Перейти к содержанию

Recommended Posts

alamor
Спойлер

--------------------------------------------------------
Проверка файлов по хэшу...
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.WEB\E0F1AA5AE849A43EE123D95E457EFC03\SYSTEM.WEB.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.CORE\D1DA4B8A843EC63BB8BE25F8202BEDC1\SYSTEM.CORE.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM\60B77585C8AA9CFD1B30A64092C81041\SYSTEM.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\MICROSOFT.E4121BBB9#\6209169BB65E8C748CD0CC7904835A65\MICROSOFT.EXCHANGE.UM.UCMAPLATFORM.NI.DLL
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.SECURITY\E629AF2F8417209404342BF320B481BF\SYSTEM.SECURITY.NI.DLL
Дата: 2017-10-18 [n/a]
Детектов: 0 из 11
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\MSCORLIB\F89061884B75DAB0E3967D7221E5290D\MSCORLIB.NI.DLL
Дата: 2017-10-18 [n/a]
Детектов: 0 из 11
Файл был чист на момент проверки.

 

Error:  [Ошибка номер 12002] - что означает? ЧТо слишком долго ждало ответа от сервера и не дождался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
43 минут назад, alamor сказал:

Error:  [Ошибка номер 12002] - что означает? ЧТо слишком долго ждало ответа от сервера и не дождался?

Да, это таймаут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

Здравствуй demkd. Перестала запускаться uVS.

Выдает ошибку.

Снимок.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, грум сказал:

Перестала запускаться uVS.

проверить не запущен ли uVS и снять задачу или закрыть окно с ним

или если нужно запускать несколько uVS одновременно снять флажок bFixedName

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум
22 минут назад, demkd сказал:

проверить не запущен ли uVS

Нет не запущен. Компьютер перезагружал. Такая же ошибка.

Скачал заново, все работает. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
10 минут назад, грум сказал:

Скачал заново, все работает. 

значит uvsz по каким-то причинам не читался или был поврежден.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум
2 минуты назад, demkd сказал:

значит uvsz по каким-то причинам не читался или был поврежден.

Вроде разобрался в чем дело. uVS перестал запускаться с рабочего стола. А из корня нормально. Буду разбираться почему так стало. Ничего вроде не делал. Только запускал uVS на виртуалке. После этого и началось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, приветствую.

вопрос: есть ли риск при сетевом подключении к удаленному компутеру с помощью uVS  передачи парольного хэша, скажем активному специализированному трояну, типа mimikatz, поторый мониторит подключения на противоположной стороне?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

вопрос: есть ли риск при сетевом подключении к удаленному компутеру с помощью uVS  передачи парольного хэша, скажем активному специализированному трояну, типа mimikatz, поторый мониторит подключения на противоположной стороне?

uVS сам не занимается передачей пароля по сети или его хэша ни в каком виде, а вызывает функцию api для подключения, т.е. если троян (на машине что осуществляет подключение) перехватывает вызов этой функции то он получает не то что хеш а сам пароль, а на удаленной машине uVS не получает ни хэш ни пароль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
7 часов назад, demkd сказал:

uVS сам не занимается передачей пароля по сети или его хэша ни в каком виде, а вызывает функцию api для подключения, т.е. если троян (на машине что осуществляет подключение) перехватывает вызов этой функции то он получает не то что хеш а сам пароль, а на удаленной машине uVS не получает ни хэш ни пароль.

demkd,

имею ввиду, что троян находится на удаленной машине, к которой  юзер с чистой машины подключается с привилегиями администратора на удаленной машине.

при интерактивном входе на рабочий стол, на исследуемой машине остается профиль учетной записи исследователя, с которой было подключение, и здесь утилиты типа mimikatz, если они запущены (на исследуемой по сети машине), могут получить и парольный хэш, и сам пароль в чистом виде,

http://blog.gentilkiwi.com/mimikatz

в случае подключения uVS я не обращал внимание, остается на удаленной машине профиль учетной записи, с которой было подключение, или нет. Возможно, при сетевом входе на удаленную машину, он не создается на удаленной машине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

за счет чего uVS здесь обнаружил руткитный драйвер, загружающий в систему майнер?

https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection

в этой теме

https://forum.drweb.com/index.php?showtopic=329197

антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
12 часов назад, santy сказал:

антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?

драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Разобрал логи почтовой рассылки, почтовики на базе icloud и rambler почту отпинывают, так что кому нужна рассылка пинайте ихних админов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

есть такая возможность восстановить файл образа автозапуска, после того как он открыт в uVS (и uVS еще не закрыт), но с диска файл образа удален?

(причем открыт неупакованный в архив файл образа TXT)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
24 минут назад, santy сказал:

есть такая возможность восстановить файл образа автозапуска, после того как он открыт в uVS (и uVS еще не закрыт), но с диска файл образа удален?

такой функции нет, файл то попробовать восстановить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

ок, восстановил с помощью R-studio. Причем еще старой версией 5.4 :). GetDATABack 4.33 не увидел удаленный файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

http://forum.esetnod32.ru/forum6/topic15174/

А можно на базе uVS создать программу которая бы автоматически блокировала заданный объект ?

Оператор указывает объект для блокировки по выбору: ЭЦП; SHA1; ИМЯ файла; полный путь; все новые исполняемые объекты  на общих сетевых ресурсах.  т.е. задаёт критерий поиска\обнаружения.

С Возможностью  задействовать сигнатуры  где оператор сможет задать каталоги\Исключение: Windows;  Program Files и т.д. ( или для определённого перечня каталогов задавать исключение по умолчанию )

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, приветствую.

вопрос:

что в данном случае запускается через svchost.exe в командной строке?

C:\Windows\system32\svchost.exe -k netsvcs

netsvcs это системный сервис?

какая может быть в таком запуске угроза для системы, если через этот процесс мы видим что есть внедренные потоки?
 

Цитата

 

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1348], tid=4088

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1348], tid=2144

 

6-8 потоков подобных

 

как следствие, данный процесс является родительским для запуска майнера C:\WINDOWS\SYSTEM32\DLLHOSTEX.EXE

parentid=1348 : C:\WINDOWS\SYSTEM32\SVCHOST.EXE

-----------

образ автозапуска:

https://www.sendspace.com/file/gtxnfq

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

что в данном случае запускается через svchost.exe в командной строке?

загружается сервисная DLL (сервисные модули в uVS) прописанная в реестре, для многих сетевых служб используется именно такая командная строка, можно просмотреть это раздел
хотя вот этот файл C:\WINDOWS\SYSTEM32\WINDOWSRPCHELPER.DLL и вызывает подозрение, но обычно внедрение потоков происходит с помощью процесса в автозапуске.
В uVS посмотреть какому svchost соответствует конкретная DLL невозможно, тут нужна специальная утилита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
27 минут назад, demkd сказал:

загружается сервисная DLL (сервисные модули в uVS) прописанная в реестре, для многих сетевых служб используется именно такая командная строка, можно просмотреть это раздел
хотя вот этот файл C:\WINDOWS\SYSTEM32\WINDOWSRPCHELPER.DLL и вызывает подозрение, но обычно внедрение потоков происходит с помощью процесса в автозапуске.
В uVS посмотреть какому svchost соответствует конкретная DLL невозможно, тут нужна специальная утилита.

угу, по этой dll есть детект:

2019-03-27

Win32/Vools.L

https://www.virustotal.com/gui/file/a84e154efcc32a4c69105f672e900df04acdc81b/detection

можно будет проверить, есть ли эта dll в других подобных случаях

------------------

в другой теме, по этой же сигнатуре попал аналогичный файл, хотя и с другим именем.

HKLM\System\CurrentControlSet\Services\FunctionProtocolService\Parameters\ServiceDLL

C:\WINDOWS\SYSTEM32\FUNCTIONPROTOCOLSERVICE.DLL

размеры файлов одинаковы, SHA1 - отличаются.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

еще в одном примере фигурирует подобная dll

Win64/Vools.P (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2019-03-28

C:\WINDOWS\SYSTEM32\APPLICATIONTIMESYSTEM.DLL

HKLM\System\CurrentControlSet\Services\ApplicationTimeSystem\Parameters\ServiceDLL

-------------

а через procexplorer можно ее увидеть в svchost.exe с известным pid?

(рисунок взят с чистой системы)

procexplorer_threads.jpg.09767d77f2a2ae513ca0819509ebcce3.jpg

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
20 минут назад, santy сказал:

а через procexplorer можно ее увидеть в svchost.exe с известным pid? 

В pe нет, он не показывает загруженные dll, а потоки никак с ней не связаны, во всяком случае в том образе,
dll можно посмотреть или в avz или даже в far, есть еще Svchost Process Analyzer, он немного кривенько работает, но может оказаться полезным.
Вообще да, иногда бывает желание добавить в uVS в каком-то виде сопоставление ключей реестра/служб на базе svchost с конкретными процессами, но там возни много, так что пока как приходит желание так и уходит.
Да и есть сомнения что вообще эта dll, несмотря на массу детектов, не есть обычный майкрософтовский файл... без подписи правда, но такое бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

возможно, что процесс майнера рождается в результате сетевой атаки (и левый dll как результат сетевой атаки). судя по логам антивируса, он что-то выкашивает из вновь создаваемой после перезагрузки папки, с детектами

HEUR:Exploit.Win32.MS17-010.gen C:\Windows\NetworkDistribution\svchost.exe Высокая
26.03.2019 17:32:02 Удалено троянская программа Backdoor.Win32.ShadowBrokers.f C:\Windows\NetworkDistribution\spoolsv.exe

и эта папка C:\Windows\NetworkDistribution фигурирует в других темах

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
20 минут назад, demkd сказал:

Вообще да, иногда бывает желание добавить в uVS в каком-то виде сопоставление ключей реестра/служб на базе svchost с конкретными процессами, но там возни много, так что пока как приходит желание так и уходит.

да, если это возможно, добавить в таких случаях pid процесса здесь

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\APPLICATIONTIMESYSTEM.DLL
Имя файла                   APPLICATIONTIMESYSTEM.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                            
Обнаруженные сигнатуры      
Сигнатура                   Win64/Vools.P (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2019-03-28
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
ВНЕДРЯЕМЫЙ DLL              (СТАТУС ~ АКТИВНЫЙ ВНЕДРЯЕМЫЙ СЕРВИСНАЯ_DLL В АВТОЗАПУСКЕ)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ВНЕДРЯЕМЫЙ сервисная_DLL в автозапуске [SVCHOST]
File_Id                     5C8F3A7225000
Linker                      14.0
Размер                      129024 байт
Создан                      14.07.2009 в 06:31:13
Изменен                     14.07.2009 в 08:39:46
                            
TimeStamp                   18.03.2019 в 06:28:02
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Оригинальное имя            Windows Core  Module
Версия файла                6.3.9600.16384
Версия продукта             6.3.9600.16384
Описание                    Windows Core  Module
Продукт                     Microsoft® Windows® Operating System
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
SHA1                        8E42DB5D1FB3114789A8501CC66C622605D0BD4E
MD5                         5FD6504D1F8CD4C025B240C8DAA8A81E
                            
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\SVCHOST.EXE (pid=nnn)
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ApplicationTimeSystem\Parameters\ServiceDLL
ServiceDLL                  C:\Windows\system32\ApplicationTimeSystem.dll
                            

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
56 минут назад, santy сказал:

возможно, что процесс майнера рождается в результате сетевой атаки

все возможно, но я таки сильно сомневаюсь, скорее стоит копать в сторону того кто запускает процессы из C:\Windows\NetworkDistribution\
у nirsoft вроде была утилита которая показывает кто кого и во сколько запускал, вообще такого тоже не хватает.
 

51 минут назад, santy сказал:

да, если это возможно, добавить в таких случаях pid процесса здесь

в принципе можно и это не сложно, хоть что-то будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dilyaako
      Места для проведения девичников и мальчишников мы искали с помощью данного сайта  https://www.restoclub.ru/msk/search/restorany-dlja-devichnika-i-malchishnika-v-moskve . Мне понравилось, что тут правда есть очень много годных вариантов ресторанов уже сразу с фото и меню. Там же можно найти и всякие рестораны или кондитерские 
    • OliverInfum
      Сим-карта (SIM-карта, через англ. Subscriber Verification Module — модуль идентификации абонента) — идентификационный модуль абонента, применяемый в мобильной связи. сим карты оптом https://optom-sim.ru/ SIM-карты применяются в сетях GSM. Другие современные сотовые тенета обычно также применяют другие модули идентификации, обычно внешне схожие с SIM и выполняющие аналогичные функции — USIM в сетях UMTS, R-UIM в сетях CDMA и пр.В сетях 1G идентификацию абонента в тенета проводили сообразно заводскому номеру сотового телефона — ESN (Electronic Serial Integer). Таким образом, как сотовый телефон, беспричинно и абонент идентифицировались единым кодом. Такой подход порождал полную неволя номера абонента и пакета предоставляемых ему услуг через конкретного экземпляра телефона. Поменяв сотовый телефон (включая случаи поломки и кражи телефона), абонент был вынужден говорить в офис оператора ради того, чтобы телефон перепрограммировали и его серийный часть внесли в базу данных оператора, что некоторые операторы делали платно.
      Бесспорно, сколько более удобна идентификация абонента, независимая через телефона. В стандарте GSM было предложено разделить идентификацию абонента (с помощью SIM-карты) и оборудования (чтобы этого используется IMEI — международный идентификатор мобильного оборудования).Основная функция SIM-карты — хранение идентификационной информации об аккаунте, который позволяет абоненту легко и оживленно менять сотовые аппараты, не меняя около этом свой аккаунт, а простой переставив свою SIM-карту в подобный телефон. Чтобы этого SIM-карта включает в себя микропроцессор с ПО и данные с ключами идентификации карты (IMSI, Ki и т. д.), записываемые в карту для этапе её производства, используемые для этапе идентификации карты (и абонента) сетью GSM.
      Также SIM-карта может сберегать дополнительную информацию, например: телефонную книжку абонента списки ходящих/исходящих/пропущенных телефонных звонков текст входящих/исходящих SMS. В современных телефонах чаще всего эти данные не записываются для SIM-карту, а хранятся в памяти телефона, поскольку SIM-карта имеет довольно жёсткие ограничения на формат и объём хранимых для ней данных. Сим-карта содержит микросхему памяти, поддерживающую шифрование. Существуют карты различных стандартов, с различным размером памяти и разной функциональностью. Обедать карты, для которые около производстве устанавливаются дополнительные приложения (апплеты), такие будто сим-меню, клиенты телебанка, и т. д.
      Для самой карте телефонный часть абонента (MSISDN) в явном виде не хранится, он присваивается сетевым оборудованием оператора быть регистрации сим-карты в путы для основании её IMSI. Сообразно стандарту быть регистрации одной SIM-карты в путы оператор может присвоить ей маломальски телефонных номеров. Все эта возможность требует соответствующей поддержки инфраструктурой оператора (и соответствующих затрат с его стороны), поэтому чаще всего не применяется.
      Около утрате сим-карты абонент вынужден поставить в знаменитый оператора, утерянная карта блокируется, и абоненту выдаётся новая карта (платно или даром, в зависимости через условий оператора). Часть телефона, баланс и все подключённые услуги присутствие этом остаются неизменными, однако совершенно абонентские данные, хранившиеся для SIM-карте, не подлежат восстановлению. Сим-карта устанавливается в SIM-держатель сотового телефона, кто в современных сотовых телефонах обычно располагается почти аккумуляторной батареей. Положение сим-держателя около аккумулятором не позволяет устанавливать/извлекать сим-карту около включённом питании телефона, потому который это может привести к повреждению карты. Четыре формата сим-карт: полноразмерная сим-карта (1FF), mini-SIM (2FF), micro-SIM (3FF) и nano-SIM (4FF). Mini-SIM и micro-SIM обычно поставляются в виде выламываемых частей полноразмерной сим-карты Мини-сим-карта с возможностью лёгкого преобразования её в микро-сим-карту. ICC-код затем выламывания остаётся на микро-сим-карте.
      SIM-карты в ход нескольких десятилетий малопомалу уменьшались в размерах, впрочем сохраняли функциональность и совместимость вне зависимости через формата. Изначально карты выпускались в полноразмерном формате, кроме в виде mini-SIMs. С середины 2000-х внедряются карты форматов micro-SIM. С начала 2010-х — nano-SIM. Урывками, положим в устройствах M2M, функции SIM-карт реализуются встроенной в осуществление микросхемой.
    • Dilyaako
      Уже почти месяц не заказывал рассылку по почте. Так получилось, что раз заказал, но не пошло дело. Потом оказалось ,что не у тех заказывал. В итоге, выбрал других ребят. Ребят из https://dashamail.ru/ . А тут уже пошло поехало, очень понравилось их отношение и работа в целом.
    • Dilyaako
      ребята, а где вы сервера для форекс арендуете?
      я вот присмотрел vps для форекс через компанию СистемХост, думаю, там арендовать. вроде, ценник получается вполне нормальный, тем более, характеристики на нормальном уровне. что скажете по этому поводу?
    • 1kryptik
      Необходим был обмен криптовалюты на рубли, обменял быстро на Ripae, рекомендую всем классный обменный пункт!
×