Pandora's box

08 Sep 2023 11:12

https://xakep.ru/2023/09/06/nonprivacy/

Pandora's box

06 Sep 2023 14:07

W3LL oiled machine: Group-IB uncovers covert BEC phishing empire targeting Microsoft 365

Group-IB’s newest threat report is now live! Meet W3LL — a threat actor behind a phishing empire that has remained largely unknown until now.

What’s inside the report?

📌W3LL’s history since 2017
📌Examination of W3LL Store, a hidden underground market that serves a closed community of threat actors
📌Analysis of W3LL’s major weapon, W3LL Panel, one of the most advanced phishing kits in its class, along with a rundown of the threat actor’s 16 other fully customized tools for BEC attacks
📌W3LL Store’s estimated turnover for the last 10 months amounted to at least $500,000

Download the report “W3LL done: Hidden Phishing Ecosystem Driving BEC Attacks” for more insights into W3LL’s business, a list of Indicators of Compromise as well as YARA rules that can be used to hunt and detect W3LL Panel phishing pages.

#FightAgainstCybercrime #Phishing #W3LL

Pandora's box

01 Sep 2023 17:41

Разбирая закладки, обнаружила два сайта с рекомендациями и утилитами для анонимизации. Эх, а кто-то это контент пихает в платные курсы!
Не говорю, что здесь все надо брать за чистую монету. Да и те, кому все это действиетельно надо, как правило, и так все это знают)

В общем, держите чисто для просвящения:

➡️ https://www.privacytools.io
➡️ https://privacytools.ru/#

Pandora's box

30 Aug 2023 17:27

Забавный симулятор для тех, кто только начал изучать сети

➡️ https://netsim.erinn.io

Pandora's box

27 Aug 2023 15:12

Канал заметно вырос с того момента, как я спрашивала у вас, про что вам интересно читать в этом канале.

Расскажите, пожалуйста, в комментарях ⬇️, на какие конкретные темы вам бы хотелось услышать мои мысли? Категории можно подсмотреть здесь.
Также можно написать в бота: @pandoras_box_temp_bot

Пост удалю потом.

*️⃣ Всем хороших выходных! *️⃣

Pandora's box

12 Aug 2023 21:53

🟡 Мои закладки 🟡

Я тут разбирала файлы и обнаружила ну очень старый список моих закладок в браузере.

Я бы могла растянуть этот контент на год, помечая посты #osint_tools, #osint_course и прочее. Но я правда не считаю такой контент годным, ибо только к 1% ссылок из этих закладок я возвращаюсь регулярно в своей работе.

Поэтому вот вам сразу весь список as it is. Может, кто-то найдет что-то для себя полезное!

А мораль сего поста такова: всегда тестируйте инструментарий, который держите при себе. Если не использовано в течении месяца – в мусор. Не копите хлам даже в закладках.

Pandora's box

06 Aug 2023 18:43

Публикуем запись первого доклада OSINT mindset meetup №11! Поговорим о расследовании инцидентов в ИБ 🤒

Pandora: Социальный анализ в расследовании инцидентов ИБ

Ссылка на пост с презентацией к докладу

🌐Site | 💬 Forum | 🔍 Family |▶osint_mindset">YT

Pandora's box

29 Jul 2023 09:49

✨Межпланетная файловая система и киберпреступления ✨

Помимо крипты, Web 3.0 подарил нам IPFS-сети. По сути IPFS – распределенная система хранения и распространения данных, построенная на принципах одноранговой сети и со своими особенностями. Она позволяет хранить и получать данные, адресуемые с помощью хэшей контента, вместо традиционных URL-адресов. Благодаря децентрализации распространение зловредного контента в этой сети сильно проще. Во-первых, один файл может раздаваться сразу несколькими узлами. Во-вторых, доступ к данным может осуществляться и без специального клиента, то есть получить данные по ссылке шлюза могут и пользователи, которые и вовсе не знают, что такое web 3.0. Таким образом, IPFS-сети – это практически идеальный инструмент для распространения различных фишинговых страниц и ВПО.

➡️ Выглядят ссылки на контент внутри сети через публичный шлюз примерно так:

https://ipfs[.]io/ipfs/bafybeihzkuiaszmirrz2ervaa7hvx2rjrz5vb4etdo63sqtpxqtfkunblu/any.html

Это строка с реальной фишинговой страницей. Поэтому на момент чтения ее могут уже заблокировать, за архивной версией можно заглянуть сюда.

Строка bafybe...kunblu и есть тот самый идентификатор контента (CID). Они бывают разного формата с разными написанием.

Вот как раз нечто похожее мне и попалось на днях при расследовании одного кейса. Мне было важно, с каких IP-адресов раздаются вредоносные файлы.

Несмотря на общее заблуждение, децентрализация не ведет к анонимизации.

✔️ Устанавливаем IPFS Kubo (консольный клиент) по инструкции и запускаем его

✔️ ipfs dht findprovs <cid> – находит пиры, которые могут раздать контент с заданным идентификатором

✔️ ipfs id <peerid> -f="<addrs>\n" – IP-адреса, указанного пира

Ниже будет пример вывода.


В таких новых технологиях всегда есть очень много нюансов. Поэтому приходится буквально наживую с ними разбираться.

Pandora's box

19 Jul 2023 17:37

Анонсируем первый доклад OSINT mindset meetup №11! Поговорим о том, как с помощью социального анализа можно раскрывать киберпреступления 🔥

Pandora — Социальный анализ в расследовании инцидентов ИБ 🤒

В данном докладе мы рассмотрим, как социальные графы помогают интерпретировать полученные данные. Узнаем, какие свойства графов работают для исследования киберпреступности. А также на реальном кейсе разберем, как теория переходит в практику.

И помните, графы не то, чем кажутся.

🌐Site | 💬 Forum | 🔍 Family |▶osint_mindset">YT

Pandora's box

07 Jul 2023 19:55

Если вы искали, чего б еще такого развлекательного посмотреть про разведку, то вот оно!

Pandora's box

22 Jun 2023 14:32

А сегодня у нас продолжение Операции-триангуляции от Каспа.

https://securelist.ru/triangledb-triangulation-implant/107612/

(Пасхалка в комментариях)

Pandora's box

20 Jun 2023 09:31

#слоупочные_новости

Арестовали Руслана Астамирова по делу LockBit.

https://www.justice.gov/opa/pr/russian-national-arrested-and-charged-conspiring-commit-lockbit-ransomware-attacks-against-us

In furtherance of his LockBit-related activities, Astamirov owned, controlled, and used a variety of email addresses, Internet Protocol (IP) addresses, and other online provider accounts that allowed him and his co-conspirators to deploy LockBit ransomware and to communicate with their victims. Additionally, in at least one circumstance, law enforcement was able to trace a portion of a victim’s ransom payment to a virtual currency address in Astamirov’s control.

Из текста становится понятно, что Астамиров скорее всего был пользователем партнёрки LockBit. Собственно, такую мысль выражают и сами LockBit в своем аккаунте.

Pandora's box

19 Jun 2023 11:29

Я тут вернулась в Twitter как читатель 🤪

Каждый раз прихожу к тому, что twitter это как источник профессиональных новостей, без которого никуда. Telegram-каналы не покрывают и части того, что есть и происходит в Twitter'e. Тут обычно все мусолят одно и тоже по кругу с разницей в полгода, особенно если это касается "новых" методик и инструментов. Скоро займусь, наверно, one-channel решением для все источников информации через IFTTT или подобное, но об этом на другом канале расскажу.

Накидайте в комментах годных профелей по OSINT, расследованиям, форензике, threat intelligence, крипте, ну вы поняли, все, что я так люблю. Я начну первая👇
Потом сделаю подборку из самаого-самого проверенного 😊

Pandora's box

12 Jun 2023 12:48

Скрипт кидди би лайк:

Pandora's box

07 Jun 2023 15:03

SANS выпускает новый курс Cybercrime Intelligence к 2024 году, скорее всего так и будет по тэгу #смотреть_руками_не_трогать

https://www.sans.org/blog/for589-dark-web-threat-hunting-blockchain-forensics/

Pandora's box

07 Sep 2023 16:09

Все же любят сборники интрументов? Пусть у меня тоже один будет.

🔘 https://www.osinttechniques.com

Pandora's box

06 Sep 2023 14:07

и снова #хвастаюсь своими коллегами

Pandora's box

31 Aug 2023 13:36

#слоупочные_новости

ФБР отлично поработало в последнее время!

✔️Ботнет QakBot был ликвидирован в результате международной операции «Утиная охота».

✔️Два основателя Tornado Cash обвиняются в отмыве деньжат Ким Чен Ына Lazarus. Один из них арестован в США.

Pandora's box

28 Aug 2023 20:19

Можно бесконечно смотреть на три вещи: огонь, воду и как ESET познает терминологию.

https://www.welivesecurity.com/en/eset-research/telekopye-hunting-mammoths-using-telegram-bot/

Pandora's box

20 Aug 2023 11:51

Отойдем от темы ИБ и снова вернемся в моим закладкам. Если изучаете программирование и застряли на паттернах проектирования, то вам поможет этот сайт:

*️⃣ https://refactoring.guru/ru/refactoring

А еще у меня есть примеры кода:

*️⃣ https://github.com/Panda-Lewandowski/Design-Pattern-and-Containers

Pandora's box

11 Aug 2023 18:28

#слоупочные_новости

https://therecord.media/lolek-bulletproof-hosting-seizure-fbi-irs

Pandora's box

01 Aug 2023 16:42

Наткнулась тут на вот эту прелесть. Вдруг кому пригодится😊

Pandora's box

22 Jul 2023 21:18

Ловите презу с сегодняшнего доклада😊

Pandora's box

12 Jul 2023 22:44

Вышел новый выпуск журнала от разведчиков и для разведчиков:
"Studies in Intelligence".
Кратко описание можно прочитать здесь
#ЦРУ #Разведка

Pandora's box

06 Jul 2023 08:43

Совсем не #слоупочные_новости

Помните отчет по OPERA1ER? Так вот, у этой истории триумфальный конец! 🎉

https://www.interpol.int/News-and-Events/News/2023/Suspected-key-figure-of-notorious-cybercrime-group-arrested-in-joint-operation

https://www.group-ib.com/media-center/press-releases/operation-nervone

Ну кто еще будет возвращаться в канал с такими новостями 😊 (но это не причина, нет)

Pandora's box

21 Jun 2023 12:37

#слоупочные_новости

Я тут прошляпила продолжение истории с форумами. Вышло даже интереснее, чем я предполагала.

Дабы не повторяться, предлагаю ознакомиться с подробностями тут:
/channel/true_secator/4498
/channel/true_secator/4522

Pandora's box

19 Jun 2023 15:08

Chainalysis пишет, как операторы вирусов-шифровальщиков отмывают криптовалюту, прогоняя ее через майнинг-пулы.

Напомню, что отследить криптовалюту, прошедшую через какой-либо сервис, невозможно. Поэтому для отмыва можно юзать еще и всякие свапалки типа FixedFloat, DEX или крипто-казино. Есть еще малоизвестный миксер, с какого-то хрена называющийся в AML-источниках как Privacy Protocol. Но использовать для отмыва майнинг-пулы — это, конечно, в новинку.

Pandora's box

16 Jun 2023 11:50

Практика в изучении OSINT

Я тут хочу вставить свои пять копеек в бомбанувший пост от @vali_ax.

А можно ли к вам в стажеры или ассистентом? Можно вам просто помогать? Где искать кейсы?

Думаю, вы поняли, что речь пойдет про практику. И здесь еще более прозаично. Чтобы у вас был опыт, вам нужно что-то делать полезное, а не искать заветные идеальные «кейсы». А как?

✨Участвуйте в разных CTF. Необязательно собирать команду и даже играть. После соревнований участники и организаторы часто выкладывают свои writeup‘ы на самые сочные задания. Попробуйте выполнять задания по шагам.

✨Этот же способ можно распространить на все остальные практические статьи по OSINT. Следите за ходом мысли автора и предугадывайте дальнейшие шаги.

✨Решайте задания на тренировочных площадках самостоятельно. Таски по OSINT представлены на RootMe, HTB, TryHackMe. Если хотите выйти за рамки OSINT чуть дальше - CyberDefenders. А еще есть замечательный форум OSINT Mindset.

✨Научитесь ставить себе задачи самостоятельно. Наткнулись на группу жуликов? Исследуйте! Кто-то странный написал в чате? Исследуйте!

✨Найдите релевантную работу. Да-да. Опять про этот круг «нет работы»-«нужен опыт». Но часто я встречаю слишком высокие запросы у совсем новичков. Все хотят сразу в бой, да чтоб еще и с драконами. Так не бывает. Сначала будет сложно и не всегда интересно. Подыщите вакансию младшего аналитика в SOC, базовых навыков из поста Вали должно хватить для начала. Вот пример (вакансия архивная).

Есть некое ощущение, что надо сделать подобную заметку еще и об soft skills. И дополнить пост Вали по своей области. А если вы уже точно решили, что хотите в кибербез защитником, то рекомендую ознакомиться с Mandiant CTI Framework, там все это уже есть.

Pandora's box

07 Jun 2023 23:04

Я тут опубликовала отзыв на один ситком, который как раз по теме данного канала. Тем, кто в этой «теме», особенно зайдёт.

Pandora's box

06 Jun 2023 16:59

Mandiant. M-Trends 2023 Special report.