This media is not supported in your browser
VIEW IN TELEGRAM
Adamantium-Thief
[https://github.com/LimerBoy/Adamantium-Thief]
FireFox-Thief
[https://github.com/LimerBoy/FireFox-Thief]
Приложения, позволяющие получить данные из chromium и firefox браузеров: пароли, данные кредитных карт, историю, файлы cookie, закладки, автозаполнение.
• Chromium browsers list: Google Chrome, Opera, Chromium, Brave-Browser, Epic Privacy Browser, Amigo, Vivaldi, Sputnik, Yandex(old) и др.
• Firefox browsers list: Firefox, Waterfox, Cyberfox, Thunderbird, IceDragon и др.
#browser #history #password #forensic
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
[https://github.com/LimerBoy/Adamantium-Thief]
FireFox-Thief
[https://github.com/LimerBoy/FireFox-Thief]
Приложения, позволяющие получить данные из chromium и firefox браузеров: пароли, данные кредитных карт, историю, файлы cookie, закладки, автозаполнение.
• Chromium browsers list: Google Chrome, Opera, Chromium, Brave-Browser, Epic Privacy Browser, Amigo, Vivaldi, Sputnik, Yandex(old) и др.
• Firefox browsers list: Firefox, Waterfox, Cyberfox, Thunderbird, IceDragon и др.
#browser #history #password #forensic
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
WindowsTimeline
[https://kacos2000.github.io/WindowsTimeline/]
приложение, позволяющее просмотреть данные файла ActivitiesCache.db (\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\), которые содержит различные типы активности пользователя. Для работы необходима System.Data.SQLite.dll.
• Декодирует текст буфера обмена
• Сопоставляет информацию об устройстве с данными из реестра (HKCU или NTuser.dat)
• Опционально экспортирует вывод в .csv
• Совместим с Windows 1703/1709/1803/1809/1903/1909/2004 и др.
• В дополнение приложение Clippy, которое извлекает текущие и удаленные текстовые записи буфера обмена
#forensic #timeline #windows
[https://kacos2000.github.io/WindowsTimeline/]
приложение, позволяющее просмотреть данные файла ActivitiesCache.db (\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\), которые содержит различные типы активности пользователя. Для работы необходима System.Data.SQLite.dll.
• Декодирует текст буфера обмена
• Сопоставляет информацию об устройстве с данными из реестра (HKCU или NTuser.dat)
• Опционально экспортирует вывод в .csv
• Совместим с Windows 1703/1709/1803/1809/1903/1909/2004 и др.
• В дополнение приложение Clippy, которое извлекает текущие и удаленные текстовые записи буфера обмена
#forensic #timeline #windows
Набор утилит для анализа Cobalt Strike beacon
Злоумышленники зачастую используют Cobalt Strike для эксплуатации и постэксплуатации. В качестве полезной нагрузки используется «маяк» (beacon). Маяк устанавливается на целевую машину, обеспечивает устойчивый удаленный доступ к скомпрометированным устройствам и большую часть времени находится в состоянии сна. В связи с этим его очень непросто обнаружить. Связь между скомпрометированной машиной и злоумышленником (сервером Cobalt Strike (C2)) шифруется с помощью ключа AES. Этот ключ можно использовать для расшифровки метаданных и трафика, который создается полезной нагрузкой. Данные инструменты позволяют детектировать активность злоумышленника с помощью анализа конфигурации маяка, дешифровки метаданных и трафика, а также извлечения ключей из памяти процесса (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump).
• 1768.py [https://blog.didierstevens.com/2021/11/21/update-1768-py-version-0-0-10/] -
• cs-decrypt-metadata.py [https://blog.didierstevens.com/2021/11/12/update-cs-decrypt-metadata-py-version-0-0-2/]
• cs-parse-http-traffic.py [https://github.com/DidierStevens/Beta/blob/master/cs-parse-http-traffic.py]
• cs-analyze-processdump.py [https://blog.didierstevens.com/2021/11/25/new-tool-cs-analyze-processdump-py/]
• cs-extract-key.py [https://blog.didierstevens.com/2021/11/03/new-tool-cs-extract-key-py/]
Конкретный пример использования инструментов можно увидеть здесь - https://www.youtube.com/watch?v=VkRQTRtwJW8
#network #forensic #python
Злоумышленники зачастую используют Cobalt Strike для эксплуатации и постэксплуатации. В качестве полезной нагрузки используется «маяк» (beacon). Маяк устанавливается на целевую машину, обеспечивает устойчивый удаленный доступ к скомпрометированным устройствам и большую часть времени находится в состоянии сна. В связи с этим его очень непросто обнаружить. Связь между скомпрометированной машиной и злоумышленником (сервером Cobalt Strike (C2)) шифруется с помощью ключа AES. Этот ключ можно использовать для расшифровки метаданных и трафика, который создается полезной нагрузкой. Данные инструменты позволяют детектировать активность злоумышленника с помощью анализа конфигурации маяка, дешифровки метаданных и трафика, а также извлечения ключей из памяти процесса (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump).
• 1768.py [https://blog.didierstevens.com/2021/11/21/update-1768-py-version-0-0-10/] -
• cs-decrypt-metadata.py [https://blog.didierstevens.com/2021/11/12/update-cs-decrypt-metadata-py-version-0-0-2/]
• cs-parse-http-traffic.py [https://github.com/DidierStevens/Beta/blob/master/cs-parse-http-traffic.py]
• cs-analyze-processdump.py [https://blog.didierstevens.com/2021/11/25/new-tool-cs-analyze-processdump-py/]
• cs-extract-key.py [https://blog.didierstevens.com/2021/11/03/new-tool-cs-extract-key-py/]
Конкретный пример использования инструментов можно увидеть здесь - https://www.youtube.com/watch?v=VkRQTRtwJW8
#network #forensic #python
Analyze MFT
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
GitHub
GitHub - rowingdude/analyzeMFT: analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results…
analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results as accurately as possible in multiple formats. - rowingdude/analyzeMFT
malware-traffic-analysis
[https://www.malware-traffic-analysis.net/index.html]
набор файлов сетевого трафика pcap, содержащих действия образцов вредоносных программ. Отлично подойдет для изучения криминалистического анализа сетевого трафика.
• с 2013 года опубликовано уже 1800 записей
• помимо файлов pcap предоставляет массу полезного учебного материала - https://www.malware-traffic-analysis.net/tutorials/index.html
#network #forensic
[https://www.malware-traffic-analysis.net/index.html]
набор файлов сетевого трафика pcap, содержащих действия образцов вредоносных программ. Отлично подойдет для изучения криминалистического анализа сетевого трафика.
• с 2013 года опубликовано уже 1800 записей
• помимо файлов pcap предоставляет массу полезного учебного материала - https://www.malware-traffic-analysis.net/tutorials/index.html
#network #forensic
TheHive
[https://github.com/TheHive-Project/TheHive]
масштабируемая система менеджмента инцидентов безопасности, предназначенная для SOC, CSIRT, CERT специалистов, да и любых специалистов ИБ, занимающихся реагированием на инциденты и расследованием. Состоит из двух модулей: сам TheHive для регистрации, обработки и работы над инцидентами и Cortex для анализа и обогащения информации десятков, а то и сотен наблюдаемых данных. Очень удобно для работы в команде.
• поддержка различных модулей аутентификации (LDAP, AD, OAUTH2)
• мощный модуль статистики
• реализованы различные стратегии работы: изолированная и многопользовательская среды
• различные профили пользователей (RBAC), связанных с расследованием
• интегрируется с MISP
#forensic #dfir
[https://github.com/TheHive-Project/TheHive]
масштабируемая система менеджмента инцидентов безопасности, предназначенная для SOC, CSIRT, CERT специалистов, да и любых специалистов ИБ, занимающихся реагированием на инциденты и расследованием. Состоит из двух модулей: сам TheHive для регистрации, обработки и работы над инцидентами и Cortex для анализа и обогащения информации десятков, а то и сотен наблюдаемых данных. Очень удобно для работы в команде.
• поддержка различных модулей аутентификации (LDAP, AD, OAUTH2)
• мощный модуль статистики
• реализованы различные стратегии работы: изолированная и многопользовательская среды
• различные профили пользователей (RBAC), связанных с расследованием
• интегрируется с MISP
#forensic #dfir
The CFReDS Project
[https://cfreds-archive.nist.gov/]
Эталонные наборы данных компьютерной криминалистики для обучения. Предлагают исследователю документированные наборы смоделированных кейсов для решения задач по криминалистическому анализу данных . Создатели выделяют четыре наиболее очевидных варианта применения - это тестирование криминалистических инструментов, установление исправности оборудования, проверка навыков в определенных областях и обучение персонала. Например, в деле об утечке данных, вы столкнётесь с образом ноутбука Dell, который предположительно использовался для кражи интеллектуальной собственности.
#forensic #image #digital
[https://cfreds-archive.nist.gov/]
Эталонные наборы данных компьютерной криминалистики для обучения. Предлагают исследователю документированные наборы смоделированных кейсов для решения задач по криминалистическому анализу данных . Создатели выделяют четыре наиболее очевидных варианта применения - это тестирование криминалистических инструментов, установление исправности оборудования, проверка навыков в определенных областях и обучение персонала. Например, в деле об утечке данных, вы столкнётесь с образом ноутбука Dell, который предположительно использовался для кражи интеллектуальной собственности.
#forensic #image #digital
Репозиторий с материалами цифровой криминалистики
[https://github.com/frankwxu/digital-forensics-lab]
Практические лаборатории и учебный материал по цифровой криминалистике, предназначенные для студентов и преподавателей
• Все кейсы основаны исключительно на Kali Linux
• Для каждого кейса есть презентация со скриншотами инструкций.
• Охватывает множество тем по цифровой криминалистике
• Все упоминаемые инструменты с открытым исходным кодом
• В наличии формализованные криминалистические экспертизы в файлах JSON
#forensic #linux #digital
[https://github.com/frankwxu/digital-forensics-lab]
Практические лаборатории и учебный материал по цифровой криминалистике, предназначенные для студентов и преподавателей
• Все кейсы основаны исключительно на Kali Linux
• Для каждого кейса есть презентация со скриншотами инструкций.
• Охватывает множество тем по цифровой криминалистике
• Все упоминаемые инструменты с открытым исходным кодом
• В наличии формализованные криминалистические экспертизы в файлах JSON
#forensic #linux #digital
GitHub
GitHub - frankwxu/digital-forensics-lab: Free hands-on digital forensics labs for students and faculty
Free hands-on digital forensics labs for students and faculty - frankwxu/digital-forensics-lab
Forwarded from BeholderIsHere Media HUB (Beholder Is Here)
Еще в 2020, я писал про этот интересный проект [ t.me/forensictools/47 ] позволяющий по звуку клавиатуры распознать нажатые клавиши. Тогда это было похоже на интересный эусперемент, но авто не ковырялся пальцем в носу а всячески работал дальше над этим проектом. И вот уже спустя 2 года, проект дожил до своей третьей версии с очень наглядной демонстрацией [ keytap3.ggerganov.com ]
Потенциал подобного я думаю не надо для вас разьеснять :)
Потенциал подобного я думаю не надо для вас разьеснять :)
Forwarded from 0% Privacy
|Investigating an engineering workstation|
🤙Шизо на связи.
🕵️♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.
Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).
Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.
Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.
Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3
🤙The Shizo is in touch.
🕵️♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.
By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation script on python (click).
As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.
According to the author, a new article about the analysis of network traffic during activity research will be published soon.
Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3
#forensic #investigation
🤙Шизо на связи.
🕵️♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.
Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).
Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.
Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.
Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3
🤙The Shizo is in touch.
🕵️♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.
By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation script on python (click).
As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.
According to the author, a new article about the analysis of network traffic during activity research will be published soon.
Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3
#forensic #investigation