Форензика и OSINT

Каждый день приходят новости, что ту или иную компанию взломали хакеры, получили дампы или зашифровали данные. Защищаться от киберугроз, выстраивая целую инфраструктуру из всевозможных средств защиты, хорошо и нужно, но никогда не стоит забывать о разведке.

В киберпространстве —как в армии. Хорошо, когда на границах вырыты окопы, дежурит артиллерия и ПВО, но без разведки непонятно, куда и чем противник будет атаковать. В цифровом мире базовая военная стратегия в целом не отличается. Разведка важна и нужна, чтобы быть готовыми и собирать данные, которые собирают злоумышленники о вас и вашей инфраструктуре. В статье разберем, как создать направление киберразведки (OSINT) в компании.

С чего зародилась идея создания направления OSINT

В наше время стал мейнстримом тренд на защиту персональных данных и всякой конфиденциалки в компании. Запрос на поиск источников...

Доброго дня коллеги, давайте поговорим про OSINT. Сколько скрытого смысла в данной аббревиатуре. Это направление, которое помогает получить, возможно, верную и необходимую информацию о объекте исследования в ограниченный отрезок времени.

Для тех кто не знает что это такое цитирую википедию:
Разве́дка по откры́тым исто́чникам (англ. Open source intelligence, OSINT) — разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ. В разведывательном сообществе термин «открытый источник разведывательных данных» (англ. open information source), который указывает на общедоступность источника (в отличие от секретных источников и источников с ограниченным использованием), но он не связан с понятиями «просто источник информации» (англ. open source information; OSIF), означающий любую находящуюся в пространстве СМИ информации...

К нам попал Samsung J5 «SM-J510H» на котором стоит парольная защита в виде пин кода, с заданием снять эту парольную защиту.

Для этого мы будем использовать Cellebrite UFED Touch 2.





Так же нам потребуются комплектные кабели и переходники:

• A Adapter-USB
• T-100
• Phone Power-up Cable (необходим для стабильного питания во время работы)
• T-133 (необходим если имеются проблемы с переводом смартфона в download mode)

Запускаем Cellebrite UFED Touch 2.





Выбираем пункт мобильное устройство.



Выбираем пункт обзор устройств, после чего выбираем производителя.



Как мы видим модели SM-J510H...

Доброго времени суток.
Источник:

Nmap стал одним из самых популярных инструментов сетевого сканирования, оставив позади другие сканеры. Часто хосты в некоторых организациях защищены с помощью брандмауэров или систем предотвращения вторжений, что приводит к сбою сканирования из-за существующего набора правил, которые используются для блокировки сетевого трафика. В Nmap пентестер может легко использовать альтернативные методы обнаружения хоста, чтобы этого не произошло. Он состоит из определенных функций, которые делают сетевой трафик немного менее подозрительным. Поэтому давайте посмотрим на различные методы обнаружение хоста.

Содержание:

• Ping Sweep ( No port scan)
• Disable-arp-ping
• Send-ip
• TCP Flags
• Types of Scans
• TCP SYN Ping Scan
• TCP ACK Ping Scan
• ICMP ECHO Ping Scan...

Firefox Decrypt - это инструмент для извлечения паролей из профилей Mozilla (Fire / Water) fox ™, Thunderbird®, SeaMonkey®.

Его можно использовать для восстановления паролей из профиля, защищенного мастер-паролем, если он известен.
Если профиль не защищены мастер-паролем, пароль все равно будет запрошен, но его можно оставить пустым.

Этот инструмент никоим образом не пытается взломать или подобрать мастер пароль. Если мастер-пароль неизвестен, скрипт просто не сможет восстановить какие-либо данные.

Кроме того, требуется доступ к libnss3, который входит в состав Firefox и Thunderbird, хотя в зависимости от конфигурации системы скрипт может не найти библиотеку или загрузить неправильную / несовместимую версию. Как вариант, вы можете установить libnss3 (Debian / Ubuntu) или nss (Arch / Gentoo /…). libnss3 является частью

OSI.IG​

osi.ig - Open Source Information Instagram
Инструмент Instagram OSINT получает из учетной записи Instagram ряд информации, которую вы обычно не можете получить, просто просмотрев их профиль.

Информация включает:

• [профиль]: идентификатор пользователя, подписчики , URL-адрес изображения профиля, бизнес-перечисление, внешний URL-адрес, недавно присоединился и т. д.
• [теги и упоминания]: наиболее часто используемые хэштеги и упомянутые аккаунты.
• [электронная почта]: если какой-либо адрес электронной почты используется в любом месте, он будет отображаться
• [публикации]: заголовок доступна, местоположение, отметка времени, заголовок, URL-адрес изображения и т. д.

(но не работает правильно с постами, помеченными как sensitive content )...

Рассмотрим как работают платные решения для восстановление доступа к учётным записям и не только.

Возможности Elcomsoft System Recovery:

• Сброс паролей к учётным записям Windows и Microsoft Account
• Извлечение хэшей из SAM/SYSTEM и Active Directory для последующей атаки в режиме офлайн
• Извлечение метаданных шифрования TrueCrypt, VeraCrypt, Bitlocker, FileVault (HFS+/APFS), PGP Disk и LUKS
• Создание образов дисков для последующего анализа
• Восстановление как локальных паролей, так и паролей к учётным записям Microsoft Account
• Доработанная среда Windows PE с расширенной поддержкой аппаратного обеспечения и полной поддержкой всех версий FAT и NTFS

Не далее как сегодня меня окончательно порадовали нововведения в загрузочном образе ESR (Elcomsoft System Recovery):
Дисковые утилиты, инструмент "Создания образа диска" и многое другое, но лучше один раз увидить чем сто раз услышать, далее начнём по порядку.

Первое что нам нужно будет сделать это создать свою...

Попадаются модели Apple iPad Model MD519E/A iOS 10.3.4(14G61) которые ещё 32 битные и версий эксплоитов которыми можно получить Jailbreak не так и много, а методы которые сразу должны дать желаемый результат не срабатываю, это я говорю про Impactor 0.9.52 в связке с установкой "insecure SSL" + "Install Package". Т.е такие действия как писалось ранее в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver) не работают.

Наше первое действие получить Jailbreak, для этого мы будем использовать вигдядит подключение и запуск нужной нам операции вот так
Flash & JB -> Run Jailbreak


теперь у нас есть приложение...