До того, как многие узнали о спортиках и начали наблюдать за их "творчеством" в Telegram, существовал отдельный сервис, определивший эту эпоху.
Началось еще все в далеком 2002 году, когда появился минималистичный сайт, который назвали Pastebin. Там можно было делиться длинными текстами, но была цензура.
Те, кому не нравилось, как их тексты удаляли, а аккаунты банили, начали создавать свои аналоги. Со временем, Pastebin стал не просто сайтом, а отдельной категорией друг на друга похожих сервисов, куда ты мог написать что угодно.
Потом появился знаменитый Exposed от "русских хакеров", а с его закрытием расцвел Doxbin. Его отличало то, что он был доступен из клирвеба, был анонимным (как потом выяснилось, это было не так), а значит и не выдавал инфу о своих пользователях (ее ведь не было?).
Благодаря этому, он быстро набрал популярность у теневых групп и стал одним из самых известных сайтов для доксинга, — места, где каждый день десятками страниц выкладывался компромат на кого угодно, и это поощрялось.
Дошло все до того, что в 2019 всеми известный журналист Брайан Кребс, который и сам любит делать нечто похожее, пожаловался на то, как там "белые супрематисты" призывают к терроризму, взламывают всякое и выкладывают данные агентов ФБР.
На днях Doxbin "закрыли". Опубликованное фото создателя, скорее всего, постановочное. А сам сервис, вероятно, возродится, как и BreachForums (напомню, его уже арестовывают не в первый раз).
Однако, это всего один сайт. Тот самый Pastebin без запрещенки, куча его клонов, и клонов Doxbin'а, все еще продолжают существовать.
И за то время, пока они существуют, начиная с двухтысячных, там скопилось много по-настоящему любопытной информации.
Вот небольшая подборка поисковиков по этим сервисам:
— RedHunt Labs Online IDE Search — полезен, чтобы искать NDA-исходники закрытых сервисов (когда разработчики ими делятся друг с другом), ищет более чем на 40 сайтов
— Pasta — многопоточный утилита на Python для поиска утечек по Pastebin со множеством опций
— Pastebin Search Engines — веб-поисковик от Cipher387, ориентированный на поиск дампов, API-ключей, токенов и персональных данных
— Sniff Paste — как Pasta, но для поиска в режиме реального времени, полезно использовать в процессе Threat Intelligence
— Pastebin Bisque — скрипт для дампа профилей с Pastebin.
— Awesome Pastebin — большой каталог сайтов из категории Pastebin.
Началось еще все в далеком 2002 году, когда появился минималистичный сайт, который назвали Pastebin. Там можно было делиться длинными текстами, но была цензура.
Те, кому не нравилось, как их тексты удаляли, а аккаунты банили, начали создавать свои аналоги. Со временем, Pastebin стал не просто сайтом, а отдельной категорией друг на друга похожих сервисов, куда ты мог написать что угодно.
Потом появился знаменитый Exposed от "русских хакеров", а с его закрытием расцвел Doxbin. Его отличало то, что он был доступен из клирвеба, был анонимным (как потом выяснилось, это было не так), а значит и не выдавал инфу о своих пользователях (ее ведь не было?).
Благодаря этому, он быстро набрал популярность у теневых групп и стал одним из самых известных сайтов для доксинга, — места, где каждый день десятками страниц выкладывался компромат на кого угодно, и это поощрялось.
Дошло все до того, что в 2019 всеми известный журналист Брайан Кребс, который и сам любит делать нечто похожее, пожаловался на то, как там "белые супрематисты" призывают к терроризму, взламывают всякое и выкладывают данные агентов ФБР.
На днях Doxbin "закрыли". Опубликованное фото создателя, скорее всего, постановочное. А сам сервис, вероятно, возродится, как и BreachForums (напомню, его уже арестовывают не в первый раз).
Однако, это всего один сайт. Тот самый Pastebin без запрещенки, куча его клонов, и клонов Doxbin'а, все еще продолжают существовать.
И за то время, пока они существуют, начиная с двухтысячных, там скопилось много по-настоящему любопытной информации.
Вот небольшая подборка поисковиков по этим сервисам:
— RedHunt Labs Online IDE Search — полезен, чтобы искать NDA-исходники закрытых сервисов (когда разработчики ими делятся друг с другом), ищет более чем на 40 сайтов
— Pasta — многопоточный утилита на Python для поиска утечек по Pastebin со множеством опций
— Pastebin Search Engines — веб-поисковик от Cipher387, ориентированный на поиск дампов, API-ключей, токенов и персональных данных
— Sniff Paste — как Pasta, но для поиска в режиме реального времени, полезно использовать в процессе Threat Intelligence
— Pastebin Bisque — скрипт для дампа профилей с Pastebin.
— Awesome Pastebin — большой каталог сайтов из категории Pastebin.
CVE-2024-22120 ToolKit
https://support.zabbix.com/browse/ZBX-24505
Скрипт получает сессию админа и прокидывает реверс-шелл.
Из админки Zabbix пользователь может выполнять заранее созданные скрипты (по умолчанию, ping и traceroute).
После выполнения скрипта, событие записывается в Audit Log. В событии есть поле с клиентским IP. Из-за того, что он не санитизируется, это приводит к SQL-инъекции.
https://support.zabbix.com/browse/ZBX-24505
Скрипт получает сессию админа и прокидывает реверс-шелл.
https://github.com/gh2o/bash_tls/
Минимальная (
Хорошее дополнением к теории The Illustrated TLS 1.2 Connection. Читаем и сравниваем.
Минимальная (
<1000 строк кода) реализация TLS 1.2 на чистом Bash.Хорошее дополнением к теории The Illustrated TLS 1.2 Connection. Читаем и сравниваем.
GitHub
GitHub - gh2o/bash_tls: A minimal TLS 1.2 client implementation in a pure Bash script
A minimal TLS 1.2 client implementation in a pure Bash script - gh2o/bash_tls
ChatGPT помог заработать $28 000 на 0-day.
Базовый XXE-пейлоад выглядит как-то так
Можно залить файл с таким содержимым на сервер и, если у либы, которая его распарсит, включена поддержка внешних сущностей, на выходе мы получим содержимое
Это касается библиотек, но не браузеров. Если вы откроете нечто подобное у себя в Chrome, то ничего не сработает, т.к. в нем
Но выяснился забавный факт.
Помимо XML, современные браузеры поддерживают еще много форматов, например, XSL. Это старая спека, которая является надстройкой над XML со своими директивами.
О нем и о том, что там тоже можно объявлять внешние сущности, почему-то все забыли, но напомнил ChatGPT. Он подсказал, что это можно делать с помощью директивы, вроде
которая подгрузит содержимое, вопреки всем запретам.
Поэтому полная цепочка выглядит так:
1. Создаем XSL пейлоад с функцией
2. Импортируем полученное содержимое как внешнюю сущность в
3. Готовый XML-пейлоад вставляем в SVG-картинку и используем по назначению ;)
💰 Выплаты
Apple (CVE-2023-40415):
Google (CVE-2023-4357):
Базовый XXE-пейлоад выглядит как-то так
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck><productId>&xxe;</productId></stockCheck>Можно залить файл с таким содержимым на сервер и, если у либы, которая его распарсит, включена поддержка внешних сущностей, на выходе мы получим содержимое
/etc/passwd.Это касается библиотек, но не браузеров. Если вы откроете нечто подобное у себя в Chrome, то ничего не сработает, т.к. в нем
external entities отключены по дефолту.Но выяснился забавный факт.
Помимо XML, современные браузеры поддерживают еще много форматов, например, XSL. Это старая спека, которая является надстройкой над XML со своими директивами.
О нем и о том, что там тоже можно объявлять внешние сущности, почему-то все забыли, но напомнил ChatGPT. Он подсказал, что это можно делать с помощью директивы, вроде
<xsl:copy-of select="document('file:///etc/passwd')"/>которая подгрузит содержимое, вопреки всем запретам.
Поэтому полная цепочка выглядит так:
1. Создаем XSL пейлоад с функцией
document()2. Импортируем полученное содержимое как внешнюю сущность в
XML3. Готовый XML-пейлоад вставляем в SVG-картинку и используем по назначению ;)
💰 Выплаты
Apple (CVE-2023-40415):
$25 000Google (CVE-2023-4357):
$3 000
“Incognito Market” Owner Arrested for Operating One of the Largest Illegal Narcotics Marketplaces on the Internet
Недавно арестовали владельца маркетплейса Incognito Market, который служил для продажи наркотиков. Сам сервис просуществовал 4 года, а совокупный доход превысил $100 млн.
Но забавно то, как нашли его владельца, ведь вычислить его удалось почти сразу же, как Incognito Market появился на свет.
7 мая 2021 — запрос в Google:
В тот же день на форуме появляется сообщение
3 сентября 2021 —
На следующий день в публичном чейнджлоге появляется запись
Потом идут еще некоторые фичи, которые точно также трейсили по запросам и посещениям в Google, вроде внутреннего чата и Cryptopunk-аватарок на сайте.
19 июля 2022 года в
А в
Кроме того, с криптокошелька, на который поступали грязные деньги, он оплатил домен для собственного сайта-порфолио https://rs.me, на котором называет себя
Арест произошел в аэропорту Джона Кеннеди, куда Линь прилетел в качестве туриста.
Недавно арестовали владельца маркетплейса Incognito Market, который служил для продажи наркотиков. Сам сервис просуществовал 4 года, а совокупный доход превысил $100 млн.
Но забавно то, как нашли его владельца, ведь вычислить его удалось почти сразу же, как Incognito Market появился на свет.
7 мая 2021 — запрос в Google:
one pixel attack for fooling deep neural networks github. В тот же день на форуме появляется сообщение
One pixel attacks should deem the spammers/DDoSers ML efforts to fail и ссылка на гитхаб, по которой он переходил.3 сентября 2021 —
slot game terminology, с 4 по 7 сентября — он уточняет подробности и кодит. На следующий день в публичном чейнджлоге появляется запись
Integrated online casino. А спустя неделю — уже и анонс от самого админа о появлении казино на сайте.Потом идут еще некоторые фичи, которые точно также трейсили по запросам и посещениям в Google, вроде внутреннего чата и Cryptopunk-аватарок на сайте.
19 июля 2022 года в
23:30 сервер уходит в оффлайн, причина — агенты ФБР отключают и дампят его содержимое. А в
00:18, 00:19, 00:20, и 00:23 Линь (владелец маркетплейса) начинает лихорадочно стучать по клавишам и гуглить со своей учетки pm2 crashed, view pm2 daemon logs, pm2 daemon logs и pm2 changelog, — за этим процессом, как и ранее, но уже в реальном времени наблюдают сотрудники спецслужбы.Кроме того, с криптокошелька, на который поступали грязные деньги, он оплатил домен для собственного сайта-порфолио https://rs.me, на котором называет себя
Backend & Blockchain Engineer, Monero Enthusiast и постит ссылку на свой Github, с PoW-Shield — системой защиты от DDOS атак, которую он написал, и использовал на сайте Incognito Market.Арест произошел в аэропорту Джона Кеннеди, куда Линь прилетел в качестве туриста.
CVE-2024-4367 – Arbitrary JavaScript execution in PDF.js
— встроенный вьювер в Firefox
— Node.js модуль pdfjs-dist
— сайты с предпросмотром PDF
— приложения на Electron.
И еще куча мест, где можно эксплуатировать XSS или RCE (в случае с Electron при определенных условиях), в PDF.js.
PoC: https://github.com/LOURC0D3/CVE-2024-4367-PoC
Ресерч: https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js
— встроенный вьювер в Firefox
— Node.js модуль pdfjs-dist
— сайты с предпросмотром PDF
— приложения на Electron.
И еще куча мест, где можно эксплуатировать XSS или RCE (в случае с Electron при определенных условиях), в PDF.js.
PoC: https://github.com/LOURC0D3/CVE-2024-4367-PoC
Ресерч: https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js
Karma Project
Альтернатива Глаза Бога от BadB. Можно искать по более чем 300 дампам, включая
Полностью бесплатно, без регистрации и СМС.
Они нам звонят и говорят: «У нас дохуя баз данных, нам нужно их объединять, нам нужен Data Lake». Я отвечаю: «Да вот, блять, чувак уже сделал! Нахуй вы дрочите велосипед!?»
Альтернатива Глаза Бога от BadB. Можно искать по более чем 300 дампам, включая
VKPay, Avito, Geekbrains, Сбербанк, Спортмастер, и, конечно, СДЭК.Полностью бесплатно, без регистрации и СМС.
https://github.com/SafeBreach-Labs/DoubleDrive
OneDrive как FUD Cloud Ransomware, код выложили только сейчас. Проломить учетку, слинкованную с конкретной машиной, и шифровать, жонглируя симлинками и API-запросами.
Доклад с Black Hat (преза): https://www.youtube.com/watch?v=O7y-b85HpSg
Текстовая версия: https://www.safebreach.com/blog/one-drive-double-agent-clouded-onedrive-turns-sides/
Многие шифровальщики похожи. EDR могут обнаружить их с помощью мониторинга процессов, которые изменяют много файлов, или отслеживания распространенных действий перед шифрованием, таких как удаление теневых копий.
Но что, если существует способ зашифровать все конфиденциальные данные не выполняя код на конечных устройствах?
Мы доказали, что это возможно.
OneDrive как FUD Cloud Ransomware, код выложили только сейчас. Проломить учетку, слинкованную с конкретной машиной, и шифровать, жонглируя симлинками и API-запросами.
Доклад с Black Hat (преза): https://www.youtube.com/watch?v=O7y-b85HpSg
Текстовая версия: https://www.safebreach.com/blog/one-drive-double-agent-clouded-onedrive-turns-sides/
GitHub
GitHub - SafeBreach-Labs/DoubleDrive: A fully-undetectable ransomware that utilizes OneDrive & Google Drive to encrypt target local…
A fully-undetectable ransomware that utilizes OneDrive & Google Drive to encrypt target local files - SafeBreach-Labs/DoubleDrive
Пример использования анонсированной функции Recall, которая скоро появится в стабильных версиях Windows и будет включена по-умолчанию.
Все данные из менеджера паролей были распознаны с помощью OCR и теперь хранятся в локальной базе данных
В стиллеры ее кражу добавят до официального релиза
Все данные из менеджера паролей были распознаны с помощью OCR и теперь хранятся в локальной базе данных
%LocalAppData%\CoreAIPlatform.00\UKP\{<UUID>}\ukg.db.В стиллеры ее кражу добавят до официального релиза
Cybred
Пример использования анонсированной функции Recall, которая скоро появится в стабильных версиях Windows и будет включена по-умолчанию. Все данные из менеджера паролей были распознаны с помощью OCR и теперь хранятся в локальной базе данных %LocalAppData%\…
TotalRecall
Утилита для поиска, извлечения и анализа всех собранных технологией Recall-данных. На выходе отдает снимки и текст, который удалось распознать, включая историю браузера, переписки, пароли и номера кредитных карт.
Принцип работы сводится к тому, чтобы собрать файлы из
Поддерживает фильтры по дате и ключевым словам, после выполнения работы создается готовый отчет.
Утилита для поиска, извлечения и анализа всех собранных технологией Recall-данных. На выходе отдает снимки и текст, который удалось распознать, включая историю браузера, переписки, пароли и номера кредитных карт.
Принцип работы сводится к тому, чтобы собрать файлы из
ImageStore, добавить к ним расширение .jpg, и получить скриншоты. Все остальное хранится плеинтекстом в SQLite.Поддерживает фильтры по дате и ключевым словам, после выполнения работы создается готовый отчет.
This media is not supported in your browser
VIEW IN TELEGRAM
🔐 Lockpicking без отмычек, алмазных сверл и термита.
гласит надпись на сайте компании ABUS, которая производит "надежные" замки.
Производят они их из собственный сплава, Titalium, о котором никто и никогда раньше не слышал, но который подозрительно созвучен и по написанию похож на титан, Titanium.
Очевидно, сделано это, чтобы обмануть покупателя. Вопреки влажным фантазиям, стоит зайти на их лендинг и сразу становится понятно, что так они назвали обычный алюминий.
Как бы они не хвалили его прочность, капля галлия превращает навесной замок из алюминия в подобие сухой глины, — благодаря реакции двух металлов, он становится настолько хрупким, что его можно раскрошить руками.
📹 Gallium vs. Titalium - Abus Padlock Meets a Gruesome End
Хотите надежно защитить свои вещи от кражи? Не сомневайтесь! С нашими навесными замками ваши вещи останутся там, где они должны быть.
гласит надпись на сайте компании ABUS, которая производит "надежные" замки.
Производят они их из собственный сплава, Titalium, о котором никто и никогда раньше не слышал, но который подозрительно созвучен и по написанию похож на титан, Titanium.
Очевидно, сделано это, чтобы обмануть покупателя. Вопреки влажным фантазиям, стоит зайти на их лендинг и сразу становится понятно, что так они назвали обычный алюминий.
Titalium основан на легком и прочном алюминиевом сплаве. В своих замках ABUS уделяет особое внимание максимальной устойчивости и малому весу.
Как бы они не хвалили его прочность, капля галлия превращает навесной замок из алюминия в подобие сухой глины, — благодаря реакции двух металлов, он становится настолько хрупким, что его можно раскрошить руками.
📹 Gallium vs. Titalium - Abus Padlock Meets a Gruesome End
APT Profiles
Краткое саммари в красивой обложке про APT из Китая, Ирана, США, России и Северной Кореи.
На каждую из угроз — свой файл с подробным, но небольшим описанием на несколько страниц.
Можно взглянуть и сразу понять:
— какие страны они атакуют
— что у них есть в арсенале
— самые крупные инциденты
У Беларуси, как выяснилось, тоже есть собственная группировка, — UNC1151. Но здесь она определена в категорию российской, поскольку является проксей, координируемой генералами ГРУ из России.
Довольно удобно, если вы интересуетесь только скоупом этих стран, но карточек пока маловато.
Краткое саммари в красивой обложке про APT из Китая, Ирана, США, России и Северной Кореи.
На каждую из угроз — свой файл с подробным, но небольшим описанием на несколько страниц.
Можно взглянуть и сразу понять:
— какие страны они атакуют
— что у них есть в арсенале
— самые крупные инциденты
У Беларуси, как выяснилось, тоже есть собственная группировка, — UNC1151. Но здесь она определена в категорию российской, поскольку является проксей, координируемой генералами ГРУ из России.
Довольно удобно, если вы интересуетесь только скоупом этих стран, но карточек пока маловато.
Взлом провайдера или как я получил доступ к миллионам устройств
Есть такая спецификация, TR-069 или CPE WAN. С помощью нее провайдер из специальной админки может отправить клиенту любой конфиг на его роутер.
Она не является священным граалем, а доступ к ней имеют тысячи "специалистов" техподдержки для помощи клиентам.
Попасть в админку = контролировать всех клиентов провайдера, а вместе с тем и перепрошить любой роутер.
Герой статьи, Сэм Карри, однажды обнаружил, что, когда он делает curl-запрос на AWS-сервер с собственного ПК, то спустя 10 секунд на этот же сервер приходил еще один точно такой же запрос, но уже с другого IP.
И это повторялось снова и снова.
Немного раскопав глубже, выяснилось, что кто-то встал между ним и провайдером и, вероятно, реализовал сценарий, о котором я писал в начале поста.
Вооружившись Burp'ом, Сэм смог повторить полный путь злоумышленника и повторно взломал провайдера, а вместе с тем получил доступ ко всем его клиентам, включая FBI.
Есть такая спецификация, TR-069 или CPE WAN. С помощью нее провайдер из специальной админки может отправить клиенту любой конфиг на его роутер.
Она не является священным граалем, а доступ к ней имеют тысячи "специалистов" техподдержки для помощи клиентам.
Попасть в админку = контролировать всех клиентов провайдера, а вместе с тем и перепрошить любой роутер.
Герой статьи, Сэм Карри, однажды обнаружил, что, когда он делает curl-запрос на AWS-сервер с собственного ПК, то спустя 10 секунд на этот же сервер приходил еще один точно такой же запрос, но уже с другого IP.
И это повторялось снова и снова.
Немного раскопав глубже, выяснилось, что кто-то встал между ним и провайдером и, вероятно, реализовал сценарий, о котором я писал в начале поста.
Вооружившись Burp'ом, Сэм смог повторить полный путь злоумышленника и повторно взломал провайдера, а вместе с тем получил доступ ко всем его клиентам, включая FBI.
Ищем самого разыскиваемого главаря банды, награда — $2 000 000
На фото — главарь банды Kraze Baryé, которого разыскивает ФБР. Он обвиняется в убийстве нескольких полицейских и многочисленных похищениях гаитянских миссионеров.
В это сложно поверить, но сегодня он входит в топ-10 самых разыскиваемых преступников в мире. За информацию, ведущую к его поимке, правоохранители обещают вознаграждение в размере до 2 миллионов долларов.
В этой статье, с помощью Google Earth и ориентировании на местности, мы найдем место, где он скрывается вместе со своими сообщниками.
На фото — главарь банды Kraze Baryé, которого разыскивает ФБР. Он обвиняется в убийстве нескольких полицейских и многочисленных похищениях гаитянских миссионеров.
В это сложно поверить, но сегодня он входит в топ-10 самых разыскиваемых преступников в мире. За информацию, ведущую к его поимке, правоохранители обещают вознаграждение в размере до 2 миллионов долларов.
В этой статье, с помощью Google Earth и ориентировании на местности, мы найдем место, где он скрывается вместе со своими сообщниками.
This media is not supported in your browser
VIEW IN TELEGRAM
Hunt3r Kill3rs and the Italian Critical Infrastructure risks
Иранские школьники, которых называют себя Cyber Av3ngers APT, мимикрируют под россиян, и ломают израильские ПЛК Unitronics.
В своих сообщениях на ломаном русском они рассказывают о том, как отключают водоочистные сооружения и другую критическую инфраструктуру, заявляя, что "атакуют Европу и НАТО за их преступления".
Помимо того, что у Unitronics отключена аутентификация по-умолчанию, так еще и недавно исследователи из Team 82 нашли 8 уязвимостей, цепочка из которых позволяет выполнить код удаленно в обход аутентификации (на случай, если ее все-таки кто-нибудь не забудет включить).
Зачем к ним открывать доступ из интернета — загадка. Но, как показывает Shodan, таких устройств действительно много (пора закрывать и обновляться). Исследование — тут,
Иранские школьники, которых называют себя Cyber Av3ngers APT, мимикрируют под россиян, и ломают израильские ПЛК Unitronics.
В своих сообщениях на ломаном русском они рассказывают о том, как отключают водоочистные сооружения и другую критическую инфраструктуру, заявляя, что "атакуют Европу и НАТО за их преступления".
Помимо того, что у Unitronics отключена аутентификация по-умолчанию, так еще и недавно исследователи из Team 82 нашли 8 уязвимостей, цепочка из которых позволяет выполнить код удаленно в обход аутентификации (на случай, если ее все-таки кто-нибудь не забудет включить).
Зачем к ним открывать доступ из интернета — загадка. Но, как показывает Shodan, таких устройств действительно много (пора закрывать и обновляться). Исследование — тут,