|Speaker-Independent Microphone Identification|

🎙Свежая работа(23 июня 2022 года + очень небольшая по объёму чтения - 5 страниц) про выявление микрофона и анализ его действия, независимо от динамика.
Происходит разбор новой техники, базирующейся на остаточном шумоподавителе, который работает на частотно-временную(TF) область и извлечение признаков вместе с этапом классификации происходит за счёт нейронки.

⚠️С помощью такого метода можно удалять ненужные нам шумы и идентифицировать преступника, посредством установления устройства с которого была записана речь.

🎙A recent paper (June 23, 2022 + a very small volume of reading - 5 pages) about the identification of the microphone and the analysis of its action, regardless of the speaker.
There is an analysis of a new technique based on a residual noise suppressor that works on the time-frequency (TF) domain and the extraction of features together with the classification stage occurs at the expense of the neural network.

⚠️With the help of such an method, it is possible to remove unnecessary noises and identify the perpetrator by establishing the device from which the speech was recorded.

#forensics #audio #speech

#forensics #audio #speech

|teslalogs|

🚘У NFI есть интересный репозитрой с тулзами и райтапами по работе с логами из Теслы.
Работа над этим проектом началась после инцидента во Флориде в 2016 году, когда произошло ДТП с участием Теслы и грузовика(отчёт от NTSB прикладываю ниже) и форензик специалисты начали анализировать логи, не только Model S, но ещё Model X и 3, прибегая к статическому анализу.
Кроме логов, также реверсу подверглась и прошивка шлюза

Начиная с 2020 года( на примере Model 3) структура логинизации изменилась: логи теперь хранятся в каталоге CL. И помимо обычных логов, Model 3 записывает HRL для некоторых событий.

Так что рекомендую всем тем, кто собирается заниматься форезникой или уже и интересен анализ автомобилей, ведь новые машины напичканы мощными программно-аппаратными комплексами, которые выдают много данных, которые нужно анализировать и связывать с произошедшим инцидентом.

🚘At NFI there is an interesting repository with tools and scripts for working with logs from Tesla.
Work on this project began after the incident in Florida in 2016, when there was an accident involving Tesla and a truck (I attach the report from the NTSB below) and forensic specialists began analyzing logs, not only Model S, but also Model X and 3, resorting to static analysis.
In addition to logs, the gateway firmware was also subjected to reverse engineering.

Starting in 2020 (using the example of Model 3), the structure of logging has changed: logs are now stored in the CL directory. And in addition to the usual logs, Model 3 records HRL for some events.

So I recommend it to all those who are going to be engaged in foresonics or are already interested in analyzing cars, because new cars are stuffed with powerful software and hardware complexes that give out a lot of data that needs to be analyzed and associated with the incident.

#forensics #automotive #car #Tesla

☁️Cloud Security Technical Reference
Architecture v 2.0

#security #cloud #CISA #FRAMP

#security #cloud #CISA #FRAMP

🕵️‍♂️NSA Cybersecurity open source software releases

📓code.json

📔github

🛸NSA github

🛡NSA Cybersecurity Advisories & Guidance

🔓NSA Codebreaker Challenge

🚨careers

🇺🇸Sharing America's Code

🗾NSA site map

🕵️‍♂️NSA Leadership

🕵️‍♂️NSA twitter

#NSA #security

🎩Собрал все доступные презентации с BH Asia 2022 в один архив.

🎩Collected all available presentations from BH Asia 2022 in one archive.

#BlackHatAsia2022 #hacking #forensics #exploit #security #malware #shizo

Пароль/Password: ShizoPrivacy

#BlackHatAsia2022 #hacking #forensics #exploit #security #malware #shizo

|PcapXray|

🤙Шизо на связи!
🕵️‍♂️Продолжу тему форензики визуализацией захваченного трафика, полученного tcpdump или его десятками вариаций.
Собственно визуализация может ускорить процесс анализа захваченных пакетов в виде pcap-файлов.
PcapXray как и нужен для таких целей, так как он строит сетевые диаграммы, на которых отмечены сетевые узлы, траффик и данные которые передаются по сети(полезная нагрузка или пэйлоады, кому как проще).
Также, есть несколько дополнительных функций, который на мой взгляд не стоит обходить стороной:
💥Работа с Tor трафиком(можно будет получить только базовую информацию, никакой дешифровки трафика - нет)
💥Идентификация вредоносного трафика

Для введения в анализ захваченного трафика рекомендую несколько челленджей в виде нескольких виртуальных машин большим количеством pcap-файлов:
💾Hands-on Network Forensics(логин: user, пароль: password): VM + выступление с семинара
💾Introduction to network forensics(справочник; набор инструментов: 1, 2, 3; виртуальный образ:1, 2, 3, 4)

🤙 The Shizo is in touch!
🕵️‍♂️I will continue the topic of forensics by visualizing the captured traffic received by tcpdump or its dozens of variations.
Visualization itself can speed up the process of analyzing captured packets in the form of pcap files.
PcapXray is just as necessary for such purposes, since it builds network diagrams on which network nodes, traffic and data that are transmitted over the network are marked (payload or payloads, whichever is easier).
Also, there are several additional functions, which in my opinion should not be bypassed:
💥Working with Tor traffic (it will be possible to get only basic information, there is no decryption of traffic)
💥Identification of malicious traffic

To introduce the captured traffic analysis, I recommend several challenges in the form of several virtual machines with a large number of pcap files:
💾Hands-on Network Forensics(login: user, password: password): VM + performance from the seminar
💾Introduction to network forensics(handbook; set of tools:1, 2, 3; virtual image:1, 2, 3, 4)

Приложу ещё список тулзов для визуализации захваченных пакетов(pcap-файлов)/I will also attach a list of tools for visualizing captured packets (pcap files):
🌐kamene
🌐tcpterm
🌐PcapViz
🌐webshark
🌐potiron
🌐xplico
🌐capanalysis

#forensics #network #pcap #tor

|Run shellcode via EnumDesktopsA|

🤙Шизо на связи!
🛡Только в ознакомительных целях!
🦠Статья от известного в узких кругах cocomelonc'a(на канале: AV engines evasion,
Malware development: persistence) про запуск шеллкода посредством EnumDesktopsA из серии "Malware development tricks".
Предыдущие из серии:
💥Download & inject logic + source code
💥Find kernel32.dll base: asm style + source code

Сама по себе функция EnumDesktopsA нужна для передачи имени каждого рабочего стола определяемой приложением(application-defined) callback-функции и подключается с помощью хэдера
winuser.h.
Причём, может оперировать только теми рабочими столами, вызывающий процесс которых имеет право доступа DESKTOP_ENUMERATE.

Конечно же программа на C++, моём любимом и одновременно ненавидимом.

Для запуска шеллкода, помимо его наличия, нам потребуется сперва проаллоцировать буффер памяти(ну или выделить, кто как говорит) посредством функцию VirtualAlloc:

LPVOID mem = VirtualAlloc(NULL, sizeof(my_payload), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

Если вдруг кому интересно LPVOID - это указатель на любой тип, который определён в хэдере
WinDef.h:

typedef void *LPVOID;

Далее, нужно "скопировать" наш пэйлоад(шеллкод) в эту область памяти:

RtlMoveMemory(mem, my_payload, sizeof(my_payload));

После чего, в EnumDesktopsA укажем эту область памяти , как указатель на коллбэк функцию:

EnumDesktopsA(GetProcessWindowStation(), (DESKTOPENUMPROCA)mem, NULL);

my_payload, если вдруг кто не понял - как раз наш пэйлоад.

Детект: 16/66(windows defender - не детектит)

📝Исходный код тут.

🤙The Shizo is in touch!
🛡For educational purposes only
🦠An article from the well-known cocomelonc in narrow circles (on the channel: AV engines evasion,
Malware development: persistence) about running the shellcode via EnumDesktopsA from the series "Malware development tricks".
Previous ones from the series:
💥Download & inject logic + source code
💥Find kernel32.dll base: asm style + source code

The EnumDesktopsA function itself is needed to pass the name of each desktop to an application-defined callback function and is connected using a header
winuser.h.
Moreover, it can operate only on those desktops whose calling process has the right to access DESKTOP_ENUMERATE.

Of course, the program is in C++, my favorite and at the same time hated.

To run the shellcode, in addition to having it, we will first need to allocate a memory buffer (well, or allocate, as anyone says) using the VirtualAlloc function:

LPVOID mem = VirtualAlloc(NULL, sizeof(my_payload), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

If anyone is suddenly interested, LPVOID is a pointer to any type that is defined in the header WinDef.h:

typedef void *LPVOID;

Next, we need to "copy" our payload (shellcode) to this memory area:

RtlMoveMemory(mem, my_payload, sizeof(my_payload));

After that, in EnumDesktopsA we will indicate this memory area as a pointer to the callback function:

EnumDesktopsA(GetProcessWindowStation(), (DESKTOPENUMPROCA)mem, NULL);

my_payload, if suddenly someone did not understand - just our payload.

Detection: 16/66(windows defender - does not detect)

📝The source code is here.

#malware #shellcode #njection

📕On the Routing-Aware Peering against Network-Eclipse Attacks in Bitcoin

#cryptocurrency #BTC #exploitation #Eclipse #Sybil