Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 83]

Если в Инфо. не указан производитель,  в колонке:    I  Производитель       I   

Указывать ЭЦП.

Сейчас колонка просто пуста...

Пример:

----------------                  
Цифр. подпись               Действительна, подписано LLC Mail.Ru    
                            
Оригинальное имя            WMPSPY.DLL
Версия файла                     1, 0, 0, 12
Описание                             Mail.RU модуль для windows media
Производитель               
Комментарий                 
                            

                            

                            

                            

[santy 153]

В 07.02.2021 at 8:48 PM, PR55.RP55 сказал:

Если в Инфо. не указан производитель,  в колонке:    I  Производитель       I   

Указывать ЭЦП.

цифровая подпись может не соответствовать производителю,

так что не стоит добавлять недостоверную информацию о производителе вместо незаполненного поля.

например:

файл: C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\7Z.DLL

цифровая: Действительна, подписано Malwarebytes Inc

производитель: Igor Pavlov

 

или

C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\QT5WINEXTRAS.DLL

Действительна, подписано Malwarebytes Inc

The Qt Company Ltd.

 

[PR55.RP55 83]

Поле нужно заполнять.

Можно заполнять с пометкой: I  >> The Qt Company Ltd.  <<    I   

Пустое поле когда есть реальная\полезная информация ? Это не дело.

От пустого поля польза = 0.

 

 

[PR55.RP55 83]

Предлагаю в меню:  Подпись/Хэш 

> Установить статус проверенного файла для всех файлов в текущей категории с VTOK

Для всех файлов типа: 

2020-01-01 00:00 [2019-01-01] + 2020-01-01 00:00 [2018-01-01] + 2020-01-01 00:00 [2017-01-01] + 2020-01-01 00:00 [2016-01-01] + 2020-01-01 00:00 [2015-01-01] + .  .  .

Так, как сам по себе вердикт:  VTOK мало, что значит. Но вот файлы проверенные: год;  два;  три и т.д. и сохранившие свой статус - это уже другое дело.  ( про автоматическое добавление таких файлов в базу VT1 - ( VT2 ) пользователя больше не прошу :)  ( но напоминаю )

[PR55.RP55 83]

В ряде случаев вирусы вызывают системные ошибки с соответствующей записью в журнал.

Если имя в журнале  будет соответствовать имени файла\процесса из списка... То в Инфо. файла добавлять соответствующую запись из журнала.

Error: (03/25/2021 04:26:00 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Имя сбойного приложения: exUpd.exe, версия: 0.0.0.0, метка времени: 0x60566260
Имя сбойного модуля: KERNELBASE.dll, версия: 10.0.19041.804, метка времени: 0x0e9c5eae
Код исключения: 0xe0434352
Смещение ошибки: 0x000000000002d759
Идентификатор сбойного процесса: 0x31fc
Время запуска сбойного приложения: 0x01d72182c72bbd15
Путь сбойного приложения: C:\Users\Asus\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe
Путь сбойного модуля: C:\WINDOWS\System32\KERNELBASE.dll
Идентификатор отчета: ff70bc1c-b22e-4e91-8f1b-ecae072e5661
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:

Error: (03/25/2021 04:26:00 PM) (Source: .NET Runtime) (EventID: 1026) (User: )
Description: Приложение: exUpd.exe
Версия платформы: v4.0.30319
Описание. Процесс был завершен из-за необработанного исключения.
Сведения об исключении: System.BadImageFormatException

Сведения об исключении: System.BadImageFormatException
   в System.Reflection.RuntimeAssembly.nLoadImage(Byte[], Byte[], System.Security.Policy.Evidence, System.Threading.StackCrawlMark ByRef, Boolean, Boolean, System.Security.SecurityContextSource)
   в System.Reflection.Assembly.Load(Byte[])
   в <Module>.wWinMain(HINSTANCE__*, HINSTANCE__*, Char*, Int32)
   в <Module>.wWinMainCRTStartup()

 

 

 

[PR55.RP55 83]

1) Добавить в меню команду:

Создать полный образ автозапуска с отслеживанием процессов.

2) Если файл в  _ автозапуске - добавлять в список все файлы из каталога в котором данный файл находиться.

( если каталог содержит не более 15 исполняемых файлов )

3) Реализовать возможность: обнаружение объекта, на стороне пользователя, по заданным критериям...

При работе со скриптом...

В скрипт прописываются критерии:  А и В и С + команда.

 

[PR55.RP55 83]

+

При работе с образом в меню файла _всегда должна быть доступна команда: Выгрузить из памяти.

Например: вирус запускается через задачу > запустился > выполнил задачу >  его нет в памяти ( на момент создания образа ) ...   А вот на момент выполнения скрипта он может быть в памяти...

А команды в меню нет.

[PR55.RP55 83]

В отслеживание процессов и задач - добавить отслеживание по заданному ( известному ) признаку.

Например известно, что некий процесс\объект создаёт в реестре\задачах запись типа:

Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ZHASHCALCULATOR
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\Actions
Actions                     "C:\Users\Вадик\AppData\Roaming\Microsoft\HashCalc\MD5\HashCalc.exe"
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\

И не просто отслеживание - по заданному ( известному ) признаку, но и автоматическое удаление записи.

т.е. отслеживание позволит увидеть - какой процесс\объект  вносит изменения и одновременно сразу после того, как это изменение было произведено - отменить его.

[santy 153]

RP55,

uVS - не мониторит процессы и задачи. (как Procmon, например),

для расширенного отслеживания процессов и задач используются только журналы системы, если предварительно расширенное отслеживание включено через настройки системы. Не для того включается отслеживание, чтобы сразу "убить" все внесенные изменения. Прежде всего нужен анализ внесенных изменений.

А механизм очистки системы в uVS по тому слепку, которые uVS получает в теч нескольких минут далее уже использует арсенал поиска по внесенных сигнатурам, по добавленных критериям поиска.

Какой смысл искать изменения по критериям в журналах, если эти изменения в любом случае попадают в образ и после этого поиск изменений выполняется в образе автозапуска? более того, добавленный режим filtered позволяет отфильтровать изменения в отдельном окне, а далее уже "любой оператор" может действовать как ему угодно: снять сигнатуры с обнаруженных файлов, добавить правило фильтрования  в список критериев обнаружения с указанием автоматического действия. (для автоскрипта), или сразу добавить удаление через delall в скрипт.

[santy 153]

если только sysmon использовать для получения расширенных журналов и последующего анализа данных в uVS

[PR55.RP55 83]

Добавить в программу Категорию: ЭЦП

"Adobe Systems, Incorporated"  [14]

"BlueStack Systems, Inc." [ 22]

Babylon Ltd.  [2]

"Cisco Systems, Inc." [ 17 ]

"DivX, Inc." [ 40 ]

"GIGA-BYTE TECHNOLOGY CO., LTD."  [ 70 ]

--------

Открыв категорию оператор может видеть список ЭЦП и число файлов подписанных данной ЭЦП

И статус данной ЭЦП - в белом списке, или нет.

Имеют ли файлы с данной ЭЦП сетевую активность.  (  т.е. один любой файл с сетевой активностью )

Или ( один любой файл с повышенной нагрузкой на ( CPU ) \ ( GPU )

Открыв Инфо - оператор может получить общую информацию по данной ЭЦП

Оператор может обнаружить подозрительные объекты.

Может пополнить белый список.

 

 

[santy 153]

RP55, критерии filtered для чего? создается критерий по интересующей ЭЦП, фильтруется список объектов автозапуска, и получаешь все файлы, подписанные данной ЭЦП в отдельной категории. такие вещи стоит реализовывать только через настраиваемые фильтры.

 

входит или нет ЭЦП в белый список (в Инфо)? может и стоит показать.

[PR55.RP55 83]

Всё дело в принципиально ином подходе.

В новой Категории - анализируется не файл\объект -  А его ЭЦП.

Рассматривается не отдельный файл, а группа файлов, поведение группы файлов.

Критерий не будет создан... не будет работать - пока ЭЦП  неизвестна...

т.е. речь о ПЕРВОНАЧАЛЬНОМ обнаружении аномалии.

т.е. Если программа работает - то с чем она работает ?

Программа должна работать  с другими файлами.

А если в системе всего 1-2 файла с некой ХХХ. ЭЦП...

Это уже должно настроить оператора ?

Неизвестная ЭЦП ( её нет в белом\чёрном списке\ списке известных  и т.д. ) > Всего 1-2 файла подписаны данной ЭЦП, сетевая активность и т.д.

т.е. Оператор анализирует ( концентрирует своё внимание именно на ЭЦП )  ЭЦП и становиться объектом при\для первоначального обнаружения.

Это как анализ в таких категориях как: Сетевая Активность; WMI; Задачи.

Анализ данных - которые могут привести  оператора к некому объекту...

------

+ Информировать:  "Процесс с данной ЭЦП инициирует не подписанный... процесс "

 

 

 

 

[santy 153]

RP55,

а чем тебе не нравится такая подача:

есть процесс с действующей цифровой (не входит в WDSL), загружает неизвестные (значит не проверенные, без цифровой, dll)

Цитата

Полное имя                  C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Имя файла                   TRANSMISSION-DAEMON.EXE
Тек. статус                 АКТИВНЫЙ сервис в автозапуске Фильтр
                           
Удовлетворяет критериям    
SIGN.NOT.IN WHITE LIST      (ССЫЛКА ~ \IMAGEPATH)(1)   AND   (ЦИФР. ПОДПИСЬ ~ ДЕЙСТВИТЕЛЬНА)(1)   AND   (ЦИФР. ПОДПИСЬ !~ WDSL)(1) [auto (0)]
FLOCK (FILTERED)            (ПРОИЗВОДИТЕЛЬ ~ TRANSMISSION PROJECT)(1) [filtered (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске
Процесс                     32-х битный
File_Id                     5EC7A34817F000
Linker                      14.25
Размер                      1558232 байт
Создан                      05.12.2020 в 21:56:44
Изменен                     22.05.2020 в 07:05:52
                           
TimeStamp                   22.05.2020 в 10:02:48
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано SignPath Foundation
                           
Оригинальное имя            transmission-qt.exe
Версия файла                3.00 (bb6b5a062e)
Описание                    Transmission Qt Client
Производитель               Transmission Project
                           
Доп. информация             на момент обновления списка
pid = 3932                  NT AUTHORITY\СИСТЕМА
CmdLine                     "C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
Процесс создан              23:11:58 [2021.06.24]
С момента создания          00:21:25
CPU                         0,09%
CPU (1 core)                0,34%
parentid = 744              C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        E2325342A56423D628556549C56B7F4435AD276E
MD5                         7F8E96F120678508C58810F8A77F603B
                           
Ссылки на объект           
Ссылка                      HKLM\System\CurrentControlSet\Services\Transmission\ImagePath
ImagePath                   "C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
DisplayName                 Transmission Daemon
Description                 Background BitTorrent service accessible with Qt client, web UI, or remote CLI tool.
Transmission                тип запуска: Авто (2)
Изменен                     03.05.2021 в 21:29:35
                           
Образы                      EXE и DLL
TRANSMISSION-DAEMON.EXE     C:\PROGRAM FILES (X86)\TRANSMISSION
                           
Загруженные DLL             НЕИЗВЕСТНЫЕ
LIBCRYPTO-1_1.DLL           C:\PROGRAM FILES (X86)\TRANSMISSION
LIBCURL.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
LIBSSL-1_1.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5CORE.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
QT5DBUS.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
QT5GUI.DLL                  C:\PROGRAM FILES (X86)\TRANSMISSION
QT5NETWORK.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5WIDGETS.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5WINEXTRAS.DLL            C:\PROGRAM FILES (X86)\TRANSMISSION
QWINDOWS.DLL                C:\PROGRAM FILES (X86)\TRANSMISSION\PLATFORMS
ZLIB.DLL                    C:\PROGRAM FILES (X86)\TRANSMISSION
                           
Загруженные DLL             ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ

 

[PR55.RP55 83]

santy

--------

Речь не о критериях.

Речь о функционале uVS

 

 

[santy 153]

RP55,

не буду категорично утверждать, что такой режим (в виде отдельной категории по цифровым) не нужен в uVS.

может быть и нужен. чтобы получить инфо о состоянии системы под углом цифровых. например получить сколько цифровых в среднем используется в системе, в системе, и сколько из них входит в WDSL

но даже с помощью простейшего отбора, ты можешь получить все файлы, которые имеют действительную цифровую, не входящую  WDSL

(ЦИФР. ПОДПИСЬ ~ ДЕЙСТВИТЕЛЬНА)(1)   AND   (ЦИФР. ПОДПИСЬ !~ WDSL)(1) [auto (0)]

и далее уже проанализировать данный отбор файлов. в том числе, из данного отбора, что-то добавить дополнительно в файл WDSL

 

[PR55.RP55 83]

santy

Можно на базе критериев реализовать много полезного.

Но это нагромождение одного на другое.

+  Дело в принципе 

Можно реализовать поиск информации по ЭЦП

и тогда будет поиск не только по SHA1,  но и по ЭЦП  

https://www.virustotal.com/gui/file/d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e/details

https://www.virustotal.com/gui/file/8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd/details

Предлагаю работать именно с ЭЦП и на это ориентировать категорию.

Было бы интересно видеть появились ли файлы в системе одновременно, или нет, интервал появления файлов - ( в таблице ? )

Поиск именно по ЭЦП на ресурсах типа V.T.  ( ведь SHA1 ) вещь непостоянная...

Когда файл с данной ЭЦП впервые попал на V.T. ? ; Когда файл оказался в системе?

Если это организация - есть ли файлы с данной ЭЦП на других PC.

и т.д.

 

 

 

[santy 153]

27 минут назад, PR55.RP55 сказал:

Можно на базе критериев реализовать много полезного.

Но это нагромождение одного на другое.

и т.д.

это не нагромождение, это осознанный поиск. который не требует дополнительного программирования новых функций.

Цитата

 

Можно реализовать поиск информации по ЭЦП

и тогда будет поиск не только по SHA1,  но и по ЭЦП  

https://www.virustotal.com/gui/file/d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e/details

https://www.virustotal.com/gui/file/8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd/details

 

пока что на VT видим, что функция поиска выполняется по хэшу. Если в API на VT есть возможность поиска по цифровой, почему бы и нет. + надо смотреть другие базы с сэмплами, которые предоставляют функции поиска через API public - есть там возможность поиска по цифровой или тоже только по хэшу, а пока что только поиск через Google.

Цитата

 

Предлагаю работать именно с ЭЦП и на это ориентировать категорию.

Было бы интересно видеть появились ли файлы в системе одновременно, или нет, интервал появления файлов - ( в таблице ? )

Поиск именно по ЭЦП на ресурсах типа V.T.  ( ведь SHA1 ) вещь непостоянная...

 

SHA1 как раз вещь постоянная для файла, а вот цифровые левые быстро отзываются. (и злоумышленники будут вынуждены подписывать свои файлы уже другой цифровой). если найден вредоносный файл с некоторой цифровой, и так уже понятно, что цифровую заносить в blacklist, и далее, уже все файлы с данной цифровой попадут в подозрительные и вирусы на других машинах.

[PR55.RP55 83]

Предлагаю создать новую базу  SHA1(+ ) <   > ЭЦП

Это не база проверенных файлов... Это база проверенных файлов с ЭЦП.

т.е. На системе №1 Проверяем файл ( ЭЦП - проходит проверку ) > SHA1 файла добавляется в базу  SHA1(+ ) > Оператор переходит к системе №2 и проверяет ЭЦП ... по базе SHA1(+).

Почему по базе... Возможна ли проверка SHA2  на WINDOWS XP  и  т.д ;  На системах без обновлений с повреждённым каталогом ЭЦП ?

А так...  Программа вычисляет SHA1 файла  > SHA1  проверяется по базе SHA1(+ ) ... > ЭЦП есть в базе = подтверждение цифровой.

+ Выигрыш по времени при проверке.

Да,  подпись могут отозвать и т.д.  Но...

 

[PR55.RP55 83]

Есть такая опция как: " Защита Windows 11 с помощью автономного модуля Microsoft Defender"

Запуск из доверенной среды без загрузки операционной системы...

https://www.comss.ru/page.php?id=9368

Можно ли в этот процесс интегрировать uVS ?

[demkd 636]

1 час назад, PR55.RP55 сказал:

Можно ли в этот процесс интегрировать uVS ? 

запуск дефендера?

[PR55.RP55 83]

1 час назад, demkd сказал:

запуск дефендера?

Раз доверенная среда запускается без загрузки собственно операционной системы...

Можно ли вместо дефендера аналогичным образом работать с uVS ?

 

[demkd 636]

1 час назад, PR55.RP55 сказал:

Можно ли вместо дефендера аналогичным образом работать с uVS ?

на то она и защищенная, что только дефендер и запустится.

[PR55.RP55 83]

1) Так как в образе нет сводной  % таблицы практически невозможно понять какой _СИСТЕМНЫЙ процесс нагружает gpu и cpu.

Если есть нагрузка на  gpu и cpu - то, должно _автоматически включаться\отключаться отслеживание.

2) Нужен лог нагрузки на gpu и cpu.

2.1) К логу должна быть возможность применить фильтр.

 

 

[demkd 636]

В 05.08.2021 at 4:24 PM, PR55.RP55 сказал:

Нужен лог нагрузки на gpu и cpu.

в логе указываются процессы действительно нагружающие cpu и gpu, а изучать низкую загрузку стоит другим средствами, непонятно зачем правда.