Antichrist Blog | 反キリスト∸ブログ

2024-06-04 21:02:41 Тише воды, ниже травы. Live boot системы.

• Данный материал написан в соавторстве с @mycroftintel

• Почему хакеры все любят live-boot системы? Все очень просто. Когда вы используете систему, установленную на своем компьютере – вы оставляете следы. Особенно, если используете Винду. Она пишет логи всех ваших действий, сохраняет данные на жестком диске (да, даже после удаления!) и делает еще кучу непотребных вещей. Плюс еще и железо нужно с собой таскать. Если с ноутом еще ничего, то системник явно с собой не поносишь.

• Для того, чтобы было удобно и безопасно, и при этом можно было вести интересный образ жизни, умные люди придумали live boot. По сути, это флешка, которая втыкается в любой компьютер и запускает на нем свою собственную операционную систему. При этом жесткий диск хостовой машины не используется, а логи не пишутся. Это удобно еще и потому, что если придется рвать когти, то достаточно варварски вырвать флешку из компа и дать деру. На самом накопителе данные не пишутся и после выдергивания она обнуляется до исходного состояния системы И не надо с собой носить лишнего груза. А если вы записали live boot на microSD, то ее даже проглотить можно в случае чего. Ну или выкинуть по-тихому. Тут кому как больше нравится.

• Самый известный экземпляр live boot системы – это Tails. Собственно, незабвенный Эдвард Сноуден сливал секреты АНБ с помощью этой системы. Я свечку не держал, но злые языки поговаривают, что дело было именно так. Там всякие защиты предусмотрены, в том числе от дурака. Так что записывайте эту историю на флешку и пользуйтесь на здоровье. Главное, в BIOS не забудьте выставить правильный порядок загрузки. А для любителей кулхацкерства есть forensic mode у Kali Linux live boot.

• Что по итогу. Если вы не хотите оставлять следов и вам нужна под рукой собственная инфраструктура, то live boot – это ваш выбор. Главное не забывайте, что live boot системы защитят вас от форензики, но для соблюдения анонимности требуются совсем другие средства.

• Дополнительную информацию можно найти в группе @mycroftintel

S.E. infosec.work VT Открыть/Комментировать

2024-06-03 20:05:01 Угон SIM-карты.

• SIM Hijacking — уязвимость, о которой было объявлено еще в 2019 году и которая до сих пор затрагивает некоторые SIM-карты. Атака включает в себя одно или несколько SMS-сообщений отправленных жертве в виде специальных запросов с помощью которых можно инициировать события для манипуляции с мобильным телефоном.

• Хочу поделиться с Вами достаточно объемным и интересным материалом, где автор подробно описывает устройство SIM-карт, изучает защитный код через SIMspy и делиться технической составляющей SIM Hijacking.

Читать статью [36 min].

• Дополнительный материал: SIM SWAP. Обман на 100 000 000 $.

S.E. infosec.work VT Открыть/Комментировать

2024-05-31 20:00:16 Криптопрачечная: раскрытие схем с отмыванием денег методами OSINT.

• Наши друзья из @osintkanal (osintkanal.ru) перевели для Вас очень ценный материал, где описаны необходимые OSINT-инструменты и методы по отслеживанию сложных схем отмывания криптовалюты.

• Большинство людей, которые "варятся" в этой теме, используют сложные многоэтапные операции по отмыванию криптовалюты, в которых одновременно задействованы и криптомиксеры, и подставные кошельки, и несколько обменников, и различные варианты обналички. Но как нам собрать данные и получить необходимую информацию методами #OSINT? Как раз сегодня об этом и поговорим...

• Содержание статьи:

- Инструменты блокчейн-аналитики;
- Методы отмывания денег с помощью криптовалюты;
- Инструмент MetaSluth;
- OSINT, аналитика и выводы.

Читать материал [10 min].

• Дополнительная информация доступна в группе @osintkanal и в нашей подборке материала.

S.E. infosec.work VT Открыть/Комментировать

2024-05-30 20:00:17 Двойное дно.

• Данный материал написан в соавторстве с @mycroftintel

• Что может быть лучше зашифрованной операционной системы? Правильно, только зашифрованная операционная система с двойным дном. Сегодня мы и поговорим про этот венец творения.

• Зачем вообще нужно двойное дно? Для правдоподобного отрицания. Это когда никто не может установить, правду ты говоришь или бесстыдно лжешь. На самом деле у оперативников аллергия на контейнеры. Когда они их видят - требуют их расшифровать. В Штатах вообще суд посадил парня за решётку за отказ расшифровать архив. И сидеть он будет там, пока его не расшифрует.

• В России действуют проще. Например, используют паяльник. И там уже без вариантов. Поэтому чтобы показать, что тебе скрывать нечего, ты открываешь архив. А там фотографии розовых пони. Но есть ньюанс. В архиве есть скрытый раздел, который покажет себя только при введении правильного пароля. И доказать наличие оного раздела совершенно невозможно.

• Аналогично и с операционками. Видит оперативник зашифрованную систему и вежливо просит открыть. И вы не переживаете. Если откроете открытый раздел - там будет свеженькая Винда и коллекция мемасиков. А все дела будут надёжно спрятаны под скрытым разделом. И тут к вам вопросов нет. Вы сотрудничаете, а подозревать вас в чем-то плохом оснований нет.

• Так что пользуйтесь Веракриптом и будем вам счастье, а дополнительную информацию можно найти в группе @mycroftintel

S.E. infosec.work VT Открыть/Комментировать

2024-05-28 20:00:15 Использование досок объявлений в фишинге.

• Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии.

• Эксперты Лаборатории Касперского опубликовали объемную статью о мошеннических схемах, нацеленных на покупателей и продавцов на онлайн-досках объявлений, а также о том, как функционируют стоящие за ними группировки. Содержание следующее:

- Как обманывают пользователей досок объявлений;
- Как злоумышленники выбирают жертв;
- Как обманывают жертву;
- Как выглядят фишинговые страницы;
- Группировки;
- Мошенничество как услуга (Fraud-as-a-Service);
- На какие страны направлен скам с досками объявлений;
- Мануал по ворку;
- Монетизация украденных карт;
- Автоматизация мошенничества с помощью Telegram-бота;
- Как выглядят фишинговые ссылки;
- Обновление ботов;
- Что происходит после перехода по ссылке;
- Прибыль и статистика;
- Как не попасться на удочку воркера.

Читать статью [13 min].

S.E. infosec.work VT Открыть/Комментировать

2024-05-27 20:00:49 10 способов обхода Windows Defender.

• Всем известно, что в состав ОС Windows входит стандартный антивирус Windows Defender, который является простым и "относительно" нормальным решением с различными средствами для контроля приложений, встроенным фаерволом и средством для защиты в реальном времени.

• В этой статье автор подробно рассказывает о 10 способах и техниках обхода Windows Defender с целью выполнения произвольного кода. Содержание статьи следующее:

- In-Memory AMSI/ETW patching;
- Обфускация кода;
- Обфускация во время компиляции;
- Обфускация бинарных файлов;
- Зашифрованная инъекция шеллкода;
- Загрузка шеллкода;
- Пользовательские инструменты;
- Инсценировка полезной нагрузки;
- Рефлексивная загрузка;
- Сборки P/Invoke C#.

• В дополнение: отключение Windows Defender через недокументированное АПИ — https://github.com/es3n1n/no-defender

• P.S. Учитывайте, что статья вышла уже как год назад, однако информация всё равно будет весьма полезной для изучения.

S.E. infosec.work VT Открыть/Комментировать

2024-05-24 20:18:22 Hack The Box. Прохождение машин с разным уровнем сложности.

• Судя по статистике прошлой публикации, Вам очень зашел видеоматериал с прохождением различных машин HTB, где автор подробно описывает каждый свой шаг. Сегодня поделюсь с Вами еще некоторыми видео и дополнительным материалом:

• Прохождение Linux-машины CODIFY — это легкая Linux-машина, на которой установлено веб-приложение, позволяющее пользователям тестировать код Node.js. Приложение использует уязвимую библиотеку vm2, которая используется для удаленного выполнения кода. По мере исследования цели обнаруживается база данных SQLite, содержащая хэш, который, будучи взломанным, дает SSH-доступ к устройству. Наконец, уязвимый скрипт Bash может быть запущен с повышенными привилегиями для раскрытия пароля пользователя root, что приводит к получению привилегированного доступа к машине.

• Прохождение Linux-машины INTENTIONS — это сложная машина на Linux, которая начинается с веб-сайта галереи изображений, подверженного вторичной SQL-инъекции, что приводит к обнаружению хэшей BCrypt. Дальнейшее расследование раскрывает наличие API v2, которое позволяет аутентификацию через хэши вместо паролей, что ведет к доступу администратора к сайту.

• Расследуем инцидент взлома MEERKAT — Вас пригласили в качестве нового поставщика услуг безопасности для Forela, быстро развивающегося стартапа. Стартап использовал платформу для управления бизнесом, но с недостаточной документацией и потенциально слабыми методами обеспечения безопасности. Вам предоставляются PCAP и данные журналов, и перед вами ставится задача определить, произошла ли компрометация. Этот сценарий заставит вас применить свои навыки анализа, эффективно просеивая сетевые данные и журналы для обнаружения потенциальных признаков вторжения, и тем самым даст реальное представление о ключевой роли кибербезопасности в защите развивающегося бизнеса.

• К слову, журнал ][акер постоянно публикует материал по прохождению HTB машин, вот только этот материал является платным. НО, не расстраивайтесь раньше времени, если Вам действительно интересно и Вы хотите найти определенную статью, то данный материал можно найти в открытом доступе. Указывать линки на группы не буду, Вы и так и найдете при желании. А если хотите поддержать авторов и журнал, то предлагаю купить годовую подписку. По этой ссылке найдете более 150 статей по прохождению HTB: https://xakep.ru/tag/hackthebox/

S.E. infosec.work VT Открыть/Комментировать

2024-05-23 20:13:27 USB-киллер.

• Данный материал написан в соавторстве с @mycroftintel

• Что такое USB-киллеры и с чем их едят? Начну с анекдота. Мужик нашел в метро флешку, а на ней написано маркером число «161». Берет он эту флешку, вставляет себе в компьютер, а компьютер бац и перестает подавать признаки жизни. Отчаявшись, мужик стирает «161», пишет маркером «162» и оставляет эту флешку снова где-то в метро.

• Смешно? Да не очень на самом деле. Люди бывают настолько одаренными, что вставляют в рабочие компы красивые флешки, которые находят на стоянке. А там, само собой, вредонос. Такая атака называется «poisoned apple», или же «отравленное яблоко». И это работает! Так вот, киллеры работают точно на том же чувстве любопытства.

• Для чего нужен USB-киллер? Во-первых, чтобы экстренно вырубить компьютер. Представим, что к вам врываются маски шоу в тот момент, когда вы почти доломали Пентагон. Выключать ноут штатно не вариант – долго. А если у вас есть киллер – достаточно воткнуть его в порт и тачка вырубится наглухо. Диски он, конечно, не потрет, но коннекторы может и оплавить. Жалко, конечно, этого добряка, но лучше так, чем потом лет до десяти жалеть о содеянном. Во-вторых, киллер используют по прямому назначению – массово истребляет электронику. Втыкают его в компы, ноуты, телевизоры. Да куда угодно, где есть порт. Один пацанчик в Штатах вообще уничтожил более шестидесяти компов в своей alma mater после окончания.

• Как это все работает? Вместо модуля памяти у флешки встраивается преобразователь напряжения и конденсатор, который быстро заряжает свои конденсаторы, а затем разряжает их через шину передачи данных порта. И все, финита ля комедия. Комп отправляется на цифровую радугу, откуда нет возврата. Так что будьте внимательны, не суйте в свою машину что попало!

• Дополнительная информация доступна в группе @mycroftintel

S.E. infosec.work VT Открыть/Комментировать

2024-05-21 20:00:10 S.E. Заметка. OSINT.

• Небольшая, но очень интересная мини-подборка материала, которая позволит тебе узнать много нового в сфере OSINT и прокачать свои навыки:

Начнем с интересного списка от "OSINT ME". Автор поделился полезными источниками, которые публикуют много полезного материала касательно OSINT. Если хотите прокачать свои навыки, то следите за блогами из этого списка, так как они действительно очень полезны: https://www.osintme.com/index.php/2024/05/17/list-of-recommended-osint-newsletters/

Расследования в сфере криптовалюты весьма интересны и сложны, но есть много хорошего материала, который поможет освоиться в этой теме. Рекомендую к прочтению статью на данную тему, это именно тот материал, с которого можно начать вливаться в это направление: https://www.osintteam.com/navigating-the-crypto-jungle/

Поделюсь ссылкой на репозиторий, который включает в себя различные расширения для Вашего браузера. Тут есть даже раздел с ИИ, а это сейчас очень актуальная тема, которая ежедневно развивается. В общем и целом, тут Вы найдете расширения на любой вкус и под любую потребность. Читаете описание, устанавливаете, используете, profit: https://github.com/cqcore/OSINT-Browser-Extensions

Ну и напоследок, хочу поделиться новым видео от RAINBOLT. Для тех кто не знает этого "волшебника" (по другому я его не назову), поясню - это лучший в игре GeoGuessr на данный момент времени, и я всегда приятно удивляюсь, с какой скоростью он находит точное местоположение объекта. На этот раз он нашел местоположение автобуса за 3 минуты, а исходное изображение взял с капчи на одном из сайтов. Обязательно к просмотру:

P.S. и вот тут еще 30 секундное видео с "разоблачением" одной девушки: https://t.me/S_E_Reborn/4703

• Дополнительная информация доступна в нашей подборке: https://t.me/Social_engineering/3202

S.E. infosec.work VT Открыть/Комментировать

2024-05-20 20:19:39 Слежка через пуш-уведомления.

• 29 февраля издательство Washington Post опубликовали информацию, что ФБР запрашивает у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token) для слежки за потенциальным объектом наблюдения. Суть в том, что такие данные ФБР может запрашивать без какого-либо ордера или постановления суда, а с помощью таких пуш-токенов можно с легкостью идентифицировать смартфон и его владельца.

• Данный метод используется с 2019 года, но широкую огласку он получил только в декабре 2023 года, когда Apple и Google получили необходимые предписания от ФБР на передачу информации об аккаунтах, идентифицированных по пуш-токенам и связанных с предполагаемыми сторонниками террористич. группировки.

• Немного информации о технической составляющей данного метода и более подробная информации о новости: https://habr.com/ru/post/815425

Первоисточник: https://www.washingtonpost.com

S.E. infosec.work VT Открыть/Комментировать