17-18 октября 2020 в удаленном формате с трансляцией на Twitch проходит conINT 2020 - крупное мероприятие для энтузиастов, студентов и профессионалов со всего мира, посвященное осинту.

Организованная Национальной целевой группой по защите детей (NCPTF), Trace Labs и The Many Hats Club, conINT стремится стать ведущей конференцией по разведке на основе открытых источников, вся выручка которой пойдет на продолжение жизненно важной миссии по оказанию помощи правоохранительным органам в поиске и возвращении без вести пропавших лиц.

Вчера был представлен ряд презентаций и семинаров от лидеров отрасли. Сегодня участники испытают возможность применить свои недавно приобретенные навыки в Trace Labs OSINT Search Party Capture The Flag (CTF) и выиграть призы, включая выучеры на популярный курс от Offensive Security «Penetration Testing with Kali Linux».

Все трансляции тут: https://www.twitch.tv/themanyhatsclub3

Краткий гайд по использованию программы Postman и взаимодействию с Facebook API для определения администраторов групп в Facebook.

https://telegra.ph/Facebook-ishchem-gruppy-v-kotoryh-sostoit-polzovatel-i-opredelyaem-gde-u-nego-est-prava-administratora-10-21

Дезинформация: бывший главный шпион раскрывает секретные стратегии подрыва свободы, нападения на религию и поощрения терроризма

Книга изменит ваше отношение к разведке, международным отношениям, СМИ и многому другому. Ион Михай Пачепа – самый высокопоставленный перебежчик из разведслужбы стран социалистического блока. В качестве руководителя румынской разведки он в течение многих лет принимал участие в наиболее важных встречах с главами государств и участвовал в переговорах.

Генерал Пачепа сообщает о том, что сбор разведывательной информации – это далеко не первоочередная задача, которая все эти годы решалась разведывательными службами странами бывшего советского блока. Сбор разведывательной информации «всегда был в той или иной степени второстепенным вопросом». В настоящее время существенная часть работы по сбору разведывательной информации также выполняется хакерами, сидящими за клавиатурой, а не оперативными сотрудниками резидентуры за рубежом, просчитывающими места для бесконтактной связи с агентами.

Ого! Да тут комбо из русскоязычного киберкрайма. Еще не успел все просмотреть, но выглядит многообещающе.

Daily Storm: Daily Storm публикует карту «Степи гризли»: связей самых известных пророссийских хакерских группировок со спецслужбами РФ

The Insider: «Песчаный червь». Как хакеры ГРУ отключали электростанции в Украине, взламывали избирком США и создали самый разрушительный вирус в мире.

Russian Osint: Небольшое интервью с REvil

P.S. Как минимум, одного журналиста из DS видел в списке подписчиков - не знаю, какими судьбами, но большое спасибо.

Отчет Digital Shadows о современных киберпреступных форумах - переведено (1/3)!
https://telegra.ph/Kiberprestupnye-forumy-navsegda---CHast-1-Kiberkrajm-nikogda-ne-umret-10-24

Особое внимание уделяется русскоязычным ресурсам, в связи с чем предлагаю также вспомнить арест одного из админов XSS: https://dev.by/news/hacker-from-rechitsa

История о том, как у создателя сайта для поиска работы в сфере криптовалют cryptojobslist вывели личные сбережения в криптовалюте (внезапно), попутно получив доступ к аккаунтам Apple Cloud, Yahoo, Gmail и Telegram с включенной двухфакторной аутентификацией.

https://telegra.ph/Kak-menya-vzlomali-vyveli-vsyu-kriptovalyutu-i-chto-skazali-v-Apple-10-28

О тотальной слежке за гражданами Китая знают все, но не все знают, какие инструменты использует китайские правоохранительные органы, помимо великого китайского файрволла. Прочитайте ресерч Робина Батиста об инструменте под названием MFSocket, при помощи которого китайские полицейские извлекают практически всю информацию с телефонов как на Android, так и на IOS.

Из интересного открыл для себя https://koodous.com/ - сайт, на котором и нашли это приложение. URLhaus, но с сэмплами Android-приложений и социальным взаимодействием между аналитиками aka Virusbay.

https://telegra.ph/MFSocket---bolshoj-kitajskij-glaz-boga-11-02

Не успели прочитать про MFSocket, а новый разбор свежих CVE тут как тут.

https://telegra.ph/Razbor-CVE-2020-26878--CVE-2020-26879-v-umnyh-ustrojstvah-ot-CommScope-11-03

Исследователи из FireEye опубликовали отчет о деятельности APT UNC1945, эксплуатирующей 0day в Oracle Solaris. Киберпреступники использовали готовые инструменты с открытым исходным кодом, в том числе Procdump, Medusa и Responder. Чтобы обойти обнаружение антивирусами, использовалась личные сборки некоторых утилит. В этой статье рассказываем о том, как можно ручками привести Mimikatz к состоянию Fully UnDetectable.

https://telegra.ph/Rukovodstvo-po-sozdaniyu-kastomnogo-bilda-Mimikatz-dlya-obhoda-detekta-11-05

Специалист Google Project Zero Янн Хорн обнаружив уязвимость в подсистеме безопасности PROCA на Galaxy A50, заявил, что механизмы безопасности, добавленные инженерами Samsung в ядро, не только не обеспечивают полноценной защиты, но и создают дополнительные векторы для атак.

Спустя некоторое время, Нир Дуан, вдохновившись ресерчами команды Google Project Zero и разреверсив «Скрытые заводские настройки», находит еще один баг в ядре с супертвиками на энергосбережение (нет) modded by samsung. Встречаем критическую уязвимости, затрагивающую все серии Samsung S7-S10, работающие на процессоре Exynos.

https://telegra.ph/Podrobno-o-CVE-2020-10831-11-09

Буквально парой незамысловатых команд в терминале и несколькими щелчками мыши - эксплуатация уязвимостей в gdm3 и accountsservice для получения простейшего рута в Ubuntu без знаний программирования.

https://telegra.ph/Kak-poluchit-root-na-Ubuntu-2004-11-11

Компания Guardicore выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog - червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH для построения децентрализованного ботнета, работающего без управляющих узлов и не имеющего единой точки отказа.

Ресерчер с ником akijos, прочтя эту новость, не смог не рассказать в своем блоге о том, как написать нечто подобное, и опубликовал статью, включающую снипеты исходного кода с пояснениями.

https://telegra.ph/Pishem-vredonosnoe-PO-Yantra-Manav---cherv-zarazhayushchij-kompyutery-po-SSH-11-11

Малоизвестный канал Нила Фокса с бесплатным курсом по анализу малвари: начиная с настроек виртуалок для создания безопасной среды, заканчивая реверсом Emotet (на момент написания поста).

https://www.youtube.com/c/0xf0x/videos

Перевел статью по расследованию инцидентов из его блога

https://telegra.ph/Mimikatz-ispolzovanie-i-obnaruzhenie-11-16

Fall Guys и Among Us - казуальные онлайн-игры от небольших студий, которые в считанные дни обрели невероятную популярность как среди обычно игроков, мечтающих скоротать вечер в веселом кооперативе с друзьями, так и среди читеров, заполонивших игровые сервера.

Дело в том, что, став заложниками своей популярности, эти две студии допустили серьезные ошибки, отдавая приоритет визуальному контенту, вместо исправления багов и противодействия использованию стороннего ПО.

Реверс-инжиниринг игр на Unity, возможности и техническая реализация современных читов, а также уязвимости, которые можно обнаружить в подобных играх - все тут

https://telegra.ph/Kak-vzlomat-Among-Us-11-18

Посмотрев интервью с Unknown (представитель команды Revil) на канале у @Russian_OSINT, возможно, некоторые из зрителей задались вопросом: каким образом работают шифровальщики? Как реализуется молниеносная скорость работы, позволяющая мгновенно зашифровывать гигабайты информации, и почему проще заплатить выкуп, чем попытаться самому подобрать ключ для расшифрования?

И пусть подавляющая часть моих подписчиков, скорее всего, не нуждается в пояснении, я не упустил возможности перевести статью о принципах работы данного типа вредоносов на примере написания аналогичного.

https://telegra.ph/Arhitektura-Ransomware-12-12-01

https://telegra.ph/Arhitektura-Ransomware-22-12-06

В первой части мы разъяснили ключевые концепции, необходимые для понимания того, как функционируют современные Ransomware. Сегодня мы разберем внутреннюю логику кроссплатформенных шифровальщиков, используя для наглядности сниппеты на Python, вкупе с библиотекой pycryptodome, предназначенной для шифрования.

Лучшее за сегодня https://telegra.ph/Tureckij-gambit---DBeaconDeanon-12-07
Очень занимательно

Навальный меняет рынок пробива

После выхода расследования об отравлении Алексея Навального черный рынок стоит на ушах: пробивщики обсуждают повышение цен, коррумпированные сотрудники правоохранительных органов и операторов сотовой связи в спешке бегут от своих боссов-пробивщиков. Сотрудники спецслужб считают, что в ближайшее время пробивщиков будут «искать и мочить».

Как Навальному и группе журналистов удалось всколыхнуть старейший и устоявшийся рынок пробива? Резонансное расследование наглядно высветило зияющую дыру в вопросе защиты персональных данных в России. Я решил проверить, насколько легко сегодня в России провести подобную работу, какие инструменты для этого нужны и сколько это стоит. Проще говоря, начал пробивать «фейсов» самостоятельно и попутно узнавать, каким конкретно услугами, системами и базами пользовались расследователи. И сколько все это дело стоило.

https://dailystorm.ru/rassledovaniya/navalnyy-menyaet-rynok-probiva-siloviki-nachali-ohotu-za-temi-kto-slil-dannye-predpolagaemyh-sotrudnikov-fsb

Если про белые способы поиска в интернете многие уже знают, то околотеневые форумы с предложениями пробива по базам стали особенно актуальны в широких массах относительно недавно.

Единственная неточность из статьи:
Бот «Архангел» подключен к информационно-аналитической системе Solaris

Не смотря на то, что БД Архангела, Соляриса и Протокола одинаковые, в свое время они разъединились и начали дополняться разными разработчиками. Сейчас это обособленные, независимые друг от друга информационно-аналитические системы. И существует их, на самом деле, больше.

Параграф, Кронос, Спрут, Досье и множество прочих реестров, отличающихся преимущественно названием, владельцы которых постоянно скупают базы данных у СБ банков, коллекторов, систематизируют и предоставляют доступ к чистым сведениям.

Поиск осуществляется через веб-интерфейс (https://solaris-inform.com/, https://protocol-base.com/). Помимо агрегированных сведений, существует режим работы исключительно по открытым источником, нечто, вроде Lampyre, находящееся на одном из поддоменов.

Средняя стоимость поиска в районе 250 рублей, но бывает и дешевле - у одного из ботов для пробива - Глаз Бога (по моим предположениям, его разработкой и поддержкой занимается Postuf) - цена одного запроса составляет 30 рублей. Он использует API Solaris, парсит и выдает отчеты на собственном сайте.

Однако, его низкая цена поиска нивелируется небольшим функционалом - возможностью поиска только по ФИО с датой рождения. Из веб-интерфейса вышеназванных агрегаторов возможен поиск и по ИНН, и по серии с номером паспорта, и по некоторым другим сведениям, поэтому иногда он будет бесполезен. Хотя и сервисы иногда выдают не так уж и много информации.

Дальше идут банковский пробив, пробив через операторов связи, налоговики и гос. пробив. Здесь уже запросы делаются через "своих" людей, работающих в структурах.

Владельцы тем на форумах выступают посредниками между операторами и покупателями. У такого подхода несколько недостатков, главный из которых - постоянная утечка кадров. Кого-то увольняют, кого-то садят (особенно, когда речь заходит о банках), а кто-то просто уходит и открывает собственный сервис.

Однако, если не считать каких-то крупных игроков, то такие сервисы зарабатывают не так уж и много, и лезть туда самому уж точно не стоит. Помимо высоких рисков, суммарный доход со всех сделок уходит на средства анонимизации, зарплаты, отмыв денег и аренду самих инструментов (в случае с агрегаторами баз). В конечном итоге, остаются копейки.