[KALI LINUX] SET:Social-EngineerToolkit


Social-Engineer Toolkit (SET)は、特に人間の要素に対して高度な攻撃を行うために設計されています。SET は David Kennedy (ReL1K) によって書かれ、コミュニティからの多くの支援によって、これまでにない攻撃が組み込まれたエクスプロイト・ツールセットになりました。このツールキットに組み込まれた攻撃は、侵入テストで使用する人物や組織に的を絞った攻撃となるように設計されています。

これまで見てきた手法のほとんどは、サーバー側の脆弱性や設計上の欠陥を突いて、そこにアクセスし、データベースから情報を抜き出そうとするものです。 また、サーバーを利用して、ユーザーのソフトウェアの脆弱性を突いたり、ユーザーの持っている情報にアクセスするために、通常しないようなことをさせようとする攻撃もあります。 これらの攻撃はクライアントサイド攻撃と呼ばれる。

本章では、ソーシャルエンジニアリング、スプーフィング、ソフトウェアの脆弱性を悪用し、攻撃者がクライアントから情報を取得するために使用するテクニックをいくつか紹介します。

特にウェブアプリケーションの侵入テストとは関係ありませんが、ほとんどがウェブベースであり、クライアントを攻撃する際にアプリケーションやサーバにアクセスすることができる非常に一般的なシナリオであるため、取り上げることにしました。 そのため、侵入テスト担当者は、攻撃者がどのようにこれらのタイプの攻撃を実行するかを理解することが非常に重要です。

SETでパスワードコレクターを作成する

ソーシャルエンジニアリング攻撃は、クライアントサイド攻撃の特殊な形態と考えることができます。 このような攻撃では、攻撃者はユーザーに、攻撃者が信頼できるコピーであり、ユーザーが所有するある情報を受け取る権利があると確信させる必要がある。

SET(Social-EngineerToolkit)は下記を参照ください。Kali Linux2021.4から追加されています。


このレシピでは、SET を使ってパスワード・コレクターの Web ページを作成し、それがどのように機能するか、また攻撃者がそれを使ってどのようにユーザのパスワードを盗むことができるかを見ていきます。

操作手順

  1. ルート端末で、次のコマンドを入力します。

    sudo setoolkit




  2. set>プロンプトに1(Social-Engineering Attacks)と入力し、Enterキーを押します。


  3. 次に、「Web Site Attack Vectors」(オプション2)を選択します。


  4. 次に、「Credential Harvester Attack Method」(オプション3)を選択します。


  5. 次にSite Cloner(オプション2)を選択します。


  6. Harvester/TabnabbingにPOSTバックするためのIPアドレスを要求されます。これは、収集した証明書の送信先のIPを意味します。ここでは、KaliホストのIP (例:192.168.56.1)を入力します。

  7. 以下、プレッサーフットがクローンするURLを聞いてくるので、対象サイトのログインフォームをクローンします。
    例)http://192.168.56.102/peruggia/index. php?action=login

  8. これでクローン作成が始まり、その後SETがApacheサーバーを開くかどうか尋ねられるので、今回はYesを選択してyと入力してEnterを押してみましょう。


  9. もう一度エンターキーを押します。

  10. http://192.168.56.1/ にアクセスして、ページをテストしてみましょう。


    これで、元のログインページの正確なコピーができました。

  11. ここで、いくつかのユーザー名とパスワードを入力し、「Login」をクリックします。ここでは、「harvester/test」を試してみます。

  12. 元のログインページにリダイレクトされることが確認できます。 ここで、ターミナルに移動し、コレクターファイルが保存されているディレクトリ(Kaliではデフォルトで/var/www/ htmlになります)を入力します。

    cd /var/www/html


  13. harvester_{日時}.txtというファイルがあるはずです。

  14. その内容を表示すると、次のようにすべての情報が取り込まれていることがわかります。

    cat harvester_2015-11-22 23:16:24.182192.txt





これで終わりです。あとはターゲットに接続を送り、偽のログインページにアクセスさせて、パスワードを収集するだけです。

動作原理

SETはサイトのクローンを作成する際に3つのファイルを作成します。まずindex.html。これは元のページのコピーで、ログイン・フォームが含まれています。 今回のKaliで、/var/www/htmlにSETで作成したindex.htmlのコードを見てみると、以下のようなコードになっていることがわかります。


ここでは、ユーザー名とパスワードが192.168.56.1(Kaliホスト)に送られたことが、SETが作成した2番目のファイルであるpost.phpで確認できます。 このファイルが行うのは、POSTリクエストの内容を読み取り、harvester_{date and time}.txtファイルに書き込むだけです。SETが作成する3つ目のファイルには、ユーザーから送信された情報が保存されます。 データをファイルに書き込んだ後、<meta>タグは元のログインページにリダイレクトするため、ユーザーは間違ったユーザー名やパスワードを入力したと思ってしまいます。


【参考(YouTube動画)】


Labels:

【2022年】運気アップ期待のラッキースポットやカラー(転載)

【2022年】ドクターコパが開運アドバイス!運気アップ期待のラッキースポットやカラーを教えます

2022年もスタートし、気分も新たに過ごしたいですね。そこで今回は、風水で有名なDr.コパさんに、2022年の開運アドバイスを聞きました。自分の生まれた年から割り出される、本命星別の開運スポットやラッキーカラー、おすすめの旅行方位などを紹介します。

みんなに共通の2022年の開運カラーは、山吹色、ワインレッド、クリーム色、ゴールドだそう。参考にしてみてくださいね。

まずは本命星をチェック!

下の表をチェックして、自分の生まれた年から本命星を調べてください。

風水では1年を立春~節分と考えるため、誕生日が節分前(1月1日~2月3日)なら、前年の生まれ年と考えます。1980年2月1日生まれなら、1979年生まれと考え、本命星は三碧木星になります。

■一白水星

1945、1954、1963、1972、1981、1990、1999(年)

■二黒土星

1944、1953、1962、1971、1980、1989、1998(年)

■三碧木星

1943、1952、1961、1970、1979、1988、1997、2006(年)

■四緑木星

1942、1951、1960、1969、1978、1987、1996、2005(年)

■五黄土星

1941、1950、1959、1968、1977、1986、1995、2004(年)

■六白金星

1940、1949、1958、1967、1976、1985、1994、2003(年)

■七赤金星

1948、1957、1966、1975、1984、1993、2002(年)

■八白土星

1947、1956、1965、1974、1983、1992、2001(年)

■九紫火星

1946、1955、1964、1973、1982、1991、2000(年)

また、おすすめの旅行方位のアドバイスがありますが、その方角は今みなさんが住んでいる場所を起点に考えてください。


一白水星

コロナ禍でここ2年は強制的に自分の殻に閉じこもっていたあなたも、今年は心を開いてお付き合いできる人と巡り合えそう。思い切って新しい自分に変身!これまでとはちょっと違った新しい自分を表現してください。貯蓄運もあり、気づいたらこんなに貯まっていた、なんてうれしいことがありそう。

開運カラー

ピンク、オレンジ

おすすめスポット

吉方位の温泉、水辺、銀行、橋、水族館

2022年旅行におすすめの方位と期待できる運気

不動産運、一発逆転運・・・東北

健康運、仕事運・・・東

恋愛運、交際運・・・東南

金運・・・西

仕事運、勝負運・・・北西


二黒土星

実りと成功に向かう途上の年。100%の結果を望むのではなく、70%、80%できていればそれでよしと思いましょう。何事も経験と思って、どんなことにも取り組むこと、「コツコツ」やることが大事。不動産運が意外とよく、物件見学が吉アクション。宝くじや懸賞、競馬などギャンブル運にも恵まれ、臨時収入が得られる可能性あり。

開運カラー

グリーン、赤

おすすめスポット

公園、住宅展示場、家具屋、農園、牧場、ジョギングコース

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

健康運、仕事運・・・東

恋愛運、交際運・・・東南

才能運、外見を磨く…南

金運・・・西

仕事運、勝負運・・・北西


三碧木星

今までの努力が実る年。何事もスピーディーに、をモットーにしてください。苦手なことは周りにいるそれが得意な人にまかせ、あなたが得意なこと、成功が近いこと、楽しいと思えること、刺激的なこと、興味があることにお金や時間を使い、自分や暮らしを新しくするようにしましょう。新しいもの、最新の型が吉。

開運カラー

赤、青

おすすめスポット

劇場、映画館、スポーツ施設、日の出スポット、テレビ局

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

不動産運、健康運・・・東北

恋愛運、交際運・・・東南

才能運、外見を磨く・・・南

仕事運、勝負運・・・北西


四緑木星

人の縁にもお金の円にも恵まれる年。人が幸運をもたらしてくれます。新しい人脈は新しい幸せを運んできます。人脈が広がるよう様々な場に足を運んだり、疎遠になっている友人や知人に連絡をとってみるといいでしょう。旅先で縁の広がりが期待できます。考えすぎずに行きたいところに行き、買いたいものを買ってみましょう。

開運カラー

ピンク、オレンジ

おすすめスポット

並木道、川、駅、花畑、花の名所

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

不動産運、健康運・・・東北

健康運、仕事運・・・東

才能、外見を磨く・・・南

金運・・・西


五黄土星

考えてきたこと、取り組んできたことに納得の答えが出ます。良い結果は周りに感謝、期待外れなら人のせいにしない、この考え方が必要です。周囲の顔色を覗い過ぎると本来の行動力や発展意欲がなりを潜めて仕事もプライベートもうまくいきません。思うように進まなくても結果は後からついてくると考え思い切っていきましょう。

開運カラー

ラベンダー、黄色

おすすめスポット

吉方位の温泉、神社仏閣、滝、ダム、文化史跡

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

不動産運、健康運・・・東北

健康運、仕事運・・・東

恋愛運、交際運・・・東南

才能、外見を磨く・・・南

金運・・・西

仕事運、勝負運・・・北西


六白金星

神仏の加護に恵まれ、大きな夢が叶うパワーがある年。それだけに責任も負担もこれまで以上です。風水を味方に明るく元気に行動すれば苦労は自然と吹き飛ぶでしょう。気が大きくなってミスをするおそれもあります。真摯な気持ちと「ありがとうございます」の感謝の気持ちを忘れないように。

開運カラー

グリーン、ベージュ

おすすめスポット

神社仏閣、和風庭園、和風建物、和の街並み、城、競馬場

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

不動産運、健康運・・・東北

健康運、仕事運・・・東

才能、外見を磨く・・・南

金運・・・西


七赤金星

金運や人間関係に恵まれる年。生活レベルが向上し、楽しく豊かな日々を過ごすことができます。ただし愛情が片寄るとちょっとやっかいなことに。恵まれた金運で、運の良い買い物をして気を循環させないと人間関係のトラブルや嫉妬により足を引っ張られることがありそう。嫉妬を受けるとなんとなく身体が重い、やる気が出ないことあり。

開運カラー

黄色、ピンク

おすすめスポット

ショッピングセンター、夕日スポット、おいしい店、神社仏閣

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

不動産運、健康運・・・東北

恋愛運、交際運・・・東南

才能運、外見を磨く・・・南

仕事運、勝負運・・・北西


八白土星

努力が形になる充実の寅年。変化の運が強く働き、転勤や転職、部署移動、転居など環境の変化がありそうです。身内とのトラブルや財産問題が浮き上がる可能性がありますが、目を背けずに将来を見据えて相続や財産のことを考えましょう。変化の今年をのりきるために健康が大事。身体のメンテナンスは定期的に行って。

開運カラー

白、黄色

おすすめスポット

山、高原、展望スポット、タワー、大きな建物

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

健康運、仕事運・・・東

恋愛運、交際運・・・東南

才能運、外見を磨く…南

金運・・・西

仕事運、勝負運・・・北西


九紫火星

才能が形になる年。打ち込めるものが見つかりそう。周りから注目されたり、収入が増えたり、出世したり、賞を獲得したり、仕事の人間関係が広がったりして華やかな年になります。投資に縁があります。お金を貯めるよりは、自分の未来に投資しましょう。趣味、特技に時間やお金をつかうことです。

開運カラー

グリーン、オレンジ

おすすめスポット

海、森林、人気スポット、美術館、イルミネーションスポット

2022年旅行におすすめの方位と期待できる運気

不動産運、一発逆転運・・・東北

健康運、仕事運・・・東

恋愛運、交際運・・・東南

金運・・・西

仕事運、勝負運・・・北西

Labels:

2022年版今年やるべき100のリスト

皆さんは、新年の目標を毎年定めているだろうか?

私は数年前から100のリストを作るようにしている。

私が勝手に投資の師匠として尊敬している内藤忍さんの受け売りなのだが、元ネタはコチラアーカイブ)を参照いただきたい。

1年の計は元旦にありというが、年を追うごとに1年が過ぎるのが早くなっている感じがして、正月に計画を立てないと、あっという間に1年が終わってしまう。

1年365日と聞くと多いように感じるが、週で見れば約52週、月で見れば12ヵ月しかない。

毎月やる系の目標だと12回しかできないのである。

週で見ると52あるが、実際は年末年始、ゴールデンウイーク、夏季休暇等で毎週やる系の目標を立てても52回フルでの実施はほぼ無理で、四捨五入して50になる程度の四十数回が目標値となる。

しかも1週間は7日しかないため、毎週やる系の目標はできても最大7つとなる。

こうして考えると、1年は短い。というよりも、1年でできることは少ない。

それ故に計画を立てて行うことの重要さを思い知らされる。

ちなみに、100のリストは達成率3割程度でも全然OK。「3割なので30点」という学校方式ではなく、「打率3割!すげー」みたいな野球の打者の感覚で考える。

ちなみに、内藤さんの100のリストは、

  • 「The Economist」を毎号必ず1コラム読む
  • ブログを毎日更新する
  • 毎朝トレーニングを欠かさない

といった日々継続すべきリストと、

  • 書籍を年間2冊出版する
  • 大学時代の友人Kに会う
  • 個人投資家が集まるスペースをオープンさせる

といった1年のうちに期限を決めてやるべきことに、分かれるらしい。

一昨年、去年と武漢ウイルスの影響で100のリストがおざなりになってしまったが、自分は習慣化しないと成長していけないタイプの人間なので、週次のトレーニングを4つくらい組み込んで、着実な成長を目指していきたい。

Labels:

ランサムウエアギャング”Night Sky”が"Tokyo Computer Service"をハッキングしたと主張


ー2022/2/14追記ー

プレスリリースアーカイブ

東京コンピュータサービス、ランサム感染でシステム障害

Labels: ,

2022版幸せに過ごすためにやることリスト(転載)

【2022】幸せに過ごすためにやることリスト

2022年になりました。皆さん、今年はどんな1年にしたいですか?

目標の有無も、内容も、人それぞれかと思いますが、何はともあれ「幸せに生きたい」ですよね。

2022年の幸福度を上げるためにやっておきたいことを、まとめてみました。

1. 感謝のエクササイズをする

感謝の量はメンタルヘルスと正の相関があることは、さまざまな研究で証明されているそう。

意識して習慣づけてみてください。

6つの「感謝のエクササイズ」実践法

    1. 感謝の日記
      その日にあった良いことを3つ書き出します。なぜ感謝したのかといった細部ではなく、イベントのみを記述するのがポイントです。

    2. 日々を支えてくれている存在を再認識するエクササイズ
      もし生活の中のあるものが欠けていたら…を想像してみます。もし水道から水が出なかったら、洗濯機がなかったら、愛する人がいなかったら…。そして、あらためて、今それらがあることに感謝します。

    3. 感謝の気持ちを伝えるエクササイズ
      この数週間、あるいは数カ月のうちに、良くしてくれた人を思い浮かべます。そして、その人に感謝の手紙を書きます。なにをしてくれたのか、あなたにとってその人はどんな存在なのかを書き出します。
      実際に、メールや手紙を送る、会ったときに伝える、本人の前で手紙を読み上げる…といった方法で感謝の気持ちを伝えます。

    4. 人生の良い面に感謝するエクササイズ
      特定のヒト/コトのおかげで、あなたの人生がどれだけ恵まれているかをできるだけ詳しく、明確に記述します。それらが人生にとってどんな意味があるのかも分析します。

    5. 困難な出来事のポジティブな面を認識するエクササイズ
      最近の、あるいは以前に起きた困難な出来事について書き留めます。そして自分自身に以下のような質問を投げかけてみます。
      振り返ってみて、その出来事があなたに与えたポジティブな影響を認識できますか? その経験なしで学べなかったことや発見できなかったことはありますか?
      人間として何か変化はありましたか? ポジティブな変化はどんなものですか? こうしたポジティブな影響に感謝できますか?

    6. 感謝を発動させるためのエクササイズ
      毎朝5分間、“人生に感謝の姿勢で向き合おう”との意思を確認します。今すでにある感謝の気持ちを感じてみます。そして、これからの1日がどんなものになるかを想像し、どんなときに感謝を発動させるか想像します。
      今日1日を通して、当たり前のことにもできる限り自覚的になり、すかさず感謝するようにします。

2. 人生の目標を持つ

ある心理学者は、良い人生を送るために最も重要なのは、自分が何者であり、何に価値を置いているのかを見極める自己認識力を身につけることであると提唱します。

この機会に、自分はどのように生きていきたいかについて考え直してみてはいかがでしょう。


3. お金の使い道を考える

安物買いの銭失いになっていませんか?

節約一辺倒になるのもなんだか寂しいし、だからといって浪費ばかりでは、長期的な幸福は見込めなくなります。

今年は「いい買い物」をたくさんしたいですね。


4. 自己研鑽の時間を大切にする

学び続けることはすなわち、自分の内面を磨く作業とも言えるかもしれません。

どんなに仕事やプライベートが忙しくなっても、大切にしたいですね。


5. 健康的な生活を心がける

体調の良し悪しは、私たちのメンタルヘルスに大きな影響を及ぼします。

寝不足、運動不足、栄養不足…まずはこれらを改善するところから始めてみるのもいいですね。


6. やりたくないことは極力しない

頼まれると断れない性分の人、いませんか?

やりたくないことをしている時間は案外ストレスの溜まるもの。なるべく、日常生活を「やりたい」ことで埋め尽くせるように、まずは「ノー」という習慣を身につけましょう。

Labels:

週刊OSINT 2021-47号 / WEEK IN OSINT #2021-47(転載)

Week in OSINT #2021-47

今回は小さなエピソードで、ジオロケーションの方法についてツールやAPIを紹介し、解説します

今号は、大規模なニュースレターではありません。しかし、興味深いトピックをいくつか紹介します。

  • DumpItBlue+
  • Geolocation Write-up
  • Protractor for Chrome
  • API's for OSINT
  • Geolocating a Tree

ツール: DumpItBlue+
 

このツールには面白い機能があり、Facebookがレイアウトを変更しても、まだ使えるものがあります。このツールにはいくつかのオプションがありますが、まず正しいページにアクセスすることを確認してください。すべての友達を削除したいですか?まず「すべての友達」タブを開いてください。コメントを削除したいですか?タイムラインであることを確認してください、など。自動スクロール、コメント拡張、アイテムの削除などなど、気の利いたFacebookツールです。このツールを教えてくれたRituIrinaに感謝します。


記事: Geolocation Write-up

Twitterユーザーのhpiedcoqさんが、DrStacheが書いた素晴らしい記事をTwitterでシェアしてくれました。中東のどこかで撮影された、一見不可能に見える写真から、正確な位置を割り出したのです。オンライン分度器OnTopReplicaなどの便利なツールを使って、いくつかの計算を行い、建物の距離を計算しています。




ツール: Protractor for Chrome

分度器といえば、ブラウザにも分度器があるのをご存知でしょうか?私が以前見つけたのは、Google Chrome用の分度器です。ツールバーに表示され、起動すると分度器が画面に映し出されます。


小技: API's for OSINT

これは、あらゆる種類の情報を取得するために使用できるAPIを備えた素晴らしいリストです。この中には有料のものも含まれているようだが、これらのソースの多くは完全に無料である。これらのリソースをすべて収集し、私たち「'Cyber Detective」と共有してくださってありがとうございます


メディア: Geolocating a Tree

Brecht Castelは、Knackのジャーナリスト兼ファクトチェッカーで、Twitterではその調査でよく知られています。最近からはYouTubeチャンネルも開設し、彼のテクニックを紹介していきます。先週投稿された彼の2つ目のビデオでは、バオバブの木をどのようにジオロケーションしたかが紹介されています。ブレヒトさん、ありがとうございます。このようなチュートリアルはいつでも大歓迎です

Labels: ,

お金持ちの発想


自分は2007年より投資の世界に足を踏み入れた。

きっかけは「年金制度は信用できないから」と、「貯金だけではどう考えても老後破綻するから」

リスクを取ってでも資産運用しないと未来は無く、まさに、「戦わざるも亡国、戦うも亡国」的な感じ・・・。

当時は仕事の関係でソニーと縁があり、そのソニーと縁があったマネックス証券に口座を開き、そのマネックス証券のセミナー(ワンコインセミナー)の縁で内藤忍さんに出会い、投資デビューを飾りました。

このセミナー、ワンコイン言っているだけあって、有料で500円取られたのですが、今までの人生の中で最も価値のある500円だったと思ってる。

本当に価値のあるセミナーはやはり有料でやるべきだな、うん。

マネックス証券と内藤忍さんには今でも感謝しており、内藤忍さんについては勝手に投資の師匠として崇拝しています。

ちなみに現在は小次郎講師のもとに弟子入りして、資産家を目指して勉強中です。
⇒2019年末より休学中

デビュー当初は投資信託がメインでしたが、アセットアロケーションを意識しつつ、外国債券、外国株、仮想通貨、不動産投資FX(自動売買)、株(信用取引)等、様々なものに挑戦し、投資手法と資産の拡大に邁進しています。

現在はまだ「マス層」ですが、再来年くらいには「アッパーマス層」に昇格できそうな感じ(負債も含めた総資産でカウントすると「準富裕層」まで行けるんだけどな)

そんな、勝手に投資の師匠として崇拝している内藤忍さんのブログに下記のような記事があった。

--
ある程度以上の資産や収入を得るようになると、追加で得られるお金にはあまり価値が無くなってきます。年収1億円の人にとっては、年収が倍になっても、2倍豊かになったとは感じません。そのレベルになると、お金よりも大切なものができるようになるのです。
--

そういえば、2018年に参加したお金のEXPOでも、bank光本さんが講演でお金をばらまいてみたいみたいな話があって、「金持ちの発想は違うなー」って思ったけど、ちょっとそれに近いものを感じた。

年収1億円は無理だけど、不労所得で月収40万円はガチで狙いたい。

働かなくても食べていけるようになり、労働とお金の関係が切り離されると、自分もお金よりも大切なものができるようになるのだろうか・・・。

答えは、「富裕層」にたどり着いたときに待っている!!

ー2022/1/3追記ー

2019年版の情報が出たので追記。


2019年のブログで「再来年くらいには「アッパーマス層」に昇格できそうな感じ」って書いていたが、2022年1月の時点での資産状況は下記の通り。


お、予定通り「アッパーマス層」に昇格できてる。。。

という訳で、「準富裕層」を目指します。目標は2025年!!
Labels:
Location: 日本、〒104-0061 東京都中央区銀座5丁目10−10

「ハローキティ」を名乗るランサムウェアギャング / The FBI believes the HelloKitty ransomware gang operates out of Ukraine(転載)


The FBI believes the HelloKitty ransomware gang operates out of Ukraine

法執行機関は通常、脅威となる人物に関する情報をできる限り非公開にして、証拠を集め、監視し、容疑者が証拠を隠滅したり、引き渡し条約のない国に避難する前に逮捕を画策する。

しかし、最近発生したデータ流出事件で、オレゴン州の医療機関(OAG/Oregon Anesthesiology Group, P.C.)が偶然にも、ランサムウェア「HelloKitty(FiveHands)」の一味がウクライナで活動しているとFBIが考えていることを明らかにしたようだ。

"2021年10月21日、FBIはOAGに、ウクライナのハッキンググループHelloKittyのアカウントを押収し、OAGの患者および従業員のファイルが含まれていると通知しました。" オレゴン麻酔科グループは、12月6日の侵害開示の中で述べています。

「FBIは、HelloKittyが当社のサードパーティ製ファイアウォールの脆弱性を利用し、ハッカーがネットワークに侵入することを可能にしたと考えています」とも述べています。

HelloKittyランサムウェア(別名FiveHands)は2021年1月から活動していますが、一味の可能性のある場所についての詳細は、これまで共有・公開されていませんでした。

CISAアラート、FBI IC3アラート、NCC Group、Cado Security、Malwarebytes、Palo Alto Networks、SentinelOne、Mandiantといった複数のセキュリティ企業のレポートにも、その場所の可能性について言及されていない。

ウクライナの警察は、この半年間でREvil、Clop、LockerGogaなどのギャングのメンバーの拘束に成功しており、今回のOAGの不手際は、HelloKittyのウクライナの運営者に、新しい管轄区域への移動の必要性を密告した可能性が現実のものとなっているのである。

現在もHelloKitty一味は活発に攻撃を続けています。

多くの攻撃では、企業ネットワークへの侵入口として、パッチが適用されていないSonicWallデバイスが標的にされるのが一般的でした。この攻撃団の最も有名な被害者は、2021年2月にポーランドのゲームスタジオCD Projekt REDでした。

Labels: ,

ランサムウェアギャングが発表した被害者リスト(2021年12月版)By DarkTracer


Dark Tracerによると、12月は日本企業3社がランサムウェアの被害にあっている模様。 


株式会社デンソー(www.denso.com)

ヤンマー株式会社(Yanmar.com)

株式会社神戸物産(www.kobebussan.co.jp)

Labels: ,

Kali Linux 2021.4リリース。9つの新ツールを追加 / Kali Linux 2021.4 released with Samba compatibility, Apple M1 support, 9 new tools


Kali Linux 2021.4 released with Samba compatibility, Apple M1 support, 9 new tools:

Offensive Securityは、ついにKali Linux 2021.4をリリースしました。このリリースは、新機能やツールが多数組み込まれていることで話題を集めています。ここでは、新リリースに含まれているものを見てみましょう。

大きな改善点

Kali Linux 2021.4には、Sambaとの互換性、Apple M1サポートの向上、パッケージマネージャミラーの切り替え、GNOME、KDE、Kaboxerのテーマ設定、Raspberry Pi Zero 2 W + USBArmory MkII ARMイメージ、Xfceのアップデートなど、いくつかの改良点が含まれています。

参考:https://www.hackread.com/attacksurfacemapper-new-automated-penetration-testing-tool/

Sambaクライアントは、広い互換性を可能にするように設定されている。そのため、使用しているプロトコルのバージョンに関係なく、ほとんどすべてのSambaサーバーに接続できるようになった。この変更により、Kaliを設定しなくても、Sambaサーバーの発見が容易になります。

Kali Linuxの新バージョンでは、Windowsのアイコンテーマとテーマのサポートが拡張され、プログラムがデスクトップの他の部分とよりよく統合されるようになり、あの醜いフォールバックテーマは必要なくなりました。


新しいツール

Offensive Securityでは、9種類もの新しいツールが追加されており、その詳細は以下の通りです。

  • Dufflebag -公開されたEBSボリュームの検索が可能
  • Maryam -オープンソースのインテリジェンス(OSINT)フレームワーク
  • Name-That-Hash - ハッシュの名前とタイプを発見します。
  • Proxmark3 - Proxmark3とRFIDのハッキングを可能にする
  • Reverse Proxy Grapher - グラフビズのグラフでプロキシの流れを逆手に取る
  • S3Scanner - オープンなS3バケットを検索する
  • Spraykatz - リモートでのprocdumpやlsassプロセスのパースを自動化するための資格情報保存ツール
  • truffleHog - コミット履歴を含む高エントロピー文字列と秘密の git リポジトリを探索する
  • Web of trust grapher (wotmate) - 廃止された PGP pathfinder をキーリングだけで再実装。

ソーシャル・エンジニア・ツールキット

NetHunterアプリの一部であるSocial-Engineer Toolkitが、Kali NetHunterアプリと互換性を持つようになりました。これにより、ユーザーはFacebook、Messenger、またはTwitterのダイレクトメッセージのメール通知を、ソーシャルエンジニアリング攻撃用にカスタマイズすることができます。

Kali Linux 2021.4のインストール方法

既存のKali Linuxのインストールをアップグレードしたり、ライブディストリビューションや新規インストール用のISOイメージをダウンロードすることができます。Windows Subsystem for Linuxにインストールした場合など、以前のバージョンからアップグレードする場合は、このコマンドを使って最新バージョンに切り替えることができます。

echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

sudo apt update && sudo apt -y full-upgrade

cp -i /etc/skel/.bashrc ~/

cp -i /etc/skel/.zshrc ~/

chsh -s /bin/zsh

[ -f /var/run/reboot-required ] && sudo reboot -f


詳細およびダウンロードは、Kali Linuxの公式サイトでご覧いただけます。

Labels: ,
登録: 投稿 (Atom)