С гордостью представляю вам проект под кодовым названием @tinyscope, который мы делаем вместе с коллегой 🏆
В @tinyscope ежедневно публикуются списки фишинговых и мошеннических доменов, зарегистрированных за последние сутки. В нашем мониторинге 1110 доменных зон (.com, .ru, .net и так далее), в которых мы изучаем свежезарегистрированные домены⚙️ Канал будет интересен тем кто изучает или борется с фишингом и другим членам ИБ сообщества.
Планы на будущее:
🔤 Расширять список брендов и фишинговых кампаний, находящихся в мониторинге;
🔤 Увеличить количество источников для поиска фишинговых ресурсов;
🔤 Добавить не только поиск схожих по названию скам-доменов, но и поиск по контенту;
🔤 Выкатить в общий доступ возможность каждому участнику ИБ комьюнити искать домены по паттерну согласно своим нуждам.
Сейчас возможны сбои и ошибки в работе канала, так как находимся в тестовом режиме. Но мы маленький стартап, так что чиним и исправляем все оперативно🚀
Всегда рады получить обратную связь, поэтому предложения по работе канала можно писать напрямую @ban_alex🥸
❤ @seclemur
❤ @tinyscope
В @tinyscope ежедневно публикуются списки фишинговых и мошеннических доменов, зарегистрированных за последние сутки. В нашем мониторинге 1110 доменных зон (.com, .ru, .net и так далее), в которых мы изучаем свежезарегистрированные домены
Планы на будущее:
Сейчас возможны сбои и ошибки в работе канала, так как находимся в тестовом режиме. Но мы маленький стартап, так что чиним и исправляем все оперативно
Всегда рады получить обратную связь, поэтому предложения по работе канала можно писать напрямую @ban_alex
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Secure Lemur pinned «С гордостью представляю вам проект под кодовым названием @tinyscope, который мы делаем вместе с коллегой 🏆 В @tinyscope ежедневно публикуются списки фишинговых и мошеннических доменов, зарегистрированных за последние сутки. В нашем мониторинге 1110 доменных…»
Forwarded from Cyber Detective
Directory schema in the #Linux file system from twitter.com/bytebytego.
Tip by twitter.com/hackinarticles
Tip by twitter.com/hackinarticles
👍4🗿3
Forwarded from QB_channel
DISARM Framework
__________________________
__________________________
Сегодня хочу обратить внимание на интересный проект. Авторы решили создать "разоружающий" фреймворк с целью структурировать знания о том, как противостоять и, очевидно, распространять дезинформацию. Само наименование проекта они расшифровывают так: “DIS-” это DISinformation и “-ARM” это Analysis и Risk Management.
Миссия благородная. За всё хорошее, против всего плохого 😌 Проект международный, сами авторы подтверждают участие нескольких правительственных команд из стран Северной Америки и различных госструктур. Тем временем в FAQ явно подчёркивают отсутствие финансирования от каких либо правительств. 💶
Если не вдаваться в эти подробности и оглядеться, то создатели реализовали удобный навигатор в стилистике MITRE, на гитхабе можно почитать про историю проекта, даже написан специальный модуль, который ваши данные преобразует в формат STIX, а потом уже можно закинуть их, например, в OpenCTI. Нашёл видео как это работает в конкретном кейсе. Также, компания-разработчик OpenCTI опубликовала в мае прошлого года в своём блоге статью по теме.
Буду ли использовать в работе? Сомнительно.
Было ли любопытно почитать техники и описания? 👀 Определённо)
Context matters!
Со средой 🐸
__________________________
What: #platform Where: #github
Who: The DISARM Foundation
When: 2019
How:__________________________
Сегодня хочу обратить внимание на интересный проект. Авторы решили создать "разоружающий" фреймворк с целью структурировать знания о том, как противостоять и, очевидно, распространять дезинформацию. Само наименование проекта они расшифровывают так: “DIS-” это DISinformation и “-ARM” это Analysis и Risk Management.
Миссия благородная. За всё хорошее, против всего плохого 😌 Проект международный, сами авторы подтверждают участие нескольких правительственных команд из стран Северной Америки и различных госструктур. Тем временем в FAQ явно подчёркивают отсутствие финансирования от каких либо правительств. 💶
Если не вдаваться в эти подробности и оглядеться, то создатели реализовали удобный навигатор в стилистике MITRE, на гитхабе можно почитать про историю проекта, даже написан специальный модуль, который ваши данные преобразует в формат STIX, а потом уже можно закинуть их, например, в OpenCTI. Нашёл видео как это работает в конкретном кейсе. Также, компания-разработчик OpenCTI опубликовала в мае прошлого года в своём блоге статью по теме.
Буду ли использовать в работе? Сомнительно.
Было ли любопытно почитать техники и описания? 👀 Определённо)
Context matters!
Со средой 🐸
🗿2
Чтобы узнать телеграмм аккаунт скамера нужно всего лишь...
...посмотреть куда отправляются данные после кнопки "подтвердить" на фишинговом ресурсе🤡
Как я писал тут, часто при создании фишкитов мошенники допускают ошибки в коде и выдают сами себя. На скриншоте видно, что достаточно использовать панель разработчика в браузере, чтобы увидеть куда улетают украденные данные на фишинговом сайте. В данном случае, отправка осуществляется телеграмм ботом, который отправляет все собранные данные в личку/чат фишеру в открытом виде😎
Кстати, фишинговый ресурс для анализа я приметил здесь.
❤ @seclemur |❤ @tinyscope
...посмотреть куда отправляются данные после кнопки "подтвердить" на фишинговом ресурсе
Как я писал тут, часто при создании фишкитов мошенники допускают ошибки в коде и выдают сами себя. На скриншоте видно, что достаточно использовать панель разработчика в браузере, чтобы увидеть куда улетают украденные данные на фишинговом сайте. В данном случае, отправка осуществляется телеграмм ботом, который отправляет все собранные данные в личку/чат фишеру в открытом виде
Кстати, фишинговый ресурс для анализа я приметил здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🗿2
Forwarded from Tinyscope
Привет! 👀
Мы запускаем своего бота @tinyscope_bot в свободное плавание!
Что он умеет сейчас:
✔️ Искать с помощью регулярных выражений домены среди зарегистрированных за последние сутки и за последние 30 дней;
✔️ Смотреть DNS записи домена;
✔️ Получать Whois данные ресурса.
Надеемся он окажется полезным в вашей работе.
❤ @tinyscope |❤ @tinyscope_bot
Мы запускаем своего бота @tinyscope_bot в свободное плавание!
Что он умеет сейчас:
Надеемся он окажется полезным в вашей работе.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🆒2
#Охотимся на командные центры стиллеров👀
Известно, что боты в Telegram используются как C2 не только в фишинговых китах, но и для эксфильтрации данных с зараженной машины. На гитхабе полно разных примеров для отправки данных по пути хост жертвы->злоумышленник (link1 или link2).
Практически во всех случаях используется метод sendMessage , который имеет вид:
Часто такой урл даже не шифруется внутри ВПО, что дает нам получить токен бота. Имея токен бота мы можем не только получить данные, которые украл злоумышленник, но и данные самого злоумышленника (утилита или методы Telegram bot API).
А где мы можем найти такие семплы? Конечно на песочницах!
1️⃣ Идем на любую песочницу с функционалом поиска по семплам. Например, Virustotal;
2️⃣ Ищем файлы, которые как-то коммуницируют с
3️⃣ Переходим в любой из вредоносных файлов и также идем в Relations;
4️⃣ Во вкладке Contacted URLs мы видим ключ для доступа к боту в сыром виде.
Этим же способом можно найти образцы ВПО, которые отправляют украденные данные в Discord, Anonfiles, Pastebin etc🧠
❤ @seclemur |❤ @tinyscope
Известно, что боты в Telegram используются как C2 не только в фишинговых китах, но и для эксфильтрации данных с зараженной машины. На гитхабе полно разных примеров для отправки данных по пути хост жертвы->злоумышленник (link1 или link2).
Практически во всех случаях используется метод sendMessage , который имеет вид:
https://api.telegram.org/bot{Your_bottoken}/sendMessage?chat_id={your_chat_id}&text=Hello_worldЧасто такой урл даже не шифруется внутри ВПО, что дает нам получить токен бота. Имея токен бота мы можем не только получить данные, которые украл злоумышленник, но и данные самого злоумышленника (утилита или методы Telegram bot API).
А где мы можем найти такие семплы? Конечно на песочницах!
api.telegram.org (Relations -> Communicating Files);Этим же способом можно найти образцы ВПО, которые отправляют украденные данные в Discord, Anonfiles, Pastebin etc
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Offensive OSINT
Тонкости рекона
Каждый слышал про crt.sh, но не каждый знает, что когда вы совершаете запрос по вашему домену/организации/слову, то он имеет ограничение в 10к результатов.
Популярные инструменты для сбора поддоменов зачастую используют вот такой запрос к этому ресурсу:
Полная статья | Канал автора
#subdomain #crtsh
Каждый слышал про crt.sh, но не каждый знает, что когда вы совершаете запрос по вашему домену/организации/слову, то он имеет ограничение в 10к результатов.
Популярные инструменты для сбора поддоменов зачастую используют вот такой запрос к этому ресурсу:
https://crt.sh/?Identity=example.com&output=jsonУ этого же ресурса есть публична postgresgl база данных с гостевым доступом:
psql -h crt.sh -p 5432 -U guest certwatchС помощью прямого подключения к бд можно обойти указанный лимит, составив запрос самостоятельно.
Полная статья | Канал автора
#subdomain #crtsh
Telegraph
Тонкости рекона
crt.sh Давно ничего не писал, хотелось статью, но вышла пока только заметка. Итак crt.sh это ресурс, который мониторит и собирает в себя выпускаемые сертификаты. Является одним из самых популярных источников поддоменов. И все бы с ним хорошо, только вот запрос…
👍5🗿3🆒1
Куча дашбордов, в которые интересно потыкать
Сам я залип в ShadowServer - много информации об IoT устройствах по миру и различные данные с ханипотов
❤ @seclemur |❤ @tinyscope
Сам я залип в ShadowServer - много информации об IoT устройствах по миру и различные данные с ханипотов
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Tinyscope
Привет! 👀
В процессе разработки и исследований образовался скрипт для получения данных из TLS/SSL сертификата. Максимально быстрый и не требует танцев с бубном как zgrab2.
Принимает на вход домен/список доменов, а на выходе отдает файл в JSON :
Попробовать можно здесь:
🧩 Github
❤ @tinyscope |❤ @tinyscope_bot
В процессе разработки и исследований образовался скрипт для получения данных из TLS/SSL сертификата. Максимально быстрый и не требует танцев с бубном как zgrab2.
Принимает на вход домен/список доменов, а на выходе отдает файл в JSON :
./gocert -f ./domains.txt -o ./output.json
Попробовать можно здесь:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Forwarded from Tinyscope
Фишинг под владельцев пунктов выдачи Ozon.
Кто знаком с личными кабинетами пунктов выдачи - какие можно действия совершить, имея туда доступ?🤔
❤ @tinyscope |❤ @tinyscope_bot
Кто знаком с личными кабинетами пунктов выдачи - какие можно действия совершить, имея туда доступ?
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Tinyscope
Как ребята на той стороне адаптируются под новостную повестку:
mtsbank.space
mtsbank.website
mtsbank-ipo.ru
mtsbankipo.ru
mts-bank.pro
mtsbank.xyz
mts-banking.online
mtsbank-ipo.online
mtsbank.shop
mtsbank.press
mtsbanking.online
mts-bank.online
Контента пока что на ресурсах нет, но думаю как только новость об IPO разлетится по интернету, то появятся предложения участия в IPO на выгодных условиях👀
❤ @tinyscope |❤ @tinyscope_bot
mtsbank.space
mtsbank.website
mtsbank-ipo.ru
mtsbankipo.ru
mts-bank.pro
mtsbank.xyz
mts-banking.online
mtsbank-ipo.online
mtsbank.shop
mtsbank.press
mtsbanking.online
mts-bank.online
Контента пока что на ресурсах нет, но думаю как только новость об IPO разлетится по интернету, то появятся предложения участия в IPO на выгодных условиях
Please open Telegram to view this post
VIEW IN TELEGRAM
Деанон самых матерых
Минюст США сегодня опубликовали данные с установлением личности LockBitSupp - администратора и разработчика группировки вымогателей LockBit. Наверное, одной из самых известных ransomware группировок в даркнете - по данным разных источников доходы группировки исчисляются миллионами, если не миллиардами долларов.
Blackhat - это как игра в казино. Ты можешь в моменте сорвать куш, но на дистанции все ровно проиграешь. Да еще и в этом случае нанесешь вред окружающим.
❤ @seclemur |❤ @tinyscope
Минюст США сегодня опубликовали данные с установлением личности LockBitSupp - администратора и разработчика группировки вымогателей LockBit. Наверное, одной из самых известных ransomware группировок в даркнете - по данным разных источников доходы группировки исчисляются миллионами, если не миллиардами долларов.
Blackhat - это как игра в казино. Ты можешь в моменте сорвать куш, но на дистанции все ровно проиграешь. Да еще и в этом случае нанесешь вред окружающим.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🗿2
Недавно выступал на митапе где рассказывал о том куда можно пожаловаться на фишинговые и вредоносные ресурсы. Мне задали вопрос можно ли подать жалобу на вредоносный контент в Telegram.
Вот список контактов куда стоит сообщить:
⏩ Volunteer support (Контакты есть в настройках TG)
⏩ @Notoscam
⏩ @AmeliaTearheart
⏩ Форма на сайте (https://telegram.org/support?setln=ru)
⏩ На почты:
- sms@telegram.org - проблемы со входом;
- dmca@telegram.org - проблемы с каналом;
- abuse@telegram.org - жалоба на контент;
- sticker@telegram.org - жалоба на стикеры;
- stopCA@telegram.org - детское насилие;
- recover@telegram.org - восстановить аккаунт;
- support@telegram.org - общая поддержка;
- security@telegram.org - вопросы безопасности.
❤ @seclemur |❤ @tinyscope
Вот список контактов куда стоит сообщить:
- sms@telegram.org - проблемы со входом;
- dmca@telegram.org - проблемы с каналом;
- abuse@telegram.org - жалоба на контент;
- sticker@telegram.org - жалоба на стикеры;
- stopCA@telegram.org - детское насилие;
- recover@telegram.org - восстановить аккаунт;
- support@telegram.org - общая поддержка;
- security@telegram.org - вопросы безопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
23 апреля нашел два свежезарегистрированных домена, паттерн которых был похож на те, что использует группировка SideWinder при своих атаках:
SideWinder - индийская прогосударственная группировка, атакующая преимущественно соседние с Индией государства с целью шпионажа.
23 мая появляется отчет с изучением инфраструктуры группировки, где среди прочих перечислены вышеупомянутые индикаторы.
Примерно понимая шаблон по которому группировка подготавливает домены для своих фишинговых атак, я поискал недавно зарегистрированные тут - @tinyscope_bot
OSINT инструменты помогают находить и отслеживать деятельность группировок. Многие из них бесплатны и общедоступны.
❤ @seclemur |❤ @tinyscope
gov-govpk.info
dgps-govpk.com
SideWinder - индийская прогосударственная группировка, атакующая преимущественно соседние с Индией государства с целью шпионажа.
23 мая появляется отчет с изучением инфраструктуры группировки, где среди прочих перечислены вышеупомянутые индикаторы.
Примерно понимая шаблон по которому группировка подготавливает домены для своих фишинговых атак, я поискал недавно зарегистрированные тут - @tinyscope_bot
OSINT инструменты помогают находить и отслеживать деятельность группировок. Многие из них бесплатны и общедоступны.
Please open Telegram to view this post
VIEW IN TELEGRAM
🗿4👍3
Forwarded from Bimbosecurity
Мой хороший, краулинг публичных отчетов — это не Threat Intelligence 😘😘
💩3
Forwarded from Tinyscope
Запилили приятный сайтик со статистикой по доменам и некоторыми дашбордами - tinyscope.ru
А по этой ссылке можно наглядно увидеть что из себя представляет Certificate Transparency Log😵
❤ @tinyscope ❤ @tinyscope_bot
А по этой ссылке можно наглядно увидеть что из себя представляет Certificate Transparency Log
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5