Перейти к содержанию

Recommended Posts

alamor
39 минут назад, demkd сказал:

есть соответствующая категория

Нашёл, но там почему-то пусто.

39 минут назад, demkd сказал:

и контекстные команды у файлов

А вот этого не нашёл. Просто ПКМ на любом файле и там должно быть добавить его в известные? Нашёл только в проверенные, хотя смотрел даже на системных файлах.

Правда у меня настройка в settings.ini отключена, может из-за этого? 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
В 4 апреля 2017 г. at 5:45 PM, santy сказал:

есть параметр в settings.ini

Этот параметр видел, по нему и сформулирован вопрос.

И ещё один вопрос. А эта защита работает при отдаче команд (работа с образом) или при исполнение команд (выполнение на  живой системе)? 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

оно влияет на выполнение команды delref и блокирует некоторые параметры контекстного меню известного файла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Цитата

(!) DEBUG: Extra long filename detected, filename truncated

 

Как усекается имя файла?
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
5 минут назад, alamor сказал:

Как усекается имя файла?

просто обрезается и в 100% случаев это не файл, а слишком длинные параметры запуска, так что можно не обращать внимания на это сообщение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

некоторые из шифраторов, в частности AES_NI (или SOREBRECT, как его вдогонку назвали в trendmicro, symantec) используют инжектирование кода в системный процесс. svchost.exe

(пока что без сокрытия созданного легитимного процесса)

после этого исходное тело, которое было запущено, самоудаляется, а шифратор продолжает свою работу из под системного процесса.

в образе uVS это выглядит т.о.
 

Цитата

 

Полное имя C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Статус АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE]

...............................

pid=1756 VM-XP\****

CmdLine "C:\WINDOWS\system32\svchost.exe"

процесс создан 09:59:15 [2017.06.21]

с момента создания 00:11:04

parentid=660  (здесь пусто видимо потому что файл самоудалился, и подчистил за собой историю своего запуска)

 

Можно, каким то образом указать (определить), что данный системный процесс был создан с целью дальнейшего инжектирования кода?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
44 минут назад, santy сказал:

Можно, каким то образом указать (определить), что данный системный процесс был создан с целью дальнейшего инжектирования кода?

svchost запускается исключительно как сервис, поэтому родитель у него всегда services.exe т.е. любой pid отличный от pid-а services это уже подозрительно и проверку на это дело можно будет добавить в uVS с другой стороны зловред может использовать уже запущенный svchost или запустить его как сервис и затем уже внедрить код, насчет внедренного кода тут нужно посмотреть детально какие потоки создаются в нем, надо написать монитор и набрать статистику, время будет гляну что можно с этим сделать, проблема-то старая и каких-то надежный решений ее пока нет и это плохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а можно считать объект подозрительным, если

TimeStamp по нему 27.06.2017 в 10:51:49

а даты создания 14.07.2009 в 08:34:26 и изменения 14.07.2009 в 10:41:53?

например:

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла                   SACSVR.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
                            
www.virustotal.com          Хэш НЕ найден на сервере.
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ВНЕДРЯЕМЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id                     595238C53DC000
Linker                      10.0
Размер                      4030976 байт
Создан                      14.07.2009 в 08:34:26
Изменен                     14.07.2009 в 10:41:53
                            
TimeStamp                   27.06.2017 в 10:51:49
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                            
Доп. информация             на момент обновления списка
SHA1                        24F4F3C8586877D26A7F04B54A8F05398D8FF3C5
MD5                         6F620C4A97587A0AFBC601018C98D434
                            
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\SVCHOST.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\sacsvr\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\system32\sacsvr.dll

                            

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 минут назад, santy сказал:

а можно считать объект подозрительным, если

да, это логично в след. версии сделаю, другое дело что timestamp не всегда актуален.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

здесь конкретный пример,

предполагаю что этот файл пропатченный, жаль, образ был создан без проверки цифровой.

каким то образом в системе всплывает майнер, но не через WMI. (предполагаю, что через эту сервисную dll)
 

Цитата

 

полное имя:

C:\CONSLOCALUSERDATA\SVCHOST.EXE

parentid=998

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

 

 

SERV-1C_2017-07-10_16-19-17.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

вот еще вопрос:

если мы лечим комп по сети, и файлики юзера попадают под сигнатуры. будут ли создаваться копии файлов в ZOO при удалении - удалить найденное (т.е. не скриптовое удаление)?

если да, то где будет находиться папка ZOO (система Win7), и сохранится ли она, если я закрываю uVS с удаленным подключением?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
24 минут назад, santy сказал:

если да, то где будет находиться папка ZOO (система Win7), и сохранится ли она, если я закрываю uVS с удаленным подключением?

Папка Zoo синхронизируется с удаленным компьютером, так что все будет лежать в локальной папке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 10.07.2017 at 3:02 PM, santy сказал:

предполагаю что этот файл пропатченный, жаль, образ был создан без проверки цифровой.

он не пропатченный - это и есть майнер по командной строке видно, на дварфе XMR майнит.
C:\conslocaluserdata\svchost.exe -t 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8080 -O 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbS15Y5w6TATZ1WR7Tke.ABSOLUT-SERV1C:x

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

не, тут имел ввиду эту dll

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла                   SACSVR.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
                            
www.virustotal.com          2017-07-17
Symantec                    Trojan.Gen.2
ESET-NOD32                  a variant of Win64/BitCoinMiner.U potentially unsafe
Kaspersky                   not-a-virus:RiskTool.Win64.BitCoinMiner.cux
BitDefender                 Trojan.Generic.21994197
DrWeb                       Trojan.BtcMine.1324
Avast                       Multi:BitCoinMiner-A [Tool]
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                            
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\sacsvr\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\system32\sacsvr.dll

тело майнера извлекается из нее,

после удаления майнера и восстановления чистой копии  C:\WINDOWS\SYSTEM32\SACSVR.DLL

через некоторое время, в пределах суток, атака опять повторяется с заражением этой (или другой) dll, и опять же восстановлением майнера в своих правах. :)

пока не выяснили, каким образом атакуется система.                        

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Есть образ во вложении.

Видим в нём в свойствах cmd.exe:

Цитата

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger

И более никаких упоминаний sethc.exe, delref не сделать. Как бы отладчики получше парсить, и/или твик по их удалению добавить?

TERMINAL_2017-07-19_12-17-43.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, Vvvyg сказал:

Как бы отладчики получше парсить, и/или твик по их удалению добавить?

---------------------------------------------------------
 3.85.3
---------------------------------------------------------
 o Новый твик #35 Очистить ключи Image File Execution Options

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Спасибо, затупил :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а почему эта ссылка добавлена в инфо именно cmd.exe?

HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger

cmd.exe используется в качестве отладчика здесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

cmd.exe используется в качестве отладчика здесь?

да, обычное дело.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

А почему расширения Хрома попадают в категорию скрипты?

c044be76a56818876cafdce7d8128aed.png
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

потому что это "прочее" сюда попадает все что не есть исполняемый файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Так для расширений есть же отдельная категория. Думаю логичней в прочее поместить то, что не попало в другие категории (и не является исполняемым файлом).
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, приветствую.

в последних версиях uVS появились сообщения логах такого типа:

(!) Unable to open process: csrss.exe [508]

(!) Unable to open process: lsass.exe [680]

(!) Unable to open process: svchost.exe [928]

что это означает? что uVS не сможет собрать информацию о данном процессе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
13 минут назад, santy сказал:

в последних версиях uVS появились сообщения логах такого типа:

привет, да именно так, раньше сообщения просто не выводились.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×