прошу пояснить об украденом сертификате Асера (группировкой WildNeutron)
Автор
Jevstafij
в Задай вопрос Евгению Касперскому!
-
Похожий контент
-
Автор infobez_bez
Здравствуйте!
В веб консоли ksc вылезло уведомление о том, что истекает доверенный сертификат
Нужно ли его перевыпускать/заменять или он автоматически заменится на другой после окончания срока действия?
И еще, после смены сертификата будут ли видеть ПК сервер администрирования или их заново придется подключать?
-
Автор KL FC Bot
Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
Как Interlock использует ClickFix для распространения вредоносного ПО
Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
View the full article
-
Автор Sandynist
Добрый день!
Каждый раз при открытии Алика (https://aliexpress.ru/) такая вот картинка.
Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя приложения: opera.exe Путь к приложению: C:\Users\Home7\AppData\Local\Programs\Opera Компонент: Интернет-защита Описание результата: Запрещено Имя объекта: rap.skcrtxr.com Причина: Этот сертификат или один из сертификатов в цепочке устарел. И непонятно — это что? И что с этим всем делать?
-
Автор Vitekzz
Хочу создать программу для автоматизации работы с KSC c помощью KlAkOAPI при запуске проверочного кода для загрузки информации об обновлениях постоянно выходит ошибка о использовании самоподписанного сертификата, которую не получается убрать, как можно решить данную проблему?
Вот сам код программы:
from KlAkOAPI.AdmServer import KlAkAdmServer
from KlAkOAPI import Updates
from datetime import timedelta
import urllib3
import ssl # Импортируем модуль ssl
import json
username = 'KLAPI'
password = '1234QwZ'
KSC_LIST = {
'WINDOWS': 'https://127.0.0.1:13299'
}
def ConnectKSC(ip):
"""Подключается к серверу Kaspersky Security Center."""
while True:
try:
connect = KlAkAdmServer.Create(ip, username, password, verify=False, vserver='')
if connect:
print('Успешно подключился к {}'.format(ip))
else:
print('Ошибка подключения к {}'.format(ip))
return None # Возвращает None, если подключение не удалось. Не завершает программу.
return connect
except Exception as e:
print(f"Ошибка подключения: {e}")
return None # Возвращает None, если подключение не удалось
def get_status_hosts(server, ip):
"""Получает и печатает информацию о статусе обновлений для сервера KSC."""
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
params = [] # params не используется
if server is not None:
try:
# Создаем SSL-контекст, который не проверяет сертификаты
context = ssl.create_default_context()
context.check_hostname = False
context.verify_mode = ssl.CERT_NONE
# Модифицируем объект сессии для отключения проверки SSL
server.session.verify = False # Отключаем проверку глобально для сессии
server.session.cert = None # Удаляем существующий сертификат
straccessor = Updates.KlAkUpdates(server).GetUpdatesInfo(pFilter=params) # Нет аргумента ssl_context
ncount = straccessor.RetVal()
if ip == KSC_LIST['WINDOWS']:
if 1 in ncount: # Проверяем, что индекс существует
data = ncount[1]
print('')
print('KSC ======== [ {} ] ========'.format(KSC_LIST['WINDOWS']))
print('Дата создания: {}'.format(data['Date'] + timedelta(hours=3)))
print('Дата получения: {}'.format(data['KLUPDSRV_BUNDLE_DWL_DATE'] + timedelta(hours=3)))
print('============================')
else:
print("Не удалось получить данные для WINDOWS KSC")
else:
print(f"Неизвестный IP-адрес KSC: {ip}") # Добавлена проверка на некорректный IP-адрес KSC
except Exception as e:
print(f"Ошибка при получении информации об обновлениях с {ip}: {e}")
else:
print('Ошибка доступа к серверу') # Это сообщение может вводить в заблуждение, если подключение к серверу не удалось во время ConnectKSC.
if __name__ == '__main__': # Исправлена ошибка 'name' на '__name__'
for ip in KSC_LIST.values():
server = ConnectKSC(ip)
if server: # Продолжаем только если подключение успешно
try:
get_status_hosts(server, ip)
except Exception as e:
print(f"Ошибка в get_status_hosts для {ip}: {e}")
else:
print(f"Не удалось подключиться к {ip}. Пропускаем проверку статуса обновлений.") # Добавлено сообщение, если подключение не удалось.
Ошибка которая появляется при запуске кода:
Успешно подключился к https://127.0.0.1:13299
C:\Users\user\PycharmProjects\ksc\.venv\Lib\site-packages\urllib3\connectionpool.py:1097: InsecureRequestWarning: Unverified HTTPS request is being made to host '127.0.0.1'. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#tls-warnings
warnings.warn(
Не удалось получить данные для WINDOWS KSC
Process finished with exit code 0
-
Автор Анди25
День добрый,
Сменился сервер и имя, из бэкап восстановил, но все сертификаты естественно указывают на прежний.
Подскажите как сертификат сменить непосредственно на Kaspersky Security Center (не для работы мобильных клиентов и web, они легко меняются через mmc)
Нашел описание по утилите klsetsrvcert, но чего-то не хватает, не проходит создание.
"C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\klsetsrvcert.exe" -t C -i C:\0\klserver.cer -p testpass -o NoCA
-
Рекомендуемые сообщения