Forwarded from Эксплойт
Делаем из айфона рацию, работающую без интернета — в open source выложили Talky, iOS-приложение, которое превращает телефон в полноценную рацию с кнопкой «нажал — говоришь».
Работает напрямую между устройствами, без серверов и мобильной сети. Что умеет:
— Режим рации с мгновенной передачей голоса;
— Подключение к другим айфонам рядом, как у настоящих раций;
— Встроенное FM-радио;
— Нормальный звук, виброотклик, экономия батареи;
— Всё локально без слива данных.
Подходит для тусовок, поездок, мероприятий, съёмок или просто, чтобы вспомнить детство.
Забираем тулзу — здесь.
@exploitex
Работает напрямую между устройствами, без серверов и мобильной сети. Что умеет:
— Режим рации с мгновенной передачей голоса;
— Подключение к другим айфонам рядом, как у настоящих раций;
— Встроенное FM-радио;
— Нормальный звук, виброотклик, экономия батареи;
— Всё локально без слива данных.
Подходит для тусовок, поездок, мероприятий, съёмок или просто, чтобы вспомнить детство.
Забираем тулзу — здесь.
@exploitex
1👍6👀2🍓1
Forwarded from CyberYozh
Обновили для вас материал по утере цифровых данных. Добавили кучу современных примеров, если и они вас не убедят, то на вашей безопасности можно ставить крест.
Прочтите сами, поделитесь с друзьями.
Прочтите сами, поделитесь с друзьями.
10👍2🔥1🍓1
Forwarded from Russian OSINT
Злоумышленник отправляет сообщение с текстом, который визуально выглядит как обычное упоминание username (синяя подсветка, как у настоящего профиля). Под этим текстом скрыта гиперссылка на специальный адрес вида
t.me/proxy?server=...&port=...&secret=... (MTProxy-ссылка).Критики смеются над тем, что "хакер" на видео взломал себя сам внутри LAN. Для них это выглядит как дилетантство, но они не учитывают, что это лишь демонстрация PoC в безопасной среде, а в реальности злоумышленник использует внешний IP.
Примечательно, что некоторые комментаторы пишут: архитектурная особенность Telegram известна специалистам минимум с 2023 года и не является новой уязвимостью, а скорее «фичей», которую разработчики не спешат исправлять.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🐳2🆒1
Forwarded from GitHub Community
MK DroidScreenCast — это мощная обертка над adb и scrcpy, которая упрощает процесс подключения и трансляции экрана Android-устройства на компьютер.
Больше не нужно запоминать IP-адреса и команды консоли. Программа автоматически скачивает необходимые инструменты (ADB, Scrcpy) и предоставляет удобный интерфейс.
Вы можете выбрать один из двух режимов работы:
1. CLI (Терминал): Красивый интерактивный интерфейс.
2. Web Panel: Современная панель управления в браузере.
🐱 GitHub
Больше не нужно запоминать IP-адреса и команды консоли. Программа автоматически скачивает необходимые инструменты (ADB, Scrcpy) и предоставляет удобный интерфейс.
Вы можете выбрать один из двух режимов работы:
1. CLI (Терминал): Красивый интерактивный интерфейс.
2. Web Panel: Современная панель управления в браузере.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Codeby
PH0MBER
PH0MBER — это платформа OSINT, представляющая собой универсальный инструмент для сбора информации и проведения разведки.
Это может помочь вам собрать информацию (например, номера телефонов, IP-адреса, данные о доменных именах и т. д.) из различных общедоступных источников о целевом объекте.
Утилита похожа на MetaSploit Framework по внешнему виду и управлению. Программа не обладает большим или сложным функционалом и подойдёт даже новичкам.
📕 Характеристика:
1️⃣ Поиск по номеру телефона
2️⃣ Поиск по IP-адресу
3️⃣ Поиск по MAC-адресу
4️⃣ Поиск информации через whois
5️⃣ Поиск по имени пользователя
📌 Установка:
💻 Использование:
➖ Поиск по номеру телефона:
➖ Поиск информации с whois:
#OSINT #tools
➡️ Все наши каналы 💬 Все наши чаты ⚡️ Для связи с менеджером
PH0MBER — это платформа OSINT, представляющая собой универсальный инструмент для сбора информации и проведения разведки.
Это может помочь вам собрать информацию (например, номера телефонов, IP-адреса, данные о доменных именах и т. д.) из различных общедоступных источников о целевом объекте.
Утилита похожа на MetaSploit Framework по внешнему виду и управлению. Программа не обладает большим или сложным функционалом и подойдёт даже новичкам.
git clone https://github.com/s41r4j/phomber.git
cd phomber
pip3 install mac-vendor-lookup
python3 phomber.py
phone <NUMBER>
whois <DOMAIN>
#OSINT #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🗿1
Forwarded from Codeby
Unicornscan: Высокоскоростной асинхронный сканер для сетевой разведки
🔘 Ключевые особенности и преимущества
- Отдельные процессы для отправки и прослушивания пакетов позволяют достигать высокой скорости и эффективности
- Поддержка TCP (SYN, ACK, FIN, NULL, XMAS, произвольные флаги), UDP, ICMP, ARP-сканирования и составных режимов
- Встроенная поддержка сигнатур p0f v3 для анализа характеристик TCP/IP стека и определения операционной системы удалённого хоста (более 50 отпечатков)
- Возможность эмулировать поведение TCP/IP стека различных ОС (Linux, Windows, macOS и др.) при отправке пакетов для обхода простых систем обнаружения
- Для UDP-сканирования может отправлять специфичные для служб пакеты (DNS, HTTP, SIP, SSDP), повышая точность обнаружения
➡️ Установка
Проверка
➡️ Базовый TCP SYN-скан
Команда выполнит подробное TCP SYN-сканирование портов с 1 по 1024 на хосте 192.168.1.100 с немедленным выводом в реальном времени, обработкой всех типов ответов (открытые, закрытые, фильтруемые порты) и максимальной детализацией технических параметров сетевых пакетов
➡️ Быстрый порт-сканинг с указанием интерфейса и TTL
Команда выполнит быстрое сканирование всех 65 тысяч портов на всех хостах в сети 10.0.0.0/24, используя сетевой интерфейс eth0, со скоростью 2000 пакетов в секунду и значением TTL 64 для маскировки под стандартный Linux-трафик
➡️ TCP-сканирование с записью трафика для последующего анализа
Команда выполнит нестандартное TCP-сканирование с флагами FIN, PSH и URG (без SYN) портов 22, 80 и 443 на хосте 192.168.1.50, используя случайные исходные порты и сохраняя все полученные ответные пакеты в файл scan_capture.pcap для последующего сетевого анализа
➡️ Ограничения
- Unicornscan создан для быстрого сбора данных (открытые порты, живые хосты, ОС). Он не заменяет полноценные сканеры уязвимостей или сложные скриптовые движки, такие как у Nmap
- Интерпретация вывода, особенно в детальном режиме, требует понимания сетевых протоколов
- Для сканирования интернет-хостов составные режимы с ARP (-mA+...) не работают, так как требуют нахождения в одном широковещательном домене (L2)
#tools #audit #scanner #TCP #UDP #SYN
➡️ Все наши каналы 💬 Все наши чаты ⚡️ Для связи с менеджером
Unicornscan — это асинхронный инструмент для сетевой разведки и аудита безопасности, предназначенный для быстрой доставки сетевых стимулов и записи ответов. Его ключевое отличие от традиционных сканеров (таких как Nmap) — асинхронная, масштабируемая архитектура, позволяющая достигать высокой скорости сканирования (25.000+ пакетов в секунду), что делает его отличным выбором для обследования больших сетей.
- Отдельные процессы для отправки и прослушивания пакетов позволяют достигать высокой скорости и эффективности
- Поддержка TCP (SYN, ACK, FIN, NULL, XMAS, произвольные флаги), UDP, ICMP, ARP-сканирования и составных режимов
- Встроенная поддержка сигнатур p0f v3 для анализа характеристик TCP/IP стека и определения операционной системы удалённого хоста (более 50 отпечатков)
- Возможность эмулировать поведение TCP/IP стека различных ОС (Linux, Windows, macOS и др.) при отправке пакетов для обхода простых систем обнаружения
- Для UDP-сканирования может отправлять специфичные для служб пакеты (DNS, HTTP, SIP, SSDP), повышая точность обнаружения
sudo apt install unicornscan
Проверка
unicornscan -h
sudo unicornscan -mT -p 1-1024 -I -E -vvv 192.168.1.100
Команда выполнит подробное TCP SYN-сканирование портов с 1 по 1024 на хосте 192.168.1.100 с немедленным выводом в реальном времени, обработкой всех типов ответов (открытые, закрытые, фильтруемые порты) и максимальной детализацией технических параметров сетевых пакетов
sudo unicornscan -i eth0 -r 2000 -t 64 -p a 10.0.0.0/24
Команда выполнит быстрое сканирование всех 65 тысяч портов на всех хостах в сети 10.0.0.0/24, используя сетевой интерфейс eth0, со скоростью 2000 пакетов в секунду и значением TTL 64 для маскировки под стандартный Linux-трафик
unicornscan -mTsFPU -s r -w scan_capture.pcap -p 22,80,443 192.168.1.50
Команда выполнит нестандартное TCP-сканирование с флагами FIN, PSH и URG (без SYN) портов 22, 80 и 443 на хосте 192.168.1.50, используя случайные исходные порты и сохраняя все полученные ответные пакеты в файл scan_capture.pcap для последующего сетевого анализа
- Unicornscan создан для быстрого сбора данных (открытые порты, живые хосты, ОС). Он не заменяет полноценные сканеры уязвимостей или сложные скриптовые движки, такие как у Nmap
- Интерпретация вывода, особенно в детальном режиме, требует понимания сетевых протоколов
- Для сканирования интернет-хостов составные режимы с ARP (-mA+...) не работают, так как требуют нахождения в одном широковещательном домене (L2)
#tools #audit #scanner #TCP #UDP #SYN
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
• У bleepingcomputer есть статья, в которой описана интересная фишинговая кампания. В схеме используется символ Unicode «ん» (японский символ хираганы ん (Unicode
U+3093). При беглом взгляде на некоторые шрифты символ очень похож на последовательность латинских букв «/n» или «/~». Это визуальное сходство позволяет мошенникам создавать URL-адреса, которые выглядят как реальные, но перенаправляют пользователей на вредоносный сайт.• По ссылке ниже можно найти пример фишингового письма: адрес в письме выглядит как «admin[.]booking[.]com...», но гиперссылка ведёт на «account.booking.comんdetailんrestric-access.www-account-booking[.]com/en/». На самом деле зарегистрированный домен — «www-account-booking[.]com».
• Если рассматривать именно эту кампанию, то после перехода по ссылке на ПК загружается MSI-файл. Если установить данный файл, то система будет заражена различным вредоносным ПО (троянами, майнерами и т.д.).
• Схема классическая (с подменой символов), но это хороший повод напомнить, что сомнительные ссылки всегда нужно проверять и анализировать. Даже ИБ специалисты совершают ошибки и переходят на фишинговые ресурсы, не говоря уже людях, которые совершенно не знают основ информационной безопасности. Так что используйте специальные сервисы для проверки ссылок, будьте внимательны и не дайте себя обмануть.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from GitHub Community
APKToolGUI — это инструмент для реверс-инжиниринга сторонних закрытых бинарных приложений для Android.
Он может декодировать ресурсы практически до исходного вида и восстанавливать их после внесения некоторых изменений; он позволяет шаг за шагом отлаживать код на языке smali.
Кроме того, он упрощает работу с приложением благодаря структуре файлов, напоминающей проект, и автоматизации некоторых повторяющихся задач, таких как сборка apk и т.д.
🐱 GitHub
Он может декодировать ресурсы практически до исходного вида и восстанавливать их после внесения некоторых изменений; он позволяет шаг за шагом отлаживать код на языке smali.
Кроме того, он упрощает работу с приложением благодаря структуре файлов, напоминающей проект, и автоматизации некоторых повторяющихся задач, таких как сборка apk и т.д.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Soxoj insides (Soxoj)
I made an interactive website to "hack" Telegram spoilers
👉 https://spoiler.soxoj.com/
It has some examples, lets you upload your own screenshots; you can play with dictionaries, adjust region detection, or enter pseudo-Braille by hand.
Ping me if you want a source code!👍
It has some examples, lets you upload your own screenshots; you can play with dictionaries, adjust region detection, or enter pseudo-Braille by hand.
Ping me if you want a source code!
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Open Source
This media is not supported in your browser
VIEW IN TELEGRAM
ExploitDB-Hunter
Это легковесный и простой в использовании инструмент командной строки для поиска и загрузки эксплойтов из Exploit-DB.
Он позволяет быстро находить и загружать эксплойты, облегчая процесс тестирования на проникновение и исследования уязвимостей.
Программа поддерживает различные параметры поиска, включая фильтрацию по платформе, типу уязвимости и другим критериям.
Lang: Python
https://github.com/J0hnTh3Kn1ght/ExploitDB-Hunter
================
👁 News | 👁 Soft | 👁 Gear | 👁 Links
Это легковесный и простой в использовании инструмент командной строки для поиска и загрузки эксплойтов из Exploit-DB.
Он позволяет быстро находить и загружать эксплойты, облегчая процесс тестирования на проникновение и исследования уязвимостей.
Программа поддерживает различные параметры поиска, включая фильтрацию по платформе, типу уязвимости и другим критериям.
Lang: Python
https://github.com/J0hnTh3Kn1ght/ExploitDB-Hunter
================
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Russian OSINT
Список граждан, которые систематически уклоняются от уплаты алиментов. Покажет, есть ли долги на содержание детей или родителей, в каком регионе и на какую сумму.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Open Source
forensix
ForensiX — это инструмент для судебного анализа данных браузера Google Chrome.
Он позволяет монтировать том с данными Chrome в режиме только для чтения, обеспечивая целостность данных, а также выполняет проверку хэшей.
Среди ключевых функций — оценка профиля подозреваемого и его поведения, включая личную информацию, метаданные Chrome, метаданные целевой системы, классификацию URL-адресов истории просмотров с использованием модели машинного обучения, анализ частоты использования учетных данных и активности просмотра по временным периодам.
Дополнительно ForensiX предоставляет информацию о продолжительности посещений, данных автозаполнения, загрузках, закладках, фавиконах, кэше и структуре тома, а также поддерживает совместную базу данных для сохранения потенциальных доказательств, найденных следователями.
Lang: JavaScript
https://github.com/ChmaraX/forensix
================
👁 News | 👁 Soft | 👁 Gear | 👁 Links
ForensiX — это инструмент для судебного анализа данных браузера Google Chrome.
Он позволяет монтировать том с данными Chrome в режиме только для чтения, обеспечивая целостность данных, а также выполняет проверку хэшей.
Среди ключевых функций — оценка профиля подозреваемого и его поведения, включая личную информацию, метаданные Chrome, метаданные целевой системы, классификацию URL-адресов истории просмотров с использованием модели машинного обучения, анализ частоты использования учетных данных и активности просмотра по временным периодам.
Дополнительно ForensiX предоставляет информацию о продолжительности посещений, данных автозаполнения, загрузках, закладках, фавиконах, кэше и структуре тома, а также поддерживает совместную базу данных для сохранения потенциальных доказательств, найденных следователями.
Lang: JavaScript
https://github.com/ChmaraX/forensix
================
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from GitHub Community
StegoScan — это мощный инструмент нового поколения для автоматического обнаружения стеганографии на веб-сайтах, веб-серверах и в локальных каталогах.
Он сочетает в себе распознавание объектов и текста на основе искусственного интеллекта с глубоким анализом файлов.
В отличие от традиционных инструментов для обнаружения стеганографии, которые работают с ограниченным набором типов файлов или требуют ручной обработки, StegoScan предназначен для комплексного автоматического сканирования: парсинга веб-сайтов, анализа встроенных файлов и обнаружения скрытых сообщений в широком спектре форматов, включая PNG, JPG, BIN, PDF, DOCX, WAV и MP3.
🐱 GitHub
Он сочетает в себе распознавание объектов и текста на основе искусственного интеллекта с глубоким анализом файлов.
В отличие от традиционных инструментов для обнаружения стеганографии, которые работают с ограниченным набором типов файлов или требуют ручной обработки, StegoScan предназначен для комплексного автоматического сканирования: парсинга веб-сайтов, анализа встроенных файлов и обнаружения скрытых сообщений в широком спектре форматов, включая PNG, JPG, BIN, PDF, DOCX, WAV и MP3.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Эксплойт
Идеальный сервис для проверки кибербезопасности — в Х завирусился HackerAI.
Это приложение, которое с помощью ИИ помогает находить уязвимости и проблемы безопасности в сайтах, приложениях и коде. Без необходимости быть хакером или айтишником.
Проще говоря: загружаешь проект, код или сайт — сервис автоматически проводит анализ и показывает слабые места и потенциальные риски безопасности.
Что умеет:
— Находит уязвимые места в логике и настройках;
— Объясняет, где проблема и в чём риск;
— Работает как ИИ-ассистент, а не как сложный пентест-софт;
— Есть десктоп-версия и онлайн-доступ.
Полезно для: стартапов, разработчиков, веб-студий, админов, фрилансеров и вообще всех, кто работает с сайтами и сервисами.
Забираем — здесь.
@exploitex
Это приложение, которое с помощью ИИ помогает находить уязвимости и проблемы безопасности в сайтах, приложениях и коде. Без необходимости быть хакером или айтишником.
Проще говоря: загружаешь проект, код или сайт — сервис автоматически проводит анализ и показывает слабые места и потенциальные риски безопасности.
Что умеет:
— Находит уязвимые места в логике и настройках;
— Объясняет, где проблема и в чём риск;
— Работает как ИИ-ассистент, а не как сложный пентест-софт;
— Есть десктоп-версия и онлайн-доступ.
Полезно для: стартапов, разработчиков, веб-студий, админов, фрилансеров и вообще всех, кто работает с сайтами и сервисами.
Забираем — здесь.
@exploitex
Forwarded from C.I.T. Security
Приватности больше НЕТ — нашли короля ПРОБИВА, который автоматизирует сбор данных и помогает прокачаться в социальной инженерии.
GHOST превращает хаотичные данные из OSINT-разведки в интерактивную карту расследования по открытым источникам.
• Тотальный скан: телефоны, почты, адреса, места работы — вытаскивает всё, что когда-либо утекло в сеть.
• Карта связей: строит интерактивный граф знакомств. Кто кому друг, брат или коллега.
• Гео-трекинг: отслеживает перемещения и сигналы устройств в реальном времени.
• Мультицель: можно вести сразу несколько объектов и искать пересечения между ними.
#софт #OSINT
🛜 Крутой VPN | Смс 💣 бомбер | Telegram Stars со скидкой🌟
GHOST превращает хаотичные данные из OSINT-разведки в интерактивную карту расследования по открытым источникам.
• Тотальный скан: телефоны, почты, адреса, места работы — вытаскивает всё, что когда-либо утекло в сеть.
• Карта связей: строит интерактивный граф знакомств. Кто кому друг, брат или коллега.
• Гео-трекинг: отслеживает перемещения и сигналы устройств в реальном времени.
• Мультицель: можно вести сразу несколько объектов и искать пересечения между ними.
Юзаем с умом — GHOST
#софт #OSINT
🛜 Крутой VPN | Смс 💣 бомбер | Telegram Stars со скидкой
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Секреты сисадмина | DevOps, Linux, SRE
Bash-скрипт для выполнения дампа всех баз данных MySQL, используемых на сервере
1. Для запуска скрипта необходимо дать права на исполнение скрипту командой
2. Запустить скрипт, выполнив одну из следующих команд:
3. Дождаться, когда выполниться процесс. Дампы будут сохранены в формате
#СекретыСисадмина
1. Для запуска скрипта необходимо дать права на исполнение скрипту командой
chmod +x dump_all_databases.sh.2. Запустить скрипт, выполнив одну из следующих команд:
./dump_all_databases.sh
sh dump_all_databases.sh
bash dump_all_databases.sh
3. Дождаться, когда выполниться процесс. Дампы будут сохранены в формате
YYYYMMDD.name_db.sql.
#!/usr/bin/env bash
databases=mysql -e "SHOW DATABASES;" | tr -d "| " | grep -v Database
for db in $databases; do
if [[ "$db" != "information_schema" ]] && [[ "$db" != "performance_schema" ]] && [[ "$db" != "mysql" ]] && [[ "$db" != _* ]] ; then
echo "Dumping database: $db"
mysqldump --databases $db > date +%Y%m%d.$db.sql
# gzip $OUTPUT/date +%Y%m%d.$db.sql
fi
done
#СекретыСисадмина
🍓1
Forwarded from Investigation & Forensic TOOLS
This media is not supported in your browser
VIEW IN TELEGRAM
Deep Focus
📚 Раздел: #NETINT
📄 Описание:
Deep Focus асинхронный сетевой сканер, предназначенный для детекции различных сервисов. Он выполняет сканирование распространенных сетевых сервисов и формирует подробный отчет о состоянии аутентификации для каждого обнаруженного сервиса. По сути являясь эдаким персональным "mini Shodan".
Основной функционал:
- Сканирует диапазоны IP-адресов на наличие открытых служб (HTTP, FTP, SSH, VNC, RTSP, RDP).
- Определяет требования к аутентификации для обнаруженных служб.
- Определяет виды сервисов и служб по снятию отпечатков системы
- Экспорт полезной аналитической информации в структурированном формате.
- Управляет системными ресурсами для предотвращения перегрева.
💻 Платформа: macOS / Linux / Win
💳 Стоимость: Бесплатно
📚 Раздел: #NETINT
📄 Описание:
Deep Focus асинхронный сетевой сканер, предназначенный для детекции различных сервисов. Он выполняет сканирование распространенных сетевых сервисов и формирует подробный отчет о состоянии аутентификации для каждого обнаруженного сервиса. По сути являясь эдаким персональным "mini Shodan".
Основной функционал:
- Сканирует диапазоны IP-адресов на наличие открытых служб (HTTP, FTP, SSH, VNC, RTSP, RDP).
- Определяет требования к аутентификации для обнаруженных служб.
- Определяет виды сервисов и служб по снятию отпечатков системы
- Экспорт полезной аналитической информации в структурированном формате.
- Управляет системными ресурсами для предотвращения перегрева.
💻 Платформа: macOS / Linux / Win
💳 Стоимость: Бесплатно
Forwarded from Интернет-Розыск
В мире киберпреступности редко случаются моменты, когда конкуренты сталкиваются лбами на ваших глазах. Но именно это произошло, когда операторы ботнета Kimwolf — деструктивной сети, поразившей более двух миллионов устройств, — решили похвастаться своим «трофеем». Они опубликовали скриншот, утверждая, что получили доступ к панели управления Badbox 2.0 — колоссального ботнета, встроенного в прошивки миллионов дешёвых Android TV-приставок. Это хвастовство стало золотой жилой.
На представленном скриншоте — список авторизованных пользователей админ-панели Badbox 2.0. Среди семи учётных записей выделяется одна — под именем «ABCD». По данным инсайдера, это аккаунт Дорта (Dort), одного из ботмастеров Kimwolf, которому каким-то образом удалось инфильтроваться в систему конкурентов и добавить свой email как легитимного пользователя.
Но главная ценность была не в этом. Ценность была в остальных шести «родных» учётных записях, каждая со своим email на qq.com. Это была отправная точка для классической OSINT-разведки.
Возьмём, к примеру, пользователя «Chen» с адресом 34557257@qq.com. Публичные поиски показывают, что этот email фигурирует как контактный для нескольких пекинских технологических компаний, включая Beijing Hong Dake Wang Science & Technology Co Ltd.
Обратимся к сервису Constella Intelligence, специализирующемуся на анализе утечек. Выяснилось, что для этого адреса когда-то использовался пароль cdh76111. Этот же пароль встречался лишь у двух других аккаунтов: daihaic@gmail.com и cathead@gmail.com.
Здесь начинается самое интересное. Constella обнаружила, что cathead@gmail.com в 2021 году зарегистрировал аккаунт на JD.com (китайский Amazon) на имя 陈代海 (Чэнь Дайхай). Анализ исторических DNS-записей через DomainTools показал, что это же имя и email cathead@astrolink.cn фигурировали в 2008 году при регистрации домена moyix.com.
Найденная в архиве Интернета копия сайта astrolink.cn раскрыла, что это сайт компании Beijing Astrolink Wireless Digital Technology Co. Ltd. — разработчика мобильных приложений. На странице «Контакты» значился сотрудник техотдела — Чэнь Дайхай. Рядом с ним был указан ещё один человек — Чжу Чжиюй (Zhu Zhiyu) с email xavier@astrolink.cn.
И снова совпадение: в панели Badbox 2.0 есть пользователь Mr.Zhu с адресом xavierzhu@qq.com. Constella подтвердила, что на этот адрес зарегистрирован аккаунт JD.com на имя Zhu Zhiyu, использующий уникальный пароль, который также применяется и для xavierzhu@gmail.com. DomainTools, в свою очередь, установил, что xavierzhu@gmail.com был первоначальным регистрантом домена astrolink.cn.
Мы имеем чёткую связь между учётными записями в панели управления ботнетом и конкретными физическими лицами, связанными с технологическим бизнесом.
Самая первая учётная запись в панели — «admin», созданная в ноябре 2020 года, — была привязана к 189308024@qq.com. DomainTools выявил, что этот email использовался при регистрации домена guilincloud[.]cn в 2022 году на имя Huang Guilin (Хуан Гуйлинь).
Constella связала этот email с китайским номером 18681627767. OSINT-платформы (osint.industries, Spycloud) позволили проследить этот номер дальше: он использовался для профиля Microsoft (2014) на имя Guilin Huang и аккаунта в Weibo (2017) с именем пользователя h_guilin.
Трое остальных пользователей из списка также были связаны с реальными людьми в Китае, однако, в отличие от Чэня и Чжу, у них (как и у Хуана) не обнаружилось явной связи с корпоративными структурами Astrolink или других компаний.
Это расследование наглядно демонстрирует силу OSINT-методов и опасность цифровой небрежности. Хвастовство одних преступников подарило нам карту для расследования других. Мы видим, что за колоссальным ботнетом Badbox 2.0, поражающим устройства на аппаратном уровне, могут стоять не абстрактные «хакеры в подвале», а лица, так или иначе связанные с легитимным (на первый взгляд) технологическим бизнесом.
Подпишись на @irozysk
На представленном скриншоте — список авторизованных пользователей админ-панели Badbox 2.0. Среди семи учётных записей выделяется одна — под именем «ABCD». По данным инсайдера, это аккаунт Дорта (Dort), одного из ботмастеров Kimwolf, которому каким-то образом удалось инфильтроваться в систему конкурентов и добавить свой email как легитимного пользователя.
Но главная ценность была не в этом. Ценность была в остальных шести «родных» учётных записях, каждая со своим email на qq.com. Это была отправная точка для классической OSINT-разведки.
Возьмём, к примеру, пользователя «Chen» с адресом 34557257@qq.com. Публичные поиски показывают, что этот email фигурирует как контактный для нескольких пекинских технологических компаний, включая Beijing Hong Dake Wang Science & Technology Co Ltd.
Обратимся к сервису Constella Intelligence, специализирующемуся на анализе утечек. Выяснилось, что для этого адреса когда-то использовался пароль cdh76111. Этот же пароль встречался лишь у двух других аккаунтов: daihaic@gmail.com и cathead@gmail.com.
Здесь начинается самое интересное. Constella обнаружила, что cathead@gmail.com в 2021 году зарегистрировал аккаунт на JD.com (китайский Amazon) на имя 陈代海 (Чэнь Дайхай). Анализ исторических DNS-записей через DomainTools показал, что это же имя и email cathead@astrolink.cn фигурировали в 2008 году при регистрации домена moyix.com.
Найденная в архиве Интернета копия сайта astrolink.cn раскрыла, что это сайт компании Beijing Astrolink Wireless Digital Technology Co. Ltd. — разработчика мобильных приложений. На странице «Контакты» значился сотрудник техотдела — Чэнь Дайхай. Рядом с ним был указан ещё один человек — Чжу Чжиюй (Zhu Zhiyu) с email xavier@astrolink.cn.
И снова совпадение: в панели Badbox 2.0 есть пользователь Mr.Zhu с адресом xavierzhu@qq.com. Constella подтвердила, что на этот адрес зарегистрирован аккаунт JD.com на имя Zhu Zhiyu, использующий уникальный пароль, который также применяется и для xavierzhu@gmail.com. DomainTools, в свою очередь, установил, что xavierzhu@gmail.com был первоначальным регистрантом домена astrolink.cn.
Мы имеем чёткую связь между учётными записями в панели управления ботнетом и конкретными физическими лицами, связанными с технологическим бизнесом.
Самая первая учётная запись в панели — «admin», созданная в ноябре 2020 года, — была привязана к 189308024@qq.com. DomainTools выявил, что этот email использовался при регистрации домена guilincloud[.]cn в 2022 году на имя Huang Guilin (Хуан Гуйлинь).
Constella связала этот email с китайским номером 18681627767. OSINT-платформы (osint.industries, Spycloud) позволили проследить этот номер дальше: он использовался для профиля Microsoft (2014) на имя Guilin Huang и аккаунта в Weibo (2017) с именем пользователя h_guilin.
Трое остальных пользователей из списка также были связаны с реальными людьми в Китае, однако, в отличие от Чэня и Чжу, у них (как и у Хуана) не обнаружилось явной связи с корпоративными структурами Astrolink или других компаний.
Это расследование наглядно демонстрирует силу OSINT-методов и опасность цифровой небрежности. Хвастовство одних преступников подарило нам карту для расследования других. Мы видим, что за колоссальным ботнетом Badbox 2.0, поражающим устройства на аппаратном уровне, могут стоять не абстрактные «хакеры в подвале», а лица, так или иначе связанные с легитимным (на первый взгляд) технологическим бизнесом.
Подпишись на @irozysk