Good afternoon my bunnies 🐰

Welcome to the wonderland so to speak. The admin wanted to touch mobile communications again
This time VoLTE and VoWiFi, or rather in this post I want to touch on VoLTE and Wi-Fi Calling , and attacks on them.
In their structure these two services are similar. But let us in order, the post will be divided into 5 parts because it is long. As well as an archive of detailed material on this topic will be below.

Let's start with VoLTE..📞

Roughly speaking VoLTE is a voice-over-IP scheme for PS.
But only PS based entirely on LTE . It does away with CS- the traditional solution for calls on 2G/3G networks. Voice messages are transmitted in ip packets on the data plane, not on a dedicated circuit. To facilitate voice communications, each VoLTE each call supports a separate signaling session.
VoLTE offers obvious advantages over traditional 2G/3G including improved quality (e.g., high definition calls), more features (e.g., video calls, voicemail) , and better compatibility (e.g., in mobile networks, wifi).
As VoLTE changes its design paradigm from CS to PS, we are interested in the question of whether such a significant change could be detrimental to the LTE network as well as to the users.

VoLTE uses the architectural structure of IMS

IMS provides ubiquitous media access using a common ip interface. Another important aspect is VoLTE support for UEs that are roaming.
There are two competing technologies for providing VoLTE roaming, namely LBO and S8HR.



The VoLTE architecture is based on 3GPP architecture and principles for VoLTE UE, LTE, EPC and IMS Core Network

It consists of the following features:
VoLTE UE contains functionality to access LTE RAN and EPC to enable mobile broadband connectivity. Access to VoLTE services requires an embedded IMS stack and a VoLTE IMS application;
E-UTRAN radio access network : LTE radio capabilities for FDD LTE, TDD LTE or for FDD and TDD LTE apply to VoLTE as well;
Enhanced packet core : EPC ;
The underlying IMS network in the VoLTE architecture provides the service layer of providing multimedia telephony;
I think the basic structure is clear to you. For more details about the architecture see the articles in the archive below (as well as more details about attacks🙃 )

VoLTE can interfere with other system components, thus creating new loopholes for attackers on the general network . 
PS-based operations for voice and data can enable data transmission over VoLTE . 

Moreover, because ip forwarding is readily available to the mobile OS, VoLTE extends access to CS within the device chipset to more open access to PS in the software.
This likely negates existing security mechanisms and security features for traditional voice transmission.
Finally, unlike conventional data services, VoLTE has a higher priority in resource allocation to ensure better quality. As you understand this can inadvertently serve as a side channel for leaking critical information.
In the absence of VoLTE control packet billing, exploitation leads to malicious data access.

Such "service" is available for both Mobile-to-Internet and Mobile-to-Mobile communications.
VoLTE sessions are not encrypted end-to-end by default, hence it is easy to eavesdrop on the connection, especially from the MNO side.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Now about Wi-Fi Calling Services 📡

Wi-Fi calling technology, also known as VoWiFi, is supported by 3GPP IMS .

It provides mobile users with cellular calls and text messages over Wi-Fi instead of cellular base stations. It is an alternative voice solution for mobile users who connect to base stations with weak signals.

Wi-Fi calls use the SIP protocol for signaling a call just like regular VoIP services, but differs from them technically. 

Its SIP signaling operation is a 3GPP-specific version. 

For security reasons, both 3GPP and GSMA stipulate that Wi-Fi calls have to use well-established SIM-based security and authentication methods, as in familiar VoLTE.

They basically include secret key protection in the physical SIM card and 3GPP AKA . In addition, all Wi-Fi call packets that can be sent over unsecured networks must be delivered over IPSec channels using ESP tunnel mode between the Wi-Fi call devices and the cellular network . 

Even though the packets are protected by IPSec tunnels, Wi-Fi calling service can still suffer
First, 3GPP WLAN selection mechanisms do not prevent devices from connecting to insecure Wi-Fi networks, which can hamper Wi-Fi calling service. Second, Wi-Fi call traffic, which is protected by IPSec, is vulnerable to side-channel attacks , which can lead to leakage of sensitive information. Third, the service continuity mechanism between Wi-Fi calling and cellular-based voice services may not take effect
Two IETF protocols, IKEv2 and IPSec, are used to maintain and enhance security in Wi-Fi calling.

Although... this network can still successfully exchange spoofed and manipulated packets with the sender and receiver without any identity verification process.
By creating an unauthorized access point equipped with an IPSec server on Wi-Fi networks, user devices can transmit IMSI, which can lead to privacy issues such as location tracking . Moreover, these protocols can be vulnerable to multiple DoS attacks.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Let's talk in more detail about the attacks themselves.⚙️

Preface - then there will be tech details
The VoWiFi attack story will be about a WiFi-based IMSI hijacker that uses an unauthorized WiFi access point to get the personal data of nearby users.
THDoS attacks, which can cause voice service denial for Wi-Fi calling users. Also about Dos attacks and many other vulnerabilities .

About VoLTE attacks we will break down the attacks which mainly involve free data channel, DoS and side channel attacks on IMS etc . The first is to create a free data channel by sending every packet that is forwarded from the 4G gateway directly to the Internet .
Here are some examples of attacks.

Let's start with Wi-Fi Calling.

Let's start by talking about THDOS .
In order to drop certain packets between a device and the network infrastructure, the adversary needs to identify the IPSec encrypted packets. Example: A device user receives an incoming Wi-Fi call, and answers it about 6 seconds after the call, the user has been engaged in a voice conversation for about 12 seconds. What happened during this time? Well what does the user see: 1 receiving the call; 2 answering the call; 3 talking; 4 hanging up. What we see:

1: The first incoming packet, which is intercepted at second 2, is a 1360-byte IPSec packet. We decrypt it on the subscriber side and identify it as a SIP INVITE message, indicating a call attempt. On the 2nd second, the subscriber sends a 180 RING message to the Wi-Fi call server. We then observe that several small IPSec packets as small as 176 bytes are received, but the recipient does not send any packets back.

1 : We detect that these are voice packets in the RTP protocol
2 : The caller answers the call at 8 seconds by sending a 200 OK message to the server, and then receives an acknowledgement at 9 seconds. After that the conversation starts and the subscriber starts to send/receive voice packets.
3: During the call, the subscriber continues to send/receive voice packets to/from the calling Wi-Fi server, but no SIP messages are observed. We further find that the caller receives at least 10 voice packets every two seconds from the server.
4: The caller sends a BYE message at the 20th second after the call was placed on the handset. Incoming packets of the "answering the call" event on the Wi-Fi . No more IPSec packets are observed after the 20th second . Note that if the caller hangs up first, the server must send a BYE message.

Now the attack example itself:
The caller receives several incoming calls from the caller.
There are two approaches. First, the adversary delivers a 183 message about the progress of the session sent by the caller, and then the caller's Wi-Fi device initiates another VoLTE call towards the caller. Second, the attacker delivers a message 180 message , sent by the caller, and then it causes the caller's Wi-Fi device to get stuck on the dial screen. The caller doesn't hear any notification tone, but the caller's device rings and the caller can continue dialing.

Sounds boring - I agree . For that reason, I'll give you an example
Disclosure Attack

WiCA was designed , to determine the call statistics of a Wi-Fi user, including who initiated the call and who hung up first, as well as the time of the call and the conversation. 

Call statistics are widely used to determine a user's personal information including personality, mood (e.g., stressed out), malicious behavior (e.g., dialing spam calls), and so forth. WiCA intercepts from Wi-Fi call packets WiCA extracts call statistics (such as call time and call duration) for each IP address of the device. The remaining packets are sent to a real-time traffic analyzer.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

WiCA traffic analyzer, which analyzes the identification of the application and information about the device.

Then there's the

UCIA it identifies each phone user's call statistics based on the surveillance camera, using facial recognition and human motion detection techniques. CS-IP2U uses call statistics from WiCA and UCIA to map each phone user to an IP address.
It generates a mapping table with the IP address and user ID as well as each user's call statistics. 

For more on this and on Wifi calls in general, you can look at the article archive below✨.

Now let's talk about VoLTE attacks

Attack on tracking location information of VoLTE phones

To track the location information of VoLTE phones, the attacker first scans the S-CSCF to find the S-CSCF where the VoLTE phone is registered. The attacker then obtains the VoLTE phone's IP address from the S-CSCF.
Finally, the attacker gets the location information of the target VoLTE phone. 

When the VoLTE feature on the VoLTE phone is enabled, the IMS registration process is initiated. At this time, the I-CSCF searches the HSS to identify the S-CSCF and assign it to the VoLTE phone.
The VoLTE phone, the attacker can confirm the S-CSCF IP address assigned to its phone in the "SIP 200 OK" packet during the VoLTE registration process and use it to determine the S-CSCF IP address range. S-CSCF IP address in the "SIP 200 OK" package during the VoLTE registration process
The SIP REFER message can be used to scan the S-CSCF IP address range and analyze reply packets to confirm the S-CSCF IP address where the target VoLTE phone is registered. The attacker sends SIP REFER packets to the P-CSCF, resulting in the From (caller's MSISDN) and P-Preferred-Identity fields being changed to the VoLTE phone's MSISDN(800), the To (caller's MSISDN) and ReferTo fields to the attacker's MSISDN(203), and the Route field to the S-CSCF IP address then P-CSCF receives packets, sent by the attacker and forwards them to the IP address specified in the Route field It then sends the SIP REFER packets to the P-CSCF, resulting in the From (caller MSISDN) and P-Preferred-Identity fields being changed to the target VoLTE phone MSISDN(800) and the To (caller MSISDN) field and the Route field being changed to the S-CSCF IP address .
The P-CSCF then receives the packets sent by the attacker and forwards them to the IP address in the Route field , the attacker receives three types of response packets: error 500 , error 403 , REFER
REFER indicates precisely that the server sending the reply packet is an S-CSCF, where the VoLTE target phone is registered
In this case, since the destination IP address of the scan traffic sent by the attacker is IP P-CSCF, the source IP of the reply packet is also IP P-CSCF.

In other words, the attacker cannot validate the S-CSCF IP on which the target VoLTE is registered with the reply packet source IP. The attacker can validate the S-CSCF IP address on which the target VoLTE phone , by the tag value in the field in the REFER packet . 

The SIP SUBSCRIBE message calls the CSCF for VoLTE phone status information.

In response, the CSCF sends a SIP NOTIFY message containing the current registration data, such as the IP address for the SUBSCRIBE, which is what the attacker needs ! 

After receiving the packets sent by the attacker, the P-CSCF forwards them to the S-CSCF IP address in the Route field, while the S-CSCF sends 200 OK and NOTIFY(which is what it needs) to the attacker in response.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Now let's discuss the attack "on this and that"

In this attack, the adversary must be in the range of the victim and know in advance the IMSI of the victim, which can be obtained through the IMSI catcher. 

The adversary sends the connection request packets with the IMSI of the victim to the MME via SDR (which is by the way quite cheap, about 300 USD).

To make the victim's UE initiate the switch between VoWiFi and VoLTE, the adversary can use a deauthentication attack to break the WiFi connection.

Our SDR device continues to send a request to join the MME.
When we run the handover procedure on the affected UE, we find that the connection between the UE and the main network is terminated.
The UE does not receive the IKE Delete payload, which is the final message from the core network when the transfer is complete.

When running a handover, the specification expects the handover to be seamless to the user
Using this attack, the adversary can stop the seamless transition from VoWiFi to VoLTE, significantly reducing cellular resilience.
After attacking for about two seconds, the victim reaches a state where the UE disconnects from the main network through both VoWiFi and VoLTE.

The victim can then connect to VoLTE. However, the attack can be run in a loop to keep the UE in a destructive handover state where it cannot connect to the main network.

I think that would be enough
If you want more details you can check the archive below and read lots of cool articles about Wifi Calling and VoLTE, how to practice attacks on them and how to improve their security🔥 .

In the future I can make articles about forensics and mobile networks, simple about phones, thinking of a malicious user and so on. Just now the admin has a lot to do and he does not have time "all at once" 🥲

That's all, thanks for reading. ❤️
Don't forget walking through Wonderland that the Cheshire cat is smiling even when you can't see him🐈🧩
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Архив со статьями про атаки , структуру , безопасность VoLTE и VoWiFi . 📱📡

И еще много чем интересным: к примеру решение безопасности VoLTE с технологией блокчейн или атаки на VoLTE и VoWiFi на практике с подробным обьяснение и скринами с wireshark .
Настоятельно советую заглянуть .✨
Надею вам буде полезно ❤️

Archive with articles about attacks , structure , security of VoLTE and VoWiFi . 📱📡

And many more interesting articles: for example, VoLTE security with blockchain or practical attacks on VoLTE and VoWiFi with detailed explanations and screenshots from wireshark.
I encourage you to check it out.✨
I hope you will find it useful. ❤️
#wifi #lte #mobile #network #traffic_analysis #dos #attacks #gps #protection

Добрый день мои Алисы . 🧩

Админ не умер, админ пишет большой пост про форензику в сети тор(на 3-х разных уровнях: самой сети , ос , железа) 💜

А пока я это пишу, я решила дать вам архив крутых матерьялов по пост квантовой криптографии🔑

Это криптография защищающая от квантовых компов , которые должны появиться в скором бедующем.
Они без труда смогут ломать какой-нибудь алгоритм RSA (который мне в целом не нравиться и за большого числа его уязвимостей , тем не мнение он много где используется ).
Так что это очень интересная тема, для тех кто хочет сделать относительно безопасную систему , которая останется таковой и в ближайшем бедующем .

Там будет матерьял про нужность этой криптографии и про технический прогресс , про последние достижение энной ,про работу некоторых ее алгоритмов и работу с блокчейн и много еще чего крутого .

Надеюсь вам будет полезно❤️✨


Good afternoon my Alice. 🧩

The admin is not dead, the admin is writing a big post about forensics in tor network (on 3 different levels: network itself, os, iron) 💜

And while i'm writing this, i decided to give you an archive of cool stuff on post quantum cryptography🔑

This is cryptography protecting against quantum computers which will appear in the near future. 

They can easily break RSA (which I don't like because of its many vulnerabilities, but nevertheless it is used everywhere).
It is a very interesting topic, for those who want to make a relatively safe system, that will remain so in the near future.

There will be a material about the necessity of this cryptography and the technical progress, about the last achievements of the ennoy, about the work of some of its algorithms and work with blockchain and many other cool things.

I hope you will find it useful❤️✨
#news #cryptography #anonymity

#news #cryptography #anonymity

Еще раз добрый день мои чеширские котики 🐈🎩

Вот вам пост-сборник про windows . 🎯

Точнее про различные эксплоиты для различных ее уязвимостей ,и  инструменты и статьи по безопасности энной .

Пост сделан исключительно в ознакомительных целях и для улучшения вашей безопасности .

Надеюсь вам будет полезно:
Windows-RCE-эксплоиты
Windows-эксплоиты на многие cve от 2012 до 2017
Эксплоиты на CVE-2022-21907 еще тык
Эксплоиты на CVE-2022-21999
Эксплоиты на CVE-2022-29072
Сборник различных эксплоитов на cve 2022 года
Исследование безопасности от Microsoft Security Response Center (MSRC)
Privatezilla -интструмент безопасности


Good afternoon again my Cheshire cats 🐈🎩

Here's a post-collection for you about windows . 🎯

More precisely about the different exploits for its various vulnerabilities , and tools and articles on security enna .

This post is only for introductory purposes and to improve your security.

I hope you will find it useful:
Windows-RCE-exploits
Windows exploits for many cve from 2012 to 2017
Exploits for CVE-2022-21907 more link
Exploits for CVE-2022-21999
Exploits for CVE-2022-29072
A collection of various exploits for cve 2022
Security research from Microsoft Security Response Center (MSRC)
Privatezilla security tool
#windows #attacks #cve #exploit #polymorphic #pentest

Добрый день мои дорогие улыбчивые котики и шляпники 🐈🎩
С хеллоуином вас.👻

Я хотела плотно заниматься постом про тор, но в честь праздника как многие хотели я решила сделать пост про динамический анализ вирусов .🦠

Напомню динамический анализ вирусов это когда мы анализируем уже не посредственно сработавший и запущенный вирус , статический анализ это анализ не посредственно , без запуска самого вируса . Гибридный анализ это - смесь динамического и статического анализа .

Чаще всего если у нас уже есть зловредный файл и первым выступает статический анализ-декрипт обнаружение вредоносной программы и анализ работы , потом уже динамический - запуск молваря и анализ его работы в запущенном виде . В прочем как их чередовать уже зависит от ситуации 🙃

Динамический анализ вредоносных программ , включает в себя множество задач, например: Мониторинг сетевой активности: процессы, файловая система, ключи реестра и тд .

Для начала еще хотелось бы упомянуть про то как вредоносное по скрывается от анализа . От анализа можно скрываться по-разному: вредоносным dll запросами ,shell кодами, шифрование самого кода вируса, полиморфизм - код вируса не должен быть постоянным , должна быть постоянная и видоизменяется при каждом новом заражении. Тут часто "скачут по коду на ассемблер" к примеру:

start_code :
    push  plimorf         ; заносим адрес возврата
    inc   di              ; мусор..
    ret                   ; jmp next
    xor   dx,dx           ; 
    dec   bp              ; 
    retf
plimorf: 
 *еще код*    

Метаморфизм - создание различных копий вируса , перестановки местами кусков кода, вставки между значащими кусками кода мусорных команд, которые практически ничего не делают, к примеру добавление не нужных байтов и различного кеша в регистры на ассемблере ,или более умных методов обманка регистры к примеру, воспользоваться нулевым дескриптором из GDT:
sgdt [esp-6]
mov r, [esp-4]
mov r, [r]

Теперь поговорим именно о самом анализе более подробно:
Сам динамический анализ чаще всего проходит в программах для анализа сети , одна из них пожалуй самая популярная и моя любимая это wireshark . Но есть и другие: PeStudio, ProcMon, Autoruns, FakeNet-NG, Ghidra.

Хочу привести пример такого анализа вируса .
Данное действие происходит на windows . Допусти у нас есть Вася . Вася загружает вредоносный файл вируса кейлогера(который будет отправлять данные на сервер Васи) на какой: либо сайт и ждет пока его скачает кто-либо . Для простоты структура вируса довольно проста и вирус загружает данные лога простой txt без его шифрования и тд

Маша работает в компании "Тыковка"🎃 (Сегодня хеллоуин же как не как) качает вирус Васи .
Вирус собирает данные , но в один прекрасный миг замечается подозрительная активность , и обнаруживается вирус .
Другие специалисты проводят статический анализ , после дают нужные данные для динамического .
Мы запускаем Васин вирус , и мы смотрим что случилось.

Сразу после запуска мы заходим какой-нибудь в Wirehark, смотрим пост запросы с нашего пк http.request.method=="POST" .
Видим подозрительный пост запрос на сайт xxx_virus.net, смотрим в данные запроса и там отправляется key.txt . Заглянув в этот файл и мы видим лог наших клавиш.
Еще можно было посмотреть процессы( В прогах типа PeStudio) и похожим образом обнаружь наши функции кейлогера , и уже с помощью салического анализа найти хост .
Собственно во мы и поняли как работает вирус .

Да на практике все в разы труднее и этот пример в сильно упрощает анализ вируса .⚙️

Для более подробных примеров ,можете заглянуть в архив со статьями там много чего интересного

, так же есть статьи про метоморфзм и полиморфизм✨🎯

В будующем могу найти конкретный вирус(можете предлагать в комментариях интересные вирусы🔥 зареверсить его и оформить это как пост для вас)

А на этом все . Спасибо за прочьтение❤️
И помните не кто не будет есть черепаху Квази , а она все равно исполняет гарусную песню про то как ее съедят☠️🐢
#network #forensics #virus #revers #malware #windows

Good afternoon my dear smiling cats and hats 🐈🎩
Happy Halloween to u.👻

I was going to do a heavy tor post, but in honor of the holiday like many wanted I decided to do a post about dynamic virus analysis .🦠

Let me remind you, dynamic virus analysis is when we analyze a triggered virus, static analysis is when we analyze a virus which is not triggered directly, without triggering it. Hybrid analysis is a mix of dynamic and static analysis.

Usually if we already have a malicious file and the first act is a static analysis-decrypt detects a malicious program and analyzes its work, next is a dynamic analysis - runs the malware and analyzes its work in running form. By the way how to alternate depends on the situation 🙃

Dynamic malware analysis, includes many tasks, such as: Monitoring network activity: processes, file system, registry keys, etc. .

We would also like to start by mentioning how malware escapes analysis. There are different ways to hide from analysis: with malicious dll queries, shell codes, encryption of the virus code itself, polymorphism - the virus code should not be constant, it should be constant and change with every new infection. It is often "jumping around in the assembly code" for example:

start_code :
    push plimorf ; write the return address
    inc di ; garbage
    ret ; jmp next
    xor dx,dx ; 
    dec bp ; 
    retf
plimorf: 
 *more code*    

Metamorphism is creating different copies of the virus, rearrangements of pieces of code, inserting between the meaningful pieces of code garbage instructions which do almost nothing, for example adding unnecessary bytes and different caches in the registers in the assembler, or cleverer register tricks like using the null descriptor from the GDT:
sgdt [esp-6]
mov r, [esp-4]
mov r, [r].

Now let's talk about the analysis itself in more detail:
Dynamic analysis itself is often held in programs for network analysis, one of them is probably the most popular and my favorite is wireshark. But there are also others: PeStudio, ProcMon, Autoruns, FakeNet-NG, Ghidra.

I would like to give an example of such a virus analysis.
This action is performed on windows. Let's say we have Vasya. He uploads a key logger virus file (which will send the data to his server) to a site and waits until someone else downloads it. For simplicity, the structure of the virus is simple enough and the virus downloads the logger data in a simple txt file without encrypting it, etc.

Masha works at "Pumpkin" 🎃 (it's Halloween night) she downloads Vasya's virus.
The virus collects data, but at one point she notices suspicious activity, and the virus is detected.
Other specialists do static analysis, then they give us the data we need for dynamic analysis.
We start Vasin's virus and we look what happened.

Immediately after we run it we go to Wirehark and see the post requests from our pc http.request.method=="POST".
We see a suspicious post request to xxx_virus.net, we look at the request data and there the key.txt is sent . Looking into this file and we see the log of our keys .
It is also possible to look at our processes (in programs like PeStudio) and to find our keylogger functions, and to find the host with the help of salic analysis.
In fact we have understood how the virus works.

In practice it is much more difficult and this example simplifies the virus analysis.⚙️

For more detailed examples you can take a look at the archive with articles there is a lot of interesting things.
There's also articles about metomorphism and polymorphism✨🎯 

I can find a particular virus (you can offer me interesting viruses in the comments 🔥, turn it over and write it as a post for you)

That's all for now. Thank you for reading❤️
And remember no one will eat the turtle Kwazy, and it still sings a harrowing song about being eaten☠️🐢
#network #forensics #virus #revers #malware #windows

В архиве есть:

Статьи про анализ вирусов - с подробными примерами и скринами, так же подробное обьяснение про динамический анализ .

Несколько статей про мероморфизм и борьбу с ним , так же про полиморфизм. На практике с примерами ассемблерного кода .

Надеюсь вам будет полезно.❤️
Так же напомненною , в следующем посте про реверс я хочу проанализировать какой-нибудь интересный вирус и ваши предложения в комментариях тоже рассматриваются🎯


The archive contains:

Articles about virus analysis - with detailed examples and screenshots, as well as a detailed explanation of the dynamic analysis.
Several articles about meromorphism and fight against it, as well as about polymorphism. In practice with examples of assembler code. 

I hope you will find it useful.❤️
Just as a reminder , in the next post about reverse I want to analyze some interesting virus and your suggestions in the comments are also considered🎯
#network #forensics #virus #revers #malware #windows

Добрый день, белые кролики мои🐰
Сегодня я хочу сделать небольшой пост про форензику и чуть-чуть про атаки на тор 🧅

Начнем с расследований

Я покажу директории где может быть полезная информация для расследованей . 
Для более подробных расследований загляните в архив ниже .

✨

Для начла windows .

В расследованиях нам важно когда запускался браузер , винда отслеживает, как запускается система и какие программы обычно открывает пользователь. Эта информация сохраняется в виде нескольких небольших файлов в папке Prefetch:

 C:\Windows\Prefetch\START TOR BROWSER.EXE-F5557FAC.pf
 C:\Windows\Prefetch\TBB-FIREFOX.EXE-350502C5.pf
 C:\Windows\Prefetch\TOR-BROWSER-2.3.25-6_EN-US.EX-1354A499.pf 
 C:\Windows\Prefetch\TOR.EXE-D7159D93.pf
 C:\Windows\Prefetch\VIDALIA.EXE-5167E0BC.pf

Файлы кэша, скорее всего, похожи на файлы prefetch. Они могут содержать следы Tor Browser Bundle:

 C:\Users\runa\AppData\Local\Microsoft\Windows\Caches\cversions.1.db
 C:\Users\runa\AppData\Local\Microsoft\Windows\Caches{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000006.db
 C:\Windows\AppCompat\Programs\RecentFileCache.bcf

Microsoft Windows использует файл pagefile.sys, для хранения кусочков памяти, которые не размещены в физическую память. Он содержит информацию о подключенном внешнем диске, а также имя исполняемого файла Tor Browser Bundle.


C:\Windows\Prefetch так же возможно полезная директория 

Здесь возможно важная информация и дата тор

C:\Users\username\Desktop\Tor Browser\Browser\TorBrowser\Data\Tor

здесь torrc


C:\Users\User\ Desktop\Tor Browser\Browser\TorBrowser\Data\Tor

Файлы extensions.ini и compatibility.ini находятся тут:

C:\Users\Username\Desktop\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default

Чтобы получить информацию о посещенных сайтах, и тд., откройте файл places.sqlite от сюда:

C:\Users\Username\Desktop\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default

Теперь поговорим о linux и его возможно важных нам директориях

Важная дата и логи


/var/log/tor/
/var/lib/tor/ 

или

/usr/local/var/lib/tor

браузер и его данные

~/.local/share/tor-browser/

файл настройки torrc


/etc/tor/

Теперь про mac и важные директории на нем

лог ASL :

/var/log/asl/
/var/log/asl/

Возможно важные файлы

/var/log/asl/StoreData
/var/log/asl/SweepStore

Путь к пакету Tor на рабочем столе и путь к пакету браузера Tor в корзине:

/.fseventsd/0000000000172019

Еще важные директории

var/folders/fb/v5wqpgls029d8tp_pcjy0yth0000gn/C/ 
/var/folders/zz/zyxvpxvq6csfxvn_n0000000000000/C/

Более подробно именно про форензику и расследования советую почитать в статьях ниже в архиве 🔥
#network #linux #tor #forensics #windows

Теперь немного про атаки на сеть тор 💜

Хочу привести пример деанонимизации скрытых сервисов в сети тор

Нам понадобится:

Управление узлом в схеме точки введения тор
Узел, который является сторожевым узлом.

Чтобы проанализировать, выполнены ли эти действия:

Зарегистрируйте все входящие и исходящие ячейки для каждой цепи.

Получите срок службы каждой цепи. Среднее время жизни цепи составляет 10 минут. Схемы точек введения активны от 18 до 24 часов. Таким образом, жизнеспособными кандидатами являются схемы со временем жизни намного больше 10 минут.
Для всех этих цепей вычислите отпечаток положения, на основе зарегистрированных ячеек и определите защитные узлы.
Оцените направление полученных и отправленных ячеек после завершения установления каждой из этих цепей. Жизнеспособными кандидатами являются схемы, в которых ячейки передаются только к скрытому серверу.

Кроме того, анализ IP-адресов, с которым напрямую связан наш узел, может дать дополнительную подсказку. 

Если этот IP-адрес является общеизвестным IP-адресом Tor, это будет IP-адрес ретранслятора Tor, а не скрытого сервера. В этом случае наша нода, вероятно, не подключена к скрытому серверу.
После этого необходимо найти связанный луковый адрес скрытой службы. Эта скрытая услуга предоставляется скрытым сервером, к которому непосредственно подключен защитный узел в цепи точки введения.
Настройте клиент Tor.

Запустите корреляционную атаку, отправив шаблон на основе трафика. Используйте любой луковый адрес, который необходимо исследовать.
На сторожевом узле просмотрите все ячейки, принадлежащие выбранным цепям. Проанализируйте эти каналы на предмет отправленного шаблона трафика.
Распознав шаблон трафика, можно выяснить, что наш узел является первым узлом в цепи точки введения скрытого сервера, связанного с выбранным луковым адресом. Следовательно, может быть определен соответствующий луковичный адрес IP-адреса скрытого сервера. В
результате скрытый сервис был деанонимизирован.Вот и все . Про более подробные атаки есть статьи в архиве ниже 🧩

Так же я хочу показать вам :
прикольные инструменты для работы с тор 🔧

тык - Этот пакет разработан, чтобы помочь охотиться за адресами Onion в соответствии с набором ключевых слов, установленных пользователем.
Вот еще тык -Он используется для криминалистического анализа сервера, содержащего активный веб-сайт в сети Tor.

На этом я думаю все .Спасибо за прочтение ❤️
Извиняюсь за спутанность матерьяла . Более подробно вы можете ознакомиться в архиве ниже - + там есть немного про форензику на уровне самого железа .
Важное объявление: админ хочет взять отпуск от канала числа до 6/7 воизбежание выгорания 😶‍🌫️

И помните мери Эн не та у кого маленький рост, а та что служит белому кролику🎀🐇
#network #tor #attacks

Good afternoon, my white rabbits🐰
Today I want to do a little post about forensics and a little bit about torus attacks 🧅

Let's start with investigations.

I will show the directories where there might be useful information for investigations . 
For more in-depth investigations, check out the archive below .✨

To start with windows .

In investigations, it is important to know when the browser is started, and the system tracks how the system is started and which programs the user usually opens. This information is saved as several small files in the Prefetch folder:
C:\Windows\Prefetch\START TOR BROWSER.EXE-F5557FAC.pf
C:\Windows\Prefetch\TBB-FIREFOX.EXE-35050502C5.pf
C:\Windows\Prefetch\TOR-BROWSER-2.3.25-6_EN-US.EX-1354A499.pf
C:\Windows\Prefetch\TOR.EXE-D7159D93.pf
C:{Windows\Prefetch\VIDALIA.EXE-5167E0BC.pf

The cache files are most likely similar to prefetch files. They may contain traces of Tor Browser Bundle:
C:\Users\runa\AppData\Local\Microsoft\Windows\Caches\cversions.1.db
C:\Users\runa\AppData\Local\Microsoft\Windows\Caches{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000006.db
C:\Windows\AppCompat\Programs\RecentFileCache.bcf

Microsoft Windows uses a file pagefile.sys, to store memory chunks that are not placed in physical memory. It contains information about the external drive connected, as well as the name of the Tor Browser Bundle executable.


C:{Windows\Prefetch is also probably a useful directory 

Here is probably important information and the date of the tor

C:\Users\username\Desktop\Tor Browser\Browser\TorBrowser\Data\Tor

here torrc


C:\Users\User\User\ Desktop\Tor Browser\Browser\TorBrowser\Data\Tor

Extensions.ini and compatibility.ini files are located here:

C:\Users\Username\Desktop\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default

To get information about visited sites, etc., open the places.sqlite file from here:

C:\Users\Username\Desktop\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default

Now let's talk about linux and its possibly important directories

Important date and logs


/var/log/tor/
/var/lib/tor/ 

or

/usr/local/var/lib/tor

browser and its data

~/.local/share/tor-browser/

torrc configuration file

/etc/tor/

Now about the mac and the important directories on it

ASL log :

/var/log/asl/
/var/log/asl/

Probably important files

/var/log/asl/StoreData
/var/log/asl/SweepStore

The path to the Tor package on the desktop and the path to the Tor browser package in the trash:

/.fseventsd/0000000000172019

Other important directories are

var/folders/fb/v5wqpgls029d8tp_pcjy0yth0000gn/C/ 
/var/folders/zz/zyxvpxvq6csfxvn_n0000000000000/C/

I suggest reading more specifically about forenzika and investigations in the articles below in the archive 🔥
#network #linux #tor #forensics #windows

Now a little bit about attacks on the tor network 💜

I want to give you an example of how to de-anonymize hidden services on the tor network

We will need:

Node management in a tor injection point scheme
A node that is a watchdog node.

To analyze if these actions are performed:

Register all incoming and outgoing cells for each circuit.

Get the lifetime of each circuit. The average lifetime of a circuit is 10 minutes. Injection point circuits are active for 18 to 24 hours. Thus, circuits with lifetimes much longer than 10 minutes are viable candidates.
For all of these circuits, calculate the position imprint, based on the registered cells, and identify the protective nodes.
Evaluate the direction of cells received and sent after the establishment of each of these circuits is complete. Viable candidates are circuits in which cells are sent only to the hidden server.

In addition, analyzing the IP address to which our node is directly connected may provide an additional clue. 

If that IP address is a publicly known Tor IP address, it will be the IP address of the Tor relay, not the hidden server. In this case, our node is probably not connected to the hidden server.
After that, we need to find the associated onion address of the hidden service. This hidden service is provided by the hidden server to which the security node in the introduction point chain is directly connected.
Configure the Tor client.

Launch a correlation attack by sending a pattern based on the traffic. Use whatever onion address you want to investigate.
On the watchdog node, look at all cells belonging to the selected circuits. Analyze these circuits for the sent traffic pattern.

By recognizing the traffic pattern, we can figure out that our node is the first node in the hidden server injection point chain associated with the selected onion address. Hence, the corresponding onion address of the hidden server's IP address can be determined. В

As a result, the hidden service has been de-anonymized.That's all . About more detailed attacks there are articles in the archive below 🧩

I also want to show you :
Fun tools to work with tor 🔧

link - This package is designed to help hunt for Onion addresses according to a set of keywords set by the user.
Here's another link -It's used to forensically analyze the server containing the active website on the Tor network.

I think that's about it .Thanks for reading ❤️
I apologize for the confusion. More details you can read in the archive below - + there is a little bit about forensics at the level of the iron itself .
Important announcement: admin wants to take a vacation from channel number to 6/7 to avoid burnout 😶🌫

And remember Mary Ann isn't the one with the small stature, she's the one serving the white rabbit🎀🐇
#network #tor #attacks

Архив про форензику и атаки направленых тор 🧅
Там много различных статей и иследованней с подробными обьяснениями и скринами . Расследования и атаки от более сетевых , до браузера и ос . И так же есть совсем немного на уровне железа
Надеюсь вам будет полезно💜

Archive about forensics and torus attacks 🧅
There are many different articles and investigations with detailed explanations and screenshots. Investigations and attacks ranging from the more networked, to the browser and the operating system. There is also a little bit on the hardware level.
I hope you find it useful💜
#network #linux #tor #forensics #cryptography #iron_level #windows #attacks #traffic_analysis

Давно не вделись мои Алисы-любители физики и белые зайчики🐰🧬

Сегодня я расскажу про взлом Air-Gap через радио волны .📡
А точнее про то как злоумышленник может юзать в качестве антенны для передачи сигналов кабели SATA.🔌

Для начала для тех кто не помнит или не знает что такое Air-Gap

Air-Gap - это устройство работающее без подключения к интернету - для обеспечения дополнительной безопасности, использующееся для хранения особенно важных данных . 

Их часто используют на военных объектах , и объектах с данными высокой ценности.
Чтобы взломать такие штуки злоумышленнику приходиться прибегать к физике. К примеру к электро магнитным, радио ,тепловым уязвимостям и атакам .

Вот об одной из этих атак мы и поговорим сегодня .
Злоумышленники могут использовать кабель SATA в качестве беспроводной антенны для передачи радиосигналов в частотном диапазоне 6 ГГц.
SATA представляет собой шинный провод, широко используемый в современных компьютерах и соединяющий хост-шину с устройствами хранения данных, такими как жесткие диски, оптические диски и твердотельные накопители. Распространенность интерфейса SATA делает эту атаку весьма доступной для злоумышленников
Для начала о самой атаке .

Сначала расскажу о самой модели, а потом тех подробности

Для кражи данных , злоумышленники могут использовать стратегию известную как APT.
Жизненный цикл угрозы состоит из различных этапов. Основными этапами являются: проникновение, создание плацдарма, латеральное перемещение, сбор данных и эксфильтрация .

Для начала проникновение
На этом этапе хакер устанавливает вредоносное ПО в целевой сети, злоумышленник может использовать сложные методы, такие как атаки на цепочки поставок, атаки на съемные носители, злонамеренные инсайдеры и фишинг (к примеру устроиться к ним на объект работать или обмануть сотрудников). Большинство этих атак используют съемные носители, такие как USB для заражения нашего изолированного объекта.

Теперь про сбор данных
После закрепления в целевой сети атака переходит к фазе сбора данных. На этом этапе происходит сбор различных данных. Информация может передаваться от жертвы к жертве и включает в себя: файлы с конфиденциальной информацией, записи с клавиатуры , электронные письма , изображения , записи с клавиатуры и тд.

Договорим про эксфильтрацию данных
В определенный момент злоумышленник может захотеть осуществить эксфильтрацию данных.
На этом этапе вредоносная программа находит в сети рабочие станции или серверы, которые содержат активные интерфейсы SATA.
Затем вредоносная программа использует специализированный shellcode для поддержания активности файловой системы для генерации радиосигналов сигналов от кабелей SATA. Собранные данные модулируются, кодируются и передаются по этому скрытому каналу.

Теперь самое интересное прием данных
Информация может быть получена различными способами.
Например аппаратный приемник может быть спрятан на имплантированном рядом с нашим компьютером . Еще злоумышленник проносит радиоприемник рядом с компьютером , например внутрь энного. Приемник отслеживает спектр 6 ГГц на предмет потенциальной передачи, демодулирует данные, и отправляет злоумышленнику.🔑

Чтож это думаю понятно , обсудим более технично🧬
#SATA #attacks #polymorphic #wireless_hacking #air_gap #covert_channels

Теперь тех подробности .

Утечка информации может осуществляться с помощью электромагнитных волн. 
В этом методе вредоносное ПО вызывает электромагнитные излучения от различных компьютерных компонентов таких как шины, кабели и процессоры. 
Данные модулируются , эти сигналы и передаются в окружающую среду, где потенциальный радиоприемник получает данные, обрабатывает и демодулирует их.

Поговорим про сами кабели SATA, и что это вообще такое

SATA - это шина интерфейс для подключения устройств хранения данных, таких как жесткие диски, HDD, SSD и CD/DVD к компьютеру. 

Кабели SATA представляют собой двухсторонние 7-контактные кабели, состоящие из заземления , передачи и приема. Концы обычно делаются под углом 90 градусов(для более удобного обращения с кабелем).
Кабель соединяет порт SATA на материнской плате и устройство хранения данных.
Разъем питания SATA имеет питание +3,3 В постоянного тока, +5 В постоянного тока и +12 В постоянного тока.

Теперь я хочу описать генерацию электромагнитного сигнала и протокол передачи данных по интерфейсу SATA.
Кабель SATA используется в качестве антенны для излучения электромагнитных сигналов .
Исходящие от интерфейса SATA интерфейса электромагнитные излучения около 6 ГГц ,оно исходит в результате последовательности операций чтения и записи сигналов .
Кабели SATA 3.0 излучают сигналы в различных частотных диапазонах: 1 ГГц, 2,5 ГГц, 3,9 ГГц и +6 ГГц. Однако наиболее значительная корреляция с передачей данных наблюдается в диапазоне от 5,9995 ГГц
Поскольку скрытый канал на основе электромагнитного излучения является однонаправленным, мы передаем данные в виде кадров данных фиксированной длины.

Каждый кадр начинается с четырех чередующихся битов '1010' для передачи преамбулы кадра. Преамбула кадра позволяет злоумышленникам синхронизироваться с передачей. За преамбулой следует 16-битная полезная нагрузка

Чаще всего данные принимает какой-либо приемник , он может быть реализован как процесс в соседнем компьютере или встроен в наш комп.
Он непрерывно производит выборку в диапазоне частот от 5,9 ГГц до 6 ГГц при этом выполнения необработанное быстрое преобразования Фурье (FFT), далее обнаруживается преамбула и извлекается полезная нагрузка и наши данные .

Критикуешь - предлагай! 🗝
Хочу обсудить различные контр меры к такого рода взломов🔮
Чтобы предотвратить первый этап(проникновения) airgap, следует использовать несколько уровней безопасности в сети, включая межсетевые экраны, системы обнаружения и системы предотвращения вторжений, анализ сетевого трафика и механизмы контроля доступа.

Для второго этапа(передачи данных) самое банальное можно запрещать использование радиоприемников на охраняемых объектах.
Еще подход заключается в использовании внешней системы радиочастотного мониторинга для обнаружения аномалий в диапазоне 6 ГГц поблизости от передающего компьютера.
Однако этот подход, скорее всего, будет страдать от ложных тревог. Для того чтобы обнаружить сигнал, система должна знать конкретную форму сигнала и используемую модуляцию.
Еще есть глушение может быть выполнено из операционной системы путем выполнения случайных операций чтения и записи, когда обнаруживается подозрительная активность скрытого канала.

Как итог могу сказать
Такие атаки хоть и от части сложны в проведение , но именно эта атака очень привлекательна злоумышленников, так происходит из-за распространённости SATA в повседневной жизни, по этому будьте бдительны и соблюдайте контрмеры . 🪄
Для демонстрации самой атаки вы можете посмотреть вот это видео тык

Так же советую прочитать две статьи в архиве ниже . ⭐️
Первая расскажет конкретно про эту атаку с большими тех-подробностями и оценкой этой уязвимости . 
Вторая расскажет в целом про атаки по скрытым каналам на Air-Gap 

А на этом все . Спасибо за прочтение❤️

И помните ,если вы находитесь в зазеркалье тигровые лилии и другие цветы тоже могут говорить🥀💐
#SATA #attacks #polymorphic #wireless_hacking #air_gap #covert_channels