Продолжая тему реверса. Небольшая статья с исследованием дроппера, скачивающего с FTP-сервера кучу дополнительных файлов, среди которых несколько batников, стиллеров (каждый на свой браузер) и отдельный (!)FTP-клиент, отправляющий собранные учетные данные на отдельный сервер. Угадайте, где и в каком виде хранились данные для подключения к нему

https://telegra.ph/Obnaruzhen-bolshoj-server-uchetnyh-dannyh-zhertvy-10-11

Nitin Pandey раскрыл действующий способ получить доступ практически к любой странице Facebook в один клик, используя штатный функционал социальной сети и социальную инженерию. Под программу Bug Bounty эта хитрость не попадает, так что администрация не торопится что-либо предпринимать.

Напомню: крупнейший "взлом" Twitter в середине июня, в ходе которого были скомпрометированы учетные записи Билла Гейтса, Илона Маска, Джо Байдена, Барака Обамы и прочих известных личностей, был реализован при помощи обычного фишинга.

https://telegra.ph/Socialnaya-inzheneriya-za-kotoruyu-Facebook-ne-platit-Bounty---kak-stat-administratorom-lyuboj-stranicy-10-12

reNgine - это автоматизированная система разведки, предназначенная для сбора информации о целях при тестировании веб-приложений на проникновение.

Основные возможности
• Сканирование портов, обнаружение эндпоинтов
• Сканирование субдоменов и создание скриншотов
• Определение IP и CNAME, поиск скрытых каталогов
• Гибкая настройка инструментов сканирования
• Параллельное выполнение нескольких заданий
• Возможность запуска отложенного сканирования

Установка
Клонировать репозиторий: git clone https://github.com/yogeshojha/rengine.git
Перейти в папку с reNgine и выполнить команду: docker-compose up --build
Создать учетную запись администратора: make username
Открыть приложение по адресу: https://127.0.0.1/

P.S.: На самом деле, практической пользы от него не так уж и много. Я бы предпочел классический терминал и пару инструментов, что в нем есть, по отдельности. Большую ценность представляют исходники.

OSTMap - Интерактивная карта от Intezer Labs, на которой изображены взаимосвязи хакерских групп и инструментов из открытого доступа, которые они используют в наступательных операциях.

Как была разработана OSTMap
Исследователи собрали ведущие проекты с открытым исходным кодом, а затем скомпилировали их с различными конфигурациями и флагами, чтобы сгенерировать все возможные шаблоны двоичного кода. После этого определили шаблоны повторного использования кода в базе данных, содержащей миллионы образцов вредоносного ПО.

Теперь, вместо того, чтобы лишний раз открывать мемный "What is Drovorub" от АНБ, в поисках, что юзает российская APT28 aka Fancy Bear, по карте сразу можно увидеть, что это:
• mimikatz
• RemCom
• rewolf-wow64ext
• Koadic
• PowerSploit
• MemoryModule

Открыть карту: https://www.intezer.com/ost-map/

OSINT-кейс, рассказывающий об особенностях регистрации автомобилей в Италии и, казалось бы, простых и уже известных всем мелочах поиска, комбинирование которых позволило узнать чуть больше о личном автомобиле футболиста Леонардо Бонуччи.

https://telegra.ph/Italyanskij-futbolist-i-ego-Ferrari---kak-otkrytye-istochniki-pomogli-otsledit-sudbu-sportkara-10-17

17-18 октября 2020 в удаленном формате с трансляцией на Twitch проходит conINT 2020 - крупное мероприятие для энтузиастов, студентов и профессионалов со всего мира, посвященное осинту.

Организованная Национальной целевой группой по защите детей (NCPTF), Trace Labs и The Many Hats Club, conINT стремится стать ведущей конференцией по разведке на основе открытых источников, вся выручка которой пойдет на продолжение жизненно важной миссии по оказанию помощи правоохранительным органам в поиске и возвращении без вести пропавших лиц.

Вчера был представлен ряд презентаций и семинаров от лидеров отрасли. Сегодня участники испытают возможность применить свои недавно приобретенные навыки в Trace Labs OSINT Search Party Capture The Flag (CTF) и выиграть призы, включая выучеры на популярный курс от Offensive Security «Penetration Testing with Kali Linux».

Все трансляции тут: https://www.twitch.tv/themanyhatsclub3

Краткий гайд по использованию программы Postman и взаимодействию с Facebook API для определения администраторов групп в Facebook.

https://telegra.ph/Facebook-ishchem-gruppy-v-kotoryh-sostoit-polzovatel-i-opredelyaem-gde-u-nego-est-prava-administratora-10-21

Дезинформация: бывший главный шпион раскрывает секретные стратегии подрыва свободы, нападения на религию и поощрения терроризма

Книга изменит ваше отношение к разведке, международным отношениям, СМИ и многому другому. Ион Михай Пачепа – самый высокопоставленный перебежчик из разведслужбы стран социалистического блока. В качестве руководителя румынской разведки он в течение многих лет принимал участие в наиболее важных встречах с главами государств и участвовал в переговорах.

Генерал Пачепа сообщает о том, что сбор разведывательной информации – это далеко не первоочередная задача, которая все эти годы решалась разведывательными службами странами бывшего советского блока. Сбор разведывательной информации «всегда был в той или иной степени второстепенным вопросом». В настоящее время существенная часть работы по сбору разведывательной информации также выполняется хакерами, сидящими за клавиатурой, а не оперативными сотрудниками резидентуры за рубежом, просчитывающими места для бесконтактной связи с агентами.

Ого! Да тут комбо из русскоязычного киберкрайма. Еще не успел все просмотреть, но выглядит многообещающе.

Daily Storm: Daily Storm публикует карту «Степи гризли»: связей самых известных пророссийских хакерских группировок со спецслужбами РФ

The Insider: «Песчаный червь». Как хакеры ГРУ отключали электростанции в Украине, взламывали избирком США и создали самый разрушительный вирус в мире.

Russian Osint: Небольшое интервью с REvil

P.S. Как минимум, одного журналиста из DS видел в списке подписчиков - не знаю, какими судьбами, но большое спасибо.

Отчет Digital Shadows о современных киберпреступных форумах - переведено (1/3)!
https://telegra.ph/Kiberprestupnye-forumy-navsegda---CHast-1-Kiberkrajm-nikogda-ne-umret-10-24

Особое внимание уделяется русскоязычным ресурсам, в связи с чем предлагаю также вспомнить арест одного из админов XSS: https://dev.by/news/hacker-from-rechitsa

История о том, как у создателя сайта для поиска работы в сфере криптовалют cryptojobslist вывели личные сбережения в криптовалюте (внезапно), попутно получив доступ к аккаунтам Apple Cloud, Yahoo, Gmail и Telegram с включенной двухфакторной аутентификацией.

https://telegra.ph/Kak-menya-vzlomali-vyveli-vsyu-kriptovalyutu-i-chto-skazali-v-Apple-10-28

О тотальной слежке за гражданами Китая знают все, но не все знают, какие инструменты использует китайские правоохранительные органы, помимо великого китайского файрволла. Прочитайте ресерч Робина Батиста об инструменте под названием MFSocket, при помощи которого китайские полицейские извлекают практически всю информацию с телефонов как на Android, так и на IOS.

Из интересного открыл для себя https://koodous.com/ - сайт, на котором и нашли это приложение. URLhaus, но с сэмплами Android-приложений и социальным взаимодействием между аналитиками aka Virusbay.

https://telegra.ph/MFSocket---bolshoj-kitajskij-glaz-boga-11-02

Не успели прочитать про MFSocket, а новый разбор свежих CVE тут как тут.

https://telegra.ph/Razbor-CVE-2020-26878--CVE-2020-26879-v-umnyh-ustrojstvah-ot-CommScope-11-03

Исследователи из FireEye опубликовали отчет о деятельности APT UNC1945, эксплуатирующей 0day в Oracle Solaris. Киберпреступники использовали готовые инструменты с открытым исходным кодом, в том числе Procdump, Medusa и Responder. Чтобы обойти обнаружение антивирусами, использовалась личные сборки некоторых утилит. В этой статье рассказываем о том, как можно ручками привести Mimikatz к состоянию Fully UnDetectable.

https://telegra.ph/Rukovodstvo-po-sozdaniyu-kastomnogo-bilda-Mimikatz-dlya-obhoda-detekta-11-05

Специалист Google Project Zero Янн Хорн обнаружив уязвимость в подсистеме безопасности PROCA на Galaxy A50, заявил, что механизмы безопасности, добавленные инженерами Samsung в ядро, не только не обеспечивают полноценной защиты, но и создают дополнительные векторы для атак.

Спустя некоторое время, Нир Дуан, вдохновившись ресерчами команды Google Project Zero и разреверсив «Скрытые заводские настройки», находит еще один баг в ядре с супертвиками на энергосбережение (нет) modded by samsung. Встречаем критическую уязвимости, затрагивающую все серии Samsung S7-S10, работающие на процессоре Exynos.

https://telegra.ph/Podrobno-o-CVE-2020-10831-11-09

Буквально парой незамысловатых команд в терминале и несколькими щелчками мыши - эксплуатация уязвимостей в gdm3 и accountsservice для получения простейшего рута в Ubuntu без знаний программирования.

https://telegra.ph/Kak-poluchit-root-na-Ubuntu-2004-11-11

Компания Guardicore выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog - червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH для построения децентрализованного ботнета, работающего без управляющих узлов и не имеющего единой точки отказа.

Ресерчер с ником akijos, прочтя эту новость, не смог не рассказать в своем блоге о том, как написать нечто подобное, и опубликовал статью, включающую снипеты исходного кода с пояснениями.

https://telegra.ph/Pishem-vredonosnoe-PO-Yantra-Manav---cherv-zarazhayushchij-kompyutery-po-SSH-11-11

Малоизвестный канал Нила Фокса с бесплатным курсом по анализу малвари: начиная с настроек виртуалок для создания безопасной среды, заканчивая реверсом Emotet (на момент написания поста).

https://www.youtube.com/c/0xf0x/videos

Перевел статью по расследованию инцидентов из его блога

https://telegra.ph/Mimikatz-ispolzovanie-i-obnaruzhenie-11-16

Fall Guys и Among Us - казуальные онлайн-игры от небольших студий, которые в считанные дни обрели невероятную популярность как среди обычно игроков, мечтающих скоротать вечер в веселом кооперативе с друзьями, так и среди читеров, заполонивших игровые сервера.

Дело в том, что, став заложниками своей популярности, эти две студии допустили серьезные ошибки, отдавая приоритет визуальному контенту, вместо исправления багов и противодействия использованию стороннего ПО.

Реверс-инжиниринг игр на Unity, возможности и техническая реализация современных читов, а также уязвимости, которые можно обнаружить в подобных играх - все тут

https://telegra.ph/Kak-vzlomat-Among-Us-11-18