Простейшее решение для создания различных ханипотов. Позволяет генерировать логгируемые ссылки, файлы, QR-коды и иной контент, позволяющий получать данные о соединении и устройствах тех пользователей, которые открыли их.

🖥 canarytokens.org

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

Онлайн-сервис для получения общедоступной информации о транзакциях криптовалюты Биткоин и отображении её в удобной графической форме.

🖥 blockpath.com

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

▶️ https://youtu.be/EPpj8sIPBiQ
/// @zeroday_spb

Читать полностью…

Для поиска информации о публичный файлах в хранилище Google вы можете воспользоваться поиском по конкретному порталу:

site:drive.google.com

Также вы можете воспользоваться поисковиком ниже:

🖥 dedigger.com

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

Идентификация лица по его фотографии - это важный элемент проведения OSINT-исследований. Она позволяет найти дополнительные социальные аккаунты лица и установить его вероятное имя.

🖥 search4faces.com
🖥 findclone.ru
🖥 pimeyes.com

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

Необходимо проверять актуальность контактных данных по всему миру? Воспользуйтесь для этого данными HLR + SMTP. Есть и ограниченно бесплатные API внешних сервисов. Например...

🖥 numverify.com
🖥 mailboxlayer.com

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

Кто заглядывает через ваше плечо, когда вы работаете, смотрите видео, учитесь, изучаете исследования и делаете покупки в Интернете? Введите адрес любого веб-сайта, и Blacklight просканирует его и покажет конкретные технологии отслеживания пользователей на сайте и то, кто получает ваши данные. Вы можете быть удивлены тем, что узнаете.

🖥 themarkup.org/blacklight

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

Читать полностью…

ZERO-DAY 29.05.2021 — ФОТОАРХИВ КОНКУРСА
♾ https://disk.yandex.ru/d/QQsYCF0ERIPWCQ

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

Итоги конкурса:
I место - команда Банковского колледжа(группа 04 64-19)🥇
II место - команда Колледжа информационных технологий 🥈
III место - команда Технического колледжа управления и коммерции 🥉

В номинации Разведка на основе открытых источников (OSINT) победу завоевала команда Банковского колледжа (группа 04 54-18)

https://vk.com/wall-163109964_485

Фотографии, видеозаписи и прочие материалы будем выкидывать в канале по мере готовности. Таски для самостоятельного изучения постараемся выложить завтра. Всем спасибо. Вы - супер!!!

Читать полностью…

Xakep №2 Февраль 2024
Xakep #299. Sysmon

Sysmon, или «Системный монитор», — популярнейшее средство аудита Windows, разработанное в Microsoft. Выведение его из строя — приоритет для злоумышленников, атакующих систему и желающих остаться незамеченными. В этом номере мы расскажем о том, как нарушитель может «ослепить» мониторинг, а для укрепления защиты построим грамотный пайплайн, рассчитанный на большие конфиги Sysmon.

Содержание:

🟢 Фаззим исполняемые файлы при помощи AFL++ с санитайзерами
🟢 Разоблачаем CVE-пустышки и пишем эксплоит при помощи ChatGPT
🟢 Пробуем нанять хакера и наблюдаем за ним
🟢 Изучаем эксплоиты социальной инженерии
🟢 Разбираем спайварь на C#

💬 OSINT  OSINT Chat  OSINT Group  OSINT Cloud 💬

Читать полностью…

#article Опубликовали подборку лучших бесплатных OSINT-инструментов по версии T.Hunter в 2024-м году. В ней и уже знакомые сервисы и софт, сохранившие свои позиции с прошлых лет, и новые инструменты, которые будут полезны любому специалисту по OSINT.

Кроме того, в статье нашлось место и альтернативам софту, доступ к которому россиянам теперь закрыт. От старого-доброго Архивариус 3000 до Arkham Intelligence, перспективных отечественных разработок и наших собственных решений. За подробностями добро пожаловать на Хабр!

@tomhunter

Читать полностью…

Уроки форензики. Анализируем логи Windows и таблицу MFT на примере HTB Jinkies

Се­год­ня мы будем учить­ся ана­лизи­ровать логи Windows и смот­реть пол­ную информа­цию о фай­ле в таб­лице MFT. Это поможет нам вос­ста­новить пос­ледова­тель­ность дей­ствий зло­умыш­ленни­ка в сис­теме и рас­крыть его ник­нейм.

Пло­щад­кой для упражне­ний нам пос­лужит задание Jinkies c ресур­са Hack The Box Sherlocks.

По сце­нарию задания компь­ютер­ная ата­ка про­изош­ла 6 октября в инфраструк­туре стар­тапа Cloud-Guru-Management Ltd, где раз­рабаты­вают некий про­дукт. Извес­тно, что поль­зователь взло­ман­ного компь­юте­ра слу­чай­но пре­дос­тавил общий дос­туп к сво­ей пап­ке Documents, а так­же утвер­жда­ет, что в этот день его не было за компь­юте­ром. Генераль­ный дирек­тор Cloud-Guru-Management 6 октября получил устные сооб­щения о том, что интеллек­туаль­ная собс­твен­ность ком­пании была укра­дена. Коман­да реаги­рова­ния на инци­ден­ты соб­рала арте­фак­ты опе­раци­онной сис­темы взло­ман­ного компь­юте­ра с помощью ути­литы KAPE. Наша задача — про­вес­ти рас­сле­дова­ние инци­ден­та и вос­ста­новить кар­тину взло­ма ресур­са.

ИСПОЛЬЗУЕМЫЕ УТИЛИТЫ


• Hayabusa — инс­тру­мент для быс­тро­го ана­лиза логов, осно­ван­ный на пра­вилах Sigma.
• FullEventLogView — ути­лита Nirsoft для ана­лиза событий. Она поз­воля­ет филь­тро­вать логи по датам, иден­тифика­торам событий, а так­же по клю­чевым сло­вам. Что­бы исполь­зовать этот инс­тру­мент, дос­таточ­но ука­зать каталог с фай­лами evtx.
• MFTECmd — пар­сер таб­лицы MFT фай­ловой сис­темы NTFS.
• DB Browser for SQLite — инс­тру­мент для прос­мотра базы дан­ных SQLite, необ­ходим при ана­лизе исто­рии бра­узе­ра Chrome.
• Registry Explorer — ути­лита для прос­мотра кус­тов реес­тра Windows.

ИССЛЕДОВАНИЕ

­Заг­рузим файл архи­ва задания и прис­тупим к иссле­дова­нию арте­фак­тов.

В фай­ле архи­ва содер­жатся сле­дующие дан­ные: каталог TriageData, в котором рас­положе­ны соб­ранные фай­ловые арте­фак­ты опе­раци­онной сис­темы; каталог LiveResponse, содер­жащий спи­сок запущен­ных про­цес­сов; информа­ция о сис­теме и мно­го дру­гих волатиль­ных дан­ных.
Что­бы получить инфу об иссле­дуемом компь­юте­ре, откро­ем файл LiveResponse\Systeminfo.csv. Имя иссле­дуемо­го компь­юте­ра — VELMAD100, уста­нов­лена опе­раци­онная сис­тема Windows 10 Pro. Из фай­ла ipconfig.txt получим сетевые нас­трой­ки интерфей­са, IP-адрес хос­та 192.168.157.144, IP-адрес шлю­за 192.168.157.2, DHCP-сер­вер 192.168.157.254.
Нам извес­тно, что компь­ютер­ный инци­дент про­изо­шел 6 октября 2023 года. Про­ана­лизи­руем все события опе­раци­онной сис­темы за этот день. Откро­ем ути­литу FullEventLogView и заг­рузим логи, рас­положен­ные по такому пути:

Jinkies_KAPE_output/TriageData/C/Windows/system32/winevt

За­тем выс­тавим филь­тр по дате (Options → Advanced Options) и прис­тупим к ана­лизу.

Пер­вым делом про­ана­лизи­руем сооб­щения о событи­ях авто­риза­ции в сис­теме и запус­ка про­цес­сов. На иссле­дуемом хос­те уста­нов­лена служ­ба Sysmon (сис­темный монитор) — эта ути­лита раз­работа­на в Microsoft для рас­ширен­ного ауди­та Windows. Sysmon пре­дос­тавля­ет под­робную информа­цию об активнос­ти сис­темы на уров­не про­цес­сов и сети. Под­робная информа­ция о каж­дом иден­тифика­торе событий есть в до­кумен­тации Microsoft.





Ссылка

Читать полностью…

Серия киберитак Scaly Wolf на российские компании не удалась из-за ошибки хакеров

Компания BI ZONE сообщила о неудачной попытке кибератаки хакерской группы Scaly Wolf на российские компании. Хакеры планировали использовать новый инструмент для эффективного проникновения в инфраструктуру организаций с помощью вредоносного ПО White Snake. Однако, из-за ошибки в подмене файлов, на скомпрометированные устройства устанавливался легитимный файл, не наносящий ущерба.

Атаки были направлены на промышленные и логистические компании, а также государственные организации. Планировалось использование стилера White Snake для того, чтобы получить доступ к корпоративным данным. Это вредоносное ПО позволяет собирать сохранённые в браузере логины и пароли, записывать нажатия клавиш, копировать документы с заражённого компьютера и даже получать к нему удалённый доступ.

По словам руководителя BI ZONE Threat Intelligence Олега Скулкина, злоумышленники попытались обновить способ доставки стилера в целевые системы. Однако, инструмент использовался в спешке и вместо вредоносного ПО в систему копировался легитимный файл, не принося вреда. Таким образом, даже при успешной атаке, доступ к скомпрометированным системам и чуствительным данным легально не получали.

Читать полностью…

💬 OSINT  OSINT Chat  OSINT Group  OSINT Cloud 💬

Читать полностью…

💬 OSINT  OSINT Chat  OSINT Group  OSINT Cloud 💬

Читать полностью…

Онлайн-сервис, предназначенный для поиска новостей в социальных медиа по заданным ключевым словам. Может быть использован для мониторинга репутационного фона.

🖥 kribrum.io

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

Онлайн-сервис для получения общедоступной информации о профиле пользователя в мессенджере Skype.

🖥 skypli.com

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

SpiderFoot HX - автоматизирует сбор OSINT и помогает вам найти то, что важно. С его помощью можно одновременно посылать запросы в более чем сотню баз открытых данных. Это модульный инструмент, и различные источники данных могут быть отключены или задействованы в случае необходимости. На основе полученных результатов можно создать визуализацию, что поможет анализировать данные.

SpiderFoot HX использовался для проведения следующего расследования: https://dailystorm.ru/obschestvo/dvoynye-agenty-oni-upravlyayut-nashim-vyborom-cherez-feykovye-otzyvy-v-internete

🖥 spiderfoot.net

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

▶️ https://youtu.be/rSxN_nl8DLs
/// @zeroday_spb

Читать полностью…

Сохранение и представление точной копии web-страницы используется в процессе доказывания. Интернет-архив собирает копии веб-страниц, графические материалы, видео- и аудиозаписи и программное обеспечение. Архив обеспечивает долгосрочное архивирование собранного материала и бесплатный доступ к своим базам данных для широкой публики.

🖥 web.archive.org

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

Давайте поиграем... У нас есть два схожих сайта: kassir.ru и kassir.com.ru. Оба торгуют билетами на мероприятия. Только один из них является надежным. По каким признакам можно определить надежность сайта?

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

Читать полностью…

Возможность обнаруживать субдомены - важная часть исследования организации. За основным доменом компании есть множество других поддоменов, которые могут предоставить полезную информацию о структуре, технологиях и деловой практике организации. Используйте для этого следующие ресурсы:

https://crt.sh/
https://securitytrails.com/
https://dnsdumpster.com/

https://github.com/darkoperator/dnsrecon
https://github.com/aboul3la/Sublist3r/
https://github.com/OWASP/Amass/blob/master/doc/install.md
https://github.com/Findomain/Findomain

Заглядывайте к нам в ВК: https://vk.com/zeroday_spb

Читать полностью…

Доброе утро. Задания пройдены, победители определены. Предлагаем и вам, уважаемые подписчики, попытать свои силы в конкурсе по OSINT-у. У вас имеется документ в Google Docs https://docs.google.com/document/d/1XsxfUoytpqohf8Qx2II-61orGtrRUxFyTZSQ4-FPXc0/edit?usp=sharing

Используя его, ответьте на следующие вопросы:
1️⃣ Назовите логин (email) автора документа
2️⃣ Найдите фотографию автора документа
3️⃣ В каком отеле в Крыму проживал автор документа
4️⃣ Где автор документа провел предпоследнюю ночь
5️⃣ Во сколько автор документа планировал посетить ZERO-DAY
6️⃣ Какие настоящие имя и фамилия у автора документа
7️⃣ Какой сайт использует Яндекс Метрику из документа
8️⃣ Сколько лет администратору этой Яндекс Метрики
9️⃣ Какой пароль у Google-аккаунта автора документа
🔟 С какого мобильника администрируется этот Google-аккаунт

🔻Разбор заданий будет в комментариях

Читать полностью…

💬 OSINT  OSINT Chat  OSINT Group  OSINT Cloud 💬

Читать полностью…

Украинские спецслужбы колбасит не по детски, они вдруг осознали всю величину того, насколько они попали. Ситуация с блокировкой ботов набирает обороты. На скринах их паника и взаимные обвинения.

А вся суть в том, что укрождуны и наводчики, для своей безопасности, стараются удалять украинские паблики, и просто заходят в сохраненные ссылки ботов, которые очень активно раскручивали медийно, именно чтоб охват был наибольшим... ну или по поиску, из памяти, чтоб не оставлять в телефоне никаких ссылок, для своей безопасности. И теперь они будут давать информацию напрямую нашему тащ майору😁🔥
Оформляя при этом сразу на себя фактуру. 😎🫡

Такой удар по украинской агентурной сети, будет уже невозможно будет компенсировать, ведь у них новых ждунов уже практически нет, и оповестить об этом всех старых, не получится. Какой то процент конечно прочтёт, узнает, но очень многие попадут на карандаш, и это позволит дополнительно обезопасить наши регионы...

Браво, браво, борцуны с телеграммом из Украины, своими требованиями цензуры вы сами обеспечили фееричные подрывы в Киеве, любо дорого посмотреть 😁👍

Ну и Паша красавчик, так изящно по губам провести в ответ на давление с введением цензуры - огромное уважение.

Русский Инженер -
✅ подписаться

Читать полностью…

В FullEventLogView откро­ем вклад­ку Options → Advanced Options → Show only specified event IDs и вве­дем сле­дующие иден­тифика­торы событий:

•4624 — событие вхо­да в сис­тему, нам инте­ресен тип вхо­да и источник авто­риза­ции;
•4648 — вход в сис­тему с явным ука­зани­ем аутен­тифика­цион­ных дан­ных;
•4672 — сеан­су вхо­да наз­начены спе­циаль­ные при­виле­гии;
•4625 — ошиб­ка вхо­да в сис­тему;
•1149 — событие опи­сыва­ет приз­нак вхо­да в сис­тему по про­токо­лу RDP; такое событие регис­три­рует­ся при под­клю­чении источни­ка к хос­ту;
•21 — успешный вход поль­зовате­ля в сеанс RDP;
•24 — отклю­чение сеан­са RDP;
•1 (жур­нал событий Sysmon) — событие соз­дания про­цес­са, содер­жит под­робную информа­цию о соз­данном про­цес­се: хеш, коман­да запус­ка и так далее;
•3 (жур­нал Sysmon) — событие сетево­го под­клю­чения регис­три­рует TCP- и UDP-соеди­нения.

Читать полностью…

🤩 Jhorj club.
Приватный клуб единомышленников.

Плата - 1000руб/мес


Что получаете?

Клуб разделен на несколько разделов:
1. Защита данных в сети.
2. Интернет разведка.
3. Самооборона.
4. Совместные проекты.
5. Эксклюзивный материал от автора.
6. Бесплатные, неограниченные запросы в популярные пробив боты.

Глаз бога, юзерсбокс, GTA search, Quick OSINT, Zernerda, Cerberus. Плюс будем добавлять со временем.

Анонимность запросов: запрос вы отправляете в личные сообщения, а не в общую группу, таким образом другие участники не знают какие запросы вы делали.


По каждой теме будем приглашать специалистов, которые будут проводить консультации и эксклюзивные выступления по темам которые ВЫБЕРЕТ КЛУБ.

Разведка, информационная безопасность, самооборона, спортивные тренера и тд.


Сообщество коллег и единомышленников. Возможно именно тут вы найдете партнера по бизнесу.


В первые месяцы цена символическая - 1000руб/месяц.

Оплата возможна переводом на карту, BTC, Monero, usdt (trc20).

Далее цена будет кратно выше.


🤩 Контакт для записи - @osint_lifestyle

Читать полностью…

​⚡️Scaly Wolf завалила атаку из-за банальной ошибки

💬 Группировка Scaly Wolf, известная своими атаками на российские и белорусские организации, возобновила активность в конце марта 2024 года, выпустив не менее шести фишинговых рассылок на промышленные и логистические компании, а также государственные учреждения. Однако хакеры провалила серию кибератак на Россию из-за собственной ошибки, рассказали в компании BI.Zone.

Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который они использовали в предыдущих кампаниях. Это вредоносное программное обеспечение позволяет собирать логины и пароли, сохраненные в браузере, записывать нажатия клавиш, копировать документы с инфицированного компьютера и получать к нему удаленный доступ.

Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. Хакеры рассчитывали, что жертва откроет приложенный к письму архив в ZIP-формате. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake.

Однако, внедряя обновленный способ доставки вредоноса для обхода защитных механизмов, злоумышленники допустили серьезную ошибку. Вместо ВПО в систему копируется легитимный файл explorer.exe — «Проводник». То есть даже в случае успешной атаки преступники не достигали главной цели — не получали доступ к чувствительным данным и скомпрометированной системе.

В ходе неудавшейся кампании Scaly Wolf использовала обновленную версию стилера White Snake, которая появилась в продаже на хакерских форумах только в конце марта. Разработчики вредоноса объявили «весенние скидки» - приобрести доступ к программе на полгода можно было за 500 долларов вместо 590, на год - за 800 вместо 1100, бессрочно - за 1000 вместо 1950 долларов.

Как отметили в компании, ранее создатели White Snake утверждали, что один из покупателей якобы сумел обойти ограничения на использование программы в России и странах СНГ. Об этом они заявили в августе 2023 года после публикации исследования компании о применении стилера против российских компаний. Вероятнее всего, таким образом разработчики пытались избежать блокировки вредоноса на популярных хакерских ресурсах. В последней версии White Snake модуль, блокирующий работу программы на территории РФ и стран СНГ, отсутствует.

🔔 ITsec NEWS

Читать полностью…

Xakep №1 Января 2024 год
#298. Stable Diffusion XL

Нейронка Stable Diffusion может рисовать картинки локально на твоем компьютере подчас не хуже, чем это делают платные сервисы. Две главные статьи этого номера посвящены новой версии — SDXL. Мы установим ее на свой компьютер, добавим веб-фронтенд и постигнем искусство промптинга и тонкой настройки при помощи рефайнеров, лор и стилей.


Содержание:

🟢Ловим проблемный CORS на проде
🟢Реальные кейсы применения социнженерии
🟢Ищем руткиты уровня ядра Linux в оперативке
🟢Исследуем лазейки для исполнения стороннего кода в Windows
🟢Проходим 4 машины с Hack the Box

💬 OSINT  OSINT Chat  OSINT Group  OSINT Cloud 💬

Читать полностью…

Xakep №297. Язык самолетов Декабрь 2023

Xakep #297

Современные самолеты непрерывно передают друг другу телеметрию по протоколу ADS-B. В этом номере мы расскажем, как принимать и расшифровывать такой трафик, а затем в безопасных условиях смоделируем его передачу.


Содержание:

🟢 Вспоминаем самые громкие события в ИБ
🟢 Рассказываем о Metasploit по-простому
🟢 Апгрейдим защиту сетевого оборудования на примере Cisco
🟢 Меняем поведение программ на Electron
🟢 Защищаем программы от подгрузки вредоносных DLL
🟢 Разбираем приемы фишеров
🟢 Проходим 4 машины с Hack the Box

💬 OSINT  OSINT Chat  OSINT Group  OSINT Cloud 💬

Читать полностью…