📶 High Performance Browser Networking.

• Очень хорошая книга для изучения компьютерных сетей. Написана в 2013 году, но большинство разделов до сих пор являются актуальными и полезными для начинающих.

• В книге можно найти информацию по особенностям протоколов HTTP/1.1 и HTTP/2, оптимизации их производительности, информацию по базовому устройству компьютерных сетей, включая протоколы TCP, UDP, TLS, так и особенности производительности сетевого взаимодействия в зависимости от типа сети (Wi-Fi, мобильные сети).

➡ Полная версия книги доступна бесплатно на сайте hpbn.co.

S.E. ▪️ infosec.work ▪️ VT

🔑 Пароль по дефолту.

• Дефолтные пароли на сетевых устройствах встречаются чаще, чем может показаться на первый взгляд. В интернете открытыми портами наружу торчат сотни роутеров не только частных пользователей, но и корпоративных сетей.

• Держите ссылку на репозиторий, где собрано огромное количество стандартных комбинаций логин/пароль, используемых на множестве устройств и сервисов:

➡ https://github.com/ihebski/DefaultCreds-cheat-sheet

• В качестве дополнения обратите внимание на сервис https://passwordsdatabase.com, который содержит в себе более 391 вендоров и 1600 паролей различных устройств.

S.E. ▪️ infosec.work ▪️ VT

🧩 Metasploit 6.4.

• В 2003 году, хакеру, известному как «HD Moore», пришла идея разработать инструмент для быстрого написания эксплойтов. Так был рожден хорошо известный во всех кругах проект #Metasploit.

• Первая версия фреймфорка была написана на языке Perl. К 2007 году разработчики консолидировались, основав компанию Metasploit LLC; в это же время проект полностью переписали на Ruby и, частично на Си, #Python и Ассемблер.

• В октябре 2009 года, проект Metasploit был приобретен компанией Rapid7 с условием, что HD Moore останется техническим директором фреймворка, на что согласилась компания Rapid7.

• Сегодня Metasploit является одной из популярнейших программ, имеющих самую большую базу эксплойтов, шеллкодов и кучу разнообразной документации. А 25 марта была опубликована новая версия инструмента (6.4), которая включает в себя определенные изменения, описанные тут: https://www.rapid7.com/blog/post/2024/03/25/metasploit-framework-6-4-released/

• Если Вам интересно ознакомиться с историей создания этого легендарного инструмента, то в журнале ][акер есть отличная статья на этот счет: https://xakep.ru/2011/09/20/56878/

➡ Ссылка на репозиторий: https://github.com/rapid7/metasploit-framework

• P.S. В нашем канале есть ссылки на руководство по Metasploit и бесплатный курс на английском языке.

S.E. ▪️ infosec.work ▪️ VT

⚙ Первый в истории кейлоггер.

• Один из первых в мире кейлоггеров появился в годы холодной войны, советские разведчики шпионили за американскими дипломатами с помощью жучка, спрятанного в печатных машинках IBM Selectric. Устройства находились внутри 16 пишущих машинок, используемых с 1976 по 1984 в посольстве США в Москве и Ленинграде.

• Принцип работы жучка заключался в движении пишущей головки: для набора текста ей нужно было поворачиваться в определенном направлении, уникальном для каждого символа на клавиатуре. Механизм улавливал энергию магнитного поля от движения каретки и преобразовывал ее в цифровой сигнал. Каждый полученный сигнал хранился на жучке в виде четырехбитного символа. Устройство сохраняла до восьми таких символов, после чего передавало их советским шпионам (передача осуществлялась по радиочастотам на расположенную поблизости станцию прослушки).

• Обнаружить жучок было нетривиальной задачей даже для американских спецслужб. Его можно было увидеть при просвете рентгеновским излучением, однако он не обладал выдающимся радиофоном, так как зачастую вещал на частотах, используемых американским ТВ. Кроме того, отследить некоторые продвинутые версии жучка по радиосигналу можно было только в том случае, если была включена сама машинка, активирован кейлоггер, а анализатор шпионских устройств настроен на правильную частоту. Обученный советский техник мог установить такой жучок в IBM Selectric за полчаса.

• По данным Ars Technica, жучки не могли обнаружить в течение восьми лет, а американцам стало известно о них только благодаря сообщению от одного из союзников США, спецслужбы которого обнаружили такую же слежку за одним из своих посольств.

• 12 октября 2015 года эту историю рассказал член совета директоров Международной ассоциации криптологических исследований Брюс Шнайер.

➡️ https://arstechnica.com/

S.E. ▪️ infosec.work ▪️ VT

👾 Jerusalem. История компьютерного вируса 1987 года.

• Первый по-настоящему злобный и злонамеренный вирус родился в Израиле. А обнаружили вирус на компьютерах Еврейского университета в Иерусалиме в октябре 1987 года. Вероятно, создателя вдохновила популярная в 1980-е годы серия американских фильмов ужасов «Пятница, 13-е». Именно при таком сочетании дня недели и числа месяца вирус приводил в действие свой «главный калибр» и удалял, по разным источникам, то ли вообще всё, то ли только запускаемые в этот день программы. Видимо, для более надёжного и массового распространения в его «таймере» было прописано не активировать эту фичу в течение 1987 года. Впрочем, пакостил он далеко не только по пятницам 13-е.

• «Иерусалим» распространялся через дискеты или вложенные файлы в электронной почте. Вирус работал по принципу логической бомбы. Он (вне зависимости от дня недели и даты) поражал исполняемые файлы, кроме command.com, и «раздувал» exe-файлы при каждом запуске на 1808-1823 байтов, пока они не увеличивались до необрабатываемого размера.

• После тридцати минут работы заражённого компьютера происходило значительное замедление работы системы в целом посредством кода, который входит в цикл обработки каждый раз, когда активируется таймер процессора. А ещё на экране возникал характерный чёрный прямоугольник, «заслонявший» досовский текст.

• Свой главный удар Jerusalem нанёс в пятницу 13-го мая 1988 года, поразив около шести тысяч компьютеров по всему миру, удалив множество файлов и став одним из первых знаменитых компьютерных вирусов.

• В целом «Иерусалим» эксплуатировал прерывания и другие низкоуровневые функции операционной системы MS-DOS, которые перестали быть актуальными после всё более массового перехода на Windows. Jerusalem и его варианты от подражателей исчезли к середине 1990-х годов. Автор вируса так и остался неизвестным.

S.E. ▪️ infosec.work ▪️ VT

😟 Шпаргалки цифрового детектива.

• Поделюсь с Вами очень ценным и качественным руководством по расположению цифровых артефактов в компьютерах и смартфонах. Материал будет полезен тем, кто интересуется форензикой и содержит следующую информацию:

• Криминалистические артефакты Windows:
- Информация о учетных записях;
- Действия с файлами и папками;
- Удаленные файлы и информация о них;
- Среда выполнения программ;
- Скаченные файлы;
- Сетевая активность;
- Физическое местоположение;
- Использование USB интерфейсов;
- Использование интернет-браузеров.

• Криминалистические артефакты экосистемы Apple:
- LOG файлы MacOS;
- Приложения Apple;
- Данные приложений;
- Выполнение программ и использование приложений;
- Открытие файлов и папок в MacOS;
- Использование аккаунта;
- Физическое местоположение;
- Тома и внешние устройства / использование USB;
- Сетевые настройки и другая полезная информация.

• Криминалистические артефакты Android:
- Информация об устройстве;
- Мессенджеры;
- Социальные сети;
- Почтовые сервисы;
- Мультимедиа;
- Интернет браузеры.

• Скачать можно в нашем облаке или в канале автора.

S.E. ▪️ infosec.work ▪️ VT

🙃 Миф или реальность: вычислить по ip.

• Данный материал написан в соавторстве с @mycroftintel

• Когда очередной нубяра с опаленной пятой точкой вследствие самовозгорания в пылу баталий на форумах угрожает вычислить меня по IP – я совершенно не парюсь и присылаю ему свои цифры. Но это не потому, что я бесстрашный, у меня девять жизней и билет на бесплатный выход из больницы. Нет, все гораздо проще. Обычному мамкиному хакеру вычислить тебя по IP нереально. А нормальные хакеры такими вещами заниматься не будут.

• Почему так ваш IP не позволяет вас вычислить? Все просто. Если вы не покупали себе услугу «статический IP», то провайдер предоставляет вам один из своих внешних IP-адресов, через которые вы ходите в сеть. Для вас это внешний IP-адрес. В то же время вы находитесь во внутренней сети провайдера, где у вас есть соответственно внутренний IP-адрес. Это нужно потому, что IP-адресов не хватает на всех юзеров и приходится сидеть вот таким «пучком» на одном айпишнике.

• Из этого следует, что, зная ваш внешний IP-адрес, можно определить ваше примерное местонахождение с точностью до радиуса в километров 20. Плюс-минус. Ну, например, можно узнать, что я сижу в Москве. Пусть приезжают и ищут. Москва таки большая. В большинстве случаев гео вашего IP-адреса вообще будет ровнехонько на Красной площади. Если вы из столицы, например.

• Отсюда вывод. Знание вашего IP мамкиному хакеру не поможет. Нужно залезать в сеть провайдера и смотреть какой абонент из пучка в конкретное время сидел на конкретном сайте. Такие фокусы могут только правоохранители или сами провайдеры.

• Но это совершенно не значит, что можно не прятать свой IP-адрес и показывать его всем подряд. Можете нарваться на человека со связями и возможностями. А такой может вам доставить массу неприятностей. Так что не стоит пренебрегать правилами кибергигиены. Всем безопасности!

• Дополнительная информация доступна в группе @mycroftintel

S.E. ▪️ infosec.work ▪️ VT

👣 Социальная Инженерия. Tailgating.

• Проникновение на объект организации, или физический пентест — очень деликатная тема. О нем редко говорят и еще реже делятся советами и рекомендациями. Давайте поговорим на эту тему и затронем этап разведки, который состоит из двух частей: онлайн и офлайн, разница которых понятна из названия.

• Есть такое понятие, как Tailgating или piggybacking (англ. не соблюдать дистанцию/нести на спине) — попытка пристроиться сзади и проскочить через турникет за тем, у кого есть пропуск. Метод классический и известен еще со времен создания СКУД, но он до сих пор является актуальным.

• Вот интересное видео, где показано пять при­меров реализации этого метода: https://youtu.be/jksOir0WGM8

• А еще у нас в канале есть ссылки на другой материал по данной теме, где двое ребят проходят на закрытые объекты со стремянкой в руках. К слову, в какой то из книг недавно читал, что со стремянкой в руках Вы можете пройти куда угодно... Это действительно работает: https://t.me/Social_engineering/3193

S.E. ▪️ infosec.work ▪️ VT

😈 Тактики, техники и процедуры, которыми пользовались хакеры в 2023 году.

• Наконец-то будет что почитать. BI.ZONE опубликовали новый отчет "Threat Zone 2024", который содержит в себе описание хакерских группировок, их тактики, методы, инструменты и другую информацию.

• Исследование будет полезно CISO, аналитикам SOC, разработчикам плейбуков реагирования на инциденты и контента для SIEM, а также всем, кто интересуется новыми угрозами.

• Краткое содержание:

- Хактивизм;
- Финансово мотивированные преступления;
- Шпионаж;
- Распространенное ВПО;
- Эксплуатация уязвимостей;
- Самые популярные техники злоумышленников;
- Самые популярные инструменты злоумышленников;
- Самые популярные LOLBAS, используемые злоумышленниками;
- Инциденты из практики BI.ZONE TDR.

➡ Скачать можно отсюда: https://bi.zone/expertise/research/threat-zone-2024/

S.E. ▪️ infosec.work ▪️ VT

🧠 Развитие в ИБ. Roadmap от PT.

Как развиваться в кибербезопасности и к какой должности стремиться? какие задачи я смогу решать через несколько лет? смогу ли я изменить свой карьерный путь, если пойму, что мне становится скучно?

• Очень многие подписчики S.E. задают подобные вопросы и, на самом деле, являются весьма важными, если у человека есть желание к изучению определенных аспектов #ИБ. Как раз недавно в блоге Positive Technologies появилась актуальная дорожная карта, которая наглядно демонстрирует схему развития ИБ специалиста в определенных направлениях:

- Защита информации КИИ;
- Комплаенс-менеджмент;
- Исследование безопасности (R&D);
- Администрирование средств защиты информации;
- Security operations center (SOC);
- Управление уязвимостями;
- Безопасная разработка приложений;
- Преподавание кибербезопасности.

• Учитывайте, что схема является динамической, т.е. будет актуализироваться и со временем дополняться. Скачать можно отсюда: https://static.ptsecurity.com/docs/navigating-the-cybersecurity-career-path.pdf

➡ Читать статью [7 min].

S.E. ▪️ infosec.work ▪️ VT

🌐 Создаем кейлоггер для Windows.

• Во Франции есть ИБ компания Synacktiv, которая занимается пентестом и разработкой необходимых инструментов для их деятельности. В их блоге я заметил интересную и актуальную статью, где описан процесс написания кейлоггера для Windows, способного поддерживать все раскладки клавиатуры и правильно реконструировать символы Юникода независимо от языка. Материал разделен на 3 части и вот его содержимое:

- В первой части, авторы описывают три различных способа захвата нажатий клавиш (GetKeyState, SetWindowsHookEx, GetRawInputData ) и различия между этими методами.

- Во второй части подробно описан процесс, как Windows хранит информацию о раскладках клавиатуры в файле kbd*.dll и как ее анализировать.

- В третьей и заключительной части разложен процесс использования извлеченной информации для преобразования скан-кодов в символы и все сложные случаи, представленные различными раскладками, такими как лигатуры, мертвые клавиши, дополнительные состояния сдвига и SGCAPS.

➡ Читать статью [1], [2], [3].

S.E. ▪️ infosec.work ▪️ VT

💬 true story... Игрушечный свисток и взлом телефонной системы.

• В небольшой комнате студенческого общежития Калифорнийского университета группа молодых людей напряженно разглядывала синюю коробочку. Это были Джон Дрейпер, Стив Джобс и Стив Возняк. Они проверяли свое изобретение и собирались совершить бесплатный звонок в Ватикан.

• После нескольких попыток на другом конце провода ответили. Взволнованный Стив Возняк, едва сдерживая смех, произнес:

«Это Генри Киссинджер, я должен немедленно поговорить с Папой Римским. Я должен признаться в своих преступлениях».

• Джон Дрейпер всегда вспоминает этот случай с улыбкой. Именно он сумел взломать телефонную систему и научил этому будущих создателей Apple. Это история о программисте, который, по его собственному выражению, «прошел путь от хакера без гроша в кармане до миллионера и обратно».

➡ Читать историю [6 min].

S.E. ▪️ infosec.work ▪️ VT

📶 Компьютерные сети 2024. Бесплатный курс.

• Совсем недавно Андрей Созыкин анонсировал обновление своих бесплатных курсов по компьютерным сетям, где будет изменен подход к обучению и появится много новых тем, которые актуальны в 2024 году.

• Лично я считаю, что эти курсы являются лучшими по компьютерным сетям на данный момент, если брать в расчет курсы в открытом доступе. Всё доступно, понятно и бесплатно. Вот часть новых уроков, которые успели выйти с момента анонса:

- Введение в курс;
- Организация компьютерных сетей;
- Терминология сетей;
- Модель ISO OSI;
- Модель и стек TCP/IP;
- Обзор прикладного уровня модели TCP/IP;
- Стандартизация сетей;
- Организация сетей TCP/IP;
- Анализатор сети Wireshark.

• В качестве дополнительного материала хочу поделиться с Вами ссылками на ранее опубликованные курсы автора:

- Курс по компьютерным сетям начального уровня;
- Практики по компьютерным сетям;
- Компьютерные сети. Продвинутые темы;
- Защищенные сетевые протоколы.

• P.S. Не забывайте по наш репозиторий, в котором собраны актуальные и полезные источники для изучения компьютерных сетей. Если Вы давно хотели приступить к изучению, то сейчас самое время: https://github.com/SE-adm/Awesome-network

S.E. ▪️ infosec.work ▪️ VT

👁 Прокачай свой NMAP!

• Nmap — эталон среди сканеров портов и один из важнейших инструментов пентестера. В первую очередь используется для сканирования портов, но, кроме этого, имеет огромную массу полезных функций, что, по сути, делает Nmap супер-комбайном для исследования сетей.

• В Nmap есть поддержка скриптов для сканирования (NSE — Nmap Scripting Engine). С использованием скриптов мы можем автоматизировать свою работу и сократить время на выполнение определенных задач. Согласитесь, ведь удобнее же «нажать одну кнопку» и получить результат, чем постоянно проделывать одну и ту же последовательность действий, верно?

• Первая статья освещает базовую информацию о том, как работать со скриптами в Nmap: https://www.stationx.net/nmap-scripting-engine/

• Вторая статья от журнала ][акер, которая поможет не только разобраться с основами, но еще и даст необходимую информацию по написанию собственных скриптов. Содержание следующее:

- Постановка задачи;
- Структура NSE-скрипта;
- Описание скрипта (description);
- Категории, в которых находится скрипт (categories);
- Информация об авторе (author);
- Информация об использующейся лицензии (license);
- Зависимости от других скриптов (dependencies);
- Хост и порт (host & port);
- Подключение библиотек;
- Инструкции скрипта (action);
- Настройка PostgreSQL;
- Запуск скрипта;
- Аргументы;
- Расширение;
- Отладка скриптов.

• После прочтения материала по ссылкам выше, обязательно обратите внимание на все доступные сценарии NSE, которые разбиты на 14 категорий:

- auth;
- broadcast;
- brute;
- default;
- discovery;
- dos;
- exploit;
- external;
- fuzzer;
- intrusive;
- malware;
- safe;
- version;
- vuln.

➡️ https://www.infosecmatter.com/ultimate-list-of-nmap-nse-scripts-interactive-table/

• Дополнительная информация: #nmap

S.E. ▪️ infosec.work ▪️ VT

👨‍💻 Анализ безопасности Wi-Fi.

• Подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3: какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации.

• Все эксперименты проводились на ноутбуке с #Kali Linux, при помощи адаптера TP-Link Archer T3U Plus, беспроводного роутера Keenetic-8990 и смартфона в качестве клиента.

• Содержание:

- Краткий экскурс в историю;
- Разбор атак на WPA2-PSK;
- Разбор атак на WPA2-Enterprise;
- Разбор атак на WPA3;
- Стратегии защиты;
- Полезные источники (книги, статьи, презентации).

➡ Читать статью [13 min].

• Дополнительно:

- Пентест Wi-Fi: полезный чек-лист, который содержит актуальные советы и хитрости на тему пентеста Wi-Fi сетей.
- Инструменты для пентеста Wi-Fi: продолжение поста выше, статья включает в себя максимально полный список инструментов для анализа защищенности Wi-Fi.
- MindMap WiFi Hacking: самая объемная и актуальная MindMap по анализу защищенности Wi-Fi на сегодняшний день.
- Useful Wireless Links: учебные пособия, справочники, калькуляторы, софт, гаджеты и многое другое.

S.E. ▪️ infosec.work ▪️ VT

👾 Заражение с помощью стеганографии.

• Эксперты Positive Technologies опубликовали очень объемный отчет, в котором описан уникальный метод сокрытия вредоносов использующийся одной из хакерских группировок.

• Было выявлено большое количество атак по всему миру с использованием широко известного ПО, среди которого: Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT. Хакеры строили длинные цепочки кибернападений и использовали взломанные легитимные FTP-серверы в качестве С2-серверов, а также SMTP-серверы как С2 и сервисы для фишинга.

• Хакеры активно применяли технику стеганографии: зашивали в картинки и текстовые материалы файлы полезной нагрузки в виде RTF-документов, VBS и PowerShell-скриптов со встроенным эксплойтом.

• В полной версии отчета Вы найдете описание техник группировки по матрице MITRE ATT&CK, индикаторы компрометации и разбор различных цепочек атак с разными семействами ВПО. Содержание отчета следующее:

- Жертвы;
- Начало исследования;
- Другие цепочки заражения;
- 1.1 Атака с применением Agent Tesla: основной сценарий с использованием XLS-документа и техники стеганографии;
- 1.2 Атака с применением Agent Tesla: другой сценарий с использованием DOCX-документа;
- 1.3 Атака с использованием Remсos;
- 1.4 Атака с использованием XWorm;
- 1.5 Атака с использованием LokiBot;
- 1.6 Атака с использованием GuLoader и FormBook;
- 1.7 Атака с использованием Snake Keylogger;
- 1.8 Другие примеры атак;
- Использование группой легитимных FTP- и SMTP- серверов;
- Атрибуция;
- Тактики и техники по матрице MITRE ATT&CK;
- Заключение.

S.E. ▪️ infosec.work ▪️ VT

🦠 Michelangelo.

• Michelangelo — первое вредоносное ПО, которое получило широкую огласку в новостных СМИ. Одним из первых его заметил владелец компьютерного магазина в австралийском Мельбурне. После установки нескольких программ на мониторе появилось большое количество странных символов. Дальнейшее расследование показало, что он невольно загрузил вирус в систему. 6 марта 1992 года вирус активировался, перезаписав данные на жёстком диске компьютеров, которые были заражены.

• Исследователи выяснили, что Michelangelo заражал загрузочные сектора гибких дискет и жёстких дисков. Интересно, что весь год DOS-вирус вёл себя пассивно, вредя людям только 6 марта. Если компьютер в этот день был выключен, с ним ничего не происходило. Каждый год в этот день при загрузке инфицированной системы «Микеланджело» записывал произвольные данные в случайном порядке на диск и тем самым выводил компьютер из строя. Поскольку 6 марта — день рождения великого художника эпохи Возрождения Микеланджело, вирус был назван в его честь. Другие его названия: Stoned.March6.a и Stoned.Michelangelo

• Никто так и не узнал, кто написал вирус. Предполагается, что он появился где-то на Тайване, но убедительных доказательств этому так и не было. Выяснилось, что Michelangelo уничтожает загрузочные сектора дисков, что, в свою очередь, приводит к уничтожению данных на дискетах и жёстком диске компьютера.

• До «дня X» Michelangelo поразил 1300 компьютеров в ФРГ, но эксперты считают, что реальное число в 10 раз больше. Никто не знает, сколько ПК пострадало во всем мире. 6 марта 1992 г. утренние новости в Германии сообщили о первых инцидентах с вирусом в Уругвае. Системное время на некоторых военных компьютерах было установлено неправильно, поэтому полезная нагрузка Микеланджело сработала преждевременно. Также известно, что вирус вызвал потерю данных примерно на 1500 компьютерах в Германии. Сообщается, что в Великобритании пострадали 117 ПК. В Соединённых Штатах, где истерия была самой большой, зафиксировано около 7000 жалоб. McAfee сообщила о почти 10 000. В Южной Африке обнаружили около 1000 заражённых компьютеров в аптеках, который получали прейскуранты в электронном виде. Оптовик как обычно отправил им дискеты, которые оказались заражены вирусом.

• В целом, панические настроения не оправдались, всё прошло относительно спокойно. Symantec AntiVirus Research Center утверждает, что после 6 марта 1992 года известно всего о двух случаях заражения компьютеров Michelangelo. По другим данным, в Германии зафиксировали 50 инцидентов с вирусом в 1993 году и менее 20 — в 1994 году.

• «Микеланджело» не был первым компьютерным вирусом. Но стал первым, кто заставил широкую общественность узнать о хаосе, который могут вызвать вредоносные программы. Это событие стало мощным толчком к зарождению полноценной антивирусной индустрии. Например, компания McAfee привлекла инвестиции в размере 42 млн долларов, а владельцы компьютеров по всему миру бросились скупать антивирусные продукты McAfee.

• P.S. Возможно, вы заметили, что в фильме "Хакеры" 1995 фигурирует вирус "Да Винчи" — название явно было отсылкой к Michelangelo.

S.E. ▪️ infosec.work ▪️ VT

🔎Основы форензики.

• Данный материал написан в соавторстве с @mycroftintel

• Если вы сидите на Винде – мы идем к вам. Почему – да потому что на Винде удобнее всего собирать криминалистическую информацию, иначе говоря, проводить форензику. Все почему? Правильно. Windows сам содействует активному сбору такой информации.

• Первое и самое главное, на что надо обратить внимание – это отключение журнала событий. Win+R, затем вводите eventvwr.msc и вы в святая святых. В этих журналах хранится вся активность системы. Какие программы работали и в какое время, какие устанавливались, например. И многое другое. Для специалиста вся ваша активность за неопределенный период времени как на ладони. Так дела не делаются. Нужно с этим что-то придумывать.

• А все уже придумано до нас. Win+R, вводим services.msc и находим в списке Журнал событий Windows. Далее – двойной клик, тип запуска – отключена. Вуаля. Никаких тебе больше журналов. Так что следов от вашей операционной деятельности стало меньше. Но на самом деле, до этого лучше не доводить. Шифруйте вашу систему, чтобы никто в нее даже не смог залезть.

• Но если вдруг вы выключать журнал не хотите, то настоятельно рекомендуется чистить его каждый раз перед выходом. Для этого запускаем терминал от имени Администратора (правая кнопка на значке Windows), затем пишем Get-EventLog -LogName * и получаем список логов. Далее пишем Clear-EventLog и после этого название лога. Теперь все чисто, можно выключаться.

• И это только первый шаг в обеспечении антифорензики на вашем компьютере. Новые подробности – на канале Mycroft Intelligence и в будущих статьях!

S.E. ▪️ infosec.work ▪️ VT

😟 Собираем USB Rubber Ducky своими руками.

• Любой компьютер имеет огромную уязвимость — порты, к которым можно подключать устройства ввода. Это открывает пространство для атак типа BadUSB. Обычно это девайс, похожий на флешку, который имитирует клавиатуру и тайком вводит команды скрипта.

• В этой статье мы разберемся, как сво­ими руками соб­рать USB Rubber Ducky с минимальными денежными затратами:

➡ Читать статью [6 min].

• P.S. Обратите внимание, что в качестве программного обеспечения будет взят уже готовый проект, который опубликован на GitHub и имеет множество плюшек: https://github.com/krakrukra/PocketAdmin/blob/master/extra/wiki/rus/README.md

• Дополнительный материал:

- Практические атаки на интерфейс USB.
- Социальная инженерия и BadUSB.
- Используем BadUSB по-взрослому, вместе с Kali NetHunter.
- O•MG keylogger cable.
- USB Ninja Professional.
- HID-атаки. Выбираем бюджетную плату.
- HID-Атаки. Программируем хакерский девайс.
- Социальная Инженерия. BadUSB и атаки на организации.

S.E. ▪️ infosec.work ▪️ VT

☝️ Доверяй но проверяй: cкам в Telegram.

• Продолжаю делиться с Вами актуальными методами мошенничества в Telegram. На этот раз расскажу о стандартной теме, которая актуальна и используется уже много лет для обмана админов и угона каналов.

• Как известно, всё покупается и всё продается. Telegram каналы не являются исключением. Есть десятки бирж, где администраторы публикуют информацию о продаже своих каналов, а потенциальные покупатели связываются с ними и договариваются о сделке. Но как провести сделку максимально безопасно? Верно - использовать проверенного и надежного гаранта.

• Вот только сделку с администратором стараются провести через фейк гаранта, а не настоящего. Как это происходит? Методов очень много: от создания профиля с юзернеймом, который полностью идентичен настоящему гаранту, до развития скам-бирж с накрученными отзывами, лайками, фейковыми объявлениями и т.д.

• Итог всем ясен. Если жертва (администратор) ведется на такую сделку, то он передает свой канал скамерам и теряет его. А дальше уже два основных варианта развития событий: либо жертве предлагают выкупить канал обратно за определенную сумму, либо продают другим админам. Если канал крупный, то жертва теряет сотни тысяч рублей, если не миллионы. Из свежих случаев есть вот такой пример: https://t.me/idoras/2779

• В чем суть поста? Дело в том, что любую информацию, особенно та, которая касается Ваших денег, необходимо тщательно проверять. И не надо думать, что если схема примитивная до невозможности, то Вы на нее никогда не попадетесь. Поверьте, стандартными способами обманывают даже безопасников и ИТ специалистов (как тут, например) и такие случаи происходят очень часто...

• О других актуальных методах угона Telegram, ты можешь прочитать по ссылкам ниже:

- https://t.me/Social_engineering/2759
- https://t.me/Social_engineering/2649
- https://t.me/Social_engineering/2581
- https://t.me/Social_engineering/2330
- https://t.me/Social_engineering/2820

S.E. ▪️ infosec.work ▪️ VT