✋ Инструменты компьютерной криминалистики

1. DEFT Linuix – основное предназначение — проведение мероприятий по форензике: анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора т.н. цифровых доказательств совершения киберпреступлений.

2. Volatility Framework — фреймворк для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM).
Для тестирования фреймворка рекомендую воспользоваться готовыми образами RAM.

3. DFF (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.

4. PowerForensics предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.

5. Sleuth Kit (TSK) — это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.

Материал по теме:
1. Введение в форензику

#Tools ✈️ inf0

☁️ Платформа тестирования на проникновение

Hack The Box (HTB) – это онлайн-платформа для тестирования на проникновение, которая предоставляет набор виртуальных машин, уязвимых к атакам.

Пользователи платформы могут решать задачи, связанные с кибербезопасностью, и улучшать свои навыки в области информационной безопасности.

На видео представлено прохождение виртуальной машины Paper ☝️

В этом прохождении Paper проэксплуатируем уязвимость в CMS WordPress, корпоративном чате RocketChat, а также изучим популярную уязвимость Polkit LPE.

#Tools #Lab ✈️ inf0

🥷 Фишинговый сервис Darcula предлагает атаки на пользователей Android и iPhone

Новый PhaaS-сервис (Phishing-as-a-Service, «Фишинг-как-услуга») Darcula использует порядка 20 000 доменов для имитации различных брендов и кражи учетных данных у пользователей Android и iPhone в 100 странах мира.

Впервые Darcula был замечен еще летом 2023 года ИБ-исследователем Ошри Калфоном (Oshri Kalfon), но теперь аналитики компании Netcraft сообщают, что с тех пор эта платформа стала заметно популярнее в среде киберпреступников, и недавно ее стали применять в масштабных атаках.

Идея заключается в том, что жертвы с большей вероятностью воспримут такие сообщения как настоящие, доверяя дополнительным мерам защиты, недоступным в случае SMS.

Кроме того, RCS и iMessage поддерживают сквозное шифрование, а значит, невозможно перехватить и заблокировать фишинговые сообщения на основе их содержимого.

#News ✈️ inf0

🙂 Так выглядят настоящие ИБ эксперты

#meme ✈️ inf0

👹 Взлом Госуслуг

В СМИ было много обсуждений случаев взлома портала "Госуслуги".

В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги.

В статье будет рассмотрено 4 теории:
1. Взлом аккаунта

Онлайн-мошенники начали взламывать аккаунты граждан на сайте госуслуг и через них брать кредиты и микрозаймы, предупредили опрошенные РБК эксперты – РБК.

2. Может быть уязвимо веб-приложение?

Интернет-пользователи пожаловались на хакеров, которые взломали их аккаунты на «Госуслугах» и дали согласие на обработку персональных данных для одного из сервисов «Единой России». В партии считают это информационной атакой. Взлом мог затронуть значительное количество пользователей, полагают эксперты по кибербезопасности – Forbes.ru.

3. Утечка данных

Но эксперты по кибербезопасности уверены: произошла утечка информации с серверов портала. Благодаря этому аферисты легко могут подменить данные для входа в систему и получить доступ к любому аккаунту – Vesti.ru

4. Берем кредит на госуслугах

Особое возмущение Ивана Цыбина вызвал тот факт, что с помощью портала «Госуслуг» можно подтвердить личность любому кредитному учреждению и брать займы – Fontanka.ru

#Networks ✈️ inf0

💸 На Pwn2Own эксперты заработали 732 000 долларов и взломали Tesla

В первый день хакерского соревнования Pwn2Own Vancouver 2024 участники суммарно заработали 732 500 долларов и продемонстрировали 19 уязвимостей нулевого дня, успешно скомпрометировав Tesla Model 3 (которую исследователи теперь забирают себе), Windows 11, Ubuntu Linux и не только.

В рамках Pwn2Own Vancouver 2024 ИБ-эксперты взламывают полностью пропатченные продукты в следующих категориях: веб-браузеры, облачные/контейнерные технологий, виртуализация, корпоративные приложения, серверы, локальное повышение привилегий, корпоративные коммуникации и автомобили.

Лидером первого дня с большим отрывом стала команда Synacktiv, которая забрала Tesla Model 3 и 200 000 долларов, за демонстрацию взлома ЭБУ Tesla с Vehicle (VEH) CAN BUS Control менее чем за 30 секунд с помощью проблемы целочисленного переполнения.

Стоит отметить, что в прошлом году Tesla Model 3 тоже успешно

взломали

и забрали домой именно специалисты Synacktiv.

#News ✈️ inf0

🤖 Лучше не придумать

#meme ✈️ inf0

😂 Вологодский хакер предстанет перед судом за обесточивание 38 населенных пунктов

Вологодский хакер, умышленно обесточивший 38 поселков в области год назад, предстанет перед судом по уголовному делу, наказание за которое предусматривает до восьми лет колонии, сообщили ТАСС в пресс-службе управления ФСБ России по Вологодской области.

Завершено расследование уголовного дела в отношении хакера, отключившего от электроэнергии 38 населенных пунктов Вологодской области. УФСБ России установлено, что в феврале 2023 года житель региона получил неправомерный доступ к системам технологического управления электросетями и отключил от электроснабжения 38 населенных пунктов.

— По факту произошедшего возбудили уголовное дело по части 4 статьи 274.1 УК РФ.

#news ✈️ inf0

#meme ✈️ inf0

👁 Курс: «Этичный хакинг с Nmap»

В ходе просмотра курса вы научитесь:
~ использовать Nmap в целях этичного хакинга, системного администрирования и сетевой безопасности;
~ обнаруживать активные и уязвимые хосты в сети;
~ скриптовый движок Nmap (NSE), используемый для продвинутого обнаружения и взлома. Рассмотрим различные скрипты, включая используемые для брутфорса паролей электронной почты и баз данных, для межсайтового скриптинга (XSS) и SQL-инъекций;
~ определять правила файрвола, избегая обнаружения;
~ избегать обнаружения файрволами и системами обнаружения вторжений (IDS);
~ выходные данные Nmap (конвертация, слияние, сравнение);
~ обе версии Nmap: консольную и GUI-версию (Zenmap);
~ поймете, как Nmap используется в комбинации с C&C-инфраструктурой злоумышленников.
~ Nmap и обход файрволов и IDS.
~ Как злоумышленники используют Nmap в C&C-инфраструктурах.

#info #networks ✈️ inf0

👺 OSINT: Онлайн-сервисы для поиска по интернету вещей, IP, доменам и поддоменам

1. ip-neighbors – определяет местоположение сервера, и имена хостов, которые делят с ним IP-адрес.

2. ShowMyIP – массовый поиск IP-адресов, позволяет проверять до 100 IP-адресов одновременно. Выдачу можно загрузить сохранить в .csv-файл.

3. MX Toolbox – еще один многофункциональный инструмент, позволяющий искать по доменному имени, IP-адресу или имени хоста.

4. DNSViz – это набор инструментов для анализа и визуализации системы доменных имен. Имеет открытый исходный код.

5. infosniper, ip2geolocation, ip2location, ipfingerprints, whoismind – поисковики, которые позволяют найти приблизительное географическое местоположение IP-адреса, а также другую полезную информацию, включая интернет-провайдера, часовой пояс, код города и т. д.

#info ✈️ inf0

📅 Сканер уязвимостей

Nessus — сканер для автоматизации проверки и обнаружения известных уязвимостей в системе.

Исходный код закрыт, существует бесплатная версия Nessus Home, которая позволяет сканировать до 16 IP-адресов с такой же скоростью и подробным анализом, что и в платной версии.

Способен определять уязвимые версии служб или серверов, обнаруживать ошибки в конфигурации системы, выполнять bruteforce словарных паролей

#Tools ✈️ inf0

◼️ Поиск уязвимостей веб-приложений

В этом посте мы собрали восемь популярных сканеров, рассмотрели их подробнее и попробовали в деле.

В качестве тренировочных мишеней выбрали независимые точки на двух платформах (.NET и php): premium.pgabank.com и php.testsparker.com.

Рассмотренные сканеры:
1. OWASP ZAP – Это бесплатный инструмент для тестирования на проникновение и для поиска уязвимостей в веб-приложениях

2. W9scan — это бесплатный консольный сканер уязвимостей сайта с более чем 1200 встроенными плагинами, которые могут определять отпечатки веб-страниц, портов, проводить анализ структуры веб-сайта, находить различные  популярные уязвимости, сканировать на SQL Injection, XSS и т. д.

3. Wapiti – ещё один неплохой консольный сканер. Так же, как и W9scan, готов к старту в одну команду, при этом имеет больше разных настроек сканирования.

4. Arachni – мощный бесплатный комбайн для теста защищенности веб-приложений  и поиска уязвимостей. Имеет графический интерфейс и огромную функциональность, о которой более подробно можно почитать на официальном сайте.

5. Paros – сканер веб-уязвимостей с графическим интерфейсом. По умолчанию включен в дистрибутив Kali Linux и установлен там локально. Имеет встроенный прокси, через который добавляются сайты для анализа, встроенный веб-паук, способный анализировать сайт и строить карту запросов.

6. Tenable.io – платный многофункциональный облачный сканер, который умеет находить большое число веб-уязвимостей и почти полностью покрывает OWASP TOP 10 2017.

7. Burp Suite – это комплексное решение для проверок веб-приложений. Оно включает в себя разнообразные утилиты, позволяющие улучшить и ускорить поиск уязвимостей веб-приложений.

8. Acunetix – весьма неплохой коммерческий сканер. Его очень активно продвигают с помощью рекламы, но Acutenix не добился бы успеха без своей обширной функциональности. Среди доступных ему для обнаружения уязвимостей — все виды SQL injection, Cross site noscripting, CRLF injection и прочие радости пентестера веб-приложений.

#Tools ✈️ inf0

🖥 Курс от Microsoft: «Кибербезопасность для начинающих – учебная программа»

Этот курс предназначен для того, чтобы научить вас основным концепциям кибербезопасности, чтобы начать изучение безопасности.

Он не зависит от поставщиков и разделен на небольшие уроки, которые должны занять около 30-60 минут.

На каждом уроке есть небольшая викторина и ссылки на дальнейшее чтение, если вы хотите погрузиться в тему немного больше.

Что охватывает этот курс 📂
🔐 Основные концепции кибербезопасности, такие как триада ЦРУ, различия между рисками, угрозами и т. д.

🛡 Понимание того, что такое контроль безопасности и какие формы они принимают.

🌐 Понимание того, что такое нулевое доверие и почему это важно в современной кибербезопасности.

🔑 Понимание ключевых концепций и тем в области идентификации, сетей, операций безопасности, инфраструктуры и безопасности данных.

🧰 Приведены некоторые примеры инструментов, используемых для реализации средств контроля безопасности.

🐱 Смотреть курс на github.com

#networks ✈️ inf0

💀 Живой репозиторий вредоносных программ

TheZoo - это база вредоносного ПО, которая включает в себя практически весь диапазон вредоносных программ и сопровождается простеньким скриптом на Python, позволяющим обновлять эту базу и декодировать ее содержимое.

Несмотря на то, что смалвари зашифрованы, крайне рекомендую запускать фрэймворк на виртуальной машине и без доступа в интернет, тем более в процессе дальнейшего анализа

Вредоносы находятся в состоянии боевой готовности и требуют принятия некоторых мер безопасности

🐱 Репозиторий на GitHub

#Virus ✈️ inf0

🔒 576 000 аккаунтов Roku взломаны благодаря credential stuffing атакам

Компания Roku сообщила, что 576 000 пользовательских учетных записей были взломаны в результате новой волны credential stuffing атак.

Термином credential stuffing обычно обозначают ситуации, когда учетные данные похищаются с одних сайтов, а затем используются на других.

В прошлом месяце компания уже предупреждала об аналогичном инциденте, в результате которого было взломано 15 000 аккаунтов.

Roku производит цифровые медиаплееры и специализируется на потоковом контенте, все это позволяет пользователям получать доступ к таким сервисам, как

Netflix, Hulu и Amazon Prime Video

.

По информации компании, злоумышленники использовали логины и пароли, украденные с других онлайн-платформ, чтобы взломать как можно больше активных учетных записей Roku.

#News ✈️ inf0

◼️ Полезные нагрузки для тестирования веб-приложений

Использование полезных нагрузок (пейлоадов) позволяет проводить фаззинг веб-приложения, для выявления аномалий/признаков уязвимостей.

В этой статье я рассмотрю несколько вариантов пейлоадов для тестирования веб-приложений.

Полезные нагрузки представляют из себя список последовательностей символов, служебных команд, имен файлов, т.н. полиглотов и т.д. и служат для полуавтоматизированного исследования веб-приложений.

Если говорить простыми словами — исследователь выявляет точки входа (инпут формы, аргументы, динамически поля) и подает в качестве значений полезные нагрузки.

#info ✈️ inf0

🧰 175 инструментов для киберрасследований

CSI LINUX – Представляет собой нечто среднее между Tsurugi и SIFT Workstation.

Этот дистрибутив вобрал в себя более более 175 инструментов для киберрасследований, форензики, сбора и фиксации доказательств.

Он основан на серверной версии Ubuntu 22.04 LTS, пропускает весь трафик через Tor, подобно тому, как это делает Tails, но, в то же время, CSI LINUX можно подключить к шлюзу Whonix.

Одна из фишек этого дистрибутива, которой нет в аналогичных сборках, то, как он помогает структурировать информацию.

При помощи утилиты CSI Case Management операционная система автоматически собирает результаты работы запущенных инструментов и сортирует их по соответствующим папкам. Это избавляет исследователя от массы рутинных действий.

#Tools ✈️ inf0

✈️ Эксперты нашли сеть вредоносных сайтов с картинками для кражи Telegram-аккаунтов

Специалисты центра мониторинга внешних цифровых угроз Solar AURA из ГК «Солар» обнаружили крупную сеть, состоящую более чем из 300 сайтов с изображениями и мемами, созданную для кражи аккаунтов в Telegram

На картинку с такого сайта можно было легко «наткнуться» в поисковой выдаче, а дальнейший
переход по ней был чреват потерей аккаунта

Если пользователь кликнет по ссылке или изображению, чтобы увидеть первоисточник, вместо сайта с картинкой он будет переадресован на один из фишинговых ресурсов, имитирующих страницу Telegram-канала.

Большая часть таких фишинговых сайтов использует название «

Тебе понравится

»

Если жертва попытается присоединиться к сообществу, она попадет на страницу с QR-кодом или формой для входа в Telegram. Если ввести на фейковом ресурсе данные для входа в Telegram-аккаунт, эта информация будет автоматически передана злоумышленникам

#News ✈️ inf0

🥷 Анонимная сеть Hidden Lake

Анонимная сеть Hidden Lake (HL) – это децентрализованная F2F (friend-to-friend) анонимная сеть с теоретической доказуемостью.

В отличие от известных анонимных сетей, подобия Tor, I2P, Mixminion, Crowds и т.п., сеть HL способна противостоять атакам глобального наблюдателя.

Сети Hidden Lake для анонимизации своего трафика не важны такие критерии как:
1. Уровень сетевой централизации
2. Количество узлов
3. Расположение узлов
4. Связь между узламив сети.

На основе таковых свойств, HL способна внедряться в уже готовые и существующие централизованные системы, формируя тем самым анонимность её пользователей

#info ✈️ inf0

🔎 Инструмент для исследования уязвимостей

Metasploit Framework — это мощнейший инструмент, который могут использовать как киберпреступники, так и «белые хакеры» и специалисты по проникновению для исследования уязвимостей в сетях и на серверах.

Поскольку это фреймворк с открытым исходным кодом, его можно легко настроить и использовать на большинстве операционных систем.

С помощью Metasploit пентестеры могут использовать готовый или создать пользовательский код и вводить его в сеть для поиска слабых мест.

📅 В качестве еще одного способа поиска угроз, после идентификации и документирования недостатков, эту информацию можно использовать для устранения системных недостатков и определения приоритетности решений.

Дополнительный материал:
1. Официальный сайт
2. Репозиторий на github.com
3. Руководство на habr.com

#Tools ✈️ inf0