👌2🙏1
Forwarded from دوره های امنیتی 🎫
موافقید پادکست صوتی کتاب ثبت دائمی (1) رو بزارم براتون ؟!
اگر موافقید لایک کنید
چی باعث شد تا ادوارد اسنودن؛ جاسوس سابق سازمان سیا (CIA)، اطلاعات محرمانه کشورش رو فاش و خانه و وطنش رو ترک کنه؟ این افسر سابق آژانس امنیت ملی آمریکا، چه جوری و با چه دل و جراتی خطرات این راه رو به جون و دل خرید و در یک مسیر بیبرگشت، قدم گذاشت؟
اگر موافقید لایک کنید
چی باعث شد تا ادوارد اسنودن؛ جاسوس سابق سازمان سیا (CIA)، اطلاعات محرمانه کشورش رو فاش و خانه و وطنش رو ترک کنه؟ این افسر سابق آژانس امنیت ملی آمریکا، چه جوری و با چه دل و جراتی خطرات این راه رو به جون و دل خرید و در یک مسیر بیبرگشت، قدم گذاشت؟
👍10
دوره های امنیتی 🎫
موافقید پادکست صوتی کتاب ثبت دائمی (1) رو بزارم براتون ؟! اگر موافقید لایک کنید چی باعث شد تا ادوارد اسنودن؛ جاسوس سابق سازمان سیا (CIA)، اطلاعات محرمانه کشورش رو فاش و خانه و وطنش رو ترک کنه؟ این افسر سابق آژانس امنیت ملی آمریکا، چه جوری و با چه دل و…
ثبت دائمی
📻@newamoz
اینم از پادکست ثبت دائمی
HTTP.The.Definitive.Guide.Brian.Totty.David.Gourley.OReilly.pdf
9.5 MB
Http The Definitive Guide
@ViperNull
@ViperNull
Forwarded from NSEs
اگه به چلنج های نتورک فارنزیک علاقه دارید
https://cybertalents.com/challenges/network/
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
https://cybertalents.com/challenges/network/
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
CyberTalents
Network Security » CyberTalents
Cyber Talents is a platform that ranks cyber security talents across the globe according to their skills in different cyber security categories through Capture The Flag Contests in order to be hired by recruiters.
🔥5
ViperNułł
@ViperNull
⭕ یه نگاه امنیت محور و دقیقه به Pcode در ARP !!
ARP چیه؟
تو دنیای شبکه، یکی از سادهترین ولی حیاتیترین پروتکلها، ARP یا همون Address Resolution Protocol هست. این پروتکل کارش اینه که آدرسهای IP رو به آدرسهای MAC ترجمه کنه. ولی یه بخشی از بستههای ARP هست به نام Pcode که تو زمینهی امنیتی خیلی مهم میشه، مخصوصاً وقتی صحبت از ARP Spoofing یا همون جعل ARP وسط میاد.
اصلاً Pcode چیه تو ARP؟
حالا بریم سراغ اصل مطلب. تو ساختار یه بستهی ARP، یه فیلدی هست به اسم Opcode یا همون Pcode (خیلی جاها این دو واژه جای هم استفاده میشن). این فیلد مشخص میکنه که پیام ARP قراره چه کاری انجام بده:
وقتی مقدارش 1 باشه، یعنی یه درخواست (ARP Request) داریم. فرستنده یجورایی داره میپرسه: ببخشید، MAC آدرس این IP چنده؟
وقتی مقدارش 2 باشه، یعنی یه پاسخ (ARP Reply) داریم. فرستنده یجورایی جواب میده: سلام منم اون IP، اینم MAC من!
پس، Pcode تعیینکنندهی نوع عملیاتیه که بستهی ARP قراره انجام بده.
نقش Pcode توی ARP Spoofing دقیقاً چیه؟
اینجا قضیه امنیتیتر میشه. تو حملهی ARP Spoofing، مهاجم میاد خودش رو بهجای یه دستگاه دیگه جا میزنه، اونم با ارسال بستههای جعلی ARP. حالا جالب اینجاست که مهاجم از همون فیلد Pcode برای مشخص کردن نوع بستهی خودش استفاده میکنه.
مثلاً:
مهاجم یه ARP Reply (یعنی Pcode = 2) میفرسته، حتی اگه کسی ARP Request نکرده باشه!
این جواب جعلی میگه: IP آدرس فلان؟ آره، اون مال منه، اینم MAC من!
قربانی که همچین جوابی رو از ARP گرفته، میگه باشه، قبول، توی جدول ARP خودش ثبت میکنه.
و از اینجا به بعد، ترافیک شبکه اشتباهی به سمت مهاجم میره. یعنی اون وسط میتونه اطلاعات رو ببینه، تغییر بده، یا حتی بندازه دور (حمله Man-in-the-Middle یا DoS).
پس چرا Pcode مهمه؟
چون مهاجم برای حملهش بهطور مستقیم به فیلد Pcode دست میزنه. اگه توی شبکهی خودمون بتونیم رفتار بستههایی با Pcode = 2 که بدون درخواست میان رو تحلیل کنیم، میتونیم سرنخهای خوبی از حملههای احتمالی بگیریم.
حتی بعضی از IDS/IPS ها (سیستمهای تشخیص نفوذ) دقیقاً اینو مانیتور میکنن که آیا ARP Reply بدون Request رسیده یا نه.
یه نکتهی ظریف ولی کاربردی:
تو دنیای واقعی، ARP هیچگونه احراز هویتی نداره. یعنی هر کسی میتونه یه ARP Reply بفرسته با Pcode = 2 و هیچکس نمیپرسه: تو برای چی اینو فرستادی من که چیزی نگفتم ؟
همین سادگی باعث شده که حملهی ARP Spoofing جزو پایهایترین و خطرناکترین حملات شبکههای LANباشه
@ViperNull
ARP چیه؟
تو دنیای شبکه، یکی از سادهترین ولی حیاتیترین پروتکلها، ARP یا همون Address Resolution Protocol هست. این پروتکل کارش اینه که آدرسهای IP رو به آدرسهای MAC ترجمه کنه. ولی یه بخشی از بستههای ARP هست به نام Pcode که تو زمینهی امنیتی خیلی مهم میشه، مخصوصاً وقتی صحبت از ARP Spoofing یا همون جعل ARP وسط میاد.
اصلاً Pcode چیه تو ARP؟
حالا بریم سراغ اصل مطلب. تو ساختار یه بستهی ARP، یه فیلدی هست به اسم Opcode یا همون Pcode (خیلی جاها این دو واژه جای هم استفاده میشن). این فیلد مشخص میکنه که پیام ARP قراره چه کاری انجام بده:
وقتی مقدارش 1 باشه، یعنی یه درخواست (ARP Request) داریم. فرستنده یجورایی داره میپرسه: ببخشید، MAC آدرس این IP چنده؟
وقتی مقدارش 2 باشه، یعنی یه پاسخ (ARP Reply) داریم. فرستنده یجورایی جواب میده: سلام منم اون IP، اینم MAC من!
پس، Pcode تعیینکنندهی نوع عملیاتیه که بستهی ARP قراره انجام بده.
نقش Pcode توی ARP Spoofing دقیقاً چیه؟
اینجا قضیه امنیتیتر میشه. تو حملهی ARP Spoofing، مهاجم میاد خودش رو بهجای یه دستگاه دیگه جا میزنه، اونم با ارسال بستههای جعلی ARP. حالا جالب اینجاست که مهاجم از همون فیلد Pcode برای مشخص کردن نوع بستهی خودش استفاده میکنه.
مثلاً:
مهاجم یه ARP Reply (یعنی Pcode = 2) میفرسته، حتی اگه کسی ARP Request نکرده باشه!
این جواب جعلی میگه: IP آدرس فلان؟ آره، اون مال منه، اینم MAC من!
قربانی که همچین جوابی رو از ARP گرفته، میگه باشه، قبول، توی جدول ARP خودش ثبت میکنه.
و از اینجا به بعد، ترافیک شبکه اشتباهی به سمت مهاجم میره. یعنی اون وسط میتونه اطلاعات رو ببینه، تغییر بده، یا حتی بندازه دور (حمله Man-in-the-Middle یا DoS).
پس چرا Pcode مهمه؟
چون مهاجم برای حملهش بهطور مستقیم به فیلد Pcode دست میزنه. اگه توی شبکهی خودمون بتونیم رفتار بستههایی با Pcode = 2 که بدون درخواست میان رو تحلیل کنیم، میتونیم سرنخهای خوبی از حملههای احتمالی بگیریم.
حتی بعضی از IDS/IPS ها (سیستمهای تشخیص نفوذ) دقیقاً اینو مانیتور میکنن که آیا ARP Reply بدون Request رسیده یا نه.
یه نکتهی ظریف ولی کاربردی:
تو دنیای واقعی، ARP هیچگونه احراز هویتی نداره. یعنی هر کسی میتونه یه ARP Reply بفرسته با Pcode = 2 و هیچکس نمیپرسه: تو برای چی اینو فرستادی من که چیزی نگفتم ؟
همین سادگی باعث شده که حملهی ARP Spoofing جزو پایهایترین و خطرناکترین حملات شبکههای LANباشه
@ViperNull
👍12❤1
Forwarded from Ai000 Cybernetics QLab
در عملیات ردتیم شما بین اوپریشنهایی که انجام میدهید فقط یک Delay در حدود 48 ساعت قرار بدهید. به قول معروف، اتمیک و توزیع شده کار خود را پیش ببرید تا جای پای خودتان را محکم کنید. همین یک مورد موجب خواهد شد، 90 درصد افراد تحلیلگر SOC نتوانند زنجیره کارهای شما را شناسایی کنند.
یکی از دلایل مهم که اکنون وجود دارد و عملا T1 و T2 را در معرض حذف قرار داده است، همین باگ در نظارت انسانی است که توانایی Correlation اتفاقات را در محدوده زمانی گسترده ندارد. حال شما فرض کن، از زمانی که بدافزار روی ماشین دراپ میشود، تا زمانی که پیلود خود را اجرا کند، دو هفته دیلی تعریف شده باشد. بین هر اکشن تا اکشن بعدی 48 ساعت زمان تعریف شده باشد. بازه فعالیت ها در ساعت 2 تا 4 صبح تنظیم شده باشد آن هم نه به صورت منظم، ترافیک استخراج داده بین نرخ بالا و پایین ترافیک شبکه مقصد Fade شده باشد.
تقریبا مطمئن هستم هیچ تحلیلگر سطح یکی نمیتواند متوجه ناهنجاری شود مگر اینکه واقعا از کنار هیچ اتفاقی به سادگی نگذرد که در بین آن حجم از لاگ و ... شدنی نیست. به هر صورت، دیفنس خیلی خیلی مشکلات متعدد دارد که فناوریهای نوظهور از جمله رویکرد مثلا هارپون تقریبا توانسته است این مشکلات را بدون دخیل کردن نیروی انسانی حل کند ولی خب باز هم مشکلات زیاد است.
این را صرفا مطرح کردم تا در آینده یک موضوعی از سمت آزمایشگاه امنیت سایبرنتیک آیو دراپ شود که خب مرتبط با همین مسئله است.
@aioooir | #anomaly_against_anomaly
یکی از دلایل مهم که اکنون وجود دارد و عملا T1 و T2 را در معرض حذف قرار داده است، همین باگ در نظارت انسانی است که توانایی Correlation اتفاقات را در محدوده زمانی گسترده ندارد. حال شما فرض کن، از زمانی که بدافزار روی ماشین دراپ میشود، تا زمانی که پیلود خود را اجرا کند، دو هفته دیلی تعریف شده باشد. بین هر اکشن تا اکشن بعدی 48 ساعت زمان تعریف شده باشد. بازه فعالیت ها در ساعت 2 تا 4 صبح تنظیم شده باشد آن هم نه به صورت منظم، ترافیک استخراج داده بین نرخ بالا و پایین ترافیک شبکه مقصد Fade شده باشد.
تقریبا مطمئن هستم هیچ تحلیلگر سطح یکی نمیتواند متوجه ناهنجاری شود مگر اینکه واقعا از کنار هیچ اتفاقی به سادگی نگذرد که در بین آن حجم از لاگ و ... شدنی نیست. به هر صورت، دیفنس خیلی خیلی مشکلات متعدد دارد که فناوریهای نوظهور از جمله رویکرد مثلا هارپون تقریبا توانسته است این مشکلات را بدون دخیل کردن نیروی انسانی حل کند ولی خب باز هم مشکلات زیاد است.
این را صرفا مطرح کردم تا در آینده یک موضوعی از سمت آزمایشگاه امنیت سایبرنتیک آیو دراپ شود که خب مرتبط با همین مسئله است.
@aioooir | #anomaly_against_anomaly
👍6