Date Content Media
2023-03-31 12:57:00
|AppSec Ezine|📰476rd EditionRelease Date: 31/03/2023pathonprojectgithub#ezine #appsec #infosec Images
2023-03-31 09:32:29
2023-03-29 00:53:00
🔓SHA-1 gets SHAtteredThe implication of SHA-1 collisions being practical (not simply theoretical) is that if any of the four example application types (digital signature schemes, message authentication co des, password hashing, and content-addressable storage) were using SHA-1, they would all be vulnerable to attackers who could obtain colliding signatures, codes, passwords, or files respectively. However, since SHA-1 usage has significantly decreased in the last few years (especially since 2017), it may seem that this post is somewhat redundant. However, as time goes on all hash functions may become vulnerable to collision attacks - not only SHA-1. Therefore, as computational time decreases and power increases, the analyses and principles described above are relevant to hash functions that are (at the time of writing) considered more secure. Images
2023-03-29 00:45:18
|AppSec Ezine|📰475rd EditionRelease Date: 24/03/2023pathonprojectgithub#ezine #appsec #infosec Images
2023-03-29 00:41:22
🧅Timeless Timing Attacks and Preload Defenses in Tor's DNS CacheРабота про timeless timing атаку на DNS-кэш Tor'а, которая дает возможность атакующему удостовериться путем отправки одной TLS-записи, кэширован домен или нет. По сути кэшированные домены часто не приводят к попаданию в кэш, однако атакующий может проверить в дальнейшем по причине остаточной функции оных. В работе можно ознакомиться как с двумя краткосрочными смягчающими решениями, так и с долгосрочным решением по редизайну, подразумевающему предварительную загрузку только списка разрешенных доменов, который всегда кэшируется по цепям(circuits).#Tor #privacy #TimelessTimingAttack #SCA #DNScache #TLS
2023-03-29 00:40:13
🧅Timeless Timing Attacks and Preload Defenses in Tor's DNS CacheThe work is about a timeless timing attack on Tor's DNS cache, which allows the attacker to verify by sending a single TLS record whether the domain is cached or not. In fact, cached domains often do not lead to getting into the cache, but an attacker can check in the future because of the residual function of these. In the work, you can get acquainted with both two short-term mitigation solutions, and a long-term solution with a redesign that implies preloading only the list of allowed domains, which is always cached by circuits.#Tor #privacy #TimelessTimingAttack #SCA #DNScache #TLS Images Images Images Images Images
2023-03-10 08:48:50
Google меня почитывает?Здесь я говорил про дыру в captive portal, в Android 13 (AOSP) отключение данной приблуды вынесли в отдельную функцию (см. скрин 1)Тут я говорил о защите от скриншотов, в Android 14 это обещают реализовать средствами самой системы (см. скрин 2).Шутки шутками, но на самом деле это хорошо что в Android на уровне системы вносятся реально полезные в плане безопасности данных изменения, а не одни только свистоперделки типа Emoji Lab. Когда-нибудь наступит день... Да не, вряд ли. Images Images
2023-03-08 19:57:58
🔥🔥🔥CVE-2023-21768(Windows Ancillary Function Driver for WinSock EoP) PoC exploit.Complete exploit works on vulnerable Windows 11 22H2 systems. Write primitive works on all vulnerable systems.Usage:Windows_AFD_LPE_CVE-2023-21768.exe <pid>
2023-03-08 19:57:57
2023-03-08 19:55:30
🔓A Vulnerability in Implementations of SHA-3, SHAKE, EdDSA, and Other NIST-Approved Algorithm.💥SHA-3 Buffer Overflow(CVE-2022-37454, the Keccak XKCP SHA-3 reference implementation before fdc6fef has an integer overflow and resultant BoF that allows attackers to execute arbitrary code or eliminate expected cryptographic properties).#vulnerability #cryptography #expoitation #HashFunctions #SHA3 #SHAKE #EdDSA #Windows #Linux #macOS #x86_64
2023-03-08 19:55:19
#vulnerability #cryptography #expoitation #HashFunctions #SHA3 #SHAKE #EdDSA #Windows #Linux #macOS #x86_64 Images Images Images Images
2023-03-08 19:34:55
None Images Images Images
2023-03-08 17:20:59
Небольшой вне плановый пост про передачу данных с air gap с использованием модуляции яркости экрана🎥📺Версия на русскомA small off-schedule post about air gap data transfer using screen brightness modulation🎥📺English version#air_gap #camera #wireless_hacking #light
2023-03-08 17:10:21
❤️Happy International women's day!
2023-03-07 09:50:36
🗺Osmin is a GPS navigator On-Road/Off-Road for Android device.Strongly inspired by osmscout by Karry, it uses a fork of libosmscout as backend. It includes features such as generic compass, tracker, GPX reader/writer, road router, POI database.💥Releases.
2023-03-07 09:49:16
Относительно новый игрок среди опенсорсных навигаторов.Неплохая детализация, он(оф)лайн построение маршрутов, голосовое сопровождение, в том числе и на русском языке. Работает шустро, серьезных косяков не наблюдаю.Из минусов - нет разбивки офлайн карт по регионам. Чтобы навигировать по относительно небольшому городу где-нибудь в Мухосрани, в отличие от тех же Organic Maps, приходится закачивать всю Рашан Федерашан, а это, на минуточку, 4+ Гб живого места на накопителе.
2023-03-03 18:38:40
🕵️‍♂️An OS-agnostic Approach to Memory Forensics"In this paper we introduce the new concept of emph{OS-agnostic memory forensics}, which is based on techniques that can recover certain forensics information without emph{any} knowledge of the internals of the underlying OS. Our approach allows to automatically identify different types of data structures by using only their topological constraints and then supports two modes of investigation. In the first, it allows to traverse the recovered structures by starting from predetermined textit{seeds}, i.e., pieces of forensics-relevant information (such as a process name or an IP address) that an analyst knows emph{a priori} or that can be easily identified in the dump."#DFIR #forensics #volatileMemory #artifacts #OSagnostic
2023-03-03 18:38:20
#DFIR #forensics #volatileMemory #artifacts #OSagnostic Images Images Images
2023-03-03 13:36:47
📡Drone Security and the Mysterious Case of DJI’s DroneID Свежая работа про поверхность атаки DJI-дронов, разбор обсуждаемого неоднократно (НЕ)безопасного дизайна протокола DJI DroneID(отключение, перехвати и подделывание оного, из последних - "DJI drone IDs…
2023-03-03 12:40:53
🔥🔥🔥Hardware investigation of wireless keyloggersHardware keyloggers can be bought online for a couple of dollars and are very appreciated due to their discretion because they cannot be discovered by endpoint security software. The only condition for attackers is the usage of an external keyboard. We can assume they are used for espionage, while no public communication exists for such usage apart from a few articles. They can be bought on many websites, even Amazon, making them commonly used in private life, for example during a divorce. Many vendors also highlight their usage for monitoring employees. These vendors also sell other kind of recording devices, such as video (recording VGA, HDMI or DVI), RS232 and even Ethernet loggers. For all these tools, the price varies according to storage capacity and features (time keeping, Wi-Fi access...). Additionally, backdoored keyboards or small PCBs to insert in existing ones can also easily be bought online. Images Images Images Images
2023-03-03 11:46:48
|AppSec Ezine|📰472rd EditionRelease Date: 03/03/2023pathonprojectgithub#ezine #appsec #infosec Images
2023-03-03 01:01:36
🔥🔥🔥sudo: double free with per-command chroot sudoers rules(CVE-2023-27320)A flaw exists in sudo's per-command chroot feature that could result in the variable that stores the command being freed more than once. The vulnerability lies in a memory leak when specifying a chroot directory in the sudoers file, and has NO impact on default configurations.💥The vulnerability can be triggered only when a sudoers rule is configured to grant sudo privileges to a user and only when CHROOT is set for this rule, which is rare.🛡Security fix in this commit: 87ce69246869d9b9d69be278e29e0fc6a3cabdb9 "Fix potential double free for rules that include a CHROOT= option".🛡To mitigate this if you're affected by a vulnerable configuration, remove from the sudoers file the rules containing a CHROOT.⚠️The issue only affects Sudo versions 1.9.8-1.9.13p1 Images
2023-03-03 00:28:58
🛡National Cybersecurity Strategy(March 2023).#WhiteHouse #strategy #security #privacy #threats #CriticalInfrastructure #CICS #cryptography #vulnerabilities
2023-03-03 00:27:48
|National Cybersecutiry Strategy march23|🛡Белый Дом опубликовал информационный бюллетень "2023 National Cybersecurity Strategy", направленный на отображения видения и подхода по обеспечению безопасного цифрового будущего жителей США. Описанная в бюллетене стратегия устранения угроз(государственные и негосударственные субъекты разрабатывают и проводят новые компании, угрожающие национальной безопасности, общественной безопасности и экономическому процветанию) путем построения и сотрудничества по следующим направлениям:1️⃣Защита КИИ - для обеспечения доступности и устойчивости оной и услуг, которые она предлагает.2️⃣Разрушение(подрыв) и устранение субъектов угрозы - завязывание рук злоумышленникам(ака кибер преступники) для понижение угроз национальной/общественной безопасности США. 3️⃣Формирование рыночной силы(чему стоило бы точно нашим поучиться) для обеспечения безопасности и устойчивости - направлено на снижение рисков и перенесение последствий плохой кибербезопасности с наиболее уязвимых на более надежные, дабы в дальнейшем укрепить цифровую экосистему.4️⃣Инвестирование в устойчивое будущее - для поддержания лидирующих позиций США в области инноваций в безопасности и устойчивых технологий инфраструктуры следующего поколения будут продолжаться стратегические инвестиции и скоординированные совместные действия.5️⃣Налаживание международных партнерских отношений для достижения общих целей(укрепление государства в киберпространстве и все участвующие в данном процессе и ведущие себя безответственно, должны быть изолированы и и понимать цену данным действиям).⚠️Советую ознакомиться полностью с данным бюллетенем или хотя бы пробежаться по интересующим пунктам более подробно, ведь не мало моментов применимы не только в США. 🛡The White House has published the newsletter "2023 National Cybersecurity Strategy", aimed at displaying a vision and approach to ensure a secure digital future for US residents. The strategy described in the bulletin to eliminate threats (state and non-state actors develop and conduct new companies that threaten national security, public safety and economic prosperity) by building and cooperating in the following areas:1️⃣Protection of Critical Infrastructure - to ensure the availability and sustainability of it and the services it offers.2️⃣Destruction (undermining) and dismantle of threat actors - tying the hands of intruders (aka cyber criminals) to reduce threats to the national/public security of the United States. 3️⃣The formation of market power (which our people should definitely learn) to drive security and resilience is aimed at reducing risks and transferring the consequences of poor cybersecurity from the most vulnerable to more reliable ones in order to further strengthen the digital ecosystem.4️⃣IInvesting in a resilience future - Strategic investments and coordinated joint actions will continue to maintain the leading position of the United States in the field of security innovation and sustainable next-generation infrastructure technologies.5️⃣Establishing international partnerships to achieve shared goals (strengthening the state in cyberspace and all those involved in this process and behaving irresponsibly should be isolatedand understand the price of these actions).⚠️I advise you to read this bulletin in full or at least run through the points of interest in more detail, because not a few points are applicable not only in the USA.#WhiteHouse #strategy #security #privacy #threats #CriticalInfrastructure #CICS #cryptography #vulnerabilities
2023-03-03 00:27:38
#WhiteHouse #strategy #security #privacy #threats #CriticalInfrastructure #CICS #cryptography #vulnerabilities Images Images Images Images
2023-03-02 19:14:52
📕CrowdStrike 2023 Global Threat Report.#security #ThreatIntelligence #Espionage #Cloud #ICS #vulnerabilities #expoitation #InitialAccess #lateralMovement #defenseEvasion #LPE #EoP #malware #SocialEngineering #DarkWeb #AccessBrokers
2023-03-02 19:14:27
None Images Images Images Images
2023-03-02 15:11:41
🛡АВ - это безопасно говорили они. Без АВ тебя легко взломать - говорили они. А как по итогу, уже скопилось множество багов в АВ/EDR и техник эксплуатации, за счет чего при наличии оных, лишь увеличивается поверхность атак конечной системы. На сей раз - Avast с его динамической либой JsFlt.dl, которая инжектится в процесс браузера и открывает пайп с именем "\\.\pipe\chrome.PID.1.971151191159711010098111120112105112101", где соответственно PID - процесса браузера. По сути в браузере(Chromium-based) не блокируется загрузка aswJsFlt.dll, порождающая этот пайп(за счет перехвата wildcard NtCreateFile и NtOpenFile тут, пайп в таком случае доступен запесоченного рендера, хотя про ограничение перехвата пайпа есть уже issue). Так а в чем тут проблема? aswJsFlt.dll имеет поток, ожидающий данный пайп и при выполнении вредоносного кода в изолированном процессе, направленного на запись в пайп, можно добиться UAF или double free, то есть по сути в коде, отвечающем за ожидание пайпа в потоке(aswJsFlt.dll) есть UAF бага.🔖Код и инструкции о том, как затригерить багу(PoC), прикладываю ниже, а почитать сам issue 1378357 "Avast aswJsFlt.dll 18.0.1479.0 exposes vulnerable pipe endpoint to renderers" тут.
2023-03-01 20:04:51
|Decider|🕵️‍♂️Данный инструмент нацелен на помощь в выборе тактики, техники или подтехники атакующего в сопоставлении с MITRE ATT&CK фреймворком и он является по сути дополнением к руководству "Best Practices for MITRE ATT&CK Mapping" от CISA" и идет вместе с информационным бюллетенем о инструменте и видео . То есть нередко бывает дилемма с нанесением на карту той или иной техники, используемой атакующим, и Decider как раз помогает в данном случае. Причем, перед конечным результатом специалисту выстраивается ряд наводящих/управляемых вопросов(на человеческом языке) непосредственно о активности/действиях атакующего. Помимо всего прочего есть фильтрация, поиск(мы можем в таком случае не распыляться на не особо связанные с нашим инцидентом части ATT&CK) и экспорт итогового результата в таблицы или экземпляр ATT&CK Navigator.Если кого интересует, то Decider состоит из трех компонентов: PostgreSQL, веб-сервер(uWSGI) и собственно самого инструмента.🕵️‍♂️ This tool is aimed at helping to choose tactics, techniques or sub-techniques of the attacker in comparison with the MITRE ATT&CK Framework and it is essentially an addition to the manual "Best Practices for MITRE ATT&CK Mapping" from CISA" and comes along with a fact sheet about the tool and a video. That is, there is often a dilemma with mapping a particular technique used by an attacker, and Decider just helps in this case. Moreover, before the final result, the specialist is lined up with a number of suggestive / controlled questions (in human language) directly about the activity / actions of the attacker. Among other things, there is filtering, searching (in this case, we can not be sprayed on parts of ATT&CK that are not particularly related to our incident) and exporting the final result to tables or an instance of ATT&CK Navigator.If anyone is interested, then Decider consists of three components: PostgreSQL, a web server (uWSGI) and the tool itself.#DFIR #CISA #HSSEDI #ATTandCK #mapping #tactics
2023-03-01 20:04:44
#DFIR #CISA #HSSEDI #ATTandCK #mapping #tactics Images
2023-03-01 17:43:43
🔥🔥🔥Действительно серьезная бага была обнаружена в AMD Zen2, в результате которой(после переключения контекста после инструкции ucomiss) происходит "roll back"(откат) YMM - регистров к предыдущим значениям после переключения контекста. В случае, если есть подходящий процессор, то можно повторить шаги по инструкциями из сообщения про эту багу "x86: AMD Zen2 ymm registers rolling back".Как возможное решение/смягчение в линуксе - отключение XSAVES на затронутых процах и если прям хочется сейчас, то можно пожертвовать производительностью и загрузиться с помощью clearcpuid=xsaves.⚠️Важно учитывать тот факт, что значения между процессами не текут, но еще важнее, что уязвимые модели не получили микрокод, закрывающий данную багу.#securityFlaw #bug #AMD #Zen2 #Ryzen #expoitation #microcode #leak Images
2023-02-28 16:41:36
Привет, мои Чеширские котики🐱Я доделала пост про мобильную криминалистику🔎В начале там будут приведены методы мобильной форензики.После я проведу пример анализа криптокошельков на андроиде и айфоне.А в конце будет приведены инструменты упрощающее процесс расследования.Так же материал дополняющий статью будет в архиве ниже.Русская версияHello, my Cheshire cats🐱I finished the post about mobile forensics🔎In the beginning there will be mobile forensics methods.After that I will give an example of cryptocurrency analysis on android and iPhone.And at the end there will be tools to simplify the investigation process.Also the material supplementing the article will be in the archive below.English version#crypto_wallet #bitcoin #nft #android #forensics #ios
2023-02-28 16:26:51
#cryptography #cryptanalysis #AES #WhiteBox #DCA #DFA #FaultsInject
2023-02-28 16:26:35
|Dark Phoenix|🔓Еще один интересный проект(посмотреть другие с атаками по побочному каналу(SCA) "Side-Channel Marvels" тут) для выполнения differential fault analysis(DFA) атак white-box имплементаций AES с внешними кодировками от кварков. Реализация очень близка к той, которая описывается в работе "A DFA Attack on White-Box Implementations of AES with External Encodings". Стоит отметить основной момент в сравнении с классическим DFA: заместо взлома AES-ключа с использованием всего лишь с использованием двух ошибок(прям идеальные условия и луна в правильной позиции), то в данном случае необходимо воспользоваться более чем миллионом(ахтунг!) ошибок. Однако стоит заметить, что в случае white-box настройки не считается какой-то огромной цифрой и в статье демонстрируется атака, занимающая всего лишь 2 минуты, что довольно неплохо.Более подробно в статье: "Dark Phoenix: a new White-box Cryptanalysis Open Source Tool " от кварков.🔖Репозиторий с исходным кодом находится тут.⚠️Инструмент предназначен только для 8-битной кодировки!🔓Another interesting project (see others with Side-Channel attacks(SCA)"Side-Channel Marvels" here) to perform differential fault analysis(DFA) attacks of white-box AES implementations with external encodings from quarks. The implementation is very close to the one described in the work "A DFA Attack on White-Box Implementations of AES with External Encodings". It is worth noting the main point in comparison with the classic DFA: instead of hacking the AES key using only two faults (just ideal conditions and the moon in the right position), then in this case it is necessary to use more than a million (ahtung!) faults. However, it is worth noting that in the case of a white-box, the settings are not considered some huge figure and the article demonstrates an attack that takes only 2 minutes, which is pretty good.For more details, see the article: "Dark Phoenix: a new White-box Cryptanalysis Open Source Tool " from quarks.🔖The source code repository is located here.⚠️The tool is designed for 8-bit encoding only!#cryptography #cryptanalysis #AES #WhiteBox #DCA #DFA #FaultsInject
2023-02-28 16:26:25
#cryptography #cryptanalysis #AES #WhiteBox #DCA #DFA #FaultsInject Images
2023-02-27 07:55:49
📡Paralyzing Drones via EMI Signal Injection on Sensory Communication ChannelsIn this paper, Joonha Jang (KAIST), ManGi Cho (KAIST), Jaehoon Kim (KAIST), Dongkwan Kim (KAIST) and Yongdae Kim (KAIST) propose a novel anti-drone technique that effectively corrupts ANY IMU sensor data regardless of the sensor’s type, model, and manufacturer. Our key idea is to distort the communication channel between the IMU and control unit of a drone by using an electromagnetic interference (EMI) signal injection. Experimentally, for a given control unit board, regardless of the sensor used, we discovered a distinct susceptible frequency at which an EMI signal can greatly distort the sensor data. Compared to a general EM pulse (EMP) attack, it requires much less power as it targets the specific susceptible frequency. It can also avoid collateral damage from the EMP attack. For practical evaluation, we demonstrate the feasibility of the attack using real drones; the attack instantly paralyzed the drones.
2023-02-26 01:41:34
#security #anonymity #deanonymization #P2P #Tox
2023-02-26 01:33:41
🔓Вот и все, любители Токса(конкретно uTOX и qTOX)....На самом деле не все так плохо, однако давайте посмотрим.В клиентах uTox и qTox (как на винде, так и на линуксе ) текут IP-адреса выхода(Egress IPs более понятно, но на всякий случай озвучу: это IP-адреса, трафик которых по большому счету выходит за пределы объекта или границы сети, то бишь те, которые участвуют в передаче трафика из хост-сети во внешнюю сеть) и по большому счету в P2P такое встречается не редко. То есть общаетесь вы с помощью uTOX/qTOX и по сути обе стороны видят IPшники. Очевидные контрмеры: как минимум использовать VPN/прокси(причем лучше использовать SOCKS5-прокси и отключать IPv6), а лучше весь трафик uTox/qTox или любого другого Tox-клиента оборачивать через TOR.🔓That's all, lovers of Tox (specifically uTox and qTox)....In fact, not everything is so bad, but let's see.In uTox and qTox clients (both on Windows and Linux) leaks Egress IP addresses (IP addresses whose traffic by and large goes beyond the object or network boundaries, that is, those that participate in the transmission of traffic from the host network to the external network) and by and large in P2P, this is not uncommon. That is, you communicate using uTox/qTox and in fact both sides see IPsObvious countermeasures: at a minimum, use a VPN/proxy (and it is better to use SOCKS5 proxy and disable IPv6), and it is better to route all the traffic of uTox/qTox or any other Tox client via TOR.🤙Thx @UK_Daniel_Card, @olihoughio & @3xp0rtblog#security #anonymity #deanonymization #P2P #Tox
2023-02-26 01:33:20
#anonymity #deanonymization #P2P #Tox
2023-02-24 11:11:42
Там где можно использовать одноразовые ящики, я использую одноразовые. Там где нельзя - использую Tutanota. Это что касается использования почты для регистрации и подобных движений.Для всех прочих "почтовых" движений я уже давно использую Disroot. Что это за проект я рассказывал тутНикаких страшилок про этот проект я не встречал и сам с какими-то проблемами в конфиденциальности не сталкивался.Регистрируете ящик, прямо на сайте проекта создаете на него alias, чтобы нигде не светить реальный, и полученный условный используете в свое удовольствие.Там же на сайте, если не хотите использовать приложение Disroot, которое по сути простой интерфейс доступа к сервису через WebView, есть подробная инструкция как интегрировать ваш ящик в, наверное, самый известный опенсорсный почтовый клиент К-9Данный почтовый клиент имеет прямую интеграцию с другим известным опенсорсным инструментом Openkeychain. Про него и про кооперацию с жабой я немного рассказывал здесьВ итоге вы имеете приличный почтовый ящик, хороший почтовый клиент с понятным и простым интерфейсом и собственное шифрование, которое позволяет положить с прибором на риски прочтения вашей почты третьими лицами.
2023-02-24 10:32:52
|AppSec Ezine|📰471rd EditionRelease Date: 24/02/2023pathonprojectgithub#ezine #appsec #infosec
2023-02-23 09:10:07
📕Best Practices for Securing Your Home Network#NSA #CSI #security #privacy #wirelessNetwork #router #Authentication #browsers #storage #assistance
2023-02-23 09:10:01
None Images
2023-02-22 15:38:04
Форензика и борьба с ней💥Пока я пишу большую статью про мобильную форензику, решила выложить список инструментов, сборников и материалов по обычной(в основном ПК) форензике и борьбе ней.Надеюсь вам будет полезно 🔑Русская версияForensics and wrestling with it💥While I'm writing a big article about mobile forenzika, I decided to post a list of tools, compilations and materials on regular(mostly PC) forensics and wrestling with it.I hope you will find it useful 🔑English version#forensics #anonymity #anti_forensics #malware #cryptography
2023-02-22 15:22:18
|UAC aka Unix-like Artifacts Collector|🕵️‍♂️Данный скрипт(свой набор инструментов и бинарей) будет полезен IR-специалистам для сбора артефактов из Unix-подобных систем: AIX, Android, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD и Solaris. По сути для UAC нужен только шелл и запустить можно не только на вышеперечисленных системах, но а в целом на Unix-подобный. Для примера: захотели достать артефакты из маршрутизатора на OpenWrt и вуаля, у нас есть UAC который справится с данной задачей и вытащит данные без необходимости в установке оного.А на что непосредственно скрипт способен? Ниже привожу основные функции:💾Не нужно устанавливать и можно запустить условно везде без зависимостей💾Кастомизируемые и расширяемые коллекции/артефакты💾Волатильность соблюдается во время сбора артефактов💾Хэширование запущенных процессов и исполняемых процессов💾Сбор информации из процессов запущенных без бинарника на диске💾Сбор артефактов из приложений💾Сбор пользовательских и системных конфигурационных файлов и логов💾Получение волатильной памяти из Linux-систем посредством различных методов и инструментов💾Извлечение информации из файлов и директорий для создания bodyfile(в том числе и расширенные атрибуты файла для ext4).🔖Документация тут.🕵️‍♂️This script (its own set of tools and binaries) will be useful for IR specialists to collect artifacts from Unix-like systems: AIX, Android, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD and Solaris. In fact, UAC only needs a shell and can be run not only on the above systems, but also on Unix-like in general. For example: we wanted to get artifacts from the router on OpenWRT and voila, we have a UAC that will cope with this task and pull out the data without the need to install it.And what is the script capable of directly? Below are the main functions:💾No need to install and can be run conditionally everywhere without dependencies💾Customized and expandable collections/artifacts💾Volatility is observed during artifact collection💾Hashing of running processes and executable processes💾Collecting information from processes running without a binary on disk💾Collecting artifacts from applications💾Collection of user and system configuration files and logs💾Obtaining volatile memory from Linux systems through various methods and tools💾Extract information from files and directories to create a bodyfile (including extended file attributes for ext4).🔖Documentation here.#DFIR #forensics #triage #memory #artifacts #processes #Unix #Android #ESXi #FreeBSD #Linux #macOS #NetBSD #NetScaler #OpenBSD #Solaris
2023-02-22 15:22:12
#DFIR #forensics #triage #memory #artifacts #processes #Unix #Android #ESXi #FreeBSD #Linux #macOS #NetBSD #NetScaler #OpenBSD #Solaris
2023-02-22 13:22:24
💥1day link Private Shizo(fully free)
2023-02-22 01:41:57
#iOS #iPadOS #SysLogs #processes #jailBrokenDevices
2023-02-22 01:41:27
|Antoine|📲Данное приложение(Antoine) можно считать эквивалентом, только работающим на iOS/iPadOS. По сути у нас появляется UI для просмотра ОС/системных логов на iOS/iPadOS в реальном времени и возможность фильтровать полученные данные.Функции приложения:💾Stream-журналы💾Фильтрация полученных данных разными способами: по сообщению, процессу, категории, подсистеме и pid.💾Можно просматривать дату и время создания журнала, его тип и т.д.💾Есть поддержка стриминга приложений в фоновом режиме(для этого необходима постоянная авторизация местонахождения) .⚠️Важно!Данное приложение поддерживается устройствами на iOS 13+, при условии что установлен TrollStore или устройство на котором можно получить произвольные права или был получен(установлен) джейлбрейк .📲This application (Antoine) can be considered the equivalent of, but it works on iOS/iPadOS. In fact, we have a UI for viewing OS/system logs in real time and the ability to filter the received data.Application functions:💾Stream Logs💾Filtering the received data in different ways: by message, process, category, subsystem and pid.💾You can view the date and time of the log creation, its type, etc.💾There is support for streaming applications in the background (this requires always-on authorization of the location).⚠️ Important!This application is supported by devices running iOS 13+, provided that a TrollStore is installed or a device on which arbitrary rights can be obtained or a jailbroken device.#iOS #iPadOS #SysLogs #processes #jailBrokenDevices
2023-02-22 01:40:19
#iOS #iPadOS #SysLogs #processes #jailBrokenDevices
2023-02-21 12:01:00
🔥🔥🔥REUnziP: Re-Exploiting Huawei Recovery With FaultyUSB(CVE-2022-44563, Toc-ToU race condition vuln can be exploited to achieve arbitrary code execution )This is a new vulnerability in a proprietary mode called “SD-Update”, which can once again be used to achieve arbitrary code execution in the recovery mode, enabling unauthentic firmware updates, firmware downgrades to a known vulnerable version or other system modifications. Taszk advisory for the vulnerability is published here. The story of exploiting this vulnerability was made interesting by the fact that, since the exploit abuses wrong assumptions about the behavior of an external SD card, we needed some hardware-fu to actually be able to trigger it. In this blog post, Lorant Szabo describe how we went about creating “FaultyUSB” - a custom Raspberry Pi based setup that emulates a maliciously behaving USB flash drive - and exploiting this vulnerability to achieve arbitrary code execution as root!
2023-02-21 11:41:49
📕The Ultimate Guide to Getting Started in DFIR(v2.0)#DFIR #forensics #SANS #manual
2023-02-21 11:41:37
#DFIR #forensics #SANS #manual
2023-02-17 18:29:30
Как быть?Я бы сначала задал более фундаментальный вопрос - "быть или не быть?". Если вы озабочены такой проблемой как грамотная генерация и подмена IMEI, вы должны совершенно определенно знать те два с половиной случая когда это реально необходимо. Во всех остальных случаях - это пустая трата времени.Ну ок, давайте про IMEI. А конкретно про префиксы. Первые восемь цифр любого IMEI-кода - это так называемый TAC (не путайте с одноименным кодом в телефонии, это разные идентификаторы, хоть и с одинаковой аббревиатурой). В данном случае TAC - Type Allocation Code, присваивается конкретной модели устройства конкретного производителя. Соответственно, эти цифры должны совпадать с реальным устройством, под которое вы мимикрируете (мастырите фейк, епта). Остальные цифры в IMEI тоже несут смысловую нагрузку, но практическое значение в этом случае имеют только первые восемь и последняя (проверка контрольной суммы). И только отталкиваясь от этого можно генерировать IMEI. Например, ваше целевое устройство (ну, фейк же, епта) - Google Pixel 7 (кодовое имя panther). Для начала, вам необходимо узнать префикс TAC данной модели. Заходите, как вариант, на данный ресурс, и среди всратых бесконечных моделей всяких самсунгов находите целевое устройство. Префикс TAC для Pixel 7 - это (но не только это) 35368324Берете эти цифры и тащите их в генератор, который не просто генерирует валидный идентификатор с корректной контрольной суммой, но и позволяет делать это на основе заданного префикса (конкретной модели конкретного производителя), например сюдаПосле этого чекаете полученный идентификатор, и, если результат такой как на скрине ниже, можете использовать его в своих отвратительных махинациях.Про генерацию IMSI и MAC расскажу как-нибудь в другой раз. Или не расскажу.
2023-02-17 16:25:47
📲Hope of Delivery: Extracting User Locations From Mobile Instant Messengers#privacy #security #expoitation #timingSCA #messaging #mobile #Signal #Threema #Whatspp #Geolocation
2023-02-17 16:25:40
#privacy #security #expoitation #timingSCA #messaging #mobile #Signal #Threema #Whatspp #Geolocation
2023-02-17 16:14:48
📡Drone Security and the Mysterious Case of DJI’s DroneID#UAVs #drones #security #privacy #RE #fuzzing #vulnerability #expoitation #fw #DJI #DroneID #SDR #OFDM #QPSK
2023-02-17 16:13:59
📡Drone Security and the Mysterious Case of DJI’s DroneIDСвежая работа про поверхность атаки DJI-дронов, разбор обсуждаемого неоднократно (НЕ)безопасного дизайна протокола DJI DroneID(отключение, перехвати и подделывание оного, из последних - "DJI drone IDs are not encrypted") с использованием дешевого оборудования и программного обеспечения,реверса fw и hw, фаззинг и реверс протокола связи DJI и найденная пачка багов, которые могут привести к выполнению произвольного кода(arbitrary code execution) или к изменению серийного номера девайсе или атакующий отправляет OTA(over-the-air)-пэйлоад, который может вывести из строя дрон еще во время полета или разблокировка рутового adb-шелла .Причем в работе разбирается как сценарий с пассивной атакой без физического доступа к птичке(перехват OTA-трафика, спектральный анализ, демодуляция и декодирование сигналов) , так и с активной атакой(когда птичка на руках: байпасс сигнатурной верификации fw, засовывание бэкдора в fw трансивера и доставка SDRH-файлов через fastboot ). 🔖Сорцы фаззера и DroneID ресивера появятся скоро в данной репе. Fresh work about the attack surface of DJI drones, analysis of the repeatedly discussed (NOT) secure design of the DJI DroneID protocol (disabling, intercepting and faking it, from the latest - "DJI drone IDs are not encrypted") using cheap hardware and software,reverse fw and hw, fuzzing and reverse engineering of the DJI communication protocol and a bundle of bugs found that can lead to arbitrary code execution or to a change in the serial number of the device or the attacker sends an OTA(over-the-air)-payload, which can disable the drone even during the flight or unlocking the root adb shell. Moreover, the work deals with both a scenario with a passive attack without physical access to the bird (interception of OTA traffic, spectral analysis, demodulation and decoding of signals) and an active attack (when the bird is on hand: bypass fw signature verification, inserting a backdoor into the fw of the transceiver and uploading SDRH files via fastboot).🔖Fuzzer and DroneID receiver source code will appear soon in this repo.#UAVs #drones #security #privacy #RE #fuzzing #vulnerability #expoitation #fw #DJI #DroneID #SDR #OFDM #QPSK
2023-02-17 16:12:39
#UAVs #drones #security #privacy #RE #fuzzing #vulnerability #expoitation #fw #DJI #DroneID #SDR #OFDM #QPSK
2023-02-17 09:53:36
|AppSec Ezine|📰470rd EditionRelease Date: 17/02/2023pathonprojectgithub#ezine #appsec #infosec
2023-02-16 13:44:34
Шпаргалка для использования дорков. — Здесь собраны работающие и актуальные дорки. — В конце шпаргалки представлены ресурсы и статьи для дальнейшего изучения ремесла поиска. — Сохрани иначе потеряешь ;)
2023-02-14 13:14:34
📕Remote Side-Channel Attacks(SCA) and Defenses#security #sideChannel #TimingAttack #electromagnetic #software #hardware #cryptography #expoitation
2023-02-14 01:48:16
|RecoverPy|🕵️‍♂️Опубликую довольно простой в использовании инструмент, написанный на питоне и применяемый для восстановления удаленных/перезаписанных данных, сканируя каждый блок выбранного раздела(делая по уму, лучше изначально размонтировать раздел, все-таки меньше изменений - лучше для нас) . Не советую сильно надеяться на восстановление перезаписанных данных и настоятельно рекомендую предварительно ознакомиться с следующими статьями:💾Пятнадцать мифов о восстановлении и потере данных💾Мифы о восстановлении данных💾Заметаем следы. Как уничтожить данные быстро и безвозвратно💾Как надёжно удалить файлы и зачистить HDD/SSD💾Как стереть данные так, чтобы их не смогли восстановить спецслужбы?Использовать просто:1️⃣Запускаем из под рута/sudo(su do) в случае с системны разделом):# python3 -m recoverpy$ sudo python3 -m recoverpy2️⃣Выбираем раздел, в котором находятся интересующий(ие) нас файл(ы).3️⃣Вводим текстовую строку для поиска, результат поиска будет в левом поле.4️⃣Выбираем результат и нажимаем на "Open"5️⃣После вышеописанных шагов у нас есть несколько вариантов развития событий: сохранить этот блок отдельно или просмотреть соседние блоки в поисках оставшихся частей файла. После чего, результаты можно сохранить в одном файле и наслаждаться или нет, полученным продуктом работы инструмента.🕵️‍♂️I will publish a fairly easy-to-use tool written in python and used to restore deleted/overwritten data by scanning each block of the selected partition (doing it wisely, it is better to initially unmount the partition, after all, fewer changes are better for us) . I do not advise you to hope too much for the recovery of overwritten data!It's easy to use:1️⃣Run from under the root /sudo(su do) in the case of the system partition:):# python3 -m recoverpy$ sudo python3 -m recoverpy2️⃣Select the partition in which the file(s) of interest to us are located.3️⃣Enter a text string for the search, the search result will be in the left field.4️⃣Select the result and click on "Open"5️⃣After the above steps, we have several options for the development of events: save this block separately or browse adjacent blocks in search of the remaining parts of the file. After that, the results can be saved in a single file and enjoy or not, the resulting product of the tool.#forensics #DataRecovery
2023-02-14 01:48:09
#forensics #DataRecovery
2023-02-10 21:56:37
📕Ransomware Attacks on CriticalInfrastructure Fund DPRK(Democratic People’s Republic of Korea) Malicious Cyber Activities#advisory #NSA #FBI #CISA #HHS #ROK #NIS #DSA #CSA #DPRK #security #ransomware #ICS #exploitation #Apache #Log4j #SMA100 #TOS
2023-02-10 11:17:13
|AppSec Ezine|📰469rd EditionRelease Date: 10/02/2023pathonprojectgithub#ezine #appsec #infosec
2023-02-05 23:59:42
🔥🔥🔥Linux Kernel: Bypassing Spectre-BTI User Space Mitigations(CVE-2023-0045)The Linux kernel does not correctly mitigate SMT attacks, as discovered through a strange pattern in the kernel API using STIBP as a mitigation, leaving the process exposed for a short period of time after a syscall. The kernel also does not issue an IBPB immediately during the syscall.The ib_prctl_set function updates the Thread Information Flags (TIFs) for the task and updates the SPEC_CTRL MSR on the function __speculation_ctrl_update, but the IBPB is only issued on the next schedule, when the TIF bits are checked. This leaves the victim vulnerable to values already injected on the BTB, prior to the prctl syscall.The behavior is only corrected after a reschedule of the task happens. Furthermore, the kernel entrance (due to the syscall itself), does not issue an IBPB in the default scenarios (i.e., when the kernel protects itself via retpoline or eIBRS).🛡Security patch(Flush IBP in ib_prctl_set())💥 PoC + writeup
2023-02-05 23:54:18
📕Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems🔖 Website(including demo)📺 Recording a speech on YouTube#audio #light #laser #microphone #expoitation #signalInjection
2023-02-05 23:53:41
#audio #light #laser #microphone #expoitation #signalInjection
2023-02-05 23:36:18
📕Watching your call: Breaking VoLTE Privacy in LTE/5G Networks#security #privacy #mobileCommunication #5G #LTE #VoLTE #NR #cryptography
2023-02-05 23:35:25
|Конфиденциальность VoLTE под угрозой| 📲Все больше вижу на просторах сети исследовательских работ касательно конфиденциальности в сетях LTE и 5G, атаки и детектирование атак соответственно на радиоэлектронном уровне. В то же время VoLTE(Voice over LTE) затрагивается в меньшей мере. Если говорить вкратце, VoLTE основана на IMS со специальными профилями для управления и мультимедийных плоскостей голосовой службы, собственно VoLTE интегрирована в LTE("большая четверка" в лице Мегафона, МТС, Теле2 и Билайн, уже как несколько лет предоставляют поддержку данной платформы на территории РФ). Так что, благодаря VoLTE можно передавать звук в виде мультимедиа по LTE, как поток данных c управлением полосы пропускания для конкретного вида трафика(отсюда её охарактеризовывают как услугу пакетной телефонии) , причем происходит шифрование этих самых голосовых данных с помощью потокового шифрования(телефон ↔️ сеть). Также есть VoNR(Voice over New Radio), похожая на VoLTE только для сетей 5G, в котором есть SUCI для того, чтобы мешать злоумышленнику воспользоваться IMSI-catchers(детектор IMSI-Catchers) . Про плюсы и минусы можно спокойно найти в сети(качество звучания, скорость соединения, зона покрытия и так далее), также прикладываю ниже ссылки, чтобы можно было предварительно разобраться с VoLTE подробнее:⛓How does VoLTE work? What is the difference between VoLTE and VoWiFi?⛓Difference between LTE and VoLTE⛓Learning VoWifi, VoLTE, and IMS: because I'm too Millennial to make a phone call⛓VoLTE/VoWiFi research with $0 of equipment: set up a phone network over Wi-Fi callingТеперь к вопросу конфиденциальности VoLTE. Вышла недавно работа: "Watching your call: Breaking VoLTE Privacy in LTE/5G Networks", которая разбирает наглядно как можно получить доступ к зашифрованным метаданным вызовов(журналы активности VoLTE, которые содержат в себе: время вызовов. , продолжительность и входящий или исходящий вызов в случае для разговоров по мобильной сети) и конечно не забыли про рекомендации по защите/смягчения от данных атак. Чем это чревато? Исследователи показали как можно использовать вышеописаные метаданные для сопоставления(отображение) телефонных номеров (связывание телефонных номеров с анонимизированными идентификаторами сетей LTE и 5G-SA - GUTI). То есть благодаря предложенным улучшениями атаки от исследователей, злоумышленник после восстановления журналов активности VoLTE /NR жертв, которые он получил из собранного зашифрованного трафика, а далее связываются с ранее упомянутыми анонимизированные идентификаторы с реальными. Причем атакующий может добиться очень высоких показателей НЕобнаружения(undetectability) и надежности.Собственно в работе были представлены два типа атак на конфиденциальность VoLTE/NR:💾Атака мониторинга активности. Используя зашифрованные данные PDCP можно восстановить действия VoLTE/NR.💾Атака восстановления идентификационных данных. Благодаря данному типу атак появляется возможность получать сетевые идентификаторы и привязывать их к телефонным номерам жертв, используя трафик VoLTE/NR. Ниже описано как может протекать атака:1️⃣Мониторинг пользовательского оборудования2️⃣Сбор удостоверений личности3️⃣Анализ журналов VoLTE для дальнейшего извлечения из них данных о действиях VoLTE жертвы.4️⃣Отображение идентичности📲Также, рекомендую сперва ознакомится с еще одной атакой на VoLTE(более старая), которая называется ReVoLTE и направлена на раскрытие зашифрованных VoLTE вызовов. Данная атака возможна по причине использования одного и того же ключа(ключевого потока) дважды и более раза в реализации поточного шифра(обнаружили Raza и Lu). #security #privacy #mobileCommunication #5G #LTE #VoLTE #NR #cryptography
2023-02-05 23:33:04
#security #privacy #mobileCommunication #5G #LTE #VoLTE #NR #cryptography
2023-02-05 22:57:56
|Anti-Forensics|🕵️‍♂️У меня нередко спрашивали про анти-форензику, посему опубликую тут полезный по моему мнению репозиторий от Ali Hadi про актуальные анти-форензик техники, которые были составлены с помощью сообщества в данном твите. 🕵️‍♂️I have often been asked about anti-forensis, therefore I will publish here a useful repository from Ali Hadi about current anti-forensis techniques that were compiled with the help of the community in this tweet.#antiForensics #DFIR #Steganography #cryptography #OS #virtuallization #FS #Logs
2023-02-04 14:55:44
📡Space Jam: Exploring Radio Frequency Attacks in Outer Space
2023-02-04 14:55:31
#RF #satellite #Exploitation #Hijacking #GPS #jamming
2023-02-03 16:27:14
Я сделала сборник различных инструментов и материалов по радио хакингу, так же там есть материалы/инструменты по мобильной связи.В этом сборнике я дала подробное их оп описаниеНадеюсь вам будет интересно ❤️Русская версия#radio_hacking #radio_waves #tools #gsm #mobile #network #ss7 #cve
2023-02-03 15:46:44
📕Detect Me If You Can - Anti-Firmware Forensics📺 Download the recording of the speech.
2023-02-03 15:46:05
#security #forensics #fw #bootkit #MitM #SMMrootkit
2023-02-03 15:26:22
|Joint Doctrine Note 1/23|🕵️‍♂️Довольно познавательная записка о совместной доктрине 1/23, выпущенная МО Великобритании, раскрывающая детали перехода от традиционной(линейной) разведки к операционно-разведывательной деятельности и ISR( Intelligence, Surveillance и Reconnaissance), ориентированную на проблемы.🕵️‍♂️A rather informative note on Joint Doctrine 1/23, issued by the UK MOD, revealing the details of the transition from traditional (linear) intelligence to operational intelligence and ISR (Intelligence, Surveillance and Reconnaissance), focused on problems.#MoD #ISR #Intelligence #Surveillance #Reconnaissance #expoitation #automation #AI #ML
2023-02-03 15:26:05
#MoD #ISR #Intelligence #Surveillance #Reconnaissance #expoitation #automation #AI #ML
2023-02-03 14:06:32
|AppSec Ezine|🎂Сегодня вот уже как 9 лет выпускается еженедельно электронный журнал(e-zine) "AppSec Ezine", благодарность автору за регулярность и актуальность публикуемых в нем материалов.🎂Today, the weekly electronic magazine (e-zine) "AppSec Ezine" has been published for 9 years, thanks to the author for the regularity and relevance of the materials published in it.📰468rd EditionRelease Date: 03/02/2023pathonprojectgithub#ezine #appsec #infosec
2023-02-01 20:06:05
|Короткий анализ ошибки в Dompdf(CVE-2023-23924)|🤙 Шизо на связи! Продолжаем знакомиться с багами.Что из себя представляет Dompdf?По сути dompdf - это распространенная PHP-библиотека, позволяющая осуществлять рендеринг PDF-файлов из HTML.УязвимостьВ версии 2.0.1 dompdf была обнаружена уязвимость в проверке URI, позволяющая забайпассить оную, передав <image> тэги с заглавными буквами, что может привести несериализации произвольного объекта в версии PHP: < 8.0.0 посредством phar URL-враппера(статья про эксплуатацию уязвимостей десериализации в PHAR, выступление на blackhat USA 2018 "File Operation Induced Unserialization via the “phar://” Stream Wrapper" ).Влияние уязвимости В случае успешной эксплуатации уязвимости, атакующий может добиться RCE(вне зависимости от доступных классов) и как минимум достичь произвольного удаления файла, в том случае если используемая версия PHP: < 8.0.0. Другой исход удачной эксплуатации: атакующий может добиться вызова произвольного URL-адреса.Добиться можно благодаря использованию SVG-изображения в dompdf с условием, про которое уже написал в разделе "Уязвимость". Анализ причинКак уже писал выше, ошибка возникает во время парсинга <image> тэгов(в скриншоте указал, уязвимый код находится в файле src/Image/Cache.php). Выходит это так: сперва идет проверка "является ли тип файла SVG": if ($type === "svg"), далее в ходе парсинга идет проверка "имя тега image?": if ($name === "image"), которое необходимо для обнаружения тега <image> в SVG, однако в версии 2.0.1 данное сравнение в условии чувствительно к регистру. Поэтому следующих код, содержащий тег <Image> вместо <image>, не пройдет условие для того, чтобы затригерить проверку, также мы воспользуемся phar для несериализации произвольного объекта:<svg> <Image xlink:href="phar:///foo"></Image></svg>ИсправлениеВ данном исправлении, которое вышло для версии 2.0.2, произошло добавление функции strtolower(функция обработки текста, возвращающая строку с ASCII-буквами, преобразованными в нижний регистр), которая принимает аргумент в виде переменной-строки $name в условии: if (strtolower($name) === "image")Тригерим багу(PoC)Как уже писалось в разделе "Анализ причин", затриггерить ошибку довольно просто(код приводится ниже повторно):<svg> <Image xlink:href="phar:///foo"></Image></svg>
2023-01-31 15:31:24
🕵️‍♂️Помните был почти полгода назад NSA Codebreaker 2022, где была серия задач, связанная с рансом-инцидентом , который приближен к реальному инциденту?Так вот, появилась серия описаний решений задач оттуда(writeup в простонародье), ниже прикладываю.🕵️‍♂️Remember there was an NSA Codebreaker 2022 almost six months ago, where there was a series of tasks related to a ransom incident that is close to a real incident?So, there was a series of descriptions of solutions to problems from there (writeup in the common people), I attach below.📝 Official Write-up📝 2022 NSA Codebreaker Challenge Writeup(5t0n3)📝 NSA Codebreaker Challenge 2022 Writeup(Byte Breach)📝 NSA Codebreaker 2022 Writeups(aNdYrYeW)📝 NSA Codebreaker Challenge 2022(0xfbad)📝 Writeups from the 2022 NSA Codebreakers CTF Challenge(0-C0FF3E)📝 NSA Codebreaker 2022 Writeups(DanielC949)📝 NSA Codebreaker Challenge 2022 Writeups(rohanvis24)📝 NSA CodeBreaker Challenge 2022(diohabara)#NSA #FBI #Codebreaker2022 #ransomware
2023-01-29 18:16:54
🔓KeePwn is a python script to help red teamers discover KeePass instances and extract secrets.💾KeePwn's search mode can be used to identify hosts that run KeePass on your target environment. 💾KeePwn's trigger mode can be used to search, add and remove malicious triggers. It can also recover cleartext exports from the targeted host.
2023-01-28 09:59:14
🕵️‍♂️Mobile Forensic Analysis of Signal Messenger Application on Android using DigitalForensic Research Workshop (DFRWS) Framework#forensics #mobile #android #messaging #signal #DFRWS
2023-01-28 09:59:06
#forensics #mobile #android #messaging #signal #DFRWS
2023-01-27 15:32:33
|AppSec Ezine|📰467rd EditionRelease Date: 27/01/2023pathonprojectgithub#ezine #appsec #infosec
2023-01-26 11:55:03
📕The Analyst Mindset: A Cognitive Skills Assessment of Digital Forensic Analysts🕵️‍♂️Не одними чисто техническими аспектами силен форензик-специалист(как и в целом специалист из любой другой области, однако тут акцент на специалистах, занимающихся цифровой форензикой).Данное исследование дает нам представление о мышлении форензик-специалиста, демонстрируя ментальные модели, в том числе: процедурные навыки и навыки принятия решений формирующих модель диагностического запроса.🕵️‍♂️The forensic specialist is not only strong in purely technical aspects (as well as in general a specialist from any other field, but here the emphasis is on specialists engaged in digital forensics).This study gives us an idea of the thinking of a forensic specialist, demonstrating mental models, including: procedural skills and decision-making skills forming a model of a diagnostic query.#forensics #imvestigation #mindset #mental
2023-01-26 11:54:45
#forensics #imvestigation #mindset #mental
2023-01-26 09:24:23
Я наконец то дописала большую статью про безопасность линукс на русском. Материал для моих англоязычных читателей выйдет чуть позжеI finally wrote a long article about Linux security.Material for my English-speaking readers will be released a little laterПриятного прочтения❤️#vpn #linux #tor #i2p #mac #decentralization #cryptography #cve #dos #еtthernet #anonymity #attackers
2023-01-25 22:49:05
📕RedTeam With OneNote Sections. Windows Initial Vector Series#malware #OneNote #InitialAccess #VBS #VBA #MacroPackPro
2023-01-25 22:47:56
|Malicious OneNote Docs|🕵️‍♂️Today on SANS I saw the post "A First Malicious OneNote Document" by Xavier Mertens with an analysis of the malicious MS OneNote file (read about OneNote file format here), The peculiarity of the file is that it has an HTA(.hta) file embedded in it, which in turn loads a harmless note to distract attention and uploads with further the execution of an obfuscated batnik, which in turn is a dropper pulling up a payload encrypted with AES. And the deception is quite simple: PNG image with the text "Click to view document", which was actually needed to hide suspicious elements. In fact, there was nothing new in the analysis, except that the script , developed by Didier (his article about the analysis of malicious OneNote documents can be found here) and aimed at analyzing and extracting data from OneNote files. In Xavier's article, a VB script was mentioned, but it was not said that OneNote does not allow VBA macros to be executed, or that in addition to HTA, you can embed files like LNK or EXE, and also allows you to use fake extensions. Or another important point: malicious Excel/Word/PPT that can be embedded in a document are reproduced without protected viewing, and an attacker can automate some tasks using OneNote.Application and XML.It can also be noted that attackers for OneNote automation can delete the wrong registry key:Computer\HKEY_CLASSES_ROOT\TypeLib\{0EA692EE-BB50-4E3C-AEF0-356D91732725}\1.0📕For a better picture, I recommend reading the document from @EmericNasi about using OneNote to gain initial access to the system (many attacks are given using the software he is developing - MacroPack Pro). 🦠Also, get acquainted with how in the sandbox ANY.RUN worked out a sample that delivered Asyncrat to the victim's system.🧰Among other things, there is also a tool (OneNoteAnalyzer) written in C# for analyzing malicious OneNote documents, which extracts the following data:💾Attachments from an OneNote document along with the actual attachment path, file name and size💾Page metadata from OneNote document: title, author, creation time and last modification time💾Images from the OneNote document together with hyperlink URLs, if any (why is it important - we read about the deception at the beginning)💾Paginated text from OneNote document💾Hyperlinks from the OneNote document together with the superimposed text 💾And of course, you can use it to convert OneNote documents into an image⚠️So, to be honest, the loud title of the article "A First Malicious OneNote Document" misleads the reader and the attacks have long been successful, that is, MacroPack Pro users began actively using this initial access vector back in August 2022.#DFIR #malware #OneNote #InitialAccess #VBS #bat #obfuscation #MacroPackPro
2023-01-25 22:47:31
|Вредоносные OneNote документы|🕵️‍♂️Сегодня на SANS увидел пост "A First Malicious OneNote Document" от Ксавье Мертенс с анализом вредоносного файла MS OneNote(почитать про OneNote формат файла можно тут), Особенность файла состоит в том, что в него встроен файл HTA(.hta), который в свою очередь подгружает безобидную заметку для отвлечения внимания и подгрузка с дальнейшим исполнением обфусцированного батника, который в свою очередь является дроппером, подтягивающим пэйлоад, зашифрованный AES. А обманка довольно простая: PNG-изображение с текстом "Click to view document", которое собственно нужно было для сокрытия подозрительных элементов. По сути в анализе ничего нового не было, разве что скрипт, разработанный Дидье(с его статьей про анализ вредоносных OneNote документов можно ознакомиться тут) и направленный на анализ и извлечение данных из файлов OneNote. В статье Ксавье был упомянут VB-скрипт, однако не было сказано, что OneNote не позволяет выполнять VBA-макросы или что помимо HTA, можно встроить файлы по типу LNK или EXE, причем еще и позволяет использовать поддельные расширения. Или еще важный момент: вредоносные Excel/Word/PPT, которые можно встроить в документ воспроизводятся без защищенного просмотра, а некоторые задачи атакующий может автоматизировать, используя OneNote.Application и XML. Можно также отметить, что злоумышленники для работы автоматизации OneNote, могут удалять неверный раздел реестра:Computer\HKEY_CLASSES_ROOT\TypeLib\{0EA692EE-BB50-4E3C-AEF0-356D91732725}\1.0📕Для лучшей картины рекомендую ознакомиться с документом от @EmericNasi про использование OneNote для получения первоначального доступа к системе(много атак приводится с использованием, разрабатываемого им ПО - MacroPack Pro). 🦠Также, ознакомится как в песочнице ANY.RUN отработал сэмпл, который доставлял Asyncrat на систему жертвы.🧰Помимо всего прочего, есть еще инструмент(OneNoteAnalyzer) написанный на C# для анализа вредоносных OneNote документов, который извлекает следующие данные:💾Вложения из документа OneNote вместе с фактическим путем вложения, именем файла и размером💾Метаданные страницы из документа OneNote: название, автор, время создания и время последней модификации💾Изображения из документа OneNote вместе с URL-адресами гиперссылок, если таковые имеются(почему это важно - читаем в начале про обманку)💾Постраничный текст из документа OneNote💾Гиперссылки из документа OneNote вместе с наложенным текстом 💾И конечно же с помощью него можно сконвертировать OneNote документы в изображение⚠️Так что, если говорить честно, то громкий заголовок статьи "A First Malicious OneNote Document" вводит в заблуждение читателя и атаки уже давно имеют успешный характер, то есть пользователи MacroPack Pro ещё в августе 2022 начали активно использовать данный вектор первичного доступа.#DFIR #malware #OneNote #InitialAccess #VBS #bat #obfuscation #MacroPackPro
2023-01-25 22:47:18
🦠Вредоносные OneNote документы🦠Malicious OneNote Docs📕RedTeam With OneNote Sections. Windows Initial Vector Series#DFIR #malware #OneNote #InitialAccess #VBS #bat #obfuscation #MacroPackPro
2023-01-25 20:11:53
|Короткий анализ CVE-2023-0394|🤙Продолжаем знакомиться с багами вместе с Шизо.💥После прочтения статьи от Seth Jenkins на GP0 про эксплуатацию багов NULL-разыменований в ядре Linux:"Exploiting null-dereferences in the Linux kernel ", начал искать последние исправления в ядре Linux и наткнулся на CVE-2023-0394(разыменование NULL-указателя в Linux ядре), причем в случае когда мы этот баг стриггерим, то получим oops(ядро не останавливает все выполнение по сравнению с kernel panic, приводящей к прекращению выполнения когда нет безопасного способа продолжить оное).Данный баг был обнаружен Kyle Zeng в функции rawv6_push_pending_frames(struct sock *sk, struct flowi6 *fl6,struct raw6_sock *rp){...}, которая находится в файле: net/ipv6/raw.c. Суть заключается в том, что данная функция напрямую использовала длину в качестве объема данных в cork-очереди, наглядно это можно увидеть в переменной total_len, когда происходит вычисляется длина заголовка расширения вместе с количеством допустимых данных в cork-очереди сокета(на скриншоте 1, который приложил выше - отметил):total_len = inet_sk(sk)->cork.base.lengthДалее, нас интересует NULL-разыменование при вызове функции skb_transport_offset с аргументом в виде переменной skb: skb_transport_offset(skb); , которая в итоге имеет значение NULL. Почему же значение переменной skb будет в конечном итоге NULL? Как видно на скриншоте 2, происходит определение переменной-указателя csum_skb значением NULL и в том случае, когда переменная offset больше объема данных в cork-очереди сокета, но меньше допустимой длины данных + длина заголовка расширения, то будет происходить вход в if (offset >= len) всегда, что собственно приведет в состояние когда никогда csum_skb не будет установлен(На скриншоте 3 отметил маркером для наглядности). И как писал уже выше, в таком случае значение конечной переменной skb будет равно NULL, что приведет в итоге к NULL-разыменованию.🔖PoC, сгенирированный фаззером syzkaller ➡️неудобочитабельность кода .📑С патчем(коммитом), закрывающем данную багу можно ознакомиться тут. ⚠️Важно! Чтобы затригерить баг, нам нужен рут или пользователь, который находится в сетевом пространстве имен. Сама уязвимость относится к следующим версиям ядра: 6.1, 5.15, 5.10, 5.4, и 4.19.
2023-01-24 18:00:37
📡DensePose From WiFi#WiFi #AI #ML #DNN #radar #privacy #recognize
2023-01-24 17:59:30
|DensePose From WiFi|📡Зондируем(распознаем) людей без всяких дорогих RGB-камер, LiDAR и навороченных радаров. Мне лишь в больных фантазиях(хотя радарами и радиолокацией ранее увлекался) могла прийти идея про использование только Wi-Fi сигналов в качестве входных данных для слежки за людьми(в плане оценки позы человека), хотя авторы предлагают использовать в благих целях для сегментации и обнаружения ключевых точек тела с сохранением конфиденциальности и по сути копеечное решение. Исследователи в работе рассказывают про разработанную нейронку, способную сопоставить полученную фазу и амплитуду сигналов Wi-Fi(используя Wi-Fi антенны в виде 1D-датчиков) с UV-координатами в пределах 24 человеческих регионов.То есть, если говорить просто и обобщенно, то используя открытия в радиолокации(сигналы Wi-Fi) и глубоком обучении(компьютерное зрение), можно собрать систему для наблюдения за положением(оценить плотную позу нескольких объектов) людей, потратив средства лишь на Wi-Fi антенны и совместив с уже разработанной исследователями глубокой нейронкой. Более подробно можно почитать в прикладываемом ниже файле.📡 We probe(recognize) people without any expensive RGB cameras, LiDAR and fancy radars. It was only in my sick fantasies (although I was previously fond of radars and radar) that I could come up with the idea of using only Wi-Fi signals as input data for tracking people (in terms of assessing a person's posture), although the authors suggest using it for good purposes for segmentation and detection of key points of the body while maintaining confidentiality and, in fact, a penny the solution. The researchers in their work talk about a developed neural network capable of comparing the received phase and amplitude of Wi-Fi signals (using Wi-Fi antennas in the form of 1D sensors) with UV coordinates within 24 human regions.That is, to put it simply and generically, using discoveries in radar (Wi-Fi signals) and deep learning (computer vision), it is possible to assemble a system to monitor the position (evaluate the tight posture of several objects) of people, spending money only on Wi-Fi antennas and combining it with the deep neural network already developed by researchers.You can read more in the attached file below.#WiFi #AI #ML #DNN #radar #privacy #recognize
2023-01-24 17:59:05
#WiFi #AI #ML #DNN #radar #privacy #recognize
2023-01-23 15:37:27
💥Private Shizo 1day link(fully free)
2023-01-23 15:27:44
🔥🔥🔥TOCTOU(time-of-check-time-of-use) vulnerability in IOHIDFamily( CVE-2022-42864: Diabolical Cookies(race condition), fixed in iOS 16.2 / macOS Ventura 13.1)💥PoC exploit here🔖Write-up hereIssues with exploitation:The main obstacle to overcome when exploiting this issue is that the buffer we are overflowing out of belongs to KHEAP_DATA_BUFFERS, so exploitation targets are limited. In this PoC @Muirey03 chose to target kmsg headers, as these are one of very few structures in KHEAP_DATA_BUFFERS that contain kernel pointers. The "arbitrary kfree" primitive I obtained using this approach is the same primitive used in the multicast_bytecopy exploit, however the IOSurfaceClient array is now PAC'd and forged clients need to have a valid pointer back to the IOSurfaceRootUserClient that created them, rendering this no longer a desirable kernel r/w target.
2023-01-23 12:20:24
📕Surveillance Technologies Are Imbedded into the Fabric of Modern Life–The Intelligence Community Must Respond.#Surveillance #Intelligence #Mitre #mobile #location #services #security #anonymity #identification #fingerprinting
2023-01-23 12:20:00
📕Surveillance Technologies Are Imbedded into the Fabric of Modern Life–The Intelligence Community Must Respond.🕵️‍♂️Небольшая работа от Mitre про непрерывно собираемые данные о пользователях(идентификационные данные, местоположение и подключения), которые достаются из устройства даже в случае отключенного местоположения, различных служб, питания или оно работает без компрометирующих сервисов(на самом деле - все интереснее и те, кто читают канал относительно давно - понимают, что отключение сервисов без закапывания в исходники(проведения RE системы/приложения/ОС/протокола связи и тд) - опиум ) . Работа по сути почти не содержит в себе технических деталей, поэтому поможет начинающим в понимании слежки за их устройствами.Так что при вхождении в изучение слежки(сбор данных) за пользователями- подойдет, некоторые узнают про собираемые данные посредством: мобильных приложений, SDKs, APIs, активности пользователя в браузере и фингерпринтинг устройства.🕵️‍♂️A little work from Mitre about continuously collected data about users (identification data, location and connections), which are obtained from the device even in the case of a disconnected location, various services, power, or it works without compromising services (in fact, it's more interesting and those who have been reading the channel for a relatively long time understand that disabling services without instilling in the source code (conducting a RE system / application / OS / communication protocol, etc.) - opium). The work in fact contains almost no technical details, so it will help beginners in understanding the surveillance of their devices.So when entering into the study of surveillance (data collection) for users- it is suitable, some will find out about the collected data through: mobile applications, SDKs, APIs, user activity in the browser and device fingerprinting .#Surveillance #Intelligence #Mitre #mobile #location #services #security #anonymity #identification #fingerprinting
2023-01-23 12:19:43
#Surveillance #Intelligence #Mitre #mobile #location #services #security #anonymity #identification #fingerprinting
2023-01-21 18:26:15
❗️По рейтингу 2023-го года ТОП самых полезных каналов по информационным технологиям, информационной безопасности, OSINT : Новости, статьи, книги, курсы, полезные советы. Кладезь бесценной информации!• Freedom F0x — авторский канал всеми уважаемого Паши Ситникова -  этического хакера, специалиста по информационной безопасности и osint. Статьи, уникальные советы, книги, курсы. Будь всегда в теме.• Интернет-Розыск — Шерлоки Холмсы цифровой эпохи. Ресурсы где ты изучишь osint и информационную безопасность, будешь всегда в курсе событий.•  Investigation&Forensic Tools — канал-каталог программ и методов для проведения расследований и прикладного криминалистического анализа.• T.Hunter — канал повещен информационной безопасности и пентесту. Будь в курсе всех  последних новостей мира ИБ.•  Библиотека разведчика Osint — крупнейшая в своем роде библиотека по теме OSINT. Тут ты найдешь уникальную и полезную информацию, книги, курсы, статьи и трюки для поиска информации о цели.•  Max Open Source — полезные статьи и бесплатные курсы по пентесту и информационным технологиям, программированию и IT.• 0% Privacy — канал профессионала своего дела, посвящен анонимности, osint и информационной безопасности, будь в курсе последних трендов и самых свежих уязвимостей. Только эксклюзивная информация.• Нетипичный Безопасник — авторский канал специалиста по информационной безопасности и osint, всеми уважаемого Мефодия Келевра, отборные статьи, уникальная информация, советы.• Digital-Разведка — Главный агрегатор инноваций, интересных решений и инструментов по OSINT и близким наукам.• OSINT-SAN Project — osint framework для linux, включающий в себя большое количество модулей, имеющий огромную DB, в связке с различными сканерами и встроенными API.• OSINT | Форензика — русскоязычное сообщество по обсуждению osint и Форензики.•  IT MEGA — тут эксклюзивные материалы, курсы по программированию, информационной безопасности, "хакингу", osint и IT. (новинка)• Blackat — канал об IT-технологиях, osint и информационной безопасности.• Заметки CyberScout'а — канал, обозревающий тематику применения OSINT (и не только) в сфере противодействия киберпреступности и иных разведывательных мероприятий.Знание - это сила! "Кто владеет информацией, тот владеет миром!"Всем авторам хочется выразить отдельно благодарность, вы достойны 🤝❗️Подпишись, будь всегда в теме!
2023-01-20 17:18:04
🔥🔥🔥System Shell Exploit(get UID 1000) - ALL Samsung Mobile Devices NO BL UNLOCK REQUIRED( based on CVE-2019-16253, SamsungTTS before and for Android allows a local attacker to EoP, e.g., to system privileges).How to reproduce(github repo):1️⃣Install the included "komraids_POC_V1.6.apk" to the device, then push the included "samsungTTSVULN2.apk" to /data/local/tmp (adb push samsungTTSVULN2.apk /data/local/tmp) ➡️ Chmod 777 /data/local/tmp/samsungTTSVULN2.apk >>> I advice disabling all battery optimizations for Samsung TTS and Shell, otherwise, it cuts off the shell from time to time.2️⃣Make sure ADB is on, Connected and authorized and all power saving is off (as mentioned above) Reboot device.3️⃣When device reboots, run this command from ADB. adb shell pm install -r -d -f -g --full --install-reason 3 --enable-rollback /data/local/tmp/samsungTTSVULN2.apk ➡️ it will return "Success" when done.4️⃣Now, open two shells, in the first, do nc -lp 9997 & in the second, do am start -n➡️ Look back at the first shell., it should have opened into a new system (UID 1000) shell.⚠️This PoC Should point at localhost port 9997, so nc -lp 9997 into it once built.
2023-01-20 09:37:32
|AppSec Ezine|📰466rd EditionRelease Date: 20/01/2023pathonprojectgithub#ezine #appsec #infosec
2023-01-19 15:47:00
📕Hide and Seek with Spectres: Efficient discovery of speculative information leaks with random testing.⚙️Revizor(sca-fuzzer) is a microarchitectural fuzzer. It is a rather unconventional fuzzer as, instead of finding bugs in programs, Revizor searches for microarchitectural vulnerabilities in CPUs.#security #vulnerability #sideChannel #speculativeLeaks #Spectre #Meltdown #MDS #fuzzing #AMD #Intel
2023-01-19 15:46:42
#security #vulnerability #sideChannel #speculativeLeaks #Spectre #Meltdown #MDS #fuzzing #AMD #Intel
2023-01-19 11:52:25
|ipsw|📲Данный инструмент(ipsw) уже проверен временем и служит для копания во внутренностях iOS/macOS. По сути, как и пишет автор - "Швейцарский нож" в области исследования iOS/macOS. Простой в установке и использовании, написан на GO и активно развивается.ipsw состоит из следующих компонентов:⚙️IPSW downloader/exploder⚙️OTA downloader/exploder⚙️Mach-O парсер⚙️Дампер ObjC классов⚙️Дампер Swift классов ⚙️dyld_shared_cache парсер⚙️kernelcache парсер⚙️img4 парсер/декриптор⚙️device-tree парсер⚙️ARMv9-a дизассемблер🔖Руководства🧰Также есть инструмент, который можно использовать для загрузки и декрипта образов прошивки iOS(64-бит). Taco написан на раст, правда последний коммит датируется 23-м октября 2022 года и в целом лучше использовать ipsw в силу большей актуальности и большего функционала. Еще есть от автора taco, инструмент autodecrypt, из названия которого итак понятно для чего он нужен(декрипт образов прошивки iOS):сбор ключей и декрипт образа прошивки(iBoot/LLB/iBSS/iBEC). Decrypt же написан на python.📲This tool has already been tested by time and is used to dig into the internals of iOS/macOS. In fact, as the author writes, it is a "Swiss knife" in the field of iOS/macOS research. Easy to install and use, written in GO and actively developing.ipsw consists of the following components:⚙️IPSW downloader/exploder⚙️OTA downloader/exploder⚙️Mach-O parser⚙️ObjC class-dumpe⚙️Swift class-dump ⚙️dyld_shared_cache parser⚙️kernelcache parser⚙️img4 parser/decrypter⚙️device-tree parser⚙️ARMv9-a disassembler🔖Guides🧰There is also a tool that can be used to download and decrypt iOS firmware images (64-bit). Taco is written in rust, although the last commit dates back to October 23, 2022, and in general it is better to use ipsw due to more relevance and more functionality. There is also from the author of taco, the autodecrypt tool, from the name of which it is so clear why it is needed (the decrypt of iOS firmware images):key collection and decryption of the firmware image (iBoot/LLB/iBSS/iBEC). Decrypt is written in python.#AppleInternals #iOS #arm #macOS #dyld #research #IPSW #OTA #macho #firmware #img4
2023-01-19 11:52:15
#AppleInternals #iOS #arm #macOS #dyld #research #IPSW #OTA #macho #firmware #img4
2023-01-19 10:45:36
#DFIR #Investigation
2023-01-18 21:48:48
|DumpBTM|🕵️‍♂️Наконец вышел аналог sfltool с флагом dumpbtm(вывод текущего состояния фоновых элементов и элементов входа, причем включая UUIDs загруженных пэйлоадов servicemanagement) с открытым исходным кодом - DumpBTM. Для чего можно использовать сей инструмент? Дампить записи о закреплении установленных элементов, получая данные из проприетарного файла в macOS: BackgroundItems-v4.btm (элементы входа в систему, агенты/демоны запуска). По сути данный инструмент можно использовать для поиска в системе закрепленных вредоносов(пост на канале тут) или интегрировать в свой инструмент/тулкит мониторинга.⚠️Внимание! Для чтения и несериализации BackgroundItems-v4.htm требуется FDA(полный доступ к диску). BackgroundItems-v4.btm в macOS Ventura 13 можно найти тут: /private/var/db/🕵️‍♂️Finally, an analogue of sfltool with the dumpbtm flag (output of the current state of background elements and input elements, including the UUIDs of loaded servicemanagement payloads) with open source - DumpBTM. What can this tool be used for? Dump the pinning records of installed elements by getting data from a proprietary file in macOS: BackgroundItems-v4.btm(login elements, startup agents/daemons). In fact, this tool can be used to search for persistence malware(post on the channel here) in the system or integrated into your monitoring tool/toolkit.⚠️Attention! For reading and unserialize BackgroundItems-v4.htm requires FDA (full disk access). BackgroundItems-v4.btm in macOS Ventura 13 can be found here: /private/var/db/ #dump #macOS #security #malware #persistence
2023-01-18 21:48:33
#DFIR #macOS #security #malware #persistence
2023-01-18 19:40:26
|IPv6 Security Guidance|У АНБ вышло руководство для облегчения перехода с IPv4 на IPv6, про смягчения проблем и обеспечения безопасности(и выявление проблем безопасности при переходе) в первую очередь для DoD(МО) и работающих там сисадминов. Пока сети в DoD являются "dual-stacked"(работают на IPv4 и IPv6 одновременно), поверхность для атак увеличивается, что дает больше возможностей атакующим, хотя с точки зрения развертывания IPv6 - более предпочтительный. 🛡The NSA has issued a guide to facilitate the transition from IPv4 to IPv6, about mitigating problems and ensuring security (and identifying security problems during the transition) primarily for DoD and sysadmins working there. While the networks in DoD are "dual-stacked" (they work on IPv4 and IPv6 at the same time), the surface for attacks increases, which gives more opportunities to attackers, although IPv6 is more preferable from the point of view of deployment.#security #network #NSA #DoD #IPv6
2023-01-18 19:39:22
#security #network #NSA #DoD #IPv6
2023-01-18 15:21:43
🔥🔥🔥Linux kernel stack buffer overflow in nftables(CVE-2023-0179)The vulnerability consists of a stack BOF due to an integer underflow vulnerability inside the nft_payload_copy_vlan function, which is invoked with nft_payload expressions as long as a VLAN tag is present in the current skb.⚠️The exploitation could allow the leakage of both stack and heap addresses and, potentially, a LPE to the root user via arbitrary code execution.🔜PoC coming soon!💥CVE-2023-0179 is exploitable starting from commit f6ae9f1(nft_payload: add C-VLAN support ) up to commit696e1a48b1a1(nft_payload: incorrect arithmetics when fetching VLAN head, security patch).
2023-01-16 23:37:18
|DumpIt for linux|🕵️‍♂️Наконец-то вышел Dumpit на Linux! Для тех, кто не в курсе, раньше была версия только для Windows(является частью пакета Comae Memory Toolkit) и данный инструмент использовался для сверхбыстрого сбора и дальнейшего анализа памяти, генерируя полные краш-дампы памяти, работая в кернел-моде и основанный на формате Microsoft Crash Dump (совместимость результатов с WinDbg, Comae Platform, crash и drgn ), причем без BSOD. В случае с версией для Linux(основывается на /proc/kcore), для работы DumpIt не требуется LKM(Linux Kernel Module), однако требуется запуск из под рута, причем утилита использует формат Linux ELF CORE(как ранее упоминалось, в Windows-версии формат: Microsoft Crash Dump) , который совместим с gdb, crash, и drgn и формат сжатия архивов .tar.zst и за счет используемого в нем алгоритма сжатия zstandard(zstd) , оно проходит очень быстро.И да, возрадуйтесь фанаты раста, эта утилита написана на нем, за счет чего более безопасна для памяти и можно прикрутить дополнительные параметры удаленной потоковой передачи. Не мало важна еще и простота использования, то есть для получения краш дампа ядра в формате сжатия tar.zst(имя сгенерировано по умолчанию) на потребуется выполнить следующую команду(почему sudo - читаем выше):sudo dumpitforlinux 🕵️‍♂️Dumpit has finally been released on Linux! For those who are not aware, there used to be a Windows-only version (it is part of the Comae Memory Toolkit package) and this tool was used for ultra-fast collection and further analysis of memory, generating full crash dumps of memory, working in kernel mode and based on the Microsoft Crash Dump format (compatibility of results with WinDbg, Comae Platform, crash and drgn), and without BSOD. In the case of the Linux version (based on /proc/kcore), DumpIt does not require LKM (Linux Kernel Module) to work, however, it requires running from under root, and the utility uses the Linux ELF CORE format (as previously mentioned, in the Windows version, the format is Microsoft Crash Dump), which is compatible with gdb, crash, and drgn and the archive compression format .tar.zst and due to the zstandard(zstd) compression algorithm used in it, it passes very quickly.And yes, rejoice rust fans, this utility is written on it, due to which it is more secure for memory and you can fasten additional parameters for remote streaming. Ease of use is also important, that is, to get a crash dump of the kernel in tar.zst format (using default name), you will need to run the following command (why sudo - read above):sudo dumpitforlinux#DFIR #forensics #Linux #ELFcoreDump #MemoryAcquisition #malwareAnalysis #dump #x86 #x64 #ARM64
2023-01-16 23:36:57
#DFIR #forensics #Linux #ELFcoreDump #MemoryAcquisition #malwareAnalysis #dump #x86 #x64 #ARM64
2023-01-16 22:19:55
🔥XNU VM copy-on-write bypass due to incorrect shadow creation logic during unaligned vm_map_copy operationsbuild this PoC like this:clang -O1 -o unaligned_write_to_cow_bypass unaligned_write_to_cow_bypass.cAfter running for a short while it should print out:e1 isn't 'A'
2023-01-16 22:18:07
🤙Шизо на связи!🔥🔥🔥Если посмотреть на PoC от Ian Beer для CVE-2022-46689, то можно лишь удостовериться насколько он крутой специалист. Во-первых, мы теперь точно знаем, что это LPE! Во-вторых, в реализации MacDirtyCow от Чжуовэйя не было записи последнего байта на странице размером 16Кб, то есть вместо лишь 16383 байт из каждых 16384 байтов можно перезаписать(последний байт страницы не выходило у Чжуовэйя перезаписать из-за того, что адрес записи становился выравненным и баг происходил лишь в случае с не выровненными r/w адресами ), а Ian Berr смог. Думаете как Ian Beer это решил? Он решил перемещать read-адрес, заместо перемещения write-адреса. Также стоит отметить, что благодаря Ian Beer, у нас руки стали развязанными, по причине того, что больше нет ограничения на объем записи в 16Кб в случае успешной эксплуатации, так что мы можем на уязвимых устройствах без каких-либо специальных условий что угодно. То есть план Ian'a: 1️⃣запустить бинарь, способный читать /usr/libexec/*2️⃣вызвать ошибку во второй раз для произведения манипуляций с amfid или trustd.3️⃣Профит!Круто? По мне - так точно! Только вот не получится сделать kernel r/w(также мы не можем записывать в двоичные текстовые сегменты или общий кэш, хотя с kernel r/w под вопросом и не думаю что двойного race condition можно добиться). Хотя и в /System/Library многоинтересных кандидатов. Да и в целом благодаря Ian Beer, мы получаем возможность писать в любой vm_object(получая только read-only mapping)Также интересно и просто Ian Beer поборолся с подписью кода(code signing), не позволяющей переписывать код бинаря. Как думаете? А ответ вроде и незамысловатый, а по сути решает проблему: нужно перезаписать LINKEDIT-данные бинаря, заместо ранее упомянутой возни с подписью кода. Тем самым, захватывая системных демонов!☺️Из приятного: по сравнению с многими другими сплоитдевами, Ian Beer продолжает работать над этим эксплойтом, публикуя попутно новую информацию и ожидается интересный пост в блоге GP0. Для тех кто забыл:
2023-01-16 22:12:54
#security #expoitation #LPE #raceCondition #bypass #COW #MacDirtyCow #XNU #macOS #iOS #sandbox #overwrite #IanBeer
2023-01-16 11:47:57
🕵️‍♂️Хоть у меня и неоднозначное отношение к CTF в целом, однако у Magnet Forensics нередко выходят CTF для DFIR-специалистов, задачи в которых пересекаются с реальными. Данные образы различных систем: Windows, macOS, iOS 15(полная ФС), Android и Linux, могут помочь при изучении методов/способов извлечения и общего взаимодействия с образами для обучения или при исследовании определенной системы.⛓Загрузить и провести интересно время можно тут.🕵️‍♂️Although I have an ambiguous attitude to CTF in general, Magnet Forensics often has CTFs for DFIR specialists whose tasks overlap with real ones. Data images of various systems: Windows, macOS, iOS 15 (full FS), Android and Linux, can help when studying methods/methods of extraction and general interaction with images for training or when researching a specific system.⛓You can download and have an interesting time by following here.#CTF #DFIR #forensics #Chromebook #Windows #macOS #Linux #Android #iOS #memory
2023-01-15 12:30:08
Обожаю своих подписчиков за их дотошность)Ну, по порядку. Warden - хорошая, но заброшенная прога для работы с трекерами и логгерами в приложениях. Сам юзал, давал на курсе - пакет, внезапно, присутствующий в Android 12. В любой прошивке. Я, например, дергал его из Graphene OS, которую позиционируют как "полностью свободную" (см. скрины выше). Как он идет в исходниках AOSP, так и кочует по прошивкам, без изменений. Нужна эта приложулька типа как для нормальной работы Voice-over-LTE (VoLTE) и все в этом роде.Google Firebase Analytics - понятно по названию.Почему я вдруг решил запостить этот, казалось бы, "бытовой" вопрос от подписчика? Да чтобы вы понимали: "полностью свободных" прошивок из коробки не существует. Все нужно щупать своими руками. И своими руками редактировать, в данном случае отключать конкретные компоненты (см. скрины ниже).
2023-01-14 20:53:49
📕Data Breach Investigations Report 2022#DBIR #breaches #incidents #Investigation
2023-01-14 20:53:14
#DBIR #breaches #incidents #Investigation
2023-01-14 20:11:55
#Israel #Sweden #Cellebrite #MSAB #leak #forensics #intelligence #military
2023-01-14 20:11:40
🕵️‍♂️На DDoSecrets(ссылка на веб-страницу тут) появилась еще одна утечка Cellebrite, только уже доступная для скачивания всем без ограничения, как было в прошлый раз с загрузкой по запросу.Данная утечка не первой свежести(хотя в публичном доступе - появилась недавно) и помимо Cellebrite, утекли данные еще и MSAB, которая тоже разрабатывает форензик-софт для правоохранительных и разведывательных органов и военных в основном, не забывая про частные компании, налоговые органы, пограничного контроля и так далее. Для чего софт не редко применялся - думаю не стоит говорить. В утечке содержится ПО и внутренняя документация обеих компаний.🕵️‍♂️ Another Cellebrite leak has appeared on DDoSecrets(link to the web page here), only it is already available for download to everyone without restriction, as it was last time with a download on request.This leak is not the first freshness (although it has recently appeared in public access) and in addition to Cellebrite, MSAB also leaked data, which also develops forensic software for law enforcement and intelligence agencies and the military mainly, not forgetting about private companies, tax authorities, border control and so on. What the software was not rarely used for - I think it's not worth talking about. The leak contains software and internal documentation of both companies.Ниже будут Magnet-ссылки и под постом прикладываю торрент-файлы/Below there will be Magnet links and under the post I attach torrent files:💥Cellebrite:magnet:?xt=urn:btih:f881291ab69fff48393ede2e36a4f8fcb4b5bf7a&dn=cellebrite&💥MSAB:magnet:?xt=urn:btih:0e7d11a34f71887aca3a388795e0b019cca44858&dn=msab.tar.zst& #Sweden #Cellebrite #MSAB #leak #forensics #intelligence #military
2023-01-14 20:11:22
#Israel #Sweden #Cellebrite #MSAB #leak #forensics #intelligence #military
2023-01-13 20:40:35
😉Привет, дорогой подписчик или путешествующий читатель. Надеюсь, что у тебя хорошо начался год, а если нет - еще многое впереди и посему не стоит разочаровываться или опускать руки. Желаю отличного отдыха на выходных, прекрасного ментального состояние и чтобы время прошло с пользой для тебя. 😉Hello, dear subscriber or traveling reader. I hope that the year has started well for you, and if not, there is still a lot ahead and therefore you should not be disappointed or give up. I wish you a great weekend vacation, a wonderful mental state and that the time has passed with benefit for you.
2023-01-13 15:15:56
Продолжаем знакомиться с "новыми" багами с Шизо.💥Pre-Auth Remote DoS в NVMe(ядро Линукс, CVE-2023-0122)Начиная с коммита db1312dd95488b5e6ff362ff66fcf953a46b1821 было введено разыменование NULL-указателя в nvmet_setup_auth()(drivers/nvme/target/auth.c, функция аутентификации), которое привело к багу и дальнейшей эксплуатацией с достижением удаленного DoS на этапе предварительной аутентификации, причем от злоумышленнику не нужно быть авторизированным клиентом.Начиная с версии 6.0-rc2 в target/auth.c(строка 196), при возникновении ошибки с ctrl->ctrl_key, то ей присваивается значение NULL , а разыменование происходит при вызове pr_debug().То есть баг возникает, как выяснилось уже после коммита(в версии 6.0-rc4), перекрывающего эту багу, из-за отсутствия инструкции goto(goto out_free_hash;) после присвоения ctrl->ctrl_key значения NULL, что приводит к появлению NULL-указателя. Разыменование происходит в следующем отрывке кода(отсюда и досюда(включительно)):ctrl->ctrl_key = nvme_auth_extract_key(host->dhchap_ctrl_secret + 10, host->dhchap_ctrl_key_hash);if (IS_ERR(ctrl->ctrl_key)) { ret = PTR_ERR(ctrl->ctrl_key); ctrl->ctrl_key = NULL; <--- Assigning NULL}pr_debug("%s: using ctrl hash %s key %*ph\n", func, ctrl->ctrl_key->hash > 0 ? <--- NULL pointer dereference nvme_auth_hmac_name(ctrl->ctrl_key->hash) : "none", (int)ctrl->ctrl_key->len, ctrl->ctrl_key->key);Далее, эксплуатация. Нам нужно добиться разыменования NULL-указателя для достижения DoS на таргет-машине, правильно? Для этого атакующий собирается удаленно подключиться к подсистеме NVMe по типу NVMe-TCP(nvme connect) при условии, что невалидный dhchap_ctrl_key сконфигурирован в таргет-NVMe жерты под объектом хоста. Как производится байпасс ранее описанной функции аутентификации? После сетевого сниффинга, злоумышленник может найти в трафике NQN разрешенного клиента и передать значение в ранее указанную команду nvme connect.⚠️Подводя итоги, хочется сказать что бага не особо полезная, так как затрагивает версии с v6.0-rc1 до v6.0-rc3(выше писал, что в v6.0-rc4 баг закрыт) , что очень сильно сужает круг таргетов, да и даже в случае успешной эксплуатации из-за природы баги, приводящей к DoS -особо ничего интересно не получим.
2023-01-13 14:41:23
📕Batching of Tasks by Users of Pseudonymous Forums: Anonymity Compromise and Protection🔖Github repo(batching-privacy)#security #privacy #anonymity #deanonymization #Forums
2023-01-13 14:41:05
#security #privacy #anonymity #deanonymization #Forums
2023-01-13 11:52:04
|AppSec Ezine|📰465rd EditionRelease Date: 13/01/2023pathonprojectgithub#ezine #appsec #infosec
2023-01-13 00:22:57
|IPv8 - how is it with the face, IPv6?|🛡This repository is an implementation of the IPv8 p2p overlay network on python (a Python 3 package that combines the functions of p2p communications from Dispersy (a platform for simplifying the design of distributed communities) and Tribler (a BitTorrent client that focuses on anonymous downloading)), which provides authenticated communication with privacy. The essence of design is to provide communication between pairs of public keys: IP addresses and connection points to a physical network (and they are abstracted), if you want, you can read what the design of IPv8 was originally here. The goals that the developers have set cannot but please:💾Authentication. The interesting thing is that secrets are never transmitted over the Internet in the case of an initial key exchange, that is, they do not pass through the Internet in any form (even encrypted).💾Privacy. Based on the onion routing protocol (including Tor), one of the main sores was treated: it can be used in conditions with zero trust, that is, the thing that I did not have time to touch on at the presentation in the person of "trusted" servers of the central directory, which can be used to deanonymize the owners of onion resources and users. So, you can do without them in this case. Well, where without end-to-end encryption with perfect secrecy of forwarding.💾No infrastructure dependency. Decentralization, what else can I say: a central web server, a support server and a support fund - we don't need it.Universal connection (establishing direct connections (for example, connecting users for NAT or firewall) in so-called difficult network situations). From the interesting: implementation of traversal NAT technique (UDP hole-punching, you can read here)💾A network of trust. The essence is simple: you specify who you trust or who you know, and a "magic" network of trust can be created automatically, or it may not be created automatically.The following links can help in mastering:🔖 Documentation🔖 Creating our first network overlay🔖 Configuration🔖 Key generation🔖 Message serialization formats#security #privacy #network #anonymity #p2p #overlay
2023-01-13 00:22:47
|IPv8 - как там с лицом, IPv6?|🛡Данный репозиторий является имплементацией IPv8 p2p оверлейной сети на питоне(пакет Python 3, объединяющий в себе функции p2p-коммуникаций от Dispersy(платформа для упрощения проектирования распределенных сообществ) и Tribler(BitTorrent-клиент, у которого сделан акцент на анонимном скачивании)), которая обеспечивает аутентифицированную связь с сохранением приватности. Сущность дизайна(проектирования) состоит в обеспечении связи между парами открытых ключей: IP-адреса и точки подключения к физической сети(причем они абстрагируются), если есть желание то можно почитать какой изначально был дизайн у IPv8 тут. Цели, которые поставили разработчики не могут не радовать:💾Аутентификация. Из интересного: секреты никогда не передаются через Интернет в случае первоначального обмена ключами, то есть ни в каком виде(даже в зашифрованном) они не проходят через Интернет.💾Приватность. Основываясь на луковичном протоколе маршрутизации(Tor в том числе), произошло лечение одной из главных болячек: можно пользоваться в условиях с нулевым доверием, то есть вещь которую не успел затронуть на выступлении в лице "доверенных" серверов центрального каталога, которые можно использовать для деанонимизации владельцев луковичных ресурсов и пользователей. Так вот, можно в этом случае обойтись без них. Ну и куда же без без сквозного шифрования с идеальной секретностью пересылки.💾Отсутствие зависимости от инфраструктуры. Децентрализация, что тут еще сказать: центральный веб-сервер, сервер поддержки и фонд поддержки - нам без нужды.💾Универсальное подключение(установление прямых соединений(к примеру - подключение юзеров за NAT или фаерволл) в так называемых трудных сетевых ситуациях). Из интересного: реализация traversal NAT техники(UDP hole-punching, почитать можно тут)💾Сеть доверия. Суть проста: указываешь кому доверяешь или кого знаешь и "волшебная" сеть доверия может создаться в автоматическом режиме, а может и не создаться автоматически.Следующие ссылки могут помочь в освоении:🔖 Документация🔖 Создаем свой первый сетевой оверлей🔖 Конфигурирование 🔖 Генерирование ключей🔖 Форматы сериализации сообщений #security #privacy #network #anonymity #p2p #overlay
2023-01-13 00:22:39
🛡IPv8 - как там с лицом, IPv6?🛡IPv8 - how is it with the face, IPv6?#security #privacy #network #anonymity #p2p #overlay
2023-01-11 13:34:14
🔥CVE-2022-46875 + PoC(only trigger without exploit)Уязвимость была найдена в Firefox на macOS(другие ОС не затрагивает) при загрузке файлов .atloc и .ftploc(в macOS эквивалентны исполняемым файлам) не происходит отображение предупреждение об исполняемом файле, чем может воспользоваться злоумышленник, получая возможность при удачной эксплуатации - запустить вредоносные команды на машине жертвы. То есть Firefox обрабатывает данные расширения файлов таким образом, что злоумышленник может обойти предупреждение о том, что файл опасный и тем самым выдавая их за "белых и пушистых"(защита не срабатывает на .ftploc и .atloc, в то же время на .interloc она срабатывает).⚠️Уязвимость была исправлена в Firefox 108.Vulnerability was found in Firefox on macOS (does not affect other OS) when downloading .atloc and .ftploc (equivalent to executable files in macOS) does not display a warning about the executable file, which can be used by an attacker, getting the opportunity, if successfully exploited, to run malicious commands on the victim's machine. That is, Firefox processes file extension data in such a way that an attacker can bypass the warning that the file is dangerous and thereby passing them off as "white and fluffy" (protection does not work on .ftploc and .atloc, at the same time on .interloc it is triggered).⚠️Уязвимость была исправлена в Firefox 108.🔖PoC для .ftploc довольно простой / PoC for .ftploc is pretty simple:<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" ""><plist version="1.0"> <dict> <key>URL</key> <string>FiLe:////////////////////////System/Applications/</string> </dict></plist>
2023-01-11 12:50:17
🛡Базовый список инструментов/решений/ОС/ресурсов для обеспечения приватности в сети(OPSEC), не нужно считать как исчерпывающий, для начинающих - вполне себе.🛡 The basic list of tools/solutions/OS/resources for ensuring privacy on the network (OPSEC), do not need to be considered as exhaustive, for beginners - quite yourself.#security #privacy #OS #tor #browser #cryptography #wipeData #VM #VPN #Proxy
2023-01-10 15:52:53
#NSO #PegasusSpyware #USA #Meta #Facebook #WhatsApp
2023-01-10 15:52:44
📰Опять NSO и его детище в лице Пегасуса. Сегодня верховный суд США отклонил дело(ранее поданную апелляцию от NSO), тем самым переместив дело в апелляционный суд США, ранее подавалось в суды низшей инстанции. По сути там было обращение от NSO в суд с целью отклонения иска от Facebook(в т.ч. и дочерняя компания WhatsApp) по причине того, что NSO эксплуатировали 0-day в WhatsApp для заражения Пегасусом примерно 1400 смартфонов, принадлежащих адвокатам, журналистам, правозащитникам, политическим диссидентам, дипломатам и другим высокопоставленным чиновникам.Причем решение Верховного суда открывает дорогу для череды новых исков, которые были возбуждены жертвами Пегасуса.📕Ниже прикладываю отклонение (NSO_598.pdf)Хотя Meta неоднократно отказывалась предоставлять данные WhatsApp ПРЕСТУПНИКОВ правоохранительным органам, но NSO - крайние негодяи. Понятное дело, что Пегасус использовался, используется и будет использоваться для слежки за неугодными персонами в разных государствах, причем с наплевательским отношением к законности данных действий.🗒Помимо вышеописанного иска, есть еще юридическая записка, которая подается в апелляциях для помощи суду, предоставляя информацию или аргументы, полезные в судопроизводственном процессе(Amicus Brief), которую подал Генеральный солиситор США. Рекомендация была Верховному суду была простая и заключалась в не рассмотрении дела разработчиков spyware с пометкой: "NSO явно не имеет права на иммунитет здесь". Amicus Brief тоже прикладываю ниже(WhatsAppp CVSG.pdf).📰Again, the NSO and his brainchild in the person of Pegasus. Today, the U.S. Supreme Court dismissed the case (previously filed an appeal from the NSO), thereby moving the case to the U.S. Court of Appeals, previously filed in lower courts. In fact, there was an appeal from the NSO to the court in order to dismiss a claim from Facebook (including a subsidiary of WhatsApp) due to the fact that the NSO exploited 0-day in WhatsApp to infect about 1400 smartphones belonging to lawyers, journalists, human rights defenders, political dissidents, diplomats and other high-ranking officials with Pegasus.Moreover, the decision of the Supreme Court opens the way for a series of new lawsuits that were initiated by the victims of Pegasus.📕I attach the deviation below (NSO_598.pdf)Although Meta has repeatedly refused to provide WhatsApp data of CRIMINALS to law enforcement agencies, but NSO are extreme scoundrels. It is clear that Pegasus has been used, is being used and will be used to spy on undesirable persons in different states, and with a disregard for the legality of these actions.🗒In addition to the above-described lawsuit, there is also a legal note that is filed in appeals to assist the court by providing information or arguments useful in the judicial process (Amicus Brief), which was filed by the U.S. Solicitor General. The recommendation to the Supreme Court was simple and consisted in not considering the case of spyware developers with a note: "NSO clearly has no right to immunity here." I also attach the Amicus Brief below (WhatsAppp CVSG.pdf).#NSO #PegasusSpyware #USA #Meta #Facebook #WhatsApp
2023-01-10 15:52:35
#NSO #PegasusSpyware #USA #Meta #Facebook #WhatsApp
2023-01-10 14:07:44
|xwingswrt|🛡Кастомная OpenWRT fw, которую можно использовать для борьбы с цензурой(защита доступа в Интернет на национальном уровне).⚠️Важно! Данная fw основана на OpenWrt с английской(en) локализацией.Данная fw включает в себя следующее:💾Ядро Линкус 6.x💾Последняя версия OpenWrt💾Xray / V2Ray💾ShadowSocksR Plus+💾OpenClash💾AdGuard💾WireGuard💾ZeroTier🛡Custom OpenWRT fw, which can be used to combat censorship (protection of Internet access at the national level).⚠️Important! This fw is based on OpenWRT with en localization.This fw includes the following:💾Linux Kernel 6.x💾Latest OpenWrt💾Xray / V2Ray💾ShadowSocksR Plus+💾OpenClash💾AdGuard💾WireGuard💾ZeroTier#firmware #OpenWRT #AntiCensorship #WireGuard
2023-01-10 11:51:34
🕵️‍♂️Подборка инструментов для повышения анонимности и деанонимизации от подписчицы канала и просто хорошего человека(рекомендую подписаться).🕵️‍♂️A selection of tools for anonymization and de-anonymization from the subscriber of the channel and just a good person (I recommend subscribing).#anonymity #deanonymization #ISP #Lightning #Tor #Network #Kicksecure #Cryptocurrency #Browser #Biometrics
2023-01-10 00:01:37
💥1day link Private Shizo(fully free).
2023-01-09 20:41:33
🕵️‍♂️Espionage by Europeans 2010–2021. A Preliminary Review of Court Cases.#FOI #CIA #GRU #FSB #SVR #military #espionage #Intelligence #counterintelligence #Humint #Russia #China #Europe
2023-01-09 20:41:23
#FOI #CIA #GRU #FSB #SVR #military #espionage #Intelligence #counterintelligence #Humint #Russia #China #Europe
2023-01-09 20:32:17
|Meerkat|🕵️‍♂️Этот сурикат легко поместится на дискету(никаких DLL или скомпиленных компонентов), оставляя за собой крайне мало следов на анализируемой машине. Для чего этот сурикат, содержащий в себе PS модули(можно и свои писать/добавлять) пригоден? Для сбора артефактов с Windows машины без необходимости в предварительно обследованном эндпоинте/развернутого агента и дальнейшей загрузкой в SIEM(подробнее можно почитать тут).Поддерживаемые формы вывода: .csv, .json, .xml и другие(по умолчанию .csv).Собирает следующие данные(с сылками как эти данные сортировать и анализировать):💾Autoruns💾Сертификаты 💾Информация о машине(эндпоинте)💾DLLs💾DNS💾Драйвера💾Журналы событий💾Файлы💾Участники группы(Group members)💾Список MAC-адресов 💾Процессы💾Корзина💾Реестр💾Запланированные задачи💾Сервисы 💾Необычные общие ресурсы и разрешения 💾TCP-соединения 🕵️‍♂️This meerkat will easily fit on a floppy disk (no DLL or compiled components), leaving very few traces on the analyzed machine. Why is this meerkat containing PS modules (you can also write/add your own) suitable? To collect artifacts from a Windows machine without the need for a pre-examined endpoint/deployed agent and further uploading to SIEM (you can read more here).Supported output forms: .csv, .json, .xml and others (default is .csv).Collects the following data (with links to how to sort and analyze this data):💾 Autoruns💾 Certificates💾 Information about the machine(endpoint)💾 DLLs💾 DNS💾 Drivers💾 Event Logs💾 Files💾 Group members💾 List of MAC addresses💾 Processes💾 Recycle bin💾 Registry💾 Scheduled tasks💾 Services💾 Unusual shared resources and permissions💾 TCP connections#forensics #DFIR #artifacts #SIEM #PS
2023-01-09 20:32:09
#forensics #DFIR #artifacts #SIEM #PS
2023-01-09 17:29:32
📕CANflict: Exploiting Peripheral Conflicts for Data-Link Layer Attacks on Automotive Networks#automotive #CANattacks #expoitation #vulnerability #ECU
2023-01-09 17:28:54
|CANflict|🌐Данная работа демонстрирует новый подход для атак на канальном уровне протокола CAN, который используется в большом количестве наземных средств передвижения(в большей мере - автомобилестроение). Если ранее атаки производились на прикладном уровне и IDS без особого труда обнаруживали следы атаки, то канальные хоть и требуют физического доступа к CAN-шине, однако атаки в таком случае более скрытые и могут повлечь больше урона. Злоумышленник может воспользоваться данными наработками касательно уже известных уязвимостей в CAN-протоколе удаленно проводить атаки чтения/записи с удаленно скомпрометированного ECU на другой ECU в этой CAN-сети.Суть заключается в использовании полиглот-фреймов и конфликте пинов между периферийными устройствами МК, управлять CAN-трафиком на битовом уровне и байпассить правила протокола для осуществления атаки на скрытом канальном уровне против CAN(позволяя нам осуществлять манипуляции с CAN-шиной), причем используются периферийные устройства которые уже имеются в МК(немодифицированный) и по существу в атаках использует чисто программный подход. Более подробно можно почитать в работе. 📑Репозиторий проекта находится тут(библиотека AC для управления канальным уровнем шины на основе вышеописанных конфликтующих периферийных устройств, CAN-методы обработки битов для управления канальным уровнем CAN,реализации для различных платформ: SPI, UART, I2C и ADC, а также контремеры CAN на канальном уровне).🌐This work demonstrates a new approach for attacks at the channel level of the CAN protocol, which is used in a large number of ground vehicles (to a greater extent - the automotive industry). If earlier attacks were carried out at the application level and IDS easily detected traces of an attack, then channel attacks, although they require physical access to the CAN bus, however, attacks in this case are more hidden and can cause more damage. An attacker can take advantage of these developments regarding already known vulnerabilities in the CAN protocol to remotely conduct read/write attacks from a remotely compromised ECU to another ECU in this CAN network.The essence is to use polyglot frames and pin conflict between MC peripherals, manage CAN traffic at the bit level and bypass protocol rules to carry out an attack at the hidden channel level against CAN (allowing us to manipulate the CAN bus), and peripheral devices that are already available in the MC (unmodified) and software are used The system uses a purely programmatic approach in attacks. You can read more in the work. 📑The project repository is located here (AC library for managing the bus channel level based on the conflicting peripheral devices described above, CAN bit processing methods for managing the CAN channel level, implementations for various platforms: SPI, UART, I2C and ADC, as well as CAN counter-measures at the channel level).#automotive #CANattacks #expoitation #vulnerability #ECU
2023-01-09 17:28:46
#automotive #CANattacks #expoitation #vulnerability #ECU
2023-01-09 12:42:14
Вот, кстати!Если говорить именно о песочницах, а не о виртуальных контейнерах типа VMOS, X8 Sandbox и тд, то под понятием "песочница" подразумевается отдельный пользователь (user ID) на устройстве. Это стандартная функция системы Android. А чем вы настраиваете и управляете - особой разницы нет. Есть всем известные менеджеры "песочниц": Shelter, Island и его форк Insular. Есть менее известные варианты настройки песочного профиля, например Tasker-плагин SecureTask. Есть прошивки с предустановленным, но менее юзабильным, чем тот же Island, вариантом. Например CalyxOS и ряд стоковых прошивок. Ну и есть всякие корпоративные сервисы типа Miradore или Kaspersky, которые даже не запустятся, если вы им не отдадите свое гео и тд. После настройки "песочницы" менеджер вообще можно удалить, все будет работать и без него. Повторюсь - это стандартная функция операционной системы.Так вот, о песочницах с "полной изоляцией". На Android 13 (Calyx), в отличие от Android 12, есть, например, такая интересная фича: стандартный системный файловый менеджер AOSP имеет прямой доступ к данным песочницы. А конкретно к директориям Изображения, Документы и тд. По крайней мере в CalyxOS это имеет место быть. На других прошивках не проверял, не досуг пока. У других системных (а тем более установленных пользователем) приложений такой функции нет.Сделано ли это (как всегда) для блага пользователей, которым нужно шарить фоточки между профилями, нужно ли записать это в косяк разработчикам конкретной прошивки (в скором времени думаю будет ясно) - однако это во многом ослабляет (а в некоторых случаях вообще херит) изоляцию песочницы. Ну и заставило меня изобретать очередной велосипед.Поэтому говорить про "песочницу с полной изоляцией" можно только рассматривая комплекс мер, которые помимо установки и настройки песочницы включают в себя взаимодействие с другими приложениями, их разрешениями в системе, наличие Root-доступа в песочнице и так далее и тому подобное. С выходом каждой новой версии Android все сложнее обеспечивать контроль над системой. Все эти гугловские запреты на доступ к Сервису специальных возможностей, чтению уведомлений и даже к директориям приложений на общем накопителе с одной стороны вроде как направлены на усиление безопасности, а с другой вставляют охрененные палки в колеса этой самой безопасности, вынуждая пользователя полагаться на разработчика прошивки или рыть носом инфу по вариантам противодействия такой "заботе". А как показала практика, даже такие авторитетные проекты как Calyx грешат хуйней.
2023-01-06 19:11:56
📕Satellite Ground Segment: Applying the Cybersecurity Framework to Satellite Command and Control🛰Декабрьский межведомственный отчет(8401) от NIST про применение Cybersecurity Framework по отношению к наземному сегменту космических операций в ключе с C2(command and control) над спутниковыми шинами и пэйлоадами. В целом было интересно почитать про космическую кибер-экосистему.🛰December interagency report(8401) from NIST about the application of the Cybersecurity Framework in relation to the ground segment of space operations in the key with C2(command and control) over satellite buses and payloads.In general, it was interesting to read about the space cyber ecosystem.#Satellite #SpaceOps #security #C2 #criticalInfrastructure
2023-01-06 19:11:52
#Satellite #SpaceOps #security #C2 #criticalInfrastructure
2023-01-06 17:05:32
|AppSec Ezine|📰464rd EditionRelease Date: 06/01/2023pathonprojectgithub#ezine #appsec #infosec
2023-01-05 16:15:10
|CARPE Forensics - creating our own forensic infrastructure|🕵️‍♂️Relatively long ago, I came across this framework, which can be used to create infrastructure myself, because there are sources and there are modules for automated analysis right away (so now modules can work with large amounts of data, keyword search, string extraction and recombination of file fragments), but I repeatedly postponed its analysis, but how it turned out - in vain. After all, when I have the task of developing a modular tool again, or I am invited to take part in the study of artifacts, this project will be able to help, because, as I repeat, it is an automated system that integrates into the workflow without any problems and simplifies the process of researching / analyzing the machine.The architecture of the framework can be viewed in the photo, which I attach as always - above.There are two main components:1️⃣ Analysis of digital forensic images (using plaso and RDS) and extraction of artifacts.The artifacts obtained in the course of the work are used in the future as input data for processing big dates (more details below).2️⃣ Work (processing) with a big dateAfter the above-described analysis of images and extraction of artifacts, correlation analysis and indexing of strings takes place (carried out using the modules mentioned at the beginning) and subsequent storage in the database (graphical, time series and relational), then it is all visualized and the forensic specialist gets everything beautiful and conditionally on a platter.In the end, we can also get an analysis report.⚠️It is better to get acquainted with the modules(advanced modules) in the repository and in practice, because there are a lot of them and at the same time nothing prevents you from writing your own to solve certain tasks.Conclusion: a rather interesting, flexible and easily embedded framework, which may be of interest to both developers of predictive software, as well as researchers or employees of various services and, in general, predictive specialists.⚙️ You can find out how to build it here or download the build-ed one already here.🔖 Documentation is here.#DFIR #forensics #artifact #image #BigData
2023-01-05 16:15:03
|CARPE Forensics - создаем свою форензик-инфраструктуру|🕵️‍♂️Относительно давно мне на глаза попался данный фреймворк, который вполне себе можно использовать для создания инфры собственноручно, ведь исходники есть и сразу есть модули для автоматизированного анализа(так теперь модули могут работать с большими объемами данных, поиск по кейвордам, извлечение строк и рекомбинация фрагментов файлов), однако неоднократно откладывал его разбор, но как выяснилось - зря. Ведь, когда у меня опять встанет задача по разработке модульного инструмента или меня позовут принять участие в исследовании артефактов, то этот проект сможет помочь, ведь как еще раз повторюсь - это автоматизированная система, которая без особых проблем интегрируется в рабочий процесс и упрощает процесс исследования/анализа машины.Архитектуру фреймворка можно посмотреть на фото, которое прикладываю как всегда - выше.Есть две основные составляющие:1️⃣Анализ цифровых форензик-образов(с использованием plaso и RDS) и извлечение артефактов.Полученные в ходе работы артефакты используются в дальнейшем как входные данные для обработки биг даты(далее немного подробнее).2️⃣Работа(обработка) с биг датойПосле вышеописанного анализа образов и извлечения артефактов, происходит корреляционный анализ и индексация строк(осуществляются с помощью упомянутых в начале модулей) и последующее хранение в БД(графическая, временных рядов и реляционная), далее это все визуализируется и форензик-специалист получает все красивое и на условно на блюдечке.В конечном итоге можем получить и отчет анализа.⚠️С модулями(расширенные модули тут) лучше ознакомиться в репозитории и на практике, ибо их уйма и в то же время не ничего не мешает написать свои для решения определенных задач. Вывод: довольно интересный, гибкий и легковстраиваемый фреймворк, который может быть интересен, как разработчиками форензик-софта, так и исследователям или сотрудникам различных служб и в целом форензик-специалистам. ⚙️Как сбилдить можно узнать тут или загрузить собранный уже тут.🔖Документация тут.#DFIR #forensics #artifact #image #BigData
2023-01-05 16:14:54
🕵️‍♂️CARPE Forensics - создаем свою форензик-инфраструктуру🕵️‍♂️CARPE Forensics - creating our own forensic infrastructure#DFIR #forensics #artifact #image #BigData
2023-01-04 19:31:06
|Terrorist Threat Intelligence|🕵️‍♂️Проблема с терроризмом распласталась по миру, а поиск террористов(нет, не сфабрикованные дела с "клавишными" террористами) не простой, на появилась недавно подборка с ресурсами для разведки террористических угроз. Содержимое:💾Глобальный индекс терроризма 💾Открытые санкции💾Новости из области терроризма/экстремизма 💾Базельский индекс борьбы с отмыванием денег(AML)💾Соответствие требованиям и надлежащая разведка💾Активные террористические группы💾Ресурсы, помогающие при "террористической" разведке💾Разведка, направленная на получение информации об оружии.🕵️‍♂️The problem with terrorism has spread all over the world, and the search for terrorists (no, not fabricated cases with "keyboard" terrorists) is not easy, on a selection of resources for the intelligence of terrorist threats has recently appeared.Content:💾Global terrorism index💾Open Sanctions 💾Terrorism/Extremism news💾Basel AML index💾Compliance & due intelligence 💾Terrorism intelligence resources💾Active terrorist groups💾Weapons intelligence #Intelligence #Terrorism #Extremism #OSINT #Weapons
2023-01-04 19:30:50
#Intelligence #Terrorism #Extremism #OSINT #Weapons
2023-01-04 14:51:30
|AppSec Ezine|📰463rd 🎄 EditionRelease Date: 30/12/2022pathonprojectgithub#ezine #appsec #infosec
2023-01-04 14:47:53
|UNREDACTED Magazine #001| 🤙Шизо жив! 📘Тут появился первый выпуск журнала от Майкла Баззелл, который проработал примерно 18 лет в должности государственного следователя по компьютерным преступлениям, причём на ФБР. У него есть две работы, с которыми скорее…
2022-12-31 13:01:07
🎄Дорогие подписчики! Хочу пожелать в новом году всего наилучшего, пусть работа приносит удовольствие и интересные задачи, надеюсь что в 2023-м году поставленные планы будут выполнены, новый материал будет легко усваивать, да и в целом чтобы в семье было все хорошо. Этот год был непростым, но довольно насыщенным на события, для кого-то он был слишком тяжелым и хочется, чтобы как минимум был не хуже, а в идеале - лучше.🎄Dear subscribers! I want to wish you all the best in the new year, let the work bring pleasure and interesting tasks, I hope that in 2023 the plans will be fulfilled, the new material will be easy to learn, and in general, everything will be fine in the family. This year was not easy, but it was quite eventful, for someone it was too hard and I want it to be at least not worse, and ideally better.
2022-12-29 01:31:44
|Improving the Intelligence Community's Leveraging of the Full Science and Technology Ecosystem|🕵️‍♂️Ни для кого не секрет, что успех разведывательного сообщества (Intelligence Community, IC) не мало зависит от опережения противника в техническом аспекте. Данная работа рассматривает способы/методы, благодаря которым IC сможет воспользоваться передовыми достижениями науки и техники для создания современной экосистемы исследований и разработок. Да, это все довольно трудно, однако при пренебрежении такого потенциала не получится поставить противника в ступор.Подробнее можно ознакомиться с рекомендациями в работе. #Intelligence #science #research #development
2022-12-29 01:31:23
|Improving the Intelligence Community's Leveraging of the Full Science and Technology Ecosystem|🕵️‍♂️It's no secret that the success of the Intelligence Community (IC) does not depend a little on the advance of the enemy in the technical aspect. This paper examines the ways/methods by which IC will be able to take advantage of the advanced achievements of science and technology to create a modern ecosystem of research and development. Yes, it's all quite difficult, but if such a potential is neglected, it will not be possible to put the enemy in a stupor.You can read more about the recommendations in the work.#Intelligence #science #research #development
2022-12-28 20:59:13
🤙Выражаю огромную благодарность Pavlu, ведь благодаря нему и авторам журнала(Шизо тоже приложил руку) вышло сие творчество. По возможности поддержите старания(просто подписаться или поделиться со знакомым/приятелем/другом), тебе дорогой подписчик или странствующий читатель - не трудно, а нам приятно!В первом, пилотном выпуске, вас ждут статьи из рубрик: Darknet Review, Tor-метрика, Шизофреническая анонимность, Уголок Кодера, 420 Stoners Сlub и Ооо! Нейролингвистическое.
2022-12-28 20:43:26
Участники | Поддержать
2022-12-28 20:21:39
#software #search Pinpoint[ ]Еще один великолепный инструмент для сбора, агрегации в многообразие всей той информации которую вы уже собрали в процессе собственных исследований.Помните Datashare? []Так вот - Pinpoint его аналог, только облачный и от Google, с добавленными крутыми фишками, работающие на базе искусственного интеллекта, как заявляют авторы. Основная суть такая же - позволять искать нужную информацию и фактоиды из всей той разнотипной информации которую вы собрали по делу. Но из особенностей можно выделить следующее: • Распознание текста (даже рукописного) на фото, картинках, сканах, pdf. При этом текст на изображение может быть совершенно не подготовлен для подобных операций (например на отдаленной вывеске снятой под углом, или надписи присутствующей на каком то объекте изображенном на фото) • Расшифровка аудио/видео записей в текст с указанием тайминга и поиском по нему. • Распознание таблиц в изображениях и перевод их в редактируемый вид. • Автоматическая идентификация имен, названий организаций, географических точек исходя из базы знаний Google.P.S. Я реально, в лютом восторге от его возможностей по распознанию текста на фото. Никогда еще не видел чтоб это было в таком качестве.
2022-12-28 01:41:01
|ANTfs - restore or prevent recovery|"And what is there on anti-forensis, and then there are a lot of posts on forensis lately?"🕵️‍♂️In general, I have not observed any really new/breakthrough solutions or techniques recently (what is used in the ransom community is essentially old techniques, with rare exceptions), although there is one interesting project that I will try to analyze in more detail in the near future - Shufflecake (sources, introductory post and work).Quite a few projects/techniques/developments in general are in private - for obvious reasons, although in this case errors and vulnerabilities are more difficult to track.Today's test subject is ANTfs. This project is based on the manipulation of the FS(filesystem) to prevent recovery (not concealment!) files using the Windows driver (application in kernel-mode). That is, the recording files are overwritten and the contents of the file are erased by itself. Using the driver, you can bypass direct write blocking by setting SL_FORCE_OVERWRITE inside IRP flags and sending a Write request to a lower-level driver.In fact, the project consists of a user-mode application (ANTfs.exe ) and ANTfs drivers(kernel-mode application, ANTfsDriver.sys ). If the second plus or minus is sorted out, then the user-mode application is used to restore deleted files from the system and outputs them to the timestamped directory (if you do not specify the path, it will be created in the same directory). It works clearly: 💾a volume descriptor is being created💾next comes the reading from the MFT(examples of MFT parsers: MFTECmd, MFT_Browser and Analyze MFT) 💾iterating over each file entry in the MFT(s), checking the allocation bit💾If the record is not distributed, it is processed.The user can restore data from the system, but in order to erase it, you will need the driver described earlier.⚠️The contents of the basket are ignored!To erase a record from the system, you first need to install the driver:sc create antfs binPath= <path/to/driver>/antfs driver.sys type= kernelsc start antfsUse the following commands to perform the previously described actions.⚙️Recovery of deleted files(--recover) from volume D(--drive d indicating the output path of saving the timestamped directory),--outfile path(if we want to save it there, then after the --outfile argument we don't need to write anything):ANTfs.exe --drive d --recover --outfile E:\ShizoForensics⚙️To erase the record from the system, use the following command (the --wipe argument to clear the record from the file):ANTfs.exe --drive c --wipe file_to deleteSumming up, I would like to say that although the project is no longer supported, but it works quite well despite the use of the driver (in principle, not bad), for those who are really interested in using the project, I advise you to look at the generated artifacts in the process of work (not a big homework assignment).#antiForensics #forensics #fileSystem #NTFS #MFT
2022-12-28 01:40:47
|ANTfs - восстанавливай или предотвращай восстановление|"А что там по анти-форензике, а то много постов по форензике в последнее время?"🕵️‍♂️В целом действительно новых/прорывных решений или техник не наблюдал в последнее время(то, что используется в рансом сообществе - по сути старые техники, за редким исключением), хотя есть один интересный проект, который постараюсь подробнее разобрать в скором - Shufflecake(исходники, вводный пост и работа).Не мало проектов/техник/наработок в целом находятся в привате - по понятным причинам, хотя в таком случае ошибки и уязвимости труднее отслеживать.Сегодняшний подопытный - ANTfs. Данный проект основывается на манипулировании ФС для предотвращения восстановления(не сокрытия!) файлов, используя драйвер Windows(приложение в режиме ядра, kernel-mode). То бишь происходит перезапись файлов записи и само собой содержимое файла стирается. С помощью драйвера можно обойти блокировку прямой записи, установив SL_FORCE_OVERWRITE внутри IRP-флагов и отправив Write-запрос нижестоящему драйверу.По сути проект состоит из user-mode приложения(ANTfs.exe) и ANTfs драйвера(kernel-mode приложение, ANTfsDriver.sys). Если со вторым плюс-минус разобрались, то user-mode приложение используется для восстановления удаленных файлов из системы и выводит их в timestamped каталог(если не указать путь, то будет создан в том же каталоге). Работает понятно: 💾создается дескриптор для тома💾далее происходит чтение из MFT(примеры MFT-парсеров:MFTECmd, MFT_Browser и Analyze MFT) 💾итерирование по каждой файловой записи в MFT(ах), проверяя бит выделения💾В случае, если запись не распределена, происходит её обработка.💾Пользователь может восстановить данные из системы, но вот для того чтобы стереть понадобится описанный ранее драйвер.⚠️Содержимое корзины игнорируется!⚠️Для стирания записи из системы предварительно нужно установить драйвер:sc create antfs binPath= <путь/до/драйвера>/antfs driver.sys type= kernelsc start antfsС помощью следующих команд выполнить ранее описанные действия.⚙️Восстановление удаленных файлов(--recover) из тома D(--drive d с указанием выходного пути сохранения timestamped каталога(--outfile путь, если мы хотим сохранить там же, то после аргумента --outfile не нужно ничего писать ):ANTfs.exe --drive d --recover --outfile E:\ShizoForensics⚙️Для стирания записи из системы воспользуемся следующей командой(аргумент --wipe для очистки записи из файла):ANTfs.exe --drive c --wipe файл_для_удаленияПодводя итоги хочется сказать, что хоть и проект уже не поддерживается, но он довольно хорошо работает несмотря на использование драйвера(в принципе не плохо), для тех кто действительно заинтересован в использовании проекта, советую посмотреть на генерируемые артефакты в процессе работы(не большое домашнее задание).#antiForensics #forensics #fileSystem #NTFS
2022-12-28 01:40:36
💥ANTfs - восстанавливай или предотвращай восстановление.💥ANTfs - restore or prevent recovery.#antiForensics #forensics #fileSystem #NTFS
2022-12-25 15:30:49
🔥🔥🔥Cinema time!Agenda:💾Video decoding subsystem overview💾AppleAVD internals💾AppleAVD attack surface💾Fuzzing approach and code analysis💾Results💾Previously disclosed vulnerabilities and exploitation💾Discussion💾Q&A
2022-12-25 15:13:59
🕵️‍♂️Studies in Intelligence 66, No. 4#CIA #FBI #KGB #Intelligence #Counterspy #InsiderThreats #COVID19 #KineticPredictiveAnalyticTechnique #WWII #Russia #USSR #Vatican #NorthKorea #Japan #Italia #Africa
2022-12-25 15:13:22
|Studies in Intelligence 66, No. 4|🕵️‍♂️Вышел новый выпуск журнала для разведчиков: "Studies in Intelligence(Исследования в области Разведки)". Вкратце что за журнал можно почитать тут.📕Содержание журнала:📑Инсайдерские угрозы:Выявление трещин:Влияние пандемии COVID-19 на организационное правосудие в IC📑Борьба с Неожиданностью: Представляем методику кинетического прогностического анализа Криса Батчелдера📑Жизнь и неправомерная смерть Грегга Дэвида Венцеля, тайного сотрудника ЦРУ(Звезда 81)📑Почему Демократии развиваются и приходят в упадок📑Путин - Рецензия Дж. Э. Леонардсона📑Оружие, партизаны и великий лидер: Северная Корея и Третий мир📑КГБ и Ватикан: секреты досье Митрохина📑Первый контрразведчик: Ларри Хаас, Bell Aircraft и попытка ФБР поймать советского "крота"📑"Мост к Солнцу": тайная роль американцев японского происхождения, сражавшихся на Тихом океане во Второй Мировой Войне📑“Vincere!”(победа). Операции итальянской королевской армии по борьбе с повстанцами в Африке, 1922-1940📑Книжная полка офицера разведки - декабрь 2022 года📑СМИ , рассмотренные в исследованиях по разведке в 2022 году🕵️‍♂️A new issue of the magazine for intelligence officers has been published: "Studies in Intelligence ". In short, what kind of magazine can you read here.📕Contents of the magazine:📑Insider Threats:Exposing the Cracks:Impact of the COVID-19 Pandemic on Organizational Justice in the IC📑Combating Surprise: Introducing the Kinetic Predictive Analytic Technique by Chris Batchelder📑The Life and Wrongful Death of Gregg David Wenzel, Clandestine CIA Officer Star 81📑Why Democracies Develop and Decline📑Putin—Reviewed by J.E. Leonardson📑Guns, Guerillas, and the Great Leader: North Korea and the Third World📑The KGB and the Vatican: Secrets of the Mitrokhin Files📑The First Counterspy: Larry Haas, Bell Aircraft, and the FBI’s Attempt to Capture a Soviet Mole📑Bridge to the Sun: The Secret Role of the Japanese Americans Who Fought in the Pacific in World War II📑“Vincere!” The Italian Royal Army’s Counterinsurgency Operations in Africa, 1922–1940📑Intelligence Officer’s Bookshelf—December 2022📑Media Reviewed in Studies in Intelligence in 2022#CIA #FBI #KGB #Intelligence #Counterspy #InsiderThreats #COVID19 #KineticPredictiveAnalyticTechnique #WWII #Russia #USSR #Vatican #NorthKorea #Japan #Italia #Africa
2022-12-25 15:13:07
#CIA #FBI #KGB #Intelligence #Counterspy #InsiderThreats #COVID19 #KineticPredictiveAnalyticTechnique #WWII #Russia #USSR #Vatican #NorthKorea #Japan #Italia #Africa
2022-12-24 15:15:12
💥1day link Private Shizo(fully free)
2022-12-23 13:13:09
😉В преддверии нового года, хочется пожелать именно тебе, чтобы новогоднее настроение напитывало тебя силами и приятными эмоциями. Пусть выходные подарят отличный отдых и гору улыбок.😉On the eve of the new year, I would like to wish you that the New Year mood nourishes you with strength and pleasant emotions. Let the weekend give you a great rest and a mountain of smiles.
2022-12-23 13:03:47
📕Demystifying Bitcoin Address Behavior via Graph Neural Networks#cryptocurrency #BTC #forensics #NeuralNetwork
2022-12-23 13:03:42
#cryptocurrency #BTC #forensics #NeuralNetwork
2022-12-23 11:00:10
|AppSec Ezine|📰462rd 🎄 EditionRelease Date: 23/12/2022pathonprojectgithub#ezine #appsec #infosec
2022-12-23 10:32:30
|Форензика против контрфорензики|🕵️‍♂️Данная работа позволяет по-современному взглянуть на форензик-экспертизу, получая информацию от основ форензик-экспертизы, в том числе: процесс судебного расследования, цепочка поставок и структура киберпреступлений, какие цифровые данные полезны для форензик-специалиста и какие есть типы следователей, а также какие возникают трудности в ходе экспертизы и инструментарий для получения артефактов из различных источников. Немало материала посвящено контрмерам цифровой криминалистике(anti-forensics) и соответственно затронута тема anti-anti-forensics.Так что данную работу рекомендую как начинающим/среднего уровня форензик-специалистам, так и тем, кто подозревает что могут его цифровой носитель подвергнуть криминалистическому анализу.#security #privacy #forensics #antiForensics #AntiAntiForensics
2022-12-23 10:29:01
#security #privacy #forensics #antiForensics #AntiAntiForensics
2022-12-23 10:05:48
🔥Так-с, вот и в дикой природе засветился сплойт, эксплуатирующий UAF багу(Ахтунг, CVSS 10 из 10) в сервере ksmbd(репозиторий, имплементация SMBv3 протокола в пространстве кернела для обмена файлами по сети, а в целом SMB/CIFS сервер, ранее: CIFSD) и можно выполнять код в контексте ядра в случае успешной эксплуатации.Для эксплуатации нам не понадобится добиваться LPE на машине жертвы, ведь не требуется аутентификация. По большому счету количество таргетов не большое в силу того, что ksmbd сервер появился лишь в версии кернела 5.15 и в целом процент SMB-серверов использующих имплементацию ksmbd по сравнению с Samba не велик .Баг был найден с помощью KASAN, в функции smb2_tree_disconnect(struct ksmbd_work *work) происходит освобождение структуры ksmbd_tree_connect, при этом остается висячий указатель, к которому можно получить опять доступ, воспользовавшись составным запросом. Для наглядности я сделал скрины(третий - с патчем безопасности) и выделил частично, далее...🛡Патч безопасности(коммит) тут
2022-12-22 20:56:04
📕Security of IoT Device: PerspectiveForensic/Anti-Forensic Issues on Invalid Area of NAND Flash Memory.#forensics #antiForensics #security #privacy #NAND #IoT
2022-12-22 20:55:51
#forensics #antiForensics #security #privacy #NAND #IoT
2022-12-22 17:52:27
|GiftStick|🕵️‍♂️Вжух и доказательства в кармане облаке! Сие чудо простой мысли было создано для сотрудников, желающих в один клик получить доказательства с устройства и отправить их в облако(не секьюрно, да и в целом - некорректно). Единственное что может понадобится сделать - выполнить предварительно немного телодвижений: выбрать собираемые артефакты и облачные учетные данные, которые будут использоваться.Конечно, момент с использованием dmidecode для получения системной информации - спорный, но плюсы с точки зрения производительности и безопасности могут перевесить недостатки. Но инструмент не очень пригоден для форензик-экспертизы, как минимум из-за отсутствия механизма блокировки записи и использования облачной платформы для отправки полученных данных.Вот что именно можно достать:💾Используя dmidecode, получаем системную информацию(дамп SMBIOS / содержимого таблицы DMI)💾Из каждого блочного устройства(по мнению автора: скорее всего внутренний диск) получаем следующие данные: ->все байты ->хэши ->используя udevadm, получаем информацию об устройстве💾Прошивка системы, сдампленная с помощью CHIPSEC💾Папка(к примеру - смонтированная файловая система.⚠️Если подвести итог по инструменту, то повторюсь в том, что инструмент из коробки не пригоден для форензик-специалиста, а если придерживаться концепции "в один клик", то уж тем более и от силы подойдет начинающим для пробы пера, да и факт отправки в облачное хранилище от Google на данный момент - такая себе перспектива.🕵️‍♂️Whoosh and the evidence is in the pocket cloud! This miracle of simple thought was created for employees who want to get evidence from the device in one click and send it to the cloud (it is not safe, and in general - incorrectly). The only thing that may need to be done is to perform a few body movements beforehand: select the artifacts to be collected and the cloud credentials to be used.Of course, the moment of using dmidecode to obtain system information is controversial, but the advantages in terms of performance and security may outweigh the disadvantages. But the tool is not very suitable for forensic examination, at least due to the lack of a record blocking mechanism and the use of a cloud platform to send the received data.Here's exactly what you can get:💾Using dmidecode, we get system information (SMBIOS dump / DMI table contents)💾From each block device (according to the author: most likely an internal disk) we get the following data: ->all bytes ->hashes ->using udevadm, we get information about the device💾System firmware, dumped using CHIPSEC💾Folder(for example, a mounted file system)⚠️If we summarize the tool, then I repeat that the tool out of the box is not suitable for a forensic specialist, and if you stick to the "one-click" concept, then it is even more suitable for beginners to try out a pen, and the fact of sending to the cloud storage from Google at the moment is such a perspective.#forensics #evidence #hardware #firmware #disk
2022-12-22 17:52:26
#forensics #evidence #hardware #firmware #disk
2022-12-22 13:26:52
|ForCons&Events2023|🕵️‍♂️2022 год уже подходит к концу, так что настало время посмотреть на конференции по форензике в 2023 году и начать планирование.Данный список с событиями в области форензики периодически обновляется.🕵️‍♂️The year 2022 is already coming to an end, so it's time to look at the 2023 forensics conferences and start planning.This list of events in the field of forensics is periodically updated.#forensics #NSA #Magnet #DFRWS #EuropeanPolice #InternationalPoliceExpo #SANS
2022-12-21 19:42:01
🔥The second version of Game Of Active directory is out!💥GOAD - part 1 - reconnaissance and scan💥GOAD - part 2 - find users💥GOAD - part 3 - enumeration with user💥GOAD - part 4 - poison and relay💥GOAD - part 5 - exploit with user💥GOAD - part 6 - ADCS💥GOAD - part 7 - MSSQL💥GOAD - part 8 - Privilege escalation💥GOAD - part 9 - Lateral move💥GOAD - part 10 - Delegations💥GOAD - part 11 - ACL💥GOAD - part 12 - Trusts
2022-12-20 13:42:34
🕵️‍♂️Поздравляю всех причастных с Днем работника органов безопасности Российской Федерации. Желаю сохранить здоровье во время службы и добиться успехов в оной.
2022-12-20 13:25:56
🕵️‍♂️У Кошки-федерала вышла статья про форензику и анти-форензику, подойдет для тех кто только-только вкатывается, без особой воды, тезисно и с ссылочками.🕵️‍♂️The Federal Cat has an article about forensics and anti-forensics, suitable for those who are just rolling in, without much water, thesis and with links.
2022-12-20 12:55:24
|FORCEDENTRY, ты тут?|🕵️‍♂️Думаю, что многие не забыли про сделавший много шума год назад data-only 0-click RCE сплойт FORCEDENTRY(CVE-2021-30860, integer overflow в JBIG2 реализации для xpdf в Apple (JBIG2Stream::readTextRegionSeg(), посредством программирования JBIG2 weird machine в парсере), что относится к CoreGraphics по сути) через iMessage от NSO Group. То есть прилетает тебе PDF файл, который якобы ".gif" и за счет того, что IMTranscoderAgent анализировал как раз такого рода самозванцев за пределами BlastDoor песочницы, израильтяне могли достичь SBX. В действительности эксплуатация была намного сложнее и можно почитать подробнее: пост на канале, тут и тут.Причем исследователи из Google Project Zero не смогли установить точный след после IMTranscoderAgent SBX и как предположение выдвинули несколько сценариев эксплуатации:1️⃣iMessage RCE ➡️ IMTranscoderAgent SBX ➡️ iOS kernel LPE2️⃣iMessage RCE ➡️ IMTranscoderAgent SBX ➡️ some_service ➡️ iOS kernel LPEПроблема для безопасников и по сей день стоит в том, что в публичном доступе до сих пор нет сэмплов(отсюда можем сделать вывод, что стандартными методами детектить не выйдет). В этом посте Мэтта помимо разбора атаки идет речь и о детектировании без испльзования регулярок или проверок имени процесса, в конечном итоге был представлен инструмент(ELEGANTBOUNCER) для анализа файлов non-fileless(data-only) атаки, причем не основываясь на сэмплах. 🔖Более подробно можно почитать в статье Мэтта.🕵️‍♂️I think that many have not forgotten about the FORCEDENTRY exploit that made a lot of noise a year ago (CVE-2021-30860, integer overflow in the JBIG2 implementation for xpdf in Apple (JBIG2Stream::readTextRegionSeg(), by programming the JBIG2 weird machine in the parser), which refers to CoreGraphics in fact) via iMessage from NSO Group. That is, a PDF file arrives to you, which is allegedly ".gif" and due to the fact that IMTranscoderAgent analyzed just such impostors outside the BlastDoor sandbox, the Israelis could achieve SBX. In fact, the operation was much more complicated and you can read more: a post on the channel, here and here.Moreover, researchers from Google Project Zero were unable to establish an exact trace after IMTranscoderAgent SBX and, as an assumption, put forward several operating scenarios:1️⃣iMessage RCE ➡️ IMTranscoderAgent SBX ➡️ iOS kernel LPE2️⃣iMessage RCE ➡️ IMTranscoderAgent SBX ➡️ some_service ➡️ iOS kernel LPEThe problem for security guards to this day is that there are still no samples in the public domain (from here we can conclude that it will not be possible to detect using standard methods). In this post by Matt, in addition to analyzing the attack, we are talking about detecting without using regular expressions or checking the process name, eventually a tool for analyzing non-fileless(data-only) attack files was introduced, and not based on samples(ELEGANTBOUNCER). 🔖You can read more in Matt's article.#NSO #PegasusSpyware #FORCEDENTRY #iOS #iMessage #forensics #security #expoitation #sbx #xpdf #weirdMachine #JBIG2
2022-12-20 12:55:18
#NSO #PegasusSpyware #FORCEDENTRY #iOS #iMessage #forensics #secyrity #expoitation #sbx #xpdf #weirdMachine #JBIG2
2022-12-18 10:27:45
🤙Шизо на связи!💥Надеюсь, что вы не забыли про Dirty COW(PoCs). У Чжулвэйя вышел новый пост про получение рута в macOS 13.0.1 / 12.6.1 и ниже посредством эксплуатации CVE-2022-46689(запуск бинаря, перезапись и запуск по новой). По сути это эквивалентная Dirty COW вулне, только затрагивающая macOS(XNU), заместо линукс кернела, так что и репозиторий называется:"MacDirtyCowDemo", а саму уязвимость нашел Ян Бир(i41nbeer, "бывший" сотрудник GCHQ, предыдущая связанная вулна тут). В обновлении безопасности Apple(iOS 16.2 и iPadOS 16.2, iOS 15.7.2 и iPadOS 15.7.2, macOS 13.1, macOS 12.6.2, macOS 11.7.2, tvOS 16.2 и watchOS 9.2) говорится, что атакующий эксплуатируя эту вулну может исполнить произвольный код с привилегиями ядра и race condition предотвращается за счет новых проверок(как будет написано ниже - они косвенно влияют). Чжулвэй начал анализировать уязвимость, анализируя файл в Apple XNU(vm_unaligned_copy_switch_race.c) и добился race condition(один поток переключает память между readonly и writable, а второй - пытается писать данные), позволив ему в дальнейшем временно изменять файлы в томе /System(для сохранения изменений после ребута, нужно запускать на доступном для записи томе, все это из-за Sealed System Volume).У Чжулвэйя не удалось добиться выполнения произвольного кода с привилегиями ядра и получилось лишь влиять на юзерспейс процессы. Отключение проверки пароля удалось достичь за счет рекомендаций по проверке подлинности пользователя на основе политики, расположенной в /etc/pam.d(/etc/pam.d/login, всегда разрешает доступ без аутентификации) и было представлено на Pwn2Own2020 и затронуто в докладе на Black Hat USA 2020 "Compromising the macOS Kernel through Safari by Chaining Six Vulnerabilities" и для удобства был добавлен параметр командной строки, принимающий в качестве аргумента то, что нужно перезаписать.Для получения рута нужно выполнить следующие команды по загрузки репозитория и перехода в директорию с ним:1️⃣clang -o switcharoo vm_unaligned_copy_switch_race.c2️⃣sed -e "s/rootok/permit/g" /etc/pam.d/su > overwrite_file.bin3️⃣./switcharoo /etc/pam.d/su overwrite_file.bin4️⃣suИ после исполнения бинаря на этапе 3️⃣, должны получить следующий вывод:Testing for 10 seconds...RO mapping was modifiedА после выполнения команды su на этапе 4️⃣ будет получен доступ к рутованному шеллу:sh-3.2# Помимо всего прочего:💾В функции невыровненной записи(unaligned write) в XNU кернеле есть еще одна type confusion:mach_vm_write(mach_task_self(), printf, printf, 0x8001); Интерес представляет объединение vm_map_object:union vm_map_object {vm_object_t vmo_object; /* объект object */vm_map_t vmo_submap; /* принадлежит другой карте */} vm_map_object_t;Для vm адреса в sharedcache в роли первой записи будет вложенная карта(submap)Причем, VME_OBJECT как раз и вызывает type confusionТо есть shared cache mapping в памяти напрямую перезаписать не получится!💾За счет того, что submap не владеет VM_PROT_WRITE, патч приводит к досрочному возврату(либо следующий dst_object = VME_OBJECT(entry) приводит к панике), что как бы косвенно предотвращает type confusion, причем в vm_map_copy_overwrite_nested такое уже было в ярлыке по адресу:if (dst_end <= entry->vme_end) { goto start_overwrite; /*можно предотвратить проверки рарешений */}💾vm_map_copy_overwrite_unaligned не предполагает проверки на запись💾Вероятно, подписи кода(codesigning) и песочница помешает произвести перезапись. Так как весь процесс подыхает в случае подачи неверной сигнатуры и повторная проверка codesignature на странице довольно сильно мешает.⚠️Так что если ты подписчик пользуешься яблочной продукцией - обновляйся(уязвимость была запатчена в:iOS 16.2 и iPadOS 16.2, iOS 15.7.2 и iPadOS 15.7.2, macOS 13.1, macOS 12.6.2, macOS 11.7.2, tvOS 16.2 и watchOS 9.2)!#macOS #XNU #vulnerability #exploitation #security #DirtyCOW #MacDirtyCow #root #su
2022-12-17 21:55:03
🤙Шизо на связи! 💥Надеюсь, что вы не забыли про Dirty COW(PoCs). У Чжулвэйя вышел новый пост про получение рута в macOS 13.0.1 / 12.6.1 и ниже посредством эксплуатации CVE-2022-46689. По сути это эквивалентная Dirty COW вулне, только затрагивающая macOS(XNU)…
2022-12-17 21:55:02
🤙Шизо на связи!💥Надеюсь, что вы не забыли про Dirty COW(PoCs). У Чжулвэйя вышел новый пост про получение рута в macOS 13.0.1 / 12.6.1 и ниже посредством эксплуатации CVE-2022-46689. По сути это эквивалентная Dirty COW вулне, только затрагивающая macOS(XNU), заместо линукс кернела, так что и репозиторий называется:"MacDirtyCowDemo", а саму уязвимость нашел Ян Бир(i41nbeer, "бывший" сотрудник GCHQ, предыдущая связанная вулна тут). В обновлении безопасности Apple говорится, что атакующий эксплуатируя эту вулну может исполнить произвольный код с привилегиями ядра и race condition предотвращается за счет новых проверок(как будет написано ниже - они косвенно влияют). Чжулвэй начал анализировать уязвимость, анализируя файл в Apple XNU(vm_unaligned_copy_switch_race.c) и добился race condition(один поток переключает память между readonly и writable, а второй - пытается писать данные), позволив ему в дальнейшем временно изменять файлы в томе /System(для сохранения изменений после ребута, нужно запускать на доступном для записи томе, все это из-за Sealed System Volume).У Чжулвэйя не удалось добиться выполнения произвольного кода с привилегиями ядра и получилось лишь влиять на юзерспейс процессы. Отключение проверки пароля удалось достичь за счет рекомендаций по проверке подлинности пользователя на основе политики, расположенной в /etc/pam.d(/etc/pam.d/login, всегда разрешает доступ без аутентификации) и было представлено на Pwn2Own2020 и затронуто в докладе на Black Hat USA 2020 "Compromising the macOS Kernel through Safari by Chaining Six Vulnerabilities" и для удобства был добавлен параметр командной строки, принимающий в качестве аргумента то, что нужно перезаписать.Для получения рута нужно выполнить следующие команды по загрузки репозитория и перехода в директорию с ним:1️⃣clang -o switcharoo vm_unaligned_copy_switch_race.c2️⃣sed -e "s/rootok/permit/g" /etc/pam.d/su > overwrite_file.bin3️⃣./switcharoo /etc/pam.d/su overwrite_file.bin4️⃣suИ после исполнения бинаря на этапе 3️⃣, должны получить следующий вывод:Testing for 10 seconds...RO mapping was modifiedА после выполнения команды su на этапе 4️⃣ будет получен доступ к рутованному шеллу:sh-3.2# Помимо всего прочего:💾В функции невыровненной записи(unaligned write) в XNU кернеле есть еще одна type confusion:mach_vm_write(mach_task_self(), printf, printf, 0x8001); Интерес представляет объединение vm_map_object:union vm_map_object {vm_object_t vmo_object; /* объект object */vm_map_t vmo_submap; /* принадлежит другой карте */} vm_map_object_t;Для vm адреса в sharedcache в роли первой записи будет вложенная карта(submap)Причем, VME_OBJECT как раз и вызывает type confusion💾За счет того, что submap не владеет VM_PROT_WRITE, патч приводит к досрочному возврату(либо следующий dst_object = VME_OBJECT(entry) приводит к панике), что как бы косвенно предотвращает type confusion, причем в vm_map_copy_overwrite_nested такое уже было в ярлыке по адресу:if (dst_end <= entry->vme_end) { goto start_overwrite; /*можно предотвратить проверки рарешений */}💾vm_map_copy_overwrite_unaligned не предполагает проверки на запись💾Вероятно, подписи кода(codesigning) и песочница помешает произвести перезапись.⚠️Так что если ты подписчик пользуешься яблочной продукцией - обновляйся(уязвимость была запатчена в:iOS 16.2 и iPadOS 16.2, iOS 15.7.2 и iPadOS 15.7.2, macOS 13.1, macOS 12.6.2, macOS 11.7.2, tvOS 16.2, watchOS 9.2)!#macOS #XNU #vulnerability #exploitation #security #DirtyCOW #MacDirtyCow #root #su
2022-12-16 23:00:44
💥1day link Private Shizo(fully free)
2022-12-16 20:37:34
😉Отличных тебе выходных, пусть они пройдут отлично, подарят хорошие воспоминания и надеюсь что у тебя все наладится.😉Have a great weekend, let them go great, give you good memories and hope that everything will get better for you.
2022-12-16 19:36:36
├BTC-ETH-XRP-BCH-LTC-XLM-DASH-ZEC-XMR-TON (Blockchain)├Google Dorks (Change Wallet)├blockchair (Explorer) + Chrome├breadcrumbs (Visualization) + Chrome├shard (Visualization)├blockpath (Visualization)├oxt (Visualization)├graphsense (Visualization)├ethtective (Visualization ETH)├walletexplorer (Grouping)├bitinfocharts (Grouping)├bitcoinabuse (Abuse)├bitcoinwhoswho (Abuse)├checkbitcoinaddress (Abuse)├scamalert (Abuse)├cryptscam (Abuse)├ransomwhe (Abuse)├badbitcoin (Abuse)├bitcoinais (Abuse)├cryptoblacklist (Abuse)├bitrankverified (Scoring)├vivigle (Scoring)├antinalysis (Scoring TOR)├cryptocurrencyalerting (Monitoring)├cryptotxalert (Monitoring)├kycp (Block Analysis)├blockstream (Block Analysis)├fragment (TON market)└btcrecover (Wallet Brute)
2022-12-16 17:52:20
|In pursuit of phishing with device code authentication|🕵️InverseCos has published an interesting article about detecting the phishing code of a malicious device in MS office 365. It is better to read about the phishing technique itself in the original post from Nestori, and in short, the attack consists of the following steps:1️⃣The attacker connects to the /devicecode endpoint and sends client_id and resource2️⃣After receiving verification_uri and user_code, the attacker creates an email that contains a link to verification_uri and user_code, after which the attacker sends it to the victim3️⃣Of course, the victim clicks on the link and gives the code into the hands of the attacker, filling in the input field with the code, thereby completing the login4️⃣Profit! The attacker has access_token and refresh_token of the victim on his hands, getting the opportunity to imitate it.Of greater interest is still the methodology for detecting from InverseCos for the reason that there is not so much information, and the process itself is far from the simplest. The methodology itself implies two methods (log sources): 1️⃣Azure login logs, which will allow us to obtain the following data that can be used as evidence in the future (Nestori mentioned that when entries are created in the login logs, they can be associated with an IP address and geolocation):💾Was device code authentication used (device code authentication)💾Is one-factor login to the system based on the fact of using tokens to log in to it💾Was it used to gain access to the resource being used (for example: Graph API)💾Is the IP address malicious?It is not a little important during the forensic analysis (examination) to closely study the interactive sign-ins section, focusing on the following things (advice from InverseCos: pay due attention to the section "Authentication Protocol"):💥Which application platform is used (Client App, that is, mobile appears or a desktop application)🔥Authentication Protocol (device code)💥Application (in our case - Microsoft Office)💥IP address (if there is a difference from the IP addresses used by the user, then another clue leading to a comparison with the attacker)💥Resource ID (a string that helps to accurately identify the manipulations of the attacker - the requested resource, in a situation with this phishing technique - using Graph:"00000003-0000-0000-c000-000000000000" 💥Authentication Requirement, due to the use of a token - one-factor authentication💥Additional information (Additional Details, the MFA requirement is satisfied with the application in the token)2️⃣Unified Audit Logs(UAL)Using this method does not give a high accuracy of detecting an attack due to the fact that the "login event" that occurs every time a request is sent to Graph via an access token does not give much useful information about the likelihood of suspicious activity.The method itself allows you to get the following attributes when an attacker gains access to an account:🔬Activity(user logins)🔬ExtendedProperties.RequestType: Cmsi:Cmsi 🔬Item( a string for the resource requested by the attacker. In our case for Microsoft graph)🔬Application ID ( client ID that the attacker wants to appear to, in the case of this phishing technique: "Microsoft Office id")🔬IP address (as in the first method, we need to set the malicious IP address of the attacker)⚠️Important! To get a more relevant and accurate result, it is better to combine both methods, as well as generally use methods/methods/tools for browser and email forensics at the same time.⚙️A simple example implemented on KQL (used in: Azure Monitor, Azure Data Explorer and Azure Log Analytics) for Sentinel can be found here.#DFIR #forensics #browserForensics #emailForensics #Azure #UAL #log #phishing #OAuth #bypassMFA
2022-12-16 17:52:10
|В погоне за фишингом с device code аутентификацией|🕵️‍♂️У InverseCos вышла интересная статья про детектирование фишингового кода вредоносного устройства в MS office 365. Про саму технику фишинга лучше почитать в оригинальном посте от Нестори и если вкратце то атака состоит из следующих шагов:1️⃣Злоумышленник подключается к /devicecode эндпоинту и отправляет client_id и resource2️⃣После получения verification_uri и user_code, злоумышленник создает электронное письмо, которое содержит ссылку на verification_uri и user_code, после чего злоумышленник отправляет его жертве3️⃣Жертва конечно же нажимает на ссылку и считай отдает в руки злоумышленника код, заполняя поле ввода кодом, тем самым завершает вход в систему4️⃣Профит! У злоумышленника на руках появляется access_token и refresh_token жертвы, получая возможность имитировать её.Больший интерес все-таки представляет методология по детектированию от InverseCos по той причине, что информации не так уж то и много, да и сам процесс далеко не из самых простых. Сама методика подразумевает два метода(источники логов): 1️⃣Журналы входа в Azure, которые позволят нам получить следующие данные, которые можно использовать в дальнейшем как доказательства(Нестори упомянул, что когда создаются записи в логах входа, то их можно связать с IP-адресом и геолокацией):💾Использовалась ли аутентификация по коду устройства(device code authentication)💾Является ли вход в систему однофакторным на основе факта использования токенов для входа в оную💾Был ли он использован для получения доступа к используемому ресурсу( для примера: Graph API)💾Является ли IP-адрес вредоносным?Не мало важно в ходе форензик-анализа(экспертизы) пристально изучить раздел интерактивных входов(interactive sign-ins), акцентируя внимания на следующих вещах(совет от InverseCos: уделить должное внимание разделу "протокол аутентификации(Authentication Protocol)"):💥Какая платформа приложения используется(Client App, то бишь фигурирует мобильное или десктопное приложение)🔥Протокол аутентификации(Authentication Protocol, код устройства)💥Приложение(Application, в нашем случае - Microsoft Office)💥IP-адрес(если есть отличие от IP-адресов, используемых пользователем, то еще одна зацепка, ведущая к сопоставлению с злоумышленником)💥Идентификатор ресурса(Resource ID, строка помогающая точно установить манипуляции злоумышленника - запрошенный ресурс, в ситуации с этой техникой фишинга - использование Graph: "00000003-0000-0000-c000-000000000000" 💥Требование к аутентификации(Authentication Requirement, из-за использование токена - однофакторная аутентификация)💥Дополнительные сведения(Additional Details, требование MFA удовлетворено заявкой в токене)2️⃣Унифицированные журналы аудита(Unified Audit Logs, UAL)Использование данного метода дает не высокую точность обнаружения атаки по причине того, что "событие входа в систему", происходящее при каждом отправлении запроса в Graph посредством токена доступа дает не много полезной информации об вероятности подозрительной активности.Сам метод позволяет получить следующие атрибуты при получении доступа к учетной записи злоумышленником:🔬Активность(Activity, входы пользователя в систему)🔬ExtendedProperties.RequestType: Cmsi:Cmsi 🔬Элемент(Item, строка для ресурса, запрашиваемого злоумышленником. В нашем случае для Microsoft graph)🔬Идентификатор приложения(App ID, id клиента, которым хочет показаться злоумышленник, в случае с этой техникой фишинга: "Microsoft Office id")🔬IP-адрес(как и в первом методе, нам необходимо установить вредоносный IP-адрес злоумышленника)⚠️Важно! Для получения более релевантного и точного результата, лучше совмещать оба метода, а также в целом использовать одновременно методы/способы/инструменты для форензик-эскпертизы браузеров и электронной почты.⚙️С простым примером, реализованным на KQL(используется в: Azure Monitor, Azure Data Explorer и Azure Log Analytics) для Sentinel, можно ознакомиться тут.#DFIR #forensics #browserForensics #emailForensics #Azure #UAL #log #phishing #OAuth #bypassMFA
2022-12-16 17:52:03
🕵️‍♂️В погоне за фишингом с device code аутентификацией🕵️‍♂️In pursuit of phishing with device code authentication#DFIR #forensics #browserForensics #emailForensics #Azure #UAL #log #phishing #OAuth #bypassMFA
2022-12-16 12:31:10
|AppSec Ezine|📰461rd EditionRelease Date: 16/12/2022pathonprojectgithub#ezine #appsec #infosec
2022-12-13 02:44:37
|MI-X - Am I sure the CIA won't hack me?|🛡It is not uncommon for a user concerned about the security of the system and the software installed in it to ask the question: "is the configured environment (is a specific software package/component exploitable) vulnerable to a certain vulnerability at the moment with (not) installed security features?" It is not uncommon for this to happen: I will assemble software (in a broad sense) from sources or download it assembled from resource X (bypassing direct interaction with the package manager installed in the system), then I will launch a vulnerability scanner and check the system whether it is vulnerable at the moment? It would seem that the task is not that difficult, but after the scanners work, we see: "Everything is fine, you will not be hacked - 1000%" and you think that everything is fine (of course, some will doubt the result and this is correct) I will not be hacked or the attacker will need to use 0-day exploits or in the case of without a blind doubt, you will think that security recommendations regarding a particular vulnerability have not yet appeared, or the scanner developer(s) have not yet added code that checks for the presence of this vulnerability in the package and exploitability, respectively.However, the truth is that "most super-duper" scanners are based on interaction with the metadata of the package manager (obtaining data about installed packages, then they are compared with recommendations for a specific vulnerability). What does this mean? For example, we have compiled program X from the source code and placed it far away from "/bin" or "/sbin", run the scanner and get a negative result: "Your fortress is protected, nothing is detected, all components are not exploitable!". Well, everything can be exhaled, did you think?As if not so! You were naturally fooled by the scanner. Although he did not have the opportunity to tell the truth, because he had the data on his hands, obtained only from the package manager installed in you.💥MI-X comes to the rescue. No, if you turn out to be a rather desirable target, then this will not help, but it will complicate the task if you take measures based on the received result of MI-X.What is its difference from most scanners? With its help, we can check on the basis of many parameters/factors that actually affect whether it is possible to exploit a certain package in reality (not just compared the name, version of the package and compared it with the previously described recommendations for a specific vulnerability) and run, for example, a scan of all running containers (flag: -c --container) or a specific container (flag which container to scan: -n --container_name), specifying the vulnerabilities that we want to check (we can specify a specific one by cve id or by name, or all available in the scanner's arsenal at once).Next, we can present the vulnerability check flow (the logic of the check flow) as a human-readable graph (flag: -g --graph , False by default) and export it to one of the following formats:json, csv and text (flag: -f --format'), having received recommendations for correction and mitigating measures or get a description of the vulnerability (flag: --description, True by default)Example of a command to check the operability of Dirty Pipe(CVE-2022-0847, exploit) in our system (I scan all containers), getting the logic of the verification flow in the form of a graph to export the result to csv:python3 -v CVE-2022-0847 -c True -g True -f csv⚠️If the hands grow from the right place (I definitely don't), then you can add the necessary checks yourself. And don't forget: there are no "elusive Joes"!📺Previously, before checking on your machine, you can see the demo: how it works.#security #vulnScan #expoitation
2022-12-13 02:44:12
|MI-X - меня точно ЦРУ не взломает?|🛡Не редко пользователь, озабоченный безопасностью системы и программного обеспечения, установленного в оной задается вопрос: "подвержена ли сконфигурированная среда(является конкретный программный пакет/компонент эксплуатабельным) определенной уязвимости в данный момент с (не)установленными средствами обеспечения защиты?" Не редко происходит так: соберу софтину(в широком смысле) из исходников или загружу её собранную с ресурса X(миную прямое взаимодействие с пакетным менеджером, установленным в системе), затем запущу сканер уязвимостей и проверю систему, уязвима ли она в данный момент? Казалось бы задача не сказать не то чтобы сложная, однако после работы сканеры мы видим: "Все хорошо, тебя не взломают - 1000%" и ты думаешь, что все хорошо(конечно, некоторые усомнятся в результате и это правильно) меня не взломают или атакующему потребуется задействовать 0-day сплойты или в случае слепого сомнения ты подумаешь, что просто пока не появились рекомендации безопасности относительно той или иной уязвимости или разработчик(и) сканера еще не добавил код, проверяющий на наличие этой уязвимости в пакете и эксплуатабельность соответственно.Однако правда такова, что "большинство супер-пупер" сканеров основывается на взаимодействии с метаданными пакетного менеджера(получение данных о установленных пакетах, далее они сравниваются с рекомендациями для конкретной уязвимости). Что же это означает? Вот собрали мы к примеру программу X из исходников и поместили её далеко-далеко от "/bin или "/sbin", запускаем сканер и получаем отрицательный результат: "Ваша крепость защищена, ничего не обнаружено, все компоненты не эксплуатабельны!". Ну все можно выдохнуть, подумал ты?Как бы не так! Тебя натурально облапошил сканер. Хотя у него и не было возможности сказать правду, ведь у него были на руках данные, полученные лишь из установленного у тебя пакетного менеджера.💥На помощь приходит MI-X. Нет, если ты окажешься довольно желанным таргетом, то и это не поможет, но усложнит задачу если ты примешь меры на основе полученного результата работы MI-X.В чем же его отличие от большинства сканеров? С его помощью мы можем проверить основе множества параметров/факторов, которые собственно влияют можно ли проэксплуатировать определенный пакет в действительности(не просто сравнил название, версию пакета и сравнил с ранее описанными рекомендациями по конкретной уязвимости) и запустить к примеру сканирование всех запущенных контейнеров( флаг -c --container) или конкретного контейнера(флаг, какой контейнер нужно сканировать: -n --container_name) на хосте, указав уязвимости, которые мы хотим проверить(можем указать конкретную по cve id или по имени, или сразу все, имеющиеся в арсенале сканера).Далее мы можем поток проверки уязвимостей(логика потока проверки) представить в виде удобочитаемого графа(флаг -g --graph, по умолчанию False) и экспортировать в один из следующих форматов:json, csv и text(флаг -f --format') , получив рекомендации по исправлению и смягчающие меры или получить описание уязвимости ( флаг --description, по умолчанию True).Пример команды для проверки эксплуатабельности Dirty Pipe(CVE-2022-0847, сплойт) в нашей системе(сканирую все контейнеры), получая логику потока проверки в виде графика экспортировать результат в csv:python3 -v CVE-2022-0847 -c True -g True -f csv⚠️Если руки растут из правильного места(у меня так точно - нет), то можно самостоятельно добавить необходимые проверки. И не забывай: нет "неуловимых Джо"!📺Предварительно перед тем, как проверить на своей машине, можно посмотреть демо-видео работы инструмента.#security #vulnScan #expoitation
2022-12-13 02:44:04
🛡MI-X - меня точно ЦРУ не взломает?🛡MI-X - Am I sure the CIA won't hack me?#security #vulnScan #expoitation
2022-12-12 22:25:00
🔥🔥🔥palera1n has been updated with iOS 16 support for A11 devices and lower! Changelog:💾Does not mount user data partition for iPhone X compatibility, isn't even really needed anymore💾Deploys files to the rootfs (fakefs if needed)💾Fix deviceid finding💾Use apticket.der because dumping rdisk seems to freeze💾Add /.installed_palera1n with info💾uicache loader app on boot (no more Tips app hijacking)💾Fix rootless💾Webkit fix on 16💾Switch to local boot💾Fix home button on iPhone 7(+) and 8(+)💾Increase stability💾Supports 15.0-16.2 on all checkm8 devices⚠️If you enabled a passcode, you must erase the device (with iTunes or in the settings app). You may restore a backup.⚠️On iOS 16, the device must have never had a passcode set since restoring (only on A10+, A9 is not affected), and dev mode must be enabled.
2022-12-11 00:39:30
|AppSec Ezine|📰460rd EditionRelease Date: 09/12/2022pathonprojectgithub#ezine #appsec #infosec
2022-12-10 21:02:50
🕵️‍♂️DFIR Cheat Sheet 📑The Ultimate List of SANS Cheat Sheets📑DFIR Cheat Sheet(commands, tools, & common items)🔖DFIR Cheat Sheet(tools, tips, and resources)🔖volatility Command Reference🔖The Forensic-Cheat-Sheet forLinux and TSK📑iOS Forensic Toolkit 8 Extraction Agent Cheat Sheet(ElcomSoft)📑mac_apt Sample Usage📑Linux Compromise Assessment Command Cheat Sheet🔖Command Line CompromiseDetection for Linux#DFIR #iOS #Android #Windows #Linux #macOS #cheatSheet #SANS #Elcomsoft #volatility #iOSforensicToolkit
2022-12-09 16:57:01
😉Это что, уже пятница? Надеюсь ты отлично отдохнешь и получишь незабываемые воспоминания, а может просто наберешься сил на природе или в любом другом месте силы, а если вдруг что-то произошло плохое - не унывай, превозмогая все и прикладывая усилия у тебя получится.😉Is it Friday already? I hope you will have a great rest and get unforgettable memories, or maybe you will just gain strength in nature or in any other place of strength, and if suddenly something bad happened - not discouraged, overcoming everything and making efforts you will succeed.
2022-12-09 13:42:56
|It's raw and crumpled, but we'll extract|🕵️‍♂️This short post is dedicated to open source tools that are used to bitwise copy data from a disk or volume that is stored in one or more files using various low-level methods (RawCopy in the common people). ⚙️RawCopy is a popular tool for copying files from NTFS volumes (reading is carried out thanks to the low-level method), I advise you to use it carefully, since problems in the logic of extracting data from the media have been identified for a long time.⚙️RawDiskCopier - a tool for copying data from one hard drive to another(as originally planned, solid-state drives are also possible if desired), sometimes it does not work badly with faulty hard drives (damaged sectors, respectively, the time spent on copying data depends on the number of such sectors due to re-reading sector by sector and error handling logic provided for when designing the hard drive)⚙️ntfsDump - copying files from a volume from an NTFS partition occurs by reading a raw volume (a descriptor opens to read the volume completely) and parsing/analyzing NTFS structures. It is clear that in order to work correctly, you need to run from under the admin (for bypass: DACL, blocking read descriptors, SACL, etc.).⚙️rawccopy is essentially a C-ported version of RawCopy, only covering some bugs. But after reading it, I realized that the difference is big and the extraction logic itself has been redesigned (RawCopy), also the command line processing is more "correct", a simple example: you can compare how RawCopy and rawccopy indexes are processed, that in the first case we get a limit on the number of digits in the hard/volume/partition index(in the /FileNamePath:) parameter , i.e. according to the specification, we can specify /FileNamePath:HarddiskVolume666, in the case of RawCopy, it will not work, and in rawccopy there are no problems with this. And what many might have encountered, RawCopy has very mediocre support for compressed files, which was solved in rawccopy and the result of the work is much more obvious and expected, although the interface for interaction has not been changed, but only inconsistencies in the Windows specification have been given in some places.#DFIR #forensics #RawCopy #diskReading #NTFS
2022-12-09 13:42:43
|Сыро-скомкано, но мы вытащим.|🕵️‍♂️Данный небольшой пост посвящен опенсоурс инструментам, которые используются для побитового копирования данных диска или тома, который хранится в одном или нескольких файлах с помощью различных низкоуровневых методов(RawCopy в простонародье). ⚙️RawCopy - популярный инструмент для копирование файлов с томов NTFS(чтение осуществляется благодаря лоу-левел методу), советую аккуратно использовать, так как давно были выявлены проблемы в логике извлечения данных с носителя.⚙️RawDiskCopier - инструмент для копирования данных с одного харда на другой(как планировалось изначально, твердотельные накопители при желании тоже можно), иногда не плохо работает с неисправными хардами(поврежденные сектора, соответственно от количества таких секторов зависит время потраченное на копирование данных из-за перечитывания сектора за сектором и логики обработки ошибок, предусмотренной при проектировке харда)⚙️ntfsDump - копирование файлов из тома с NTFS-раздела происходит за счет чтения сырого(raw) тома(открывается дескриптор для чтения тома полностью) и парсинга/анализа NTFS структур. Понятное дело, что для корректной работы нужно запускать из под админа(для байпасса: DACL, блокировки дескрипторов чтения, SACL и т.д.).⚙️rawccopy - по сути портированная на C версия RawCopy, только покрывающие некоторые ошибки. Но после ознакомления я понял, что разница большая и сама по себе логика извлечения была переработана(RawCopy), также работа обработка командной строки более "корректное", простой пример: можно сравнить как обрабатывает индексы RawCopy и rawccopy, что в первом случае мы получаем ограничение по количеству цифр в индексе харда/тома/раздела(в параметре /FileNamePath:) , т.е. по спецификации мы можем указать /FileNamePath:HarddiskVolume666, в случае же с RawCopy это не заработает, а в rawccopy никаких проблем с этим нет. И то, с чем могли столкнуться многие, RawCopy - имеет очень посредственную поддержку сжатых файлов, что было решено в rawccopy и результат работы много более очевиден и ожидаем, хотя интерфейс для взаимодействия не был изменен, а лишь были приведены в некоторых местах несоответствия спецификации Windows.#DFIR #forensics #RawCopy #diskReading #NTFS
2022-12-09 13:42:23
#DFIR #forensics #RawCopy #diskReading #NTFS
2022-12-08 22:54:17
🔥Black Hat Europe 2022Пароль/Password: ShizoPrivacy📺Black Hat Europe 2022 YouTube playlist(записей выступлений пока нет/there are no recordings of performances yet).#BHeu2022 #Exploitation #vulnerability #security #0day #vehicle #EDR #AV #Web #Embedded #Linux #Android #Windows
2022-12-08 22:50:40
🎩Собрал все доступные презентации с Black Hat Europe 2022 в один архив.🎩Collected all available presentations from Black Hat Europe 2022 in one archive.#BHeu2022 #Exploitation #vulnerability #security #0day #vehicle #EDR #AV #Web #Embedded #Linux #Android #Windows
2022-12-08 13:13:07
🛡Только в ознакомительных целях!🔥🔥🔥Еще один камень в огород с AV/EDR решениями(после установки увиличивается поверхность атаки), не имея прав администратора мы можем превратить AV/EDR в wiper благодаря найденным 0-days в оных и удалять почти любые файлы и машина(ОС) у жертвы становится unbootable. 🔖Пощупать можно тут. Доклад с выступления прикладываю ниже.🛡For educational purposes only!🔥🔥🔥Another stone in the garden with AV/EDR solutions (after installation, the attack surface is evaded), without administrator rights, we can turn AV/EDR into a wiper thanks to the 0-days found in them and delete almost any files and the victim's machine (OS) becomes unbootable.🔖You can feel it here. I attach the report from the speech below.
2022-12-08 12:29:36
🔥The second version of Game Of Active directory is out!💥GOAD - part 1 - reconnaissance and scan💥GOAD - part 2 - find users💥GOAD - part 3 - enumeration with user💥GOAD - part 4 - poison and relay💥GOAD - part 5 - exploit with user💥GOAD - part 6 - ADCS💥GOAD - part 7 - MSSQL💥GOAD - part 8 - Privilege escalation💥GOAD - part 9 - Lateral move💥GOAD - part 10 - Delegations💥GOAD - part 11 - ACL
2022-12-06 19:12:02
📕A clustering method for graphical handwriting components and statistical writership analysis#stylometry #forensics #identification
2022-12-06 19:11:28
|handwriter package|🕵️‍♂️Continuing the topic of stylometry(posts on the channel: click and click), do not forget about the analysis of handwritten text to identify the suspect.In this post, the methods of stylometry for handwritten text will not be touched upon, but only a tool supplied in the form of a package - handwriter, which is essentially part of a system aimed at helping law enforcement agencies to reduce the time for stylometric analysis of handwritten text (a little "butter", but only for clarity). This tool is being developed by the Center for Statistics and Applications in Forensic Evidence (CSAFE) of the University of IowaIf you do not dig into the wilds, then the semi-automatic process of analyzing handwritten text usually consists of three components:💾Data collection. The actual process, during which we collect as many handwritten texts of the suspect/suspects as possible, then scan/photograph them and bring them into a form satisfying for the tools used.💾We run the obtained images in a suitable form through the computational tools💾Static analysis to identify the author based on the above set of texts (potential authors). Handwriter can be integrated into the process described above at the calculation stage and the following things happen during the operation of the tool:💥Transformation of the scanned handwritten text into a black-and-white image (binarization) 💥The size of the record is reduced to a skeleton with a width of 1 pixel (skeletonization)💥The associated handwritten text is divided into graphs with nodes and edges, with frequently used Latin letters (splitting into graphs)💥Measurement takes place on each graph (distance from edge to edge, distance between graphs, measurement of graph centers and clustering method for K-medium)⚠️Important! Handwriter currently works only on the basis of a closed data set.🔖 To implement the handwritten text analysis process, I am applying supporting papers from CSAFE of the University of Iowa on this issue.#stylometry #forensics #identification
2022-12-06 19:11:18
|handwriter package|🕵️‍♂️Продолжая тему стилометрии(посты на канале: тык и тык), не стоит забывать про анализ рукописного текста для идентификации подозреваемого.В этом посте не будут затронуты методы стилометрии для рукописного текста, а лишь инструмент, поставляемый в виде пакета - handwriter, который по сути является частью системы, направленной на помощь правоохранительным органам для сокращения времени на стилометрический анализ рукописного текста(немного "масла масленого", но лишь для наглядности). Сей инструмент разрабатывается Центром Статистики и Приложений в Криминалистических Доказательств(Center for Statistics and Applications in Forensic Evidence, CSAFE) Университета штата Айова.Если не закапываться в дебри, то полуавтоматический процесс анализа рукописного текста обычно состоит из трех компонентов:💾Сбор данных. Собственно процесс, в ходе которого мы собираем как можно больше рукописных текстов подозреваемого/подозреваемых, затем сканируем/фотографируем их и приводим в удовлетворяющий для используемого инструментария вид.💾Прогоняем полученные изображения в пригодном виде через вычислительный инструментарий💾Статический анализ для идентификации автора на основе вышеописанного набора текстов(потенциальных авторов). Handwriter можно интегрировать в вышеописанный процесс на этапе вычислений и происходят следующие вещи в ходе работы инструмента:💥Превращение полученного отсканированного рукописного текста в черно-белое изображение(бинаризация) 💥Размер записи уменьшается до скелета шириной в 1 пиксель(скелетонизация)💥Связанный рукописный текст разбивается на графы с узлами и ребрами, с часто используемыми латинскими буквами(разбивание на графы)💥На каждом графе происходит измерение(расстояние от края до края, расстояние между графами, измерение центров графов и метод кластеризации для K-средних)⚠️Важно! Handwriter в данный момент работает только на основе закрытого набора данных.🔖Для реализации процесса анализа рукописного текста, прикладываю вспомогательные работы работы от CSAFE Университета штата Айова по данному вопросу.#stylometry #forensics #identification
2022-12-06 19:11:01
#stylometry #forensics #identification
2022-12-06 12:29:50
Подскажу. Сохраненные сети:/data/misc/apexdata/Пароль от сети в строке со значением "PreSharedKey".Ну и раз уж зашел разговор, расскажу об еще одном интересном файле, нарисую чисто гипотетическую ситуацию и все вместе сделаем выводы.Если сходите по пути /data/misc_ce/0/apexdata/, то обнаружите там еще один занятный файл. А именно файл, в котором зафиксированы все открытые точки доступа, которые ваш смартфон обнаружил при сканировании сети, когда вы гуляли по городам и весям, и в радиусе действия которых вы пробыли продолжительное время (это важно). Забыв отключить модуль WiFi на устройстве. Тут будут записи о всяких торговых центрах и барах, где вы побывали, об электричке Ласточка, в которой вы ехали и все в этом духе.Итак, ситуация.Допустим, я сотрудник китайской ФСБ, достойный член партии и верный последователь заветов Мао. Мне нужно выявить всех этих проклятых повстанцев, которые партию не слушаются, ходить в ковидных намордниках не хотят и жить в карантинном бараке, собирая Айфоны, не желают. Но повстанцы, деланые хитрым китайским пальцем, или симки к чертям повытаскивали и радиомодули поотрубали, прежде чем идти свои протесты митинговать, или юзают смартфоны со сменным IMEI. В общем через верного партии и народу ОПСОСа их к уравнению "голова=пуля" не подтянешь.Но при этом юзают эти мерзкие негодяи для координации протестов свои антипартийные mesh-сети или забыли WiFi на устройстве отключить, когда вышли на улицу. Я, как учит партия, создаю в районе протестной акции открытые точки доступа Mao1, Mao2...Mao10 и располагаю их по условному периметру и внутри него. Все устройства, на которых активирован модуль WiFi, в пассивном режиме, независимо от настроек ограничения поиска сетей, сканируют WiFi-окружение и заносят в упомянутый выше файл информацию о моих точках Mao. Заносят не сразу, а по прошествии определенного времени, но сути это не меняет. И файл этот будет храниться на устройстве до прихода коммунизма во всем мире.В один прекрасный день, надев белый халат, я постучусь к кому-нибудь в дверь, и под предлогом проверки QR-кода, или просто потому что "так надо", подрублю устройство потенциального негодяя к разработанному партией комплексу для извлечения данных. Или установлю на него приложение "Партия против короновируса и за народ", с охрененными "преференциями" в системе. Тем самым получу доступ к дампу памяти, включая дважды упомянутый файл. И если я обнаружу в этом файле строки с записью "Мао", будет мне миска риса, а негодяю пуля в голову на стадионе и счет родственникам за потраченную государством пулю.Я во многом упростил, но суть послания - проебаться можно в таких мелочах, о которых ты и понятия не имеешь, WiFi, Bluetooth и прочие блага цивилизации должны автоматически отключаться, если не используются, а открытые точки доступа губительны для повстанцев.P.S. Тут еще интересно, если кому интересно почему рандомизация MAC-адреса - вещь очень даже нужная
2022-12-05 13:16:13
🔥Bypass Facebook SSL pinning on Android devices.💥Supported ABIs: x86, x86_64, armeabi-v7a & arm64-v8a⚠️You need to uninstall the Facebook app before trying to install it, if Facebook is installed as a system app then you can not uninstall it without root so this method will not work in that case.Run using Frida (Requires Root):frida -U -l .\facebook-ssl-pinning-bypass.js -f com.facebook.katana --no-pause
2022-12-05 12:53:07
🔓Backdooring Post-Quantum Cryptography: Kleptographic Attacks on Lattice-based KEMsНебольшая работа про постквантовую криптографию, демонстрирующая первую практическую Клептографическую атаку на метод инкапсуляции ключей(KEM) Kyber, которая позволяет внедрять бэкдоры в Kyber(процедура генерации ключа). В случае успешного внедрения бэкдора, атакующий получает возможность узнавать секретный ключ на основе неправильно сгенерированных открытых ключей из-за внедренного им бэкдора. Также, в работе можно увидеть практический пример атаки данного рода на уровне протокола, в данном случае - TLS 1.3#cryptography #PostQuantumCryptography #backdoor
2022-12-05 12:52:46
🔓Backdooring Post-Quantum Cryptography: Kleptographic Attacks on Lattice-based KEMsA small work about post-quantum cryptography, demonstrating the first practical Kleptographic attack on the Kyber key encapsulation (KEM) method, which allows the introduction of backdoors into Kyber (key generation procedure). In the case of a successful backdoor implementation, the attacker gets the opportunity to learn the secret key based on incorrectly generated public keys due to the backdoor he has implemented. Also, in the work you can see a practical example of an attack of this kind at the protocol level, in this case TLS 1.3#cryptography #PostQuantumCryptography #backdoor
2022-12-05 11:56:41
|EKTotal|🕵️‍♂️Написав про визуализацию захваченного сетевого трафика здесь, забыл упомянуть про вспомогательный инструмент для анализа трафика на наличие атак Drive-by Download. Сей инструмент называется EKTotal и если говорить более предметно, то он имеет под капотом механизм эвристического анализа(по сути основанный на исследованиях сплойт китов с 2017 года), позволяющий извлекать код как вредоносов в целом, так и сплойтов, идентифицировать сплоит киты по типу RIG и Magnitude(расшифровывая код), а также идентифицировать более десяти типов атак по типу Seamless и Fobos. Помимо всего прочего, можно самостоятельно дописать/переписать код для обнаружения в трафике более свежих сплойтов, так как инструмент более года не поддерживается(последняя версия 2.0.0 так вовсе в 2019 году вышла). В использовании очень прост: скармливаем pcap или saz, ждем и получаем результат. Также за счет функции Lazy Gate Estimation, добавленной в версии 2.0.0, можно с еще большей простотой воспроизводить полученный сетевой трафик. При желании в ходе сборки можем указать VT API для отправки сэмплов на VT.🕵️‍♂️Having written about the visualization of captured network traffic here, I forgot to mention the auxiliary tool for analyzing traffic for the presence of Drive-by Download attacks. This tool is called EKTotal, and speaking more specifically, it has a heuristic analysis mechanism under the hood (in fact, based on the research of exploit kits since 2017), which allows you to extract the code of both malware in general and exploits, identify exploit kits by type RIG and Magnitude (decrypting the code), as well as identify more ten types of attacks by type Seamless and Fobos. Among other things, you can independently add/rewrite the code to detect more recent exploits in traffic, since the tool has not been supported for more than a year (the latest version 2.0.0 was released in 2019). It is very simple to use: we feed pcap or saz, wait and get the result. Also, due to the Lazy Gate Estimation function added in version 2.0.0, it is possible to reproduce the received network traffic with even greater ease.If desired, during the build, we can specify the VT API to send samples to VT.#forensics #networkAnalysis #pcap #exploit #malware
2022-12-05 11:56:33
#forensics #networkAnalysis #pcap #exploit #malware
2022-12-02 18:24:26
Ох, это ты до сих пор читаешь бред Шизо? 😉Хочется пожелать тебе разобраться во внутренних проблемах, если таковые имеются в проявленной форме, и как же выходные без прекрасного по-своему для каждого отдыха? Как ты знаешь, держу за всех вас кулачки, мои дорогие, чтобы было все хорошо и вы не опускали руки.Oh, are you still reading the nonsense of the Shizo? 😉I would like to wish you to sort out your internal problems, if there are any in the manifested form, and what about a weekend without a beautiful one in its own way for each holiday? As you know, I hold my fists for all of you, my dear ones, so that everything is fine and you do not give up.
2022-12-02 18:00:24
💥1day link Private Shizo(fully free)
2022-12-02 16:33:42
|AppSec Ezine|📰459rd EditionRelease Date: 02/12/2022pathonprojectgithub#ezine #appsec #infosec
2022-12-01 21:40:56
|GeoDesk|🕵️‍♂️Разведчик, хочешь быстро делать запрос для получения геопространственной информации(географические объекты)? Наверное, еще и без боли при ознакомлении каким образом можно взаимодействовать с этой БД для OSM(OpenStreetMap), чтобы прям загрузил, потратил немного времени на написание простейшего приложения и в бой?Все это и не только позволяет делать GeoDesk(написан на Java, для работы нужен установленный как минимум 16-й версии JVM), по сути являясь механизмом геопространственной БД для данных OSM. Начать стоит с того, что библиотека географических объектов(Geographic Object Library, GOL) предоставляет возможно хранить необходимые данные, используя меньший объем хранилища по сравнению с SQL(которая кушает не редко более чем в десять раз больше), а сам объем файлов GeoDesk GOL превышают в среднем от 10 до 50% по сравнению с исходными данными OSM(PBF-формат, .osm.pbf) и помимо этого, преобразование этих данных в GOL в 20 раз быстрее, чем если бы взяли и импортировали бы в БД SQL(если нам нужны только готовые фрагменты по определенным регионам, то тоже без проблем). В начале писал про быстроту запросов, по сути прирост в десятки раз по сравнению с SQL(у разработчиков выходило достигать преимущества в 50 раз).Что же с простотой? Благодаря действительно простому в понимании API(примеры приложений) мы можем легко и непринужденно находить теги, пути-узлы и члены отношения без необходимости в объектно-реляционном отображении(не нужно создавать виртуальные объекты БД, которые создаются путем связывания БД с концепциями ООП) и при всем этом обработка отношений происходит корректно, воспроизводя в достаточной мере модель данных OSM. Руководство расположено тут.⚠️Для создания и поддержки GOL, выполнения запросов GOQL и экспортирования их производных результатов потребуется воспользоваться gol-tool 📺Демо-видео: GeoDesk для OpenStreetMap.🕵️‍♂️Intelligence officer, do you want to quickly make a request for geospatial information (geographical objects)? Probably also without pain when familiarizing yourself with how you can interact with this database for OSM (OpenStreetMap) so that you download it straight, spend a little time writing the simplest application and go into battle?All this and not only allows you to do GeoDesk (written in Java, you need at least the 16th version of the JVM installed to work), in fact being a geospatial database mechanism for OSM data.It's worth starting with the fact that the Geographic Object Library (GOL) makes it possible to store the necessary data using a smaller storage volume compared to SQL (which eats more than ten times more often), and the volume of Autodesk GOL files itself exceeds on average from 10 to 50% compared to the original OSM data (PBF format, .osm.pbf) and in addition, the conversion of this data to GOL is 20 times faster than if we took and imported it into the SQL database (if we only need ready-made fragments for certain regions, then also without problems). In the beginning I wrote about the speed of queries, in fact, an increase of ten times compared to SQL (developers managed to achieve an advantage of 50 times).What about simplicity? Thanks to a really easy-to-understand API (application examples), we can easily and easily find tags, node paths and relationship members without the need for object-relational mapping (no need to create virtual database objects that are created by linking databases with OOP concepts) and with all this, the relationship processing occurs correctly, reproducing sufficiently measure the OSM data model. The tutorial is located here.⚠️To create and maintain GOL, execute GOQL queries and export their derived results, you will need to use the gol-tool📺Demo video: GeoDesk for OpenStreetMap.#Intelligence #GEOINT #OpenStreetMap
2022-12-01 21:40:46
#Intelligence #GEOINT #OpenStreetMap
2022-11-29 21:51:36
|Are you ready for the harmful ransomware gang?|🛡 For educational purposes only!💥This post includes several projects (repositories) on github, which are POCs ransomware, and it seems to me that some of the detection of security protection in the company can be checked (of course, on a special stand configured as workstations in the company), using them and of course developing on the basis of tests - countermeasures. Exploits, payloads, and in general methods/methods/techniques for obtaining primary access to the system are not considered in this post.Below I attach a list of projects (some have already been on one of the channels) and a brief description.🔐QuickBuck is a harmless (in fact, a dummy without real encryption or deleting shadow copies of volumes) simulator of ransomware activity with a basic functional and written in GO:💾Exploitation of dead technology with Word macros💾Deleting shadow copies of a volume💾Document encryption (embedded and transferred by the simulator to a new folder)💾On the desktop, according to the classics of the genre, a note about the cryptographer appears for the user with further actions🔐Ransomwhere - POC ransomware (written in GO), which has reduced functionality (encrypting/decrypting files, deleting their original version from the machine, we can specify the path to the directory with files for redemption and delete local snapshots during encryption) 🔐PSRansom is a ransomware simulator (written in PS), which, compared to the previous ones, has the capabilities of a C2 server that allows you to exfiltrate and receive information about the victim using the HTTP protocol.🔐RanSim is a ransomware simulator (written in PS) using the classic AES encryption algorithm (the key length is 256 bits) and recursive encryption/decryption of files in the target directory based on it🔐Ransom0 - ransomware (written in python), which consists of two parts: the server and the ransomware, which respectively also consist of several parts. The server consists of: ✨an SQL database for storing user data by type key, id digits and time; ✨an HTTP server with processing POST requests from the ransomware.The ransomware consists of the following parts:💾Search for files by extensions and save the path to path.txt💾Encrypting files in path.txt , generating the id digit, sending the key and id💾Decrypting files by requesting funds, waiting for the key and decrypting files if the key is correct💾Sending data to our HTTP server🔐CRYLINE-v5.0 is a pretty interesting ransomware (written in NASM, C and C++) for Windows, though with a weak encryption algorithm, but it doesn't matter.🔐Ultra - PoC encryption / decryption algorithm in the style of Conti and with due attention will not last long, but in its own way an interesting project, although not supported.⚠️Important! Most ransomware gangs do not use 0-day exploits, so updating the software products used, a correctly configured system, digital hygiene (with regular instruction and increased sanctions for non-compliance with it), AV, EDR, XDR-type defenses will not particularly protect against at least as many motivated attackers (there are just relevant methods on the second channel and methods: took and got access to the target, but only for informational purposes) and not infrequently increase the surface for attack (attack surface).Yes, and there is a rather sophisticated cyber criminal contingent, but this is a rather rare phenomenon.#ransomware #security #expoitation #cryptography #BlueTeam #RedTeam
2022-11-29 21:50:57
|Ты готов к вредным рансом-бандам?|🛡Только в ознакомительных целях!💥Этот пост включает несколько проектов(репозиториев) на гитхабе, являющихся PoCs рансомаври и как мне кажется некоторую часть с обнаружением средствами защиты защиты в компании можно проверить(конечно же на специальном стенде, сконфигурированном, как рабочие станции в компании), используя их и конечно разработка на основании тестов - контрмер. Эксплоиты, пэйлоады и в целом методы/способы/техники получения первичного доступа к системе не рассматриваются в этом посте.Ниже прикладываю список проектов(некоторые уже были на одном из каналов) и краткое описание.🔐QuickBuck - безобидный(по сути пустышка без настоящего шифрования или удаления теневых копий томов) симулятор активности шифровальщика с базовым фунционалом и написан на GO:💾Эксплуатация мертвой техники с макросами Word💾Удаление теневых копий тома💾Шифрование документов(встраивается и перебрасывается симулятором в новую папку)💾На рабочем столе по классике жанра появляется заметка о шифровальщике для пользователя с дальнейшими действиями🔐Ransomwhere - PoC шифровальщика(написан на GO), который имеет урезанный функционал(шифрование/расшифровывание файлов, удаление их оригинальной версии с машины, можем указать путь к каталогу с файлами для выкупа и во время шифрования удалять локальные снэпшоты) 🔐PSRansom - симулятор шифровальщика(написан на PS), который по сравнению с предыдущими имеет в наличии возможности C2 сервера, позволяющий эксфильтровать и получать информацию о жертве с использованием HTTP-протокола.🔐RanSim - симулятор шифровальщика(написан на PS) с использованием классического алгоритма шифрования AES(длина ключа - 256 бит) и основанном на нем рекурсивном шифровании/расшифровывании файлов в целевом каталоге🔐Ransom0 - шифровальщик(написан на питоне), который состоит из двух частей: сервер и шифровальщик, которые соответственно тоже состоят из нескольких частей. Сервер состоит из: ✨БД SQL для хранения пользовательских данных по типу ключ, цифры id и время; ✨HTTP сервер с обработкой POST-запросов от шифровальщика.Шифровальщик состоит из следующих частей:💾Поиск файлов по расширениям и сохранения пути в path.txt💾Шифрование файлов в path.txt, генерирование цифры id, отправление ключа и id💾Расшифровывание файлов путем запроса денежных средств, ожидание ключа и расшифровка файлов в случае корректности ключа💾Отправка к нам данных на HTTP-сервер🔐CRYLINE-v5.0 - довольно интересный шифровальщик(написан на NASM, C и C++) под винду, правда с слабым алгоритмом шифрования, но это не беда.🔐Ultra - PoC алгоритма шифрования/расшифровывания в стиле Конти и при должной внимании не проживет долго, но по-своему интересный проект, хоть и не поддерживается.⚠️Важно! Большинство ransomware gangs не используют 0-day эксплоиты, поэтому обновление используемых программных продуктов, корректно сконфигурированная система, цифровая гигиена( с регулярным инструктажем и повышение санкций за несоблюдение оной), средства защиты по типу AV, EDR, XDR не особо защитят от хоть сколько мотивированных атакующих(на втором канале есть как раз актуальные методы и способы: взял и получил доступ к таргету, но только в ознакомительных целях) и не редко повышают поверхность для атаки(attack surface).Да и бывает довольно изощренный кибер криминальный контингент, но это довольно редкое явление. #ransomware #security #expoitation #cryptography #BlueTeam #RedTeam
2022-11-29 21:50:49
🔐Ты готов к вредным рансом-бандам?🔐Are you ready for the harmful ransomware gang?#ransomware #security #expoitation #cryptography #BlueTeam #RedTeam
2022-11-28 03:58:24
|MFD 2022|Лучше поздно, чем никогда.Кратко и по существу.🔥Хочется поблагодарить организаторов MFD 2022(канал в телеграме тут) за проведенную конференцию, а также ВСЕХ тех, с кем удалось пообщаться в ходе нее и после завершения. Начну со своего выступления, не буду оправдываться как-то, прошло оно не очень в силу моего волнения и недостаточно добротных приготовлений. Все бывает впервые, надеюсь что получится еще раз выступить на MFD или другой конференции от MKO systems(ранее оксиджен софтвер, оксигены) , на всякий уже есть сильно переработанный материал( при каких-то сильных изменениях в актуальных методах или появлении новых будет изменен), да и уже будет попроще в какой-то степени.Из всех выступлений мне больше всего понравилось Владимира Каталова( генеральный директор Elcomsoft), с его докладом про извлечение данных из яблокофонов и их превращение в доказательства. Основной причиной послужило интересное рекламирование продукта в совокупности с технической информацией, предоставленной не на "сухую". Озвучу тезис, который прозвучал в конце конференции от одного посетителя конференции про отсутствие (НЕ)рекламных докладов, за исключением моего слабого выступления(не отрицаю ни капли). Хотелось увидеть побольше технических докладов, но это лишь хотелка и все-равно у меня остались очень теплые воспоминая❤️.И да выступать - не посты писать😉Better late than never.Briefly and to the point.🔥I would like to thank the organizers of MFD 2022 (telegram channel here) for the conference, as well as ALL those with whom I managed to communicate during it and after the end. I'll start with my speech, I won't make excuses somehow, it didn't go very well due to my excitement and not enough good preparations. Everything happens for the first time, I hope that it will be possible to speak again at MFD or another conference from MKO systems (formerly oxygen software, oxygens), just in case there is already a heavily recycled material (with some strong changes in current methods or the appearance of new ones will be changed), and it will already be easier to some extent.Of all the speeches, I liked Vladimir Katalov (CEO of Elcomsoft) the most, with his report on extracting data from apple phones and turning them into evidence. The main reason was the interesting advertising of the product in conjunction with technical information provided not on a "dry" basis. I will voice the thesis that was voiced at the end of the conference from one conference visitor about the absence of (NON) promotional reports, with the exception of my weak performance (I do not deny a drop). I wanted to see more technical reports, but this is just a wish and still I have very warm memories❤️And yes, to speak - not to write posts😉#MFD2022 #forensics #shizo
2022-11-28 03:48:06
#MFD2022 #forensics #shizo
2022-11-25 19:28:33
😉Дорогой подписчик или странствующий читатель. Хочется пожелать тебе отличного отдыха и продуктивных выходных. Пусть ничто и никто не помешает тебе провести время с пользой и надеюсь, что у тебя все хорошо, а если и не так, то ты сам знаешь что многое зависит от тебя и не опускай руки.Шизо.😉Dear subscriber or traveling reader. I would like to wish you a great rest and a productive weekend. Let nothing and no one prevent you from spending time with benefit and I hope that everything is fine with you, and if it's not, then you yourself know that a lot depends on you and do not give up.Shizo.
2022-11-25 13:57:44
📕Guidelines for Digital Forensics First Responders#DFIR #forensics #electronicEvidence #digitalEvidence #IoT #Smartphones #iOS #Android #Storage #Drones #automotive #Interpol
2022-11-25 13:57:30
|Guidelines for Digital Forensics First Responders|🕵️‍♂️Сие руководство, предоставленное Интерполом поможет начинающим и не совсем форензик-специалистам(цифровая криминалистика) надлежащим образом обращаться с цифровыми/электронными доказательствами, каким образом нужно использовать цифровые доказательства когда мы выполняем подготовительные меры к обыску и дальнейшему изъятию цифровых носителей информации с последующим криминалистическим анализом и соответственно на этапе исполнительных мероприятий. Так что, если были вопросы: "как собирать надлежащим образом цифровые/электронные доказательства?", "как сохранить надлежащим образом цифровые/электронные доказательства?" и "как транспортировать надлежащим образом цифровые/электронные доказательства?", то рекомендую прочитать руководство, причем не мало уделяется моменту с сохранением цифровых/электронных доказательств , чтобы ваши коллеги могли их спокойно использовать в уголовном расследовании и пришли в суд с ними, не боясь об отклонении оных в качестве доказательства неправомерных действий подсудимого.⚠️Но это все не означает, что все содержимое можно применять без изменений и придется в любом случае опираться на нормативку, административные, процедурные, доказательственные и иные требования к обыску, аресту, цепочке содержания под стражей, анализу, отчетности действующих на территории РФ и которые в большей степени представлены в уголовном/прокурорском/судебном процессе. И помимо всего прочего в руководстве приводятся примеры ПО для реализации этих мероприятий.⬇️Методичку прикладываю ниже.🕵️‍♂️This guide provided by Interpol will help beginners and not quite forensic specialists (digital forensics) to properly handle digital /electronic evidence, how to use digital evidence when we carry out preparatory measures for the search and further seizure of digital media with subsequent forensic analysis and, accordingly, at the stage of enforcement actions. So if there were questions: "how to properly collect digital/electronic evidence?", "how to properly store digital/electronic evidence?" and "how to transport digital/electronic evidence properly?", then I recommend reading the manual, and not a little attention is paid to the moment with the preservation of digital/electronic evidence, so that your colleagues can safely use them in a criminal investigation and come to court with them, without fear of rejecting them as evidence of the defendant's unlawful actions.⚠️But all this does not mean that all the contents can be applied unchanged and in any case will have to rely on the regulations, administrative, procedural, evidentiary and other requirements for search, arrest, chain of custody, analysis, reporting operating in the territory of the Russian Federation and which are more represented in criminal/prosecutorial/ judicial proceedings. And among other things, the manual provides examples of software for the implementation of these activities.⬇️I attach the guidelines below.#DFIR #forensics #electronicEvidence #digitalEvidence #IoT #Smartphones #iOS #Android #Storage #Drones #automotive #Interpol
2022-11-25 13:55:06
#DFIR #forensics #electronicEvidence #digitalEvidence #IoT #Smartphones #iOS #Android #Storage #Drones #automotive #Interpol
2022-11-25 12:33:19
|AppSec Ezine|📰458rd EditionRelease Date: 25/11/2022pathonprojectgithub#ezine #appsec #infosec
2022-11-25 00:51:17
|Dismember|- Те обстоятельства, которые на первый взгляд лишь усложняют дело, чаще всего приводят вас к разгадке. Надо только как следует, не по-дилетантски разобраться в них.- Those circumstances that at first glance only complicate the case, most often lead you to a solution. It is only necessary to understand them properly, not amateurishly.🕵️‍♂️Холмс, ищешь в памяти всех процессов(*nix-like) на машине негодяя его секреты и хочешь узнать то, чего не знают другие? На помощь приходит инструментарий(Dismember, "/proc"), который находит секреты ушлого негодяя путем поиска в памяти всех процессов на наличие общих секретов, до которых наши руки доходят, Ватсон. Поэтому лучше запускать из под рута для большего охвата. Помимо прочего, можно воспользоваться grep(настолько просто и очевидно, Ватсон) для сопоставления регулярных выражений по памяти до которой наши руки и находить сокровенные информацию негодяя в памяти и не только. А еще этот инструментарий, Ватсон, нам поможет в составлении списка процессов, просмотре состояния процесса и связанной с ним информации, строить дерева процессов и найти собаку Баскервилей, используя таинственные команды.⚠️Ватсон, я забыл упомянуть главное - сей инструментарий должен использоваться только в благих целях.🕵️‍♂️Holmes, are you looking for his secrets in the memory of all processes (*nix-like) on the scoundrel's machine and want to find out what others don't know? The toolkit (Dismember, "/proc") comes to the rescue, which finds the secrets of a cunning scoundrel by searching the memory of all processes for the presence of common secrets that our hands reach, Watson. Therefore, it is better to run from under the root for greater coverage. Among other things, you can use grep(so simple and obvious, Watson) to match regular expressions from memory to which our hands and find the scoundrel's innermost information in memory and not only. And this toolkit, Watson, will help us in compiling a list of processes, viewing the status of the process and related information, building process trees and finding the Baskervilles dog using mysterious commands.⚠️Watson, I forgot to mention the main thing - this toolkit should be used only for good purposes.#SherlockHolmes #secrets #forensics #memoryScan #processes
2022-11-25 00:51:07
#SherlockHolmes #secrets #forensics #memoryScan #processes
2022-11-25 00:02:18
|C2 Tracker|🕵️‍♂️Наткнулся на довольно простой скрипт, использующий поисковые запросы, приведенные в статьях Майкла Кочвары(первая, вторая) для сбора IP-адресов подозрительных C2 серверов, подтягивая Shodan.Перед запуском скрипта на своей машине необходимо в 5-й строке кода вставить в соответствующее поле ваш API ключ Шодана. После чего устанавливаем необходимые пакеты, если не стоят:pip3 install -r requirements.txtИ можем пользоваться:python3🕵️‍♂️I came across a fairly simple script using the search queries given in Michael Kochvara's articles (first, second) to collect the IP addresses of suspicious C2 servers, pulling up Shodan.Before running the script on your machine, you need to insert your Shodan API key in the appropriate field in the 5th line of the code. After that, install the necessary packages, if they are not:pip3 install -r requirements.txtAnd we can use:python3 #Shodan #C2 #CobaltStrike #MSF #Covenant #Mythic #BRC4 #Posh
2022-11-23 12:51:06
🕵️‍♂️Занимательный документ, содержащий информацию об использовании Пегасуса от NSO Group силами ФБР для «исследований и разработок»(так и поверили). Конечно, много данных скрыто, думаю не мало кого заинтересует небольшая переписка между Уайденом(сенатор) и Крисом Рэем(директор ФБР).🕵️An entertaining document containing information about the use of Pegasus from the NSO Group by the FBI for "research and development"(so they believed). Of course, a lot of data is hidden, I think not a few people will be interested in a small correspondence between Wyden (senator) and Chris Ray (FBI director).#spyware #surveillance #NSO #FBI #USA #Israel #PegasusSpyware #Predator
2022-11-23 12:49:12
#spyware #surveillance #NSO #FBI #USA #Israel #PegasusSpyware #Predator
2022-11-23 12:17:34
Как там в МВД (2)?А вот и ответы на вопросы от сотрудника полиции, работающего по линии противодействия киберпреступности. Это, конечно, не интервью. Я лишь задал вопросы, которые интересуют меня и попросил разрешения опубликовать для дорогих коллег.1) Как часто сталкиваешься с реально опытным и умным кибернегодяем?Очень редко. Как правило, опытный и умный злоумышленник сделает все так, что жертва обнаруживает факт утраты в самый последний момент. Однако, не могу не вспомнить случай, когда подобные злоумышленники написали "одну программу", которую скачал наш заявитель (а он был не один такой), а потом, как оказалось, он вшил кейлоггер и возможность удаленного доступа в ПО. Так, злоумышленнику удалось скрытно и довольно долго обворовывать жертв через Онлайн-банкинг.2) Малый процент раскрываемости киберпреступлений - "заслуга" злодеев или недоработка системы?Все вместе. Ты прекрасно знаешь, какое количество глупых лжеминирований сейчас. По каждому факту минирования возбуждается отдельное уголовное дело, что увеличивает общее количество уголовных дел. Соответственно, мои 20 раскрытий (которые дались не одним месяцем работы) накрываются 120 минированиями. Одновременно с этим, не могу не отметить падающий уровень технической образованность сотрудников. Потому что перед каждым встает вопрос: при нормальном стеке знаний, зачем мне получать 50-60 тысяч рублей в МВД, если я смогу это сделать в частной компании за 90-100 тысяч.3) Насколько помогает OSINT и часто ли может сыграть ключевую роль в раскрытии преступления? Может ли дать больше, чем СОРМы, ответы на запросы и прочие процессуальные процедуры?Помогает, причем существенно. Однако, больше СОРМ не даст никто. Весь вопрос в достоверности информации. Так вот, в СОРМ (при грамотном анализе и постановке задач специальным подразделениям) такая достоверность близка к 100%. Говоря о пользе OSINT, нужно понимать, что благодаря этому направлению мы знаем (знали), где искать и что смотреть. Люди зачастую в цифровом пространстве не такие бдительные, как жизни. Однако, встречаются обратные случаи, тогда СОРМ спасает.4) Ты наверняка замечал, что киберпреступность становится все более и более широким понятием. С ней сталкивается не только Управление К, но и различные отделы уголовного розыска, линия терроризма и экстремизма также связана с этим, линия экономической безопасности. Какой совет/наставление дашь тем, кто собирается идти в полицию или уже начал работать, но не обладает техническими знаниями от слова совсем?Учиться и еще раз учиться. А лучше - выработать в себе желание обучаться. Не просто так говорят, что преступность сейчас на шаг впереди. К сожалению, такая тенденция будет еще долго. И дело тут не сколько в сотрудниках, сколько в укладе общества в целом. Смоделируй обычное преступление: увидишь, что полиция как "дефенсы" при обычной атаке, а преступники - атакующие. При таких раскладах, дефенсы должны быть просто готовы к любым нападкам со стороны злоумышленников. Возвращаясь к началу вопроса, отмечу, что такая готовность может быть обеспечена исключительно через постоянный прогресс.