«Перестаньте читать Ашота» (с) Omnipotent, владелец raidforums.com
https://therecord.media/what-its-like-to-run-a-hacking-forum-a-conversation-with-raidforums-owner-omnipotent/
https://therecord.media/what-its-like-to-run-a-hacking-forum-a-conversation-with-raidforums-owner-omnipotent/
The Record
What It’s Like to Run a Hacking Forum: A Conversation With RaidForums Owner Omnipotent
Omnipotent talked with Recorded Future expert threat intelligence analyst Dmitry Smilyanets about why he started RaidForums.
Forwarded from OSINT mindset
OSINT mindset
🕵️♂️ Обновление инструмента для поиска по нику Maigret: - более 2000 сайтов - экспорт отчётов в PDF, HTML и майндкарты XMind - улучшенный парсинг популярных сайтов и определение вероятных персональных данных 🔥 И самое главное -- установить теперь можно одной…
Я как-то вам уже рассказывал о Maigret. Это лучший на данный момент бесплатный инструмент для разведки на основе открытых источников по никнеймам.
Помимо того, что его база расширилась до более чем 2000 сайтов, благодаря продвинутому движку парсинга для всех ресурсов, обозначенных в maigret/maigret/resources/data.json, вы самостоятельно, не обладая знаниями программирования, можете добавлять собственные сайты, указав пару ключей в этом файле.
Поддерживается также многопоточность, что критично при работе с таким большим списком и отчеты, благодаря которым вы можете сохранять результаты поисков в удобно читаемом формате.
Осталось проапгрейдить до веб-интерфейса для пользователей, не привыкших работать с отчетами, как это сделал, например, woj-ciech в своих проектах, и добавить возможность создания отложенных задач 😉
Помимо того, что его база расширилась до более чем 2000 сайтов, благодаря продвинутому движку парсинга для всех ресурсов, обозначенных в maigret/maigret/resources/data.json, вы самостоятельно, не обладая знаниями программирования, можете добавлять собственные сайты, указав пару ключей в этом файле.
Поддерживается также многопоточность, что критично при работе с таким большим списком и отчеты, благодаря которым вы можете сохранять результаты поисков в удобно читаемом формате.
Осталось проапгрейдить до веб-интерфейса для пользователей, не привыкших работать с отчетами, как это сделал, например, woj-ciech в своих проектах, и добавить возможность создания отложенных задач 😉
Давно я ничего не писал, а особенно давно не писал о бб.
Пару недель назад мне посчастливилось найти две критичных баги на одном критосервисе: одна из них заключалась в возможности обхода 2FA при авторизации / взаимодействии с валютами, другая - открывала доступ прямиком в админ-панель без пароля.
Обе этих баги - очень простые, их буквально мог обнаружить практически любой пользователь. Дабы обезопасить балансы, на сайте имелась возможность включения 2FA на основе соответствующих кодов из мобильных приложений. Звучало безопасно до тех пор, пока я не решил ввести "123456". Данные неправильно валидировались на сервере и абсолютно любой код считался истинным.
Другой баг был несколько необычным. Один из эндпоинтов, следовавший за подтверждением аккаунта, должен был возвращать обновленные Access и Refresh JWT-токены, необходимые для активности в личном кабинете. На вход принимались куки со старыми токенами, создающимися после заполнения формы регистрации, перед тем, как пользователь подтвердит почту.
Я решил попробовать отправить запрос без них, дабы лицезреть ошибку или редирект на главную, однако, сайт все равно вернул пару JWT. Сначала я не понял от какого они аккаунта, однако попробовал зайти в личный кабинет и обнаружил в профиле ФИО одного из создателей сервиса, вместе с привязанной корпоративной почтой и балансом в несколько тысяч $.
Затем я вышел из него, подождал некоторое время и повторил запрос - опять валидные токены, на этот раз от другого аккаунта. И так я повторял до тех пор, пока, наконец, не дошел до аккаунта с максимальными привилегиями. Их уровень возвращался уже в другом запросе, вместе с доменами, на который они распространяются (объект resource/role). Так я нашел URL админки, зайдя в которую, я сразу же оказался авторизованным, благодаря ранее подхваченным токенам.
Шелл залить я не пытался, в админке можно было следующее: просмотреть всех пользователей, которые были зарегистрированны, историю их транзакций, документы (KYC). Доступ открывался также к изменению паролей, управлению блогом (с возможностью HTML-вставок), чатом и просмотру активности, в целом.
Итого: 0.4btc (пруфов не будет), вывод блечить в таких случаях или нет каждый делает сам 🤗
Пару недель назад мне посчастливилось найти две критичных баги на одном критосервисе: одна из них заключалась в возможности обхода 2FA при авторизации / взаимодействии с валютами, другая - открывала доступ прямиком в админ-панель без пароля.
Обе этих баги - очень простые, их буквально мог обнаружить практически любой пользователь. Дабы обезопасить балансы, на сайте имелась возможность включения 2FA на основе соответствующих кодов из мобильных приложений. Звучало безопасно до тех пор, пока я не решил ввести "123456". Данные неправильно валидировались на сервере и абсолютно любой код считался истинным.
Другой баг был несколько необычным. Один из эндпоинтов, следовавший за подтверждением аккаунта, должен был возвращать обновленные Access и Refresh JWT-токены, необходимые для активности в личном кабинете. На вход принимались куки со старыми токенами, создающимися после заполнения формы регистрации, перед тем, как пользователь подтвердит почту.
Я решил попробовать отправить запрос без них, дабы лицезреть ошибку или редирект на главную, однако, сайт все равно вернул пару JWT. Сначала я не понял от какого они аккаунта, однако попробовал зайти в личный кабинет и обнаружил в профиле ФИО одного из создателей сервиса, вместе с привязанной корпоративной почтой и балансом в несколько тысяч $.
Затем я вышел из него, подождал некоторое время и повторил запрос - опять валидные токены, на этот раз от другого аккаунта. И так я повторял до тех пор, пока, наконец, не дошел до аккаунта с максимальными привилегиями. Их уровень возвращался уже в другом запросе, вместе с доменами, на который они распространяются (объект resource/role). Так я нашел URL админки, зайдя в которую, я сразу же оказался авторизованным, благодаря ранее подхваченным токенам.
Шелл залить я не пытался, в админке можно было следующее: просмотреть всех пользователей, которые были зарегистрированны, историю их транзакций, документы (KYC). Доступ открывался также к изменению паролей, управлению блогом (с возможностью HTML-вставок), чатом и просмотру активности, в целом.
Итого: 0.4btc (пруфов не будет), вывод блечить в таких случаях или нет каждый делает сам 🤗
Если в публичных программах на H1 большинство простых багов уже найдено, и ты один из тех, кто, начитавшись кучу статей о "топ баунти" совершил ошибку выжившего, то не все ещё потеряно.
Шанс найти ту или иную уязвимость даже на сервисе крупной компании повышает его апдейт, а ещё - релиз собственного мобильного приложения. Тут действительно есть что поискать, учитывая, насколько снижается конкуренция.
Зачастую известным багхантерам уже не так интересно ради нескольких сотен вечнозелёных искать простые баги, а остальным - банально лень настраивать окружение, либо знакомиться с чем-либо, отличным от веба.
https://telegra.ph/Uchimsya-nahodit-uyazvimosti-v-Android-prilozheniyah-na-primere-DIVA-03-02
Шанс найти ту или иную уязвимость даже на сервисе крупной компании повышает его апдейт, а ещё - релиз собственного мобильного приложения. Тут действительно есть что поискать, учитывая, насколько снижается конкуренция.
Зачастую известным багхантерам уже не так интересно ради нескольких сотен вечнозелёных искать простые баги, а остальным - банально лень настраивать окружение, либо знакомиться с чем-либо, отличным от веба.
https://telegra.ph/Uchimsya-nahodit-uyazvimosti-v-Android-prilozheniyah-na-primere-DIVA-03-02
Telegraph
Учимся находить уязвимости в Android-приложениях на примере DIVA
Damn Insecure Vulnerable App (DIVA) - это невероятно уязвимое приложение, предназначенное, чтобы познакомить вас с типовыми багами, которые можно повстречать на платформе Android. Давайте учиться на практике! Шаг 1. Скачайте DIVA по ссылке, распакуйте и установите.…
Все чаще пользователи Android-смартфонов становятся жертвами вредоносов из официального магазина приложений. Не смотря на меры безопасности, реализуемые Google, многим билдам удается официально опубликоваться и набрать сотни тысяч установок еще до того, как их удалят из репозитория. Как им это удается?
Joker - один из известнейших троянов, распространяющийся с 2016 года. Маскируясь под видом легитимного приложения, вредонос подгружает "тело" вируса спустя несколько часов после установки, благодаря бэкдору в исходном коде оригинальной программы.
Такой подход использует не только он - это одна из самых известных хитростей, использующихся для загрузки троянов в Google Play. В сегодняшней статье я расскажу о том, как ее можно реализовать, и как распознать уже инфицированное приложение из магазина.
https://telegra.ph/Behkdory-v-Android-prilozheniyah-sozdanie-i-zashchita-03-08
P.S.: Еще один популярный тип шпионского ПО - Stalkerware, о котором я писал тут - https://t.me/cybred/54
Joker - один из известнейших троянов, распространяющийся с 2016 года. Маскируясь под видом легитимного приложения, вредонос подгружает "тело" вируса спустя несколько часов после установки, благодаря бэкдору в исходном коде оригинальной программы.
Такой подход использует не только он - это одна из самых известных хитростей, использующихся для загрузки троянов в Google Play. В сегодняшней статье я расскажу о том, как ее можно реализовать, и как распознать уже инфицированное приложение из магазина.
https://telegra.ph/Behkdory-v-Android-prilozheniyah-sozdanie-i-zashchita-03-08
P.S.: Еще один популярный тип шпионского ПО - Stalkerware, о котором я писал тут - https://t.me/cybred/54
Telegraph
Бэкдоры в Android-приложениях: создание и защита
Все мы знаем классические рекомендации о безопасности на рабочем месте: установите антивирус, не переходите по подозрительным ссылкам, не заходите на сомнительные сайты. Параноики еще могут наклеить стикер на веб-камеру своего ноутбука, ведь такие вещи нельзя…
Прошло два года с момента создания поисковика открытых хранилищ Amazon и Azure https://grayhatwarfare.com/, сегодня вышло его обновление. Разработчики проиндексировали общедоступные сокращенные ссылки и добавили возможность поиска как по ним, так и по их расшифрованным представлениям.
На момент написания поста в базе собрано более 445 миллионов строк. Все ссылки, ведущие на несуществующие страницы или сайты, отвечающие ложным 200 кодом ответа, удаляются. На основе Content-Type определяется расширение конечных файлов.
Поддерживается фильтрация:
- по домену и ключевым словам
- по расширению и дате обнаружения
- по размеру (если ссылка ведет на файл)
На момент написания поста в базе собрано более 445 миллионов строк. Все ссылки, ведущие на несуществующие страницы или сайты, отвечающие ложным 200 кодом ответа, удаляются. На основе Content-Type определяется расширение конечных файлов.
Поддерживается фильтрация:
- по домену и ключевым словам
- по расширению и дате обнаружения
- по размеру (если ссылка ведет на файл)
Cybred
Все чаще пользователи Android-смартфонов становятся жертвами вредоносов из официального магазина приложений. Не смотря на меры безопасности, реализуемые Google, многим билдам удается официально опубликоваться и набрать сотни тысяч установок еще до того, как…
Используемый в статье метод декодирует приложение до smail-кода, а затем выполняет его патчинг - это наиболее известный и самый распространенный способ внедрения вредоносного кода, не лишенный массы недостатков.
При его использовании происходит изменение оригинального classesN.dex, которое приводит к невозможности выполнения приложения из-за нарушения целостности DEX-файлов (в случае их проверки).
Рисерчер и сам утверждает, что способ сильно устарел, и он решил использовать его только для наглядного изображения того, как можно заполучить доступ к чужому устройству при помощи создания простейшего бэкдора в уже готовом приложении.
Автор канала @OrderOfSixAngles написал собственный инфектор, призванный решить вышеописанные проблемы. Он подразумевает выполнение вредоносного кода при старте, а также сохранение всех этапов процесса запуска оригинального приложения.
Внедрение пэйлоада происходит в стадии алгоритма cold start:Application Object creation->Application Object Constructor при первом старте программы. Преимущества данного подхода в том, что он позволяет применить необходимые модификации к APK:
1. Без дизассемблирования/сборки DEX
2. Без декодирования/кодирования манифеста
3. Без внесения изменений в оригинальные DEX файлы
При его применении можно заражать практически любые существующие приложения, без ограничений. Описанная техника не зависит от архитектуры и версии Android, а также успешно протестирована на Android 5.0, Android 7.0, Android 9.0, Android 10.0 и эмуляторе Nox Player с версией Android 5.1.1 (API 22).
Более подробно (особенно интересно происходит правка AndroidManifest.xml): https://www.orderofsixangles.com/ru/2020/07/04/Infecting-android-app-the-new-way.html
PoC: https://github.com/thatskriptkid/apk-infector-Archinome-PoC
При его использовании происходит изменение оригинального classesN.dex, которое приводит к невозможности выполнения приложения из-за нарушения целостности DEX-файлов (в случае их проверки).
Рисерчер и сам утверждает, что способ сильно устарел, и он решил использовать его только для наглядного изображения того, как можно заполучить доступ к чужому устройству при помощи создания простейшего бэкдора в уже готовом приложении.
Автор канала @OrderOfSixAngles написал собственный инфектор, призванный решить вышеописанные проблемы. Он подразумевает выполнение вредоносного кода при старте, а также сохранение всех этапов процесса запуска оригинального приложения.
Внедрение пэйлоада происходит в стадии алгоритма cold start:Application Object creation->Application Object Constructor при первом старте программы. Преимущества данного подхода в том, что он позволяет применить необходимые модификации к APK:
1. Без дизассемблирования/сборки DEX
2. Без декодирования/кодирования манифеста
3. Без внесения изменений в оригинальные DEX файлы
При его применении можно заражать практически любые существующие приложения, без ограничений. Описанная техника не зависит от архитектуры и версии Android, а также успешно протестирована на Android 5.0, Android 7.0, Android 9.0, Android 10.0 и эмуляторе Nox Player с версией Android 5.1.1 (API 22).
Более подробно (особенно интересно происходит правка AndroidManifest.xml): https://www.orderofsixangles.com/ru/2020/07/04/Infecting-android-app-the-new-way.html
PoC: https://github.com/thatskriptkid/apk-infector-Archinome-PoC
Order Of Six Angles
Новый способ внедрения вредоносного кода в андроид приложения
Предисловие Недостатки текущего подхода Описание нового подхода Преимущества нового подхода Выявление необходимых модификаций в AndroidManifest.xml и патчинг Создание файлов, для внедрения в целевое приложение Выявление необходимых модификаций в DEX и патчинг…
Shadow Attacks Hiding and Replacing Content in Signed PDFs.pdf
1.3 MB
Подробности реализации теневых атак на PDF-документы.
Позволяют изменять визуальное содержимое подписанных электронной подписью PDF, не "ломая" при этом саму подпись.
Реализуются следующим образом. Злоумышленник создает документ с двумя различными содержаниями: первое - содержимое, которое ожидается стороной, подписывающей документ, второе - то, что должна увидеть жертва при открытии. В PDF также вставляется вредоносный JS-код, отвечающий за подмену легитимного содержимого и биндится, например, на закрытие файла.
Сторона, отвечающая за подпись, открывает файл, видит легитимное содержимое, и подписывает его. Перед самым закрытием, срабатывает код и подменяет визуальное содержимое на то, что увидит жертва. PDF-файл отправляется обратно к злоумышленнику и тот использует его уже по своему назначению.
Подробности публично представлены в феврале. Подвержены 16 средств для просмотра PDF, в том числе Adobe Acrobat, Perfect PDF, Foxit Reader и Okular.
PoC: https://github.com/RUB-NDS/pdf-attacker
Позволяют изменять визуальное содержимое подписанных электронной подписью PDF, не "ломая" при этом саму подпись.
Реализуются следующим образом. Злоумышленник создает документ с двумя различными содержаниями: первое - содержимое, которое ожидается стороной, подписывающей документ, второе - то, что должна увидеть жертва при открытии. В PDF также вставляется вредоносный JS-код, отвечающий за подмену легитимного содержимого и биндится, например, на закрытие файла.
Сторона, отвечающая за подпись, открывает файл, видит легитимное содержимое, и подписывает его. Перед самым закрытием, срабатывает код и подменяет визуальное содержимое на то, что увидит жертва. PDF-файл отправляется обратно к злоумышленнику и тот использует его уже по своему назначению.
Подробности публично представлены в феврале. Подвержены 16 средств для просмотра PDF, в том числе Adobe Acrobat, Perfect PDF, Foxit Reader и Okular.
PoC: https://github.com/RUB-NDS/pdf-attacker
На XSS публиковали статью про злоупотребление DNS для общения с C2-сервером в обход брандмауэров и антивирусов. В ней говорилось о том, что ввиду слабого контроля над протоколом, его можно использовать для передачи полезной нагрузки, оставаясь "невидимым" для систем сетевой безопасности.
Наткнулся на комнату на THM, посвященную эксфильтрации и инфильтрации DNS https://www.tryhackme.com/room/dnsmanipulation.
Предлагают на практике перехватить файл со сгенерированными банковскими картами, предварительно закодировав (base64 + base58) и обфусцировав данные для передачи на скомпрометированный узел.
Наткнулся на комнату на THM, посвященную эксфильтрации и инфильтрации DNS https://www.tryhackme.com/room/dnsmanipulation.
Предлагают на практике перехватить файл со сгенерированными банковскими картами, предварительно закодировав (base64 + base58) и обфусцировав данные для передачи на скомпрометированный узел.
TryHackMe
DNS Manipulation
Manipulating DNS queries to our advantage
Лица счастливые, ситуация страшная
В частности, каждая такая карточка содержит:
- ФИО пациента
- дату рождения
- клинику
- номер партии
- марку вакцины
#johnsonandjohnson
#vaccinated
#astrazeneca
#igottheshot
#moderna
#covidvaccine
#sinopharm
...
тысячи их
В частности, каждая такая карточка содержит:
- ФИО пациента
- дату рождения
- клинику
- номер партии
- марку вакцины
#johnsonandjohnson
#vaccinated
#astrazeneca
#igottheshot
#moderna
#covidvaccine
#sinopharm
...
тысячи их
На прошлой неделе H&M выпилили изо всех китайских сервисов из-за того, что компания присоединилась к заявлению "мы поддерживаем требования перестать угнетать уйгуров в Китае".
Сегодня H&M нету ни в поисковой выдаче Baidu, ни в Taobao, ни в WeChat. Невозможно найти магазины на картах или заказать до них такси в DiDi Kuaidi.
Китайское правительство обвиняет H&M в том, что они распространяют ложные сведения, ведь, по их словам, в стране хоть и существуют изоляторы, но все права человека в них соблюдаются беспрекословно.
Журналисты BBC посетили один такой лагерь лично и сняли на основе увиденного репортаж. Правительство заранее пригласило их в "образцовую тюрьму", но даже она выглядит жутковато.
Больший интерес представляют открытые источники и разведка на основе спутниковых данных. Более 200 наземных объектов, крематории для сжигания трупов, тысячи снесенных бульдозерами мечетей и святынь в расследовании Techjournalist.
Сегодня H&M нету ни в поисковой выдаче Baidu, ни в Taobao, ни в WeChat. Невозможно найти магазины на картах или заказать до них такси в DiDi Kuaidi.
Китайское правительство обвиняет H&M в том, что они распространяют ложные сведения, ведь, по их словам, в стране хоть и существуют изоляторы, но все права человека в них соблюдаются беспрекословно.
Журналисты BBC посетили один такой лагерь лично и сняли на основе увиденного репортаж. Правительство заранее пригласило их в "образцовую тюрьму", но даже она выглядит жутковато.
Больший интерес представляют открытые источники и разведка на основе спутниковых данных. Более 200 наземных объектов, крематории для сжигания трупов, тысячи снесенных бульдозерами мечетей и святынь в расследовании Techjournalist.
Medium
Open-source satellite data to investigate Xinjiang concentration camps
The second part of a series discussing techniques on how to analyse the dire human rights situation in Xinjiang’s camps
phonerator - инструмент от создателя утилиты email2phonenumber, позволяющий генерировать реально существующие номера телефонов по маске. Поддерживает фильтрацию по местоположению и оператору, а также экспорт в .vcf для дальнейшего импорта в телефонную книгу.
Создан, в том числе, для "извлечения общедоступных сведений с некоторых платформ, используя их особенности" https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/ 😅
Пока что только американские номера.
Создан, в том числе, для "извлечения общедоступных сведений с некоторых платформ, используя их особенности" https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/ 😅
Пока что только американские номера.