👩‍💻 Удобный "справочник" по любой команде в Linux.

• Вспомнил про очень интересный ресурс, который отлично подойдёт для изучения командной строки Linux — сайт ExplainShell представляет удобный интерфейс для поиска справочной информации по любой команде. Достаточно просто указать соответствующую команду со всеми аргументами в поисковую строку и Вы получите исчерпывающее объяснение, что конкретно делает каждый аргумент. Обязательно попробуйте и добавьте в избранное, так как эта информация очень поможет Вам при изучении: https://explainshell.com

• Разработчики реализовали данный проект при помощи парсинга 29760+ руководств из репозитория справочников Ubuntu. Им пришлось немало потрудиться, чтобы корректно извлечь информацию об аргументах, так как в некоторых справочниках используется нестандартное форматирование страниц.

• Движок ExplainShell написан на python, с использованием NLTK, d3.js и Flask, исходный код опубликован на Github.

• Дополнительно: Linux commands from A-Z.

S.E. ▪️ infosec.work ▪️ VT

✈ Фишинг и угон Telegram (v8).

• Есть такой очень известный ресурс — savefrom.net, который позволяет скачивать материал с YouTube, Twitter (X), ВК и других источников. Если Вы воспользуетесь данным ресурсом и попытаетесь скачать что-либо, то заметите, что в браузере откроется новая вкладка на другом домене.

• Так вот, дело в том, что Вас может перекинуть на фишинговый ресурс, как это было с автором канала @intosecurity. У него открылась страница с доменом https://vk.com-id.page, которая содержала информацию о том, что его страница в ВК заблокирована, а для разблокировки надо авторизоваться через Telegram. Как думаете, что бы произошло после авторизации на данном сайте через Telegram? Правильно! Можно бы было попрощаться с аккаунтом (оставлю внизу ссылочки, почитайте как это работает).

• Я это к тому, что даже на таких популярных ресурсах (а savefrom очень популярный, который работает с бородатого 2008 года) всегда нужно быть начеку. Всегда следите за тем, куда вас редиректит, какие страницы открываются, какие действия от вас требуют и всегда думайте на холодную голову. О всех этих рекомендациях я уже писал 100500 раз, но лучше напомню еще раз, так как данные схемы весьма эффективны и так обманывают даже опытных ИТ специалистов.

• Ну и напоследок дам небольшую рекомендацию: всегда проверяйте то, что собираетесь скачать. В этом Вам поможет наш бесплатный бот S.E. Virus Detect, который умеет проверять файлы и ссылки на наличие угроз более чем 70 антивирусами одновременно. Используйте и не дайте себя обмануть!

• Ссылки, о которых говорил выше:

- Доверяй но проверяй: cкам в Telegram;
- Социальная инженерия и угон Telegram (v7);
- Рынок фишинга в Telegram;
- Социальная инженерия и угон Telegram (v6) и (v5).

S.E. ▪️ infosec.work ▪️ VT

👩‍💻 Linux под ударом.

• Небольшое руководство, которое подсвечивает некоторые слабые места #Linux. Основной упор сделан на повышении привилегий и закреплению в системе, а в качестве примера мы будем использовать несколько уязвимых виртуальных машин. Содержание следующее:

• RECON:
- Info;
- Открытые источники.

• SCAN:
- Info;
- Скан nmap;
- Скан средствами OC;
- Обфускация IP;
- Скан директорий сайта;
- Cкан поддоменов;
- Скан WordPress.

• VULNERABILITY ANALYSIS:
- Анализ.

• EXPLOITATION:
- Info;
- BruteForce;
- Local Enumeration.

• PRIVILEGE ESCALATION:
- Info;
- Локальные аккаунты;
- Crack hash;
- Misconfig;
- Kernel exploits.

• PERSISTENCE:
- info;
- SSH Keys;
- ПсевдоROOT аккаунт;
- bashrc;
- Cron Jobs;
- Systemd;
- Systemd Timers;
- rc.local;
- MOTD;
- APT;
- Git hook;
- Git config;
- PAM backdoor;
- Заключение.

S.E. ▪️ infosec.work ▪️ VT

🌐 Коллекция готовых VM для быстрого развертывания и экспериментов.

• Интересный список ресурсов с готовыми образами для виртуальных машин VirtualBox и VMWare. Очень удобно для быстрого развертывания в качестве стендов для экспериментов.

- Подборка различных образов для VirtualBox.
- Free VirtualBox Images от разработчиков VirtualBox.
- Коллекция готовых VM от Oracle.
- Абсолютно любые конфигурации VM на базе Linux и Open Sources.
- Подборка различных образов для VMware.
- VM на iOS и MacOS: getutm и mac.getutm.
- Образы для Mac: mac.getutm и utmapp.

• А еще у меня в закладках есть один интересный сервис для запуска ОС прямо в браузере. Для работы доступны Linux, BSD, Haiku, Redox, TempleOS и Quantix. Обязательно ознакомьтесь: https://instantworkstation.com/virtual-machines

S.E. ▪️ infosec.work ▪️ VT

❤️ S.E. Полный список проектов.

• Мало кто знает, что S.E. не является моим единственным проектом. На самом деле есть и другие полезные ресурсы, которые содержат очень много уникальных мануалов, литературы, курсов и другого материала:

• infosec — сюда публикую интересные новости, уникальную литературу (в основном переводы книг), курсы и немного юмора. Ламповое сообщество, которое обязательно Вам понравится.

• Virus Detect bot — этот бот был реализован исключительно для нашего сообщества. Он полностью бесплатный, без рекламы, без спама и не требует каких-либо обязательных подписок. Он реализован на API Virus Total, что дает каждому из Вас возможность проверять файлы более чем 70 антивирусами одновременно, с максимальной скоростью и не выходя из Telegram. Подробнее писал об этом вот тут.

• Вакансии в ИБ — здесь публикуются актуальные предложения от самых крупных работодателей и лидеров рынка в сфере информационной безопасности.

• S.E.Reborn — помимо публикации собственного материала, я стараюсь поддерживать ИБ сообщество в Telegram и репостить качественный контент с других каналов. В общем и целом, тут Вы найдете много всего интересного.

• S.E.Stickers — самый популярный стикерпак в ИБ и дарк сегменте Telegram. Тут Вам и пасхалочки, и хакерская тематика, и большой выбор.

• S.E.infosecurity — всё, что не входит в infosec, публикуется именно здесь. История ИТ, конкурсы с книгами по информационной безопасности и многое другое.

• S.E.Relax — когда всё надоело, то можно запустить приятную музычку и получить визуальное наслаждение от крутых артов. Это Relax проект, а значит никакой рекламы и спама.

▫️ S.E.

📶 Принципы сетевых атак и работа сетей.

• Если изучаете сети или давно хотели узнать о принципах сетевых атак, то добро пожаловать на сайт https://netsim.erinn.io, который предлагает ряд интерактивных уроков, а от нас потребуется только следить за перемещающимися пакетами между узлами сети. Там еще можно создавать свои пакеты, прописывать заголовки и даже провести сетевую атаку на определенный узел.

• Netsim требует простейшей регистрации (без указания почты и прочей информации, достаточно придумать логин и пароль). После регистрации для нас будут доступны уроки разбитые на 4 части:

- Первая часть (Basics) — тут указаны базовые понятия: пакеты, заголовки и т.д.
- Вторая часть (Spoofs) — представлены примеры и информация о принципах спуфинга;
- Третья часть (Denial of Service) — включает в себя 3 урока об атаках типа «отказ в обслуживании»;
- Четвертая часть (Attacks) — описывает принцип работы traceroute, #MITM атаки и обход блокировки ресурсов.

➡ https://netsim.erinn.io

• В общем и целом, очередной полезный ресурс для нашей копилочки, которая содержит бесплатные источники для изучения сетей.

S.E. ▪️ infosec.work ▪️ VT

🔐 Шифрование.

• Данный материал написан в соавторстве с @mycroftintel

• Как я неоднократно говорил, шифрование – это последняя «тихая гавань» с точки зрения информационной безопасности. Все дело в том, что алгоритм AES-256 практически невозможно взломать. Почему практически? Потому что в реальности можно, но при текущем уровне производительности компьютеров, на этой уйдет плюс-минус несколько миллиардов лет. Как вы понимаете, никто столько ждать не готов.

• Но все изменится, когда придут они. Квантовые компьютеры. В чем их фишка. Они работают не параллельно, шаг за шагом, как это делает обычный компьютер, а параллельной в каждом кубите. Поэтому квантовый компьютер может проводить сверхбыструю факторизацию больших чисел, что обеспечивает оперативный подбор для асимметричных алгоритмов шифрования. По разным подсчетам для того, чтобы разложить на биты ключ RSA длиной 2048 бит, потребуется компьютер с миллионами кубитов, а пока дай бог 300-400 наберется. Но потенциально это может просто разорвать в клочья всю текущую концепцию анонимности, начиная от простых архивов, заканчивая расшифровкой SSL-соединения в режиме реального времени.

• Уже появился термин «квантовое превосходство», которое показывает, как изменится наша жизнь, после того как повсеместно будут реализованы эти машинки. Но и криптография тоже на месте не стоит. Разрабатываются новые виды шифрования, например на основе концепции решеток и векторов. То есть вектор решения задачи из двухмерного становится трехмерным, поэтому подобрать ключик становится на порядок сложнее. Или, например, изогональная криптография. Тут вас уже не логарифмические задачи, а шифрование на основе эллиптических кривых. Это тот еще Борис-хрен-попадешь от мира криптографии.

• В общем, не все так плохо, как кажется на первый взгляд. Эксперты вообще говорят, что квантовый бум крипту может вообще не затронет. Новые методы шифрования появляются. Да и вообще, голь на выдумки хитра. Прорвемся! Ну а если честно, то, когда будет распространена расшифровка с помощью квантовых компьютеров, энтузиасты смогут придумать квантовое шифрование. Чтобы на каждый болт была гайка с левой резьбой!

• Дополнительная информация доступна в группе @mycroftintel

S.E. ▪️ infosec.work ▪️ VT

🔑 10 миллиардов паролей.

• 4 июля на одном хакерском форуме была обнаружена самая большая база паролей на сегодняшний день. Файлик под названием rockyou2024.txt включает в себя 10 млрд. уникальных паролей, а его объем составляет 45 гб в архиве (156 гб без архива).

• Этот файлик стал продолжением другой компиляции паролей, который слили еще в 2021 году. Тогда в сети была опубликована база RockYou2021 с 8,4 млрд. паролей. За прошедшие три года она выросла на 15%. А содержание файла состоит из более чем 4 тысяч баз данных, созданных за последние два десятилетия.

• Так вот, ребята из @securixy_kz скачали архив и вычистили из него весь мусор, которого там оказалось очень много! По итогу они получили отличный вордлист, который весит значительно меньше и содержит только нужные данные.

☁ Ознакомиться с архивом можно по ссылке выше или в нашем облаке: https://t.me/tg_infosec/2294

S.E. ▪️ infosec.work ▪️ VT

🔒 Защита от Bluetooth-маячков.

• 20 апреля 2021 года на презентации Apple был представлен очень интересный девайс — Apple AirTag. Идея таких Bluetooth-трекеров заключается в том, что они помогают нам в повседневной деятельности (искать предметы, которые вы успешно забыли где-либо). Как это работает? При помощи технологии Bluetooth различные девайсы экосистемы Apple определяют наличие метки поблизости и передают примерные или точные координаты в вашу учетную запись Apple. При помощи сервиса Apple Find My вы можете посмотреть, куда в итоге попала ваша вещь — в бюро находок или к новому владельцу. Самое главное, что все это происходит автоматически, и даже устанавливать ничего не надо. Все нужное для работы системы поиска AirTag уже встроено в iOS у сотен миллионов пользователей.

• Так вот, это я к тому, что когда данный девайс поступил в продажу, то люди начали следить за другими людьми с помощью AirTag. Спустя год и несколько громких дел Apple догадались выпустить обновление для своих устройств и реализовали оповещения, которые информируют человека о том, что рядом находится метка AirTag.

• Но ведь помимо AirTag в мире существует сотни других маячков, не так ли? И есть достаточно популярные устройства, которые никак не связаны с экосистемами по типу Samsung или Apple. Как в таком случае защититься от слежки? Такие решения есть! Еще и с открытым исходным кодом и для вашего #Android:

• AirGuard и MetaRadar: оба инструмента работают по следующему принципу — сканируют частоты, на которых работают Bluetooth-трекеры, а приложения определяют те идентификаторы, которые находятся постоянно с вами (наушники, часы, браслеты, которые принадлежат вам). Как только появляется новое устройство перемещающиеся с вами (порог срабатывания выставляется либо вручную, либо по умолчанию фиксируется 3 появления в зоне присутствия смартфона) приложения начинают вас информировать о неизвестном устройстве и показывают отметку на карте, где оно было зафиксировано. В среднем обнаружение может занимать от 30 минут до 3х часов. Пользуйтесь!

• Ссылочки я подсмотрел у автора канала @forensictools, за что ему большое спасибо.

S.E. ▪️ infosec.work ▪️ VT

👨‍💻 Пентест Wi-Fi. Часть 2.

• Материал, о котором сегодня пойдет речь, будет отличным дополнением к прошлой статье, где описаны полезные советы и хитрости на тему пентеста Wi-Fi сетей. По сути, это некий чек-лист, который будет полезен пентестерам и ИБ специалистам. Добавляем в избранное и изучаем:

- Wireless Technology and Frequency Spectrum Overview;
- Tools and Commands;
- Practical Commands;
- Wireless Hacking with Kismet and Linux Wi-Fi Commands;
- Practical Examples;
- Connecting to Wireless Networks in Linux;
- Wi-Fi Network Testing in Linux;
- Wifiphisher Overview and Usage Guide;
- How It Works;
- Installation;
- Example Commands;
- Command-Line Options;
- WEF (WiFi Exploitation Framework) Overview and Usage Guide;
- Available Attacks;
- Command-Line Options;
- GeoWiFi: WiFi Geolocation Data Search Tool;
- Installation;
- Configuration;
- Usage;
- PiDense: Monitoring Illegal Wireless Network Activities;
- Installation and Usage;
- Command Options;
- Wifite: Wireless Network Auditing Tool;
- Key Features;
- Installation;
- Usage.

• Дополнительно:

- Анализ безопасности Wi-Fi: Подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3.
- Инструменты для пентеста Wi-Fi: статья включает в себя максимально полный список инструментов для анализа защищенности Wi-Fi.
- MindMap WiFi Hacking: самая объемная и актуальная MindMap по анализу защищенности Wi-Fi на сегодняшний день.
- Useful Wireless Links: учебные пособия, справочники, калькуляторы, софт, гаджеты и многое другое.

S.E. ▪️ infosec.work ▪️ VT

🦣 Эволюция скама. 2016 - 2024.

• Запретный плод сладок, не так ли? Иногда интересно погрузиться в историю вещей и узнать (а может и вспомнить) нечто интересное и увлекательное! На протяжении 8 лет я наблюдал за различными тематическими форумами, где царила своя атмосфера и продавался материал для реализации СКАМ схем.

• Если Вы хотите ощутить ностальгию или просто узнать, как зарождался скам, то рекомендую ознакомиться с материалом по ссылкам ниже. Эксперты F.A.C.C.T. описывают множество популярных схем, инфраструктуру скамеров, инструменты и даже маркетинг... Материал разделен на 3 части:

- Первая часть включает в себя описание самых популярных схем 2016-2018 года: "антикино", "мамонт", схемы с фишингом Steam и т.д.

- Во второй части обзора о развитии криминальной скаминдустрии проанализированы события 2018 - 2022 г. Эксперты подробно рассказывают об автоматизации инструментов, возрастающей роли Telegram-ботов, мировой экспансии схемы «Мамонт» и развитии скамерской субкультуры.

- В заключительной части описана инфраструктура скамеров, их «платежные сервисы» и практики маркетинга, которые по итогу своей эволюции заняли самое козырное место в киберпреступной иерархии.

• В дополнение: Охота на «Мамонта»: жизнь скамера и дорога на запад.

S.E. ▪️ infosec.work ▪️ VT

🔐 Курс: Безопасность компьютерных систем.

• Совершенно случайно мне на глаза попался интересный курс, о котором я рассказывал в этом канале 4 года назад. Речь идет о курсе MIT «Безопасность компьютерных систем» и не смотря на дату публикации (2018 год) в нем очень много полезной информации.

• Начнем с того, что это курс по разработке и внедрению защищенных компьютерных систем, а лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе некоторых научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

- Вступление: модели угроз;
- Контроль хакерских атак;
- Переполнение буфера: эксплойты и защита;
- Разделение привилегий;
- Откуда берутся ошибки систем безопасности;
- Возможности;
- Песочница Native Client;
- Модель сетевой безопасности;
- Безопасность Web-приложений;
- Символьное выполнение;
- Язык программирования Ur/Web;
- Сетевая безопасность;
- Сетевые протоколы;
- SSL и HTTPS;
- Медицинское программное обеспечение;
- Атаки через побочный канал;
- Аутентификация пользователя;
- Частный просмотр интернета;
- Анонимные сети;
- Безопасность мобильных телефонов;
- Отслеживание данных;
- Информационная безопасность MIT;
- Экономика безопасности.

➡ Оригинальная версия курса: https://www.youtube.com/

S.E. ▪️ infosec.work ▪️ VT

📦 Malware Configuration And Payload Extraction.

• CAPE (Malware Configuration And Payload Extraction) — это автоматизированная система анализа вредоносного ПО с открытым исходным кодом.

• Песочница используется для автоматического запуска и анализа файлов, а также для сбора полной информации. Результаты анализа показывают, что делает вредоносное ПО во время работы внутри изолированной операционной системы (в основном ОС Windows).

• CAPE может получить следующие типы результатов:

- Следы вызовов Win32 API, которые выполнялись всеми процессами, порожденными вредоносным ПО;
- Файлы, которые были созданы, удалены и загружены вредоносной программой во время ее выполнения;
- Дампы памяти процессов вредоносного ПО;
- Трассировка сетевого трафика в формате PCAP;
- Снимки экрана рабочего стола Windows, сделанные во время работы вредоносной программы;
- Полные дампы памяти виртуальных машин.

• CAPE является "выходцем" из одной достаточно популярной песочницы Cuckoo Sandbox и предназначен для использования как в качестве автономного приложения, так и в качестве интегрированного решения в более крупные структуры благодаря своей модульной конструкции.

• Что можно анализировать:

- Общие исполняемые файлы Windows;
- DLL-файлы;
- PDF-документы;
- Документы Microsoft Office;
- URL-адреса и HTML-файлы;
- PHP-скрипты;
- CPL-файлы;
- Сценарии Visual Basic (VB);
- ZIP-файлы;
- Java-JAR-файл - Файлы Python;
- Почти все остальное.

• CAPE обладает мощными возможностями, которые благодаря модульности архитектуры позволяет создавать неограниченное количество различных сценариев.

➡ Документация есть вот тут: https://capev2.readthedocs.io/en/latest/

➡ Cтабильная и упакованная версия продукта: https://github.com/kevoreilly/CAPEv2

S.E. ▪️ infosec.work ▪️ VT

🔑 Как укрепить “Веру”.

• Данный материал написан в соавторстве с @mycroftintel

• VeraCrypt продолжает меня удивлять. Вот я вроде бы уже все знаю про эту софтину, ан-нет, находится что-то, о чем я не подозревал. И мне. Черт возьми, это очень нравится. Это значит, что эта программка очень глубокая и качественно проработанная.

• Теперь к делу. Когда вы выполнили полнодисковое шифрование, вам ни один бармалей не будет страшен, потому что вскрыть AES-256 практически невозможно. Ну только если фаза Луны наложится на ретроградный Меркурий. А так нет. Соответственно, нет доступа к системе – нет возможности для злоумышленника ознакомится с логами вашей активности и всеми остальными вкусными вещами.

• Но есть еще один слой обеспечения безопасности. Скорее психологического, а не технического характера. Когда вы только загружаете систему, она просит вас ввести пароль, а затем PIM (если он, конечно, у вас есть). Собственно, уже на этом экране становится понятно, что система зашифрована. А это исход не самый желательный. И тут мы с вами встаем на путь хитрости.

• Вместо просьбы ввести пароль мы можем вывести на экран набор случайных символов, или сообщение об ошибке с предложением перезагрузить компьютер. Вариантов может быть масса: их ограничивает только ваша смекалка и чувство юмора. Установить все можно в разделе Система – Установки – Правка конфигурации загрузчика. Но будьте осторожны, там можно легко напортачить, да так, что система после вообще не загрузится. Всем безопасности!

• Дополнительная информация доступна в группе @mycroftintel

S.E. ▪️ infosec.work ▪️ VT

👩‍💻 40 практических советов по усилению безопасности Linux.

• Как уже стало понятно из названия, речь пойдет об усилении безопасности Linux (хостов и серверов). В приведенных инструкциях предполагается использование дистрибутива #Linux на базе Ubuntu/Debian. Перечислю некоторые советы, которые будут описаны в статье:

- Шифрование передаваемых данных;
- Минимизация установленного ПО;
- Обновление ядра и программного обеспечения Linux;
- Используем Linux Security Extensions;
- Учетные записи пользователей Linux и строгая парольная политика;
- Оценка физической безопасности серверов Linux;
- Отключение избыточных служб Linux;
- Настройка сетевого экрана на базе Iptables и TCPWrappers;
- Харденинг ядра Linux /etc/sysctl.conf и многое другое...

➡ Читать статью [15 min].

• Хочу отметить, что каждому "совету" уделяется не совсем полноценное описание и рекомендации, но Вы можете самостоятельно порассуждать на определенную тему и найти в сети необходимую информацию для полноценного изучения. А еще, данная статья выступает отличным дополнением к нашей прошлой публикации на данную тему.

S.E. ▪️ infosec.work ▪️ VT

📦 Защищённый тайник для передачи сообщений.

• Давайте сразу обозначим один момент, что в данной статье не пойдет речь о системе мгновенного обмена сообщениями. Мы говорим о возможности оставить сообщение (текст, файлы и так далее), которое будет безопасно отправлено собеседнику.

• Смысл этого всего не только в том, чтобы скрыть содержимое сообщения, но ещё и в том, чтобы, скрыть и сам факт отправки сообщения. И даже если некто наблюдает за источником или приёмником сообщения, у него не должно быть возможности разобраться в том, кто находится на другой стороне канала связи.

• Итак, давайте разберемся, что из себя должен представлять тайник для передачи сообщений:

- Тайник должен быть полностью анонимным;
- Для работы с ним не нужны ни аккаунты, ни регистрация;
- Сервер не должен хранить никаких сведений о пользователях;
- Система должна предотвращать отслеживание метаданных;
- Скрытым должно быть не только содержание сообщений;
- Не должно быть возможности выяснить, общался ли пользователь A с пользователем B или C;
- Нужно, чтобы обратиться к тайнику можно было бы через #Tor. Это позволит защититься от анализа трафика;
- Нужно, чтобы никак нельзя было узнать о том, что кто‑то общался с создателем тайника;
- Необходимо, чтобы учитывалось то, что сервер может быть захвачен злоумышленником;
- Нужно, чтобы не было бы необходимости давать серверу какие‑то особые полномочия.

• Автор данного материала попробовал реализовать всё вышеперечисленное и описал ситуации, в которых может применятся данное решение:

➡ Читать статью (перевод) [21 min].

➡ Оригинальная версия материала.

• Дополнительно:

- Оффлайн мессенджеры. Подборка.
- Где хранить секретные файлы...?
- Картинки с секретом. Прячем информацию;
- Taйники «Dead drops»: бeзoпacнaя cвязь нa ocнoвe oпытa шпиoнaжa. Мёpтвыe тoчки cбpoca.

S.E. ▪️ infosec.work ▪️ VT

👨‍💻 Пентест Active Directory.

• С момента создания службы каталогов Active Directory (AD) прошло уже 25 лет. За это время служба обросла функционалом, протоколами и различными клиентами.

• Материал, который Вы найдете по ссылкам ниже, станет хорошей отправной точкой для изучения особенностей и слабых мест AD. Содержание следующее:

- Trees and Forests / Components;
- Enumerating AD with Bloodhound;
- Authentication, Authorization, Access Control and more;
- Enumeration;
- LLMNR Poisoning;
- Lateral movement & privilege escalation;
- Domain persistence and cross forest attacks.

• Вот ещё очень хороший цикл статей "Active Directory in Red Teaming" — включает в себя описание различных инструментов, основ и нюансов при проведении тестирования на проникновение в AD:

- Introduction;
- Offensive PowerShell;
- Local Privilege Escalation;
- Lateral Movement;
- Domain Persistence;
- Domain Privilege Escalation;
- Forest Trust Abuse.

• Выше по ссылкам доступна оригинальная версия материала. Если есть сложность в прочтении на английском языке, то в нашем облаке можно скачать качественный перевод.

• Дополнительно:

- DetectionLab — проект, который позволит тебе развернуть виртуальную лабораторию на базе Windows, для использования в исследовательских целях.
- Vulnerable-AD — заведомо уязвимая Active Directory. Окажется полезной для практических занятий и тестов.
- Cheat Sheet AD — эта шпаргалка описывает определенные методы, которые используются для атак Windows Active Directory.

S.E. ▪️ infosec.work ▪️ VT

🐎 Про­ект «Пегас».

• Данный материал написан в соавторстве с @mycroftintel

• Все вы слышали, наверное, про скандалы со следящими устройствами, которые были обнаружены у ведущих политиков Европы и Азии. В том числе следилки в свое время находили у бывшего канцлера Германии Ангелы Меркель, у всяких там журналистов, правозащитников, оппозиционеров и многих других. Да, речь идет про старый-добрый Pegasus.

• Что такое этот ваш Pegasus? Он с нами в одной комнате? Да, он может с нами быть в одной комнате. Легко. Вообще, это разработка спецслужб фирмы из Израиля в интересах других спецслужб, уже за рубежом. Он хитрым образом ставится на мобильный телефон жертвы и контролирует всю ее дальнейшую жизнь.

• Итак, что же он умеет? Считывать вашу геолокацию. То есть бармалей специалист за экраном видит, где конкретно вы находитесь, даже если вы геопозицию не включали. Он видит всю вашу записную книжку даже без GetContact, слушает все ваши разговоры и видит все ваши СМС. Еще он может залезать в ваш календарь и даже управлять будильником! Но это не страшно. Страшно, что в любой момент он может включить камеру или микрофон на вашем устройстве и посмотреть, чем-же таким интересным вы сейчас занимаетесь. И это не говоря о том, что он имеет доступ ко всем файлам на устройстве и даже может в случае необходимости снести вам всю систему, превратив ваш любимый iPhone в кирпич.

• Но и это еще не все. Pegasus видит весь ваш траффик. И не только куда выходите (как СОРМ), но и конкретное содержание пакетов, ибо они расшифровываются уже на устройстве. То есть ваши сообщения в Телеге, в ВотсАппе, вашу почту и траффик он видит насквозь. Вот это уже страшно и неприятно.

• Теперь о самом главном. Сделать такую следилку – раз плюнуть. Серьезно, она далеко не такая сложная. Вон, посмотрите на следилки за своими детьми. Там и геолокация, и можно включить микрофон, и контроль траффика тоже есть. Проблема не сделать такую софтину, проблема заразить телефон так, чтобы юзер ничего не заметил, а также не сработала система безопасности операционной системы. И вот тут и зарыта собака. Большая собака, размером с мастифа. Как Pegasus мог заразить iPhone политиков и журналистов, даже без контакта? Раньше они юзали соц. инженерию для заражения. Теперь нет. Я свечку не держал, но по ходу Яблоко отдало Pegasus бэкдор для тихого заражения устройства. Хотя Pegasus и ускакал в закат уже пару лет как, дело его живет. Так что следите за трендами в инфобезе! Всем безопасности!

• Дополнительная информация доступна в группе @mycroftintel

S.E. ▪️ infosec.work ▪️ VT

😈 Как действуют APT-группировки в Юго-Восточной Азии.

• Исследователи positive technologies выкатили объемное исследование, в котором описали действия различных APT-группировок в странах Юго-Восточной Азии в период с января 2020 года по апрель 2024 года.

• Как отмечают эксперты, 75% APT-группировок начинают кибератаки с фишинговых рассылок и эксплуатируют уязвимости в общедоступных системах, например в серверах Microsoft Exchange.

• Каждая вторая APT-группировка применяет в атаках известный троян PlugX, троян ShadowPad и веб-шелл China Chopper. А еще, благодаря обширным функциональным возможностям, 70% APT-группировок используют в атаках Cobalt Strike (руководство от LockBit загружено в наше облако) и в 40% используют Mimikatz.

• Что касается наиболее атакуемых отраслей, то все рассмотренные группировки, действующие в Юго-Восточной Азии, атакуют государственные учреждения, половина из них проводят атаки против военно-промышленного комплекса и поставщиков телекоммуникационных услуг.

• Тактики и техники группировок описаны в терминах MITRE ATT&CK Matrix for Enterprise (версия 14.1), со ссылками на подробные описания упомянутых методик.

• Полное содержание отчета:

- Цифровая трансформация Юго-Восточной Азии;
- Кибербезопасность в странах Юго-Восточной Азии;
- Страны — лидеры по числу атакующих их APT-группировок;
- Наиболее атакуемые отрасли;
- Как действуют APT-группировки на разных этапах атаки;
- Подготовка ресурсов для проведения атак;
- Разведка и начальные векторы атаки;
- Закрепление в инфраструктуре жертвы;
- Поиск учетных данных;
- Исследование корпоративной инфраструктуры;
- Сбор ценной информации;
- Взаимодействие с командным сервером;
- Передача украденных данных;
- Защита от обнаружения;
- Арсенал APT-группировок;
- Выводы и рекомендации;
- Краткое описание APT-группировок;
- Тепловая карта тактик и техник APT-группировок в Юго-Восточной Азии.

S.E. ▪️ infosec.work ▪️ VT

📭 Временная почта. Подборка сервисов.

• Прежде чем переходить к подборке с одноразовыми почтовыми ящиками, я расскажу небольшую историю и один из многочисленных вариантов использования таких ящиков: когда @SE_VirusTotal_bot был на этапе разработки, одной из наших задач была регистрация большого кол-ва аккаунтов в сервисе VirusTotal. Дело всё в том, что после регистрации нам становился доступен API ключ, который был нужен для работоспособности бота. Вот тут и пришла на помощь одноразовая почта. Мы зарегистрировали десятки аккаунтов и воспользовались API ключами. Как итог: теперь у Вас есть полностью бесплатный инструмент для проверки ссылок и файлов на наличие вирусов.

• Разумеется, что преимущество таких ящиков не только в регистрации на определенных ресурсах, но еще и по другим причинам, например, приватность и удобство, простота использования и защита от спама... В общем и целом, ниже собрал небольшое кол-во бесплатных сервисов (больше и не нужно) и рекомендую Вам добавить этот список в избранное:

- http://xkx.me
- https://erine.email
- https://maildrop.cc
- https://mailsac.com
- https://getnada.com
- http://mailcatch.com
- https://smailpro.com
- https://yopmail.com/en
- https://one-off.email/ru
- https://www.moakt.com
- https://www.33mail.com
- http://www.yopmail.com
- https://www.emaildrop.io
- https://www.fakemail.net
- https://www.mohmal.com
- https://10minutemail.com
- https://www.tempinbox.xyz
- https://temporarymail.com
- https://www.mailinator.com
- http://www.yopmail.com/en
- https://www.dispostable.com
- https://www.emailondeck.com
- https://www.crazymailing.com/ru
- https://www.trash-mail.com/inbox

S.E. ▪️ infosec.work ▪️ VT