#news Вредонос FinFisher (он же FinSpy и Wingbird) теперь может заражать устройства Windows с помощью буткита UEFI, внедряемого в диспетчер загрузки Windows. ПО было разработано Gamma Group и также имеет возможности, часто встречающиеся у шпионских программ. Разработчик заявляет, что он продает FinFisher исключительно правоохранительным органам по всему миру. Однако его следы обнаруживались в ряде хакерских атак.
@tomhunter
@tomhunter
#OSINT #Phone Давайте еще одну тему разберу с вами сегодня - про возможность установления геолокации мобильника по данным GPS, LBS, WiFi или IP. Речь, естественно, идет о тех случаях, когда физического доступа к устройству у меня нет. Существует несколько методов получения подобной информации.
А) посредством направления пользователю геологгера:
├seeker (geologger)
├trape (geologger)
├TrackUrl (geologger)
├Bigbro (geologger)
├r4ven (geologger)
└iplogger (geologger)
В) посредством локализации пользователя по его рекламным идентификаторам:
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)
З.Ы. аналогичная тема, но для электронной почты.
@tomhunter
А) посредством направления пользователю геологгера:
├seeker (geologger)
├trape (geologger)
├TrackUrl (geologger)
├Bigbro (geologger)
├r4ven (geologger)
└iplogger (geologger)
В) посредством локализации пользователя по его рекламным идентификаторам:
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)
З.Ы. аналогичная тема, но для электронной почты.
@tomhunter
🎉3
#news Троян GriftHorse заразил более 10 миллионов устройств Android в 70 странах мира. Вредоносная программа распространялась через 200 с лишним приложений в Google Play и сторонних магазинах приложений. После установки на телефон жертвы эти вредоносные приложения получали доступ к номеру мобильного телефона и использовали его для подписки ничего не подозревающих жертв на премиальные SMS-услуги, которые взимали более 30 евро в месяц с их телефонных счетов.
@tomhunter
@tomhunter
#OSINT #IP Привет всем! Сегодня я хочу обсудить с вами ряд источников, которые использую при проведении OSINT-исследований IP-адреса:
├maxmind (GeoIP)
├sypexgeo (GeoIP)
├ipinfo (GeoIP)
├domaintools (WHOIS)
├virustotal (Virus Check)
├dnsdumpster (DNS)
├ptrarchive (DNS)
├dnslytics (DNS)
├viewdns (DNS)
├intelx (Leaks)
├leakix (Leaks)
├cyberhubarchive (Skype Leaks)
├webresolver (Skype Leaks)
├talosintelligence (IP Quality)
├ipqualityscore (IP Quality)
├fofa (IoT)
├censys (IoT)
├zoomeye (IoT)
├shodan (IoT)
├alienvault (Framework)
├spiderfoot (Framework)
├robtex (Framework)
├@UniversalSearchRobot (Framework)
├threatcrowd (Visualization)
├canarytokens (Logger IP)
├grabify (Logger IP)
├iplogger (Logger IP)
└iknowwhatyoudownload (Torrents)
P.S. Еще небольшая подборка источников для исследования IP. Источники для уточнения геолокации IP.
@tomhunter
├maxmind (GeoIP)
├sypexgeo (GeoIP)
├ipinfo (GeoIP)
├domaintools (WHOIS)
├virustotal (Virus Check)
├dnsdumpster (DNS)
├ptrarchive (DNS)
├dnslytics (DNS)
├viewdns (DNS)
├intelx (Leaks)
├leakix (Leaks)
├cyberhubarchive (Skype Leaks)
├webresolver (Skype Leaks)
├talosintelligence (IP Quality)
├ipqualityscore (IP Quality)
├fofa (IoT)
├censys (IoT)
├zoomeye (IoT)
├shodan (IoT)
├alienvault (Framework)
├spiderfoot (Framework)
├robtex (Framework)
├@UniversalSearchRobot (Framework)
├threatcrowd (Visualization)
├canarytokens (Logger IP)
├grabify (Logger IP)
├iplogger (Logger IP)
└iknowwhatyoudownload (Torrents)
P.S. Еще небольшая подборка источников для исследования IP. Источники для уточнения геолокации IP.
@tomhunter
😱2
#news Исследователи нашли способ совершать мошеннические платежи с помощью Apple Pay с заблокированного iPhone с картой Visa в цифровом кошельке с включенным экспресс-режимом.
Метод сродни цифровой версии карманной кражи. Он работает по воздуху, даже если iPhone находится в сумке или в чьем-то кармане и нет лимита транзакций.
Исследователи смогли имитировать транзакцию с ограничением доступа к билетам, используя устройство Proxmark, действующее как устройство чтения карт, которое обменивается данными с целевым iPhone, и телефон Android с чипом NFC, который обменивается данными с платежным терминалом.
▶️ https://vimeo.com/618441042
@tomhunter
Метод сродни цифровой версии карманной кражи. Он работает по воздуху, даже если iPhone находится в сумке или в чьем-то кармане и нет лимита транзакций.
Исследователи смогли имитировать транзакцию с ограничением доступа к билетам, используя устройство Proxmark, действующее как устройство чтения карт, которое обменивается данными с целевым iPhone, и телефон Android с чипом NFC, который обменивается данными с платежным терминалом.
▶️ https://vimeo.com/618441042
@tomhunter
#news Замечена новая группировка, которая атакует российские топливно-энергетический комплекс и авиационную промышленность. Кроме этих индустрий у нас, среди жертв прочие важные организации в ещё десятке стран.
Главная цель — хищение данных. В основном ChamelGang интересны использованием некой новой малвари, среди которой можно отметить пассивный бэкдор DoorMe. Построен так, что антивирям его поймать сложно, а вот возможности внутри заражённой системы даёт впечатляющие.
Группировку назвали ChamelGang за пристрастие к фишингу: ребята создают клоны сервисов Google, Microsoft, IBM и иже с ними. В том числе, конечно, копируют их сервисы обновлений и поддержки.
@tomhunter
Главная цель — хищение данных. В основном ChamelGang интересны использованием некой новой малвари, среди которой можно отметить пассивный бэкдор DoorMe. Построен так, что антивирям его поймать сложно, а вот возможности внутри заражённой системы даёт впечатляющие.
Группировку назвали ChamelGang за пристрастие к фишингу: ребята создают клоны сервисов Google, Microsoft, IBM и иже с ними. В том числе, конечно, копируют их сервисы обновлений и поддержки.
@tomhunter
#news Принёс киберпанка тебе в вечернюю ленту! Части армии США начали постепенно вручать оружие с RFID-метками.
Многие считают, что с точки зрения безопасности это крайне неоднозначное решение, поскольку такие солдаты становятся уязвимыми для разнообразных кибератак. Самое, например, очевидное: противник сможет отслеживать по этим меткам их положение.
Министерство обороны, военно-морской флот и морская пехота уже отказались от такого оружия как раз из соображений безопасности. Зато у 5 военно-воздушных подразделений и минимум одного флоридского спецназовского отряда такое оружие в арсенале имеется.
Что тут сказать... Любишь риск, да?
@tomhunter
Многие считают, что с точки зрения безопасности это крайне неоднозначное решение, поскольку такие солдаты становятся уязвимыми для разнообразных кибератак. Самое, например, очевидное: противник сможет отслеживать по этим меткам их положение.
Министерство обороны, военно-морской флот и морская пехота уже отказались от такого оружия как раз из соображений безопасности. Зато у 5 военно-воздушных подразделений и минимум одного флоридского спецназовского отряда такое оружие в арсенале имеется.
Что тут сказать... Любишь риск, да?
@tomhunter
#OSINT #Media Раскрою сегодня одну небольшую тему. Речь пойдет о мониторинге упоминаемости в СМИ при помощи бесплатных источников:
├kribrum (Media Monitoring)
├IBM Watson News Explorer (Media Monitoring)
├alerts (Media Monitoring)
├sitesputnik (Media Monitoring)
├yandex_news (Media Monitoring)
└tgstat (Telegram Monitoring)
З.Ы. Подробнее о том, как наладить мониторинг деятельности субъектов бизнеса.
@tomhunter
├kribrum (Media Monitoring)
├IBM Watson News Explorer (Media Monitoring)
├alerts (Media Monitoring)
├sitesputnik (Media Monitoring)
├yandex_news (Media Monitoring)
└tgstat (Telegram Monitoring)
З.Ы. Подробнее о том, как наладить мониторинг деятельности субъектов бизнеса.
@tomhunter
#news Хакерская группа GhostEmperor использует руткит Demodex, который действует как бэкдор для сохранения устойчивости на скомпрометированных серверах. Основная цель этого руткита - скрыть вредоносные артефакты (включая файлы, ключи реестра и сетевой трафик), чтобы избежать обнаружения как судебными следователями, так и продуктами безопасности. Чтобы обойти механизм принудительного применения подписи драйверов Windows, GhostEmperor использует схему загрузки, включающую компонент проекта с открытым исходным кодом под названием« Cheat Engine. Чтобы взломать серверы своих жертв, злоумышленники использовали известные уязвимости в серверном программном обеспечении с выходом в Интернет, включая Apache, Window IIS, Oracle и Microsoft Exchange.
@tomhunter
@tomhunter
#news Злоумышленники замаскировали программу удаленного доступа Sarwent под сервис обнаружения шпионского ПО Pegasus от Amnesty International. Вредоносная программа выглядит и действует как часть законного антивирусного решения, специально созданного для сканирования системы на наличие следов Pegasus и их удаления.
Для распространения вредоноса, преступники используют поддельные сайты Amnesty International:
@tomhunter
Для распространения вредоноса, преступники используют поддельные сайты Amnesty International:
amnestyinternationalantipegasus [.] com
amnestyvspegasus [.] com
antisticksusamnesty [.] com
@tomhunter
#OSINT #Maltego Если кто не знает, у меня есть уютный блог на Хабре. Там я пишу про информационную безопасность, пентесты, а еще выкладываю практические уроки для пользователей Maltego:
1. Что такое Maltego и зачем оно вообще нужно
2. Интерфейс и базовое устройство
3. Maltego и OSINT в Facebook
4. Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях
5. Применение системы распознавания лиц для OSINT в Maltego
6. Поиск информации с применением геолокации
7. DarkNet matter
8. Maltego для бедных или какие есть бесплатные дополнения к ней
P.S. Дополнение от НЦБ Интерпол. Различные API для подключения к Maltego. Обучающие видеоролики.
@tomhunter
1. Что такое Maltego и зачем оно вообще нужно
2. Интерфейс и базовое устройство
3. Maltego и OSINT в Facebook
4. Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях
5. Применение системы распознавания лиц для OSINT в Maltego
6. Поиск информации с применением геолокации
7. DarkNet matter
8. Maltego для бедных или какие есть бесплатные дополнения к ней
P.S. Дополнение от НЦБ Интерпол. Различные API для подключения к Maltego. Обучающие видеоролики.
@tomhunter
❤1
#news Google объявила, что Chrome переедет на Manifest V3. Расширения, написанные под предыдущей версией фреймворка, перестанут работать с января 2023 года — получается, через год с небольшим. Отправлять новые расширения для второй версии нельзя уже с января 2022.
Почему это важно? Потому что среди этих расширений и блокировщики рекламы, которые под третьим Манифестом работать не смогут. Разработчики блокировщиков, например автор uBlock Origin, опасаются, что новый фреймворк не позволит организовать и простейшие фильтры. В какой-то степени блокировщики работать смогут, но, судя по всему, будут лишь жалким подобием нынешних версий. Mozilla при этом заявила, что Firefox тоже перейдёт на Manifest V3, но частично: не перенесёт то, что ломает работу блокировщиков.
@tomhunter
Почему это важно? Потому что среди этих расширений и блокировщики рекламы, которые под третьим Манифестом работать не смогут. Разработчики блокировщиков, например автор uBlock Origin, опасаются, что новый фреймворк не позволит организовать и простейшие фильтры. В какой-то степени блокировщики работать смогут, но, судя по всему, будут лишь жалким подобием нынешних версий. Mozilla при этом заявила, что Firefox тоже перейдёт на Manifest V3, но частично: не перенесёт то, что ломает работу блокировщиков.
@tomhunter
#news Криптобиржа Coinbase уведомила 6000 пользователей о том, что их аккаунты оказались взломаны из-за уязвимости в системе двухфакторки. Пострадавших не так много (на фоне 68 миллионов пользователей биржи), потому что для взлома хакеру нужно было знать адрес почты жертвы, её номер телефона и пароль, плюс иметь доступ к почтовому ящику. Судя по всему, эти данные взломщики получили через фишинг или какую-нибудь очередную малварь, ворующую пароли с устройства.
По-хорошему, тут должна была сработать защита — украсть деньги всё равно бы не вышло без кода из смски. Но в системе был баг, позволивший хакерам получить нужный для доступа к аккаунту токен двухфакторки. Биржа компенсировала пострадавшим все утраченные средства за свой счёт, но перед этим злоумышленники успели посмотреть на все персональные данные своих жертв, от полных имён и домашних адресов до IP и истории транзакций.
@tomhunter
По-хорошему, тут должна была сработать защита — украсть деньги всё равно бы не вышло без кода из смски. Но в системе был баг, позволивший хакерам получить нужный для доступа к аккаунту токен двухфакторки. Биржа компенсировала пострадавшим все утраченные средства за свой счёт, но перед этим злоумышленники успели посмотреть на все персональные данные своих жертв, от полных имён и домашних адресов до IP и истории транзакций.
@tomhunter
#news Федеральная комиссия по связи США на этой неделе объявила, что приступила к разработке правил, которые остановят незаконный перевыпуск SIM-карт. Напомним, что перевыпуск SIM-карты позволяет злоумышленнику получить доступ к большинству онлайн-сервисов жертвы, использующих номер мобильного телефона в качестве средства двухфакторной идентификации.
Мер, в принципе, может быть две. Во-первых, запрет совершения действий с SIM-картой по доверенности. Т.е. без личного присутствия владельца этой SIM-карты. Во-вторых, введение кодового слова для совершения регистрационных действий. Аналогично тому, как кодовое слово используется для подтверждения личности клиента банка.
@tomhunter
Мер, в принципе, может быть две. Во-первых, запрет совершения действий с SIM-картой по доверенности. Т.е. без личного присутствия владельца этой SIM-карты. Во-вторых, введение кодового слова для совершения регистрационных действий. Аналогично тому, как кодовое слово используется для подтверждения личности клиента банка.
@tomhunter
#news Желание стать хакером выразила пятая часть участников опроса ESET, проведенного среди российских пользователей в сентябре 2021 года. Больше всего в этой роли хотят попробовать себя молодые люди в возрасте от 18 до 24 лет, в т.ч. 23% мужчин и 16% женщин. По мнению 47% россиян, хакеры могут приносить пользу обществу, быть хорошими и честными, но 53% не согласны - по их мнению, хакеры - обманщики и мошенники.
@tomhunter
@tomhunter
#news С бодрым началом трудовой недели! Твой любимый канал про Apple и криптофейлы снова на связи. Сегодня в программе у нас полная анонимность и независимость от государственных институтов, но со звёздочкой. На днях платформа Compound в результате ошибки в смарт-контракте раздала пользователям своих токенов на $90 миллионов. Невольным получателям предложили замечательный выбор: или они возвращают деньги, оставив себе 10% на булавки, или владельцы платформы репортят это в налоговую как доход и попутно сливают им персональные данные получателей.
Сами по себе полученные из-за этого бага токены на балансе не отобразятся, нужно нажать на кнопочку. Судя по всему, увещевания вышли не очень убедительными: кто-то уже успел забрать себе на адрес $29 миллионов.
@tomhunter
Сами по себе полученные из-за этого бага токены на балансе не отобразятся, нужно нажать на кнопочку. Судя по всему, увещевания вышли не очень убедительными: кто-то уже успел забрать себе на адрес $29 миллионов.
@tomhunter
#news Как выяснилось в опубликованном сегодня исследовании от Intezer, множество популярных платформ пользуются неудачно настроенными Apache Airflow. Грозит это многими неприятностями — в первую очередь, конечно, сливами данных. Потенциальные цели для таких атак оч-чень внушительные.
В статье по ссылке выше можно почитать о самых распространённых уязвимостях и о том, как закрыть всевозможные дыры в своих Airflow. Начать стоит хотя бы с обновления.
@tomhunter
В статье по ссылке выше можно почитать о самых распространённых уязвимостях и о том, как закрыть всевозможные дыры в своих Airflow. Начать стоит хотя бы с обновления.
@tomhunter
#news Вчера вечером Фейсбук, Инстаграм и Вотсап лежали около 6 часов. Думаю, почти все заметили. Причиной тому стало свежее косячное обновление на маршрутизатор, которое уронило DNS всех фейсбучных серверов. Пока всё это дело лежало, недовольные пользователи грузили и без того уроненную инфраструктуру кучей запросов. Почему кучей — потому что когда в ответ на запрос приходит ошибка, все сердито пробуют ещё раз и ещё. Касается как людей, так и всяких сервисных ботов, разве что последние это делают быстрее и немного агрессивнее.
Как бонус, внутри компании поднялся хаос: поскольку внутри всё донельзя продвинутое, модное и IoTное, сотрудники даже в офис и в переговорки внутри офиса не могли попасть — пропуска не работали. Удалённый доступ к серверам тоже упал, поэтому могущим исправить ситуацию сотрудникам приходилось с горем пополам пробираться в офис и добираться до лежащей инфраструктуры руками.
Подробности хорошо разобрали в своём блоге Cloudflare.
@tomhunter
Как бонус, внутри компании поднялся хаос: поскольку внутри всё донельзя продвинутое, модное и IoTное, сотрудники даже в офис и в переговорки внутри офиса не могли попасть — пропуска не работали. Удалённый доступ к серверам тоже упал, поэтому могущим исправить ситуацию сотрудникам приходилось с горем пополам пробираться в офис и добираться до лежащей инфраструктуры руками.
Подробности хорошо разобрали в своём блоге Cloudflare.
@tomhunter
#news Только вот написал вчера про Apache Airflow, а сегодня выяснилось кое-что похуже: в свежей Apache HTTP server есть активно эксплуатируемая критическая уязвимость, создающая риск атаки обратного пути.
Патч уже есть, советую обновиться прямо сейчас.
Уязвимость касается фикса нормализации путей, сделанного в недавно вышедшей версии 2.4.49. Атаки с «../» ловятся, а вот с %2E и %2e (закодированная точка) — уже нет. Новый фикс как раз это и закрывает.
Уязвимость затрагивает только сервера на v.2.4.49. Ещё нужно, чтобы в контроле доступа не было require all denied — увы, кажется, это стандартная конфигурация.
@tomhunter
Патч уже есть, советую обновиться прямо сейчас.
Уязвимость касается фикса нормализации путей, сделанного в недавно вышедшей версии 2.4.49. Атаки с «../» ловятся, а вот с %2E и %2e (закодированная точка) — уже нет. Новый фикс как раз это и закрывает.
Уязвимость затрагивает только сервера на v.2.4.49. Ещё нужно, чтобы в контроле доступа не было require all denied — увы, кажется, это стандартная конфигурация.
@tomhunter
#news Сегодня день работы над ошибками какой-то. Вслед за Apache, Google выпустила октябрьские обновления безопасности Android, в которых устранена 41 уязвимость. Их степень серьезности варьируются от высокой до критической. Из критических уязвимостей, обновление закроет следующие: CVE-2021-0870, CVE-2020-11264 и CVE-2020-11301.
@tomhunter
@tomhunter
#news Правительство США продолжает требовать у Google передавать ему данные пользователей, ищущих «определённые ключевые слова», которые могут помочь следствию по различным делам.
В 2019 в Висконсине пропала девочка. Через какое-то время нашлась и сообщила, что её похитили и насиловали. В попытках найти виновных правительство отправило в Google запрос: просили информацию обо всех, кто в течение определённых 16 дней в том году искал имя-фамилию жертвы или её матери, а также её адрес. В середине 2020 компания на запрос ответила, предоставив нужные данные. Документы умалчивают о том, данные скольких пользователей они в итоге передали.
Подобные дела по «ключевым словам», конечно, тщательно скрывают, поэтому на публике они оказываются единично. Выглядят, мягко говоря, тревожно. В сущности, правительство получает некий гугл-аккаунт — у многих с реальными данными — и «доказательство» того, что тот может быть связан с неким преступлением.
А картинка случайная.
@tomhunter
В 2019 в Висконсине пропала девочка. Через какое-то время нашлась и сообщила, что её похитили и насиловали. В попытках найти виновных правительство отправило в Google запрос: просили информацию обо всех, кто в течение определённых 16 дней в том году искал имя-фамилию жертвы или её матери, а также её адрес. В середине 2020 компания на запрос ответила, предоставив нужные данные. Документы умалчивают о том, данные скольких пользователей они в итоге передали.
Подобные дела по «ключевым словам», конечно, тщательно скрывают, поэтому на публике они оказываются единично. Выглядят, мягко говоря, тревожно. В сущности, правительство получает некий гугл-аккаунт — у многих с реальными данными — и «доказательство» того, что тот может быть связан с неким преступлением.
А картинка случайная.
@tomhunter