|Inquisitor|
🤙Шизо на связи!
Inquisitor - это тулза для форензик специалистов, нацеленная на вытаскивание артефактов в семействе ОС windows(версии от xp до десятки), имеет как CLI, так и GUI(очень простой и понятный). На линуксе, когда пробовал через wine(переводит виндовые API вызовы в POSIX вызовы), то возникало много ошибок. А вариант с запуском PowerShell на линуксе - тоже не вариант, ибо ещё должны подгружаться dll-либы(.NET).
Причём, хочу отметить, что в Inquisitor не только происходит вытаскивание артефактов, но и их анализ с дальнейшим дешифрованием, чем меня и подкупил инструмент, хотя форензикой на винде очень редко занимаюсь. Также, на момент выхода последней версии(2020 год) были реализованы все тактики Mitre ATT&CK по идентификации закрепления(persistence), что считаю тоже довольно жирным плюсом в совокупности с правилами для файерволла, поддержка работы с облаком(вытаскивает артефакты и анализирует в логах облачных клиентов: One Drive, Google Drive и Dropbox), также можно вытащить и пропарсить креды из менеджера винды.
Ещё отличие от другие тулзов в том, что итерация производится сразу двумя способами HKU и HKCU в отличие от аналогов, в придачу с большим списком, откуда можно получить и проанализировать артефакты в инструменте(выше прикладыаю гифку, на которой они видны). И да, есть поддержка работы с артефактами Tor браузера, что для Шизо при криминалистическом анализе не мало важно.
🤙The Shizo is in touch!
Inquisitor is a tool for forensic specialists aimed at pulling out artifacts in the windows OS family (versions from xp to the tenth Windows), has both a CLI and a GUI (very simple and intuitive). On linux, when I tried using wine (translates windows API calls to POSIX calls), many errors occurred. And the option of running PowerShell on linux is also not an option, because dll libraries (.NET) still have to be loaded.
Moreover, I want to note that Inquisitor not only pulls out artifacts, but also analyzes them with further decryption, which is what the tool bribed me, although I rarely do forensis on Windows. Also, at the time of the release of the latest version (2020), all Mitre ATT&CK tactics for pinning identification(persistence), which I think is also a pretty fat plus in conjunction with the rules for the firewall, support for working with the cloud (pulls out artifacts and analyzes in the logs of cloud clients: One Drive, Google Drive and Dropbox), you can also pull out and parse credits from the Windows manager.
Another difference from other tools is that the iteration is performed in two ways at once HKU and HKCU, unlike analogues, in addition with a large list from where you can get and analyze artifacts in the tool (above I have a gif on which the functions are displayed). And yes, there is support for working with Tor browser artifacts, which is not a little important for the Shizo during forensic analysis.
#forensics
🤙Шизо на связи!
Inquisitor - это тулза для форензик специалистов, нацеленная на вытаскивание артефактов в семействе ОС windows(версии от xp до десятки), имеет как CLI, так и GUI(очень простой и понятный). На линуксе, когда пробовал через wine(переводит виндовые API вызовы в POSIX вызовы), то возникало много ошибок. А вариант с запуском PowerShell на линуксе - тоже не вариант, ибо ещё должны подгружаться dll-либы(.NET).
Причём, хочу отметить, что в Inquisitor не только происходит вытаскивание артефактов, но и их анализ с дальнейшим дешифрованием, чем меня и подкупил инструмент, хотя форензикой на винде очень редко занимаюсь. Также, на момент выхода последней версии(2020 год) были реализованы все тактики Mitre ATT&CK по идентификации закрепления(persistence), что считаю тоже довольно жирным плюсом в совокупности с правилами для файерволла, поддержка работы с облаком(вытаскивает артефакты и анализирует в логах облачных клиентов: One Drive, Google Drive и Dropbox), также можно вытащить и пропарсить креды из менеджера винды.
Ещё отличие от другие тулзов в том, что итерация производится сразу двумя способами HKU и HKCU в отличие от аналогов, в придачу с большим списком, откуда можно получить и проанализировать артефакты в инструменте(выше прикладыаю гифку, на которой они видны). И да, есть поддержка работы с артефактами Tor браузера, что для Шизо при криминалистическом анализе не мало важно.
🤙The Shizo is in touch!
Inquisitor is a tool for forensic specialists aimed at pulling out artifacts in the windows OS family (versions from xp to the tenth Windows), has both a CLI and a GUI (very simple and intuitive). On linux, when I tried using wine (translates windows API calls to POSIX calls), many errors occurred. And the option of running PowerShell on linux is also not an option, because dll libraries (.NET) still have to be loaded.
Moreover, I want to note that Inquisitor not only pulls out artifacts, but also analyzes them with further decryption, which is what the tool bribed me, although I rarely do forensis on Windows. Also, at the time of the release of the latest version (2020), all Mitre ATT&CK tactics for pinning identification(persistence), which I think is also a pretty fat plus in conjunction with the rules for the firewall, support for working with the cloud (pulls out artifacts and analyzes in the logs of cloud clients: One Drive, Google Drive and Dropbox), you can also pull out and parse credits from the Windows manager.
Another difference from other tools is that the iteration is performed in two ways at once HKU and HKCU, unlike analogues, in addition with a large list from where you can get and analyze artifacts in the tool (above I have a gif on which the functions are displayed). And yes, there is support for working with Tor browser artifacts, which is not a little important for the Shizo during forensic analysis.
#forensics
❤4👍3
|Real-world Android Malware Analysis|
🦠Серия статей про анализ малварей в дикой природе на андроидах. В чём плюс: на момент написания первой статьи, сам автор только-только освоил основы реверса и анализа малварей на андроиде, поэтому будет полезно тем, кто начинает познавать это ремесло.
🦠A series of articles about the analysis of malware in the wild on androids. What's the plus: at the time of writing the first article, the author himself has just mastered the basics of reverse and analysis of malvari on android, so it will be useful for those who are beginning to learn this craft.
💥Часть1/Part1: eblagh.apk
💥Часть2/Part2: de.app.quickcurrencyswap
💥Часть3/Part3 : com.eth.appdroid
💥Часть4/Part4: thisisme.thisapp.inspxctor
#android #malware
🦠Серия статей про анализ малварей в дикой природе на андроидах. В чём плюс: на момент написания первой статьи, сам автор только-только освоил основы реверса и анализа малварей на андроиде, поэтому будет полезно тем, кто начинает познавать это ремесло.
🦠A series of articles about the analysis of malware in the wild on androids. What's the plus: at the time of writing the first article, the author himself has just mastered the basics of reverse and analysis of malvari on android, so it will be useful for those who are beginning to learn this craft.
💥Часть1/Part1: eblagh.apk
💥Часть2/Part2: de.app.quickcurrencyswap
💥Часть3/Part3 : com.eth.appdroid
💥Часть4/Part4: thisisme.thisapp.inspxctor
#android #malware
👍3🥰2🔥1
|AV engines evasion|
🛡Только в ознакомительных целях!
Цикл статей про обход АВ движков и написание малваря на C++, который будет запускать пэйлоад.
💥Перед прочтением советую ознакомиться с тактиками обхода средств защиты информации от MITRE ATT&CK.
🛡For educational purposes only!
A series of articles about evasion AV engines and writing malware in C++ that will launch the payload.
💥 Before reading, I advise you to familiarize yourself with the tactics of Defense Evasion from MITRE ATT&CK.
🔥Evasions: Registry
🔥Classic code injection into the process
🔥часть1/part1 +📔исходный код/source code
🔥часть2/part2 +📔исходный код/source code
🔥часть3/part3 +📔исходный код/source code
🔥часть4/part4 +📔исходный код/source code
🔥часть5/part5 +📔исходный код/source code
🔥часть6/part6 +📔исходный код/source code
🔥часть7/part7(Disable Windows Defender) +
📔исходный код/source code
🔥часть8/part8(Encode payload via Z85 algorithm) +
📔исходный код/source code
🔥часть9/part9( Encrypt base64 encoded payload via RC4) +
📔исходный код/source code
🔥часть10/part10(anti-debugging. NtGlobalFlag) +
📔исходный код/source code
#malwareDevelopment #av #evasion #WinDefender #antiReverse
🛡Только в ознакомительных целях!
Цикл статей про обход АВ движков и написание малваря на C++, который будет запускать пэйлоад.
💥Перед прочтением советую ознакомиться с тактиками обхода средств защиты информации от MITRE ATT&CK.
🛡For educational purposes only!
A series of articles about evasion AV engines and writing malware in C++ that will launch the payload.
💥 Before reading, I advise you to familiarize yourself with the tactics of Defense Evasion from MITRE ATT&CK.
🔥Evasions: Registry
🔥Classic code injection into the process
🔥часть1/part1 +📔исходный код/source code
🔥часть2/part2 +📔исходный код/source code
🔥часть3/part3 +📔исходный код/source code
🔥часть4/part4 +📔исходный код/source code
🔥часть5/part5 +📔исходный код/source code
🔥часть6/part6 +📔исходный код/source code
🔥часть7/part7(Disable Windows Defender) +
📔исходный код/source code
🔥часть8/part8(Encode payload via Z85 algorithm) +
📔исходный код/source code
🔥часть9/part9( Encrypt base64 encoded payload via RC4) +
📔исходный код/source code
🔥часть10/part10(anti-debugging. NtGlobalFlag) +
📔исходный код/source code
#malwareDevelopment #av #evasion #WinDefender #antiReverse
👍4🔥1
|Most Common Windows Event IDs|
💥Windows Event Logs mindmap будет полезна для упрощения работы с журналами событий в винде, а также
применяется для следующих целей:
🕵️♂️Сбор логов
🕵️♂️Ловля/охота на угрозы(Threat hunting)
🕵️♂️DFIR(форензика)
🕵️♂️Диагностика
💥Windows Event Logs mindmap will be useful for simplifying the work with event logs in Windows, and is also
used for the following purposes:
🕵️♂️Log collection
🕵️♂️Threat hunting
🕵️♂️DFIR
🕵️♂️Troubleshooting
#forensics
💥Windows Event Logs mindmap будет полезна для упрощения работы с журналами событий в винде, а также
применяется для следующих целей:
🕵️♂️Сбор логов
🕵️♂️Ловля/охота на угрозы(Threat hunting)
🕵️♂️DFIR(форензика)
🕵️♂️Диагностика
💥Windows Event Logs mindmap will be useful for simplifying the work with event logs in Windows, and is also
used for the following purposes:
🕵️♂️Log collection
🕵️♂️Threat hunting
🕵️♂️DFIR
🕵️♂️Troubleshooting
#forensics
👍2
Forwarded from Private Shizo
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from Private Shizo
👍3🤩2
|Astoria|
🤙Шизо на связи!
🕔Пока разбираю hertzbleed на практике, напишу ретроспективу на позабытый проект клиента Tor с поддержкой AS.
Собственно Astoria вышел для борьбы с атаками на анонимность от АНБ в основном используя
"Timing Attacks"(пост на канале) для деанонимизации пользователей Tor. Собственно, кто забыл атака трудно реализуемая, но имея доступ входным/выходным ретрансляторам можно её осуществить за короткий срок. Да, на территории России такое трудно осуществимо, однако у АНБ есть в этом преимущество в лице огромного количества Tor-нод, подконтрольными им.
Для большей наглядности, можно посмотреть инструменты/ресурсы, которые публиковал на канале(Tor-IP-Addresses, exitmap, onionite, OrNetRadar). Можно даже самому убедиться, какая геолокация у большого количества цепей Tor - США и Европа(страны, находящиеся под влиянием/в сотрудничестве с США). Ещё можно поискать в сети исследования/статьи на тему количества уязвимых цепей/нод Tor в Иране и Китае, в которых сообщается о очень печальных цифрах(более 90% ).
Если говорить про общие цифры, то можно уверенно заявить, что количество уязвимых цепей Tor к "корреляционным атакам" в общем по миру приближается к 50%(на уровне AS), как практика показывает, уже перевалило давно, но это не означает, что с вероятностью 50% можно с помощью такого вектора атак сдеанонимизировать(теория вероятностей).
Собственно Astoria в 2015 году пришёл, как решение проблемы со слежкой пользователей Tor(понятное дело, что неподкованному анониму и это не поможет).
Помимо очевидного момента с борьбой атак на AS и state уровне, есть ещё не плохое преимущество в виде построения цепочек в небезопасной среде, когда не получается воспользоваться безопасными Tor-ретрансляторами. Также, помимо "Timing Attacks", есть ещё при должном количестве навыков и знаний - возможность защиты от систем, которые в реальном времени могут захватывать(hijack) и перехватывать трафик(эти системы используется при реализации RAPTOR атак, про которые в дальнейшем расскажу на канале).
Упростив все тонкости тулзы - там реализован алгоритм, который упомянул выше, для прогнозирования атак и дальнейшего выбора ретранслятора для уменьшения успеха атакующим провести "Timing attack" до ~6%(чтобы добиться ещё лучшего результата, можно прибегнуть к описанным мною инструментам: sdwate и tirdad).
Объясню вкратце и просто, про вектор атак RAPTOR(до сих пор применяется и при её видоизменении можно добиться очень не плохого результата по сопоставлению цифровой с реальной личностью).
Вот у нас есть динамическая маршрутизация в интернете, а также атакующий на уровне AS и благодаря тому, что можно проэкслуатировать её, то на основе ассиметричной маршрутизации или оттоке маршрутизации можно сдеанонимизировать пользователя Tor. Если чутка добавить конкретики, то стоит отметить, происходит именно не что иное, как корреляция ассиметричного трафика в сети Tor, а также анализ трафика с помощью BGP hijack в Tor. Как контрмеры - приложу последним скрином "таксономию контрмер Raptor".
Подводя итоге, хочется сказать, что исследовательский проект Astoria можно считать очень даже не плохим и подающим надежду на довольно неплохой инструмент противодействия атакам со стороны государственных служб или против злоумышленников, обладающих требуемыми техническими ресурсами и навыками. При сильно желании, можно допилить Astoria, чтобы корректно работал в нынешних реалиях.
Как уже многие заметили, читая Шизо, что защититься от атак в сети Tor становится крайне сложно, ведь когда мне приходилось в исследовательских целях проводить атаки на Tor-пользователей(преступников), то на удивление оказалось намного проще, подробнее будет разобрано на канале, этим летом-осенью.
👇Исследование прикладываю ниже.👇
#tor #anonymity #shizo #NSA #TimingAttack
🤙Шизо на связи!
🕔Пока разбираю hertzbleed на практике, напишу ретроспективу на позабытый проект клиента Tor с поддержкой AS.
Собственно Astoria вышел для борьбы с атаками на анонимность от АНБ в основном используя
"Timing Attacks"(пост на канале) для деанонимизации пользователей Tor. Собственно, кто забыл атака трудно реализуемая, но имея доступ входным/выходным ретрансляторам можно её осуществить за короткий срок. Да, на территории России такое трудно осуществимо, однако у АНБ есть в этом преимущество в лице огромного количества Tor-нод, подконтрольными им.
Для большей наглядности, можно посмотреть инструменты/ресурсы, которые публиковал на канале(Tor-IP-Addresses, exitmap, onionite, OrNetRadar). Можно даже самому убедиться, какая геолокация у большого количества цепей Tor - США и Европа(страны, находящиеся под влиянием/в сотрудничестве с США). Ещё можно поискать в сети исследования/статьи на тему количества уязвимых цепей/нод Tor в Иране и Китае, в которых сообщается о очень печальных цифрах(более 90% ).
Если говорить про общие цифры, то можно уверенно заявить, что количество уязвимых цепей Tor к "корреляционным атакам" в общем по миру приближается к 50%(на уровне AS), как практика показывает, уже перевалило давно, но это не означает, что с вероятностью 50% можно с помощью такого вектора атак сдеанонимизировать(теория вероятностей).
Собственно Astoria в 2015 году пришёл, как решение проблемы со слежкой пользователей Tor(понятное дело, что неподкованному анониму и это не поможет).
Помимо очевидного момента с борьбой атак на AS и state уровне, есть ещё не плохое преимущество в виде построения цепочек в небезопасной среде, когда не получается воспользоваться безопасными Tor-ретрансляторами. Также, помимо "Timing Attacks", есть ещё при должном количестве навыков и знаний - возможность защиты от систем, которые в реальном времени могут захватывать(hijack) и перехватывать трафик(эти системы используется при реализации RAPTOR атак, про которые в дальнейшем расскажу на канале).
Упростив все тонкости тулзы - там реализован алгоритм, который упомянул выше, для прогнозирования атак и дальнейшего выбора ретранслятора для уменьшения успеха атакующим провести "Timing attack" до ~6%(чтобы добиться ещё лучшего результата, можно прибегнуть к описанным мною инструментам: sdwate и tirdad).
Объясню вкратце и просто, про вектор атак RAPTOR(до сих пор применяется и при её видоизменении можно добиться очень не плохого результата по сопоставлению цифровой с реальной личностью).
Вот у нас есть динамическая маршрутизация в интернете, а также атакующий на уровне AS и благодаря тому, что можно проэкслуатировать её, то на основе ассиметричной маршрутизации или оттоке маршрутизации можно сдеанонимизировать пользователя Tor. Если чутка добавить конкретики, то стоит отметить, происходит именно не что иное, как корреляция ассиметричного трафика в сети Tor, а также анализ трафика с помощью BGP hijack в Tor. Как контрмеры - приложу последним скрином "таксономию контрмер Raptor".
Подводя итоге, хочется сказать, что исследовательский проект Astoria можно считать очень даже не плохим и подающим надежду на довольно неплохой инструмент противодействия атакам со стороны государственных служб или против злоумышленников, обладающих требуемыми техническими ресурсами и навыками. При сильно желании, можно допилить Astoria, чтобы корректно работал в нынешних реалиях.
Как уже многие заметили, читая Шизо, что защититься от атак в сети Tor становится крайне сложно, ведь когда мне приходилось в исследовательских целях проводить атаки на Tor-пользователей(преступников), то на удивление оказалось намного проще, подробнее будет разобрано на канале, этим летом-осенью.
👇Исследование прикладываю ниже.👇
#tor #anonymity #shizo #NSA #TimingAttack
👍6
|Astoria|
🤙 The Shizo is in touch!
🕔While I 'm sorting out hertzbleed in practice, I will write a retrospective on a forgotten Tor client project with AS support.
Actually Astoria came out to combat attacks on anonymity from the NSA mainly using
"Timing Attacks"(post on the channel - link1, link2) to deanonymize Tor users. Actually, who forgot, the attack is difficult to implement, but having access to input/output repeaters, it can be carried out in a short time. Yes, this is difficult to do on the territory of Russia, but the NSA has an advantage in this in the face of a huge number of Tor nodes controlled by them.
For more clarity, you can see the tools/resources that were published on the channel (Tor-IP-Addresses, exitmap, onionite, OrNetRadar). You can even see for yourself what kind of geolocation a large number of Tor chains have - the USA and Europe (countries under the influence / in cooperation with the USA). You can also search the web for studies/ articles on the number of vulnerable Tor chains/nodes in Iran and China, which report very sad figures (more than 90%).
If we talk about the general figures, then we can confidently say that the number of vulnerable Tor chains to "correlation attacks" in general around the world is approaching 50% (at the AS level), as practice shows, has already passed for a long time, but this does not mean that with a probability of 50% it is possible to use such an attack vector to anonymize(probability theory).
Actually, Astoria came in 2015 as a solution to the problem with the surveillance of Tor users (it is clear that this will not help an unshod anonymous person).
In addition to the obvious point with the fight against attacks at the AS and state level, there is still a good advantage in the form of building chains in an insecure environment when it is not possible to use secure Tor relays. Also, in addition to "Timing Attacks", there is also, with the proper amount of skills and knowledge, the ability to protect against systems that can hijack and intercept traffic in real time (these systems are used in the implementation of RAPTOR attacks, which I will tell you about later on the channel).
Simplifying all the subtleties of tulsa, the algorithm mentioned above is implemented there to predict attacks and further select a repeater to reduce the success of an attacker to conduct a "Timing attack" to ~ 6% (to achieve an even better result, you can resort to the tools I described: sdwate and tirdad).
I will explain briefly and simply about the RAPTOR attack vector (it is still used and with its modification it is possible to achieve a very good result by comparing the digital with the real person).
Here we have dynamic routing on the Internet, as well as an attacker at the AS level, and due to the fact that it can be interpreted, then on the basis of asymmetric routing or routing outflow, it is possible to deanonymize the Tor user. If you add a little specifics, it is worth noting that there is nothing more than the correlation of asymmetric traffic in the Tor network, as well as traffic analysis using BGP hijack in Tor. As countermeasures, I will attach the last screenshot of the "taxonomy of Raptor countermeasures".
Summing up, I would like to say that the Astoria research project can be considered very good and promising for a pretty good tool to counter attacks from government services or against intruders with the required technical resources and skills. If you really want, you can finish the Astoria to work correctly in the current realities.
As many have already noticed, reading the Shizo, it becomes extremely difficult to defend against attacks on the Tor network, because when I had to carry out attacks on Tor users (criminals) for research purposes, it surprisingly turned out to be much easier, more details will be analyzed on the channel, this summer-autumn.
👇 The research is attached below. 👇
#tor #anonymity #shizo #NSA #TimingAttack
🤙 The Shizo is in touch!
🕔While I 'm sorting out hertzbleed in practice, I will write a retrospective on a forgotten Tor client project with AS support.
Actually Astoria came out to combat attacks on anonymity from the NSA mainly using
"Timing Attacks"(post on the channel - link1, link2) to deanonymize Tor users. Actually, who forgot, the attack is difficult to implement, but having access to input/output repeaters, it can be carried out in a short time. Yes, this is difficult to do on the territory of Russia, but the NSA has an advantage in this in the face of a huge number of Tor nodes controlled by them.
For more clarity, you can see the tools/resources that were published on the channel (Tor-IP-Addresses, exitmap, onionite, OrNetRadar). You can even see for yourself what kind of geolocation a large number of Tor chains have - the USA and Europe (countries under the influence / in cooperation with the USA). You can also search the web for studies/ articles on the number of vulnerable Tor chains/nodes in Iran and China, which report very sad figures (more than 90%).
If we talk about the general figures, then we can confidently say that the number of vulnerable Tor chains to "correlation attacks" in general around the world is approaching 50% (at the AS level), as practice shows, has already passed for a long time, but this does not mean that with a probability of 50% it is possible to use such an attack vector to anonymize(probability theory).
Actually, Astoria came in 2015 as a solution to the problem with the surveillance of Tor users (it is clear that this will not help an unshod anonymous person).
In addition to the obvious point with the fight against attacks at the AS and state level, there is still a good advantage in the form of building chains in an insecure environment when it is not possible to use secure Tor relays. Also, in addition to "Timing Attacks", there is also, with the proper amount of skills and knowledge, the ability to protect against systems that can hijack and intercept traffic in real time (these systems are used in the implementation of RAPTOR attacks, which I will tell you about later on the channel).
Simplifying all the subtleties of tulsa, the algorithm mentioned above is implemented there to predict attacks and further select a repeater to reduce the success of an attacker to conduct a "Timing attack" to ~ 6% (to achieve an even better result, you can resort to the tools I described: sdwate and tirdad).
I will explain briefly and simply about the RAPTOR attack vector (it is still used and with its modification it is possible to achieve a very good result by comparing the digital with the real person).
Here we have dynamic routing on the Internet, as well as an attacker at the AS level, and due to the fact that it can be interpreted, then on the basis of asymmetric routing or routing outflow, it is possible to deanonymize the Tor user. If you add a little specifics, it is worth noting that there is nothing more than the correlation of asymmetric traffic in the Tor network, as well as traffic analysis using BGP hijack in Tor. As countermeasures, I will attach the last screenshot of the "taxonomy of Raptor countermeasures".
Summing up, I would like to say that the Astoria research project can be considered very good and promising for a pretty good tool to counter attacks from government services or against intruders with the required technical resources and skills. If you really want, you can finish the Astoria to work correctly in the current realities.
As many have already noticed, reading the Shizo, it becomes extremely difficult to defend against attacks on the Tor network, because when I had to carry out attacks on Tor users (criminals) for research purposes, it surprisingly turned out to be much easier, more details will be analyzed on the channel, this summer-autumn.
👇 The research is attached below. 👇
#tor #anonymity #shizo #NSA #TimingAttack