Web attacks payloads collections

https://0xsp.com/offensive/web-attacks-payloads-collections

История отца конференций DEF CON и Black Hat, техконсультанта сериала "Мистер Робот" и специалиста по инфобезопасности, очень много сделавшего для хакерского сообщества - Джеффа Мосса

Оригинал
Перевод

#mcafee #howto

https://www.youtube.com/watch?v=bKgf5PaBzyg

⁠
Отчет о прошедшем Open SysConf’21

Открытая идея, как продолжение идеи Open SysConf, которая направлена на шаринг знаний, awareness в области ИТ всех заинтересованных людей, инициировало создание данного документа, в котором формально выражены ответы на полученный фидбек, анализ прошедшего мероприятия, организационные аспекты.

• https://docs.google.com/document/d/1uIRJFHdDoBORmM4DpwejoHKc7EToyY_nftQsWe-NMO4/edit?usp=sharing

Доп. ссылки:
• Оставить фидбек можно здесь - https://docs.google.com/forms/d/e/1FAIpQLScixOHh5pCNJseuRT4a04B1703vC8ux5Btrba2rismJ-lUwJA/viewform?usp=sf_link
• Стрим был здесь - https://t.me/sysadm_in_channel/3199
• Сайт - https://sysconf.io

Всем Peace ✌️
⁠

thx @quadrapassel for sharing these amazing tools https://github.com/projectdiscovery

#OSCP #cheatsheet
https://codeby.net/threads/doroga-k-oscp-utility-i-ssylki.67218/

Знаете что у малвари есть свой bazaar? Все самые последние семплы малвари можно скачать себе для исследования.

Пример: поиск зловредных doc файлов

https://bazaar.abuse.ch/browse.php?search=file_type%3Adoc

Pegasus Documentation

https://s3.documentcloud.org/documents/4599753/NSO-Pegasus.pdf.

https://blog.qualys.com/vulnerabilities-threat-research/2021/07/20/sequoia-a-local-privilege-escalation-vulnerability-in-linuxs-filesystem-layer-cve-2021-33909

Exploit PoC:
https://github.com/Liang2580/CVE-2021-33909

Госблечеры

Весь мир последние несколько дней обсуждает NSO Group.
Западная твиттерская общественность вдруг всколыхнулась: оказывается, какая-то израильская лавка поставляет кибероружие различным нехорошим людям, и они потом с его помощью убивают людей.

На самом деле, это, конечно, не единственная такая лавка, но одна из самых известных и наглых. И не случайно она находится в Израиле: это страна, которая одновременно и инновационная Startup Nation, и милитаристская держава, поэтому там среди IT-компаний непропорционально много тех, которые занимаются именно кибербезопасностью.

И из них, в свою очередь, непропорционально много тех, которые занимаются тем, что называется offensive security: разработка продуктов и исследования в интересах спецслужб.
Понятно, что совсем кому угодно продать продать оружие им вроде как не должны разрешать, а значит, всё это должно происходить с одобрения старших (Моссад, АНБ, ЦРУ).

Всегда считал все эти лавки "блечерами" (black hats): они существуют официально, но являются лишь квазилегитимными. Их деятельность поощряется спецслужбами конкретных стран, но вообще-то технически не отличается от деятельности какой-нибудь ОПГ, за которой гоняются, и участников которой потом сажают.
Отличие лишь в том, что у этих ОПГ вроде NSO Group есть крыша в виде спецслужбы, и вряд ли эти ребята ездят по курортам в недружественных странах.

Ах да: узнали о конкретных жертвах Pegasus, потому что какой-то добрый человек слил базу номеров телефонов жертв оружия NSO Group.
Похожая ситуация произошла в 2015 году с итальянской компанией того же offensive-профиля Hacking Team: их тогда взломали и слили в паблик вообще всё, включая всю почтовую переписку, инструменты и прочее.

Какие выводы можно сделать?
В мире есть несколько, скажем так, полу-преступных группировок, которые совершенно официально и легально продают инструменты для удалённого или локального взлома айфонов, компьютеров и прочего.
Продать их могут как всесильному АНБ, так и какому-нибудь банановому правительству, которое при помощи них отследит нелюбимого журналиста и замочит его.
А что с этим делает АНБ, журналисты даже писать боятся, наверное.

Если вы в группе риска (журналистика, политика, крупный бизнес) и пользуетесь айфоном, проследуйте хотя бы этим рекомендациям:
— Перезагружайте айфон каждый день (защита от persistance),
— Отключите iMessage, Facetime, Airdrop,
— Отключите Javascript в Safari,
— Вовремя обновляйте iOS,
— Используйте пасскод, отключите FaceID,
— Защитите iCloud

Если у вас вдруг андроид, рекомендации в целом аналогичны: обновления, пасскод, VPN, отключение максимального количества функций (bluetooth, javascript, и т. д.).

Black Hat USA 2021 Best Tools
====================
Most interesting releases from this year’s conference :
https://lnkd.in/d_FTFXVv
https://lnkd.in/dFRauCKb
https://lnkd.in/deV5fFmS
https://lnkd.in/dwEJ-eBD
https://lnkd.in/d8bB2FRb
https://lnkd.in/dbuYPw5B
https://lnkd.in/dwFXnT4c
https://lnkd.in/dCP-6dP6
https://lnkd.in/dUp6biM
https://lnkd.in/dD4tnCd
https://lnkd.in/dUTgkGKJ
https://lnkd.in/ds6q9TRw
https://lnkd.in/d8FTZ_Pm
https://lnkd.in/dVn73tHY
https://lnkd.in/duNftRgh
https://lnkd.in/dgUWmEjc
https://lnkd.in/d4QrG3tA
https://lnkd.in/dtS-JkGe
https://lnkd.in/dg2_5kN3
https://lnkd.in/dtYMsrur
https://lnkd.in/dnFr87Tf
#blackhat2021

Two DEF CON talks about eBPF-based rootkits

#1: "eBPF, I thought we were friends!" (video) by Guillaume Fournier and Sylvain Afchain
#2: "Warping Reality: Creating and Countering the Next Generation of Linux Rootkits" (video) by Pat Hogan

Both are about building a rootkit via malicious eBPF programs. The programs are constrained to what the verifier permits (i.e., no AARW), but the allowed functionality is enough to mess with userspace daemons for LPE and with network packets for C&C.

Code is Law

Второй день люди из мира DeFi в прямом эфире наблюдают за самым крупным хищением в истории не только блокчейна, но и вообще IT, финансовой системы, да и, может, в принципе человечества.

Некий анонимус спёр 611 (шестьсот одиннадцать) миллионов долларов США из китайского проекта poly.network.

Уязвимость, через которую они это сделали, сочетала в себе недостаток авторизации и хитрую особенность языка Solidity, на котором пишут смарт-контракты (а именно, способ вызова функций на уровне байт-кода).

В какой-то момент атакующему кто-то в комментарии к транзакции дал подсказку о том, что часть похищенных токенов начали блокировать, и в знак благодарности хакер переслал подсказчику 13.37 ETH. Всего $43k, а мог ведь и $4M перевести =)

В результате на кошельках атакующего появляются тысячи транзакций людей, умоляющих поделиться награбленным. Каждый мечтает о том, что Робин Гуд скинет жалкие $500k именно ему на счёт.

Сам же хакер там же просит у "подписчиков" советов, как ему поступить с деньгами. В какой-то момент он даже начал возвращать средства проекту, но почему-то до сих пор не вернул всё.

Как обычно, хищение вскрыло вечные философские вопросы...

Должны ли быть DeFi-проекты по-настоящему децентрализованы?
Тут, например, компания Tether заблокировала атакующему $30M кастодиальных токенов USDT. Это противоречит духу DeFi, но зато может помочь вернуть деньги.

Является ли код смарт-контракта законом в конечной инстанции, а следовательно, и взломы — правомерным поведением в рамках контракта?
Если да, то каким образом защищаться от бекдоров и закладывать в экономику проекта риски, которые заведомо признаются нормальным поведением кода?
Если нет, то на кой чёрт тогда блокчейн вместо централизованного сервиса?

Кто несёт ответственность за потери?
Взломанный проект вроде как аудировали несколько команд, и уязвимость эту они не нашли.
При этом авторы проекта даже не удосужились выложить его код и результаты аудитов, так что со стороны такой объём средств в проекте выглядит как полнейшая глупость со стороны пользователей.

По-моему, в "традиционных" индустриях давно нет такого драйва, крутых задач и веселья (да и взломов таких там просто не может быть :D).
Так что, в очередной раз призываю вливаться и вникать: ведь как бы вы ни относились к этому явлению, оно уже существует и создаёт возможности и проблемы =)