Social Engineering

2024-04-04 10:25:56 Тактики, техники и процедуры, которыми пользовались хакеры в 2023 году.

• Наконец-то будет что почитать. BI.ZONE опубликовали новый отчет "Threat Zone 2024", который содержит в себе описание хакерских группировок, их тактики, методы, инструменты и другую информацию.

• Исследование будет полезно CISO, аналитикам SOC, разработчикам плейбуков реагирования на инциденты и контента для SIEM, а также всем, кто интересуется новыми угрозами.

• Краткое содержание:

- Хактивизм;
- Финансово мотивированные преступления;
- Шпионаж;
- Распространенное ВПО;
- Эксплуатация уязвимостей;
- Самые популярные техники злоумышленников;
- Самые популярные инструменты злоумышленников;
- Самые популярные LOLBAS, используемые злоумышленниками;
- Инциденты из практики BI.ZONE TDR.

Скачать можно отсюда: https://bi.zone/expertise/research/threat-zone-2024/

S.E. infosec.work VT Открыть/Комментировать

2024-04-02 14:31:47 Миф или реальность: вычислить по ip.

• Данный материал написан в соавторстве с @mycroftintel

• Когда очередной нубяра с опаленной пятой точкой вследствие самовозгорания в пылу баталий на форумах угрожает вычислить меня по IP – я совершенно не парюсь и присылаю ему свои цифры. Но это не потому, что я бесстрашный, у меня девять жизней и билет на бесплатный выход из больницы. Нет, все гораздо проще. Обычному мамкиному хакеру вычислить тебя по IP нереально. А нормальные хакеры такими вещами заниматься не будут.

• Почему так ваш IP не позволяет вас вычислить? Все просто. Если вы не покупали себе услугу «статический IP», то провайдер предоставляет вам один из своих внешних IP-адресов, через которые вы ходите в сеть. Для вас это внешний IP-адрес. В то же время вы находитесь во внутренней сети провайдера, где у вас есть соответственно внутренний IP-адрес. Это нужно потому, что IP-адресов не хватает на всех юзеров и приходится сидеть вот таким «пучком» на одном айпишнике.

• Из этого следует, что, зная ваш внешний IP-адрес, можно определить ваше примерное местонахождение с точностью до радиуса в километров 20. Плюс-минус. Ну, например, можно узнать, что я сижу в Москве. Пусть приезжают и ищут. Москва таки большая. В большинстве случаев гео вашего IP-адреса вообще будет ровнехонько на Красной площади. Если вы из столицы, например.

• Отсюда вывод. Знание вашего IP мамкиному хакеру не поможет. Нужно залезать в сеть провайдера и смотреть какой абонент из пучка в конкретное время сидел на конкретном сайте. Такие фокусы могут только правоохранители или сами провайдеры.

• Но это совершенно не значит, что можно не прятать свой IP-адрес и показывать его всем подряд. Можете нарваться на человека со связями и возможностями. А такой может вам доставить массу неприятностей. Так что не стоит пренебрегать правилами кибергигиены. Всем безопасности!

• Дополнительная информация доступна в группе @mycroftintel

S.E. infosec.work VT Открыть/Комментировать

2024-04-01 15:41:33 Находим конфидециальные данные компании.

• Наши друзья из @osintkanal (osintkanal.ru) перевели для Вас очень ценный материал, который поможет освоить некоторые методы поиска конфиденциальных данных различных компаний и пригодиться специалистам в области OSINT.

• Автором данного материала является эксперт с восьмилетним опытом, которая проводила обучение социальной инженерии для различных команд по информационной безопасности.

• Содержание статьи:

- Документы и разведка методом социальной инженерии;
- 5 полезных символов, которые вы можете добавить в каждый запрос в Google;
- 5 полезных операторов, которые вы можете добавить в каждый запрос в Google;
- 7 полезных операторов для документов и типов файлов;
- Примеры готовых поисковых запросов.

Читать материал [7 min].

• Дополнительная информация доступна в группе @osintkanal и по хэштегам #СИ, #OSINT.

S.E. infosec.work VT Открыть/Комментировать

2024-03-31 11:33:01 Шпаргалки цифрового детектива.

• Поделюсь с Вами очень ценным и качественным руководством по расположению цифровых артефактов в компьютерах и смартфонах. Материал будет полезен тем, кто интересуется форензикой и содержит следующую информацию:

• Криминалистические артефакты Windows:
- Информация о учетных записях;
- Действия с файлами и папками;
- Удаленные файлы и информация о них;
- Среда выполнения программ;
- Скаченные файлы;
- Сетевая активность;
- Физическое местоположение;
- Использование USB интерфейсов;
- Использование интернет-браузеров.

• Криминалистические артефакты экосистемы Apple:
- LOG файлы MacOS;
- Приложения Apple;
- Данные приложений;
- Выполнение программ и использование приложений;
- Открытие файлов и папок в MacOS;
- Использование аккаунта;
- Физическое местоположение;
- Тома и внешние устройства / использование USB;
- Сетевые настройки и другая полезная информация.

• Криминалистические артефакты Android:
- Информация об устройстве;
- Мессенджеры;
- Социальные сети;
- Почтовые сервисы;
- Мультимедиа;
- Интернет браузеры.

• Скачать можно в нашем облаке или в канале автора.

S.E. infosec.work VT Открыть/Комментировать

2024-03-30 11:43:01 Jerusalem. История компьютерного вируса 1987 года.

• Первый по-настоящему злобный и злонамеренный вирус родился в Израиле. А обнаружили вирус на компьютерах Еврейского университета в Иерусалиме в октябре 1987 года. Вероятно, создателя вдохновила популярная в 1980-е годы серия американских фильмов ужасов «Пятница, 13-е». Именно при таком сочетании дня недели и числа месяца вирус приводил в действие свой «главный калибр» и удалял, по разным источникам, то ли вообще всё, то ли только запускаемые в этот день программы. Видимо, для более надёжного и массового распространения в его «таймере» было прописано не активировать эту фичу в течение 1987 года. Впрочем, пакостил он далеко не только по пятницам 13-е.

• «Иерусалим» распространялся через дискеты или вложенные файлы в электронной почте. Вирус работал по принципу логической бомбы. Он (вне зависимости от дня недели и даты) поражал исполняемые файлы, кроме command.com, и «раздувал» exe-файлы при каждом запуске на 1808-1823 байтов, пока они не увеличивались до необрабатываемого размера.

• После тридцати минут работы заражённого компьютера происходило значительное замедление работы системы в целом посредством кода, который входит в цикл обработки каждый раз, когда активируется таймер процессора. А ещё на экране возникал характерный чёрный прямоугольник, «заслонявший» досовский текст.

• Свой главный удар Jerusalem нанёс в пятницу 13-го мая 1988 года, поразив около шести тысяч компьютеров по всему миру, удалив множество файлов и став одним из первых знаменитых компьютерных вирусов.

• В целом «Иерусалим» эксплуатировал прерывания и другие низкоуровневые функции операционной системы MS-DOS, которые перестали быть актуальными после всё более массового перехода на Windows. Jerusalem и его варианты от подражателей исчезли к середине 1990-х годов. Автор вируса так и остался неизвестным.

S.E. infosec.work VT Открыть/Комментировать

2024-03-29 15:41:43 Подборка бесплатных курсов для ИБ специалиста.

• На хабре опубликовали подборку бесплатных курсов, которые освещают тему информационной безопасности, OSINT, этичного хакинга, сетей и других важных тем. Отмечу, что список не претендует на полноту и многими курсами я уже делился в данном канале, где всегда стараюсь публиковать для Вас только актуальный материал. Список курсов следующий:

- Курс по Python для OSINT специалистов;
- Cybersecurity for Beginners – a curriculum;
- Профессиональная сертификация "Google Cybersecurity";
- Hypervisor 101 in Rust;
- Кибербезопасность Stepik;
- Компьютерные сети, учебный курс;
- Администрирование информационных систем;
- Cyber Ops Associate;
- Go Hacking;
- Курс хакинга – Hacking;
- Introduction to Cyber Security;
- Введение в теорию защиты информации;
- Защита информации от МФТИ;
- Полный курс по этичному хакингу;
- Этичный хакинг Wi-Fi;
- OpenSecurityTraining2.

Источник и описание каждого из курсов: https://habr.com/ru/post/802449/

S.E. infosec.work VT Открыть/Комментировать

2024-03-29 11:31:19 Ищешь виртуальный сервер с лучшей DDoS защитой — выбирай Aéзa!

– Виртуальные сервера до 6.0 ГГц на флагманских процессорах;
- Множество услуг, включая аренду готового прокси в личном кабинете;
– Профессиональная DDoS защита;
– Бесплатная Anycast DDoS защита для сайтов;
– Низкие цены от 4,94 евро за Ryzen 7950x3D;
– Круглосуточная премиум поддержка;
- Анонимный ВПН от 1.9 евро
– 15% кешбэка по ссылке

На этом приятности не заканчиваются!

Бесплатные сервера!
Возьми сервер от Aéзa на 1 час или воспользуйся
сервисом бесплатной аренды от Aéзa - Терминатор.

Без регистрации, СМС и платежей
aeza.net

И гифкикод на 10 евро, число использований ограничено: seadmin

ООО «АЕЗА ГРУПП» ИНН: 7813654490 erid: LjN8KJZL6 Открыть/Комментировать

2024-03-28 11:41:33 Первый в истории кейлоггер.

• Один из первых в мире кейлоггеров появился в годы холодной войны, советские разведчики шпионили за американскими дипломатами с помощью жучка, спрятанного в печатных машинках IBM Selectric. Устройства находились внутри 16 пишущих машинок, используемых с 1976 по 1984 в посольстве США в Москве и Ленинграде.

• Принцип работы жучка заключался в движении пишущей головки: для набора текста ей нужно было поворачиваться в определенном направлении, уникальном для каждого символа на клавиатуре. Механизм улавливал энергию магнитного поля от движения каретки и преобразовывал ее в цифровой сигнал. Каждый полученный сигнал хранился на жучке в виде четырехбитного символа. Устройство сохраняла до восьми таких символов, после чего передавало их советским шпионам (передача осуществлялась по радиочастотам на расположенную поблизости станцию прослушки).

• Обнаружить жучок было нетривиальной задачей даже для американских спецслужб. Его можно было увидеть при просвете рентгеновским излучением, однако он не обладал выдающимся радиофоном, так как зачастую вещал на частотах, используемых американским ТВ. Кроме того, отследить некоторые продвинутые версии жучка по радиосигналу можно было только в том случае, если была включена сама машинка, активирован кейлоггер, а анализатор шпионских устройств настроен на правильную частоту. Обученный советский техник мог установить такой жучок в IBM Selectric за полчаса.

• По данным Ars Technica, жучки не могли обнаружить в течение восьми лет, а американцам стало известно о них только благодаря сообщению от одного из союзников США, спецслужбы которого обнаружили такую же слежку за одним из своих посольств.

• 12 октября 2015 года эту историю рассказал член совета директоров Международной ассоциации криптологических исследований Брюс Шнайер.

https://arstechnica.com/

S.E. infosec.work VT Открыть/Комментировать

2024-03-27 15:32:46 Metasploit 6.4.

• В 2003 году, хакеру, известному как «HD Moore», пришла идея разработать инструмент для быстрого написания эксплойтов. Так был рожден хорошо известный во всех кругах проект #Metasploit.

• Первая версия фреймфорка была написана на языке Perl. К 2007 году разработчики консолидировались, основав компанию Metasploit LLC; в это же время проект полностью переписали на Ruby и, частично на Си, #Python и Ассемблер.

• В октябре 2009 года, проект Metasploit был приобретен компанией Rapid7 с условием, что HD Moore останется техническим директором фреймворка, на что согласилась компания Rapid7.

• Сегодня Metasploit является одной из популярнейших программ, имеющих самую большую базу эксплойтов, шеллкодов и кучу разнообразной документации. А 25 марта была опубликована новая версия инструмента (6.4), которая включает в себя определенные изменения, описанные тут: https://www.rapid7.com/blog/post/2024/03/25/metasploit-framework-6-4-released/

• Если Вам интересно ознакомиться с историей создания этого легендарного инструмента, то в журнале ][акер есть отличная статья на этот счет: https://xakep.ru/2011/09/20/56878/

Ссылка на репозиторий: https://github.com/rapid7/metasploit-framework

• P.S. В нашем канале есть ссылки на руководство по Metasploit и бесплатный курс на английском языке.

S.E. infosec.work VT Открыть/Комментировать

2024-03-27 11:31:49 TeamCity оказался под угрозой кибератаки

В продукте, популярном среди Java-разработчиков, обнаружены критические уязвимости, с помощью которых злоумышленник может получить права администрации на сервере. Это не первый случай подобных уязвимостей, и ранее это приводило к масштабным хакерским атакам.

О решении проблемы рассказывают эксперты в канале «Порвали два трояна», где они ежедневно делятся актуальными кейсами и новостями в сфере кибербеза. Мастхэв для всех, кто интересуется темой ИБ и социнженерии.

Реклама: АО "Лаборатория Касперского" ИНН 7713140469
erid: LjN8KChva Открыть/Комментировать