• C 16 по 19 апреля в Сингапуре проходила одна из крупнейших #ИБ конференций в мире — Black Hat ASIA 2024. Было представлено большое количество интересных докладов и уникальной информации. • Официальный YT-канал пока не опубликовал видео с выступлений, но за то были опубликованы презентации в одном из репозиториев: ➡ https://github.com/onhexgroup/Conferences/BlackHat • А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного: - Видео Black Hat Europe 2023; - Видео Black Hat USA 2023; - Видео Black Hat Asia 2023. - Видео Black Hat Europe 2022; - Видео Black Hat USA 2022; - Видео Black Hat Asia 2022. - Презентации Black Hat Europe 2023; - Презентации Black Hat USA 2023; - Презентации Black Hat Asia 2023. - Презентации Black Hat Europe 2022; - Презентации Black Hat USA 2022; - Презентации Black Hat Asia 2022. S.E. ▪️ infosec.work ▪️ VT
142.250.185.68и попадёте в тот самый гуголь. • Так вот. Чтобы вам не вводить этот IP-адрес и не запоминать кучу цифр (что сложнее номера телефона), умные люди придумали входить по текстовому имени, а не по IP. И для этого есть DNS-серверы. Когда вы прописываете google.com, вы отправляете запрос на этот сервис, который преобразует текст в IP и перенаправляет вас на искомый сайт. • Еще DNS сервер выполняет функцию верификации. Что вводя Google вы попадёте именно туда, куда надо, а не на скамерский сайт. Этих серверов может быть куча, крупных и мелких. Если мелкий сайта не знает, он переадресует запрос в тот, что покрупнее. • Теперь про утечку. Вот используете вы анонимайзер. IP-то он ваш спрятал, а запросы делает все к тому-же DNS северу. Так что вы по IP в Германии, а по DNS вы в России, на сети своего провайдера. Палево. • Чтобы проверить себя зайдите на https://2ip.io/ru/privacy/ и запустите проверку анонимности. И вам все сразу станет понятно. Как с этим бороться? Используйте файерволл с резольвингом DNS. И будет вам счастье. Всем безопасности! • Дополнительная информация доступна в группе @mycroftintel S.E. ▪️ infosec.work ▪️ VT
Win+R, затем вводите
eventvwr.mscи вы в святая святых. В этих журналах хранится вся активность системы. Какие программы работали и в какое время, какие устанавливались, например. И многое другое. Для специалиста вся ваша активность за неопределенный период времени как на ладони. Так дела не делаются. Нужно с этим что-то придумывать. • А все уже придумано до нас.
Win+R, вводим
services.mscи находим в списке Журнал событий Windows. Далее – двойной клик, тип запуска – отключена. Вуаля. Никаких тебе больше журналов. Так что следов от вашей операционной деятельности стало меньше. Но на самом деле, до этого лучше не доводить. Шифруйте вашу систему, чтобы никто в нее даже не смог залезть. • Но если вдруг вы выключать журнал не хотите, то настоятельно рекомендуется чистить его каждый раз перед выходом. Для этого запускаем терминал от имени Администратора (правая кнопка на значке Windows), затем пишем
Get-EventLog -LogName* и получаем список логов. Далее пишем
Clear-EventLogи после этого название лога. Теперь все чисто, можно выключаться. • И это только первый шаг в обеспечении антифорензики на вашем компьютере. Новые подробности – на канале Mycroft Intelligence и в будущих статьях! S.E. ▪️ infosec.work ▪️ VT
.comфайлы и отличался тем, что помимо собственно тела содержал функцию дешифрования. Код вируса при запуске сначала подвергался расшифровке, и только потом запускался. Разные «экземпляры» вируса имели разный шифр, ключом к которому был размер заражённого им файла — но дешифратор был одним и тем же, что существенно упростило борьбу с ним по сравнению с будущими «полиморфами». • Вирус не ломал файлы, а просто вызывал характерное «осыпание» текста на экране под мелодию. Это мешало работе и вынуждало перезагружаться, что приводило к потере информации. • «Каскад» имел встроенный ограничитель по времени работы: вирус планово работал только с 1 октября по 31 декабря 1988 года. Увы, много «энтузиастов» стали выпускать свои адаптации с отключением таймера, и в результате «Каскад» мешал работе вплоть по начало 90-х годов. Последний случай заражения задокументирован в 1997 году. • По неясной до сих пор причине вирус имел ещё один встроенный ограничитель: он не должен был поражать компьютеры IBM PC. Но из-за ошибок программиста оно срабатывало далеко не всегда, и вирус добрался до бельгийского офиса IBM. Это сподвигло компанию заняться разработкой собственных антивирусных программ. • И не только их: в октябре 1989 года «Каскад» поймал Евгений Касперский. Это и зародило у него мысль заняться разработкой антивирусов. Первым вирусом, внесённым в базу данных первого антивируса от Касперского стал именно «Cascade». И вообще, «Каскад» с его характерным эффектом стал настолько меметичным, что «засветился» даже в одном из сезонов Star Trek. S.E. ▪️ infosec.work ▪️ VT
.ехеформат, чтобы можно было запускать приложение с компьютера 2. Дойти до 300+ сервисов, цифра большая, но я нашел относительно быстрый способ, как находить и добавлять их 3. Доделать полноценно рассылку на почту Вы всегда можете предложить вашу идеи в комментарии, я их все читаю ❤️ Само обновление планируется на этой неделе, возможно ближе к выходным, постараюсь как можно быстрее :) Antichrist Blog, Stream, Music, Chat, Archive
svchost.exe.Для разных версий Windows и в зависимости от установленных компонентов системы, количество таких процессов может составлять от нескольких штук до нескольких десятков. Однако, это вполне нормальное явление, поскольку
svchost.exe– это главный процесс (Host process) для системных служб, загружаемых из динамических библиотек (
.dll). Для запуска таких служб используется один и тот же исполняемый файл
svchost.exe,размещенный в системном каталоге
\Windows\system32\• Одной из важнейших задач, решаемой большинством компьютерных вирусов, является маскировка в системе после ее заражения и некоторые из них маскируются под процессы с именем svchost.exe, поскольку таким образом можно затеряться среди прочих, вполне легальных процессов с таким же именем. Как раз об этом и пойдет речь. По ссылке ниже ты найдешь методы, необходимые ссылки и примеры, которые являются актуальными и позволяют замаскировать малварь под SVCHost: ➡ https://redteamrecipe.com/Abuse-SVCHost-Methods/ S.E. ▪️ infosec.work ▪️ VT
vk.com. Как вы думаете, куда ведет ссылка? В VK? Подумате ещё раз. • В этом материале описан новый Clickjacking в WhatsApp, который позволяет провести идеальную фишинговую атаку. Атакующий может отправить жертве сообщение со ссылкой, которая ведет на легитимный вебсайт, но на самом деле направляет пользователя на сайт злоумышленника. • Читать в оригинале [источник]. • Перевод статьи. • Ссылку нашел тут: @cybred S.E. ▪️ infosec.work ▪️ VT
crypt(3)до шестой редакции использовала код из эмулятора шифровальной машины M-209, которую американская армия использовала во время Второй мировой войны. В этой системе пароль использовался не в качестве шифротекста, а в качестве ключа, которым шифровалась константа. • Вскоре выяснилось, что сверка зашифрованного пароля со всеми паролями в базе выполняется со скоростью хэширования одного пароля (1,25 мс на PDP 11/70), что было явным архитектурным недостатком системы. Поэтому в конце 70-х начиная с седьмой редакции
crypt(3)перевели на одностороннюю криптографическую функцию, основанную на блочном шифре DES. • Также быстро выяснилось, что люди крайне предсказуемы в выборе паролей. И появились различные инструменты, позволяющие подбирать распространённые пароли и сравнивать их с хэшированными значениями в БД. Как правило, эти инструменты используют комбинацию словарных атак, брутфорса и других методов для подбора потенциальных паролей и их сверки с хранящимися хэшами. • Создатели Unix всячески старались усложнить взлом паролей. Уже в конце 70-х они модифицировали программу ввода паролей таким образом, чтобы стимулировать пользователей выбирать более сложные пароли. Кроме того, при хэшировании впервые начали использовать соль: при первом вводе пароля программа генерировала 12-битное случайное значение и добавляла его к паролю. При последующем вводе пароля это значение извлекалось из базы вместе с паролем и автоматически добавлялось к нему в поле ввода. • Первые программы для взлома паролей появились сразу после того, как системные администраторы начали их хэшировать вышеупомянутой юниксовой утилитой
cryptв 70-е гг. Известно, что уже в 1978 году на компьютерах PDP-11/70 запускали эмуляторы
cryptдля перебора различных вариантов хэшей со скоростью около 800 паролей (хэшей) в секунду. • Первыми инструментами для информационной безопасности с функцией взлома или проверки паролей стали: - COPS (локальный аудит Unix-систем с функцией определения слабых паролей); - Crack; - Cracker Jack; - goodpass.c и CrackLib (позже их включили в passwd, yppasswd и др.); - npasswd. • Со временем инструменты становились более эффективными. Вскоре лидером в области технологических инноваций стал John the Ripper, разработанный компанией Solar Designer. Но с появлением мощных GPU лидерство перехватил Hashcat, который сумел более эффективно использовать возможности графических процессоров. Кроме них, среди популярных инструментов можно назвать ещё L0phtCrack и Hydra. • За тридцать лет методы брутфорса и железо значительно эволюционировали, что привело к существенному повышению производительности. Новые алгоритмы хэширования разрабатываются с учётом максимальной недружественности к CPU, GPU и памяти, чтобы максимально замедлить вычисление на любом устройстве, включая FPGA и ASIC. • Впрочем, программы для подбора паролей тоже не останавливаются в развитии и внедряют новые методы для повышения эффективности своей работы. Большим подспорьем стали облачные платформы с возможностью масштабировать нагрузку практически до бесконечности, в рамках дата-центра. Некоторые организации, которые специализируются на брутфорсе, даже построили собственные дата-центры, чтобы не полагаться на сторонние облака. ➡️ Источник. S.E. ▪️ infosec.work ▪️ VT
.\hack-browser-data.exe -h➡ Ссылка на загрузку: https://github.com/moonD4rk/ • В качестве дополнительного материала обратите внимание на статью: Пишем расширение Chrome, которое ворует максимум информации. S.E. ▪️ infosec.work
user_nameс учётом СНГ локаций. 90% из Вас уже слышали об этом инструменте и в более подробном описании он не нуждается. • 2 января была опубликована новая версия данного инструмента, которая включает в себя следующие изменения: - Расширена поисковая web-base Snoop до 3700+ сайтов; - Ускорен поиск в Snoop for GNU/Linux ~ на 140% т.е. почти в 2.5 раза; - Ускорен запуск Snoop Project build version на старых ПК с OS Windows/HDD; - К Snoop full version добавлены light сборки, позволяющие запукать ПО почти мгновенно; - Обновлены плагины 'GEO_IP/domain' и 'ReverseVgeocoder' до новых версий; - Добавлен новый и умный алгоритм автоопределения явно не указанных/проблемных/перепутанных кодировок сайтов при поиске в различных режимах. • Полное описание обновления читайте в Changelog'е. • Скачать Snoop для Windows и Linux можно отсюда; • База данных из 3700+ ресурсов; • Документация \ подробное руководство; • Автор. • Дополнительная информация доступна по хештегу #OSINT и в наших подборках: https://t.me/Social_engineering/2548 S.E. ▪️ infosec.work