Не успели прочитать про MFSocket, а новый разбор свежих CVE тут как тут.

https://telegra.ph/Razbor-CVE-2020-26878--CVE-2020-26879-v-umnyh-ustrojstvah-ot-CommScope-11-03

Исследователи из FireEye опубликовали отчет о деятельности APT UNC1945, эксплуатирующей 0day в Oracle Solaris. Киберпреступники использовали готовые инструменты с открытым исходным кодом, в том числе Procdump, Medusa и Responder. Чтобы обойти обнаружение антивирусами, использовалась личные сборки некоторых утилит. В этой статье рассказываем о том, как можно ручками привести Mimikatz к состоянию Fully UnDetectable.

https://telegra.ph/Rukovodstvo-po-sozdaniyu-kastomnogo-bilda-Mimikatz-dlya-obhoda-detekta-11-05

Специалист Google Project Zero Янн Хорн обнаружив уязвимость в подсистеме безопасности PROCA на Galaxy A50, заявил, что механизмы безопасности, добавленные инженерами Samsung в ядро, не только не обеспечивают полноценной защиты, но и создают дополнительные векторы для атак.

Спустя некоторое время, Нир Дуан, вдохновившись ресерчами команды Google Project Zero и разреверсив «Скрытые заводские настройки», находит еще один баг в ядре с супертвиками на энергосбережение (нет) modded by samsung. Встречаем критическую уязвимости, затрагивающую все серии Samsung S7-S10, работающие на процессоре Exynos.

https://telegra.ph/Podrobno-o-CVE-2020-10831-11-09

Буквально парой незамысловатых команд в терминале и несколькими щелчками мыши - эксплуатация уязвимостей в gdm3 и accountsservice для получения простейшего рута в Ubuntu без знаний программирования.

https://telegra.ph/Kak-poluchit-root-na-Ubuntu-2004-11-11

Компания Guardicore выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog - червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH для построения децентрализованного ботнета, работающего без управляющих узлов и не имеющего единой точки отказа.

Ресерчер с ником akijos, прочтя эту новость, не смог не рассказать в своем блоге о том, как написать нечто подобное, и опубликовал статью, включающую снипеты исходного кода с пояснениями.

https://telegra.ph/Pishem-vredonosnoe-PO-Yantra-Manav---cherv-zarazhayushchij-kompyutery-po-SSH-11-11

Малоизвестный канал Нила Фокса с бесплатным курсом по анализу малвари: начиная с настроек виртуалок для создания безопасной среды, заканчивая реверсом Emotet (на момент написания поста).

https://www.youtube.com/c/0xf0x/videos

Перевел статью по расследованию инцидентов из его блога

https://telegra.ph/Mimikatz-ispolzovanie-i-obnaruzhenie-11-16

Fall Guys и Among Us - казуальные онлайн-игры от небольших студий, которые в считанные дни обрели невероятную популярность как среди обычно игроков, мечтающих скоротать вечер в веселом кооперативе с друзьями, так и среди читеров, заполонивших игровые сервера.

Дело в том, что, став заложниками своей популярности, эти две студии допустили серьезные ошибки, отдавая приоритет визуальному контенту, вместо исправления багов и противодействия использованию стороннего ПО.

Реверс-инжиниринг игр на Unity, возможности и техническая реализация современных читов, а также уязвимости, которые можно обнаружить в подобных играх - все тут

https://telegra.ph/Kak-vzlomat-Among-Us-11-18

Посмотрев интервью с Unknown (представитель команды Revil) на канале у @Russian_OSINT, возможно, некоторые из зрителей задались вопросом: каким образом работают шифровальщики? Как реализуется молниеносная скорость работы, позволяющая мгновенно зашифровывать гигабайты информации, и почему проще заплатить выкуп, чем попытаться самому подобрать ключ для расшифрования?

И пусть подавляющая часть моих подписчиков, скорее всего, не нуждается в пояснении, я не упустил возможности перевести статью о принципах работы данного типа вредоносов на примере написания аналогичного.

https://telegra.ph/Arhitektura-Ransomware-12-12-01

https://telegra.ph/Arhitektura-Ransomware-22-12-06

В первой части мы разъяснили ключевые концепции, необходимые для понимания того, как функционируют современные Ransomware. Сегодня мы разберем внутреннюю логику кроссплатформенных шифровальщиков, используя для наглядности сниппеты на Python, вкупе с библиотекой pycryptodome, предназначенной для шифрования.

Лучшее за сегодня https://telegra.ph/Tureckij-gambit---DBeaconDeanon-12-07
Очень занимательно

Навальный меняет рынок пробива

После выхода расследования об отравлении Алексея Навального черный рынок стоит на ушах: пробивщики обсуждают повышение цен, коррумпированные сотрудники правоохранительных органов и операторов сотовой связи в спешке бегут от своих боссов-пробивщиков. Сотрудники спецслужб считают, что в ближайшее время пробивщиков будут «искать и мочить».

Как Навальному и группе журналистов удалось всколыхнуть старейший и устоявшийся рынок пробива? Резонансное расследование наглядно высветило зияющую дыру в вопросе защиты персональных данных в России. Я решил проверить, насколько легко сегодня в России провести подобную работу, какие инструменты для этого нужны и сколько это стоит. Проще говоря, начал пробивать «фейсов» самостоятельно и попутно узнавать, каким конкретно услугами, системами и базами пользовались расследователи. И сколько все это дело стоило.

https://dailystorm.ru/rassledovaniya/navalnyy-menyaet-rynok-probiva-siloviki-nachali-ohotu-za-temi-kto-slil-dannye-predpolagaemyh-sotrudnikov-fsb

Если про белые способы поиска в интернете многие уже знают, то околотеневые форумы с предложениями пробива по базам стали особенно актуальны в широких массах относительно недавно.

Единственная неточность из статьи:
Бот «Архангел» подключен к информационно-аналитической системе Solaris

Не смотря на то, что БД Архангела, Соляриса и Протокола одинаковые, в свое время они разъединились и начали дополняться разными разработчиками. Сейчас это обособленные, независимые друг от друга информационно-аналитические системы. И существует их, на самом деле, больше.

Параграф, Кронос, Спрут, Досье и множество прочих реестров, отличающихся преимущественно названием, владельцы которых постоянно скупают базы данных у СБ банков, коллекторов, систематизируют и предоставляют доступ к чистым сведениям.

Поиск осуществляется через веб-интерфейс (https://solaris-inform.com/, https://protocol-base.com/). Помимо агрегированных сведений, существует режим работы исключительно по открытым источником, нечто, вроде Lampyre, находящееся на одном из поддоменов.

Средняя стоимость поиска в районе 250 рублей, но бывает и дешевле - у одного из ботов для пробива - Глаз Бога (по моим предположениям, его разработкой и поддержкой занимается Postuf) - цена одного запроса составляет 30 рублей. Он использует API Solaris, парсит и выдает отчеты на собственном сайте.

Однако, его низкая цена поиска нивелируется небольшим функционалом - возможностью поиска только по ФИО с датой рождения. Из веб-интерфейса вышеназванных агрегаторов возможен поиск и по ИНН, и по серии с номером паспорта, и по некоторым другим сведениям, поэтому иногда он будет бесполезен. Хотя и сервисы иногда выдают не так уж и много информации.

Дальше идут банковский пробив, пробив через операторов связи, налоговики и гос. пробив. Здесь уже запросы делаются через "своих" людей, работающих в структурах.

Владельцы тем на форумах выступают посредниками между операторами и покупателями. У такого подхода несколько недостатков, главный из которых - постоянная утечка кадров. Кого-то увольняют, кого-то садят (особенно, когда речь заходит о банках), а кто-то просто уходит и открывает собственный сервис.

Однако, если не считать каких-то крупных игроков, то такие сервисы зарабатывают не так уж и много, и лезть туда самому уж точно не стоит. Помимо высоких рисков, суммарный доход со всех сделок уходит на средства анонимизации, зарплаты, отмыв денег и аренду самих инструментов (в случае с агрегаторами баз). В конечном итоге, остаются копейки.

Пароль: @cybred

Перевод статьи Bellingcat с упоминанием полезного сервиса, позволяющего определить примерную дату и время сделанного снимка на основе длины и направления теней.

https://telegra.ph/Ispolzuem-Solnce-i-teni-dlya-opredeleniya-geolokacii-po-fotografii-12-22

Еще несколько полезных методик поиска:
— Как определить геолокацию фотографии по отражению в стекле
— Как определить местоположение по фотографиям, сделанным на природе
— Использование Microsoft Video Indexer для OSINT

Пошаговый (90 скринов из дизассемблера с кратким пояснением) анализ Travelnet, замеченного в арсенале китайской государственной APT21 (Zhenbao/Hammer Panda) при попытках кибершпионажа в отношении российских организаций.

https://cybergeeks.tech/dissecting-apt21-samples-using-a-step-by-step-approach/

Как узнать исходное имя фотографии из отзыва на Google Maps

На Google Maps пользователи имеют возможность оставлять отзывы и прикреплять к ним фотографии, чтобы потенциальный посетитель того или иного места мог составить предварительное мнение о нем. При проведении расследований, загруженные фотографии могут пригодиться не только для оценки визуального окружения, но и для уточнения некоторых сведений как о сделанном снимке, так и о человеке, написавшем отзыв.

Для того, чтобы узнать какое имя было у фотографии на устройстве, необходимо:
1. Перейти на Google Maps и выбрать интересующую локацию
2. Открыть в браузере инструменты разработчика (F12)
3. Перейти в раздел Network, активировать (не обязательно) фильтрацию по изображениям
4. Выбрать любой отзыв и кликнуть на прикрепленную фотографию
5. Найти в Network запрос на загрузку снимка и в заголовках обратить внимание на content-disposition. В переменной filename хранится исходное имя файла.

Не вошло

Не зная о вкладке с трафиком, мы могли узнать лишь неполную дату (год и месяц) загрузки фотографии в облако. В то время, как на многих устройствах названия всех сделанных снимков имеют вид YYYY-MM-DD. Иногда встречаются названия, включающие еще и время: часы, минуты и секунды. Не стоит исключать ситуации, когда и сам пользователь мог переименовать файлы, забыв (или не обратив внимание) об этом перед их загрузкой в сеть (напр, "Сережа_и_Вика.jpeg" и проч.).

@SandboxEscaper из мира антивирусов: 8 свежих зеродеев от Abdelhamid Naceri aka @KLINIX5 в нескольких популярных продуктах, включая Bitdefender, Eset, Avira, McAfee и Kaspersky. И это только те, о которых он решил сообщить, чтобы найти работу, - на самом деле, багов было обнаружено гораздо больше. Только в Касперском ему удалось найти 11 уязвимостей, из которых лишь 3 на данный момент исправлено. Ранее он уже писал об LPE в установщике и защитнике Windows.

https://halove23.blogspot.com/2020/12/oh-so-you-have-antivirus-nameevery-bug.html

На фоне новости о взломе хакерами Revil облачных хранилищ британской Hospital Group, предлагаю прочитать исследование безопасности цифровой медицины в одной из стран третьего мира, затрагивающее банальный способ получения доступа к конфиденциальным сведениям пациентов как частных, так и государственных клиник.

https://telegra.ph/DICOM-i-PACS-Kak-utekayut-lichnye-dannye-pacientov-12-29

Последний перевод в уходящем году 🎄

https://telegra.ph/Vse-sposoby-obmanut-CDN-i-najti-realnyj-IP-adres-sajta-12-31

Дорогие друзья!

Не стоит напоминать о том, каким тяжёлым выдался 2020 год. Всем нам пришлось столкнуться с труднейшими испытаниями, которые привнесли множество, не всегда хороших изменений, в нашу жизнь.

Оглядываясь на прошедшее сейчас, нужно построить планы на будущее, ненадолго выдохнуть и на период новогодних праздников уединиться от всех проблем в уютном кругу близких.

Хочу поздравить не только подписчиков своего канала, но и администраторов смежных каналов. В этом году людей, занимающихся важной миссией просвещения информационной безопасности в СНГ, стало гораздо больше, и это не может не радовать.

Всех с наступающим Новым годом!