😈 (Ex)Cobalt в новом обличье: разбор последней атаки
 
Команда центра исследования киберугроз Solar 4RAYS ГК «Солар» изучила последнюю кибератаку известной группировки (Ex)Cobalt.

— Ранее хакеры преследовали прямую финансовую выгоду, но затем перешли к тактике кибершпионов, применяя ВПО Coblnt.
 

Эксперты Солар: В ходе атаки было выяснено, что на одно из госучреждений в декабре 2023 года злоумышленники стали использовать новую сетевую инфраструктуру и изменили технику развертывания главной вредоносной нагрузки.

 
Также команда Solar 4RAYS нашла несколько новых доменов, потенциально связанных с группировкой. Они пока не использовались в атаках, но требуют пристального внимания, так как злоумышленники могут задействовать их в ближайшем будущем.
 
Полный отчет доступен в блоге Solar 4RAYS по ссылке.

#Phishing #VBS #PowerShell #Attack | 💀 Этичный хакер

😈 Подробный MindMap по пентесту на русском языке

Хотели бы начать с поздравления, С новым годом, дорогие подписчики! Этот год был непростым, возможно, следующий будет ни чуть не легче, поэтому цените самый важный ресурс — время.

Нам часто приходят сообщения в бота обратной связи подобного характера: с чего начать путь, какие ресурсы посоветуете, на какие аспекты стоит обратить внимание и др.

— По этому поводу нашли для вас MindMap который ответит на все вышеперечисленные вопросы и не только, он включает в себя много полезного материала: дистрибутивы, инструменты, курсы и видеоматериалы.

🗣 Ссылка на MindMap

#MindMap #Pentest | 💀 Этичный хакер

😈 Группировка LockBit парализовала работу немецких больниц

Хакеры-вымогатели из известной группировки Lockbit провели атаку против сети немецких больниц Katholische Hospitalvereinigung Ostwestfalen, в результате чего несколько госпиталей не смогли оказывать большую часть медицинских услуг.

Представители Katholische Hospitalvereinigung Ostwestfalen: Неизвестные лица получили доступ к системам ИТ-инфраструктуры больниц и зашифровали данные

— Данная сеть больниц играет решающую роль в предоставлении медицинских услуг в своих регионах. Благо, вся необходимая мед.информация о пациентах осталась доступна за счёт резервных копий и лечение продолжается в обычном режиме, но неотложная помощь пока недоступна, что может привести к критическим задержкам...

Атаковать ИТ-инфраструктуру больниц, из-за чего пострадают невинные люди, мягко сказать, это ужасный поступок, записываем LockBit в чушпаны?

#News #LockBit | 💀 Этичный хакер

Всем привет, дорогие пентестеры, кибердетективы, безопасники, кулхацкеры и люди оказавшиеся тут случайно. На проводе админ👨‍💻

В 2023 Этичный Хакер стал одним из крупнейших медиа по информационной безопасности в СНГ. Совместными усилиями мы помогли десяткам тысяч юзеров получить новые знания бесплатно.

В январе мы готовим для вас интервью. Весной авторские гайды по Zero Flipper. Еще не выбрали дату запуска практического квеста, это будет пушка.

— Впереди много работы. Успехов, смелости и хладнокровия вам в новом году.

😎 Этичный Хакер

😈 TLS/SSL: подборка обучающих материалов по сетевым протоколам

Сетевые протоколы SSL и TLS являются криптографическими протоколами, обеспечивающими аутентификацию и защиту от несанкционированного доступа, нарушения целостности передаваемых данных. [для самых маленьких]

— Протоколы SSL/TLS предназначены для исключения подмены идентификатора на клиентской или серверной стороне, раскрытия или искажения данных.

- Протоколы TLS/SSL;
- Шифрование в TLS/SSL;
- Целостность данных в TLS/SSL;
- Инфраструктура открытых ключей в TLS/SSL;
- Протокол TLS;
- Установка соединения в TLS;
- Анализируем протокол TLS в Wireshark;
- Расшифровка TLS в WireShark;
- Протокол TLS 1.3;
- Протокол TLS 1.3 в WireShark;
- Протокол HTTPS;
- Протокол HTTPS в WireShark.

#Network #Protocol | 💀 Этичный хакер

😒 Инструментарий параноика: стеганография | Привет, друг. На связи Эллиот.

Стеганогра́фия — способ передачи или хранения информации с учётом сохранения в тайне самого факта такой передачи.

Краеугольный камень современной анонимности — безопасные коммуникации. Некоторые, как и я задавались вопросом как передавать файл или сообщение человеку безопасно и главное незаметно? - Ответ, стеганография.

— Представляю вашему вниманию, инструмент, который использует шифрование с защитой паролем для защиты содержимого файла, а затем приступает к внедрению его в пиксельные данные изображения с использованием кодирования наименее значащих битов.

⏺ Ссылка на GitHub

#Steganography #Forensics #Anonymity

😈 PHD 12: подборка интересных докладов

Positive Hack Days — ежегодный, профессиональный форум по кибербезопасности, объединяющий экспертов по ИБ и этичных хакеров со всего мира. На котором выступает 250+ спикеров из разных направлений ИБ и бизнеса.

— В этом посте подготовили для вас список самых годных докладов с недавно прошедшего в мае мероприятия:

1. Схемы мошенничества с криптовалютой и последствия взаимодействия с «грязной» криптой
2. Социальная инженерия: тенденции red team, технические аспекты kill chain и проектный опыт
3. Red teaming: методики фишинговых атак
4. Компрометация сети через средства резервного копирования
5. Интервью с командами атаки
6. Внедрение кода в процессы из контекста ядра Linux
7. История одной уязвимости
8. CTF для команд разработки: как найти и воспитать секьюрити чемпионов

#PHD #Events | 💀 Этичный хакер

Мы создали собственного ChatGPT бота прямо в телеграм.

Бесплатно попробовать можно тут: @FreeRuGPT_bot

🧐Этичный Хакер

🗣Книга: Призрак в сети. Мемуары величайшего хакера

Призрак в Сети - захватывающая невыдуманная история интриг, саспенса и невероятных побегов. Это портрет провидца, обладающего такой изобретательностью, хваткой и настойчивостью, что властям пришлось полностью переосмыслить стратегию погони за ним. Отголоски этой эпической схватки чувствуются в сфере компьютерной безопасности и сегодня.

Скачать: здесь

#books | 🧑‍💻Этичный Хакер

😈 Каким образом спецслужбы отслеживают пользователей мессенджеров (без доступа к устройству и ключам)

В ИБ окружении всегда востребована такая тема для обсуждения, как — отслеживание фактов взаимодействия между пользователями в популярных мессенджерах, x88 привёл алгоритм реализации данных действий, опираясь только на информацию, доступную при анализе трафика.

1. Сегментация трафика мессенджеров и зеркалирование в отдельные хранилища данных:

— C помощью DPI и фильтров (например, адресу сервера), провайдеры и СОРМ могут обнаруживать целевой сетевой трафик пользователя и применять особые правила зеркалирования (которое в РФ должно происходить для всех пользователей согласно закону Яровой).

2. Связывание аккаунта пользователя с пулом устройств и IP адресов пользователя:

— С помощью ботов, включая функциональных, вроде антиспам ботов, ботов статистики, которые многие администраторы добавляют в каналы, или же модифицированных клиентов мессенджера владельцы данных сервисов могут в реальном времени получать и логгировать сообщения, действия пользователей и техническую информацию пользователей (например user_id, онлайн статус) целевого пула (например, с выборкой по стране).

3. Связывание диалогов или звонков пользователей:

— После того, как пользователи мессенджера идентифицированы с пулом их устройств и IP адресов, достаточно по сигнатурам сообщений анализировать сегментированный трафик, фильтруя только события, связанные с полезной нагрузкой: p2p соединения, сообщения, звонки.

После этого возможны выборки активности конкретных пользователей в мессенджерах: по местоположению связанных устройств, по ФИО конкретных пользователей (и связанных с ними IP адресами у провайдеров), и т. д.

‼️ Если понравилась тема поста, поддержи фидбеком, и мы расскажем о возможных решениях для противодействия незаконной слежки.

#Recon #СОРМ | 💀 Этичный хакер

😈 Методы противодействия незаконной слежки

Увидев вашу заинтересованность в этом вопросе, сразу решили выпустить обещанное. Существует много споров, о том, как системы массовой слежки влияют на мир:

— По нашему мнению, подобная слежка ставит нас в роль постоянных объектов наблюдения, создавая ощущение, что мы под "колпаком". В подобной ситуации люди прибегают к самоцензуре, ограничивая себя в полноценном выражении своего мнения.

Человек опасается возможных негативных последствий, что вносит доп. элемент контроля, который подрывает принцип свободного общества, эдакий приём социальной инженерии против общества. Немного отошли от темы, пожалуй вернёмся к методам:)

Решения со стороны мессенджеров:

1. Генерация большого количества дополнительного «мусорного» трафика, замаскированного под полезный в случайные моменты времени.
2. Изменение серверной архитектуры, с отказом от сквозного идентификатора пользователя для чатов, диалогов и других опций мессенджера, путём проксирования user_id или использования деривативных user_id, например, сформированных по принципу генерации иерархических ключей ECDSA.

Решения со стороны пользователя:

1. Регистрация нового аккаунта (при изменении параметров авторизации, user_id остается прежним).
2. Отказ от использования мобильного номера телефона для авторизации в мессенджерах, особенно если сим карта приобретена ранее по документам владельца.
3. При использовании адреса электронной почты — использование нового, нигде ранее не используемого.
4. Использование приватного VPN на личном сервере с загрузкой канала трафиком.

#Anonymity #Recon | 💀 Этичный хакер

😈 Появился новый способ взлома Windows 10/11 с помощью подмены DLL

Security Joes выявила новый вариант метода перехвата порядка поиска DLL-библиотек, который может быть использован для обхода защитных механизмов и выполнения вредоносного кода на системах, работающих под управлением Windows 10 и Windows 11.

— Новый подход заключается в использовании исполняемых файлов из доверенной папки WinSxS и эксплуатации их с помощью классической техники подмены порядка поиска DLL. Подход позволяет избавиться от необходимости повышения привилегий при попытке запустить вредоносный код на скомпрометированном компьютере, а также внедрять потенциально уязвимые бинарные файлы в цепочку атаки.

❗️ Техника подмены порядка поиска DLL (DLL Search Order Hijacking) включает манипулирование порядком поиска, используемым для загрузки DLL, с целью выполнения вредоносных полезных нагрузок для обхода защиты, сохранения и повышения привилегий.

Подобные атаки нацелены на приложения, которые не указывают полный путь к необходимым им библиотекам, а вместо этого опираются на предопределенный порядок поиска для поиска необходимых DLL на диске.

#News #Windows #DLL #Hijacking | 💀 Этичный хакер

😈 Сетевое администрирование: подборка полезного материала

Администрирование сетей — целый перечень мероприятий, нацеленный на создание, настройку и поддержку корректной и постоянной работы производительности компьютерных сетей. Также оказание техподдержки пользователей, которые работают в одной сетевой группе. В этом посте подготовили для вас подборку материалов, состоящую из серии статей, практических разборов и др.

1. Сетевые модели, часть 1. Эталонная сетевая модель OSI.
2. Сетевые модели, часть 2. Сетевая модель TCP/IP или DOD.
3. Сетевые модели, часть 3. Инкапсуляция, декапсуляция, данные, пакеты, фреймы, биты, PDU.
4. Сетевые устройства. Различие роутера от маршрутизатора, от моста, от коммутатора.
5. Работа сетевых устройств, отражение работ на сетевой эталонной модели OSI.
6. Базовая настройка маршрутизатора для выполнения лабораторных работ CCNA и ICND. Назначение IP-адресов на интерфейсы маршрутизатора.
7. CCNA 3 на русском. Ответы, перевод, объяснения.
8. Статическая маршрутизация.
9. Динамическая маршрутизация. Протокол RIPv2.
10. Cisco CCNA: Деление сети на подсети (PDF). Пример деления сети.

#Network #Protocol #OSI #CCNA #ICND | 💀 Этичный хакер

😈 Социальная инженерия: история о том, как мошенник обманом получал миллионы от Facebook и Google

Социальная инженерия — это определённые методы, которые предполагают использование манипуляций и обмана для получения доступа к данным или информации.

В этом посте поделимся рассказом из подкаста Darknet Diaries – историей про Эвалдаса Римасаускаса, которому удалось украсть миллионы у Facebook и Google. Мы говорим о поддельных электронных письмах, целевом фишинге, атаках вредоносных программ — и все это с целью заставить компанию отправлять платежи не тому человеку.

🗣 Ссылка на чтиво

#Phishing #СИ | 💀 Этичный хакер

😈 В Китае появился способ компрометации через функцию AirDrop

Китайские инженеры научились взламывать AirDrop – функцию техники Apple, предназначенную для передачи данных через Bluetooth. С помощью нового способа правоохранительные органы могут отследить, с какого устройства была передана та или иная информация, и назвать его владельца.

Отмечается, что в 2022 году протестующие использовали функцию AirDrop для распространения антиправительственных изображений среди других владельцев устройств. Представленный метод является частью более широких усилий по борьбе с нежелательным контентом.

— Спецы обнаружили, что поля, связанные с именем устройства отправителя, адресом электронной почты и номером мобильного телефона, были записаны в виде хеш-значений, а некоторые поля хэш-значений были скрыты.

❗️ Чтобы взломать это поле, техническая группа создала подробную таблицу номеров мобильных телефонов и учетных записей электронной почты, которая может декодировать зашифрованный текст и быстро заблокировать номер мобильного телефона отправителя и учетную запись электронной почты.

#News #AirDrop | 💀 Этичный хакер

😈 OSINT: подборка сервисов для поиска по исходному коду

Тема поиска конфиденциальных данных в коде не теряет своей актуальности, когда разработчики по глупости вносят секретные данные, вроде паролей и ключей API, эти данные вполне могут добраться до общедоступных репозиториев, а после попасть в руки злоумышленников.

— В этом посте собрали для вас сервисы анализа исходного кода, которые могут помочь в тестировании на проникновение, с целью проверки систем защиты, конечно же👍

1. Searchcode — сервис, по поиску с таких платформ, как: Github, Bitbucket, Google Code, Codeplex, Sourceforge, Fedora Project и других. Всего в базе более 18 млрд строк кода из более 200 000 проектов.
2. Sourcegraph — функциональный поисковик, позволяющий искать необходимый код по всем находящимся в свободном доступе репо.
3. grep.app — сервис, который производит поиск по содержимому Git, полезен для поиска фрагментов кода, связанных с уязвимостями индикаторов компрометации и вредоносами.
4. Reposearch — поиск исходного кода в репозиториях SVN и GitHub.
5. CSE от cipher387 — поиск в 20 репозиториях с открытым исходным кодом при помощи Github Dorks.

#Recon #OSINT #Code | 💀 Этичный хакер

😈 Более 600 тыс. владельцев «‌‎серых» сим-карт лишились связи

За 2023 году Роскомнадзор обнаружил, что из 351 миллиона мобильных номеров российских операторов связи, примерно 43 миллиона оформлены с нарушениями. С сентября по декабрь 2023 года связь была прекращена для более чем 600 тысяч номеров с неизвестными владельцами.

Роскомнадзор и МВД провели около 200 мероприятий в 2022-2023 годах для пресечения распространения сим-карт без идентификации личности покупателя, изъяв при этом более 78 тысяч «серых» сим-карт.

Из-за РКН операторы обязаны подтверждать ФИО клиента, дату рождения и паспортные данные до начала оказания услуг.

— Уведомления о необходимости подтвердить свою личность абоненты сотовых операторов начали получать с апреля 2023 года, а с августа регулятор приступил к блокировкам мобильных номеров, принадлежащих неустановленным владельцам.

«‌‎Серые» сим-карты ВСЁ

#News #SIM | 💀 Этичный хакер

😈 ToddyCat APT: актуальные инструменты и методы для кражи данных

ToddyCat — это относительно новая APT-группировка, ответственная за серию атак на высокостатусные организации Европы и Азии. Деятельность этой группы фиксируется с декабря 2020 года, известные по «бэкдору Samurai» и «трояну Ninja»

— Эта APT-группа скомпрометировала публично доступные серверы, используя уязвимость в Microsoft Exchange, атаковали пользовательские компьютеры, рассылая вредоносные загрузчики, и обеспечивали закрепление в системе, используя многоступенчатую схему загрузки.

В этом посте мы расскажем о новом наборе вредоносных инструментов, используемых для кражи и эксфильтрации данных, а также о методах, применяемых для перемещения в инфраструктуре и проведения шпионских операций.

🗣 Ссылка на чтиво

#ToddyCat #APT #CobaltStrike #Backdoor #Encryption | 💀 Этичный хакер

😈 Поиск по IoT, IP, доменам и поддоменам: 10 утилит

Сбор данных — неотъемлимая часть подготовки ко взлому, а благодаря некоторым инструментам противостояние этим действиям стало намного проще.

— Незащищенные IoT-устройства, IP-адреса, домены/поддомены подвергаются серьезной опасности, в истории куча инцидентов связанных с этой уязвимой группой, одним из инцидентов является брешь, из-за которой весь код сайта Vine можно было загрузить с незащищённого поддомена.

1. OWASP Amass — сетевой сканер с функцией поиска информации в открытых источниках. Агрегирует информацию из десятков различных поисковых систем и баз данных.

2. Infoooze — инструмент OSINT на базе NodeJs. Объединяет в себе сканер портов и поддоменов, поиск DNS-поиск URL-сканер, поиск в Whois и еще ряд инструментов.

3. Automater — утилита для поиска URL, IP-адресов и хешей MD5, предназначенная для упрощения работы ИБ-аналитиков. Установлена в Kali Linux по умолчанию.

4. Raccoon — инструмент, созданный для разведки и сбора информации с упором на простоту. Использует Nmap для сканирования портов и ряд пассивных методов поиска данных, чтобы собрать всестороннюю информацию о цели.

5. Photon — сканер для работы с информаций из открытых источников. Предназначен для сканирования конкретных веб-сайтов в поисках (pdf, png, xml и т. д.), ключей, поддоменов и многого другого. Экспортирует полученные данные в JSON.

Также прикрепляю полезные материалы по теме:
- Краткий экскурс по захвату поддоменов
- ТОП-5 расширений для OSINT-расследований
- Subfinder: инструмент для исследования поддоменов

#IoT #IP #Domain #Subdomain | 💀 Этичный хакер

😂 Немецкий госаппарат дрожит со страху перед «русскими хакерами» | Привет, друг. На связи Эллиот.

Канцлер ФРГ Олаф Шольц и некоторые высокопоставленные немецкие чиновники используют пневмопочту из-за страха перед русскими хакерами и шпионской угрозы со стороны Москвы. Об этом накануне сообщило крупное британское издание The Guardian.

❗️ Британские журналисты подчёркивают, что именно пневмопочта на данный момент в Германии выступает в качестве одного из наиболее важных инструментов «противодействия российской угрозе в киберпространстве».

— В материале говорится, что речь в этом случае идёт о документации, которая, в большинстве случаев, является срочной и которую нельзя отправлять по электронной почте или же курьерской службы из-за высочайшего уровня секретности. Об этом сообщил один из источников в правительстве ФРГ во время общения с журналистами.

#News