Наследство от мертвого бизнесмена: охота на мошенников через цифровые следы

✉️ Вам тоже приходили письма о неожиданном наследстве? Один специалист по OSINT получил такое — и решил докопаться до истины. Что из этого вышло?

Ход расследования:
🔸 Анализ поддельных документов (6 шрифтов в одном файле — серьёзно?)
🔸 Ловушка с отслеживанием IP — и неожиданная локация в Африке
🔸 Поиск через PayPal и соцсети: как нашли реального человека, чьими данными пользовались мошенники
🔸 Шокирующая развязка с пожилой жертвой в США

💡 Главный урок: такие схемы рассчитаны на тех, кто поверит в лёгкие деньги. Но с помощью OSINT можно не только защититься, но и найти злоумышленников.

🔴 Читайте полное расследование
🔴 Хотите научиться такому? Стартуем 12 мая!
4 месяца практики на реальных кейсах. Подробности здесь.

🚩 Новые задания на платформе HackerLab!

🎢 Категория Разное — Закодированный мопс

🔎 Категория OSINT — Личность в цифрах

Приятного хакинга!

Заключение серии «OSINT: Истории, которые меняют жизни»

За последние дни мы разобрали три реальных кейса, где обычные люди с помощью открытых данных:
1️⃣ Нашли потерянных близких 🔴читать
2️⃣ Разоблачили мошенников 🔴читать
3️⃣ Восстановили семейную историю 🔴читать

Что объединяет эти истории?

Главные уроки OSINT:
✅ Информация никогда не исчезает — она просто ждёт, когда её найдут
✅ Детали решают всё — одна фотография или старый адрес могут быть ключом
✅ Соцсети = мощный инструмент — но нужно знать, как искать
✅ Даже мошенники оставляют следы — главное смотреть в нужном месте

Как применять эти знания?
→ Начните с простого: проверьте свои цифровые следы (погуглите себя)
→ Используйте базовые инструменты: Google Dorks, HaveIBeenPwned, Wayback Machine
→ Развивайте критическое мышление — не вся информация достоверна

⭐️ OSINT — это не только о слежке. Это о понимании, как устроен цифровой мир.

Хотите больше?
✅ Книга: Fravia. Искусство поиска.
✅ Интервью: Екатерина Тьюринг рассказывает о законном поиске информации в Интернете. Смотреть
✅ Курс «OSINT: технология боевой разведки» — стартуем 12 мая. Записаться

Какая история запомнилась вам больше всего? Делитесь в комментариях!

🍽 SMBMap

Инструмент, позволяющий пользователям перечислять общие SMB диски во всём домене. SMBMap был разработан для тестирования на проникновение и предназначен для упрощения поиска потенциально конфиденциальных данных в больших сетях.

Установка в одну команду: sudo pip3 install smbmap

💡 Характеристики:
⏺️Поддержка аутентификации по хэшу, билету Kerberos, паролю;
⏺️Вывод версии сервера;
⏺️Обнаружение подписи SMB;
⏺️Возможность загружать/выгружать/удалять файлы;
⏺️Перечисление разрешений на доступ к дискам;
⏺️Возможность удаленного выполнения команд;
⏺️Сопоставление имен файлов с возможностью автоматической загрузки.

💻 Примеры:
Использование по умолчанию для перечисления доступных папок и разрешений

smbmap -H 192.168.86.214 -u Administrator -p asdf1234

Удаленное выполнение команды:

smbmap -u ariley -p 'P@$$w0rd1234!' -d ABC -x 'net group "Domain Admins" /domain' -H 192.168.2.50

Просмотр содержимого диска C:

smbmap -H 192.168.86.214 -u Administrator -p asdf1234 -r c$ -q

Просмотр содержимого директории Tools с глубиной 2 (то есть просмотр следующих директорий имеющихся в этой папке):

smbmap -H 192.168.86.179 -u Administrator -p asdf1234 -r Tools --depth 2 --no-banner -q

Сканирование для обнаружения подписи SMB:

smbmap --host-file local.txt --signing

Автоматизированный поиск файлов с именами, соответствующими шаблону:

smbmap --host-file ~/Desktop/smb-workstation-sml.txt -u NopSec -p 'NopSec1234!' -d widgetworld -F '[1-9][0-9][0-9]-[0-9][0-9]-[0-9][0-9][0-9][0-9]'

⛏ Unix-like Artifacts Collector (UAC)

Мощный и расширяемый инструмент для реагирования на инциденты. Автоматизирует сбор артефактов из широкого спектра Unix-подобных систем, включая AIX, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD и Solaris.

Для начала работы необходимо скачать архив с актуальной версией (на данный момент это версия 3.1.0), распаковать файл и перейти в необходимую директорию:

tar -xvzf uac-3.1.0.tar.gz
cd ./uac-3.1.0

⚡️ Особенности
⏺️Полностью настраиваемые профили YAML для индивидуального сбора данных;
⏺️Легкий, переносимый и не требует установки или зависимостей;
⏺️Соблюдает порядок волатильности для обеспечения надёжного сбора данныx;
⏺️Предназначен для различных сред, включая устройства Интернета вещей и системы NAS;
⏺️Собирает информацию о текущих запущенных процессах (включая процессы без двоичного файла на диске);
⏺️Поддержка записи выходных данных на различные облачные платформы.

🤫 Использование
Рекомендуется запускать UAC с внешнего устройства/USB-накопителя/сетевого диска, чтобы не перезаписывать данные.

Чтобы выполнить сбор данных, необходимо указать как минимум профиль и/или список артефактов, а также целевой каталог. Профили используются для определения списка артефактов, которые будут использоваться во время выполнения (сведения о том, какой сбор данных будет осуществляться). Представляют собой файлы YAML, расположенные в каталоге profiles. Артефакты используются для определения параметров, которые будут использоваться сборщиком для сбора данных (набор правил, определяющих, какие данные будут собираться). Это файлы YAML, расположенные в каталоге artifacts.

Сбор всех артефактов на основе профиля ir_triage и сохранение выходного файла в /tmp:

./uac -p ir_triage /tmp

Сбор всех артефактов на основе профиля ir_triage, а также всех артефактов, расположенных в каталоге /my_custom_artifacts, и сохранение выходного файла в /mnt/sda1:

./uac -p ir_triage -a /my_custom_artifacts/\* /mnt/sda1

Сбор всех артефактов на основе полного профиля, исключая артефакт bodyfile.yaml:

./uac -p full -a \!artifacts/bodyfile/bodyfile.yaml /tmp

SQLsus

sqlsus — это инструмент для внедрения и захвата MySQL с открытым исходным кодом, написанный на Perl. С помощью интерфейса командной строки вы можете извлекать структуру базы данных, внедрять собственные запросы SQL (даже сложные), загружать файлы с веб-сервера, сканировать веб-сайт на наличие доступных для записи каталогов, загружать и контролировать бэкдор, клонировать базу данных и многое другое... В соответствующих случаях sqlsus будет имитировать вывод консоли MySQL.

📌Установка:

sudo apt-get install sqlsus

а также устанавливаем модуль Switch для с помощью CPAN

sudo cpan Switch

Или скачать из исходников

git clone https://gitlab.com/kalilinux/packages/sqlsus.git

cd sqlsus

📎Запуск:
⏺️Сгенерировать конфигурационный файл для сканирования:

sqlsus -g [ПУТЬ]

⏺️Далее в конфигурационном файле который мы сгенерировали мы ищем переменную $url_start и вставляем туда URL.

🔗 ldapdomaindump - инструмент, позволяющий выгрузить информацию из Active Directory через LDAP и представить собранную информацию в удобном формате HTML, а также в машиночитаемых форматах JSON и CSV/TSV/GREP. Поддерживает аутентификацию как по паролю, так и с помощью NTLM хэшей.

Инструмент выводит следующие файлы
⏺️domain_groups - список групп в домене;
⏺️domain_users - список пользователей в домене;
⏺️domain_computers - список учетных записей компьютеров в домене;
⏺️domain_policy - политика домена (требования к паролю, политики блокировки);
⏺️domain_trusts - входящие и исходящие доменные трасты.

💻 Установка

git clone https://github.com/dirkjanm/ldapdomaindump
cd ./ldapdomaindump
pip install ldap3 dnspython future
python setup.py install

⚙️ Опции
По умолчанию инструмент выводит все файлы в формате HTML, JSON и с разделителями табуляции (для поиска). Для удобства есть также два сгруппированных файла (users_by_group и computers_by_os). Они не поддерживают поиск. Вывод JSON для сгруппированных файлов по умолчанию отключен, так как он создает очень большие файлы без каких-либо данных, которых нет в других файлах.

По умолчанию ldapdomaindump пытается вывести на диск все атрибуты, которые он может прочитать, в файлы .json. В больших сетях это требует много памяти. Чтобы вывести только минимально необходимые атрибуты (те, которые по умолчанию отображаются в файлах .html и .grep), используйте --minimal.

LDAPDomainDump включает в себя утилиту, которую можно использовать для вывода файлов ldapdomaindumps .json в формате, аналогичном enum4linux. Утилита называется ldd2pretty и добавляется в ваш путь при установке. Также есть интеграция с BloodHound с помощью утилиты ldd2bloodhound для преобразования данных в формат, совместимый с BloodHound (версия 1.x).

Базовый дамп домена:

ldapdomaindump ldaps://192.168.138.15 -u 'TEST\user' -p password -o /tmp/ldapdump

Использование ldd2pretty для вывода аналогичному enum4linux:

ldd2pretty -d /tmp/ldapdump

💻 drozer

Платформа тестирования безопасности для Android, поддерживаемая компанией WithSecure. Позволяет искать уязвимости в приложениях и устройствах, взаимодействуя с Android Runtime, другими приложениями, конечными точками IPC и базовой операционной системой.

📌 Установка и подключение
Для установки последней версии консоли drozer с PyPI можно использовать pip или pipx: pipx install drozer

Агент drozer можно получить из репозитория в виде файла Android Package (.apk). Его можно установить на эмулятор или устройство с помощью Android Debug Bridge (adb): adb install agent.apk. Приложение Drozer Agent должно появиться в панели запуска вашего устройства.

Теперь нужно соединить устройства на которых установлены агент и консоль, затем приступать к исследованию. Для этого можно использовать сервер, встроенный в Drozer Agent. Сначала запускаем, выбираем опцию Embedded Server и нажимаем Enable, чтобы запустить сервер. Вы должны увидеть уведомление о том, что сервер запущен.

Далее возможны варианты подключения через сеть drozer console connect --server <phone's IP address> и через USB:

adb forward tcp:31415 tcp:31415 
drozer console connect

🤖 Использование
Использовать инструмент будем на примере потенциально уязвимого приложения Sieve.

Первым шагом в оценке Sieve является поиск приложения на устройстве Android run app.package.list -f sieve. Приложения, установленные на устройстве Android, однозначно идентифицируются по «имени пакета».

Далее запрос у drozer базовой информации о пакете с помощью команды run app.package.info -a com.withsecure.example.sieve. Результатом будет ряд сведений о приложении, в том числе версия, место хранения данных приложения на устройстве, место его установки и ряд сведений о разрешениях, предоставленных приложению.

Определяем поверхность атаки run app.package.attacksurface com.withsecure.example.sieve.

Подробнее изучаем узнав какие действия экспортируются Sieve, используя более конкретные команды: run app.activity.info -a com.withsecure.example.sieve

В данном случае можем обойти аутентификацию через действие PWList:
run app.activity.start --component com.withsecure.example.sieve com.withsecure.example.sieve.activity.PWList

🚩 Новые задания на платформе HackerLab!

👩‍💻 Категория Pentest Machines — Umbrella

🌍 Категория Веб — Easy Upload
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Разное - Странный код
🟠OSINT - Назад в будущее
🟠Стеганография - Самозванец

Приятного хакинга!