب MSI را از anydesck[.]net دانلود کرد.
یک کاربر ایمیلی هدفمند (فیشینگ) دریافت کرده که داخلش یک فایل ZIP بوده و فقط یک فایل .lnk داشت. کاربر روی آن کلیک کرده و فایل LNK ظاهراً فقط مرورگر Edge را باز کرده و سایت anydesk.com را نمایش داده تا همه چیز عادی به نظر برسد.
اما در پشت صحنه، همان فایل LNK یک فایل MSI مخرب را از سایت جعلی anydesck.net دانلود کرده و تلاش کرده نصبش کند. چون کاربر دسترسی ادمین نداشت، نصب شکست خورده و لاگ خطای Event ID 11708 ثبت شده که باعث شد تیم امنیت متوجه ماجرا شود.
اگر نصب موفق میشد، این بدافزار:
فایلها را در مسیر Temp باز و استخراج میکرد
یک فایل اجرایی به نام dwm.exe در مسیر LOCALAPPDATA\Microsoft\Windows قرار میداد
یک دستور PowerShell اجرا میکرد تا Windows Defender از اسکن این فایل جلوگیری کند
این فایل dwm.exe در واقع بدافزاری است که با سرورها و آدرسهای مشخصشده در متن تماس گرفته و فرمان میگیرد.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍3🔥1
#Live #Malware
Emulating APTs: Building and Deploying Bootkits & Rootkits
وقتی از بدافزارهای واقعا پیشرفته صحبت میکنیم، یعنی آن دسته از ابزارهایی که تنها گروههای APT دولتی یا دارای منابع بسیار گسترده قادر به توسعه و استقرار کامل آنها هستند، مثل بوتکیتها و روتکیتها.
این جمعه Nov 28, 2025 لایو جذابی از کانال Off-By-One Security برگذار خواهد شد در مورد شبیه سازی APT ها از سورس کد تا اجرای اون.
در اولین جلسهای که در کانال YouTube مجموعه Off-By-One Security برگزار شد، نحوه شروع توسعه این ایمپلنتها و اجزای قابل برنامهنویسی آنها بررسی شد و نمونههای بدافزار، PoCها و منابع مختلفی را برای توسعه بیشتر در اختیار شما قرار گرفت.
لینک لایو :
https://www.youtube.com/watch?v=8Uw6Tq4rw2s
موضوع لایو :
🦅 کانال بایت امن | گروه بایت امن
_
Emulating APTs: Building and Deploying Bootkits & Rootkits
وقتی از بدافزارهای واقعا پیشرفته صحبت میکنیم، یعنی آن دسته از ابزارهایی که تنها گروههای APT دولتی یا دارای منابع بسیار گسترده قادر به توسعه و استقرار کامل آنها هستند، مثل بوتکیتها و روتکیتها.
این جمعه Nov 28, 2025 لایو جذابی از کانال Off-By-One Security برگذار خواهد شد در مورد شبیه سازی APT ها از سورس کد تا اجرای اون.
در اولین جلسهای که در کانال YouTube مجموعه Off-By-One Security برگزار شد، نحوه شروع توسعه این ایمپلنتها و اجزای قابل برنامهنویسی آنها بررسی شد و نمونههای بدافزار، PoCها و منابع مختلفی را برای توسعه بیشتر در اختیار شما قرار گرفت.
لینک لایو :
https://www.youtube.com/watch?v=8Uw6Tq4rw2s
موضوع لایو :
تو این لایو عمیقتر وارد سورسکد میشویم (از جمله تغییراتی که برای سازگاری این ایمپلنتها با نسخههای مختلف سیستمعامل لازم است) و فرآیند استقرار را با دموهای زنده در ماشینهای مجازی ایزولهشده نشان میدهیم، جایی که راهکارهای NGAV و EDR نصب شدهاند، تا زنده نشان دهیم چگونه این راهکارها اغلب قادر به شناسایی این فعالیتها نیستند، زیرا همه چیز از عمق فرایند بوت آغاز میشود؛ جایی که نظارت فراگیر عملاً ممکن نیست.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🔥2👍1
Audio
#History #Security
👨👦👦 تفاوت محقق و مجرم سایبری را جدی بگیرید.
جاناتان جیمز (Jonathan James) با نام مستعار c0mrade در ۱۵ سالگی توانست به سیستمهای ناسا و حتی یک سیستم تسلیحاتی پنتاگون نفوذ کند (۱۹۹۹). این نفوذ باعث شد ناسا برای ۲۱ روز بخشی از سیستمهای خود را از مدار خارج کند. او در نهایت، بهعنوان یک نوجوان، به حبس خانگی و آزادی مشروط محکوم شد.
با اینکه نیت تخریب نداشت، اما از نظر قانونی عمل او جرم سایبری محسوب شد، نه تحقیق مجاز امنیتی. همین موضوع نشان میدهد که یک محقق امنیتی واقعی فقط در چارچوبهای قانونی و با دریافت مجوز فعالیت میکند، در غیر این صورت، حتی بدون نیت آسیب زدن، وارد قلمرو جرم میشود.
جاناتان سالها بعد، در حالی که دوباره درگیر تحقیقات جداگانهای بود، در سال ۲۰۰۸ به شکلی غمانگیز جان خود را از دست داد.
روایت کامل فراز و فرود زندگی جاناتانو چالشهایی که با آن روبهرو شد، سوءظنهایی که به او وارد شد و اینکه در بسیاری از موارد بیگناه بود، بهصورت فارسی و با ترجمهی NotebookLM قابل شنیدن است.
🦅 کانال بایت امن | گروه بایت امن
_
جاناتان جیمز (Jonathan James) با نام مستعار c0mrade در ۱۵ سالگی توانست به سیستمهای ناسا و حتی یک سیستم تسلیحاتی پنتاگون نفوذ کند (۱۹۹۹). این نفوذ باعث شد ناسا برای ۲۱ روز بخشی از سیستمهای خود را از مدار خارج کند. او در نهایت، بهعنوان یک نوجوان، به حبس خانگی و آزادی مشروط محکوم شد.
با اینکه نیت تخریب نداشت، اما از نظر قانونی عمل او جرم سایبری محسوب شد، نه تحقیق مجاز امنیتی. همین موضوع نشان میدهد که یک محقق امنیتی واقعی فقط در چارچوبهای قانونی و با دریافت مجوز فعالیت میکند، در غیر این صورت، حتی بدون نیت آسیب زدن، وارد قلمرو جرم میشود.
جاناتان سالها بعد، در حالی که دوباره درگیر تحقیقات جداگانهای بود، در سال ۲۰۰۸ به شکلی غمانگیز جان خود را از دست داد.
روایت کامل فراز و فرود زندگی جاناتانو چالشهایی که با آن روبهرو شد، سوءظنهایی که به او وارد شد و اینکه در بسیاری از موارد بیگناه بود، بهصورت فارسی و با ترجمهی NotebookLM قابل شنیدن است.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11😢3👍2
#Tools #EDR
اخیرا ابزاری جدید که با زبان Rust توسعه داده شده، توجه زیادی جلب کرده چون یک رفتار کمتر شناختهشده در Windows API را هدف قرار میدهد و نشان میدهد که چطور بعضی مکانیزمهای EDR ممکن است از زاویههایی دور زده شوند که کمتر به آنها پرداخته شده است.
این ابزار که با نام Indirect-Shellcode-Executor معرفی شده، به جای استفاده از توابع رایج و قابلردیابی، از قابلیتهای ReadProcessMemory بهره میگیرد. تابعی که در ظاهر تنها برای خواندن حافظه یک پردازش طراحی شده، اما پارامترهای آن از جمله خروجی lpNumberOfBytesRead میتواند در سناریوهای پژوهشی مورد توجه قرار بگیرد.
🦅 کانال بایت امن | گروه بایت امن
_
اخیرا ابزاری جدید که با زبان Rust توسعه داده شده، توجه زیادی جلب کرده چون یک رفتار کمتر شناختهشده در Windows API را هدف قرار میدهد و نشان میدهد که چطور بعضی مکانیزمهای EDR ممکن است از زاویههایی دور زده شوند که کمتر به آنها پرداخته شده است.
این ابزار که با نام Indirect-Shellcode-Executor معرفی شده، به جای استفاده از توابع رایج و قابلردیابی، از قابلیتهای ReadProcessMemory بهره میگیرد. تابعی که در ظاهر تنها برای خواندن حافظه یک پردازش طراحی شده، اما پارامترهای آن از جمله خروجی lpNumberOfBytesRead میتواند در سناریوهای پژوهشی مورد توجه قرار بگیرد.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍3🔥2
#Tools #ReverseEngineering
ابزار DriversHunterWindowsCatalog برای پیدا کردن درایورها در Microsoft Update Catalog ساخته شده که بهصورت خودکار جستجو میکنه، نتایج رو فیلتر میکنه، پکیجهای درایور رو دانلود میکنه، CABها رو Extract میکنه و فایلهای WDM (.sys) رو جمعآوری میکنه.
حالا اینکار چه فایده ایی داره ؟
میتونید اونها رو داخل Ghidra یا IDA باز کنید و بخشهای جالب مثل opcodeها یا IOCTLهای ناامن رو تحلیل کنید.
پلاگین های مرتبط رو هم از داخل توضیحات ریپو میتونید دریافت کنید
🦅 کانال بایت امن | گروه بایت امن
_
ابزار DriversHunterWindowsCatalog برای پیدا کردن درایورها در Microsoft Update Catalog ساخته شده که بهصورت خودکار جستجو میکنه، نتایج رو فیلتر میکنه، پکیجهای درایور رو دانلود میکنه، CABها رو Extract میکنه و فایلهای WDM (.sys) رو جمعآوری میکنه.
حالا اینکار چه فایده ایی داره ؟
میتونید اونها رو داخل Ghidra یا IDA باز کنید و بخشهای جالب مثل opcodeها یا IOCTLهای ناامن رو تحلیل کنید.
پلاگین های مرتبط رو هم از داخل توضیحات ریپو میتونید دریافت کنید
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍1🔥1
#Article #Kernel
اگر دنبال یک منبع سریع، قابلفهم و درستحسابی برای درک کرنل لینوکس هستید، این ریپو دقیقا همون چیزیه که باید سراغش برید.
این مجموعه قرار نیست به شما نوشتن کد کرنل رو یاد بده. تمرکزش روی اینه که کرنل لینوکس چطور فکر میکنه و پشت هر بخش چه منطقی جریان داره و این درک با نگاه مستقیم به سورسکد واقعی هر قسمت بهدست میاد.
مسیر مطالعه از پایهترین مفاهیم شروع میشه و قدمبهقدم یک مدل ذهنی درست از معماری و رفتار کرنل میسازه:
بخش اول: درک ساختار و طرز فکر کرنل قبل از دیدن حتی یک خط کد
بخش دوم: پایههای سیستم و معماری زیرساخت
بخش سوم: حافظه، ایزولیشن، امنیت و enforce کردن قوانین
بخش چهارم: فرآیند بوت، init و نحوه ورود سیستم به کرنل
بخش پنجم: ورود واقعی به کرنل و مراحل اجرای اولیه
بخش ششم: مفهوم execution context و رفتارهای مختلف کرنل
بخش هفتم: نحوه ارتباط و همکاری اجزای داخلی کرنل
بخش هشتم: زمانبندی، I/O و اصول مجازیسازی
بخش نهم: جمعبندی و نکات کلیدی پایانی
ترکیب توضیحات مفهومی + سورسکد واقعی، این ریپو رو به یکی از بهترین منابع برای فهم عمیق کرنل لینوکس تبدیل کرده
🦅 کانال بایت امن | گروه بایت امن
_
اگر دنبال یک منبع سریع، قابلفهم و درستحسابی برای درک کرنل لینوکس هستید، این ریپو دقیقا همون چیزیه که باید سراغش برید.
این مجموعه قرار نیست به شما نوشتن کد کرنل رو یاد بده. تمرکزش روی اینه که کرنل لینوکس چطور فکر میکنه و پشت هر بخش چه منطقی جریان داره و این درک با نگاه مستقیم به سورسکد واقعی هر قسمت بهدست میاد.
مسیر مطالعه از پایهترین مفاهیم شروع میشه و قدمبهقدم یک مدل ذهنی درست از معماری و رفتار کرنل میسازه:
بخش اول: درک ساختار و طرز فکر کرنل قبل از دیدن حتی یک خط کد
بخش دوم: پایههای سیستم و معماری زیرساخت
بخش سوم: حافظه، ایزولیشن، امنیت و enforce کردن قوانین
بخش چهارم: فرآیند بوت، init و نحوه ورود سیستم به کرنل
بخش پنجم: ورود واقعی به کرنل و مراحل اجرای اولیه
بخش ششم: مفهوم execution context و رفتارهای مختلف کرنل
بخش هفتم: نحوه ارتباط و همکاری اجزای داخلی کرنل
بخش هشتم: زمانبندی، I/O و اصول مجازیسازی
بخش نهم: جمعبندی و نکات کلیدی پایانی
ترکیب توضیحات مفهومی + سورسکد واقعی، این ریپو رو به یکی از بهترین منابع برای فهم عمیق کرنل لینوکس تبدیل کرده
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍3🔥1
The_Kernel_in_the_Mind_Understanding_Linux_Kernel_Before_Code_.pdf
24.5 MB
#Article #Kernel
The Kernel in the Mind - Understanding Linux Kernel Before Code
این هم مقاله کامل پست قبلی به صورت PDF
🦅 کانال بایت امن | گروه بایت امن
_
The Kernel in the Mind - Understanding Linux Kernel Before Code
این هم مقاله کامل پست قبلی به صورت PDF
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍3🔥1
#Video #MalwareAnalysis
❕ Defeating ConfuserEx Anti-Analysis with Hooking
وقتی درباره پکرها یا پروتکتورها صحبت میکنیم، یک بخش ماجرا استفاده مشروع برای امنکردن نرمافزارهاست و بخش دیگر استفاده آنها توسط بدافزارها برای مخفیسازی و جلوگیری از تحلیل است.
یکی از پروتکتورهای رایج در بدافزارهای مبتنی بر .NET، ابزار ConfuserEx است. بهخاطر متنباز بودن آن، نسخههای مختلفی از روی آن fork شده که هرکدام رفتار و تکنیکهای متفاوتی دارند و همین باعث میشود روشهای ثابت یا خودکار برای آنپک کردن همیشه کارآمد نباشد.
در این ویدیو، Karsten Hahn بهخوبی نشان میدهد که چطور میتوان با استفاده از نوشتن هوک، رفتار بدافزار را تحلیل کرد، مکانیزمهای ضدتحلیل را دور زد و در نهایت یک Deobfuscator اختصاصی توسعه داد و اینکار رو با تغییر در Deobfuscator رسمی ConfuserEx انجام میده.
جهت دریافت نمونه بد افزار به این لینک برید و برای بررسی Deobfuscator به این لینک.
🦅 کانال بایت امن | گروه بایت امن
_
وقتی درباره پکرها یا پروتکتورها صحبت میکنیم، یک بخش ماجرا استفاده مشروع برای امنکردن نرمافزارهاست و بخش دیگر استفاده آنها توسط بدافزارها برای مخفیسازی و جلوگیری از تحلیل است.
یکی از پروتکتورهای رایج در بدافزارهای مبتنی بر .NET، ابزار ConfuserEx است. بهخاطر متنباز بودن آن، نسخههای مختلفی از روی آن fork شده که هرکدام رفتار و تکنیکهای متفاوتی دارند و همین باعث میشود روشهای ثابت یا خودکار برای آنپک کردن همیشه کارآمد نباشد.
در این ویدیو، Karsten Hahn بهخوبی نشان میدهد که چطور میتوان با استفاده از نوشتن هوک، رفتار بدافزار را تحلیل کرد، مکانیزمهای ضدتحلیل را دور زد و در نهایت یک Deobfuscator اختصاصی توسعه داد و اینکار رو با تغییر در Deobfuscator رسمی ConfuserEx انجام میده.
جهت دریافت نمونه بد افزار به این لینک برید و برای بررسی Deobfuscator به این لینک.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍4🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
این هم میز الکترونیک مورد علاقهمه. تقریبا هر شب بهش فکر میکنم تا ببینم تو این فضای محدود اتاق کارم چطور میتونم ازش ایده بگیرم.
🦅 کانال بایت امن | گروه بایت امن
_
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤18🔥8😁2👍1🤩1
#Note #PE #MalwareAnalysis
گاهی وقتها برای تحلیل یک باینری، اولین قدم پیدا کردن رشتههاست چه با Static Analysis، چه با Dynamic Analysis.
اگر با ساختار PE آشنا باشیم، این رشتهها معمولا کجا پیدا میشوند ؟در سکشن ها و دایرکتوری ها.
سکشن rdata.
شامل رشتههای ثابت و Read-Only مثل پیامهای خطا، متنهای ثابت، اسم توابع و… .
سکشن data.
محل ذخیرهی رشتههایی که برنامه میتواند در طول اجرا تغییرشان بدهد. (Writable)
دایرکتوری Import Table
اسامی DLLها و توابعی که باینری به آنها وابسته است همینجا ذخیره میشود.
دایرکتوری Export Table
در مورد DLLها، نام توابع یا نمادهایی که Export شدهاند از این قسمت قابل استخراج است.
سکشن Resource (.rsrc)
شامل متادیتا، دیالوگها، اطلاعات نسخه، آیکونها و سایر منابعی که معمولا رشتههای قابل مشاهده در آنها قرار دارد.
سکشن Debug.
اگر Strip نشده باشند، ممکن است مسیر فایلهای سورس، کامنتها یا اطلاعات Build را در خود داشته باشند. برای همین هست که پروتکتوری مثل VMProtect یک گزینه جدا برای این مورد دارد.
و اما سکشن BSS., شامل متغیرهای مقداردهینشده (Uninitialized Data) است یعنی متغیرهایی که فقط تعریف شدهاند ولی هنگام کامپایل مقدار اولیه ندارند. فقط به اندازهی طول متغیر حافظه رزرو میکند و محتوایش در فایل PE وجود ندارد.
حالا خودتون در مورد idata. و edata. جستجو کنید چون این بخش های غیر مستقیم به موضوع رشته ها مربوط هستند.
🦅 کانال بایت امن | گروه بایت امن
_
گاهی وقتها برای تحلیل یک باینری، اولین قدم پیدا کردن رشتههاست چه با Static Analysis، چه با Dynamic Analysis.
اگر با ساختار PE آشنا باشیم، این رشتهها معمولا کجا پیدا میشوند ؟
سکشن rdata.
شامل رشتههای ثابت و Read-Only مثل پیامهای خطا، متنهای ثابت، اسم توابع و… .
سکشن data.
محل ذخیرهی رشتههایی که برنامه میتواند در طول اجرا تغییرشان بدهد. (Writable)
دایرکتوری Import Table
اسامی DLLها و توابعی که باینری به آنها وابسته است همینجا ذخیره میشود.
دایرکتوری Export Table
در مورد DLLها، نام توابع یا نمادهایی که Export شدهاند از این قسمت قابل استخراج است.
سکشن Resource (.rsrc)
شامل متادیتا، دیالوگها، اطلاعات نسخه، آیکونها و سایر منابعی که معمولا رشتههای قابل مشاهده در آنها قرار دارد.
سکشن Debug.
اگر Strip نشده باشند، ممکن است مسیر فایلهای سورس، کامنتها یا اطلاعات Build را در خود داشته باشند. برای همین هست که پروتکتوری مثل VMProtect یک گزینه جدا برای این مورد دارد.
و اما سکشن BSS., شامل متغیرهای مقداردهینشده (Uninitialized Data) است یعنی متغیرهایی که فقط تعریف شدهاند ولی هنگام کامپایل مقدار اولیه ندارند. فقط به اندازهی طول متغیر حافظه رزرو میکند و محتوایش در فایل PE وجود ندارد.
حالا خودتون در مورد idata. و edata. جستجو کنید چون این بخش های غیر مستقیم به موضوع رشته ها مربوط هستند.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👎2👍1🔥1