#wifi #wireless_hacking #network

Вирусы победили, но не бойтесь манеро будет следующей я думаю, если не найду" внештатно " материал лучше

Привет, друзья. Ну что, пойдем пить чай со шляпником?👒
Поговорим про вирусы🦠💉
Я долго думала как сделать этот пост - короче, в нем я разберу ОСНОВНЫЕ принципы реверса и прикреплю несколько полезных статей для тех, кто горит желанием углубиться.

Для реверса вирусов сначала идет базовый анализ - т.е нужно понять что программа вообще вредоносная. Далее уже мы изучаем ее с помощью более продвинутого анализа и смотрим как она работает.
Есть два основных метода реверса: статический и динамический.

При статическом вирусы изучают не запуская, грубо говоря, мы анализируем структуры бинарного файла, его атрибутов, логических структур, потока исполнения и данных и тд. 

При динамическом - запускают и проводят манипуляции с запущенными вирусами, грубо говоря, отслеживанием действий программы при исполнении, построением её профиля.

Динамический мне нравится больше, впрочем, тут на вкус и цвет и все для своих задач.
К тому же, я считаю, что на практике лучше их комбинировать.

Возьмем задачку на практике - Кате по почте на рабочий компьютер с системой Windows прислали письмо с прикрепленным файлом - Катенька его открыла и через время на компьютере стали происходить странные вещи - мы уже знаем что за файл может служить всему виной. Нас позвали посмотреть что это вообще, разобраться что оно делает и какой ущерб нанесло инфраструктуре компании нашей Катеньки.

Для начала - распаковка.
Первым делом я открою его в каком-нибудь отладчике-дизассемблере(их довольно много, выбирайте на свой вкус) и посмотрю, выглядит ли наш файлик на первый взгляд чем то закриптованным. Для простоты - да, наш файлик вероятно закриптован.
Теперь следует проверить наш файлик в PEiD, может быть он обнаружит стандартные упаковщики или крипторы и подобное? Есть два варианта: если наша программка нашла упаковщик, то просто скачиваем любой автоматический распаковщик и снимаем этот слой защиты, а если нет (как это часто бывает), то анализируем код самостоятельно и натыкаемся на, к примеру, манипуляции с памятью; далее копаем в этом направлении и снимаем слои защиты, подходя к функционалу вредоноса - тут нет одного точного способа, все зависит от вируса, это нужно уже разбирать на более конкретных примерах. Далее мы добрались до функций вируса. Делаем дамп процесса для получения исполняемого распакованного файла вируса.

Далее начинаем динамический анализ - у нас уже есть готовый файл вируса и нам нужно его запустить.
Запускаем. Первым делом я перейду в Wireshark, чтобы посмотреть сетевую активность нашего вредоноса. Эта часть мне кажется самой интересной, впрочем, каждому свое. Анализируем наш трафик и видим допустим. Анализируем трафик (часто кстати в компаниях, которых так взломали, дают уже готовые снимки трафика для нашего анализа):
Для начала - пробегаемся по пост запросам и видим один подозрительный. Открываем его, изучаем более конкретно и видим: "ага...с нашего пк произошел странный пост запрос на сайт http://вирус.cdd" или что-то подобное. Смотрим, что же мы отправили? А отправили мы заголовки, данные и тд. И видим, что вредонос с сервера, допустим 111.exe, тоже качает. Cмотрим что он делает. Видим, что это допустим rat, который делает скриншоты и отправляет jpg на сервер.
Конец. Мы выяснили что и как.🎇
Ох...Чувствую захейтят меня за эту статью..
Ну в оправдание скажу, что только в середине поняла, что лучше писать на конкретном примере, а переписывать уже не хотелось.
Но надеюсь вам удалось базово понять, как проходит анализ вирусов. Для более конкретного понимания, я составлю сборник статей на эту тему в архиве ниже.

Также вот несколько сайтов со сборниками статей:
http://fumalwareanalysis.blogspot.com/p/malware-analysis-tutorials-reverse.html
https://www.pelock.com/articles
А на этом пора заканчивать.
Спасибо за прочтение❤️🦠
Не забывайте, что если вы пришли в замок Пиковой королевы - нельзя рвать ее розы =)🥀
#forensics #virus #revers #malware

Статьи про реверс вирусов
#forensics #virus #revers #malware

Добрый день мои Мери эн . ❤️

Один мой подпсичик попросил мня написать про пинтест Iot , но я решила что тематика их форензики будет намного интереснее ,а про пинтест вы увидете чуть позже.
Это будет как введение ибо на прктике нет серебряной пули от всего для каждого устройства свой тип расследования .
НО более конкретно посмотрите в архиве статей ниже 🧳 - там разбор на более конкретных примерах как к примеру: умный дом🏠,умные часы⏰ , камеры📷 и проблемы этой крименалистики .

Для начала разберемся что за iot такой .

Iot - это сеть устройств собирающих и работающих с данными человека без его особого участия , к примеру транспортные средства, умные часы ,умные парковки и другие объекты и устройства, оснащенные датчиками, программным обеспечением и тд, которые позволяют им передавать и получать данные — к другим вещам и системам и от них.

Устройства Iot обмениваются данными датчиков, которые они собирают, подключаясь к шлюзу Iot или другому пограничному устройству, где данные либо отправляются в облако для анализа, либо анализируются локально.
Иногда эти устройства взаимодействуют с другими связанными устройствами и действуют на основе информации, которую они получают друг от друга.

Как вы могли понять эти устройства выполняют большую часть работы без вмешательства человека, но прошу заметить люди могут взаимодействовать с устройствами, например, настраивать их, давать инструкции или получать доступ к данным.

Так как же проводить крименалистический анализ таких устройств и вообще в чем отличие от обычной ?

Как вы могли понять в отличие в том что форензика Iot включает в себя сразу кучу устройств одноврименно
Разберем конкретно экспертизы
Экспертиза на уровне IoT - процесс извлечения тестов из памяти устройства . В этот процесс можно включить множество устройств - датчики ,умные бытовые приборы, умные камеры , RFID и дроны .
Про извлечения данных со всех них это отдельная тема

Сетевая экспертиза - процесс выявления и извлечения тестов из сетевого журнала, следов трафика устройств и шаблонов связи. Что касается традиционных расследований, но Iot включает дополнительные модели..Такие как, телесная сеть или персональная сеть например Bluetooth или ZigBee . Это тоже как отдельная тема

Облачная экспертиза - это процесс экстраполяции информации в облаке, используемом устройствами. Поскольку устройства Iot обычно имеют ограниченный объем памяти, большая часть информации хранится в облачных приложениях, которые которые в свою очередь могут содержать огромное количество потенциальных доказательств .

Учитывая объем информации, которую можно восстановить из различных объектов, задействованных в облаке , облачная криминалистика играет важную роль здесь.. системные журналы, журналы доступа, файлы cookie, аутентификация пользователей и многое другое
В их крименалистике мы можем столкнуться с многими трудностями. Это связано с особенностями таких технологий как RFID, датчики и облачные вычисления, котррые мы помним используют в IoT вместе с огромным колличеством информаии обрабатываемой ими .
Некоторые из этих проблем бывают такие как неоднозначность местоположения данных, сбор данных, разнообразие устройств, типы данных, изменчивость данных, отсутствие адекватных инструментов и тд.

Для такой крименлистики часто используют машинное обучение для обработки такого количества данных и обычные способы только в больших маштабах .Как вы можете понять это давольно сложно но вместе с тем интересно .🌅

Но думаю на этом пора заканчивать ,смотрите статьи ниже.
И помните когда пьете сироп чтобы уменьшиться не забудьте ключи на столе🔑
Ура 🎉Вот и появился мой новый канал .
Посты выше это посты с моего прошлого не технического канала =)
Тем не мнение я оставлю их здесь для новых подписчиков
В будующем в этом посте будут собраны теги .
#forensics #lot

#forensics #lot

Еще раз привет, вы все еще в стане чудес? 🔮

Хочу не отклаладывая поговорить про пинтест .

Пинтест Iot как писалось в статье выше -которая про крименалистику , этих устройств великое множество =)

Но те мне мнение не могу не рассказать про основыные методы их пинтеста.

Они включают в себя:

Проверка на слабые или системные пароли, их часто не меняют ,небезопасные сетевые сервисы , небезопасные интерфейсы экосистемы ,отсутствие механизма обновления
,использование небезопасных или устаревших компонентов , недостаточная защита конфиденциальности ,небезопасная передача и хранение данных , отсутствие нормального управления устройствами, настройки по умолчанию .

И много много более "узких методов"
И подобное опять же для более конкретного понимаия будут сатьи ниже ибо векторы отак тут от сети до апи и моильных прложений , к тому же устройства входлящие в эту инфраструкуру могут быть совершенно разными.
И писать про все это давольно долго да и не разумно по этому хочу предоставить вам маетерьял для самостоятельного изучения

А на этом думаю пора заканчивать 🧩
Спасибо за прочьтение ❤️,смотрите статьи ниже.

И придя в дом к белому кролику не забывайте стучать в дверь🐰🏠





Hi again, are you still in the wonderland? 🔮

I want to talk about pintest without delay.

Pintest Iot as written in the article above-which is about crimenalistics , these devices a great many =)

But you can not help but tell me about the basic methods of their pintest.

They include:

Checking for weak or system passwords, they are often not changed , insecure network services , insecure ecosystem interfaces , lack of update mechanism
, use of insecure or outdated components, lack of privacy protection, insecure data transfer and storage, lack of normal device management, default settings.

And many more "narrower methods".
And similar again for a more specific understanding will be the articles below, since the vectors of attacks here are from the network to the api and my applications, besides the devices that are part of this infrastructure can be quite different.
I want to write about it all rather long and not reasonable so I want to give you some material for your own study

And that's the end of it 🧩
Thank you for reading ❤️, see the articles below.

And when you come to the house of the white rabbit do not forget to knock on the door🐰🏠
#pentest #lot

#pentest #lot

Хахах , еще раз привет я снова тут
Сегодня многовата матерьяла не так ли ?
Но как говориться иногда хочется ускорить шиг по пути в страну чудес 🌷

Для тех кто хотел про новые уязвимости, держите новую сатью от CISA про много экспулотируемых cve ,

Таких как CVE-2020-36193 или CVE-2020-28949.

Все предоставленые там уязвимости весьма опасны и на большенство из них уже есть эксплоиты
https://thehackernews.com/2022/08/cisa-adds-10-new-known-actively.html
#news #cve

Привет мои Нео 🎩
Вы все еще в стране чудес =) 🔮
Давно ж меня не было . Проследуем за мной к новому приключению .
Я хочу рассказать вам про атаки на SS7📡 -
Статья будет разбита на несколько частей : 1) часть размыто об ss7 , часть 2 об размыто атаках, часть 3 более подробно об атаках - 3,5 такст 3 слишиком большой
Еще поробнее о них в архиве ниже.
Начнем же !

Часть 1 Ознакомление с ss7📡

Для начала разберемся что такое SS7?

SS7 - это система сигнализацииб набор сетевых протоколов, обеспечивающих обмен служебными сообщениями между мобильными станциями и телефонными станциями, а также между просто телефонными станциями.
Этот стандарт появиля давольно давно - в 1970-х годах📞 .
Многие его уязвимости как раз идут из ее возвраста .

Более подробно .
Обеспечивают функциональную совместимость сигнализации SS7 для работы в сетях на основе IP. Протоколы SIGTRAN. Это позволяет услуге PSTN работать через устаревшие как аналоговые системы телефонной связи так и современное сетевое IP-оборудование
SIGTRAN использует свой собственный протокол управления потоком , в отличие от протокола управления передачей или протокола пользовательских дейтаграмм .
Были кстати ранние реализации сигнализации SS7, такие как SS5. SS5 использовали внутриполосную сигнализацию, где тот же канал, используемый для голоса, также передавал тональные сигналы для управления вызовами. Это вызвало много проблем.
Иногда, например, вызывающие абоненты могли слышать звуковые сигналы. Это также требовало резервирования голосового канала для сигнализации, даже если другая сторона была недоступна, что связывало ресурсы.
Это давало вызывающим абонентам прямой доступ к каналу управления, что позволяло ранним хакерам, называемым фриками использовать простые генераторы тона, такие как синий ящик, для управления телефонной системой, чтобы совершать бесплатные звонки, а также для других целей.

Чтобы устранить проблемы внутриполосной сигнализации SS7 использует внеполосную сигнализацию, называемую CCS. В CCS для передачи управляющих сигналов SS7 используется выделенный канал, отдельный от голосового канала. Этот канал доступен только базовой инфраструктуре, а не конечным абонентам, что повышает безопасность. =)

ПО факту SS7 это высокопроизводительная пакетная система, которая может передавать большой объем информации, связанной с вызовом и пользователем.
Дополнительный канал данных, сделал возможным использование многих современных удобств телефонной связи. Его также можно использовать для услуг, не связанных напрямую с голосовыми вызовами
Из-за уровня доступа, который SS7 обеспечивает к инфраструктуре, и необходимости в дополнительной выделенной линии, SS7 в основном используется между коммутаторами телефонной сети и не используется на местном уровне для подключения местной АТС к клиенту.

В SS7 существует три основных типа узлов сигнализации- SSP, STP и SCP (Ксатати все узлы в сети SS7 называются SP. Каждый SP идентифицируется уникальным адресом, называемым PC. SP имеют возможность считывать PC и определять, предназначено ли сообщение для этого узла, а также возможность маршрутизировать сообщения )

Но так вот SSP инициируют или завершают вызов и являются начальной точкой в сети SS7. Сигналы управления направляются через различные STP, которые работают как взаимосвязанные коммутаторы в сети SS7.
SCP определяют, как маршрутизировать вызов или настроить и управлять некоторыми специальными функциями.
SCP и STP обычно существуют в виде набора отдельных узлов, чтобы обслуживание могло продолжаться в случае сбоя одной сетевой точки.
SCP также могут обмениваться данными с точкой данных службы, в которой хранится пользовательская база данных и каталог. SSP распознает вызовы из сети общего пользования и передает их для обработки в SCP.
как мы помним SCP содержит центральную базу данных для обслуживаемого региона .
SCP в ответ на запрос передает в SSP информацию как обработать вызов, который SSP затем осуществляет под управлением SCP.📲
Думаю краткое обьясмнение погогло освежить память 🙃
Пойдемте к частям про атаки
#ss7 #attacks #mobile #part1, #network

Часть 2 Размыто про виды атак ☠️

Теперь про виды атак.

А бывают такие способы как:

Некие локальные DoS-атаки.
Злоумышленник может отключить мобильные услуги для конкретного абонента, группы абонентов, случайных абонентов или в некоторых случаях для всей сети.

Отслеживание местонахождения MSC/VLR.
Злоумышленник может определить местонахождение мобильного телефона абонента с помощью поддельного запроса в SRI-For-SM (MAP-Send-Routing-Info-For-SM).
Для таких атак может помочь компроментация сотрудников на стороне операторов.
Ну тут все и так понятно.

Еще есть такая атака как подделка СAMEL🐫
Часто операторы отвечают именно через протокол CAMEL, а в этом может быть уязвимость.
К примеру это также позволяет хакерам подделать, что типо они операторы, отправляя собственное сообщение, которое сначала направляет каждый телефонный звонок, исходящий с определенного номера, через их систему..

Так же атаки на перехват звонков и sms с выдачей себя за HLR при передачи номера в VMSC.🎯

Размыто про атаки думаю вы поняли 🧩

Пойдем дальше!✨
#ss7 #attacks #mobile #part2, #network

Часть 3. Подробнее об некоторых атаках 🔑

Начнем с раскрытия местоположения 🌍

Кажадая BS имеет антенны для связи. Антенна обеспечивает радиопокрытие соты, каждая сота имеет свой идентификатор - CI.
BS группируются в, так сказать, географические зоны. Идентификатор такой группы называется LAC. Потом BS подсоединяются к BSC. Все BSC подключаются к MSC, он представляет собой обычный коммутатор голосовых телефонных вызовов.
VLR считается отдельным элементом сети, но обычно всегда интегрирован с MSC,
дадада вот к чему была вся та эпопея .
VLR имеет базу данных. В ней VLR содержится информация об абонентах, которые в данный момент находятся в зоне действия данного MSC.

Как вы понимаете (ибо вы у меня умные), это я говорю об их местоположении. 🌎
То есть я имею ввиду, что местоположение каждого абонента вплоть до сот хранится в этой базе данных. Есть еще несколько узлов, которые связаны с местоположением, к примеру HLR для местоположения домашних абонентов, так сказать, и AuC - центр аутентификации. Они размещаются вместе.
HLR/AuC хранят профили абонентов своей сети.
Кто не знает, скажу какая инфа там содержится, это понадобится нам в дальнейшем - там есть
телефонный номер абонента, IMSI, ключи для безопасности связи, список разрешений, адрес биллинг-центра, MSC/VLR абонента.
Почти то же самое появляется в VLR, когда абонент регистрируется в зоне его действия.

Теперь немного отойдем от темы и поговорим про отправку sms.✉️
Обслуживающий MSC встраивает сообщение в MAP и отправляет его в центр службы коротких сообщений, связанный с МСК. Последующее подтверждение отправляется от SMSC на MSC, указывающий получение SMSC. Тот не знает местонахождение терминирующего абонента, поэтому просит информацию у HLR, он же, в свою очередь, ищет его с помощью SRI-For-SM.
#ss7 #attacks #mobile #part3, #network

Часть 3,5 - Атаки.

Так, теперь подробно разберу несколько атак

Первая о которой хочу рассказать - это когда выдает себя за SMSC, который хочет доставить смс и получает местоположение юзера сети.
Хакеру или поддельному SMSC требуется MSC/VLR сети данного абонента. Он отправляет в SRI-For-SM запрос с MSISDN целевого абонента. Затем он адресует сообщение STP-шлюзу в домашней сети нашего целевого абонента. Хакер обычно не знает адрес HLR абоенета, поэтому он проворачивает хитрости с тем что он устанавливает GTT и использует MSISDN в качестве адреса вызываемой стороны SCCP. Таким образом адрес хакера будет помещен в поле адреса вызывающей стороны SCCP. А шлюз STP выполняет GTT для поиска кода точки и подсистемы HLR. Затем сообщение направляется в HLR. HLR запрашивает бд, используя MSISDN в качестве ключа.
А результаты запроса помещаются в ответ SRI-For-SM и отправляются к STP-шлюзу для маршрутизации обратно к отправителю запроса. Т.е. к хакеру. В результате он имеет IMSI абонента, MSC/VLR в настоящее время обслуживает абонента, код точки SS7 Адрес HLR в домашней сети абонентов.

Давайте разберем еще одну атаку - я не буду разбирать все виды атак, приведенные мной выше, ибо слишком долго. Это будет в статьях ниже.

Начнем с предисловия
Напомню, что когда пользователь входит в сеть роуминга - он регистрирует себя с одном из MSC роуминговой сети, с которым домашняя сеть должна заключить соглашение. Ну так вот, VMSC отправляет запрос на обновление местоположения карты в HLR. Это сообщение содержит GT наряду с другими параметрами. HLR сохраняет адрес в бд-шке, чтобы в будущем все вызовы и короткие сообщения могли маршрутизироваться через этот VMSC для абонента. HLR отправляет сообщение, которое содержит информацию о профиле абонента, сведений о безопасности и адрес его gsmCSF со списком событий, о которых следует сообщать в домашнюю сеть для конкретного абонента.
Если абонент совершает звонок в домашнюю страну без кода страны, то VMSC не распознает формат набранного номера и запрашивает gsmCSF домашней сети абонента инструкции относительно вызова. gsmCSF преобразует набранный номер из местного формата в международный, вводя код страны, и сообщает VMSC переадресовать вызов на измененный номер. Ну так вот, VMSC перенаправляет этот вызов в MSC вызываемой стороны.📡


Теперь о самой атаке. Юзается следующим способом:

Прежде всего, хакеру необходимо нужно знать адрес обслуживающего MSC, IMSI и MSRN абонента.
Злоумышленник выдает себя за SMSC, как и в прошлой атаке, собственно HLR возвращает IMSI, msrnMSRN и GT обслуживающего MSN.
Но мы пройдем чуть дальше =))
На следующем шаге злоумышленник действует как домашний HLR и отправляет данные подписчика вставки карты в VMSC, который содержит список событий и адрес вредоносного gsmCSF, по которому необходимо сообщать об этих событиях. Когда абонент совершает вызов без кода страны, он отправляет сообщение ISUP (IAM) в VMSC. VMSC в свою очередь пересылает этот запрос на контролируемый хакером gsmCSF/entity, рассматривая как обычный адрес.
Хакер меняет набранный номер на номер по своему выбору и возвращает измененный номер в VMSC с просьбой переадресовать вызов на этот номер.
VMSC перенаправляет вызов на указанный хакером номер, который может быть записывающим прокси-сервером. У хакера есть фактический номер получателя, он может переадресовать вызов получателю и может записывать или прослушивать разговор через этот прокси-сервер. Вызов подключен, но ни одна из сторон, участвующих в вызове, не знает о перехвате.

Вот примерно такая структура этих атак =)

А на этом все, пост пора заканчивать, спасибо за прочтение❤️

Надеюсь вам было понятно - смотрите статьи про эту тему в архиве ниже.

Ну что ж, не забывайте, придя на чаепитие к шляпнику - чай может быть не всегда вкусным ☕️🎩
#ss7 #attacks #mobile #part3, #network

Архив со статьями

Articles archive
#ss7 #attacks #mobile #archive, #network