|Comti Ransom PoC exploit|
🔥Malvuln разработал PoC эксплоит для Contin - рансома, который контролирует и предотвращает шифрование малварей файлов. Работает это таким образом, что мы захватываем vuln DLL(посредством проверки каталога "C:\Windows\System32") и выполнить код для действий, описанных выше. В случае неудачи, происходит захват id нашего процесса и его завершение.
Есть видео - демонстрация на YouTube
Вот порядок действий для использования сплоита:
1️⃣Компилим код на Си, как динамическую либу "netapi32.dll"
2️⃣Перемещаем либу в каталог, где находится раносомарь
3️⃣При желании можно скрыть: attrib +s +h "netapi32.dll"
4️⃣Запускаем Conti
⚠️ Важно, используя этот код, вы подтверждаете согласие на возможные риски в дальнейшем.
🔥Malvuln has developed a PoC exploit for Contin - ransomware, which controls and prevents the encryption of small files. It works in such a way that we capture the vuln DLL (by checking the directory "C:\Windows\System32 ") and execute the code for the actions described above. In case of failure, the id of our process is captured and completed.
There is a video demonstration on YouTube
Here is the procedure for using the exploit:
1️⃣Compile the C code as a dynamic library "netapi32.dll "
2️⃣Move the libu to the directory where the ranosomar is located
3️⃣If desired, you can hide: attrib +s +h "netapi32.dll "
4️⃣Launching Conti
⚠️ Important, by using this code, you confirm your consent to possible risks in the future.
Вот и PoC сплоит/That's the PoC exploit:
#include "windows.h"
#include "stdio.h"
//By malvuln
//Purpose: Code Execution
//Target: Conti Ransomware
//MD5: 9eb9197cd58f4417a27621c4e1b25a71
/** DISCLAIMER:
Author is NOT responsible for any damages whatsoever by using this software or improper malware
handling. By using this code you assume and accept all risk implied or otherwise.
**/
//gcc -c netapi32.c -m32
//gcc -shared -o netapi32.dll netapi32.o -m32
BOOL APIENTRY DllMain(HINSTANCE hInst, DWORD reason, LPVOID reserved){
switch (reason) {
case DLL_PROCESS_ATTACH:
MessageBox(NULL, "Code Exec", "by malvuln", MB_OK);
TCHAR buf[MAX_PATH];
GetCurrentDirectory(MAX_PATH, TEXT(buf));
int rc = strcmp("C:\\Windows\\System32", TEXT(buf));
if(rc != 0){
HANDLE handle = OpenProcess(PROCESS_TERMINATE, FALSE, getpid());
if (NULL != handle) {
TerminateProcess(handle, 0);
CloseHandle(handle);
}
}
break;
}
return TRUE;
}
#poc #exploit
🔥Malvuln разработал PoC эксплоит для Contin - рансома, который контролирует и предотвращает шифрование малварей файлов. Работает это таким образом, что мы захватываем vuln DLL(посредством проверки каталога "C:\Windows\System32") и выполнить код для действий, описанных выше. В случае неудачи, происходит захват id нашего процесса и его завершение.
Есть видео - демонстрация на YouTube
Вот порядок действий для использования сплоита:
1️⃣Компилим код на Си, как динамическую либу "netapi32.dll"
2️⃣Перемещаем либу в каталог, где находится раносомарь
3️⃣При желании можно скрыть: attrib +s +h "netapi32.dll"
4️⃣Запускаем Conti
⚠️ Важно, используя этот код, вы подтверждаете согласие на возможные риски в дальнейшем.
🔥Malvuln has developed a PoC exploit for Contin - ransomware, which controls and prevents the encryption of small files. It works in such a way that we capture the vuln DLL (by checking the directory "C:\Windows\System32 ") and execute the code for the actions described above. In case of failure, the id of our process is captured and completed.
There is a video demonstration on YouTube
Here is the procedure for using the exploit:
1️⃣Compile the C code as a dynamic library "netapi32.dll "
2️⃣Move the libu to the directory where the ranosomar is located
3️⃣If desired, you can hide: attrib +s +h "netapi32.dll "
4️⃣Launching Conti
⚠️ Important, by using this code, you confirm your consent to possible risks in the future.
Вот и PoC сплоит/That's the PoC exploit:
//By malvuln
//Purpose: Code Execution
//Target: Conti Ransomware
//MD5: 9eb9197cd58f4417a27621c4e1b25a71
/** DISCLAIMER:
Author is NOT responsible for any damages whatsoever by using this software or improper malware
handling. By using this code you assume and accept all risk implied or otherwise.
**/
//gcc -c netapi32.c -m32
//gcc -shared -o netapi32.dll netapi32.o -m32
BOOL APIENTRY DllMain(HINSTANCE hInst, DWORD reason, LPVOID reserved){
switch (reason) {
case DLL_PROCESS_ATTACH:
MessageBox(NULL, "Code Exec", "by malvuln", MB_OK);
TCHAR buf[MAX_PATH];
GetCurrentDirectory(MAX_PATH, TEXT(buf));
int rc = strcmp("C:\\Windows\\System32", TEXT(buf));
if(rc != 0){
HANDLE handle = OpenProcess(PROCESS_TERMINATE, FALSE, getpid());
if (NULL != handle) {
TerminateProcess(handle, 0);
CloseHandle(handle);
}
}
break;
}
return TRUE;
}
|Tails 5.0|
🤙 Шизо на связи.
🔓Хоть и Шизо с опаской смотрит на tails(есть на то объективные причины, если вам интересно - подробнее расскажу), но об обновлении нужно рассказать и прокомментировать, как не крути.
Начать нужно с главного перехода 10 версии дебиан(buster) на 11 версию(bullseye), это конечно хорошо в том плане, что того же самого OpenPGP есть более свежая версия, однако по опыту использования bullseye( начал тестировать после выхода через несколько дней), версия является не стабильной в какой-то степени, много у кого спрашивал и подтвердили ошибки в работе ОС. Так что - это палка на двух концах.
Перейдём к остальным основным новостям:
1️⃣На смену приложению seahorse(Passwords and Keys) и OpenPGP Applet пришла царица - Клеопатра(шутка, приложение, как приложение). Пока по клеопатре серьёзного аудита безопасности - не видел, предупредить - предупредил, дальше думайте сами. Сами разработчики это оправдывают удобством и более интенсивной разработкой(анонимность чаще всего сопровождается дискомфортом, а когда вам говорят про удобство, нужно задуматься).
2️⃣ Изменения и обновления в системе:
💥фича персистант хранилища для дополнительных программ включается теперь по дефолту для быстроты и надёжности( про надёжность - спорно,
💥обновление до GNOME 3.38 - тут даже нечего комментировать, был старый добрый второй гном и эпоха ламповых форумов, спасибо что не перешили на 40-ю версию.
3️⃣Обновление встроенного ПО: Тор браузер до 11.0.11;tor до 0.4.6.10; MAT до 0.12(если вдруг не пользовались - нужно для удаления большинства метаданных из уймы форматов), в которой добавлена возможность работать ещё с несколькими форматами: SVG, WAV, EPUB, PPM и MS Office; Audacity до 2.4.2; Disk Utility до 3.38; GIMP до 2.10.22; Inkscape до 1.0 и LibreOffice до 7.0
4️⃣Вот, то что мне понравилось и реально полезно - фикс VeraCrypt, который затрагивает разблокировку томов, требующих длинную парольную фразу(passphrase) .
И уйма минорных изменений тык
Подводя итоги, хочется сказать, что обновление не такое уж интересное со всех сторон, каких-то новых интересных фич для усиления безопасности, приватности и анонимности - нет. Переход на следующую версию Debian - тоже спорный момент.
Так что, либо думайте в сторону Whonix/QubeSOS, либо собирайте с нуля(LFS, либо можно посмотреть в сторону этого) и дальше конфигурируйте для себя сами, либо просто возьмите чистый Debian и уберите из него то, что не нужно и настройте под себя, а Tails - больше для зумеров и для тех, кому нужна условная анонимность просто для галочки и все эти советы от Сноудена - в топку.
#anonymity #tails
🤙 Шизо на связи.
🔓Хоть и Шизо с опаской смотрит на tails(есть на то объективные причины, если вам интересно - подробнее расскажу), но об обновлении нужно рассказать и прокомментировать, как не крути.
Начать нужно с главного перехода 10 версии дебиан(buster) на 11 версию(bullseye), это конечно хорошо в том плане, что того же самого OpenPGP есть более свежая версия, однако по опыту использования bullseye( начал тестировать после выхода через несколько дней), версия является не стабильной в какой-то степени, много у кого спрашивал и подтвердили ошибки в работе ОС. Так что - это палка на двух концах.
Перейдём к остальным основным новостям:
1️⃣На смену приложению seahorse(Passwords and Keys) и OpenPGP Applet пришла царица - Клеопатра(шутка, приложение, как приложение). Пока по клеопатре серьёзного аудита безопасности - не видел, предупредить - предупредил, дальше думайте сами. Сами разработчики это оправдывают удобством и более интенсивной разработкой(анонимность чаще всего сопровождается дискомфортом, а когда вам говорят про удобство, нужно задуматься).
2️⃣ Изменения и обновления в системе:
💥фича персистант хранилища для дополнительных программ включается теперь по дефолту для быстроты и надёжности( про надёжность - спорно,
💥обновление до GNOME 3.38 - тут даже нечего комментировать, был старый добрый второй гном и эпоха ламповых форумов, спасибо что не перешили на 40-ю версию.
3️⃣Обновление встроенного ПО: Тор браузер до 11.0.11;tor до 0.4.6.10; MAT до 0.12(если вдруг не пользовались - нужно для удаления большинства метаданных из уймы форматов), в которой добавлена возможность работать ещё с несколькими форматами: SVG, WAV, EPUB, PPM и MS Office; Audacity до 2.4.2; Disk Utility до 3.38; GIMP до 2.10.22; Inkscape до 1.0 и LibreOffice до 7.0
4️⃣Вот, то что мне понравилось и реально полезно - фикс VeraCrypt, который затрагивает разблокировку томов, требующих длинную парольную фразу(passphrase) .
И уйма минорных изменений тык
Подводя итоги, хочется сказать, что обновление не такое уж интересное со всех сторон, каких-то новых интересных фич для усиления безопасности, приватности и анонимности - нет. Переход на следующую версию Debian - тоже спорный момент.
Так что, либо думайте в сторону Whonix/QubeSOS, либо собирайте с нуля(LFS, либо можно посмотреть в сторону этого) и дальше конфигурируйте для себя сами, либо просто возьмите чистый Debian и уберите из него то, что не нужно и настройте под себя, а Tails - больше для зумеров и для тех, кому нужна условная анонимность просто для галочки и все эти советы от Сноудена - в топку.
#anonymity #tails
👍4❤1
|Tails 5.0|
🤙 The Shizo is in touch.
🔓 Although the Schizo looks at tails with caution (there are objective reasons for that, if you are interested, I will tell you more), but you need to tell and comment on the update, no matter how cool.
You need to start with the main transition of debian version 10 (buster) to version 11 (bullseye), this is of course good in the sense that there is a more recent version of the same OpenPGP, however, from the experience of using bullseye (I started testing after a few days), the version is not stable to some extent, I asked a lot of people and confirmed the errors in the OS. So it's a double-edged sword.
Let's move on to the rest of the main news:
1️⃣ To replace the seahorse application(Passwords and Keys) and OpenPGP Applet Queen Cleopatra came(a joke, an app, like an app). While I haven't seen a serious security audit on Kleopatra, I warned you, then think for yourself. The developers themselves justify this with convenience and more intensive development (anonymity is most often accompanied by discomfort, and when they tell you about convenience, you need to think about it).
2️⃣ Changes and updates in the system:
💥 the storage persistant feature for additional programs is now enabled by default for speed and reliability (it is debatable about reliability,
💥 update to GNOME 3.38 - there's not even anything to comment on, there was a good old second gnome and the era of lamp forums, thank you for not switching to the 40th version.
3️⃣ Firmware update: Tor browser to 11.0.11; tor to 0.4.6.10; MAT to 0.12 (if you haven't used it, you need to remove most of the metadata from a lot of formats), which adds the ability to work with several more formats: SVG, WAV, EPUB, PPM and MS Office; Audacity to 2.4.2; Disk Utility up to 3.38; GIMP up to 2.10.22; Inkscape up to 1.0 and LibreOffice up to 7.0
4️⃣ Here's what I liked and really useful - fix VeraCrypt, which affects unlocking volumes that require a long passphrase.
And a lot of minor changes click.
Summing up, I would like to say that the update is not so interesting from all sides, there are no new interesting features to enhance security, privacy and anonymity. Switching to the next version of Debian is also a controversial point.
So, either think towards Whonix/QubesOS, or build from scratch(LFS, or you can look in the direction of this ) and then configure for yourself, or just take a clean Debian and remove from it what you don't need to customize it for yourself, and Tails is more for zoomers and for those who need conditional anonymity just for show and all these tips from Snowden are in the furnace.
#anonymity #tails
🤙 The Shizo is in touch.
🔓 Although the Schizo looks at tails with caution (there are objective reasons for that, if you are interested, I will tell you more), but you need to tell and comment on the update, no matter how cool.
You need to start with the main transition of debian version 10 (buster) to version 11 (bullseye), this is of course good in the sense that there is a more recent version of the same OpenPGP, however, from the experience of using bullseye (I started testing after a few days), the version is not stable to some extent, I asked a lot of people and confirmed the errors in the OS. So it's a double-edged sword.
Let's move on to the rest of the main news:
1️⃣ To replace the seahorse application(Passwords and Keys) and OpenPGP Applet Queen Cleopatra came(a joke, an app, like an app). While I haven't seen a serious security audit on Kleopatra, I warned you, then think for yourself. The developers themselves justify this with convenience and more intensive development (anonymity is most often accompanied by discomfort, and when they tell you about convenience, you need to think about it).
2️⃣ Changes and updates in the system:
💥 the storage persistant feature for additional programs is now enabled by default for speed and reliability (it is debatable about reliability,
💥 update to GNOME 3.38 - there's not even anything to comment on, there was a good old second gnome and the era of lamp forums, thank you for not switching to the 40th version.
3️⃣ Firmware update: Tor browser to 11.0.11; tor to 0.4.6.10; MAT to 0.12 (if you haven't used it, you need to remove most of the metadata from a lot of formats), which adds the ability to work with several more formats: SVG, WAV, EPUB, PPM and MS Office; Audacity to 2.4.2; Disk Utility up to 3.38; GIMP up to 2.10.22; Inkscape up to 1.0 and LibreOffice up to 7.0
4️⃣ Here's what I liked and really useful - fix VeraCrypt, which affects unlocking volumes that require a long passphrase.
And a lot of minor changes click.
Summing up, I would like to say that the update is not so interesting from all sides, there are no new interesting features to enhance security, privacy and anonymity. Switching to the next version of Debian is also a controversial point.
So, either think towards Whonix/QubesOS, or build from scratch(LFS, or you can look in the direction of this ) and then configure for yourself, or just take a clean Debian and remove from it what you don't need to customize it for yourself, and Tails is more for zoomers and for those who need conditional anonymity just for show and all these tips from Snowden are in the furnace.
#anonymity #tails
👍2
|Malware development: persistence|
🛡Только в образовательных целях!
Это цикл статей про разработку и закрепление в системе вредоносов.
🛡For educational purposes only!
This is a series of articles about the development and persistence of malware in the system.
🦠часть1/part1 (
🦠часть2/part2 (
🦠часть3/part3 (
🦠часть4/part4 (
🦠часть5/part5 (
🦠часть6/part6 (
🦠Часть7/part7 (
🦠Часть8/part8 (
🦠Часть9/part9 (
🦠Часть10/part10 (
🦠Часть11/part11 (
🦠Часть12/part12 (
🦠Часть13/part13 (
🦠Часть14/part14 (
🦠Часть15/part15 (Internet Explorer ) +📔 исходный код/source code
🦠Часть16/part16 (Cryptography Registry Keys ) +📔 исходный код/source code
🦠Часть18/part18 ??(Windows Error Reporting ) +📔 исходный код/source code
🦠Часть19/part19 (Disk Cleanup Utility ) +📔 исходный код/source code
🦠Часть20/part20 (UserInitMprLogonScript (Logon Script)) +📔 исходный код/source code
💥Перед прочтением советую ознакомиться с тактиками закрепления от MITRE ATT&CK и статью о механизмах закрепления в Windows.
💥Before reading, I advise you to familiarize yourself with the persistence tactics from MITRE ATT&CK and an article about persistence mechanisms in Windows.
#malwareDevelopment #persistence #CPP #PS #Hijack #APT29 #windows
🛡Только в образовательных целях!
Это цикл статей про разработку и закрепление в системе вредоносов.
🛡For educational purposes only!
This is a series of articles about the development and persistence of malware in the system.
🦠часть1/part1 (
Registry run keys) +📔 исходный код/source code🦠часть2/part2 (
Screensaver hijack) +📔 исходный код/source code🦠часть3/part3 (
COM DLL hijack) +📔 исходный код/source code🦠часть4/part4 (
Windows services) +📔 исходный код/source code🦠часть5/part5 (
AppInit_DLLs) +📔 исходный код/source code🦠часть6/part6 (
Windows netsh helper DLL) +📔 исходный код/source code🦠Часть7/part7 (
Winlogon) +📔 исходный код/source code🦠Часть8/part8 (
Port monitors) +📔 исходный код/source code🦠Часть9/part9 (
Default file extension hijacking) +📔 исходный код/source code🦠Часть10/part10 (
Using Image File Execution Options) +📔 исходный код/source code🦠Часть11/part11 (
PowerShell profile) +📔 исходный код/source code🦠Часть12/part12 (
Accessibility Features) +📔 исходный код/source code🦠Часть13/part13 (
Hijacking uninstall logic for application) +📔 исходный код/source code🦠Часть14/part14 (
Event Viewer help link ) +📔 исходный код/source code🦠Часть15/part15 (Internet Explorer ) +📔 исходный код/source code
🦠Часть16/part16 (Cryptography Registry Keys ) +📔 исходный код/source code
🦠Часть18/part18 ??(Windows Error Reporting ) +📔 исходный код/source code
🦠Часть19/part19 (Disk Cleanup Utility ) +📔 исходный код/source code
🦠Часть20/part20 (UserInitMprLogonScript (Logon Script)) +📔 исходный код/source code
💥Перед прочтением советую ознакомиться с тактиками закрепления от MITRE ATT&CK и статью о механизмах закрепления в Windows.
💥Before reading, I advise you to familiarize yourself with the persistence tactics from MITRE ATT&CK and an article about persistence mechanisms in Windows.
#malwareDevelopment #persistence #CPP #PS #Hijack #APT29 #windows
👍10
|Ты уверен, что действительно выключил микрофон?|
🤙Шизо на связи, опять интересности, которые как бы новые, а как бы и нет.
🎙Свежая работа про "отключение" микрофона в видеоконференциях(VCA), в котором проводится обратная разработка с помощью туллзов для бинарного анализа(IDA pro со скриптами, tcpdump, API Monitor,Microsoft Network Monitor, x64dbg вместе в Scylla-hide, а также собственный трассировщик и много других туллзов, используемых реверсерами в повседневности) для того, чтобы узнать как происходит передача аудиопотока в часто используемых VCA(называть не буду, думаю и сами догадаетесь после прочтения работы) в момент его прохождения от аудиодрайвера к сети.
Как показало исследование, не мало приложений перехватывают звук с микрофона постоянно после "отключения" микрофона, а большинство - периодически(да, исследования с гугл экосистемой уже давно это демонстрировали). Хотя тут, показано на практике, как серваки получают телеметрию в виде статистики и демонстрируется(предоставляется PoC) перехват сетевого трафика идущего к серверу телеметрии и дальнейший анализ, предоставляющий с вероятностью в 81,9% определить, чем занимается человек, когда он якобы "замьючен", а осуществляется это посредством классификатора фоновой активности, представленного в этой работе.
Ладно, если кто-то не догадался, речь идёт про приложение от Cisco - Webex. Оно по сути передаёт на сервер(телеметрия) с частотой раз в минуту даже при выключенном в приложении микрофоне аудиоданные, причём чтобы проверить для проверки этого был пущен фоновый шум на протяжении 180 часов и проанализировано взаимодействие Webex с сервером телеметрии, когда как раз исходящий трафик был разобран и изучен.
Как один из путей решений было предложено отключение микрофона на уровне ОС(раньше уже упоминалось это). А всё это потому что компании никак не подкрепляют нормативными актами контроль за пользователем без его согласия(весело было бы посмотреть на такое), хотя конечно это не первостепенная причина. Также был упомянут Zoom с такой же проблемой(у него дыр ещё больше, можете в сети найти).
Сам пользователь готов разрешить, чтобы приложение вытворяло что-угодно, лишь бы он об этом не знал, теша себя фантазиями и оно работало, так как ему нужно для решения задач(даже удовлетворения своих простейших потребностей).
Что хочу сказать, работа не плохая, было интересно прочитать полностью, конечно, ещё бы больше технических деталей и процесса реверса. Комментарии свои дал, краткую выдержку тоже, дальше сами думайте.
#privacy
🤙Шизо на связи, опять интересности, которые как бы новые, а как бы и нет.
🎙Свежая работа про "отключение" микрофона в видеоконференциях(VCA), в котором проводится обратная разработка с помощью туллзов для бинарного анализа(IDA pro со скриптами, tcpdump, API Monitor,Microsoft Network Monitor, x64dbg вместе в Scylla-hide, а также собственный трассировщик и много других туллзов, используемых реверсерами в повседневности) для того, чтобы узнать как происходит передача аудиопотока в часто используемых VCA(называть не буду, думаю и сами догадаетесь после прочтения работы) в момент его прохождения от аудиодрайвера к сети.
Как показало исследование, не мало приложений перехватывают звук с микрофона постоянно после "отключения" микрофона, а большинство - периодически(да, исследования с гугл экосистемой уже давно это демонстрировали). Хотя тут, показано на практике, как серваки получают телеметрию в виде статистики и демонстрируется(предоставляется PoC) перехват сетевого трафика идущего к серверу телеметрии и дальнейший анализ, предоставляющий с вероятностью в 81,9% определить, чем занимается человек, когда он якобы "замьючен", а осуществляется это посредством классификатора фоновой активности, представленного в этой работе.
Ладно, если кто-то не догадался, речь идёт про приложение от Cisco - Webex. Оно по сути передаёт на сервер(телеметрия) с частотой раз в минуту даже при выключенном в приложении микрофоне аудиоданные, причём чтобы проверить для проверки этого был пущен фоновый шум на протяжении 180 часов и проанализировано взаимодействие Webex с сервером телеметрии, когда как раз исходящий трафик был разобран и изучен.
Как один из путей решений было предложено отключение микрофона на уровне ОС(раньше уже упоминалось это). А всё это потому что компании никак не подкрепляют нормативными актами контроль за пользователем без его согласия(весело было бы посмотреть на такое), хотя конечно это не первостепенная причина. Также был упомянут Zoom с такой же проблемой(у него дыр ещё больше, можете в сети найти).
Сам пользователь готов разрешить, чтобы приложение вытворяло что-угодно, лишь бы он об этом не знал, теша себя фантазиями и оно работало, так как ему нужно для решения задач(даже удовлетворения своих простейших потребностей).
Что хочу сказать, работа не плохая, было интересно прочитать полностью, конечно, ещё бы больше технических деталей и процесса реверса. Комментарии свои дал, краткую выдержку тоже, дальше сами думайте.
#privacy
👍4
|Are You Really Muted?|
🤙The schizo is in touch, again interesting things that seem to be new, but as if they are not.
🎙Fresh work about "disabling" the microphone in video conferencing (VCA), in which reverse engineering is carried out using tools for binary analysis (IDA pro with scripts, tcpdump, API Monitor, Microsoft Network Monitor, x64dbg together in Scylla-hide, as well as its own tracer and many other tools used by reversers engineers in everyday life) in order to find out how the audio stream is transmitted in frequently used VCAs (I will not name it, I think you will guess after reading the work) at the time of its passage from the audio driver to the network.
As the study showed, not a few applications intercept the sound from the microphone constantly after the microphone is "turned off", and most of them periodically (yes, research with the Google ecosystem has long demonstrated this). Although here, it is shown in practice how servers receive telemetry in the form of statistics and demonstrates (PoC is provided) the interception of network traffic going to the telemetry server and further analysis, providing with a probability of 81.9% to determine what a person is doing when he is allegedly "muted", and this is done by means of a background activity classifier presented in this job.
Okay, if someone didn't guess, we are talking about an application from Cisco - Webex. It essentially transmits audio data to the server (telemetry) at a frequency of once a minute, even when the microphone is turned off in the application, and in order to check for this, background noise was started up for 180 hours and the interaction of Webex with the telemetry server was analyzed when the outgoing traffic was disassembled and studied.
As one of the solutions, it was proposed to disable the microphone at the OS level (this was already mentioned earlier). And all this is because companies do not enforce regulatory acts to control the user without his consent (it would be fun to look at this), although of course this is not the primary reason. Zoom was also mentioned with the same problem (it has even more holes, you can find it online).
The user himself is ready to allow the application to do anything, as long as he does not know about it, amuse himself with fantasies and it works, as he needs to solve problems (even to satisfy his simplest needs).
What I want to say is that the work is not bad, it was interesting to read in full, of course, even more technical details and the reverse process. I gave my comments, a brief excerpt, too, then think for yourself.
#privacy
🤙The schizo is in touch, again interesting things that seem to be new, but as if they are not.
🎙Fresh work about "disabling" the microphone in video conferencing (VCA), in which reverse engineering is carried out using tools for binary analysis (IDA pro with scripts, tcpdump, API Monitor, Microsoft Network Monitor, x64dbg together in Scylla-hide, as well as its own tracer and many other tools used by reversers engineers in everyday life) in order to find out how the audio stream is transmitted in frequently used VCAs (I will not name it, I think you will guess after reading the work) at the time of its passage from the audio driver to the network.
As the study showed, not a few applications intercept the sound from the microphone constantly after the microphone is "turned off", and most of them periodically (yes, research with the Google ecosystem has long demonstrated this). Although here, it is shown in practice how servers receive telemetry in the form of statistics and demonstrates (PoC is provided) the interception of network traffic going to the telemetry server and further analysis, providing with a probability of 81.9% to determine what a person is doing when he is allegedly "muted", and this is done by means of a background activity classifier presented in this job.
Okay, if someone didn't guess, we are talking about an application from Cisco - Webex. It essentially transmits audio data to the server (telemetry) at a frequency of once a minute, even when the microphone is turned off in the application, and in order to check for this, background noise was started up for 180 hours and the interaction of Webex with the telemetry server was analyzed when the outgoing traffic was disassembled and studied.
As one of the solutions, it was proposed to disable the microphone at the OS level (this was already mentioned earlier). And all this is because companies do not enforce regulatory acts to control the user without his consent (it would be fun to look at this), although of course this is not the primary reason. Zoom was also mentioned with the same problem (it has even more holes, you can find it online).
The user himself is ready to allow the application to do anything, as long as he does not know about it, amuse himself with fantasies and it works, as he needs to solve problems (even to satisfy his simplest needs).
What I want to say is that the work is not bad, it was interesting to read in full, of course, even more technical details and the reverse process. I gave my comments, a brief excerpt, too, then think for yourself.
#privacy
👍1