28 ژوئن

IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine

چند ماه قبل، کمی پیش از شروع حمله‌ی روسیه به اوکراین، محققان شرکت ESET یک Wiper‌ جدید را کشف کردند که نشان‌دهنده‌ی شروع حملات گسترده‌ی روسیه به سازمان‌های اوکراین با اهداف تخریبی بود. در این حملات از کرمی استفاده شده بود که وظیفه‌ی آن توزیع و نصب بدافزار HermeticWiper در سراسر شبکه‌ی سازمان‌های قربانی بود. مطالبی که در ادامه مطالعه می‌کنید، در واقع ترجمه‌ی متن تحلیل انجام شده توسط شرکت Eset‌ از حمله‌ی سایبری ذکر شده است که با توجه به متن روان و نکات مفیدی که در آن وجود داشت، آکادمی راوین تصمیم به ترجمه و انتشار آن برای علاقه‌مندان و کارشناسان داخلی گرفت.

11 ژوئن

XDLoc : Pattern Of Life Geolocation Information

«علی طباطبایی» در این مقاله به گروهی می‌پردازد که برای دستیابی به اهداف خود، از بدافزاری با نام XDLoc و اطلاعات Access Pointهای اطراف کاربر بهره برداری می‌کند.

17 آوریل

جنگ‌های سایبری (با بررسی موردی جنگ روسیه-اوکراین)

جنگ‌های سایبری یکی از واقعیت‌های دنیای امروزه که تبعات گسترده‌ای برای بسیاری از کشورها به همراه داشته. مجتبی مصطفوی و علی طباطبایی توی این مقاله به بررسی اجمالی جنگ‌های سایبری با تمرکز بر جنگ بین کشورهای روسیه و اوکراین پرداختن.

12 آوریل

DCSync Attacks Introduction and Detection

در این مقاله با تالیف و ترجمه‌ی «احسان مقدمیان»، به یکی از ویژگی‌های Active Directory که به Active Directory Replication معروفه و همچنین به بررسی چند رویکرد جهت به دست آوردن درک عمیقی از حمله‌ی DCSync و روش شناسایی اون پرداخته شده است.

Abusing Trusted Installer
19 مارس

Abusing Trusted Installer

موضوعاتی مثل از کار انداختن آنتی‌ویروس‌ها یا پیدا کردن متد جدیدی برای Persist، همیشه برای متخصصین تیم‌های قرمز جذاب بوده تا بتونن بدون خطر شناسایی شده، دسترسی خودشون رو تو شبکه‌ی سازمان تحت ارزیابی تثبیت کنن. تو این مقاله، «پارسا صرافیان» به مطلبی پرداخته که هر دو مورد ذکر شده رو پوشش می‌ده.

16 فوریه

Abusing Internet Explorer COM Object

بدافزارها از تکنیک‌های مختلفی برای انجام فعالیت‌های خود استفاده می‌کنند که استفاده از COM، یکی از متداول‌ترین این روش‌ها است. «علی طباطبایی» در این مقاله و مقاله‌های آتی، به بررسی چند تکنیکی که از COM بهره می‌برند، می‌پردازه.

Bypassing AV/EDR
24 نوامبر

Bypassing AV/EDR

درحالی که حوادث باج‌افزارها و گروه‌های دولتی هر روز بیشتر می‌شود، نیاز به درک و تشخیص حملات این گروه‌ها و جلوگیری از آن‌ها نیز بیشتر می‌شود. یکی از راه‌های تشخیص و جلوگیری از حوادث، شبیه‌سازی این گروه‌های پیشرفته است. در فرایند شبیه‌سازی، بدافزار‌ها نقش مهمی را ایفا می‌کنند و با بهترشدن راهکارهای امنیتی در تشخیص بدافزارها، روش‌های جدیدی برای دورزدن آن‌ها نیاز است. در این مقاله برخی از این روش‌ها را بررسی می‌کنیم.

DLL Injection
28 فوریه

DLL Injection

تزریق DLL‌ یا همان DLL Injection در واقع فرآیندی است که طی آن، یک قطعه کد مورد نظر خودمان را در یک پروسس شناخته شده‌ی در حال اجرا قرار می‌دهیم، تا بدین‌وسیله کد یا به عبارت دیگر ابزارهایمان را با استفاده از آن اجرا کنیم. به این ترتیب اگر این فرآیند با موفقیت انجام شود، می‌توان راهکارهای دفاعی مانند آنتی‌ویروس را دور زد.

اجرا و تزریق shellcode‌ با استفاده از پاورشل
30 جولای

تکنیک‌های اجرا و تزریق shellcode با استفاده از پاورشل

یکی از چالش‌هایی که تمام تیم‌های قرمز هنگام اجرای عملیات‌‌های ارزیابی خود با آن مواجه می‌شوند، اجرای کد و ابزارهایشان بر روی سیستم‌عامل‌ها بدون ایجاد حساسیت در راهکارهای امنیت Endpoint مانند آنتی‌ویروس و EDR‌ است. در این مقاله یکی از روش‌های موثر که برای دور زدن آنتی‌ویروس ‌و EDR در سیستم‌عامل‌های ویندوز کاربرد دارد را با استفاده از PowerShell بررسی می‌کنیم.