|ATM rootkit Caketap(UNC2891)|
🏧Месяц назад(18.03.2022) исследователи из Mandiant опубликовали работу про руткит для ATM, являющийся модулем ядра Unix(Linux). Он используется для перехвата банковской карты и данных PIN с атакуемого свитча серверов и , конечно, для совершения несанкционированных транзакций. Его окрестили Caketap. Разработала его - киберкрайм группировка UNC1945(aka LightBasin), которая предположительно китайская, можете подробнее о ней почитать тут и тут. Атака(одна из), в ходе которой был обнаружен руткит проведена на сервере Oracle Solaris. После инициализации малварь удаляет себя из loaded modules list и обновляет last_module_id предыдущим модулем для сокрытия следов. В ходе форензик экспертизы свич сервера ATM была обнаружена модифицированная версия Caketap с доп фичами для перехвата конкретных(специфичных) сообщений имеющих отношение к верификации карты и pin,
Более подробно можно почитать в статье Mandiant.
🏧A month ago(03/18/2022) researchers from Mandiant published a paper about a rootkit for ATM, which is a Unix kernel module (Linux). It is used to intercept bank card and PIN data from the attacked switch servers and, of course, to make unauthorized transactions. He was dubbed Caketap. It was developed by the cybercrime group UNC1945(aka LightBasin), which is presumably Chinese, you can read more about it here and then . The attack (one of the) during which the rootkit was discovered was carried out on the Oracle Solaris server. After initialization, the malware removes itself from the loaded modules list and updates the last_module_id with the previous module to hide traces. During the forensic examination of the ATM switch server, a modified version of Caketap was discovered with additional features for intercepting specific (specific) messages related to card and pin verification,
You can read more in the Mandiant article.
#rootkit #ATM #nix
🏧Месяц назад(18.03.2022) исследователи из Mandiant опубликовали работу про руткит для ATM, являющийся модулем ядра Unix(Linux). Он используется для перехвата банковской карты и данных PIN с атакуемого свитча серверов и , конечно, для совершения несанкционированных транзакций. Его окрестили Caketap. Разработала его - киберкрайм группировка UNC1945(aka LightBasin), которая предположительно китайская, можете подробнее о ней почитать тут и тут. Атака(одна из), в ходе которой был обнаружен руткит проведена на сервере Oracle Solaris. После инициализации малварь удаляет себя из loaded modules list и обновляет last_module_id предыдущим модулем для сокрытия следов. В ходе форензик экспертизы свич сервера ATM была обнаружена модифицированная версия Caketap с доп фичами для перехвата конкретных(специфичных) сообщений имеющих отношение к верификации карты и pin,
Более подробно можно почитать в статье Mandiant.
🏧A month ago(03/18/2022) researchers from Mandiant published a paper about a rootkit for ATM, which is a Unix kernel module (Linux). It is used to intercept bank card and PIN data from the attacked switch servers and, of course, to make unauthorized transactions. He was dubbed Caketap. It was developed by the cybercrime group UNC1945(aka LightBasin), which is presumably Chinese, you can read more about it here and then . The attack (one of the) during which the rootkit was discovered was carried out on the Oracle Solaris server. After initialization, the malware removes itself from the loaded modules list and updates the last_module_id with the previous module to hide traces. During the forensic examination of the ATM switch server, a modified version of Caketap was discovered with additional features for intercepting specific (specific) messages related to card and pin verification,
You can read more in the Mandiant article.
#rootkit #ATM #nix
Google Cloud Blog
Have Your Cake and Eat it Too? An Overview of UNC2891 | Mandiant | Google Cloud Blog
👍5
|SS7: Locate. Track. Manipulate|
☎️Продолжаю тему атак на SS7(ОКС №7). Это выступление Tobias Engel на тему слежения за мобильниками и удалённый доступ к ним. Он рассказывает про атаки с использованием SMSC, HLR, MSC/VLR, gsmSCF, BSC/RNC,LCS и MAP на примере немецкого оператора. Также рассматриваются интересные темы: про перехват звонков с помощью CAMEL(архив1, архив2), перехват SMS, определение месторасположения жертвы, а также про деанонимизацию TMSI .Что не мало важно рассказывается про дешифрование звонков, перехваченных с эфира(captured off the air).
Ниже прикладываю документ с слайдами выступления.
☎️I continue the topic and so on SS7 (ACS No. 7). This is a speech by Tobias Engel on the topic of mobile phone tracking and remote access to them. He talks about attacks using MSC, HLR, MSC/VLR, msc, BSC/RNC, BTS and MAP using the example of a German operator. Interesting topics are also considered: about interception of calls using CAMEL (archive1 , archive2 ), SMS interception, victim location determination, as well as TMSI deanonymization .What is not a little important is told about the decryption of calls intercepted from the air (captured off the air).
Below I attach a document with slides of the speech.
#mobileCommunication #gsm #ss7 #3g #LTE #deanonymization
☎️Продолжаю тему атак на SS7(ОКС №7). Это выступление Tobias Engel на тему слежения за мобильниками и удалённый доступ к ним. Он рассказывает про атаки с использованием SMSC, HLR, MSC/VLR, gsmSCF, BSC/RNC,LCS и MAP на примере немецкого оператора. Также рассматриваются интересные темы: про перехват звонков с помощью CAMEL(архив1, архив2), перехват SMS, определение месторасположения жертвы, а также про деанонимизацию TMSI .Что не мало важно рассказывается про дешифрование звонков, перехваченных с эфира(captured off the air).
Ниже прикладываю документ с слайдами выступления.
☎️I continue the topic and so on SS7 (ACS No. 7). This is a speech by Tobias Engel on the topic of mobile phone tracking and remote access to them. He talks about attacks using MSC, HLR, MSC/VLR, msc, BSC/RNC, BTS and MAP using the example of a German operator. Interesting topics are also considered: about interception of calls using CAMEL (archive1 , archive2 ), SMS interception, victim location determination, as well as TMSI deanonymization .What is not a little important is told about the decryption of calls intercepted from the air (captured off the air).
Below I attach a document with slides of the speech.
#mobileCommunication #gsm #ss7 #3g #LTE #deanonymization
👍3❤1
|Exploit Development: Browser Exploitation on Windows|
🛡Только в образовательных целях!
Серия статей про разработку эксплоитов, в которой подробно разбирается:
💥процесс конфигурирования и создания среды, позволяющей нам проверить работоспособность эксплоита для браузера
💥каким образом в JS работают объекты и как они располагаются в памяти
💥разбор уязвимости CVE-2019-0567 и разработка на её основе сплоита
💥как работает ASLR, DEP и CFG.
💥исполнение кода(code execution)
💥портирование сплоита на ME
💥байпасс ACG, посредством не пропатченной уязвимости
💥выполнение кода в Edge
Важно: Edge рассматривается на основе Chakra(работает на движке V8 JS, в котором недавно было найдено несколько уязвимостей). Кстати узвимость завязана на Type Confusion(пример1, пример2).
>часть1
>часть2
>часть3
🛡For educational purposes only!
A series of articles about the development of exploits, which examines in detail:
💥the process of configuring and creating an environment that allows us to check the operability of the exploit for the browser
💥how objects work in JS and how they are located in memory
💥analysis of the vulnerability CVE-2019-0567 and development based on it
💥how ASLR, DEP and CFG work
💥code execution
💥porting the composite to the ME
💥bypass ACG, through an unpatched vulnerability
💥code execution in Edge
Important: Edge is considered based on Chakra (it runs on the V8 JS engine, in which several vulnerabilities have recently been found). By the way, the vulnerability is tied to Type Confusion (example1, example 2).
>part1
>part2
>part3
#exploitDev #cve #Edge
🛡Только в образовательных целях!
Серия статей про разработку эксплоитов, в которой подробно разбирается:
💥процесс конфигурирования и создания среды, позволяющей нам проверить работоспособность эксплоита для браузера
💥каким образом в JS работают объекты и как они располагаются в памяти
💥разбор уязвимости CVE-2019-0567 и разработка на её основе сплоита
💥как работает ASLR, DEP и CFG.
💥исполнение кода(code execution)
💥портирование сплоита на ME
💥байпасс ACG, посредством не пропатченной уязвимости
💥выполнение кода в Edge
Важно: Edge рассматривается на основе Chakra(работает на движке V8 JS, в котором недавно было найдено несколько уязвимостей). Кстати узвимость завязана на Type Confusion(пример1, пример2).
>часть1
>часть2
>часть3
🛡For educational purposes only!
A series of articles about the development of exploits, which examines in detail:
💥the process of configuring and creating an environment that allows us to check the operability of the exploit for the browser
💥how objects work in JS and how they are located in memory
💥analysis of the vulnerability CVE-2019-0567 and development based on it
💥how ASLR, DEP and CFG work
💥code execution
💥porting the composite to the ME
💥bypass ACG, through an unpatched vulnerability
💥code execution in Edge
Important: Edge is considered based on Chakra (it runs on the V8 JS engine, in which several vulnerabilities have recently been found). By the way, the vulnerability is tied to Type Confusion (example1, example 2).
>part1
>part2
>part3
#exploitDev #cve #Edge
Blogspot
One Perfect Bug: Exploiting Type Confusion in Flash
Posted by Natalie Silvanovich, Dazed and (Type) Confused For some attackers, it is important that an exploit be extremely reliable. Th...
👍1
|LTRACK: Stealthy Tracking of Mobile Phones in LTE|
📲Работа про установление месторасположения и IMSI - идентификатора в сети LTE. Это первая нормальная публикация про SDR(ресурсы про SDR есть в посте) и пассивную локализацию LTE, которую видел. Интересно то, что с помощью LTrack можно точно определять месторасположение жертвы(точность получается за счёт использования IMSI - улавливателя, IMSI Extractor). IMSI Extractor извлекает IMSI девайса и привязывает к текущему TMSI, а точность полученных данных: 6метров(в 90% случаев), что не может не радовать. Сам IMSI Extractor основан на собственном анализаторе восходящего/нисходящего сниффера(uplink/downlink), дополненным с помощью surgical message overshadowing.LTrack - название атаки, а сам по себе сниффер, основанный на srsLTE называется LTEPROBE .
Вообще, тема мобильных коммуникаций меня затянула очень сильно, поэтому в дальнейшем будут ещё материалы по этой теме, как разбор лично от меня некоторых моментов(включая практические руководства), так и работы по атакам и контрмерам для них.
📲The work is about establishing the location and IMSI identifier in the LTE network. This is the first normal publication about SDR(there are resources about SDR in the post) and passive LTE localization that I have seen. Interestingly, with the help of LTrack, you can accurately determine the location of the victim (accuracy is obtained by using an IMSI catcher, IMSI Extractor). IMSI Extractor extracts the device's IMSI and binds it to the current TMSI, and the accuracy of the data obtained is 6 meters (in 90% of cases), which is good news. IMSI Extractor itself is based on its own ascending/descending sniffer analyzer (uplink/downlink), supplemented with surgical message overshadowing.LTrack is the name of the attack, and the sniffer itself based on srsLTE is called LTEPROBE.
In general, the topic of mobile communications has tightened me very much, so in the future there will be more materials on this topic, both an analysis of some points from me personally (including practical guides), and work on attacks and countermeasures for them.
#shizo #mobileCommunication #LTE
📲Работа про установление месторасположения и IMSI - идентификатора в сети LTE. Это первая нормальная публикация про SDR(ресурсы про SDR есть в посте) и пассивную локализацию LTE, которую видел. Интересно то, что с помощью LTrack можно точно определять месторасположение жертвы(точность получается за счёт использования IMSI - улавливателя, IMSI Extractor). IMSI Extractor извлекает IMSI девайса и привязывает к текущему TMSI, а точность полученных данных: 6метров(в 90% случаев), что не может не радовать. Сам IMSI Extractor основан на собственном анализаторе восходящего/нисходящего сниффера(uplink/downlink), дополненным с помощью surgical message overshadowing.LTrack - название атаки, а сам по себе сниффер, основанный на srsLTE называется LTEPROBE .
Вообще, тема мобильных коммуникаций меня затянула очень сильно, поэтому в дальнейшем будут ещё материалы по этой теме, как разбор лично от меня некоторых моментов(включая практические руководства), так и работы по атакам и контрмерам для них.
📲The work is about establishing the location and IMSI identifier in the LTE network. This is the first normal publication about SDR(there are resources about SDR in the post) and passive LTE localization that I have seen. Interestingly, with the help of LTrack, you can accurately determine the location of the victim (accuracy is obtained by using an IMSI catcher, IMSI Extractor). IMSI Extractor extracts the device's IMSI and binds it to the current TMSI, and the accuracy of the data obtained is 6 meters (in 90% of cases), which is good news. IMSI Extractor itself is based on its own ascending/descending sniffer analyzer (uplink/downlink), supplemented with surgical message overshadowing.LTrack is the name of the attack, and the sniffer itself based on srsLTE is called LTEPROBE.
In general, the topic of mobile communications has tightened me very much, so in the future there will be more materials on this topic, both an analysis of some points from me personally (including practical guides), and work on attacks and countermeasures for them.
#shizo #mobileCommunication #LTE
|Bypassing Cortex XDR|
🛡Только в образовательных целях!
Новая статья от mr.d0x( предыдущие публиковал тут: тык1 тык2) про обход Cortex XDR.
В ней рассказывается про удаление пароля( по дефолту стоит Password1) и что делать в том случае, если пароль все-таки был изменён, а конкретно где он хранится в хешированном виде и как его получить в открытом виде путём бруфорса(самый простой способ с помощью hashcat).
способ с hashcat:
hashcat.exe -m 12100 xdr.txt rockyou.txt --show
Для большинства способов нужен админ или рут, хотя для дампа хэшей в винде не обязательно иметь права админа(нужен доступ к гуи-интерфейсу, открыть консоль агента XDR и нажать на "Generate Support File" для создания дампа папки сохранения).
Немного скриптов XDR
Ещё статья про обход АВ, XDR и EDR и репозиторий.
🔥Cкрипт для демонтажа полной защиты Windows Defender, а также байпасс защиты от несанкционированного доступа
🔥Байпасс защиты памяти EDR и введение в хукинг.
🛡For educational purposes only!
New article from mr.d0x ( previous published here: click1 click2) about bypassing Cortex XDR .
It tells you about deleting the password (by default it is Password1) and what to do if the password has been changed, and specifically where it is stored in hashed form and how to get it in clear form by force (the easiest way using hashcat).
the method with hashcat:
hashcat.exe -m 12100 xdr.txt rockyou.txt --show
For most methods, an admin or root is needed, although it is not necessary to have admin rights to dump hashes in Windows (you need access to the GUI interface, open the XDR agent console and click on "Generate Support File" to create a dump of the save folder).
A few XDR scripts
Another article about bypassing AV, XDR and EDR and repository .
🔥Dismantle complete windows defender protection and even bypass tamper protection
🔥Bypass EDR’s memory protection, introduction to hooking
#bypass #XDR #EDR #av
🛡Только в образовательных целях!
Новая статья от mr.d0x( предыдущие публиковал тут: тык1 тык2) про обход Cortex XDR.
В ней рассказывается про удаление пароля( по дефолту стоит Password1) и что делать в том случае, если пароль все-таки был изменён, а конкретно где он хранится в хешированном виде и как его получить в открытом виде путём бруфорса(самый простой способ с помощью hashcat).
hashcat.exe -m 12100 xdr.txt rockyou.txt --show
Немного скриптов XDR
Ещё статья про обход АВ, XDR и EDR и репозиторий.
🔥Cкрипт для демонтажа полной защиты Windows Defender, а также байпасс защиты от несанкционированного доступа
🔥Байпасс защиты памяти EDR и введение в хукинг.
🛡For educational purposes only!
New article from mr.d0x ( previous published here: click1 click2) about bypassing Cortex XDR .
It tells you about deleting the password (by default it is Password1) and what to do if the password has been changed, and specifically where it is stored in hashed form and how to get it in clear form by force (the easiest way using hashcat).
hashcat.exe -m 12100 xdr.txt rockyou.txt --show
A few XDR scripts
Another article about bypassing AV, XDR and EDR and repository .
🔥Dismantle complete windows defender protection and even bypass tamper protection
🔥Bypass EDR’s memory protection, introduction to hooking
#bypass #XDR #EDR #av
👍2❤1🥰1
|Exploit telegram's "send with timer"|
🛡Только в образовательных целях
PoC эксплуатации функции "отправить по таймеру", позволяющий сохранять любые данные которые приходят с помощью этой функции.
На данный момент работает(20 апреля 2022 года).
На самом деле мелочь, кому-то может пригодиться.
Автор предлагает использовать секретные чаты, но мы то знаем, что телеграм скорее удобный, нежели приватный/безопасный/анонимный.
И, конечно, в условии предоставления услуг(Terms of Service) апишки телеги, этот скрипт предназначен только для PoC и бубубу, но ведь мало кто их читает, да кто хочет, того не остановит.
Собственно вот этот пункт:
1.4. Запрещается вмешиваться в основную функциональность Telegram. Это включает, но не ограничивается: совершение действий от имени пользователя без ведома и согласия пользователя, предотвращение исчезновения самоуничтожающегося контента, предотвращение корректного отображения статусов "последний просмотр" и "онлайн", изменение статусов "прочитано" сообщений (например, внедрение "режима призрака"), предотвращение отправки / отображения статусов ввода и т.д. Telegram API Terms of Service - Privacy & Security - 1.4
🛡For educational purposes only!
PoC operation of the "send by timer" function, which allows you to save any data that comes with this function.
Currently working (April 20, 2022).
In fact, a trifle, someone may come in handy.
The author suggests using secret chats, but we know that telegram is more convenient than private/secure/anonymous.
And, of course, in the Terms of Service of the telegram API, this script is intended only for PoC and bububu, but few people read them, and who wants to, will not stop.
Actually, this is the point:
1.4. It is forbidden to interfere with the basic functionality of Telegram. This includes but is not limited to: making actions on behalf of the user without the user's knowledge and consent, preventing self-destructing content from disappearing, preventing last seen and online statuses from being displayed correctly, tampering with the 'read' statuses of messages (e.g. implementing a 'ghost mode'), preventing typing statuses from being sent/displayed, etc. Telegram API Terms of Service - Privacy & Security - 1.4
#poc #telegram
🛡Только в образовательных целях
PoC эксплуатации функции "отправить по таймеру", позволяющий сохранять любые данные которые приходят с помощью этой функции.
На данный момент работает(20 апреля 2022 года).
На самом деле мелочь, кому-то может пригодиться.
Автор предлагает использовать секретные чаты, но мы то знаем, что телеграм скорее удобный, нежели приватный/безопасный/анонимный.
И, конечно, в условии предоставления услуг(Terms of Service) апишки телеги, этот скрипт предназначен только для PoC и бубубу, но ведь мало кто их читает, да кто хочет, того не остановит.
Собственно вот этот пункт:
PoC operation of the "send by timer" function, which allows you to save any data that comes with this function.
Currently working (April 20, 2022).
In fact, a trifle, someone may come in handy.
The author suggests using secret chats, but we know that telegram is more convenient than private/secure/anonymous.
And, of course, in the Terms of Service of the telegram API, this script is intended only for PoC and bububu, but few people read them, and who wants to, will not stop.
Actually, this is the point:
👍1
broke.py
1.4 KB
exploit telegram's "send with timer" feature by saving any media sent with this functionality.