#DFIR #forensics #triage #memory #artifacts #processes #Unix #Android #ESXi #FreeBSD #Linux #macOS #NetBSD #NetScaler #OpenBSD #Solaris

|UAC aka Unix-like Artifacts Collector|

🕵️‍♂️Данный скрипт(свой набор инструментов и бинарей) будет полезен IR-специалистам для сбора артефактов из Unix-подобных систем: AIX, Android, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD и Solaris. По сути для UAC нужен только шелл и запустить можно не только на вышеперечисленных системах, но а в целом на Unix-подобный. Для примера: захотели достать артефакты из маршрутизатора на OpenWrt и вуаля, у нас есть UAC который справится с данной задачей и вытащит данные без необходимости в установке оного.

А на что непосредственно скрипт способен?
Ниже привожу основные функции:
💾Не нужно устанавливать и можно запустить условно везде без зависимостей
💾Кастомизируемые и расширяемые коллекции/артефакты
💾Волатильность соблюдается во время сбора артефактов
💾Хэширование запущенных процессов и исполняемых процессов
💾Сбор информации из процессов запущенных без бинарника на диске
💾Сбор артефактов из приложений
💾Сбор пользовательских и системных конфигурационных файлов и логов
💾Получение волатильной памяти из Linux-систем посредством различных методов и инструментов
💾Извлечение информации из файлов и директорий для создания bodyfile(в том числе и расширенные атрибуты файла для ext4).

🔖Документация тут.

🕵️‍♂️This noscript (its own set of tools and binaries) will be useful for IR specialists to collect artifacts from Unix-like systems: AIX, Android, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD and Solaris. In fact, UAC only needs a shell and can be run not only on the above systems, but also on Unix-like in general. For example: we wanted to get artifacts from the router on OpenWRT and voila, we have a UAC that will cope with this task and pull out the data without the need to install it.

And what is the noscript capable of directly?
Below are the main functions:
💾No need to install and can be run conditionally everywhere without dependencies
💾Customized and expandable collections/artifacts
💾Volatility is observed during artifact collection
💾Hashing of running processes and executable processes
💾Collecting information from processes running without a binary on disk
💾Collecting artifacts from applications
💾Collection of user and system configuration files and logs
💾Obtaining volatile memory from Linux systems through various methods and tools
💾Extract information from files and directories to create a bodyfile (including extended file attributes for ext4).

🔖Documentation here.

#DFIR #forensics #triage #memory #artifacts #processes #Unix #Android #ESXi #FreeBSD #Linux #macOS #NetBSD #NetScaler #OpenBSD #Solaris

Форензика и борьба с ней💥

Пока я пишу большую статью про мобильную форензику, решила выложить список инструментов, сборников и материалов по обычной(в основном ПК) форензике и борьбе ней.

Надеюсь вам будет полезно 🔑

Русская версия


Forensics and wrestling with it💥

While I'm writing a big article about mobile forenzika, I decided to post a list of tools, compilations and materials on regular(mostly PC) forensics and wrestling with it.

I hope you will find it useful 🔑


English version

#forensics #anonymity #anti_forensics #malware #cryptography

📕Best Practices for Securing Your Home Network

#NSA #CSI #security #privacy #wirelessNetwork #router #Authentication #browsers #storage #assistance

|AppSec Ezine|

📰471rd Edition
Release Date: 24/02/2023
pathonproject
github

#ezine #appsec #infosec

Там где можно использовать одноразовые ящики, я использую одноразовые. Там где нельзя - использую Tutanota. Это что касается использования почты для регистрации и подобных движений.

Для всех прочих "почтовых" движений я уже давно использую Disroot. Что это за проект я рассказывал тут https://news.1rj.ru/str/tvoijazz/1283.
Никаких страшилок про этот проект я не встречал и сам с какими-то проблемами в конфиденциальности не сталкивался.

Регистрируете ящик, прямо на сайте проекта создаете на него alias, чтобы нигде не светить реальный, и полученный условный vasja@getgoogleoff.me используете в свое удовольствие.

Там же на сайте, если не хотите использовать приложение Disroot, которое по сути простой интерфейс доступа к сервису через WebView, есть подробная инструкция как интегрировать ваш ящик в, наверное, самый известный опенсорсный почтовый клиент К-9
https://f-droid.org/packages/com.fsck.k9/

Данный почтовый клиент имеет прямую интеграцию с другим известным опенсорсным инструментом Openkeychain. Про него и про кооперацию с жабой я немного рассказывал здесь https://news.1rj.ru/str/tvoijazz/391.

В итоге вы имеете приличный почтовый ящик, хороший почтовый клиент с понятным и простым интерфейсом и собственное шифрование, которое позволяет положить с прибором на риски прочтения вашей почты третьими лицами.

#anonymity #deanonymization #P2P #Tox

🔓Вот и все, любители Токса(конкретно uTOX и qTOX)....
На самом деле не все так плохо, однако давайте посмотрим.

В клиентах uTox и qTox (как на винде, так и на линуксе ) текут IP-адреса выхода(Egress IPs более понятно, но на всякий случай озвучу: это IP-адреса, трафик которых по большому счету выходит за пределы объекта или границы сети, то бишь те, которые участвуют в передаче трафика из хост-сети во внешнюю сеть) и по большому счету в P2P такое встречается не редко. То есть общаетесь вы с помощью uTOX/qTOX и по сути обе стороны видят IPшники.
Очевидные контрмеры: как минимум использовать VPN/прокси(причем лучше использовать SOCKS5-прокси и отключать IPv6), а лучше весь трафик uTox/qTox или любого другого Tox-клиента оборачивать через TOR.

🔓That's all, lovers of Tox (specifically uTox and qTox)....
In fact, not everything is so bad, but let's see.

In uTox and qTox clients (both on Windows and Linux) leaks Egress IP addresses (IP addresses whose traffic by and large goes beyond the object or network boundaries, that is, those that participate in the transmission of traffic from the host network to the external network) and by and large in P2P, this is not uncommon. That is, you communicate using uTox/qTox and in fact both sides see IPs
Obvious countermeasures: at a minimum, use a VPN/proxy (and it is better to use SOCKS5 proxy and disable IPv6), and it is better to route all the traffic of uTox/qTox or any other Tox client via TOR.

🤙Thx @UK_Daniel_Card, @olihoughio & @3xp0rtblog

#security #anonymity #deanonymization #P2P #Tox

#security #anonymity #deanonymization #P2P #Tox

#cryptography #cryptanalysis #AES #WhiteBox #DCA #DFA #FaultsInject

|Dark Phoenix|

🔓Еще один интересный проект(посмотреть другие с атаками по побочному каналу(SCA) "Side-Channel Marvels" тут) для выполнения differential fault analysis(DFA) атак white-box имплементаций AES с внешними кодировками от кварков. Реализация очень близка к той, которая описывается в работе "A DFA Attack on White-Box Implementations of AES with External Encodings". Стоит отметить основной момент в сравнении с классическим DFA: заместо взлома AES-ключа с использованием всего лишь с использованием двух ошибок(прям идеальные условия и луна в правильной позиции), то в данном случае необходимо воспользоваться более чем миллионом(ахтунг!) ошибок. Однако стоит заметить, что в случае white-box настройки не считается какой-то огромной цифрой и в статье демонстрируется атака, занимающая всего лишь 2 минуты, что довольно неплохо.
Более подробно в статье: "Dark Phoenix: a new White-box Cryptanalysis Open Source Tool " от кварков.

🔖Репозиторий с исходным кодом находится тут.

⚠️Инструмент предназначен только для 8-битной кодировки!

🔓Another interesting project (see others with Side-Channel attacks(SCA)"Side-Channel Marvels" here) to perform differential fault analysis(DFA) attacks of white-box AES implementations with external encodings from quarks. The implementation is very close to the one described in the work "A DFA Attack on White-Box Implementations of AES with External Encodings". It is worth noting the main point in comparison with the classic DFA: instead of hacking the AES key using only two faults (just ideal conditions and the moon in the right position), then in this case it is necessary to use more than a million (ahtung!) faults. However, it is worth noting that in the case of a white-box, the settings are not considered some huge figure and the article demonstrates an attack that takes only 2 minutes, which is pretty good.
For more details, see the article: "Dark Phoenix: a new White-box Cryptanalysis Open Source Tool " from quarks.

🔖The source code repository is located here.

⚠️The tool is designed for 8-bit encoding only!

#cryptography #cryptanalysis #AES #WhiteBox #DCA #DFA #FaultsInject

#cryptography #cryptanalysis #AES #WhiteBox #DCA #DFA #FaultsInject

Привет, мои Чеширские котики🐱

Я доделала пост про мобильную криминалистику🔎

В начале там будут приведены методы мобильной форензики.
После я проведу пример анализа криптокошельков на андроиде и айфоне.
А в конце будет приведены инструменты упрощающее процесс расследования.
Так же материал дополняющий статью будет в архиве ниже.

Русская версия


Hello, my Cheshire cats🐱

I finished the post about mobile forensics🔎

In the beginning there will be mobile forensics methods.
After that I will give an example of cryptocurrency analysis on android and iPhone.
And at the end there will be tools to simplify the investigation process.
Also the material supplementing the article will be in the archive below.

English version
#crypto_wallet #bitcoin #nft #android #forensics #ios