За идею благодарю каналы: @irozysk и @osint_rf_lib

Решил потестить CamPhish. Написал статейку:https://telegra.ph/O-tom-kak-komanda-sajberskautov-CamPhish-testila-08-06

СТАТЬЯ НЕ ЯВЛЯЕТСЯ РУКОВОДСТВОМ К ПРОТИВОПРАВНЫМ ДЕЙСТВИЯМ. НАПИСАНА ИСКЛЮЧИТЕЛЬНО В РАЗВЛЕКАТЕЛЬНЫХ И ОБРАЗОВАТЕЛЬНЫХ ЦЕЛЯХ.

Испробовал я тут на днях CamPhish.

Естественно, несильно впечатлен, но есть и плюсы. Простая установка, не троит, да и в целом для бесплатного ПО неплох. На лоха прокатит.

Подробнее опишу в статье в ближ время)

GitHub

GitHub - techchipnet/CamPhish: Grab cam shots from target's phone front camera or PC webcam just sending a link.

Grab cam shots from target's phone front camera or PC webcam just sending a link. - GitHub - techchipnet/CamPhish: Grab cam shots from target's phone front camera or PC webcam just ...

Дорогие друзья, огромное спасибо всем, кто сегодня присоединился к нам на стриме ❤️!!! Хотим сообщить, что запись стрима будет доступна чуть позже.

Будьте на связи и следите за обновлениями на нашем канале, будем радовать вас дальше ?

Об обнаружении злоумышленников в системеПоследнее время замечаю, что многие отделы ИБ ставят СЗИ просто из серии "чтобы были". Либо полагают, что само наличие брандмауэров, антивируса без настройки, отслеживания - непробиваемый щит против любого хакера.

Однако такой подход только засорит логи, максимум отфильтрует всяких несильно заинтересованных в вас атакующих, которые просто ищут дырявые серваки и гонятся за легкими деньгами. От таргетированной атаки по вам, с проведенной разведкой, подготовленным заходом по СИ вас это никак не защитит, разве что укажет на подозрительные моменты, в которых вы все равно не разберетесь быстро, а будете неделю пытаться выстроить хронологию и найти точку входа.

Поэтому сейчас даже в SIEM-системах стоит прописывать "цепочки" из правил. Пример: переход на подозрительный веб-ресурс - сразу следом закачка TeamViewer или другого аналогичного ПО; успешных вход после многочисленных неудачных попыток, за которым следуют развед команды (whoami, ip/ifconfig, netstat и т.д.); закачка большого по объему файла + дампинг lsass.exe, исключая системные процессы.

А чтобы быть в курсе не только базовых тактик, то нужно следить за "инновациями", о которых пишется в отчетах реверсеров ВПО, а также в Ti-репортах.

Залетаем!)

Всем спасибо, что пришли!) Запись будет попозже)
Отдадим на редакцию))

Спасибо всем, кто был с нами сегодня! ? Было невероятно круто! ? Мы обязательно продолжим радовать вас и дальше, а пока делимся записью этого потрясающего стрима?

Честно говоря, я хотел поспать этой ночью и лечь, самое позднее, в 11

Но оставленный без логина и пароля SMB лишает меня сна. Даже не знаю, благодарить админов или ненавидеть.

CVE-1999-0519

Древняя, но, видимо, не для всех

Всем привет ?****Если вы знакомы с киберскотом, то и меня можете знать.
Я бывший коллега @CyberScoutLS.

Нынче занимаюсь аналитикой по криптовалютам. В основном BTC, в меньшей степени ETH и TRON. Скоро буду познавать Monero.
Естественно, что на моей позиции куча компаленса. Поэтому поделюсь впечатлениями абстрактно:
-Исследование адресов напоминает мне попытку идентифицировать марку автомобиля на основе произвольных данных.
То есть, вот тебе следы от шин, вот тебе запись звука мотора, вот тебе рандомная запчасть. Иди определяй что за марка.
Замени переменные на ‘упоминания’, ‘нода’, ‘узор транзакции’, и получишь поиск крипты 101

-В отличие от поиска преступников, исследования спокойные. Никто не утопит котенка, если ты за 24 часа не определишь локацию с фото и тд.

-Прозрачность крипты номинальна. Да, ты видишь все транзакции и адреса. Но их может быть 100, может и ?. Тем более адреса не ‘именные’. Тем более создать адрес проще чем назвать себя OSINTером. Тем более и тд….

-Pattern seeking мозга всегда на пределе. Потому что информации всегда много, полезной мало. Очень часто приходится изучать что-то на ходу. Но это, наверно, моя самая любимая особенность данного направления

Буду делиться своими находками и впечатлениями. Постараюсь чаще, чем раз в полгода ?

@volcand

Как узнать операционную систему объекта?

Недавно коллега обратился ко мне с интересным вопросом: как узнать операционную систему устройства, с которого сидит объект?

Данная информация может понадобиться для заброса вредоносной программы, для сбора цифрового следа и иных мероприятий.

На самом деле, способов, которые я прям досконально знаю всего несколько, и они - не вершина технического прогресса, а скорее сочетание OSINT'а с заходами по социальной инженерии:

1) Конечно же, кинуть ip-логер, где сразу выйдет и устройство и ОС жертвы;

2) Если знаете страничку ВКонтакте, то @VKHistoryRobot этот дружище иногда показывает, с какого устройства заходил пользователь, однако инфа может быть неактуальна, так как все-таки это архив. Да и в целом различные сервисы, которые выдают архивы вк, частенько палят эту информацию;

3) Если есть номер телефона, то стоит проверить наличие на нем gmail-аккаунта. Там показывается модель телефона, через которую модно узнать наиболее вероятную ОС, если речь о мобилках;

4) Посмотреть чаты, в которых состоит пользователь. Особенно общительные часто кидают скрины с экрана, которые позволяют довольно легко определить, что за ось использует наш объект.

Если знаете какие-то более подходящие способы - милости прошу в комментарии. Возможно, кто-то занимался этим вопросом более детально.
Ну, удачной охоты, киберсталкеры...

CyberScout?