🆘 #литература #malware #mobile #reverse

Добрый день! Давно не виделись :)

➡️Делюсь своим конспектом о анализе мобильного [вредоносного] ПО для Android по мотивам книг:

📖 ‟The Android Malware Handbook” (Nov, 2023)
📖 ‟Intelligent Mobile Malware Detection” (Dec, 2022)
➕и не только!


🧩 qwqoro/Android-Malware-Analysis

⬇️ HaHacking_Android-Malware-Analysis.pdf ⬇️

Бывает тяжело ориентироваться в информации, когда негде взять структурированную выжимку. Для таких, как я, – этот конспект, разбитый по главам;

И он мне уже пригодился на практике, stay tuned! ❗️

Книги служили основными источниками знаний➕ориентирами по темам / подтемам, которые стоит включить; информация была обработана и дополнена некоторыми деталями и ссылками на связанные источники из разряда "See also" для более увлекательного погружения, в частности на:
➖ видео от известных создателей
➖ официальную документацию
➖ связанные статьи / блоги
➖ научные работы
➖ репозитории / инструменты, которые могут пригодиться

▪️Основы ОС Android➕Модель безопасности
▪️Песочницы, эмуляторы, инструменты, ...
▪️Семейства мобильного вредоносного ПО

▪️Статический анализ вредоносного ПО
▪️Инструменты, обратная разработка, анализ вызовов, прав, кода, ...

▪️Динамический анализ вредоносного ПО
▪️Инструменты, анализ системных метрик, сетевого трафика, вызовов, ...

// #ai: Не вошло в конспект, но в книгах / упомянутых научных работах также подробно разбирается использование машинного обучения для гибридного анализа мобильного вредоносного ПО; Интересно, есть смысл взглянуть! 👏


➡️Enjoy!

@HaHacking  🐇

🆘 #заметки #malware #mobile #reverse

➡️Некоторые из упомянутых ресурсов, рекомендованных для ознакомления внутри конспекта для погружения в темы:

✅Анализа мобильного вредоносного ПО
✅Анализа защищённости мобильных приложений
✅Обеспечения приватности & безопасности


🧩 Посмотреть:

➖Intigriti:   ‟Mobile Hacking”
➖LiveOverflow: ‟Android App Bug Bounty Secrets”
➖John Hammond:   ‟Malware”
➖John Hammond: ‟Hacking MOBILE APPS: iOS & Android w/ 7ASecurity”


🧩 Почитать:

➖Android: Design for Safety

Официальная документация Android о принципах (не)безопасного дизайна приложений, лучших практиках и частых рисках безопасности;

➖Hacktricks: Android Applications Pentesting | iOS
➖OWASP: Mobile Application Security
➖OWASP: Mobile Application Security Testing Guide Gitbook
➖DevSecOpsGuides: Attacking Android | iOS

Подробные гайды об анализе защищённости мобильных приложений;

➖arXiv: search for "Android Malware"
➖ResearchGate: Android | Malware | Malware Research

Мои любимые хранилища научных работ по самым разнообразным темам, включая и Анализ мобильного вредоносного ПО! Есть возможность поиска по статьям, просмотра PDF с текстом работы, ссылок на связанный код, топа цитируемых авторов по категориям, ...

🧩 Использовать:

➖MobSF/Mobile-Security-Framework-MobSF
➖NotSoSecure/android_application_analyzer

➖ashishb/android-security-awesome
➖saeidshirazi/awesome-android-security
➖Swordfish-Security/awesome-android-security


@HaHacking  🐇

💡 #заметки #события #ai #iot #mobile

➡️Исследования, рождённые из научного интереса – самые любопытные. Они не всегда о чём-то эффективном для применения на практике, но всегда – о новом прочтении привычного и о демонстрации неожиданных граней изучаемой сферы;

Именно такие научные работы открывают глаза на необходимость обращать внимание на детали предмета исследований и служат напоминанием о важности навыка поиска нестандартных решений, а потому – вот подборка:


🔖 “PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound” 📆

Реконструкция отпечатка пальца на основе аудиозаписи звука свайпа по экрану телефона;

🔖 [ Science, DOI: 10.1126/sciadv.adj3608 ] 📆
“Imaging privacy threats from an ambient light sensor”

Восстановление изображений из датчика освещённости, который установлен в смартфоны / планшеты / ..., с использованием машинного обучения и определение выполняемых действий на основе жестов из результирующих фотографий;

🔖 [ Arxiv, 2402.11423 ] 📆
“VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger”

Влияние на беспроводные зарядки с помощью шумов напряжения: перегрев, выведение из строя ближайших устройств и генерация беззвучных команд для управления голосовыми помощниками;

🔖 [ Arxiv, 2301.10056 & Github ]
“Side Eye: Characterizing the Limits of POV Acoustic Eavesdropping from Smartphone Cameras with Rolling Shutters and Movable Lenses”

Восстановление аудиозаписи из беззвучного видео путём анализа невидимых глазу движений, производимых системой оптической стабилизации камер смартфонов;

🔖 “Acoustic Side Channel Attack on Keyboards Based on Typing Patterns” 📆

🔖 “A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards”

🔖 “Video-Based Cryptanalysis: Extracting Cryptographic Keys from Video Footage of a Device’s Power LED”

🔖 “Speech extraction from vibration signals based on deep learning”

🔖 “EarSpy: Spying Caller Speech and Identity through Tiny Vibrations of Smartphone Ear Speakers”


@HaHacking 🐇

🔒 #заметки #ai #offense

❓ Раз реакции больших языковых моделей на поступающие им запросы во многих случаях близки к привычному человеческому поведению, то, быть может, к ним применимы те же приёмы социальной инженерии, что и к нам? 🤔


➡️Мой коллега @Reworr_R написал статью о тестировании безопасности LLM с точки зрения задачи социальной инженерии: ⬇️


✨ DeteAct Blog: Социальная инженерия ИИ


Внутри упоминаются:

#️⃣Общие принципы
▪️Закон больших чисел
▪️Триггер скептицизма / "Burn the source"

#️⃣Джейлбрейки
▪️Автоматические (Token-level)
▪️Ручные (Prompt-level)
▪️Претекстинг

#️⃣Промпт-хакинг
▪️Кража инструкций (Prompt Leaking)
▪️Манипуляция поведением (Goal Hijacking)
▪️Избегание триггеров
▪️Коррекция ошибки


🔗Специализированные работы
▪️Теория истины по умолчанию Тимоти Р. Левина
▪️Труды Кевина Митника
▪️Актуальные исследования, научные статьи


// Время чтения: ~7 минут


@HaHacking  🐇

🐭 #события #offense

Бэкдор в утилите xz (CVE-2024-3094) – одна из самых громких новостей последних дней в сфере безопасности;

➖ CVSS: 😀
➖ Версии: 5.6.0 / 5.6.1
➖ RCE без следов в логах sshd
➖ Требуется приватный ключ злоумышленника

➡️Очевидно, что нужно откатываться к менее неприятным версиям, и на этом нам, как пользователям, можно было бы остановиться, но мне хочется разобраться в сути проблемы и в очередной раз обсудить тему человеческого фактора;

🧩 Everything I know about the xz backdoor ⚡️

   🧩  thesamesam/xz-backdoor ⚡️

🧩 Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 [CISA]

🧩 Frequently Asked Questions About CVE-2024-3094, A Backdoor in XZ Utils [Tenable]



❓) Что произошло?

  [💻]  Деобфусцированный код:   injected.txt
[✉️] Полное письмо с разбором:
‟backdoor in upstream xz/liblzma leading to ssh server compromise”

Andres Freund, разработчик из Microsoft, сообщил в рассылке oss-security об обнаружении бэкдора в утилите xz, который приводит к компрометации сервера SSH;

Специалист заметил:
🪲 Ошибки valgrind*
🪲 Увеличенное время логина по SSH
🪲 Увеличенное потребление CPU при логине по SSH
💻 А после – что TAR-архив xz, поставляемый через upstream репозиторий, содержал строку build-to-host.m4#L63, которой не было ни в upstream'ном build-to-host, ни на GitHub;

*К слову, ошибки valgrind были вызваны таким лэйаутом стека, который бэкдор не предусматривал, причём этот недочёт попытались исправить в версии xz 5.6.1;

Оказалось, что происходит инъекция обфусцированного скрипта, который извлёк другой специалист, Florian Weimer, и его исполнение по окончании конфигурации (при некоторых условиях**);

Деобфусцирвав код, специалисты выяснили, что он:

➖Перехватывает выполнение
➖Заменяет crc32_resolve() / crc64_resolve(), которые резолвятся при запуске sshd, на другой код, вызывающий _get_cpuid()
➖Производит проверки среды окружения
➖Парсит таблицы символов в памяти (основная причина замедления)
➖Устанавливает хук в динамический линковщик, ожидая резолва RSA_public_decrypt@...plt и заменяя его значение для указания на другой код бэкдора
➖Вызывает вредоносный код при логине по SSH с помощью ключа + продолжает нормальную аутентификацию

**Замеченные условия эксплуатации:
0️⃣ Детектируются некоторые дебаггеры (gdb, rr, ...)
1️⃣ x86-64 linux
2️⃣ Сборка с помощью gcc + gnu linker
3️⃣ Не установлена переменная окружения TERM
4️⃣ LD_BIND_NOT != 1
5️⃣ argv[0] = /usr/sbin/sshd
6️⃣ Не установлены LD_DEBUG, LD_PROFILE
7️⃣ Установлен LANG
8️⃣ yolAbejyiejuvnup != Evjtgvsh5okmkAvj‼️



❓) Как так вышло?

[2022]  Путь ко внедрению бэкдора начался приблизительно 2 года назад, когда основного разработчика, Lasse Collin, стали обвинять в медленном прогрессе. Пользователь Jigar Kumar настаивал на том, что xz срочно нужен новый мейнтейнер, ведь проект простаивает;

[2022]  Lasse Collin признался незнакомцу, что находится в трудном положении: ментальные проблемы, нехватка рук и ресурсов не дают ему и, следовательно, xz двигаться вперёд с требуемой скоростью, но в проект вносит вклад некий Jia Tan, который, возможно, получит более значимую роль в проекте;

  [✉️]  Полный ответ Lasse Collin для Jigar Kumar:
‟Re: [xz-devel] XZ for Java”

[2023] Jia Tan становится основным контактом вместо Lasse Collin в oss-fuzz – фаззере open source проектов от Google. Он коммитит инфраструктуру, которая будет использована в эскплойте в 2024 году. Автором числится некий Hans Jansen, который, судя по всему, был создан сугубо для этого коммита. Jia Tan создаёт пулл реквест в oss-fuzz, настаивая на отключении некоторых проверок, обуславливая это необходимостью xz в поддержке IFUNC;

[2024] Jia Tan изменяет ссылку на проект в oss-fuzz с tukaani.org/xz на xz.tukaani.org/xz-utils и коммитит последние штрихи для бэкдора;


Эта история – причина вспомнить и подумать о насущном:
▪️о ментальном здоровье
▪️об ответственности
▪️о прочих злободневных проблемах, особо острых для open source (анонимность, нехватка рук, ресурсов, мотивации, ...)

➡️Stay safe.

   @HaHacking  🐇

🐶 #заметки #infrastructure

➡️Объёмный материал по Kerberos, призванный обобщить информацию, разбросанную по Интернету, для эффективного погружения в тему; Включает в себя как теорию, так и практические примеры: ⬇️


🧩 ‟Kerberos простыми словами” (@yurystrozhevsky)


▪️Аутентификация между доменами
▪️Основы работы Kerberos
▪️Передача сообщений Kerberos (UDP / TCP)
▪️Сервисы в Kerberos
▪️Имена принципалов
▪️Типы делегирования
▪️Передача AP-REQ (LDAP / HTTP / SMB / RPC) 🦈
▪️. . .

💻 [👩‍💻 S4Uwhoami]: Реализация whoami на S4U
💻 [👩‍💻 XKERB]: Реализация библиотеки XKERB
💻 [👩‍💻 tools.h]: Реализация klist
💻 [👩‍💻 KerberosAES]: Реализация алгоритма шифрования Kerberos с AES


// Время чтения: ~50 минут


@HaHacking  🐇

📄  #инструменты #web

➡️Когда в уязвимости к XSS [ = в некорректной обработке пользовательского ввода ] виноват не сервер, а клиент – получаем DOM XSS;  А как получаем-то?


📕  [ LEARN ]  Что почитать? ‼️

   🧩  HackTricks:  DOM XSS
   🧩  PortSwigger:  DOM XSS
   🧩  DOM XSS Wiki


🧺  [ SCRAPE ]  Чем собрать JS код?
//  Что с source map? Как учесть фреймворки?

➖DevTools браузера
➖katana -headless
➖Selenium  / Playwright  / Puppeteer / PhantomJS / Crawlee

➖sourcemapper
➖unwebpack-sourcemap

➡️DevTools:  💻 React  / 👩‍💻 Vue  / 💻 Angular


🎲  [ DEOBFUSCATE ]  Чем деобфусцировать код?
//  Чем приводить к адекватному виду?

➖deobfuscate.io + obf-io.deobfuscate.io
➖lelinhtinh.github.io
➖jsnice.org
➖deobfuscate.relative.im
➖willnode.github.io

➡️js-beautify / 👩‍💻 Webcrack / 🖥 Humanify


💠  [ ANALYZE ]  Чем проводить анализ?

▪️{ SAST }  Semgrep + правила:  XSS / DOM-based XSS
▪️{ DAST }  Untrusted Types /  PostMessage tracker


🚀  [ MAGIC ]  А комбайны есть?

🔖 DOMDig – nodeJS скрипт для скана одностраничных веб-приложений внутри Chromium, рекурсивно краулит DOM и запускает event'ы. Возможна настройка сценария логина, прокси, произвольных заголовков, ...;

🔖 FindDOM-XSS – bash скрипт для поиска потенциальных уязвимостей к DOM XSS с использованием LinkFinder;

🔖 NoXSS – python скрипт для скана сайтов на Reflected / DOM-based XSS с использованием Chrome / PhantomJS;


😈  #инструменты

Что имеем в случае Burp Suite:
  ▪️DOM Invader ⚡️
  ▪️Burp Bounty

  ▪️DOM XSS Checks – пассивный скан DOM XSS;
  ▪️XSS Validator – автоматизация поиска + валидации уязвимости к XSS;
  ▪️Burp DOM Scanner – рекурсивный краулер и сканер для одностраничных веб-приложений;
  ▪️JavaScript Security – проверки на DOM XSS / проблемы целостности подресурсов (SRI) / по данным Threat Intelligence;

// 💬:  Огромное спасибо, @panyakor, за то, что когда-то сделал погружение в мир Client-Side уязвимостей чуть более безболезненным :)


   @HaHacking  🐇

🔍   #заметки #web #offense

➡️Ресерч о реализациях парсинга идентификатора зоны* адресов IPv6 в разных языках программирования и образующихся из этого возможностях эксплуатации приложений с конкретными примерами [🐍/💻/💻]: ⬇️


   🧩  ‟Exploring IPv6 Zone Identifier”  (@slonser_notes)


▪️Про ZoneID в IPv6 со ссылкой на RFC 6874
▪️Обход белого списка поддоменов
▪️Инъекция с обходом формата URL
▪️Инъекция произвольных команд для удаленного исполнения
▪️Инъекция CRLF-конструкций
▪️Внедрение XSS пейлоада
▪️Обход чёрного списка IP адресов
▪️Использование особенностей реализации для эксплуатации SSRF
▪️. . .

*Идентификатор зоны – часть IPv6 адреса, начиная со знака %, которая позволяет отличать link-local адреса и содержит идентификатор интерфейса;

▪️Пример адреса с ZoneID:  [fe80::1ff:fe23:4567:890a%eth2]
▪️Тоже пример адреса с ZoneID: [::1%slonser]

   @HaHacking  🐇

🗂 #заметки #web #offense

➡️Rather old, but gold информация, которая до сих пор пригождается при анализе защищённости веб-приложений;


   🧩  BlackFan/content-type-research

Манипуляция Content-Type для эксплуатации некорректного парсинга и, следовательно, для обхода WAF, внедрения полезной нагрузки для XSS и проведения CSRF;

Базовый пример идеи из репозитория:

Content-Type: application/x-www-form-urlencoded
Body: q=' union select '1

➡️ App:  ' union select 1'
➡️ WAF: ' union select 1'

Content-Type: application/json
Body: {"q":"' \u0075nion \u0073elect '1"}

➡️ App:  ' union select 1'
➡️ WAF: ' union select 1'

Content-Type: application/x-www-form-urlencoded;/json
Body: {"q":"' \u0075nion \u0073elect '1"}

➡️ App: ' union select 1'
➡️ WAF: {"q":"' \u0075nion \u0073elect '1"}

💻 BlackFan/content-type-research/ct-tricks – подобные трюки в зависимости от особенностей конкретной технологии;

💻 BlackFan/content-type-research/XSS – примеры Content-Type, которые могут быть использованы для внедрения полезной нагрузки для эксплуатации XSS;

💻 BlackFan/content-type-research/Browsers – примеры Content-Type, которые могут быть использованы для cross-origin запросов в зависимости от браузера;


   🧩  BlackFan/client-side-prototype-pollution

💻 BlackFan/client-side-prototype-pollution/pp – перечень технологий, уязвимых к Prototype Pollution, с указанием CVE, уязвимого фрагмента кода и PoC;

💻 BlackFan/client-side-prototype-pollution/gadgets – перечень гаджетов для списка технологий с указанием JS фингерпринта, уязвимого фрагмента кода и PoC;

//  Подобное от PortSwigger: XSS/Cheat-Sheet#Prototype Pollution

   @HaHacking  🐇

🟥 #мероприятия

Свершилось: появляется программа докладов киберфестиваля Positive Hack Days 2!

➡️Волей судьбы там оказались и мы со @slonser_notes с докладом ‟Вам письмо: старые новые атаки на почту”; 💮


❓) Что, где, когда?

🔗 Киберфестиваль Positive Hack Days 2
📍 Территория спортивного комплекса «Лужники»
📆 23 - 26 мая, 2024 г.

🚩 Трек "OFFENSE"
🕰 23 мая, 15:00 - 16:00 ⚡️


❓) Про что доклад?

Доклад о том, как старые неразрешённые вопросы реализации и клеймо "легаси" повлияли на уязвимость современной электронной почты к инъекциям. Разберём особенности работы почты и основных почтовых протоколов, рассмотрим виды инъекций в почтовую функциональность и вспомним громкие новости о возможности имперсонации, выявленной в крупных почтовых сервисах.

Вопрос защищённости почты остаётся актуальным в связи с повсеместным её использованием в современном мире. И всё же в данном вопросе на руку атакующим играют многие факторы, включая неразрешённые вопросы реализации почтовых элементов, проблему несогласованности между отдельными участниками сферы, а также незаинтересованность новых поколений специалистов в изучении "легаси";

Потому расскажем об устройстве электронной почты, об особенностях, следующих из её устройства, и об уязвимостях, которые вытекают из этих особенностей и даже находятся с нами в одной комнате;

➡️Надумаете прийти – обязательно берите с собой хорошее настроение, ничего более не потребуется; Всё, что нужно знать, Вы узнаете в ходе доклада! 💓

❓) Кто ещё в программе?

▪️[OFF] Антон Лопаницын, Passleak @webpwn
▪️[OFF] Вадим Шелест, Wildberries @purple_medved
▪️[DEF] Олег Скулкин, BI.ZONE Threat Intelligence
▪️[OFF] Павел Сорокин, Singleton Security @naryl_sec
▪️[OFF] Андрей Матвеенко, МТС RED @bh_cat
▪️[OFF] Пётр Уваров, VK
▪️[OFF] Виталий Болоховцев, СберАвто
▪️[OFF] Михаил Жмайло, Центр инноваций МТС Future Crew @RedTeambro

▪️И многие другие специалисты, доклады которых стоит посетить! Полный список➡️


➡️До скорых встреч!

   @HaHacking  🐇

🟥  #мероприятия #наработки #web #offense

➡️Большое спасибо всем, кто пришёл послушать наш доклад ‟Вам письмо: старые новые атаки на почту”! 🙇‍♂️


➕Дублирую ссылки на дополнительные материалы:

   🧩   ‟Email Attacks”  (@slonser_notes 🐘) ⚡️

   🧩   E-mail Injection
   🧩   qwqoro/Mail-Injection   [ 💻 / 💻 / 🐍 ]

➕Прикрепляю слайды презентации  ⬇️

   🧩   HaHacking_Вам-письмо.pdf
🧩 qwqoro/Mail-Injection/slides-PHDays.pdf

▪️Проблема №1: Некорректный парсинг адресов
▪️Проблема №2:  Недостаточная фильтрация специальных конструкций
▪️Проблема №3:  Несогласованность участников


➕Делюсь подборкой ссылок на смежные темы:

➖Hacktricks:  Email Injections
  ➖OWASP:  Testing for IMAP/SMTP Injection
  ➖VK9 SEC:  SMTP Injection Attack

  ➖SMTP Smuggling:  Блог
  ➖SMTP Smuggling:  Сайт
  ➖SMTP Smuggling:  Доклад 37C3

  ➖DEFCON:  SpamChannel, Spoofing Emails from 2M+ domains

Ну а киберфестиваль PHD2 продолжается, желаю всем приятного и полезного времяпрепровождения!

   @HaHacking  🐇

🟥  #мероприятия #заметки #offense #defense

➡️На YouTube канале Positive Events уже выкладываются записи докладов с прошедшего киберфестиваля PHDays 2; Представляю Вашему вниманию перечень докладов, запавших мне в сердце😊

🧩 Плейлист ‟Киберфестиваль PHDays 2”
🧩 Трансляция на сайте PHDays [ru/en]


🔥 OFFENSE

⭐️ ‟Вам письмо: старые новые атаки на почту”
(@hahacking 🐇 + @slonser_notes 🐘 )

Уязвимость современной электронной почты к инъекциям;

⭐️ ‟Учат в школе” (@webpwn 💣)

Поиск и эксплуатация уязвимостей в системах обучения хакеров;

⭐️ ‟Trust no one: red-teaming-инфраструктура на стероидах” (@purple_medved)

Создание архитектуры и администрирование инфраструктуры для проведения пентестов в формате red teaming, инструменты автоматизации malware development и развертывание атакующей инфраструктуры;

⭐️ ‟Регионы памяти, или Как я не туда шеллкод загрузил” (@RedTeambro)

О важности определения верного места для полезной нагрузки, о предотвращении множества детектов антивирусом и о том, как атакующему оставаться скрытым от глаз защитных средств;

⭐️ ‟Без лица: предъявите вашу кавычку”

Риски безопасности биометрических считывателей;

      ...


🔗 DEFENSE

⭐️ ‟Операция «Триангуляция»: почему не надо атаковать исследователей”

История о самой сложной цепочке атак и шпионском ПО, которые когда-либо были обнаружены специалистами «Лаборатории Касперского»;

⭐️ ‟Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках на российские организации”

⭐️ ‟RCE-уязвимость в Managed ClickHouse глазами специалиста SOC в Yandex Cloud”

⭐️ ‟Было ваше — стало наше: что полезного можно найти на серверах злоумышленников”

   ⭐️  ‟SCA, или как правильно создавать и анализировать SBOM под каждый используемый язык”  (@bh_cat)

Мир управления зависимостями и безопасности открытого программного обеспечения;

...


Спасибо организаторам за организацию площадки, а докладчикам – за их труд и ценный вклад в сообщество!

➡️Приятного просмотра!

   @HaHacking  🐇

❔ #заметки #offense

➡️Дополнительно разберёмся в кейсах, описанных в статье @slonser_notes, и в извлекаемом из них импакте!

   🧩   ‟Old new email attacks”   [ 🐍 / 💻 / 💻 ]  ⚡️


📌 ГЛАВНЫЕ ПОИНТЫ

▪️Пробуйте общаться с почтовыми сервисами по SMTP:

Gmail:     smtp.gmail.com
Outlook:   smtp-mail.outlook.com
Yandex:    smtp.yandex.ru
Mail.Ru:   smtp.mail.ru
 ...

SSL port:  465
TLS port:  587

▪️Пробуйте разные входные точки:

From: EMAIL
From: <EMAIL>
From: "NAME" <EMAIL>
From: <EMAIL> (COMMENT)
From: GROUP: EMAIL, EMAIL
From: GROUP: <EMAIL>
Sender: EMAIL

▪️Оказались уязвимы почтовые продукты Google, Microsoft, Yandex, ...

▪️Оказались уязвимы парсеры адресов электронных почт, библиотеки ЯП:
    ▪️Python   [email]
    ▪️JS   [addressparser, email-addresses]
    ▪️C#   [System.Net.Mail]
    ▪️Go   [net/mail]
    ▪️Rust, Ruby, PHP, ...


🔑 ПЕЙЛОАДЫ НА ПРОБУ

...➡️...

attacker@[testText\r\nRSET\r\nMAIL FROM: <spoofed@example.org>\r\nRCPT TO: <victim@example.org>\r\nDATA\r\nFrom: spoofed@example.org\r\n\r\nText\r\n.\r\nQUIT\r\n]

📧➡️📧

"Spoofed"
<attacker@outlook.com>: spoofed@outlook.com

📧➡️📧, 📧, ...

<spoofed@gmail.com> "spoofed" <attacker@gmail.com>

📧➡️📧, 📧

Attacker
<spoofed@gmail.com>:<attacker@gmail.com>

📧➡️...

": <attacker@gmail.com> "<spoofed@gmail.com>"

☠️  ИМПАКТ & ПОСЛЕДСТВИЯ

▪️Возможность внедрения конструкции CRLF (\r\n) для внедрения SMTP команд➡️Имперсонация, ...
▪️Некорректный парсинг адреса электронной почты отправителя➡️Имперсонация

❗️Имперсонация➡️(в данном случае) Подделка адреса электронной почты отправителя; Обеспечивает кратное повышение легитимности фишинговых писем в глазах атакуемых

💬 Поскольку вендоры считают перечисленные уязвимости фичами, возможность эксплуатации сохраняет актуальность и уже сейчас мы можем наблюдать, как, например, этими "фичами" начинают пользоваться хактивисты для проведения качественных фишинговых рассылок;


➡️Stay safe.

   @HaHacking  🐇

💓 #мероприятия

➡️Напоследок, в завершение серии связанных постов, хотелось бы сказать пару неформальных слов о прошедшем Positive Hack Days 2; 💓

// Чек-лист:

✅ Пережила выступление, да ещё и в самодельном мерче (нарисовано руками краской для ткани, да)! 🔡
[🔗материалы тут ]

✅ Посетила множество крутых докладов (ещё раз спасибо организаторам за организацию, а докладчикам – за их труд и ценный вклад в сообщество!)
[🔗записи докладов тут ]

❌ Обрела новые знакомства, но увиделась не со всеми, с кем хотела увидеться☹️ (@castercanal, очень ждём в следующий раз!)

➕Огромное человеческое спасибо:

➖отдельное, особенное спасибо @slonser_notes, мне было приятно работать вместе с тобой! ты крутой!
➖владельцам каналов: @poxek, @nxblog, @SidneyJobChannel, @bh_cat, @pwnai, @wr3dmast3rvs, @hackthishit, @giftfromtherift, ...
➖Алексею, Андрею и Петру из VK
➖моим сокомандникам из ШкИБ Яндекса '23
➖всем тем, кто был на спикер-пати, на Похек Use After Party и/или на прочих наших посиделках
➖всем тем, кто слушал наш доклад / поддерживал нас / задавал вопросы / подходил пообщаться
➖ ...

💬 Спасибо за то, что сделали эту конференцию такой яркой и насыщенной! Правильно говорят, что человек красит место😊

Была рада познакомиться лично, увидеться и пообщаться со всеми вами!


➡️До новых встреч!

   @HaHacking  🐇

🥰 #наработки #defense #reverse #malware #web #mobile

➡️Любовь – это... на самом деле много что, но явно НЕ отправка своих стихов с целью получить удалённый контроль над его смартфоном; 🗝

// Я же упоминала, что мне пригодились полученные знания об анализе вредоносного ПО для Android? 🤔

Не секрет, что с каждым годом проблема одиночества становится всё острее и критичнее, причём настолько, что можно говорить о настоящей эпидемии и это, к сожалению, даже не станет преувеличением. Современное решение – интернет-знакомства, но где технологии – там и новые способы атаковать. Жаль, но злоумышленники обязательно воспользуются любой технической возможностью и сугубо человеческой уязвимостью для достижения своей цели. Чтобы взглянуть на ситуацию поближе, я создала Никиту;

Никите в приложении пришло следующее сообщение:

💬:  Привет) Впервые здесь и ещё не знаю что да как, давай пообщаемся в телеграме мой телеграм ****

💬  Завязался разговор, потом следующий, а в результате.. пришлось полистать вправо, заняться обратной разработкой, анализом вредоносного ПО, отправкой жалоб + написанием статьи:


🧩 ‟Свидание с фишингом и стилерами: киберпреступность в эпоху одиночества”

⬇️ HaHacking_Dating.pdf ⬇️


➡️Вместе подробно разберём деликатное, двигаясь от простого к сложному; В моём отчёте:

❌ Фишинговый сайт
❌ Мобильный стилер
❌ Мобильный RAT

❌ Прочие виды вредоносных экземпляров
❌ Статистика подобных атак


//   Время чтения: ~40 минут
➡️Enjoy!  🙇‍♂️

@HaHacking  🐇

🥰   #наработки #reverse #malware #web #mobile

➡️Краткое превью анализа вредоносных экземпляров, полная история изучения которых приводится в статье:

   🧩   ‟Свидание с фишингом и стилерами: киберпреступность в эпоху одиночества”

⬇️  HaHacking_Dating.pdf ⬇️



✉️ СИТУАЦИЯ №1 [PHISHING]

📍 Из чат-бота для знакомств
❓ Веб-приложение, "Драматический театр"
❗️ Фишинг с кражей платёжной информации

Обзор интерфейса сайта, который внушает пользователю иллюзию легитимности, и функциональности, которая обеспечивает сбор платёжной информации атакуемого;

// Тут же был обнаружен сюрприз – интерфейс по пути /generate, в котором любезно оставлена инструкция мошеннической схемы 🐇



💸 СИТУАЦИЯ №2 [STEALER]

📍 Из приложения для знакомств
❓ Мобильное приложение, "Знакомства 18+"
❗️ Стилер банковских SMS с элементами RAT и вымогательства

Извлечение из мобильного приложения, которое было создано с помощью Tasker, XML файла с данными и его импорт в Tasker в качестве проекта для комфортного изучения функциональности;

➖ Несколько режимов работы (стилер SMS и файлов, рассылка спама, шантаж, RAT)
➖ Триггер на банковские номера
➖ Обнаружение отладки и общение с C&C сервером
➖ Уведомления в Telegram боте
➖ . . .

💬 В отчёте показываю каждый вредоносный модуль и рассказываю, что это за (местный) зверь такой;



🐭 СИТУАЦИЯ №3 [RAT] ⚡️

📍 Из чат-бота для знакомств
❓ Мобильное приложение, "Стриминговый сервис"
❗️ RAT, удалённое управление заражённым устройством

Моё лучшее предположение, исходя из собранных данных, – что мне на анализ попался представитель CraxsRAT;

CraxsRAT представляет из себя наиболее свежего наследника CypherRAT, SpyNote и SpyMax. Он вобрал в себя многообразие функций, включая, например:
   ➖ Автозапуск
   ➖ Обнаружение отладки
   ➖ Управление файлами
   ➖ Управление камерой
➖ Управление микрофоном
➖ Управление SMS и звонками
➖ Отслеживание локации
   ➖ Управление прикосновениями
   ➖ Инъекции в WebView
   ➖ . . .

💬 В статье показываю образцы кода, отвечающие за каждую функцию, и рассказываю, что это за (иностранный) зверь такой;



🌳 ПРОЧИЕ СИТУАЦИИ

🔗 Другие варианты фишинга
🔗 Zscaler: ‟Album Stealer”➡️кража данных из браузеров
🔗 eSentire: ‟OnlyDcRatFans”➡️DcRAT
🔗 Zscaler: ‟Steal-It Campaign”➡️кража информации о системе



//   Читать полностью... 😥
➡️Enjoy! 

   @HaHacking  🐇

®️  #мероприятия #заметки #offense #defense #infrastructure #web #mobile #ai

➡️На канале OFFZONE в VK Видео выложили записи докладов с прошедшей конференции OFFZONE;  В этот раз список докладов, запавших мне в сердце, достаточно обширный, что не может не радовать😊 Рекомендую Вам к просмотру!

   🧩   Канал  ‟OFFZONE”



🎲  INFRASTRUCTURE

   ⭐️  ‟Pentest FreeIPA, или Углубляемся в зоопарк” (Михаил Сухов)

Внутреннее устройство FreeIPA и характерные уязвимости;

   ⭐️  ‟Вредоносное ПО и закрепление в системе: как злоумышленники взламывают Windows?”  (Жасулан Жусупов)

Нестандартные методы сохранения вредоносного ПО с помощью модификаций реестра и подмены DLL в Windows Internet Explorer, Win32 API Cryptography, Windows Troubleshooting, Microsoft Teams (исправлено в 2024 году) и Process Hacker 2 (исправлено в v3);

⚙️ HARDWARE

   ⭐️  ‟Угнать за 5 СМС: история об RCE в модемах Telit” (Александр Koзлов + Сергей Ануфриенко)

Уязвимости модемов Telit, позволяющие удаленно выполнить произвольный код, обход проверки цифровой подписи, активация Over The Air Provisioning (OTAP) и установка на модем собственного мидлета с привилегиями производителя;

   ⭐️  ‟MPoS'tor: компрометация мобильного PoS‑терминала”  (Георгий Хоруженко)

Анализ системы offline‑оплаты, метод удаленной компрометации мобильного терминала (посредством протокола Bluetooth) и перехват данных платежных карт пользователей;

💸  BUG BOUNTY

   ⭐️  ‟Больше никакой халявы! Интересные баги в e‑food‑приложениях”  (Егор Тахтаров)

Баги, найденные в программах вознаграждения у вендоров, основная сфера деятельности которых — e‑grocery;

   ⭐️  ‟Bug bounty: простые критические баги”  (Алексей Лямкин)

Как небольшие ошибки могут привести к критическим для бизнеса угрозам;

   ⭐️  ‟From source maps to secrets”  (@pentest_notes)

Разработчики все чаще стали оставлять открытые source maps в своих веб‑приложениях. Благодаря этому любой пользователь может просмотреть исходный код в его первозданном виде. Что же могло пойти не так?

💓  А ЕЩЁ

   ⭐️  [#MOBILE]  (@mobile_appsec_world)
‟Безопасность мобильных приложений: что нового в 2024 году?”

Наиболее значимые уязвимости и новости в мобильной безопасности: новые векторы атак, классные баги и ошибки, найденные в приложениях за последние полгода;

   ⭐️  [#AI]  (@hackthishit + Руслан Махмудов)
‟тRAGедия LLM. Эксплуатируем бэкдоры в базе знаний RAG”

Архитектура RAG в LLM, основные векторы атак через внедрение вредоносного документа и способ их оптимизации;

   ⭐️  ‟Pentester's tales”  (Михаил Дрягунов)

О звонках спамеров после посещения сайта, о расшифровке BitLocker с помощью логического анализатора, и о том, как получить RCE на кассе самообслуживания, просканировав пару штрихкодов;

      ...


💮  + HONORABLE MENTION

   ⭐️  ‟Гори, гори ясно, чтобы не погасло. Выгорание как тренд современной ИБ”  (🌚 @poxek + @bughunter_omsk)

   >💬 Я, признаться, не фанат разговоров "обо всём и ни о чём" и считаю, что техническая конференция должна состоять из технических докладов. Тем не менее, доклад Сергея и Артема, благодаря их настрою и выбранному формату открытого и искреннего диалога с залом, стал островком для отдыха в череде технохардкора, даже несмотря на то, что поднял не самую приятную тему для разговора. Ребята помогли задуматься о важной проблеме, не нагнетая и не уча, а просто поговорив по душам; Спасибо вам за то, что сделали это


И, конечно, спасибо организаторам и участникам OFFZONE за то, что он был таким!

➡️Приятного просмотра!

   @HaHacking  🐇