Cybred

2021-08-07 21:11:00 Channel photo updated Открыть/Комментировать

2021-08-07 18:40:49 @RalfHackerChannel, cпасибо за труд! Вышла под крылом bhv, теперь ждем релиза в новых сливах украинских APT Открыть/Комментировать

2021-08-04 21:23:08 В 2015 году европейская криптовалютная биржа Bitstamp лишилась почти девятнадцати тысяч биткойнов из-за фишинговых атак, продолжавшихся в течение пяти недель.

Все это время атакующие хакеры представлялись то журналистами, то хедхантерами, рассылая фишинговые письма каждый раз с новой легендой.

В конце концов на одну из уловок попался Лука Кодрич - системный администратор, на тот момент работавший в Bitstamp и имевший доступ к горячему кошельку компании.

Под предлогом внесения его кандидатуры в международное почетное обществ , он добровольно установил троян на собственный компьютер, тем самым передав хакерам доступ к нему и другим серверам компании, на которых хранились, в том числе, wallet.dat, вместе с паролем.

Здесь можно было написать важное и ну очень необходимое напутствие о человеческом факторе, но вы итак все понимаете

Подготовил перевод гайда по фишингу для Red Team:
https://telegra.ph/Samyj-podrobnyj-gajd-po-fishingu-v-2021-godu-08-03 Открыть/Комментировать

2021-08-02 22:23:02 Недавний зеродей от создателя Mimikatz в Windows Print Spooler в деталях:
https://telegra.ph/Universalnoe-povyshenie-privilegij-i-zakreplenie-v-sisteme-pri-pomoshchi-sluzhby-dispetchera-ocheredi-pechati-08-02 Открыть/Комментировать

2021-07-30 15:49:09 Happy SysAdmin day! Открыть/Комментировать

2021-07-29 15:46:40 ⁤⁤Негде скрыться: сбор разведданных из открытых источников.
Подробно о расследовании штурма Капитолия.

На примере нескольких уголовных дел автор рассказывает, как помогал правоохранительным органам собирать доказательства на участников беспорядков.

Почти 600 страниц о событиях тех дней и об участии широкой общественности в расследовании правонарушений. На основе твитов, селфи и стримов с места событий было предъявлено обвинение более 400 лицам, участвовавших в штурме.

Около 10 глав посвящено советам по использованию методов OSINT для сбора доказательств причастности к правонарушениям и составлению целостной картины произошедшего. Возможно, одна из лучших книг о поиске, после Базеля.


Ждем трехтомник про BLM. Открыть/Комментировать

2021-07-28 19:00:00 ⁤На CyberDefenders релизнули новую лабу на поиск информации «L'espion».

Вы получили задание расследовать инцидент и установить личность злоумышленника от клиента, чья сеть была взломана и выведена из строя.

Специалисты по реагированию на инциденты и следователи цифровой криминалистики уже провели предварительное расследование и в настоящее время находятся на месте происшествия. Их результаты показывают, что атака исходила от учетной записи одного пользователя, вероятно, инсайдера.

Расследуйте инцидент, найдите инсайдера и раскройте действия атакующего. Открыть/Комментировать

2021-07-27 17:00:15 https://news.myseldon.com/ - удобный агрегатор новостей из СНГ, который, помимо сбора статей, умеет на каждое значимое лицо составлять досье и строить дерево связей с другими персонами, событиями и организациями.

Собранную информацию можно бесплатно выгрузить в отдельный .docx со всеми известными фактами, ссылками и аналитикой в диапазоне по дате. Поиск тоже обладает этой функцией и аналогично Google Alerts умеет уведомлять по ключевым словам.

К сожалению, для поиска объективной информации не годится. Поскольку зарегистрирован в РФ, согласно закону о новостных агрегаторах с 2017 года отображает новости только тех СМИ, которые имеют свидетельство регистрации в РКН.

Яндекс, как и другие агрегаторы, тоже соблюдает этот закон, но новости не показывает только на главной. Обходится доркой с искомым хостом на странице поиска новостей:
https://newssearch.yandex.ru/news/search?text=host:<адрес новостного сайта> Открыть/Комментировать

2021-07-26 19:00:00 ⁤Если в качестве входных данных при поиске у нас есть только ФИО человека и место его работы, то для обогащения информации о цели, в первую очередь, можно получить адрес корпоративной почты, которая у него, наверняка, имеется.

Взгляните на эти:
adriana@reddit.com
liorsteinberg@twitter.com
hilary.gardner@soundcloud.com

Заметили сходство? Все корпоративные адреса во многих компаниях составляются согласно определенным паттернам, которые, предопределены изначально.

Это упрощает наши поиски - достаточно взглянуть один раз на уже существующую почту, чтобы понять, согласно какому принципу она составлена:

Adriana Smith
adriana@reddit.com
{first}@reddit.com

Lior Steinberg
liorsteinberg@twitter.com
{first}{last}@twitter.com

Hilary Gardner
hilary.gardner@soundcloud.com
{first}.{last}@soundcloud.com

Но иногда случается так, что на сайте может быть указана всего лишь одна почта вида admin@domain.com или аналогичная, и никакой более (на самом деле, редко).

В таком случае можно использовать пермутаторы - генераторы, создающие списки возможных адресов электронной почты конкретного лица на основе распространенных паттернов по его фио и домену компании.

В качестве примеров таких сайтов можете взглянуть на:
- https://www.polished.app/email-permutator/
- http://metricsparrow.com/toolkit/email-permutator/

Есть даже отдельная таблица со многими паттернами и возможностью добавлять собственные: https://docs.google.com/spreadsheets/d/17URMtNmXfEZEW9oUL_taLpGaqTDcMkA79J8TRw4xnz8/

Предположим, список составлен. Следующей проблемой, после использования пермутаторов, является проблема валидации полученных данных.

В самом подробном гайде по поиску электронной почты в 2021 году автор предлагал вставлять список в поле получателей в форме отправки письма Gmail и считать валидными те, возле которых появилась информация о владельце.

Это работает не всегда, поэтому предлагаю некоторые альтернативы. Самый простой способ проверить существование Gmail-почты - использовать команду
curl -v https://mail.google.com/mail/gxlu?email=

В ответе мы в любом случае получим 204 код. Но если почта существует, то в полученных заголовках можно будет увидеть строку "Set-Cookie", которой при указании несуществующей почты не будет.

Для проверки существования почты Microsoft используем уже другой адрес:
curl -v https://-my.sharepoint.com/personal/_/_layouts/15/onedrive.aspx

403 код - почта существует, 404 - не существует.

914 views16:00

Открыть/Комментировать