SecuriXy.kz

Век живи - век учись...

Интересный встроенный функционал #Evil-WinRM узнал недавно изучая очередной «индусский» курс.

Суть в то, что у Evil-WinRM есть встроенный тулсет доступный через menu.

И есть например - функция Invoke-Mimikatz которая позволяет загружать и выполнять утилиту Mimikatz непосредственно в памяти целевой системы, что снижает вероятность обнаружения антивирусными средствами.

А еще, он поддерживает переменные при выполнении команд, и если нам нужно исполнить скрипт или еще что-то не на целевой заовненной системе, а за ее пределами, например на контроллере домена, без необходимости пробрасывания туннельки - мы можем использовать это для выполнения наших команд безтельно (в памяти).

На примере ниже - исполнение мимикатза из памяти на контролле домена DC через WinRM сессию с пользовательского хоста


*Evil-WinRM* PS UserHost#> Invoke-Command -computername dc.intranet.poo -scriptblock ${function:Invoke-Mimikatz} -credential $cred

Согласно официальному заявлению компании Keenetic, с 1 марта 2025 года мобильное приложение Keenetic и система удалённого мониторинга и управления rmm.keenetic.com перестанут работать в связи с изменениями в применимом законодательстве. Вместо них пользователям предлагается перейти на новые инструменты под брендом Netcraze.

Согласно информации из источников, изменения касаются стран Евразийского экономического союза (ЕАЭС), в который входит и Казахстан. Поэтому с высокой вероятностью можно предположить, что данное изменение относится и к Казахстану.

Нет никакой конкретики, но явно намекают, что политические «игрища» снова затрагивают обычных пользователей, теперь уже и EAEU (ЕАЭС)

https://keenetic.ru/ru/service-update

🔥 Критическая уязвимость в Microsoft Outlook: CVE-2025-21298 (Zero Click) 🔥

🚨 Описание: Уязвимость CVE-2025-21298 позволяет злоумышленникам выполнять произвольный код на системе жертвы путём отправки специально сформированного электронного письма. Открытие или предварительный просмотр такого письма в Microsoft Outlook может привести к удалённому выполнению кода без взаимодействия пользователя.

🔴 Детали:
Тип уязвимости: RCE через Windows OLE
CVSS: 9.8 (Критическая)
Механизм атаки: Отправка вредоносного письма с внедрённым OLE-объектом; выполнение кода происходит при открытии или предварительном просмотре письма в Outlook

💡 Рекомендации:
1. Обновление: Немедленно установить соответствующие обновления безопасности от Microsoft.
2. Настройки безопасности: Отключить предварительный просмотр сообщений и настроить отображение писем в виде обычного текста для снижения риска эксплуатации.
3. Бдительность: Избегать открытия писем и вложений от неизвестных отправителей.

⚠️ Важно: Данная уязвимость позволяет атакующим выполнять код без какого-либо взаимодействия со стороны пользователя, что делает её особенно опасной.

🔗 Дополнительная информация:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298

В последнем Бюллетене безопасности от Microsoft исправления еще целой пачки опасных уязвимостей, так что обновляйтесь своевременно.

В связи с изменениями в Кодексе Республики Казахстан об административных правонарушениях (КоАП) от 10 января 2025 г, вступающими в силу 13 марта 2025 года, усилена ответственность за нарушения в области информационной безопасности и защиты персональных данных.

Можно сказать, что новые изменения в Кодексе Республики Казахстан об административных правонарушениях (КоАП) расширяют требования, ранее установленные Постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48, на более широкий круг организаций. Если ранее строгие требования к информационной безопасности и соответствующие штрафные санкции применялись преимущественно к банковскому сектору, то теперь они распространяются на все организации, обрабатывающие персональные данные.

https://online.zakon.kz/m/app/document/?doc_id=33424342&pos=297%3B-1894%23pos%3D297%3B-1894

🔥 Критическая уязвимость в Kerio Control 🔥

🚨 #CVE-2024-52875 - Обнаружена уязвимость в Kerio Control (версии 9.2.5–9.4.5), позволяющая злоумышленникам эскалировать атаку с внедрения CRLF до выполнения произвольного кода (RCE) с одного клика.

🔴 Детали: Уязвимость связана с недостаточной фильтрацией пользовательского ввода в параметре dest на страницах /nonauth/addCertException.cs, /`nonauth/guestConfirm.cs` и /nonauth/expiration.cs веб-интерфейса Kerio Control. Это позволяет выполнять атаки типа HTTP Response Splitting, приводящие к открытым перенаправлениям и отражённому XSS.

💡 Рекомендации: Обновите Kerio Control до последней версии.

💻 PoC: https://karmainsecurity.com/pocs/CVE-2024-52875.php

🔍 Реквест в censys

services.software: (vendor="GFI" and product="Kerio Control") and location.country: "Kazakhstan" and not labels: {honeypot, tarpit}

Если Вам нужно собрать хеши к примеру #sha256 со всех файлов внутри папки с собранными артефактами


find . -exec sha256sum {} +

Но в выводе будут ошибки Is a directory на подпапки, если они есть и можно отфильтровать так:

find . -type f -exec sha256sum {} +

Еще одна интересность, если Вам понадобилось посмотреть авторов форков #fork какого-то репозитория в #github:

1. Вам нужно создать API токен Personal Access Token (PAT)
Войдите в свою учетную запись GitHub.
Перейдите в Settings (Настройки):
• Нажмите на аватар в правом верхнем углу.
• Выберите Settings.
Перейдите в раздел Developer settings:
• На левой боковой панели выберите Developer settings.
Выберите Personal access tokens > Tokens (classic):
• Нажмите Generate new token.
Укажите:
• Имя токена (например, API Access).
• Установите срок действия токена (по умолчанию 30 дней).
• Укажите разрешения:
• Для публичных репозиториев выберите public_repo.
• Для приватных репозиториев выберите repo.

Нажмите Generate token и Скопируйте токен! (GitHub покажет его только один раз).

и пользуетесь

curl -H "Authorization: token YOUR_TOKEN" https://api.github.com/repos/michenriksen/aquatone/forks | jq -r '.[].html_url'

так чисто на заметку по #TMux
Если упала сессия или разрыв произошел, Вы заходите а там:

# tmux a
no sessions

Хотя в процессах он определённо висит:

ps aux |grep tmux
root 2260263 0.0 0.3 244204 7020 ? Ss Jan05 0:37 tmux

Оказывается можно пересоздать сокет процесса и подключиться к тмуксу обратно)

pkill -USR1 tmux
tmux a

https://github.com/tmux/tmux/wiki/FAQ#tmux-says-no-sessions-when-i-try-to-attach-but-i-definitely-had-sessions

Дорогие друзья,

2024 год был насыщенным и непростым - усиление киберугроз для облачных сервисов, корпоративной инфраструктуры и цепочек поставок стало вызовом для всех нас. Это напомнило, как важно быть на шаг впереди и искать новые подходы к безопасности в 2025 году.

🎉 Сердечно поздравляем вас с наступающим Новым годом!
Пусть 2025 год будет для вас временем радости, успеха и свершений. Желаем вам и вашим близким здоровья, счастья и гармонии. А вам лично - интересных кейсов, новых знаний, профессиональных побед и долгожданных сертификатов! 🎓

Спасибо, что были с нами в этом году. Ваша поддержка вдохновляет нас становиться лучше.
Оставайтесь с нами в 2025 году - впереди ещё много интересного!

Stay safe, stay tuned

Недавно компания Cyberhaven, специализирующаяся на предотвращении утечек данных, столкнулась с компрометацией своего браузерного расширения. Злоумышленники получили доступ к административной учётной записи в Chrome Web Store и опубликовали вредоносную версию расширения (v24.10.4), которая собирала данные пользователей и отправляла их на домен cyberhavenext[.]pro.

Индикаторы компрометации (IoC):
Домены C&C:

cyberhavenext[.]pro
api[.]cyberhavenext[.]pro

IP-адреса:

149.248.2.160
149.28.124.84

Файлы расширения:

content.js — SHA-1: AC5CC8BCC05AC27A8F189134C2E3300863B317FB
worker.js — SHA-1: 0B871BDEE9D8302A48D6D6511228CAF67A08EC60
CRX-пакет — SHA-256: b53007dc2404dc3a4651db2756c773aa8e48c23755eba749f1641542ae796398


ID расширения:
pajkjnmeojmbapicmbpliphjmcekeaac

Рекомендации:
• Проверьте, не установлена ли у вас версия расширения Cyberhaven 24.10.4.
• Если установлена, немедленно обновите до последней безопасной версии.
• Проанализируйте сетевой трафик на предмет обращений к домену cyberhavenext[.]pro.
• Рассмотрите возможность смены паролей и сброса сессий для учетных записей, использованных в период активности вредоносного расширения.

Этот случай подчёркивает необходимость осторожного подхода к установке и использованию браузерных расширений, даже от доверенных поставщиков.

Источник: https://keepaware.com/blog/cyberhaven-browser-extension-compromise

В Декабрьском бюллетене безопасности Microsoft есть бага CVE-2024-49112 о которой пошумели и думали она закроется патчем. Но нет… В паблике продают PoC за 157$

Уязвимость в протоколе Lightweight Directory Access Protocol (LDAP) в Microsoft Windows. Позволяет неаутентифицированным злоумышленникам удалённо выполнять произвольный код через специально сформированные LDAP-запросы. Это может привести к захвату системы и утечке данных.

💡 Почему это важно:
☠️ Неконтролируемый доступ к уязвимым системам.
☠️ Потенциальная утечка данных и сбои в работе сервисов.
☠️ Риск массового компрометации сети.

🛡️ Рекомендуемые действия:
✅ Проверьте, что входящие RPC-соединения разрешены только для доверенных внутренних сетей.
✅ Убедитесь, что контроллеры домена не имеют прямого доступа в Интернет (только DNS если он у Вас на контроллере).
✅ Проверьте систему на наличие уязвимых конфигураций с помощью скриптов или специализированных инструментов.
✅ Установите последние патчи безопасности от Microsoft.
✅ Мониторьте LDAP и RPC-трафик для выявления подозрительной активности.

Скрипт для чека доступа по RPC и выхода в интернет (для проверки админами на контроллерах)

# Detection script for CVE-2024-49112
Write-Output "Checking system configuration for CVE-2024-49112..."

# Check if the system is a Domain Controller
$isDomainController = (Get-WmiObject Win32_ComputerSystem).DomainRole -eq 4 -or (Get-WmiObject Win32_ComputerSystem).DomainRole -eq 5
if (-not $isDomainController) {
Write-Output "This system is not a Domain Controller. No action needed."
exit
}

# Check if inbound RPC from untrusted networks is blocked
$rpcsrvstatus = Get-NetFirewallRule -DisplayName "*RPC*" | Where-Object {$_.Direction -eq "Inbound" -and $_.Enabled -eq "True"}
if ($rpcsrvstatus) {
Write-Output "Warning: Inbound RPC connections from untrusted networks are allowed. This configuration is vulnerable."
} else {
Write-Output "Inbound RPC connections from untrusted networks are blocked."
}

# Check if the Domain Controller has internet access
$internetAccess = Test-Connection -ComputerName "1.1.1.1" -Count 2 -Quiet
if ($internetAccess) {
Write-Output "Warning: Domain Controller has internet access. This configuration is vulnerable."
} else {
Write-Output "Domain Controller does not have internet access."
}

Write-Output "Detection complete."

Оффтоп про интернет-провайдеров и сотовую связь в Казахстане.

Работа из дома или офиса требует стабильного интернета не для развлечений, а для рабочих задач: митингов, совещаний, важной переписки. Но что делать, если выбора провайдера нет, а доступный монополист расслабился?

На скриншотах - пинг от трёх провайдеров, обслуживающих мой район в г.Алматы в разных домах.
Важно понимать: сам по себе пинг не гарантирует хорошего интернета, однако разрывы связи и стабильно высокий пинг на скриншотах говорят о плохой организации магистральных сетей.

AlmaTV, несмотря на оптику, стабильно “радует” отвратительным качеством: годы жалоб, замены роутеров (3-4 раза!) ничего не дали. Вынужден был уйти на Tele2, так как Beeline просто не пускают в ЖК, хотя они уже проложили оптику.

К слову о Beeline, пару лет назад я отказался от них, так как покрытие в районе отсутствовало даже на улице. Обращения от десятков и даже сотен жителей игнорировались. Вернулся бы к ним, но у них до сих пор нет 5G.

Tele2 - это отдельная боль. Они отключили личный кабинет в браузере, а их iOS-приложение сломано. Постоянные списания за несуществующие тарифы и никакой помощи от поддержки (116).

Выбор, качество и сервис у провайдеров и операторов связи в РК оставляют желать лучшего. И пока застройщики и монополисты услуг диктуют свои правила, пользователи вынуждены терпеть. Притом, что мы живем не в поселке, не в регионе и не в отдалении от цивилизации.

Злая КАПЧА атаки DeceptionAds, доставка стилера через рекламную сеть. Более миллиона показов, более нескольких тысяч сайтов.

Вот почему еще реклама может быть вредной.

1. Детали атаки: https://labs.guard.io/deceptionads-fake-captcha-driving-infostealer-infections-and-a-glimpse-to-the-dark-side-of-0c516f4dc0b6
2. Защита от вредоносной рекламы: https://openbld.net

Это не реклама, проект строится силами неравнодушных ребят bp Sys-Adm.in за собственные средства уже много лет, которых мы посильно поддерживаем.