🫠 Социальная Инженерия. Кого чаще всего атаковали в 2022 году?
• Атакующие тщательно прорабатывают такие письма, зачастую используют спуфинг в домене отправителя — делают его похожим на реальный. В этом году такие рассылки активно подделывали под деловую переписку.
• Сохраняют популярность и более хитрые схемы. Например, BEC-атаки, в которых злоумышленники вступают в переписку с сотрудником компании с целью завоевать его доверие и убедить выполнить действия, идущие во вред организации или ее клиентам. Зачастую в таких атаках используются взломанные аккаунты сотрудников или адреса, которые визуально похожи на официальные адреса компании, но отличаются несколькими символами.
🧷 https://ria.ru/20221222/
• Если говорить о первоначальной рассылке и разведке, то со своей стороны хочу отметить, что самое главное — получить ответ на свое письмо. Тем самым, ты получаешь информацию по заголовку
• О различных методах, которые применяют социальные инженеры, фишинге, различного материала на тему социальной инженерии, манипуляции и т.д., ты можешь найти по хэштегам #Фишинг и #СИ.
• Картинка в посте: darknet diares.
S.E. ▪️ S.E.Relax ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• По данным "Лабаратории Касперского", число фишинговых рассылок в 2022 году продолжает расти. Наиболее частой мишенью оказались сотрудники отдела кадров и финансов. Одной из популярных рассылок стали письма с темой "Ваша почта переполнена" или уведомлением о необходимости сменить пароль. • Атакующие тщательно прорабатывают такие письма, зачастую используют спуфинг в домене отправителя — делают его похожим на реальный. В этом году такие рассылки активно подделывали под деловую переписку.
• Сохраняют популярность и более хитрые схемы. Например, BEC-атаки, в которых злоумышленники вступают в переписку с сотрудником компании с целью завоевать его доверие и убедить выполнить действия, идущие во вред организации или ее клиентам. Зачастую в таких атаках используются взломанные аккаунты сотрудников или адреса, которые визуально похожи на официальные адреса компании, но отличаются несколькими символами.
🧷 https://ria.ru/20221222/
• Если говорить о первоначальной рассылке и разведке, то со своей стороны хочу отметить, что самое главное — получить ответ на свое письмо. Тем самым, ты получаешь информацию по заголовку
From и как указано ФИО сотрудника (русским или транслитом), ты можешь получить пример подписи который используется в компании и номер телефона сотрудника. Подпись можно использовать в дальнейшей рассылке, а номер телефона в BEC-атаках (о которых указано выше) или в социалке по телефону. Перечисленные варианты являются примером, на деле можно извлечь гораздо больше информации из ответного письма.• О различных методах, которые применяют социальные инженеры, фишинге, различного материала на тему социальной инженерии, манипуляции и т.д., ты можешь найти по хэштегам #Фишинг и #СИ.
• Картинка в посте: darknet diares.
S.E. ▪️ S.E.Relax ▪️ infosec.work
🙃 Байки по кибербезопасности: играем в «Правда или ложь»
• Сегодня предлагаю поиграть в "Правду или ложь". Суть заключается в том, что нам рассказывают краткую историю про аудит безопасности, а ты должен определить, правда это или нет.
🧷 https://habr.com/ru/company/jetinfosystems/blog/701204/
• Пример: Проект по «социалке». В далёком северном городе был согласован с заказчиком вектор атаки «Road Apple», когда «разбрасываются» флешки с вредоносным ПО. Лучше всего подходили принтеры с usb-разъёмом: в них мы и оставили носители. После первого дня атаки все флешки пропали. Мы обрадовались и разложили новые. Они тоже пропали. На третий день — аналогично. За всё это время подключений до нашего сервера не было. Стали смотреть со службой ИБ по камерам — оказалось, что все флешки забирала себе уборщица: она стала ещё одним рубежом защиты от «социалки».
• Ответ:Правда. С этих флешек печатают документы и часто забывают их в принтерах. Как выяснилось, их там годами тырила уборщица. Что она с ними делала, я не знаю.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ
🖖🏻 Приветствую тебя user_name.
• Совсем скоро Новый Год, многие готовятся к празднику и отдыху от работы или учебы. Отдыхать можно по-разному: многие залипают на YT, читают литературу, уезжают в другие города, смотрят сериалы или играют в игры...• Сегодня предлагаю поиграть в "Правду или ложь". Суть заключается в том, что нам рассказывают краткую историю про аудит безопасности, а ты должен определить, правда это или нет.
🧷 https://habr.com/ru/company/jetinfosystems/blog/701204/
• Пример: Проект по «социалке». В далёком северном городе был согласован с заказчиком вектор атаки «Road Apple», когда «разбрасываются» флешки с вредоносным ПО. Лучше всего подходили принтеры с usb-разъёмом: в них мы и оставили носители. После первого дня атаки все флешки пропали. Мы обрадовались и разложили новые. Они тоже пропали. На третий день — аналогично. За всё это время подключений до нашего сервера не было. Стали смотреть со службой ИБ по камерам — оказалось, что все флешки забирала себе уборщица: она стала ещё одним рубежом защиты от «социалки».
• Ответ:
📚 Социальная инженерия и Профайлинг. Что почитать на новогодних праздниках?
• Книги достаточно известные и их очень легко найти на просторах Telegram, соответствующих ресурсах и т.д. Описание каждой книги доступно по ссылкам ниже:
• Искусство вторжения. Кевин Митник.
• Искусство обмана. Кевин Митник, Вильям Л. Саймон.
• Призрак в Сети. Мемуары величайшего хакера Кевин Митник.
• Социальная инженерия и этичный хакинг на практике. Джо Грей.
• Социальная инженерия и социальные хакеры. Максим Кузнецов, Игорь Симдянов.
• Искусство обмана: Социальная инженерия в мошеннических схемах. Кристофер Хэднеги.
• Как разговаривать с м*даками. Марк Гоулстон.
• Вижу вас насквозь. Как «читать» людей. Евгений Спирица.
• Манипуляция общественным сознанием: теория и практика. Иванов О.Б.
• Психология влияния. Убеждай, воздействуй, защищайся. Роберт Чалдини.
• Включаем обаяние по методике спецслужб. Джек Шафер, Марвин Карлинс.
• Инструкция для манипулятора. Все секреты влияния на людей. Артем Сазыкин.
• Стань неуязвимым. Как обрести ментальную броню, научиться читать людей и жить без страха. Эви Пумпурас.
• Читайте людей как книгу. Как анализировать, понимать и предсказывать эмоции, мысли, намерения и поведение людей. Патрик Кинг.
• Книги можно перечислять бесконечно и собрать подборку в духе "ТОП 100", но для тебя это будет избыточной информацией. Можно запутаться и потеряться в огромном количестве материала. Предлагаю читать книги в том порядке, в котором они составлены выше.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #СИ #Профайлинг
🖖🏻 Приветствую тебя user_name.
• Теория – основа практики! В этом посте я подготовил подборку интересных книг, благодаря которым ты можешь провести новогодние праздники с пользой.• Книги достаточно известные и их очень легко найти на просторах Telegram, соответствующих ресурсах и т.д. Описание каждой книги доступно по ссылкам ниже:
• Искусство вторжения. Кевин Митник.
• Искусство обмана. Кевин Митник, Вильям Л. Саймон.
• Призрак в Сети. Мемуары величайшего хакера Кевин Митник.
• Социальная инженерия и этичный хакинг на практике. Джо Грей.
• Социальная инженерия и социальные хакеры. Максим Кузнецов, Игорь Симдянов.
• Искусство обмана: Социальная инженерия в мошеннических схемах. Кристофер Хэднеги.
• Как разговаривать с м*даками. Марк Гоулстон.
• Вижу вас насквозь. Как «читать» людей. Евгений Спирица.
• Манипуляция общественным сознанием: теория и практика. Иванов О.Б.
• Психология влияния. Убеждай, воздействуй, защищайся. Роберт Чалдини.
• Включаем обаяние по методике спецслужб. Джек Шафер, Марвин Карлинс.
• Инструкция для манипулятора. Все секреты влияния на людей. Артем Сазыкин.
• Стань неуязвимым. Как обрести ментальную броню, научиться читать людей и жить без страха. Эви Пумпурас.
• Читайте людей как книгу. Как анализировать, понимать и предсказывать эмоции, мысли, намерения и поведение людей. Патрик Кинг.
• Книги можно перечислять бесконечно и собрать подборку в духе "ТОП 100", но для тебя это будет избыточной информацией. Можно запутаться и потеряться в огромном количестве материала. Предлагаю читать книги в том порядке, в котором они составлены выше.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #СИ #Профайлинг
👨🏻💻 Бесплатные курсы на русском языке: Защищенные сетевые протоколы и компьютерные сети.
Материал лучше всего изучать после изучения следующего материала: https://t.me/Social_engineering/1648
Защищенные сетевые протоколы:
➖ Протоколы TLS/SSL;
➖ Шифрование в TLS/SSL;
➖ Целостность данных в TLS/SSL;
➖ Инфраструктура открытых ключей в TLS/SSL;
➖ Протокол TLS;
➖ Установка соединения в TLS;
➖ Анализируем протокол TLS в Wireshark;
➖ Расшифровка TLS в WireShark;
➖ Протокол TLS 1.3;
➖ Протокол TLS 1.3 в WireShark;
➖ Протокол HTTPS;
➖ Протокол HTTPS в WireShark.
Компьютерные сети. Продвинутые темы:
➖ Протокол IPv6;
➖ Адреса IPv6;
➖ Автоматическое назначение IPv6 адресов;
➖ Протокол NDP;
➖ Протоколы маршрутизации;
➖ Протокол RIP;
➖ Протокол OSPF;
➖ Иерархическая маршрутизация;
➖ Протокол BGP;
➖ Web сокеты.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Сети
🖖🏻 Приветствую тебя user_name.
• Для изучения сетевых технологий и основ сетей, в нашем канале опубликовано огромное кол-во материала. Сегодня мы дополним этот список полезными и бесплатными курсами на русском языке, а тебе будет что посмотреть на новогодних праздниках:Материал лучше всего изучать после изучения следующего материала: https://t.me/Social_engineering/1648
Защищенные сетевые протоколы:
➖ Протоколы TLS/SSL;
➖ Шифрование в TLS/SSL;
➖ Целостность данных в TLS/SSL;
➖ Инфраструктура открытых ключей в TLS/SSL;
➖ Протокол TLS;
➖ Установка соединения в TLS;
➖ Анализируем протокол TLS в Wireshark;
➖ Расшифровка TLS в WireShark;
➖ Протокол TLS 1.3;
➖ Протокол TLS 1.3 в WireShark;
➖ Протокол HTTPS;
➖ Протокол HTTPS в WireShark.
Компьютерные сети. Продвинутые темы:
➖ Протокол IPv6;
➖ Адреса IPv6;
➖ Автоматическое назначение IPv6 адресов;
➖ Протокол NDP;
➖ Протоколы маршрутизации;
➖ Протокол RIP;
➖ Протокол OSPF;
➖ Иерархическая маршрутизация;
➖ Протокол BGP;
➖ Web сокеты.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Сети
👨🏻💻 Awesome Memory Forensics.
Главная задача в цифровой криминалистике — сбор информации, а именно — получение образов жестких дисков, оперативной памяти и дампов сетевых соединений.
• Для анализа дампов памяти существует множество инструментов, которые собраны в репозитории: https://github.com/digitalisx/awesome-memory-forensics
• Помимо инструментов, в репозитории можно найти массу информации в виде ссылок на мануалы, видеоматериал, книги, презентации и отчеты.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Форензика
Главная задача в цифровой криминалистике — сбор информации, а именно — получение образов жестких дисков, оперативной памяти и дампов сетевых соединений.
🖖🏻 Приветствую тебя user_name.• Если говорить об анализе RAM, то по такому дампу можно определить, какие приложения запускались во время сеанса, потому что, пока человек не выключил или не перезагрузил ПК, в оперативной памяти хранится вся интересующая нас информация (например, данные процессов).
• Для анализа дампов памяти существует множество инструментов, которые собраны в репозитории: https://github.com/digitalisx/awesome-memory-forensics
• Помимо инструментов, в репозитории можно найти массу информации в виде ссылок на мануалы, видеоматериал, книги, презентации и отчеты.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Форензика
🎄 С Новым Годом. 2023.
• Отдельно хочу поблагодарить #OSINT и #ИБ комьюнити. Спасибо что делитесь полезным контентом и освещаете важные темы. Благодаря Вашей информации, мы можем развиваться и получать уникальные знания.
2023 🥂 S.E.
🖖🏻 Приветствую тебя user_name.• Уважаемые подписчики и коллеги, в новом году желаем Вам чистого неба над головой, мира и домашнего уюта. Всегда оставайтесь благоразумными и берегите своих близких. Уделяйте время родным и не забывайте о друзьях. Всегда достигайте поставленной цели и занимайтесь саморазвитием.
• Отдельно хочу поблагодарить #OSINT и #ИБ комьюнити. Спасибо что делитесь полезным контентом и освещаете важные темы. Благодаря Вашей информации, мы можем развиваться и получать уникальные знания.
2023 🥂 S.E.
🎬 Социальная инженерия. Что посмотреть на новогодних праздниках?
• Крайне не хочется грузить тебя сложным материалом, а наоборот, хочется разгрузить голову после 31 декабря и одновременно с этим, провести время с пользой! Сегодня я собрал небольшую подборку фильмов и сериалов, которые затрагивают тему Социальной Инженерии, профайлинга и ИБ. Приятного просмотра и хороших выходных:
• Кто я / Who am I.
• Сноуден || Snowden.
• Хакеры (1995).
• Mr.Robot.
• Настоящий детектив.
• Охотники за разумом.
• Обмани меня.
• Шерлок.
• Острые козырьки.
• Несколько документальных фильмов о хакерах.
• Подборка фильмов, которые должен посмотреть каждый хакер.
S.E. ▪️ S.E.Relax ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• Мы все по разному отмечаем новогодние праздники, кто-то с друзьями, кто-то в кругу семьи, а некоторые с коллегами по работе. Но одновременно с этим, всем хочется отдохнуть от суеты или учебы. А отдыхать можно разными способами, например позалипать на ютубе или посмотреть интересный сериал. • Крайне не хочется грузить тебя сложным материалом, а наоборот, хочется разгрузить голову после 31 декабря и одновременно с этим, провести время с пользой! Сегодня я собрал небольшую подборку фильмов и сериалов, которые затрагивают тему Социальной Инженерии, профайлинга и ИБ. Приятного просмотра и хороших выходных:
• Кто я / Who am I.
• Сноуден || Snowden.
• Хакеры (1995).
• Mr.Robot.
• Настоящий детектив.
• Охотники за разумом.
• Обмани меня.
• Шерлок.
• Острые козырьки.
• Несколько документальных фильмов о хакерах.
• Подборка фильмов, которые должен посмотреть каждый хакер.
S.E. ▪️ S.E.Relax ▪️ infosec.work
💸 Социальная Инженерия: регистрация за сотку баксов.
• Все созданные ресурсы требовали внести оплату за создания аккаунта, когда настоящие площадки работают только по инвайту. Среди скам ресурсов оказались Genesis, Benumb, UniCC и Pois0n (с полным списком ресурсов можно ознакомиться на скриншоте к посту).
• Такая схема оказалась очень успешной — на криптокошельках владельца сайтов оказалось более 132 тыс. долларов США, которые он успешно вывел.
• Аналитики считают, что им удалось найти ответственного за это человека под ником "waltcranston". Этот юзернейм объединяет в себе имена главного героя сериала «Во все тяжкие» Уолтера Уайта и актера, который его играет — Брайана Крэнстона.
🧷 С подробным отчетом можно ознакомиться по ссылке: https://news.sophos.com/
• Хочется напомнить, что перед оплатой любой услуги или товара, всегда досконально обращайте внимание на различные мелочи, пользуйтесь гарантами и тщательно проверяйте информацию.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Фишинг #СИ
🖖🏻 Приветствую тебя user_name.
• Фанат сериала «Во все тяжкие» создал 20 фишинговых даркнет-маркетплейсов и брал с доверчивых «хакеров» по 100 баксов за регистрацию.• Все созданные ресурсы требовали внести оплату за создания аккаунта, когда настоящие площадки работают только по инвайту. Среди скам ресурсов оказались Genesis, Benumb, UniCC и Pois0n (с полным списком ресурсов можно ознакомиться на скриншоте к посту).
• Такая схема оказалась очень успешной — на криптокошельках владельца сайтов оказалось более 132 тыс. долларов США, которые он успешно вывел.
• Аналитики считают, что им удалось найти ответственного за это человека под ником "waltcranston". Этот юзернейм объединяет в себе имена главного героя сериала «Во все тяжкие» Уолтера Уайта и актера, который его играет — Брайана Крэнстона.
🧷 С подробным отчетом можно ознакомиться по ссылке: https://news.sophos.com/
• Хочется напомнить, что перед оплатой любой услуги или товара, всегда досконально обращайте внимание на различные мелочи, пользуйтесь гарантами и тщательно проверяйте информацию.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Фишинг #СИ
🔖 S.E. Заметка. MindMaps на любой вкус.
🧷 https://github.com/imran-parray/Mind-Maps
• В качестве дополнения, обратите внимание на Roadmap для обучения пентесту с нуля: https://t.me/Social_engineering/2221
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ
🖖🏻 Приветствую тебя user_name.• Коллекция различных MindMaps для пентестеров, специалистов в области информационной безопасности и Bug Bounty Hunters. Карты помогут в изучении нового материала или при выполнении определенной работы \ задачи. Добавляйте в закладки:
🧷 https://github.com/imran-parray/Mind-Maps
• В качестве дополнения, обратите внимание на Roadmap для обучения пентесту с нуля: https://t.me/Social_engineering/2221
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ
👨🏻💻 Mimikatz. Руководство по применению.
• Для изучения данного инструмента и практических знаний, рекомендую ознакомиться с самым крупным неофициальным руководством по Mimikatz: https://adsecurity.org
Немного дополнительного материала:
• Репозиторий на GitHub.
• Основные команды Mimikatz.
• Описание, руководство, модули, примеры запуска и установка mimikatz.
• Как взломать пароль Windows?
• Расшифровка хранимых в Windows паролей с помощью mimikatz.
• Материал для подробного изучения Mimikatz. Часть 1.
• Материал для подробного изучения Mimikatz. Часть 2.
• Mimikatz. Собственная сборка для обхода антивируса.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Mimikatz
🖖🏻 Приветствую тебя user_name.
• Бенджамин Делпи изначально создал Mimikatz в качестве доказательства концепции, чтобы продемонстрировать Microsoft уязвимость для атак их протоколов аутентификации. Вместо этого он непреднамеренно создал один из самых широко используемых и загружаемых хакерских инструментов за последние 20 лет.• Для изучения данного инструмента и практических знаний, рекомендую ознакомиться с самым крупным неофициальным руководством по Mimikatz: https://adsecurity.org
Немного дополнительного материала:
• Репозиторий на GitHub.
• Основные команды Mimikatz.
• Описание, руководство, модули, примеры запуска и установка mimikatz.
• Как взломать пароль Windows?
• Расшифровка хранимых в Windows паролей с помощью mimikatz.
• Материал для подробного изучения Mimikatz. Часть 1.
• Материал для подробного изучения Mimikatz. Часть 2.
• Mimikatz. Собственная сборка для обхода антивируса.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Mimikatz
🔄 Обратный поиск. Методы поиска информации по изображениям и вспомогательные инструменты.
• Всегда обращай внимание на сторонние объекты которые присутствуют на фото, с помощью различных сервисов или инструментов ты сможешь определить геолокацию объекта.
• Например, приложение Merlin Bird ID от Cornell Lab чрезвычайно точно определяет тип птиц по фото или предлагает возможные варианты. Если на изображении ты заметил светофор, то можно с легкостью узнать страну или город, в котором сделана фотография: https://t.me/Social_engineering/2433. Таких вспомогательных ресурсов очень много, но бОльшую роль в поиске информации играет твоя наблюдательность. Обрати внимание на пост: https://t.me/Social_engineering/2505 тут ты найдешь небольшую подборку разных вспомогательных сервисов.
• Не забывай про Google Translate, он поможет тебе если на изображении встретились символы (слова) неизвестного языка. Ты можешь воспользоваться рукописным вводом (кистью), повторить слово и узнать, что оно обозначает. Исходя из полученной информации у нас есть шанс узнать страну \ город объекта и определить точное местоположение.
• Ещё можно размыть некоторые элементы фотографии и обмануть поисковую систему, заставив её сосредоточится на определенном объекте.
• Таких методов и вспомогательных инструментов великое множество. Не забывай, что всегда нужно применять полученные знания на практике, развиваться и изучать полезный материал, который ты можешь найти по хэштегу #OSINT.
S.E. ▪️ S.E.Relax ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• Если перед нами стоит задача идентификации человека или объекта по фотографии, то мы можем решить её с помощью различных методов и вспомогательных инструментов.• Всегда обращай внимание на сторонние объекты которые присутствуют на фото, с помощью различных сервисов или инструментов ты сможешь определить геолокацию объекта.
• Например, приложение Merlin Bird ID от Cornell Lab чрезвычайно точно определяет тип птиц по фото или предлагает возможные варианты. Если на изображении ты заметил светофор, то можно с легкостью узнать страну или город, в котором сделана фотография: https://t.me/Social_engineering/2433. Таких вспомогательных ресурсов очень много, но бОльшую роль в поиске информации играет твоя наблюдательность. Обрати внимание на пост: https://t.me/Social_engineering/2505 тут ты найдешь небольшую подборку разных вспомогательных сервисов.
• Не забывай про Google Translate, он поможет тебе если на изображении встретились символы (слова) неизвестного языка. Ты можешь воспользоваться рукописным вводом (кистью), повторить слово и узнать, что оно обозначает. Исходя из полученной информации у нас есть шанс узнать страну \ город объекта и определить точное местоположение.
• Ещё можно размыть некоторые элементы фотографии и обмануть поисковую систему, заставив её сосредоточится на определенном объекте.
• Таких методов и вспомогательных инструментов великое множество. Не забывай, что всегда нужно применять полученные знания на практике, развиваться и изучать полезный материал, который ты можешь найти по хэштегу #OSINT.
S.E. ▪️ S.E.Relax ▪️ infosec.work
👁 Анонимность в современном мегаполисе.
Анонимность частной жизни и сбережений — это то, без чего не может существовать свобода личности.
• Эта статья о том, какие данные собираются, какими способами и как от этого защититься: https://habr.com/ru/post/553558/
• Не забывай про самый большой и актуальный гайд по обеспечению анонимности и безопасности в сети: https://anonymousplanet.org/guide.html
S.E. ▪️ S.E.Relax ▪️ infosec.work
Анонимность частной жизни и сбережений — это то, без чего не может существовать свобода личности.
🖖🏻 Приветствую тебя user_name.• Современный мегаполис — это гигантский и сложный организм, пронизанный насквозь информационными потоками. Информация делает более эффективной его работу, но при этом создает потенциальные проблемы с приватностью его обитателей, которые зачастую даже не подозревают о слежке.
• Эта статья о том, какие данные собираются, какими способами и как от этого защититься: https://habr.com/ru/post/553558/
• Не забывай про самый большой и актуальный гайд по обеспечению анонимности и безопасности в сети: https://anonymousplanet.org/guide.html
S.E. ▪️ S.E.Relax ▪️ infosec.work
🫠 Социальная Инженерия. MFA-усталость (MFA Fatigue).
• При проведении атаки методом MFA Fatigue, атакующтй запускает скрипт, который пытается подключиться к сети с помощью скомпрометированных логинов и паролей. Нюанс заключается в том, что попытка авторизации происходит безостановочно. Это приводит к бесконечному числу уведомлений на устройство жертвы.
• Задача атакующих — поддерживать темп максимально долго, чтобы в конечном итоге "сломать" жертву. Наглядная демонстрация представлена в данном ролике: https://youtu.be/auGdUGIqESU
• Если жертва подтверждает входящий запрос, уведомления прекращаются, а атакующий успешно авторизовывается в системе.
• Эта техника оказалась крайне успешной и использовалась такими группами как
• Тут можно предположить, что достаточно жертве поменять пароль и на этом все закончится, но давайте посмотрим на ситуацию с другой стороны: представьте, сколько сотрудников в компании не связаны с ИТ (не говоря уже об ИБ)? Типичный бухгалтер никогда не догадается с чем связано такое кол-во уведомлений и рано или поздно нажмет на кнопку "Approve".
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #СИ
🖖🏻 Приветствую тебя user_name.
• MFA Fatigue — один из методов социальной инженерии, который применяют атакующие для обхода многофакторный аутентификации, вызывая бесконечный поток push-запросов, отправляемых на мобильное устройство владельца учетной записи. Если жертва принимает запрос, то атакующий успешно завершит авторизацию.• При проведении атаки методом MFA Fatigue, атакующтй запускает скрипт, который пытается подключиться к сети с помощью скомпрометированных логинов и паролей. Нюанс заключается в том, что попытка авторизации происходит безостановочно. Это приводит к бесконечному числу уведомлений на устройство жертвы.
• Задача атакующих — поддерживать темп максимально долго, чтобы в конечном итоге "сломать" жертву. Наглядная демонстрация представлена в данном ролике: https://youtu.be/auGdUGIqESU
• Если жертва подтверждает входящий запрос, уведомления прекращаются, а атакующий успешно авторизовывается в системе.
• Эта техника оказалась крайне успешной и использовалась такими группами как
Lapsus$ и Yanluowang при взломе Microsoft, Cisco и Uber.• Тут можно предположить, что достаточно жертве поменять пароль и на этом все закончится, но давайте посмотрим на ситуацию с другой стороны: представьте, сколько сотрудников в компании не связаны с ИТ (не говоря уже об ИБ)? Типичный бухгалтер никогда не догадается с чем связано такое кол-во уведомлений и рано или поздно нажмет на кнопку "Approve".
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #СИ
Forwarded from SecAtor
Исследователи из Symantec сообщают подробности о деятельности киберпреступной группы, которую они отслеживают как Bluebottle, выявляя значительное сходство с TTP банды OPERA1ER.
Как выяснили ресерчеры, хакеры Bluebottle использовали подписанный драйвер Windows для атак на банки во франкоязычных странах. При этом действия и цели соответствуют профилю OPERA1ER, которым было приписано не менее 35 успешных атак в период с 2018 по 2020 год.
Еще в начале ноября 2022 года Group-IB представила обширный отчет по результатам анализа задокументированных кампании OPERA1ER, в котором исследователи отметили отсутствие специализированных вредоносных ПО и широкое использование доступных инструментов.
Считается, что группа включает франкоговорящих членов и действует с территории Африки, нацеливаясь на организации в регионе, нанося также удары по компаниям в Аргентине, Парагвае и Бангладеш.
Результаты работы Symantec позволили пролить свет на некоторые технические детали, в том числе использование инструмента GuLoader для загрузки вредоносных программ и подписанного драйвера, нейтрализацию средств защиты в сети жертвы.
Исследователи отмечают, что вредоносное ПО состояло из двух компонентов: управляющей DLL, которая считывает список процессов из третьего файла, и подписанного «вспомогательного» драйвера, управляемого первым драйвером и используемого для завершения процессов в списке.
При этом, как полагают в Symantec, подписанный вредоносный драйвер использовался несколькими группами киберпреступников для отключения защиты, о чем в декабре сообщали Microsoft, Mandiant, Sophos и SentinelOne.
Образец, обнаруженный исследователями Symantec, хотя и является одним и тем же драйвером, но был подписан цифровым сертификатом китайской компании Zhuhai Liancheng Technology Co., Ltd, что указывает на наличие у акторов выходов на провайдеров, которые могут предоставлять законные подписи от доверенных лиц.
Исследователи отмечают, что этот же драйвер использовался в рамках атаки с использованием ransomware на некоммерческую организацию в Канаде.
Symantec сообщает, что активность Bluebottle, которую они наблюдали, началась в июле 2022 года и продолжалась до сентября, но могла фиксироваться и в мае.
Недавние атаки также показывают некоторые новые TTP, которые включают использование GuLoader на начальных этапах атаки. Кроме того, исследователи обнаружили признаки того, что злоумышленник использовал образы дисков ISO в качестве начального вектора заражения в целевом фишинге на тему работы.
Исследователи Symantec проанализировали атаки Bluebottle на три различных финансовых учреждения в африканских странах.
В одном из них злоумышленник полагался на несколько инструментов и утилит двойного назначения, уже имеющихся в системе (Quser, ping, Ngrok, Net localgroup, VPN-клиент Fortinet, Xcopy, Netsh, Autoupdatebat 'Automatic RDP Wrapper installer and updater' и привилегии SC для изменения разрешений агента SSH).
Также Bluebottle использовали вредоносные инструменты: GuLoader, Mimikatz, Reveal Keylogger и троян удаленного доступа Netwire.
Злоумышленник приступал к ручному боковому перемещению примерно через три недели после первоначальной компрометации, используя командную строку и PsExec.
Хотя анализ атак и используемых инструментов позволяет предположить, что OPERA1ER и Bluebottle представляют собой одну и ту же группу, однако Symantec не подтверждает отмеченные Group-IB масштабы монетизации.
Как выяснили ресерчеры, хакеры Bluebottle использовали подписанный драйвер Windows для атак на банки во франкоязычных странах. При этом действия и цели соответствуют профилю OPERA1ER, которым было приписано не менее 35 успешных атак в период с 2018 по 2020 год.
Еще в начале ноября 2022 года Group-IB представила обширный отчет по результатам анализа задокументированных кампании OPERA1ER, в котором исследователи отметили отсутствие специализированных вредоносных ПО и широкое использование доступных инструментов.
Считается, что группа включает франкоговорящих членов и действует с территории Африки, нацеливаясь на организации в регионе, нанося также удары по компаниям в Аргентине, Парагвае и Бангладеш.
Результаты работы Symantec позволили пролить свет на некоторые технические детали, в том числе использование инструмента GuLoader для загрузки вредоносных программ и подписанного драйвера, нейтрализацию средств защиты в сети жертвы.
Исследователи отмечают, что вредоносное ПО состояло из двух компонентов: управляющей DLL, которая считывает список процессов из третьего файла, и подписанного «вспомогательного» драйвера, управляемого первым драйвером и используемого для завершения процессов в списке.
При этом, как полагают в Symantec, подписанный вредоносный драйвер использовался несколькими группами киберпреступников для отключения защиты, о чем в декабре сообщали Microsoft, Mandiant, Sophos и SentinelOne.
Образец, обнаруженный исследователями Symantec, хотя и является одним и тем же драйвером, но был подписан цифровым сертификатом китайской компании Zhuhai Liancheng Technology Co., Ltd, что указывает на наличие у акторов выходов на провайдеров, которые могут предоставлять законные подписи от доверенных лиц.
Исследователи отмечают, что этот же драйвер использовался в рамках атаки с использованием ransomware на некоммерческую организацию в Канаде.
Symantec сообщает, что активность Bluebottle, которую они наблюдали, началась в июле 2022 года и продолжалась до сентября, но могла фиксироваться и в мае.
Недавние атаки также показывают некоторые новые TTP, которые включают использование GuLoader на начальных этапах атаки. Кроме того, исследователи обнаружили признаки того, что злоумышленник использовал образы дисков ISO в качестве начального вектора заражения в целевом фишинге на тему работы.
Исследователи Symantec проанализировали атаки Bluebottle на три различных финансовых учреждения в африканских странах.
В одном из них злоумышленник полагался на несколько инструментов и утилит двойного назначения, уже имеющихся в системе (Quser, ping, Ngrok, Net localgroup, VPN-клиент Fortinet, Xcopy, Netsh, Autoupdatebat 'Automatic RDP Wrapper installer and updater' и привилегии SC для изменения разрешений агента SSH).
Также Bluebottle использовали вредоносные инструменты: GuLoader, Mimikatz, Reveal Keylogger и троян удаленного доступа Netwire.
Злоумышленник приступал к ручному боковому перемещению примерно через три недели после первоначальной компрометации, используя командную строку и PsExec.
Хотя анализ атак и используемых инструментов позволяет предположить, что OPERA1ER и Bluebottle представляют собой одну и ту же группу, однако Symantec не подтверждает отмеченные Group-IB масштабы монетизации.
Security
Bluebottle: Campaign Hits Banks in French-speaking Countries in Africa
Continuation of previously documented activity leverages new TTPs.
🫠 Социальная Инженерия. Обман блогеров и угон каналов.
• Не знаю всех нюансов и подробностей технической составляющей взлома, но суть совершенно не в этом. Только представьте, человека имеющего такой опыт в программировании и ИТ в целом, смогли обмануть и угнать канал простейшими методами #СИ и фишинга. Представили? А теперь подумайте сколько администраторов или простых пользователей подвержены аналогичным атакам. Многие люди никаким образом не связаны с ИТ и для них ввести свой пароль 2FA на фиш ресурсе - обычное дело.
• Если взять ситуацию, когда администратору канала пишут скамеры и предлагают купить 10 рекламных постов за 3000$, но для этого необходимо зарегистрироваться на фишинговом ресурсе с формой входа через Telegram, как ты считаешь, какой процент администраторов откажется от такой сделки?
• Как уже было сказано, основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Именно поэтому всегда старайтесь думать головой, не вводите данные на сторонних ресурсах и читайте S.E. по хэштегу #СИ, я стараюсь часто публиковать актуальные методы развода админов (и не только) в Telegram и делиться интересной информацией из мира Социальной Инженерии.
* Канал по итогу восстановили через поддержку TG. Надеюсь что автор будет учится на своих ошибках и больше не попадет в такую ситуацию.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #СИ
🖖🏻 Приветствую тебя user_name.
• Вчера было опубликовано видеообращение от достаточно известно блогера (АйТи Борода), который освещает тему программирования и публикует интересные интервью с разработчиками. Дело в том, что с помощью методов социальной инженерии, автора заставили ввести данные на фишинговом ресурсе, после чего аккаунт был взломан, а Telegram *канал угнан. После успешного взлома в ТГ канале начали публиковать различные бинарные опционы, которые являются скамом.• Не знаю всех нюансов и подробностей технической составляющей взлома, но суть совершенно не в этом. Только представьте, человека имеющего такой опыт в программировании и ИТ в целом, смогли обмануть и угнать канал простейшими методами #СИ и фишинга. Представили? А теперь подумайте сколько администраторов или простых пользователей подвержены аналогичным атакам. Многие люди никаким образом не связаны с ИТ и для них ввести свой пароль 2FA на фиш ресурсе - обычное дело.
• Если взять ситуацию, когда администратору канала пишут скамеры и предлагают купить 10 рекламных постов за 3000$, но для этого необходимо зарегистрироваться на фишинговом ресурсе с формой входа через Telegram, как ты считаешь, какой процент администраторов откажется от такой сделки?
• Как уже было сказано, основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Именно поэтому всегда старайтесь думать головой, не вводите данные на сторонних ресурсах и читайте S.E. по хэштегу #СИ, я стараюсь часто публиковать актуальные методы развода админов (и не только) в Telegram и делиться интересной информацией из мира Социальной Инженерии.
* Канал по итогу восстановили через поддержку TG. Надеюсь что автор будет учится на своих ошибках и больше не попадет в такую ситуацию.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #СИ
🧠 S.E. Заметка. Классическая социальная инженерия.
• Одной из особенностей такого подхода является запись музыки, которую компания использует во время звонков, в момент, когда звонящий ожидает ответа. Атакующий сначала дожидается такой музыки, затем записывает ее, после чего использует в своих интересах.
• Таким образом, когда идет непосредственный диалог с жертвой, злоумышленники в какой-то момент говорят: «Подождите минутку, звонок по другой линии». Затем жертва слышит знакомую музыку и у нее не остается никаких сомнений, что звонящий представляет определенную компанию. В сущности, это лишь грамотный психологический трюк.
• Таких методов и приемов великое множество. Обратите внимание на материал по хэштегам: #СИ #Профайлинг #Психология.
S.E. ▪️ S.E.Relax ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• Для осуществления успешной атаки атакующие нуждаются в трёх составляющих: время, настойчивость и терпение. Зачастую атаки с использованием социальной инженерии производятся постепенно и методично — собираются не только данные о нужных людях, но и так называемые «социальные сигналы». Это делается для того, чтобы заполучить доверие и обвести цель вокруг пальца. Например, атакующий может убедить жертву, с которой выстраивается диалог, в том, что они коллеги.• Одной из особенностей такого подхода является запись музыки, которую компания использует во время звонков, в момент, когда звонящий ожидает ответа. Атакующий сначала дожидается такой музыки, затем записывает ее, после чего использует в своих интересах.
• Таким образом, когда идет непосредственный диалог с жертвой, злоумышленники в какой-то момент говорят: «Подождите минутку, звонок по другой линии». Затем жертва слышит знакомую музыку и у нее не остается никаких сомнений, что звонящий представляет определенную компанию. В сущности, это лишь грамотный психологический трюк.
• Таких методов и приемов великое множество. Обратите внимание на материал по хэштегам: #СИ #Профайлинг #Психология.
S.E. ▪️ S.E.Relax ▪️ infosec.work
📦 Hack The Box. Учимся взлому.
• Если у тебя не хватает навыков и времени на прохождение HTB, то обязательно обрати внимание на YT канал IppSec. Тут собрано огромное кол-во материала по прохождению различных заданий с разным уровнем сложности: https://www.youtube.com/@ippsec/videos
• В дополнение обрати внимание на подборку готовых прохождений на русском языке. Если этого недостаточно, то можно изучать материал на хабре или хакере:
- https://xakep.ru
- https://habr.com
По этим ссылкам всегда доступны свежие и актуальные прохождения.
• Старайтесь выделять время для изучения материала и больше практиковаться. Любую необходимую информацию ты всегда можешь найти в открытом доступе, главное терпение и желание.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ #CTF
🖖🏻 Приветствую тебя user_name.• Hack The Box является максимально популярным среди тех, кто хочет прокачать свои знания в различных аспектах пентеста и хакинга. Сервис отличается удобным интерфейсом для управления активными инстансами виртуалок, отзывчивой техподдержкой и, что важнее всего, постоянно обновляющемся списком уязвимых хостов.
• Если у тебя не хватает навыков и времени на прохождение HTB, то обязательно обрати внимание на YT канал IppSec. Тут собрано огромное кол-во материала по прохождению различных заданий с разным уровнем сложности: https://www.youtube.com/@ippsec/videos
• В дополнение обрати внимание на подборку готовых прохождений на русском языке. Если этого недостаточно, то можно изучать материал на хабре или хакере:
- https://xakep.ru
- https://habr.com
По этим ссылкам всегда доступны свежие и актуальные прохождения.
• Старайтесь выделять время для изучения материала и больше практиковаться. Любую необходимую информацию ты всегда можешь найти в открытом доступе, главное терпение и желание.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ #CTF
💬 true story... Атака века. Как с помощью СИ обмануть Google и Facebook на сотни миллионов долларов.
• Читать историю на русском языке: https://habr.com
• Читать в оригинале (eng): https://darknetdiaries.com
📌 Другие увлекательные истории: story №1 • story №2 • story №3 • story №4 • story №5 • story №6 • story №7 • story №8 • story №9 • story №10 • story №11 • story №12 • story №13 • story №14 • story №15 • story №16
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #СИ #История
🖖🏻 Приветствую тебя user_name.• Как уже понятно из названия, сегодняшний рассказ посвящен Facebook и Google, у которых с помощью социальной инженерии удалось украсть миллионы долларов.
• Читать историю на русском языке: https://habr.com
• Читать в оригинале (eng): https://darknetdiaries.com
📌 Другие увлекательные истории: story №1 • story №2 • story №3 • story №4 • story №5 • story №6 • story №7 • story №8 • story №9 • story №10 • story №11 • story №12 • story №13 • story №14 • story №15 • story №16
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #СИ #История
👨🏻💻 Стеганография. Полезные инструменты и ресурсы.
• Сегодня поделюсь интересным и очень полезным проектом, который представляет собой образ Docker, с актуальными инструментами и скрпитами предназначенными для стеганографии. Проект включает в себя демо-файлы на которых можно потренироваться и прокачать свои навыки: https://github.com/DominicBreuker/stego-toolkit
• Перед установкой обязательно ознакомьтесь со следующим материалом:
• Практическая стеганография.
• Скрытие информации в изображениях PNG.
• Стеганография и ML.
• Где хранить секретные файлы на случай БП.
• Исполняемые PNG: запускаем изображения как программы.
• Стеганография в файловой системе оптических дисков.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Стеганография
🖖🏻 Приветствую тебя user_name.
• Стеганография — впервые этот термин упоминался в 1499 году и уже тогда под этим словом подразумевалась передача информации путем сохранения в тайне самого факта передачи. Как ни странно, в наши дни стеганография не получила широкого признания в среде хакеров, хотя нельзя сказать, чтобы к ней не прибегли вовсе.• Сегодня поделюсь интересным и очень полезным проектом, который представляет собой образ Docker, с актуальными инструментами и скрпитами предназначенными для стеганографии. Проект включает в себя демо-файлы на которых можно потренироваться и прокачать свои навыки: https://github.com/DominicBreuker/stego-toolkit
• Перед установкой обязательно ознакомьтесь со следующим материалом:
• Практическая стеганография.
• Скрытие информации в изображениях PNG.
• Стеганография и ML.
• Где хранить секретные файлы на случай БП.
• Исполняемые PNG: запускаем изображения как программы.
• Стеганография в файловой системе оптических дисков.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Стеганография
🔖 Эволюция киберпреступности. Анализ, тренды и прогнозы 2023.
• Напомним, что самыми активными группами в 2022 году были Lockbit, Conti и Hive. В 2023 году в игре останутся только сильнейшие, а мелкие и менее опытные, будут распадаться.
• Количество ресурсов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления на жертву, в 2022 году выросло на 83%, достигнув 44. По информации от Group-IB, ежедневно на таких сайтах оказываются данные 8 жертв, атакованных шифровальщиками, а в общей сложности, в публичном доступе были выложены данные 2894 компаний.
• Как и ранее, большинство атак вымогателей приходилось на компании в США. Однако в прошлом году количество атак с целью выкупа за расшифровку данных на бизнес в RU сегменте увеличилось в три раза. Рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.
• Новым способом получения доступов в инфраструктуру компаний становится использование стиллеров — вредоносных программ для кражи данных с зараженных компьютеров и смартфонов пользователей. Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2300 предложений на даркнет форумах. За 2022 год рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое. Чаще всего злоумышленники реализуют свой “товар” в виде доступов к VPN и RDP (протокол удаленного рабочего стола).
• В 2022 году данные, украденные с помощью стиллеров, вошли в топ-3 самого продаваемого “товара” в даркнете наряду с продажей доступов и текстовыми данными банковских карт (имя владельца, номер карты, срок истечения, CVV).
• В 2023 году специалисты прогнозируют и рост утечек. Подавляющее большинство баз данных российских компаний выкладывались в 2022 году на андеграундных форумах и тематических Telegram-каналах в публичный доступ бесплатно.
🧷 Полный отчет можно запросить по ссылке: https://www.group-ib.ru/resources/research-hub/hi-tech-crime-trends-2022/. Отчет будет полезен компаниям из разных секторов и поможет создавать действенные ИБ-стратегии.
📌 Благодарность за краткое описание отчета: https://www.anti-malware.ru/
S.E. ▪️ S.E.Relax ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• Group-IB опубликовали ежегодный флагманский отчет об актуальных трендах в сфере кибербезопасности и прогнозах эволюции ландшафта угроз. Если коротко, то направление программ-вымогателей сохранит свое лидерство в рейтинге киберугроз для бизнеса.• Напомним, что самыми активными группами в 2022 году были Lockbit, Conti и Hive. В 2023 году в игре останутся только сильнейшие, а мелкие и менее опытные, будут распадаться.
• Количество ресурсов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления на жертву, в 2022 году выросло на 83%, достигнув 44. По информации от Group-IB, ежедневно на таких сайтах оказываются данные 8 жертв, атакованных шифровальщиками, а в общей сложности, в публичном доступе были выложены данные 2894 компаний.
• Как и ранее, большинство атак вымогателей приходилось на компании в США. Однако в прошлом году количество атак с целью выкупа за расшифровку данных на бизнес в RU сегменте увеличилось в три раза. Рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.
• Новым способом получения доступов в инфраструктуру компаний становится использование стиллеров — вредоносных программ для кражи данных с зараженных компьютеров и смартфонов пользователей. Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2300 предложений на даркнет форумах. За 2022 год рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое. Чаще всего злоумышленники реализуют свой “товар” в виде доступов к VPN и RDP (протокол удаленного рабочего стола).
• В 2022 году данные, украденные с помощью стиллеров, вошли в топ-3 самого продаваемого “товара” в даркнете наряду с продажей доступов и текстовыми данными банковских карт (имя владельца, номер карты, срок истечения, CVV).
• В 2023 году специалисты прогнозируют и рост утечек. Подавляющее большинство баз данных российских компаний выкладывались в 2022 году на андеграундных форумах и тематических Telegram-каналах в публичный доступ бесплатно.
🧷 Полный отчет можно запросить по ссылке: https://www.group-ib.ru/resources/research-hub/hi-tech-crime-trends-2022/. Отчет будет полезен компаниям из разных секторов и поможет создавать действенные ИБ-стратегии.
📌 Благодарность за краткое описание отчета: https://www.anti-malware.ru/
S.E. ▪️ S.E.Relax ▪️ infosec.work
