Подборка постов по Tor/A selection of posts on Tor:
💥Astoria(ru/en)
💥Удобно? А давай тебя сдеаноним? Часть1/ Convenient? And let's deanonymize you? Part1
💥Удобно? А давай тебя сдеаноним? Часть2/ Convenient? And let's deanonymize you? Part2
💥Tor in my mind
💥OrNetRadar
💥Oniolite
💥USB Side-channel Attack on Tor
💥exitmap
💥Tor IP Addresses
💥Fingerprintability of Tor Hidden Service Traffic Proxied Through Obfs4
💥Tor in the Sandbox
💥базовые аспекты использования TOR и TOR браузера/ basic aspects of using TOR and the TOR browser
💥Исследование по идентификации трафика TOR, оценке безопасности и про мониторинг угроз в дарке / Research on the identification of TOR traffic , security assessment and threat monitoring in dark web
💥Деанонимизация в торе с помощью ML(машинного обучения) и fingerprint/ Deanonymization in the TOR using ML (machine learning) and fingerprint
💥Деаон в Торе через транзакции битков/ Deanonymizing Tor hidden service users through Bitcoin transactions
#tor #anonymity #deanonymization #privacy #shizo
💥Astoria(ru/en)
💥Удобно? А давай тебя сдеаноним? Часть1/ Convenient? And let's deanonymize you? Part1
💥Удобно? А давай тебя сдеаноним? Часть2/ Convenient? And let's deanonymize you? Part2
💥Tor in my mind
💥OrNetRadar
💥Oniolite
💥USB Side-channel Attack on Tor
💥exitmap
💥Tor IP Addresses
💥Fingerprintability of Tor Hidden Service Traffic Proxied Through Obfs4
💥Tor in the Sandbox
💥базовые аспекты использования TOR и TOR браузера/ basic aspects of using TOR and the TOR browser
💥Исследование по идентификации трафика TOR, оценке безопасности и про мониторинг угроз в дарке / Research on the identification of TOR traffic , security assessment and threat monitoring in dark web
💥Деанонимизация в торе с помощью ML(машинного обучения) и fingerprint/ Deanonymization in the TOR using ML (machine learning) and fingerprint
💥Деаон в Торе через транзакции битков/ Deanonymizing Tor hidden service users through Bitcoin transactions
#tor #anonymity #deanonymization #privacy #shizo
🔥5👍1
|elrond|
🤙Шизо на связи!
🕵️♂️Недавно открыл для себя полезный проект для работы с образами дисков: Windows E01 или VMDK, macOS DMG / E01 или VMDK, Linux dd или VMDK и что пока тестирую - работа с raw memory образами и пока руки не дошли проверить, как происходит взаимодействие с собранными артефактами из Splunk.
Собственно, а что делает erlond в ходе форензик-экспертизы вышеперечисленных образов дисков?
Всё очень просто:идентификация, сбор, обработка, анализ и вывод артефактов из образов дисков, причём на выходе можно получить результат в JSON или CSV формате для дальнейшей работы, к примеру можем скормить почти любой тулзе для анализа логов.
На основе полученных артефактов можно выстроить плацдарм, на котором будет видно какие скорее всего использовались методы атак, благодаря тому, что артефакты в конечном итоге назначаются и согласовываются с MITRE ATT & CK, а также затем можно заполнить локальный экземпляр ATT&CK Navigator и попивать чай, не спеша распутывая инцидент.
Заметил ещё функции по типу: хэширование изображений и файлов, извлечение метаданных, восстановление файлов, извлечение IOC, поиск по ключевым словам и определение времени, конечно, это всё хорошо, но по мне так для таких задач лучше использовать уже выверенные временем и опытом тулзы(вообщем, те которые уже в своем арсенале), хотя и заманивает с другой стороны своей простотой и мультифункциональностью в одном месте.
🤙The Shizo is in touch!
🕵️♂️I recently discovered a useful project for working with disk images: Windows E01 or VMDK, macOS DMG/E01 or VMDK, Linux dd or VMDK, and what I'm testing so far is working with raw memory images and until I got around to checking how interaction with the collected artifacts from Splunk occurs.
Actually, what does erlond do during the forensic examination of the above disk images?
It's very simple:identification, collection, processing, analysis and output of artifacts from disk images, and at the output you can get the result in JSON or CSV format for further work, for example, we can feed almost any tool for analyzing logs.
Based on the artifacts obtained, it is possible to build a springboard on which it will be seen which attack methods were most likely used, due to the fact that the artifacts are eventually assigned and coordinated with MITRE ATT & CK, and then you can fill in a local instance of ATT&CK Navigator and drink tea, slowly unraveling the incident.
I also noticed functions by type: hashing of images and files, metadata extraction, file recovery, IOC extraction, keyword search and time determination, of course, this is all good, but for me it's better to use tools already verified by time and experience for such tasks (in general, those that are already in their arsenal), although it lures on the other hand with its simplicity and multifunctionality in one place.
#forensics
🤙Шизо на связи!
🕵️♂️Недавно открыл для себя полезный проект для работы с образами дисков: Windows E01 или VMDK, macOS DMG / E01 или VMDK, Linux dd или VMDK и что пока тестирую - работа с raw memory образами и пока руки не дошли проверить, как происходит взаимодействие с собранными артефактами из Splunk.
Собственно, а что делает erlond в ходе форензик-экспертизы вышеперечисленных образов дисков?
Всё очень просто:идентификация, сбор, обработка, анализ и вывод артефактов из образов дисков, причём на выходе можно получить результат в JSON или CSV формате для дальнейшей работы, к примеру можем скормить почти любой тулзе для анализа логов.
На основе полученных артефактов можно выстроить плацдарм, на котором будет видно какие скорее всего использовались методы атак, благодаря тому, что артефакты в конечном итоге назначаются и согласовываются с MITRE ATT & CK, а также затем можно заполнить локальный экземпляр ATT&CK Navigator и попивать чай, не спеша распутывая инцидент.
Заметил ещё функции по типу: хэширование изображений и файлов, извлечение метаданных, восстановление файлов, извлечение IOC, поиск по ключевым словам и определение времени, конечно, это всё хорошо, но по мне так для таких задач лучше использовать уже выверенные временем и опытом тулзы(вообщем, те которые уже в своем арсенале), хотя и заманивает с другой стороны своей простотой и мультифункциональностью в одном месте.
🤙The Shizo is in touch!
🕵️♂️I recently discovered a useful project for working with disk images: Windows E01 or VMDK, macOS DMG/E01 or VMDK, Linux dd or VMDK, and what I'm testing so far is working with raw memory images and until I got around to checking how interaction with the collected artifacts from Splunk occurs.
Actually, what does erlond do during the forensic examination of the above disk images?
It's very simple:identification, collection, processing, analysis and output of artifacts from disk images, and at the output you can get the result in JSON or CSV format for further work, for example, we can feed almost any tool for analyzing logs.
Based on the artifacts obtained, it is possible to build a springboard on which it will be seen which attack methods were most likely used, due to the fact that the artifacts are eventually assigned and coordinated with MITRE ATT & CK, and then you can fill in a local instance of ATT&CK Navigator and drink tea, slowly unraveling the incident.
I also noticed functions by type: hashing of images and files, metadata extraction, file recovery, IOC extraction, keyword search and time determination, of course, this is all good, but for me it's better to use tools already verified by time and experience for such tasks (in general, those that are already in their arsenal), although it lures on the other hand with its simplicity and multifunctionality in one place.
#forensics
👍2
|wipedicks|
🤙Шизо на связи!
📀Тулза, написанная на питоне для того, чтобы стереть файл или сразу всё на диске, посредством рандомно генерированных символов ASCII, хотя мне больше понравилось не прибегая к варварским способам(молоток, магнетрон, кислоты и тому подобное), пользуясь малюткой от Kanguru(по своей сути дубликатор, который ещё имеет функцию очистки данных, создание бэкапа, а также протестировать диск на различные показатели и много других фич).
Сей девайс у меня был давно и оставил лишь положительные эмоции от использования.
Если говорить про ещё один рабочий вариант, то приходит на ум Shredos, образ которой у меня записан на одной из флешек, в которой процесс стирания происходит за счёт nwipe, а не
dwipe/DBAN, официальная поддержка которого закончилась ещё в 2015 году.
🤙The Shizo is in touch!
📀A tool written in python in order to erase a file or everything on disk at once, using randomly generated ASCII characters, although I liked it better without resorting to barbaric methods (hammer, magnetron, acids, etc.), using a baby from Kanguru (essentially a duplicator that still has a data cleaning function, creating a backup, as well as testing the disk for various indicators and many other features).
I had this device for a long time and left only positive emotions from using it.
If we talk about another working option, then Shredos comes to mind, the image of which I have recorded on one of the flash drives, in which the erasure process occurs due to nwipe, not
dwipe/DBAN, whose official support ended back in 2015.
#Wipe #antiforensics #forensics #disk #file
🤙Шизо на связи!
📀Тулза, написанная на питоне для того, чтобы стереть файл или сразу всё на диске, посредством рандомно генерированных символов ASCII, хотя мне больше понравилось не прибегая к варварским способам(молоток, магнетрон, кислоты и тому подобное), пользуясь малюткой от Kanguru(по своей сути дубликатор, который ещё имеет функцию очистки данных, создание бэкапа, а также протестировать диск на различные показатели и много других фич).
Сей девайс у меня был давно и оставил лишь положительные эмоции от использования.
Если говорить про ещё один рабочий вариант, то приходит на ум Shredos, образ которой у меня записан на одной из флешек, в которой процесс стирания происходит за счёт nwipe, а не
dwipe/DBAN, официальная поддержка которого закончилась ещё в 2015 году.
🤙The Shizo is in touch!
📀A tool written in python in order to erase a file or everything on disk at once, using randomly generated ASCII characters, although I liked it better without resorting to barbaric methods (hammer, magnetron, acids, etc.), using a baby from Kanguru (essentially a duplicator that still has a data cleaning function, creating a backup, as well as testing the disk for various indicators and many other features).
I had this device for a long time and left only positive emotions from using it.
If we talk about another working option, then Shredos comes to mind, the image of which I have recorded on one of the flash drives, in which the erasure process occurs due to nwipe, not
dwipe/DBAN, whose official support ended back in 2015.
#Wipe #antiforensics #forensics #disk #file
👍3
Forwarded from Private Shizo
|SharpWSUS + poshc2|
SharpWSUS is a continuation of this tooling and aims to bring the complete functionality of WSUSPendu and Thunder_Woosus to .NET in a tool that can be reliably used through C2 channels and offers flexibility to the operator.PoshC2 is a proxy aware C2 framework used to aid penetration testers with red teaming, post-exploitation and lateral movement.Forwarded from Private Shizo
🔥3
🕵️♂️Начал разрабатывать программный комплекс для деанонимизации преступников, пользующихся Tor, а также потом будет добавлена возможность и деанонимизацией I2P пользователей. Пока что прорабатываю процесс автоматизации уже представленных на скрине функций, в планах ещё представление в удобном для форензик-специалиста формате(с графами).
🕵️♂️I started developing a software package for deanonymization of criminals using Tor, and then the possibility of deanonymization of I2P users will be added. So far, I am working on the process of automating the functions already presented in the screenshot, I also plan to present them in a format convenient for a forensic specialist (with graphs).
🕵️♂️I started developing a software package for deanonymization of criminals using Tor, and then the possibility of deanonymization of I2P users will be added. So far, I am working on the process of automating the functions already presented in the screenshot, I also plan to present them in a format convenient for a forensic specialist (with graphs).
🤔9🔥7👍3😱2🌚2❤1
|Обнаружение фальсификации логов Linux|
🤙Шизо на свзязи!
🕵️♂️Пост про удаление и фальсификацию артефактов, на которые полагаются форензик специалисты(в большинстве случаев) при определение входов и выходов из системы в Linux.
В посте речь идёт про артефакты полученные из следующих файлов:
💥/var/run/utmp – currently logged in users
💥/var/run/wtmp – current, past logins and system reboot
💥/var/log/btmp – bad login attempts
Автор разбирает два способа:
💾Полное удаление строки в лог-файле путём перезаписи бинарника
💾Изменения hex кода файла(легко детектится форензик специалистом)
Далее происходит наглядная демонстрация простого способа детекта вышеприведённых методов на основе таймстампов(временные метки).
Для осуществления первого метода, сперва необходимо написать следующую команду для отключения логинизации истории bash:
В конечном итоге дата устанавливается в значение "по умолчанию"
Но так как таймстамп изменился, то это будет тревожным звоночком для форензик-специалиста, так как скорее всего он поймёт, что был изменён файл или в редком случае - ошибка системы.
Второй способ заключается в том, что мы сперва дампим файл, указав пользователя, в котором хотим почистить следы командой:
Далее, заменяем содержимое файла /var/log/wtmp:
В файлах wtmp, btmp и utmp не должно быть нулей, а также записей с датой "1970*" - тоже не должно быть.
Ещё в свежем файле /var/log/wtmp проверяем таймстамп, ведь в нём обязательно должна присутствовать таймстамп последнего входа.
То есть:
⚠️HISTSIZE не должно быть равно нулю(HISTSIZE =/= 0)
⚠️в wtmp, btmp и utmp не будет нулей, если не было вмешательство пользователя
⚠️не должно быть таймстамп отметок с "временем по умолчанию - 1970 год"
⚠️таймстамп последнего входа и таймстамп файла не должны расходиться
🔥12 критически важных лог-файлов Linux, за которыми нужно наблюдать.
#antiforensics #log #linux
🤙Шизо на свзязи!
🕵️♂️Пост про удаление и фальсификацию артефактов, на которые полагаются форензик специалисты(в большинстве случаев) при определение входов и выходов из системы в Linux.
В посте речь идёт про артефакты полученные из следующих файлов:
💥/var/run/utmp – currently logged in users
💥/var/run/wtmp – current, past logins and system reboot
💥/var/log/btmp – bad login attempts
Автор разбирает два способа:
💾Полное удаление строки в лог-файле путём перезаписи бинарника
💾Изменения hex кода файла(легко детектится форензик специалистом)
Далее происходит наглядная демонстрация простого способа детекта вышеприведённых методов на основе таймстампов(временные метки).
Для осуществления первого метода, сперва необходимо написать следующую команду для отключения логинизации истории bash:
unset HISTFILE HISTSAWE HISTMOWE HISTZONE HISTORY HISTLOG USERHST REMOTEHOST REMOTEUSER; export HISTSIZE=0После этого открываем с помощью того hex-редактора, которым пользоваться тебе удобнее(Шизо использует
ImHex) и в нём открываем файл wtmp, расположенный в директории /var/log и обнуляем значение массива символов с нашей учетной записью(когда откроем в редакторе, будет видно откуда начинать "~"), но если запороть этот этап, то весь файл подчистится.В конечном итоге дата устанавливается в значение "по умолчанию"
Но так как таймстамп изменился, то это будет тревожным звоночком для форензик-специалиста, так как скорее всего он поймёт, что был изменён файл или в редком случае - ошибка системы.
Второй способ заключается в том, что мы сперва дампим файл, указав пользователя, в котором хотим почистить следы командой:
utmpdump /var/log/wtmp | grep -v "имя пользователя" > "файл.txt""файл.txt" - файл, которым мы хотим потом заменить.
Далее, заменяем содержимое файла /var/log/wtmp:
utmpdump -r < "файл.txt" > /var/log/wtmpПосмотреть можем, опять воспользовавшись utmpdump для дампа файла:
utmpdump /var/log/wtmpОбнаружить эти все манипуляции просто.
В файлах wtmp, btmp и utmp не должно быть нулей, а также записей с датой "1970*" - тоже не должно быть.
Ещё в свежем файле /var/log/wtmp проверяем таймстамп, ведь в нём обязательно должна присутствовать таймстамп последнего входа.
То есть:
⚠️HISTSIZE не должно быть равно нулю(HISTSIZE =/= 0)
⚠️в wtmp, btmp и utmp не будет нулей, если не было вмешательство пользователя
⚠️не должно быть таймстамп отметок с "временем по умолчанию - 1970 год"
⚠️таймстамп последнего входа и таймстамп файла не должны расходиться
🔥12 критически важных лог-файлов Linux, за которыми нужно наблюдать.
#antiforensics #log #linux
👍4🥰2
|Detecting Linux Anti-Forensics Log Tampering|
🤙The Shizo is in touch!
🕵️♂️The post is about the removal and falsification of artifacts that forensic specialists rely on (in most cases) when determining the inputs and outputs from the system in Linux.
In the post we are talking about artifacts obtained from the following files:
💥/var/run/utmp – currently logged in users
💥/var/run/wtmp – current, past logins and system reboot
💥/var/log/btmp – bad login attempts
The author analyzes two ways:
💾Complete deletion of a line in the log file by overwriting the binary
💾Changes to the hex code of the file (easily detected by a forensic specialist)
Then there is a visual demonstration of a simple way to detect the above methods based on timestamps (timestamps).
To implement the first method, first you need to write the following command to disable bash history logging:
Eventually, the date is set to the "default" value
But since the timestamp has changed, this will be a wake-up call for a forensic specialist, since most likely he will understand that a file has been changed or, in a rare case, a system error.
The second way is that we first dump the file, specifying the user in which we want to clean up the traces with the command:
Next, replace the contents of the file /var/log/wtmp:
There should be no zeros in the wtmp, btmp and utmp files, and there should also be no entries with the date "1970*".
Even in the fresh file /var/log/wtmp, we check the timestamp, because the timestamp of the last entry must be present in it.
That is:
⚠️HISTSIZE must not be zero(HISTSIZE =/= 0)
⚠️there will be no zeros in wtmp, btmp and utmp if there was no user intervention
⚠️there should be no timestamp marks with "default time is 1970"
⚠️the timestamp of the last entry and the timestamp of the file should not diverge
🔥12 Critical Linux Log Files You Must be Monitoring
#antiforensics #log #linux
🤙The Shizo is in touch!
🕵️♂️The post is about the removal and falsification of artifacts that forensic specialists rely on (in most cases) when determining the inputs and outputs from the system in Linux.
In the post we are talking about artifacts obtained from the following files:
💥/var/run/utmp – currently logged in users
💥/var/run/wtmp – current, past logins and system reboot
💥/var/log/btmp – bad login attempts
The author analyzes two ways:
💾Complete deletion of a line in the log file by overwriting the binary
💾Changes to the hex code of the file (easily detected by a forensic specialist)
Then there is a visual demonstration of a simple way to detect the above methods based on timestamps (timestamps).
To implement the first method, first you need to write the following command to disable bash history logging:
unset HISTFILE HISTSAWE HISTMOWE HISTZONE HISTORY HISTLOG USERHST REMOTEHOST REMOTEUSER; export HISTSIZE=0After that, we open it using the hex editor that is more convenient for you to use (the Shizo uses
ImHex) and in it we open the wtmp file located in the /var/log directory and reset the value of the array of characters with our account (when we open it in the editor, it will be visible where to start "~"), but if you screw up this stage, then the entire file will be cleaned up.Eventually, the date is set to the "default" value
But since the timestamp has changed, this will be a wake-up call for a forensic specialist, since most likely he will understand that a file has been changed or, in a rare case, a system error.
The second way is that we first dump the file, specifying the user in which we want to clean up the traces with the command:
utmpdump /var/log/wtmp | grep -v "username" > "file.txt ""file.txt " - the file that we want to replace later.
Next, replace the contents of the file /var/log/wtmp:
utmpdump -r < "file.txt " > /var/log/wtmpWe can take a look, again using utmpdump to dump the file:
utmpdump /var/log/wtmpIt's easy to detect all these manipulations.
There should be no zeros in the wtmp, btmp and utmp files, and there should also be no entries with the date "1970*".
Even in the fresh file /var/log/wtmp, we check the timestamp, because the timestamp of the last entry must be present in it.
That is:
⚠️HISTSIZE must not be zero(HISTSIZE =/= 0)
⚠️there will be no zeros in wtmp, btmp and utmp if there was no user intervention
⚠️there should be no timestamp marks with "default time is 1970"
⚠️the timestamp of the last entry and the timestamp of the file should not diverge
🔥12 Critical Linux Log Files You Must be Monitoring
#antiforensics #log #linux
This media is not supported in your browser
VIEW IN TELEGRAM
💥Шизо передаёт всем привет и желает всего наилучшего!
Пусть выходные пройдут отлично и без всяких неприятных казусов.
💥Shizo sends greetings to everyone and wishes all the best!
Let the weekend be excellent and without any unpleasant incidents.
Пусть выходные пройдут отлично и без всяких неприятных казусов.
💥Shizo sends greetings to everyone and wishes all the best!
Let the weekend be excellent and without any unpleasant incidents.
❤9