🐱 Bellingcat. Теория и практика для OSINT энтузиастов.

• Данный материал написан в соавторстве с @mycroftintel

• OSINT познается в бою, поэтому учиться надо у лучших. Сейчас объективно одной из лучших организаций, которая практикует разведку по открытым источникам является Bellingcat. К ним можно относиться по-разному с идеологической точки зрения, но одно, и тем не менее главное, представляется верным. У них сейчас одна из лучших практик по OSINT. Точка.

• Изначально они специализировались на геолокации. По размытым фото со спутника они чуть ли все звездочки на погонах военного могли пересчитать. Но самое главное у них есть целые статьи-пособия, как проводить деанонимизацию места по видеозаписи. Тут вам и анализ длины теней, позиции солнца и много других нюансов. Кстати, у них есть и куча других туториалов: например, как вкатиться в OSINT, как проверять контент из социальных сетей и прочие любопытные и полезные штуки.

• Еще эти ребята очень изобретательные. Ну кто бы придумал еще, что OSINT можно проводить с помощью Microsoft Flight Simulator!? Да, только они. И вполне успешно, кстати. Если вы хотите интересных кейсов – посмотрите, как по одному видео они задеанонили одного из самых разыскиваемых преступников Голландии. И все это на русском языке. Естественно, на английском материалов больше. Так что, если владеете – вы в преимуществе.

• Но самое главное, их инструменты. Они лежат в открытом доступе. Все, что вам нужно знать про геолокацию, распознавание по фото, определению фейков и многим другим насущным вопросам, эти ребята сложили в единую Гугл-таблицу и открыли ее для бесплатного пользования. Аттракцион невиданный щедрости! Налетай, пока не разобрали!

• Учитывайте, что материал по ссылкам выше доступен только через VPN! Дополнительная информация доступна в группе @mycroftintel

S.E. ▪️ infosec.work ▪️ VT

🔎 90+ дашбордов для OSINT.

• Наблюдение за тем, какие изменения происходят на планете в масштабах стран и континентов — настоящий источник вдохновения для OSINT-аналитиков. В этой статье собрана отличная подборка ресурсов и инструментов, которые на практике используют авторы данного материала. Подборка весьма колоритная, с кратким описанием каждого инструмента и разделением на категории:

• Мониторинг киберугроз;
• Интернет-инфраструктура, протоколы и сервисы;
• Отслеживание транспорта;
- Авиа;
- Морской транспорт;
- Наземный транспорт;
• Космос;
• Погода;
• Экология, природа и сельское хозяйство;
• Стихийные бедствия;
• Криминал, социальные риски и всевозможные плохие новости;
• Карты теней для геолокации фото и видео.

• P.S. Если ищете материал по OSINT, то обратите внимание на нашу подборку: @Social_engineering/3202

S.E. ▪️ infosec.work ▪️ VT

📶 Компьютерные сети 2024. Бесплатный курс.

• Совсем недавно Андрей Созыкин анонсировал обновление своих бесплатных курсов по компьютерным сетям, где будет изменен подход к обучению и появится много новых тем, которые актуальны в 2024 году.

• Лично я считаю, что эти курсы являются лучшими по компьютерным сетям на данный момент, если брать в расчет курсы в открытом доступе. Всё доступно, понятно и бесплатно. Вот часть новых уроков, которые успели выйти с момента анонса:

- Введение в курс;
- Организация компьютерных сетей;
- Терминология сетей;
- Модель ISO OSI;
- Модель и стек TCP/IP;
- Обзор прикладного уровня модели TCP/IP;
- Стандартизация сетей;
- Организация сетей TCP/IP;
- Анализатор сети Wireshark.

• В качестве дополнительного материала хочу поделиться с Вами ссылками на ранее опубликованные курсы автора:

- Курс по компьютерным сетям начального уровня;
- Практики по компьютерным сетям;
- Компьютерные сети. Продвинутые темы;
- Защищенные сетевые протоколы.

• P.S. Не забывайте по наш репозиторий, в котором собраны актуальные и полезные источники для изучения компьютерных сетей. Если Вы давно хотели приступить к изучению, то сейчас самое время: https://github.com/SE-adm/Awesome-network

S.E. ▪️ infosec.work ▪️ VT

🔎 Руководство по созданию ВМ для OSINT специалиста.

• Поделюсь с Вами пошаговым руководством, в котором описан процесс создания полноценной виртуальной машины для #OSINT специалиста. Стоит обратить внимание, что акцент сделан именно на безопасность при проведении расследований, а не как обычно, когда ВМ включает в себя миллион инструментов и на этом все заканчивается.

• Для начала ознакомимся с базовой информацией, которая послужит основой перед изучением руководства:

- INTRODUCTION;
- Protecting People;
- Technical Environment Issues;
- Host Operating System;
- Important Considerations About the Operating System;
- Initial System Setup;
- Creating a Bootable USB Drive;
- Reflection About Disks.

• После изучения информации по ссылкам выше, уже можно приступать к руководству по созданию ВМ:

- Initial Preparation After Debian Installation;
- Tor Browser Installation and Configuration;
- Virtual Machine Installation;
- Installation of Additional Applications;
- Morphing Installation/Procedure (Linux Hardening);
- Firewall Installation and Configuration;
- Tor Service and Rotating Proxy Configuration;
- Password Manager;
- NOTE ON TECHNICAL ISSUES;
- Sources.

➡️ Дополнительная информация доступна в нашей подборке: https://www.tg-me.com/Social Engineering/com.Social_engineering/3202

S.E. ▪️ infosec.work ▪️ VT

👁 Прокачай свой NMAP!

• Nmap — эталон среди сканеров портов и один из важнейших инструментов пентестера. В первую очередь используется для сканирования портов, но, кроме этого, имеет огромную массу полезных функций, что, по сути, делает Nmap супер-комбайном для исследования сетей.

• В Nmap есть поддержка скриптов для сканирования (NSE — Nmap Scripting Engine). С использованием скриптов мы можем автоматизировать свою работу и сократить время на выполнение определенных задач. Согласитесь, ведь удобнее же «нажать одну кнопку» и получить результат, чем постоянно проделывать одну и ту же последовательность действий, верно?

• Первая статья освещает базовую информацию о том, как работать со скриптами в Nmap: https://www.stationx.net/nmap-scripting-engine/

• Вторая статья от журнала ][акер, которая поможет не только разобраться с основами, но еще и даст необходимую информацию по написанию собственных скриптов. Содержание следующее:

- Постановка задачи;
- Структура NSE-скрипта;
- Описание скрипта (description);
- Категории, в которых находится скрипт (categories);
- Информация об авторе (author);
- Информация об использующейся лицензии (license);
- Зависимости от других скриптов (dependencies);
- Хост и порт (host & port);
- Подключение библиотек;
- Инструкции скрипта (action);
- Настройка PostgreSQL;
- Запуск скрипта;
- Аргументы;
- Расширение;
- Отладка скриптов.

• После прочтения материала по ссылкам выше, обязательно обратите внимание на все доступные сценарии NSE, которые разбиты на 14 категорий:

- auth;
- broadcast;
- brute;
- default;
- discovery;
- dos;
- exploit;
- external;
- fuzzer;
- intrusive;
- malware;
- safe;
- version;
- vuln.

➡️ https://www.infosecmatter.com/ultimate-list-of-nmap-nse-scripts-interactive-table/

• Дополнительная информация: #nmap

S.E. ▪️ infosec.work ▪️ VT

👨‍💻 Анализ безопасности Wi-Fi.

• Подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3: какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации.

• Все эксперименты проводились на ноутбуке с #Kali Linux, при помощи адаптера TP-Link Archer T3U Plus, беспроводного роутера Keenetic-8990 и смартфона в качестве клиента.

• Содержание:

- Краткий экскурс в историю;
- Разбор атак на WPA2-PSK;
- Разбор атак на WPA2-Enterprise;
- Разбор атак на WPA3;
- Стратегии защиты;
- Полезные источники (книги, статьи, презентации).

➡ Читать статью [13 min].

• Дополнительно:

- Пентест Wi-Fi: полезный чек-лист, который содержит актуальные советы и хитрости на тему пентеста Wi-Fi сетей.
- Инструменты для пентеста Wi-Fi: продолжение поста выше, статья включает в себя максимально полный список инструментов для анализа защищенности Wi-Fi.
- MindMap WiFi Hacking: самая объемная и актуальная MindMap по анализу защищенности Wi-Fi на сегодняшний день.
- Useful Wireless Links: учебные пособия, справочники, калькуляторы, софт, гаджеты и многое другое.

S.E. ▪️ infosec.work ▪️ VT

👾 Заражение с помощью стеганографии.

• Эксперты Positive Technologies опубликовали очень объемный отчет, в котором описан уникальный метод сокрытия вредоносов использующийся одной из хакерских группировок.

• Было выявлено большое количество атак по всему миру с использованием широко известного ПО, среди которого: Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT. Хакеры строили длинные цепочки кибернападений и использовали взломанные легитимные FTP-серверы в качестве С2-серверов, а также SMTP-серверы как С2 и сервисы для фишинга.

• Хакеры активно применяли технику стеганографии: зашивали в картинки и текстовые материалы файлы полезной нагрузки в виде RTF-документов, VBS и PowerShell-скриптов со встроенным эксплойтом.

• В полной версии отчета Вы найдете описание техник группировки по матрице MITRE ATT&CK, индикаторы компрометации и разбор различных цепочек атак с разными семействами ВПО. Содержание отчета следующее:

- Жертвы;
- Начало исследования;
- Другие цепочки заражения;
- 1.1 Атака с применением Agent Tesla: основной сценарий с использованием XLS-документа и техники стеганографии;
- 1.2 Атака с применением Agent Tesla: другой сценарий с использованием DOCX-документа;
- 1.3 Атака с использованием Remсos;
- 1.4 Атака с использованием XWorm;
- 1.5 Атака с использованием LokiBot;
- 1.6 Атака с использованием GuLoader и FormBook;
- 1.7 Атака с использованием Snake Keylogger;
- 1.8 Другие примеры атак;
- Использование группой легитимных FTP- и SMTP- серверов;
- Атрибуция;
- Тактики и техники по матрице MITRE ATT&CK;
- Заключение.

S.E. ▪️ infosec.work ▪️ VT

🦠 Michelangelo.

• Michelangelo — первое вредоносное ПО, которое получило широкую огласку в новостных СМИ. Одним из первых его заметил владелец компьютерного магазина в австралийском Мельбурне. После установки нескольких программ на мониторе появилось большое количество странных символов. Дальнейшее расследование показало, что он невольно загрузил вирус в систему. 6 марта 1992 года вирус активировался, перезаписав данные на жёстком диске компьютеров, которые были заражены.

• Исследователи выяснили, что Michelangelo заражал загрузочные сектора гибких дискет и жёстких дисков. Интересно, что весь год DOS-вирус вёл себя пассивно, вредя людям только 6 марта. Если компьютер в этот день был выключен, с ним ничего не происходило. Каждый год в этот день при загрузке инфицированной системы «Микеланджело» записывал произвольные данные в случайном порядке на диск и тем самым выводил компьютер из строя. Поскольку 6 марта — день рождения великого художника эпохи Возрождения Микеланджело, вирус был назван в его честь. Другие его названия: Stoned.March6.a и Stoned.Michelangelo

• Никто так и не узнал, кто написал вирус. Предполагается, что он появился где-то на Тайване, но убедительных доказательств этому так и не было. Выяснилось, что Michelangelo уничтожает загрузочные сектора дисков, что, в свою очередь, приводит к уничтожению данных на дискетах и жёстком диске компьютера.

• До «дня X» Michelangelo поразил 1300 компьютеров в ФРГ, но эксперты считают, что реальное число в 10 раз больше. Никто не знает, сколько ПК пострадало во всем мире. 6 марта 1992 г. утренние новости в Германии сообщили о первых инцидентах с вирусом в Уругвае. Системное время на некоторых военных компьютерах было установлено неправильно, поэтому полезная нагрузка Микеланджело сработала преждевременно. Также известно, что вирус вызвал потерю данных примерно на 1500 компьютерах в Германии. Сообщается, что в Великобритании пострадали 117 ПК. В Соединённых Штатах, где истерия была самой большой, зафиксировано около 7000 жалоб. McAfee сообщила о почти 10 000. В Южной Африке обнаружили около 1000 заражённых компьютеров в аптеках, который получали прейскуранты в электронном виде. Оптовик как обычно отправил им дискеты, которые оказались заражены вирусом.

• В целом, панические настроения не оправдались, всё прошло относительно спокойно. Symantec AntiVirus Research Center утверждает, что после 6 марта 1992 года известно всего о двух случаях заражения компьютеров Michelangelo. По другим данным, в Германии зафиксировали 50 инцидентов с вирусом в 1993 году и менее 20 — в 1994 году.

• «Микеланджело» не был первым компьютерным вирусом. Но стал первым, кто заставил широкую общественность узнать о хаосе, который могут вызвать вредоносные программы. Это событие стало мощным толчком к зарождению полноценной антивирусной индустрии. Например, компания McAfee привлекла инвестиции в размере 42 млн долларов, а владельцы компьютеров по всему миру бросились скупать антивирусные продукты McAfee.

• P.S. Возможно, вы заметили, что в фильме "Хакеры" 1995 фигурирует вирус "Да Винчи" — название явно было отсылкой к Michelangelo.

S.E. ▪️ infosec.work ▪️ VT

🔎Основы форензики.

• Данный материал написан в соавторстве с @mycroftintel

• Если вы сидите на Винде – мы идем к вам. Почему – да потому что на Винде удобнее всего собирать криминалистическую информацию, иначе говоря, проводить форензику. Все почему? Правильно. Windows сам содействует активному сбору такой информации.

• Первое и самое главное, на что надо обратить внимание – это отключение журнала событий. Win+R, затем вводите eventvwr.msc и вы в святая святых. В этих журналах хранится вся активность системы. Какие программы работали и в какое время, какие устанавливались, например. И многое другое. Для специалиста вся ваша активность за неопределенный период времени как на ладони. Так дела не делаются. Нужно с этим что-то придумывать.

• А все уже придумано до нас. Win+R, вводим services.msc и находим в списке Журнал событий Windows. Далее – двойной клик, тип запуска – отключена. Вуаля. Никаких тебе больше журналов. Так что следов от вашей операционной деятельности стало меньше. Но на самом деле, до этого лучше не доводить. Шифруйте вашу систему, чтобы никто в нее даже не смог залезть.

• Но если вдруг вы выключать журнал не хотите, то настоятельно рекомендуется чистить его каждый раз перед выходом. Для этого запускаем терминал от имени Администратора (правая кнопка на значке Windows), затем пишем Get-EventLog -LogName * и получаем список логов. Далее пишем Clear-EventLog и после этого название лога. Теперь все чисто, можно выключаться.

• И это только первый шаг в обеспечении антифорензики на вашем компьютере. Новые подробности – на канале Mycroft Intelligence и в будущих статьях!

S.E. ▪️ infosec.work ▪️ VT

😟 Собираем USB Rubber Ducky своими руками.

• Любой компьютер имеет огромную уязвимость — порты, к которым можно подключать устройства ввода. Это открывает пространство для атак типа BadUSB. Обычно это девайс, похожий на флешку, который имитирует клавиатуру и тайком вводит команды скрипта.

• В этой статье мы разберемся, как сво­ими руками соб­рать USB Rubber Ducky с минимальными денежными затратами:

➡ Читать статью [6 min].

• P.S. Обратите внимание, что в качестве программного обеспечения будет взят уже готовый проект, который опубликован на GitHub и имеет множество плюшек: https://github.com/krakrukra/PocketAdmin/blob/master/extra/wiki/rus/README.md

• Дополнительный материал:

- Практические атаки на интерфейс USB.
- Социальная инженерия и BadUSB.
- Используем BadUSB по-взрослому, вместе с Kali NetHunter.
- O•MG keylogger cable.
- USB Ninja Professional.
- HID-атаки. Выбираем бюджетную плату.
- HID-Атаки. Программируем хакерский девайс.
- Социальная Инженерия. BadUSB и атаки на организации.

S.E. ▪️ infosec.work ▪️ VT

😟 Шпаргалки OSINT специалиста.

• Хочу поделиться с Вами очень полезным репозиторием от @cybdetective, который включает в себя большое количество шпаргалок для #OSINT специалистов и энтузиастов. Данный материал поможет сократить время при выполнении определенных задач, узнать много нового и прокачать свои навыки. На данный момент доступен следующий материал:

- Netlas CookBook;
- Company website info gathering;
- Mini GEOINT;
- Username OSINT;
- Email OSINT;
- First name/Last name OSINT;
- Reverse Face Search;
- Investigating the target website files;
- Image OSINT;
- Telegram OSINT;
- Crypto OSINT;
- Wayback Machine;
- Awesome Hackers Search Engines;
- Python for OSINT;
- Linux for OSINT;
- Free AI Image tools;
- Nuclei 10 main flags.

➡ Дополнительная информация доступна в нашей подборке: https://www.tg-me.com/Social Engineering/com.Social_engineering/3202

S.E. ▪️ infosec.work ▪️ VT

☝️ Доверяй но проверяй: cкам в Telegram.

• Продолжаю делиться с Вами актуальными методами мошенничества в Telegram. На этот раз расскажу о стандартной теме, которая актуальна и используется уже много лет для обмана админов и угона каналов.

• Как известно, всё покупается и всё продается. Telegram каналы не являются исключением. Есть десятки бирж, где администраторы публикуют информацию о продаже своих каналов, а потенциальные покупатели связываются с ними и договариваются о сделке. Но как провести сделку максимально безопасно? Верно - использовать проверенного и надежного гаранта.

• Вот только сделку с администратором стараются провести через фейк гаранта, а не настоящего. Как это происходит? Методов очень много: от создания профиля с юзернеймом, который полностью идентичен настоящему гаранту, до развития скам-бирж с накрученными отзывами, лайками, фейковыми объявлениями и т.д.

• Итог всем ясен. Если жертва (администратор) ведется на такую сделку, то он передает свой канал скамерам и теряет его. А дальше уже два основных варианта развития событий: либо жертве предлагают выкупить канал обратно за определенную сумму, либо продают другим админам. Если канал крупный, то жертва теряет сотни тысяч рублей, если не миллионы. Из свежих случаев есть вот такой пример: https://www.tg-me.com/idoras/2779

• В чем суть поста? Дело в том, что любую информацию, особенно та, которая касается Ваших денег, необходимо тщательно проверять. И не надо думать, что если схема примитивная до невозможности, то Вы на нее никогда не попадетесь. Поверьте, стандартными способами обманывают даже безопасников и ИТ специалистов (как тут, например) и такие случаи происходят очень часто...

• О других актуальных методах угона Telegram, ты можешь прочитать по ссылкам ниже:

- https://www.tg-me.com/Social Engineering/com.Social_engineering/2759
- https://www.tg-me.com/Social Engineering/com.Social_engineering/2649
- https://www.tg-me.com/Social Engineering/com.Social_engineering/2581
- https://www.tg-me.com/Social Engineering/com.Social_engineering/2330
- https://www.tg-me.com/Social Engineering/com.Social_engineering/2820

S.E. ▪️ infosec.work ▪️ VT

👣 Инфраструктурный пентест по шагам.

• Ребята из Бастион опубликовали на хабре крутой материал с базовыми вещами, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры.

• Разберемся в анализе парольных политик, ACL и DNS, найдем способы бокового перемещения и проведем обзор основных актуальных техник повышения привилегий. Этот этап анализа безопасности — ключевой для оценки того, насколько эффективно корпоративная сеть защищена от различных угроз. Описывается, из каких действий он складывается и какие инструменты нужны для их реализации:

➡ Читать статью [11 min].

• Предыдущая часть: инструменты, методологии и разведка.

S.E. ▪️ infosec.work ▪️ VT

🌧 Утечка DNS.

• Данный материал написан в соавторстве с @mycroftintel

• Что такое утечки DNS и как с ними бороться? Ну, для начала, давайте разберёмся, что такое DNS-сервер и для чего его едят. На самом деле, когда ты заходишь на google.com, ты заходишь не по имени сайта, а по IP. Вот вставьте в адресную строку 142.250.185.68 и попадёте в тот самый гуголь.

• Так вот. Чтобы вам не вводить этот IP-адрес и не запоминать кучу цифр (что сложнее номера телефона), умные люди придумали входить по текстовому имени, а не по IP. И для этого есть DNS-серверы. Когда вы прописываете google.com, вы отправляете запрос на этот сервис, который преобразует текст в IP и перенаправляет вас на искомый сайт.

• Еще DNS сервер выполняет функцию верификации. Что вводя Google вы попадёте именно туда, куда надо, а не на скамерский сайт. Этих серверов может быть куча, крупных и мелких. Если мелкий сайта не знает, он переадресует запрос в тот, что покрупнее.

• Теперь про утечку. Вот используете вы анонимайзер. IP-то он ваш спрятал, а запросы делает все к тому-же DNS северу. Так что вы по IP в Германии, а по DNS вы в России, на сети своего провайдера. Палево.

• Чтобы проверить себя зайдите на https://2ip.io/ru/privacy/ и запустите проверку анонимности. И вам все сразу станет понятно. Как с этим бороться? Используйте файерволл с резольвингом DNS. И будет вам счастье. Всем безопасности!

• Дополнительная информация доступна в группе @mycroftintel

S.E. ▪️ infosec.work ▪️ VT

😟 Black Hat ASIA 2024.

• C 16 по 19 апреля в Сингапуре проходила одна из крупнейших #ИБ конференций в мире — Black Hat ASIA 2024. Было представлено большое количество интересных докладов и уникальной информации.

• Официальный YT-канал пока не опубликовал видео с выступлений, но за то были опубликованы презентации в одном из репозиториев:

➡ https://github.com/onhexgroup/Conferences/BlackHat

• А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного:

- Видео Black Hat Europe 2023;
- Видео Black Hat USA 2023;
- Видео Black Hat Asia 2023.

- Видео Black Hat Europe 2022;
- Видео Black Hat USA 2022;
- Видео Black Hat Asia 2022.

- Презентации Black Hat Europe 2023;
- Презентации Black Hat USA 2023;
- Презентации Black Hat Asia 2023.

- Презентации Black Hat Europe 2022;
- Презентации Black Hat USA 2022;
- Презентации Black Hat Asia 2022.

S.E. ▪️ infosec.work ▪️ VT

🔎 S.E. OSINT.

• Хочу поделиться с Вами очень полезным репозиторием, в котором еженедельно публикуется подборка актуальных расследований, инструментов и различных методов для поиска информации из открытых источников. Если интересуетесь данной темой, то обязательно добавляйте в закладки:

➡ https://github.com/bormaxi8080/osint-timeline

• Дополнительная информация доступна в нашей подборке: https://www.tg-me.com/Social Engineering/com.Social_engineering/3202

S.E. ▪️ infosec.work ▪️ VT

📚 Руководство по использованию Wireshark и tcpdump.

• Данный материал посвящен анализу пакетов в #Wireshark — самом популярном в мире сетевом анализаторе. Начиная с основ организации сетей, описания протоколов для обмена данными в них и способов подключения к сети для перехвата пакетов.

• Благодаря этому руководству ты сможешь проводить анализ сетевого трафика в реальном времени и его активный перехват, разбираться в перехваченных пакетах, составлять специальные фильтры для перехвата и отображения пакетов, исследовать современные наборы эксплойтов и вредоносных программ на уровне пакетов извлечение файлов, пересылаемых по сети, использовать дополнительные средства Wireshark, позволяющие разобраться в непонятных образцах перехвата сетевого трафика.

☁️ Скачать руководство можно в нашем облаке.

S.E. ▪️ infosec.work ▪️ VT