|DFTimewolf |

🕵️‍♂️Довольно удобная во всех смыслах платформа для форензик - специалиста, позволяющая не затрачивая много сил, собирать, обрабатывать и экспортировать данные в ходе криминалистического анализа.
Есть статья про исследование GKE контейнера, где в одном из этапов используется dftimewolf, так что можно посмотреть как используется в рабочем процессе.

💥Установка донельзя простая:
загружаем, как и любой другой репозиторий к себе на машину в нужную дерикторию

git clone https://github.com/log2timeline/dftimewolf.git

&& cd dftimewolf
затем устанавливаем необходимые модули/пакеты с помощью питоновского пакетного менеджера

pip3 install -r requirements.txt
pip install -e .

Либо в одну команду:
python3 setup.py install
Воспользуемся распространенным флагом "-h" и получим информацию о рецептах

dftimewolf -h

Или можем получить информацию по конкретному рецепту:

dftimewolf имя_рецепта -h

Обычно рецепт запускается с несколькими аргументами:

dftimewolf название_рецепта аргумент1 аргумент2 аргумент3 --optarg1 optvalue1

Пример со сбором активности в браузере:

dftimewolf grr_artifacts_ts tomchop.greendale.xyz collection_reason --artifact_list=BrowserHistory

Про архитектуру фреймворка можно почитать 🔘тут🔘

🕵️‍♂️A fairly convenient platform for a forensic specialist in every sense, which allows you to collect, process and export data during forensic analysis without spending a lot of effort.
There is an article about the Investigating a GKE Container, where dftimewolf is used in one of the stages, so you can see how it is used in the workflow.

💥Installation is extremely simple:
upload, like any other repository to your machine in the right directory

git clone https://github.com/log2timeline/dftimewolf.git

&& cd dftimewolf
then install the necessary modules/packages using Python package manager

pip3 install -r requirements.txt
pip install -e .

Or in one command:

python3 setup.py install

Let's use the common flag "-h" and get information about the recipes

dftimewolf -h

Or we can get information on a specific recipe:

dftimewolf prescription name -h

Usually a recipe is run with several arguments:

dftimewolf recipe_name argument1 argument2 argument3 --optarg1 optvalue1

Example with collecting activity in the browser:

dftimewolf grr_artifacts_ts tomchop.greendale.xyz collection_reason --artifact_list=BrowserHistory

You can read about the architecture of the framework 🔘here🔘

#forensics

🗒Список курсов/блогов по форензике для начинающих(со временем буду пополнять)/
The list of courses / blogs on forensics for beginners (I will replenish it over time):
🔓Practical Windows Forensics Training
🔓IoT Digital Forensics Course with hands-on labs
🔓course on "Digital Forensics"
🔓Digital Forensics Guide
🔓Guide to Quick Forensics
🔓Linux Forensics
🔓BSidesRoc 2022 Linux Malware/Forensics Course
🔓A curated list of awesome Memory Forensics for DFIR
🔓Digital Forensics Basics: A Practical Guide for Kubernetes DFIR
🔓Digital Forensics Challenge -- Beginner
🔓Digital Forensics and Incident Response Blog Geared Toward Beginners
🔓Forensic Methodology Report: How to catch NSO Group’s Pegasus
🔓ZENA FORENSICS
🔓Honeypot Network Forensics

#forensics #course #collection

|Удобно? А давай тебя сдеаноним? Часть1|

Сразу скажу, Шизо(это я, вдруг кто забыл) предупреждает, что данный способ не точен и в дикой природе будет не сильно эффективен против подкованного анонима, но тут тоже есть приблуды для повышения точности.
Также, не мало важно, пост возможно будет редактироваться, ибо нахожусь в бредовом состоянии и предложения могут быть не связаны между собой(предупредил - значит вооружил).

Сегодня под катом способ деанонимизации пользователей луковичной маршрутизации из-за упрощения обыденных вещей.
Все же мы любим переключаться между вкладками/окнами, а как известно и неоднократно повторял: безопасно, значит неудобно. После длительных дискуссий, приведения тонны материалов с PoC различных атак на эти "безопасные и очень удобные" системы, многие затихают. Да, есть индивидуумы, которые и это не воспринимают, с такими лучше разрывать общение, но сейчас не об этом.

Итак, что же не так с использованием ещё одного браузера, только внутри которого открываются клирнетовские сайты? Речь о том, что когда запускаем тор браузер и попутно к примеру chromium. Да, звучит тупо, не отрицаю.
Кто не понял, тор браузер - нафаршированная лиса и не более, конечно, защищённая от некоторых видов атак, но как показала практика, многие атаки проводятся без особых затруднений, ибо по факту они крайне вяло текуче закрываются патчами.

Наконец, перейдём к конкретике.
Атаки на компрометирование анона с сопоставлением его виртуальной и реальной личности, где один из этапов был связывание активности в Tor и вне, когда используется реальный IP-адрес, позволяющий дальше развязать цепочку.
Так вот, как 2017 году я только начинал изучать методы и способы деанонимизации и мне попался на глаза способ атакой на анона, который либо открывает несколько браузеров(Tor браузер и ещё какой-либо), или открывает несколько вкладок в Tor браузере с разных сайтов и что самое главное должен быть включен JS в обоих браузерах.

Если раньше попадались на глаза плохо оформленные, да и без нормально проведённых тестов статьи, то полгода назад наткнулся на репозиторий, где плюс-минус подробно разбирается атака "тупое переключение вкладок/окон", название было дано ещё когда я дискутировал на одном давно умершем форуме. Автор конкретно разграничивает на Tor браузер + обычный браузер и Tor браузер с открытыми несколькими вкладками.

Нужно сразу разочаровать, но во-первых, если JS отключен в браузере, как писал выше, то атака будет безуспешной фактически(то, что автор описывает про то, что нет факторов предчувствующих сильно этому, но в ходе общения с людьми из интерпола, в жизни всё сложнее) , а также если сайты не собирают x и y координаты мыши вместе с данными времени и не общаются друг с другом для обмена ими, то точно не выйдет. Хотя сбор и общение осуществляется на очень большом количестве сайтов, ещё толчок этому дало создание GIFCT(Глобального интернет-форума по борьбе с терроризмом).

Автор предлагает обходить встроенную в Tor браузер защиту(танцы в движке и шаманизм с JS от разработчиков браузера ещё 12 лет назад) вычислять заданное затраченное время на перемещение курсора на основе плотности зарегистрированных точек.

🖱Ссылка на исследование атак🖱

#shizo #tor #deanonymization

|Удобно? А давай тебя сдеаноним? Часть2|

Вернёмся к атакам.
Тор браузер + обычный браузер.
В этом случае активность пользователя связывается между активностью в Tor браузере с IP-адресом, не принадлежащим Tor посредством:
💥когда мы ведём мышь из Tor браузера в обычный(не Tor) браузер, причём работает это в обе стороны
💥переключение между браузера посредством хоткейс

Переключение вкладок внутри Tor браузера между несколькими сайтами.
Как бы по бумагам внутри Tor браузера, когда создаётся новая вкладка, попутно получается выходная нода, содержащая IP-адрес. В дикой природе при отладке зверь показывает себя ещё интереснее. Так вот, те кто поклоняется хоткеям и пытается совмещать с обеспечением безопасности - это очень тонкий лёд, ведь когда мы начинаем между ними переключаться, то мы получаем патерн, который вряд ли повторится, что позволит сопоставить открытые вкладки(сайты) с конкретной цифровой личностью, а дальше сами знаете, шизофрения и все дела.

Кроме x и y координат совместно со временем ещё используется показатель угла, скорости и ускорения для дальнейшего анализа. Также показатель кликабельности вкладок в Tor(CTR - для наглядности можно пощупать DeepCTR) используется для получения данных о местоположении и временных рамках, но раньше было более эффективно, ведь мало кто пользовался хоткеями для переключения между вкладками.

На основе вышеуказанных параметров мы можем получать расстояние между точками входа и выхода в браузере, что позволяет создать не плохой такой фингерпринт. Кстати, многие думают, что вырезав многие модули/элементы или сборка из сорцев - прям защищает. Как показала практика расследования преступлений - нет, ибо таки "анонимов" немного и я не против голого андроида с дальнейшей настройкой, правда спецслужбам будет проще составить цифровой слепок, помогающий сопоставить с реальной личностью.

Как одно из простейших решений для более успешного проведения атак, будет изменение пороговых значений в меньшую сторону.
Далее, рекомендую ознакомиться с репозиторием поподробнее, ибо есть все скрипты для воссоздания этих двух схожих по сути атак.

На основе этих атак можно применить сразу несколько контрмер:
🔐не открываем другой браузер помимо Tor браузера, либо запущенного Tor и настроенного chromium или firefox под условно безопасное использование в связке с луковичным маршрутизатором.
🔐блокируем отслеживание сайтами позиции курсора по x и y, а также сопутствующее время, скорость и ускорение
🔐отключаем JS(очень очевидный, но верный совет)
🔐углубляемся в матчасть, для борьбы с метриками
🔐когда писал про Timing Attack, упомянул sdwate и tirade, вообщем сами додумаете, только применить придётся по-другому.
🔐можем менять в разумных предал IP-адреса в ходе одной сессии
🔐ну и куда без жонглирования данными для их искажения
Над остальными подумаете сами, всё-таки подписчики Шизо умные и сообразительные!

🖱Ссылка на исследование атак🖱

#shizo #tor #deanonymization

|Convenient? And let's deanonymize you? Part1|

I must say right away, the Schizo (it's me, suddenly someone forgot) warns that this method is not accurate and in the wild it will not be very effective against a savvy anonymous, but there are also strays to increase accuracy.
Also, not a little important, the post may be edited, because I am in a delusional state and the proposals may not be related to each other (warned means armed).

Today, there is a way to deanonymize onion routing users because of the simplification of everyday things.
Still, we like to switch between tabs /windows, and as you know, I have repeatedly said: safe means inconvenient. After lengthy discussions, bringing tons of materials with PoC of various attacks on these "safe and very convenient" systems, many quiet down. Yes, there are individuals who do not perceive this either, it is better to break off communication with such, but this is not about that now.

So, what's wrong with using another browser, only inside which clearnet sites are opened? The point is that when we launch the tor browser and along the way, for example, chromium. Yes, it sounds stupid, I don't deny it.
Who did not understand, the tor browser is a stuffed fox and no more, of course, protected from some types of attacks, but as practice has shown, many attacks are carried out without much difficulty, because in fact they are extremely sluggish and fluid with patches.

Finally, let's move on to specifics.
Attacks on compromising anon with a comparison of his virtual and real identity, where one of the stages was linking activity in Tor and out, when a real IP address is used, allowing further untie the chain.
So, in 2017, I was just starting to study methods and methods of deanonymization and I caught sight of a method of attacking anon, which either opens several browsers (Tor browser and some other), or opens several tabs in the Tor browser from different sites and most importantly, JS should be enabled in both browsers.

If earlier articles were poorly designed, and even without properly conducted tests, then six months ago I came across a repository where, plus or minus, the "stupid tab/window switching" attack was analyzed in detail, the name was given even when I was debating on a long-dead forum. The author specifically distinguishes between a Tor browser + a regular browser and a Tor browser with several tabs open.

You need to disappoint right away, but first, if JS is disabled in the browser, as I wrote above, then the attack will be unsuccessful in fact (what the author describes about the fact that there are no factors that strongly anticipate this, but in the course of communicating with people from Interpol, it's more difficult in life), and also if the sites are not if they collect the x and y coordinates of the mouse together with the time data and do not communicate with each other to exchange them, then it will definitely not work. Although the collection and communication is carried out on a very large number of sites, the creation of GIFCT (a Global Internet Forum on Combating Terrorism) gave another impetus to this.

The author suggests bypassing the protection built into the Tor browser (dancing in the engine and shamanism with JS from the browser developers 12 years ago) to calculate the specified time spent on moving the cursor based on the density of registered points.

🖱Link to attack research🖱

#shizo #tor #deanonymization

|Convenient? And let's deanonymize you? Part2|

Let's get back to the attacks.
Tor browser + regular browser.
In this case, the user's activity is linked between the activity in the Tor browser with an IP address that does not belong to Tor by:
💥when we move the mouse from the Tor browser to a regular (non-Tor) browser, and it works both ways
💥switching between browser via hotkeys

Switching tabs inside the Tor browser between multiple sites.
As if according to the papers inside the Tor browser, when a new tab is created, an output node containing an IP address is obtained along the way. In the wild, when debugging, the beast shows itself even more interesting. So, those who worship hotkeys and try to combine them with security are very thin ice, because when we start switching between them, we get a pattern that is unlikely to happen again, which will allow us to compare open tabs (sites) with a specific digital personality, and then you know, schizophrenia and all that.

In addition to the x and y coordinates, the angle, velocity and acceleration indicator is also used together with time for further analysis. Also, the indicator of the clickability of tabs in Tor (CTR - for clarity, you can touch DeepCTR ) is used to get location and time frame data, but it used to be more efficient, because few people used hotkeys to switch between tabs.

Based on the above parameters, we can get the distance between the entry and exit points in the browser, which allows us to create a not bad fingerprint. By the way, many people think that by cutting out many modules / elements or assembling from the sorts, it directly protects. As the practice of investigating crimes has shown, no, because there are still a few "anonymous" people and I am not against a naked android with further customization, although it will be easier for the special services to make a digital impression that helps to compare with a real person.

As one of the simplest solutions for more successful attacks, there will be a change in the threshold values in a smaller direction.
Next, I recommend reading the repository in more detail, because there are all scripts for recreating these two essentially similar attacks.

Based on these attacks, several countermeasures can be applied at once:
🔐we do not open another browser besides the Tor browser, or a running Tor and configured chromium or firefox for conditionally secure use in conjunction with a bulbous router.
🔐we block the tracking of the cursor position by x and y by sites, as well as the associated time, speed and acceleration
🔐disable JS (very obvious, but the right advice)
🔐delve into the match, to deal with metrics
🔐when I wrote about Timing Attack (Part1 & Part2 ), mentioned sdwate and tirade, in general, you will think of it yourself, but you will have to apply it in a different way.
🔐we can change the IP addresses within reasonable limits during one session
🔐well, where to without juggling data to distort them
You will think about the rest yourself, after all, the subscribers of the Schizo are smart and quick-witted!

🖱Link to attack research🖱

#shizo #tor #deanonymization

🤙Шизо на связи
📺Тут недавно сериал не плохой пересматривал "Крах инженера Гарина" от Леонида Квинихидзе.
И как-то при первом просмотре не особо вдавался в детали, а здесь Ефим Копелян(хороший актёр, за плечами 140 фильмов) в роли Гастона "Утиный нос" интересно высказался.
Если говорить честно, то это в какой-то степени - это правда.

Сериал на любителя, но Шизо оценил.

|Inquisitor|

🤙Шизо на связи!
Inquisitor - это тулза для форензик специалистов, нацеленная на вытаскивание артефактов в семействе ОС windows(версии от xp до десятки), имеет как CLI, так и GUI(очень простой и понятный). На линуксе, когда пробовал через wine(переводит виндовые API вызовы в POSIX вызовы), то возникало много ошибок. А вариант с запуском PowerShell на линуксе - тоже не вариант, ибо ещё должны подгружаться dll-либы(.NET).

Причём, хочу отметить, что в Inquisitor не только происходит вытаскивание артефактов, но и их анализ с дальнейшим дешифрованием, чем меня и подкупил инструмент, хотя форензикой на винде очень редко занимаюсь. Также, на момент выхода последней версии(2020 год) были реализованы все тактики Mitre ATT&CK по идентификации закрепления(persistence), что считаю тоже довольно жирным плюсом в совокупности с правилами для файерволла, поддержка работы с облаком(вытаскивает артефакты и анализирует в логах облачных клиентов: One Drive, Google Drive и Dropbox), также можно вытащить и пропарсить креды из менеджера винды.

Ещё отличие от другие тулзов в том, что итерация производится сразу двумя способами HKU и HKCU в отличие от аналогов, в придачу с большим списком, откуда можно получить и проанализировать артефакты в инструменте(выше прикладыаю гифку, на которой они видны). И да, есть поддержка работы с артефактами Tor браузера, что для Шизо при криминалистическом анализе не мало важно.

🤙The Shizo is in touch!
Inquisitor is a tool for forensic specialists aimed at pulling out artifacts in the windows OS family (versions from xp to the tenth Windows), has both a CLI and a GUI (very simple and intuitive). On linux, when I tried using wine (translates windows API calls to POSIX calls), many errors occurred. And the option of running PowerShell on linux is also not an option, because dll libraries (.NET) still have to be loaded.

Moreover, I want to note that Inquisitor not only pulls out artifacts, but also analyzes them with further decryption, which is what the tool bribed me, although I rarely do forensis on Windows. Also, at the time of the release of the latest version (2020), all Mitre ATT&CK tactics for pinning identification(persistence), which I think is also a pretty fat plus in conjunction with the rules for the firewall, support for working with the cloud (pulls out artifacts and analyzes in the logs of cloud clients: One Drive, Google Drive and Dropbox), you can also pull out and parse credits from the Windows manager.

Another difference from other tools is that the iteration is performed in two ways at once HKU and HKCU, unlike analogues, in addition with a large list from where you can get and analyze artifacts in the tool (above I have a gif on which the functions are displayed). And yes, there is support for working with Tor browser artifacts, which is not a little important for the Shizo during forensic analysis.

#forensics

|Real-world Android Malware Analysis|

🦠Серия статей про анализ малварей в дикой природе на андроидах. В чём плюс: на момент написания первой статьи, сам автор только-только освоил основы реверса и анализа малварей на андроиде, поэтому будет полезно тем, кто начинает познавать это ремесло.

🦠A series of articles about the analysis of malware in the wild on androids. What's the plus: at the time of writing the first article, the author himself has just mastered the basics of reverse and analysis of malvari on android, so it will be useful for those who are beginning to learn this craft.

💥Часть1/Part1: eblagh.apk
💥Часть2/Part2: de.app.quickcurrencyswap
💥Часть3/Part3 : com.eth.appdroid
💥Часть4/Part4: thisisme.thisapp.inspxctor

#android #malware