SecuriXy.kz


Kanal geosi va tili: Qozog‘iston, Ruscha


Все самое интересное из мира информ. безопасности и IT 👍🏻
Обсуждаем, делимся, умнеем
https://securixy.kz
Обратная связь - @feedback_securixy_bot
Хахатушки - @memekatz
Hack the Box RUS - @HTB_RUS

Связанные каналы  |  Похожие каналы

Kanal geosi va tili
Qozog‘iston, Ruscha
Statistika
Postlar filtri


🔥 Критическая уязвимость в Kerio Control 🔥

🚨 #CVE-2024-52875 - Обнаружена уязвимость в Kerio Control (версии 9.2.5–9.4.5), позволяющая злоумышленникам эскалировать атаку с внедрения CRLF до выполнения произвольного кода (RCE) с одного клика.

🔴 Детали: Уязвимость связана с недостаточной фильтрацией пользовательского ввода в параметре dest на страницах /nonauth/addCertException.cs, /`nonauth/guestConfirm.cs` и /nonauth/expiration.cs веб-интерфейса Kerio Control. Это позволяет выполнять атаки типа HTTP Response Splitting, приводящие к открытым перенаправлениям и отражённому XSS.

💡 Рекомендации: Обновите Kerio Control до последней версии.

💻 PoC: https://karmainsecurity.com/pocs/CVE-2024-52875.php

🔍 Реквест в censys

services.software: (vendor="GFI" and product="Kerio Control") and location.country: "Kazakhstan" and not labels: {honeypot, tarpit}


Threat Hunting Father dan repost
Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation🖥

С середины декабря 2024 года атакующие, активно эксплуатируют новую уязвимость нулевого дня в устройствах Ivanti Connect Secure VPN. Компания Mandiant (часть Google Cloud) в сотрудничестве с Ivanti обнаружили интересную компанию и выкатили технические подробности

Из интересного:
- Эксплуатация:
CVE-2025-0282 - в целом включает в себя такие шаги:
•Disable SELinux
•Prevent syslog forwarding
•Remount the drive as read-write
•Write the script
•Execute the script
•Deploy one or more web shells
•Use sed to remove specific log entries from the debug and application logs
•Reenable SELinux
•Remount the drive

- Фейковое обновление:
Атакующие используют ВПО PHASEJAM для блокировки легитимных системных обновлений, одновременно отображая поддельную панель прогресса обновления. Это создает иллюзию успешного обновления, в то время как на самом деле обновление не происходит, что обманывает администраторов системы.

-Обход проверок целостности:
Манипулируют манифестом инструмента Ivanti Integrity Checker Tool (ICT), злоумышленники включают в него свои вредоносные файлы, эффективно обходя этот критически важный механизм обнаружения.

- Для закрепления: Устанавливаются бэкдоры, способные пережить перезагрузки и обновления системы, обеспечивая длительный несанкционированный доступ.


В случае обнаружения Zeroday, помогает только патч, что и советуют исследователи Mandiant.
Также рекомендуют запустить внешний инструмент Ivanti ICT для проверки целостности системы.

🖥 https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day

🦔 @ThreatHuntingFather


Если Вам нужно собрать хеши к примеру #sha256 со всех файлов внутри папки с собранными артефактами


find . -exec sha256sum {} +

Но в выводе будут ошибки Is a directory на подпапки, если они есть и можно отфильтровать так:

find . -type f -exec sha256sum {} +


Еще одна интересность, если Вам понадобилось посмотреть авторов форков #fork какого-то репозитория в #github:

1. Вам нужно создать API токен Personal Access Token (PAT)
Войдите в свою учетную запись GitHub.
Перейдите в Settings (Настройки):
• Нажмите на аватар в правом верхнем углу.
• Выберите Settings.
Перейдите в раздел Developer settings:
• На левой боковой панели выберите Developer settings.
Выберите Personal access tokens > Tokens (classic):
• Нажмите Generate new token.
Укажите:
• Имя токена (например, API Access).
• Установите срок действия токена (по умолчанию 30 дней).
• Укажите разрешения:
• Для публичных репозиториев выберите public_repo.
• Для приватных репозиториев выберите repo.

Нажмите Generate token и Скопируйте токен! (GitHub покажет его только один раз).

и пользуетесь

curl -H "Authorization: token YOUR_TOKEN" https://api.github.com/repos/michenriksen/aquatone/forks | jq -r '.[].html_url'


так чисто на заметку по #TMux
Если упала сессия или разрыв произошел, Вы заходите а там:

# tmux a
no sessions

Хотя в процессах он определённо висит:

ps aux |grep tmux
root 2260263 0.0 0.3 244204 7020 ? Ss Jan05 0:37 tmux

Оказывается можно пересоздать сокет процесса и подключиться к тмуксу обратно)

pkill -USR1 tmux
tmux a

https://github.com/tmux/tmux/wiki/FAQ#tmux-says-no-sessions-when-i-try-to-attach-but-i-definitely-had-sessions


Приветствую Вас в новом 2025 году дорогие подписчики!
Надеемся, что все в здравии и в бодрости духа приступили к рабочей неделе 😉

Хотим Вам предложить очередное чтиво, о кратком расследовании недавнего инцидента по просьбе товарища.

https://www.clevergod.net/1725cf4c2b3e80c8a0fbdb9a445f408d

Приятного чтения, вскоре добавим еще одну статью с подобным заражением, но с большим охватом.
#dfir #forensic #trojan #self_research


Дорогие друзья,

2024 год был насыщенным и непростым - усиление киберугроз для облачных сервисов, корпоративной инфраструктуры и цепочек поставок стало вызовом для всех нас. Это напомнило, как важно быть на шаг впереди и искать новые подходы к безопасности в 2025 году.

🎉 Сердечно поздравляем вас с наступающим Новым годом!
Пусть 2025 год будет для вас временем радости, успеха и свершений. Желаем вам и вашим близким здоровья, счастья и гармонии. А вам лично - интересных кейсов, новых знаний, профессиональных побед и долгожданных сертификатов! 🎓

Спасибо, что были с нами в этом году. Ваша поддержка вдохновляет нас становиться лучше.
Оставайтесь с нами в 2025 году - впереди ещё много интересного!

Stay safe, stay tuned


Недавно компания Cyberhaven, специализирующаяся на предотвращении утечек данных, столкнулась с компрометацией своего браузерного расширения. Злоумышленники получили доступ к административной учётной записи в Chrome Web Store и опубликовали вредоносную версию расширения (v24.10.4), которая собирала данные пользователей и отправляла их на домен cyberhavenext[.]pro.

Индикаторы компрометации (IoC):
Домены C&C:

cyberhavenext[.]pro
api[.]cyberhavenext[.]pro

IP-адреса:

149.248.2.160
149.28.124.84

Файлы расширения:

content.js — SHA-1: AC5CC8BCC05AC27A8F189134C2E3300863B317FB
worker.js — SHA-1: 0B871BDEE9D8302A48D6D6511228CAF67A08EC60
CRX-пакет — SHA-256: b53007dc2404dc3a4651db2756c773aa8e48c23755eba749f1641542ae796398


ID расширения:
pajkjnmeojmbapicmbpliphjmcekeaac

Рекомендации:
• Проверьте, не установлена ли у вас версия расширения Cyberhaven 24.10.4.
• Если установлена, немедленно обновите до последней безопасной версии.
• Проанализируйте сетевой трафик на предмет обращений к домену cyberhavenext[.]pro.
• Рассмотрите возможность смены паролей и сброса сессий для учетных записей, использованных в период активности вредоносного расширения.

Этот случай подчёркивает необходимость осторожного подхода к установке и использованию браузерных расширений, даже от доверенных поставщиков.

Источник: https://keepaware.com/blog/cyberhaven-browser-extension-compromise


В Декабрьском бюллетене безопасности Microsoft есть бага CVE-2024-49112 о которой пошумели и думали она закроется патчем. Но нет… В паблике продают PoC за 157$

Уязвимость в протоколе Lightweight Directory Access Protocol (LDAP) в Microsoft Windows. Позволяет неаутентифицированным злоумышленникам удалённо выполнять произвольный код через специально сформированные LDAP-запросы. Это может привести к захвату системы и утечке данных.

💡 Почему это важно:
☠️ Неконтролируемый доступ к уязвимым системам.
☠️ Потенциальная утечка данных и сбои в работе сервисов.
☠️ Риск массового компрометации сети.

🛡️ Рекомендуемые действия:
✅ Проверьте, что входящие RPC-соединения разрешены только для доверенных внутренних сетей.
✅ Убедитесь, что контроллеры домена не имеют прямого доступа в Интернет (только DNS если он у Вас на контроллере).
✅ Проверьте систему на наличие уязвимых конфигураций с помощью скриптов или специализированных инструментов.
✅ Установите последние патчи безопасности от Microsoft.
✅ Мониторьте LDAP и RPC-трафик для выявления подозрительной активности.

Скрипт для чека доступа по RPC и выхода в интернет (для проверки админами на контроллерах)

# Detection script for CVE-2024-49112
Write-Output "Checking system configuration for CVE-2024-49112..."

# Check if the system is a Domain Controller
$isDomainController = (Get-WmiObject Win32_ComputerSystem).DomainRole -eq 4 -or (Get-WmiObject Win32_ComputerSystem).DomainRole -eq 5
if (-not $isDomainController) {
Write-Output "This system is not a Domain Controller. No action needed."
exit
}

# Check if inbound RPC from untrusted networks is blocked
$rpcsrvstatus = Get-NetFirewallRule -DisplayName "*RPC*" | Where-Object {$_.Direction -eq "Inbound" -and $_.Enabled -eq "True"}
if ($rpcsrvstatus) {
Write-Output "Warning: Inbound RPC connections from untrusted networks are allowed. This configuration is vulnerable."
} else {
Write-Output "Inbound RPC connections from untrusted networks are blocked."
}

# Check if the Domain Controller has internet access
$internetAccess = Test-Connection -ComputerName "1.1.1.1" -Count 2 -Quiet
if ($internetAccess) {
Write-Output "Warning: Domain Controller has internet access. This configuration is vulnerable."
} else {
Write-Output "Domain Controller does not have internet access."
}

Write-Output "Detection complete."


Оффтоп про интернет-провайдеров и сотовую связь в Казахстане.

Работа из дома или офиса требует стабильного интернета не для развлечений, а для рабочих задач: митингов, совещаний, важной переписки. Но что делать, если выбора провайдера нет, а доступный монополист расслабился?

На скриншотах - пинг от трёх провайдеров, обслуживающих мой район в г.Алматы в разных домах.
Важно понимать: сам по себе пинг не гарантирует хорошего интернета, однако разрывы связи и стабильно высокий пинг на скриншотах говорят о плохой организации магистральных сетей.

AlmaTV, несмотря на оптику, стабильно “радует” отвратительным качеством: годы жалоб, замены роутеров (3-4 раза!) ничего не дали. Вынужден был уйти на Tele2, так как Beeline просто не пускают в ЖК, хотя они уже проложили оптику.

К слову о Beeline, пару лет назад я отказался от них, так как покрытие в районе отсутствовало даже на улице. Обращения от десятков и даже сотен жителей игнорировались. Вернулся бы к ним, но у них до сих пор нет 5G.

Tele2 - это отдельная боль. Они отключили личный кабинет в браузере, а их iOS-приложение сломано. Постоянные списания за несуществующие тарифы и никакой помощи от поддержки (116).

Выбор, качество и сервис у провайдеров и операторов связи в РК оставляют желать лучшего. И пока застройщики и монополисты услуг диктуют свои правила, пользователи вынуждены терпеть. Притом, что мы живем не в поселке, не в регионе и не в отдалении от цивилизации.


RedTeam brazzers dan repost
Всё чаще на проектах встречаю 2FA на критичных серверах , на которые хочется войти именно по RDP, например, Kaspersky Security Center. Наиболее популярное решение, встречаемое мною, это Multifactor. На одном из последних проектов с коллегой мы попали как раз в такую ситуацию - у нас уже были права админа домена, но по RDP не зайти, пришлось искать пути обхода.
А ларчик то просто открывался. Идём на сайт продукта в раздел документации и видим интересный параметр NetworkBypassList. Да, все верно, он определяет с каких ip можно ходить, игнорируя 2FA.
С помощью reg.py можем записать в реестр на нужном сервере исключение и без проблем подключиться игнорируя Multifactor.
reg.py domain.local/pentest@ksc01 -k -no-pass add -keyName 'HKCR\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}' -v 'NetworkBypassList' -vt REG_SZ -vd 10.10.10.11,10.10.8.22
Мораль: очень часто не нужны глубокие ресерчи, а просто достаточно почитать документацию :)


Злая КАПЧА атаки DeceptionAds, доставка стилера через рекламную сеть. Более миллиона показов, более нескольких тысяч сайтов.

Вот почему еще реклама может быть вредной.

1. Детали атаки: https://labs.guard.io/deceptionads-fake-captcha-driving-infostealer-infections-and-a-glimpse-to-the-dark-side-of-0c516f4dc0b6
2. Защита от вредоносной рекламы: https://openbld.net

Это не реклама, проект строится силами неравнодушных ребят bp Sys-Adm.in за собственные средства уже много лет, которых мы посильно поддерживаем.


haxx dan repost
🛠 Как-то незаметно прошел релиз NetExec 1.3.0, а туда тем временем добавили несколько интересных вещей.

Вывод инфы по доступным интерфейсам, так что поиск пивота стал гораздо приятнее.
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' --interfaces

Проверка на всякие Coerce штуки (PetitPotam, DFSCoerce, PrinterBug, MSEven, ShadowCoerce). Подробнее тут
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M coerce_plus

Энум SCCM через LDAP (RECON-1) . Подробнее тут
nxc ldap 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M sccm -o REC_RESOLVE=TRUE

Извлечение паролей из истории команд PowerShell
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M powershell_history -o export=True

Статус Bitlocker по дискам
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M bitlocker

nxc wmi 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M bitlocker


В общем, есть с чем поиграться. Более подробно можно посмотреть тут или тут


REDtalk dan repost
👨‍💻 Привет!

Представим ситуацию — Вы сидите, проводите пентест, и в какой-то момент к вам приходит злой заказчик и говорит, что вы положили его инфру. Вы опешили, всё отрицаете, ведь во время тестирования атаки не было деструктивных методов. Но заказчик всё не успокаивается, показывает логи, мол, вот, в это время на нас упало куча трафика.

И в этот момент очень пригодились бы логи всех действий во время проведения тестирования. Поэтому вот простой лайфхак, который автоматически будет записывать 90% действий и поможет понять, были ли пентестеры причастны к инциденту или нет.

1️⃣ Для начала стоит добавить дату и время при каждом выполнении команды в терминале. Для этого можно модифицировать промпт вашего командного интерпретатора.

Тут ничего сложного, открываем rc файл и меняем соотсутсвующую переменную.

zsh (kali linux): Заменить PROMPT в ~/.zsh_rc

PROMPT=$'%F{%(#.blue.green)}┌──%{$fg[yellow]%}[%D{%d.%m.%y} %D{%H:%M}]\n%F{%(#.blue.green)}├──${debian_chroot:+($debian_chroot)─}${VIRTUAL_ENV:+($(basename $VIRTUAL_ENV))─}(%B%F{%(#.red.blue)}%n'$prompt_symbol$'%m%b%F{%(#.blue.green)})-[%B%F{reset}%(6~.%-1~/…/%4~.%5~)%b%F{%(#.blue.green)}]\n└─%B%(#.%F{red}#.%F{blue}$)%b%F{reset} '


bash (kali linux): Заменить PS1 в ~/.bash_rc

PS1=$prompt_color'┌──[\D{%d.%m.%Y %H:%M}]\n'$prompt_color'├──${debian_chroot:+($debian_chroot)──}${VIRTUAL_ENV:+(\[\033[0;1m\]$(basename $VIRTUAL_ENV)'$prompt_color')}('$info_color'\u'$prompt_symbol'\h'$prompt_color')-[\[\033[0;1m\]\w'$prompt_color']\n'$prompt_color'└─'$info_color'\$\[\033[0m\] ';;


Теперь в листинге каждая команда будет иметь дату и время начала и конца выполнения (как на скриншоте к посту)

2️⃣ Далее нужно настроить автоматическую запись листинга. Тут на помощь придет TMUX. Правильно настроенный терминальный мультиплексор может стать мощным инструментом по сравнению с ГУИшными терминалами.

Для записи истории команд нужно установить плагин и добавить конфигурацию при каждом запуске tmux.

$> git clone https://github.com/tmux-plugins/tpm ~/.tmux/plugins/tpm

# Конфиг должен выглядить так
$> cat .tmux.conf

# Список плагинов
set -g @plugin 'tmux-plugins/tpm'
set -g @plugin 'tmux-plugins/tmux-sensible'
set -g @plugin 'tmux-plugins/tmux-logging'
set -g history-limit 500000

# Запуск Tmux Plugin Manager
run '~/.tmux/plugins/tpm/tpm'

$> tmux source ~/.tmux.conf


Осталось зайти в tmux и нажать CTRL + b и SHIFT + i. Теперь при каждом запуске tmux можно начать запись с помощью CTRL + b, SHIFT + p и сразу после выхода из терминала запись будет сохранена в домашнюю директорию в виде текстового файла.

Теперь мы точно будем уверены, что во время инцидента со стороны пентестеров активности не было и мы не в чем не виноваты. Конечно, листинг команд работает только для CLI. С GUI нужно разбираться отдельно.

#redteam #ToolTricks


Волосатый бублик dan repost
SQL injection in user.get API (CVE-2024-42327)

A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability.


Affected version:

6.0.0 - 6.0.31
6.4.0 - 6.4.16
7.0.0

https://support.zabbix.com/browse/ZBX-25623


tg_image_3441400536.png
81.6Kb
Office_Application_Initiated_Network_Connection_To_Non_Local_IP.yml
10.0Kb
Поговаривают, что зиродей в docs файлах рассылаемых фишингом нашли, в активных публичных образцах песка any.run

https://x.com/anyrun_app/status/1861024182210900357

Ловится сигма-рулом на обращения офисных аппликух на не локальные IP (вложение Office Application Initiated Network Connection To Non-Local IP.yml)

IOC:
SHA256

450221ee3d9144ca03e1058d3ba0e5ad09b4153341676089db9e244662b89800

AV Detection Ratio: 🔴 0 / 62


Наткнулся тут на Roadmap в ИБ на русском от PT аля «Схема карьерных треков в результативной кибербезопасности»

https://cybersecurity-roadmap.ru

С историей кибербеза и описанием ролевых обязанностей и др.

https://github.com/dm-fedorov/cybersecurity-roadmap/blob/main/Роли/Инженер%20по%20сетевой%20безопасности.md


Если не можете накопить на PineApple ну или не хотите, можно превратить целую гору старых ненужных WiFI-роутеров в ананасовый взломщик WiFi сетей.

https://github.com/xchwarze/wifi-pineapple-cloner/blob/master/devices.md

PS. Скоро наш коллега сделает обзор на подобное оживление брошенных роутеров во что-то полезное @haxx_it.


Из разряда «А так можно было?»

Нет нужных сертификатов для соответствия квалификационным требованиям на тендер? – Не беда!

Зачем тратить деньги, время и усилия на повышение квалификации сотрудников, получая международно признанные сертификаты от аккредитованных организаций, если можно просто создать их самостоятельно в неограниченном количестве? 😆 😆


📜 Техники атак на ADCS в табличке

Ребята собрали все техники атак на Active Directory Certificate Services (ADCS) в одну табличку со сводной по тулам, которые могут проэксплуатировать и др.

🔗 Source:
https://docs.google.com/spreadsheets/d/1E5SDC5cwXWz36rPP_TXhhAvTvqz2RGnMYXieu4ZHx64/edit?gid=0#gid=0

Взято с канала APT

#ad #adcs #esc #cheatsheet

20 ta oxirgi post ko‘rsatilgan.