|casper-fs|

🔏После постов по форензике пришло время рассказать и про контрмеры.
Начнём с рассмотрения каспера, который генерирует скрытые LKM(если их так можно назвать) и выполняет две базовые функции: скрытие и защита файлов.
В случае защиты файлов даже рут не сможет читать, записывать в файл или удалять его, а чтобы атакующий смог перехватить из списка защищенных файлов или редактировать или удалить файл, ему придётся заставить жертву отправить ключ на пользовательское устройство.

Так что даже в случае потери доступа к носителю или полученному руту на конечной машине, то форензик-специалисту придётся сперва догадаться о наличии скрытых LKM(которые даже рут не может увидеть, но тут тоже не нужно сильно надеяться), а затем догадаться как работает и как получить доступ к файлам и откуда вытащить ключи для раскрытия и снятия защиты.

🔓Если те же самые СКРЫТЫЕ криптоконтейнеры всё-равно детектируются и про них написано не мало материалов, то с каспером потяжелее и он работает как некоторые руткиты для линукса(пример1, пример2), скрывающие LKM из пользовательского пространства.
А по своему опыту хочу сказать, что чтение скрытых LKM и их восстановление - процесс довольно не простой и монотонный, ведь нам сперва нужно сперва восстановить субдирректории и файлы, а затем атрибуты сопутствующие.

Также заметил ещё сходство с руткитами, что стоит защита от procfs и sysfs(от сравнения procfs_modules и sysfs_modules) и копание в mod_sysfs_setup особо не поможет.
Так что на данный момент - это довольно не плохой способ защиты и сокрытия файлов, можно ещё предварительно сделать защищенный криптоконтейнер, а затем его скрыть или защитить.

Про то как пользоваться - не буду дублировать, просто вставлю скриншоты, либо можете почитать в репозитории или в блоге.

🔏After the posts on forensics, it's time to tell about countermeasures.
Let's start by considering casper, which generates hidden LKM (if you can call them that) and performs two basic functions: hiding and protecting files.
In the case of file protection, even root will not be able to read, write to the file or delete it, and in order for the attacker to intercept from the list of protected files or edit or delete the file, he will have to force the victim to send the key to the user device.

So even in case of loss of access to the media or the received root on the final machine, the forensic specialist will first have to guess about the presence of hidden LKM (which even root cannot see, but there is also no need to hope much), and then guess how it works and how to access files and where to get the keys for disclosure and removal of protection.

🔓If the same HIDDEN cryptocontainers are still detected and not a few materials have been written about them, then it is heavier with Casper and it works like some rootkits for linux (example1, example2) hiding LKM from user space.
And from my experience, I want to say that reading hidden LKM and restoring them is not a simple and monotonous process, because we first need to first restore subdirritories and files, and then the accompanying attributes.

I also noticed another similarity with rootkits, that there is protection from procfs and sysfs (from comparing procfs_modules and sysfs_modules) and digging into mod_sysfs_setup will not help much.
So at the moment, this is not a bad way to protect and hide files, you can also pre-make a secure cryptographic container, and then hide or protect it.

About how to use - I will not duplicate, I will just insert screenshots, or you can read in the repository or in the blog.

#antiForensics #LKM

🌐Разбор от Кребса сервиса, предоставляющего резидентные прокси и очень популярного в кардерском сообществе.
Пожалуй, одна из главных мыслей(что и логично) - не использовать бесплатные vpn-приложения и проверять тщательно торрент-файлы на наличие зловредов(и загруженные в последствии файлы), ведь много прокси-узлов владельцы сервиса получали таким образом.

🌐 Analysis from Krebs a service that provides resident proxies and is very popular in the carder community.
Perhaps one of the main thoughts (which is logical) is not to use free vpn applications and carefully check torrent files for malware (and files downloaded later), because the owners of the service received many proxy nodes in this way.

#proxy #security #expoitation

#telegram #forensics

#telegram #forensics

#Israel #unit8200 #osint #espionage

🕵️‍♂️Интересная работа про историю, организацию, операции и возможности
Unit 8200(радиоэлектронная разведка Израиля).
После прочтения можно и свой отряд "восемь - двести" сделать(это шутка), в работе
присутствует много организационных советов(опять поднимается важность взаимодействия с частным сектором), а также анализ деятельности.

⚠️Вся информация была получена из открытых источников⚠️

🕵️‍♂️Interesting work about history, organization, operations and opportunities
Unit 8200 (Israel's Electronic Intelligence).
After reading, you can also make your squad "eight - two hundred" (this is a joke), in the work
there are many organizational councils (again the importance of interaction with the private sector is raised), as well as an analysis of activities.

⚠️All information was obtained from open sources⚠️

#Israel #unit8200 #osint #espionage

|AvillaForensics English|

🕵️‍♂️Вот и вышло обновление с переводом на английский мною полюбившегося монстра мобильной криминалистики(в бесплатном сегменте ему равных нет), также и описание в репозитории перевел Даниэль(автор инструмента).
🔽Ниже🔽 прикладываю архив с обновленной версий, теперь кого останавливал барьер в виде португальского языка - берите и пробуйте.

⚠️Инструмент применять строго в законных целях и да, устройство обязательно сперва нужно перевести в режим отладки.

🕵️‍♂️So an update came out with an English translation of my favorite monster of mobile forensics (there is no equal to it in the free segment), and the description in the repository was also translated by Daniel (the author of the tool).
🔽Below🔽 I attach an archive with updated versions, now who was stopped by a barrier in the form of Portuguese - take it and try.

⚠️The tool should be used strictly for legitimate purposes and yes, the device must first be switched to debugging mode.

#forensics #mobile

Инструкции по настройке Tor на OpenWRT роутерах

1. Свежие мануалы

GitHub
https://github.com/gSpotx2f/ruantiblock_openwrt
https://github.com/CyberAndi/CyberSecurity-Box

OpenWRT
https://openwrt.org/docs/guide-user/services/tor/client
https://forum.openwrt.org/t/openwrt-on-tor-with-external-vpn/131268
https://openwrt.org/packages/pkgdata/tor-gencert
https://forum.openwrt.org/t/openwrt-on-tor-with-external-vpn/131268

Форумы и блоги
https://bdfclub.com/threads/nastrojka-routera-dlja-obxoda-blokirovok-s-pomoschju-tor.150198/#post-320041
https://protey.net/threads/ustanovka-i-zapusk-tor-na-openwrt.284/
https://gnorth.ru/posts/2020/05/прозрачное-проксирование-трафика-в-tor/
https://zerolab.net/luci-app-torbp/

2. Отдельно obfs4
https://openwrt.org/packages/pkgdata/obfs4proxy

3. Под gl-inet
https://docs.gl-inet.com/en/2/app/tor/

4. Старые мануалы
https://gitlab.torproject.org/legacy/trac/-/wikis/doc/OpenWRT
https://openwrt.org/docs/guide-user/services/tor/client
https://cryptopunks.org/article/openwrt+tor/
https://github.com/sagarkhandve/OpenWrt-TorRouter (автомат)
http://rover-seti.blogspot.com/2015/11/tor-openwrt.html

Собрал вместе с ShizoPrivacy, рекомендую на него подписаться.

#анонимность #Tor #OSINT #OpenWRT

|AppSec Ezine|

📰440rd Edition
Release Date: 22/07/2022
pathonproject
github

#ezine #appsec #infosec

#tor #forensics

📘А вот и сам технический документ к выступлению, раскрывающий более подробно вопрос извлечения и анализа артефактов из десктопного приложения телеграм на винде.

📘And here is the technical document for the speech itself, revealing in more detail the issue of extracting and analyzing artifacts from the desktop application of telegram on Windows.

Инструменты, используемые в работе/
Tools used in the work:
⛏IM Artifact Finder
⛏Windows Memory Extractor

#telegram #forensics