https://virgool.io/feed/@soheilhashemi https://blog.peneter.com fa 2026-06-17 02:55:32 https://files.virgool.io/upload/users/988558/avatar/7MeEz7.jpeg?height=120&width=120 https://virgool.io/@soheilhashemi https://virgool.io/@soheilhashemi/osint-attack-surface-gith6qpq2jvw در راستای پست های OSINT که بر روی بلاگ پنتر قرار دادم در این نوشته قصد دارم مهم ترین استفاده آن در ارزیابی امنیت سازمان را با شما به اشتراک بگذارمAttack Surface تمام سخت افزار نرم افزار و … می باشد که داده شما بر روی آن ذخیره می شود یا بر روی آن ها تبادل اطلاعات دارید.هکر ها می توانند تمامی حملات ممکن Attack Vector ها را بر روی آن ها دارایی های شما ( Attack surface )‌اجرا کنند و اطلاعات شبکه شما را سرقت کنند.دارایی های دیجیتال یک سازمان شامل: Known assets:سایت ها و سرویس هایی(سرورها) که شما در حال حاظر دارید از آن ها استفاده می کنید و به دامین ها و ساب دامین ها شما وصل هستند. Unknown assets:بعضی از ساب دامین های شما که پروژه های قدیمی بوده دیگر توسعه آن متوقف شده و مورد استفاده شما قرار نمی گیرد مثل CMS WordPress که اکثر سازمان ها در کنار وب سایت های اصلی خود دارند. Rogue assets:تمامی Threat Actors ها (هکرها) که با استفاده از typosquatting ( دامین های شبیه به سازمان شما) قصد فیشینگ دارند. یا برنامه موبایل شبیه شما می سازند برای اینکه جای شما خود را جا بزنند. Vendors:هر نوع دستگاه یا Application که شما مورد استفاده قرار می دهید در صورتی که مورد نفوذ قرار بگیرند شما مورد Supply chain Attack قرار خواهید گرفت مثال بارز solarwinds که گروه nobelium آن را هک کرده بود و بکدور را در برنامه های مانیتورینگ solarwinds قرار داده بود.درصد امنیت به تعداد سرورها یا سرویس ها شبکه ربط ندارد هر دستگاه یا سروری که آسیب پذیر باشد یک تهدید محسوب می شود و هکر از هر جا وارد بشود منتهی به Ransomware یا Data leak برای سازمان شما خواهد شد.لذا همان طور که در پست های قبل در مورد Open source intelligence techniques صحبت کردیم و گفتیم هکرها می توانند نقاط ضعف شما را کشف کنند به عنوان یک سازمان شما نیز می توانید تمامی دارایی های خود را لیست و ارزیابی کنید.Attack surface analysis(ASA) با Vulnerability scanning متفاوت هست شما در اولین مورد دامین ساب دامین سرویس ها میل و … را کشف می کنید و ارزیابی می کنید در دومین مورد شما دامین ها را دارید و آن ها را اسکن می کنید تا از آسیب پذیر یا نبودن آن ها آگاه شوید.همچنین ASA به تنهایی کافی نیست شما باید مانیتور بر دارایی های خود داشته باشید تا در صورت مشاهده یک تهدید آن را رفع کنید چرا Attack surface Management مهم هست ؟ASM به این دلیل مهم هست که در طول زمان دارایی سازمان ها شما افزوده می شوند و این تداول در مانیتور آن ها به شما کمک می کند تاتمامی دارایی های (سخت افزار یا نرم افزار) قدیمی و جدید را شناسایی کنیدلیست دامین های Typo شناسایی کنید برای جلوگیری از فیشینگلیست دارایی های که End of line یا بروز رسانی نشده اند را شناسایی کنید (Patch Tuesdays)در بخش توسعه نرم افزار لیست Library ها یا برنامه های اوپن سورس که در شبکه تان مورد استفاده قرار می دهید را شناسایی کنید( خیلی از بکدورها معمولا لایبری های آلوده وارد سازمان ها می شوند.)یک مدیریت بر Vendor داشته باشید در صورت کشف آسیب پذیری ترتیب اثر بدهید.نکته: Attack surface علاوه بر اینکه مربوط به شبکه باشد به مراحل توسعه نرم افزار نیز مرتبط هستمعمولا توسعه دهنده ها تمرکز کمتری در امنیت نرم افزارهایی که توسعه می دهند دارند.مثل نوشتن کد امن نحوه ذخیره سازی داده ها.استفاده از لایبری های مطمن.برای امنیت در توسعه نرم افزار توسعه دهندگان باید به نکات زیر نیز توجه کنند.مسیرهایی حساس در نرم افزار وب موبایل و … باید محافظت شوند و هر کسی یا هر سطح دسترسی به آن ها نباید دسترسی داشته باشد.یوزر و پسوردها نباید به صورت پیش فرض یا هارد کد شده مورد استفاده قرار بگیرند. در ذخیره سازی فایل های Certificate یا API در نرم افزار باید نکات امنیتی را رعایت کرد.معمولا هکرها یا کسانی که Bugbounty می کنند به دنبال موارد زیر از نرم افزارهایی که شما توسعه می دهید هستند: User interface (UI) forms and fieldsHTTP headers and cookiesAPIsFilesDatabasesOther local storageEmail or other kinds of messagesRuntime argumentsLogin/authentication entry pointsAdmin interfacesو ... هستند.شما می توانید کدهای که توسعه می دهید به صورت اتوماتیک مورد ارزیابی امیتی قرار بدهید با کمک sonarqube یا به صورت پویا از openvas owasp zap استفاده کنید. مراحل ASM۱.شناسایی دارایی ها Discovery۲.دسته بندی Vendor هاCVSS .۳ در صورت کشف آسیب پذیری۴. تکرار مرحله ۱ تا ۳۵. شناسایی دارایی های مخرب phishing malware Discoveryبرای شناسایی دارایی های سازمان نیازمند استخراجوب اپلیکیشن سرویس ها و APIبرنامه های موبایل و Backend آن هاذخیره سازهای ابری و دستگاه های شبکهDNS, SSL , IPIoT device IP cameraGithub, Bigbucket بررسی کدهای گیت هاب سازمای که API افشا شده یا نهایمیل های سازمانی و بررسی که هک شده اند یا نهسابقه هک دامین ها ساب دامینسابقه domain rep ip rep email rep سازمانبررسی اطلاعات دارک وب pastebin از سازمانشبکه های اجتماعی اصلی سازمان و همچنین کارمندهای C-lEVEL بررسی آسیب پذیری پس از بدست آوردن دارایی ها باید آن ها را ارزیابی کنیم که چقدر می توانند شبکه را در خطر قرار دهندMail server configuration SPF, DKIM, DMARCورژن SSL و بررسی تنظیمات سروربررسی پلاگین ها و تکنولوژی های مورد استفاده بر روی دامین ها و ساب دامین هاپورت های باز بررسی ورژن سرویس ها بررسی Vendor های شبکه بر اساس Common vulnerability Exposure و Common Vulnerability platform این فرآیند به صورت پسیو با استفاده از سایت های آنلاین مثل Shodan censys و … انجام می شود.کشف CMSهای سازمان و آنالیز آسیب پذیری آن هااستخراج User های مربوط به سرویس ها Peneter Peneter Thu, 11 Nov 2021 04:41:11 +0330 https://virgool.io/@soheilhashemi/the-pyramid-of-pain%DA%86%DB%8C%D8%B3%D8%AA-cjgralgvewgi کلیه گروه های هکری که حملات سایبری را انجام می دهند دارای رفتاری تکراری هستند مثلا از یک سری اکسپلویت برای نفوذ استفاده می کنند یا ابزارهای C2 آن ها مشخص هست. برای شناسایی آن ها از نشانگرها (Indicator) استفاده می کنیم یک نمودار با نام The Pyramid of Pain داریم که نشان می دهد در صورت عدم توجه به هر کدام از انواع Indicator ها چه میزان شما در خطر هک شدن قرار خواهید گرفت.انواع نشانگرهاHash Values: فایل های بدافزار پس از شناسایی توسط الگوریتم های MD5 یا SHa1 تبدیل به هش می شوند که در فرآیند شناسایی بدافزارها مورد استفاده قرار گیرند.IP Addresses: ای پی آدرس ها یا حتی رنج آي پی ها در صورت سواستفاده ریپورت می شوند و به عنوان اسمپر یا حتی پخش بدافزار توسط تمامی فایروال بلاک می شوند.Domain Names: در فرایند اتصال فایل C2 به هکر معمولا از دامین یا ساب دامین استفاده می شود که اگر برای آی پی سرور مشکل پیش امد آن را عوض کنند.Network Artifacts: مجموع فعالیت های هکر در شبکه جزو این دسته می شوند Lateral movement , Exfiltration , defense Evasion و … نیز جزو این دسته می شوند به عنوان مثال پروتکول که C2 از آن برای ارتباط بین سرور و کلاینت استفاده می کند یا User Agent که از آن برای مخفی کردن وب شل استفاده می کنند.Host Artifacts:کلیه فعالیت هایی که هکرها بر روی سیستم ها انجام می دهند مثل Privilege Escalation Collection که شامل دستکاری فایل های رجیستری دستکاری یا اجرای بعضی پراسس ها می شود.حتی نام فایل ها فولدرها یا پراسس ها جزو این بخش محسوب می شوند.Tools:هکرها معمولا برای عملیات Privilege Escalation نیازمند یک سری اکسپلویت ها هستند که با خود وارد شبکه می کنند یا برای گرفتن دسترسی نیازمند اکسپلویت Office که به صورت Spearpishing فایل رزومه ضمیمه را برای سازمان ها ارسال کنند.Tactics, Techniques and Procedures (TTPs): این بخش را قبلا در یک پست Mitre توضیح دادیم ۱۴ تاکتیک که مراحل نفوذ استخراج و خروج اسناد از داخل سازمان هستند که تکنیک ها جزو Attack vector ها یا ابزارهایی هست که هکرها استفاده می کنند مثل Phishing و در اخر Procedures ها C2 یا اکسپلویت های خاصی هست که مورد استفاده قرار می دهند.اکنون به بررسی The Pyramid of Pain بپردازیم Hash Valuesاولین و متداول ترین روش بدافزارها یا بکدور ها تبدیل آن ها به هش هست و اکثر نرم افزارهای آنتی ویروس از طریق Hash این فایل ها را شناسایی می کنند و دیتابیس خود را آپدیت نگه می دارند پس استفاده از Hash برای شناسایی بسیار کمک می کند در شناسایی بدافزارهایی که هکرها از آن استفاده می کنند.IP Addressesآدرس IP بسیار مهم هست با اینکه ممکن است C2 به دامین وصل شوند و آدرس IP تغییر کند باز در بسیاری از مواقع هکرها از IP استفاده می کنند و در صورت کشف IP می توان آن ها را بلاک کرد و از وقوع بسیاری از حملات جلوگیری کرد.Domain Namesدر این سطح به دامین می رسیم در صورتی که دامین هایی که برای پخش بدافزار یا اتصال به C2 آپدیت نباشند و آن ها را بلاک نکنید و فقط به IP بسنده کنید در خطر جدی قرار خواهید گرفت. هکرها معمولا از DDNS استفاده می کنند و بین سرورهای هک شده C2 خود را جابجا می کنند تا از بلاک شدن جلوگیری کنند پس Domain کمک جدی جهت جلوگیری از حمله می کنند.Network & Host Artifactsاین قسمت از هرم وارد منطقه خطرناک می شود چرا که در صورتی که هکرها وارد شبکه شوند و شما مانیتور از ترافیک شبکه نداشته باشید یا ترافیک انرمال از نرمال تشخیص ندهید شما فاز شناسایی هکرها یا بروت فورس هکرها شناسایی نخواهید کرد و پس از ورود به هر سرور شما به خطر جدی تری دچار خواهید شد.معمولا نرم افزارهای آنتی ویروس IDS از الگوریتم های هوش مصنوعی برای تشخیص ترافیک Abnormal استفاده می کنند.وقتی هکرها وارد سیستم HOST می شوند در صورتی که با Agent آن ها کنترل شوند می توان با Hash IP Domain جلوی اجرای بدافزار یا اتصال به C2 را تا حدی گرفت.Toolsهکرها بدون شک نیازمند برای جمع آوری اطلاعات User & password privilege escalation exfiltration هستند که نیازمند هستند یک سری ابزار را با خود وارد شبکه کنند در صورتی که ندانید گروه های APT از چه ابزارهایی استفاده می کنند به خطر جدی مثل Ransomware دچار خواهید شد .معمولا آنتی ویروس ها از طریق اسکن Static هش و dynamic رفتار ابزارها آن ها را تشخیص می دهند که در بعضی موارد امکان Fully undetectable نیز وجود دارد به طور مثال ابزار Mimikatz را FUD می کنند و به راحتی می توانند از حافظه پسورد های OS RDP و… دامپ کنند و یا حتی Path the hash را انجام دهند.Tactics, Techniques & Proceduresاخرین و مهم ترین به روز بودن در Mitre TTP هست باید در گام اول گروه های هکری بشناسید روش های نفوذ روش های بالا بردن سطح دسترسی روش های دور زدن مکانیسم های امنیتی را بشناسید تا بتوانید جلوی حملات APT بگیرید این فرایند بسیار دشوار هست برای همین گفته می شود جلوگیری از حملات APT بسیار پیچیده تر است و فاز دفاع سایبری بسیار سخت و حمله سایبری بسیار راحت تر هست.پ.ن امنیت سایبری یک بازی شطرنج ما بین هکرها و Defender ها هست برای اینکه بتوانید برنده بازی باشید باید دشمن (هکرها)‌خوب بشناسید ابزارها روش ها متدها و همچنین در فاز به روزرسانی پچ کردن همیشه فعال باشید این فعالیت ادامه دار هست صرفا با تست نفوذ یا ISMS سازمان ها امن نخواهند شد.حملات APT نیازمند دانش Cyber threat Intelligence هستند تا مانیتور بر روی گروه های هکری داشته باشند صرفا با داشتن تجهیزات گران قیمت firewall IDS IPS SIEM SOAR نمی توان جلوی حملات را گرفت.Insider Attacker ها معمولا بسیار خطرناک تر از 0day 0click هستند چرا که آن ها مسیر را برای هکرها در شبکه های کاملا isolate باز می کنند. باید Access Control Privilege Control را برای کل شبکه به صورت یکسان برقرار شود بسیار از هک معمولا به خاطر چشم پوشی و white list کردن به خاطر آشنایی سابقه کار و … میسر شده اند. Peneter Peneter Fri, 05 Nov 2021 21:55:05 +0330 https://virgool.io/@soheilhashemi/%D9%85%D8%A7%DB%8C%D8%AA%D8%B1-%D8%A7%D8%AA%DA%A9-%DA%86%DB%8C%D8%B3%D8%AA-mitre-attck-m3rawnrkrcyz به صورت خیلی ساده Mitre اسم یک شرکت امنیتی است که بر روی شناسایی گروه های هکری تحقیق می کند و روش های نفوذ آن ها را دسته بندی می کند.این شرکت چندین پروژه فعال و کاملا رایگان دارد که بررسی این پروژه ها می پردازیم.برای بررسی پست قبلی که در مورد بکدورها بود MITRE را معرفی کردیم تا بتوانیم لیست Persistence ها را بررسی کنیم.MITRE ATT&CKhttps://attack.mitre.org/tactics/enterpriseیکی از پروژه هایی که حتما از قبل شنیدید MITRE ATT&CK هست که به آن TTP هم گفته می شود که مخفف Tactic Technique Procedure هست.بر اساس این ۳ پارامتر گروه های هکری را دسته بندی می کنند تا بتوانند به صورت Pro Active حملات را شناسایی کنند Threat Hunter و یا از همین تاکتیک ها برای Red teaming استفاده کنند.تاکتیک ها شامل :Reconnaissance : جمع آوری اطلاعات به صورت پسیوResource Development: خرید اکسپلویت یا آماده کردن سناریو های Pre texting برای مهندسی اجتماعیInitial Access: گرفتن دسترسی توسط اکسپلویت یا  تکنیک های مهندسی اجتماعیExecution: اجرا کردن پیلود بر روی شبکه قربانی برای دسترسی ریموت گرافیکی یا کامندیPersistence: قرار دادن بکدورPrivilege Escalation: بالا بردن سطح دسترسیDefense Evasion: دور زدن مکانیسم های دفاعیCredential Access: بخشی از Post Exploitation استخراج Credential معتبر برای دسترسی به تجهیزات مختلفDiscovery: جمع آوری و آنالیز شبکه داخلی برای بدست آوردن شمای شبکه داخلی که هدف شناسایی سرورها و منابع داخلی شبکه می باشد.Lateral Movement: برای دسترسی به سرورهای مختلف شبکه بسته به ساختار شبکه Flat Vlan نیاز به Pivoting استفاده از یک IP مورد اعتماد برای دسترسی به رنج ای پی خاص یا حتی سرور خاص.Collection: جمع آوری اطلاعات بر اساس هدف هکر مثلا استخراج دیتابیس- سورس کد- فیلم - ویس - تصاویر دوربین و ...Command and Control: سی ۲ C2 همان Remote Access Trojan ها هستند برای اجرای دستورات بر روی شبکه با توجه به دور زدن و عدم شناسایی توسط مکانیسم های شناسایی IDS Intrusion Detection SystemExfiltration: در تاکتیک ۱۱ هکرها اطلاعاتی که استخراج کردند باید از شبکه خارج کنند برای همین نیاز به خروج از حجمی قابل توجه ای از دیتا را دارند که بسیار محسوس هست با توجه به عدم شناسایی توسط Firewall module Data leak preventionImpact: وقتی هکرها نفوذ می کنند تاثیرات مختلفی می توانند بر روی هدف داشته باشند یکی از آن ها استخراج اطلاعات و سرقت آن ها هست Ransomware Wipe Disk دستکاری در Dev-ops برای گذاشتن بکدور بر روی محصولی که شرکت در حال ارایه به مشتریانش هست و ...برای اجرای ۱۴ تاکتیکی که مشخص شد هکرها از تکنیک های مختلف استفاده می کنند. مثلا یکی از روش های گرفتن دسترسی گفتیم تکنیک های Phishing هست یکی از تکنیک ها Spearphishing Attachment هست. با ارسال ایمیل فیشینگ در قسمت ضمیمه فایل بدافزار با فرمت داک ارسال می کند که اکسپلویت Office هست بخش آخر که ابزار یا فرآیند اجرای می باشد Procedure یا روش مشخص شده است که از چه پسوندهایی استفاده می کنند یا حتی بدافزاری که استفاده می کنند دقیقا چه عملیاتی انجام می دهد.https://attack.mitre.org/groups/G0013/کار ارزشمندی که MITRE کرده است در همین قسمت هست درhttps://attack.mitre.org/groupsتمامی گروه های هکری لیست شده اند و مشخص کرده اند مثلا APT30 که به دولت چین مپ شده است.در بخش آخری طبق هر Tactic Technique Procedure روش های کاهش مخاطره Mitigation را معرفی کرده استمثلا برای فیشینگ روش های کاهش مخاطره :Antivirus/Antimalware: استفاده از آنتی ویروس Network Intrusion Prevention: استفاده از IPS که بر اساس Signature بتواند حمله شناسایی و بلاک کند. Restrict Web-Based Content: بلاک کردن فرمت های اجرایی در میل سرور Software Configuration: میل سرور هاردنینگ برای جلوگیری از عدم اسپوف میل با استفاده از SPF و DKIM برای جلوگیری از تغییر در میل حفظ یکپارچگی User Training: افزایش آگاهی رسانی در برابر حملات مهندسی اجتماعیهمچنین در موبایل تاکتیک ها به شرح زیر استhttps://attack.mitre.org/tactics/mobileInitial Access: مجموع روش هایی که هکرها برای نفوذ به موبایل استفاده می کنندExecution: اجرای دستورات توسط کامند لاین سیستم عامل موبایل - ADB Android - API iOS androidPersistence: قرار دادن بکدور بر روی موبایلPrivilege Escalation: بالا بردن سطح دسترسی از یوزر به روتDefense Evasion: دور زدن مکانیسم های دفاعی موبایل ها مثل روت کردن دستگاه یا Jailbreak کردن iOSCredential Access: به سرقت بردن اطلاعات که به اشتباه به اشتراک گذاشته می شود.Discovery: جمع آوری اطلاعات از شبکه که موبایل در آن قرار دارند. یا حتی اطلاعاتی جزیی بر روی سیستم عامل یا سخت افزارLateral Movement: همانند قسمت استفاده از موبایل به عنوان VPN برای ورود ( به همین علت است که شبکه موبایل وایرلس از شبکه wire جدا هستند.)Collection: جمع آوری اطلاعاتی که بر روی گوشی وجود دارد Contact Call Log Sms Gallary و...Command and Control: کنترل موبایل توسط Remote Access Trojan وبکم میکروفن خواندن و ارسال SMS و...Exfiltration: اپلود اطلاعات جمع شده به سرور هکر از طریق وای فای - سلولار یا ارسال SMSImpact: به غیر از به سرقت بردن اطلاعات کاربران که در موبایل وجود دارد تاثیرات دیگری بعد از نفوذ به موبایل امکان پذیر هست مثل کلاهبرداری ارسال SMS بدون اجازه از کاربر و ...Network Effects: شنود ارتباطات در سطح WIFI- GPS و .. حملات SIM SWAP برای جعل سیم کارت .Remote Service Effects:پس از اینکه گوشی های اندرویید و IOS سرویس کلاد مثل Google Icloud دسترسی به این محیط کلاد در صورت سینک شدن دسترسی به Gallery Contact Text میسر خواهد شد یا خیلی از MDM برای Track کردن گوشی ها هک شده  و EMM که اجازه پاک کردن یا وایپ کردن به صورت ریموت بدون اجازه در صورت به سرقت رفتن به کاربر می دهد.لیست پروژه های دیگر که در پست های دیگر مورد بررسی قرار خواهد گرفتhttps://car.mitre.orghttps://atlas.mitre.orghttps://d3fend.mitre.orghttps://cve.mitre.orghttps://cwe.mitre.org Peneter Peneter Wed, 20 Oct 2021 22:25:13 +0330 https://virgool.io/@soheilhashemi/backdoor-overview-rdatkiraihjl بخش اول-> انواع نحوه عملکردبخش دوم->بکدور روی سیستم عامل ویندوزبخش سوم-> بکدور روی سیستم عامل لینوکسبخش چهارم -> بکدور روی وب بخش پنجم -> بکدور روی موبایلبیشتر افراد به خاطر متن باز بودن یک برنامه یا حتی داشتن آنتی ویروس یا فایروال فکر می کنند که دارای امنیت بسیار بالایی هستند و هرگونه تهدید توسط تجهیزات امنیتی شناسایی و ختثی می شود.بکدور یک قابلیت سیستم یا کدی مخرب است که هکرها توسط ان به صورت ریموت می توانند سیستم مانیتور و کنترل کنند.بکدورها می توانند در فرآیند تولید یاطراحی سیستم اضافه شوند یا در فرآیند تیم های توسعه اضافه شوند.در این بین بعضی از بکدورهام در بعد از هک شدن شرکت های توسعه دهنده یا برنامه نویس ها که پلاگین یا سیستم مدیریت محتوا CMS را فارسی سازی می کنند اضافه می شوند.انواع بکدورهاapplication backdoorنرم افزارهای کاربردی که بدافزار به آن ها اضافه می شوند و سپس در سطح اینترنت پخش می شوند. مثال وب پلاگین ها و سیستم های مدیریت محتوا . مثال موبایل برنامه ها بازی های اندرویید که RAT به آن ها بایند شده. کرک های برنامه های ویندوزی که به آن ها RAT بایند شده.رت یا Remote Access Trojan جاسوس افزار برای مانیتور و کنترل سیستم عامل هاست ویندوز لینوکس مک اندرویید IOS.فرایند Bind در واقع چسباندن دو فایل اجرایی به وسیله برنامه نویسی یا استفاده از ترفند هایی مثل SFX با winrarsystem backdoorنرم افزارهایی هستند که هدفشان جاسوسی است. شاید به عنوان بازی معرفی شوند ولی با ایجاد تکنیک های سعی در جمع آوری اطلاعات از محیط اطراف گیمرها دارند یا نرم افزارهای کاربردی که بسیاری از کارمندان از آن استفاده می کنند.Crypto backdoorطراحی الگوریتم های رمزنگاری که دارای ضعف هستند و اجازه شنود را در ارتباطات رمزشده را می دهند. نمونه Heartbleedhttps://heartbleed.com/hardware backdoorطراحی تروجان های سخت افزاری برای مانیتور شبکه یا ارسال داده به بیرون شبکه نمونه بکدوری که تیم TAO NSA برای سخت افزارهای شبکه طراحی کرده بود که توسط اسنودن افشا شد.https://en.wikipedia.org/wiki/Tailored_Access_Operationsچطوری کار میکنند؟ مکانیسم عملکردspecial credentialsاستفاده از یوزر و پسوردهای پیش فرض در سیستم که می توانند در کد سیستم قرار بگیرند مثلا Hard coded backdoor در برنامه های اندرویید. ولی ساده ترین حالت یوزر و پسورد دیفالت. یا ساخت یوزر و پسورد ثانویه روی سیستم شماunintended network activityایجاد سوکت ( IP+ port)‌ بر روی سیستم عامل شما که هکر اجازه اتصال از خارج شبکه را بدون احراز هویت دارد و سطح دسترسی هم چک نخواهد شد. ایجاد Route یا مسیر ایستا بر روی سیستم عامل شما یا تجهیزات شبکه شما.hidden functionalityقابلیت های مخفی در سیستم مثلا در سیستم عامل یک سوییچ از کامند که مستند نشده است. در سیستم عامل امکان ارسال کامند از راه دور.miss configuration با تغییر در تنظیمات سیستم امکان شنود یا نفوذ میسر میشود. عوض کردن رمزنگاری. any to any فایروال و غیرهlogic bombبعضی موقع ها بکدورها در شرایط خاص اجرا می شوند می تواند در ساعت مشخص برنامه اجرا شود یا اسکرین شات گرفته شود و ... .چطوری بکدورها شناسایی می شوند؟فرایند شناسایی بکدور کار پیچیده ای هست چرا که نیازمند دانش بر روی malware analysis هست که به صورت ایستا پویا و حتی هیبرید سخت افزار و نرم افزار مورد ارزیابی قرار بگیرد.https://www.amazon.com/Practical-Malware-Analysis-Hands-Dissecting/dp/1593272901 Peneter Peneter Tue, 12 Oct 2021 23:11:24 +0330