Using TensorFlow / machine learning for automated RF side-channel attack classification
https://leveldown.de/blog/tensorflow-sidechannel-analysis/
https://leveldown.de/blog/tensorflow-sidechannel-analysis/
leveldown.de
Using TensorFlow / machine learning for automated RF side-channel attack classification
In the wallet.fail presentation at 35C3 we (Thomas Roth, Josh Datko, Dmitry Nedospasov) presented multiple vulnerabilities in modern hardware wallets, one of which was an RF side-channel attack on the Ledger Blue cryptocurrency wallet: It was found that when…
Анализ последних сэмплов, используемых в атаках APT OceanLotus на Китай
https://www.antiy.net/p/the-latest-sample-analysis-of-oceanlotus-apt-attacks-against-china/
https://www.antiy.net/p/the-latest-sample-analysis-of-oceanlotus-apt-attacks-against-china/
Forwarded from Noise Security Bit (dukeBarman)
Кто бы что не говорил, но релиз Ghidra "встряхнул" тихую заводь программ для reverse engineering. Различные долгожданные фичи (здравствуй python3!) стали появляться в том или ином инструменте. На данный момент чаще Ghidra используют ради декомпилятора, который реализован в виде отдельной программы, к тому же написанной на плюсах, и использующий промежуточный код, что позволяет реверсеру самому добавить поддержку декомпилятора для нужной ему архитектуры, описав ее на Sleigh. Такой подход не нов, к примеру различные PoC, использующие, LLVM IR или проект radeco от разработчиков фреймворка radare2, но такие декомпиляторы пока не готовы для искушенного клавишей F5 пользователя. Поэтому не мудрено, что, считай одновременно, было опубликовано несколько решений, добавляющих поддержку декомпилятора от Ghidra в популярное ревереское ПО:
- Команда Cisco Talos представила два инструмента: GhIDA и Ghidraaas.
GhIDA - IDApython плагин для IDA Pro. Для работы требуется локально установленная Ghidra (а соотвественно и Java) или запущенный сервис Ghidraaas.
Ghidraaas - небольшой веб-сервер, который проводит анализ присланного семпла и выдает список функций с декомпилированным кодом по средством REST API. Обернут в docker.
- Разработчики фреймворка Radare2 в рамках конференции R2con 2019 (о которой мы расскажем чуть позже) представили плагин r2ghidra-dec, который нацелен именно на работу с декомпилятором и не требует установленной Ghidra, что значительно ускоряет анализ. Особенно это пригодится, когда требуется быстро посмотреть отдельные функции или вы просто фанат консоли. Помимо этого, теперь GUI для radare2 - Cutter, начиная с 1.9 версии, поставляется сразу с поддержкой этого декомпилятора и данный функционал можно попробовать уже буквально в пару кликов.
- Команда Cisco Talos представила два инструмента: GhIDA и Ghidraaas.
GhIDA - IDApython плагин для IDA Pro. Для работы требуется локально установленная Ghidra (а соотвественно и Java) или запущенный сервис Ghidraaas.
Ghidraaas - небольшой веб-сервер, который проводит анализ присланного семпла и выдает список функций с декомпилированным кодом по средством REST API. Обернут в docker.
- Разработчики фреймворка Radare2 в рамках конференции R2con 2019 (о которой мы расскажем чуть позже) представили плагин r2ghidra-dec, который нацелен именно на работу с декомпилятором и не требует установленной Ghidra, что значительно ускоряет анализ. Особенно это пригодится, когда требуется быстро посмотреть отдельные функции или вы просто фанат консоли. Помимо этого, теперь GUI для radare2 - Cutter, начиная с 1.9 версии, поставляется сразу с поддержкой этого декомпилятора и данный функционал можно попробовать уже буквально в пару кликов.
GitHub
GitHub - radareorg/radeco: radare2-based decompiler and symbol executor
radare2-based decompiler and symbol executor. Contribute to radareorg/radeco development by creating an account on GitHub.
PreAuth RCE on Palo Alto GlobalProtect Part II (CVE-2019-1579)
https://www.securifera.com/blog/2019/09/10/preauth-rce-on-palo-alto-globalprotect-part-ii-cve-2019-1579/
https://www.securifera.com/blog/2019/09/10/preauth-rce-on-palo-alto-globalprotect-part-ii-cve-2019-1579/
Securifera
PreAuth RCE on Palo Alto GlobalProtect Part II (CVE-2019-1579)
Background
Before I get started I want to clearly state that I am in no way affiliated, sponsored, or endorsed with/by Palo Alto Networks. All graphics are being displayed under fair use for the purposes of this article.
I recently encountered several…
Before I get started I want to clearly state that I am in no way affiliated, sponsored, or endorsed with/by Palo Alto Networks. All graphics are being displayed under fair use for the purposes of this article.
I recently encountered several…
From BinDiff to Zero-Day: A Proof of Concept Exploiting CVE-2019-1208 in Internet Explorer
https://blog.trendmicro.com/trendlabs-security-intelligence/from-bindiff-to-zero-day-a-proof-of-concept-exploiting-cve-2019-1208-in-internet-explorer/
https://blog.trendmicro.com/trendlabs-security-intelligence/from-bindiff-to-zero-day-a-proof-of-concept-exploiting-cve-2019-1208-in-internet-explorer/
Trend Micro
BinDiff to Zero-Day: A POC Exploiting CVE-2019-1208
This looks furhter into the Internet Explorer vulnerability (CVE-2019-1208), which we discovered through BinDiff (a binary code analysis tool). This is a proof of concept (PoC) showing how it can be fully and consistently exploited in Windows 10 RS5.
SharpSniper
Find specific users in active directory via their username and logon IP address
https://github.com/HunnicCyber/SharpSniper
Find specific users in active directory via their username and logon IP address
https://github.com/HunnicCyber/SharpSniper
GitHub
GitHub - HunnicCyber/SharpSniper: Find specific users in active directory via their username and logon IP address
Find specific users in active directory via their username and logon IP address - HunnicCyber/SharpSniper
Организация передачи данных на C&C через TCP handshake
https://thesw4rm.gitlab.io/nfqueue_c2/2019/09/15/Command-and-Control-via-TCP-Handshake/
https://thesw4rm.gitlab.io/nfqueue_c2/2019/09/15/Command-and-Control-via-TCP-Handshake/
thesw4rm Cybersecurity Stuff
Command and Control via TCP Handshake
Quick Intro/DisclaimerThis is my first blog post, so please let me know if there’s any way I can improve this post. I expect it to have inaccuracies and maybe have parts that can be explained better.
ConPtyShell
ConPtyShell - Fully Interactive Reverse Shell for Windows
https://github.com/antonioCoco/ConPtyShell
ConPtyShell - Fully Interactive Reverse Shell for Windows
https://github.com/antonioCoco/ConPtyShell
GitHub
GitHub - antonioCoco/ConPtyShell: ConPtyShell - Fully Interactive Reverse Shell for Windows
ConPtyShell - Fully Interactive Reverse Shell for Windows - antonioCoco/ConPtyShell
Forwarded from r0 Crew (Channel)
A set of helpers and examples to fuzz Win32 binaries with AFL++ QEMU https://github.com/andreafioraldi/WineAFLplusplusDEMO #fuzzing #dukeBarman
GitHub
GitHub - AFLplusplus/Fuzz-With-Wine-Demo: A set of helpers and examples to fuzz Win32 binaries with AFL++ QEMU
A set of helpers and examples to fuzz Win32 binaries with AFL++ QEMU - AFLplusplus/Fuzz-With-Wine-Demo
Анализ POS вредоноса группы FIN6
https://www.sentinelone.com/blog/fin6-frameworkpos-point-of-sale-malware-analysis-internals/
https://www.sentinelone.com/blog/fin6-frameworkpos-point-of-sale-malware-analysis-internals/
SentinelLabs
FIN6 “FrameworkPOS”: Point-of-Sale Malware Analysis & Internals - SentinelLabs
The Zero2Hero malware course continues with Vitali Kremez diving into FIN6 “FrameworkPOS”, targeting payment card data from Point-of-Sale (POS) or eCommerce systems.
Social Scanner API Documentation
Find a given username instantly across 20 social networks with links to each profile in JSON!
https://rapidapi.com/dmchale.dev/api/social-scanner
Find a given username instantly across 20 social networks with links to each profile in JSON!
https://rapidapi.com/dmchale.dev/api/social-scanner
Investigation Into Google Play Security Mechanisms Via Experimental Botnet
https://pdfhost.io/v/btnoPyzLY_Investigation_Into_Google_Play_Security_Mechanisms_Via_Experimental_Botnet.pdf
https://pdfhost.io/v/btnoPyzLY_Investigation_Into_Google_Play_Security_Mechanisms_Via_Experimental_Botnet.pdf
PDF Host
Investigation Into Google Play Security Mechanisms Via Experimental Botnet | PDF Host
PDF Host read free online - Investigation Into Google Play Security Mechanisms Via Experimental Botnet - Mr. Milan Oulehla
Крупная утечка внутренних документов СОРМ. (МТС и Nokia)
https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#/security-lapse-russia/
https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#/security-lapse-russia/
Upguard
Telecommunications Breakdown: How Russian Telco Infrastructure was Exposed | UpGuard
A storage device containing 1.7 terabytes of information detailing telecommunications installations throughout the Russian Federation was exposed to the public internet.
vBulletin 5.x 0day pre-auth RCE exploit
https://seclists.org/fulldisclosure/2019/Sep/31
https://seclists.org/fulldisclosure/2019/Sep/31
seclists.org
Full Disclosure: vBulletin 5.x 0day pre-auth RCE exploit
Forwarded from Noise Security Bit (Alex)
Интересный отчет от CitezenLab в котором очень подробно рассматриваются таргетированные атаки на тибетских активистов с использованием недавно обнародованного iOS импланта
https://citizenlab.ca/2019/09/poison-carp-tibetan-groups-targeted-with-1-click-mobile-exploits/
https://citizenlab.ca/2019/09/poison-carp-tibetan-groups-targeted-with-1-click-mobile-exploits/
The Citizen Lab
Missing Link: Tibetan Groups Targeted with 1-Click Mobile Exploits - The Citizen Lab
This is the first documented case of one-click mobile exploits used to target Tibetan groups, and reflects an escalation in the sophistication of digital espionage threats targeting the community.
Forwarded from Noise Security Bit (Alex)
кстати, если кто-то хочет поковырять сэмпл этого импланта, то он уже был замечен на VirusTotal
https://www.virustotal.com/gui/file/0d2ee9ade24163613772fdda201af985d852ab506e3d3e7f07fb3fa8b0853560/detection
https://www.virustotal.com/gui/file/0d2ee9ade24163613772fdda201af985d852ab506e3d3e7f07fb3fa8b0853560/detection
Skydive is an open source real-time network topology and protocols analyzer. It aims to provide a comprehensive way of understanding what is happening in the network infrastructure.
https://github.com/skydive-project/skydive
https://github.com/skydive-project/skydive
GitHub
GitHub - skydive-project/skydive: An open source real-time network topology and protocols analyzer
An open source real-time network topology and protocols analyzer - skydive-project/skydive
Windows Exploitation Tricks: Spoofing Named Pipe Client PID
https://googleprojectzero.blogspot.com/2019/09/windows-exploitation-tricks-spoofing.html
https://googleprojectzero.blogspot.com/2019/09/windows-exploitation-tricks-spoofing.html
Blogspot
Windows Exploitation Tricks: Spoofing Named Pipe Client PID
Posted by James Forshaw, Project Zero While researching the Access Mode Mismatch in IO Manager bug class I came across an interesti...