|patriot|

Затрону немного винду и детектирование вредоносной активности.
🔍Нашел буквально на днях исследовательский проект, который нацелен на обнаружение вредоносной активности(на самом деле связанная с ней) в памяти, которая скрываются в оной. Недавно была добавлена техника идентификации CONTEXT структур(подозрительных), которые используются в rop/коллбэк цепочках к примеру в brc4 или в NightHawk, которые указывают на функцию VirtualProtect
Но пока не мало ложных срабатываний, хотя проект быстро развивается и уже очень даже не плохо справляется с поставленными задачами.

Не мало ложных срабатываний началось после добавления детектирования на основе таймеров, которые вызывают NtContinue.

На данный момент помимо вышеупомянутых техник детектирования, есть следующие:
💥Валидация MZ/PE заголовков в памяти для обнаружения process hollowing вариантов
💥Нераспакованные исполняемые области, работающие с высокой целостностью
💥Модифицированный код, используемый в stomping/overwriting модулях

I will touch a little on Windows and the detection of malicious activity.
🔍I found just the other day a research project that aims to detect malicious activity (actually related to it) in memory, which is hidden in it. Recently, a technique has been added to identify CONTEXT structures (suspicious), which are used in rop/callback chains, for example in brc4 or in NightHawk, which point to the VirtualProtect function
But there are still quite a few false positives, although the project is developing rapidly and is already very good at coping with the tasks set.

Not a few false positives started after adding detection based on timers that cause NtContinue.

At the moment, in addition to the above-mentioned detection techniques, there are the following:
💥Validation of MZ/PE headers in memory to detect process hollowing variants
💥Unpacked executable areas working with high integrity
💥Modified code used in stomping/overwriting modules

#malware #detect #stealth

#forensics #linux #discord #slack

#forensics #linux #discord #slack

#espionage #security #china

#espionage #security #china

📕Работа про сквозное шифрование в WhatsApp и то как правоохранительные органы могут перехватывать и пытаются прочитать сообщения даже со сквозным шифрованием. Опять поднимается вопрос, что вместо "удобства в использовании" должна быть "приватность переписки" на первом плане. Поэтому, когда мы выбирает что удобнее, чаще всего проще получить данные о нас.

Понятное дело, что работать с зашифрованным трафиком тяжело и приходится идти на разные уловки, о которых как раз и идет речь в работе. Side-channel атаки в последнее время становятся более частыми, ведь их проще проводить, нежели копаться в зашифрованном трафике. Многие вещи в материале примирительны и к телеграмму или сигналу.

📕The work is about end-to-end encryption in WhatsApp and how law enforcement agencies can intercept and try to read messages even with end-to-end encryption. Again, the question is raised that instead of "ease of use" there should be "privacy of correspondence" in the foreground. Therefore, when we choose what is more convenient, it is often easier to get data about us.

It is clear that it is difficult to work with encrypted traffic and you have to go to different tricks, which are exactly what we are talking about in the work. Side-channel attacks have recently become more frequent, because they are easier to carry out than digging into encrypted traffic. Many things in the material are conciliatory to a telegram or signal.

#whatsapp #interception #forensics #privacy

#whatsapp #interception #forensics #privacy

From Russia With Crypto: A Political History of Telegram

#telegram #history #privacy

|AppSec Ezine|

📰441rd Edition
Release Date: 29/07/2022
pathonproject
github

#ezine #appsec #infosec

|Side-channel deanon|

🕵️‍♂️Пока не вышло руководство по идентификации пользователей Tor и I2P, хочу показать инструменты/фреймворки/руководства для проведения side-channel атак для установления личности преступника или получения защищенной информации у оного.
Как вы знаете, стараюсь быть в курсе событий, поэтому лишь свежие и обкатанные атаки.
Просто потому что пока буду писать по ним заметки/примеры применения/разбор полетов, то некоторые могут потерять актуальность, хотя некоторые долго живут(chipwhisperer - самый популярный пример)

И да, эти side-channel атаки уже применяются многими иностранными спецслужбами.
⬇️Ниже будут прикреплены работы.⬇️

🕵️‍♂️Until the Tor and I2P user identification guide has been released, I want to show tools/frameworks/guides for conducting side-channel attacks to identify the criminal or obtain protected information from him.
As you know, I try to keep abreast of events, so only fresh and run-in attacks.
Just because while I'm writing notes on them / application examples / debriefing, some may lose relevance, although some live a long time (chipwhisperer is the most popular example)

And yes, these side-channel attacks are already being used by many foreign intelligence agencies.
⬇️The works will be attached below⬇️

Сам список/The list itself:
💥chipwhisperer
💥SGX-Step(framework)
💥XSLeaks(class of vulnerabilities derived from side-channels built into the web platform)
💥Rainbow(emulate to perform side-channels and simulate fault injections)
💥Hacker's guide to deep-learning side-channel attacks
💥retbleed(sources) + website
💥hertzbleed(sources) + website
🔥Targeted Deanonymization via the Cache Side Channel: Attacks and Defenses + paper + demo
💥Lord of the Ring(s): Side Channel Attacks on the CPU On-Chip Ring Interconnect Are Practical
💥Osiris: Automated Discovery of Microarchitectural Side Channels
💥DeJITLeak: Eliminating JIT-Induced Timing Side-Channel Leaks
💥Disclosing information with a side-channel in Django

#deanonymization #cryptography #sideChannel #attack #cryptanalysis