Бесплатная книга от Фила Стокса, объединяющая в себе цикл его статей с SentinelOne "How to Reverse Malware on macOS Without Getting Infected". О настройке виртуальной среды, поиске сэмплов, статическом и динамическом анализе.

Книга небольшая, всего на 39 страниц, но довольно информативная. Если не хватит, у него еще много интересного в его блоге.

Если вы хоть раз заходили на форумные рынки по, вероятно, вам приходилось сталкиваться с обилием вредоносов, в частности, клипперов. Реализовать их первичный функционал достаточно просто, поэтому каждый желающий, изучив азы программирования, считает своим долгом написать малварь, приносящую ему прибыль.

Зачастую, реализовав базовые функции подмены буфера, этим они и ограничиваются, а когда ударяются о стену детектов и низкого количества отсутуков, бегут продавать свое творение, дабы хоть что-нибудь с него получить. Покупатели либо останавливаются на дорогих и качественных продуктах (что бывает редко, ввиду контингента), либо идут на последние деньги покупать то, что написали их товарищи 😅.

И те, и другие, редко соблюдают цифровую гигиену, ввиду чего оставляют за собой кучу следов. Занимаясь исследованием такого по, вытащить адреса криптовалютных кошельков можно просто воспользовавшись утилитой strings.

А дальше уже можно заняться OSINT-ом, используя некоторые техники из этой статьи: https://telegra.ph/OSINT-Guide-To-Bitcoin-Investigations-01-07

К слову, всегда есть исключения

⁤Не смотря на то, что компания Amazon, по условиям договора, обещает постоянную доступность всех своих сервисов, никто не исключает возможные сбои, как, например, этой осенью, когда множество их клиентов, включая iRobot, Pinterest, Spotify и Buzzfeed, оказались уязвимы из-за простоя своего хостинг-провайдера.

У Netflix на случаи аварийных сбоев разработано несколько интересных механизмов. После того, как вся их инфраструктура была перенесена в облако, вместо того, чтобы планировать и пытаться избежать возможных сбоев, они решили специально создать такую систему, которая будет вызывать периодические отказы их серверов, тем самым заставляя своих сотрудников учиться справляться с этими отказами без потери доступности для клиентов. Они назвали ее Chaos Monkey.

Однако, Netflix был по прежнему оставался сильно зависим от Amazon - их сеть находилась в 12 регионах AWS по всему миру, ка каждом из которых есть несколько зон доступности. В каждой зоне находится по крайней мере один центр обработки данных, а также соответствующие источники питания. Было решено разработать еще ряд инструментов, а также спроектировать инфраструктуру таким образом, чтобы приложения автоматически переключались между зонами при возникновении сбоев.

Финальным шагом стала разработка инструмента Chaos Gorilla, который имитирует отказ всей зоны доступности AWS, чтобы, в случае сбоя в их системе, оставаться по-прежнему доступными своим клиентам. Таким образом они построили доверие к новой практике, называемой хаос-инжинирингом, предполагающей стремление к цели успешно противостоять турбулентным условиям производства. Именно к ней должны были прибегнуть Parler до того, как их отключили буквально ото всего.

Давненько у нас не было OSINT, а вы знаете:

— Кто является регистратором jameskainth.com?

— Если открыть рандомную статью на Википедии, нажать на первую ссылку в тексте, а на новой странице повторить это, а потом еще и еще, куда вы в итоге попадете?

— Какая компания звонит с номера 855-707-7328 и как она называлась раньше?

Я тоже это знаю и думаю, что вы сможете найти ответы на эти (и не только эти) вопросы. Ведь прям под Новый год вышел челлендж, посвященный поиску по открытым источникам, который мы благополучно пропустили. Поэтому го проходить:

https://cyberdefenders.org/labs/38

P.S. С хэшами какая-то беда

Хотите взять под контроль «Умные дома»? Подслушать разговоры? Захватить поток с видеокамер? Компрометировать станции для зарядки электромобилей? Вы можете сделать это очень легко прямо сейчас, используя ꓘamerka.

https://telegra.ph/Boevoj-OSINT-s03e04---ehkspluatiruem-mir-pri-pomoshchi-%EA%93%98amerka-01-12

Цикл статей о боевом OSINTе на русском:

— Боевой OSINT s01e01 - OSINT & RDP

— Боевой OSINT s01e02 - Деобфускация и анализ исходного кода + обнаружение сети распространения нелегального контента

— Боевой OSINT s01e03 - Ищем дезинформацию, связанную с выборами, на польском сервисе wykop.pl

— Боевой OSINT s01e04 - Cбор разведывательных данных по важнейшим объектам инфраструктуры в Юго-Восточной Азии

— Боевой OSINT s01e05 – OSINT и Корпоративный шпионаж, Щупальца Mindgeek

«Перестаньте читать Ашота» (с) Omnipotent, владелец raidforums.com

https://therecord.media/what-its-like-to-run-a-hacking-forum-a-conversation-with-raidforums-owner-omnipotent/

🕵️‍♂️ Обновление инструмента для поиска по нику Maigret:
- более 2000 сайтов
- экспорт отчётов в PDF, HTML и майндкарты XMind
- улучшенный парсинг популярных сайтов и определение вероятных персональных данных

🔥 И самое главное -- установить теперь можно одной командой: pip install maigret.

Я как-то вам уже рассказывал о Maigret. Это лучший на данный момент бесплатный инструмент для разведки на основе открытых источников по никнеймам.

Помимо того, что его база расширилась до более чем 2000 сайтов, благодаря продвинутому движку парсинга для всех ресурсов, обозначенных в maigret/maigret/resources/data.json, вы самостоятельно, не обладая знаниями программирования, можете добавлять собственные сайты, указав пару ключей в этом файле.

Поддерживается также многопоточность, что критично при работе с таким большим списком и отчеты, благодаря которым вы можете сохранять результаты поисков в удобно читаемом формате.

Осталось проапгрейдить до веб-интерфейса для пользователей, не привыкших работать с отчетами, как это сделал, например, woj-ciech в своих проектах, и добавить возможность создания отложенных задач 😉

Давно я ничего не писал, а особенно давно не писал о бб.

Пару недель назад мне посчастливилось найти две критичных баги на одном критосервисе: одна из них заключалась в возможности обхода 2FA при авторизации / взаимодействии с валютами, другая - открывала доступ прямиком в админ-панель без пароля.

Обе этих баги - очень простые, их буквально мог обнаружить практически любой пользователь. Дабы обезопасить балансы, на сайте имелась возможность включения 2FA на основе соответствующих кодов из мобильных приложений. Звучало безопасно до тех пор, пока я не решил ввести "123456". Данные неправильно валидировались на сервере и абсолютно любой код считался истинным.

Другой баг был несколько необычным. Один из эндпоинтов, следовавший за подтверждением аккаунта, должен был возвращать обновленные Access и Refresh JWT-токены, необходимые для активности в личном кабинете. На вход принимались куки со старыми токенами, создающимися после заполнения формы регистрации, перед тем, как пользователь подтвердит почту.

Я решил попробовать отправить запрос без них, дабы лицезреть ошибку или редирект на главную, однако, сайт все равно вернул пару JWT. Сначала я не понял от какого они аккаунта, однако попробовал зайти в личный кабинет и обнаружил в профиле ФИО одного из создателей сервиса, вместе с привязанной корпоративной почтой и балансом в несколько тысяч $.

Затем я вышел из него, подождал некоторое время и повторил запрос - опять валидные токены, на этот раз от другого аккаунта. И так я повторял до тех пор, пока, наконец, не дошел до аккаунта с максимальными привилегиями. Их уровень возвращался уже в другом запросе, вместе с доменами, на который они распространяются (объект resource/role). Так я нашел URL админки, зайдя в которую, я сразу же оказался авторизованным, благодаря ранее подхваченным токенам.

Шелл залить я не пытался, в админке можно было следующее: просмотреть всех пользователей, которые были зарегистрированны, историю их транзакций, документы (KYC). Доступ открывался также к изменению паролей, управлению блогом (с возможностью HTML-вставок), чатом и просмотру активности, в целом.

Итого: 0.4btc (пруфов не будет), вывод блечить в таких случаях или нет каждый делает сам 🤗

Если в публичных программах на H1 большинство простых багов уже найдено, и ты один из тех, кто, начитавшись кучу статей о "топ баунти" совершил ошибку выжившего, то не все ещё потеряно.

Шанс найти ту или иную уязвимость даже на сервисе крупной компании повышает его апдейт, а ещё - релиз собственного мобильного приложения. Тут действительно есть что поискать, учитывая, насколько снижается конкуренция.

Зачастую известным багхантерам уже не так интересно ради нескольких сотен вечнозелёных искать простые баги, а остальным - банально лень настраивать окружение, либо знакомиться с чем-либо, отличным от веба.

https://telegra.ph/Uchimsya-nahodit-uyazvimosti-v-Android-prilozheniyah-na-primere-DIVA-03-02

Все чаще пользователи Android-смартфонов становятся жертвами вредоносов из официального магазина приложений. Не смотря на меры безопасности, реализуемые Google, многим билдам удается официально опубликоваться и набрать сотни тысяч установок еще до того, как их удалят из репозитория. Как им это удается?

Joker - один из известнейших троянов, распространяющийся с 2016 года. Маскируясь под видом легитимного приложения, вредонос подгружает "тело" вируса спустя несколько часов после установки, благодаря бэкдору в исходном коде оригинальной программы.

Такой подход использует не только он - это одна из самых известных хитростей, использующихся для загрузки троянов в Google Play. В сегодняшней статье я расскажу о том, как ее можно реализовать, и как распознать уже инфицированное приложение из магазина.

https://telegra.ph/Behkdory-v-Android-prilozheniyah-sozdanie-i-zashchita-03-08

P.S.: Еще один популярный тип шпионского ПО - Stalkerware, о котором я писал тут - https://t.me/cybred/54

Прошло два года с момента создания поисковика открытых хранилищ Amazon и Azure https://grayhatwarfare.com/, сегодня вышло его обновление. Разработчики проиндексировали общедоступные сокращенные ссылки и добавили возможность поиска как по ним, так и по их расшифрованным представлениям.

На момент написания поста в базе собрано более 445 миллионов строк. Все ссылки, ведущие на несуществующие страницы или сайты, отвечающие ложным 200 кодом ответа, удаляются. На основе Content-Type определяется расширение конечных файлов.

Поддерживается фильтрация:
- по домену и ключевым словам
- по расширению и дате обнаружения
- по размеру (если ссылка ведет на файл)

Используемый в статье метод декодирует приложение до smail-кода, а затем выполняет его патчинг - это наиболее известный и самый распространенный способ внедрения вредоносного кода, не лишенный массы недостатков.

При его использовании происходит изменение оригинального classesN.dex, которое приводит к невозможности выполнения приложения из-за нарушения целостности DEX-файлов (в случае их проверки).

Рисерчер и сам утверждает, что способ сильно устарел, и он решил использовать его только для наглядного изображения того, как можно заполучить доступ к чужому устройству при помощи создания простейшего бэкдора в уже готовом приложении.

Автор канала @OrderOfSixAngles написал собственный инфектор, призванный решить вышеописанные проблемы. Он подразумевает выполнение вредоносного кода при старте, а также сохранение всех этапов процесса запуска оригинального приложения.

Внедрение пэйлоада происходит в стадии алгоритма cold start:Application Object creation->Application Object Constructor при первом старте программы. Преимущества данного подхода в том, что он позволяет применить необходимые модификации к APK:
1. Без дизассемблирования/сборки DEX
2. Без декодирования/кодирования манифеста
3. Без внесения изменений в оригинальные DEX файлы

При его применении можно заражать практически любые существующие приложения, без ограничений. Описанная техника не зависит от архитектуры и версии Android, а также успешно протестирована на Android 5.0, Android 7.0, Android 9.0, Android 10.0 и эмуляторе Nox Player с версией Android 5.1.1 (API 22).

Более подробно (особенно интересно происходит правка AndroidManifest.xml): https://www.orderofsixangles.com/ru/2020/07/04/Infecting-android-app-the-new-way.html

PoC: https://github.com/thatskriptkid/apk-infector-Archinome-PoC

Подробности реализации теневых атак на PDF-документы.

Позволяют изменять визуальное содержимое подписанных электронной подписью PDF, не "ломая" при этом саму подпись.

Реализуются следующим образом. Злоумышленник создает документ с двумя различными содержаниями: первое - содержимое, которое ожидается стороной, подписывающей документ, второе - то, что должна увидеть жертва при открытии. В PDF также вставляется вредоносный JS-код, отвечающий за подмену легитимного содержимого и биндится, например, на закрытие файла.

Сторона, отвечающая за подпись, открывает файл, видит легитимное содержимое, и подписывает его. Перед самым закрытием, срабатывает код и подменяет визуальное содержимое на то, что увидит жертва. PDF-файл отправляется обратно к злоумышленнику и тот использует его уже по своему назначению.

Подробности публично представлены в феврале. Подвержены 16 средств для просмотра PDF, в том числе Adobe Acrobat, Perfect PDF, Foxit Reader и Okular.

PoC: https://github.com/RUB-NDS/pdf-attacker

На XSS публиковали статью про злоупотребление DNS для общения с C2-сервером в обход брандмауэров и антивирусов. В ней говорилось о том, что ввиду слабого контроля над протоколом, его можно использовать для передачи полезной нагрузки, оставаясь "невидимым" для систем сетевой безопасности.

Наткнулся на комнату на THM, посвященную эксфильтрации и инфильтрации DNS https://www.tryhackme.com/room/dnsmanipulation.

Предлагают на практике перехватить файл со сгенерированными банковскими картами, предварительно закодировав (base64 + base58) и обфусцировав данные для передачи на скомпрометированный узел.