Social Engineering

📦 Все по песочницам. Часть 2. • Данный материал написан в соавторстве с @mycroftintel • В детстве песочница была местом отдыха реальных пацанов. Там строились и разрушались замки, а самые продвинутые юные надмозги создавали свои транспортные империи и запускали межконтинентальные ракеты. Но по долгу службы я был вынужден делать свою песочницу с блекджеком и дамами не очень высокой социальной ответственности. А если серьезно, то во взрослом мире, если ты тру-хардкорный осинтер, у тебя должен быть свой террариум для цифровых гадов ползучих: вирусов, троянов, бэкдоров и прочей нежити, которую ты сам же и притащил, «просто посмотреть, что внутри». Посмотреть, да. А потом перезаписывать образ системы, потому что «забыл отключить макросы». • Собственно, для чего это таки надо? Только в песочнице можно безопасно отследить, как файл лезет в реестр, с кем он разговаривает в интернете, какие процессы спавнит и какие бэкдоры себе открывает. Это как изолированное крыло психбольницы для особо опасных маньяков, только вместо прозрачной камеры с Ганнибалом Лектором у тебя — PowerShell-скрипты, которые делают curl в сторону китайского CDN. Без песочницы всё это ловится вслепую — как будто боксируешь с тенью, а она, зараза, бьёт в ответ и прямо по шарам. • Хочешь, чтобы всё было без седалищной боли по типу «нажал кнопку — получил отчет» - готовь деньги, милый. Без денег такой любви не бывает. Чтобы ты мог без геморроя получать качественные поведенческие отчеты — нужно пользоваться серьезными корпоративными продуктами. Но если на них нет денег — то есть неплохие альтернативы. • Например, ANY.RUN — живой интерфейс, богатая визуализация, прям хоть на конференции показывай. Intezer Analyze строит геном вредоноса и находит кодовое родство, как будто это сериал про семейные ценности. Threat.Zone — русифицированный, бодрый, с понятным UI, не требует перевода с маркетингового на человеческий. Но не стоит обманываться — хоть и работает на русском, это не значит, что разработан в России. Это, скорее, как бургер с майонезом из Пятерочки — вроде как бы уже своё, но что-то все-таки не так. • А ещё есть Falcon Sandbox, на котором работает Hybrid Analysis, Joe Sandbox (кстати, рекомендую), Tria.ge и многие другие. Короче, имя им легион. Все как один — функциональные, как швейцарский нож с лазером, но по цене — как хирургическая операция на жёппе в той-же вашей Швейцарии. И главное - за бесплатно - только публично. Короче, ваш подгруженный малварь, который шифранул ваших бухгалтеров, попадет в общую базу данных. Так что осторожнее. Так—то. • Ну а если душа просит боли и приключений, добро пожаловать в ад опенсорса. Тут у нас CAPE — мощный форк старого доброго Cuckoo, с возможностью вытаскивать payload’ы, снимать снимки API и ловить даже сложные образцы. Звучит круто, пока не столкнёшься с древнейшими зависимостями на Python 3.7.2.4b и адищем БДСМ интеллектуальных совокуплений с libvirt. FLARE VM, Freki, Noriben — каждая как отдельная фракция в стратегии: свои плюсы, свои баги, свои моменты, когда ты смотришь в терминал и думаешь: «Где я, кто я, почему у меня 98% CPU и ничего не работает?». Собирать это — как чинить телепорт из Рика и Морти, будучи огурчиком. • Вывод прост. Хочешь работать быстро — плати. Хочешь бесплатно — становись раком монахом Debian и молись, чтобы XML-отчёты хотя бы открывались. И помни, как говорил великий король орков из Властелина Колец: «Время людей прошло. Наступает эпоха скриптов и песочниц». А ты всё ещё пытаешься запустить .doc в виртуалке без сети. ➡ Дополнительную информацию можно найти в группе @mycroftintel S.E. ▪️ infosec.work ▪️ VT

🎣 Evilginx3 Phishlets. • Вероятно, Вы уже слышали о таком инструменте, как Evilginx — это обратный прок­си‑сер­вер, который прок­сиру­ет соеди­нение меж­ду поль­зовате­лем и целевым веб‑ресур­сом, поз­воляя перех­ватить логин, пароль и клю­чи сеан­са. С помощью это­го фрей­мвор­ка мож­но обой­ти двух­фактор­ную аутен­тифика­цию. • В Evilginx используются фишлеты — это такие файлы, которые задают правила основной работы Evilginx. В фишлетах указывается, по каким параметрам определять авторизацию, как выглядят cookie-сессии и все другие данные для успешного фишинга. • Так вот, с такими фишлетами можно ознакомиться в репозитории по ссылке ниже. Тут вы найдете интерактивные логон-страницы основных облачных сервисов Google, AWS и Microsoft. Всё собрано под Evilginx3: ➡️ https://github.com/simplerhacking/Evilginx3-Phishlets • Учитывайте, что данный материал имеет ознакомительный характер и предназначен для специалистов по безопасности. Всегда думайте головой и не нарушайте закон. Всем добра ❤ S.E. ▪️ infosec.work ▪️ VT

⚖️ Киберпреступление и наказание: что грозит за нарушения в сфере КИИ РФ 📅 22 мая в 20:00 — открытый вебинар для тех, кто работает с критической информационной инфраструктурой (КИИ) и хочет понимать риски. О чём поговорим: — Какие правонарушения в сфере КИИ встречаются чаще всего — Кто и за что несёт реальную ответственность — Примеры судебной практики и тренды в правоприменении Полезно юристам, специалистам по ИБ и IT-менеджерам. Узнаете, как избежать нарушений и минимизировать риски — на конкретных кейсах и с разбором законодательства. Открытый урок проходит в преддверии старта курса «Информационная безопасность. Basic», и все участники получат скидку на обучение. 🎓 Регистрация: https://otus.pw/5UJX/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

👣 Искусство форензики. • Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную. Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic). • Так вот, если вам интересна данная наука и вы хотите получить достаточное кол-во знаний независимо от того, являетесь вы новичком или нет, то обратите внимание на очень содержательную страницу на start.me, которая содержит ссылки на источники различных категорий: ➡Инструменты; ➡Блоги различных специалистов; ➡YouTube-каналы; ➡Новостные ресурсы; ➡Руководства и шпаргалки; ➡Подкасты и многое другое... ➡️ https://start.me/p/1kRlPp/forensics • В качестве дополнительного материала: ➡Объемный "чек-лист" на тему анализа опе­ратив­ной памяти; ➡Методы поиска информации в операционной системе Windows; ➡Большой гид по артефактам Windows; ➡Руководством по расположению цифровых артефактов в компьютерах и смартфонах; ➡Инструменты, книги, руководства и другой полезный материал; ➡#Форензика S.E. ▪️ infosec.work ▪️ VT

TrafficSoft ADC — российский балансировщик нагрузки L3, L4 и L7, созданный для высоконагруженных и чувствительных к отказам систем. Что умеет: — Балансировка L3, L4 и L7 с гибкой маршрутизацией — TLS offload и перешифрование— Изменение HTTP-заголовков — Разонообразные хелсчеки, включая кастомные — Удобный графический интерфейс — До 440 Gbps производительности на серверах x86 — Включён в реестр отечественного ПО, техподдержка и документация — на русском языке А ещё — в TrafficSoft ADC появился GSLB: теперь можно распределять трафик между сайтами и дата-центрами в разных регионах с учётом географии и подсети пользователя. Поддерживаются DNS-запросы для любых доменов, в том числе на кириллице. Запросите презентацию — расскажем подробнее и покажем на демо: https://trafficsoft.ru/load-balancer

📚 Бесплатный курс: Linux - администрирование - Bash. • В данном курсе нас с вами ждёт неформальное путешествие по основам работы системного администратора в операционных системах на базе GNU/Linux. Главным нашим инструментом будет Bash (в основном), попробуем с ним подружиться и взглянем на типичные задачи системного и сетевого администрирования (в той или иной степени). Также нас ждёт немало интересных теоретических выкладок по системам, сетям и кибербезопасности. • В курс входят: 40 уроков, 22 часа видео и 106 тестов. Цель курса - познакомиться с основами работы системного администратора в операционных системах на базе GNU/Linux. ➡ https://stepik.org/course/181507/ • Дополнительно: ➡Подборка бесплатного материала для изучения Linux, которая окажется полезной не только новичкам, но и опытным специалистам! S.E. ▪️ infosec.work ▪️ VT

Можете ли вы прямо сейчас найти: ▪️ Скрытые аккаунты героя вашего расследования? ▪️ Его настоящий адрес, если в декларации указан фейковый? ▪️ Все удаленные твиты за последние 10 лет? Запись до 22 мая. Дарим доступ к 50+ заданиям по Osint на hackerlab.pro на 3 месяца! 🔴Присоединиться Узнайте о новых инструментах для вашей работы: ⚪️ Поиск через авиабилеты/банковские транзакции ⚪️ Анализ геолокаций из фото ⚪️ Работа с базами данных и госреестрами ⚪️ Методы социальной инженерии ✅ Кейс: Как мы раскрыли сеть аферистов через фейковое завещание 🔴читать 🔴 Узнать о курсе 🚀 По всем вопросам @Codeby_Academy

👾 Самая дорогостоящая малварь. • 26 января 2004 в России был зафиксирован первый случай заражения новой малварью, которую назвали MyDoom. Всего за неделю, распространяясь через электронную почту, MyDoom поразил до 500 тысяч компьютеров по всему миру. Этот червь стал настоящим рекордсменом по скорости распространения и даже умудрился частично парализовать работу поисковых систем (Google, Yahoo!, AltaVista и Lycos), а на пике активности исходящий от MyDoom спам снизил мировой интернет-трафик на 10 процентов. В то время MyDoom генерировал 16-25% от общего числа всех писем в мире. • В 2011 году эксперты McAfee и вовсе признали MyDoom самой «дорогой» малварью в истории: убытки, связанные с потерей производительности и прекращением торговли в связи с заражением вирусом в результате крупных спам-кампаний, в конечном итоге составили 38 миллиардов долларов. • MyDoom распространяется через электронные письма с вредоносными вложениями. На каждой новой зараженной машине малварь ищет новые email-адреса в различных файлах, а затем рассылает свои копии по всем обнаруженным адресам. При этом спам маскируется, к примеру, под уведомления о неудачной доставке сообщения, или тема письма может содержать случайные символы и слова «hello», «hi» и так далее. Казалось бы, такие приманки можно отнести к числу самых примитивных, но они работают по сей день. • В период с 2015 по 2018 год порядка 1,1% всех электронных писем с вредоносными вложениями содержали червя именно MyDoom. Жертвами таких вредоносных рассылок становятся компании из самых разных отраслей, начиная от высоких технологий, оптовой и розничной торговли, до здравоохранения, образования и производства. • В первой половине 2019 года MyDoom даже продемонстрировал небольшой рост количества образцов малвари, а также увеличение количества вредоносных писем, отправляемых и получаемых жертвами. Основными источниками такой корреспонденции являются США, Китай и Великобритания. • Фактически MyDoom полностью самодостаточен и автономен. Червь может распространяться вечно, до тех пор, пока люди продолжают открывать почтовые вложения. • Кстати, в самом начале своей активности MyDoom атаковал сайт Microsoft. Червь был слишком мало распространён и потому не нанёс ему серьёзного ущерба. Однако Microsoft назначила свои $250 000 «за голову» его создателя. Эти деньги не нашли получателя — мир так и не узнал, кто создал MyDoom. ➡ https://yourstory.com/MyDoom S.E. ▪️ infosec.work ▪️ VT

📶 Бесплатный курс по компьютерным сетям. Климанов М. М. • Очень хороший курс по компьютерным сетям для начинающих. Если по каким-то причинам Вам не подходит курс от Андрея Созыкина (на мой скромный взгляд, у него лучший курс по сетям), то попробуйте начать изучение этого курса: ➡ Плейлист со всеми лекциями на YT. • Не забывайте про репозиторий, в котором я собрал очень много полезного материала для изучения сетей: ➡Литература; ➡Курсы; ➡Шпаргалки; ➡Шпаргалки по протоколам; ➡Теория для изучения различных инструментов; ➡Статьи; ➡Awesome-листы; ➡YouTube каналы; ➡Telegram каналы; ➡Telegram чаты; ➡Telegram комьюнити разных вендоров; ➡Telegram боты; ➡Подкасты; ➡Специализированные сайты. • Если у вас есть ссылки на другие полезные ресурсы, которые можно добавить в эту подборку, то напишите в бота обратной связи, линк есть в описании канала. S.E. ▪️ infosec.work ▪️ VT

💸 Фишинг через QR. • В этой статье авторы рассказывают о том, как QR-коды из удобного инструмента превратились в актуальную угрозу, как устроено такое мошенничество с технической точки зрения и что говорит статистика. ➡Массовые мошенничества с использованием QR-кодов; ➡Как устроены поддельные QR-коды; ➡Статистика; ➡Почему традиционные методы защиты не спасают; ➡Как защититься; ➡QR-коды: тест на внимательность. • А я в свою очередь напоминаю, что в нашем боте S.E. Virus Detect есть функционал проверки QR-кодов, который значительно повышает уровень вашей безопасности в сети. Вы можете направить боту файл с QR-кодом и получить его содержание (текст, ссылка, другая информация). Если QR-код содержит ссылку, то вы сразу сможете осуществить проверку домена на наличие угроз и получить развернутый отчет в красивом формате благодаря сервису Web-Check. Пользуйтесь. Бот полностью бесплатный и без рекламы! • Дополнительно: ➡Чашка чая за 1.5 миллиона рублей; ➡Парковка за 16.000 долларов; ➡Мошенничество с QR-кодами на парковочных автоматах. S.E. ▪️ infosec.work ▪️ VT