William Holland

Настройка iOS-устройства для работы с Burp Suite Professional

2022-11-17T19:09:18.105Z

Вы можете тестировать веб-приложения и мобильные приложения с помощью устройства iOS. Для этого вам необходимо сделать следующее:

Настройте прослушиватель Burp Proxy для приема подключений на всех сетевых интерфейсах.
Подключите ваше устройство и компьютер к одной и той же беспроводной сети.
Для взаимодействия с HTTPS-трафиком вам необходимо установить CA-сертификат на ваше iOS-устройство.

Шаг 1: Настройте прослушиватель Burp Proxy

Чтобы настроить параметры прокси для Burp Suite Professional :

Откройте Burp Suite Professional и перейдите в «Прокси» > «Параметры» .
В Прокси-слушателях щелкните Добавить .
На вкладке « Привязка » установите « Привязать к порту » 8082(или к другому неиспользуемому порту).
Выберите Все интерфейсы и нажмите OK .

При появлении запроса нажмите Да .

Шаг 2. Настройте свое устройство для использования прокси-сервера.

Чтобы настроить параметры прокси для вашего устройства iOS:

На устройстве iOS выберите « Настройки» > «Wi-Fi» .
Убедитесь, что кнопка Wi-Fi включена, и подключитесь к сети Wi-Fi.
Выберите значок информации ( i ) рядом с вашей сетью Wi-Fi.

4. Установите для параметра «Настроить прокси » значение « Вручную» .

5. Установите Сервер на IP-адрес компьютера, на котором работает Burp Suite Professional.

6. Установите Port на значение порта, которое вы настроили для прослушивателя Burp Proxy, в этом примере 8082.

7. Нажмите Сохранить

Шаг 3. Установите сертификат ЦС на свое устройство iOS.

Чтобы взаимодействовать с HTTPS-трафиком, вам необходимо установить сертификат ЦС из вашей установки Burp Suite Professional на ваше устройство iOS.

Чтобы установить сертификат ЦС на ваше устройство iOS:

Убедитесь, что на вашем компьютере запущен Burp Suite Professional.
Используйте браузер на устройстве iOS, чтобы перейти http://burpsuiteи выбрать CA Certificate .
Когда сертификат ЦС загрузится, выберите « Профиль загружен » в меню « Настройки ».
На экране « Установить профиль » выберите « Установить » .

На экране « Установка профиля » выберите « Установить » .
Когда профиль будет установлен, выберите Готово .
Выберите « Настройки» > «Основные» > «О программе» > «Настройки доверия сертификатов» .
Активируйте тумблер для Portswigger CA.

Шаг 4. Проверьте конфигурацию

Чтобы протестировать конфигурацию:

Откройте Burp Suite Professional.
Перейдите в « Прокси» > «Перехват» и нажмите « Перехват выключен », чтобы включить перехват.
Откройте браузер на своем устройстве iOS и перейдите на веб-страницу HTTPS.

Страница должна загружаться без каких-либо предупреждений безопасности. Вы должны увидеть соответствующие запросы в Burp Suite Professional.

С вами был эксперт по Кибербезопасности William Holland ( https://t.me/cat_007_us )

SIMJacker - Неприкасаемых точка.NET

2022-09-10T15:55:19.587Z

Доброго времени суток. Сегодня расскажу о том, как можно взломать телефон через SMS.

Специалисты по кибербезопасности выявили критическую уязвимость в SIM-картах, которая может позволить получить доступ к смартфону, отправив простое SMS.

Уязвимость известна как «SIMJacker». А сама она находится в части ПО, под названием «S@T Browser». Это ПО используется в большинстве SIM карт.

Что такое «S@T Browser»?
«S@T Browser» расшифровывается как SIMalliance Toolbox Browser, который является приложением, предустановленным почти на каждой SIM-карте в составе SIM Tool Kit. Обычно, он предлагает пользователям услуги и подписки. Этот браузер содержит в себе ряд инструкций, таких как настройка вызова, предоставление локальных данных, выполнение команд, отправка коротких сообщений, запуск браузера. Данное ПО можно использовать для отправки SMS, которое также может запускать вредоносные команды на устройстве.

Как утверждается в отчете AdaptiveMobile Security, для использования уязвимости используется GSM модуль, который стоит в районе 10$.

Как это работает?
Злоумышленник отправляет жертве SMS сообщение, которое было специально сделано из двоичного кода.

2. Получив SMS, пользователь может перейти по ссылке (здесь важную роль играет социальная инженерия). После чего выполнится вредоносный код и злоумышленник получит полный доступ к вашему устройству.

Из того, к чему получает доступ злоумышленник, входит:

Геолокация
IMEI жертвы
Выполнение звонков и запросов с устройства жертвы
Но есть и хорошие новости. Это не совсем обычные SMS и составляются в двоичном коде они ещё до отправки. Операторы знают о такой проблеме и при правильной настройки оборудования - просто не пропустит такое сообщение.

Как получается геолокация?

Атака начинается с SMS сообщения, которое в описанном выше варианте имеет набор инструкций. Выполняя эти инструкции, она запрашивает у устройства S/N и идентификатор базовой станции (он же Cell ID). После чего отправляет SMS обратно злоумышленнику. Далее, найти жертву будет уже не так сложно, так как погрешность относительно небольшая. Несколько сотен метров.

Всё это происходит незаметно для пользователя. За исключением возможно что.. колонок, около которых может лежать телефон.

Но и это ещё не всё. Злоумышленники могут воспользоваться этой уязвимостью для использования мобильного банка

Как от этого защититься?

Обычному пользователю - никак. Это задача мобильного провайдера, предоставляющего вам услуги связи.

Но, атака требует довольно глубокие познания и навыки, поэтому эта атака используется в «нишевых» местах, где оператор не позаботился о безопасности своих абонентов.

Поэтому выбирайте провайдера тщательно и узнавайте, имеет ли ВАШ оператор защиту от данной атаки. Осторожной и внимательно открывайте ссылки из SMS сообщений и контролируйте ваш трафик через детализацию у оператора.

инструментарий WIB
Уязвимость S @ T Browser была обнаружена еще 19 февраля. Этот эксплойт известен уже более 4 лет и используется для слежки с 2017 года. В этих статьях обсуждается новая уязвимость под названием WIB Browser.

Важнейшая информация заключается в том, что уязвимые SIM-карты могут быть атакованы с помощью бинарных SMS-сообщений по беспроводной сети (OTA). Затем злоумышленник может фактически захватить мобильное устройство без ведома владельца. Это позволит получить доступ к микрофону для тайного прослушивания разговоров в комнате, отслеживания местоположения и доступа к файлам на мобильном устройстве.

Затронуты более 61 оператора мобильной связи, включая eSIM, который может быть доступен на новых телефонах. Однако в нескольких отчетах указывается, что количество затронутых SIM-карт, вероятно, невелико. Даже в этом случае, по оценкам, 1 млрд мобильных пользователей могут быть уязвимы для атаки слежки S @ T Browser «SimJacker». Это влияет как на операционные системы iOS, так и на Android.

Также была обнаружена вторая уязвимость. Это атакует недостатки браузера WIB на SIM-карте.

Очень информативные статьи:

https://thehackernews.com/2019/09/dynamic-sim-toolkit-vulnerability.html

В статье конкретно упоминается:

« Набор инструментов WIB создан и поддерживается SmartTrust, одной из ведущих компаний, предлагающих решения для просмотра на основе набора SIM-карт более чем 200 операторам мобильной связи по всему миру, и, согласно некоторым пресс-релизам, в список входят AT&T , Claro, Etisalat, KPN, TMobile, Telenor и Vodafone ».

а также

https://threatpost.com/1b-mobile-users-vulnerable-to-ongoing-simjacker-surveillance-attack/148277/

https://www.ehackingnews.com/2019/09/simjacker-exploits-st-browser-to-affect.html

https://thehackernews.com/2019/09/simjacker-mobile-hacking.html

Я разговаривал с AT&T Advanced Support, представившись аналитиком компании Security Groups и мне сказали, что AT&T не использует SAT Browser на SIM-картах, которые они выпускают. Никакого упоминания о наборе инструментов WIB не было, хотя он упоминался выше.

Есть программное обеспечение для проверки SIM-карты. Им требуется доступ к устройству чтения SIM-карты или взломанному устройству Android с установленным программным обеспечением для проверки / мониторинга.

Я запросил документ от AT&T Cybersecurity о том, что AT&T не имеет ни одной из этих уязвимостей на своих SIM-картах, что они используют обновленную SIM-карту с запатентованными механизмами безопасности, и что AT&T Wireless использует передовые методы. Ответа до сих пор нет.

С вами был William Holland, эксперт по кибербезопасности.

Прокси 911.re работали через ботнет сеть, FBI

2022-09-09T16:24:45.601Z

В июле Шербрукский университет опубликовал исследование, в котором проанализировали работу сервиса 911.re. Они анализировали проект с января 2021 года по апрель 2022 года.

В результате исследования было обнаружено, что 911 сдавал в аренду прокси-сервера более 120 000 компьютера. Большая часть ПК находилась в США. На всех устройствах были установлены вредоносные программы. Пользователи этих компьютеров не подозревали, что их ПК стали частью большой сети.

После публикации исследования блог Krebs on Security ещё подробней рассмотрел сеть. Он нашёл ссылки, ведущие в Китай. Оказалось, что в 2016 году вредоносное ПО продвигалось через партнёрскую программу ExE Bucks. Они принимали все виды трафика. Были и другие способы, чтобы продвигать вредоносные программы.

В четверг 28 июля на сайте 911.re опубликовали сообщение, что прокси-сервер прекратил работу. По информации на сайте, 911 прекратил работа из-за группы хакеров, которые клонировали сайт 911.re и обманывали пользователей.

За последние годы ФБР и правоохранительные органы других стран закрыли несколько крупных сервисов аренды прокси за использования ботнетов.

Из-за ботнета закрывают и другие сервисы. Например, в январе 2022 года Google подал иск против двух россиян, которые считаются владельцами сервиса выпуска карт Extracard и сервиса аккаунтов Dont.farm.

В каждом случае под ботнетом подразумевается сеть компьютеров, зараженных вредоносным софтом. Такие сетки используются для скрытого майнинга крипты, распространения вирусов, организации DDoS-атак, сбора персональных данных пользователей и т. д.

VIP72

Прокси-сервис запустили в 2006 году. Он позиционировался как инструмент, который позволит скрывать настоящее местоположение. По данным исследователей безопасности, VIP72 использовал для перенаправления трафика клиентов преимущественно скомпрометированные компьютеры.

Примечательно, что сервис размещался на американском IP-адресе. Аналитики портала Technadu предполагают, что именно это помогло ФБР закрыть VIP72. Хотя информации об операции спецслужб в открытом доступе нет — сервис просто ушел в оффлайн в августе 2021 года.

Некоторые пользователи утверждают, что проект не справился с растущей конкуренцией и не смог выстроить качественную инфраструктуру. Все-таки 15 лет назад рынок прокси был совершенно другим.

LUXSOCKS

«Люксы» были очень популярны у арбитражников из СНГ. Сервис предлагал прокси из разных ГЕО: США, Европа, Африка, Азия. В январе 2021 года представители анонсировали закрытие проекта. Они дали пользователям 10 дней на то, чтобы потратить баланс.

Представители LUXSOCKS аргументировали закрытие уходом на пенсию, но из-за связи с кардинговым сервисом Unicc можно сделать вывод о том, что их прикрыли спецслужбы или сделали работу в прежних условиях невозможной.

В магазине Unicc продавались данные ворованных кредитных карт и номера социального страхования США. По данным нескольких медиа, овнером проекта был россиянин Андрей Новак. В январе 2021 года появилась информация о его аресте.

Ущерб от группировки The Infraud Organization, которая стояла за Unicc, оценивается в $586 млн. Известно, что ФБР много лет охотилось за её участниками и сотрудничало с российским отделом «К». Последние как раз и задержали участников Infraud.

В 2018 году в Бангкоке арестовали еще одного руководителя Infraud — российского хакера Сергея Медведева. При обыске у него нашли кошельки с 100 000 BTC. По итогам суда он получил 10 лет тюрьмы.

RSocks

В сервисе продавались IPV4 прокси оптом и поштучно. Пользователям были доступны адреса из 51 страны. Также у RSocks был собственный VPN для безопасного серфинга в интернете.

В июне 2022 года появилась информация, что минюст США ликвидировал ботнет RSocks, который использовался для DDoS-атак и спам-рассылок. По данным правоохранителей в ходе деятельности сети были взломаны миллионы компьютеров по всему миру.

16 июня на сайте минюста Америки опубликовали отчет о спецоперации против российского ботнета. Согласно публичным данным, следователи ФБР неоднократно покупали доступ к прокси, чтобы собрать данные об инфраструктуре сервиса. Первая покупка была сделана еще в 2017 году.

22 июня исследователи группы KrebsOnSecurity выложили данные владельца сервиса. Им был 35-летний россиянин Денис Емельянцев.

911.re

В июле 2022 года появилась информация о закрытии еще одного популярного китайского сервиса аренды прокси. В официальном сообщении, представители проекта заявили о том, что он был целью хакерских атак в течение последних двух лет.

В блоге KrebsOnSecurity 18 июля опубликовали подробное расследование, из которого следует, что 911.re в течение 7 лет продавал доступ к сотням тысяч компьютеров по всему миру. Представители прокси-сервиса утверждали, что доступ к устройствам получен легально — пользователи соглашались с условиями во время использования бесплатного VPN.

Исследователи пришли к выводу, что 911 поддерживался инфраструктурой, похожей на ботнет. Один из доменов, связанных с сервисом, использовался для партнерки ExE Bucks, которая предлагала высокие ставки за установку сомнительной прокси-программы.

По данным Proxyway, закрытие 911.re оставило дыру на рынке прокси. Трафик на страницы сайта, связанные с SOCKS5 и резидентными прокси, в моменте увеличился на 150-200%.

AWMProxy.net

Этот сервис был связан с ботнетом Glupteba, который аффилирован с Dont.farm и Extracard. После заявления Google об иске к овнерам ботнета, сервис AWM Proxy с 14-летней историей, внезапно отключился.

Исследователи KrebsOnSecurity называют AWM Proxy крупнейшим сервисом, которым пользовались для перенаправления трафика через взломанные устройства. Ботнет распространялся через download-партнерки.

После проблем с Dont.farm и Extracard, AWM Proxy переехал на другой домен и сейчас по-прежнему предлагает клиентам самую большую базу прокси по доступным ценам. Также сервис якобы подчиняется российскому законодательству и блокирует сайты из черного списка Роскомнадзора.

VPN и хостинг Safe-Inet

Сервис позиционировался как «пуленепробиваемый VPN», работал на рынке с 2010 года. В 2020 году ФБР отчиталось о проведении операции, в ходе которой заблокировали деятельность 3 VPN-сервисов, использовавшихся для фишинга, кражи аккаунтов и других мошеннических операций.

Серверы провайдеров арестовали в 5 странах. Данные с них ушли на анализ к правоохранителям. По результатам расследования спецслужбы обещали предъявить обвинения пользователям, нарушившим закон.

Какое будущее ждет сервисы аренды прокси?

Чтобы хоть как-то обезопаситься от проблем с правоохранителями, прокси-сервисы начали постепенно вводить верификацию через KYC (Know Your Customer). Крупнейший поставщик IP-адресов SOAX недавно выпустил новость о старте проверки клиентов.

Для анализа персональных данных используется KYC-платформа Veriff. Перед оплатой пробного пакета прокси, в личном кабинете появляется уведомление о необходимости прохождения верификации.

По оценкам экспертов Proxyway, интеграция KYC позволит белым прокси-сервисам защититься от проблем со спецслужбами. Они смогут предоставить правоохранителям данные клиентов по запросу.

Некоторые сервисы не смотрят в сторону KYC, а ограничивают регистрацию новых клиентов. Именно так поступил поставщик прокси SocksEscort. После закрытия RSocks нагрузка на них сильно увеличилась и они на время приостановили создание аккаунтов.

По данным KrebsOnSecurity, SocksEscort используют прокси-сеть на основе вредоносных программ. IP-адреса, которые они поставляют, принадлежат зараженным компьютерам.

Шопы по продаже носков:

ABM.net
Anonymous-proxies.net
Awmproxy.net
@Blackproxyio
Brightdata.com
Buypersonalproxy.com
Changemyip.com
Cosmoproxy.com
Cyber-gateway.net
DSLrentals.com
DSLroot.com
EtunnelVPN.com
Faceless.cc
Flipnode.io
Geosurf.com
Highproxies.com
Homeip.io
Hydraproxy.com
IPBurger.com
IPv4depot.com
Illusory.io
Infatica.io
Ip-Teleport.com
Iproxy.online
LTEboost.com
Litport.net
Localproxies.com
Luminati.io
Luxproxy.com
Luxsocks.ru
Massproxy.com
Metrow.com
Mobileproxy.space
@Mobproxies
Netnut.io
Nonymous.io
Nosok.org
Omgproxy.com
Onlinesim.io
Oxylabs.io
Pingproxies.com
Privateproxy.me
Proxiesforyou.com
Proxy.army
Proxy-cheap.com
Proxy-list.ru
Proxy-seller.com
Proxy-seller.ru
Proxy1337.com
ProxyLTE.com
Proxy.market
Proxy_speedmask.deer.is
(http://proxy_speedmask.deer.is/)(http://proxy_speedmask.deer.is/)Proxycue.com
Proxyempire.com
Proxyguys.com
Proxyhulk.com
Proxyips.net
Proxymatter.io
Proxyninja.io
Proxypanel.io
Proxyplanner.com
Proxys.io
Proxyside.io
Proxysocks5.com
Proxysolutions.net
Proxystore.net
Proxytales.com
Proxyverse.io
Proxywhite.com
Proxyworld.io
Purevpn.com
RSocks.net
Rotatingproxies.com
Satproxy.com
Seproxysoft.com
Smartproxy.io
Soax.com
Stackaxis.io
Superproxy.shop
Supersonicproxies.com
Surveyproxies.com
Topsocks.io
Truesocks.net
V6proxies.com
Virtnumber.com
Worldsocks5.com
Youproxy.ru
You-proxy.com
Zproxies.com
iProxy.biz
SocksEscort
vclab
5Socks[.] net
Astroproxy[.] com
Bestproxy[.] net

http://t.me/Betternever_findbot?start=943281670

Aceproxies.com
Anonymous-proxies.net
Awmproxy.net
@Blackproxyio
Brightdata.com
Buypersonalproxy.com
Changemyip.com
Cosmoproxy.com
Cyber-gateway.net
DSLrentals.com
DSLroot.com
EtunnelVPN.com
Faceless.cc
Flipnode.io
Geosurf.com
Highproxies.com
Homeip.io
Hydraproxy.com
IPBurger.com
IPv4depot.com
Illusory.io
Infatica.io
Ip-Teleport.com
Iproxy.online
LTEboost.com
Litport.net
Localproxies.com
Luminati.io
Luxproxy.com
Luxsocks.ru
Massproxy.com
Metrow.com
Mobileproxy.space
Netnut.io
Nonymous.io
Nosok.org
Omgproxy.com
Onlinesim.io
Oxylabs.io
Pingproxies.com
Privateproxy.me
Proxiesforyou.com
Proxy.army
Proxy-cheap.com
Proxy-list.ru
Proxy-seller.com
Proxy-seller.ru
Proxy1337.com
ProxyLTE.com
Proxy.market
Proxy_speedmask.deer.is
Proxyempire.com
Proxyguys.com
Proxyhulk.com
Proxyips.net
Proxymatter.io
Proxyninja.io
Proxypanel.io
Proxyplanner.com
Proxys.io
Proxyside.io
Proxysocks5.com
Proxysolutions.net
Proxystore.net
Proxytales.com
Proxyverse.io
Proxywhite.com
Proxyworld.io
Purevpn.com
RSocks.net
Rotatingproxies.com
Satproxy.com
Seproxysoft.com
Smartproxy.io
Soax.com
Stackaxis.io
Superproxy.shop
Supersonicproxies.com
Surveyproxies.com
Topsocks.io
Truesocks.net
V6proxies.com
Virtnumber.com
Worldsocks5.com
Youproxy.ru
You-proxy.com
Zproxies.com
iProxy.biz
proxy-seller.com
yilu.us
https://iparchitect.ru/Proxy.for.Telegram/
astroproxy.com
nsocks.net