Forwarded from Private Shizo
|SharpWSUS + poshc2|
SharpWSUS is a continuation of this tooling and aims to bring the complete functionality of WSUSPendu and Thunder_Woosus to .NET in a tool that can be reliably used through C2 channels and offers flexibility to the operator.PoshC2 is a proxy aware C2 framework used to aid penetration testers with red teaming, post-exploitation and lateral movement.Forwarded from Private Shizo
🔥3
🕵️♂️Начал разрабатывать программный комплекс для деанонимизации преступников, пользующихся Tor, а также потом будет добавлена возможность и деанонимизацией I2P пользователей. Пока что прорабатываю процесс автоматизации уже представленных на скрине функций, в планах ещё представление в удобном для форензик-специалиста формате(с графами).
🕵️♂️I started developing a software package for deanonymization of criminals using Tor, and then the possibility of deanonymization of I2P users will be added. So far, I am working on the process of automating the functions already presented in the screenshot, I also plan to present them in a format convenient for a forensic specialist (with graphs).
🕵️♂️I started developing a software package for deanonymization of criminals using Tor, and then the possibility of deanonymization of I2P users will be added. So far, I am working on the process of automating the functions already presented in the screenshot, I also plan to present them in a format convenient for a forensic specialist (with graphs).
🤔9🔥7👍3😱2🌚2❤1
|Обнаружение фальсификации логов Linux|
🤙Шизо на свзязи!
🕵️♂️Пост про удаление и фальсификацию артефактов, на которые полагаются форензик специалисты(в большинстве случаев) при определение входов и выходов из системы в Linux.
В посте речь идёт про артефакты полученные из следующих файлов:
💥/var/run/utmp – currently logged in users
💥/var/run/wtmp – current, past logins and system reboot
💥/var/log/btmp – bad login attempts
Автор разбирает два способа:
💾Полное удаление строки в лог-файле путём перезаписи бинарника
💾Изменения hex кода файла(легко детектится форензик специалистом)
Далее происходит наглядная демонстрация простого способа детекта вышеприведённых методов на основе таймстампов(временные метки).
Для осуществления первого метода, сперва необходимо написать следующую команду для отключения логинизации истории bash:
В конечном итоге дата устанавливается в значение "по умолчанию"
Но так как таймстамп изменился, то это будет тревожным звоночком для форензик-специалиста, так как скорее всего он поймёт, что был изменён файл или в редком случае - ошибка системы.
Второй способ заключается в том, что мы сперва дампим файл, указав пользователя, в котором хотим почистить следы командой:
Далее, заменяем содержимое файла /var/log/wtmp:
В файлах wtmp, btmp и utmp не должно быть нулей, а также записей с датой "1970*" - тоже не должно быть.
Ещё в свежем файле /var/log/wtmp проверяем таймстамп, ведь в нём обязательно должна присутствовать таймстамп последнего входа.
То есть:
⚠️HISTSIZE не должно быть равно нулю(HISTSIZE =/= 0)
⚠️в wtmp, btmp и utmp не будет нулей, если не было вмешательство пользователя
⚠️не должно быть таймстамп отметок с "временем по умолчанию - 1970 год"
⚠️таймстамп последнего входа и таймстамп файла не должны расходиться
🔥12 критически важных лог-файлов Linux, за которыми нужно наблюдать.
#antiforensics #log #linux
🤙Шизо на свзязи!
🕵️♂️Пост про удаление и фальсификацию артефактов, на которые полагаются форензик специалисты(в большинстве случаев) при определение входов и выходов из системы в Linux.
В посте речь идёт про артефакты полученные из следующих файлов:
💥/var/run/utmp – currently logged in users
💥/var/run/wtmp – current, past logins and system reboot
💥/var/log/btmp – bad login attempts
Автор разбирает два способа:
💾Полное удаление строки в лог-файле путём перезаписи бинарника
💾Изменения hex кода файла(легко детектится форензик специалистом)
Далее происходит наглядная демонстрация простого способа детекта вышеприведённых методов на основе таймстампов(временные метки).
Для осуществления первого метода, сперва необходимо написать следующую команду для отключения логинизации истории bash:
unset HISTFILE HISTSAWE HISTMOWE HISTZONE HISTORY HISTLOG USERHST REMOTEHOST REMOTEUSER; export HISTSIZE=0После этого открываем с помощью того hex-редактора, которым пользоваться тебе удобнее(Шизо использует
ImHex) и в нём открываем файл wtmp, расположенный в директории /var/log и обнуляем значение массива символов с нашей учетной записью(когда откроем в редакторе, будет видно откуда начинать "~"), но если запороть этот этап, то весь файл подчистится.В конечном итоге дата устанавливается в значение "по умолчанию"
Но так как таймстамп изменился, то это будет тревожным звоночком для форензик-специалиста, так как скорее всего он поймёт, что был изменён файл или в редком случае - ошибка системы.
Второй способ заключается в том, что мы сперва дампим файл, указав пользователя, в котором хотим почистить следы командой:
utmpdump /var/log/wtmp | grep -v "имя пользователя" > "файл.txt""файл.txt" - файл, которым мы хотим потом заменить.
Далее, заменяем содержимое файла /var/log/wtmp:
utmpdump -r < "файл.txt" > /var/log/wtmpПосмотреть можем, опять воспользовавшись utmpdump для дампа файла:
utmpdump /var/log/wtmpОбнаружить эти все манипуляции просто.
В файлах wtmp, btmp и utmp не должно быть нулей, а также записей с датой "1970*" - тоже не должно быть.
Ещё в свежем файле /var/log/wtmp проверяем таймстамп, ведь в нём обязательно должна присутствовать таймстамп последнего входа.
То есть:
⚠️HISTSIZE не должно быть равно нулю(HISTSIZE =/= 0)
⚠️в wtmp, btmp и utmp не будет нулей, если не было вмешательство пользователя
⚠️не должно быть таймстамп отметок с "временем по умолчанию - 1970 год"
⚠️таймстамп последнего входа и таймстамп файла не должны расходиться
🔥12 критически важных лог-файлов Linux, за которыми нужно наблюдать.
#antiforensics #log #linux
👍4🥰2
|Detecting Linux Anti-Forensics Log Tampering|
🤙The Shizo is in touch!
🕵️♂️The post is about the removal and falsification of artifacts that forensic specialists rely on (in most cases) when determining the inputs and outputs from the system in Linux.
In the post we are talking about artifacts obtained from the following files:
💥/var/run/utmp – currently logged in users
💥/var/run/wtmp – current, past logins and system reboot
💥/var/log/btmp – bad login attempts
The author analyzes two ways:
💾Complete deletion of a line in the log file by overwriting the binary
💾Changes to the hex code of the file (easily detected by a forensic specialist)
Then there is a visual demonstration of a simple way to detect the above methods based on timestamps (timestamps).
To implement the first method, first you need to write the following command to disable bash history logging:
Eventually, the date is set to the "default" value
But since the timestamp has changed, this will be a wake-up call for a forensic specialist, since most likely he will understand that a file has been changed or, in a rare case, a system error.
The second way is that we first dump the file, specifying the user in which we want to clean up the traces with the command:
Next, replace the contents of the file /var/log/wtmp:
There should be no zeros in the wtmp, btmp and utmp files, and there should also be no entries with the date "1970*".
Even in the fresh file /var/log/wtmp, we check the timestamp, because the timestamp of the last entry must be present in it.
That is:
⚠️HISTSIZE must not be zero(HISTSIZE =/= 0)
⚠️there will be no zeros in wtmp, btmp and utmp if there was no user intervention
⚠️there should be no timestamp marks with "default time is 1970"
⚠️the timestamp of the last entry and the timestamp of the file should not diverge
🔥12 Critical Linux Log Files You Must be Monitoring
#antiforensics #log #linux
🤙The Shizo is in touch!
🕵️♂️The post is about the removal and falsification of artifacts that forensic specialists rely on (in most cases) when determining the inputs and outputs from the system in Linux.
In the post we are talking about artifacts obtained from the following files:
💥/var/run/utmp – currently logged in users
💥/var/run/wtmp – current, past logins and system reboot
💥/var/log/btmp – bad login attempts
The author analyzes two ways:
💾Complete deletion of a line in the log file by overwriting the binary
💾Changes to the hex code of the file (easily detected by a forensic specialist)
Then there is a visual demonstration of a simple way to detect the above methods based on timestamps (timestamps).
To implement the first method, first you need to write the following command to disable bash history logging:
unset HISTFILE HISTSAWE HISTMOWE HISTZONE HISTORY HISTLOG USERHST REMOTEHOST REMOTEUSER; export HISTSIZE=0After that, we open it using the hex editor that is more convenient for you to use (the Shizo uses
ImHex) and in it we open the wtmp file located in the /var/log directory and reset the value of the array of characters with our account (when we open it in the editor, it will be visible where to start "~"), but if you screw up this stage, then the entire file will be cleaned up.Eventually, the date is set to the "default" value
But since the timestamp has changed, this will be a wake-up call for a forensic specialist, since most likely he will understand that a file has been changed or, in a rare case, a system error.
The second way is that we first dump the file, specifying the user in which we want to clean up the traces with the command:
utmpdump /var/log/wtmp | grep -v "username" > "file.txt ""file.txt " - the file that we want to replace later.
Next, replace the contents of the file /var/log/wtmp:
utmpdump -r < "file.txt " > /var/log/wtmpWe can take a look, again using utmpdump to dump the file:
utmpdump /var/log/wtmpIt's easy to detect all these manipulations.
There should be no zeros in the wtmp, btmp and utmp files, and there should also be no entries with the date "1970*".
Even in the fresh file /var/log/wtmp, we check the timestamp, because the timestamp of the last entry must be present in it.
That is:
⚠️HISTSIZE must not be zero(HISTSIZE =/= 0)
⚠️there will be no zeros in wtmp, btmp and utmp if there was no user intervention
⚠️there should be no timestamp marks with "default time is 1970"
⚠️the timestamp of the last entry and the timestamp of the file should not diverge
🔥12 Critical Linux Log Files You Must be Monitoring
#antiforensics #log #linux
This media is not supported in your browser
VIEW IN TELEGRAM
💥Шизо передаёт всем привет и желает всего наилучшего!
Пусть выходные пройдут отлично и без всяких неприятных казусов.
💥Shizo sends greetings to everyone and wishes all the best!
Let the weekend be excellent and without any unpleasant incidents.
Пусть выходные пройдут отлично и без всяких неприятных казусов.
💥Shizo sends greetings to everyone and wishes all the best!
Let the weekend be excellent and without any unpleasant incidents.
❤9
|Speaker-Independent Microphone Identification|
🎙Свежая работа(23 июня 2022 года + очень небольшая по объёму чтения - 5 страниц) про выявление микрофона и анализ его действия, независимо от динамика.
Происходит разбор новой техники, базирующейся на остаточном шумоподавителе, который работает на частотно-временную(TF) область и извлечение признаков вместе с этапом классификации происходит за счёт нейронки.
⚠️С помощью такого метода можно удалять ненужные нам шумы и идентифицировать преступника, посредством установления устройства с которого была записана речь.
🎙A recent paper (June 23, 2022 + a very small volume of reading - 5 pages) about the identification of the microphone and the analysis of its action, regardless of the speaker.
There is an analysis of a new technique based on a residual noise suppressor that works on the time-frequency (TF) domain and the extraction of features together with the classification stage occurs at the expense of the neural network.
⚠️With the help of such an method, it is possible to remove unnecessary noises and identify the perpetrator by establishing the device from which the speech was recorded.
#forensics #audio #speech
🎙Свежая работа(23 июня 2022 года + очень небольшая по объёму чтения - 5 страниц) про выявление микрофона и анализ его действия, независимо от динамика.
Происходит разбор новой техники, базирующейся на остаточном шумоподавителе, который работает на частотно-временную(TF) область и извлечение признаков вместе с этапом классификации происходит за счёт нейронки.
⚠️С помощью такого метода можно удалять ненужные нам шумы и идентифицировать преступника, посредством установления устройства с которого была записана речь.
🎙A recent paper (June 23, 2022 + a very small volume of reading - 5 pages) about the identification of the microphone and the analysis of its action, regardless of the speaker.
There is an analysis of a new technique based on a residual noise suppressor that works on the time-frequency (TF) domain and the extraction of features together with the classification stage occurs at the expense of the neural network.
⚠️With the help of such an method, it is possible to remove unnecessary noises and identify the perpetrator by establishing the device from which the speech was recorded.
#forensics #audio #speech
👍2
|teslalogs|
🚘У NFI есть интересный репозитрой с тулзами и райтапами по работе с логами из Теслы.
Работа над этим проектом началась после инцидента во Флориде в 2016 году, когда произошло ДТП с участием Теслы и грузовика(отчёт от NTSB прикладываю ниже) и форензик специалисты начали анализировать логи, не только Model S, но ещё Model X и 3, прибегая к статическому анализу.
Кроме логов, также реверсу подверглась и прошивка шлюза
Начиная с 2020 года( на примере Model 3) структура логинизации изменилась: логи теперь хранятся в каталоге CL. И помимо обычных логов, Model 3 записывает HRL для некоторых событий.
Так что рекомендую всем тем, кто собирается заниматься форезникой или уже и интересен анализ автомобилей, ведь новые машины напичканы мощными программно-аппаратными комплексами, которые выдают много данных, которые нужно анализировать и связывать с произошедшим инцидентом.
🚘At NFI there is an interesting repository with tools and scripts for working with logs from Tesla.
Work on this project began after the incident in Florida in 2016, when there was an accident involving Tesla and a truck (I attach the report from the NTSB below) and forensic specialists began analyzing logs, not only Model S, but also Model X and 3, resorting to static analysis.
In addition to logs, the gateway firmware was also subjected to reverse engineering.
Starting in 2020 (using the example of Model 3), the structure of logging has changed: logs are now stored in the CL directory. And in addition to the usual logs, Model 3 records HRL for some events.
So I recommend it to all those who are going to be engaged in foresonics or are already interested in analyzing cars, because new cars are stuffed with powerful software and hardware complexes that give out a lot of data that needs to be analyzed and associated with the incident.
#forensics #automotive #car #Tesla
🚘У NFI есть интересный репозитрой с тулзами и райтапами по работе с логами из Теслы.
Работа над этим проектом началась после инцидента во Флориде в 2016 году, когда произошло ДТП с участием Теслы и грузовика(отчёт от NTSB прикладываю ниже) и форензик специалисты начали анализировать логи, не только Model S, но ещё Model X и 3, прибегая к статическому анализу.
Кроме логов, также реверсу подверглась и прошивка шлюза
Начиная с 2020 года( на примере Model 3) структура логинизации изменилась: логи теперь хранятся в каталоге CL. И помимо обычных логов, Model 3 записывает HRL для некоторых событий.
Так что рекомендую всем тем, кто собирается заниматься форезникой или уже и интересен анализ автомобилей, ведь новые машины напичканы мощными программно-аппаратными комплексами, которые выдают много данных, которые нужно анализировать и связывать с произошедшим инцидентом.
🚘At NFI there is an interesting repository with tools and scripts for working with logs from Tesla.
Work on this project began after the incident in Florida in 2016, when there was an accident involving Tesla and a truck (I attach the report from the NTSB below) and forensic specialists began analyzing logs, not only Model S, but also Model X and 3, resorting to static analysis.
In addition to logs, the gateway firmware was also subjected to reverse engineering.
Starting in 2020 (using the example of Model 3), the structure of logging has changed: logs are now stored in the CL directory. And in addition to the usual logs, Model 3 records HRL for some events.
So I recommend it to all those who are going to be engaged in foresonics or are already interested in analyzing cars, because new cars are stuffed with powerful software and hardware complexes that give out a lot of data that needs to be analyzed and associated with the incident.
#forensics #automotive #car #Tesla
👍3
🎩Собрал все доступные презентации с BH Asia 2022 в один архив.
🎩Collected all available presentations from BH Asia 2022 in one archive.
#BlackHatAsia2022 #hacking #forensics #exploit #security #malware #shizo
🎩Collected all available presentations from BH Asia 2022 in one archive.
#BlackHatAsia2022 #hacking #forensics #exploit #security #malware #shizo
👍7
BlckHatAsia2022Shizo.zip
96 MB
Пароль/Password:
ShizoPrivacy
#BlackHatAsia2022 #hacking #forensics #exploit #security #malware #shizo👍6