#news Занятная новинка из мира скама на ниве play-to-earn криптоигр. Злоумышленники скопировали сайт проекта Alchemic World с их ресурсами и продвигали под видом собственного. Купившиеся на предложение протестировать игру за эфир получали по коду с сайта малварь для кражи криптокошельков, Racoon Stealer или пару аналогов.
Сайты для липового проекта, дискорд-сервера, аккаунты в соцсетях, платформа на Medium’e — скамеры не поленились в попытке придать задумке правдоподобности. Впрочем, надолго их не хватило: сейчас аккаунты фейкового Cthulhu World активно банят, а в качестве неописуемого хтонического ужаса из глубин нижнего интернета жертвам на память остались разве что высосанные с их кошельков средства.
@tomhunter
Сайты для липового проекта, дискорд-сервера, аккаунты в соцсетях, платформа на Medium’e — скамеры не поленились в попытке придать задумке правдоподобности. Впрочем, надолго их не хватило: сейчас аккаунты фейкового Cthulhu World активно банят, а в качестве неописуемого хтонического ужаса из глубин нижнего интернета жертвам на память остались разве что высосанные с их кошельков средства.
@tomhunter
🔥10😁4
#news Шутки про ни дня без утечек ещё не скрипят на зубах? В открытом доступе найдены базы данных пользователей CDEK.Shopping и «СДЭК.Маркет». По сравнению с их предыдущими сливами всё довольно скромно: суммарно 120 тысяч строк с ФИО, логинами, почтами, телефонами и хешированными паролями. Базы свежие: в первой обновления до середины августа, во второй — до марта.
Тем временем Минцифры подумывает всё же назначить оборотные штрафы и за первую утечку при условии, что слита база больше, чем на 10 тысяч юзеров. Компании смогут отделаться суммой в несколько миллионов, если сами раскроют слив, сознаются в нём и расследуют. Ну а пока, похоже, продолжается аттракцион «слей все свои базы до принятия закона и живи спокойно».
@tomhunter
Тем временем Минцифры подумывает всё же назначить оборотные штрафы и за первую утечку при условии, что слита база больше, чем на 10 тысяч юзеров. Компании смогут отделаться суммой в несколько миллионов, если сами раскроют слив, сознаются в нём и расследуют. Ну а пока, похоже, продолжается аттракцион «слей все свои базы до принятия закона и живи спокойно».
@tomhunter
🔥9😁5🤔1
#news Сетевая инфраструктура Черногории понемногу сыпется под кибератаками. Бьют по электросетям и водоснабжению, транспорту и госпорталам. Несколько электростанций перешли на ручной режим работы, а госсети отключили, чтобы сдержать атаки. Дошло до того, что посольство штатов рекомендует своим гражданам ограничить поездки и ожидать проблем на границе и в аэропортах.
В Черногории считают, что атаки идут из России и связаны с геополитической обстановкой. Занятно наблюдать, как пускай и небольшая страна оказывается почти парализована на фоне полит-интриг. Можно представить, как в случае масштабного конфликта в будущем мигом посыпется всевозможная критическая айти-инфраструктура. Особенна та, в которой экономили на инфобезе.
@tomhunter
В Черногории считают, что атаки идут из России и связаны с геополитической обстановкой. Занятно наблюдать, как пускай и небольшая страна оказывается почти парализована на фоне полит-интриг. Можно представить, как в случае масштабного конфликта в будущем мигом посыпется всевозможная критическая айти-инфраструктура. Особенна та, в которой экономили на инфобезе.
@tomhunter
🤔13🤡9🔥2❤1🤬1
#news Нет, ну вы только вчитайтесь... Федеральная торговая комиссия США (FTC) объявила сегодня, что она подала иск против базирующегося в Айдахо брокера данных о местоположении Kochava за продажу конфиденциальных и точных данных геолокации (в метрах), собранных с сотен миллионов мобильных устройств.
Kochava предоставляла доступ к данным о местоположении потребителей через канал данных, к которому ее клиенты могут получить доступ через онлайн-рынки данных после оплаты подписки на 25 000 долларов (до июня 2022 года также был доступен бесплатный образец набора данных, содержащий информацию, собранную за предыдущие семь дней). И эти люди говорят, что в России бардак с данными...
@tomhunter
Kochava предоставляла доступ к данным о местоположении потребителей через канал данных, к которому ее клиенты могут получить доступ через онлайн-рынки данных после оплаты подписки на 25 000 долларов (до июня 2022 года также был доступен бесплатный образец набора данных, содержащий информацию, собранную за предыдущие семь дней). И эти люди говорят, что в России бардак с данными...
@tomhunter
🔥11😁1
#news Думаете, что тема ограничилась одной Kochava? Фигушки... Неизвестные хакеры взломали системы коммуникационных сервисов компании Twilio. Результаты своего взлома были моментально использованы для атак на пользователей мессенджера Signal. Взломав системы Twilio, хакеры могли читать текстовые сообщения жертв. Это потенциально дало хакерам возможность завладеть любыми учетными записями жертв, которые были привязаны к их номеру телефона в сервисах, использующих Twilio.
Twilio предоставляет услуги проверки текста для приложения для обмена зашифрованными сообщениями Signal. Когда пользователь регистрирует свой номер телефона в Signal, Twilio отправляет ему SMS-сообщение с кодом подтверждения, который он затем вводит в Signal. Signal заявила, что хакеры атаковали около 1900 ее пользователей. Это означает, что для этих пользователей хакеры могли зарегистрировать их номера на своем собственном устройстве и, по сути, выдать себя за них, или перехватить код подтверждения SMS, который Signal использует для регистрации пользователей. Занавес...
@tomhunter
Twilio предоставляет услуги проверки текста для приложения для обмена зашифрованными сообщениями Signal. Когда пользователь регистрирует свой номер телефона в Signal, Twilio отправляет ему SMS-сообщение с кодом подтверждения, который он затем вводит в Signal. Signal заявила, что хакеры атаковали около 1900 ее пользователей. Это означает, что для этих пользователей хакеры могли зарегистрировать их номера на своем собственном устройстве и, по сути, выдать себя за них, или перехватить код подтверждения SMS, который Signal использует для регистрации пользователей. Занавес...
@tomhunter
❤9😁7🤯3
#news Вместе с несколькими популярными настольными приложениями вроде Google/Yandex-переводчика и MP3-загрузчика распространяют криптомайнер. И что занятно, он скачивается только через месяц, чтобы не быть замеченным.
На той же Софтопедии у одного вредоноса больше 100к скачиваний, он же в первых результатах выдачи. Юзер получает легитимный софт, который в течение месяца подтягивает нагрузку, чистит логи и правит файрвол. Наконец, вредонос отправляет запросы на C2-сервер по своему функционалу. Интересно, прописали ли в нём выбор, что майнить. А то пока терпеливый криптошахтёр ждёт отправки, ещё не добытые нечестным путём цифровые активы десять раз обвалиться успеют.
@tomhunter
На той же Софтопедии у одного вредоноса больше 100к скачиваний, он же в первых результатах выдачи. Юзер получает легитимный софт, который в течение месяца подтягивает нагрузку, чистит логи и правит файрвол. Наконец, вредонос отправляет запросы на C2-сервер по своему функционалу. Интересно, прописали ли в нём выбор, что майнить. А то пока терпеливый криптошахтёр ждёт отправки, ещё не добытые нечестным путём цифровые активы десять раз обвалиться успеют.
@tomhunter
😁11🔥3
Август 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. За подробностями добро пожаловать на наш Хабр!
❤8
#news У Брайана Кребса вышел обзорный пост по следам фишинговой кампании 0ktapus, так же известной в узких кругах наших читателей как «Good day sir, please login». За летние месяцы целью кампании стали несколько сотен организаций и сервисов, и многие их работники слили свои личные данные в «продвинутой» фишинговой атаке. Состоявшей из смски с мимикрирующей под компанию ссылкой.
Согласно опросам взломанных сервисов, злоумышленники в основном искали у них доступ к крипте и инфу по инвесторам. Для нивелирования же человеческого фактора предлагают физические ключи безопасности, биометрию и доступ только с рабочих устройств. Ну а пока компании дружно рефлексируют над одноразовыми паролями и тем как, наконец, остановить своих работников от слива данных, остаётся только похлопать тем догадливым, отправившим взломщикам логины формата «havefuninjail».
@tomhunter
Согласно опросам взломанных сервисов, злоумышленники в основном искали у них доступ к крипте и инфу по инвесторам. Для нивелирования же человеческого фактора предлагают физические ключи безопасности, биометрию и доступ только с рабочих устройств. Ну а пока компании дружно рефлексируют над одноразовыми паролями и тем как, наконец, остановить своих работников от слива данных, остаётся только похлопать тем догадливым, отправившим взломщикам логины формата «havefuninjail».
@tomhunter
🔥9❤3
#news Исследователи насчитали почти две тысячи яблочных приложений с захардкоженными AWS-данными. Три четверти из них с валидными токенами, больше восьмисот — с доступом к базам на миллионы записей.
А какие среди них занятные примеры! B2B-компания, обслуживающая 15,000 малых и средних бизнесов. SDK нескольких банковских приложений с уязвимыми облаками с инфой на клиентов вплоть до биометрии. Платформа-тотализатор, которой пользуются 16 приложений для ставок со всей их инфраструктурой и облачными сервисами доступными с админскими правами. В общем, потенциальных кандидатов на горячие инфобез-новости хоть отбавляй.
@tomhunter
А какие среди них занятные примеры! B2B-компания, обслуживающая 15,000 малых и средних бизнесов. SDK нескольких банковских приложений с уязвимыми облаками с инфой на клиентов вплоть до биометрии. Платформа-тотализатор, которой пользуются 16 приложений для ставок со всей их инфраструктурой и облачными сервисами доступными с админскими правами. В общем, потенциальных кандидатов на горячие инфобез-новости хоть отбавляй.
@tomhunter
🔥11
#news Фишинговые кампании, которые мы заслужили… Тысячи пользователей Инстаграма получили письма с грамматическими ошибками и предложением обзавестись галочкой к своему профилю. Достаточно подтвердить аккаунт, слив логин, почту, телефон и пароль.
Домен под верификационный, знакомые логотипы, ограничения по времени в письме напополам с чувством гордости и достижения — всё для заманухи желающих поднять свой сетевой соцстатус инстадив. Злоумышленники не первый раз пытаются сыграть на тщеславии твиттерно-инстаграмных пользователей — такие кампании стабильно идут каждый год. Шутка ли, заветная голубая галочка как у лучших людей платформы.
@tomhunter
Домен под верификационный, знакомые логотипы, ограничения по времени в письме напополам с чувством гордости и достижения — всё для заманухи желающих поднять свой сетевой соцстатус инстадив. Злоумышленники не первый раз пытаются сыграть на тщеславии твиттерно-инстаграмных пользователей — такие кампании стабильно идут каждый год. Шутка ли, заветная голубая галочка как у лучших людей платформы.
@tomhunter
😁11❤3
#news Новости о приключениях Телеграма в Индии. Там суд обязал мессенджер раскрыть телефоны и IP-адреса пользователей, нарушающих авторские права. Учительнице английского не понравились каналы, продающие её пособия и лекции по дешёвке. Телеграм давил на то, что это нарушит законы Сингапура, где базируются сервера мессенджера, но суд счёл это неубедительным и дал две недели на исполнение требований.
Компания пока молчит, но вот станет ли она бодаться с индусским лобби при потенциальном миллиарде пользователей? Прецедент интересный: в начале лета были слухи про слив данных МВД Германии, а теперь пробуют на прочность копирайтом. Как бы горделивые заходы про «0 байтов переданных пользовательских данных» скоро не пришлось отовсюду уже и официально вымарывать.
@tomhunter
Компания пока молчит, но вот станет ли она бодаться с индусским лобби при потенциальном миллиарде пользователей? Прецедент интересный: в начале лета были слухи про слив данных МВД Германии, а теперь пробуют на прочность копирайтом. Как бы горделивые заходы про «0 байтов переданных пользовательских данных» скоро не пришлось отовсюду уже и официально вымарывать.
@tomhunter
❤7😁3🤯2🤔1
#news Подвергшаяся в последние недели масштабной кибератаке Черногория на самом высоком уровне утверждала, что за ней стоят вездесущие русские хакеры, и это вопрос международной безопасности. А теперь говорят, что атака — всего лишь дело рук рансомварь-группировки и их «особого вируса».
Ответственность за атаку взяли на себя хакеры из шайки Cuba, опубликовав в свободном доступе стянутые у их правительства финдокументы, налоговые декларации, переписку с банками и прочее вплоть до исходников. Злоумышленники якобы требуют от Черногории $10 миллионов выкупа. Что ж, сегодня без геополитических скандалов, осторожнее с заявлениями в следующий раз.
@tomhunter
Ответственность за атаку взяли на себя хакеры из шайки Cuba, опубликовав в свободном доступе стянутые у их правительства финдокументы, налоговые декларации, переписку с банками и прочее вплоть до исходников. Злоумышленники якобы требуют от Черногории $10 миллионов выкупа. Что ж, сегодня без геополитических скандалов, осторожнее с заявлениями в следующий раз.
@tomhunter
😁14🔥6
#news Samsung подтвердил утечку пользовательских данных, произошедшую в июле. Взломщики стянули имена, контакты и прочую личную информацию части юзеров. Более чувствительные данные, вроде ID и инфы с банковских карт, якобы не пострадали.
Это уже второй взлом международного гиганта за последние полгода — в марте юные дарования из Lapsus$ стянули у них 170GB данных, включая исходники. В этот раз без громких происшествий, только идут письма счастья дорогим и ценным клиентам с уведомлением об утечке их данных.
@tomhunter
Это уже второй взлом международного гиганта за последние полгода — в марте юные дарования из Lapsus$ стянули у них 170GB данных, включая исходники. В этот раз без громких происшествий, только идут письма счастья дорогим и ценным клиентам с уведомлением об утечке их данных.
@tomhunter
🔥9😁4
Собрал в один большой пост подборку всевозможных произведений кинематографа, так или иначе затрагивающих тему OSINT-исследований. Почти два десятка фильмов и сериалов на любой вкус, от свежих документалок до культовой классики.
Безуспешные поиски угонщика самолётов, бесследно растворившегося в небесной лазури с мешком денег полвека назад. Корейские Телеграм-ужасы, взбудоражившие всю страну. Охота на убийц и сваттеров, громкие расследования и неочевидные кинокартины, заслуживающие особого упоминания, — в посте найдутся произведения с большого и малого экранов на любой вкус. Так что всем интересующимся OSINT в поисках развлечения на вечер, добро пожаловать на Хабр!
Безуспешные поиски угонщика самолётов, бесследно растворившегося в небесной лазури с мешком денег полвека назад. Корейские Телеграм-ужасы, взбудоражившие всю страну. Охота на убийц и сваттеров, громкие расследования и неочевидные кинокартины, заслуживающие особого упоминания, — в посте найдутся произведения с большого и малого экранов на любой вкус. Так что всем интересующимся OSINT в поисках развлечения на вечер, добро пожаловать на Хабр!
🔥13❤2🤔1
#news На Breached появился анонс слива с данными TikTok и WeChat. Массив на 790GB и якобы 2.05 миллиарда записей пользовательских данных, куки, токенов, исходников и иной инфы. Что занятно, пост от группы хактивистов, по их громким заверениям атакующих только враждебные Европе страны.
WeChat пока молчит, а TikTok отрицает взлом, заявляя, что и код в базе вообще не с их платформы, и скрапнуть её невозможно — TikTok мол под защитой сумрачного китайского гения, ни один вражеский скрипт не пройдёт. Тем не менее, исследователи уже подтвердили подлинность пользовательской информации в сэмпле. Осталось дождаться подтверждений, что в базе есть что-то помимо публичных данных.
@tomhunter
WeChat пока молчит, а TikTok отрицает взлом, заявляя, что и код в базе вообще не с их платформы, и скрапнуть её невозможно — TikTok мол под защитой сумрачного китайского гения, ни один вражеский скрипт не пройдёт. Тем не менее, исследователи уже подтвердили подлинность пользовательской информации в сэмпле. Осталось дождаться подтверждений, что в базе есть что-то помимо публичных данных.
@tomhunter
🔥12💩1
#news На хакерских форумах замечена новая услуга: обратный прокси-сервер для фишинга. Не способные настроить такую приблуду самостоятельно могут приобрести доступ к полностью автоматизированному сервису. Названный EvilProxy, он обещает кражу логинов, паролей и токенов для обхода двухфакторки у Apple, Google, Microsoft и ещё нескольких сайтов вплоть до GitHub и PyPi.
В наличии удобный интерфейс, видео-инструкции и клоны страниц популярных сервисов. Увы, с распространением таких услуг даже самые маленькие злоумышленники смогут обходить повсеместно вводимую двухфакторку всего за 400-600 баксов в месяц. Зацените тех-гайд для покупателей на скриншоте. Вот этот я понимаю клиентоориентированный подход.
@tomhunter
В наличии удобный интерфейс, видео-инструкции и клоны страниц популярных сервисов. Увы, с распространением таких услуг даже самые маленькие злоумышленники смогут обходить повсеместно вводимую двухфакторку всего за 400-600 баксов в месяц. Зацените тех-гайд для покупателей на скриншоте. Вот этот я понимаю клиентоориентированный подход.
@tomhunter
🔥8🤯2
#news И ещё немного об оригинальных услугах в мире киберкриминала. В Штатах арестовали паренька в возрасте 21 года, который отрабатывал через Телеграм заказы по Violence-as-a-Service. В частности кирпич или коктейль Молотова в окно и вплоть до стрельбы по дому жертвы. Всё это удовольствие обходилось примерно в 2-3к долларов за заказ.
Судя по расследованию Кребса, заказчики атак в этих каналах связаны с сообществом SIM-свопинга. В котором полно подростков и дарований чуть постарше, ставших миллионерами на краже крипты. Ну а теперь они обнаружили, что за мелкий по их меркам прайс можно закинуть конкуренту Молотов в окно. Такие вот изысканные развлечения у малолетних зловредных криптомиллионеров. Нашим юным любителям заминировать родную школу пока до такого, к счастью, далеко.
@tomhunter
Судя по расследованию Кребса, заказчики атак в этих каналах связаны с сообществом SIM-свопинга. В котором полно подростков и дарований чуть постарше, ставших миллионерами на краже крипты. Ну а теперь они обнаружили, что за мелкий по их меркам прайс можно закинуть конкуренту Молотов в окно. Такие вот изысканные развлечения у малолетних зловредных криптомиллионеров. Нашим юным любителям заминировать родную школу пока до такого, к счастью, далеко.
@tomhunter
🤯7🤡4❤2🔥2
Как проверяют физ. лиц в СБ компаний методом OSINT? Поговорим об этом на хабре! В новой статье мы собрали источники, которыми службы безопасности выполняют проверку физических лиц: от действительности документов и анализа профиля в социальных сетях до наличия проблемных задолженностей и судимостей. Приятного чтения)
🔥12💩3
#news Осень только началась, а у нас уже в эфире самый занятный кроссовер сезона. Албания обвинила Иран в июльской атаке на свою госинфраструктуру. А следом разорвала с ним дипломатические отношения и потребовала, чтобы посольство всем составом покинуло страну в течение 24 часов.
Премьер-министр Албании выступил с заявлением, что за атакой стояла спонсируемая Ираном хакерская группировка. Её целью было парализовать государственные сервисы, уничтожить их системы и украсть госданные. Связано это всё, как водится, с иранскими политинтригами — в Албании в июле должна была пройти конференция их диссидентов. Чудные дела. Так, глядишь, уже при нашей жизни условный Франц Фердинанд будет сугубо цифровым.
@tomhunter
Премьер-министр Албании выступил с заявлением, что за атакой стояла спонсируемая Ираном хакерская группировка. Её целью было парализовать государственные сервисы, уничтожить их системы и украсть госданные. Связано это всё, как водится, с иранскими политинтригами — в Албании в июле должна была пройти конференция их диссидентов. Чудные дела. Так, глядишь, уже при нашей жизни условный Франц Фердинанд будет сугубо цифровым.
@tomhunter
🔥9🤯2💩2
#news ФБР и компания провели международную операцию и перехватили сайт и домены WT1SHOP, одной из крупнейших площадок по торговле личными данными, кредитками и аккаунтами. Больше 100 тысяч пользователей, инфа примерно на 6 миллионов человек и оборот в несколько миллионов долларов — ещё одно раздолье для кардеров и мошенников отправилось на дно вслед за Slilpp.
Любители чертовски хорошего кофе сообщают, что отследили биткоины, имейлы и админки до гражданина Молдавии по имени Николай Колесников. Теперь в случае поимки незадачливому товарищу грозит до 10 лет тюрьмы.
@tomhunter
Любители чертовски хорошего кофе сообщают, что отследили биткоины, имейлы и админки до гражданина Молдавии по имени Николай Колесников. Теперь в случае поимки незадачливому товарищу грозит до 10 лет тюрьмы.
@tomhunter
🔥11😁5💩1
#tools
◻️ Подборка утилит для работы с lsass от нашей пентест команды.
LSASS — это процесс отвечающий за аутентификацию локальных и доменных пользователей в Windows. Так же, в его обязанности входит генерация токенов безопасности для активных сессий пользователей, работа с провайдерами поддержки безопасности SSP.
Ниже подборка утилит, с помощью которых можно извлечь пароли в открытом виде или NT-хеши для дальнейшей атаки.
🔹 Lsassy
Помимо выгрузки учётных данных, Lsassy имеет возможность выгрузить билеты в kirbi формате. Использует impacket для удаленного чтения необходимых байтов в дампе lsass и pypykatz для извлечения учетных данных.
🔹 Nanodump
Гибкий инструмент, который создаёт минидамп процесса lsass различными способами.
🔹 RIPPL
Умеет взаимодействовать с защищёнными Protected Process Light (PPL) процессами в обход ядра системы.
🔹 PPLdump
Так же имеет возможность управления процессами используя функции DefineDosDeviceAPI для выполнения произвольного кода внутри PPL.
🔹 Mimikatz
Классический вариант, позволяет обработать lsass не сохраняя дамп на диск.
🔹 Pypykatz
Реализация mimikatz на языке python >= 3.6
🔹 Handlekatz
Клонирует дескрипторы lsass и дергает MiniDumpWriteDumpA взятый из ReactOS для создания обфусцированного дампа. Выделяет совсем немного исполняемой памяти, поэтому может отлично сочетаться с DLL-Hollowing.
🔹 Sharpdump
Out-Minidump.ps1 в обёртке C#
Использует MiniDumpWriteDump вызов win32API для создания самого дампа памяти.
🔹 Physmem2profit
Утилита используется для создания мини-дампа процесса LSASS целевого хоста путем удаленного анализа физической памяти, который можно дополнительно проанализировать с помощью Mimikatz.
🔹 MirrorDump
Написан на C#.
Использует проекты MiniHook и SharpDisasm для вызовов внутренних API MiniDumpWriteDump. Так же совмещает Boo.Lang и DLLExport для генерации аутентификации LSA SSP и его загрузки в память LSASS.
🔹 Procdump
Служебная программа из состава Windows Sysinternals, которая позволяет делать снимок памяти процесса LSASS.
◻️ Подборка утилит для работы с lsass от нашей пентест команды.
LSASS — это процесс отвечающий за аутентификацию локальных и доменных пользователей в Windows. Так же, в его обязанности входит генерация токенов безопасности для активных сессий пользователей, работа с провайдерами поддержки безопасности SSP.
Ниже подборка утилит, с помощью которых можно извлечь пароли в открытом виде или NT-хеши для дальнейшей атаки.
🔹 Lsassy
Помимо выгрузки учётных данных, Lsassy имеет возможность выгрузить билеты в kirbi формате. Использует impacket для удаленного чтения необходимых байтов в дампе lsass и pypykatz для извлечения учетных данных.
🔹 Nanodump
Гибкий инструмент, который создаёт минидамп процесса lsass различными способами.
🔹 RIPPL
Умеет взаимодействовать с защищёнными Protected Process Light (PPL) процессами в обход ядра системы.
🔹 PPLdump
Так же имеет возможность управления процессами используя функции DefineDosDeviceAPI для выполнения произвольного кода внутри PPL.
🔹 Mimikatz
Классический вариант, позволяет обработать lsass не сохраняя дамп на диск.
🔹 Pypykatz
Реализация mimikatz на языке python >= 3.6
🔹 Handlekatz
Клонирует дескрипторы lsass и дергает MiniDumpWriteDumpA взятый из ReactOS для создания обфусцированного дампа. Выделяет совсем немного исполняемой памяти, поэтому может отлично сочетаться с DLL-Hollowing.
🔹 Sharpdump
Out-Minidump.ps1 в обёртке C#
Использует MiniDumpWriteDump вызов win32API для создания самого дампа памяти.
🔹 Physmem2profit
Утилита используется для создания мини-дампа процесса LSASS целевого хоста путем удаленного анализа физической памяти, который можно дополнительно проанализировать с помощью Mimikatz.
🔹 MirrorDump
Написан на C#.
Использует проекты MiniHook и SharpDisasm для вызовов внутренних API MiniDumpWriteDump. Так же совмещает Boo.Lang и DLLExport для генерации аутентификации LSA SSP и его загрузки в память LSASS.
🔹 Procdump
Служебная программа из состава Windows Sysinternals, которая позволяет делать снимок памяти процесса LSASS.
🔥12💩1💯1