Antichrist Blog | 反キリスト∸ブログ

2024-05-31 20:00:16 Криптопрачечная: раскрытие схем с отмыванием денег методами OSINT.

• Наши друзья из @osintkanal (osintkanal.ru) перевели для Вас очень ценный материал, где описаны необходимые OSINT-инструменты и методы по отслеживанию сложных схем отмывания криптовалюты.

• Большинство людей, которые "варятся" в этой теме, используют сложные многоэтапные операции по отмыванию криптовалюты, в которых одновременно задействованы и криптомиксеры, и подставные кошельки, и несколько обменников, и различные варианты обналички. Но как нам собрать данные и получить необходимую информацию методами #OSINT? Как раз сегодня об этом и поговорим...

• Содержание статьи:

- Инструменты блокчейн-аналитики;
- Методы отмывания денег с помощью криптовалюты;
- Инструмент MetaSluth;
- OSINT, аналитика и выводы.

Читать материал [10 min].

• Дополнительная информация доступна в группе @osintkanal и в нашей подборке материала.

S.E. infosec.work VT Открыть/Комментировать

2024-05-30 20:00:17 Двойное дно.

• Данный материал написан в соавторстве с @mycroftintel

• Что может быть лучше зашифрованной операционной системы? Правильно, только зашифрованная операционная система с двойным дном. Сегодня мы и поговорим про этот венец творения.

• Зачем вообще нужно двойное дно? Для правдоподобного отрицания. Это когда никто не может установить, правду ты говоришь или бесстыдно лжешь. На самом деле у оперативников аллергия на контейнеры. Когда они их видят - требуют их расшифровать. В Штатах вообще суд посадил парня за решётку за отказ расшифровать архив. И сидеть он будет там, пока его не расшифрует.

• В России действуют проще. Например, используют паяльник. И там уже без вариантов. Поэтому чтобы показать, что тебе скрывать нечего, ты открываешь архив. А там фотографии розовых пони. Но есть ньюанс. В архиве есть скрытый раздел, который покажет себя только при введении правильного пароля. И доказать наличие оного раздела совершенно невозможно.

• Аналогично и с операционками. Видит оперативник зашифрованную систему и вежливо просит открыть. И вы не переживаете. Если откроете открытый раздел - там будет свеженькая Винда и коллекция мемасиков. А все дела будут надёжно спрятаны под скрытым разделом. И тут к вам вопросов нет. Вы сотрудничаете, а подозревать вас в чем-то плохом оснований нет.

• Так что пользуйтесь Веракриптом и будем вам счастье, а дополнительную информацию можно найти в группе @mycroftintel

S.E. infosec.work VT Открыть/Комментировать

2024-05-28 20:00:15 Использование досок объявлений в фишинге.

• Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии.

• Эксперты Лаборатории Касперского опубликовали объемную статью о мошеннических схемах, нацеленных на покупателей и продавцов на онлайн-досках объявлений, а также о том, как функционируют стоящие за ними группировки. Содержание следующее:

- Как обманывают пользователей досок объявлений;
- Как злоумышленники выбирают жертв;
- Как обманывают жертву;
- Как выглядят фишинговые страницы;
- Группировки;
- Мошенничество как услуга (Fraud-as-a-Service);
- На какие страны направлен скам с досками объявлений;
- Мануал по ворку;
- Монетизация украденных карт;
- Автоматизация мошенничества с помощью Telegram-бота;
- Как выглядят фишинговые ссылки;
- Обновление ботов;
- Что происходит после перехода по ссылке;
- Прибыль и статистика;
- Как не попасться на удочку воркера.

Читать статью [13 min].

S.E. infosec.work VT Открыть/Комментировать

2024-05-27 20:00:49 10 способов обхода Windows Defender.

• Всем известно, что в состав ОС Windows входит стандартный антивирус Windows Defender, который является простым и "относительно" нормальным решением с различными средствами для контроля приложений, встроенным фаерволом и средством для защиты в реальном времени.

• В этой статье автор подробно рассказывает о 10 способах и техниках обхода Windows Defender с целью выполнения произвольного кода. Содержание статьи следующее:

- In-Memory AMSI/ETW patching;
- Обфускация кода;
- Обфускация во время компиляции;
- Обфускация бинарных файлов;
- Зашифрованная инъекция шеллкода;
- Загрузка шеллкода;
- Пользовательские инструменты;
- Инсценировка полезной нагрузки;
- Рефлексивная загрузка;
- Сборки P/Invoke C#.

• В дополнение: отключение Windows Defender через недокументированное АПИ — https://github.com/es3n1n/no-defender

• P.S. Учитывайте, что статья вышла уже как год назад, однако информация всё равно будет весьма полезной для изучения.

S.E. infosec.work VT Открыть/Комментировать

2024-05-24 20:18:22 Hack The Box. Прохождение машин с разным уровнем сложности.

• Судя по статистике прошлой публикации, Вам очень зашел видеоматериал с прохождением различных машин HTB, где автор подробно описывает каждый свой шаг. Сегодня поделюсь с Вами еще некоторыми видео и дополнительным материалом:

• Прохождение Linux-машины CODIFY — это легкая Linux-машина, на которой установлено веб-приложение, позволяющее пользователям тестировать код Node.js. Приложение использует уязвимую библиотеку vm2, которая используется для удаленного выполнения кода. По мере исследования цели обнаруживается база данных SQLite, содержащая хэш, который, будучи взломанным, дает SSH-доступ к устройству. Наконец, уязвимый скрипт Bash может быть запущен с повышенными привилегиями для раскрытия пароля пользователя root, что приводит к получению привилегированного доступа к машине.

• Прохождение Linux-машины INTENTIONS — это сложная машина на Linux, которая начинается с веб-сайта галереи изображений, подверженного вторичной SQL-инъекции, что приводит к обнаружению хэшей BCrypt. Дальнейшее расследование раскрывает наличие API v2, которое позволяет аутентификацию через хэши вместо паролей, что ведет к доступу администратора к сайту.

• Расследуем инцидент взлома MEERKAT — Вас пригласили в качестве нового поставщика услуг безопасности для Forela, быстро развивающегося стартапа. Стартап использовал платформу для управления бизнесом, но с недостаточной документацией и потенциально слабыми методами обеспечения безопасности. Вам предоставляются PCAP и данные журналов, и перед вами ставится задача определить, произошла ли компрометация. Этот сценарий заставит вас применить свои навыки анализа, эффективно просеивая сетевые данные и журналы для обнаружения потенциальных признаков вторжения, и тем самым даст реальное представление о ключевой роли кибербезопасности в защите развивающегося бизнеса.

• К слову, журнал ][акер постоянно публикует материал по прохождению HTB машин, вот только этот материал является платным. НО, не расстраивайтесь раньше времени, если Вам действительно интересно и Вы хотите найти определенную статью, то данный материал можно найти в открытом доступе. Указывать линки на группы не буду, Вы и так и найдете при желании. А если хотите поддержать авторов и журнал, то предлагаю купить годовую подписку. По этой ссылке найдете более 150 статей по прохождению HTB: https://xakep.ru/tag/hackthebox/

S.E. infosec.work VT Открыть/Комментировать

2024-05-23 20:13:27 USB-киллер.

• Данный материал написан в соавторстве с @mycroftintel

• Что такое USB-киллеры и с чем их едят? Начну с анекдота. Мужик нашел в метро флешку, а на ней написано маркером число «161». Берет он эту флешку, вставляет себе в компьютер, а компьютер бац и перестает подавать признаки жизни. Отчаявшись, мужик стирает «161», пишет маркером «162» и оставляет эту флешку снова где-то в метро.

• Смешно? Да не очень на самом деле. Люди бывают настолько одаренными, что вставляют в рабочие компы красивые флешки, которые находят на стоянке. А там, само собой, вредонос. Такая атака называется «poisoned apple», или же «отравленное яблоко». И это работает! Так вот, киллеры работают точно на том же чувстве любопытства.

• Для чего нужен USB-киллер? Во-первых, чтобы экстренно вырубить компьютер. Представим, что к вам врываются маски шоу в тот момент, когда вы почти доломали Пентагон. Выключать ноут штатно не вариант – долго. А если у вас есть киллер – достаточно воткнуть его в порт и тачка вырубится наглухо. Диски он, конечно, не потрет, но коннекторы может и оплавить. Жалко, конечно, этого добряка, но лучше так, чем потом лет до десяти жалеть о содеянном. Во-вторых, киллер используют по прямому назначению – массово истребляет электронику. Втыкают его в компы, ноуты, телевизоры. Да куда угодно, где есть порт. Один пацанчик в Штатах вообще уничтожил более шестидесяти компов в своей alma mater после окончания.

• Как это все работает? Вместо модуля памяти у флешки встраивается преобразователь напряжения и конденсатор, который быстро заряжает свои конденсаторы, а затем разряжает их через шину передачи данных порта. И все, финита ля комедия. Комп отправляется на цифровую радугу, откуда нет возврата. Так что будьте внимательны, не суйте в свою машину что попало!

• Дополнительная информация доступна в группе @mycroftintel

S.E. infosec.work VT Открыть/Комментировать

2024-05-21 20:00:10 S.E. Заметка. OSINT.

• Небольшая, но очень интересная мини-подборка материала, которая позволит тебе узнать много нового в сфере OSINT и прокачать свои навыки:

Начнем с интересного списка от "OSINT ME". Автор поделился полезными источниками, которые публикуют много полезного материала касательно OSINT. Если хотите прокачать свои навыки, то следите за блогами из этого списка, так как они действительно очень полезны: https://www.osintme.com/index.php/2024/05/17/list-of-recommended-osint-newsletters/

Расследования в сфере криптовалюты весьма интересны и сложны, но есть много хорошего материала, который поможет освоиться в этой теме. Рекомендую к прочтению статью на данную тему, это именно тот материал, с которого можно начать вливаться в это направление: https://www.osintteam.com/navigating-the-crypto-jungle/

Поделюсь ссылкой на репозиторий, который включает в себя различные расширения для Вашего браузера. Тут есть даже раздел с ИИ, а это сейчас очень актуальная тема, которая ежедневно развивается. В общем и целом, тут Вы найдете расширения на любой вкус и под любую потребность. Читаете описание, устанавливаете, используете, profit: https://github.com/cqcore/OSINT-Browser-Extensions

Ну и напоследок, хочу поделиться новым видео от RAINBOLT. Для тех кто не знает этого "волшебника" (по другому я его не назову), поясню - это лучший в игре GeoGuessr на данный момент времени, и я всегда приятно удивляюсь, с какой скоростью он находит точное местоположение объекта. На этот раз он нашел местоположение автобуса за 3 минуты, а исходное изображение взял с капчи на одном из сайтов. Обязательно к просмотру:

P.S. и вот тут еще 30 секундное видео с "разоблачением" одной девушки: https://t.me/S_E_Reborn/4703

• Дополнительная информация доступна в нашей подборке: https://t.me/Social_engineering/3202

S.E. infosec.work VT Открыть/Комментировать

2024-05-20 20:19:39 Слежка через пуш-уведомления.

• 29 февраля издательство Washington Post опубликовали информацию, что ФБР запрашивает у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token) для слежки за потенциальным объектом наблюдения. Суть в том, что такие данные ФБР может запрашивать без какого-либо ордера или постановления суда, а с помощью таких пуш-токенов можно с легкостью идентифицировать смартфон и его владельца.

• Данный метод используется с 2019 года, но широкую огласку он получил только в декабре 2023 года, когда Apple и Google получили необходимые предписания от ФБР на передачу информации об аккаунтах, идентифицированных по пуш-токенам и связанных с предполагаемыми сторонниками террористич. группировки.

• Немного информации о технической составляющей данного метода и более подробная информации о новости: https://habr.com/ru/post/815425

Первоисточник: https://www.washingtonpost.com

S.E. infosec.work VT Открыть/Комментировать

2024-05-17 20:00:41 Кевин Митник. Биография.

• Кевин Митник — наверное, единственный хакер, который был широко известен даже среди далеких от компьютеров людей. С момента его смерти на хабре публикуется целая серия статей, которая описывает его биографию и различные истории из жизни в мельчайших подробностях:

- Часть 1: бурная юность тёмного гения;
- Часть 2: Кондор учится летать;
- Часть 3: «Фортуна повернулась ко мне задом»;
- Часть 4: самый странный повод взломать военных;
- Часть 5: призрачный номер и загадочный хакер;
- Часть 6: кошки-мышки с федералами.

• Данный пост будет дополняться по мере публикации нового материала.

S.E. infosec.work VT Открыть/Комментировать

2024-05-16 20:01:33 Антифорензика.

• Данный материал написан в соавторстве с @mycroftintel

• Вы все еще сидите на Винде? Тогда мы идем к вам! Вот такой несложный лозунг у специалистов по форензике. И это действительно оправданно. Ни в одной другой популярной операционной системе не собрать столько разных данных об активности юзера, как на окошках. Не верите? А доказуха у меня есть.

• Называется она LastActivityView. Эта небольшая утилита позволит собрать полный лог действий системы и юзера в ней. Открыл программу, папочку, подрубился к вафле или даже выключил компьютер – соответствующая запись появится в реестре, из которого она пойдет в единый большой лог от LastActivityView. Она фиксирует более двадцати (sic!) типов действий системы.

• Что получается по итогу? Ваша активность как на ладони. Все ваше грязное белье вываливается перед светлыми очами специалиста по форензике. Чтобы потом не было стыдно за бесцельно потраченное время нужно чистить реестры. Об этом я ужен писал в предыдущем посте. Ну и шифруйте диск, конечно. Без этого я бы вообще в приличное общество пускать не стал.

• Напомню еще раз: для целей антифорензики вы можете использовать любые подручные средства. Например, богомерзкий проприетарный CCleaner или же его доброго брата-близнеца BleachBit. Про него я как раз написал пост в своем канале. Если вы сделаете все правильно, то количество следов даже в окошках сократится на порядок. Ну а лучше не допускать никого к своей машине. Так оно спокойнее. Всем безопасности!

• Дополнительная информация доступна в группе @mycroftintel

S.E. infosec.work VT Открыть/Комментировать