Привет, мои Чеширские котики🐱

Я доделала пост про мобильную криминалистику🔎

В начале там будут приведены методы мобильной форензики.
После я проведу пример анализа криптокошельков на андроиде и айфоне.
А в конце будет приведены инструменты упрощающее процесс расследования.
Так же материал дополняющий статью будет в архиве ниже.

Русская версия


Hello, my Cheshire cats🐱

I finished the post about mobile forensics🔎

In the beginning there will be mobile forensics methods.
After that I will give an example of cryptocurrency analysis on android and iPhone.
And at the end there will be tools to simplify the investigation process.
Also the material supplementing the article will be in the archive below.

English version
#crypto_wallet #bitcoin #nft #android #forensics #ios

Архив к статье📚

Здесь будут материалы дополняющие статью.
Тут будет более подробно про методы мобильной форензики.  
А так же более подробные статьи про расследование в криптокошельках.
Ещё там будут материалы про расследование на андроиде и айфон.

Надеюсь вам будет полезно❤️


Archive to the article📚

Here will be materials supplementing the article.
There will be more details about mobile forensics methods.  
As well as more detailed articles about cryptocurrency investigation.
There will also be materials about investigation on android and iPhone.

I hope you will be полезно❤️
#crypto_wallet #bitcoin #nft #android #forensics #ios

🔥🔥🔥Действительно серьезная бага была обнаружена в AMD Zen2, в результате которой(после переключения контекста после инструкции ucomiss) происходит "roll back"(откат) YMM - регистров к предыдущим значениям после переключения контекста. В случае, если есть подходящий процессор, то можно повторить шаги по инструкциями из сообщения про эту багу "x86: AMD Zen2 ymm registers rolling back".
Как возможное решение/смягчение в линуксе - отключение XSAVES на затронутых процах и если прям хочется сейчас, то можно пожертвовать производительностью и загрузиться с помощью clearcpuid=xsaves.

⚠️Важно учитывать тот факт, что значения между процессами не текут, но еще важнее, что уязвимые модели не получили микрокод, закрывающий данную багу.

#securityFlaw #bug #AMD #Zen2 #Ryzen #expoitation #microcode #leak

#DFIR #CISA #HSSEDI #ATTandCK #mapping #tactics

|Decider|

🕵️‍♂️Данный инструмент нацелен на помощь в выборе тактики, техники или подтехники атакующего в сопоставлении с MITRE ATT&CK фреймворком и он является по сути дополнением к руководству "Best Practices for MITRE ATT&CK Mapping" от CISA" и идет вместе с информационным бюллетенем о инструменте и видео . То есть нередко бывает дилемма с нанесением на карту той или иной техники, используемой атакующим, и Decider как раз помогает в данном случае. Причем, перед конечным результатом специалисту выстраивается ряд наводящих/управляемых вопросов(на человеческом языке) непосредственно о активности/действиях атакующего. Помимо всего прочего есть фильтрация, поиск(мы можем в таком случае не распыляться на не особо связанные с нашим инцидентом части ATT&CK) и экспорт итогового результата в таблицы или экземпляр ATT&CK Navigator.

Если кого интересует, то Decider состоит из трех компонентов: PostgreSQL, веб-сервер(uWSGI) и собственно самого инструмента.

🕵️‍♂️ This tool is aimed at helping to choose tactics, techniques or sub-techniques of the attacker in comparison with the MITRE ATT&CK Framework and it is essentially an addition to the manual "Best Practices for MITRE ATT&CK Mapping" from CISA" and comes along with a fact sheet about the tool and a video. That is, there is often a dilemma with mapping a particular technique used by an attacker, and Decider just helps in this case. Moreover, before the final result, the specialist is lined up with a number of suggestive / controlled questions (in human language) directly about the activity / actions of the attacker. Among other things, there is filtering, searching (in this case, we can not be sprayed on parts of ATT&CK that are not particularly related to our incident) and exporting the final result to tables or an instance of ATT&CK Navigator.

If anyone is interested, then Decider consists of three components: PostgreSQL, a web server (uWSGI) and the tool itself.

#DFIR #CISA #HSSEDI #ATTandCK #mapping #tactics

🛡АВ - это безопасно говорили они. Без АВ тебя легко взломать - говорили они. А как по итогу, уже скопилось множество багов в АВ/EDR и техник эксплуатации, за счет чего при наличии оных, лишь увеличивается поверхность атак конечной системы.
На сей раз - Avast с его динамической либой JsFlt.dl, которая инжектится в процесс браузера и открывает пайп с именем "\\.\pipe\chrome.PID.1.971151191159711010098111120112105112101", где соответственно PID - процесса браузера. По сути в браузере(Chromium-based) не блокируется загрузка aswJsFlt.dll, порождающая этот пайп(за счет перехвата wildcard NtCreateFile и NtOpenFile тут, пайп в таком случае доступен запесоченного рендера, хотя про ограничение перехвата пайпа есть уже issue).

Так а в чем тут проблема? aswJsFlt.dll имеет поток, ожидающий данный пайп и при выполнении вредоносного кода в изолированном процессе, направленного на запись в пайп, можно добиться UAF или double free, то есть по сути в коде, отвечающем за ожидание пайпа в потоке(aswJsFlt.dll) есть UAF бага.

🔖Код и инструкции о том, как затригерить багу(PoC), прикладываю ниже, а почитать сам issue 1378357 "Avast aswJsFlt.dll 18.0.1479.0 exposes vulnerable pipe endpoint to renderers" тут.

📕CrowdStrike 2023 Global Threat Report.

#security #ThreatIntelligence #Espionage #Cloud #ICS #vulnerabilities #expoitation #InitialAccess #lateralMovement #defenseEvasion #LPE #EoP #malware #SocialEngineering #DarkWeb #AccessBrokers

|National Cybersecutiry Strategy march23|

🛡Белый Дом опубликовал информационный бюллетень "2023 National Cybersecurity Strategy", направленный на отображения видения и подхода по обеспечению безопасного цифрового будущего жителей США.

Описанная в бюллетене стратегия устранения угроз(государственные и негосударственные субъекты разрабатывают и проводят новые компании, угрожающие национальной безопасности, общественной безопасности и экономическому процветанию) путем построения и сотрудничества по следующим направлениям:
1️⃣Защита КИИ - для обеспечения доступности и устойчивости оной и услуг, которые она предлагает.
2️⃣Разрушение(подрыв) и устранение субъектов угрозы - завязывание рук злоумышленникам(ака кибер преступники) для понижение угроз национальной/общественной безопасности США.
3️⃣Формирование рыночной силы(чему стоило бы точно нашим поучиться) для обеспечения безопасности и устойчивости - направлено на снижение рисков и перенесение последствий плохой кибербезопасности с наиболее уязвимых на более надежные, дабы в дальнейшем укрепить цифровую экосистему.
4️⃣Инвестирование в устойчивое будущее - для поддержания лидирующих позиций США в области инноваций в безопасности и устойчивых технологий инфраструктуры следующего поколения будут продолжаться стратегические инвестиции и скоординированные совместные действия.
5️⃣Налаживание международных партнерских отношений для достижения общих целей(укрепление государства в киберпространстве и все участвующие в данном процессе и ведущие себя безответственно, должны быть изолированы и
и понимать цену данным действиям).

В целом, главные предложения в бюллетени можно выделить в три пункта:
1️⃣Новый регулирующий орган КИИ
2️⃣Ответственность перед вендорами ПО
3️⃣Ограничения на сбор и использование данных в частном секторе

⚠️Советую ознакомиться полностью с данным бюллетенем или хотя бы пробежаться по интересующим пунктам более подробно, ведь не мало моментов применимы не только в США.

🛡The White House has published the newsletter "2023 National Cybersecurity Strategy", aimed at displaying a vision and approach to ensure a secure digital future for US residents.

The strategy described in the bulletin to eliminate threats (state and non-state actors develop and conduct new companies that threaten national security, public safety and economic prosperity) by building and cooperating in the following areas:
1️⃣Protection of Critical Infrastructure - to ensure the availability and sustainability of it and the services it offers.
2️⃣Destruction (undermining) and dismantle of threat actors - tying the hands of intruders (aka cyber criminals) to reduce threats to the national/public security of the United States.
3️⃣The formation of market power to drive security and resilience is aimed at reducing risks and transferring the consequences of poor cybersecurity from the most vulnerable to more reliable ones in order to further strengthen the digital ecosystem.
4️⃣IInvesting in a resilience future - Strategic investments and coordinated joint actions will continue to maintain the leading position of the United States in the field of security innovation and sustainable next-generation infrastructure technologies.
5️⃣Establishing international partnerships to achieve shared goals (strengthening the state in cyberspace and all those involved in this process and behaving irresponsibly should be isolated
and understand the price of these actions).

In general, the main proposals in the bulletin can be divided into three points:
1️⃣ New Сritical Infrastructure regulatory authority
2️⃣ Responsibility to software vendors
3️⃣ Restrictions on data collection and use in the private sector

⚠️I advise you to read this bulletin in full or at least run through the points of interest in more detail, because not a few points are applicable not only in the USA.

#WhiteHouse #strategy #security #privacy #threats #CriticalInfrastructure #CICS #cryptography #vulnerabilities

🛡National Cybersecurity Strategy(March 2023).

#WhiteHouse #strategy #security #privacy #threats #CriticalInfrastructure #CICS #cryptography #vulnerabilities

|AppSec Ezine|

📰472rd Edition
Release Date: 03/03/2023
pathonproject
github

#ezine #appsec #infosec