Привет мои Сони🐭 и Алисы✨ . Давно не виделись

Хочу поговорить с вами про крименалистику для борьбы с программаи вымогателями .🦠🗝

Я расскажу методы которые могут применяться для анализа программ-вымогателей ,и таким образом, позволяют обнаружить полезные криптографические фрагменты вредоносного ПО
которые впоследствии можно было бы использовать, чтобы обратить вспять последствия вредоносной программы . Текст давольно большой по этому разделю на 2 части
Ну что начем!

Часть 1 - Дамп данных
Обычные статические методы форензики используются когда система отключена как мы помним

Такой подход имет тонну недоствтков ибо большое количества информации храняться в энергозависмой памяти устройства. Это могут быть к примеру ключи шифрования, сведения об открытом соединении, запущенные процессы, пользователи являются ключи шифрования, сведения об открытом соединении, запущенные процессы, вошедшие в систему пользователи и так далее как вы понимаете это теряются когода оно выключино .
Так что же делать ?

Для этого и придумали life forensics . Он работает с включиной системой 

Но для полноценной крименалистики очень важным оспектом является захват памяти . Существуют 3 основных методов для этого

1. Программный, который обычно включает в себя выполнение программ извлечения помяти. Проблема с этим подходом заключается в том, что выполнение програм вляет на содержимое захваченной системной памяти.

2. Аппаратный, который обычно включает в себя подключение устройства, такие как карты PCMCIA , USB-накопители и тд но для этого всегда не обходим живой доступ к устройству

3. Методы, основанные на технологии виртуализации - Используя этот подход , моментальный снимок энергозависимой памяти анализируемой системы извлекается с помощью инструментов, предоставляемых программным обеспечением виртуализации. Очевидно, что для использования этого метода система должна работать в виртуализированной среде. Преимущества этого подхода над другими в том что никаких следов какой-либо извлечения нет и не нужен изический доступ. Программы не знают, что они анализируются или то что сделан дамп памяти это как раз то что хорошо для работы с програмами вымогателями.
#cryptography #forensics #virus #revers #ransomware

Часть 2 - работа с ключами шифрования🔑

Для чтобы система могла шифровать/дешифровать данные, криптографический алгоритм должен иметь доступ к ключам шифрования.

Давайте более подробно поговорим про извлечение ключей из памяти .

Для начала их нужно идентифицировать.

А как ?

Поскольку известно, что данные ключей имеют более высокую энтропию, чем неключевые данные, один из способов

найти ключ - это разделить данные на небольшие секции, измерить
энтропию каждого участка и отобразить места, где
энтропия особенно высока.

Поиск определенных известных шаблонов в памяти, таких как график ключей, которые характерны для определенных типов шифрования. Эти шаблоны также могут состоять из известных
смещения памяти, конкретные длины участков памяти с высокой энтропией или известные шаблоны энтропии.
Есть много видов шифрования но для примпера приведу идентификацию ключа AES.
AES - это сетевой шифр на основе подстановки-пермутации (SP). Шифр, который работает на 128-битных блоках и может использовать либо 128, 198 или 256-битные ключи.

Некоторые почти невозможным для расшифровки
без правильного ключа .Современные криптосистемы с симметричным ключом строятся с помощью многократного применения более простой функции, при этом выполняется несколько итераций или "раундов". Из главного ключа функция деривации извлекает различные подключи, используемые в каждом раунде. Это известно как алгоритм расписания ключей, и многие исследователи утверждают, что эта информация нуждается в информации.
Многие исследователи утверждают, что эта информация должна присутствовать в памяти . Так к чем это ? Эти знания о криптосистеме могут быть использованы для поиска шаблона ключа в памяти .

Критерием поиска является наличие математической связи между главным ключом и подключами.
Примечательно, что расписание ключей для 128-битного ключа AES представлено в памяти в виде плоского массива байтов, где первые 16 байт (или 128 бит) составляют исходный ключ. Остальные 160 байтов — это раундовые ключи, полученные из этого ключа. Для более крупных ключей AES используется соответствующее расписание ключей.
Захват памяти лучьше выполняеть ближе к началу выполнения программы-вымогателя, чтобы убедиться, что необходимые ключи все еще присутствуют в памяти.В случае атаки программы-вымогателя
где пользователь все еще может взаимодействовать с операционной системе после завершения первоначального шифрования, например программа-вымогатель Phobos, второй ключ AES, может, находится в память. Этот ключ используется для выполнения любых последующих действий шифрование, например, для любых новых созданных файлов. Этот подход возможно, используется, чтобы помешать восстановлению исходного ключа и защитить исходное шифрование.

Что ж пора заканчивать .🧩
Шифровальщиуи это большая тема но надеюсь вы поняли мое краткое обьяснение.
Для более конкретного понимания советую заглянуть в архив со статьями ниже - там много полезных статей и инфы по мимо той что описана выше .

Спасибо за прочтение❣️ . И помните даже если вы заблудились в темном лесу вы обязательно выйдите к замку червонной королевы🃏♥️
#cryptography #forensics #virus #revers #ransomware

Hi my Sony🐭 and Alice✨ . Long time no see.

I want to talk to you about crymalistics to fight ransomware 🦠🗝

I'll describe methods which can be used to analyze ransomware, and thus discover useful cryptographic pieces of malware
which could then be used to reverse the effects of the malware . This is a pretty big text, so I'll divide it into two parts
Here we go!

Part 1 - Data Dump
Conventional static forenziki methods are used when the system is shut down as we recall

This approach has a ton of drawbacks because a lot of information is stored in the energy-dependent memory of the device. This can be for example encryption keys, open connection information, running processes, users are encryption keys, open connection information, running processes, logged on users and so on and so on as you can see this is lost when it is switched off.
So what to do?

That's what life forensics is for. It works when the system is on. 

But a very important aspect for a true life forensics is the memory hijacking. There are 3 main methods for this

1. Programmatic, which usually involves running memory extraction programs. The problem with this approach is that the execution of the programs affects the contents of the captured system memory.

2. Hardware, which typically involves plugging in devices such as PCMCIA cards, USB sticks, etc. but this always requires live access to the device

3 Methods based on virtualization technology - Using this approach, a snapshot of the volatile memory of the system being analyzed is retrieved using tools provided by virtualization software. Obviously, in order to use this method, the system must be running in a virtualized environment. The advantage of this approach over others is that there is no trace of any extraction and no need for physical access. The programs do not know that they are being analyzed or that a memory dump has been made, which is just what is good for dealing with ransomware.
#cryptography #forensics #virus #revers #ransomware

Part 2 - working with encryption keys🔑

In order for a system to encrypt/decrypt data, the cryptographic algorithm must have access to the encryption keys.

Let's talk more about retrieving keys from memory .

First we have to identify them.

And how?

Since we know that the key data has a higher entropy than the non-key data, one way to
to find the key is to divide the data into small sections, measure
the entropy of each section and map the places where
entropy is particularly high.
Search for certain known patterns in memory, such as a key graph, that are specific to certain types of encryption. These patterns may also consist of known
memory offsets, specific lengths of high entropy memory regions, or known entropy patterns.
There are many types of encryption, but for an example I will give you the AES key identification.
AES is a substitution-permutation (SP) network cipher. A cipher that works on 128-bit blocks and can use either 128, 198, or 256-bit keys.

Some are nearly impossible to decrypt
without the correct key .Modern symmetric key cryptosystems are built using multiple applications of a simpler function, with several iterations or "rounds" being performed. From the master key, the derivation function extracts the different connections used in each round. This is known as the key scheduling algorithm, and many researchers argue that this information needs information.
Many researchers argue that this information needs to be present in memory . So what is it to ? This knowledge of the cryptosystem can be used to find the key pattern in memory .

The search criterion is the presence of a mathematical relationship between the master key and the connectors.
It is noteworthy that the key schedule for a 128-bit AES key is represented in memory as a flat array of bytes, where the first 16 bytes (or 128 bits) constitute the source key. The remaining 160 bytes are round keys derived from that key. For larger AES keys, a corresponding key schedule is used.
It's best to perform a memory grab closer to the beginning of the ransomware run to make sure that the necessary keys are still present in memory.In the case of a ransomware attack
where the user can still interact with the operating system after the initial encryption is complete, such as Phobos ransomware, a second AES key may be in memory. This key is used to perform any subsequent encryption activities, such as any new files created. This approach is probably used to prevent the recovery of the original key and protect the original encryption.

Well, it's time to end .🧩
Encryption is a big topic but I hope you understood my short explanation.
For a more specific understanding please go to the archive with articles below - there are many useful articles and information beyond that described above.

Thank you for reading❣️ . And remember even if you get lost in the dark forest you will come out to the castle of the queen of hearts🃏♥️
#cryptography #forensics #virus #revers #ransomware

Статьи про форензику вымогателей - еще там есть методы защиты и многое другое

Articles about ransomware forensics - there are also methods of protection and more
#cryptography #forensics #virus #revers #ransomware

Добрвый день кролики мои 🐰
Сегодня я хочу погорворить об анонимности - в частности что вообще из себя предсявляет анонимность ,про важную тему - такую как маделирование угроз . Да безусловно это базовые вещи и их нужно знать .Статья делиться на 2 части . 1) Что такое анонимность 2) про угрозы

Часть 1 Что такое анонимность🎩

Для начала что такое анонимность ?

У наверняка некоторых из вас размытое представление об анонимности - "анонимность это тор ,i2p , прокси , вуникс" - но , ребятки - анонимность это в первую очередь защищенность
Даже не совесм так - Для меня лично анонимность делиться на несколько этопов ,и один из них защищенность

1) "подозрения"🔎

Этот этап строитьяся на вызове наименьших подозрений .
К примеру: если вы со своего ip подключитесь к i2p и где пуститите какой то большой трафик, естевственно это вызовет позрение. Потому что "зачем вам нужно все это ..хммм" Или с тем же тором - "зачем какой то человек каждый день заходит в тор ".
Для того чтобы таких вопросов не возникало можно , какими либо образами мимикрировать свой подозрительный трафик под что то другое, и так скрывать от провайдеров. Еще есть некоторые другие способы

2) "сокрытие"🧅🧬

Это как раз таки нам привычный этап , работы с тором , проксями , i2p , шлюзами и много чем еще. с целью скрыть себя


3/4) "защищенность и изолированность" 🔒

Есть разные системы и методы изолированности .
К примеру для пк есть хорошая изолированная и защищенная от многиз видов атак система Qubes🔮 .
В категорю изолированности входят: сервера без интернета , в клетке фородея, ибо из за их отстаненности от всего ты с трудом извлечешь с них данные .
А защищенность это : методы защиты от разных видов атак нацелиных на нас , с целью дианона или взлома . В эту оперу входят извсетные уязвимости тейлз, или меня еще смешит когда люди юзаю js в браузере тор (это же такая уязвимость) 😅 . И многие более локальные штуки для разных систем .


5) "пост анонимность или анти форензика"🔑🧩

Это анонимность если вы накосячили , сделали что то плохое, а ваш пк и не только уже попал в лапки спецов по форензики .

В этот этап входят различная криптография, сокрытие файлов ,и какие то болиее системные , узкие вещи .
Например: У меня или у шизо был пост про форензику на линукс - из него из хакеры могли извлечь для себя инфу с целью анонимности.. Такую как - Какие чистить логи, где/что удалять, шифровать ,скрывать и тд .
Как говорил один умный человек "если мы обьясним как чинить самый крутой замок , надйться те кто такие "о я знаю как его взломать"".

Думаю что такое анонимность мы разобрались . Теперь хочу затронуть тему моделирования угроз этой самой анонимности.
Поехали!
#anonymity #threat_modeling

Часть 2 Моделирование угроз

Как вы знаете мои дорогие ребятки (вы ведь умные❤️) нет полной анонимности и природе быть ее не может . Но вы можете повысить ее процент . ➗

Грубо говоря вы не защититьесь от всех атак . Нужно защиаться от более вероятных в той или иой ситуации , и оценивать риски и последствия .
Вообще если вы занимаетесь чем то плохим вас в любом случае поймают.
Вы должны хорошо оценить риски, того ради чего вы это делайте , стоит ли оно того. И да, вы лишь можете уменьшить вероятностью вашей поимки и того что от этого будет.
Например : Чем хуже то что вы делаете, и чем больше инструментов у тех кто будет вас выслеживать, тем более вам стоит анонимизировать себя.

Пример на прктике:

" Есть Вася - вася держет нелегальный, но не очень большой форм в даркнете - Вася знает что если его поймают фбр, и найдут доказательства его причасности к форму ему светит много лет тюрьмы, по этому Вася зная что его "противники" имеют столь большие ресурсы защищается следуя первому пункту анонимности
Использует обычный впн чтобы не палиться провайдеру , подключается к более крутому впн ,еще держит деньги в манеро , переводит себе на катру давольно мало средств(паляться часто именно на транзакциях) или крипту по немногу сразу обналичивает в некоторых сервисах (Для васи этого достаточно ,ибо форм не очень велик и его не очень ищут) .
В этапе 2 вася работает через тор и использует аноимные прокси .
Еще юзает интернет через вуникс . Ибо форм не большой и Васе этого достаточно. в 3/4 он использет +- защищенный вуникс на vm(кьюбе) на +- Защищенном кюбесе .Без особых настроек и устранения уязвимостей
Еще защищается на атак по тору и атак по времини не заходя в тор в опреденное время. + не сидит в обыных браузерах(ибо его противники имеют большие ресурсы)
Насчет хранения данных он юзает кьюбес и немного шифрует важдные и компрометируещее файлы которые если будут найдены ,будут важными доказательствами в суде. "

На месте Васи я бы вообще не занималась таким ибо фбр его в любом сучае могут поймать . По этому Вася соже должен достойно оценит риски " на что и ради чего" ,он идет и стоит ли это ,тех лет тюрьмы что ему возможно светят. 

Тем не мнение мы и смогли смоделировать +- минимальный уровень анонимности Васи. Которого в его случае +- хватит✅

Ещё я знаю один офигенный метод анонимности короче "разделить двух разных для наблюдения людей "🙃 :

1) Вы с самого обычного пк живете обычной жизнью с не безопасными меснжерами и тд. Для наблюдателя вы вне подозрений 
2) Вы с другого пк (именно другого) в "другом месте ", по другому общаясь  (есть много методов для этого) и тд . 
3) Вы - По факту вас в идеале нет для наблюдателя. Пк или сервер  , полностью изолированный вообще от всего. Где храниться важная инфа. 

И чем труднее составить этих " Разных людей " Тем лучше и больше ваша анонимность.⭐️

Что ж, спасибо за прочтение ❤️
Надеюсь вы извлекли для себя что то новое про анонимность и моделирование угроз. ✨

Всем хорошего дня. И помните хорош не тот , кто знает где был червонный валет, а хорош тот кто знает как уйти от пиковой королевы🃏♠️
#anonymity #threat_modeling

Good afternoon my rabbits 🐰
Today I want to talk about anonymity - in particular what is anonymity all about, an important topic such as threat modeling. Yes of course these are basic things and you should know them. This article is divided into 2 parts. 1) What is anonymity 2) About threats.

Part 1 What is anonymity🎩

First of all what is anonymity ?

I bet some of you have some vague ideas about anonymity - "anonymity is tor, i2p, proxies, whonix" , but guys - anonymity is much more security than anything else.
Not even so - for me personally, anonymity is divided into several stages, and one of them is security

1) "suspicion"🔎

This stage is based on the least suspicions.

For example: If you connect from your ip to i2p and where you let in some heavy traffic, of course this will cause suspicion. Because "why do you need all of this ...hmmm" Or with the same torus - "why some people every day comes into torus".
In order for such questions do not arise, you can, or some images mimic their suspicious traffic under that something else, and so hide from the providers. There are also some other ways.

2) "hiding"🧅🧬.

This is exactly the stage we are used to, working with tor, proxies, i2p, gateways and many more to hide yourself.


3/4) "security and isolation" 🔒

There are different systems and methods of isolation .
For example for a PC there is a good isolated and protected from many types of attacks system Qubes🔮 .
Isolation includes: servers without internet, in a cage, because of their isolation you can not retrieve data from them.
Protection is the protection against different types of attacks that target us, like hacking or dianon attacks. This includes famous Tiles vulnerabilities, or it makes me laugh when people use js in a tor browser (that's a vulnerability) 😅 . And many more local things for different systems .


5) "post anonymity or anti forensics"🔑🧩

If you made a mistake, did something wrong, and your computer is already in the hands of forensic.

This includes cryptography, hiding files, and more system stuff.
For example: I or schizo had a post about forensics on linux - from it hackers could extract for themselves information for the purpose of anonymity... Such as - what to clear the logs, where / what to delete, encrypt, hide, etc. .
As one clever man said, "if we explain how to fix the toughest lock, there will be those who are like "oh I know how to break it""

I think we figured out what is anonymity. Now I want to touch on the subject of modeling threats to this very anonymity.
Let's go!
#anonymity #threat_modeling

Part 2 Threat modeling

As you know my dear guys (you're smart ❤️) there is no complete anonymity and in nature it can not be. But you can increase its percentage . ➗

Roughly speaking, you can't defend against all attacks. You need to protect yourself from the more likely attacks, and assess the risks and consequences.
In general, if you do something bad you will be caught anyway.
You have to well assess the risks, of what you are doing it for, whether it is worth it. And yes, you can only reduce the probability of being caught and what happens.
For instance: The worse things you do, and the more tools those who track you down have, the more you can anonymize yourself.

A practical example:

"Ben has an illegal, but not very big form on the darknet - Ben knows that if he gets caught by the FBI, and they find evidence of his involvement in the form, he will face many years in prison, on this Ben knowing that his "opponents" have such large resources is protected by following the first point of anonymity
Uses regular VPN to not expose the provider, connects to a steeper VPN, more he keeps the money in manero, transfers to his kartra pretty little money (stalazha often precisely on transactions) or a little crypto cashes in some services at once (for Ben this is enough, because the form is not very large and not very sought) .
In step 2 he works through torus and uses anonymous proxies. He also uses the internet through Vunix. For the form is not big and it is enough for Ben. In 3/4 he uses + - Secure Whonix on vm(qube) on + - Secure qubes.
Without special configuration and elimination of vulnerabilities. He also protects himself against torus attacks and time attacks without entering the torus at a certain time. + It does not use regular browsers (because its opponents have a lot of resources).
He uses cube and he encrypts a few compromising files, which if found will be an important proof in court. "

If I were Ben, I would not do it at all, because the FBI can catch him in any case. For this reason, Ben should properly assess the risks of "what and for what". He is going and whether it is worth the years of imprisonment he may face. 

Nevertheless, we were able to simulate + - a minimum level of anonymity Ben. Which in his case + - enough ✅.

I also know one awesome method of anonymity in short "separate two different people to watch"🙃 :

1) You from the most ordinary pc live a normal life with not secure messengers etc. To the observer you are above suspicion. 
2) You are from another pc (exactly another one) in "another place", communicating differently (there are many methods for this) etc. . 
3) You - In fact you ideally do not exist to the observer. PC or server, completely isolated from everything. Where important information is stored. 

And the harder it is to make these " Different people " the better and more your anonymity.⭐️

Well, thank you for reading ❤️
I hope you learned something new about anonymity and threat modeling. ✨

Have a good day, everyone. And remember, the good one is not the one who knows where the jack of hearts was, but the good one who knows how to get away from the queen of spades.🃏♠️
#anonymity #threat_modeling

Привет , Нео 🎩
Сегодня я хочу тебе дать выбор "крассная или синяяя таблетка"🚥

Или же представить как по мне неплохой сборник неплохих статей по i2p там есть :
Cтруктура , настройка, аттаки ...
Думаю некоторым может быть полезно

Настройка тор+i2p+впн - да безусловно там базовые вещи но кому то может помочь
Разбор атаки на пользователя I2P - отличное введение в безопасность айтупи на русском
Про i2p и анонимность - тоже на русском
статья подключение и анализ i2p - неплохая позновательная статья на инглиш
Сататья про работу, обнаружимость i2p и тд
Практический пример использования i2p
Анализ сети i2p
Анонимность/i2p
Форензика и i2p
Сравнение и исследование tor, i2p, Riffle

Надеюсь это вам поможет лучьше разобраться в i2p❤️

#i2p #attacks #anonymity