This media is not supported in your browser
VIEW IN TELEGRAM
🤙Шизо на связи
📺Тут недавно сериал не плохой пересматривал "
И как-то при первом просмотре не особо вдавался в детали, а здесь
Если говорить честно, то это в какой-то степени - это правда.
Сериал на любителя, но Шизо оценил.
📺Тут недавно сериал не плохой пересматривал "
Крах инженера Гарина" от Леонида Квинихидзе.И как-то при первом просмотре не особо вдавался в детали, а здесь
Ефим Копелян(хороший актёр, за плечами 140 фильмов) в роли Гастона "Утиный нос" интересно высказался.Если говорить честно, то это в какой-то степени - это правда.
Сериал на любителя, но Шизо оценил.
👍7🤔2
❤2
|Inquisitor|
🤙Шизо на связи!
Inquisitor - это тулза для форензик специалистов, нацеленная на вытаскивание артефактов в семействе ОС windows(версии от xp до десятки), имеет как CLI, так и GUI(очень простой и понятный). На линуксе, когда пробовал через wine(переводит виндовые API вызовы в POSIX вызовы), то возникало много ошибок. А вариант с запуском PowerShell на линуксе - тоже не вариант, ибо ещё должны подгружаться dll-либы(.NET).
Причём, хочу отметить, что в Inquisitor не только происходит вытаскивание артефактов, но и их анализ с дальнейшим дешифрованием, чем меня и подкупил инструмент, хотя форензикой на винде очень редко занимаюсь. Также, на момент выхода последней версии(2020 год) были реализованы все тактики Mitre ATT&CK по идентификации закрепления(persistence), что считаю тоже довольно жирным плюсом в совокупности с правилами для файерволла, поддержка работы с облаком(вытаскивает артефакты и анализирует в логах облачных клиентов: One Drive, Google Drive и Dropbox), также можно вытащить и пропарсить креды из менеджера винды.
Ещё отличие от другие тулзов в том, что итерация производится сразу двумя способами HKU и HKCU в отличие от аналогов, в придачу с большим списком, откуда можно получить и проанализировать артефакты в инструменте(выше прикладыаю гифку, на которой они видны). И да, есть поддержка работы с артефактами Tor браузера, что для Шизо при криминалистическом анализе не мало важно.
🤙The Shizo is in touch!
Inquisitor is a tool for forensic specialists aimed at pulling out artifacts in the windows OS family (versions from xp to the tenth Windows), has both a CLI and a GUI (very simple and intuitive). On linux, when I tried using wine (translates windows API calls to POSIX calls), many errors occurred. And the option of running PowerShell on linux is also not an option, because dll libraries (.NET) still have to be loaded.
Moreover, I want to note that Inquisitor not only pulls out artifacts, but also analyzes them with further decryption, which is what the tool bribed me, although I rarely do forensis on Windows. Also, at the time of the release of the latest version (2020), all Mitre ATT&CK tactics for pinning identification(persistence), which I think is also a pretty fat plus in conjunction with the rules for the firewall, support for working with the cloud (pulls out artifacts and analyzes in the logs of cloud clients: One Drive, Google Drive and Dropbox), you can also pull out and parse credits from the Windows manager.
Another difference from other tools is that the iteration is performed in two ways at once HKU and HKCU, unlike analogues, in addition with a large list from where you can get and analyze artifacts in the tool (above I have a gif on which the functions are displayed). And yes, there is support for working with Tor browser artifacts, which is not a little important for the Shizo during forensic analysis.
#forensics
🤙Шизо на связи!
Inquisitor - это тулза для форензик специалистов, нацеленная на вытаскивание артефактов в семействе ОС windows(версии от xp до десятки), имеет как CLI, так и GUI(очень простой и понятный). На линуксе, когда пробовал через wine(переводит виндовые API вызовы в POSIX вызовы), то возникало много ошибок. А вариант с запуском PowerShell на линуксе - тоже не вариант, ибо ещё должны подгружаться dll-либы(.NET).
Причём, хочу отметить, что в Inquisitor не только происходит вытаскивание артефактов, но и их анализ с дальнейшим дешифрованием, чем меня и подкупил инструмент, хотя форензикой на винде очень редко занимаюсь. Также, на момент выхода последней версии(2020 год) были реализованы все тактики Mitre ATT&CK по идентификации закрепления(persistence), что считаю тоже довольно жирным плюсом в совокупности с правилами для файерволла, поддержка работы с облаком(вытаскивает артефакты и анализирует в логах облачных клиентов: One Drive, Google Drive и Dropbox), также можно вытащить и пропарсить креды из менеджера винды.
Ещё отличие от другие тулзов в том, что итерация производится сразу двумя способами HKU и HKCU в отличие от аналогов, в придачу с большим списком, откуда можно получить и проанализировать артефакты в инструменте(выше прикладыаю гифку, на которой они видны). И да, есть поддержка работы с артефактами Tor браузера, что для Шизо при криминалистическом анализе не мало важно.
🤙The Shizo is in touch!
Inquisitor is a tool for forensic specialists aimed at pulling out artifacts in the windows OS family (versions from xp to the tenth Windows), has both a CLI and a GUI (very simple and intuitive). On linux, when I tried using wine (translates windows API calls to POSIX calls), many errors occurred. And the option of running PowerShell on linux is also not an option, because dll libraries (.NET) still have to be loaded.
Moreover, I want to note that Inquisitor not only pulls out artifacts, but also analyzes them with further decryption, which is what the tool bribed me, although I rarely do forensis on Windows. Also, at the time of the release of the latest version (2020), all Mitre ATT&CK tactics for pinning identification(persistence), which I think is also a pretty fat plus in conjunction with the rules for the firewall, support for working with the cloud (pulls out artifacts and analyzes in the logs of cloud clients: One Drive, Google Drive and Dropbox), you can also pull out and parse credits from the Windows manager.
Another difference from other tools is that the iteration is performed in two ways at once HKU and HKCU, unlike analogues, in addition with a large list from where you can get and analyze artifacts in the tool (above I have a gif on which the functions are displayed). And yes, there is support for working with Tor browser artifacts, which is not a little important for the Shizo during forensic analysis.
#forensics
❤4👍3
|Real-world Android Malware Analysis|
🦠Серия статей про анализ малварей в дикой природе на андроидах. В чём плюс: на момент написания первой статьи, сам автор только-только освоил основы реверса и анализа малварей на андроиде, поэтому будет полезно тем, кто начинает познавать это ремесло.
🦠A series of articles about the analysis of malware in the wild on androids. What's the plus: at the time of writing the first article, the author himself has just mastered the basics of reverse and analysis of malvari on android, so it will be useful for those who are beginning to learn this craft.
💥Часть1/Part1: eblagh.apk
💥Часть2/Part2: de.app.quickcurrencyswap
💥Часть3/Part3 : com.eth.appdroid
💥Часть4/Part4: thisisme.thisapp.inspxctor
#android #malware
🦠Серия статей про анализ малварей в дикой природе на андроидах. В чём плюс: на момент написания первой статьи, сам автор только-только освоил основы реверса и анализа малварей на андроиде, поэтому будет полезно тем, кто начинает познавать это ремесло.
🦠A series of articles about the analysis of malware in the wild on androids. What's the plus: at the time of writing the first article, the author himself has just mastered the basics of reverse and analysis of malvari on android, so it will be useful for those who are beginning to learn this craft.
💥Часть1/Part1: eblagh.apk
💥Часть2/Part2: de.app.quickcurrencyswap
💥Часть3/Part3 : com.eth.appdroid
💥Часть4/Part4: thisisme.thisapp.inspxctor
#android #malware
👍3🥰2🔥1
|AV engines evasion|
🛡Только в ознакомительных целях!
Цикл статей про обход АВ движков и написание малваря на C++, который будет запускать пэйлоад.
💥Перед прочтением советую ознакомиться с тактиками обхода средств защиты информации от MITRE ATT&CK.
🛡For educational purposes only!
A series of articles about evasion AV engines and writing malware in C++ that will launch the payload.
💥 Before reading, I advise you to familiarize yourself with the tactics of Defense Evasion from MITRE ATT&CK.
🔥Evasions: Registry
🔥Classic code injection into the process
🔥часть1/part1 +📔исходный код/source code
🔥часть2/part2 +📔исходный код/source code
🔥часть3/part3 +📔исходный код/source code
🔥часть4/part4 +📔исходный код/source code
🔥часть5/part5 +📔исходный код/source code
🔥часть6/part6 +📔исходный код/source code
🔥часть7/part7(Disable Windows Defender) +
📔исходный код/source code
🔥часть8/part8(Encode payload via Z85 algorithm) +
📔исходный код/source code
🔥часть9/part9( Encrypt base64 encoded payload via RC4) +
📔исходный код/source code
🔥часть10/part10(anti-debugging. NtGlobalFlag) +
📔исходный код/source code
#malwareDevelopment #av #evasion #WinDefender #antiReverse
🛡Только в ознакомительных целях!
Цикл статей про обход АВ движков и написание малваря на C++, который будет запускать пэйлоад.
💥Перед прочтением советую ознакомиться с тактиками обхода средств защиты информации от MITRE ATT&CK.
🛡For educational purposes only!
A series of articles about evasion AV engines and writing malware in C++ that will launch the payload.
💥 Before reading, I advise you to familiarize yourself with the tactics of Defense Evasion from MITRE ATT&CK.
🔥Evasions: Registry
🔥Classic code injection into the process
🔥часть1/part1 +📔исходный код/source code
🔥часть2/part2 +📔исходный код/source code
🔥часть3/part3 +📔исходный код/source code
🔥часть4/part4 +📔исходный код/source code
🔥часть5/part5 +📔исходный код/source code
🔥часть6/part6 +📔исходный код/source code
🔥часть7/part7(Disable Windows Defender) +
📔исходный код/source code
🔥часть8/part8(Encode payload via Z85 algorithm) +
📔исходный код/source code
🔥часть9/part9( Encrypt base64 encoded payload via RC4) +
📔исходный код/source code
🔥часть10/part10(anti-debugging. NtGlobalFlag) +
📔исходный код/source code
#malwareDevelopment #av #evasion #WinDefender #antiReverse
👍4🔥1
|Most Common Windows Event IDs|
💥Windows Event Logs mindmap будет полезна для упрощения работы с журналами событий в винде, а также
применяется для следующих целей:
🕵️♂️Сбор логов
🕵️♂️Ловля/охота на угрозы(Threat hunting)
🕵️♂️DFIR(форензика)
🕵️♂️Диагностика
💥Windows Event Logs mindmap will be useful for simplifying the work with event logs in Windows, and is also
used for the following purposes:
🕵️♂️Log collection
🕵️♂️Threat hunting
🕵️♂️DFIR
🕵️♂️Troubleshooting
#forensics
💥Windows Event Logs mindmap будет полезна для упрощения работы с журналами событий в винде, а также
применяется для следующих целей:
🕵️♂️Сбор логов
🕵️♂️Ловля/охота на угрозы(Threat hunting)
🕵️♂️DFIR(форензика)
🕵️♂️Диагностика
💥Windows Event Logs mindmap will be useful for simplifying the work with event logs in Windows, and is also
used for the following purposes:
🕵️♂️Log collection
🕵️♂️Threat hunting
🕵️♂️DFIR
🕵️♂️Troubleshooting
#forensics
👍2
Forwarded from Private Shizo
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from Private Shizo
👍3🤩2
|Astoria|
🤙Шизо на связи!
🕔Пока разбираю hertzbleed на практике, напишу ретроспективу на позабытый проект клиента Tor с поддержкой AS.
Собственно Astoria вышел для борьбы с атаками на анонимность от АНБ в основном используя
"Timing Attacks"(пост на канале) для деанонимизации пользователей Tor. Собственно, кто забыл атака трудно реализуемая, но имея доступ входным/выходным ретрансляторам можно её осуществить за короткий срок. Да, на территории России такое трудно осуществимо, однако у АНБ есть в этом преимущество в лице огромного количества Tor-нод, подконтрольными им.
Для большей наглядности, можно посмотреть инструменты/ресурсы, которые публиковал на канале(Tor-IP-Addresses, exitmap, onionite, OrNetRadar). Можно даже самому убедиться, какая геолокация у большого количества цепей Tor - США и Европа(страны, находящиеся под влиянием/в сотрудничестве с США). Ещё можно поискать в сети исследования/статьи на тему количества уязвимых цепей/нод Tor в Иране и Китае, в которых сообщается о очень печальных цифрах(более 90% ).
Если говорить про общие цифры, то можно уверенно заявить, что количество уязвимых цепей Tor к "корреляционным атакам" в общем по миру приближается к 50%(на уровне AS), как практика показывает, уже перевалило давно, но это не означает, что с вероятностью 50% можно с помощью такого вектора атак сдеанонимизировать(теория вероятностей).
Собственно Astoria в 2015 году пришёл, как решение проблемы со слежкой пользователей Tor(понятное дело, что неподкованному анониму и это не поможет).
Помимо очевидного момента с борьбой атак на AS и state уровне, есть ещё не плохое преимущество в виде построения цепочек в небезопасной среде, когда не получается воспользоваться безопасными Tor-ретрансляторами. Также, помимо "Timing Attacks", есть ещё при должном количестве навыков и знаний - возможность защиты от систем, которые в реальном времени могут захватывать(hijack) и перехватывать трафик(эти системы используется при реализации RAPTOR атак, про которые в дальнейшем расскажу на канале).
Упростив все тонкости тулзы - там реализован алгоритм, который упомянул выше, для прогнозирования атак и дальнейшего выбора ретранслятора для уменьшения успеха атакующим провести "Timing attack" до ~6%(чтобы добиться ещё лучшего результата, можно прибегнуть к описанным мною инструментам: sdwate и tirdad).
Объясню вкратце и просто, про вектор атак RAPTOR(до сих пор применяется и при её видоизменении можно добиться очень не плохого результата по сопоставлению цифровой с реальной личностью).
Вот у нас есть динамическая маршрутизация в интернете, а также атакующий на уровне AS и благодаря тому, что можно проэкслуатировать её, то на основе ассиметричной маршрутизации или оттоке маршрутизации можно сдеанонимизировать пользователя Tor. Если чутка добавить конкретики, то стоит отметить, происходит именно не что иное, как корреляция ассиметричного трафика в сети Tor, а также анализ трафика с помощью BGP hijack в Tor. Как контрмеры - приложу последним скрином "таксономию контрмер Raptor".
Подводя итоге, хочется сказать, что исследовательский проект Astoria можно считать очень даже не плохим и подающим надежду на довольно неплохой инструмент противодействия атакам со стороны государственных служб или против злоумышленников, обладающих требуемыми техническими ресурсами и навыками. При сильно желании, можно допилить Astoria, чтобы корректно работал в нынешних реалиях.
Как уже многие заметили, читая Шизо, что защититься от атак в сети Tor становится крайне сложно, ведь когда мне приходилось в исследовательских целях проводить атаки на Tor-пользователей(преступников), то на удивление оказалось намного проще, подробнее будет разобрано на канале, этим летом-осенью.
👇Исследование прикладываю ниже.👇
#tor #anonymity #shizo #NSA #TimingAttack
🤙Шизо на связи!
🕔Пока разбираю hertzbleed на практике, напишу ретроспективу на позабытый проект клиента Tor с поддержкой AS.
Собственно Astoria вышел для борьбы с атаками на анонимность от АНБ в основном используя
"Timing Attacks"(пост на канале) для деанонимизации пользователей Tor. Собственно, кто забыл атака трудно реализуемая, но имея доступ входным/выходным ретрансляторам можно её осуществить за короткий срок. Да, на территории России такое трудно осуществимо, однако у АНБ есть в этом преимущество в лице огромного количества Tor-нод, подконтрольными им.
Для большей наглядности, можно посмотреть инструменты/ресурсы, которые публиковал на канале(Tor-IP-Addresses, exitmap, onionite, OrNetRadar). Можно даже самому убедиться, какая геолокация у большого количества цепей Tor - США и Европа(страны, находящиеся под влиянием/в сотрудничестве с США). Ещё можно поискать в сети исследования/статьи на тему количества уязвимых цепей/нод Tor в Иране и Китае, в которых сообщается о очень печальных цифрах(более 90% ).
Если говорить про общие цифры, то можно уверенно заявить, что количество уязвимых цепей Tor к "корреляционным атакам" в общем по миру приближается к 50%(на уровне AS), как практика показывает, уже перевалило давно, но это не означает, что с вероятностью 50% можно с помощью такого вектора атак сдеанонимизировать(теория вероятностей).
Собственно Astoria в 2015 году пришёл, как решение проблемы со слежкой пользователей Tor(понятное дело, что неподкованному анониму и это не поможет).
Помимо очевидного момента с борьбой атак на AS и state уровне, есть ещё не плохое преимущество в виде построения цепочек в небезопасной среде, когда не получается воспользоваться безопасными Tor-ретрансляторами. Также, помимо "Timing Attacks", есть ещё при должном количестве навыков и знаний - возможность защиты от систем, которые в реальном времени могут захватывать(hijack) и перехватывать трафик(эти системы используется при реализации RAPTOR атак, про которые в дальнейшем расскажу на канале).
Упростив все тонкости тулзы - там реализован алгоритм, который упомянул выше, для прогнозирования атак и дальнейшего выбора ретранслятора для уменьшения успеха атакующим провести "Timing attack" до ~6%(чтобы добиться ещё лучшего результата, можно прибегнуть к описанным мною инструментам: sdwate и tirdad).
Объясню вкратце и просто, про вектор атак RAPTOR(до сих пор применяется и при её видоизменении можно добиться очень не плохого результата по сопоставлению цифровой с реальной личностью).
Вот у нас есть динамическая маршрутизация в интернете, а также атакующий на уровне AS и благодаря тому, что можно проэкслуатировать её, то на основе ассиметричной маршрутизации или оттоке маршрутизации можно сдеанонимизировать пользователя Tor. Если чутка добавить конкретики, то стоит отметить, происходит именно не что иное, как корреляция ассиметричного трафика в сети Tor, а также анализ трафика с помощью BGP hijack в Tor. Как контрмеры - приложу последним скрином "таксономию контрмер Raptor".
Подводя итоге, хочется сказать, что исследовательский проект Astoria можно считать очень даже не плохим и подающим надежду на довольно неплохой инструмент противодействия атакам со стороны государственных служб или против злоумышленников, обладающих требуемыми техническими ресурсами и навыками. При сильно желании, можно допилить Astoria, чтобы корректно работал в нынешних реалиях.
Как уже многие заметили, читая Шизо, что защититься от атак в сети Tor становится крайне сложно, ведь когда мне приходилось в исследовательских целях проводить атаки на Tor-пользователей(преступников), то на удивление оказалось намного проще, подробнее будет разобрано на канале, этим летом-осенью.
👇Исследование прикладываю ниже.👇
#tor #anonymity #shizo #NSA #TimingAttack
👍6