На мушке у APT-группировок: kill chain из восьми шагов и котики
#red_team #APT

Авторы собрали информацию о 16 хакерских группировках, атакующих Ближний Восток, другой (а точнее — другая) проанализировал их тактики и техники, результатом этого тандема стало большое исследование. В этой статье авторы расскажут о том, как действуют APT-группировки, с чего начинают атаку и как развивают ее, двигаясь к намеченной цели.

➡️ Читать далее

🌚 @poxek

Уже заказано более 10 футболок 🕶

Тут просят ещё один дизайн. Футболку с дизайном, как на шоппере. Т.е. на груди code block SQLi, а на спине code block XSS.

Пока даже превью сделать не можем, т.к. я в дороге. Но думаю вы сможете представить, как это круто будет выглядеть)

Набираем 10 ❤️ и тогда вечером уже сделаем новый дизайн и добавлю в ту же форму для заказа

p.s. жесть вы быстро набрали)
Значит надо делать))

FAQ
#phd2

Уточню по условиям конкурса. А то почему-то появляются вопросы куда её писать.
Писать мне в ЛС. Если вы не против, то я оформлю и выложу вашу историю в паблик (с вашего разрешения и совместной редактуры, если потребуется). Если не хотите оглашать - ваше право, она уйдет со мной в могилу)

За первый и второй день прислали интересные истории, делитесь и вы своими 🥺
А в крайнем случае, если билет не нужен, то вы можете подарить его своему другу)

🌚 @poxek

#funfact заказали уже более 20 футболок. Причем не только, чтобы я на PHD отдал, но и отправка по России СДЭКом.

Я считаю для первого запуска, это круто) Успейте заказать по самой низкой цене на старте, дальше больше 🌚

А ещё предлагаю, чтобы мы все ходили с шоппером Похек и футболке, тогда "своих" будет очень просто распознать и вы точно не останетесь без внимания на PHDays 2))

Спасибо Вам всем, вы мне очень до́роги ❤️

p.s. с теми, кто выбрал доставку, спишусь дополнительно, т.к. нужно будет сообщить мне доп данные для отправки

@poxek

⚠️ Итоги конкурса и предзаказов ⚠️
#phd2

🕺 Начнем с более вкусного. Конкурс был на 10 мест, следовательно 10 билетов. Прислали более 10 историй, поэтому мне приходилось выбирать, чья более яркая и интересная. Лично для меня, глобальной целью было показать разные истории о вхождении в ИБ/ИТ, чтобы замотивировать тех, кто ещё не в этой сфере прийти к нам. Поэтому практически все истории будут сформированы в большую подборку историй и выложены на какой-то ресурс вне моего телеграм канала. Вот эти 10 прекрасных молодых (или не очень) людей, кто осмелился прислать мне истории и был выбран победителем в моём конкурсе! У каждого из них история достойная в меньшей степени мерча)
Билеты выдам как только получу их от организаторов 🤘

p.s. как выяснилось, некоторые победители либо уже приобрели билет, либо участники standoff 13. Поэтому эти билеты пойдут в другие добрые руки (чуть позже узнаете в чьи)

@voixe852
@S0meOdy
@Gulyakoff
@AlexeyInfosec
@z_nwh
@BladeRunnerG
@shybert
@sankholo
@Ivanchurakof
@rissor41

🕺 А также накидаю вам циферок по предзаказам футболок.

Было заказано 29 футболок, после чего я закрыл предзаказы, потому что я больше тупо не смогу вам привезти))
Самым популярным был "RCE для сердца" - 14 футболок. Вторым по популярности оказался третий дизайн, с codeblock'ами нагрузок SQLi и XSS - 9 штук. И чуть менее популярным стал "Багхантерский забив чаши" - 7 штук.

Некоторые заказывали вообще все дизайны)) мне и моему дизайнеру это очень приятно, спасибо большое вам! Надеюсь качество вас порадует и футболки прослужат долго. Да и в принципе для первого запуска, практически 30 футболок это многа)

Сегодня же отправлю на производство заказ и скрестим пальцы, чтобы всё успели сделать)

Всем большое спасибо! Stay secure ❤️

🌚 @poxek

Крадем чужой телеграм аккаунт за 10 секунд 😎
#telegram #red_team

Ресерч совсем свежий, ему всего 6 дней)
Так что радуйтесь, харкорный контент по вебу возвращается, для тех кто его ждал и дождался.

Давайте попробуем вместе разобраться, как эта атака сработала. Энтрипоинт здесь это авто аутентификации в веб версии телеги при переходе их клиента телеграма (desktop & smart).

При открытии этой ссылки у вас в URL подставляется токен аутентификации в аккаунт.

Далее автор собрала свою версию tdesktop и анализировала код в поисках захаркорженных доменов телеги. И нашли их.

Далее она начала разбирать как формируется ссылку на авто аутентификацию

http://web.​telegram.org/ becomes https://web.​telegram.org/​#tgWebAuthToken=...
https://z.t.me/​pony becomes https://z.t.me/pony​?tgWebAuth=1​#tgWebAuthToken=...
https://k.t.me/​#po=ny becomes https://k.t.me/​?tgWebAuth=1​#po=ny​&tgWebAuthToken=...

И ещё кучу примеров

Все домены, кроме web.telegram.org, как бы созданы для глубоких ссылок t.me. Переход по любому из них без пути приведет вас на домашнюю страницу telegram.org. При переходе по одной из них с совместимым путем, например z.t.me/share?url=lyra.horse, откроется соответствующий клиент с фрагментом хэша, например:
https://web.telegram.org/a/#?tgaddr=tg%3A%2F%2Fmsg_url%3Furl%3Dlyra.horse

Обычно это делается с помощью HTTP 301 редиректа, но если параметр tgWebAuth установлен и deep link действительна, то вместо этого вы сможете запустить этот забавный javascript:

<html>
<head>
<meta name="robots" content="noindex, nofollow">
<noscript><meta http-equiv="refresh" content="0;url='https://web.telegram.org/a/#?tgaddr=tg%3A%2F%2Fmsg_url%3Furl%3Dlyra.horse'"></noscript>
<script>
try {
var url = "https:\/\/web.telegram.org\/a\/#?tgaddr=tg%3A%2F%2Fmsg_url%3Furl%3Dlyra.horse";
var hash = location.hash.toString();
if (hash.substr(0, 1) == '#') {
  hash = hash.substr(1);
}
location.replace(hash ? urlAppendHashParams(url, hash) : url);
} catch (e) { location.href=url; }

function urlAppendHashParams(url, addHash) {
  var ind = url.indexOf('#');
  if (ind < 0) {
    return url + '#' + addHash;
  }
  var curHash = url.substr(ind + 1);
  if (curHash.indexOf('=') >= 0 || curHash.indexOf('?') >= 0) {
    return url + '&' + addHash;
  }
  if (curHash.length > 0) {
    return url + '?' + addHash;
  }
  return url + addHash;
}
</script>
</head>
</html>

Малоизвестный факт, что legacy версия веб клиента telegram всё ещё доступна по адресу: web.telegram.org/?legacy=1. Более того, сессия разделяется между веб-клиентами, поэтому эксплойт в старом веб-клиенте может быть полезен, даже если цель использует современный веб-клиент.

Как итог, автор не смогла найти ничего интересного в WebK, но и WebZ, и старый клиент дали несколько многообещающих зацепок в работе с tgaddr в URL. Однако это оказалось тупиком для её исследования, поскольку я не смог найти способ избавиться от амперсанда в части URL &tgWebAuthToken=... или обойти его. Я даже возился с юникодом, чтобы посмотреть, не позволит ли он мне каким-то образом "стереть" амперсанд, но, похоже, UTF-8 был разработан так, чтобы противостоять этому.

Аналогичный ресерч был проведен и для iOS & Android, но те или иные техники уже не сработают на актуальных версиях приложения и/или ОСи.

Так и что? Нет эксплойта?

По сути да, эксплойта нет. Но автор смогла упростить атаку при физическом воздействии до возможного минимума затрат времени - менее 10 секунд.

➡️Для начала отправьте "z.t.me" в приложении Telegram и нажмите на ссылку.
➡️Это перенаправит их браузер на telegram.org/#tgWebAuthToken=
➡️Отсюда мы изменим домен в браузере на telegramz.org - домен, которым владеет автор, - и нажимаете Enter.
➡️JS на моем домене будет работать дальше, регистрируя одно из устройств автора с помощью токена.

Да, это атака реализуется только при физическом доступе к устройству, к сожалению, но всё равно это впечатляющий результат и я думаю эта атака будет полезна тем ребятам, кто занимается физическим пентестом.

➡️ Если вы что-то не поняли из моего вольного перевода, то здесь сможете найти оригинал статьи

🌚 @poxek