🔍 Занимательная Форензика. Теория, книги, лабы, видео и многое другое...

• Форензика, как аспект #ИБ, развита гораздо в меньшем объеме нежели #пентест или организация защитных средств. Правильных подход при проведении мероприятий по сбору цифровых доказательств может дать не только восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.

• Для изучения данной науки обязательно обрати внимание на репозиторий, в котором собраны инструменты, книги, руководства и другой полезный материал: https://github.com/mikeroyal/Digital-Forensics-Guide

➕ Дополнение:

• Отличная подборка команд Windows, Linux и MacOS для понимания того, что произошло в системе и какую информацию можно оттуда достать — https://www.jaiminton.com/cheatsheet/DFIR/

#Форензика

Доброе утро... 🫠

#Понедельник #Юмор

🔒 Как обеспечить безопасность сайта на WordPress: инструменты для аудита и мониторинга.

• WordPress — самая популярная система управления контентом, поэтому чаще других подвергается атакам. В этой статье разберем инструменты, которые помогут проверить безопасность и защитить сайт на WordPress.

• В этой статье рассмотрим следующие темы:

- Инструменты для проверки изменений в файловой системе Linux;
- Wazuh и Lynis — инструменты для мониторинга безопасности;
- Сервисы для проверки на вредоносное ПО;
- WPScan — проверяем сайт на уязвимости;
- Плагин Wordfence — для защиты WordPress;
- Регулярное обновление системы;
- Как автоматически обновлять пакеты в ispmanager;
- Кратко — как защитить сайт на WordPress.

➡️ Читать статью [9 min].

#WordPress

🗣 Почему именно “WIFi” и с чего всё началось?

• Многие из нас принимают аббревиатуру, как должное, не задумываясь о том, почему технология называется именно так. Все на самом деле очень просто — дело в том, что WiFi изначально продвигали со слоганом «The Standard for Wireless Fidelity», что можно перевести как «стандарт беспроводной точности».

• Затем технология получила сокращенное название «Wireless Fidelity», что со временем было обрезано до WiFi. Частично сыграла свою роль и аббревиатура HiFi, которая расшифровывается как High Fidelity. Может быть, разработчики WiFi пытались сделать свою технологию узнаваемой как раз за счет HiFi — кто знает. Как бы там ни было, своего они добились.

• Теперь поговорим о том, с чего все началось. Датой рождения технологии является 1985 год. Тогда Федеральная служба по связи США официально разрешила использовать определенные частоты радиоспектра без лицензии. Эту инициативу поддержали и другие страны, так что бизнес быстро понял — в этой нише можно заработать. Один за другим стали появляться проекты беспроводной связи, которые разные компании пытались коммерциализировать.

• Лишь в 1997 году, появились первые спецификации беспроводной связи WiFi. Первое поколение, 802.11, давало возможность передавать данные со скоростью в 2 Мбит/с, при том, что радиус действия модуля был очень небольшим. Да и стоимость оборудования, которое обеспечивало беспроводную передачу данных, была просто заоблачной.

• Затем, где-то в 1999 году, появились прототипы двух редакций базового стандарта: 802.11b и 802.11a. Они обеспечивали невиданную скорость передачи данных по воздуху — вплоть до 11 Мбит/с. Радиодиапазон при этом использовался тот же, что и сейчас — 2,4 ГГц. Радиус действия был гораздо большим, чем у самого первого поколения WiFi. Радиооборудование становится все более доступным — его могут купить уже и обычные пользователи.

• Чуть позже скорость увеличили до 54 Мбит/с, воспользовавшись диапазоном в 5 ГГц и назвав спецификацию 802.11a. Именно тогда и закрепилось название WiFi, которое сейчас является обозначением спецификации 802.11.

• Кроме того, разработчики стали заботиться о безопасности передаваемых данных лучше, чем раньше. Так, на смену дырявому WEP пришел WPA (англ. — Wi-Fi Protected Access). Еще год спустя, в 2004, появился протокол WPA2, который стал весьма надежно защищать беспроводные сети.

#Разное

🤖 Спам-боты и SCAM-проекты в Telegram.

• Когда Telegram реализовал функционал комментариев в группах, многие столкнулись с бессмысленными сообщениями или рекламой, которую рассылали спам-боты. Львиную долю такого спама занимали боты с аватаркой красивой девушки и ссылкой в профиле на различные ресурсы (боты, сайты, группы, чаты и т.д.). Наивный читатель обращал внимание на аватарку, смотрел в профиль, видел ссылку и переходил по ней. Таким образом, человек мог оказаться жертвой SCAM-проекта и потерять деньги.

• Прошло более двух лет, схема развивается и процветает. Теперь спамеры используют ИИ и Premium подписку, что позволяет оставлять развернутый комментарий под каждым постом, иметь красивую галочку рядом с именем и удвоенные лимиты. Как говориться, прогресс остановить невозможно. И пока кто-то смотрит на картиночки, который генерирует нейросеть, другие реализуют и развивают свои проекты...

• Сегодня поделюсь интересной статьей, в которой описано, как работают такие боты, для чего они нужны и как с этим бороться [никак]: https://kod.ru/

#Разное

🕔 Гаджет, который опередил своё время: умные часы Casio AT-550.

• Владельцы Apple Watch, которые шкрябают по экрану пальцем, чтобы нацарапать сообщение из пары слов, вряд ли имеют много оснований для гордости. Еще в 1983 году стало возможно создание наручного гаджета с тачскрином и распознаванием рукописного ввода. Именно этим и отличались часы Casio AT-550. На экране AT-550 можно было рисовать пальцем цифры и математические символы, которые тут же появлялись на экране.

• Например, чтобы сложить числа 12 и 3, нужно было нарисовать единицу, двойку, плюс, тройку и знак равенства, чтобы получить ответ. Задача распознавания упрощалась тем, что символов было не больше двух десятков, и вводились они по одному — вариантов начертания не так уж много. Но уже это можно считать прорывом, опережающим время лет на двадцать, а если учесть, что AT-550 продавались по 100 долларов, то это и вовсе кажется фантастикой.

➡️ https://youtu.be/UhVAsqhfhqU

#Разное

⚙️ PostgreSQL Database Security Assessment Tool.

• PGDSAT — инструмент для анализа безопасности PostgreSQL сервера. По факту работы данного инструмента мы получим объемный отчет с оценкой безопасности. Пример отчета можно посмотреть тут: https://www.darold.net/sample_pgdsat/report.html

➡️ Более подробное описание инструмента доступно на github: https://github.com/HexaCluster/pgdsat

#PostgreSQL

🎙 Как энтузиасты скачивали компьютерные программы с помощью радио.

• Сорок лет назад на местной радиостанции в Бристоле ведущий Джо Тозер и главный инженер Тим Лайонс с одобрения руководства запустили шоу Datarama. Оно было посвящено персональным компьютерам, а его фишкой стала передача программ «по воздуху».

• Авторы включали кассеты в эфире, а слушатели — записывали звучащие шумы с помощью своих магнитофонов. Затем их подключали к компьютеру, и ЭВМ интерпретировала какофонию звуков как последовательность байтов. Вот так звучала аудиокассета с программами для Sinclair Spectrum: https://youtu.be/MZYuGUCrkoU

• В качестве пробы пера авторы решили отправить слушателям закодированное изображение Шерил Лэдд (на фото выше), звезды сериала «Ангелы Чарли». Правда, изображение имело разрешение всего 40х80 пикселей, поэтому узнать американскую актрису было достаточно трудно.

• Слушатели оценили такой способ передачи информации, и вскоре Джо стал делиться целыми программами, в том числе написанными для шоу. Изначально они предназначались для компьютеров BBC и Sinclair ZX81, но позже список устройств расширили до Commodore и Dragon 32/64.

• Примерно в то же время Голландская вещательная ассоциация вывела в эфир радиопередачу, аналогичную Datarama, — её назвали Hobbyscoop. Ведущие передавали аудитории не только программы, но и компьютерные игры. Компания разработала кассетный формат BASICODE для приложений на BASIC, чтобы обеспечить совместимость с широкой линейкой компьютеров.

• BASICODE представлял собой сигнал 1200BPS RS232 c FSK-модуляцией. Нулевой бит был закодирован одним периодом модулирующего сигнала с частотой 1200 Гц, а единичный бит — двумя периодами сигнала 2400 Гц. Похожий тип модуляции применяли в компьютерах Acorn BBC.

• Радиопередачи с «раздачей софта» существовали во многих европейских странах. С 1983 по 1986 год ведущие югославского шоу «Вентилятор 202» передали таким образом 150 программ: от калькуляторов до лётных симуляторов. К слову, это был один из ключевых ресурсов, продвигавших культуру открытого программного и аппаратного обеспечения на территории страны.

• Передачи «Вентилятора 202» были настолько популярны, что их отрывки транслировались на национальном телевидении. Но с приходом доступных носителей информации — в частности, гибких дискет — культура передачи программ по радио довольно быстро сошла на нет.

#Разное

📦 Как расследовать инцидент взлома? Челлендж Meerkat на HackTheBox!

• Вас пригласили в качестве нового поставщика услуг безопасности для Forela, быстро развивающегося стартапа. Стартап использовал платформу для управления бизнесом, но с недостаточной документацией и потенциально слабыми методами обеспечения безопасности. Вам предоставляются PCAP и данные журналов, и перед вами ставится задача определить, произошла ли компрометация.

• Этот сценарий заставит вас применить свои навыки анализа, эффективно просеивая сетевые данные и журналы для обнаружения потенциальных признаков вторжения, и тем самым даст реальное представление о ключевой роли кибербезопасности в защите развивающегося бизнеса.

➡️ https://youtu.be/yP4YaNLEMDU

#Пентест #CTF

👨‍💻 Основы DNS: понятие, иерархия, записи.

• Система доменных имен (DNS) является фундаментальной частью интернета, обеспечивая преобразование легко запоминаемых доменных имен в IP-адреса, необходимые для подключения к веб-ресурсам.

• Поделюсь с Вами полезным материалом, которого часто не хватает начинающим и бывалым специалистам:

- Что такое DNS и как она работает;
- Как работает DNS-запрос;
- Иерархия DNS;
- Рекурсивные резолверы и кеширование;
- Записи DNS и их типы.

➡️ Читать статью [7 min].

#DNS

🔒 Шифровальщики. Техники и тактики самых распространенных группировок.

• Направление программ-вымогателей сохраняет свое лидерство в рейтинге киберугроз для бизнеса по сей день. Я нашел очень интересный материал, содержащий техники, тактики и процедуры, которые относятся к определенным группам шифровальщиков. Информация представлена в виде красивой матрицы в структурированном виде, с пруфами и сигма-правилами.

➡ https://app.tidalcyber.com/share/9a0fd4e6-1daf-4f98-a91d-b73003eb2d6a

#Ransomware

👾 Вредоносное ПО, вошедшее в историю. Loveletter — 2000 год.

• Три сокровенных слова, взломавших миллионы компьютеров с ОС Windows по всему миру. Червь распространялся в виде вложенного файла «LOVE-LETTER-FOR-YOU.TXT.vbs» в электронном письме с темой «ILoveYou». Стоило этот файл открыть, как машина пользователя заражалась. Червь рассылал копии себя самого по всем контактам из адресной книги Microsoft Outlook и перезаписывал файлы определенных типов. Создавал файлы LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows и распространялся через IRC-каналы.

• Вся хитрость заключалась в манипуляции людьми. Дело в том, что расширение файлов в Windows было скрыто по умолчанию, то есть жертва видела следующее: LOVE-LETTER-FOR-YOU.TXT (без .vbs), считая это безвредным текстовым файлом и открывая его. Это давало вредоносной программе старт.

• Что касается создателей этого творения, то ими были два молодых парня из Филлипин — Реонель Рамонес и Онел де Гузман. За создание и распространите вируса парни были арестованы NBI (национальное бюро расследований Филлипин). Судебный процесс был нелегкий и даже забавный, поскольку Филлипинские законы не содержали наказания за создания вредоносного ОП. Сначала подозреваемым хотели приписать мошенничество с кредитными карточками, потом порчу имущества. Однако доказательств было недостаточно, и Реонель Рамонес и Онел де Гузман были освобождены.

• В 2002 году их творение вошло в книгу рекордов Гиннеса как самый опасный компьютерный вирус всех времен (убытки мировой экономики от ILoveYou составили примерно 5,5 миллиарда долларов).

#Разное

🔐 Взлом Отеля.

• Вы когда нибудь отдавали свой паспорт для регистрации при заселении в отель или гостиницу? А задумывались над тем, что ваши данные могут оказаться в руках хакеров?

• Короткая, но интересная статья про пентест отеля и уязвимости, благодаря которым пентестер получил доступ к персональным данным и всем хостам в сети объекта.

➡ Читать статью: https://teletype.in/

#Пентест

👩‍💻 PCAPdroid или Wireshark на минималках.

• Я уже давно заметил, что тема сетей и различные подборки информации по разным инструментам вызывают колоссальный интерес. ПО о котором сегодня пойдет речь не будет исключением. Речь идет о PCAPdroid, который имеет открытый исходный код и может в следующие сценарии использования:

➖ Анализ соединений, созданных приложениями установленными на устройстве (как пользовательскими, так и системными);
➖ Создание дампа сетевого трафика Android-устройства и его отправка на другое устройство для последующего анализа в стороннем приложении (например #Wireshark на ПК);
➖ Расшифровка HTTPS/TLS трафика конкретного приложения.

• Подробно описывать данный инструмент не буду, так как за меня это сделали разработчики: https://emanuele-f.github.io/PCAPdroid/ru/quick_start.html

• Ну, и напоследок — добрые люди с 4pda постоянно делятся полезными комментами и выкладывают новые версии с премиум функционалом. Скачать актуальную версию можно по ссылке: https://4pda.to

#Android #Wireshark

Доброе утро...🫠

#Понедельник

👩‍💻 Linux under attack.

• Небольшое руководство, которое подсвечивает некоторые слабые места Linux. Основной упор сделан на повышении привилегий и закреплению в системе, а в качестве примера мы будем использовать несколько уязвимых виртуальных машин. Содержание следующее:

• RECON:
- Info;
- Открытые источники.

• SCAN:
- Info;
- Скан nmap;
- Скан средствами OC;
- Обфускация IP;
- Скан директорий сайта;
- Cкан поддоменов;
- Скан WordPress.

• VULNERABILITY ANALYSIS:
- Анализ.

• EXPLOITATION:
- Info;
- BruteForce;
- Local Enumeration.

• PRIVILEGE ESCALATION:
- Info;
- Локальные аккаунты;
- Crack hash;
- Misconfig;
- Kernel exploits.

• PERSISTENCE:
- info;
- SSH Keys;
- ПсевдоROOT аккаунт;
- bashrc;
- Cron Jobs;
- Systemd;
- Systemd Timers;
- rc.local;
- MOTD;
- APT;
- Git hook;
- Git config;
- PAM backdoor;
- Заключение.

#Linux