Amazon незаметно пофиксили полгода назад серьезную уязвимость, затрагивающую Android-приложение Amazon Photos. При этом Amazon Photos для Android было загружено более 50 миллионов раз в Google Play, прежде чем был выпущен патч.

Amazon Photos — это приложение для хранения изображений и видео, которое позволяет пользователям беспрепятственно делиться своими снимками с пятью членами семьи, предлагая мощные функции управления и организации.

Исследователи Checkmarx сообщили о найденной проблеме через программу исследования уязвимостей Amazon 7 ноября 2021 года, на следующий день компания подтвердила ошибку, классифицировав ее как уязвимость высокой степени серьезности.

18 декабря 2021 года Amazon уведомила ресерчеров о закрытии недостатка, однако пользователи приложения до настоящего времени не были проинформированы.

Эксплуатация ошибки позволяло вредоносному приложению, установленному на том же устройстве, украсть токены доступа Amazon, используемые для аутентификации Amazon API.

Многие из API содержат личные данные, такие как имена, адреса электронной почты, адреса и многое другое. Некоторые, например Amazon Drive API, предоставляют хакеру полный доступ к файлам человека.

Недостаток, обнаруженный исследователями Checkmarx, заключается в неправильной настройке компонента приложения - com.amazon.gallery.thor.app.activity.ThorViewActivity, в результате чего его файл манифеста становится доступным извне без аутентификации.

При запуске компонент инициирует HTTP-запрос, содержащий заголовок с токеном пользователя. Исследователи Checkmarx обнаружили, что внешнее приложение может легко запустить уязвимую активность и инициировать запрос по желанию, отправив токен на сервер, контролируемый субъектом.

Аналитики апробировали различные сценарии использования полученного токена, такие как выполнение действий с файлами в облачном хранилище Amazon Drive жертвы, стирание истории, чтобы удаленные данные нельзя было восстановить, и многое другое.

Сценарий ransomware был самым вероятным вектором атаки: злоумышленнику необходимо лишь прочитать, зашифровать и перезаписать файлы клиента, стерев их историю.

Тот же токен может использоваться другими API-интерфейсами Amazon, такими как Prime Video, Alexa, Kindle и др, поэтому потенциал эксплуатации уязвимости был достаточно велик.

Вместе с тем, Amazon заявляет, что у компании нет доказательств того, что в результате этой проблемы была раскрыта конфиденциальная информация о клиентах. Ещё бы.

​🔖 S.E.MindMap. Рисуем картину с помощью найденной информации о твоей цели.

🖖🏻 Приветствую тебя user_name.

• Как известно, любая атака начинается с разведки, не важно на сколько масштабной она будет, главное на данном этапе — получение максимального количества информации о цели.

• В этом посте будет представлена крутая и очень полезная карта, благодаря которой ты сможешь с легкостью составить полную картину о цели, с помощью найденной информации.

• Что касается поиска данных о цели, обрати внимание на список ресурсов, инструментов, статей и методов поиска нужной информации в нашем канале, по хештегу #OSINT, а как применять эту информацию зависит только от твоих навыков и фантазии. Твой S.E.

​🦈 Wireshark. Лайфхаки на каждый день.

🖖🏻 Приветствую тебя user_name.

• Об этой прог­рамме зна­ет каж­дый, кто хотя бы раз стал­кивал­ся с задачей ана­лиза тра­фика. Популяр­ность #Wireshark впол­не оправдан­на: во‑пер­вых, дан­ный про­дукт является бесплатным, во‑вто­рых, его функционала хва­тает для решения самых сложных воп­росов, каса­ющих­ся перех­вата и ана­лиза переда­ваемых по сети дан­ных. Про­дукт пользуется зас­лужен­ной популяр­ностью у вирус­ных ана­лити­ков, реверс‑инже­неров, сис­темных адми­нис­тра­торов и, безус­ловно, пен­тесте­ров.

• По­мимо Ethernet, Wireshark уме­ет перех­ватывать тра­фик бес­про­вод­ных сетей (стан­дарты 802.11 и про­токол Bluetooth). Инструмент поз­воля­ет ана­лизи­ровать тра­фик IP-телефо­нии и вос­ста­нав­ливать TCP-потоки, под­держи­вает­ся ана­лиз туннелиро­ван­ного тра­фика. Тулза отлично справ­ляет­ся с задачей декоди­рова­ния про­токо­лов, но, что­бы понять резуль­таты это­го декоди­рова­ния, надо, безус­ловно, хорошо раз­бирать­ся в их струк­туре.

• Сегодня делюсь с тобой полезной статьей, которая поможет начинающим в изучении данного инструмента и сократит время при выполнении определенных задач: https://habr.com/ru/company/vdsina/blog/562110/

📌 Дополнительный материал:

• Основы компьютерных сетей + Дополнительный материал.
• Wireshark в практике пентеста: расшифровка RDP трафика.
• Cheat sheets: tcpdump and Wireshark.
• Практическое руководство по использованию Wireshark и tcpdump.

• Онлайн анализатор PCAP, поддерживается загрузка файлов до 50 Мб, так же есть поиск ранее загруженных дампов по URL, IP, хешам и network indicator.
https://packettotal.com/

• Мощный online hex-dump packet analyzer / decoder
http://packetor.com

• Облачный WireShark, требуется регистрация. Много функций, плагинов и возможности для Enterprise-сектора.
https://www.cloudshark.org/

• Зеркало Wireshark's Git repository с исходниками
https://github.com/wireshark/wireshark

Твой S.E. #Wireshark

«Если бы на всем свете было четыре человека, то продавать алмазов нужно столько, чтобы хватало лишь на двоих».

«Если бы на всем свете было четыре человека, то необходимо сделать так, чтобы они постоянно чувствовали, что позарез нуждаются в алмазах, хотя на самом деле алмазы никому не нужны».
Сесил Родс.

Родс - тот самый человек, основавший крупнейшую мировую компанию по добыче алмазов.

Стратегия создания управляемых сырьевых рынков, в основу которой легла «алмазная модель» «Де Бирс», роль Ротшильдов и Морганов в мировой истории алмазного рынка и роль технических алмазов во Второй Мировой, для чего и кем финансировался Третий Рейх, чем обеспечивалась индустриализация СССР, что общего у Якутии и ЮАР, откуда у племени нищих рыбаков в Нигерии самое современное оружие и, наконец, почему история последних двухсот лет ходит по кругу.

"Контроль над сырьевыми рынками является подлинной основой власти, а идеологические конструкции — лишь тактические инструменты, этот контроль обеспечивающие."

"Мировые цены на сырьевые ресурсы — не объективная реальность и даже в первом приближении не определяются спросом и предложением, это параметр, который можно произвольно изменять в широких диапазонах, если есть возможности манипуляции объемами добычи и генерации специально организованного информационного потока."
Вместо "сырьевые ресурсы" подставьте что угодно: нефть, газ, крипта - и получите модель мировой экономики.

Очень занимательная книженция. Рекомендую все любителям проводить параллели между историческими фактами прошлого и событиями настоящего.

Labtainers: A Docker-based cyber lab framework: https://github.com/mfthomps/Labtainers

Операторы программы-вымогателя AstraLocker совершили акт доброй воли и выложили дешифратор. Представители банды публично сообщили, что сворачивают деятельность и планируют заниматься относительно безобидным использованием чужих устройств для добычи криптовалюты, ну или как говорят в народе - криптоджекингом.

Разработчик отправил ZIP-архив с дешифраторами AstraLocker на платформу анализа вредоносных программ VirusTotal, а BleepingComputer загрузил и подтвердил, после того как протестировали на одной из жертв зашифрованных в недавней кампании AstroLocker, что дешифраторы легитимны и работают.

Вряд ли злоумышленников замучила совесть и они решили обелиться перед общественностью. Вероятно настоящей причиной прекращения деятельности стало давление со стороны правоохранительных структур в ответ на их недавние нападения.

Как известно AstraLocker основан на исходном коде программы-вымогателя Babuk Locker (Babyk), которая просочилась в сеть в июне 2021 года и, по мнению экспертов из ReversingLabs за нынешней вредоносной программой стоят злоумышленники, которые имеют относительно низкий уровень навыков и беспорядочность действий относительно своих коллег по цеху - методичных и взвешенных операторов Babuk.

Кроме того, эксперты заметили, что адрес кошелька Monero, используемый группой для выкупа, связан с группой Chaos Ransomware.

Данные факты создают определенный риск для банд-вымогателей после утечек кода, так как количество мотивированных мамкиных хацкеров растет, которые активно используют утечку в своих собственных атаках. Дабы отсечь от котлеты школоту и не нервировать правоохранителей своей вездесущностью, операторы решили опубликовать дешифратор и публично сообщить, что отошли от дел.

О работе банковского сектора в условиях кибератак и импортозамещения рассказал CyberMedia начальник отдела ИБ КБ «Хлынов» Евгений Карпов в рамках конференции Security Summit.

Коммерческая хакерская группа TA578 грузит жертвам банковский троян IcedID прямо с Yandex.Forms. Прикольно.

👺 Active Directory in Red Teaming.

🖖🏻 Приветствую тебя user_name.

• Сегодня ты узнаешь много нового, касательно Active Directory. На одном из старейших хакерских форумов XSS.IS (ex DaMaGeLaB) была опубликована очень интересная серия статей, которая включает в себя описание различных инструментов, основ и нюансов при проведении тестирования на проникновение в #AD. Весь материал переведен на русский язык. Делюсь ссылками:

➖ Active Directory in Red Teaming. Введение.
➖ Active Directory - Offensive PowerShell.
➖ Active Directory - Local Privilege Escalation.
➖ Active Directory - Lateral Movement.
➖ Active Directory - Domain Persistence.
➖ Active Directory - Domain Privilege Escalation.
➖ Active Directory - Forest Trust Abuse.

• Если у тебя не получается зарегистрироваться на форуме XSS, то запросите материал в нашем боте обратной связи: @Social_Engineering_bot

Твой S.E. #AD #Пентест

Большая энциклопедия Android-malware

Не так давно кто-то спрашивал про сэмплы зловредов под Androd. Тогда я скинул репозиторий, который содержит определенное их количество и периодически обновляется.

Но вот намного более интересный вариант под названием Androscope, поиск по вредоносам, а точнее по их функционалу. То есть, с его помощью можно найти все семплы, которые записывают видео с экрана или используют наложение, отреверсить их и понять, как они это имплементируют.

Очень интересный проект, для аналитиков самое то!

А вот небольшая статья по его функционалу.

#Android #Malware #reverse

Social Engineering Your Way Into The Network.

This post discusses how an attacker can social engineer users in ways that go beyond the traditional methodology.

Docker for Pentesters.

• Background;
• Useful Docker Aliases;
• Example 1 - Exploring other OSs;
• Example 2 - Compiling Code for old targets;
• Example 3 - Impacket;
• Example 4 - SMB Server with Impacket;
• Example 5 - Serving HTTP Files;
• Example 6 - Serving Files over WebDav;
• Example 6 - Serving Files behind NAT with Ngrok;
• Example 7 - Metasploit;
• Example 8 - msfvenom;
• Example 9 - Capturing HTTP Files;
• Bonus Example - Windows Containers;
• Conclusion;
• tl;dr.

#Docker

Bank Security: https://github.com/BankSecurity/Red_Team

#Red_Team

͏Microsoft опубликовала PoC размером с твит для уязвимости в macOS, которая может помочь злоумышленнику обойти ограничения песочницы и запустить код в системе.

Об ошибке Microsoft сообщила Apple в октябре прошлого года, а исправление было выпущено с обновлениями безопасности macOS в мае 2022 года (Big Sur 11.6.6).

Компания опубликовала технические подробности CVE-2022-26706, пояснив, как можно обойти правила песочницы приложения macOS, чтобы обеспечить вредоносному макрокоду в документах Word выполнять команды на машине.

Злоупотребление макросами в документах Office для развертывания вредоносных ПО уже давно является излюбленной хакерами техникой взлома систем Windows. Как оказывается, то же самое может быть реализовано на уязвимых компьютерах под управлением macOS.

Уязвимость была обнаружена при изучении методов запуска и обнаружения вредоносных макросов в документах Office на macOS.

Изучив более ранние отчеты (1, 2) о выходе из песочницы macOS, исследователи группы Microsoft 365 Defender обнаружили, что использование Launch Services для запуска команды open –stdin в специальном файле Python с вышеупомянутым префиксом «~$» позволяет выйти из песочницы приложения в macOS.

Исследователи разработали PoC c использованием опции -stdin для открытия файла Python, чтобы обойти ограничение расширенного атрибута com.apple.quarantine.

Код эксплойта оказался достаточно прост, исследователям даже удалось сжать его настолько, что он поместился в твит, как можно видеть ниже 👇

Наконец могу кинуть большую порцию интересных (на мой взгляд) отчетов. Хоть и времени много прошло, но:

1. Лаборатория Касперского описала арсенал новой APT группы ToddyCat;
2. Описание кампании индийской APT группы Bitter против военных объектов Бангладеша;
3. А вот иранская APT группа Lyceum обзавелась новый DNS бэкдором, который описали ребята из Zscaler;
4. А Ashraf описал применяемый группой APT34 DNS агент Saitama. А потом вдогонку кинул и анализ кейлоггера Snake;
5. The DFIR Report описали цепочки двух атаки с проникновением через MS SQLServer и через ManageEngine SupportCenter Plus;
6. Маленький анализ лоадера BumbleBee;
7. MalwareBytes проанализировала как APT группа TA471 загружает Cobalt Strike;
8. Вторая часть анализа стилера Raccoon (первая интереса не представляет);

9. Куда без офисных документов:
отчет о загрузчике Emotet;
отчет о загрузчике Ursnif;
описание нового загрузчика SVCReady;

10. Ну и конечно же шифровальщики:
анализ HavanaCrypt v1.0 от TrendMicro;
анализ LockBit v2.0 от Cybereason;
анализ Hive v.rust от Microsoft

#report #apt #malware #redteam #blueteam