Если в публичных программах на H1 большинство простых багов уже найдено, и ты один из тех, кто, начитавшись кучу статей о "топ баунти" совершил ошибку выжившего, то не все ещё потеряно.
Шанс найти ту или иную уязвимость даже на сервисе крупной компании повышает его апдейт, а ещё - релиз собственного мобильного приложения. Тут действительно есть что поискать, учитывая, насколько снижается конкуренция.
Зачастую известным багхантерам уже не так интересно ради нескольких сотен вечнозелёных искать простые баги, а остальным - банально лень настраивать окружение, либо знакомиться с чем-либо, отличным от веба.
https://telegra.ph/Uchimsya-nahodit-uyazvimosti-v-Android-prilozheniyah-na-primere-DIVA-03-02
Шанс найти ту или иную уязвимость даже на сервисе крупной компании повышает его апдейт, а ещё - релиз собственного мобильного приложения. Тут действительно есть что поискать, учитывая, насколько снижается конкуренция.
Зачастую известным багхантерам уже не так интересно ради нескольких сотен вечнозелёных искать простые баги, а остальным - банально лень настраивать окружение, либо знакомиться с чем-либо, отличным от веба.
https://telegra.ph/Uchimsya-nahodit-uyazvimosti-v-Android-prilozheniyah-na-primere-DIVA-03-02
Telegraph
Учимся находить уязвимости в Android-приложениях на примере DIVA
Damn Insecure Vulnerable App (DIVA) - это невероятно уязвимое приложение, предназначенное, чтобы познакомить вас с типовыми багами, которые можно повстречать на платформе Android. Давайте учиться на практике! Шаг 1. Скачайте DIVA по ссылке, распакуйте и установите.…
Все чаще пользователи Android-смартфонов становятся жертвами вредоносов из официального магазина приложений. Не смотря на меры безопасности, реализуемые Google, многим билдам удается официально опубликоваться и набрать сотни тысяч установок еще до того, как их удалят из репозитория. Как им это удается?
Joker - один из известнейших троянов, распространяющийся с 2016 года. Маскируясь под видом легитимного приложения, вредонос подгружает "тело" вируса спустя несколько часов после установки, благодаря бэкдору в исходном коде оригинальной программы.
Такой подход использует не только он - это одна из самых известных хитростей, использующихся для загрузки троянов в Google Play. В сегодняшней статье я расскажу о том, как ее можно реализовать, и как распознать уже инфицированное приложение из магазина.
https://telegra.ph/Behkdory-v-Android-prilozheniyah-sozdanie-i-zashchita-03-08
P.S.: Еще один популярный тип шпионского ПО - Stalkerware, о котором я писал тут - https://t.me/cybred/54
Joker - один из известнейших троянов, распространяющийся с 2016 года. Маскируясь под видом легитимного приложения, вредонос подгружает "тело" вируса спустя несколько часов после установки, благодаря бэкдору в исходном коде оригинальной программы.
Такой подход использует не только он - это одна из самых известных хитростей, использующихся для загрузки троянов в Google Play. В сегодняшней статье я расскажу о том, как ее можно реализовать, и как распознать уже инфицированное приложение из магазина.
https://telegra.ph/Behkdory-v-Android-prilozheniyah-sozdanie-i-zashchita-03-08
P.S.: Еще один популярный тип шпионского ПО - Stalkerware, о котором я писал тут - https://t.me/cybred/54
Telegraph
Бэкдоры в Android-приложениях: создание и защита
Все мы знаем классические рекомендации о безопасности на рабочем месте: установите антивирус, не переходите по подозрительным ссылкам, не заходите на сомнительные сайты. Параноики еще могут наклеить стикер на веб-камеру своего ноутбука, ведь такие вещи нельзя…
Прошло два года с момента создания поисковика открытых хранилищ Amazon и Azure https://grayhatwarfare.com/, сегодня вышло его обновление. Разработчики проиндексировали общедоступные сокращенные ссылки и добавили возможность поиска как по ним, так и по их расшифрованным представлениям.
На момент написания поста в базе собрано более 445 миллионов строк. Все ссылки, ведущие на несуществующие страницы или сайты, отвечающие ложным 200 кодом ответа, удаляются. На основе Content-Type определяется расширение конечных файлов.
Поддерживается фильтрация:
- по домену и ключевым словам
- по расширению и дате обнаружения
- по размеру (если ссылка ведет на файл)
На момент написания поста в базе собрано более 445 миллионов строк. Все ссылки, ведущие на несуществующие страницы или сайты, отвечающие ложным 200 кодом ответа, удаляются. На основе Content-Type определяется расширение конечных файлов.
Поддерживается фильтрация:
- по домену и ключевым словам
- по расширению и дате обнаружения
- по размеру (если ссылка ведет на файл)
Cybred
Все чаще пользователи Android-смартфонов становятся жертвами вредоносов из официального магазина приложений. Не смотря на меры безопасности, реализуемые Google, многим билдам удается официально опубликоваться и набрать сотни тысяч установок еще до того, как…
Используемый в статье метод декодирует приложение до smail-кода, а затем выполняет его патчинг - это наиболее известный и самый распространенный способ внедрения вредоносного кода, не лишенный массы недостатков.
При его использовании происходит изменение оригинального classesN.dex, которое приводит к невозможности выполнения приложения из-за нарушения целостности DEX-файлов (в случае их проверки).
Рисерчер и сам утверждает, что способ сильно устарел, и он решил использовать его только для наглядного изображения того, как можно заполучить доступ к чужому устройству при помощи создания простейшего бэкдора в уже готовом приложении.
Автор канала @OrderOfSixAngles написал собственный инфектор, призванный решить вышеописанные проблемы. Он подразумевает выполнение вредоносного кода при старте, а также сохранение всех этапов процесса запуска оригинального приложения.
Внедрение пэйлоада происходит в стадии алгоритма cold start:Application Object creation->Application Object Constructor при первом старте программы. Преимущества данного подхода в том, что он позволяет применить необходимые модификации к APK:
1. Без дизассемблирования/сборки DEX
2. Без декодирования/кодирования манифеста
3. Без внесения изменений в оригинальные DEX файлы
При его применении можно заражать практически любые существующие приложения, без ограничений. Описанная техника не зависит от архитектуры и версии Android, а также успешно протестирована на Android 5.0, Android 7.0, Android 9.0, Android 10.0 и эмуляторе Nox Player с версией Android 5.1.1 (API 22).
Более подробно (особенно интересно происходит правка AndroidManifest.xml): https://www.orderofsixangles.com/ru/2020/07/04/Infecting-android-app-the-new-way.html
PoC: https://github.com/thatskriptkid/apk-infector-Archinome-PoC
При его использовании происходит изменение оригинального classesN.dex, которое приводит к невозможности выполнения приложения из-за нарушения целостности DEX-файлов (в случае их проверки).
Рисерчер и сам утверждает, что способ сильно устарел, и он решил использовать его только для наглядного изображения того, как можно заполучить доступ к чужому устройству при помощи создания простейшего бэкдора в уже готовом приложении.
Автор канала @OrderOfSixAngles написал собственный инфектор, призванный решить вышеописанные проблемы. Он подразумевает выполнение вредоносного кода при старте, а также сохранение всех этапов процесса запуска оригинального приложения.
Внедрение пэйлоада происходит в стадии алгоритма cold start:Application Object creation->Application Object Constructor при первом старте программы. Преимущества данного подхода в том, что он позволяет применить необходимые модификации к APK:
1. Без дизассемблирования/сборки DEX
2. Без декодирования/кодирования манифеста
3. Без внесения изменений в оригинальные DEX файлы
При его применении можно заражать практически любые существующие приложения, без ограничений. Описанная техника не зависит от архитектуры и версии Android, а также успешно протестирована на Android 5.0, Android 7.0, Android 9.0, Android 10.0 и эмуляторе Nox Player с версией Android 5.1.1 (API 22).
Более подробно (особенно интересно происходит правка AndroidManifest.xml): https://www.orderofsixangles.com/ru/2020/07/04/Infecting-android-app-the-new-way.html
PoC: https://github.com/thatskriptkid/apk-infector-Archinome-PoC
Order Of Six Angles
Новый способ внедрения вредоносного кода в андроид приложения
Предисловие Недостатки текущего подхода Описание нового подхода Преимущества нового подхода Выявление необходимых модификаций в AndroidManifest.xml и патчинг Создание файлов, для внедрения в целевое приложение Выявление необходимых модификаций в DEX и патчинг…
Shadow Attacks Hiding and Replacing Content in Signed PDFs.pdf
1.3 MB
Подробности реализации теневых атак на PDF-документы.
Позволяют изменять визуальное содержимое подписанных электронной подписью PDF, не "ломая" при этом саму подпись.
Реализуются следующим образом. Злоумышленник создает документ с двумя различными содержаниями: первое - содержимое, которое ожидается стороной, подписывающей документ, второе - то, что должна увидеть жертва при открытии. В PDF также вставляется вредоносный JS-код, отвечающий за подмену легитимного содержимого и биндится, например, на закрытие файла.
Сторона, отвечающая за подпись, открывает файл, видит легитимное содержимое, и подписывает его. Перед самым закрытием, срабатывает код и подменяет визуальное содержимое на то, что увидит жертва. PDF-файл отправляется обратно к злоумышленнику и тот использует его уже по своему назначению.
Подробности публично представлены в феврале. Подвержены 16 средств для просмотра PDF, в том числе Adobe Acrobat, Perfect PDF, Foxit Reader и Okular.
PoC: https://github.com/RUB-NDS/pdf-attacker
Позволяют изменять визуальное содержимое подписанных электронной подписью PDF, не "ломая" при этом саму подпись.
Реализуются следующим образом. Злоумышленник создает документ с двумя различными содержаниями: первое - содержимое, которое ожидается стороной, подписывающей документ, второе - то, что должна увидеть жертва при открытии. В PDF также вставляется вредоносный JS-код, отвечающий за подмену легитимного содержимого и биндится, например, на закрытие файла.
Сторона, отвечающая за подпись, открывает файл, видит легитимное содержимое, и подписывает его. Перед самым закрытием, срабатывает код и подменяет визуальное содержимое на то, что увидит жертва. PDF-файл отправляется обратно к злоумышленнику и тот использует его уже по своему назначению.
Подробности публично представлены в феврале. Подвержены 16 средств для просмотра PDF, в том числе Adobe Acrobat, Perfect PDF, Foxit Reader и Okular.
PoC: https://github.com/RUB-NDS/pdf-attacker
На XSS публиковали статью про злоупотребление DNS для общения с C2-сервером в обход брандмауэров и антивирусов. В ней говорилось о том, что ввиду слабого контроля над протоколом, его можно использовать для передачи полезной нагрузки, оставаясь "невидимым" для систем сетевой безопасности.
Наткнулся на комнату на THM, посвященную эксфильтрации и инфильтрации DNS https://www.tryhackme.com/room/dnsmanipulation.
Предлагают на практике перехватить файл со сгенерированными банковскими картами, предварительно закодировав (base64 + base58) и обфусцировав данные для передачи на скомпрометированный узел.
Наткнулся на комнату на THM, посвященную эксфильтрации и инфильтрации DNS https://www.tryhackme.com/room/dnsmanipulation.
Предлагают на практике перехватить файл со сгенерированными банковскими картами, предварительно закодировав (base64 + base58) и обфусцировав данные для передачи на скомпрометированный узел.
TryHackMe
DNS Manipulation
Manipulating DNS queries to our advantage
Лица счастливые, ситуация страшная
В частности, каждая такая карточка содержит:
- ФИО пациента
- дату рождения
- клинику
- номер партии
- марку вакцины
#johnsonandjohnson
#vaccinated
#astrazeneca
#igottheshot
#moderna
#covidvaccine
#sinopharm
...
тысячи их
В частности, каждая такая карточка содержит:
- ФИО пациента
- дату рождения
- клинику
- номер партии
- марку вакцины
#johnsonandjohnson
#vaccinated
#astrazeneca
#igottheshot
#moderna
#covidvaccine
#sinopharm
...
тысячи их
На прошлой неделе H&M выпилили изо всех китайских сервисов из-за того, что компания присоединилась к заявлению "мы поддерживаем требования перестать угнетать уйгуров в Китае".
Сегодня H&M нету ни в поисковой выдаче Baidu, ни в Taobao, ни в WeChat. Невозможно найти магазины на картах или заказать до них такси в DiDi Kuaidi.
Китайское правительство обвиняет H&M в том, что они распространяют ложные сведения, ведь, по их словам, в стране хоть и существуют изоляторы, но все права человека в них соблюдаются беспрекословно.
Журналисты BBC посетили один такой лагерь лично и сняли на основе увиденного репортаж. Правительство заранее пригласило их в "образцовую тюрьму", но даже она выглядит жутковато.
Больший интерес представляют открытые источники и разведка на основе спутниковых данных. Более 200 наземных объектов, крематории для сжигания трупов, тысячи снесенных бульдозерами мечетей и святынь в расследовании Techjournalist.
Сегодня H&M нету ни в поисковой выдаче Baidu, ни в Taobao, ни в WeChat. Невозможно найти магазины на картах или заказать до них такси в DiDi Kuaidi.
Китайское правительство обвиняет H&M в том, что они распространяют ложные сведения, ведь, по их словам, в стране хоть и существуют изоляторы, но все права человека в них соблюдаются беспрекословно.
Журналисты BBC посетили один такой лагерь лично и сняли на основе увиденного репортаж. Правительство заранее пригласило их в "образцовую тюрьму", но даже она выглядит жутковато.
Больший интерес представляют открытые источники и разведка на основе спутниковых данных. Более 200 наземных объектов, крематории для сжигания трупов, тысячи снесенных бульдозерами мечетей и святынь в расследовании Techjournalist.
Medium
Open-source satellite data to investigate Xinjiang concentration camps
The second part of a series discussing techniques on how to analyse the dire human rights situation in Xinjiang’s camps
phonerator - инструмент от создателя утилиты email2phonenumber, позволяющий генерировать реально существующие номера телефонов по маске. Поддерживает фильтрацию по местоположению и оператору, а также экспорт в .vcf для дальнейшего импорта в телефонную книгу.
Создан, в том числе, для "извлечения общедоступных сведений с некоторых платформ, используя их особенности" https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/ 😅
Пока что только американские номера.
Создан, в том числе, для "извлечения общедоступных сведений с некоторых платформ, используя их особенности" https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/ 😅
Пока что только американские номера.
Hunter.io обновился и теперь поддерживает поиск Email'а автора конкретной публикации.
Указываете URL какой-либо статьи и на выходе получаете имя и фамилию автора вместе с его корпоративным ящиком.
Работает как с англоязычными публикациями, так и публикациями на других языках. Затестил на рандомной статье с bellingcat.com и ее эквиваленте на русском.
Вместе с тем обнаружил странность самого сайта bellingcat - в русскоязычной версии по какой-то причине не отображается аватарка автора.
На статье Левиева из Conflict Intelligence Team сервис тоже исправно отработал, даже подтянул и другие публикации из его старого бложика на livejournal - источники, из которых удалось спарсить Email.
Указываете URL какой-либо статьи и на выходе получаете имя и фамилию автора вместе с его корпоративным ящиком.
Работает как с англоязычными публикациями, так и публикациями на других языках. Затестил на рандомной статье с bellingcat.com и ее эквиваленте на русском.
Вместе с тем обнаружил странность самого сайта bellingcat - в русскоязычной версии по какой-то причине не отображается аватарка автора.
На статье Левиева из Conflict Intelligence Team сервис тоже исправно отработал, даже подтянул и другие публикации из его старого бложика на livejournal - источники, из которых удалось спарсить Email.
Forwarded from Order of Six Angles
Обзор кастомных протоколов общения с c2 популярных rat
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
Zscaler
Analysis of top non-HTTP/S threats | Zscaler Blog
In this article, Zscaler security research team dissect the custom protocols used in some of the most prevalent RATs seen in recent campaigns. Read more.
Forwarded from Inside
Выпуск 3.2021
Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».
Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU
Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».
Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU