✋ Форензика: Использование Volatility для анализа оперативной памяти

В статье рассмотрим:
🔵Анализ дампа оперативной памяти
🔵Определение профиля
🔵Получение информацию о компьютере
— Процессы
— История браузера
— Список команд в консоли
— Полезный прием при анализе оперативной памяти
🔵Проверка информации
🔵Дамп памяти
— Извлечение картинок из дампа памяти

Сегодня разберем виртуальную машину от Capture The Flag (CTF) связанную с форензикой

В этой статье мы поговорим об анализе дампа оперативной памяти и рассмотрим одну довольно интересную особенность GIMP

⛓ https://spy-soft.net/ram-dump-forensic-analysis/

#Forensics #CTF #GIMP #Tools #Volatility ✈️ inf0

😂 Разработчики NGFW делятся воспоминаниями о начале проекта

#Meme #NGFW ✈️ inf0

🔎 Сетевой ARP сканер

Netdiscover – это инструмент для разведки активных и пассивных адресов, в основном разработанный для беспроводных сетей

Сканер может пассивно обнаруживать онлайн-хосты или искать их, активно отправляя запросы ARP

Netdiscover также можно использовать для проверки вашего сетевого ARP-трафика или поиска сетевых адресов с помощью режима автоматического сканирования, который будет сканировать общие локальные сети

⛓ https://github.com/netdiscover-scanner/netdiscover?ysclid=m37hucs1vn59323517

#Tools #Network #Scanner #Recon ✈️ inf0

😂 Получил сообщение — улетел в бан: как хакер заблокировал тысячи игроков

В октябре компания Activision заявила, что устранила ошибку в своей античит-системе, из-за которой якобы небольшое количество игроков ошибочно получили блокировки

Однако, по словам хакера под псевдонимом Vizor, на деле проблема оказалась куда серьёзнее — из-за уязвимости он смог собственноручно заблокировать тысячи игроков Call of Duty Modern Warfare 3, представляя их как читеров

Vizor рассказал изданию TechCrunch, что ему удалось манипулировать античит-системой таким образом, что даже обычные игроки автоматически считались нарушителями

Хакер признался, что ему было «забавно злоупотреблять уязвимостью», и отметил, что подобная схема могла оставаться незамеченной в течение многих лет, если бы он целился в неизвестных игроков

⛓ https://www.securitylab.ru/news/553781.php

#Attack #News #Vizor #Activision #Ricochet ✈️ inf0

✔️ Этическое руководство по компьютерному взлому

Это полное бесплатное руководство по хакерству для начинающих

В этой книге рассматриваются все основные и наиболее часто используемые взломанные устройства, а также методы или стратегии проведения атаки

Эта книга разъясняет новичкам все термины, чтобы они могли начать работу по хакерскому пути

#Book #Guide #Hacking ✈️ inf0

🧰 IaC и DevSecOps: выбираем лучшие инструменты анализа и защиты инфраструктурного кода

В этой статье будут рассмотрены:
🔵краткие теоретические сведения о подходе “Инфрастуркутра как кодˮ
🔵место безопасности IaC в цикле DevSecOps
🔵методы статического анализа конфигурационных файлов
🔵ключевые особенности работы с инструментом KICS

Infrastructure as Code (IaC) — это подход к автоматизации и управлению инфраструктурой через использование кода

Вместо ручной настройки и обслуживания инфраструктуры IaC позволяет разработчикам и системным администраторам управлять инфраструктурой с помощью программного кода, выполняя автоматическую установку, конфигурацию и развертывание через специализированные инструменты, такие как Ansible, Terraform, Puppet, Chef

⛓ https://habr.com/ru/companies/swordfish_security/articles/857302/

#DevSecOps #IaC #Tools ✈️ inf0

🌐 Волна жалоб поставила под угрозу работу Tor

В конце октября администраторы Tor, операторы ретрансляторов и даже команда Tor Project начали получать жалобы на якобы проводимое их серверами сканирование портов

❗️ Как выяснилось позже, злоумышленники использовали поддельные IP-адреса, чтобы отправлять ложные сообщения о подозрительном трафике от имени Tor-узлов

В результате расследования выяснилось, что причиной жалоб стала скоординированная атака с IP Spoofing – атакующие подделывали IP-адреса невыходных ретрансляторов и других узлов сети Tor, что приводило к автоматическим жалобам на операторов

Специалистам удалось обнаружить источник ложных пакетов и устранить проблему 7 ноября

⛓ https://www.securitylab.ru/news/553822.php

#News #Tor #Spoofing #IP ✈️ inf0

💉 Обнаружение и эксплуатация SQL-инъекций

SQLmap – это инструмент тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и эксплуатации уязвимости SQL-инъекця и захват серверов баз данных

Основные возможности:
🔵Поддержка MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase и SAP MaxDB.
🔵Поддержка следующих типов инъекций: boolean-based blind, time-based blind, error-based, UNION query и stacked queries.
🔵Возможность подключиться к БД напрямую, используя логин, пароль, ip, порт и имя базы.
🔵Работа с конкретным url, со списком целей из Burp proxy или WebScarab proxy, с текстовым файлом, содержащим HTTP запрос или же прямо из поисковой системы Google.
🔵Тестирование всех параметров, передаваемых методами GET и POST, через cookie, в заголовках User-agent и Referer и попытка их эксплуатирования. Так же вы можете задать какой-то один определенный параметр(ы) для проверки.
🔵Опциональная многопоточность, которая позволяет сильно ускорить проведение слепых инъекций, или же наоборот, ограничить количество запросов на определенный промежуток времени. Множество вариантов оптимизации для ускорения.
🔵Возможность передавать cookie, что позволяет проходить авторизацию на тестируемом приложении или же тестировать cookie на sql уязвимости.
🔵Принимать и хранить в сессии cookie, которые были установлены самим приложением, а так же пытаться их эксплуатировать. При желании можно игнорировать заголовок set-cookie.
🔵Аутентификация по протоколу HTTP basic, Digest, NTLM или с помощью сертификата.
🔵Работа через прокси.
🔵Парсинг форм, находящихся по целевому адресу, с целью повторной отправки запроса на принимающий скрипт формы (action) и тестирование параметров формы.
🔵Автоматически сохраняет сессии (запросы и ответы, даже частично полученные) в текстовом виде и в реальном времени. Это позволяет продолжить инъекцию или другое действие сразу же, после парсинга сессии и не повторять запросы на атакуемое приложение.
🔵Поддержка репликации БД сервера на локальную БД sqlite3.
🔵Интеграция с другими инструментами для пентеста — Metasploit и w3af.

⛓ https://github.com/sqlmapproject/sqlmap?ysclid=m3ejt84s80500731116

#Tools #SQL ✈️ inf0

💸 Кибербезопасность: стратегии нападения и защиты

В этом тщательно переработанном новом издании вы узнаете о подходе Zero Trust и первоначальном процессе реагирования на инциденты

Вы постепенно познакомитесь с тактикой Red Team, изучите базовый синтаксис часто используемых инструментов для выполнения необходимых операций

Вы также узнаете, как применять новые методы Red Team с помощью мощных инструментов

Dr. Erdal Ozkaya, Yuri Diogenes 2022

#Cybersecurity #Attack #Defence #Book ✈️ inf0

💿 Инструменты для анализа виртуального диска

VHDX — это формат файла образа виртуального жёсткого диска, новая версия формата VHD

Он содержит один или несколько разделов, представляющих собой разделы жёсткого диска виртуальных машин, созданных с помощью программного обеспечения системной виртуализации Hyper-V или VirtualBox

Сегодня рассмотрим инструменты, которые можно использовать для быстрого анализа диска и восстановления удаленных артефактов

Инструменты представлены в порядке возрастания их эффективности при попытках получения файлов из образа:
🔵binwalk: утилита командной строки, которая позволяет извлекать данные из образов на основе сигнатурных значений, список которых можно найти в исходном коде утилиты. Проблема binwalk при анализе виртуального диска — плохое извлечение файлов. Например, Word-документы разбивались на XML-сущности и складывались в одну директорию.
🔵volatility: аналог binwalk, также позволяет извлекать артефакты из образов, в том числе образов энергозависимой памяти (RAM). Утилита имеет профили сборок операционных систем для поиска файлов (типов файлов) по их структуре в выделяемой памяти. Проблема volatility в процессе анализа VHDX — не получилось корректно определить профиль (сборку) ОС.
🔵Autopsy: универсальный инструмент для исследования образов, который может получать данные из файлов разных типов, физических дисков, сырого образа. Более того, имеет свой набор плагинов для исследований, например, файловой системы iOS. Разумеется, можно писать свои плагины.
🔵FTK Imager: аналог Autopsy, показавший наилучшие результаты извлечения файлов.

#Tools #VHDX ✈️ inf0

😈 Истощение и подмена DHCP-сервера

При атаке на каналь­ном уров­не, можно переп­рыгнуть через все средс­тва защиты, нас­тро­енные на более высоких уров­нях

🚠 DHCP — это сетевой протокол, который позволяет клиентам, подключенным к сети, получать информацию о конфигурации TCP/IP (например, частный IP-адрес) от DHCP-сервера

В данной статье мы с вами рассмотрим два вектора атак на этот самый низ­кий уро­вень сети — истощение (DHCP Starvation) и подмена DHCP-сервера (DHCP Spoofing)

🔵DHCP Starvation: эта ата­ка осно­вана на про­веде­нии рас­сылок огромно­го количес­тва сооб­щений DHCPDISCOVER с целью исто­щить адресное прос­транс­тво на сер­вере DHCP. Сер­вер DHCP будет реаги­ровать на каж­дый зап­рос и выдавать IP-адрес

Пос­ле перепол­нения допус­тимого адресно­го прос­транс­тва сер­вер DHCP боль­ше не смо­жет обслу­живать новых кли­ентов в сво­ей сети, выдавая им IP-адре­са

🔵DHCP Spoofing: пос­ле вывода из строя легитим­ного DHCP-сер­вера зло­умыш­ленник может под­нять на сво­ей сто­роне фей­ковый DHCP-сер­вер, заявив, что имен­но он и явля­ется шлю­зом по умол­чанию. Ког­да DHCP-сер­вер выда­ет IP-адре­са хос­там в сети, там переда­ется и информа­ция об IP-адре­се шлю­за по умол­чанию

⛓ https://spy-soft.net/dhcp-starvation-dhcp-spoofing/

#DHCP #Spoofing #Networks #Starvation ✈️ inf0

📞 Подросток превратил ложные вызовы в бизнес: 20 лет тюрьмы за своттинг

18-летний Алан У. Филион из Ланкастера, штат Калифорния, признал себя виновным в четырёх эпизодах угроз причинения вреда, переданных через межштатные коммуникации

С августа 2022 по январь 2024 года Филион совершил более 375 звонков, содержащих ложные угрозы массовых убийств, взрывов и других актов насилия

Целями стали религиозные организации, учебные заведения, государственные служащие и частные лица по всей территории США

🏴‍☠️ Ему грозит до пяти лет лишения свободы по каждому из пунктов обвинения. На момент совершения большинства звонков Филиону было 16 лет

⛓ https://www.securitylab.ru/news/554018.php

#News ✈️ inf0

🦠 Исследование уязвимостей DC7

В этом разделе мы познакомимся с концепциями исследования уязвимости целевых систем с помощью инструментов, которые встроены в Kali Linux

А также рассмотрим несколько онлайн ресурсов используемых для получения информации об уязвимости

DC7 – это виртуальная CTF машина на базе Linux, в которой нужно скомпрометировать виртуальную машину и повысить уровень привилегий до root. Скачать машину можно на сайте vulnhub.com

#Vulnerability #CTF #Linux #Networks #DC7 ✈️ inf0

💻 Сети глазами хакера

В книге рассматриваются вопросы безопасности компьютерных сетей: даны практические рекомендации по проведению пентеста сетей Cisco, приведены полезные сведения о протоколе DTP от компании Cisco Systems, представлено подробное руководство по пентесту канального уровня сети, тестированию безопасностии и защите устройств MikroTik.

◼️ Рассказывается о методах проведения пентестов с минимальным ущербом для сетевой инфраструктуры: даны советы по эффективному использованию в процессе тестирования на проникновение инструментария Kali Linux, рассказано об использовании виртуальных машин для постэксплуатации систем.

Описаны рекомендации по защите сетевой инфраструктуры от хакерских атак, практические примеры демонстрируют техники пентеста как для атакующей, так и для защищающейся стороны

Базаров Магама 2024

#Book #Network #Linux ✈️ inf0

🔎 Инструмент обнаружения субдоменов/поддоменов

SubFinder — это инструмент для обнаружения субдоменов (поддоменов), который, используя пассивные методы (без обращения к целевому сайту), собирает информацию из онлайн источников о субдоменах целевого сайта

SubFinder использует онлайн сервисы, поисковые движки, интернет архивы и другие источники для поиска субдоменов

Затем найденные данные используется в модуле пермутации, вдохновлённом altdns, для генерации изменённых имён и быстрой их проверки используя мощный движок брут-форса

⛓ https://github.com/projectdiscovery/subfinder?ysclid=m3onfont27884781872

#Tools #SubFinder #Subdomain ✈️ inf0

🏠 Реверс-инжиниринг новой функции iOS Inactivity Reboot

В iOS 18 появилась новая функция безопасности: перезагрузка бездействия (inactivity reboot)

В данной статье мы рассмотрим все подробности вплоть до расширения ядра и Secure Enclave Processor

Краткое описание обнаруженного:
🔵Secure Enclave Processor (SEP) отслеживает время последней разблокировки телефона. Если это время последней разблокировки превышает три дня, SEP сообщает модулю ядра AppleSEPKeyStore, что время исчерпано.
🔵Модуль ядра AppleSEPKeyStoreприказывает пользовательскому пространству инициировать перезапуск. Далее SpringBoard надлежащим образом завершает все процессы пользовательского пространства. Это предотвращает потенциальную потерю данных при перезапуске.
🔵Если модуль ядра AppleSEPKeyStoreобнаруживает, что iPhone по-прежнему включён после того, как должна была выполниться перезагрузка, возникает паника ядра. Такое может происходить, только если кто-нибудь пытается вмешаться в inactivity reboot.
🔵Модуль ядра AppleSEPKeyStoreзаписывает переменную NVRAM aks-inactivity. После перезапуска iPhone keybagd считывает эту переменную и если она установлена, отправляет Apple событие аналитики, включив в него информацию о том, как долго iPhone не разблокировался.

⛓ https://habr.com/ru/companies/ruvds/articles/859884/

#Info #Apple #Security #iOS #ReverseEngineering ✈️ inf0

⚠️ Вирус-манипулятор: хакеры взломали человеческую психологию

Новое исследование угроз безопасности за третий квартал Gen Digital выявило стремительное усложнение ландшафта угроз

Главные тенденции: рост атак с использованием социальной инженерии, значительное увеличение числа программ-вымогателей и развитие новых видов вредоносного ПО, нацеленного как на настольные системы, так и на мобильные устройства.

В отчёте отмечается тип атак «взломай себя сам», который за третий квартал увеличился на 614% по сравнению с предыдущим кварталом, а общее число заблокированных случаев превысило 2 миллиона

Такой подход использует методы социальной инженерии для того, чтобы обманом заставить пользователей самостоятельно выполнять действия, приводящие к заражению устройств

Примеры включают поддельные CAPTCHA, но на самом деле заражают системы вредоносными скриптами

⛓ https://www.securitylab.ru/news/554140.php

#News #SocialEngineering #Attack #HackYourself ✈️ inf0

💻 Обнаружение вторжений в компьютерные сети (сетевые аномалии)

🔵Даны основные определения и понятия в области систем обнаружения вторжений и компьютерных атак

🔵Рассмотрены принципы построения и структура систем обнаружения вторжений

🔵Анализируются способы развертывания, достоинства и недостатки существующих систем обнаружения вторжений

🔵Центральное место в книге уделено методам обнаружения сетевых аномалий

🔵Рассмотрены методы кратномасштабного вейвлет- и мультифрактального анализа алгоритмов обнаружения аномальных вторжений

🔵Проведен анализ статистических, интеллектуальных, иммунных, нейросетевых и других алгоритмов обнаружения аномалий

О И.Шелухин, Д.Ж.Сакалема, А.С.Филинова 2013

#Book #Network ✈️ inf0

☁️ Управление MAC-адресом для сетевых интерфейсов

Программа macchanger (также известная как the GNU MAC Changer) – упрощает манипуляцию MAC-адресом для сетевых интерфейсов

Она предлагает различные функции, такие как изменение адреса таким образом, чтобы он соответствовал определённому производителю, или полная его рандомизация

⛓ https://github.com/alobbs/macchanger

#Tools #Mac #GNU #Network ✈️ inf0

🤨 Знакомство с MITM атаками – «человек посередине» | Обнаружение и предотвращение

MITM-атака (атака типа man-in-the-middle) – это атака, при которой злоумышленники перехватывают разговор или передачу данных путём подслушивания или притворяясь его легальным участником

Типы проведения атаки:
🔵Подмена IP-адреса: Каждое устройство, подключенное к интернету, имеет свой интернет-протокол. Злоумышленник, подменив IP-адрес заставляет жертву думать, что она взаимодействует с интернет-ресурсом, но на деле не обменивается никакими данными с сервером, а отправляет данные злоумышленнику

🔵Спуфинг DNS: Во время подмены DNS злоумышленник получает полное управление над запросами пользователя и может перенаправлять его на поддельные веб-страницы и сайты

🔵Спуфинг ARP: Злоумышленник, отправляет жертве поддельные ARP-ответы с информацией что поддельный MAC-адрес совпадает с настоящим IP-адресом маршрутизатора

Признаки атаки MITM: Частые разрывы и переподключения к сети; Изменение MAC-адреса точки доступа; Несколько точек доступа с одинаковым SSID; Задержки при отправке запрос

В статье читайте про обнаружение и предотвращение атаки

⛓ https://habr.com/ru/articles/860710/

#Info #MITM #Attack ✈️ inf0

🤔 Microsoft сокрушила фишинг-империю: уничтожено 240 сайтов MRxC0DER

Microsoft предприняла масштабные действияпротив киберпреступности, ликвидировав 240 фальшивых сайтов, связанных с группировкой из Египта, возглавляемой Абанубом Нади

Под именем «MRxC0DER» он разработал и продавал фишинговые наборы, известные как «Phishing-as-a-Service» (PhaaS)

Эти фишинговые наборы позволяют обходить двухфакторную аутентификацию (MFA), используя методы «врага в середине» (AiTM)

С их помощью злоумышленники перехватывают сетевые коммуникации, крадут учетные данные и аутентификационные куки

⛓ https://www.securitylab.ru/news/554209.php

#News #Microsoft #Phishing #MRxC0DER ✈️ inf0