Перейти к содержанию

Recommended Posts

alamor
Спойлер

--------------------------------------------------------
Проверка файлов по хэшу...
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.WEB\E0F1AA5AE849A43EE123D95E457EFC03\SYSTEM.WEB.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.CORE\D1DA4B8A843EC63BB8BE25F8202BEDC1\SYSTEM.CORE.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM\60B77585C8AA9CFD1B30A64092C81041\SYSTEM.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\MICROSOFT.E4121BBB9#\6209169BB65E8C748CD0CC7904835A65\MICROSOFT.EXCHANGE.UM.UCMAPLATFORM.NI.DLL
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.SECURITY\E629AF2F8417209404342BF320B481BF\SYSTEM.SECURITY.NI.DLL
Дата: 2017-10-18 [n/a]
Детектов: 0 из 11
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\MSCORLIB\F89061884B75DAB0E3967D7221E5290D\MSCORLIB.NI.DLL
Дата: 2017-10-18 [n/a]
Детектов: 0 из 11
Файл был чист на момент проверки.

 

Error:  [Ошибка номер 12002] - что означает? ЧТо слишком долго ждало ответа от сервера и не дождался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
43 минут назад, alamor сказал:

Error:  [Ошибка номер 12002] - что означает? ЧТо слишком долго ждало ответа от сервера и не дождался?

Да, это таймаут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

Здравствуй demkd. Перестала запускаться uVS.

Выдает ошибку.

Снимок.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, грум сказал:

Перестала запускаться uVS.

проверить не запущен ли uVS и снять задачу или закрыть окно с ним

или если нужно запускать несколько uVS одновременно снять флажок bFixedName

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум
22 минут назад, demkd сказал:

проверить не запущен ли uVS

Нет не запущен. Компьютер перезагружал. Такая же ошибка.

Скачал заново, все работает. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
10 минут назад, грум сказал:

Скачал заново, все работает. 

значит uvsz по каким-то причинам не читался или был поврежден.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум
2 минуты назад, demkd сказал:

значит uvsz по каким-то причинам не читался или был поврежден.

Вроде разобрался в чем дело. uVS перестал запускаться с рабочего стола. А из корня нормально. Буду разбираться почему так стало. Ничего вроде не делал. Только запускал uVS на виртуалке. После этого и началось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, приветствую.

вопрос: есть ли риск при сетевом подключении к удаленному компутеру с помощью uVS  передачи парольного хэша, скажем активному специализированному трояну, типа mimikatz, поторый мониторит подключения на противоположной стороне?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

вопрос: есть ли риск при сетевом подключении к удаленному компутеру с помощью uVS  передачи парольного хэша, скажем активному специализированному трояну, типа mimikatz, поторый мониторит подключения на противоположной стороне?

uVS сам не занимается передачей пароля по сети или его хэша ни в каком виде, а вызывает функцию api для подключения, т.е. если троян (на машине что осуществляет подключение) перехватывает вызов этой функции то он получает не то что хеш а сам пароль, а на удаленной машине uVS не получает ни хэш ни пароль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
7 часов назад, demkd сказал:

uVS сам не занимается передачей пароля по сети или его хэша ни в каком виде, а вызывает функцию api для подключения, т.е. если троян (на машине что осуществляет подключение) перехватывает вызов этой функции то он получает не то что хеш а сам пароль, а на удаленной машине uVS не получает ни хэш ни пароль.

demkd,

имею ввиду, что троян находится на удаленной машине, к которой  юзер с чистой машины подключается с привилегиями администратора на удаленной машине.

при интерактивном входе на рабочий стол, на исследуемой машине остается профиль учетной записи исследователя, с которой было подключение, и здесь утилиты типа mimikatz, если они запущены (на исследуемой по сети машине), могут получить и парольный хэш, и сам пароль в чистом виде,

http://blog.gentilkiwi.com/mimikatz

в случае подключения uVS я не обращал внимание, остается на удаленной машине профиль учетной записи, с которой было подключение, или нет. Возможно, при сетевом входе на удаленную машину, он не создается на удаленной машине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

за счет чего uVS здесь обнаружил руткитный драйвер, загружающий в систему майнер?

https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection

в этой теме

https://forum.drweb.com/index.php?showtopic=329197

антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
12 часов назад, santy сказал:

антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?

драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Разобрал логи почтовой рассылки, почтовики на базе icloud и rambler почту отпинывают, так что кому нужна рассылка пинайте ихних админов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

есть такая возможность восстановить файл образа автозапуска, после того как он открыт в uVS (и uVS еще не закрыт), но с диска файл образа удален?

(причем открыт неупакованный в архив файл образа TXT)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
24 минут назад, santy сказал:

есть такая возможность восстановить файл образа автозапуска, после того как он открыт в uVS (и uVS еще не закрыт), но с диска файл образа удален?

такой функции нет, файл то попробовать восстановить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

ок, восстановил с помощью R-studio. Причем еще старой версией 5.4 :). GetDATABack 4.33 не увидел удаленный файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

http://forum.esetnod32.ru/forum6/topic15174/

А можно на базе uVS создать программу которая бы автоматически блокировала заданный объект ?

Оператор указывает объект для блокировки по выбору: ЭЦП; SHA1; ИМЯ файла; полный путь; все новые исполняемые объекты  на общих сетевых ресурсах.  т.е. задаёт критерий поиска\обнаружения.

С Возможностью  задействовать сигнатуры  где оператор сможет задать каталоги\Исключение: Windows;  Program Files и т.д. ( или для определённого перечня каталогов задавать исключение по умолчанию )

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, приветствую.

вопрос:

что в данном случае запускается через svchost.exe в командной строке?

C:\Windows\system32\svchost.exe -k netsvcs

netsvcs это системный сервис?

какая может быть в таком запуске угроза для системы, если через этот процесс мы видим что есть внедренные потоки?
 

Цитата

 

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1348], tid=4088

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1348], tid=2144

 

6-8 потоков подобных

 

как следствие, данный процесс является родительским для запуска майнера C:\WINDOWS\SYSTEM32\DLLHOSTEX.EXE

parentid=1348 : C:\WINDOWS\SYSTEM32\SVCHOST.EXE

-----------

образ автозапуска:

https://www.sendspace.com/file/gtxnfq

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

что в данном случае запускается через svchost.exe в командной строке?

загружается сервисная DLL (сервисные модули в uVS) прописанная в реестре, для многих сетевых служб используется именно такая командная строка, можно просмотреть это раздел
хотя вот этот файл C:\WINDOWS\SYSTEM32\WINDOWSRPCHELPER.DLL и вызывает подозрение, но обычно внедрение потоков происходит с помощью процесса в автозапуске.
В uVS посмотреть какому svchost соответствует конкретная DLL невозможно, тут нужна специальная утилита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
27 минут назад, demkd сказал:

загружается сервисная DLL (сервисные модули в uVS) прописанная в реестре, для многих сетевых служб используется именно такая командная строка, можно просмотреть это раздел
хотя вот этот файл C:\WINDOWS\SYSTEM32\WINDOWSRPCHELPER.DLL и вызывает подозрение, но обычно внедрение потоков происходит с помощью процесса в автозапуске.
В uVS посмотреть какому svchost соответствует конкретная DLL невозможно, тут нужна специальная утилита.

угу, по этой dll есть детект:

2019-03-27

Win32/Vools.L

https://www.virustotal.com/gui/file/a84e154efcc32a4c69105f672e900df04acdc81b/detection

можно будет проверить, есть ли эта dll в других подобных случаях

------------------

в другой теме, по этой же сигнатуре попал аналогичный файл, хотя и с другим именем.

HKLM\System\CurrentControlSet\Services\FunctionProtocolService\Parameters\ServiceDLL

C:\WINDOWS\SYSTEM32\FUNCTIONPROTOCOLSERVICE.DLL

размеры файлов одинаковы, SHA1 - отличаются.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

еще в одном примере фигурирует подобная dll

Win64/Vools.P (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2019-03-28

C:\WINDOWS\SYSTEM32\APPLICATIONTIMESYSTEM.DLL

HKLM\System\CurrentControlSet\Services\ApplicationTimeSystem\Parameters\ServiceDLL

-------------

а через procexplorer можно ее увидеть в svchost.exe с известным pid?

(рисунок взят с чистой системы)

procexplorer_threads.jpg.09767d77f2a2ae513ca0819509ebcce3.jpg

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
20 минут назад, santy сказал:

а через procexplorer можно ее увидеть в svchost.exe с известным pid? 

В pe нет, он не показывает загруженные dll, а потоки никак с ней не связаны, во всяком случае в том образе,
dll можно посмотреть или в avz или даже в far, есть еще Svchost Process Analyzer, он немного кривенько работает, но может оказаться полезным.
Вообще да, иногда бывает желание добавить в uVS в каком-то виде сопоставление ключей реестра/служб на базе svchost с конкретными процессами, но там возни много, так что пока как приходит желание так и уходит.
Да и есть сомнения что вообще эта dll, несмотря на массу детектов, не есть обычный майкрософтовский файл... без подписи правда, но такое бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

возможно, что процесс майнера рождается в результате сетевой атаки (и левый dll как результат сетевой атаки). судя по логам антивируса, он что-то выкашивает из вновь создаваемой после перезагрузки папки, с детектами

HEUR:Exploit.Win32.MS17-010.gen C:\Windows\NetworkDistribution\svchost.exe Высокая
26.03.2019 17:32:02 Удалено троянская программа Backdoor.Win32.ShadowBrokers.f C:\Windows\NetworkDistribution\spoolsv.exe

и эта папка C:\Windows\NetworkDistribution фигурирует в других темах

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
20 минут назад, demkd сказал:

Вообще да, иногда бывает желание добавить в uVS в каком-то виде сопоставление ключей реестра/служб на базе svchost с конкретными процессами, но там возни много, так что пока как приходит желание так и уходит.

да, если это возможно, добавить в таких случаях pid процесса здесь

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\APPLICATIONTIMESYSTEM.DLL
Имя файла                   APPLICATIONTIMESYSTEM.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                            
Обнаруженные сигнатуры      
Сигнатура                   Win64/Vools.P (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2019-03-28
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
ВНЕДРЯЕМЫЙ DLL              (СТАТУС ~ АКТИВНЫЙ ВНЕДРЯЕМЫЙ СЕРВИСНАЯ_DLL В АВТОЗАПУСКЕ)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ВНЕДРЯЕМЫЙ сервисная_DLL в автозапуске [SVCHOST]
File_Id                     5C8F3A7225000
Linker                      14.0
Размер                      129024 байт
Создан                      14.07.2009 в 06:31:13
Изменен                     14.07.2009 в 08:39:46
                            
TimeStamp                   18.03.2019 в 06:28:02
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Оригинальное имя            Windows Core  Module
Версия файла                6.3.9600.16384
Версия продукта             6.3.9600.16384
Описание                    Windows Core  Module
Продукт                     Microsoft® Windows® Operating System
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
SHA1                        8E42DB5D1FB3114789A8501CC66C622605D0BD4E
MD5                         5FD6504D1F8CD4C025B240C8DAA8A81E
                            
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\SVCHOST.EXE (pid=nnn)
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ApplicationTimeSystem\Parameters\ServiceDLL
ServiceDLL                  C:\Windows\system32\ApplicationTimeSystem.dll
                            

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
56 минут назад, santy сказал:

возможно, что процесс майнера рождается в результате сетевой атаки

все возможно, но я таки сильно сомневаюсь, скорее стоит копать в сторону того кто запускает процессы из C:\Windows\NetworkDistribution\
у nirsoft вроде была утилита которая показывает кто кого и во сколько запускал, вообще такого тоже не хватает.
 

51 минут назад, santy сказал:

да, если это возможно, добавить в таких случаях pid процесса здесь

в принципе можно и это не сложно, хоть что-то будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×