R

apidFuzz jest cenioną za uniwersalność i szybkość biblioteką języka Python, która oferuje zestaw funkcji pomagających w obliczaniu różnic między ciągami znaków oraz dopasowywania rozmytego (ang. fuzzy matching). W swojej implementacji posiada algorytmy obliczające odległość (miarę różnicy między dwoma ciągami znaków) takie jak: Levenshteina, Damerau-Levenshteina, Hamminga, czy Jaro-Winklera oraz algorytmy obliczające współczynnik podobieństwa ciągów znaków (np. porównujące liczby pasujących do siebie znaków na tle całkowitej liczby znaków w obu ciągach). Możemy wykorzystać ją w swoim procesie przetwarzania danych, aby automatycznie identyfikować: dopasowania, duplikaty, literówki; usprawniać oczyszczanie danych lub szukać w innych bazach danych podobnych wzorców.
[ czytaj całość… ]

S

króty kryptograficzne, takie jak MD5 i SHA[1/2] są wykorzystywane w wielu zastosowaniach związanych z eksploracją danych i bezpieczeństwem – służąc jako identyfikatory plików wykonywalnych i dokumentów tekstowych. Jednak ich rolą jest oznaczanie unikalności, nie podobieństw – jeśli zostanie zmieniony pojedynczy bajt pliku, wówczas skróty kryptograficzne dają zupełnie inne wartości. Ich działanie jest bardzo przydatne przy wyodrębnianiu, znakowaniu i dzieleniu się wskaźnikami skompromitowania (ang. IoCs – indicators of compromise) dla konkretnych próbek szkodliwego oprogramowania (ang. malware). Jednak w celu identyfikacji zagrożeń pochodzących z tych samych “rodzin” i aktorów (o podobnej binarnej strukturze plików, identyfikacja wariantów wiadomości spamowych / phishingowych) pojawiła się przestrzeń dla skrótów kryptograficznych, które identyfikują podobieństwo plików na podstawie ich wartości skrótu. Społeczność zajmująca się bezpieczeństwem zaproponowała dla tego problemu skróty podobieństwa (ang. similarity digests) takie jak np. sdhash oraz ssdeep.
[ czytaj całość… ]

Aktualizacja w każdy: Poniedziałek

• Validin
• DNSViz
• DNS recon & research
• DNS History
• SecurityTrails
• ViewDNS
• dnsSPY
• Open Data

• SSL Server Test
• Certificate Transparency Search
• Certificate Search

• urlDNA
• URL and website scanner
• URL Query
• Phishcheck
• URLbase
• Site Shot
• Screenshot Guru

• Lookup Tool
• WHOIS
• Reverse WHOIS #1
• Reverse WHOIS #2
• McAfee Sitelookup
• Trend Micro Site Safety Checker
• ScamAdviser
• DShield API for Recent Domains

• RIPEstat
• BGP Tools
• IPify
• IPinfo
• InfoByIP
• AbuseIPDB
• FireHOL
• CrowdSec
• Spamhaus
• BotScout
• APIvoid
• I know what you download
• Scamalytics
• Sicehice
• IPQualityScore

• Shodan
• Censys
• RSECloud
• Hunter
• Full Hunt
• ZoomEye
• FOFA
• BinaryEdge
• Netlas
• ONYPHE
• CriminalIP
• LeakIX
• PublicWWW
• PulseDive
• ThreatBook Intelligence
• SilentPush
• GreyNoise
• WiGLE

• Udger
• Spur
• Proxy Detection Test

• Phishing Army
• OpenPhish
• Phish Report
• Phishtank
• PhishHunt
• PhishStats
• CheckPhish
• URLabuse
• Report unsafe site
• Google Safebrowsing
• Phishing.Database

• VirusTotal
• CrowdStrike Falcon Sandbox
• Recorded Future Triage
• FileScan
• MalShare
• Malcore
• UnpacMe
• Intezer
• YARAify
• Malware Bazaar
• Pandora
• Docguard
• ANY.RUN
• Antimalware analysis

• VirusExchange
• VirusShare
• Malware Traffic Analysis
• VX-Underground
• MWDB System

• Threat Vault
• IP & Domain Reputation Center
• ThreatMiner
• Intelligence X
• OTX ALIENVAULT
• ThreatFox
• IBM X-Force Exchange
• Malpedia Library
• The DFIR Report
• SURBL intelligence

• Otwarte Źródła
• OSINT Framework

• CyberChef
• Translation Engine for Rules
• JavaScript Deobfuscator

• Exposed
• HackedList
• Hudson Rock
• Have I Been Pwned

Ostatnia aktualizacja: 27.01.2025 21:50

D

ane rejestracyjne nazw domenowych, powszechnie nazywane WHOIS są od dziesięcioleci przedmiotem różnych dyskusji w ICANN. Grupy robocze w ICANN pracowały nad skomponowaniem zasad, według których dane powinny być wymagane od rejestrujących nazwy domen, czy dane rejestracji nazw domen powinny być prywatne i jak powinny być dostępne. Niezależnie od rozstrzygnięcia wielu rozmów, szersza społeczność ICANN od dawna zgadza się w jednej kwestii: dane rejestracyjne nazw domenowych powinny być przynajmniej sformatowane w spójny sposób. Rozmowy na ten temat rozpoczęły się już w 2002 roku, ale dopiero od 26 sierpnia 2019 roku rejestry nazw domen i rejestratorzy są zobowiązani do korzystania z RDAP (ang. Registration Data Access Protocol, RDAP) jako protokołu wyjściowego danych rejestracyjnych.
[ czytaj całość… ]

D

zisiaj Pinaki zwrócił uwagę na sposób generowania adresów URL zawartych w phishingu wymierzonego w obywateli Ukrainy, który jako przynęty używał możliwość uzyskania wiz poprzez internet. Linki posiadające poniższy format były przekazywane za pomocą różnych wiadomości e-mail oraz czatach:

https://evisa.mfa.gov.ua:login@%6E%66%73%65%63%2E%70%6C

Szybki rzut oka na ten link nawet płynnie korzystającego z internetu użytkownika może go przekonać, że prowadzi on do portalu logowania serwisu evisa.mfa.gov.ua. Ale tak niestety nie jest. Kliknięcie linku w przeglądarce zaprowadzi nas do domeny: https://nfsec.pl. Dlaczego? Spójrzmy jak wygląda format adresu URL (zgodnie z definicją w RFC 1808, sekcja 2.1):

<schemat>://<nazwa_użytkownika>:<hasło>@<host>:<port>

Jest to dość dobrze znana technika w phishingu, w której domena jest zakodowana szesnastkowo. Jeśli rozłożymy ten format na czynniki pierwsze to otrzymamy:

• https:// – protokół / schemat
• evisa.mfa.gov.ua – nazwa użytkownika
• login – hasło
• nfsec.pl – docelowa strona internetowa (zakodowana szesnastkowo – to na nią zostaniemy przekierowani)

Dowód koncepcji: https://evisa.mfa.gov.ua:login@%6E%66%73%65%63%2E%70%6C

Najeżdżając kursorem na powyższy link możemy zaobserwować prawdziwy adres URL wyświetlany w lewym dolnym rogu. Zawsze należy pamiętać o tej czynności przed kliknięciem w link.

Więcej informacji: What does netloc mean?, Phishing attempts on Ukraine,

P

rojekt LOTS jest zestawieniem serwisów, które mogą posłużyć w zupełnie innym celu niż zostały stworzone. Obok takich projektów, jak: Living Off The Land Binaries (Żyjąc Z Wbudowanych Binarek) oraz GTFOBins pokazuje, jak można użyć “popularnych” i o “dobrej reputacji” serwisów do przeprowadzenia wybranych ataków przez cyberprzestępców. Mogą one zostać użyte do przeprowadzenia phishingu, hostowania C&C, eksfiltracji danych oraz pobierania własnych, szkodliwych narzędzi z poziomu sieci wewnętrznej w celu uniknięcia wykrycia swojej obecności.

Przykład: Analizując wpisy DNS określonej firmy atakujący zauważył, że aktywnie korzysta ona z ekosystemu usług firmy Microsoft (Office 365). Posiadając tą wiedzę tworzy on kampanię phishingu wymierzoną w tą firmę, a jako link do kliknięcia wykorzystuje usługę OneDrive: https://*.files.1drv.(com|ms). Ze względu na fakt, że pracownicy tej firmy zapewne bardzo często spotykają z tego typu linkami współdzieląc między sobą różnego rodzaju dokumenty i pliki to istnieje większe prawdopodobieństwo, że ktoś kliknie w ten link i pobierze złośliwe oprogramowanie.

Przy pozytywnej infekcji komputera narzędzia umożliwiające dalsze poruszanie się w głąb sieci firmowej w poszukiwaniu poufnych danych lub zasobów o wysokiej wartości (ang. lateral movement) mogą zostać ściągnięte poprzez stworzenie wiadomości e-mail; dodanie skompresowanego, binarnego załącznika, który będzie miał fałszywe rozszerzenie .txt); kliknięcie na załącznik w celu pobrania jego linku (link jest ważny przez 15 minut) i ściągnięcia narzędzia z mało podejrzanego adresu: attachment.outlook.live.net lub attachments.office.net.

Po zdobyciu interesujących artefaktów dane mogą zostać wyprowadzone z firmy poprzez stworzenie webaplikacji w domenie *.azurewebsites.net lub *.cloudapp.azure.com i za pomocą protokołu HTTPS przesyłane do niej POST-porcjami.

Więcej informacji: LOTS Project

W

zależności od przeczytanego raportu możemy dowiedzieć się, że szkodliwe oprogramowanie (ang. malware) w 80 – 90% przypadków używa systemu DNS (ang. Domain Name System) do prowadzenia swoich kampanii. Z kolei 68% (stan na 2016 rok) organizacji nie monitoruje swoich rekursywnych systemów DNS. Jakiś czas temu pokazałem jak łatwo zaimplementować mechanizm RPZ (ang. Response Policy Zones) w serwerze ISC BIND, aby automatycznie blokować domeny pochodzące z projektu CERT Polska. Co w przypadku, gdybyśmy chcieli mieć więcej takich źródeł?
[ czytaj całość… ]

P

hishing korzysta z różnych technik przy rejestracji domen: typosquatting, cybersquatting, punycode, bitsquatting, homoglyph oraz homograph – ponieważ przekonująca nazwa domeny ma kluczowe znaczenie dla powodzenia każdego ataku phishingowego. Użytkownicy często popełniają błąd podczas pisania nazw domenowych – staje się to problemem kiedy klienci docierają do witryny naszej firmy, która ich zdaniem jest prawdziwa, a w rzeczywistości jest złośliwą kopią. W najlepszym przypadku tylko dezorientuje użytkownika, a w najgorszym instaluje złośliwe oprogramowanie i powoduje straty finansowe. Dlatego, jeśli jesteśmy odpowiedzialni za utrzymanie i bezpieczeństwo firmowej witryny – możemy wyszukiwać domeny o podobnych nazwach i sprawdzać, czy domeny te nie rozpowszechniają niebezpiecznych treści za pomocą strony (HTTP) lub poczty (SMTP) pod szyldem naszej firmy.
[ czytaj całość… ]

Bardzo często zdarza się, że dla lepszych wyników SEO stosuje się przekierowanie 301 z subdomeny www na “czystą” domenę np. z www.openredirect.pl na openredirect.pl. W serwerze Apache jednym z sposobów na uzyskanie tego efektu jest wykorzystanie dyrektywy Redirect pochodzącej z modułu alias:
[ czytaj całość… ]

B

ardzo wiele osób zawsze zadaje sobie pytanie: Jak mój adres e-mail znalazł się w bazie spam? Odpowiedź może być prosta: Sam(a) go przekazał(a)eś. Tak. Np. za pomocą portalu LinkedIn. Jak możemy przeczytać na stronie jest to “największa sieć specjalistów, licząca ponad 467 milionów użytkowników w 200 krajach i terytoriach na całym świecie“. Pytanie ilu z tych użytkowników jest pacynkami ze skarpetek do wyciągania danych?
[ czytaj całość… ]