Перейти к содержанию

Recommended Posts

alamor
39 минут назад, demkd сказал:

есть соответствующая категория

Нашёл, но там почему-то пусто.

39 минут назад, demkd сказал:

и контекстные команды у файлов

А вот этого не нашёл. Просто ПКМ на любом файле и там должно быть добавить его в известные? Нашёл только в проверенные, хотя смотрел даже на системных файлах.

Правда у меня настройка в settings.ini отключена, может из-за этого? 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
В 4 апреля 2017 г. at 5:45 PM, santy сказал:

есть параметр в settings.ini

Этот параметр видел, по нему и сформулирован вопрос.

И ещё один вопрос. А эта защита работает при отдаче команд (работа с образом) или при исполнение команд (выполнение на  живой системе)? 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

оно влияет на выполнение команды delref и блокирует некоторые параметры контекстного меню известного файла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Цитата

(!) DEBUG: Extra long filename detected, filename truncated

 

Как усекается имя файла?
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
5 минут назад, alamor сказал:

Как усекается имя файла?

просто обрезается и в 100% случаев это не файл, а слишком длинные параметры запуска, так что можно не обращать внимания на это сообщение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

некоторые из шифраторов, в частности AES_NI (или SOREBRECT, как его вдогонку назвали в trendmicro, symantec) используют инжектирование кода в системный процесс. svchost.exe

(пока что без сокрытия созданного легитимного процесса)

после этого исходное тело, которое было запущено, самоудаляется, а шифратор продолжает свою работу из под системного процесса.

в образе uVS это выглядит т.о.
 

Цитата

 

Полное имя C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Статус АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE]

...............................

pid=1756 VM-XP\****

CmdLine "C:\WINDOWS\system32\svchost.exe"

процесс создан 09:59:15 [2017.06.21]

с момента создания 00:11:04

parentid=660  (здесь пусто видимо потому что файл самоудалился, и подчистил за собой историю своего запуска)

 

Можно, каким то образом указать (определить), что данный системный процесс был создан с целью дальнейшего инжектирования кода?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
44 минут назад, santy сказал:

Можно, каким то образом указать (определить), что данный системный процесс был создан с целью дальнейшего инжектирования кода?

svchost запускается исключительно как сервис, поэтому родитель у него всегда services.exe т.е. любой pid отличный от pid-а services это уже подозрительно и проверку на это дело можно будет добавить в uVS с другой стороны зловред может использовать уже запущенный svchost или запустить его как сервис и затем уже внедрить код, насчет внедренного кода тут нужно посмотреть детально какие потоки создаются в нем, надо написать монитор и набрать статистику, время будет гляну что можно с этим сделать, проблема-то старая и каких-то надежный решений ее пока нет и это плохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а можно считать объект подозрительным, если

TimeStamp по нему 27.06.2017 в 10:51:49

а даты создания 14.07.2009 в 08:34:26 и изменения 14.07.2009 в 10:41:53?

например:

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла                   SACSVR.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
                            
www.virustotal.com          Хэш НЕ найден на сервере.
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ВНЕДРЯЕМЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id                     595238C53DC000
Linker                      10.0
Размер                      4030976 байт
Создан                      14.07.2009 в 08:34:26
Изменен                     14.07.2009 в 10:41:53
                            
TimeStamp                   27.06.2017 в 10:51:49
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                            
Доп. информация             на момент обновления списка
SHA1                        24F4F3C8586877D26A7F04B54A8F05398D8FF3C5
MD5                         6F620C4A97587A0AFBC601018C98D434
                            
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\SVCHOST.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\sacsvr\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\system32\sacsvr.dll

                            

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 минут назад, santy сказал:

а можно считать объект подозрительным, если

да, это логично в след. версии сделаю, другое дело что timestamp не всегда актуален.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

здесь конкретный пример,

предполагаю что этот файл пропатченный, жаль, образ был создан без проверки цифровой.

каким то образом в системе всплывает майнер, но не через WMI. (предполагаю, что через эту сервисную dll)
 

Цитата

 

полное имя:

C:\CONSLOCALUSERDATA\SVCHOST.EXE

parentid=998

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

 

 

SERV-1C_2017-07-10_16-19-17.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

вот еще вопрос:

если мы лечим комп по сети, и файлики юзера попадают под сигнатуры. будут ли создаваться копии файлов в ZOO при удалении - удалить найденное (т.е. не скриптовое удаление)?

если да, то где будет находиться папка ZOO (система Win7), и сохранится ли она, если я закрываю uVS с удаленным подключением?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
24 минут назад, santy сказал:

если да, то где будет находиться папка ZOO (система Win7), и сохранится ли она, если я закрываю uVS с удаленным подключением?

Папка Zoo синхронизируется с удаленным компьютером, так что все будет лежать в локальной папке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 10.07.2017 at 3:02 PM, santy сказал:

предполагаю что этот файл пропатченный, жаль, образ был создан без проверки цифровой.

он не пропатченный - это и есть майнер по командной строке видно, на дварфе XMR майнит.
C:\conslocaluserdata\svchost.exe -t 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8080 -O 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbS15Y5w6TATZ1WR7Tke.ABSOLUT-SERV1C:x

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

не, тут имел ввиду эту dll

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла                   SACSVR.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
                            
www.virustotal.com          2017-07-17
Symantec                    Trojan.Gen.2
ESET-NOD32                  a variant of Win64/BitCoinMiner.U potentially unsafe
Kaspersky                   not-a-virus:RiskTool.Win64.BitCoinMiner.cux
BitDefender                 Trojan.Generic.21994197
DrWeb                       Trojan.BtcMine.1324
Avast                       Multi:BitCoinMiner-A [Tool]
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                            
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\sacsvr\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\system32\sacsvr.dll

тело майнера извлекается из нее,

после удаления майнера и восстановления чистой копии  C:\WINDOWS\SYSTEM32\SACSVR.DLL

через некоторое время, в пределах суток, атака опять повторяется с заражением этой (или другой) dll, и опять же восстановлением майнера в своих правах. :)

пока не выяснили, каким образом атакуется система.                        

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Есть образ во вложении.

Видим в нём в свойствах cmd.exe:

Цитата

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger

И более никаких упоминаний sethc.exe, delref не сделать. Как бы отладчики получше парсить, и/или твик по их удалению добавить?

TERMINAL_2017-07-19_12-17-43.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, Vvvyg сказал:

Как бы отладчики получше парсить, и/или твик по их удалению добавить?

---------------------------------------------------------
 3.85.3
---------------------------------------------------------
 o Новый твик #35 Очистить ключи Image File Execution Options

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Спасибо, затупил :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а почему эта ссылка добавлена в инфо именно cmd.exe?

HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger

cmd.exe используется в качестве отладчика здесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

cmd.exe используется в качестве отладчика здесь?

да, обычное дело.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

А почему расширения Хрома попадают в категорию скрипты?

c044be76a56818876cafdce7d8128aed.png
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

потому что это "прочее" сюда попадает все что не есть исполняемый файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Так для расширений есть же отдельная категория. Думаю логичней в прочее поместить то, что не попало в другие категории (и не является исполняемым файлом).
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, приветствую.

в последних версиях uVS появились сообщения логах такого типа:

(!) Unable to open process: csrss.exe [508]

(!) Unable to open process: lsass.exe [680]

(!) Unable to open process: svchost.exe [928]

что это означает? что uVS не сможет собрать информацию о данном процессе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
13 минут назад, santy сказал:

в последних версиях uVS появились сообщения логах такого типа:

привет, да именно так, раньше сообщения просто не выводились.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×