Please open Telegram to view this post
VIEW IN TELEGRAM
Xakep №1 Января 2024 год
#298. Stable Diffusion XL
Содержание:
🟢Ловим проблемный CORS на проде
🟢Реальные кейсы применения социнженерии
🟢Ищем руткиты уровня ядра Linux в оперативке
🟢Исследуем лазейки для исполнения стороннего кода в Windows
🟢Проходим 4 машины с Hack the Box
💬 OSINT OSINT Chat OSINT Group OSINT Cloud 💬
#298. Stable Diffusion XL
Нейронка Stable Diffusion может рисовать картинки локально на твоем компьютере подчас не хуже, чем это делают платные сервисы. Две главные статьи этого номера посвящены новой версии — SDXL. Мы установим ее на свой компьютер, добавим веб-фронтенд и постигнем искусство промптинга и тонкой настройки при помощи рефайнеров, лор и стилей.Содержание:
🟢Ловим проблемный CORS на проде
🟢Реальные кейсы применения социнженерии
🟢Ищем руткиты уровня ядра Linux в оперативке
🟢Исследуем лазейки для исполнения стороннего кода в Windows
🟢Проходим 4 машины с Hack the Box
💬 OSINT OSINT Chat OSINT Group OSINT Cloud 💬
⚡️Scaly Wolf завалила атаку из-за банальной ошибки
💬 Группировка Scaly Wolf, известная своими атаками на российские и белорусские организации, возобновила активность в конце марта 2024 года, выпустив не менее шести фишинговых рассылок на промышленные и логистические компании, а также государственные учреждения. Однако хакеры провалила серию кибератак на Россию из-за собственной ошибки, рассказали в компании BI.Zone.
Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который они использовали в предыдущих кампаниях. Это вредоносное программное обеспечение позволяет собирать логины и пароли, сохраненные в браузере, записывать нажатия клавиш, копировать документы с инфицированного компьютера и получать к нему удаленный доступ.
Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. Хакеры рассчитывали, что жертва откроет приложенный к письму архив в ZIP-формате. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake.
Однако, внедряя обновленный способ доставки вредоноса для обхода защитных механизмов, злоумышленники допустили серьезную ошибку. Вместо ВПО в систему копируется легитимный файл explorer.exe — «Проводник». То есть даже в случае успешной атаки преступники не достигали главной цели — не получали доступ к чувствительным данным и скомпрометированной системе.
В ходе неудавшейся кампании Scaly Wolf использовала обновленную версию стилера White Snake, которая появилась в продаже на хакерских форумах только в конце марта. Разработчики вредоноса объявили «весенние скидки» - приобрести доступ к программе на полгода можно было за 500 долларов вместо 590, на год - за 800 вместо 1100, бессрочно - за 1000 вместо 1950 долларов.
Как отметили в компании, ранее создатели White Snake утверждали, что один из покупателей якобы сумел обойти ограничения на использование программы в России и странах СНГ. Об этом они заявили в августе 2023 года после публикации исследования компании о применении стилера против российских компаний. Вероятнее всего, таким образом разработчики пытались избежать блокировки вредоноса на популярных хакерских ресурсах. В последней версии White Snake модуль, блокирующий работу программы на территории РФ и стран СНГ, отсутствует.
🔔 ITsec NEWS
💬 Группировка Scaly Wolf, известная своими атаками на российские и белорусские организации, возобновила активность в конце марта 2024 года, выпустив не менее шести фишинговых рассылок на промышленные и логистические компании, а также государственные учреждения. Однако хакеры провалила серию кибератак на Россию из-за собственной ошибки, рассказали в компании BI.Zone.
Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который они использовали в предыдущих кампаниях. Это вредоносное программное обеспечение позволяет собирать логины и пароли, сохраненные в браузере, записывать нажатия клавиш, копировать документы с инфицированного компьютера и получать к нему удаленный доступ.
Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. Хакеры рассчитывали, что жертва откроет приложенный к письму архив в ZIP-формате. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake.
Однако, внедряя обновленный способ доставки вредоноса для обхода защитных механизмов, злоумышленники допустили серьезную ошибку. Вместо ВПО в систему копируется легитимный файл explorer.exe — «Проводник». То есть даже в случае успешной атаки преступники не достигали главной цели — не получали доступ к чувствительным данным и скомпрометированной системе.
В ходе неудавшейся кампании Scaly Wolf использовала обновленную версию стилера White Snake, которая появилась в продаже на хакерских форумах только в конце марта. Разработчики вредоноса объявили «весенние скидки» - приобрести доступ к программе на полгода можно было за 500 долларов вместо 590, на год - за 800 вместо 1100, бессрочно - за 1000 вместо 1950 долларов.
Как отметили в компании, ранее создатели White Snake утверждали, что один из покупателей якобы сумел обойти ограничения на использование программы в России и странах СНГ. Об этом они заявили в августе 2023 года после публикации исследования компании о применении стилера против российских компаний. Вероятнее всего, таким образом разработчики пытались избежать блокировки вредоноса на популярных хакерских ресурсах. В последней версии White Snake модуль, блокирующий работу программы на территории РФ и стран СНГ, отсутствует.
🔔 ITsec NEWS
Серия киберитак Scaly Wolf на российские компании не удалась из-за ошибки хакеров
Компания BI ZONE сообщила о неудачной попытке кибератаки хакерской группы Scaly Wolf на российские компании. Хакеры планировали использовать новый инструмент для эффективного проникновения в инфраструктуру организаций с помощью вредоносного ПО White Snake. Однако, из-за ошибки в подмене файлов, на скомпрометированные устройства устанавливался легитимный файл, не наносящий ущерба.
Атаки были направлены на промышленные и логистические компании, а также государственные организации. Планировалось использование стилера White Snake для того, чтобы получить доступ к корпоративным данным. Это вредоносное ПО позволяет собирать сохранённые в браузере логины и пароли, записывать нажатия клавиш, копировать документы с заражённого компьютера и даже получать к нему удалённый доступ.
По словам руководителя BI ZONE Threat Intelligence Олега Скулкина, злоумышленники попытались обновить способ доставки стилера в целевые системы. Однако, инструмент использовался в спешке и вместо вредоносного ПО в систему копировался легитимный файл, не принося вреда. Таким образом, даже при успешной атаке, доступ к скомпрометированным системам и чуствительным данным легально не получали.
Компания BI ZONE сообщила о неудачной попытке кибератаки хакерской группы Scaly Wolf на российские компании. Хакеры планировали использовать новый инструмент для эффективного проникновения в инфраструктуру организаций с помощью вредоносного ПО White Snake. Однако, из-за ошибки в подмене файлов, на скомпрометированные устройства устанавливался легитимный файл, не наносящий ущерба.
Атаки были направлены на промышленные и логистические компании, а также государственные организации. Планировалось использование стилера White Snake для того, чтобы получить доступ к корпоративным данным. Это вредоносное ПО позволяет собирать сохранённые в браузере логины и пароли, записывать нажатия клавиш, копировать документы с заражённого компьютера и даже получать к нему удалённый доступ.
По словам руководителя BI ZONE Threat Intelligence Олега Скулкина, злоумышленники попытались обновить способ доставки стилера в целевые системы. Однако, инструмент использовался в спешке и вместо вредоносного ПО в систему копировался легитимный файл, не принося вреда. Таким образом, даже при успешной атаке, доступ к скомпрометированным системам и чуствительным данным легально не получали.
Forwarded from Jhorj Privacy
Приватный клуб единомышленников.
Плата - 1000руб/мес
Что получаете?
Клуб разделен на несколько разделов:
1. Защита данных в сети.
2. Интернет разведка.
3. Самооборона.
4. Совместные проекты.
5. Эксклюзивный материал от автора.
6. Бесплатные, неограниченные запросы в популярные пробив боты.
Глаз бога, юзерсбокс, GTA search, Quick OSINT, Zernerda, Cerberus. Плюс будем добавлять со временем.
Анонимность запросов: запрос вы отправляете в личные сообщения, а не в общую группу, таким образом другие участники не знают какие запросы вы делали.
По каждой теме будем приглашать специалистов, которые будут проводить консультации и эксклюзивные выступления по темам которые ВЫБЕРЕТ КЛУБ.
Разведка, информационная безопасность, самооборона, спортивные тренера и тд.
Сообщество коллег и единомышленников. Возможно именно тут вы найдете партнера по бизнесу.
В первые месяцы цена символическая - 1000руб/месяц.
Оплата возможна переводом на карту, BTC, Monero, usdt (trc20).
Далее цена будет кратно выше.
Please open Telegram to view this post
VIEW IN TELEGRAM
Уроки форензики. Анализируем логи Windows и таблицу MFT на примере HTB Jinkies
Площадкой для упражнений нам послужит задание Jinkies c ресурса Hack The Box Sherlocks.
По сценарию задания компьютерная атака произошла 6 октября в инфраструктуре стартапа Cloud-Guru-Management Ltd, где разрабатывают некий продукт. Известно, что пользователь взломанного компьютера случайно предоставил общий доступ к своей папке Documents, а также утверждает, что в этот день его не было за компьютером. Генеральный директор Cloud-Guru-Management 6 октября получил устные сообщения о том, что интеллектуальная собственность компании была украдена. Команда реагирования на инциденты собрала артефакты операционной системы взломанного компьютера с помощью утилиты KAPE. Наша задача — провести расследование инцидента и восстановить картину взлома ресурса.
ИСПОЛЬЗУЕМЫЕ УТИЛИТЫ
• Hayabusa — инструмент для быстрого анализа логов, основанный на правилах Sigma.
• FullEventLogView — утилита Nirsoft для анализа событий. Она позволяет фильтровать логи по датам, идентификаторам событий, а также по ключевым словам. Чтобы использовать этот инструмент, достаточно указать каталог с файлами evtx.
• MFTECmd — парсер таблицы MFT файловой системы NTFS.
• DB Browser for SQLite — инструмент для просмотра базы данных SQLite, необходим при анализе истории браузера Chrome.
• Registry Explorer — утилита для просмотра кустов реестра Windows.
ИССЛЕДОВАНИЕ
Загрузим файл архива задания и приступим к исследованию артефактов.
В файле архива содержатся следующие данные: каталог
Чтобы получить инфу об исследуемом компьютере, откроем файл
Нам известно, что компьютерный инцидент произошел 6 октября 2023 года. Проанализируем все события операционной системы за этот день. Откроем утилиту FullEventLogView и загрузим логи, расположенные по такому пути:
Затем выставим фильтр по дате (Options → Advanced Options) и приступим к анализу.
Первым делом проанализируем сообщения о событиях авторизации в системе и запуска процессов. На исследуемом хосте установлена служба Sysmon (системный монитор) — эта утилита разработана в Microsoft для расширенного аудита Windows. Sysmon предоставляет подробную информацию об активности системы на уровне процессов и сети. Подробная информация о каждом идентификаторе событий есть в документации Microsoft.
Ссылка
Сегодня мы будем учиться анализировать логи Windows и смотреть полную информацию о файле в таблице MFT. Это поможет нам восстановить последовательность действий злоумышленника в системе и раскрыть его никнейм.
Площадкой для упражнений нам послужит задание Jinkies c ресурса Hack The Box Sherlocks.
По сценарию задания компьютерная атака произошла 6 октября в инфраструктуре стартапа Cloud-Guru-Management Ltd, где разрабатывают некий продукт. Известно, что пользователь взломанного компьютера случайно предоставил общий доступ к своей папке Documents, а также утверждает, что в этот день его не было за компьютером. Генеральный директор Cloud-Guru-Management 6 октября получил устные сообщения о том, что интеллектуальная собственность компании была украдена. Команда реагирования на инциденты собрала артефакты операционной системы взломанного компьютера с помощью утилиты KAPE. Наша задача — провести расследование инцидента и восстановить картину взлома ресурса.
ИСПОЛЬЗУЕМЫЕ УТИЛИТЫ
• Hayabusa — инструмент для быстрого анализа логов, основанный на правилах Sigma.
• FullEventLogView — утилита Nirsoft для анализа событий. Она позволяет фильтровать логи по датам, идентификаторам событий, а также по ключевым словам. Чтобы использовать этот инструмент, достаточно указать каталог с файлами evtx.
• MFTECmd — парсер таблицы MFT файловой системы NTFS.
• DB Browser for SQLite — инструмент для просмотра базы данных SQLite, необходим при анализе истории браузера Chrome.
• Registry Explorer — утилита для просмотра кустов реестра Windows.
ИССЛЕДОВАНИЕ
Загрузим файл архива задания и приступим к исследованию артефактов.
В файле архива содержатся следующие данные: каталог
TriageData, в котором расположены собранные файловые артефакты операционной системы; каталог LiveResponse, содержащий список запущенных процессов; информация о системе и много других волатильных данных.Чтобы получить инфу об исследуемом компьютере, откроем файл
LiveResponse\Systeminfo.csv. Имя исследуемого компьютера — VELMAD100, установлена операционная система Windows 10 Pro. Из файла ipconfig.txt получим сетевые настройки интерфейса, IP-адрес хоста 192.168.157.144, IP-адрес шлюза 192.168.157.2, DHCP-сервер 192.168.157.254.Нам известно, что компьютерный инцидент произошел 6 октября 2023 года. Проанализируем все события операционной системы за этот день. Откроем утилиту FullEventLogView и загрузим логи, расположенные по такому пути:
Jinkies_KAPE_output/TriageData/C/Windows/system32/winevtЗатем выставим фильтр по дате (Options → Advanced Options) и приступим к анализу.
Первым делом проанализируем сообщения о событиях авторизации в системе и запуска процессов. На исследуемом хосте установлена служба Sysmon (системный монитор) — эта утилита разработана в Microsoft для расширенного аудита Windows. Sysmon предоставляет подробную информацию об активности системы на уровне процессов и сети. Подробная информация о каждом идентификаторе событий есть в документации Microsoft.
Ссылка
Cyber Triage
KAPE
What is The KAPE? KAPE is an efficient and highly configurable triage program that will target any device or storage location, find forensically valuable
👍2❤1
В FullEventLogView откроем вкладку Options → Advanced Options → Show only specified event IDs и введем следующие идентификаторы событий:
•4624 — событие входа в систему, нам интересен тип входа и источник авторизации;
•4648 — вход в систему с явным указанием аутентификационных данных;
•4672 — сеансу входа назначены специальные привилегии;
•4625 — ошибка входа в систему;
•1149 — событие описывает признак входа в систему по протоколу RDP; такое событие регистрируется при подключении источника к хосту;
•21 — успешный вход пользователя в сеанс RDP;
•24 — отключение сеанса RDP;
•1 (журнал событий Sysmon) — событие создания процесса, содержит подробную информацию о созданном процессе: хеш, команда запуска и так далее;
•3 (журнал Sysmon) — событие сетевого подключения регистрирует TCP- и UDP-соединения.
•4624 — событие входа в систему, нам интересен тип входа и источник авторизации;
•4648 — вход в систему с явным указанием аутентификационных данных;
•4672 — сеансу входа назначены специальные привилегии;
•4625 — ошибка входа в систему;
•1149 — событие описывает признак входа в систему по протоколу RDP; такое событие регистрируется при подключении источника к хосту;
•21 — успешный вход пользователя в сеанс RDP;
•24 — отключение сеанса RDP;
•1 (журнал событий Sysmon) — событие создания процесса, содержит подробную информацию о созданном процессе: хеш, команда запуска и так далее;
•3 (журнал Sysmon) — событие сетевого подключения регистрирует TCP- и UDP-соединения.
OSINT ● Investigations ● Cyber Search🔎 pinned «🤩 Jhorj club. Приватный клуб единомышленников. Плата - 1000руб/мес Что получаете? Клуб разделен на несколько разделов: 1. Защита данных в сети. 2. Интернет разведка. 3. Самооборона. 4. Совместные проекты. 5. Эксклюзивный материал от автора. 6. Бесплатные…»
Forwarded from T.Hunter
#article Опубликовали подборку лучших бесплатных OSINT-инструментов по версии T.Hunter в 2024-м году. В ней и уже знакомые сервисы и софт, сохранившие свои позиции с прошлых лет, и новые инструменты, которые будут полезны любому специалисту по OSINT.
Кроме того, в статье нашлось место и альтернативам софту, доступ к которому россиянам теперь закрыт. От старого-доброго Архивариус 3000 до Arkham Intelligence, перспективных отечественных разработок и наших собственных решений. За подробностями добро пожаловать на Хабр!
@tomhunter
Кроме того, в статье нашлось место и альтернативам софту, доступ к которому россиянам теперь закрыт. От старого-доброго Архивариус 3000 до Arkham Intelligence, перспективных отечественных разработок и наших собственных решений. За подробностями добро пожаловать на Хабр!
@tomhunter
Forwarded from Русский инженер
Украинские спецслужбы колбасит не по детски, они вдруг осознали всю величину того, насколько они попали. Ситуация с блокировкой ботов набирает обороты. На скринах их паника и взаимные обвинения.
А вся суть в том, что укрождуны и наводчики, для своей безопасности, стараются удалять украинские паблики, и просто заходят в сохраненные ссылки ботов, которые очень активно раскручивали медийно, именно чтоб охват был наибольшим... ну или по поиску, из памяти, чтоб не оставлять в телефоне никаких ссылок, для своей безопасности. И теперь они будут давать информацию напрямую нашему тащ майору😁🔥
Оформляя при этом сразу на себя фактуру. 😎🫡
Такой удар по украинской агентурной сети, будет уже невозможно будет компенсировать, ведь у них новых ждунов уже практически нет, и оповестить об этом всех старых, не получится. Какой то процент конечно прочтёт, узнает, но очень многие попадут на карандаш, и это позволит дополнительно обезопасить наши регионы...
Браво, браво, борцуны с телеграммом из Украины, своими требованиями цензуры вы сами обеспечили фееричные подрывы в Киеве, любо дорого посмотреть 😁👍
Ну и Паша красавчик, так изящно по губам провести в ответ на давление с введением цензуры - огромное уважение.
Русский Инженер -
✅ подписаться
А вся суть в том, что укрождуны и наводчики, для своей безопасности, стараются удалять украинские паблики, и просто заходят в сохраненные ссылки ботов, которые очень активно раскручивали медийно, именно чтоб охват был наибольшим... ну или по поиску, из памяти, чтоб не оставлять в телефоне никаких ссылок, для своей безопасности. И теперь они будут давать информацию напрямую нашему тащ майору😁🔥
Оформляя при этом сразу на себя фактуру. 😎🫡
Такой удар по украинской агентурной сети, будет уже невозможно будет компенсировать, ведь у них новых ждунов уже практически нет, и оповестить об этом всех старых, не получится. Какой то процент конечно прочтёт, узнает, но очень многие попадут на карандаш, и это позволит дополнительно обезопасить наши регионы...
Браво, браво, борцуны с телеграммом из Украины, своими требованиями цензуры вы сами обеспечили фееричные подрывы в Киеве, любо дорого посмотреть 😁👍
Ну и Паша красавчик, так изящно по губам провести в ответ на давление с введением цензуры - огромное уважение.
Русский Инженер -
✅ подписаться
👍2🔥2
Xakep №2 Февраль 2024
Xakep #299. Sysmon
Содержание:
🟢 Фаззим исполняемые файлы при помощи AFL++ с санитайзерами
🟢 Разоблачаем CVE-пустышки и пишем эксплоит при помощи ChatGPT
🟢 Пробуем нанять хакера и наблюдаем за ним
🟢 Изучаем эксплоиты социальной инженерии
🟢 Разбираем спайварь на C#
💬 OSINT OSINT Chat OSINT Group OSINT Cloud 💬
Xakep #299. Sysmon
Sysmon, или «Системный монитор», — популярнейшее средство аудита Windows, разработанное в Microsoft. Выведение его из строя — приоритет для злоумышленников, атакующих систему и желающих остаться незамеченными. В этом номере мы расскажем о том, как нарушитель может «ослепить» мониторинг, а для укрепления защиты построим грамотный пайплайн, рассчитанный на большие конфиги Sysmon.Содержание:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍2
Please open Telegram to view this post
VIEW IN TELEGRAM