Итак, CTF!
Как вы помните, в прошлом году мы специально разработали максимально уязвимое приложение и загрузили его во все магазины приложений!
Вы его качественно разломали и мы потратили немало денег на BugBounty!
В этом году мы учли опыт прошлого года и теперь наши «Безопасные заметки» точно супер безопасные! Мы много читали, поумнели (надеюсь), защитили свое приложение и в этом году представляем вам новую версию! Теперь вы его точно не сломаете! Конечно, мы ничего не исправляли, зато применили сложные механизмы защиты!
Теперь, правда она представлена в виде классического CTF с флагами формата flag{some_value}.
Попробуйте найти хотя бы три!
Зарегистрироваться на CTF можно по адресу
https://offzone.ctf.swordfish-academy.ru/
Это совместный CTF, так что внутри есть еще и флаги на Web!
Участвуйте, регистрируйтесь, присоединяйтесь!
Новости будут тут, но оперативная информация в нашем канале “Security Champions”!
#CTF #Android
Как вы помните, в прошлом году мы специально разработали максимально уязвимое приложение и загрузили его во все магазины приложений!
Вы его качественно разломали и мы потратили немало денег на BugBounty!
В этом году мы учли опыт прошлого года и теперь наши «Безопасные заметки» точно супер безопасные! Мы много читали, поумнели (надеюсь), защитили свое приложение и в этом году представляем вам новую версию! Теперь вы его точно не сломаете! Конечно, мы ничего не исправляли, зато применили сложные механизмы защиты!
Теперь, правда она представлена в виде классического CTF с флагами формата flag{some_value}.
Попробуйте найти хотя бы три!
Зарегистрироваться на CTF можно по адресу
https://offzone.ctf.swordfish-academy.ru/
Это совместный CTF, так что внутри есть еще и флаги на Web!
Участвуйте, регистрируйтесь, присоединяйтесь!
Новости будут тут, но оперативная информация в нашем канале “Security Champions”!
#CTF #Android
Telegram
Swordfish Security
Помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки
Наши сервисы: swordfish-security.ru
Хабр: habr.com/ru/companies/swordfish_security/
Вопросы: [email protected]
Наши сервисы: swordfish-security.ru
Хабр: habr.com/ru/companies/swordfish_security/
Вопросы: [email protected]
Forwarded from Mary
This media is not supported in your browser
VIEW IN TELEGRAM
outputctf2.apk
26.3 MB
Для тех, кто не смог найти - наше CTF-приложение
Что нового в мире мобилок за этот год?
Через 10 минут на Community Track буду выступать про безопасность мобилок, немного обзорный доклад о том, какие тенденции мы наблюдаем, что нового и интересного произошло с начала года :)
Если интересно, приходите послушать!
Через 10 минут на Community Track буду выступать про безопасность мобилок, немного обзорный доклад о том, какие тенденции мы наблюдаем, что нового и интересного произошло с начала года :)
Если интересно, приходите послушать!
Своя игра!
Всем привет! Через 5-10 минут начинаем свою игру! Приходите все, кто хочет принять участие на стенд Mobile Appsec World!
Всем привет! Через 5-10 минут начинаем свою игру! Приходите все, кто хочет принять участие на стенд Mobile Appsec World!
Итоги CTF!
Друзья! Привет всем!
Те, кто участвовал в CTF, спасибо вам огромное!
Прошу подойти к нашему стенду участников с Никами в системе;
1. czuryk
2. mamkin_haker
3. elliot
Начислим вам оффкоинов :D
Друзья! Привет всем!
Те, кто участвовал в CTF, спасибо вам огромное!
Прошу подойти к нашему стенду участников с Никами в системе;
1. czuryk
2. mamkin_haker
3. elliot
Начислим вам оффкоинов :D
Подружились тут с ребятами из КодИБ на оффзоне :)
Поэтому приглашаю вас на их мероприятие) Обычно там всегда очень классная атмосфера и хорошие спикеры (сам там был) :D
Поэтому приглашаю вас на их мероприятие) Обычно там всегда очень классная атмосфера и хорошие спикеры (сам там был) :D
Forwarded from Ева Коршунова
— Организация безопасного удаленного доступа
— Автоматизация администрирования ИТ Инфраструктуры
— Организация удаленной интерактивной тех. поддержки
— Импортозамещение
— Миграция на альтернативные ОС
В выборе универсального решения для удаленного доступа и управления конечными устройствами поможет вебинар от команды Код ИБ и RuDesktop.
🗓 27 августа в 11:00 (мск) узнайте о широких возможностях отечественного ПО. Спикеры познакомят вас с уникальным решением и ответят на все вопросы.
Участие бесплатное по предварительной регистрации.
Please open Telegram to view this post
VIEW IN TELEGRAM
Уязвимости в Google Pixel
На вебинаре, который недавно проходил (кстати, скоро будет запись), спросили, а нет ли каких-то проблем с Pixel или OnePlus?
Конечно, такого лютого списка, как с Samsung или Xiaomi нет, но вот есть крайне занятная статейка.
Условно, на куче Pixel'ей было установлено приложение Showcase.apk (с системными привилегиями), которое нельзя удалить.
Это приложение получало конфиг с удаленного сервера по HTTP и благодаря этому моно было выполнять произвольный код от имени системы :)
Кто спрашивал про Pixel, они тоже не идеальны :)
#android #pixel
На вебинаре, который недавно проходил (кстати, скоро будет запись), спросили, а нет ли каких-то проблем с Pixel или OnePlus?
Конечно, такого лютого списка, как с Samsung или Xiaomi нет, но вот есть крайне занятная статейка.
Условно, на куче Pixel'ей было установлено приложение Showcase.apk (с системными привилегиями), которое нельзя удалить.
Это приложение получало конфиг с удаленного сервера по HTTP и благодаря этому моно было выполнять произвольный код от имени системы :)
Кто спрашивал про Pixel, они тоже не идеальны :)
#android #pixel
iverify.io
iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World
iVerify discovered an Android package, with excessive system privileges on a very large percentage of Pixel devices shipped worldwide.
Запись вебинара по безопасности мобильных приложений
Для тех, кто:
- хотел, но успел
- не хотел, но успел
- кто и не хотел и не успел :D
Запись нашего вебинара по безопасности мобильных приложений. На мой взгляд получилось весьма неплохо, такой небольшой овервью того, что было интересного за последние полгода, что чаще всего встречаем, на что обращаем внимание)
В общем, всем спасибо, надеюсь понравится)
Для тех, кто:
- хотел, но успел
- не хотел, но успел
- кто и не хотел и не успел :D
Запись нашего вебинара по безопасности мобильных приложений. На мой взгляд получилось весьма неплохо, такой небольшой овервью того, что было интересного за последние полгода, что чаще всего встречаем, на что обращаем внимание)
В общем, всем спасибо, надеюсь понравится)
Forwarded from Swordfish Security (Leila Galimova)
Запись вебинара по мобильной безопасности уже на YouTube!
Привет, друзья!
Недавно команда AppSec Solutions с продуктом Стингрей провела вебинар «Стендап о безопасности мобильных приложений». Было жарко! 🔥 Мы обсудили самые актуальные уязвимости и новые векторы атак на 2024 год.
Если пропустили — не беда! Запись уже готова:🔜 ссылка
А теперь внимание:🎆 бонус! Мы подготовили для вас демо-анализ безопасности вашего мобильного приложения!
Чтобы его получить, просто в любой из форм обратной связи на сайте, укажите ключевое слово "вебинар".
🔜 Проверить приложение
Благодарим вас за участие и до встречи на наших следующих мероприятиях!
Привет, друзья!
Недавно команда AppSec Solutions с продуктом Стингрей провела вебинар «Стендап о безопасности мобильных приложений». Было жарко! 🔥 Мы обсудили самые актуальные уязвимости и новые векторы атак на 2024 год.
Если пропустили — не беда! Запись уже готова:
А теперь внимание:
Чтобы его получить, просто в любой из форм обратной связи на сайте, укажите ключевое слово "вебинар".
Благодарим вас за участие и до встречи на наших следующих мероприятиях!
Please open Telegram to view this post
VIEW IN TELEGRAM
Ммммм, пятничные сплойты)
Были б еще в открытом доступе :)
Были б еще в открытом доступе :)
Безопасность в GameDev или исследуем Unity
Всем привет!
Как-то так сложилось, что до Unity я никак не могу добраться, а ведь это отдельный очень классный и крутой мир!
Очень многие игры построены именно на этом движке и уметь их анализировать и модифицировать это отдельный скил.
Не встречал до этого нормальных статей, но вот одна из немногих, которая не только показывает принципы анализа подобных приложений, но и делает это на конкретном примере конкретной игры с вполне четкой целью.
Именно такие вещи, с теорией, практикой и реальными примерами лучше всего мне заходят.
Так что не только играйте в игры, но иломайте изучайте их!
#unity #gamedev
Всем привет!
Как-то так сложилось, что до Unity я никак не могу добраться, а ведь это отдельный очень классный и крутой мир!
Очень многие игры построены именно на этом движке и уметь их анализировать и модифицировать это отдельный скил.
Не встречал до этого нормальных статей, но вот одна из немногих, которая не только показывает принципы анализа подобных приложений, но и делает это на конкретном примере конкретной игры с вполне четкой целью.
Именно такие вещи, с теорией, практикой и реальными примерами лучше всего мне заходят.
Так что не только играйте в игры, но и
#unity #gamedev
8kSec - 8kSec is a cybersecurity research & training company. We provide high-quality training & consulting services.
Hacking Android Games - 8kSec
Learn the process involved in hacking Android games and learn how to distinguish between app hacking and game hacking within the Android ecosystem.
А вот и пост от партнёров КОД ИБ.
Я бы послушал чисто из-за названия :)
Я бы послушал чисто из-за названия :)
Forwarded from КОД ИБ: информационная безопасность
Современные подходы неуязвимости
🗓 10 сентября, 11:00 мск
Не пропустите вебинар, на котором мы обсудим, как сделать свою компанию неуязвимой.
🎯 Ключевая задача — сделать атаку на организацию «невыгодной» для злоумышленников. То есть выстроить систему безопасности так, чтобы временные и материальные затраты хакера стали сильно выше, чем предполагаемая монетизация от успешной атаки.
Как выбрать оптимальные инструменты для выстраивания защиты, будем разбираться с командой Alpha Systems, которые расскажут о новом подходе по управлению уязвимости.
Во время вебинара ответим на следующие вопросы:
1. Как организовать учет ИТ-активов и не стать «5 колесом» для ИТ-департамента?
2. Как подойти к процессам по поиску и управлению уязвимостями, выстроить и оптимизировать их?
3. В чем кроятся корневые причины эксплуатации уязвимостей, и как им противодействовать?
4. Как обеспечить скорость и эффективность обработки инцидентов, выстроить этапность и приоритезацию?
5. Как выстроить работу команды, чтобы никто не сошел с ума и не закопался в рутине?
🗣 Спикеры:
— Игорь Смирнов, CEO Alpha Systems
— Рустам Агаев, CTO Alpha Systems
Участие бесплатное по предварительной регистрации.
🗓 10 сентября, 11:00 мск
Не пропустите вебинар, на котором мы обсудим, как сделать свою компанию неуязвимой.
🎯 Ключевая задача — сделать атаку на организацию «невыгодной» для злоумышленников. То есть выстроить систему безопасности так, чтобы временные и материальные затраты хакера стали сильно выше, чем предполагаемая монетизация от успешной атаки.
Как выбрать оптимальные инструменты для выстраивания защиты, будем разбираться с командой Alpha Systems, которые расскажут о новом подходе по управлению уязвимости.
Во время вебинара ответим на следующие вопросы:
1. Как организовать учет ИТ-активов и не стать «5 колесом» для ИТ-департамента?
2. Как подойти к процессам по поиску и управлению уязвимостями, выстроить и оптимизировать их?
3. В чем кроятся корневые причины эксплуатации уязвимостей, и как им противодействовать?
4. Как обеспечить скорость и эффективность обработки инцидентов, выстроить этапность и приоритезацию?
5. Как выстроить работу команды, чтобы никто не сошел с ума и не закопался в рутине?
🗣 Спикеры:
— Игорь Смирнов, CEO Alpha Systems
— Рустам Агаев, CTO Alpha Systems
Участие бесплатное по предварительной регистрации.
Ох, вот это новости :)
OCR в вирусах, для меня что-то новое, на самом деле, не встречал такого раньше.
OCR в вирусах, для меня что-то новое, на самом деле, не встречал такого раньше.
Forwarded from SecAtor
Исследователи McAfee обнаружили новый тип мобильного ПО SpyAgent для Android, реализующую технологию оптического распознавания символов OCR для кражи фраз мнемонических ключей из изображений на устройстве.
Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа.
Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем.
Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте.
Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях.
Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы.
Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании.
При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки.
После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве.
SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО.
Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ.
Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»).
При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket.
Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках.
Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play.
Так что можно смело констатировать, что такая тактика начинает набирать популярность.
Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа.
Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем.
Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте.
Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях.
Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы.
Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании.
При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки.
После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве.
SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО.
Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ.
Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»).
При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket.
Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках.
Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play.
Так что можно смело констатировать, что такая тактика начинает набирать популярность.
McAfee Blog
New Android SpyAgent Campaign Steals Crypto Credentials via Image Recognition | McAfee Blog
Authored by SangRyol Ryu Recently, McAfee’s Mobile Research Team uncovered a new type of mobile malware that targets mnemonic keys by scanning for images