Shadow Attacks Hiding and Replacing Content in Signed PDFs.pdf
1.3 MB
Подробности реализации теневых атак на PDF-документы.
Позволяют изменять визуальное содержимое подписанных электронной подписью PDF, не "ломая" при этом саму подпись.
Реализуются следующим образом. Злоумышленник создает документ с двумя различными содержаниями: первое - содержимое, которое ожидается стороной, подписывающей документ, второе - то, что должна увидеть жертва при открытии. В PDF также вставляется вредоносный JS-код, отвечающий за подмену легитимного содержимого и биндится, например, на закрытие файла.
Сторона, отвечающая за подпись, открывает файл, видит легитимное содержимое, и подписывает его. Перед самым закрытием, срабатывает код и подменяет визуальное содержимое на то, что увидит жертва. PDF-файл отправляется обратно к злоумышленнику и тот использует его уже по своему назначению.
Подробности публично представлены в феврале. Подвержены 16 средств для просмотра PDF, в том числе Adobe Acrobat, Perfect PDF, Foxit Reader и Okular.
PoC: https://github.com/RUB-NDS/pdf-attacker
Позволяют изменять визуальное содержимое подписанных электронной подписью PDF, не "ломая" при этом саму подпись.
Реализуются следующим образом. Злоумышленник создает документ с двумя различными содержаниями: первое - содержимое, которое ожидается стороной, подписывающей документ, второе - то, что должна увидеть жертва при открытии. В PDF также вставляется вредоносный JS-код, отвечающий за подмену легитимного содержимого и биндится, например, на закрытие файла.
Сторона, отвечающая за подпись, открывает файл, видит легитимное содержимое, и подписывает его. Перед самым закрытием, срабатывает код и подменяет визуальное содержимое на то, что увидит жертва. PDF-файл отправляется обратно к злоумышленнику и тот использует его уже по своему назначению.
Подробности публично представлены в феврале. Подвержены 16 средств для просмотра PDF, в том числе Adobe Acrobat, Perfect PDF, Foxit Reader и Okular.
PoC: https://github.com/RUB-NDS/pdf-attacker
На XSS публиковали статью про злоупотребление DNS для общения с C2-сервером в обход брандмауэров и антивирусов. В ней говорилось о том, что ввиду слабого контроля над протоколом, его можно использовать для передачи полезной нагрузки, оставаясь "невидимым" для систем сетевой безопасности.
Наткнулся на комнату на THM, посвященную эксфильтрации и инфильтрации DNS https://www.tryhackme.com/room/dnsmanipulation.
Предлагают на практике перехватить файл со сгенерированными банковскими картами, предварительно закодировав (base64 + base58) и обфусцировав данные для передачи на скомпрометированный узел.
Наткнулся на комнату на THM, посвященную эксфильтрации и инфильтрации DNS https://www.tryhackme.com/room/dnsmanipulation.
Предлагают на практике перехватить файл со сгенерированными банковскими картами, предварительно закодировав (base64 + base58) и обфусцировав данные для передачи на скомпрометированный узел.
TryHackMe
DNS Manipulation
Manipulating DNS queries to our advantage
Лица счастливые, ситуация страшная
В частности, каждая такая карточка содержит:
- ФИО пациента
- дату рождения
- клинику
- номер партии
- марку вакцины
#johnsonandjohnson
#vaccinated
#astrazeneca
#igottheshot
#moderna
#covidvaccine
#sinopharm
...
тысячи их
В частности, каждая такая карточка содержит:
- ФИО пациента
- дату рождения
- клинику
- номер партии
- марку вакцины
#johnsonandjohnson
#vaccinated
#astrazeneca
#igottheshot
#moderna
#covidvaccine
#sinopharm
...
тысячи их
На прошлой неделе H&M выпилили изо всех китайских сервисов из-за того, что компания присоединилась к заявлению "мы поддерживаем требования перестать угнетать уйгуров в Китае".
Сегодня H&M нету ни в поисковой выдаче Baidu, ни в Taobao, ни в WeChat. Невозможно найти магазины на картах или заказать до них такси в DiDi Kuaidi.
Китайское правительство обвиняет H&M в том, что они распространяют ложные сведения, ведь, по их словам, в стране хоть и существуют изоляторы, но все права человека в них соблюдаются беспрекословно.
Журналисты BBC посетили один такой лагерь лично и сняли на основе увиденного репортаж. Правительство заранее пригласило их в "образцовую тюрьму", но даже она выглядит жутковато.
Больший интерес представляют открытые источники и разведка на основе спутниковых данных. Более 200 наземных объектов, крематории для сжигания трупов, тысячи снесенных бульдозерами мечетей и святынь в расследовании Techjournalist.
Сегодня H&M нету ни в поисковой выдаче Baidu, ни в Taobao, ни в WeChat. Невозможно найти магазины на картах или заказать до них такси в DiDi Kuaidi.
Китайское правительство обвиняет H&M в том, что они распространяют ложные сведения, ведь, по их словам, в стране хоть и существуют изоляторы, но все права человека в них соблюдаются беспрекословно.
Журналисты BBC посетили один такой лагерь лично и сняли на основе увиденного репортаж. Правительство заранее пригласило их в "образцовую тюрьму", но даже она выглядит жутковато.
Больший интерес представляют открытые источники и разведка на основе спутниковых данных. Более 200 наземных объектов, крематории для сжигания трупов, тысячи снесенных бульдозерами мечетей и святынь в расследовании Techjournalist.
Medium
Open-source satellite data to investigate Xinjiang concentration camps
The second part of a series discussing techniques on how to analyse the dire human rights situation in Xinjiang’s camps
phonerator - инструмент от создателя утилиты email2phonenumber, позволяющий генерировать реально существующие номера телефонов по маске. Поддерживает фильтрацию по местоположению и оператору, а также экспорт в .vcf для дальнейшего импорта в телефонную книгу.
Создан, в том числе, для "извлечения общедоступных сведений с некоторых платформ, используя их особенности" https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/ 😅
Пока что только американские номера.
Создан, в том числе, для "извлечения общедоступных сведений с некоторых платформ, используя их особенности" https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/ 😅
Пока что только американские номера.
Hunter.io обновился и теперь поддерживает поиск Email'а автора конкретной публикации.
Указываете URL какой-либо статьи и на выходе получаете имя и фамилию автора вместе с его корпоративным ящиком.
Работает как с англоязычными публикациями, так и публикациями на других языках. Затестил на рандомной статье с bellingcat.com и ее эквиваленте на русском.
Вместе с тем обнаружил странность самого сайта bellingcat - в русскоязычной версии по какой-то причине не отображается аватарка автора.
На статье Левиева из Conflict Intelligence Team сервис тоже исправно отработал, даже подтянул и другие публикации из его старого бложика на livejournal - источники, из которых удалось спарсить Email.
Указываете URL какой-либо статьи и на выходе получаете имя и фамилию автора вместе с его корпоративным ящиком.
Работает как с англоязычными публикациями, так и публикациями на других языках. Затестил на рандомной статье с bellingcat.com и ее эквиваленте на русском.
Вместе с тем обнаружил странность самого сайта bellingcat - в русскоязычной версии по какой-то причине не отображается аватарка автора.
На статье Левиева из Conflict Intelligence Team сервис тоже исправно отработал, даже подтянул и другие публикации из его старого бложика на livejournal - источники, из которых удалось спарсить Email.
Forwarded from Order of Six Angles
Обзор кастомных протоколов общения с c2 популярных rat
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
Zscaler
Analysis of top non-HTTP/S threats | Zscaler Blog
In this article, Zscaler security research team dissect the custom protocols used in some of the most prevalent RATs seen in recent campaigns. Read more.
Forwarded from Inside
Выпуск 3.2021
Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».
Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU
Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».
Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU
Некоторое время назад в одном из каналов я наткнулся на крякнутую программу для распознавания каптч. К тому моменту, как я ее скачал, разработчик кряка уже успел отключить его и добавить редирект на свой канал, в котором он, за значительно меньшую стоимость предлагал купить свой "кряк с долгоиграющей поддержкой".
На русскоязычном рынке существует две известные программы для распознавания каптч: CapMonster и Xevil. Стоят они около 40$ за младшую версию с некоторыми ограничениями и, как утверждают разработчики, помогают экономить на сервисах ручного распознавания. Работу, к слову, на таких сайтах, кроме как энтузиазмом никак не назовешь - 20 рублей платят "работникам" за 1000 разгаданных каптч.
Сами же программы можно разделить на два модуля - модуль распознавания (OCR) и сервер, эмулирующий вышеназванные сервисы. Каждая из программ, после запуска вносит соответствующие правки в файл hosts, чтобы перенаправлять запросы, отправляемые к API Antigate или Rucaptcha, на себя.
Вместо того, чтобы платить за полную версию, "ознакомиться" предварительно со всем функционалом можно, указав торчащие наружу IP серверов уже купленных программ:
<IP> api.antigate.com
<IP> api.anti-captcha.com
<IP> antigate.com
<IP> www.antigate.com
<IP> anti-captcha.com
<IP> www.anti-captcha.com
На русскоязычном рынке существует две известные программы для распознавания каптч: CapMonster и Xevil. Стоят они около 40$ за младшую версию с некоторыми ограничениями и, как утверждают разработчики, помогают экономить на сервисах ручного распознавания. Работу, к слову, на таких сайтах, кроме как энтузиазмом никак не назовешь - 20 рублей платят "работникам" за 1000 разгаданных каптч.
Сами же программы можно разделить на два модуля - модуль распознавания (OCR) и сервер, эмулирующий вышеназванные сервисы. Каждая из программ, после запуска вносит соответствующие правки в файл hosts, чтобы перенаправлять запросы, отправляемые к API Antigate или Rucaptcha, на себя.
Вместо того, чтобы платить за полную версию, "ознакомиться" предварительно со всем функционалом можно, указав торчащие наружу IP серверов уже купленных программ:
http.html:"Здесь живёт Xevil!"hosts
<IP> api.antigate.com
<IP> api.anti-captcha.com
<IP> antigate.com
<IP> www.antigate.com
<IP> anti-captcha.com
<IP> www.anti-captcha.com
