Antichrist Blog | 反キリスト∸ブログ

🧠 Социальная Инженерия в Telegram. • Будьте внимательны, особенно если используете @wallet и храните там крипту. За последние несколько дней участились случаи, когда скамеры притворяются службой поддержки кошелька и просят жертву пройти верификацию под предлогом того, что доступ к wallet будет ограничен, а средства будут заблокированы. • После того, как жертва переходит по ссылке, ей приходит одноразовый код авторизации. Он может приходить как от служебного аккаунта Телеграм, так и на почту. Передав этот код злоумышленникам, пользователь вскоре замечает, что его сеансы завершены. А при попытке войти обратно в свой аккаунт пользователь получает сообщение о том, что его номер телефона заблокирован, или привязан к другому аккаунту. ‼ Помните: если в новом личном чате наверху отображается кнопка "ЗАБЛОКИРОВАТЬ", значит, вам написали мошенники: в диалогах с сервисными аккаунтами Телеграма такой кнопки не будет. • Вот несколько полезных ссылок, которые помогут обезопасить свой аккаунт: ➡Что делать если взломали аккаунт Telegram? ➡Что делать если номер телефона заблокирован? ➡Как войти в аккаунт Телеграм, если нет доступа к SIM-карте? ➡Источник и полезный канал, который освещает все новости и обновления Telegram. S.E. ▪️ infosec.work ▪️ VT

☝ Fingerprint и Мультиаккаунтинг. • Данный материал написан в соавторстве с @mycroftintel • Я бы сказал, что есть две причины, почему отлетают боты в социальных сетях. Первая - это паттерны поведения. Если движения мышью, скроллинг страницы и чтение материалов не похоже на среднестатистического юзверя - аккаунт морозится до выяснения. Вторая - это фингерпринт. Это системное время, которое отличается от общепринятого в регионе, наличие языков, на которых тут не говорят, а также более хитрые штуки, типа анализа кукиз и многое другое. • Собственно, поэтому водить собственных ботов - это большая морока. Плюс ко всему есть куча неудобств - чтобы устроить, например, срачик в комментариях с участием пяти наших ботов, придётся постоянно между ними переключаться, а может и перелогиниваться. Такая активность может спалить вам всю малину. • Есть ли решение? Конечно! Без него я бы к вам не пришёл. Это Octo Browser. Это чудовище не только решает вопрос с фингерпринтом, он может управлять им! Тут вам никаких косяков со временем и кривыми проксями. И причём в одном окне! Настраивается более 50 параметров отпечатка браузера. Это вам не в валенки с печки прыгать! • Ну и, собственно, зачем его вообще берут. Это мультиаккаунтинг. Завёл кучу аккаунтов в соцсетях, прописал им фингерпринт и переключайся одним кликом! Никаких релогинов, капчей и банов. Удобно, че. • Так что если вы занимаетесь парсингом данных, арбитражем траффика или же охотитесь на бонусы букмекеров - это решение для вас. А есть ли минусы? Да, есть. Штука не бесплатная. А в остальном полный улёт. Не благодарите. Дядюшка Майкрофт всегда готов помочь: @mycroftintel S.E. ▪️ infosec.work ▪️ VT

🧰 Арсенал пентестера: USB Army Knife. • Почти год усердной работы потребовалось автору данного проекта, чтобы реализовать компактный и универсальный инструмент для различных атак типа BadUSB. Устройство называется USB Army Knife, а исходный код является открытым и написан на JavaScript и C++. • Проект представляет собой ПО, которое обладает универсальными возможностями, включая эмуляцию запоминающих устройств, имитацию сетевых устройств, эксплойты для WiFi/Bluetooth, мониторинг рабочего стола цели, функционал отключения всех пользователей от точки Wi-Fi и еще кучу разных плюшек, которые описаны вот тут: https://github.com/i-am-shodan/USBArmyKnife • Стоит отметить, что на базе USB Army Knife можно развернуть свой собственный комплект инструментов! Ну, а само устройство реализовано на плате ESP32-S3 в форме USB-флешки LilyGo T-Dongle S3 (на Ali продается всего за 14 евро) в версии с цветным ЖК-экраном, физической кнопкой, адаптером для карт micro SD, а также адаптером SPI. • Дополнительный материал: ➡Практические атаки на интерфейс USB. ➡Социальная инженерия и BadUSB. ➡Используем BadUSB по-взрослому, вместе с Kali NetHunter. ➡O•MG keylogger cable. ➡USB Ninja Professional. ➡HID-атаки. Выбираем бюджетную плату. ➡HID-Атаки. Программируем хакерский девайс. ➡Социальная Инженерия. BadUSB и атаки на организации. S.E. ▪️ infosec.work ▪️ VT

💬 true story... Pompompurin Hacker. • BreachForums считался крупнейшим хакерским форумом, посвященным утечкам данных, и именно этот форум использовался взломщиками и вымогателями для «слива» информации. Конор Брайан Фитцпатрик (Pompompurin) был владельцем и основателем этого ресурса. • Весной 2023 года форум закрыли правоохранители, а 20-летний Pompompurin был арестован. Впоследствии власти сообщали, что им удалось получить доступ к БД ресурса, а в июне были изъяты домены BreachForums и личного сайта Фитцпатрика. • Мы перевели небольшую статью, которая содержит в себе историю возникновения BreachForums и описание различных методов OSINT, которыми пользовались правоохранители для поиска администратора и не только... ➡ Читать статью. ➡ Читать источник [eng]. S.E. ▪️ infosec.work ▪️ VT

👁 Nmap + Grafana. • Grafana является отличной системой визуализации, которая позволяет «из коробки» работать с широким спектром источников данных (data source) – Elasticsearch, Loki, MS SQL, MySQL, PostgreSQL, Prometheus и т.д. А еще Grafana интегрируется с Zabbix и свободно распространяется по лицензии GNU AGPL v3 (бесплатно). • В этой статье описан процесс создания панели управления Nmap с помощью Grafana и Docker, чтобы получить полноценный обзор сети и открытых служб: ➡ https://hackertarget.com/nmap-dashboard-with-grafana/ • Дополнительно: - Прокачай свой NMAP! Работаем со скриптами. - Nmap для хакера. Полезный материал. - Полезный Cheat Sheat. - #nmap. S.E. ▪️ infosec.work ▪️ VT

📦 Подборка ВМ для OSINT. • Данный материал написан в соавторстве с @mycroftintel • Хотите ли вы, только вкатившись в #OSINT, почувствовать себя настоящим профи? Или, может быть, вы - профессионал, который находится в поиске новых инструментов? А, быть может и так, что вы - энтузиаст безопасности и ищете новые способы прикрыть свой тохес? Семь бед один ответ - хочу представить вам подборку преднастроенных виртуальных машин, созданных специально для OSINT. Тут вам и инструменты, и безопасность за счёт разделения среды. ➡OSINT VM от Trace Labs. Джентельменский набор инструментов для каждого уважающего себя специалиста. Тут вам и классика типа Maltego и Spiderfoot, но и известные консольные тулзы theHarvester, Sublist3r и другие. Даже Obsidian для ресерча установили! Важно! Тулзы не идут в комплекте с дистрибутивом и устанавливаются отдельно скриптом. ➡SherlockLinux. Этот дистрибутив не только для работы, но и для жизни. Помимо набора инструментов, в которым есть все, что нужно, и нет ничего лишнего. У него из коробки установлены кодеки, крутые расширения для браузера и куча полезных закладок. В общем, рекомендую попробовать. ➡CSI Linux. Ну это живая классика. Помните, как в первой Матрице Нео и Тринити попадают в бесконечный склад оружия перед высвобождением Морфеуса из цепких лап агента Смита? Вот в CSI Linux те-же ощущения. Там инструментов хренова гора. На любой вкус. Поэтому и весит дистро десятки гигов. Несмотря на избыточность, там - как в Греции, есть все. ➡Tsurugi Linux. Ещё одна классика подъехала. Если в CSI инструментов много, то в Tsurugi их просто тонна. Такое чувство, что туда напихали вообще все хоть чуть мало-мальски полезное. Тут уже надо самостоятельно отделять зерна от плевел. Но скажу так, я там находил то, чего нет в других дистро и то, что вообще не знал, что такое бывает. Операционка чудес. Один раз в неё залез и там в ней и исчез. Не сказал бы, что это система на каждый день, но как хранилище полезных инструментов и новых идей - самое оно. • Пользуйтесь на здоровье! Всем доброй охоты! Дополнительную информацию можно найти в группе @mycroftintel S.E. ▪️ infosec.work ▪️ VT

🔎 Инструменты для автоматизации работы с дорками. • Дорки — как же много мы говорили на эту тему в этом канале, а ведь эта техника является неотъемлемой частью процесса сбора конфиденциальной информации и процесса ее анализа! Дорки по праву можно считать одним из самых корневых и главных инструментов #OSINT. • Но не стоит забывать, что существуют альтернативные методы и инструменты автоматизации, которые дают еще больше возможностей и удобств для поиска информации. Список таких инструментов и их описание Вы найдете по ссылкам ниже: - Fast Google Dorks Scan; - PyDork; - 0xDork; - SDorker; - ASHOK (osint swiss knife); - Padago (Automate Google Hacking Database scraping and searching); - Katana (Python tool that automates Google Hacking/Dorking and supports Tor); - GO Dork (fast google search result scanner); - Snitch; - Dorks Eye; - SQLI Dorks generator; - DSH - Discord Server Hunter; - Dork hunter. S.E. ▪️ infosec.work ▪️ VT

😈 Фишинг. Методы и практики. • Человеческий фактор всегда будет лазейкой для хакеров в системе безопасности даже самой крупной компании. Если предположить, что незначительный процент сотрудников запустит вредоносное ПО в сети организации (особенно это касается привилегированных сотрудников), то это будет означать компрометацию всей компании. • Как правило, успеху фишинг-атак способствует низкий уровень осведомленности пользователей о правилах работы с почтой в компании. Основной защитой от массового фишинга остаются спам-фильтры, но это не спасает от spear phishing (таргетированного фишинга) и других актуальных методов, которые перечислены и описаны в этой статье: - Человеческий фактор; - Отсутствие SPF; - Использование Emkei.cz для отправки поддельных писем; - Обход SPF; - Несоответствие Return-Path; - Дипфейки или Вишинг; - Двухфакторная аутентификация (2FA); - Тайпосквоттинг; - Перехват DNS; - Технология Fast Flux; - Символ RTLO и многое другое... ➡ Читать статью [10 min]. • Дополнительно: - Примеры писем и разбор атак; - Социальная инженерия в 2024; - Обход двухфакторной аутентификации с помощью фишинга и OTP-ботов; - Использование досок объявлений в фишинге; - Парковка за 16 000 долларов. S.E. ▪️ infosec.work ▪️ VT

🪙 Monero не анонимен: как отслеживают XMR? • Monero — ведущая криптовалюта, ориентированная на конфиденциальность. Основана на протоколе CryptoNote 2.0 от 2013 года. Он исправляет недостатки биткоина, в том числе явную связность входа и выхода транзакции (отсутствие анонимности). В Monero к настоящим входам добавляются «миксины», что не даёт возможность определить, кто именно передаёт конкретную монету. • Но в 2018 году выяснилось, что в Monero тоже всё легко отслеживается. А ведь транзакции навсегда сохранены в блокчейне — и по ним можно деанонимизировать конкретных людей даже спустя много лет. В этой статье поговорим о том, как отслеживают Monero и какие методы применяют владельцы для усложнения деанонимизации. ➡ Читать статью [7 min]. • Дополнительно: Безопасность при покупке криптовалюты. S.E. ▪️ infosec.work ▪️ VT

🔎 Поиск поддоменов. • Данный материал написан в соавторстве с @mycroftintel • Поговорим немного про фишинг, мошенничество и социальную инженерию. Сейчас я заметил, что идёт большая волна мошенничеств с крупными ритейлерами, особенно теми, кто торгует электроникой. Скамеры копируют сайт с бытовой техникой до деталей и рассылают спам-письма с приглашением купить электронику по сниженным ценам. • Скажете, схема далеко не новая, но есть несколько важных деталей. Главное, сайты вешаются не на сами домены, а на поддомены. Смысл в том, что у крупняка есть подразделения brand protection и если вешать свой скам на домен, похожий на название целевого сайта, то его будет легко найти. А по поддоменам нормального массового поиска не существует. Я искал. • Остается только проверять сайты точечно. Для этого подойдёт инструмент subdomain finder от osint.sh, или же поиск поддоменов от Pentest Tools. Есть и другие варианты, но эти - одни из самых, популярных. • Есть ещё вариант. Называется Typesquatting Finder. Он сделает брутфорс всех вариаций вашего сайта и пропингует более 5 тысяч различных вариантов. И там да, есть поиск поддоменов. Работает не фонтан, но работает. Лучше, чем ничего. Так что пользуйтесь на здоровье! Всем безопасности! • Дополнительную информацию можно найти в группе @mycroftintel S.E. ▪️ infosec.work ▪️ VT

👩‍💻 О`б’фу’ска””ция PowerShell. • В базах антивирусов содержатся миллионы сигнатур, однако трояны по-прежнему остаются в хакерском арсенале. Даже публичные и всем известные варианты полезных нагрузок Metasploit, разновидностей RAT и стиллеров могут остаться незамеченными. Как? Благодаря обфускации! Даже скрипт на PowerShell можно спрятать от любопытных глаз антивируса. • Этот репозиторий содержит тонну полезных техник, примеров и теории на тему ручной обфускации скриптов PowerShell. Ну и что самое главное, содержимое этого репо является результатом проб и ошибок автора, который имеет огромный опыт в проведении тестов на проникновение. ➡ https://github.com/t3l3machus/PowerShell-Obfuscation-Bible • Дополнительно! Powershell для пентестера - объемная статья, которая содержит примеры различных команд, трюков и полезностей: - Захват нажатий клавиш; - Извлечение профилей и паролей Wi-Fi; - Извлечение сохраненных паролей браузера; - Работа с сетью и выгрузка конфигураций; - Выгрузка системной информации; - Подробная выгрузка информации запущенных процессов; - Доступ к журналам событий; - Выполнение скриптов с указанного URL-адреса; - Мониторинг изменений файловой системы; - Отключение Защитника Windows; .... и еще под сотню полезных команд: https://redteamrecipe.com/ S.E. ▪️ infosec.work ▪️ VT

💸 Мошенничество с QR-кодами на парковочных автоматах. • В декабре прошлого года рассказывал Вам историю, когда женщина решила оплатить парковку через QR-код и тем самым лишилась 16 тыс. баксов... Так вот, метод является весьма актуальным, а в некоторых странах активно начали информировать граждан, что существует такой вид мошенничества. • По оценкам исследователей Netcraft, в Великобритании за последние несколько месяцев было зафиксировано более 10 тыс. случаев, когда люди пострадали от этой схемы. Злоумышленники размещали поддельные QR-коды в центре Лондона, затем схема распространилась дальше, в такие города, как Блэкпул, Брайтон, Портсмут и Абердин. Более того, в последние недели сообщения о поддельных QR начали фиксироваться в США и Канаде. • Схема выглядит следующим образом: пользователь сканирует код, вводит на сайте данные своего автомобиля и карты и подтверждает оплату, после чего средства отправляются мошенникам. Исследователи отмечают, что большинство фишинговых ресурсов используют домен «.info», «.click», «.live» и другие. Поддельные сайты также используют защиту Cloudflare для маскировки своих действий. • К слову, в странах СНГ была похожая схема, когда QR-код размещали на самокатах. Поэтому всегда старайтесь проверять любую информацию, особенно когда дело касается ваших кровно заработанных. ➡ Новость: https://www.netcraft.com/blog/irl-quishing-scams-target-travelers/ S.E. ▪️ infosec.work ▪️ VT

📰 The Privacy, Security, & OSINT Magazine. • Хорошие новости: в блоге Майкла Баззеля появился новый выпуск журнала "UNREDACTED Magazine", который содержит в себе очень много актуального материала для OSINT и ИБ специалистов. • Для тех кто не знаком с автором, Майкл является знаковой фигурой в сфере #OSINT, работал в правительстве США и ФБР, его приглашали в качестве технического эксперта в сериал «Мистер Робот», который считают достойным с точки зрения достоверности. ➡ Скачать | Читать журнал: https://inteltechniques.com • Предыдущие выпуски: https://inteltechniques.com/magazine.html S.E. ▪️ infosec.work ▪️ VT

📬 Поиск информации по электронной почте и user_name. • Данный материал написан в соавторстве с @mycroftintel • В свое время, когда еще у Вконтакте была стена, видал я забавную страницу одной девушки. Звали ее Светлана Нискажу. Естественно, год рождения у нее указан не был. Зато был указан электронный почтовый ящик, что-то вроде ivanova1993@mail.ru. Мораль сей басни такова, что название вашей почты и уникальный никнейм – это прекрасная связка, чтобы найти ваши следы в других точках Интернета. • Собственно, начать нужно с самого простого инструмента: поиск по никнеймам. Для этого подойдет Snoop или Namechk. Просто указываете юзернейм и поиск пройдет по целому ряду источников. Одно мгновение и вы получите результаты поиска по добрым нескольким десяткам сайтов. Очень удобно, ничего не сказать. • Второй шаг – перепроверка результатов на osint.rocks. Собственно, тут есть веб-версия известной системы проверки Sherlock. Она вам проверит то, что не проверит предыдущий сервис. Там-же есть веб-морда для еще одного полезного инструмента Holehe. Если вы не хотите заморачиваться и ставить себе виртуалку, а результаты получить нужно – это ваш выбор. Собственно, Holehe ищет места, где засветилась проверяемая почта. Он проверяет 121 сайт на наличие там аккаунтов. • Ну и на закуску. Проверьте почту в haveibeenpwned. Узнаете много нового про человека. И это работает. Многие из нас заказывали еду домой, регистрировались в приложениях и на сайтах. И это все утекло в открытый доступ. Так что, чтобы понять, что у человека под шапкой, просто проверьте, откуда на него утекла информация. И этого уже будет достаточно, чтобы делать первые выводы. • Всем безопасности! Дополнительную информацию можно найти в группе @mycroftintel S.E. ▪️ infosec.work ▪️ VT

👩‍💻 Собираем артефакты в Linux. • Первая задача в цифровой криминалистике — это сбор информации. В данной шпаргалке описан последовательный процесс поиска и сбора артефактов на заведомо взломанной тачке с ОС Linux! Содержание следующее: • Validate compromised: - Interviewing client/user/administrator. • Live response and triage script: - Linux-CatScale; - UAC; - Fennec; - Other tools in the list. • Live response commands: - General information; - Logon activities; - Review processes; - Recover deleted process’s binary; - Review network; - Review activities; - Hunting unusual files; - Installed programs; - File investigation; - Persistent mechanisms; - Unusual system resources. • Compromised assestment scanning: - THOR Lite. • Hunting rootkit: - To hunt via 3rd party software; - Hunting and check files, processes; - Investigate loaded kernel modules. • Collect evidences: - Disk imaging using dd. • Memory acquisition: - AVML; - LIME. • Investigation and analysis: - Live response and triage script analysis; - Memory analysis with Volatility. • Disk analysis: - Directories and Files Analysis; - Log analysis; - Privilege escalation hunting ideas; - File recovery; - Generate Timeline analysis. • В качестве дополнительной информации: много полезных ссылок и ресурсов для изучения Linux. S.E. ▪️ infosec.work ▪️ VT

👤 Приватность и анонимность. • На просторах Хабра есть очень интересное чтиво, где авторы освещают тему приватности в реальном мире и анонимности в сети. Два лонгрида - рассуждения, которые обязательно Вам понравятся: 1⃣ Приватность: рождение и смерть - рассказано о том, как приватность постепенно появлялась в этом мире еще 3000 лет назад и о том, что мы сейчас подразумеваем под приватностью. К слову, в комментариях к этой статье есть очень много рассуждений, на которые стоит обратить внимание. 2⃣ Анонимность. При каких условиях возможен реванш? - в этой статье нет информации о том, каким образом Вы можете оставаться анонимными (с технической точки зрения), но есть рассуждения автора, при каких условиях такая возможность станет реальной! Рекомендую к прочтению. S.E. ▪️ infosec.work ▪️ VT

🔓 Облачный Ransomware: методы Scattered Spider, нацеленные на страховой и финансовый секторы. • Исследователи EclecticIQ выкатили очень интересный ресерч, где описали методы и тактики рансомварщиков Scattered Spider с фокусом на облачную инфраструктуру страховых и финансовых секторов. • В исследовании сказано, что Scattered Spider часто использует методы социальной инженерии с помощью устройств телефонии — вишинг и смишинг для обмана и манипуляций своих жертв, нацеливаясь на специалистов ИТ-поддержки и администраторов, которые имеют повышенные привилегии. Хакеры часто выдают себя за действующих сотрудников, чтобы завоевать доверие и получить доступ, а затем манипулировать настройками MFA и направлять жертв на фишинговые ресурсы. А еще Scattered Spider, вероятно, покупают украденные данные учеток, умеют в SIM-swap и используют инструменты для работы с облачными решениями, чтобы поддерживать постоянный доступ. • EclecticIQ подробно описали "жизненный цикл" и методы атак Ransomware в облачной среде, которые используются атакующими для взлома и закрепления. Стоит отметить, что доступность облачных решений открывают не только выгоду для бизнеса, но и новые возможности для финансово мотивированных киберпреступников, что и делает доступы к таким облачным решениям желаемой целью. ➡ https://blog.eclecticiq.com/ransomware-in-the-cloud S.E. ▪️ infosec.work ▪️ VT

⌛ Путешествие во времени: назад в прошлое. • Данный материал написан в соавторстве с @mycroftintel • Сегодня будем чуть расширять кругозор. Ведь кругозор - это одно из самых главных оружий специалиста по OSINT. Это особенно важно, потому что нужную информацию найти куда проще, если знаешь, где искать. • Вот, например, карты. В них есть пространственное измерение: у кого длиннее телескоп на спутнике, у того и лучше детализация снимков. Есть временное измерение, когда можно карту чуть отмотать взад и посмотреть, как территория выглядела на снимке сутки назад. Плюс на карту можно наложить кучу фильтров, с помощью которых можно увидеть что угодно: от тепловых точек до работы РЭБ. • Но это попса. Многие знают про эти инструменты. Не многие пользуются, но многие знают. А вот мало кто знает, что карту можно отмотать не только на день-неделю-месяц назад, но и на пару сотен лет. • Как, спросите вы? Да очень просто. С помощью сервисов Это место и Ретро карты. В целом, работают они по схоже у принципу, только набор архивных карт разный. С одной стороны у вас свежая карта прямо со спутника, с другой - архивный документ многолетний давности. И вот, сиди и сравнивай. Много чего любопытного можно найти. Тут вам и царские карты допетровских времен, и карты времен Великой Отечественной и много чего другого. Пользуйтесь, коллеги! • Дополнительную информацию можно найти в группе @mycroftintel S.E. ▪️ infosec.work ▪️ VT

😟 Стеганография. Методы и инструменты для сокрытия данных. • Шифрование помогает сохранять данные в секрете, но одновременно привлекает лишнее внимание. Если файл так просто не открыть, значит, в нем наверняка есть что-то ценное. Поэтому бывает важно скрыть само наличие секретной информации. Проще всего это сделать, растворив конфиденциальные данные внутри какого-нибудь безобидного файла. Решается такая задача с помощью стеганографических утилит и методов, которые представлены в данной статье: - QR codes; - Image Transformations; - Files Strings; - WAV/* Steg and Bruteforce; - File in File; - Braille; - TTF; - Brainfuck; - Morse Code; - LSB HALF; - Digital Watermarking; - Cryptography; - Splited Files; - Key and Cipher alongside; - Unicode; - spectogram; - Sound pattern of thing like dial Number. • Дополнительно: заражение с помощью стеганографии - очень объемный отчет, в котором описан уникальный метод сокрытия вредоносов использующийся одной из хакерских группировок. S.E. ▪️ infosec.work ▪️ VT

🔎 GEOINT. Бой с тенью. • Давно мы не говорили на тему GEOINT, хотя эта тема всегда является крайне интересной и увлекательной. Всегда приятно поучаствовать в каком-нибудь квесте или решить задачку с целью определить местоположение цели. Но давайте ближе к делу: нашел очень крутую статью, где описаны примеры использования "нового" инструмента от Bellingcat. Тулза позволяет с легкостью определить местоположение объекта по тени. А знаете еще что самое крутое? Эту тулзу протестил RAINBOLT (лучший в игре GeoGuessr) и даже запилил целый ролик с описанием и примерами использования! ➡ Читать статью [VPN]. S.E. ▪️ infosec.work ▪️ VT