یه بنده خدایی دیروز پیام داد که آقا چرا اینقدر به این سخنرانی ها و همایش ها گیر میدید؟ مگه زمان خود شما کیا میومدن همایش و سمینار برگزار می کردن؟
فقط یه نمونه بگم که اساتیدی که من همایش ها و سمینارهاشون می رفتم ، یا له له میزدم که برم سر کلاسشون بشینم تا از شنیدن عمق دانششون کیف کنم
یکیش الان تو دیتاسنتر " لینکداین " هست ، یکیش سر تیم دیتاسنتر " مایکروسافت " هست
اسم یکیشون " فواد محمدی " بود ، که معمار زیرساخت خیلی از بانک های کشور هست هنوز
ولی طرف با دو تا CCIE LAB میگفت من هیچی نمیدونم !! نه اینکه با CCIE داخلی بیاد بگه میدونید دوره CCNA چی هست؟
سطح علمی اینجوری نابود شده عزیزان !! کسیکه کار Passive انجام داده و دو تا کابل وصل کرده !!
میاد در مورد طراحی دیتاسنتر و امنیت مرکز داده صحبت می کنه !! بگذریم ... خواستم بگم کنایه های من از افسوس برای این مملکنه
که چند سال دیگه احتمالا تو سمینارها راجع به نصب ویندوز صحبت میشه !! و اینکه لینوکس چقدر قشنگه ایشالا مبارکش باد ...
فقط یه نمونه بگم که اساتیدی که من همایش ها و سمینارهاشون می رفتم ، یا له له میزدم که برم سر کلاسشون بشینم تا از شنیدن عمق دانششون کیف کنم
یکیش الان تو دیتاسنتر " لینکداین " هست ، یکیش سر تیم دیتاسنتر " مایکروسافت " هست
اسم یکیشون " فواد محمدی " بود ، که معمار زیرساخت خیلی از بانک های کشور هست هنوز
ولی طرف با دو تا CCIE LAB میگفت من هیچی نمیدونم !! نه اینکه با CCIE داخلی بیاد بگه میدونید دوره CCNA چی هست؟
سطح علمی اینجوری نابود شده عزیزان !! کسیکه کار Passive انجام داده و دو تا کابل وصل کرده !!
میاد در مورد طراحی دیتاسنتر و امنیت مرکز داده صحبت می کنه !! بگذریم ... خواستم بگم کنایه های من از افسوس برای این مملکنه
که چند سال دیگه احتمالا تو سمینارها راجع به نصب ویندوز صحبت میشه !! و اینکه لینوکس چقدر قشنگه ایشالا مبارکش باد ...
👍4
شماهم اگر مثل من باشید و سیستم رو هفتهای یکبار خاموش یا ریستارت کنید؛ یک مشکل رو توی برنامههایی مثل مرورگرها و ... میبینید!
اونم مصرف رم که روزانه زیاد میشه؛ بدون اینکه در آخر روز تعداد تبهای باز و ... زیاد شده باشه!
اول از ستاپ خودم بگم:
من همیشه حداقل ۶ تا virtual workstation روی سیستم دارم؛ که همواره ثابت و فعال هستند که شامل این ترکیب از ابزارها میشه (به محض اینکه لپتاپ ریبوت میشه این ابزارها میاد بالا به ترتیب برای هر workspace) :
اگر روی سیستم اصلیم باشم؛ هیچ مشکلی ندارم چون تا ماه بعدی رم داره؛ ولی وقتایی که روی لپتاپ هستم (قبلتر گفتم چطوری لپتاپ رو ریستور کردم و مناسب کار شده) چون ۲۴ گیگ رم داره ممکنه به آخر هفته (بعضی وقتا چند هفته) نکشه؛ مشکل هم مرورگرها هستند (یا ابزارهای مشابه) وقتی بعد از ریبوت مرورگر رو باز میکنم و همه صفحات و ویندوهای قبلی بالا میاد حدود ۳ گیگ رم مصرف میشه.
اما آخر هفته وقتی همهی تبهای اضافه رو میبندم و فقط همونایی میمونه که اول هفته باز کردم بازم میبینم بعضی وقتا تا ۹-۱۱ گیگ رم مصرف میکنه حداقل ۳ برار !
که خب دلایلش این چیزا میتونه باشه:
۱- خود
۲- کدهای بد توسعه دهندهها؛ ممکنه یک چیزی رفرنس داشته باشه و هیچوقت
۳- خود مرورگرها؛ که مثل لیست و وکتور عمل میکنه اگر مصرفت بره بالا سختافزار بیشتری رو از سیستمعامل درخواست میده و لزوما بعد از اینکه تو اون تبها رو بستی اونها رو خالی نمیکنه با یک ضریبی دست خودش نگه میداره که اگر دوباره مصرفت زیاد شد؛ سریع بتونه برات همه چیز رو لود کنه.
۴- خود
منم خیلی طرفدار اینکه مرورگر رو ببندم و دوبازه باز کنم نیستم؛ تنظیماتی هم توی مرورگرها نیست که بشه این رفتار رو حذف کرد؛ که بگم به محض اینکه تب رو بستم سریع رم و منابع رو خالی کن.اما روی فایرفاکس توی
میتونید توی بخش
ولی اگر یکی یک مرورگر بنویسه که بشه دستی بهش گفت چقدر بیشتر از آنچه که درحال استفاده هست میتونه رم و منابع و ... نگهداره (برای سرعت) شخصا اولی نفری هستم که سوییچ میکنم روش که مجبور نباشم روزی یکبار
اونم مصرف رم که روزانه زیاد میشه؛ بدون اینکه در آخر روز تعداد تبهای باز و ... زیاد شده باشه!
اول از ستاپ خودم بگم:
من همیشه حداقل ۶ تا virtual workstation روی سیستم دارم؛ که همواره ثابت و فعال هستند که شامل این ترکیب از ابزارها میشه (به محض اینکه لپتاپ ریبوت میشه این ابزارها میاد بالا به ترتیب برای هر workspace) :
۱- تلگرام - اسلک - چت شرکت و گوگل میت .
۲- فایرفاکس - neovim - فایرفاکس (برای کدهای rust)
۳- فایرفاکس - neovim/vscode - کروم (برای python؛ البته به شرایط بستگی داره)
۴- کتاب (آخرین کتابی که دارم میخونم) - neovim - فایرفاکس
۵- یوتیوب یا دورههای آموزشی (vlc)
۶- یوتیوب و چتهای کلی و ... هرکاری که توی محیطهای قبلی نیست یا موقت هست.
اگر روی سیستم اصلیم باشم؛ هیچ مشکلی ندارم چون تا ماه بعدی رم داره؛ ولی وقتایی که روی لپتاپ هستم (قبلتر گفتم چطوری لپتاپ رو ریستور کردم و مناسب کار شده) چون ۲۴ گیگ رم داره ممکنه به آخر هفته (بعضی وقتا چند هفته) نکشه؛ مشکل هم مرورگرها هستند (یا ابزارهای مشابه) وقتی بعد از ریبوت مرورگر رو باز میکنم و همه صفحات و ویندوهای قبلی بالا میاد حدود ۳ گیگ رم مصرف میشه.
اما آخر هفته وقتی همهی تبهای اضافه رو میبندم و فقط همونایی میمونه که اول هفته باز کردم بازم میبینم بعضی وقتا تا ۹-۱۱ گیگ رم مصرف میکنه حداقل ۳ برار !
که خب دلایلش این چیزا میتونه باشه:
۱- خود
Garbage collector که خب سریعا رم رو خالی نمیکنه؛ اگر هم یک addons بد کد زده شده باشه ممکنه کلا خالی نکنه۲- کدهای بد توسعه دهندهها؛ ممکنه یک چیزی رفرنس داشته باشه و هیچوقت
GC تمیزش نکنه (هم توی کروم هم توی فایرفاکس زیاد پیش اومده - addons ها هم که بیشمار دیده شده)۳- خود مرورگرها؛ که مثل لیست و وکتور عمل میکنه اگر مصرفت بره بالا سختافزار بیشتری رو از سیستمعامل درخواست میده و لزوما بعد از اینکه تو اون تبها رو بستی اونها رو خالی نمیکنه با یک ضریبی دست خودش نگه میداره که اگر دوباره مصرفت زیاد شد؛ سریع بتونه برات همه چیز رو لود کنه.
۴- خود
allocator های مرورگرها هم یک سری تکنیکها دارند که باعث میشه رم رو در لحظه تحویل سیستم ندند.منم خیلی طرفدار اینکه مرورگر رو ببندم و دوبازه باز کنم نیستم؛ تنظیماتی هم توی مرورگرها نیست که بشه این رفتار رو حذف کرد؛ که بگم به محض اینکه تب رو بستم سریع رم و منابع رو خالی کن.اما روی فایرفاکس توی
address bar وقتی بزنید:about:memory
میتونید توی بخش
Free Memory گزینه Minimize memory usage رو بزنید؛ عالی نیست و خب چندباری پشت هم به GC دستور تمیزکاری میده و مقداری زیادی از رم در اختیار مرورگر رو خالی میکنه.ولی اگر یکی یک مرورگر بنویسه که بشه دستی بهش گفت چقدر بیشتر از آنچه که درحال استفاده هست میتونه رم و منابع و ... نگهداره (برای سرعت) شخصا اولی نفری هستم که سوییچ میکنم روش که مجبور نباشم روزی یکبار
Minimize memory usage بزنم.👍1
برای افزایش امنیت شبکه های ICS استفاده از intrusion Detection system مخصوص ICS چه تفاوتی با IDS معمولی دارد ؟
Anonymous Quiz
100%
تشخیص الگو های حملات صنعتی و پروتکل های ICS
0%
کاهش مصرف برق
0%
مدیریت کاربران شبکه های اجتماعی
0%
افزایش پهنای باند اینترنت
در تحلیل ترافیک شبکه صنعتی مشاهده پکت های Modbus با function code غیر مجاز معمولا نشان دهنده چیست ؟
Anonymous Quiz
100%
فعالیت مشکوک یا حمله در حال وقوع
0%
بروزرسانی سیستم عامل
0%
پشتیبان گیری اتوماتیک داده ها
0%
افزایش پهنای باند
حمله ای که از طریق Manipulation of IEC 60870-5-104 ASDU انجام می شود معمولا چه تاثیری روی سیستم دارد
Anonymous Quiz
100%
تغییر وضعیت تجهیزات بدون اطلاع اپراتور
0%
فقط مانیتورینگ جریان برق
0%
ارسال ایمیل هشدار به مدیر شبکه
0%
افزایش پهنای باند
در حمله ای که مهاجم از طریق Ethernet/IP CIP دستورات کنترلی PLC را دستکاری می کند کدام روش تشخیص سریع آن در شبکه های صنعتی توصیه میشود
Anonymous Quiz
33%
بررسی CRC در Modbus/TCP
33%
استفاده از Deep Pocket Inspection مخصوص پروتکل CIP
0%
نظارت بر لاگ های HMI معمولی
33%
پینگ کردن PLC
🔴 هشدار امنیتی — PoC منتشر شد: آسیبپذیری بحرانی در Windows Server Update Services (WSUS)
خلاصه (TL;DR):
یک PoC برای آسیبپذیری بحرانی در Microsoft WSUS منتشر شده که به مهاجم بدون احراز هویت امکان اجرای کد دلخواه با دسترسی SYSTEM روی سرورهای آسیبپذیر را میدهد. این مشکل با شناسه CVE-2025-59287 و امتیاز CVSS 9.8 گزارش شده و از عدم ایمنسازی در فرایند deserialization مربوط به AuthorizationCookie ناشی میشود. این تهدید میتواند منجر به نفوذ کامل به زیرساخت بهروزرسانی سازمانی و گسترش حمله شود لذا اقدام سریع ضروری است.
🔍 تحلیل فنی (در سطح ایمن و کاربردی)
نوع آسیبپذیری: unsafe deserialization از دادههای غیرقابل اعتماد در بخش مدیریت AuthorizationCookie در WSUS.
سطح دسترسی مورد نیاز برای حمله: هیچ (Unauthenticated) — یعنی مهاجم نیازی به لاگین محلی یا حساب کاربری ندارد.
پیامدها: اجرای کد با امتیاز SYSTEM → امکان نصب بکدورها، حرکت جانبی داخل شبکه، دسترسی به نقاط کلیدی و آلودهسازی دستگاههای کلاینت از طریق زیرساخت بروزرسانی.
⚠️ چه کسانی در معرض خطراند؟
سازمانهایی که از WSUS برای مدیریت بهروزرسانی ویندوز استفاده میکنند.
🛡 اقدامات فوری پیشنهادی (باید همینالان انجام شود)
در اولویت اول، پچ کنید: اگر مایکروسافت وصله رسمی منتشر کرده، فوراً آن را روی همه سرورهای WSUS نصب کنید.
در صورت نبود پچ رسمی: دسترسی شبکهای به سرورهای WSUS را بلافاصله محدود کنید (فایلروال -> فقط آدرسهای مدیریتی مجاز).
درگاهها و سرویسها را محدود کنید: دسترسی عمومی به پورتهای HTTP/HTTPS مرتبط با WSUS را ببندید؛ دسترسی مدیریت فقط از شبکههای مورد اعتماد مجاز باشد.
ایزولهسازی موقت: سرورهای مشکوک را از شبکههای حساس (یا اینترنت) جدا کنید تا از گسترش احتمالی جلوگیری شود.
فعالسازی EDR / AV: قوانین و امضاهای امنیتی را بهروزرسانی و اسکن کامل روی سرورهای WSUS انجام دهید.
سرورهای WSUS که پچ نشده، بهصورت عمومی در دسترس هستند، یا دسترسی شبکهای به آنها ضعیف کنترل شده است.
خلاصه (TL;DR):
یک PoC برای آسیبپذیری بحرانی در Microsoft WSUS منتشر شده که به مهاجم بدون احراز هویت امکان اجرای کد دلخواه با دسترسی SYSTEM روی سرورهای آسیبپذیر را میدهد. این مشکل با شناسه CVE-2025-59287 و امتیاز CVSS 9.8 گزارش شده و از عدم ایمنسازی در فرایند deserialization مربوط به AuthorizationCookie ناشی میشود. این تهدید میتواند منجر به نفوذ کامل به زیرساخت بهروزرسانی سازمانی و گسترش حمله شود لذا اقدام سریع ضروری است.
🔍 تحلیل فنی (در سطح ایمن و کاربردی)
نوع آسیبپذیری: unsafe deserialization از دادههای غیرقابل اعتماد در بخش مدیریت AuthorizationCookie در WSUS.
سطح دسترسی مورد نیاز برای حمله: هیچ (Unauthenticated) — یعنی مهاجم نیازی به لاگین محلی یا حساب کاربری ندارد.
پیامدها: اجرای کد با امتیاز SYSTEM → امکان نصب بکدورها، حرکت جانبی داخل شبکه، دسترسی به نقاط کلیدی و آلودهسازی دستگاههای کلاینت از طریق زیرساخت بروزرسانی.
⚠️ چه کسانی در معرض خطراند؟
سازمانهایی که از WSUS برای مدیریت بهروزرسانی ویندوز استفاده میکنند.
🛡 اقدامات فوری پیشنهادی (باید همینالان انجام شود)
در اولویت اول، پچ کنید: اگر مایکروسافت وصله رسمی منتشر کرده، فوراً آن را روی همه سرورهای WSUS نصب کنید.
در صورت نبود پچ رسمی: دسترسی شبکهای به سرورهای WSUS را بلافاصله محدود کنید (فایلروال -> فقط آدرسهای مدیریتی مجاز).
درگاهها و سرویسها را محدود کنید: دسترسی عمومی به پورتهای HTTP/HTTPS مرتبط با WSUS را ببندید؛ دسترسی مدیریت فقط از شبکههای مورد اعتماد مجاز باشد.
ایزولهسازی موقت: سرورهای مشکوک را از شبکههای حساس (یا اینترنت) جدا کنید تا از گسترش احتمالی جلوگیری شود.
فعالسازی EDR / AV: قوانین و امضاهای امنیتی را بهروزرسانی و اسکن کامل روی سرورهای WSUS انجام دهید.
سرورهای WSUS که پچ نشده، بهصورت عمومی در دسترس هستند، یا دسترسی شبکهای به آنها ضعیف کنترل شده است.
🧑💻Cyber.vision🧑💻
🔴 هشدار امنیتی — PoC منتشر شد: آسیبپذیری بحرانی در Windows Server Update Services (WSUS) خلاصه (TL;DR): یک PoC برای آسیبپذیری بحرانی در Microsoft WSUS منتشر شده که به مهاجم بدون احراز هویت امکان اجرای کد دلخواه با دسترسی SYSTEM روی سرورهای آسیبپذیر را…
🔎 چگونه تشخیص دهیم که مورد نفوذ قرار گرفتهایم؟ (Indicators of Compromise — IOC)
لاگهای IIS/WSUS: درخواستهای غیرمعمول یا حجم بالای درخواستهای POST به نقاط مربوط به سرویسهای WSUS.
فرایندهای غیرمعمول با سطح SYSTEM که زیر w3wp.exe یا دستوراتی مثل powershell.exe اجرا شدهاند.
ایجاد حسابهای محلی جدید، سرویسهای غیرمعمول یا تغییرات در Scheduled Tasks مرتبط با WSUS.
ارتباطات خروجی غیرعادی از سرور WSUS به آدرسهای ناشناس یا سرورهای کنترلی.
هشدارهای EDR مبنی بر متدهای deserialization یا اجرای باینریهای جدید.
🧭 در صورت تشخیص نفوذ — گامهای پاسخ به حادثه
ایزولهسازی فوری سرور(ها) از شبکه.
جمعآوری دادهها: لاگها (IIS, Windows Event, WSUS logs)، لیست پروسسها، شبکه (PCAP اگر ممکن).
تحلیل و پاکسازی: با تیم IR یا تأمینکننده امنیتی همکاری کنید؛ در صورت لزوم ریستور از بکآپ سالم.
تغییر کلیهی اعتبارنامههای مرتبط (در صورت شواهد سرقت).
گزارش و مستندسازی برای جلوگیری از تکرار و اخذ درسها.
✅ توصیههای امنیتی بلندمدت
پچمنیجمنت منظم و تست پیش از انتشار گسترده.
محدودسازی سطح دسترسی: WSUS را پشت VPN یا شبکه مدیریتی قرار دهید؛ کنترل دسترسی مبتنی بر IP و MFA برای دسترسی مدیریتی.
قرار دادن WSUS در شبکهای با مانیتورینگ دقیق و EDR فعال.
پیادهسازی اصل کمترین امتیاز (least privilege) برای سرویسها و حسابها.
دورهای بررسی لاگها و تست نفوذ متمرکز روی اجزای مدیریتی مانند WSUS.
لاگهای IIS/WSUS: درخواستهای غیرمعمول یا حجم بالای درخواستهای POST به نقاط مربوط به سرویسهای WSUS.
فرایندهای غیرمعمول با سطح SYSTEM که زیر w3wp.exe یا دستوراتی مثل powershell.exe اجرا شدهاند.
ایجاد حسابهای محلی جدید، سرویسهای غیرمعمول یا تغییرات در Scheduled Tasks مرتبط با WSUS.
ارتباطات خروجی غیرعادی از سرور WSUS به آدرسهای ناشناس یا سرورهای کنترلی.
هشدارهای EDR مبنی بر متدهای deserialization یا اجرای باینریهای جدید.
🧭 در صورت تشخیص نفوذ — گامهای پاسخ به حادثه
ایزولهسازی فوری سرور(ها) از شبکه.
جمعآوری دادهها: لاگها (IIS, Windows Event, WSUS logs)، لیست پروسسها، شبکه (PCAP اگر ممکن).
تحلیل و پاکسازی: با تیم IR یا تأمینکننده امنیتی همکاری کنید؛ در صورت لزوم ریستور از بکآپ سالم.
تغییر کلیهی اعتبارنامههای مرتبط (در صورت شواهد سرقت).
گزارش و مستندسازی برای جلوگیری از تکرار و اخذ درسها.
✅ توصیههای امنیتی بلندمدت
پچمنیجمنت منظم و تست پیش از انتشار گسترده.
محدودسازی سطح دسترسی: WSUS را پشت VPN یا شبکه مدیریتی قرار دهید؛ کنترل دسترسی مبتنی بر IP و MFA برای دسترسی مدیریتی.
قرار دادن WSUS در شبکهای با مانیتورینگ دقیق و EDR فعال.
پیادهسازی اصل کمترین امتیاز (least privilege) برای سرویسها و حسابها.
دورهای بررسی لاگها و تست نفوذ متمرکز روی اجزای مدیریتی مانند WSUS.
گروه باجافزار LockBit که در اوایل سال 2024 مختل شده بود، در سپتامبر 2025 دوباره به فعالیتهای خود بازگشت و سازمانهای جدیدی را هدف حملات خود قرار داد. این گروه با انتشار نسخه جدیدی از باجافزار خود به نام LockBit 5.0 که با کد داخلی "ChuongDong" شناخته میشود، دوباره توانسته است شبکههای خود را احیا کرده و مدل باجافزار بهعنوان سرویس (RaaS) خود را راهاندازی کند. حملات این گروه به سیستمهای مختلف در مناطق اروپا، آمریکا و آسیا و بهویژه سیستمهای ویندوز، لینوکس و ESXi گسترش یافته است. این بازگشت نشاندهنده توانایی گروه در جذب دوباره همکاران (افلیتها) و بازیابی عملیاتهای باجافزاری خود است.
نسخه جدید باجافزار LockBit 5.0 چندین ویژگی جدید شامل بهبود قابلیتهای پنهانسازی برای جلوگیری از تحلیلهای دیجیتال و افزایش سرعت رمزگذاری به همراه الگوریتمهای جدید برای شناسایی کمتر توسط ابزارهای امنیتی دارد. این ویژگیها به گروه این امکان را میدهد تا حملات خود را بهطور مؤثرتری انجام دهد و از شناسایی شدن جلوگیری کند.
نسخه جدید باجافزار LockBit 5.0 چندین ویژگی جدید شامل بهبود قابلیتهای پنهانسازی برای جلوگیری از تحلیلهای دیجیتال و افزایش سرعت رمزگذاری به همراه الگوریتمهای جدید برای شناسایی کمتر توسط ابزارهای امنیتی دارد. این ویژگیها به گروه این امکان را میدهد تا حملات خود را بهطور مؤثرتری انجام دهد و از شناسایی شدن جلوگیری کند.
👎1
برد RUBIK Pi 3، محصولی از شرکت Thundercomm، یکی از پیشرفتهترین بردهای System-on-Chip (SoC) در بازار کنونی شناخته میشود. این برد با چیپست مدرن Qualcomm QCS6490 مبتنی بر فناوری ساخت ۶ نانومتری، پردازندهی ۸ هستهای پرقدرت، واحد گرافیکی Adreno 643 و هوش مصنوعی با توان پردازشی حدود ۱۲ TOPS، عملکردی در سطح دستگاههای حرفهای ارائه میدهد. ترکیب ۸ گیگابایت حافظهی LPDDR4x و ۱۲۸ گیگابایت فضای ذخیرهسازی پرسرعت UFS 2.2، در کنار درگاه NVMe M.2 برای اتصال SSD، پورتهای USB 3.0، خروجی HDMI، شبکهی Gigabit Ethernet، Wi-Fi و Bluetooth، مجموعهای کامل از قابلیتهای سختافزاری را فراهم کرده است.
پشتیبانی از سیستمعاملهای Ubuntu، Debian و Android نیز انعطافپذیری بالایی برای توسعهدهندگان و پژوهشگران فراهم میکند و این برد را به گزینهای ایدهآل برای کاربردهای AI، بینایی ماشین، IoT، رباتیک و حتی طراحی یک MiniPC قدرتمند و جمعوجور بدل کرده است. با توجه به قیمت حدود ۹۹ دلار، RUBIK Pi 3 توازن چشمگیری میان قدرت پردازش، تنوع امکانات، میتواند بهعنوان رقیبی جدی برای بردهای مطرحی همچون Raspberry Pi 5 و Khadas Edge 2 مطرح شود.
پشتیبانی از سیستمعاملهای Ubuntu، Debian و Android نیز انعطافپذیری بالایی برای توسعهدهندگان و پژوهشگران فراهم میکند و این برد را به گزینهای ایدهآل برای کاربردهای AI، بینایی ماشین، IoT، رباتیک و حتی طراحی یک MiniPC قدرتمند و جمعوجور بدل کرده است. با توجه به قیمت حدود ۹۹ دلار، RUBIK Pi 3 توازن چشمگیری میان قدرت پردازش، تنوع امکانات، میتواند بهعنوان رقیبی جدی برای بردهای مطرحی همچون Raspberry Pi 5 و Khadas Edge 2 مطرح شود.
امسال در رویداد پرطرفدار و هیجانانگیز «هکرهای دوستداشتنی»، قرار است با یک مهمون جنجالی از روسیه روبهرو شویم!
کیرل شیپولین، پژوهشگر و متخصص شناختهشدهی امنیت سایبری از شرکت Positive Technologies، مهمان ویژهی این دوره است. او با ارائهای تحت عنوان «نمونههای عملی شکار تهدید در ترافیک شبکه»، تجربیات ارزشمند خود را در زمینهی تحلیل ترافیک، شناسایی تهدیدات پیشرفته و روشهای نوین شکار حملات سایبری به اشتراک میگذارد.
اگر دنیای امنیت، هک اخلاقی و چالشهای سایبری برایتان جذاب است، حضور در این رویداد را از دست ندهید — چرا که امسال «هکرهای دوستداشتنی» با حضور این هکر جنجالی روس، جذابتر و پرانرژیتر از همیشه برگزار خواهد شد!
کیرل شیپولین، پژوهشگر و متخصص شناختهشدهی امنیت سایبری از شرکت Positive Technologies، مهمان ویژهی این دوره است. او با ارائهای تحت عنوان «نمونههای عملی شکار تهدید در ترافیک شبکه»، تجربیات ارزشمند خود را در زمینهی تحلیل ترافیک، شناسایی تهدیدات پیشرفته و روشهای نوین شکار حملات سایبری به اشتراک میگذارد.
اگر دنیای امنیت، هک اخلاقی و چالشهای سایبری برایتان جذاب است، حضور در این رویداد را از دست ندهید — چرا که امسال «هکرهای دوستداشتنی» با حضور این هکر جنجالی روس، جذابتر و پرانرژیتر از همیشه برگزار خواهد شد!
👍1👎1
هکرها با سوءاستفاده از ابزار متنباز RedTiger نسخهای از بدافزار infostealer ساختهاند که اطلاعات حسابهای Discord، مرورگرها و کیفپولهای رمزارز را میدزدد. این بدافزار با تزریق کدهای جاوااسکریپت در فایلهای Discord میتواند ورودها، خریدها و حتی تغییر رمز عبور کاربران را رهگیری کند و دادههای سرقتشده را از طریق سرویسهای ابری به مهاجم ارسال کند.
RedTiger در اصل برای تست نفوذ طراحی شده بود، اما مجرمان سایبری با کامپایل آن به فایلهای اجرایی جعلی (مانند بازی یا Discord) آن را در میان کاربران پخش میکنند. این بدافزار علاوه بر اطلاعات مرورگر، از سیستم قربانی عکس و اسکرینشات گرفته و برای گمراهکردن تحلیلگران امنیتی صدها فرایند و فایل تصادفی ایجاد میکند. کارشناسان توصیه میکنند کاربران از دانلود ابزارهای ناشناخته خودداری کرده، رمزهای خود را تغییر دهند، نشستهای فعال را لغو کنند و حتماً احراز هویت دومرحلهای را فعال سازند.
RedTiger در اصل برای تست نفوذ طراحی شده بود، اما مجرمان سایبری با کامپایل آن به فایلهای اجرایی جعلی (مانند بازی یا Discord) آن را در میان کاربران پخش میکنند. این بدافزار علاوه بر اطلاعات مرورگر، از سیستم قربانی عکس و اسکرینشات گرفته و برای گمراهکردن تحلیلگران امنیتی صدها فرایند و فایل تصادفی ایجاد میکند. کارشناسان توصیه میکنند کاربران از دانلود ابزارهای ناشناخته خودداری کرده، رمزهای خود را تغییر دهند، نشستهای فعال را لغو کنند و حتماً احراز هویت دومرحلهای را فعال سازند.
ایکس (توییتر سابق) به کاربران خود هشدار داده است: اگر تا ۱۰ نوامبر ۲۰۲۵ دوباره کلیدهای امنیتی یا passkey خود را ثبت نکنید، حسابتان قفل خواهد شد. دلیل این هشدار ناگهانی، مهاجرت کامل سرویس از دامنهٔ twitter.com به x.com است؛ تغییری که باعث میشود کلیدهای امنیتی قدیمی، دیگر قادر به تأیید هویت نباشند. به بیان سادهتر، اگر کاربر تا موعد مقرر کلید خود را دوباره ثبت نکند، درِ ورودی حسابش برای همیشه بسته خواهد شد. X تأکید کرده که این اتفاق هیچ ارتباطی به حملهٔ سایبری ندارد.
کاربران باید به صفحهٔ تنظیمات امنیتی X بروند، کلیدهای فعلی را غیرفعال کرده و دوباره ثبت کنند. این فرایند تنها چند دقیقه طول میکشد، اما غفلت از آن میتواند بهای سنگینی داشته باشد: از دست رفتن دسترسی، از بین رفتن احراز هویت دومرحلهای، و نیاز به بازیابی حساب از صفر. ایکس با لحن هشداردهنده یادآوری کرده است که این مهاجرت بخشی از تحول بزرگ برند است—اما برای کاربران، این شاید آزمونی باشد میان امنیت و بیتوجهی. اگر کلید سختافزاری مانند YubiKey دارید، اکنون وقت آن است که دستبهکار شوید؛ پیش از آنکه تاریخ انقضا فرا برسد و حسابتان برای همیشه بسته شود
کاربران باید به صفحهٔ تنظیمات امنیتی X بروند، کلیدهای فعلی را غیرفعال کرده و دوباره ثبت کنند. این فرایند تنها چند دقیقه طول میکشد، اما غفلت از آن میتواند بهای سنگینی داشته باشد: از دست رفتن دسترسی، از بین رفتن احراز هویت دومرحلهای، و نیاز به بازیابی حساب از صفر. ایکس با لحن هشداردهنده یادآوری کرده است که این مهاجرت بخشی از تحول بزرگ برند است—اما برای کاربران، این شاید آزمونی باشد میان امنیت و بیتوجهی. اگر کلید سختافزاری مانند YubiKey دارید، اکنون وقت آن است که دستبهکار شوید؛ پیش از آنکه تاریخ انقضا فرا برسد و حسابتان برای همیشه بسته شود
شرکت ایتالیایی Memento Labs که از بقایای Hacking Team شکل گرفته، در حملهای پیشرفته موسوم به ForumTroll نقش داشته است. این حمله با بهرهگیری از یک zero day در کروم، نهادهای روسی را هدف قرار داد و از لینکهای فیشینگ هوشمند برای آلودهسازی قربانیان استفاده کرد.
بدافزار چندمرحلهای این عملیات شامل بارگذار و جاسوسافزاری به نام LeetAgent بود که توان سرقت داده و کنترل کامل سیستم را داشت. در برخی موارد، جاسوسافزار Dante نیز نصب میشد؛ شباهت فنی آن به محصولات Hacking Team نقش Memento Labs را در این زنجیره حمله تقویت میکند.
بدافزار چندمرحلهای این عملیات شامل بارگذار و جاسوسافزاری به نام LeetAgent بود که توان سرقت داده و کنترل کامل سیستم را داشت. در برخی موارد، جاسوسافزار Dante نیز نصب میشد؛ شباهت فنی آن به محصولات Hacking Team نقش Memento Labs را در این زنجیره حمله تقویت میکند.
چندین بستهی مخرب در مخزن npm با نامهایی بسیار شبیه به کتابخانههای معتبر منتشر شدهاند تا توسعهدهندگان را فریب داده و بدافزار پیچیدهای را روی سیستمهای Windows، Linux و macOS نصب کنند. این بدافزار پس از نصب، با اجرای چندین مرحله رمزگذاری و نمایش یک CAPTCHA جعلی در ترمینال برای پنهانسازی رفتار خود، به ذخیرهسازهای کلید سیستمعاملها مانند Credential Manager، Keychain و libsecret دسترسی پیدا میکند. سپس اطلاعات حساسی همچون کلیدهای SSH، توکنهای احراز هویت، رمزهای مرورگرها و فایلهای حساس پروژهها را جمعآوری کرده و به سرور کنترل مهاجمان ارسال میکند. استفاده از این بستهها میتواند زنجیرهی تأمین نرمافزار را به خطر اندازد، چراکه مهاجمان از اعتماد ذاتی جامعهی متنباز سوءاستفاده کردهاند تا با تغییر جزئی در نام یا نسخه، بدافزار خود را در میان کتابخانههای پرکاربرد پنهان کنند. این رخداد بار دیگر اهمیت بررسی دقیق منبع بستهها، امضای دیجیتال و مدیریت سختگیرانه وابستگیها در پروژههای توسعه نرمافزار را یادآوری میکند.
هکرهای چینی با سوءاستفاده از یک zero day خطرناک در نرمافزار Lanscope Endpoint Manager موفق شدند کنترل کامل سیستمهای هدف را در دست بگیرند. این نقص امنیتی که با شناسه CVE-2025-61932 شناسایی شده، به مهاجمان اجازه میداد با دسترسی سطح SYSTEM بدافزار قدرتمندی به نام Gokcpdoor را نصب کنند؛ ابزاری با قابلیت کنترل از راه دور، سرقت داده و برقراری چند مسیر ارتباطی برای فرار از شناسایی. شرکت ژاپنی Motex که سازنده Lanscope است، در تاریخ ۲۰ اکتبر وصلهی امنیتی را منتشر کرد، اما تا آن زمان این آسیبپذیری بهصورت فعال مورد سوءاستفاده قرار گرفته بود. کارشناسان هشدار دادهاند که تنها راه امن، بهروزرسانی فوری نرمافزار است، چرا که هیچ روش موقتی برای جلوگیری از این حمله وجود ندارد — نمونهای دیگر از نبرد بیپایان میان بهروزرسانی و بهرهبرداری در دنیای سایبری.
در اولین روزهای محاسبات، نمونههای «خودتکثیر» که امروز بهعنوان نخستین بدافزارها از آنها یاد میشود، معمولاً پروژههای کوچک پژوهشی بودند: قطعات نرمافزاری نسبتاً کمحجم نوشتهشده با زبانهای مانند اسمبلی، که اغلب توسط یک یا دو نفر در چند هفته تا چند ماه توسعه مییافتند و هدفِ اصلیشان اثبات یک ایده یا رفتار بود، نه خلق ابزار خرابکارانه. نمونههای دهههای ۱۹۸۰ و ۱۹۹۰ معمولاً یک یا چند فایل منبع و چند هزار خط کد بیشتر نداشتند، در حالی در دسترسبودن روشهای بازاستفاده و بستهبندی چندشکل (polymorphic packers) بعدها به افزایش سریع و تنوع نمونهها انجامید.
تحلیلهای نشان میدهند تولید بدافزار از مرحلهٔ تکنفره و کوچک به فرآیندی صنعتی تبدیل شده است: اندازهٔ کد، تعداد فایلها و تنوع زبانها در ترتیب بزرگی افزایش یافته و زمان و تلاش توسعه نیز بهطور مشهودی رشد کرده است؛ بهعبارت دیگر، آنچه زمانی «آزمایشِ فنی» یک نفره بود، امروز میتواند به یک پروژهٔ چندماهه با چند توسعهدهنده و ماژولهای جداگانه تبدیل شود، امری که ضرورت سازوکارهای دفاعی، کنترل کیفیت و چارچوبهای اخلاقی در پژوهش و توسعهٔ نرمافزار را برجسته میسازد.
تحلیلهای نشان میدهند تولید بدافزار از مرحلهٔ تکنفره و کوچک به فرآیندی صنعتی تبدیل شده است: اندازهٔ کد، تعداد فایلها و تنوع زبانها در ترتیب بزرگی افزایش یافته و زمان و تلاش توسعه نیز بهطور مشهودی رشد کرده است؛ بهعبارت دیگر، آنچه زمانی «آزمایشِ فنی» یک نفره بود، امروز میتواند به یک پروژهٔ چندماهه با چند توسعهدهنده و ماژولهای جداگانه تبدیل شود، امری که ضرورت سازوکارهای دفاعی، کنترل کیفیت و چارچوبهای اخلاقی در پژوهش و توسعهٔ نرمافزار را برجسته میسازد.
بدافزار تازهای به نام SesameOp توسط محققان مایکروسافت شناسایی شده که با روشی خلاقانه و خطرناک، از OpenAI Assistants API بهعنوان کانال فرمان و کنترل (C2) استفاده میکند. این بدافزار با سوءاستفاده از زیرساخت قانونی سرویسهای هوش مصنوعی، فرمانهای رمزگذاریشده خود را در قالب درخواستهای کاملاً مشروع به API ارسال کرده و پاسخها را بهعنوان دستورالعمل اجرایی دریافت میکند؛ روشی که باعث میشود ترافیک آن برای سیستمهای امنیتی تقریباً غیرقابل تشخیص باشد.
تحلیلها نشان میدهد این تکنیک نوآورانه نشانهی مرحلهی جدیدی در تکامل بدافزارهاست، جایی که مهاجمان از پلتفرمهای معتبر برای پنهانسازی ارتباطات مخرب استفاده میکنند. کارشناسان امنیتی هشدار دادهاند که چنین سوءاستفادههایی میتواند باعث «مشروعنمایی حملات» شود و مقابله با آن مستلزم نظارت هوشمندانهتر بر ترافیک ابری و بهروزرسانی سیاستهای دفاعی سازمانها در برابر تهدیدات مبتنی بر هوش مصنوعی است.
تحلیلها نشان میدهد این تکنیک نوآورانه نشانهی مرحلهی جدیدی در تکامل بدافزارهاست، جایی که مهاجمان از پلتفرمهای معتبر برای پنهانسازی ارتباطات مخرب استفاده میکنند. کارشناسان امنیتی هشدار دادهاند که چنین سوءاستفادههایی میتواند باعث «مشروعنمایی حملات» شود و مقابله با آن مستلزم نظارت هوشمندانهتر بر ترافیک ابری و بهروزرسانی سیاستهای دفاعی سازمانها در برابر تهدیدات مبتنی بر هوش مصنوعی است.
👏1