Перейти к содержанию

Recommended Posts

akoK
В 15.08.2021 at 7:28 AM, demkd сказал:

логе указываются процессы действительно нагружающие cpu и gpu, а изучать низкую загрузку стоит другим средствами, непонятно зачем правда.

А в процентном значении это примерно сколько? Некторые майнеры грузят ~30% от процессора/видеокарты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, akoK сказал:

А в процентном значении это примерно сколько? Некторые майнеры грузят ~30% от процессора/видеокарты.

GPU 15%, CPU загрзка 60% в пересчете на 1 ядро, т.е. для 4-х поточного процессора это те же 15%.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Новый инструмент Chainsaw помогает командам IR анализировать журналы событий Windows

Chainsaw.webp

F-Secure заявляет, что Chainsaw специально разработан для быстрого анализа журналов событий в средах, где решение для обнаружения и реагирования (EDR) отсутствовало во время взлома.

В таких случаях специалисты, реагирующие на инциденты могут использовать функции поиска Chainsaw для извлечения из журналов Windows информации, относящейся к вредоносной деятельности.

Пользователи могут использовать этот инструмент для следующих действий:

Поиск в журналах событий по идентификатору события, ключевому слову и шаблонам регулярных выражений
Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV.
Обнаружение очистки журналов ключевых событий или остановки службы журнала событий
Обнаружение пользователей, которые создаются или добавляются в конфиденциальные группы пользователей
Брутфорс локальных учетных записей пользователей
Логины RDP, сетевые логины и т. д.

https://www.bleepingcomputer.com/news/security/new-chainsaw-tool-helps-ir-teams-analyze-windows-event-logs/

https://www.bleepingcomputer.com/news/security/new-chainsaw-tool-helps-ir-teams-analyze-windows-event-logs/

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

А дельная утилита. Прогнал на журнале, где взлом был у юзера, всё по полочкам разложено.

chainsaw.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Например есть  пакет с драйверами ( сотни... тысячи драйверов )

Предполагается использовать этот пакет для обновления системных драйверов, или WIM

Часть драйверов подписана, часть нет...

Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления.

Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов.

Копию по типу программы: " Double Driver"

http://soft.oszone.net/program/5936/Double_Driver/

+

Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Допустим:

'%WINDIR%\syswow64\cmd.exe' /c powershell -nop -exec bypass -win Hidden -noni -enc aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYg...

'<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\windowspowersh...

Было бы неплохо, если бы в Инфо. объекта. Прописывались данные по настройке  разрешений Firewall.

+

Отдельная категория по Firewall - что разрешено, что заблокировано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

в Windows 11  добавили ( На странице приложения «Параметры» ) возможность  посмотреть - использование батареи для каждого приложения.

" Данная сводка дает наглядное представление о том, какие программы потребляют больше всего заряда аккумулятора. "

т.е.  Прямая зависимость - чем больше  приложение работает с процессором\видеокартой - тем выше энергопотребление...

" Можно посмотреть данные за последние 24 часа или за последнюю неделю. "

" Windows 11 также показывает время использования приложения" ( например приложение работало 10 секунд... )  или 10 часов...

https://www.comss.ru/page.php?id=9632

2021-09-29_140009.png

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В программе FRST 

Обновили команду - EmptyTemp:  теперь при очистке Temp.  происходит  удаление файла: qmgr.db

Причина: Злоумышленники используют фоновую интеллектуальную службу передачи (BITS)...

Подробнее:

https://www.mandiant.com/resources/attacker-use-of-windows-background-intelligent-transfer-service

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

Причина: Злоумышленники используют фоновую интеллектуальную службу передачи (BITS)...

uVS c v 3.87.4 работает с bits и все что там есть попадает в раздел "Задачи".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Хорошо бы, чтобы uVS мог "самостоятельно" пополнять базу проверенных.

Так: Оператор указывает каталог где находятся файлы установки: 

Типа: Firefox Setup 93.0.exe  ;  472.12-desktop-win10-win11-64bit-international-whql.exe;  и т.д.

А программа "сама" их  распаковывает и пополняет базу проверенных.

По хорошему ещё можно задать список\исключения\игнорирования - вложенных файлов.

nvgwls.exe - не распаковывать.

NvCplSetupInt.exe  - распаковать

и т.д.

Это позволит существенно быстрее пополнять базу + экономя времени.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сейчас есть майнеры которые запускаются на серверах... 1-2 раз в неделю (тогда  когда на предприятии выходной ) работают через уязвимости...

uVS стоит научить самостоятельно запускать отслеживание процессов и задач; включать лог DNS - при определённых условиях...

т.е. оператор запускает программу > программа скажем раз в час ( по настройке ) обновляет список...  фиксирует недопустимую нагрузку на gpu ; cpu  и запускает отслеживание.

Через час ( по настройке ) - по прежнему нагружающий процесс выгружается. ( кроме тех системных процессов без которых нормальная работа системы невозможна )

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

а если майнеры научат выгружать подозрительные процессы из памяти (в том числе и uVS), прежде чем начинать майнинг, у них всегда есть расширенный список процессов, которые надо закрыть,

а далее, определить источник запуска - задачу, и снести ее следом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

uVS едва ли будет в этом списке процессов на выгрузку. uVS всякий раз стартует под новым именем.

uVS - будет запускать сам оператор - задачи на его запуск не нужны.

---------

Сейчас оператор запускает uVS > Применяет твики: 39; 41 и т.д.

А можно будет запустить uVS >  твик: 44 ( Отслеживание и запись в лог\файл активности процессов ) ( с ИНФО. по файлу ) "запись начинается если нагрузка на; gpu ; cpu - превышает пороговое значение"

Если даже майнер затрёт все следы своего пребывания - запись\записи в логе останутся.

-----------

Идеально не бывает - но как-то же нужно понять что и как происходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

не надо забывать что после применения твика 39 необходима перезагрузка системы. если uVS самостоятельно отправит сервер в перезагрузку, админы за это спасибо не скажут.

Цитата

Идеально не бывает - но как-то же нужно понять что и как происходит.

как то и понимаем. с некоторыми майнерами разобрались после отслеживания процессов и  задач.

с сетевым крипто_червем PS.CASTLE - с помощью лога DNS и записью cmdline для закрытых /завершенных процессов. Если кратко, то лог DNS показал, к каким адресам было обращение каких процессов, но оказалось, что процессы эти кратковременны и далеко не всегда могут попасть в образ в активном состоянии, и идентифицировать точно тип майнера невозможно, а вот по cmdline для закрытых процессов - стало возможным.

Разберемся и с другими. Важно получить первичную инфо от админа - образ с учетом логов DNS, задач, процессов. А дальше уже будем думать - чего еще не хватает для идентификации майнера.

 

ну и уж точно uVS не может вызвать духов майнера, чтобы они раньше времени запустили майнер, чем положено по расписанию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я это всё к тому, что uVS обладает функционалом который не используется.

Появился твик: 39. Отслеживание процессов и задач...

Но это функционал системы.

При том, что uVS сам может отслеживать процессы и задачи, и записать это в лог... Но, что мешает сохранить этот лог в .txt файл ? ( или в файл формата: Лог 1.11.2021: 14.22  - 16.31.log )

И что особенно актуально...  :)  при работе с сервером не потребуется перезагрузка.

Это такой минимум... лог от uVS

------------

Если эту идею развить - то можно настроить автоматическое применение скрипт\ов

при совпадении неких условий\Критериев.

Например: Некий процесс дольше и больше положенного нагружает gpu ; cpu  ... применяется скрипт.

Выгрузить из памяти; Поместить в ZOO ; Передать файл для проверки на V.T. ( с записью результата в лог ) и т.д

------------

По поводу того, что вирус может выгрузить процесс uVS...

Есть же способы защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

либо я чего не понимаю, либо не знаю кто.
 

Цитата

 

Появился твик: 39. Отслеживание процессов и задач...

Но это функционал системы.

 

т.е. ты хочешь чтобы увс продублировал функции системы и регистрировал все события в системе: процессы, задачи, cmdline, записи обращений к DNS? в свои логи. и потом еще разгребал эти логи при создании образа автозапуска. но это дичь какая то. почему бы тогда еще не мониторить таким же образом все операции в реестре - записывать в свой файл реестра, и потом использовать их для создания образа, вдруг система чего пропустила.

 

как минимум, для этого есть procmon и sysmon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я ещё в первом предложении написал:  "

...запускать отслеживание процессов и задач; ... при определённых условиях... 

например программа...  фиксирует недопустимую нагрузку на gpu ; cpu  и запускает отслеживание.

Из плюсов, как уже было написано - нет необходимости перезагружать систему.

И это будет не сплошной лог... в несколько часов; суток... Запись начинается при определённых условиях...

т.е. достаточно будет посмотреть не весь лог, а то что было записано в первые минуты.

Например: запуск: PowerShell; Сетевая активность; Нагрузка на gpu ; cpu; Внедрённые процессы и Инфо по процессам.

Цитата

Santy пишет:  как минимум, для этого есть procmon и sysmon     

Если всё это есть зачем тогда твики: 39 и т.д в uVS - ? Тогда и они не нужны.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

думаю, тебе следует чаще читать комментарии к выпускам обновлений.

17 часов назад, PR55.RP55 сказал:

Если всё это есть зачем тогда твики: 39 и т.д в uVS - ? Тогда и они не нужны.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

uVS может точно определять\фиксировать уровень нагрузки в % на gpu ; cpu; Может работать с критериями поиска...

Сейчас основная проблема с майнерами в том, что невозможно понять когда майнер будет запущен.

т.е. невозможно понять, когда запускать отслеживание процессов.

Если uVS сможет определять старт майнера ( по нагрузке ) - то сможет и предпринять некие действия ( по заранее заданному плану\критерию\настройке оператора )

Например применит твик: 39 ( если оператор считает, что это допустимо ); или начнёт писать  лог ( например вести запись в течении 5-ть минут после события Х ) или поместит некий объект в ZOO ; Разорвёт подключение; Выгрузит некий объект и т.д. 

------------

От оператора требуется: Запустить uVS > Сформировать нужные критерии ( с нужным типом действия ) > Запустить окно мониторинга процессов... Дальше работает uVS.

Приходит оператор и...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

отслеживание процессов, задач, cmdline для закрытых процессов начинается с момента загрузки системы.

(потому и важна перезагрузка системы после применения твиков)

все записи событий выполняются системой, uVS здесь только меняет настройки системы для расширенной записи в журналы системы. А затем использует эти записи для формирования образа автозапуска охватывая период с момента начала загрузки системы.

это дает возможность понять - откуда развивается атака: из системы, из локальной сети, или из внешней сети.

Если нужен более расширенный анализ событий в системе - изучаем возможности Sysmon. Выше уже приводилась утилита (Chainsaw), которая как раз работает с расширенными журналами событий и приложений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Хотелось бы чтобы Инфо. ( для создания\настройки критерия )

Содержало информацию:

CPU: 96.75%

* Внимание превышен 15% Порог.

CPU: 483.75%

* Внимание превышен 15% Порог.

так как нагрузка плавает и невозможно задать точное значение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В uVS есть возможность добавлять в базу проверенных: IPL; MBR и т.д.

т.е. программа обрабатывает данные и преобразует их в SHA1

Аналогичным образом можно обработать записи: WMI ( и все стандартные\проверенные записи добавить в базу проверенных)

Возможно, что-то ещё можно обработать аналогичным образом.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" 12 апреля 2022 года компания Microsoft опубликовала информацию о новом вредоносном ПО под названием Tarrask. Угроза использует баг планировщика Windows, чтобы избежать обнаружения. "

" Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. "

https://www.comss.ru/page.php?id=10384

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам.

https://www.comss.ru/page.php?id=10641

Возможно функция (  или её дальнейшее развитие ) будут полезны.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

del /s /q C:\Windows\SoftwareDistribution\download\*.*

del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Cache\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Media Cache\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\GPUCache\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Storage\ext\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Service Worker\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge\User Data\ShaderCache\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Cache\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Media Cache\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\GPUCache\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Storage\ext\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Service Worker\*.*"

del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\ShaderCache\*.*"

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×