|Detecting Linux Anti-Forensics Log Tampering|

🤙The Shizo is in touch!
🕵️‍♂️The post is about the removal and falsification of artifacts that forensic specialists rely on (in most cases) when determining the inputs and outputs from the system in Linux.
In the post we are talking about artifacts obtained from the following files:
💥/var/run/utmp – currently logged in users
💥/var/run/wtmp – current, past logins and system reboot
💥/var/log/btmp – bad login attempts

The author analyzes two ways:
💾Complete deletion of a line in the log file by overwriting the binary
💾Changes to the hex code of the file (easily detected by a forensic specialist)

Then there is a visual demonstration of a simple way to detect the above methods based on timestamps (timestamps).

To implement the first method, first you need to write the following command to disable bash history logging:

unset HISTFILE HISTSAWE HISTMOWE HISTZONE HISTORY HISTLOG USERHST REMOTEHOST REMOTEUSER; export HISTSIZE=0

After that, we open it using the hex editor that is more convenient for you to use (the Shizo uses ImHex) and in it we open the wtmp file located in the /var/log directory and reset the value of the array of characters with our account (when we open it in the editor, it will be visible where to start "~"), but if you screw up this stage, then the entire file will be cleaned up.
Eventually, the date is set to the "default" value

But since the timestamp has changed, this will be a wake-up call for a forensic specialist, since most likely he will understand that a file has been changed or, in a rare case, a system error.

The second way is that we first dump the file, specifying the user in which we want to clean up the traces with the command:

utmpdump /var/log/wtmp | grep -v "username" > "file.txt "

"file.txt " - the file that we want to replace later.
Next, replace the contents of the file /var/log/wtmp:

utmpdump -r < "file.txt " > /var/log/wtmp

We can take a look, again using utmpdump to dump the file:

utmpdump /var/log/wtmp

It's easy to detect all these manipulations.
There should be no zeros in the wtmp, btmp and utmp files, and there should also be no entries with the date "1970*".
Even in the fresh file /var/log/wtmp, we check the timestamp, because the timestamp of the last entry must be present in it.

That is:
⚠️HISTSIZE must not be zero(HISTSIZE =/= 0)
⚠️there will be no zeros in wtmp, btmp and utmp if there was no user intervention
⚠️there should be no timestamp marks with "default time is 1970"
⚠️the timestamp of the last entry and the timestamp of the file should not diverge

🔥12 Critical Linux Log Files You Must be Monitoring

#antiforensics #log #linux

|AppSec Ezine|

📰436rd Edition
Release Date: 24/06/2022
pathonproject
github

#ezine #appsec #infosec

|Speaker-Independent Microphone Identification|

🎙Свежая работа(23 июня 2022 года + очень небольшая по объёму чтения - 5 страниц) про выявление микрофона и анализ его действия, независимо от динамика.
Происходит разбор новой техники, базирующейся на остаточном шумоподавителе, который работает на частотно-временную(TF) область и извлечение признаков вместе с этапом классификации происходит за счёт нейронки.

⚠️С помощью такого метода можно удалять ненужные нам шумы и идентифицировать преступника, посредством установления устройства с которого была записана речь.

🎙A recent paper (June 23, 2022 + a very small volume of reading - 5 pages) about the identification of the microphone and the analysis of its action, regardless of the speaker.
There is an analysis of a new technique based on a residual noise suppressor that works on the time-frequency (TF) domain and the extraction of features together with the classification stage occurs at the expense of the neural network.

⚠️With the help of such an method, it is possible to remove unnecessary noises and identify the perpetrator by establishing the device from which the speech was recorded.

#forensics #audio #speech

#forensics #audio #speech

|teslalogs|

🚘У NFI есть интересный репозитрой с тулзами и райтапами по работе с логами из Теслы.
Работа над этим проектом началась после инцидента во Флориде в 2016 году, когда произошло ДТП с участием Теслы и грузовика(отчёт от NTSB прикладываю ниже) и форензик специалисты начали анализировать логи, не только Model S, но ещё Model X и 3, прибегая к статическому анализу.
Кроме логов, также реверсу подверглась и прошивка шлюза

Начиная с 2020 года( на примере Model 3) структура логинизации изменилась: логи теперь хранятся в каталоге CL. И помимо обычных логов, Model 3 записывает HRL для некоторых событий.

Так что рекомендую всем тем, кто собирается заниматься форезникой или уже и интересен анализ автомобилей, ведь новые машины напичканы мощными программно-аппаратными комплексами, которые выдают много данных, которые нужно анализировать и связывать с произошедшим инцидентом.

🚘At NFI there is an interesting repository with tools and noscripts for working with logs from Tesla.
Work on this project began after the incident in Florida in 2016, when there was an accident involving Tesla and a truck (I attach the report from the NTSB below) and forensic specialists began analyzing logs, not only Model S, but also Model X and 3, resorting to static analysis.
In addition to logs, the gateway firmware was also subjected to reverse engineering.

Starting in 2020 (using the example of Model 3), the structure of logging has changed: logs are now stored in the CL directory. And in addition to the usual logs, Model 3 records HRL for some events.

So I recommend it to all those who are going to be engaged in foresonics or are already interested in analyzing cars, because new cars are stuffed with powerful software and hardware complexes that give out a lot of data that needs to be analyzed and associated with the incident.

#forensics #automotive #car #Tesla

☁️Cloud Security Technical Reference
Architecture v 2.0

#security #cloud #CISA #FRAMP

#security #cloud #CISA #FRAMP

🕵️‍♂️NSA Cybersecurity open source software releases

📓code.json

📔github

🛸NSA github

🛡NSA Cybersecurity Advisories & Guidance

🔓NSA Codebreaker Challenge

🚨careers

🇺🇸Sharing America's Code

🗾NSA site map

🕵️‍♂️NSA Leadership

🕵️‍♂️NSA twitter

#NSA #security

🎩Собрал все доступные презентации с BH Asia 2022 в один архив.

🎩Collected all available presentations from BH Asia 2022 in one archive.

#BlackHatAsia2022 #hacking #forensics #exploit #security #malware #shizo

Пароль/Password: ShizoPrivacy

#BlackHatAsia2022 #hacking #forensics #exploit #security #malware #shizo

|PcapXray|

🤙Шизо на связи!
🕵️‍♂️Продолжу тему форензики визуализацией захваченного трафика, полученного tcpdump или его десятками вариаций.
Собственно визуализация может ускорить процесс анализа захваченных пакетов в виде pcap-файлов.
PcapXray как и нужен для таких целей, так как он строит сетевые диаграммы, на которых отмечены сетевые узлы, траффик и данные которые передаются по сети(полезная нагрузка или пэйлоады, кому как проще).
Также, есть несколько дополнительных функций, который на мой взгляд не стоит обходить стороной:
💥Работа с Tor трафиком(можно будет получить только базовую информацию, никакой дешифровки трафика - нет)
💥Идентификация вредоносного трафика

Для введения в анализ захваченного трафика рекомендую несколько челленджей в виде нескольких виртуальных машин большим количеством pcap-файлов:
💾Hands-on Network Forensics(логин: user, пароль: password): VM + выступление с семинара
💾Introduction to network forensics(справочник; набор инструментов: 1, 2, 3; виртуальный образ:1, 2, 3, 4)

🤙 The Shizo is in touch!
🕵️‍♂️I will continue the topic of forensics by visualizing the captured traffic received by tcpdump or its dozens of variations.
Visualization itself can speed up the process of analyzing captured packets in the form of pcap files.
PcapXray is just as necessary for such purposes, since it builds network diagrams on which network nodes, traffic and data that are transmitted over the network are marked (payload or payloads, whichever is easier).
Also, there are several additional functions, which in my opinion should not be bypassed:
💥Working with Tor traffic (it will be possible to get only basic information, there is no decryption of traffic)
💥Identification of malicious traffic

To introduce the captured traffic analysis, I recommend several challenges in the form of several virtual machines with a large number of pcap files:
💾Hands-on Network Forensics(login: user, password: password): VM + performance from the seminar
💾Introduction to network forensics(handbook; set of tools:1, 2, 3; virtual image:1, 2, 3, 4)

Приложу ещё список тулзов для визуализации захваченных пакетов(pcap-файлов)/I will also attach a list of tools for visualizing captured packets (pcap files):
🌐kamene
🌐tcpterm
🌐PcapViz
🌐webshark
🌐potiron
🌐xplico
🌐capanalysis

#forensics #network #pcap #tor

|Run shellcode via EnumDesktopsA|

🤙Шизо на связи!
🛡Только в ознакомительных целях!
🦠Статья от известного в узких кругах cocomelonc'a(на канале: AV engines evasion,
Malware development: persistence) про запуск шеллкода посредством EnumDesktopsA из серии "Malware development tricks".
Предыдущие из серии:
💥Download & inject logic + source code
💥Find kernel32.dll base: asm style + source code

Сама по себе функция EnumDesktopsA нужна для передачи имени каждого рабочего стола определяемой приложением(application-defined) callback-функции и подключается с помощью хэдера
winuser.h.
Причём, может оперировать только теми рабочими столами, вызывающий процесс которых имеет право доступа DESKTOP_ENUMERATE.

Конечно же программа на C++, моём любимом и одновременно ненавидимом.

Для запуска шеллкода, помимо его наличия, нам потребуется сперва проаллоцировать буффер памяти(ну или выделить, кто как говорит) посредством функцию VirtualAlloc:

LPVOID mem = VirtualAlloc(NULL, sizeof(my_payload), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

Если вдруг кому интересно LPVOID - это указатель на любой тип, который определён в хэдере
WinDef.h:

typedef void *LPVOID;

Далее, нужно "скопировать" наш пэйлоад(шеллкод) в эту область памяти:

RtlMoveMemory(mem, my_payload, sizeof(my_payload));

После чего, в EnumDesktopsA укажем эту область памяти , как указатель на коллбэк функцию:

EnumDesktopsA(GetProcessWindowStation(), (DESKTOPENUMPROCA)mem, NULL);

my_payload, если вдруг кто не понял - как раз наш пэйлоад.

Детект: 16/66(windows defender - не детектит)

📝Исходный код тут.

🤙The Shizo is in touch!
🛡For educational purposes only
🦠An article from the well-known cocomelonc in narrow circles (on the channel: AV engines evasion,
Malware development: persistence) about running the shellcode via EnumDesktopsA from the series "Malware development tricks".
Previous ones from the series:
💥Download & inject logic + source code
💥Find kernel32.dll base: asm style + source code

The EnumDesktopsA function itself is needed to pass the name of each desktop to an application-defined callback function and is connected using a header
winuser.h.
Moreover, it can operate only on those desktops whose calling process has the right to access DESKTOP_ENUMERATE.

Of course, the program is in C++, my favorite and at the same time hated.

To run the shellcode, in addition to having it, we will first need to allocate a memory buffer (well, or allocate, as anyone says) using the VirtualAlloc function:

LPVOID mem = VirtualAlloc(NULL, sizeof(my_payload), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

If anyone is suddenly interested, LPVOID is a pointer to any type that is defined in the header WinDef.h:

typedef void *LPVOID;

Next, we need to "copy" our payload (shellcode) to this memory area:

RtlMoveMemory(mem, my_payload, sizeof(my_payload));

After that, in EnumDesktopsA we will indicate this memory area as a pointer to the callback function:

EnumDesktopsA(GetProcessWindowStation(), (DESKTOPENUMPROCA)mem, NULL);

my_payload, if suddenly someone did not understand - just our payload.

Detection: 16/66(windows defender - does not detect)

📝The source code is here.

#malware #shellcode #njection