3355
ИБ-проект, обозревающий тематику киберпреступности и киберразведки По вопросам сотрудничества: @CyberScoutLS
If you want to explain to someone what the Incident Response Process is, in the simplest, most understandable way possible and with examples, show them this table.
Читать полностью…
Google Alerts - очень удобный инструмент бизнес-разведки
Если нужно регулярно мониторить инфополе о конкурентах, их продуктах, конференциях, ивентах - одно из лучших решений
Настраивается очень просто, результат присылается на почту. Частота настраивается самостоятельно.
P.S. хотя, с моей точки зрения, лучше разрабатывать собственные инструменты, так как подобные сервисы не парсят чаты, соц сети и прочие моменты, что, в свою очередь, зачастую дает ключевую информацию.
Иногда в новостях аннонсируется то, что обсуждалось в чатах и соц сетях задолго до этого)
Шпаргалка для использования дорков.
— Здесь собраны работающие и актуальные дорки.
— В конце шпаргалки представлены ресурсы и статьи для дальнейшего изучения ремесла поиска.
— Сохрани иначе потеряешь ;)
Совпадение грамматической ошибки и шрифта как цифровой след
Хочу поделиться достаточно интересным случаем, произошедшим недавно.
Как всем известно, деанонимизация часто происходит за счёт достаточно неочевидных признаков, которые не засечешь в пробивочном боте или при анализе совпадения никнеймов, картинок и иных методах.
Так вот, на днях у меня было два аккаунта: анонимная телега и абсолютно неанонимный ВК с реальным именем, датой рождения и фото.
Множество факторов указывало на то, что пользователь один и тот же, но все же это было неочевидно.
А уверенность появилась тогда, когда заметил, что на обоих аккаунтах для статуса, никнейма (в том числе более раннего никнейма) использовался один и тот же довольно редкий, но красивый шрифт.
Был и другой кейс:
Имелись веские основания полагать, что аккаунт в телеге - администратор сообщества, однако уверенности не было.
Но, изучив посты сообщества и сообщения юзера, заметил одну и ту же редкую, неочевидную грамматическую ошибку. В итоге, уверенность появилась)
P.S. Ещё до того, как я начал профессионально заниматься OSINT'ом, меня очень привлекала идея психолого-лингвистического анализа текста и попытки выявления совпадений за счёт совпадения "почерка". Всегда думал про создание автоматизированного инструмента, но пока делаем руками эту работу)
Итак
О чем же пойдет речь?
FILETYPE:PDF
Этот гугл-дорк действительно очень важен при исследовании физ лиц, юр лиц и прочего)
Кроме шуток и мемов, он помогает зачастую обнаружить те документы, видя которые в открытом доступе, заказчики делают глаза по 5 копеек и говорят:"А я не знал, что про меня такое есть в открытом доступе".
Через этот секретный инструмент удается найти списки кандидатов на различные конкурсы, в присяжные заседатели, договоры купли-продажи земельных участков и так далее.
Однако не советую пренебрегать лишь одним PDF
Пробуйте разные варианты:
Filetype:doc/docx
Filetype:txt
Filetype:xls/xlsx
И так далее
Ну, удачной охоты, киберсталкеры...
Одно из недавно понравившихся расширений:
Clearbit Connect
Очень полезное расширение для гугла. Сильно помогает для конкретной жи есть конкурентной разведки и пентеста.
Можно очень эффективно искать адреса электронных почт сотрудников интересующих вас организаций, узнавать имена, фамилии и должности их владельцев.
Для примера:
- 1 сканирование с VPN
- 2 сканирование без VPN
Пост не столько по тематике, сколько для конспирологов, которых тут, вероятно, предостаточно)
Я действительно последнее время несколько раз покупал в магазине этот продукт)
Я не знаю, каким образом. Я не гуглил про него, не упоминал его название Алисе в микрофон, однако как-то таргет сработал удачно.
Но есть одно но...
Упаковка настолько отвратительная, что, даже если открывать по инструкции, половина продукта разваливается у тебя в руках. Это очень злит!)
Поэтому сначала нужно исправить упаковку, а потом рекламировать)
https://xakep.ru/2023/01/19/physical-pentest/
Читать полностью…
Из конспекта Даши из Group-IB, который я постил выше, здесь также мне понравился момент, касающийся этой темы:
"Сгенерируйте фальшивый профайл с помощью генератора фальшивых имен.
Важно не придумывать образ самостоятельно, так как вы можете ненароком раскрыть информацию, которая может ссылаться на вас. Убедитесь, что вы записываете все данные фейкового аккаунта, чтобы восстановить ваш деактивированную учетную запись, а также в качестве доказательства."
И вот опять же!
Если настроить анонимное сетевое подключение, незасвеченный цифровой профиль довольно легко при наличии знаний и опыта, то убрать человеческий фактор, личностные особенности значительно труднее
Я теперь понял, почему мне так не нравится слово OSINT!
Концепция III, представленная в работе, гораздо более интересная.
И вот здесь кончаются все споры с пеной у рта: являются ли утечки OSINTом или нет))
(Кстати, да, утечки - это OSINT)))
Полночи читал интересную книжку для сисадминов, смотрел разные материалы по виртуализации, тестировал команды в Kali
Решил, что надо перекусить
Иду на кухню, а там выползает огромный тараканоид...
Лучше бы я этого не видел
P.S. живучая тварь не оставила мне никакого выбора, кроме как отправить её в канализацию
Канал про форензику и реверс
Вот этого старого деда дядю я знаю лично и очень хорошо. Наконец-то он решил завести свой блог, что я совершенно не могу не поддержать.
Советую всем, кому интересна киберпреступность подписаться и попытаться вникнуть.
Будет интересно! ЖДЁМ)
P.S. Первая статья, и уже очень интересно
Про взлом Telegram
Поговорим немного о волнующей всех начинающих хацкеров, параноиков и просто хороших людей теме: взлом Telegram, а если выражаться более корректно - угон Telegram-аккаунта.
На самом деле, способов, доступных простым энтузиастам, не так много (только если вы не долларовый миллионер, но об этом позже):
1) Разного рода недорогое шпионское ПО, кейлоггеры, для активации которого нужно, чтобы несчастная жертва перешла по ссылке, открыла сомнительный файл или сделала еще какую-то глупость. Такое любят всякие мошенники и низкосортные киберпреступники;
2) Подлом весьма дырявого протокола SS7, позволяющий перехватить SMS с кодом активации и зайти на аккаунт жертвы;
3) Вероятно, есть еще много всяких способов, которые можно легко обнаружить на просторах всемирной паутины, но на данный момент это не наша задача. Нам важнее показать общую картину. Нужно понимать то, что у всех этих способов есть ряд недостатков: либо нужно, чтобы пользователь был малограмотным в вопросах цифровой гигиены, либо же потенциального взломщика быстро "спалят".
Перейдем к следующей категории методов, которые доступны правоохранительным органам и спецслужбам.
Сильно распространяться не будем, так как СайберСкаут еще хочет работать, писать для вас статьи и радовать интересными фишками, но общая суть такова, что, имея контакты в операторах сотовой связи и определенные полномочия, можно достичь гораздо большего. Здесь у нас уже слабо рабочие способы вроде восстановления SIM-карты, перехваты SMS, прослушка звонков и прочее.
Однако далее идет тот этап, на котором начинаешь понимать, что анонимность и безопасность - действительно миф. Особенно если у тебя есть пегасус или много миллионов (а лучше миллиардов) долларов.
Дело в том, что помимо дешевенького шпионского ПО есть еще целые магазины эксплойтов, которые продают возможности ломануть мессенджеры так, что для этого даже не нужно активного участия пользователя. Достаточно просто отправить ему какое-то сообщение, и совсем необязательно, чтобы жертва его открыла и прочитала.
Но такие эксплойты не публикуются массово (чтобы вулны оперативно не прикрыли), не продаются всем подряд, а над ними могут работать целые команды крутых спецов. Да и стоят они немало.
P.S. Если кому интересно, то поизучайте шопы таких эксплойтов. Разумеется, исключительно в образовательных целях:
https://www.zerodium.com/
https://opzero.ru/prices
Amass. Почему многие пентестеры его так любят?
Amass - это инструмент для поиска сабдоменов. Это мероприятие, естественно, необходимо в рамках разведки перед взломом.
Существует далеко не один десяток инструментов, осуществляющих подобную функцию, однако многие советуют именно его как самый результативный.
Вопрос, почему?
Дело в том, что единого метода узнать все поддомены нет, а Amass использует сразу несколько:
- получение имён субдоменов, анализируя веб-страницы;
- использование доступа к веб API;
- рекурсивный брут-форс;
- обход веб-архивов;
- пермутация/изменение имён;
- обратное DNS-преобразование;
- отправка запросов к ASN;
- анализ IP адресов, ассоциированным с сетевыми блоками.
(ИСТОЧНИК: https://kali.tools/?p=4325)
При всем при этом, многие инструменты используют лишь один из этих методов, либо 2-3. Да, они не грузят трафик так сильно, что виртуалка на слабом компе может слететь (как это делает Amass), но и результат слабоват, а иногда много мусора, особенно если речь идет о простом переборе по словарю. И, кстати, не находятся домены 4 уровня.
Но в то же время, никогда не знаешь, что будет точкой входа, поэтому использовать нужно максимально надежный инструмент, ИМХО.
Раз уж мы заговорили про filetype:pdf, то вот совершенно замечательная презентация от коллег по инструментам ЦРУ гугл доркам.
Благодарю авторов!
P.S. Пост составлен без какого-либо негатива и издевки. Доброй шутки ради.
Должен признаться, что применять данный дорк я действительно начал после того, как увидел мем)
Я устал писать про OSINT и про открытые источники. Кому они вообще нужны, да и зачем я притворяюсь, якобы у меня нет секретных спец инструментов?
Сегодня мы поговорим про секретный инструмент киберразведки и обсудим некоторые нюансы...
Правда, единственное: постарайтесь никому не говорить о том, что вы знаете и читали об этом, иначе к вам могут возникнуть серьезные вопросы
Смотри пост ниже
⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️
Так, всё.
По-моему, пора немного поспать.
Немного о том, как Nmap может выдать хакера
(Данный метод не является абсолютом, так как опытные хацкеры давно научились всяким хитростям из серии маскировки под DNS-сервер и тому подобное. Однако, учитывая то, что некоторые палятся на отвалившемся VPN и совпадении никнейма, почему бы его не рассмотреть?)
Дело в том, что утилита Nmap крайне плохо работает с различными VPN-сервисами. Тем более, если трафик проложен через Tor.
В связи с этим злоумышленники во время проведения разведки перед атакой могут иногда просто забить на анонимность и просканировать вашу сетку без маскировки ip-адреса. Такое случается. И нередко.
Таким образом, если у вас есть хорошо настроенная SIEM-система, в логах можно попытаться посмотреть, кто отправлял вам SYN-пакеты без подтверждения незадолго до взлома. Это не гарантированный способ, однако он может дать версию и направление для дальнейшего расследования.
❗️По рейтингу 2023-го года ТОП самых полезных каналов по информационным технологиям, информационной безопасности, OSINT : Новости, статьи, книги, курсы, полезные советы. Кладезь бесценной информации!
• Freedom F0x — авторский канал всеми уважаемого Паши Ситникова - этического хакера, специалиста по информационной безопасности и osint. Статьи, уникальные советы, книги, курсы. Будь всегда в теме.
• Интернет-Розыск — Шерлоки Холмсы цифровой эпохи. Ресурсы где ты изучишь osint и информационную безопасность, будешь всегда в курсе событий.
• Investigation&Forensic Tools — канал-каталог программ и методов для проведения расследований и прикладного криминалистического анализа.
• T.Hunter — канал повещен информационной безопасности и пентесту. Будь в курсе всех последних новостей мира ИБ.
• Библиотека разведчика Osint — крупнейшая в своем роде библиотека по теме OSINT. Тут ты найдешь уникальную и полезную информацию, книги, курсы, статьи и трюки для поиска информации о цели.
• Max Open Source — полезные статьи и бесплатные курсы по пентесту и информационным технологиям, программированию и IT.
• 0% Privacy — канал профессионала своего дела, посвящен анонимности, osint и информационной безопасности, будь в курсе последних трендов и самых свежих уязвимостей. Только эксклюзивная информация.
• Нетипичный Безопасник — авторский канал специалиста по информационной безопасности и osint, всеми уважаемого Мефодия Келевра, отборные статьи, уникальная информация, советы.
• Digital-Разведка — Главный агрегатор инноваций, интересных решений и инструментов по OSINT и близким наукам.
• OSINT-SAN Project — osint framework для linux, включающий в себя большое количество модулей, имеющий огромную DB, в связке с различными сканерами и встроенными API.
• OSINT | Форензика — русскоязычное сообщество по обсуждению osint и Форензики.
• IT MEGA — тут эксклюзивные материалы, курсы по программированию, информационной безопасности, "хакингу", osint и IT. (новинка)
• Blackat — канал об IT-технологиях, osint и информационной безопасности.
• Заметки CyberScout'а — канал, обозревающий тематику применения OSINT (и не только) в сфере противодействия киберпреступности и иных разведывательных мероприятий.
Знание - это сила! "Кто владеет информацией, тот владеет миром!"
Всем авторам хочется выразить отдельно благодарность, вы достойны 🤝
❗️Подпишись, будь всегда в теме!
Сегодня удалось лично пообщаться с очень крутым админом очень интересного канала
Узнал много нового. Некоторая информация, честно, меня удивила (и это еще мягко сказано).
Для кого-то анонимность - это просто vpn+tor, а для кого-то - просто миф, сказка))
Надеюсь, что видимся не в последний раз и ещё посотрудничаем!
А на его канал рекомендую подписаться.
Как уже писал ранее, в работе расследователя, разведчика, аналитика угроз, реверсера регулярно применяются виртуальные тачки.
Для нашей безопасности, анонимности необходимо правильно их настраивать, соблюдать меры цифровой гигиены.
И секрет очень прост:
Так как все правила в голове учесть очень сложно, гуглим слово "hardening", а затем название дистрибутива, ОС-ки, которую устанавливаем. Появится немало полезных статей. Кстати, это важно также и для сисадминов, инженеров ИБ, пентестеров и прочих спецов.
Для примера: https://linuxconfig.org/hardening-kali-linux
"Скажу честно, раньше я довольно скептически оценивал возможность определять людей по клавиатурному набору. Все эти параметры, типа: скорости печати, интервалы между нажатиями, ошибки, переходы от одной до другой клавиши — разве можно по ним точно определить, кто из миллионов людей сейчас сидит за клавиатурой? Оказалось, можно. Мои ребята, занимающиеся ML-алгоритмами, реализовали решение, которое очень точно определяло одного человека из нескольких миллионов по параметрам набора слова из 10-12 символов, вот уже несколько лет подобный алгоритм отлично работает в продакшене".
В рамках Хабр-проекта "Киберпрофессии будущего" главный разработчик Group-IB Александр Батенёв рассказал о том, что программистам делать в кибербезе, что их драйвит и какими качествами нужно блеснуть на собеседовании. Читать👈
#интервью #habr
#методология
Врываюсь в новый год с конспектом книги The Internet Intelligence & Investigation Handbook!
Книга написана про британское разведывательное сообщество и для него. Однако я выписала в единый конспект аспекты метологии, которые мне показались уместными и в наших реалиях.
Также в книге описан весь процесс расследования с точки зрения британской бюракратии, что может быть интересно для меня, но не для вас, поэтому такие моменты были опущены.
Набирайтесь международного опыта и совершенсвуйте свои процессы!
https://telegra.ph/The-Internet-Intelligence--Investigation-Handbook-Konspekt-01-15
Внимание!
Злоумышленники звонят детям, представляясь сотрудниками газовых компаний/пожарными, просят включить газ на кухне 🤦🏻♂️
Изначально думал, что это какой-то ироничный юмор. Оказалось, что есть этому место 🤷🏻♂️
Очевидно, что на такие просьбы отвечать не надо!
Также напомните детям стандартные правила:
1. не отвечать на звонки от незнакомых номеров
2. не отвечать на сообщения от незнакомых людей
3. не выполнять действия, которые требует выполнить собеседник, кем бы он не представился
Главное - не паникуйте, иначе такого рода атаки уже не без результата.
Берегите себя!
Про виртуализацию и её важность в нашей сфере
Нашёл отличную статью на любимом хабре, в которой простым и доступным языком изложены основы виртуализации.
В нашей сфере очень важна виртуализация (если ты, конечно, не пробивщик через глаз, который именует себя расследователем киберпрестулпений), так как огромное количество инструментов по техническому OSINT, реверсу, СИ работают только в линуксе, в то время как нам может быть привычнее основную работу вести на винде и там же в ворде писать отчетики на 1000000000 страниц (особенно тем, кто не профильный технарь).
Бывают случаи, когда люди хотят использовать нашумевший OSINT-SAN, но не могут. И причина - не финансы, а неумение установить виртуалочку и поставить кали)
О талантливых студентах
Вчера попросили почитать дипломные работы студентов, работающих в организации, и написать рецензии. Удивлен, но почитал с большим удовольствием. Интересно, что сейчас студенты, учащиеся на факультетах информационной безопасности, пишут про OSINT. И пишут профессионально, интересно, не про пробив.
Рассматривают инструментарий, затрагивают актуальные проблемы, предлагают толковые решения.
Читал с удовольствием, с одним человеком возникло желание пообщаться и переманить к себе в отдел)