Cybred

🔐 Lockpicking без отмычек, алмазных сверл и термита.

Хотите надежно защитить свои вещи от кражи? Не сомневайтесь! С нашими навесными замками ваши вещи останутся там, где они должны быть.

гласит надпись на сайте компании ABUS, которая производит "надежные" замки. Производят они их из собственный сплава, Titalium, о котором никто и никогда раньше не слышал, но который подозрительно созвучен и по написанию похож на титан, Titanium. Очевидно, сделано это, чтобы обмануть покупателя. Вопреки влажным фантазиям, стоит зайти на их лендинг и сразу становится понятно, что так они назвали обычный алюминий.

Titalium основан на легком и прочном алюминиевом сплаве. В своих замках ABUS уделяет особое внимание максимальной устойчивости и малому весу.

Как бы они не хвалили его прочность, капля галлия превращает навесной замок из алюминия в подобие сухой глины, — благодаря реакции двух металлов, он становится настолько хрупким, что его можно раскрошить руками. 📹 Gallium vs. Titalium - Abus Padlock Meets a Gruesome End

TotalRecall Утилита для поиска, извлечения и анализа всех собранных технологией Recall-данных. На выходе отдает снимки и текст, который удалось распознать, включая историю браузера, переписки, пароли и номера кредитных карт. Принцип работы сводится к тому, чтобы собрать файлы из ImageStore, добавить к ним расширение .jpg, и получить скриншоты. Все остальное хранится плеинтекстом в SQLite. Поддерживает фильтры по дате и ключевым словам, после выполнения работы создается готовый отчет.

Пример использования анонсированной функции Recall, которая скоро появится в стабильных версиях Windows и будет включена по-умолчанию. Все данные из менеджера паролей были распознаны с помощью OCR и теперь хранятся в локальной базе данных %LocalAppData%\CoreAIPlatform.00\UKP\{<UUID>}\ukg.db. В стиллеры ее кражу добавят до официального релиза

https://github.com/SafeBreach-Labs/DoubleDrive

Многие шифровальщики похожи. EDR могут обнаружить их с помощью мониторинга процессов, которые изменяют много файлов, или отслеживания распространенных действий перед шифрованием, таких как удаление теневых копий. Но что, если существует способ зашифровать все конфиденциальные данные не выполняя код на конечных устройствах? Мы доказали, что это возможно.

OneDrive как FUD Cloud Ransomware, код выложили только сейчас. Проломить учетку, слинкованную с конкретной машиной, и шифровать, жонглируя симлинками и API-запросами. Доклад с Black Hat (преза): https://www.youtube.com/watch?v=O7y-b85HpSg Текстовая версия: https://www.safebreach.com/blog/one-drive-double-agent-clouded-onedrive-turns-sides/

Karma Project

Они нам звонят и говорят: «У нас дохуя баз данных, нам нужно их объединять, нам нужен Data Lake». Я отвечаю: «Да вот, блять, чувак уже сделал! Нахуй вы дрочите велосипед!?»

Альтернатива Глаза Бога от BadB. Можно искать по более чем 300 дампам, включая VKPay, Avito, Geekbrains, Сбербанк, Спортмастер, и, конечно, СДЭК. Полностью бесплатно, без регистрации и СМС.

CVE-2024-4367 – Arbitrary JavaScript execution in PDF.js — встроенный вьювер в Firefox — Node.js модуль pdfjs-dist — сайты с предпросмотром PDF — приложения на Electron. И еще куча мест, где можно эксплуатировать XSS или RCE (в случае с Electron при определенных условиях), в PDF.js. PoC: https://github.com/LOURC0D3/CVE-2024-4367-PoC Ресерч: https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js

“Incognito Market” Owner Arrested for Operating One of the Largest Illegal Narcotics Marketplaces on the Internet Недавно арестовали владельца маркетплейса Incognito Market, который служил для продажи наркотиков. Сам сервис просуществовал 4 года, а совокупный доход превысил $100 млн. Но забавно то, как нашли его владельца, ведь вычислить его удалось почти сразу же, как Incognito Market появился на свет. 7 мая 2021 — запрос в Google: one pixel attack for fooling deep neural networks github. В тот же день на форуме появляется сообщение One pixel attacks should deem the spammers/DDoSers ML efforts to fail и ссылка на гитхаб, по которой он переходил. 3 сентября 2021 — slot game terminology, с 4 по 7 сентября — он уточняет подробности и кодит. На следующий день в публичном чейнджлоге появляется запись Integrated online casino. А спустя неделю — уже и анонс от самого админа о появлении казино на сайте. Потом идут еще некоторые фичи, которые точно также трейсили по запросам и посещениям в Google, вроде внутреннего чата и Cryptopunk-аватарок на сайте. 19 июля 2022 года в 23:30 сервер уходит в оффлайн, причина — агенты ФБР отключают и дампят его содержимое. А в 00:18, 00:19, 00:20, и 00:23 Линь (владелец маркетплейса) начинает лихорадочно стучать по клавишам и гуглить со своей учетки pm2 crashed, view pm2 daemon logs, pm2 daemon logs и pm2 changelog, — за этим процессом, как и ранее, но уже в реальном времени наблюдают сотрудники спецслужбы. Кроме того, с криптокошелька, на который поступали грязные деньги, он оплатил домен для собственного сайта-порфолио https://rs.me, на котором называет себя Backend & Blockchain Engineer, Monero Enthusiast и постит ссылку на свой Github, с PoW-Shield — системой защиты от DDOS атак, которую он написал, и использовал на сайте Incognito Market. Арест произошел в аэропорту Джона Кеннеди, куда Линь прилетел в качестве туриста.

ChatGPT помог заработать $28 000 на 0-day. Базовый XXE-пейлоад выглядит как-то так <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <stockCheck><productId>&xxe;</productId></stockCheck> Можно залить файл с таким содержимым на сервер и, если у либы, которая его распарсит, включена поддержка внешних сущностей, на выходе мы получим содержимое /etc/passwd. Это касается библиотек, но не браузеров. Если вы откроете нечто подобное у себя в Chrome, то ничего не сработает, т.к. в нем external entities отключены по дефолту. Но выяснился забавный факт. Помимо XML, современные браузеры поддерживают еще много форматов, например, XSL. Это старая спека, которая является надстройкой над XML со своими директивами. О нем и о том, что там тоже можно объявлять внешние сущности, почему-то все забыли, но напомнил ChatGPT. Он подсказал, что это можно делать с помощью директивы, вроде <xsl:copy-of select="document('file:///etc/passwd')"/> которая подгрузит содержимое, вопреки всем запретам. Поэтому полная цепочка выглядит так: 1. Создаем XSL пейлоад с функцией document() 2. Импортируем полученное содержимое как внешнюю сущность в XML 3. Готовый XML-пейлоад вставляем в SVG-картинку и используем по назначению ;) 💰 Выплаты Apple (CVE-2023-40415): $25 000 Google (CVE-2023-4357): $3 000

https://github.com/gh2o/bash_tls/ Минимальная (<1000 строк кода) реализация TLS 1.2 на чистом Bash. Хорошее дополнением к теории The Illustrated TLS 1.2 Connection. Читаем и сравниваем.

CVE-2024-22120 ToolKit

Из админки Zabbix пользователь может выполнять заранее созданные скрипты (по умолчанию, ping и traceroute). После выполнения скрипта, событие записывается в Audit Log. В событии есть поле с клиентским IP. Из-за того, что он не санитизируется, это приводит к SQL-инъекции.

https://support.zabbix.com/browse/ZBX-24505 Скрипт дампит session_id админа и прокидывает реверс-шелл.