🐇 Как часто вас зовут на расследование инцидента?
#forensic #memory_analysis #volatility

У меня такие кейсы на работе бывают. К счастью не инхаус, а консалтинг. И когда они бывают, я если честно теряюсь и не знаю, что делать. Т.к. каждый раз новая инфра, новый неизвестный вектор и всё это очень заряжает сделать свою работу по-красоте))

Так вот, если вы не гигачад форензик, то думаю следующая штука вам понравится:
VolWeb - это платформа, нацеленная на цифровой анализ памяти на наличие чего либо. Данная платформа, как ясно из названия взяла за основу Volatility 3 и возвела его в абсолют сделав к тому же красивый и вполне удобный веб интерфейс.

Как пишет разработчик:

Цель VolWeb — повысить эффективность сбора и анализа памяти, предоставляя централизованное, визуальное и расширенное веб-приложение для реагирования на инциденты и цифровой криминалистики. После того как исследователь получает образ памяти с системы Linux или Windows, доказательства могут быть загружены в VolWeb, что запускает автоматическую обработку и извлечение артефактов с помощью возможностей фреймворка Volatility 3.

Используя облачные технологии хранения, VolWeb также позволяет специалистам по реагированию на инциденты напрямую загружать образы памяти в платформу VolWeb из различных мест с помощью специальных скриптов, интегрированных с платформой и поддерживаемых сообществом. Еще одной целью является предоставление пользователям возможности собирать техническую информацию, такую как индикаторы, которые затем могут быть импортированы в современные платформы CTI, такие как OpenCTI, что позволяет связать команды реагирования на инциденты и CTI после завершения расследования.

Звучит просто кайф для форензика.

Документацию к VolWeb ТУТ

Также разработчики позаботились о нас и уже написали скрипты на powershell и python3 для загрузки данных на платформу.

🧩 Github

🌚 @poxek | 📹 YouTube

🧐 LLM для анализа исполняемых файлов 🧐
#llm #binary_analisys

Monocle — это инструмент на основе LLM для анализа скомпилированных бинарных файллв. Даёте бинарник в Monocle и критерии поиска (например, код аутентификации, уязвимый код, строки паролей и многое другое), после чего он декомпилирует бинарный файл и использует встроенную LLM для идентификации и оценки областей кода, которые соответствуют критериям.

Основные особенности Monocle:
➡️Поиск по бинарным файлам: Без необходимости в предварительных знаниях Monocle поддерживает ответы на вопросы по анализу бинарных файлов, относящихся к целевому объекту.
➡️Вопросы на естественном языке: Поскольку Monocle поддерживается LLM, запросы к нему формулируются на обычном языке.
➡️Интеграция с Ghidra: Monocle использует Ghidra в безголовом режиме для декомпиляции скомпилированных бинарных файлов.

Под капотом Monocle использует Mistral-7B-Instruct-v0.2. Рекомендации по системным характеристикам:
ОЗУ: 16 Гб
Видеокарта: Nvidia с 4 Гб видеопамяти и Nvidia CUDA драйвер
Конечно вы можете запускать на более слабых машинах, но тогда и тулза будет гораздо медленнее работать.

Monocle необходима Ghidra. Кроме того, убедитесь, что в вашем окружении доступна функция analyzeHeadless.

➡️Установка зависимостей:

pip install -r requirements.txt

➡️Для запуска на Windows:

monocle.exe --binary <path-to-binary> --find <component-to-find>

➡️Для запуска на Linux:

monocle --binary <path-to-binary> --find <component-to-find>

Monocle обрабатывает функции, присутствующие в предоставленном бинарном файле, и ведет живой трекер, отсортированный по наивысшему баллу, всех проанализированных функций, их оценки от 0 до 10 (где 0 означает, что функция не соответствует критериям поиска, а 10 означает, что она полностью соответствует). Вместе с оценкой предоставляется объяснение, почему была присвоена данная оценка. Оценки 0 не имеют объяснений.

Пример запуска:

python.exe /Monocle/monocle.py --binary "..\linux-static-binaries-master\linux-static-binaries-master\x86-i686\pure-authd" --find "authentication code"

Видео пример:
https://github.com/arphanetx/Monocle/blob/main/example.gif

@alexsize проверил, что работает с ARM. Спасибо ему)

🧩 Github

🌚 @poxek | 📹 YouTube

CobInt. Разбираем известный бэкдор и практикуемся в реверсе
#backdoor #reverse

Команда PT ESC проанализировала бэкдор CobInt. CobInt — это бэк­дор, который активно исполь­зует груп­пиров­ка Cobalt/(Ex)Cobalt при ата­ках на рос­сий­ские ком­пании. В статье мы по шагам выпол­ним реверс CobInt и изу­чим полез­ные тех­ники ана­лиза этой мал­вари.

🔓 Читать подробнее

🌚 @poxek | 📹 YouTube

Почему любой может получить доступ к удаленным или приватным репозиториям на Github
#github #trufflesecurity

Вы можете получить доступ к данным из удаленных форков, удаленных репозиториев и даже из личных репозиториев на GitHub. Эти данные доступны навсегда. Это известно GitHub и намеренно спроектировано таким образом.

Это является огромным вектором атаки для всех организаций, использующих GitHub, что мы вводим новый термин: Cross Fork Object Reference (CFOR). Уязвимость CFOR возникает, когда один форк репозитория может получить доступ к чувствительным данным из другого форка (включая данные из частных и удаленных форков). Аналогично уязвимости Insecure Direct Object Reference (IDOR), в CFOR пользователи предоставляют хэши коммитов для прямого доступа к данным коммитов, которые в противном случае не были бы им видны.

Вектора атак:
Accessing Deleted Fork Data
Accessing Deleted Repo Data
Accessing Private Repo Data

➡️ Читать подробнее

🌚 @poxek | 📹 YouTube

Блокировки не страшны
#youtube #vk #rutube

В виду последних изменений в российском интернете создал "резервные каналы" для тех, кто к примеру не хочет париться с настройкой технических средств. Создал новое сообщество и канал. Встречайте!

💬 VK Сообщество Похек и 💬 VK Видео
Сразу скажу, что ничего постить туда из контента не планирую, т.к. мне даже пару каналов в тг сложно вести, не говоря про 2 площадки сразу. Только видео буду туда выкладывать, дублируя Youtube.

📺 Rutube для тех, кто не сидит в VK

P.S. скоро поеду на запись нового подкаста очень важным человеком в российском ИБ :) Попробуйте угадать кто это))

Headerpwn 🤯
#security_headers

Представьте, что вы нашли пару критов на проекте, многое хаёв и т.д. Обычный рабочий день в Awillix 🌚

Под конец проекта мы собираем мелкие баги и делаем 100% покрытие скоупа различными ручными и автотестами. Но протыкивать различные заголовки для поиска мисконфигов всегда не очень хочется.
В таком случае я пользуюсь headerpwn. По сути я её нашел когда хотел написать аналогичное на python, но в выдаче google нашел эту репу, что по сути и решило мою проблему.

Установка простейшая:

go install github.com/devanshbatham/headerpwn@v0.0.3

Использование ни чуть не сложнее:

headerpwn -url https://example.com -headers headers.txt

Формат заголовков в файле headers.txt

Proxy-Authenticate: foobar
Proxy-Authentication-Required: foobar
Proxy-Authorization: foobar
Proxy-Connection: foobar
Proxy-Host: foobar
Proxy-Http: foobar

Автор репозитория поделился своим списком заголовков, забрать ТУТ.

Также можете использовать прокси, к примеру для проксирования запросов в BurpSuite или при пивотинге

headerpwn -url https://example.com -headers headers.txt -proxy 127.0.0.1:8080

🧩 Github

🌚 @poxek | 📹 YouTube

@snovvcrash читер))
Второй год подряд выходит дважды на сцену за подарками. Мега крутой чувак и бесконечный респект 🕺

Занял второе место в номинации Ловись Рыбка на Awillix Pentest Award ❤️❤️

🌚 Poxek Shop 🌚
#мерч_похек

Долго думал над постов про мерч шоп. Думал, думал и ничего не придумал, если честно.

➡️Поэтому вот: https://poxek-shop.ru
https://shop.poxek.cc

Осталось мало черных футболок RCE для сердца, так что успейте разобрать. Если не будет хватать вашего размера, то как наберётся некая масса таких предзаказов, то закажу с производства

Цена после OFFZONE может вырасти до 5к, но пока решение не окончательное

🌚 @poxek | 📹 YouTube

👣 The State of Go Fuzzing - Did we already reach the peak?
#fuzzing #go

Во время одного из недавних рабочих дней автора ресерча поручили провести фаззинг некоторых приложений на Go. Этим он давно не занимался, поэтому первым моим шагом было изучение текущего состояния дел в области инструментария. После примерно пары часов возни и исследовать, он решил просто записать свой опыт как человека, который очень хорошо знаком с фаззингом, но имеет мало опыта с Go.

В этом ресерче мы рассмотрим текущий ландшафт Go fuzzing, изучим инструменты, разработки и недостатки, а также приведем технические примеры и ссылки для более глубокого понимания.

➡️Читать далее

🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек

Микропост для синей команды (красной после афтерпати)
#blueteam #soc #siem #windows

Недавно столкнулся с задачей написания правил корреляции для одной SIEM. Нужно было найти инфу о windows event id. Хотелось найти список со всеми event id, но такого пока не нашёл (если у вас такое есть, накиньте). Но просто список id недостаточно. Их ведь там дофига, а я не знаю что каждый значит. От этой проблематики я стал искать ресурсы, где можно прочитать про event id. Так вот нашёл: https://kb.eventtracker.com/evtpass/advanced_search.asp. Достаточно гибкая система поиска

Вот пример запроса: https://kb.eventtracker.com/evtpass/evtpages/EventId_4663_Microsoft-Windows-Security-Auditing_61133.asp

Есть такой ещё ресурс, статья от Graylog, которая вобрала в себя множество event id, которые важнее всего мониторить
https://graylog.org/post/critical-windows-event-ids-to-monitor/

Нашёл вот такой список windows event id
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/

Знаю, что у меня есть подпизжики, которые работают в синих командах. Накидайте, пожалуйста, полезные ресурсы по написанию кореляшек и их проверке. Я для тестирования знаю Red Canary, ну и руками.

🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек

Настоящий хоррор: кибербезопасность в автомобильной индустрии
#car_hacking

➡️Коллеги из Бастион продолжают радовать хорошими статьями)

Автопром сделал первый шаг в цифровую эпоху еще в 1967 году, когда в Германии выпустили Volkswagen Typ 3 с электронной системой впрыска D-Jetronic от Bosch. Сегодня же компьютерные системы управляют почти всеми функциями большинства авто — от режимов работы двигателя до стеклоочистителей.

Как всегда, технический прогресс имеет свою оборотную сторону: чем больше роль ПО в работе техники, тем серьезнее угрозы информационной безопасности. Риски стали выше с появлением так называемых подключенных автомобилей — connected cars. Дошло до того, что хакеры могут дистанционно перехватить контроль над машиной в реальности: теперь это не просто фантазии сценаристов «Форсажа».

В статье рассмотрим основные виды автомобильных кибератак и связанные с ними риски. Также поговорим о том, как в мире и в России пытаются бороться с такими угрозами и какие это приносит результаты.

➡️ Читать далее

🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек