Архив про форензику и атаки направленых тор 🧅
Там много различных статей и иследованней с подробными обьяснениями и скринами . Расследования и атаки от более сетевых , до браузера и ос . И так же есть совсем немного на уровне железа
Надеюсь вам будет полезно💜

Archive about forensics and torus attacks 🧅
There are many different articles and investigations with detailed explanations and screenshots. Investigations and attacks ranging from the more networked, to the browser and the operating system. There is also a little bit on the hardware level.
I hope you find it useful💜
#network #linux #tor #forensics #cryptography #iron_level #windows #attacks #traffic_analysis

Давно не вделись мои Алисы-любители физики и белые зайчики🐰🧬

Сегодня я расскажу про взлом Air-Gap через радио волны .📡
А точнее про то как злоумышленник может юзать в качестве антенны для передачи сигналов кабели SATA.🔌

Для начала для тех кто не помнит или не знает что такое Air-Gap

Air-Gap - это устройство работающее без подключения к интернету - для обеспечения дополнительной безопасности, использующееся для хранения особенно важных данных . 

Их часто используют на военных объектах , и объектах с данными высокой ценности.
Чтобы взломать такие штуки злоумышленнику приходиться прибегать к физике. К примеру к электро магнитным, радио ,тепловым уязвимостям и атакам .

Вот об одной из этих атак мы и поговорим сегодня .
Злоумышленники могут использовать кабель SATA в качестве беспроводной антенны для передачи радиосигналов в частотном диапазоне 6 ГГц.
SATA представляет собой шинный провод, широко используемый в современных компьютерах и соединяющий хост-шину с устройствами хранения данных, такими как жесткие диски, оптические диски и твердотельные накопители. Распространенность интерфейса SATA делает эту атаку весьма доступной для злоумышленников
Для начала о самой атаке .

Сначала расскажу о самой модели, а потом тех подробности

Для кражи данных , злоумышленники могут использовать стратегию известную как APT.
Жизненный цикл угрозы состоит из различных этапов. Основными этапами являются: проникновение, создание плацдарма, латеральное перемещение, сбор данных и эксфильтрация .

Для начала проникновение
На этом этапе хакер устанавливает вредоносное ПО в целевой сети, злоумышленник может использовать сложные методы, такие как атаки на цепочки поставок, атаки на съемные носители, злонамеренные инсайдеры и фишинг (к примеру устроиться к ним на объект работать или обмануть сотрудников). Большинство этих атак используют съемные носители, такие как USB для заражения нашего изолированного объекта.

Теперь про сбор данных
После закрепления в целевой сети атака переходит к фазе сбора данных. На этом этапе происходит сбор различных данных. Информация может передаваться от жертвы к жертве и включает в себя: файлы с конфиденциальной информацией, записи с клавиатуры , электронные письма , изображения , записи с клавиатуры и тд.

Договорим про эксфильтрацию данных
В определенный момент злоумышленник может захотеть осуществить эксфильтрацию данных.
На этом этапе вредоносная программа находит в сети рабочие станции или серверы, которые содержат активные интерфейсы SATA.
Затем вредоносная программа использует специализированный shellcode для поддержания активности файловой системы для генерации радиосигналов сигналов от кабелей SATA. Собранные данные модулируются, кодируются и передаются по этому скрытому каналу.

Теперь самое интересное прием данных
Информация может быть получена различными способами.
Например аппаратный приемник может быть спрятан на имплантированном рядом с нашим компьютером . Еще злоумышленник проносит радиоприемник рядом с компьютером , например внутрь энного. Приемник отслеживает спектр 6 ГГц на предмет потенциальной передачи, демодулирует данные, и отправляет злоумышленнику.🔑

Чтож это думаю понятно , обсудим более технично🧬
#SATA #attacks #polymorphic #wireless_hacking #air_gap #covert_channels

Теперь тех подробности .

Утечка информации может осуществляться с помощью электромагнитных волн. 
В этом методе вредоносное ПО вызывает электромагнитные излучения от различных компьютерных компонентов таких как шины, кабели и процессоры. 
Данные модулируются , эти сигналы и передаются в окружающую среду, где потенциальный радиоприемник получает данные, обрабатывает и демодулирует их.

Поговорим про сами кабели SATA, и что это вообще такое

SATA - это шина интерфейс для подключения устройств хранения данных, таких как жесткие диски, HDD, SSD и CD/DVD к компьютеру. 

Кабели SATA представляют собой двухсторонние 7-контактные кабели, состоящие из заземления , передачи и приема. Концы обычно делаются под углом 90 градусов(для более удобного обращения с кабелем).
Кабель соединяет порт SATA на материнской плате и устройство хранения данных.
Разъем питания SATA имеет питание +3,3 В постоянного тока, +5 В постоянного тока и +12 В постоянного тока.

Теперь я хочу описать генерацию электромагнитного сигнала и протокол передачи данных по интерфейсу SATA.
Кабель SATA используется в качестве антенны для излучения электромагнитных сигналов .
Исходящие от интерфейса SATA интерфейса электромагнитные излучения около 6 ГГц ,оно исходит в результате последовательности операций чтения и записи сигналов .
Кабели SATA 3.0 излучают сигналы в различных частотных диапазонах: 1 ГГц, 2,5 ГГц, 3,9 ГГц и +6 ГГц. Однако наиболее значительная корреляция с передачей данных наблюдается в диапазоне от 5,9995 ГГц
Поскольку скрытый канал на основе электромагнитного излучения является однонаправленным, мы передаем данные в виде кадров данных фиксированной длины.

Каждый кадр начинается с четырех чередующихся битов '1010' для передачи преамбулы кадра. Преамбула кадра позволяет злоумышленникам синхронизироваться с передачей. За преамбулой следует 16-битная полезная нагрузка

Чаще всего данные принимает какой-либо приемник , он может быть реализован как процесс в соседнем компьютере или встроен в наш комп.
Он непрерывно производит выборку в диапазоне частот от 5,9 ГГц до 6 ГГц при этом выполнения необработанное быстрое преобразования Фурье (FFT), далее обнаруживается преамбула и извлекается полезная нагрузка и наши данные .

Критикуешь - предлагай! 🗝
Хочу обсудить различные контр меры к такого рода взломов🔮
Чтобы предотвратить первый этап(проникновения) airgap, следует использовать несколько уровней безопасности в сети, включая межсетевые экраны, системы обнаружения и системы предотвращения вторжений, анализ сетевого трафика и механизмы контроля доступа.

Для второго этапа(передачи данных) самое банальное можно запрещать использование радиоприемников на охраняемых объектах.
Еще подход заключается в использовании внешней системы радиочастотного мониторинга для обнаружения аномалий в диапазоне 6 ГГц поблизости от передающего компьютера.
Однако этот подход, скорее всего, будет страдать от ложных тревог. Для того чтобы обнаружить сигнал, система должна знать конкретную форму сигнала и используемую модуляцию.
Еще есть глушение может быть выполнено из операционной системы путем выполнения случайных операций чтения и записи, когда обнаруживается подозрительная активность скрытого канала.

Как итог могу сказать
Такие атаки хоть и от части сложны в проведение , но именно эта атака очень привлекательна злоумышленников, так происходит из-за распространённости SATA в повседневной жизни, по этому будьте бдительны и соблюдайте контрмеры . 🪄
Для демонстрации самой атаки вы можете посмотреть вот это видео тык

Так же советую прочитать две статьи в архиве ниже . ⭐️
Первая расскажет конкретно про эту атаку с большими тех-подробностями и оценкой этой уязвимости . 
Вторая расскажет в целом про атаки по скрытым каналам на Air-Gap 

А на этом все . Спасибо за прочтение❤️

И помните ,если вы находитесь в зазеркалье тигровые лилии и другие цветы тоже могут говорить🥀💐
#SATA #attacks #polymorphic #wireless_hacking #air_gap #covert_channels

It's been a while since my Alice-loving physics and white bunnies🐰🧬

Today I'm going to talk about Air-Gap hacking via radio waves .📡
How an intruder can use SATA cables as an antenna for transmitting signals.🔌

For starters, for those who do not remember or do not know what Air-Gap is

An Air-Gap is a device that works without an internet connection - for added security, used to store particularly important data. 

They are often used at military sites, and sites with high value data.
To break into these things an intruder has to resort to physics. Like electromagnetic, radio, thermal vulnerabilities and attacks.

We will talk about one of these attacks today.

Attackers can use a SATA cable as a wireless antenna to transmit radio signals on the 6 GHz frequency band. 

SATA is a bus wire commonly used in modern computers and connects the host bus to storage devices such as hard drives, optical disks and solid state drives. The prevalence of the SATA interface makes this attack very accessible to attackers
Firstly, let's talk about the attack itself.

I will first explain the model itself, then go into more detail

Attackers can use a strategy known as APT to steal data.
The life cycle of a threat consists of various stages. The main stages are penetration, bridgehead creation, lateral movement, data collection, and exfiltration .

To begin with infiltration.
During this phase a hacker installs malware on the target network, the attacker can use sophisticated techniques such as supply chain attacks, removable media attacks, malicious insiders and phishing (for example, to get a job at their site or to trick employees). Most of these attacks use removable media such as USB to infect our isolated facility.

Now for the data collection.
Once the attack has established itself on the target network, it moves on to the data collection phase. In this phase, various data is collected. The information can be passed from victim to victim and includes: files containing confidential information, keystrokes, emails, images, keystrokes, etc.

Let us talk about data exfiltration
At a given moment, an attacker may want to exfiltrate the data.

At this point, the malware will find workstations or servers on the network which have active SATA interfaces. 

The malware then uses a specialized shellcode to maintain file system activity to generate radio signals from the SATA cables. The collected data is modulated, encoded and transmitted via this covert channel.

Now the fun part is data reception
Information can be received in many different ways.
For example, the hardware receiver can be hidden on the implanted next to our computer . Also an intruder sneaks a radio receiver next to the computer , e.g. inside an PC. The receiver monitors the 6 GHz spectrum for potential transmissions, demodulates the data, and sends it to the intruder.🔑

Well, I think that's clear, let's discuss it more technically🧬
#SATA #attacks #polymorphic #wireless_hacking #air_gap #covert_channels

Technical details .

Information leakage can be done via electromagnetic waves. 
In this method, malware causes electromagnetic emissions from various computer components such as buses, cables and processors. 
The data is modulated , these signals are transmitted to the environment, where a potential radio receiver receives the data, processes it and demodulates it.

Let's talk about SATA cables themselves, and what they are

SATA is a bus interface for connecting storage devices such as hard drives, HDDs, SSDs and CD/DVDs to a computer. 

SATA cables are two-ended 7-pin cables consisting of ground, transmit and receive. The ends are usually made at a 90 degree angle (for easier handling).
It connects the SATA port on the motherboard to the storage device.
The SATA power connector is +3.3 VDC, +5 VDC and +12 VDC.

Now I want to describe the electromagnetic signal generation and data transfer protocol of the SATA interface.
The SATA cable is used as an antenna to emit electromagnetic signals .

Emitted from the SATA interface electromagnetic radiation is about 6 GHz, it comes from a sequence of reading and writing signals. 

SATA 3.0 cables emit signals in different frequency bands: 1GHz, 2.5GHz, 3.9GHz and +6GHz. However, the most significant correlation with data transmission is observed in the range from 5.9995 GHz
Since the covert channel based on electromagnetic radiation is unidirectional, we transmit data in the form of data frames of fixed length.

Each frame begins with four alternating '1010' bits to transmit the frame preamble. The frame preamble allows attackers to synchronize with the transmission. The preamble is followed by a 16-bit payload

Most often, the data is received by some receiver, it can be implemented as a process in a neighboring computer or embedded in our computer.
It samples continuously from 5.9 GHz to 6 GHz and performs a raw fast Fourier transform (FFT), then the preamble is detected and the payload and our data are extracted.

If you criticize, suggest it! 🗝
I want to discuss different countermeasures to this kind of hacks🔮
To prevent the first phase(penetration) of airgap, you should use several layers of security in your network, including firewalls, intrusion detection and prevention systems, network traffic analysis and access control mechanisms.

For the second phase (data transmission) the most trivial is to prohibit the use of radios at the protected sites.


Another approach is to use an external RF monitoring system to detect anomalies in the 6 GHz band in the vicinity of the transmitting computer. 

However, this approach is likely to suffer from false alarms. In order to detect a signal, the system must know the specific waveform and modulation used.
There is still jamming that can be done from the operating system by performing random read and write operations when suspicious covert channel activity is detected.

As a summary I can say

This attack, although partly difficult to carry out, but this attack is very attractive to attackers, so it occurs because of the prevalence of SATA in daily life, so be vigilant and observe countermeasures. 🪄
For a demonstration of the attack itself you can watch this video link

I also advise you to read the two articles in the archive below . ⭐️
The first one will explain exactly this attack with more technical details and an assessment of this vulnerability. 
The second will give the whole story about the covert channel attacks on Air-Gap. 

That will be all. Thank you for reading❤️

And remember, if you are in the looking glass tiger lilies and other flowers can also speak🥀💐
#SATA #attacks #polymorphic #wireless_hacking #air_gap #covert_channels

Две статьи про атаки на Air-Gap

Первая про атаку радио волн с SATA ,с тех-подробностями и оценкой этой уязвимости 🔌
Вторая расскажет в целом про атаки по скрытым каналам на Air-Gap
Надеюсь вам будет полезно❤️


Two articles about attacks on Air-Gap

The first one is about radio wave attack with SATA, with technical details and evaluation of this vulnerability 🔌
The second one will give you a general info about Air-Gap stealth attacks
I hope you find it useful❤️
#SATA #attacks #polymorphic #wireless_hacking #air_gap #covert_channels

Сети победили!

Добрый день мои дорогие зайчики🐰

Сегодня я хочу рассказать про сетевые атаки📡
Вообще "сетевые атаки" довольно размытое понятие , они бывают как на прикладном , так и на транспортном и сетевом уровнях.

В этом посте я расскажу про виды атак , еще про некоторые cve в оборудование linksys и Tp-Link.
Более подробный матерьял про проведение атак и не только вы найдете в архиве ниже

Разберем виды атак

Спуфинг — это когда злоумышленник атакую пытаться обмануть сеть, маскируясь под что-то другое
Модификация - это когда узел злоумышленника вносит некоторые изменения в маршрут. Эта атака вызывает задержку связи между отправителем и получателем.

Wormhole - идея этой атаки заключается в пересылке данных с одного скомпрометированного узла на другой на другом конце сети через туннель. В результате узлы в WSN могут быть обмануты, думая, что они ближе к другим узлам, чем они есть на самом деле, это может вызвать проблемы в алгоритме маршрутизации + скомпрометированные узлы могут изменять пакеты данных

Фабрикация - это когда злоумышленником создаются ложные сообщения маршрутизации, которые затрудняют обнаружение, поскольку сообщения принимаются как обычные пакеты маршрутизации

DoS — это атака на сеть, чтобы довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи не смогут получить доступ к сети , или он ухудшиться. Часто это используют совместно с фитиновыми атаками, чтобы получить доступ к сети

Sinkhole - это когда злоумышленник привлекает соседние узлы, обманывает фейковой информацией, а затем выполняет выборочную пересылку или изменяет данные, проходящие через него

Sybil- вид атаки в сети, в результате которой жертва подключается только к узлам контролируемым злоумышленником.

Анализ трафика - злоумышленник получает доступ к той же сети, что и вы, чтобы прослушивать сетевой трафик , он может проанализировать этот трафик, чтобы узнать важную информацию для дальнейшего взлома
Подслушивание - это атака происходит, когда злоумышленник перехватывает(иногда не только), которые передаются между двумя устройствами. Атака основана на незащищенных сетевых соединениях для доступа к данным, передаваемым между устройствами.

Мониторинг - при этой атаке злоумышленник может читать приватные данные, но не может редактировать данные или изменять их

Атака "черная дыра"- это происходят, когда маршрутизатор удаляет все сообщения, которые он должен пересылать ,при атаке злоумышленник использует протокол маршрутизации для объявления себя как имеющего наилучший путь к узлу, чьи пакеты он хочет отрезать, затем злоумышленник создает сообщение о том, что у него есть кратчайший путь к получателю. Поскольку это сообщение от хакера достигло жертвы раньше, чем ответ от фактического узла, то атакуемый будет считать, что "злоумышленник" 'это кратчайший путь к получателю. Таким образом, примет ложный маршрут за настоящий

Стремительная атака - при поспешной атаке, когда отправитель посылает пакет ,а атакующий изменяет пакет и пересылает его получателю. Злоумышленник выполняет дублирование, посылая дубликаты получателям снова и снова. Получатель предполагает, что пакеты приходят от отправителя, поэтому приемник становится "занят"

Более подробно про проведение самих атак в архиве ниже.🔮
#network #wifi #attacks #cve #exploit #dos #traffic_analysis #router

Теперь приведу cve у оборудования linksys и Tp-Link

Для тех кто не знает linksys это производитель сетевого оборудования для малых офисов и дома. Они производят сетевые концентраторы, маршрутизаторы, сетевые карты.

К примеру управляемые коммутаторы от linksys включают функции для быстрого расширения сети. Функции протокола STP и Storm Control помогают контролировать запланированные или непреднамеренные кабельные петли linksys помогают защитить сеть с помощью аутентификации портов, требующей от клиентов аутентификации перед тем, как они начнут работать, клиенты должны аутентифицировать себя перед передачей любых данных.
Так какие же уязвимости у этого оборудования ?

Приведу несколько cve
К примеру есть CVE-2022-38555 это уязвимость переполнения буфера в Linksys E1200 на нее уже есть poc или CVE-2020-35713 удаленное выполнение кода предварительной аутентификации в Linksys RE6500 на нее тоже уже есть эксплоит .
Подробнее именно про атаки в архиве ниже 🩸

Теперь про TP-LINK- это тоже поставщик Wi-Fiроутеров для дома и офиса и один из крупнейших производителей сетевого оборудования .

Тоже расскажу про некоторые cve их оборудования
К примеру CVE-2022-30075 - импорт вредоносного файла резервной копии через веб-интерфейс может привести к удаленному выполнению кода из-за неправильной проверки , на нее есть эксплоит или CVE-2022-24355 это RCE уязвимость т.е она позволяет злоумышленникам, находящимся в соседней сети, выполнять произвольный код на установках маршрутизаторов . Для использования этой уязвимости не требуется аутентификация. Проблема возникает из-за отсутствия надлежащей проверки длины пользовательских данных перед их копированием в стековый буфер фиксированной длины. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root.
Более подробно о ней тык

А на этом думаю все .
В этом посте мы разобрали виды атак и некотовые уязвимости оборудования.
Подробнее как всегда в архиве ниже🌟 .В будущем будут отдельные посты про атаки

Спасибо за прочтение❤️
И помни Алиса , кроличья нора есть и в зазеркалье по этому следуй за кроликом и дальше🐇🎀
#network #wifi #attacks #cve #exploit #dos #traffic_analysis #router

Good afternoon my dear bunnies🐰

Today I would like to tell you about network attacks📡.
Generally "network attacks" is quite a fuzzy concept, they can be both on the application and on the transport and network layers.

In this post, I will describe types of attacks , more about some cve in linksys and Tp-Link hardware.

You will find more detailed information about the attacks and not only in the archive below

Let us discuss the types of attacks

Spoofing is when an attacker tries to fool the network by masquerading as something else
Modification is when an attacker node makes some changes to the route. This attack causes a delay in communication between the sender and the receiver.

Wormhole - The idea behind this attack is to send data from one compromised node to another at the other end of the network through a tunnel. As a result, nodes in WSN can be tricked into thinking they are closer to other nodes than they really are, this can cause problems in the routing algorithm + compromised nodes can modify data packets

Fabrication - is when an attacker creates false routing messages that make detection difficult because the messages are received as normal routing packets

DoS - is an attack on a network to crash it, that is to say, to make it so that legitimate users cannot access the network or it is degraded. It is often used in conjunction with phyto attacks to gain access to the network

Sinkhole - This is when an attacker attracts neighboring hosts, tricks them with fake information and then does a selective forwarding or changes the data that goes through it

Sybil- a type of network attack in which the victim only connects to nodes controlled by the attacker.

Traffic analysis - an attacker gains access to the same network as you to sniff network traffic , he can analyze this traffic to learn important information for further hacking
Eavesdropping is an attack that takes place when an attacker intercepts (sometimes not only) the traffic that is sent between two devices. The attack relies on unsecured network connections to access data transmitted between the devices.

Monitoring - in this attack an attacker can read private data, but cannot edit or modify it

Black hole attack - this happens when the router deletes all the messages it has to forward, in this attack the attacker uses the routing protocol to declare itself as having the best path to the host whose packets it wants to cut, then the attacker creates a message that it has the shortest path to the recipient. Since this message from the hacker has reached the victim before the response from the actual node, the attacker will assume that the 'attacker' 'is the shortest path to the recipient. Thus, will take the false route as the real one.

Rush attack - In a rush attack, when the sender sends a packet and the attacker changes the packet and forwards it to the recipient. The attacker performs duplication by sending duplicates to the recipients over and over again. The receiver assumes that the packets come from the sender, so the receiver becomes "busy".

More details about conducting the attacks themselves in the archive below.🔮
#network #wifi #attacks #cve #exploit #dos #traffic_analysis #router

Now here are the cve of linksys and Tp-Link equipment

For those who do not know linksys is a manufacturer of networking equipment for small offices and homes. They make network hubs, routers, and network cards. 

For example, linksys' managed switches include features for rapid network expansion. The STP and Storm Control protocol features help control planned or unintended cable loops linksys help protect the network with port authentication which requires clients to authenticate themselves before they start working, clients must authenticate themselves before transmitting any data.
So what are the vulnerabilities of this equipment ?

Here are some cve
For example, there is CVE-2022-38555 it is a buffer overflow vulnerability in Linksys E1200 already has a poc or CVE-2020-35713 remote pre-authentication code execution in Linksys RE6500 already has an exploit for it too .
More details about the attacks in the archive below 🩸

Now about TP-LINK - it is also a supplier of Wi-Fi routers for home and office and one of the largest manufacturers of network equipment. 

I will also tell you about some cve of their equipment
For example CVE-2022-30075 - importing a malicious backup file via web interface can lead to remote code execution due to wrong checks , there is an exploit for it or CVE-2022-24355 this is RCE vulnerability, i.e. it allows intruders in neighboring network to run arbitrary code on router installations . No authentication is required to exploit this vulnerability. The problem arises because there is no proper length check on user data before it is copied to a fixed-length stack buffer. An attacker can use this vulnerability to execute code in a root context.
Read more about it link

And I think that's it .
In this post we have analyzed types of attacks and some hardware vulnerabilities.
Read more in the archive below🌟 .There will be more articles about the attacks in the future.

Thank you for reading❤️
Remember Alice, there is a rabbit hole in the looking glass, so follow the rabbit 🐇🎀
#network #wifi #attacks #cve #exploit #dos #traffic_analysis #router

Архив с поста выше 🔑
Про сети , атаки много чего еще.
Надеюсь вам будет полезно⚡️

Archive from the post above 🔑
About networks, attacks and much more.
I hope you find it useful⚡️
#network #wifi #attacks #cve #exploit #dos #traffic_analysis #router

Добрый день Алисы и котики которые любят улыбаться 🎀🐈‍⬛

Сегодня хочу начать серию постов про атаки злоумышленников, и их отслеживание впоследствии 🎯

Она будет делаться на несколько частей .
Первая часть (эта) будет про: планирование атаки злоумышленниками, а так же введение( в ней будет больше теории ) .
Вторая часть будет про: сами атаки и эксплуатирование уязвимостей (с техническими примерами и архивом статей про это).
Третья будет про: форензику , вычисление злоумышленников в системе(тоже с техническими примерами и архивом с матерьялами про это)+ про методы защиты от различных атак

Начнем первую часть со схемы действий злоумышленников ⚡️
А потом пройдемся по каждому пункту более конкретно!

1) Первое, что делает злоумышленник(и) это выбор цели , выбор цели зависит от многих факторов + ориентировки злоумышленника(ов) .🎯

2) После выбора жертвы злоумышленник(и) собирают информации о цели(сервера, cms, сети , базы данных , открытые порты и тд) для первичного анализа в ход разные сканеры , вроде zoomeye, censys или nmap 🧩

3) Далее если цель кажется уязвимой то тут в ход идет пен-тест и поиск уязвимостей . Например, цель это веб сайт . Для общих тестов будут юзать какой-нибудь burpsuite , или разные специфические инструменты в зависимости от анализа выше ( к примеру если на сайте стоит wordpress для его сканирования будут использовать какой-нибудь wpscan, а после (в зависимости от информации полученной в результате сканирования) тестирование уязвимостей плагинов, или устаревших версий ) еще могут юзать какие-либо само-писные инструменты 🔑

4) Если цель( как бывает в большинстве случаев ) оказывается слишком сложной или хакеры думают что поиск уязвимостей в самой системе займет слишком много времени то в ход идет социальная инженерия👥

1) Одно из того, что могут сделать злоумышленники сделают это: исходя из данных полученных анализом выше это написать вредоносное ПО (или использовать Cobalt Strike )🦠

2) Если злоумышленники выберут такой вариант действий то , им нужно будет распространить их вирус , для этого они (как пример) анализируют сотрудников взламываемой цели, а после исходя из информации полученной этим делают фишинговые атаки

Более подробно об этом будет в следующей части про атаки
#network #wifi #attackers #virus #social_engineering #pentest #attacks #scanners

Теперь разберёмся в каждом пункте подробнее!

Поговорим про выбор цели злоумышленников🎯

Есть различные группировки злоумышленников которые имеют разную на нацеленность .
Например, те кто нацелен только на большие компании ( какими были lapsus ), или же те кто нацелен на онлайн игры и казино(как earth berberoka) , есть кто-то вроде revil( кто не ломают разные ресурсы по личным соображениям , например больницы и тд) .
Так вот, зависимости от своей направленности они либо берут заказы на различных формах вроде exploit.in, cracked.io иногда xss.is, nulled.to, altenens.is, hackforums.net, evilzone.org и многих других (забавный факт , злоумышленников часто вычисляют при работе с заказчиком или переводах средств, нежели в самом взломе ) или самостоятельно выбирают цель

Но в любом случае после приема заказа или выбора взламываемого объекта хакеры приступают к :
Анализу цели🧩

Это происходит по-разному ( К примеру: если цель веб сайт , от первым делом злоумышленникам необходимой найти их настоящий сервер )
Для начала(как проще всего) они смотрят через поисковики такие как: Shodan, Binaryedge, Fofa, Censys, ZoomEye.
Еще на этом этапе злоумышленники могут как то скомпрометировать сотрудников, чтобы узнать подобного рада информацию . После того как найден настоящей сервер, они сканируют его в каком нибудь nmap или подобных сканерах



Почти всегда, чтобы получить доступ к серверу злоумышленникам нужно попасть во внутреннею сеть компании . 

Если компания использует какой-то общей vpn клиент ,хакеры могут взломать ( с помощью фишинга или с помощью уязвимостей какой-нибудь из аккаунтов сотрудников )

Приведу пример 🌟

У нас есть компания - аэропорт . Заказчик кого то просит зашифровать данные на сервере этой компании. Злоумышленник(и) берет(ут) заказ
Для начала сканируют эту свою цель .
Допустим они видят что: там используются общий FortiCient VPN, наши злоумышленники решают получить доступ к сети, по этому для начала им требуется взломать FortiCient VPN

Они будут это делать с помощью различных уязвимостей (пример тык ) или же обычного фишинга, или компрометирования сотрудника .
После получения доступа к FortiCient хакеры сканируют трафик и находят внутренний сервер компании. Злоумышленники сканируют этот сервак на открытые порты и уязвимости .
И потом пытаться получить доступ к нему , или пытаются перехватить сессию входа

А вообще , эта стадия(тестирования на уязвимости) очень обширна .
По этому , приведу еще пример именно на этот раз именно с целью злоумышленников которой является веб сайт

Злоумышленники хотят получить бд сайта 

Этот сайт допустим известный блог, и он на wordpress и есть подозрение на sqli .
Первое, что необходимо злоумышленнику это узнать версию wp и его плагины , да и вообще информацию о нем.
Это он может сделать с помощью wpscan. После сканирования они допустим видят cfdbb7 <=1.2.5.3 , и находят там sqli (тык ) и получают бд сайта

Еще для сканирования веб сайтов часто используют веб сканеры вроде: Netsparker, DeepScan, Nessus, Acunetix .
Если цель взлома достаточно "сложная", то злоумышленники делают этап 3 и этап 4 совместно .
#network #wifi #attackers #virus #social_engineering #pentest #attacks #scanners

Этап 4 - социальная инженерия👥

Вот еще один пример:

Допустим у нас есть крупная компания , злоумышленникам нужно взломать их .
Блек-хеты понимают что: искать уязвимости это долго , а заработать на взломе они хотят в относительно короткие сроки
По этому злоумышленники решают пойти путем взлома через сотрудников т.е завладеть их пк и попасть в сеть компании, или же закинуть вирус стиллера или кейлогера для сбора паролей и таким образом получить важную им информацию.

Есть несколько вариантов как они могут это сделать .

К примеру таких как: узконаправленный фишинг/атаки
Сначала они ищут сотрудника которому злоумышленники будет кидать вирус, после анализируют информацию об этом человеке(используя всякие технологии OSINT) потом пишется фишинговый пост . И отправляется ему(им) . Или собирается уникальный словарь для брута основываясь на интересах человека и тд , и методом перебора паролей злоумышленники ломают его пк.

Либо более широко направленный фишинг/взлом .
Где злоумышленники либо пишут фишинговый пост без сбора информации и шлют сразу для многих сотрудников компании. Или же просто брутят пороли от многих пк в ней используя обычные словари

Еще есть метод когда злоумышленник, анализируют компанию ,ее принципы работы , сотрудников и тд . А потом претворяются что они там работают (чтобы в последствии взломать) . Хотя могут и по-настоящему устроиться эту компанию на работу .

Так же блек-хеты могут заплатить кому-то из уже работающих в компании сотрудников , тем самым скомпрометировав их и получив доступ .



В любом случае когда злоумышленники в системе  взломать компанию им в разы проще 

🩸
После попадания в систему компании злоумышленники могут использовать к примеру вредоносное ПО🦠 для заражения и сбора необходимых им данных.

Хочу привести еще пример атаки с социальной инженерией

У нас есть крупная сеть магазинов телефонов.
Злоумышленники хотят взломать их сервер и зашифровать данные, чтобы потом потребовать выкуп .

Им нужно попасть на сервер . 

Что им делать? ("Даша путешественница помоги найти как взломать сервер злоумышленникам")🙃

Для начала злоумышленники решают "компания весьма крупная, для ее взлома обычными методами(пен-тестиом и поиском уязвимостей) понадобится "не одна неделя. "" 🫥
По этому они решают , "лучше взломать компанию через сотрудников ".

В компании работает Бен, он не очень знаком с кибербезопасностью и может статью хорошей целью для взломщиков  .

Злоумышленники ищут информацию (все что можно о компании, сотрудниках и тд) на одном из сайтов по поиску работы они видят Бен , он кажется им хорошей целью .
С помощью различных методов osint они анализируют что может быть ему интересно и составляют фишинговое письмо . После шлют его на рабочею почту Бена(это важно ибо им нужно заразить именно его рабочий ПК) . К письму они прикрепляют pdf , куда помешают вредоносное ПО 🦠(Допустим ратник для сбора информации) и шлют его Бену .
Ему это кажется интересным , Бен тыкает на файл тот загружается, и его и ПК заражает вирус .
Далее злоумышленники собирают нужную им информацию с помощью вируса 🌡

Как мы видим чаще всего злоумышленники пользуются именно уязвимостью в сотрудниках, нежели в самих сервисах . По этому будьте бдительны и не попадайтесь на фишинг.🪄

А на этом думаю стоит закончить вводную часть.
Надеюсь вам было интересно ее читать . В следующих постах из этой серии будет больше тех матерьялов , а так же будет рассказано про форензику и методы зашиты от атак. ✨

Спасибо за прочтение❤️

И помните: Если вы видите только улыбку чеширского кота ,это не значит что он не видит вас целиком😺🎩
#network #wifi #attackers #virus #social_engineering #pentest #attacks #scanners

Good afternoon Alice and cats who like to smile 🎀🐈‍⬛

Today I want to start a series of posts about attackers, and tracking them afterwards 🎯

It will be done in several parts .
The first part (this one) will be about: planning an attack by attackers, as well as an introduction (there will be more theory in it) .
The second part will be about: attacks and exploitation of vulnerabilities (with technical examples and an archive of articles about it).
The third part will be about: forensic, the calculation of the attackers in the system (with technical examples and an archive of articles on the subject) + defensive techniques against various attacks.

Let's start part one with a scheme of what cybercriminals do ⚡️
And then we will go over each point more specifically!

1) The first thing the attacker(s) does is to choose a target, the choice of target depends on many factors + orientation of the attacker(s) .🎯

2) After selecting the victim, the attacker(s) will collect information about the target (servers, cms, networks, databases, open ports, etc.) for initial analysis. Various scanners like zoomeye, censys or nmap are in use 🧩

3) If a target seems to be vulnerable then a pen test and vulnerability scanning comes into play. For example, the target is a website. For general tests will use some burpsuite, or different specific tools depending on the analysis above (for example if the site is wordpress they will use some wpscan to scan it, and then (depending on the information from the scan) testing vulnerabilities of plugins, or outdated versions) may use some self signed tools 🔑

4) If the goal (as it usually happens) is too hard or hackers think that searching of vulnerabilities in the system will take too much time, then they use social engineering👥

1) One of the things cybercriminals can do: based on the analysis above they can write malware (or use Cobalt Strike )🦠

2) If they will do this, they will need to spread their virus, for this they will (as an example) analyze the employees of the jeopardized target, and then based on the information received by this they will make phishing attacks

More on this will be in the next part of the attack
#network #wifi #attackers #virus #social_engineering #pentest #attacks #scanners

Now let's go through each point in more detail!

Let's talk about the choice of the attackers target🎯

There are different groups of attackers who have different targets.  

For example, those who target only big companies (like lapsus), or those who target online games and casinos (like earth berberoka), there is someone like revil (who does not break various resources for personal reasons, such as hospitals, etc.).
So, depending on their orientation, they either take orders on various forms such as exploit.in, cracked.io sometimes xss.is, nulled.to, altenens.is, hackforums.net, evilzone.org and many others (a funny fact, the attackers are often calculated when working with the customer or the transfer of funds, rather than in the hack itself) or self-select target

But in any case, after accepting an order or choosing a target to be hacked, hackers proceed to :
Analyzing the target🧩

This can be done in different ways (e.g.: if the target is a website, the first thing they will need is to find their real server)
To begin with (as the easiest)

They look through search engines such as: Shodan, Binaryedge, Fofa, Censys, ZoomEye. 

Even at this stage, the attackers can somehow compromise the employees to find out such a rad information. Once a real server is found, they scan it with some nmap or similar scanners


Almost always, to access a server, the intruder needs to get into the internal network of the company. 

If a company uses some kind of shared VPN client, hackers can do an intrusion (via phishing or exploiting vulnerabilities in some of the employees accounts).

Here's an example 🌟

We have an airport company. A customer asks someone to encrypt data on that company's server. The intruder(s) takes the order.

First they scan this their target .

Let's say they see that: there is a generic FortiCient VPN in use, our attacker decides to access the network, so first they need to hack the FortiCient VPN

They will do this by exploiting different vulnerabilities (example: link ) or by phishing, or by compromising an employee.
After gaining access to FortiCient, the hackers scan the traffic and find the company's internal server. Attackers scan that server for open ports and vulnerabilities.
And then try to access it, or try to hijack the login session.

In general, this stage (vulnerability testing) is very broad.
So, give another example just this time precisely for the purpose of attackers which is the web site.

The attackers want to get the database of the site 

This site let's say a famous blog, and it is on wordpress and there is a suspicion of sqli .
The first thing the attacker needs is to find out the version of wp and its plugins, and indeed information about it.
He can do this with wpscan. During the scan they find cfdbb7 <=1.2.5.3 , sqli (link) and get the database of the site.

More to scan a website often use web scanners such as: Netsparker, DeepScan, Nessus, Acunetix .
If the purpose of the attack is quite "complicated", then the attackers do step 3 and step 4 together.
#network #wifi #attackers #virus #social_engineering #pentest #attacks #scanners