uVS - Тестирование

[santy 153]

Привет.

Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска)

или это уже работает сейчас?

 

[demkd 636]

5 минут назад, santy сказал:

Привет.

Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI,

привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.

[santy 153]

здесь почему то нет потребителя события c5br1lMhB

Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\""

что это может быть? скрипт, который был недоступен на момент создания образа?

запуск майнера был:

C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON

но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)

Цитата

 

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
Имя файла                   .[F5BR1LMHB]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Filter_Name                 f5br1lMhB
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"";
    Filter = "__EventFilter.Name=\"f5br1lMhB\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    EventNamespace = "root\\cimv2";
    Name = "f5br1lMhB";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
    QueryLanguage = "WQL";
};

 

                            

IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z

[demkd 636]

28 минут назад, santy сказал:

Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" 

что это может быть? скрипт, который был недоступен на момент создания образа?

да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.

[demkd 636]

---------------------------------------------------------
 4.11.8
---------------------------------------------------------
 o Управление DNS логом вынесено в отдельные твики, #41 и #42.
   DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
   Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
   в последнем случае необходимо перезагрузить систему после 42 твика.
   (Win7 и ниже не поддерживается).

 

[PR55.RP55 83]

demkd

А можно автоматически увязать время коннекта и время создания нового файла?

т.е. файл ХХХ.exe   обращался к HT*P://*RE*TIS.COM   с 05.08.2021 - 08:45:59  по 05.08.2021 - 08:47

05.08.2021 - 08:47 создан новый файл\процесс  ХХ1.exe

данные писать в ИНФО.  ( если файла два -  в ИНФО и того и другого файла )

[demkd 636]

6 часов назад, PR55.RP55 сказал:

т.е. файл ХХХ.exe   обращался к HT*P://*RE*TIS.COM   с 05.08.2021 - 08:45:59  по 05.08.2021 - 08:47

такой инфы нет, но если у кокнретного имени указан в инфо процесс то это гарантирует то что именно это процесс именно с этим pid запрашивал разрешение этого имени и на этом все.

[PR55.RP55 83]

Nirsoft  выпустил инструмент:  DNSLookupView

Позволяет регистрировать всю активность DNS на устройствах Windows

https://www.nirsoft.net/utils/dns_lookup_view.html

[demkd 636]

23 минут назад, PR55.RP55 сказал:

Nirsoft  выпустил инструмент:  DNSLookupView

uVS использует тот же источник данных.
 

[SQx 4]

Приветствую,

 Я тут не давно встретил встретил интересную тему,  когда можно закрепить программы на панели задач, что даже если их удалить вручную, они будут восстанавливаться после каждой перезагрузке.
Может стоит добавить детект следующего файла, на случай если указаные в нем настройки не по-умолчанию ?

%userprofile%\AppData\Local\Microsoft\Windows\Shell\LayoutModification.xml

Т.е. есть  вероятность, добавления вредоносной программы (adware) или веб-ярлыка, которая будет восстанавливаться после каждой загрузке.

[demkd 636]

2 часа назад, SQx сказал:

Может стоит добавить детект следующего файла, на случай если указаные в нем настройки не по-умолчанию ?

посмотрю

[SQx 4]

Приветствую,

Тема:троян Trojan.Win32.SEPEH.gen
Логи:  https://1drv.ms/u/s!Aguwh-yruJSWmDiEufzPnleDlxAb?e=JNftXj


Могли бы пожалуйста уточнить, если возможно uVS получить шаблон CommandLineTemplate?

WMI:subscription\NTEventLogEventConsumer->SCM Event Log Consumer::[CommandLineTemplate => powershell.exe -NoP -NonI -W Hidden  -E <Encoded Base64 String>]

Похоже, была найдена следующая угроза, которую другие утилиты не видят. Remediation Script for WannaMine Infection
Хотелось иметь более полное описание угрозы в логе uVS.

 

[demkd 636]

18 минут назад, SQx сказал:

Могли бы пожалуйста уточнить, если возможно uVS получить шаблон CommandLineTemplate?

В данном случае его нет, если бы он был, то он был бы в окне информации SCM Event Log Consumer-а, а тут он дефолтный без модификаций.

[SQx 4]

1 минуту назад, demkd сказал:

В данном случае его нет, если бы он был, то он был бы в окне информации SCM Event Log Consumer-а, а тут он дефолтный без модификаций.

Приветствую Дмитрий,

Могли бы уточнить, если в логе он вредоносный, если нет этого шаблона CommandLineTemplate?
Если не вредоносный, то не понятно, что в логе вредоносное? не понятно на что антивирус Касперского видит как угрозу - Trojan.Win32.SEPEH.gen?

[demkd 636]

1 минуту назад, SQx сказал:

Могли бы уточнить, если в логе он вредоносный, если нет этого шаблона CommandLineTemplate?

приветствую, в логе он стандартный ничего вредоносного в нем нет, причина точно не в нем.
что видит касперский хз, может нащупал внедренный поток в один из файлов, например в vboxnetflt.exe, на который ругается uVS, а может это особенность его работы, я с ним не работал, но лог вообще плохой, масса защищенных файлов, какой-то левый драйвер в safe mode прописан, чистить и чистить его.

[SQx 4]

 Спасибо за ответ, похоже статья антивируса Sophos меня ввела в заблуждение.
Запрошу проверить пользователя указанные файлы и запрошу у него лог в безопасном режиме.

[SQx 4]

Дмитрий,

Похоже я ошибся и не внимательно прочитал статью Sophos:

Легитимная запись: "SCM Event Log Consumer" (type: NTEventLogEventConsumer) + "SCM Event Log Filter"
Вредоносная запись : "SCM Events Log Consumer" (type: CommandLineEventConsumer) + "SCM Events Log Filter"

Прошу прощения, что побеспокойл.

[SQx 4]

В 9/9/2021 at 2:25 PM, demkd сказал:

например в vboxnetflt.exe,

Приветствую Дмитрий,
Похоже вы были правы из-за этого файла vboxnetflt.exe и возникали проблемы. После его удаление антивирус Kaspersky не ругается.

[SQx 4]

Приветствую,

Мне тут попалась интересная тема, которая может затронуть тысячи роутеров.
https://forum.kasperskyclub.ru/topic/84677-postojanno-vylazit-uvedomlenie-chto-ostanovlen-perehod-na-vredonosnuju-ssylku/page/3/

Как оказалось у многих роутеров указавается доменое имя по умолчанию domain.name

Получается, что это доменное имя реальное, и оно содержит вренодоносные настройки которые Windows 7/10 автоматически подхвытывают,
http://185.38.111.1/wpad.dat или http://wpad.domain.name/wpad.dat

Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?

[SQx 4]

В качестве решения, необходимо зайти на роутер и поменять домена имя с domain.name на my.router (в качестве примера или другое несуществующее имя домена).
Но было бы не плохо в uVS логах идентифицировать такие случае.

[demkd 636]

21 часов назад, SQx сказал:

Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?

гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.

[SQx 4]

20 часов назад, demkd сказал:

гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.

Мне ЛК, также написали:
 

Цитата

Кроме того, мы рекомендуем использовать эту статью для отключения прокси в Windows.
https://www.windowsdigitals.com/disable-proxy-settings-windows-10-permanently/
Обратите особое внимание на то, что тумблер «Автоматически определять настройки» также должен быть выключен (не так, как описано в статье).

Но пользователь сказал, что не было галочки на "Автоматически определять настройки".

[SQx 4]

В моем случае я кажется нашел этот - DhcpDomain папаметр:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6}
    EnableDHCP    REG_DWORD    0x1
    Domain    REG_SZ    
    NameServer    REG_SZ    
    DhcpServer    REG_SZ    192.168.2.1
    Lease    REG_DWORD    0x3f480
    LeaseObtainedTime    REG_DWORD    0x6145e5fe
    T1    REG_DWORD    0x6147e03e
    T2    REG_DWORD    0x61495bee
    LeaseTerminatesTime    REG_DWORD    0x6149da7e
    AddressType    REG_DWORD    0x0
    IsServerNapAware    REG_DWORD    0x0
    DhcpConnForceBroadcastFlag    REG_DWORD    0x0
    DhcpNetworkHint    REG_SZ    8616070797
    RegistrationEnabled    REG_DWORD    0x1
    RegisterAdapterName    REG_DWORD    0x0
    IPAddress    REG_MULTI_SZ    
    SubnetMask    REG_MULTI_SZ    
    DefaultGateway    REG_MULTI_SZ    
    DefaultGatewayMetric    REG_MULTI_SZ    
    DhcpIPAddress    REG_SZ    192.168.2.103
    DhcpSubnetMask    REG_SZ    255.255.255.0
    DhcpDomain    REG_SZ    home
    DhcpNameServer    REG_SZ    192.168.2.1
    DhcpDefaultGateway    REG_MULTI_SZ    192.168.2.1
    DhcpSubnetMaskOpt    REG_MULTI_SZ    255.255.255.0
    DhcpInterfaceOptions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
    DhcpGatewayHardware    REG_BINARY    C0A8020106000000B8D94D42ED7E
    DhcpGatewayHardwareCount    REG_DWORD    0x1

также я могу его пинговать.

>ping -a home

Pinging home.home [192.168.2.1] with 32 bytes of data:
Reply from 192.168.2.1: bytes=32 time=1ms TTL=64
Reply from 192.168.2.1: bytes=32 time=1ms TTL=64

 

[demkd 636]

14 часов назад, SQx сказал:

Но пользователь сказал, что не было галочки на "Автоматически определять настройки".

а вот это странно, надо будет почитать может еще что-то отключать надо

[PR55.RP55 83]

https://habr.com/ru/post/214953/

На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке.

Да и уязвимости...