|Bypassing Cortex XDR|

🛡Только в образовательных целях!
Новая статья от mr.d0x( предыдущие публиковал тут: тык1 тык2) про обход Cortex XDR.
В ней рассказывается про удаление пароля( по дефолту стоит Password1) и что делать в том случае, если пароль все-таки был изменён, а конкретно где он хранится в хешированном виде и как его получить в открытом виде путём бруфорса(самый простой способ с помощью hashcat).
способ с hashcat:
hashcat.exe -m 12100 xdr.txt rockyou.txt --show
Для большинства способов нужен админ или рут, хотя для дампа хэшей в винде не обязательно иметь права админа(нужен доступ к гуи-интерфейсу, открыть консоль агента XDR и нажать на "Generate Support File" для создания дампа папки сохранения).
Немного скриптов XDR
Ещё статья про обход АВ, XDR и EDR и репозиторий.
🔥Cкрипт для демонтажа полной защиты Windows Defender, а также байпасс защиты от несанкционированного доступа

🔥Байпасс защиты памяти EDR и введение в хукинг.

🛡For educational purposes only!
New article from mr.d0x ( previous published here: click1 click2) about bypassing Cortex XDR .
It tells you about deleting the password (by default it is Password1) and what to do if the password has been changed, and specifically where it is stored in hashed form and how to get it in clear form by force (the easiest way using hashcat).
the method with hashcat:
hashcat.exe -m 12100 xdr.txt rockyou.txt --show
For most methods, an admin or root is needed, although it is not necessary to have admin rights to dump hashes in Windows (you need access to the GUI interface, open the XDR agent console and click on "Generate Support File" to create a dump of the save folder).
A few XDR scripts
Another article about bypassing AV, XDR and EDR and repository .
🔥Dismantle complete windows defender protection and even bypass tamper protection

🔥Bypass EDR’s memory protection, introduction to hooking

#bypass #XDR #EDR #av

|Exploit telegram's "send with timer"|

🛡Только в образовательных целях
PoC эксплуатации функции "отправить по таймеру", позволяющий сохранять любые данные которые приходят с помощью этой функции.
На данный момент работает(20 апреля 2022 года).
На самом деле мелочь, кому-то может пригодиться.
Автор предлагает использовать секретные чаты, но мы то знаем, что телеграм скорее удобный, нежели приватный/безопасный/анонимный.
И, конечно, в условии предоставления услуг(Terms of Service) апишки телеги, этот скрипт предназначен только для PoC и бубубу, но ведь мало кто их читает, да кто хочет, того не остановит.
Собственно вот этот пункт:
1.4. Запрещается вмешиваться в основную функциональность Telegram. Это включает, но не ограничивается: совершение действий от имени пользователя без ведома и согласия пользователя, предотвращение исчезновения самоуничтожающегося контента, предотвращение корректного отображения статусов "последний просмотр" и "онлайн", изменение статусов "прочитано" сообщений (например, внедрение "режима призрака"), предотвращение отправки / отображения статусов ввода и т.д.Telegram API Terms of Service - Privacy & Security - 1.4

🛡For educational purposes only!
PoC operation of the "send by timer" function, which allows you to save any data that comes with this function.
Currently working (April 20, 2022).
In fact, a trifle, someone may come in handy.
The author suggests using secret chats, but we know that telegram is more convenient than private/secure/anonymous.
And, of course, in the Terms of Service of the telegram API, this script is intended only for PoC and bububu, but few people read them, and who wants to, will not stop.
Actually, this is the point:
1.4. It is forbidden to interfere with the basic functionality of Telegram. This includes but is not limited to: making actions on behalf of the user without the user's knowledge and consent, preventing self-destructing content from disappearing, preventing last seen and online statuses from being displayed correctly, tampering with the 'read' statuses of messages (e.g. implementing a 'ghost mode'), preventing typing statuses from being sent/displayed, etc. Telegram API Terms of Service - Privacy & Security - 1.4

#poc #telegram

exploit telegram's "send with timer" feature by saving any media sent with this functionality.

|Fraud De-Anonymization For Fun and Profit|

🔎Работа про деанон мошенников и спаммеров. Для этого используется глубокое обучение(deep learning) и графы. Работает это всё понятно: ведётся поиск/прогнозирование аккаунтов никнеймов(псевдонимов) на различных площадках, а также с помощью разработанных алгоритмов деанонимизации строятся графы. В работе говорится про использование краудсорсинговых площадок, которые содержат в себе информацию для идентификации платежной информации:банковские счета и paypal, также собираются данные по отзывам на различных ресурсах для сопоставления их с предполагаемым мошенником/спаммером. Думаю, что такое видите не впервые, похожее используется в OSINT. Более подробно, включая разбор алгоритма с математической части можно почитать в работе, которую прикладываю ниже.

🔎The work is about deanon scammers and spammers. For this, deep learning and graphs are used. It all works clearly: nickname accounts (pseudonyms) are being searched/predicted on various sites, and graphs are being built using the developed deanonymization algorithms. The paper talks about the use of crowdsourcing platforms that contain information to identify payment information:bank accounts and paypal are also collected data on reviews on various resources to compare them with the alleged fraudster /spammer. I think this is not the first time you see this, similar is used in OSINT. In more detail, including the analysis of the algorithm from the mathematical part, you can read in the work that I attach below.

#deanonymization

|Взлом монеро, блэкджек и шлюхи|

Ну что же шизо опять на связи. Сегодня пойдёт речь о дорогостоящем дерьме CipherTrace и не только.
Во-первых, хоть и запозданием, но хочу поздравить всех причастных с 8-ми летием с первого релиза монеро(18 апреля 2014 года). Далее рекомендую прочитать на реддите про категории ненавистников к монеро. Монеро, как некоторые думают, что это токен, хотя на самом деле - монета с собственной блокчейн сетью.

Вот уже почти 6 лет прошло с первого знакомства с этой криптовалютой и что хотелось бы сказать, за это время столько раз слышал про отслеживание монеро и "волшебные" инструменты для этого, однако за период консультирование мною различных персон(моментами попадались те, которые занимаются лютой чернухой) и пользовавшихся основными правилами сокрытия личности при финансовых манипуляциях в сети, так и никого поймали. Но, это не означает, что они стали неуловимыми.
Бесспорно биткоин - не про анонимность(всякие миксеры не особо спасают), поэтому для серьёзных целей, даже если у тебя осталось желание именно его использовать , то придётся СИЛЬНО постараться. В сети несомненно есть много руководств про способы для "невозможности" отследить биткоин-транзакции(пример) . Но самое смешное, что большинство статей говорит про использование тор, миксеров, VPN "не хранящие" логи(очень смешно, даже поднимать свой - безопасно, но проблему не сильно решит) и покупать/продавать биткоин за кеш(это ещё больше сдеанонит). Ладно, тема не о биткоине, лучше отдельно разберу про его "анонимизацию".
Итак, вернёмся к вопросу про монеро.

Думаю, что многие слышали про спам атаку на монеро, когда всё только начиналось или про не завершённую от sybil . Или про "Monero badcaca ", если спам атака ещё действительно можно было назвать успешной(любые tx в блоке были изменяемые для атакующего в позициях 512 и 513, при условии их идентичной размерности и действительности) , то предыдущие - какой-то детский лепет.
Дальше - интереснее. Налоговая служба США(IRS) подписала контракты с Chainalysis и Integra FEC на общую сумму в 1,25 миллиона долларов, чем это закончилось? Появился инструмент от ChipherTrace для отслеживания транзакций, который не оправдал себя, да и причём за такое дерьмо просят 16 тысяч долларов, хотя оно только может с определённой вероятностью отследить цепочку, то бишь никаких гарантий - нет. Да и сумма в 1.25 млн. - смешная для такого. Можно почитать ещё тут.
На Blockchain Alliance вебинаре в декабре 2019 года Jerek Jakubcek(из Европола) сказал, что подозреваемый использовавший связку монеро + Tor не был отслежен(IP-адрес не был отслежен), про атаки/аудит на Tor и Monero есть на канале работы, можно посмотреть по тегам #tor и #xmr.
Вот собственно статья про неэффективность инструмента для монеро от ChipherTrace и интервью CEO CipherTrace с разработчиком, подтверждающее малую эффективность это дерьма.
Самый простой способ, когда у меня спрашивают, запускать монеро таким образом:
./monerod --tx-proxy tor,127.0.0.1:9050

Результат у CipherTrace сильно зависит от бирж и данных полученных вне блокчейн-сети монеро. Что-то дополнительно писать про них писать не буду, выше итак приложил ресурсы.
Пока что использование Zcash и Monero - пожалуй хороший ход для поддержания анонимности. Сейчас общаюсь с разработчиками одной туллзы для сопоставления пользователя, использующего xmr в качестве электронной валюты(монета с блокчейном) и хочу сказать о невозможности на ДАННЫЙ момент гарантированно установить владельца кошелька по адресу, а одноразовый - вообще нельзя с точки зрения математики и криптографии.

Подводя итоги, хочется сказать, что если вы видите статью/работу/книгу про кряк монеро, а там нет четкого алгоритма и подтверждения результата, то как и относится ко всему - это пустословие.

#shizo #xmr #deanonymization

|Crack monero, blackjack and whores|

Well, the shizo is in touch again. Today we will talk about the expensive shit CipherTrace and not only.
First of all, though belatedly, I want to congratulate everyone involved on the 8th anniversary of the first release of Monero (April 18, 2014). Next, I recommend reading on reddit about the categories of monero haters. Monero, as some people think, is a token, although in fact it is a coin with its own blockchain network.

It has been almost 6 years since the first acquaintance with this cryptocurrency and what I would like to say, during this time I have heard so many times about tracking monero and "magic" tools for this, however, during the period I have consulted various persons (at times I came across those who are engaged in fierce blackness) and used the basic rules of concealment of identity in financial manipulations in the network, and no one was caught. But, this does not mean that they have become elusive.
Undoubtedly, bitcoin is not about anonymity (all sorts of mixers do not really save), so for serious purposes, even if you still have the desire to use it, you will have to try hard. There are undoubtedly many guides on the web about ways to "not be able" to track bitcoin transactions (example ) . But the funny thing is that most of the articles talk about using tor, mixers, VPN "not storing" logs (it's very funny, even raising your own is safe, but it won't solve the problem much) and buying/selling bitcoin for cache (this will make it even more fun). Okay, the topic is not about bitcoin, it's better to analyze its "anonymyzation" separately.
So, back to the question about Monero.

I think many people have heard about the spam attack on monero, when everything was just beginning or about the unfinished from sybil . Or about "Monero badcaca ", if the spam attack could still really be called successful (any tx in the block were changeable for the attacker in positions 512 and 513, provided they are identical in dimension and validity), then the previous ones are some kind of babble.
Further - more interesting. The US Internal Revenue Service (IRS) signed contracts with Chainalysis and Integra FEC for a total of $ 1.25 million, how did it end? A tool from ChipherTrace has appeared to track transactions, which did not justify itself, and moreover, they ask for 16 thousand dollars for such shit, although it can only track the chain with a certain probability, that is, there are no guarantees. And the amount of 1.25 million is ridiculous for such a thing. You can read more here .
At the Blockchain Alliance webinar in December 2019, Jerek Jakubcek (from Europol) said that the suspect who used the monero + Tor bundle was not tracked (the IP address was not tracked), there are attacks/audits on Tor and Monero on the work channel, you can look at the tags #tor and #xmr.
Here is the actual article about the inefficiency of the monero tool from ChipherTrace and an interview CEO of CipherTrace with a developer confirming the low efficiency of this shit.
The easiest way, when asked, is to run monero this way:
./monerod --tx-proxy tor,127.0.0.1:9050

CipherTrace's result strongly depends on exchanges and data obtained outside the monero blockchain network. I will not write anything further about them, so I have attached resources above.
So far, using Zcash and Monero is probably a good move to maintain anonymity. Now I am communicating with the developers of one tullza to compare a user using xmr as an electronic currency (a coin with a blockchain) and I want to say that it is currently impossible to guarantee the owner of the wallet at the address, and a one-time wallet is generally impossible from the point of view of mathematics and cryptography.

Summing up, I would like to say that if you see an article / work / book about the monero crack, and there is no clear algorithm and confirmation of the result, then how it applies to everything is empty talk.

#shizo #xmr #deanonymization

|OrNetRadar|

Репозиторий с группами ретрансляторов(relays) в сети Tor, которые обнаруживаются в автоматическом режиме.
Почитать про мотивацию для создания репозитория можно почитать тут. Если вкратце - наплыв вредоносных ретрансляторов в торе. Автор ещё с 2017 года находится в закрытом списке рассылки Tor Project для подтверждения вредоносности ретрансляторов в тор. Далее, с 2019 года он начал отправлять репорты в public tor-talk. Про Sybil атаку, связанную с монеро прикреплял ссылку выше, можно тут и ещё тут посмотреть.

Также прикладываю ниже работу про идентификацию и характеристику Sybil в сети Tor.
Вот ещё несколько ссылок про зараженные relays и не только:
🦠Tor Network: Malicious Exit Relay and DNS Resolution
🦠Malicious Tor Network Servers Are Targeting Users’ Cryptocurrencies
🦠How malicious Tor relays are exploiting users in 2020
💥Типы ретрансляторов(torproject)
💥Relay Search

A repository with groups of repeaters(relays) in the Tor network that are detected automatically.
You can read about the motivation for creating a repository here . In short, there is an influx of malicious repeaters in the Tor. The author has been on the TorProject closed mailing list since 2017 to confirm the harmfulness of repeaters in the tor. Further, from 2019 he started sending reports to public tor-talk . About the Sybil attack related to monero attached the link above , you can here and here to see.

I also attach the work below about the identification and characterization of Sybil in the Tor network.
Here are some more links about infected relays and not only:
🦠Tor Network: Malicious Exit Relay and DNS Resolution
🦠Malicious Tor Network Servers Are Targeting Users’ Cryptocurrencies
🦠How malicious Tor relays are exploiting users in 2020
💥Types of relays(torproject)
💥Relay Search

#shizo #tor