Приступаю к оживлению своего канала с забавной новости.
В личку нескольким моим знакомым и незнакомым админам ТГ каналов начали приходить предложения по размещению рекламы популярных брендов. Яндекс.Такси, Озон, Гикбрейнс и так далее просят разместить на канале рекламу, скидывая архив с примером материалов для постов.
Внутри чаще всего находятся несколько фото, doc с текстом, и совсем беспалевная EXEшка. Бинарный файл, как можно догадаться, является стиллером, либо загрузчиком стиллера.
Пока смотрел семплы на VT, обнаружил парочку интересных вариантов того как малварь получает IP для контакта с C2. Если хранение в профиле Steam уже где-то видел, то вот хранение в описании ТГ канала удивило :)
Видели такое?
В личку нескольким моим знакомым и незнакомым админам ТГ каналов начали приходить предложения по размещению рекламы популярных брендов. Яндекс.Такси, Озон, Гикбрейнс и так далее просят разместить на канале рекламу, скидывая архив с примером материалов для постов.
Внутри чаще всего находятся несколько фото, doc с текстом, и совсем беспалевная EXEшка. Бинарный файл, как можно догадаться, является стиллером, либо загрузчиком стиллера.
Пока смотрел семплы на VT, обнаружил парочку интересных вариантов того как малварь получает IP для контакта с C2. Если хранение в профиле Steam уже где-то видел, то вот хранение в описании ТГ канала удивило :)
Видели такое?
👍5
Нашел интересную фишинговую кампанию на пользователей VK.
Листал рилсы в Инстаграм (каюсь, грешен) и в комментариях к одному из блогеров увидел абсолютно рандомные сообщения, особо не подходящие к смыслу ролика. Перейдя в профиль комментатора увидел, что он закрыт, а в шапке указан странный домен, имитирующий ID Вконтакте)
Как можно догадаться, на домене располагается фишинговый ресурс для кражи учеток VK. Немного потыкав в разные директории и посмотрев код страницы, наткнулся на страницу с админкой фиш панели со странным названием FunFish. Судя по локализации разработчики рускоговорящие) Я такую еще не встречал, но не удивлюсь, если она не новая. Но странно, что она находится по пути ./admin. С Opsec у мошенников не очень хорошо 😁 Вероятнее всего можно найти опендиры,либо уязвимости внутри. Лень брутфорсить. admin:admin не подошел 😁
Судя по данным в WHOIS, айпишник скрыт за Cloudflare. Но вот в регистрационных данных указана почта и номер телефона) 99% вероятность что это фейк данные, но один процент на ошибку мошенника тоже можно закладывать)
Берегите себя и своих близких - проверяйте по каким ссылкам переходите из профилей знойных красоток.
❗️warning❗️
Домены и различные интересные урлы для самостоятельного изучения:
Листал рилсы в Инстаграм (каюсь, грешен) и в комментариях к одному из блогеров увидел абсолютно рандомные сообщения, особо не подходящие к смыслу ролика. Перейдя в профиль комментатора увидел, что он закрыт, а в шапке указан странный домен, имитирующий ID Вконтакте)
Как можно догадаться, на домене располагается фишинговый ресурс для кражи учеток VK. Немного потыкав в разные директории и посмотрев код страницы, наткнулся на страницу с админкой фиш панели со странным названием FunFish. Судя по локализации разработчики рускоговорящие) Я такую еще не встречал, но не удивлюсь, если она не новая. Но странно, что она находится по пути ./admin. С Opsec у мошенников не очень хорошо 😁 Вероятнее всего можно найти опендиры,либо уязвимости внутри. Лень брутфорсить. admin:admin не подошел 😁
Судя по данным в WHOIS, айпишник скрыт за Cloudflare. Но вот в регистрационных данных указана почта и номер телефона) 99% вероятность что это фейк данные, но один процент на ошибку мошенника тоже можно закладывать)
Берегите себя и своих близких - проверяйте по каким ссылкам переходите из профилей знойных красоток.
❗️warning❗️
Домены и различные интересные урлы для самостоятельного изучения:
id44922321.ru
id842568994.com
https://id842568994.com/admin/
https://id842568994.com/auth/aaaa/login.js👍4
#news
Главная дыра в безопасности та, что сидит перед монитором (с)
Интересную технику социальной инженерии применяют злоумышленники, распространяющие бэкдор IceBreaker. Ресерчерами из SecurityJoes было опубликовано исследование об атаках на некоторые онлайн-сервисы. Чтобы доставить бэкдор, хакеры связываются со службой поддержки целевой компании, выдавая себя за пользователя, у которого возникли проблемы со входом или регистрацией в онлайн-сервисе.
Хакеры убеждают сотрудника службы поддержки загрузить скриншот по ссылке, для полного понимания проблемы. Изображение размещено на ресурсе, который выдает себя за законный сервис. Но также были попытки доставить зловред через ссылку на DropBox.
Вместо скрина с проблемой сотрудник службы поддержки получает LNK файл, который при исполнении загружает следующие этапы атаки. Конечно полезной нагрузкой является бэкдор, позволяющий красть учетные данные, запускать кастомные скрипты и генерировать удаленные сессии. К слову, msi файл пока что не детектится большинством вендоров.
Главная дыра в безопасности та, что сидит перед монитором (с)
Интересную технику социальной инженерии применяют злоумышленники, распространяющие бэкдор IceBreaker. Ресерчерами из SecurityJoes было опубликовано исследование об атаках на некоторые онлайн-сервисы. Чтобы доставить бэкдор, хакеры связываются со службой поддержки целевой компании, выдавая себя за пользователя, у которого возникли проблемы со входом или регистрацией в онлайн-сервисе.
Хакеры убеждают сотрудника службы поддержки загрузить скриншот по ссылке, для полного понимания проблемы. Изображение размещено на ресурсе, который выдает себя за законный сервис. Но также были попытки доставить зловред через ссылку на DropBox.
Вместо скрина с проблемой сотрудник службы поддержки получает LNK файл, который при исполнении загружает следующие этапы атаки. Конечно полезной нагрузкой является бэкдор, позволяющий красть учетные данные, запускать кастомные скрипты и генерировать удаленные сессии. К слову, msi файл пока что не детектится большинством вендоров.
🔥6❤1👍1
#news
Умельцы не стоят на месте и в отместку микромягким на запрет исполнения макросов в документах, скачанных из интернета, придумали новый способ доставки ВПО.
Суть атаки заключается в использовании VSTO. Visual Studio Tools for Office представляет собой набор средств разработки надстроек для офисных документов (word,excel). Такие надстройки позволяют выполнять произвольный код при запуске документа. VSTO бывают локальные - хранящиеся непосредственно в директории документа, а также удалённые - загружаемые из удаленного хоста.
Исследователи из Deepinstinct сделали ресерч на эту тему, а также опубликовали PoC - потыкать можно здесь. И по традиции - на данный момент эксплоит, исользующий VSTO, не детектится большинством вендоров.
@SOCool
Умельцы не стоят на месте и в отместку микромягким на запрет исполнения макросов в документах, скачанных из интернета, придумали новый способ доставки ВПО.
Суть атаки заключается в использовании VSTO. Visual Studio Tools for Office представляет собой набор средств разработки надстроек для офисных документов (word,excel). Такие надстройки позволяют выполнять произвольный код при запуске документа. VSTO бывают локальные - хранящиеся непосредственно в директории документа, а также удалённые - загружаемые из удаленного хоста.
Исследователи из Deepinstinct сделали ресерч на эту тему, а также опубликовали PoC - потыкать можно здесь. И по традиции - на данный момент эксплоит, исользующий VSTO, не детектится большинством вендоров.
@SOCool
👍4🆒3
Исследователи из Лаборатории Касперского постили недавно отчет о том как устроен рынок труда в даркнете. Как оказалось, хакерским группировкам нужны не только таланливые пентестеры и программисты, но и дизайнеры, project менеджеры и даже SMM специалисты.
По своему опыту могу сказать, что медианная зарплата, которую предлагают на темной стороне тех.специалистам в среднем равна ЗП в хорошей ИБ компании РФ. С учетом того что в нынешних условиях можно почти везде устроиться удаленно, не переезжая в Москву, то есть ли смысл переходить на темную сторону?
❤ @SOCool
По своему опыту могу сказать, что медианная зарплата, которую предлагают на темной стороне тех.специалистам в среднем равна ЗП в хорошей ИБ компании РФ. С учетом того что в нынешних условиях можно почти везде устроиться удаленно, не переезжая в Москву, то есть ли смысл переходить на темную сторону?
Please open Telegram to view this post
VIEW IN TELEGRAM
💯3🆒2
Тоже приспособил ChatGPT для анализа вредоносного кода) Очень экономит время при исседовании каких-нибудь семплов
❤️ @SOCool
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤓3🔥2⚡1💯1
Forwarded from OSINT mindset
OSINT mindset meetup №7!
Суббота, 4 марта, 14:00
Ждём всех и каждого, вне зависимости от пола и возраста, по адресу: Благосфера, м. Динамо, 1-й Боткинский проезд, д. 7c1
❤️🔥С мощными докладами ворвутся:
1️⃣ váli — Sock puppets: виртуальные личности для OSINT
2️⃣ Алексей Банников — Threat Intelligence: кто, как и зачем изучает киберугрозы 💻
3️⃣ @crytech7 — Hack back: расследуем криптовалютный скам 💎
Подробные анонсы по докладам будут позже.
Обещаем, будет как всегда круто и атмосферно! ✌️
❤ Channel | 💬 Chat | ▶ ️YouTube
Суббота, 4 марта, 14:00
Ждём всех и каждого, вне зависимости от пола и возраста, по адресу: Благосфера, м. Динамо, 1-й Боткинский проезд, д. 7c1
❤️🔥С мощными докладами ворвутся:
1️⃣ váli — Sock puppets: виртуальные личности для OSINT
2️⃣ Алексей Банников — Threat Intelligence: кто, как и зачем изучает киберугрозы 💻
3️⃣ @crytech7 — Hack back: расследуем криптовалютный скам 💎
Подробные анонсы по докладам будут позже.
Обещаем, будет как всегда круто и атмосферно! ✌️
Please open Telegram to view this post
VIEW IN TELEGRAM
Благосфера
Контакты – Благосфера
Адрес: Москва, 1-й Боткинский проезд, д. 7 стр. 1 Телефоны: +7 (977) 727-48-46, +7 (499) 653-71-33 E-mail: info@blagosfera.space Для СМИ:
🔥5
OSINT mindset
OSINT mindset meetup №7! Суббота, 4 марта, 14:00 Ждём всех и каждого, вне зависимости от пола и возраста, по адресу: Благосфера, м. Динамо, 1-й Боткинский проезд, д. 7c1 ❤️🔥С мощными докладами ворвутся: 1️⃣ váli — Sock puppets: виртуальные личности для…
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🆒2🔥1👨💻1
Secure Lemur
Threat intelligence.pdf
N-количество человек спросили у меня после доклада: "А с чего начать в malware анализе?".
Но так как я практически не компетентен в reverse engeneering, то обратился с этим вопросом к знающим коллегам и собрал список источников куда пойти за информацией на старте.
Общий путь воина такой:
1)Изучаешь базовые вещи по RE
2)Берешь приложение для исследования. Не обязательно вредоносное, можно тренироваться на CrackMe семплах.
3)В процессе исследования ПО читаешь гайды и мануалы по инструменту, которым пользуешься (IDA pro и подобные).
4)Попутно читаешь книжки об операционной системе под которую исследуешь приложение, а также об используемом в приложении языке программирования.
5)Profit
Литература:
"Practical Malware Analysis" M.Sikorski, A.Honig - базовая книжка по анализу вредоносного ПО.
"Reverse Engineering для начинающих" Д.Юричев - Reverse Engineering
"Practical Reverse Engineering" B.Elias - Reverse Engineering
"Компьютерные вирусы изнутри и снаружи" Крис Касперски - анализ ВПО.
"Программирование на ассемблере на платформе x86-64 (+CD)" Р.Аблязов - Ассемблер
"Malware Analyst's Cookbook" M.Ligh - рецепты на все случаи жизни.
Полезные ресурсы:
https://malwareunicorn.org/#/workshops - воркшопы. Для начала "Reverse Engineering 101" и далее по восходящей
https://forum.reverse4you.org
http://uinc.ru/articles/41/ - Цикл статей «Об упаковщиках в последний раз» (3 части)
http://cs.usu.edu.ru/docs/pe/ - Описание PE формата
http://bitfry.narod.ru/ - ASM
https://exploitreversing.files.wordpress.com/2023/03/mas_7.pdf
https://crackmes.one - коллекция Crackme-семплов
Где брать вредоносные семплы для практики:
https://bazaar.abuse.ch/
https://www.vx-underground.org
❤️ @SOCool
Но так как я практически не компетентен в reverse engeneering, то обратился с этим вопросом к знающим коллегам и собрал список источников куда пойти за информацией на старте.
Общий путь воина такой:
1)Изучаешь базовые вещи по RE
2)Берешь приложение для исследования. Не обязательно вредоносное, можно тренироваться на CrackMe семплах.
3)В процессе исследования ПО читаешь гайды и мануалы по инструменту, которым пользуешься (IDA pro и подобные).
4)Попутно читаешь книжки об операционной системе под которую исследуешь приложение, а также об используемом в приложении языке программирования.
5)Profit
Литература:
"Practical Malware Analysis" M.Sikorski, A.Honig - базовая книжка по анализу вредоносного ПО.
"Reverse Engineering для начинающих" Д.Юричев - Reverse Engineering
"Practical Reverse Engineering" B.Elias - Reverse Engineering
"Компьютерные вирусы изнутри и снаружи" Крис Касперски - анализ ВПО.
"Программирование на ассемблере на платформе x86-64 (+CD)" Р.Аблязов - Ассемблер
"Malware Analyst's Cookbook" M.Ligh - рецепты на все случаи жизни.
Полезные ресурсы:
https://malwareunicorn.org/#/workshops - воркшопы. Для начала "Reverse Engineering 101" и далее по восходящей
https://forum.reverse4you.org
http://uinc.ru/articles/41/ - Цикл статей «Об упаковщиках в последний раз» (3 части)
http://cs.usu.edu.ru/docs/pe/ - Описание PE формата
http://bitfry.narod.ru/ - ASM
https://exploitreversing.files.wordpress.com/2023/03/mas_7.pdf
https://crackmes.one - коллекция Crackme-семплов
Где брать вредоносные семплы для практики:
https://bazaar.abuse.ch/
https://www.vx-underground.org
Please open Telegram to view this post
VIEW IN TELEGRAM
👨💻3🔥2🆒2👍1
Если не знаете где почитать актуальные новости об ИБ, то вот список вендоров, которые постили свои репорты чаще всего за последние полгода.
Кажется кто-то явно ударился в PR направление🤔
Кажется кто-то явно ударился в PR направление
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Митапы, OSINT-форум, доклады и авторские материалы по теме. Что все это объединяет? Коллектив OSINT Mindset!
Нам, как специалистам, всегда есть, что вам рассказать. Бесплатно, честно и с душой. Мы искренне любим OSINT, и уверены в том, что вы так же влюбитесь в наш контент, безпиджаков купюр, плохих курсов и вранья. Подписывайтесь, друзья, очень ждем с:
Мыслить как безопасник — канал специалиста, не первый год проработавшего в сфере профайлинга. OSINT, корпоративная и информационная безопасность вкупе с самообороной и толикой сурвайва - элегантный набор настоящего джентльмена
false alarm — коллекция гайдов, инструментов и кейсов в помощь для продуктивного OSINT :)
dukera — канал действующего специалиста и докладчика, открывающего другим новые взгляды на старые задачи и рассказывающего про магию OSINT
Информационная безопасность — канал практикующего ИБ-специалиста, собирающего лучшие материалы и создающего настоящее золото в сфере пентеста, SOC, OSINT и других важных направлений
OSINT for Pentest — автор канала, специалист по анализу защищенности, а также докладчик митапов и конференций, публикует инструменты и методы, которые будут актуальны для специалистов различных отраслей OSINT и ИБ
network worm notes — канал с материалами о крипто-расследованиях, цифровой криминалистике и сетях с добавлением капельки искусства
DEVIL MAY SPY – кладовая отборных материалов, разборов и заботливо прописанных гайдов от серого кардинала OSINT и просто отличного специалиста
OSINT CLUB — канал легендарного господина собаки, пионера среди других OSINT-каналов. Только честное мнение, мемы и актуальная информация.
SOCool — канал с полезными материалами о Threat Intelligence, Threat Hunting, а также с новостями и исследованиями в области информационной безопасности и IT
Pandora's box — канал специалиста по исследованию высокотехнологических преступлений, настоящего кибердетектива: Пандоры! Новости индустрии, кейсы, книги и материалы. Ну и авторская подача крутейшего специалиста, конечно! Коктейль получается даже интереснее, чем белый русский.
Dana Scully — канал Скалли, практикующей расследовательницы и независимой исследовательницы в области иб. Основные материалы: авторские доклады и обсуждения исследований. Если честно, мы не знаем, когда она успевает спать. Но точно знаем, что контент просто пушка.
😉👍 Подписывайтесь на @osint_mindset
Нам, как специалистам, всегда есть, что вам рассказать. Бесплатно, честно и с душой. Мы искренне любим OSINT, и уверены в том, что вы так же влюбитесь в наш контент, без
Мыслить как безопасник — канал специалиста, не первый год проработавшего в сфере профайлинга. OSINT, корпоративная и информационная безопасность вкупе с самообороной и толикой сурвайва - элегантный набор настоящего джентльмена
false alarm — коллекция гайдов, инструментов и кейсов в помощь для продуктивного OSINT :)
dukera — канал действующего специалиста и докладчика, открывающего другим новые взгляды на старые задачи и рассказывающего про магию OSINT
Информационная безопасность — канал практикующего ИБ-специалиста, собирающего лучшие материалы и создающего настоящее золото в сфере пентеста, SOC, OSINT и других важных направлений
OSINT for Pentest — автор канала, специалист по анализу защищенности, а также докладчик митапов и конференций, публикует инструменты и методы, которые будут актуальны для специалистов различных отраслей OSINT и ИБ
network worm notes — канал с материалами о крипто-расследованиях, цифровой криминалистике и сетях с добавлением капельки искусства
DEVIL MAY SPY – кладовая отборных материалов, разборов и заботливо прописанных гайдов от серого кардинала OSINT и просто отличного специалиста
OSINT CLUB — канал легендарного господина собаки, пионера среди других OSINT-каналов. Только честное мнение, мемы и актуальная информация.
SOCool — канал с полезными материалами о Threat Intelligence, Threat Hunting, а также с новостями и исследованиями в области информационной безопасности и IT
Pandora's box — канал специалиста по исследованию высокотехнологических преступлений, настоящего кибердетектива: Пандоры! Новости индустрии, кейсы, книги и материалы. Ну и авторская подача крутейшего специалиста, конечно! Коктейль получается даже интереснее, чем белый русский.
Dana Scully — канал Скалли, практикующей расследовательницы и независимой исследовательницы в области иб. Основные материалы: авторские доклады и обсуждения исследований. Если честно, мы не знаем, когда она успевает спать. Но точно знаем, что контент просто пушка.
😉👍 Подписывайтесь на @osint_mindset
🔥5👍3🗿1🆒1
Снова забросил что-либо постить, но скоро вернусь 🙂
Наткнулся на статейку об истории зарождения Threat intelligence как направления в ИБ и зачем оно нужно в целом.
Для тех кто даже не слышал об этом термине - рекомендую прочесть) Есть что погуглить после.
Обо всем этом, но более скомкано и сумбурно, я рассказывал на Osint Mindset митапе.
❤️ @SOCool
Наткнулся на статейку об истории зарождения Threat intelligence как направления в ИБ и зачем оно нужно в целом.
Для тех кто даже не слышал об этом термине - рекомендую прочесть) Есть что погуглить после.
Обо всем этом, но более скомкано и сумбурно, я рассказывал на Osint Mindset митапе.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8💩1🗿1
Forwarded from QB_channel
CVE и Vulnerability Intelligence
__________________________
__________________________
Привет!
Точно так же как вам не нужно защищаться от абсолютно всех угроз в мире, вам не нужно следить на всеми CVE в мире.
Сделал канал для проверки гипотезы насколько просто будет сделать уведомлялку о выходящих уязвимостях для конкретного набора продуктов вендоров. Количество вендоров (не продуктов!) для понимания масштаба проблемы
По итогу, концепт вроде получился, но ещё есть над чем работать. Например, добавить информацию о патчах. Наблюдения в процессе работы:
1️⃣ Очень много информации поступает, если подписываться на каждый статус CVE из четырёх и "быть в курсе всех обновлений". Звучит утопически.
2️⃣ В статусе
3️⃣ Фильтровать входящий поток можно:
— по списку вендоров и продуктов (редактирую и вношу исключения в список);
— по критичности (у меня выставлен скоринг
— по наличию эксплойта (публикуется вне зависимости от наличия)
— по статусу, присвоенному CVE (публикуется
4️⃣ Видел ситуацию, в которой на NVD эксплойт был опубликован, а на стороннем сайте, который проверяет их наличие для CVE, отсутствовала информация. Согласен, может быть просто не повезло с сайтом.
Ресурсы:
- cve.mitre.org
- cvetrends
- exploit-db
- nvd.nist
- xakep
- cvedetails
- 0day
Exploits:
- tweetfeed
- inthewild.io
- cxsecurity
- darkfeed.io
- attackerkb
- cisa
Хочется ещё отметить данный эфир AM Live с обсуждением непосредственно процесса Vulnerability Management.
Работа над алгоритмом ещё ведётся, буду сердечно благодарен за пожелания и комментарии 🤝
__________________________
What: #channelWhere: #telegramWho: Qwerty Bubble
When: since 04/05/2023
How: @fresh_vuln__________________________
Привет!
Точно так же как вам не нужно защищаться от абсолютно всех угроз в мире, вам не нужно следить на всеми CVE в мире.
Сделал канал для проверки гипотезы насколько просто будет сделать уведомлялку о выходящих уязвимостях для конкретного набора продуктов вендоров. Количество вендоров (не продуктов!) для понимания масштаба проблемы
По итогу, концепт вроде получился, но ещё есть над чем работать. Например, добавить информацию о патчах. Наблюдения в процессе работы:
1️⃣ Очень много информации поступает, если подписываться на каждый статус CVE из четырёх и "быть в курсе всех обновлений". Звучит утопически.
2️⃣ В статусе
Received/Awaiting Analysis мало полезного. Детальней про статусы есть в закрепе у бота. Не забываем, что предоставляемая информация должна генерировать новую информацию. Что может дать конкретный ID CVE без контекста и данных?3️⃣ Фильтровать входящий поток можно:
— по списку вендоров и продуктов (редактирую и вношу исключения в список);
— по критичности (у меня выставлен скоринг
High [7.0-8.9] и Critical [9.0-10.0]);— по наличию эксплойта (публикуется вне зависимости от наличия)
— по статусу, присвоенному CVE (публикуется
Analyzed)4️⃣ Видел ситуацию, в которой на NVD эксплойт был опубликован, а на стороннем сайте, который проверяет их наличие для CVE, отсутствовала информация. Согласен, может быть просто не повезло с сайтом.
Ресурсы:
- cve.mitre.org
- cvetrends
- exploit-db
- nvd.nist
- xakep
- cvedetails
- 0day
Exploits:
- tweetfeed
- inthewild.io
- cxsecurity
- darkfeed.io
- attackerkb
- cisa
Хочется ещё отметить данный эфир AM Live с обсуждением непосредственно процесса Vulnerability Management.
Работа над алгоритмом ещё ведётся, буду сердечно благодарен за пожелания и комментарии 🤝
👍6💩1