#OSINT #GitHub Разберем еще основные источники данных, которые используются при проведении OSINT-исследований в сервисе GitHub:
├login (Restore Access)
├gitcolombo (User Info)
├socid-extractor (Find ID)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search_social (Find Name)
├search4faces (Find Photo)
├findclone (Find Photo)
├thedatapack (Find Email)
├Zen (Find Email)
├https://api.github.com/users/USERNAME/events/public (Find Email)
├https://gitlab.com/USERNAME.keys (Find SSH-Keys)
├phantombuster (Parser)
├github-chart (User Analytics)
├coderstats (User Analytics)
├canarytokens (Check IP)
└iplogger (Check IP)
@tomhunter | атакующая безопасность
├login (Restore Access)
├gitcolombo (User Info)
├socid-extractor (Find ID)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search_social (Find Name)
├search4faces (Find Photo)
├findclone (Find Photo)
├thedatapack (Find Email)
├Zen (Find Email)
├https://api.github.com/users/USERNAME/events/public (Find Email)
├https://gitlab.com/USERNAME.keys (Find SSH-Keys)
├phantombuster (Parser)
├github-chart (User Analytics)
├coderstats (User Analytics)
├canarytokens (Check IP)
└iplogger (Check IP)
@tomhunter | атакующая безопасность
🔥3❤1
#PENTEST Основные хакерские техники:
1️⃣ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
2️⃣ БРУТ-ФОРС
3️⃣ ИСПОЛЬЗОВАНИЕ УЯЗВИМОСТЕЙ ПЛАГИНОВ
4️⃣ DDOS-АТАКИ
5️⃣ ВНЕДРЕНИЕ КОДА
6️⃣ КРАЖА COOKIE
7️⃣ АТАКИ XSS
8️⃣ DNS-СПУФИНГ
9️⃣ SQL-ИНЪЕКЦИИ
@tomhunter | атакующая безопасность
1️⃣ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
2️⃣ БРУТ-ФОРС
3️⃣ ИСПОЛЬЗОВАНИЕ УЯЗВИМОСТЕЙ ПЛАГИНОВ
4️⃣ DDOS-АТАКИ
5️⃣ ВНЕДРЕНИЕ КОДА
6️⃣ КРАЖА COOKIE
7️⃣ АТАКИ XSS
8️⃣ DNS-СПУФИНГ
9️⃣ SQL-ИНЪЕКЦИИ
@tomhunter | атакующая безопасность
💩14❤5
#OSINT #GOOGLE Сегодня изучим возможность идентификации владельца документов Google. В самом простом варианте достаточно лишь открыть свойства файла и навести курсор на аватарку владельца.
Если же документ у вас представлен в формате редактирования, то работа усложняется. Перейдите в свой Google Drive, откройте вкладку "Доступные мне". Нажмите F12, переведя браузер в режим просмотра кода. Выберите вкладку "Network", ниже "Fetch/XHR". Теперь кликните на исследуемый файл в Google Drive. В коде откройте пункт "v2internal?%24ct=..." и найдите там указание на почту @gmail.com. Постарался проиллюстрировать это на скрине.
Также для идентификации Google Docs можно использовать опенсорсный инструмент https://github.com/Malfrats/xeuledoc
@tomhunter | атакующая безопасность
Если же документ у вас представлен в формате редактирования, то работа усложняется. Перейдите в свой Google Drive, откройте вкладку "Доступные мне". Нажмите F12, переведя браузер в режим просмотра кода. Выберите вкладку "Network", ниже "Fetch/XHR". Теперь кликните на исследуемый файл в Google Drive. В коде откройте пункт "v2internal?%24ct=..." и найдите там указание на почту @gmail.com. Постарался проиллюстрировать это на скрине.
Также для идентификации Google Docs можно использовать опенсорсный инструмент https://github.com/Malfrats/xeuledoc
@tomhunter | атакующая безопасность
❤8🤔1🤮1
#OSINT #BIGDATA Системы позволяющие анализировать большие массивы данных, содержащихся в файлах различных форматов. Пригодится для поиска по разрозненным базам данных, выделения сущностей (телефонов, электронных ящиков, IP-адресов и т.п.) из групп файлов. Весьма полезное приобретение.
├datashare на GitHub
├Архивариус 3000
├dtsearch
├Доктор Ватсон
├docfetcher
├ДСПИ Cros в демо
└astrogrep
@tomhunter | атакующая безопасность
├datashare на GitHub
├Архивариус 3000
├dtsearch
├Доктор Ватсон
├docfetcher
├ДСПИ Cros в демо
└astrogrep
@tomhunter | атакующая безопасность
❤6🔥1🤔1
#news Недавно было опубликовано любопытное исследование приложений для видеозвонков и их функции «Mute».
Результаты неутешительные: пока большая часть пользователей уверена, что их микрофон отключён, буквально все изученные приложения, включая Zoom, Slack и Discord, так или иначе продолжают передавать аудиоданные на сервера. Даже там, где передача ограничена, с помощью машинного обучения в 82% случаев спецам удалось определить, чем именно занят пользователь.
Таким образом, единственным надёжным методом сохранения приватности остаётся физическое отключение микрофона или его входного канала через настройки операционки. А лучше по старинке и самого устройства.
@tomhunter
Результаты неутешительные: пока большая часть пользователей уверена, что их микрофон отключён, буквально все изученные приложения, включая Zoom, Slack и Discord, так или иначе продолжают передавать аудиоданные на сервера. Даже там, где передача ограничена, с помощью машинного обучения в 82% случаев спецам удалось определить, чем именно занят пользователь.
Таким образом, единственным надёжным методом сохранения приватности остаётся физическое отключение микрофона или его входного канала через настройки операционки. А лучше по старинке и самого устройства.
@tomhunter
🔥7
#news #OSINT Google Maps снял гриф секретности с военных и стратегических объектов России. В открытом доступе с высоким разрешением оказались межконтинентальные баллистические ракеты, командные пункты и многие другие объекты. А что есть по Западу из спутников:
├Observer
├USGS Earth Explorer
├Landviewer
├Copernicus Open Access Hub
├Sentinel Hub EO Browser
├Sentinel Hub Playground
├NASA Earthdata Search
├INPE Image Catalog
├NOAA Data Access Viewer
├NASA WorldView
├ALOS
└Bhuvan
@tomhunter | атакующая безопасность
├Observer
├USGS Earth Explorer
├Landviewer
├Copernicus Open Access Hub
├Sentinel Hub EO Browser
├Sentinel Hub Playground
├NASA Earthdata Search
├INPE Image Catalog
├NOAA Data Access Viewer
├NASA WorldView
├ALOS
└Bhuvan
@tomhunter | атакующая безопасность
🔥12🤯2❤1
#news 21 апреля с 09:30 присоединяйтесь к конференции Код ИБ в Санкт-Петербурге, чтобы во время докладов и в кулуарах получить максимум информации для поддержания максимального уровня защищенности вашей компании. Или просто приходите пообщаться со специалистами T.Hunter...
ЗАРЕГИСТРИРОВАТЬСЯ
ЗАРЕГИСТРИРОВАТЬСЯ
❤4
#news Обнаружен новый эксплойт iMessage, используемый для установки шпионского ПО от NSO Group на iPhone. Он использовался в кампании, нацеленной не менее чем на 65 человек в период с 2017 по 2020 год. А сколько их еще будет обнаружено...
@tomhunter | атакующая безопасность
@tomhunter | атакующая безопасность
🔥5🤔2😱1
#news К новостям из серии «С ИБ-днища постучали». Оказывается, при включённых резервных копиях в iCloud в облако сохраняются сид-фразы от горячих криптокошельков. Ага.
Это оказалось верно для кошелька MetaMask, и пользователи, не добавившие его в исключения для яблочного облака, рискуют криптой в случае взлома их аккаунта. Один бедолага так уже лишился $655 тысяч после простенькой фишинговой атаки: пара смс и подставной звонок с просьбой сменить пароль от «скомпрометированного» Apple-аккаунта, и злоумышленники вытащили из его хранилища сид-фразу от кошелька.
Спецы ожидают взрывного роста таких атак на пользователей MetaMask, рекомендуют отключать кошелёк от облака и не распространяться о своих цифровых капиталах. Молчи, скрывайся и таи все крипто-ассеты свои, так сказать. В цифровую эпоху деньги по-прежнему любят тишину.
@tomhunter
Это оказалось верно для кошелька MetaMask, и пользователи, не добавившие его в исключения для яблочного облака, рискуют криптой в случае взлома их аккаунта. Один бедолага так уже лишился $655 тысяч после простенькой фишинговой атаки: пара смс и подставной звонок с просьбой сменить пароль от «скомпрометированного» Apple-аккаунта, и злоумышленники вытащили из его хранилища сид-фразу от кошелька.
Спецы ожидают взрывного роста таких атак на пользователей MetaMask, рекомендуют отключать кошелёк от облака и не распространяться о своих цифровых капиталах. Молчи, скрывайся и таи все крипто-ассеты свои, так сказать. В цифровую эпоху деньги по-прежнему любят тишину.
@tomhunter
🔥14
#news Децентрализованная финансовая платформа Beanstalk сообщила о взломе. Атака через флэш-кредит обошлась компании в $182 миллиона. На фоне этого стоимость их стейблкойна просела с доллара до пяти центов.
Злоумышленник использовал уязвимость в новом протоколе ликвидности и, взяв флэш-кредит, закупил токены управления Stalk на Beanstalk. Владение ими позволило внести изменения в протокол и высосать платформу досуха на свой личный ETH-кошелёк. Токены, использующиеся для голосования на платформе, можно было получить таким флеш-кредитом, и на их силу для голосования это не влияло, что и сделало атаку возможной.
Атаки на DeFi-платформы всё так же в тренде, и будущее Beanstalk довольно туманно. Что занятно, хакер пожертвовал 250 тысяч долларов на криптосчёт Украины. Такой вот, кхм, этичный хакинг.
@tomhunter
Злоумышленник использовал уязвимость в новом протоколе ликвидности и, взяв флэш-кредит, закупил токены управления Stalk на Beanstalk. Владение ими позволило внести изменения в протокол и высосать платформу досуха на свой личный ETH-кошелёк. Токены, использующиеся для голосования на платформе, можно было получить таким флеш-кредитом, и на их силу для голосования это не влияло, что и сделало атаку возможной.
Атаки на DeFi-платформы всё так же в тренде, и будущее Beanstalk довольно туманно. Что занятно, хакер пожертвовал 250 тысяч долларов на криптосчёт Украины. Такой вот, кхм, этичный хакинг.
@tomhunter
😱13💩5🔥3
#news А мы начинаем КодИБ. От T.Hunter в мероприятии участвует Владимир Макаров, главный специалист департамента аудита ИБ. В холле есть наш стенд, будем рады пообщаться.
@tomhunter
@tomhunter
🔥8💩2
Новая статья о нетипичных приемах логирования и идентификации пользователей сети Интернет. Приемы всегда привлекали особе внимание со стороны правоохранительных органов, частных детективов и представителей служб безопасности. Сегодня мы расскажем о них. Приятного чтения!
🔥11💩3
#news Совершив недавнюю рекордную криптокражу, корейцы из Lazarus не собираются останавливаться на достигнутом. Сейчас они ведут рассылку троянцев в фишинговых атаках на работников блокчейн- и крипто-компаний.
Замаскированные под заманчивые предложения о работе письма засылают набитые малварью приложения для торговли криптой, условно обозначаемые как TraderTraitor. В качестве нагрузки у них идут новые варианты Manuscrypt под винду и макось — трояна для удалённого доступа, используемого группировкой для заражения устройств в сети и поиска приватных ключей от криптокошельков.
Видимо, солнцеликому корейскому лидеру пришлись по нраву $620 миллионов с сайдчейна Ronin. И теперь бедолагам из Lazarus предстоит выполнить пятилетку по краже крипты в три года.
@tomhunter
Замаскированные под заманчивые предложения о работе письма засылают набитые малварью приложения для торговли криптой, условно обозначаемые как TraderTraitor. В качестве нагрузки у них идут новые варианты Manuscrypt под винду и макось — трояна для удалённого доступа, используемого группировкой для заражения устройств в сети и поиска приватных ключей от криптокошельков.
Видимо, солнцеликому корейскому лидеру пришлись по нраву $620 миллионов с сайдчейна Ronin. И теперь бедолагам из Lazarus предстоит выполнить пятилетку по краже крипты в три года.
@tomhunter
🔥13
#news ФБР выпустило предупреждение об активности рансомварь-группировки Black Cat. Согласно отчёту, этим хакерам удалось взломать 60 организаций меньше чем за последние полгода.
Группировка, судя по всему, является BlackMatter под новой вывеской, ушедшей в тень, после того как в конце 2021-го в их рансомвари нашли уязвимость и выкатили декриптор. Из примечательного, используемый ими зловред написан на RUST, первый в своём роде. Спецы отмечают высокую адаптируемость приблуды от Black Cat и несколько методов шифрования. Так что, глядишь, в этот раз они не сольются так же быстро, как в прошлый.
ФБР традиционно призывает не выплачивать выкупы злоумышленникам и помочь любителям чертовски хорошего кофе поймать чёрную кошку в тёмном мире киберпреступности.
@tomhunter
Группировка, судя по всему, является BlackMatter под новой вывеской, ушедшей в тень, после того как в конце 2021-го в их рансомвари нашли уязвимость и выкатили декриптор. Из примечательного, используемый ими зловред написан на RUST, первый в своём роде. Спецы отмечают высокую адаптируемость приблуды от Black Cat и несколько методов шифрования. Так что, глядишь, в этот раз они не сольются так же быстро, как в прошлый.
ФБР традиционно призывает не выплачивать выкупы злоумышленникам и помочь любителям чертовски хорошего кофе поймать чёрную кошку в тёмном мире киберпреступности.
@tomhunter
🔥5
#news Возвращение, которого никто не хотел, но многие ждали. Тор-сервера REvil ожили и ведут на новый сайт. И на нём набирают русских хакеров!
Новоявленная площадка предлагает RaaS-услуги и приводит длинный список жертв REvil в качестве гарантий, а в коде обнаруживается немало отсылочек на фишки других группировок. Пока не проведён анализ рансомвари, впрочем, невозможно установить, действительно ли за новой операцией стоят связанные с REvil — или кем-то ещё — люди. Никаких заявлений от них также не было.
Так что пока остаётся лишь спекулировать: либо это и правда возвращение легенды, либо просто шельмецы, паразитирующие на громком имени, либо замануха для кандидатов на роль лычки на погонах майора. Будем следить за развитием событий.
@tomhunter
Новоявленная площадка предлагает RaaS-услуги и приводит длинный список жертв REvil в качестве гарантий, а в коде обнаруживается немало отсылочек на фишки других группировок. Пока не проведён анализ рансомвари, впрочем, невозможно установить, действительно ли за новой операцией стоят связанные с REvil — или кем-то ещё — люди. Никаких заявлений от них также не было.
Так что пока остаётся лишь спекулировать: либо это и правда возвращение легенды, либо просто шельмецы, паразитирующие на громком имени, либо замануха для кандидатов на роль лычки на погонах майора. Будем следить за развитием событий.
@tomhunter
🤔8🔥5
#news Неутешительные новости для пользователей криптобиржи Binance. На Reuters вышла обзорная статья по истории работы биржи в России. А приурочена она к тому, что, судя по всему, Binance решил выдать Росфинмониторингу данные пользователей из России.
В статье утверждается, что представитель биржи Глеб Костарев по требованию Росфина согласился передать данные клиентов вплоть до имён и адресов. Позже он якобы написал партнёру по бизнесу, что ему не оставили выбора.
Между маховиком санкций, раскручиваемых Binance против пользователей из России, и ужесточающимися требованиями законодательства пространства для манёвра у рядового криптомонетчика остаётся всё меньше.
@tomhunter
В статье утверждается, что представитель биржи Глеб Костарев по требованию Росфина согласился передать данные клиентов вплоть до имён и адресов. Позже он якобы написал партнёру по бизнесу, что ему не оставили выбора.
Между маховиком санкций, раскручиваемых Binance против пользователей из России, и ужесточающимися требованиями законодательства пространства для манёвра у рядового криптомонетчика остаётся всё меньше.
@tomhunter
❤6💩2🤯1
T.Hunter
#news Неутешительные новости для пользователей криптобиржи Binance. На Reuters вышла обзорная статья по истории работы биржи в России. А приурочена она к тому, что, судя по всему, Binance решил выдать Росфинмониторингу данные пользователей из России. В статье…
Тем не менее, сам представитель биржи Глеб Костарев сейчас утверждает, что в Reuters наврали. Говорит, никаких данных не сливали ни Росфину, ни ФСБ. Будем следить за развитием событий.
💩18🤯6
#news Брайан Кребс написал лонгрид про Lapsus$. Из любопытного, опубликованы слитые переписки группировки.
В целом, всё выглядит именно так, как можно ожидать от хаотичной группы хакеров-подростков. Их достижения в основном строились на купленных по дешёвке учётных данных и неуклюжей социнженерии. Globant и вовсе был взломан из-за случайно слитого 5 лет назад на их Гитлабе ключа, который так и не сменили.
В статье также упомянуто, что в марте Lapsus$ стянули исходный код нескольких проектов у T-Mobile. И на волне их одержимостью сливом исходников взломали больше компаний, чем хвалились публично. Но что забавно, всё украденное ребятки потеряли, когда ФБР отжало их сервер. И бэкапов у них не было. Ах, ирония.
@tomhunter
В целом, всё выглядит именно так, как можно ожидать от хаотичной группы хакеров-подростков. Их достижения в основном строились на купленных по дешёвке учётных данных и неуклюжей социнженерии. Globant и вовсе был взломан из-за случайно слитого 5 лет назад на их Гитлабе ключа, который так и не сменили.
В статье также упомянуто, что в марте Lapsus$ стянули исходный код нескольких проектов у T-Mobile. И на волне их одержимостью сливом исходников взломали больше компаний, чем хвалились публично. Но что забавно, всё украденное ребятки потеряли, когда ФБР отжало их сервер. И бэкапов у них не было. Ах, ирония.
@tomhunter
🔥12
#news Неугомонные северные корейцы продолжают свои атаки. На этот раз речь об APT37 и их новой малвари.
Приблуду, названную спецами Goldbackdoor, APT37 использует в многоступенчатых фишинговых атаках на журналистов. Цель операции — раскрытие их источников и кража информации, так что вредонос заточен под слив файлов и кейлоггинг.
Интересен используемый метод доставки малвари. Рассылку ведут со взломанного ящика бывшего южнокорейского директора разведки. Архив содержит файл, который открывает документ, интересующий журналиста, а фоном уже исполняет скрипт для скачивания зловреда. Сам файл раздут почти до 300 метров и тянет нагрузку с Microsoft OneDrive, чтобы затруднить анализ и детектирование вредоносного кода. Такая вот северокорейская изобретательность.
@tomhunter
Приблуду, названную спецами Goldbackdoor, APT37 использует в многоступенчатых фишинговых атаках на журналистов. Цель операции — раскрытие их источников и кража информации, так что вредонос заточен под слив файлов и кейлоггинг.
Интересен используемый метод доставки малвари. Рассылку ведут со взломанного ящика бывшего южнокорейского директора разведки. Архив содержит файл, который открывает документ, интересующий журналиста, а фоном уже исполняет скрипт для скачивания зловреда. Сам файл раздут почти до 300 метров и тянет нагрузку с Microsoft OneDrive, чтобы затруднить анализ и детектирование вредоносного кода. Такая вот северокорейская изобретательность.
@tomhunter
❤10🤔3
#news Генпрокурор РФ Краснов предложил признать криптовалюту предметом преступных посягательств. Что бы эта занятная формулировка ни значила.
Как утверждает Краснов, на крипту должны накладываться ограничительные меры — видимо, как на прочие финансовые активы. Можно предположить, речь идёт о том, чтобы разработать правовые основы и меры для контроля криптовалюты, подобные тем, что применяются к банковским счетам определённого круга лиц.
С учётом свежих слухов о работе Binance в России и того, что местный представитель биржи на днях заявил-де «У меня не было правовых отношений с этой структурой, мистером Росфинмониторингом», нетрудно понять, куда дует криптовалютный ветер.
@tomhunter
Как утверждает Краснов, на крипту должны накладываться ограничительные меры — видимо, как на прочие финансовые активы. Можно предположить, речь идёт о том, чтобы разработать правовые основы и меры для контроля криптовалюты, подобные тем, что применяются к банковским счетам определённого круга лиц.
С учётом свежих слухов о работе Binance в России и того, что местный представитель биржи на днях заявил-де «У меня не было правовых отношений с этой структурой, мистером Росфинмониторингом», нетрудно понять, куда дует криптовалютный ветер.
@tomhunter
🤬11🔥1🤔1