🗺 GEOINT. Geolocation Estimation.

• Всем привет! На связи Майкрофт, специально на Social Engineering.

• Одна из самых сложных дисциплин разведки по открытым источникам, на мой скромный взгляд, это GEOINT. Найти место по фотографии – это как иголку в стоге сена, если, конечно, не знать пару особых приемов. Поэтому у опытных ресерчеров время поиска снижается с нескольких часов (а то и суток) бесцельного просмотра Google Maps к конкретному целевому поиску в конкретных местах.

• Нет, я, конечно, не предлагаю вам заучивать сотни видов дорожных знаков и навскидку отличать типы ограждений в различных районах Турции (хотя и это пригодится). Я сегодня пришел к вам с подгоном, который сильно сократит область поиска. Называется он Geolocation Estimation.

• С ним все просто: вставляете в него картинку, а дальше сервис сделает все за вас: извлечет метадату, определит тип местности, выделит характерные детали на картинке и сам сравнит ее с уже найденными похожими местами. То есть на карте вы получите целый ряд красных точек, где были замечены подобные детали. Это колоссально снижает зону поиска и экономики кучу нервов. Не благодарите!

• Канал автора: https://t.me/mycroftintel

S.E. ▪️ infosec.work ▪️ #OSINT

⚙️ Mimikatz. 64 способа запуска или кража учетных данных.

Mimikatz сделал для повышения безопасности больше, чем любой другой известный инструмент.

🖖🏻 Приветствую тебя user_name.

• Если говорить простыми словами, то Mimikatz — это инструмент, позволяющий извлечь данные аутентификации залогинившегося в системе пользователя в открытом виде.

• Я уже много писал и делился полезными ссылками для изучения данного инструмента. Весь материал можно найти по хэштегу #Mimikatz. Сегодня добавим к этому списку еще один полезный ресурс, где представлены 64 способа запуска нашего инструмента. Материал будет полезен пентестерам и этичным хакерам:

• https://redteamrecipe.com/64-Methods-For-Execute-Mimikatz/

• В дополнение: самое объемное и полноценное руководство по использованию Mimikatz в сети на сегодняшний день: https://adsecurity.org

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Mimikatz

🔎 Утечка данных сайтов BI.ZONE: результаты расследования и процесс реагирования.

🖖🏻 Приветствую тебя user_name.

• Весьма интересное расследование по факту взлома виртуальных серверов BI.ZОNE, которые размещались на сторонней площадке хостинг-провайдера. Расписаны некоторые полезные техники и ответы на многие важные вопросы:

• Откуда были взяты данные;
• Как злоумышленники выгрузили данные:
- Взлом виртуальных серверов;
- Выгрузка резервных копий;
• Какие данные утекли;
• Итоги расследования;
• Меры реагирования;
• Хронология реагирования;

• Расследование: https://habr.com/ru/post/732656/

• Новость: https://xakep.ru/2023/05/02/bi-zone-dumpforums/

S.E. ▪️ infosec.work ▪️ #Новости

⌛️Назад в прошлое. Поиск информации в архивах.

• Всем привет! На связи Майкрофт, специально на Social Engineering.

• Вот вы говорите, Google – это наше все. Но я вам скажу так, по сравнению с этим монстром на стероидах Google - просто сосунок. Ну не совсем, но у Wayback Machine есть одно неоспоримое преимущество – возможность заглянуть в прошлое и увидеть, как выглядела страница несколько десятков (я не шучу) лет назад.

• Wayback Machine – это крайне недооцененный инструмент. Ведь кроме информации на страницах из Архива может сохраниться уязвимый код, а также интересные документы, которые, как думают безопасники, они давно удалили с сайта. Удалить-то удалили, но Интернет помнит все.

• Тоже самое касается и журналистов, которые играют в информационные атаки – даже если ты затер первоисточник – его можно восстановить через Архив.

• Не хотите запариваться с поиском истории whois – нет ничего проще – если сайт известный, то на нем будет сохранена история по домену.

• Как вы видите, Wayback Machine может быть использован не только для того, чтобы посмотреть на «креатифф» студии Артемия Лебедева от 1997 года и почитать утраченные треды на Дваче.

• Wayback Machine – это крупнейшее собрание книг, музыки, фильмов и PDF-документов (в том числе правительственных). И много чего другого. Особенно вкусно выглядят собранные JSON и SQL базы данных, которых давно уже нет на исходных сайтах. Как говорится, ты думаешь, что удалил суслика – а он есть. Так что имейте этот инструмент в виду!

• Канал автора: https://t.me/mycroftintel

S.E. ▪️ infosec.work ▪️ #OSINT

👤 Повышение уровня личной приватности и безопасности в сети.

🖖🏻 Приветствую тебя user_name.

• 21 век заставляет тебя заботиться о том, о чем следовало начать заботиться еще на заре развития сетей — о сохранении приватности, анонимности и защищенности коммуникаций!

• На прошлой неделе sector035 опубликовал полезную ссылку на руководство, которое содержит 160 страниц информации по защите личности в сети на различных ресурсах и приложениях. Ссылка на первоисточник: https://sector035.nl/articles/2023-17

• Скачать руководство можно тут: https://t.me/S_E_Reborn/750 или по ссылке выше.

S.E. ▪️ infosec.work

🍓 Клубника со сливками: Социальная Инженерия и обновление Windows.

🖖🏻 Приветствую тебя user_name.

• Специалисты Malwarebytes опубликовали интересное исследование, в котором упоминается старая, но весьма актуальная, схема обмана рядовых пользователей и кража различных данных.

• Все начинается с фишинговой кампании, которая акцентирована на различные ресурсы для взрослых (18+). Если жертва переходит на вредоносный сайт и подтверждает свой возраст, в браузере разворачивается полноэкранная анимация, которая выводит информацию об "обновлении" системы.

• Если пользователь дождался окончания действия, ему предлагают установить "критическое обновление безопасности". Это обновление представляет собой загрузчик вредоносного ПО, который не детектится AV и может различать среду в которой он был запущен (виртуальная машина или ПК жертвы).

• Да, выйти полноэкранного режима можно через кнопку "ESC", но рядовой пользователь не владеет такой информацией и будет ждать окончания "обновления". Это подтверждает статистика malwarebytes: 30 000 переходов на фишинговый ресурс и 600 установок вредоносного ПО.

• Демонстрация атаки доступна по ссылке: https://www.malwarebytes.com/

• Ссылка на исследование: https://www.malwarebytes.com/fake-system-update-drops-new-highly-evasive-loader

S.E. ▪️ infosec.work ▪️ #Новости

🔍 Burp Suite CheatSheets.

🖖🏻 Приветствую тебя user_name.

• Burp Suite – это мультитул (швейцарский нож) для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации запросов, фаззинга, подбора паролей и т.д.

• Burp Suite заслуженно является одним из популярнейших инструментов пентестеров по всему миру благодаря гибким возможностям, способам комбинировать ручные и автоматизированные методы анализа при проведении тестирования безопасности веб-приложений.

• Сегодня поделюсь полезным материалом для изучения данного инструменты и большой подсказкой, которая поможет тебе на практике: https://github.com/Ignitetechnologies/Mindmap

• Burp Suite for Pentester: Web Scanner & Crawler;
• Burp Suite for Pentester – Fuzzing with Intruder (Part3);
• Burp Suite for Pentester – Fuzzing with Intruder (Part2);
• Burp Suite for Pentester – Fuzzing with Intruder (Part1);
• Burp Suite for Pentester – XSS Validator;
• Burp Suite for Pentester – Configuring Proxy;
• Burp Suite for Pentester: Burp Collaborator;
• Burp Suite For Pentester: HackBar;
• Burp Suite for Pentester: Burp Sequencer;
• Burp Suite for Pentester: Turbo Intruder;
• Engagement Tools Tutorial in Burp suite;
• Payload Processing Rule in Burp suite (Part2);
• Payload Processing Rule in Burp suite (Part1);
• Beginners Guide to Burpsuite Payloads (Part2);
• Beginners Guide to Burpsuite Payloads (Part1);
• Burpsuite Encoder & Decoder Tutorial;
• Burp Suite for Pentester: Active Scan++;
• Burp Suite for Pentester: Software Vulnerability Scanner;
• Burp Suite for Pentester: Burp’s Project Management;
• Burp Suite for Pentester: Repeater.

• В дополнение: Burp и его друзья.

S.E. ▪️ infosec.work

👨‍💻 Social Engineering. Полезный материал.

🖖🏻 Приветствую тебя user_name.

• Сегодня у нас не будет определенной темы, а если быть точнее, то тем будет несколько. Все они связаны с Социальной Инженерией и будут крайне интересными. Я не захотел растягивать данный материал на несколько дней, чтобы забить ленту отдельными постами. Мне важнее поделиться качественным материалом в красивой подборке, которые Вы так любите.

• Начнем с интересной статьи от команды пентестеров, которые занимаются Социальной Инженерией на профессиональном уровне и описывают различные сценарии, нюансы и методы применяемые ими на практике. Обязательно прочитайте данный материал, будет интересно: https://habr.com/ru/post/733040/

• Идем дальше. Месяц назад у CodeBy вышел очень полезный вебинар на тему "За кулисами Red Team". На эту встречу были приглашены эксперты в области информационной безопасности, которые поделились опытом работы в Red Team и рассказали о самых интересных и необычных ситуациях в ходе проведения тестирования на проникновения в различных проектах. Посмотреть можно на YT: https://youtu.be/ITtiyhA0rwU

• Еще одно интересное видео на тему Социальной Инженерии и Lockpicking: "Взлом лифтов - Из шахты в пентхаус". Да, тема весьма необычная и о ней мало кто говорит. Однако, взлом лифтов может сыграть важную роль в ходе проведения тестирования на проникновение. Данный материал посвящен тому, как работают лифты - чтобы Вы могли лучше понимать их устройство, оптимизировать системы и преодолевать защиту на многих объектах. Вы узнаете, почему лифт практически ничем не отличается от незапертой лестницы с точки зрения безопасности здания: https://youtu.be/8BJXuhV3UeM

• В завершение хочу напомнить о материале, который уже опубликован в нашем канале, но это было весьма давно и с момента публикации появилось много новых читателей. Речь идет о видео "Red team: пентест одновременно двух организаций". Подробное описание и ссылка на видео в этом посте: https://t.me/Social_engineering/1109

S.E. ▪️ infosec.work

📬 Email Location Tracker.

• Всем привет! На связи Майкрофт, специально на Social Engineering.

• Открывать письма в электронной почте – совершенно небезопасное занятие. Вы спросите меня почему? Я вам отвечу. Помимо троянов и вирусняков в письмах может быть зашит пренеприятнейший субъект размером 1x1 пиксель, который сдаст вас с потрохами.

• Как это работает? Когда вы загружаете этот маленький невидимый пиксель – он пингует свой сервер, на который отправляет информацию о вашем IP-адресе, системном времени, операционной системе, если есть, то и о геопозиции. А если вы открыли письмо в браузере – то и все о его конфигурации тоже утечет на сторону. Что особенно неприятно, что некоторые сервисы собирают даже информацию о железе, например, о модели мобильного телефона, с которого открыли письмо.

• Изначально пиксель-треккинг создавался для маркетологов: они контролировали открываемость и дочитываемость писем, составляли тепловые карты текстов и делали A/B тестирование. Но умные люди сообразили, что с помощью этого инструмента можно легко деанонить неопытного юзера. А уж для правоохранителей, вооруженных СОРМ – вызнать IP у анонимного автора нежелательного контента – это один шаг до его деанонимизации.

• Хотите попробовать себя в роли охотника – милости просим на один из многочисленных сервисов. Вот, например, Geo Track, который может все, о чем было рассказано выше, плюс еще немножко. Пользуйтесь на здоровье, но не забывайте про собственную безопасность!

• Канал автора: https://t.me/mycroftintel

S.E. ▪️ infosec.work ▪️ #OSINT

🐺 Как Leak Wolf крадет данные без вредоносного ПО: анализ жизненного цикла атаки.

🖖🏻 Приветствую тебя user_name.

• Начиная с преля 2022 года, хакеры из группировки Leak Wolf сумели провести успешные атаки более чем на 40 российских компаний. Примечательно то, что хакеры не использовали вредоносное программное обеспечение, а делали акцент на уязвимостях человеческого фактора — проще говоря, пользовались теми случаями, когда сотрудники организаций нарушали цифровую гигиену. Такой подход позволял хакерам оставаться незамеченными вплоть до самой публикации данных в открытый доступ.

• Компания BI.ZONE опубликовала исследование, в котором рассказала о тактиках и техниках Leak Wolf. С подробным отчетом можно ознакомиться по ссылке: https://bi.zone/upload/for_download/How_Leak_Wolf_steals_data_without_using_malware_ru.pdf

S.E. ▪️ infosec.work ▪️ #Отчет #ИБ

💬 true story... самые интересные приспособления на службе разведки ХХ века.

🖖🏻 Приветствую тебя user_name.

• Работа шпионов и контрразведчиков во все века была непростой — и со временем им на помощь стали приходить достижения науки, техники и пытливой инженерной мысли.

• В первой части ты узнаешь про несколько девайсов времён Холодной войны: советский герб-жучок 1945 года для посольства США, американские трубки-зубопередатчики и даже акустических кошек. Во второй части продолжим обещанное — про нарочито мерзкие контейнеры, смертельные зонтики и другие странные шпионские устройства ХХ века.

• Часть 1.
• Часть 2.

• Другие увлекательные истории: [1], [2], [3], [4], [5].

S.E. ▪️ infosec.work ▪️ #История

📘 Правильный поиск. Все возможные операторы поиска Twitter.

🖖🏻 Приветствую тебя user_name.

• Социальные сети предоставляют огромные возможности социальным инженерам. Они помогают найти и собрать нужную информацию о цели, выявить интересы, определить место работы, определить членов семьи и друзей, узнать номер телефона, почту, ФИО и т.д., перечислять можно долго и вся эта информация будет крайне полезная для атак с использованием #СИ.

• При поиске информации в социальных сетях мы часто используем поисковые запросы, которые позволяют найти нужные данные о нашем объекте. По ссылке которой я с тобой поделюсь, ты найдешь все возможные поисковые операторы в Twitter и научишься правильно формировать запрос для поиска необходимой информации: https://www.exportdata.io/blog/advanced-twitter-search-operators/

• Дополнительная информация доступна по хештегу #OSINT и в наших подборках: https://t.me/Social_engineering/2548

S.E. ▪️ infosec.work

🌐 Mullvad Browser.

• Всем привет! На связи Майкрофт, специально на Social Engineering.

• В полку хороших браузеров прибыло. Причем как прибыло! Если раньше был выбор небольшой: либо используй LibreWolf, либо умри усиливай свой Firefox всякими разными приблудами. Были, конечно, варианты, по типу Brave. Однако на него много кто ругается, подтекает, говорят.

• Но проблема этих браузеров остается: фингерпринт все равно собирается. Пусть не так широко, как в Chrome, но все же собирается. А учитывая, что вариантов и сочетаний различных вариантов у фингерпринта стремится к бесконечности, даже минимальные утечки грозят лишить вас уникальности.

• Вот тут-то на сцену выходит гениальный Mullvad Browser. Разработан он был совместно с авторами Tor, поэтому технологически к нему вопросов вообще нет. Но самое главное – это революционный подход к фингерпринту. Вместо того, чтобы прятать параметры фингерпринта, они его стандартизировали. Да, вы все правильно поняли. У всех пользователей Mullvad он абсолютно одинаковый. Это значит, что ваши уникальные черты, по которым вас могли бы спалить (например, монитор в 49 дюймов), будут надежно спрятаны.

• Да, все будут видеть, что вы пользуетесь Mullvad, но какая разница, когда это единственное, что про вас знают корпорации бобра.

• Канал автора: https://t.me/mycroftintel

S.E. ▪️ infosec.work ▪️ #OSINT

👨‍💻 Positive Hack Days.

🖖🏻 Приветствую тебя user_name.

• Ты уже наверняка слышал, что с 19 по 20 мая в Москве прошёл 12-й киберфестиваль Positive Hack Days, организованный компанией Positive Technologies. Подробно рассказывать об этом фестивале не особо хочется, так как эту информацию можно найти в любом канале и в соответствующих ресурсах, освещающих тему ИБ.

• Сегодня поделюсь с тобой полным списком выступлений и презентаций, которые опубликованы на YT. И если ты не посетил данное мероприятие в этом году, то обязательно посмотри видеоматериал, на понравившуюся тему. С полным списком можно ознакомиться по ссылке: https://www.youtube.com

• Одни из самых интересных выступлений (на мой взгляд), можно посмотреть по ссылкам ниже:

- Социальная инженерия: тенденции red team, технические аспекты kill chain и проектный опыт;
- Внедрение кода в процессы из контекста ядра Linux;
- Red teaming: методики фишинговых атак;
- Компрометация сети через средства резервного копирования;
- Интернет картография в 2023 году: чего не может Shodan;
- Современные атаки на Google Chrome;
- Основы исследования криптовалют;
- Об анонимности случайных Telegram номеров.

S.E. ▪️ infosec.work

🦈 Руководство по анализу трафика сети посредством Wireshark.

🖖🏻 Приветствую тебя user_name.

• Об этой прог­рамме зна­ет, навер­ное, каж­дый, кто хотя бы раз стал­кивал­ся с задачей ана­лиза тра­фика. Популяр­ность Wireshark впол­не оправдан­на: во‑пер­вых, дан­ный про­дукт бес­пла­тен, во‑вто­рых, его воз­можнос­тей впол­не хва­тает для решения самых насущ­ных воп­росов, каса­ющих­ся перех­вата и ана­лиза переда­ваемых по сети дан­ных.

• Про­дукт поль­зует­ся зас­лужен­ной популяр­ностью у вирус­ных ана­лити­ков, реверс-инженеров, сис­темных адми­нис­тра­торов и, безус­ловно, пен­тесте­ров. Для изучения и использования данного инструмента, предлагаю ознакомиться с полезным руководством, которое поможет сократить время при выполнении определенных задач: https://habr.com/ru/articles/735866/

• P.S. Обязательно ознакомься с материалом "Лайфхаки на каждый день", незаменимой Mindmap и другой полезной информацией по хештегу #Wireshark.

S.E. ▪️ infosec.work

👨‍💻 Атаки на компании при помощи ПО с открытым исходным кодом.

🖖🏻 Приветствую тебя user_name.

• Эксперты BI.ZONE обнаружили интересную кампанию, которая направлена на различные организации из разных отраслей. Цель этой кампании — распространение вредоносного программного обеспечения Umbral Stealer, благодаря которому атакующий получает учетные данные жертвы.

• Примечательно, что исходный код ПО опубликован на GitHub и доступен всем желающим. Доставляют Umbral Stealer классическими методами фишинга и социальной инженерии: жертве приходит письмо с вложенным ISO-файлом при открытии которого, запускается процесс компрометации устройства.

• Стиллер позволяет атакующим получать пароли и печеньки (Cookies) из самых распространенных браузеров, может делать и передавать атакующему фото с веб-камеры, получать подробную информацию об устройстве жертвы, повышать свои привилегии, обходить средства защиты и умеет захватывать скриншоты со всех мониторов.

• Если говорить о получении паролей из браузеров, то атакующие могут получить данные не только от личных учетных записей, но и от корпоративных, что может позволить получить доступ к сети организации.

• Более подробное описание Umbral Stealer доступно на github. Используйте данный инструмент для оценки безопасности системы и обязательно читайте, что написано в разделе "Disclaimer".

• Новость: https://bi.zone/news/

S.E. ▪️ infosec.work ▪️ #Новости

💬 Социальная Инженерия и угон Telegram. Итоги.

🖖🏻 Приветствую тебя user_name.

• Вчера специалисты компании Group-IB F.A.C.C.T. опубликовали очень интересную статистику по количеству взломов Telegram аккаунтов за прошедший месяц. Скажу честно, я немного был шокирован такой цифрой, ведь за Май 2023 года атакующие сумели угнать более 260 000 аккаунтов.

• Как указано в материале, фишингом и угоном аккаунтов занимаются определенные сообщества, каждое из которых насчитывает от 100 до 300 воркеров (работников). Администраторы таких сообществ предоставляют все необходимые инструменты по созданию фишинговых web-страниц и фишинговых ботов. Воркерам остается только под разными предлогами привлечь потенциальных жертв на эти ресурсы.

• Напомню, что главной целью фишеров являются администраторы Telegram каналов, и только потом обычные пользователи мессенджера. Если получается заполучить доступ к аккаунту администратора группы \ чата \ бота и т.д., то происходит рекламная рассылка, которая завлекает подписчиков на фишинговый ресурс или скам проект. А если атакующий получает доступ к обычному аккаунту, то рассылка осуществляется по списку контактов.

• Не стоит забывать, что многие пользователей хранят приватную информацию в Telegram. Лично сталкивался с ситуацией, когда сотрудник одной компании использовал один пароль в корпоративные сервисы, в свои социальные сети и, что самое главное, он хранил пароль в "Избранном" (да, такое бывает). Теперь представьте, что будет, если к этому аккаунту получит доступ другой человек или злоумышленник.

• О всех актуальных методах угона Telegram, ты можешь прочитать по ссылкам ниже:
- https://t.me/Social_engineering/2759
- https://t.me/Social_engineering/2649
- https://t.me/Social_engineering/2581
- https://t.me/Social_engineering/2330

• Вероятно я уже писал об этом, но лишней эта информация не будет:

➖ Всегда думайте на холодную голову. Если ты видишь рекламу в популярном канале, в духе "Внеси 1 биткоин и мы вернем тебе обратно 2 биткоина", то не нужно переходить по ссылкам, авторизовываться, отправлять деньги и т.д. Ну а если ты все же решил перейти, то всегда проверяй, по какой ссылке ты переходишь и какие данные у тебя запрашивают.

➖ Второй фактор обязательно нужно установить, но тут нужно помнить, что он не поможет от взлома если ты введешь проверочный код на фишинговом ресурсе или в боте.

➖ Не надо скачивать подозрительные файлики из публичных чатов и неизвестных диалогов. Всегда старайтесь проверять файлы, которые присылают люди из списка контактов.

➖ Старайтесь не активировать подозрительных ботов, тут можно столкнуться со спамом и фишингом.

➖ Не нужно хранить приватные данные в Telegram.

❗️Обязательно поделитесь этой информацией с друзьями и знакомыми, вероятно вы сможете сократить кол-во взломов и обезопасить своих близких.

• Новость: https://vc.ru/f_a_c_c_t

S.E. ▪️ infosec.work ▪️ #Новости #СИ

🐲 Kali Linux 2023.2 Release (Hyper-V & PipeWire).

🖖🏻 Приветствую тебя user_name.

• Offensive Security опубликовала новую версию дистрибутива Kali Linux и подробно рассказала о новвоведениях в своем блоге. Сегодня кратко распишу некоторые особенности новой версии, а ты можешь загрузить новую ОС (или обновиться) и опробовать на практике.

• Новая версия Kali содержит готовый образ Hyper-V и 13 новых инструментов:

- Cilium-cli: инструмент для работы с Kubernetes;
- Cosign: подпись контейнеров;
- Eksctl: CLI для Amazon EKS;
- Evilginx: фреймворк для выполнения MITM-атаки с целью обхода двухфакторной аутентификации.;
- GoPhish: тулкит для фишинга;
- Humble: анализатор HTTP-заголовков;
- Slim(toolkit): уменьшение образа контейнера без каких-либо изменений;
- Syft: генерация софтверного Bill of Materials из образов контейнеров и файловых систем;
- Terraform: безопасное и предсказуемое создание, изменение и улучшение инфраструктуры;
- Tetragon: решение, основанное на eBPF, для обеспечения наблюдаемости и регулирования среды выполнения;
- TheHive: опенсорсная платформа для реагирования на инциденты;
- Trivy: поиск уязвимостей, неправильной конфигурации, секретов, SBOM в контейнерах, Kubernetes, репозиториях кода, облаках и так далее;
- Wsgidav: расширяемый WebDAV-сервер на основе WSGI.

• Другим полезным нововведением в этом выпуске стал pre-built образ Hyper-V, настроенный для Enhanced Session Mode (упрощает изменение размера рабочего стола и совместное использование на виртуальной машине Kali Linux локальных устройств, включая USB-накопители, принтеры или т.д.), что позволяет подключаться к виртуальной машине с помощью RDP.

• Теперь к полезным ссылкам:

- Ссылка на полный Changelog.
- Скачать Kali Linux 2023.2.
- Kali Tools.

• Дополнительную информацию ты всегда можешь найти по хештегу #kali.

• Новость на русском и источник: https://xakep.ru/2023/06/01/kali-linux-2023-2/

S.E. ▪️ infosec.work