Как искать иголку в цифровом стоге сена?

Представьте, что вам нужно собрать максимум информации о человеке, организации или событии, используя только открытые источники. Кажется сложным? На самом деле, это искусство, которым овладевают специалисты OSINT. Поговорим о методах в новой статье.

Что вы узнаете из статьи?

1️⃣ Back-Me-Up:
Утилита, которая сканирует хосты на наличие забытых или скрытых поддоменов. Часто используется для поиска тестовых окружений компаний или старых веб-сайтов, которые неожиданно открывают доступ к чувствительной информации.

2️⃣ Enola-Finds:
Уникальный инструмент для поиска информации по никам. Например, хотите узнать, что писал пользователь под одним и тем же ником на форумах, в соцсетях или даже на старых онлайн-платформах? Этот инструмент вас выручит.

3️⃣ Другие фишки OSINT:
🔸Способы поиска информации по e-mail: кто владелец, где зарегистрирован и какие данные можно из него вытащить.
🔸Анализ оставленных цифровых следов: как правильно интерпретировать данные с форумов, блогов и даже старых архивов.
🔸Примеры из реальных расследований, где OSINT-инструменты раскрыли детали, которых никто не ожидал.

OSINT — это больше, чем просто сбор данных. Это навык, который применим в кибербезопасности, аналитике, расследованиях и даже в бизнесе. Правильный инструмент и грамотный анализ способны спасти компании от утечек или помочь расследователям вывести преступников на чистую воду.

🔍 Хотите больше?
Если вас заинтересовали описанные методы, то это только верхушка айсберга. На обновленном курсе «OSINT: технология боевой разведки» вы освоите лучшие практики разведки в интернете за 4 месяца.

➡️Записаться на курс можно здесь или у нашего менеджера @Codeby_Academy 🚀

⭐️ Читать статью полностью

⚡️ Дональд Трамп неожиданно помиловал основателя печально известного подпольного онлайн-рынка Silk Road Росса Ульбрихта, который с 2015 года отбывал пожизненный срок в федеральной тюрьме. Это решение стало настоящей сенсацией, вызвав шквал обсуждений в СМИ и соцсетях.

Silk Road, функционировавший в сети Tor, стал первой крупной платформой, где за биткойны продавались наркотики, фальшивые документы и другие нелегальные товары. 👀 Ульбрихт, управлявший сайтом под псевдонимом "Ужасный пират Робертс" (отсылка к фильму "Принцесса-невеста"), был признан виновным по целому ряду обвинений, включая наркоторговлю, отмывание денег и сговор с целью взлома компьютерных систем.

"Это было необходимо" — Д. Трамп

На платформе Truth Social Трамп резко высказался в адрес тех, кто добивался обвинительного приговора:

🗣️ Мерзавцы, которые работали над его осуждением, были теми же безумцами, что пытались устроить охоту на меня

Помилование, по его словам, стало "полным и безоговорочным", а сам он лично позвонил матери Ульбрихта, чтобы сообщить ей радостную новость.

Адвокат Росса, Джошуа Дрейтел, выразил благодарность за это решение, заявив, что теперь его подзащитный сможет "начать новую жизнь и реализовать тот потенциал, который был утерян за годы заключения". Однако сроки освобождения Ульбрихта из тюрьмы в Аризоне пока не уточняются.

❓ Кто такой Росс Ульбрихт?
Росс, амбициозный программист, в свое время мечтал создать платформу свободного рынка, где не будет государственного контроля. Его адвокаты утверждают, что Silk Road позже был передан другим лицам, а самого Ульбрихта сделали "козлом отпущения".

Новость уже вызвала бурю реакций: от восторженных комментариев в криптосообществах до резкой критики со стороны сторонников жесткой борьбы с наркотрафиком.

Как это решение изменит цифровой мир и повлияет на будущее судебных процессов в эпоху криптовалют? Делитесь своими мыслями в комментариях!

#новости

Patator

Patator - это инструмент намного превосходящий по возможностям такие инструменты как Hydra, Medusa, Ncrack и т.п. Вы уже поняли что это брутфорсер, но не обычный.

Особенности этого инструмента:
🔸Нет ложных срабатываний.
🔸Модульный дизайн
🔸Многопоточность
🔸Интерактивное выполнение

Мы попробуем подобрать пароль к учётной записи на сайте, а также к ssh службе.
➡️ И так, для работы patator нужно использовать специальный модуль, найдём его:

patator -h

http_fuzz - нам нужен именно он.

➡️ Следующая команда запустит атаку на данный аккаунт:

patator http_fuzz url=https://127.0.0.1:80/login.php method=POST body='Login=FILE0&Password=FILE1' 0=[PATH_LOGIN] 1=[PATH_PASS] follow=1 accept_cookie=1

➡️ А эта выполнит атаку на ssh сервер:

patator ssh_login host=127.0.0.1 user=FILE0 password=FILE1 0=[PATH_LOGIN] 1=[PATH_PASS]

➡️ Очень полезный ключ в совокупности с этим всем -x:

patator ssh_login host=127.0.0.1 user=FILE0 password=FILE1 0=[PATH_LOGIN] 1=[PATH_PASS] -x ignore:mesg='Authentication failed.'

Который будет игнорировать сообщение о неудачной аутентификации.

Специалисты Unit 42 представили технику джейлбрейка LLM, которую назвали "Bad Likert Judge". Методы джейлбрейка LLM - это методы, используемые для обхода мер безопасности, позволяющие моделям генерировать контент, который в противном случае был бы ограничен.

🔐 В больших языковых моделях, генерирующих текст, есть меры безопасности, которые не позволяют им отвечать на запросы вредными и злонамеренными ответами. Изучение методов, которые могут обойти эти ограничения, таких как Bad Likert Judge, может помочь защитникам подготовиться к потенциальным атакам.

Сама техника состоит из нескольких шагов:
📝 Шаг 1. Запрос для оценки
Первый шаг в атаке заключается в том, чтобы попросить целевую модель LLM выступить в качестве судьи и оценить ответы, сгенерированные другими моделями LLM, оценивая их по шкале Лайкерта — оценочной шкале, измеряющей степень согласия или несогласия респондента с утверждением.

🧑‍⚖️ Шаг 2. Запрос, косвенно указывающий на создание вредоносного контента
После выполнения первого шага LLM должен понять задачу и шкалу оценки вредоносного контента. Остается просто попросить LLM предоставить различные ответы, соответствующие разным показателем. Пример с наивысшим показателем по шкале Лайкерта потенциально может содержать вредный контент.

🎊 Шаг 3 (опциональный).
После выполнения второго шага LLM обычно генерирует контент, который считается вредоносным. Однако в некоторых случаях сгенерированного контента может быть недостаточно для достижения желаемого уровня вредоносности в рамках эксперимента. Для решения этой проблемы, можно попросить LLM уточнить ответ с наивысшим баллом, расширив его или добавив больше деталей.

🧑‍💻 Специалисты протестировали этот метод в широком спектре категорий на шести современных генеративных моделях LLM и результаты показали, что данная техника может повысить вероятность успешной атаки в среднем более чем на 60% по сравнению с обычными подсказками для атак.

🏃‍♂️ DonPAPI - утилита предназначенная для автоматизации cбора конфиденциальной информации с компьютеров Windows с возможностью обхода защиты.

😮 Данные, которые можно собрать с помощью donpapi:
⏺️Учетные данные браузера Chromium, файлы cookie и токен обновления Chrome
⏺️Сертификаты Windows
⏺️Данные из диспетчера учетных данных
⏺️Учетные данные браузера Firefox и файлы cookie
⏺️Учетные данные Mobaxterm
⏺️Учетные данные mRemoteNG
⏺️Учетные данные для RDP-подключений
⏺️Файлы на рабочем столе
⏺️Учетные данные SCCM
⏺️Учетные данные Vaults
⏺️Учетные данные VNC
⏺️Учетные Данные Wi-Fi
⏺️Файлы секретов SSH
⏺️Файлы IDE-проектов
⏺️Файлы из корзины
⏺️Файлы истории PowerShell
⏺️Учетные данные в облаке

💻Установка:

pipx install donpapi

или с учетом последних коммитов:

pipx install git+https://github.com/login-securite/DonPAPI.git

🔑 Аутентификация:

Для аутентификации необходимо указать домен (-d), имя пользователя (-u) и пароль (-p) либо хэш (-h), либо ключ AES (--aesKey), либо билет Kerberos в формате ccache (-k). Также аутентификация может быть выполнена через LAPS (--laps) и имени пользователя локальной учётной записи LAPS в качестве значения для этого параметра.donpapi collect -u admin -p admin -d EXAMPLE.LOCAL -t ALL

📺 Графический интерфейс:
После сбора всех секретов, можно удобно просмотреть их через графический интерфейс командой:

donpapi gui

По умолчанию веб-форма будет доступна по адресу http://127.0.0.1:8088 и в ней будут отображаться четыре вкладки: общая информация, секреты, файлы cookie, сертификаты.

В первой части мы уже обсуждали, как скрыть следы на Windows 10/11, но этого оказалось недостаточно. В этой статье поговорим о том, как полностью удалить данные с жёстких дисков, чтобы их невозможно было восстановить.

Удаление данных с HDD
🔸Используйте полное форматирование вместо быстрого.
🔸Применяйте алгоритмы гарантированного уничтожения информации.

Примеры стандартов:
🇺🇸 DoD 5220.22-M — трёхкратная перезапись с использованием случайных последовательностей.
🇨🇦 DSX — перезапись нулями, единицами и уникальной метаинформацией.
🇩🇪 BSI VSITR — от 2 до 6 проходов с псевдослучайной перезаписью.

Совет: Для современных HDD достаточно одного прохода с псевдослучайной последовательностью.

💡 Рекомендуем использовать OpenSource-утилиты, например: DBAN или Secure Erase. Для пользователей Windows можно использовать BitLocker, а затем выполнить форматирование. Главное — удалить ключи восстановления из облака.

Удаление данных с SSD. С SSD всё сложнее из-за особенностей работы памяти:
🔸При записи новых данных информация может оставаться в старых блоках.
🔸Процесс удаления данных контролирует команда Trim, но она не всегда стирает их мгновенно.

Как надёжно удалить данные?
1️⃣ SSD: Подключите диск напрямую (SATA/NVMe) и форматируйте раздел как NTFS.
2️⃣ HDD: Используйте алгоритмы перезаписи.
3️⃣ Если важна 100% гарантия — уничтожьте микросхемы физически.

Храните ОС на SSD, а важные файлы — на HDD. Это надёжно и практично.

⭐️ Читать статью полностью

Уязвимость в краулере ChatGPT, которая приводит к DDoS-атаке на целевой сайт с помощью HTTP-запроса API ChatGPT. Этот дефект в программном обеспечении OpenAI приведёт к DDoS-атаке на ничего не подозревающий сайт-жертву с использованием нескольких диапазонов IP-адресов Microsoft Azure, на которых работает краулер ChatGPT.

✏️ Подробные сведения:
⏺️API ChatGPT имеет серьезный недостаток, связанный с обработкой HTTP POST-запросов к https://chatgpt.com/backend-api/attributions. Он используется для получения данных о веб-источниках, упомянутых в ответах бота.

⏺️API ожидает список гиперссылок в параметре urls, но ссылки на один и тот же веб-сайт могут быть написаны разными способами. Из-за неправильных методов программирования OpenAI не проверяет, встречается ли гиперссылка на один и тот же ресурс в списке несколько раз и также не ограничивает количество гиперссылок в параметре urls, что позволяет передавать тысячи ссылок в одном HTTP-запросе.

⏺️Таким образом злоумышленник может использовать curl и отправить POST-запрос и сразу после того как он будет получен конечной точкой https://chatgpt.com/backend-api/attributions API OpenAI, серверы OpenAI в Microsoft Azure ответят, инициировав HTTP-запросы для каждой переданной в urls ссылки.

⏺️На этом этапе жертва столкнётся с большим количеством параллельных запросы от бота ChatGPT с разными IP. Даже если жертва заблокирует диапазон IP-адресов, бот все равно продолжит отправлять запросы. Один неудачный или заблокированный запрос не помешает ему снова обратиться к сайту через маленький промежуток времени.

😮 Специалист Бенджамин Флеш, обнаруживший эту уязвимость, рассказывает, что сообщал об этой уязвимости по самым разным каналам, но так и не получил ответа.

🚩 Новые задания на платформе Codeby Games!

🕵️ Категория Форензика — ISO-образ

🔎 Категория OSINT — Великая загадка

🌍 Категория Веб — Счастливый билет

Приятного хакинга!

🔍 NMMapper: Путеводитель по миру сетевых карт

NMMapper — это веб-платформа для сетевого анализа и проверки безопасности. С помощью этого инструмента вы можете проводить сканирование портов, анализировать уязвимости, искать поддомены и выполнять другие задачи для аудита безопасности.

👇 Как начать пользоваться NMMapper?

1⃣ Перейдите на сайт: https://www.nmmapper.com/.
2⃣ Выберите нужный инструмент в меню (например, Nmap Online или Subdomain Finder).
3⃣ Введите параметры, такие как IP-адрес или домен, и начните анализ.

🤟 Основные возможности:

✖️ Онлайн-сканирование портов (на основе Nmap).
✖️ Поиск поддоменов.
✖️ Анализ веб-приложений с помощью инструментов, таких как Wappalyzer и theHarvester.
✖️ Генерация отчетов об уязвимостях.

🧑‍💻 Почему NMMapper?
NMMapper удобен для тех, кто хочет быстро провести анализ сети или сайта без установки сложных инструментов. Это отличный выбор для тестирования безопасности, особенно если вам нужен доступный и простой в использовании интерфейс.

MITRE ATT&CK - основанная на реальных наблюдениях база знаний компании MITRE, содержащая описание тактик, техник и процедур, используемых киберпреступниками. База была создана в 2013 году.

✏️ Матрицы объединены в три группы:
⏺️Enterprise — TTP, используемые при атаках на организации. В этой группе доступна как сводная матрица, так и отдельные, направленные на конкретные операционные системы и облачные сервисы.
⏺️Mobile — TTP, связанные с атаками на мобильные устройства iOS и Android.
⏺️ICS — Industrial Control Systems, TTP для индустриальных систем.

👀 Что же такое TTP?
1️⃣Tactics — высокоуровневые цели, которые злоумышленники пытаются достичь на разных этапах своей атаки (эксфильтрация, разведка, уклонение от обнаружения, горизонтальное перемещение, получение учетных данных и т. д.).

2️⃣Techniques — более конкретные методы, с помощью которых атакующие достигают своих целей (фишинг, модификация реестра, создание задач в планировщике и т. д.).

Кроме того, у многих техник есть свои подтхеники, они более точно описывают конкретные способы или методы, которые атакующие используют в рамках техники. К примеру технику "создание аккаунтов" можно разделить на три подтехники: создание локальных, доменных и облачных аккаунтов.

3️⃣Procedures — конкретные шаги или действия, которые применяют злоумышленники в рамках техники/подтехники. Более детализированно показывают как техника может быть использована на практике. Например, использование schtasks.exe для закрепления в системе.

💡 Применение матрицы MITRE ATT&CK:
⏺️Атрибуция атак.
⏺️Анализ существующей защиты на предмет соответствия реальным угрозам.
⏺️Своевременное реагирование на инциденты.
⏺️Анализ деятельности киберпреступников.