Обложка канала

Daredevils. Страница 3

1201 @Daredevi1s
Открыть

Авторский блог о it-безопасности и пентестах, часто с практическими примерами. Вся информация предоставлена лишь для ознакомления и ни в коем случае не призывает к действиям.

  • Daredevils

    ​​Хай парни! На связи Мердок и да у нас опять появилась реклама, не серчайте.

    Сегодня поговорим о том может ли один ноутбок стать причиной компрометации корпоративной сети, на самом деле, при определенных ошибках сетевых инженеров и сисадминов, да такое может быть, меры по пресечению сего действа могут быть различны и о них явно не сегодня.

    "Обычное утро, один из менеджеров компании берет свой корпаративный ноут, со включенными админ правами в кофейню, выпить кофе и связаться там с коллегами, заходит на сайт партнера и внезапно, но все же незаметно для себя заражается небольшой утилитой fakeupdates, которая уже залила банковский троян и набор инструментов powershekk empire, все это осталось незамеченным для антивируса, который почему-то хранил свои сигнатуры угроз на корпоративном сервере, кстати сами вредоносы по возвращению в офис были найдены, но чтобы попасть в сеть компании, времени хакеру хватило, что было дальше не столь важно, можно лишь сказать, что счет сотрудника опустел, а админ и сетевой инженер лишились премии и заочно прозвали сотрудника с ноутом мудаком"
    Фантастика - скажешь ты - ведь нельзя же взломать сетку большой компании, как сучку с Кутузовского, так же легко и быстро! а вот и нет - отвечу я - можно и иногда нужно.

    Если говорить о реальности, то похожими методами пользуется группировка Indrik Spider, она чаще всего через уязвимые сайты или фишинговые письма прокидывает троян fakeupdates и дальше заражает компьютер уже или банковскими троянами или сканерами сети или вымогателями биткоинов, а может и еще чем-то.

    Юзернейм, если не хочешь прослыть мудаком серди нерадивых сисадминов, будь внимателен, ибо на данный момент именно такие методы чаще других приносят успех.

  • Daredevils

    Хай хацкер, да @Meerdook опять на связи!

    Сегодня не будет ахуительных историй о хакерах и не будет топовых уязвимостей, некоторые из которых живут 13 лет, поговорим мы с тобой сегодня о webrtc.

    Что эта за зверь такой, а тут все просто это набор api-интерфейсов для взаимодействия твоего браузера и сайтов, допустим для какого-то пейпала или заграничного шопа это пиздец как важно, да и для сайта твоего провайдера тоже.

    Держи список бразуеров, где данная технология включена по умолчанию:

    Google Chrome
    Google Chrome для Android
    Mozilla Firefox
    Opera
    Brave
    Edge
    Epiphany (Gnome)
    Internet (Браузер Samsung)
    Safari
    Vivaldi

    Каждый из этих браузеров может сдать тебя как самая ебливая крыса в твоем окружении, только из-за того что ты петушиная голова решил не офать webrtc.

    Что-же данная технология передает, например ip адрес твой, настоящий user-agent и ко всему дает доступ к твоей вебке или микрофону. Это очень круто и удобно, но не для тебя анон. Так что если ты этого не знал, учись отключать webrtc - это во всех браузерах очень просто, погугли!

    До скорых встреч!

  • Daredevils

    Хай c вами @vlonne .
    Разговор пойдёт о том как принять посылку без дропов, на себя, с минимальными рисками.
    Внимание: Мы не призываем никого к противоправным действиям , вся информация имеется в интернете, мы лишь информируем вас о ней.
    Поехали, к примеру заказали вы какую-то шмотку, или цацку ценой в 1000$ за 20% от цены, как?) Мм, думаю не стоит говорить как. 1ый вопрос какую доставку выбирать? Пользуемся DHL, так как при растаможке им потребуется лишь скан нашего паспорта, все мы знаем что информацию можно купить, бла бла бла, достаём 300 рублей, и скидываем им «наш» паспорт, 2ой вопрос это «наш» адрес, вбиваем любой адрес вашего города. 3ий вопрос, это номер телефона по которому с вами свяжется курьер. Симку покупаем в переходе за 100 рублей и ждём звонка. Когда пак придёт, вам позвонят. На встречу можете приходить сами , паспорт там не требуется, ему грубо говоря похер кому и что отдавать. Подведём итог, имея 400р мы получаем функцию сам себе «дроп», это совсем не значит что этим нужно пользоваться. Увидимся, хацкеры.

  • Реклама

  • Daredevils

    Всем привет, @vlonne на связи.
    Подтвердить личность в QIWI???
    Сразу скажу: Мы никого не призываем покупать что либо незаконное, всё ниже описанное предоставленно лишь в ознокомительных целях.
    Начинаем.
    Все мы знаем что информация имеет цену, это значит что в теории её можно купить, в нашем случае даже не сложно. Личные данные человека? Легко. 300 рублей? Да. В эту информацию будет входить паспорт, фото с паспортом, возможно что то еще. Думаю всем понятно, что покупают это не в гугле. Даркнет в помощь. Зачем вообще в принципе людям чужие данные? Ну хотя бы для верификации того же QIWI. Не говоря уже о кредитах, и прочем. Вернемся к нашей цели, подтвердить личность QIWI. Так как оплата производится в интернете электронно, вы получите файл с информацией. Покупаем временный номер для регистрации QIWI кошелька, а далее отправим полученные данные, чтобы узнать верифицирует ли QIWI наш кошелек. Верификация нам позволит увеличить лимит на ввод, вывод, средств. Успешно, ваш статус: "Основной". В теории человек с таким кошельком мог бы делать всё что угодно, любые денежные операции, и его никто не вычислит. Вполне вероятно, что и твои данные читатель, лежат где-то рядом.

  • Daredevils

    Хай анон!

    Всегда старался обходить новости от государства рассейского, но тут пройти несколько сложно, это довольно интересный факт.

    "В России могут запретить иностранным сервисам переводить деньги россиян без зарегистрированного Центробанком оператора платежной системы. Соответствующий проект закона был внесен в Госдуму РФ депутатами от «Единой России» и «Справедливой России»"

    Впринципе это особо ничего не значит, кроме того факта, что всякие вичаты, алипеи начнут требовать от вас верификации, так что если вы внезапно работаете с любой иностранной системой, будь то вичат или деньги джона гейла, будьте готовы, предоставить левые данные.

    На самом деле закон смешон, но что поделать, хочешь работать в россии, будь готов к туче смешных законов. Удачи вам!

    на сегодня все, завтра дам вам кое-что интересное, так что зовите друзей.

    p.s. http://sozd.duma.gov.ru/bill/603170-7 сам проект!

  • Daredevils

    Хай анон. Я Мердок и я все еще пишу!

    Немного фана в тебе в ленту. в огнелисе(mozilla Firefox, если ты не знал) одна из уязвимость существует без малого 11 лет, это кстати половина твоего возраста, а в особенных случаях может быть и твой. да школьничек?

    Так вот чем же она такая крутая?

    Цитата одного из попавших на это.
    “Сначала сайт открылся в полноэкранном режиме, появилось фальшивое диалоговое окно Windows (я использую Linux, поэтому знаю, что оно фальшивое). Оно попыталось заставить меня загрузить расширение. Далее я нажал ESC, чтобы выйти из полноэкранного режима, попытался нажать на кнопки “Закрыть” и “Отмена”, но безрезультатно, диалоговое окно появилось снова. Опция не разрешать установку расширения также оказалась нерабочей, единственным решением стало закрыть Firefox”

    Сама же уязвимость такая, хакер встраивает iframe в исходный код инфицированного сайта, далее ifraim отправляет запрос аутентификации на другой домен. Собственно после чего появляется окно авторизации, использовать это можно как угодно, например для фишинга или еще для чего-то.Правда сам факт того что уязвимость прожила 11 лет, навевает чувства, подобные тому когда ты стоишь и смотришь как твоя машина летит с горы и в ней находится твоя ненавистная теща.

  • Daredevils

    Хай анон. Это Мердок и я опять на связи!

    Общие черты ддос-атак вы уже знаете. Теперь у нас намечается цикл с общими чертами различных атак, в этом посте я хотел бы коснутся mitm атаки, представь, что между тобой и твоей девушкой, появляется некто третий, который не только слышит все ваши разговоры, но и контролирует их. Представил?
    Вот тебе основная суть атаки, ее еще называют атакой посредника.
    Теперь расскажу о принципах и о том как это работает.

    Атака начинается с прослушивания канала связи и заканчивается тем что хакер пытается подменить перехваченное сообщение и отправить ее на какой-то другой ресурс.

    Как же это применить? Спросишь ты!
    Допустим ты попал на некий роутер в некой организации, т.е. ты вполне способен например создать свой dhcp сервак и перевести часть трафика организации уже на себя, т.е. фактически ты уже сможешь вести логи, копировать трафик и еще дохуя всего. Это теория, которая несколько отвлечена от реальности, так же как твоя сучка отвлечена от этих ваших компутеров.

    Теперь хочу поговорить о известных реализациях, пройдемся очень коротко, но вы можете найти инфы намного больше о них, кстати этот тип атак будет практически бессмертен.

    Например маршрутизатор belkin аш в 2003 году, переодически направлял случайную сессию 80 порта на рекламную страницу производителя, да это своего рода шутка, но все же, оно стоило того.

    В 2013 году стало известно, что браузер Xpress Browser от Nokia расшифровывает HTTPS-трафик на прокси-серверах Nokia, предоставляя компании четкий текстовый доступ к зашифрованному трафику браузера своих клиентов. На что Nokia заявила, что контент не был сохранен на постоянной основе и что у компании были организационные и технические меры для предотвращения доступа к частной информации. Это легко было использовать для слежки например и не только для нее.

    Есть еще множество реализаций, но тут ищите сами.

    Я пойду же выпью вискаря и спатеньки анончики!

    Помни, Мердок, где-то рядом!

  • Daredevils

    Хай анон, сегодня поговорим о ddos атаках.

    Чем же данный вид атак опасен?

    До сих пор, никто нормально не научился справлятся с ними, по-сути система просто отказывается работать с обычными пользователями из-за чего вы как администратор и как пользователь можете испытывать жжение в области своего очка.

    Что же основных и общеизвестных метода осуществления атаки всего три:
    по полосе пропускания - самый тупой вид атаки, где на жертву направляют море траффика, иначе можно сказать убивают сервис мясом.

    Атаки основанные на протоколах сервака - тут уже формируют определенные пакеты для того чтобы убить какой-то конкретный сервис атакуемого сервера и получить опять-таки необходимую дырку. Над такими атаками надо уже немного подумать.

    и самый сложный способ, основанный на ошибках конкретного сайта или другого веб-сервиса, зато самый надежный, вы сначала находите уязвимость, которая может положить весь сервак, а потом малыми ресурсами делаете смертельный удар, эту атаку для администратора очень тяжело отловить.

    Основые ddos инструменты

    Да всеми любимая кали линукс, да да там есть метасплойт и ко всему есть и другой софт, но под такие задачи можно написать и свой софт. Да. Мой стиль в этом посте скучный и занудный, но прости анон, я только с ахуенного пати и все соки остались там, так что сегодня не будет экспресии и сучек.

    Да. Парень ддос атаками можно заработать, а вот как? Прояви свою креативность!

  • Daredevils

    Хай анон, да Мердок не сдох и если тебе интересно читать, не отписывайся от канала, тут будет очень много интересного!

    Сегодня хочу поговорить с вами о перспективах, ваших как хакеров, кстати я буду использовать исключительно официальные источники. Читай и думай о цифрах, о том самом запретном яблоке, я знаю оно тебя манит, как сучка вечером.

    Итак поговорим о группировке Сайленс. Хакер это не только скачал, установил, что-то сделал и пошел дальше, о нет! Это творческий процесс, парень! Давай посмотрим, что же делают "Сайленс". По моим соображениям и заключениям команды аналитиков Group-IB в стане хакерской группировки есть как минимум один бывший или действующий сотрудник айти безопасности, который работал или работает в банковской сфере. Представляешь какие горизонты у него открываются? Он уже вкусил то самое яблоко и видимо остался доволен, группировка стала активной ровно после того момента, как остановила свою деятельность группировка Cobalt, интересно, я окажусь прав, если скажу что это одна и таже группировка? Что же следи за новостями.
    Что же эти парни натворили? Да всего-то со счетов добропорядочных налогоплательщиков увели без малого 52 000 000 рублей.

    О том, что именно они используют я вам не скажу, хотя если ты любознателен, найти для тебя их инструменты не составит большого труда, так что дерзай или просто читай о похождениях бравых ребят.

    Примечателен другой факт, если взглянуть на их работу под лупой, можно увидеть если не команду спецов, то как минимум одного очень крутого чела, так будь похож на него, неважно хакер ты или пентестер, не важно чем именно ты будешь заниматься. Тот или те кто стоят во главе этой группы хакеров, ребята креативные и я перед ними могу лишь снять шляпу, так круто использовать комбо из софта, фишинга и своих навыков, а так же административного ресурса, при этом оставляя минимум следов. Это потрясающе парни! Это происходит прямо сейчас, возможно именно в этот момент твои денежные знаки перетекают на их счета, это тебя не заводит? Меня вот заводит.

    Если ты однажды стал на путь пентестера или хакера, ты уже не сможешь остаться только черным или белым, ты можешь лишь стать крутым спецом, ну или можешь пытаться выбрать сторону. Выбирай черное или белое?

  • Daredevils

    Хай, интересно как @vlonne приумножил 20к?) Тогда тебе сюда.
    Глава 3 - «Не паникуй».
    Верю в то, что зло всегда возвращается бумерангом, поэтому рано или поздно ко мне вернётся вдвое , а у него пропадёт в трое, если не больше, сказал я себе и стал думать что бы это сделать с моими знаниями , да так чтобы и заработать, и не обмануть.
    Любые знания имеют свою цену, поэтому нужно их реализовывать. Сел за пк, и максимально подробно расписал то, как у меня списали деньги, разумеется с целью ознакомления для народа. Дальше я стал думать насколько эта информация была бы полезной ? После того как несколько моих ранее знакомых модераторов с форума ознакомились с поданной информацией они сказали, ты можешь попробовать это продать . Возможно кто-то на этом и действительно заработал, но большинство покупало данную тему лишь для того, чтобы узнать как мой кошелёк начал давать, в свою очередь я ничего не делал как отвечал на вопросы, которые поступали без конца. Банально отдашь за 500? Цена была 1000. Либо же один из самых популярных, дашь за отзыв? (Не бойтесь скидывать цену, вы же не магазин, отзывы так же будут нужны от более ли менее значимых лиц на форуме). Спустя 2 дня мою схему исключительно для ознакомления приобрело порядка 30 человек. Хороший результат, не правда ли? Весь успех заработка зависит от того, на сколько вы замативированы в том, чтобы заработать. Я остался доволен полученным мною результатом, отбил 20, прибавил 50%, что ещё нужно?)Бтв впредь пользуюсь только обменниками.

  • Daredevils

    Всем привет на связи @vlonne, продолжаем.
    Глава 2 - "Без комментариев".
    Скинул ему код, и вроде как всё должно было закончится, но... Но просыпаюсь я блять в 3 ночи, и не от того что возле меня твои сучки, нет. Меня разбудили уведомления о том, что мой кошелёк давал еще хуже чем все твои бывшие вместе взятые. С вашего счёта списано (-10000, -5000, -2000, -1000), странно что он не пробовал брать сразу 15 000, осталось у меня рублей ~400, доил он его так, как только мог. Сначала я ничего не понял, отложил телефон, всё переосмыслил, и понял, что то самое SMS привязало мой кошелек к его счёту, и теперь он может депать в игру без всяких подтверждений (пароль, SMS, ничего небыло нужно). Мягко сказать я приахуел, сразу же отвзяал карты, сменил данные, и т.д. Как оказалось это был школьник, который просто пополнял деньгами чужие аккаунты за 70% от цены, а я, очередной лох который менял свои деньги в ненужном месте в ненужное время. Внизу прикреплю тот самый обмен и транзакции. Ник замазал, дабы у парня небыло проблем, он здесь не причем.
    Какой же я сделал вывод, спросите вы? Следующая и заключительная глава будет посвящена тому, как я отбил, и приумножил средства без обмана, и вложений за 2 дня, при помощи полученного мною урока.

  • Daredevils

    Всем хай, пора бы и мне познакомиться с вами поближе. Я @vlonne, который скрывался всё это время за плечами Merdok'a. Канал не продавали, и не продадим, без паники.
    Собралось очень много информации, за последнее время, поэтому готовьтесь.
    Кто я? Задаётесь вы вопросом. Я тот, который старается извлечь для себя урок из каждой допущенной ошибки.
    Эта история будет как раз об одной из таких ошибок.
    Глава 1 - "Никому не доверяй".
    Предыстория: Было это год назад, именно перед новым годом. Оставались считанные дни, казалось бы самое время для того что бы купить себе подарок, подумал я и пошел на один из даркфорумов где обменивали деньги. Создал тему аля "Обменяю деньги с ### на ###", деньги были на левом кошельке, свежие и только заработанные. Обменник конечно же не подходил, времени не было, да и мысли на тот момент были такие: "У меня репутация, ща быстро всё разрулим".. Сразу же мне написал парнишка с таким сообщением: Привет, обменяю твои деньги, пополни мне игру (я тогда думал только об одном, обычный школьник, который любит поиграться), и был в корне не прав. Возможно он и был школьник, но за моё "Я", ему пришлось меня наказать. Без проблем, сказал я. Кидай свою сумму сюда _________, после того как получу деньги выставишь мне счёт, для оплаты. Успешно получив пару тысяч, он выставил мне счёт в своей игре на всё теже пару тысяч, от меня требовалось лишь SMS подтверждение. Я проверил, всё как и договаривались. Скинул ему код, и вроде как всё должно было закончится, но.....
    Продолжение следует.

  • Daredevils

    Хочешь овладеть доступом к пк буржика? или своей девушки? Так легко Мердок подскажет тебе, но не расскажет, в инете просто дохуища инфы. Вообщем тебе понадобится инструмент FakeImageExploiter, твой комп, доступ в инет, немного креатива и все.
    Что умеет эта софтинка, впринципе она склеивает твой jpeg файл с полезной нагрузкой, т.е. чисто в теории, на не защищенном компе, ты получишь полный доступ к компьютеру, пока жертва не выдернит роутер из сети.

    Ты удивишься, но это можно применять даже в крупных конторах, которые якобы защищены, но мы то с тобой знаем, что их защита стоит как портовая шлюха, союственно так же все и пропускает. Правда чтобы все это заработало, ЗАРАБОТАЛО, понимаешь? ты должен немного подумать головой и подумать что же твоей жертве интересно, ах да, я тебе просто намекаю и не призываю ни в коем случае даже пытаться так делать!
    Мердок как всегда где-то рядом!

  • Daredevils

    Хай. подписота, это опять я!
    Я еще вам не надоел? Нет ну тогда читаем, читаем и еще раз читаем, речь пойдет о десятке, всем вами мамкиными хацкерами любимой, правда, я лично не понимать за что, но вам виднее, часто вам десятка, дороже сучки.

    Итак, ты уже задумывался о том как ее обезопасить от дяди майора и большого брата, а так же от мелкомягких. на самом деле тут все просто, идете в панель управления и отключаете нахуй все функции слежения и отбираете практически все разрешения у вашего микрофона и камеры или ты маленький извращенец, хочешь чтобы твою дрочку увидели во всем инете, так я могу это сделать!

    Далее качай и запускай такую вот прогу Destroy Windows 10 Spying. Можешь даже не трогать галочки,который там стоят, индусы постарались за тебя, она добавляет в файл хост полный блок всех сервисов мелкомягких, т.е. никакая статистика не будет от тебя улетать, ну и так же она отключает хуеву тучу нахуй не нужных тебе служб, представь ту самую девочка в своре ее подружек представил? А теперь представь ее в нижнем белье и одну, разницу ощутил? Я думаю да. Вперед, сделай из своей десятки конфетку!

  • Daredevils

    Хотел бы пару постов сегодня сделать и не пропасть на месяц!
    Буду слоупоком, но все же это важно.
    Этот высер https://t.me/alexlitreev_channel/917 прочел только что. Так господа давайте вместе подумаем что блять такое уязвимость.
    Итак эта та точка входа, через которую систему можно взломать, ощущаете? Т.е. получить доступ к данным, на что микрочелик пишет, ну бля если ваш комп взломают -переписки будет меньшим из зол, которое вас ждет. Ахуенно сказанно клоун, а теперь башкой своей подумай, почему клиент банки, придумали криптоключи? почему блять большая часть софта, который умеет защиту, в состоянии хранить данные в криптоконтейнерах, а оло самый безопасный телеграмм этого не умеет? Это и есть уязвимость. Так же отдельный камень в огород тг. При этом тг собирается хранить ваши документы, конечно же они останутся и на вашем компе, ваши сканы паспортов, ваши фотки кредиток и черт знает что еще даже сиськи блять сучки, которую вы недавно ебали, особенно круто, если кто-то решит разыграть карту и найдет на вашем пк в переписках тг, селфи фоточку второй или третей девушки вашей и ее сиськи. Проблемы? Да блять это проблемы, я ни в коем случае не призываю не пользоватся тг, я призываю блять думать на кого вы подписываетесь и донести мои мысли до автора канала этого высера, так что кому не пофиг пишите [email protected] со ссылкой на мой пост!

  • Реклама

  • Daredevils

    Хай, я нихуя не сдох и я с тобой. Мердок!

    так подписота, вы ахуенны уже тем что остались со мной и теперь, я немного меняю формат и буду выпускать все без медиума и телеграфа итак сегодня будет Тайлс!

    Ты вероятно уже слышал о ней, ну что же начнем.

    На дворе мать его 21 век и каждая мразь пытается заглянуть в историю твоего поиска и проанализровать твой трафик, кстати это можно сделать ваершарком, гайд можешь найти на моем канале. За тобой следит большой брат, твой провайдер, да мать его даже твоя мамка, ты хочешь купить немного травки себе? и вот не задача, тебе надо лезть в тор, чет там настраивать и ебаться в телевизор, причем опять же тебе надо искать ссылки на онион сайты, а о юзабилити в даркнете не слышали, так вот почему бы не покупать наркотики в тг спросишь ты? или облапошивать бедный амеров со своей основной системы? Да ты можешь так делать, но однажды к тебе постучится товарищ майор и скажет "молодой человек, пройдемте", ты скажешь это все хуйня, я сто раз так делал и нихуя не будет, ну что же почитай это! https://t.me/Daredevi1s/35
    Идем дальше, что кроме ссаной анонимности тебе даст Тайлс, тебе не надо качать тор, тебе не надо разворачивать ноду на своем компе, тебе не надо думать о юзерагенте, у тебя максимум возникнут проблемы с облапошиванием добрых американцев на деньги, тут, пока я тебе не помогу, но поверь, я знаю ответ на этот вопрос.
    Чем же так ахуенен Тайлс? Ну он не оставляет следов на твоей машине с твоей виндой, которая у тебя стоит со времен сталина или ленина, да и вообще похуй, тебе не надо делать основной системой линукс, да может эта тема достаточна избита, но энивей это система как сучка, которую ты хочешь не первый год, так иди и возьми ее, ну или пиши мне, я буду твоим Хитчем!

  • Daredevils

    Хай, хацкеры, Мердок опять на связи, и нет, я не сдох, меня не схватила полиция, и нет, я не отравился герычем. Парни, нужны ли вам обучающие статьи? Или я начну постить просто значимые для меня новости из мира it плюс всякие ахуенные стори? Пиши мне в личку @Meerdook. Вот вам статейка по акуле, большая просьба к вам прочитать, и по возможности шарить ее, будуте хорошими мальчиками.

  • Daredevils