Перейти к содержанию

Recommended Posts

santy

Привет.

Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска)

или это уже работает сейчас?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
5 минут назад, santy сказал:

Привет.

Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI,

привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

здесь почему то нет потребителя события c5br1lMhB

Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\""

что это может быть? скрипт, который был недоступен на момент создания образа?

запуск майнера был:

C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON

но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)

Цитата

 

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
Имя файла                   .[F5BR1LMHB]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Filter_Name                 f5br1lMhB
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"";
    Filter = "__EventFilter.Name=\"f5br1lMhB\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    EventNamespace = "root\\cimv2";
    Name = "f5br1lMhB";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
    QueryLanguage = "WQL";
};

 

                            

IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
28 минут назад, santy сказал:

Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" 

что это может быть? скрипт, который был недоступен на момент создания образа?

да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.8
---------------------------------------------------------
 o Управление DNS логом вынесено в отдельные твики, #41 и #42.
   DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
   Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
   в последнем случае необходимо перезагрузить систему после 42 твика.
   (Win7 и ниже не поддерживается).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

demkd

А можно автоматически увязать время коннекта и время создания нового файла?

т.е. файл ХХХ.exe   обращался к HT*P://*RE*TIS.COM   с 05.08.2021 - 08:45:59  по 05.08.2021 - 08:47

05.08.2021 - 08:47 создан новый файл\процесс  ХХ1.exe

данные писать в ИНФО.  ( если файла два -  в ИНФО и того и другого файла )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 часов назад, PR55.RP55 сказал:

т.е. файл ХХХ.exe   обращался к HT*P://*RE*TIS.COM   с 05.08.2021 - 08:45:59  по 05.08.2021 - 08:47

такой инфы нет, но если у кокнретного имени указан в инфо процесс то это гарантирует то что именно это процесс именно с этим pid запрашивал разрешение этого имени и на этом все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Nirsoft  выпустил инструмент:  DNSLookupView

Позволяет регистрировать всю активность DNS на устройствах Windows

https://www.nirsoft.net/utils/dns_lookup_view.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
23 минут назад, PR55.RP55 сказал:

Nirsoft  выпустил инструмент:  DNSLookupView

uVS использует тот же источник данных.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

 Я тут не давно встретил встретил интересную тему,  когда можно закрепить программы на панели задач, что даже если их удалить вручную, они будут восстанавливаться после каждой перезагрузке.
Может стоит добавить детект следующего файла, на случай если указаные в нем настройки не по-умолчанию ?

%userprofile%\AppData\Local\Microsoft\Windows\Shell\LayoutModification.xml

Т.е. есть  вероятность, добавления вредоносной программы (adware) или веб-ярлыка, которая будет восстанавливаться после каждой загрузке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, SQx сказал:

Может стоит добавить детект следующего файла, на случай если указаные в нем настройки не по-умолчанию ?

посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

Тема:троян Trojan.Win32.SEPEH.gen
Логи:  https://1drv.ms/u/s!Aguwh-yruJSWmDiEufzPnleDlxAb?e=JNftXj


Могли бы пожалуйста уточнить, если возможно uVS получить шаблон CommandLineTemplate?

WMI:subscription\NTEventLogEventConsumer->SCM Event Log Consumer::[CommandLineTemplate => powershell.exe -NoP -NonI -W Hidden  -E <Encoded Base64 String>]

Похоже, была найдена следующая угроза, которую другие утилиты не видят. Remediation Script for WannaMine Infection
Хотелось иметь более полное описание угрозы в логе uVS.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
18 минут назад, SQx сказал:


Могли бы пожалуйста уточнить, если возможно uVS получить шаблон CommandLineTemplate?

В данном случае его нет, если бы он был, то он был бы в окне информации SCM Event Log Consumer-а, а тут он дефолтный без модификаций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
1 минуту назад, demkd сказал:

В данном случае его нет, если бы он был, то он был бы в окне информации SCM Event Log Consumer-а, а тут он дефолтный без модификаций.

Приветствую Дмитрий,

Могли бы уточнить, если в логе он вредоносный, если нет этого шаблона CommandLineTemplate?
Если не вредоносный, то не понятно, что в логе вредоносное? не понятно на что антивирус Касперского видит как угрозу - Trojan.Win32.SEPEH.gen?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 минуту назад, SQx сказал:

Могли бы уточнить, если в логе он вредоносный, если нет этого шаблона CommandLineTemplate?

приветствую, в логе он стандартный ничего вредоносного в нем нет, причина точно не в нем.
что видит касперский хз, может нащупал внедренный поток в один из файлов, например в vboxnetflt.exe, на который ругается uVS, а может это особенность его работы, я с ним не работал, но лог вообще плохой, масса защищенных файлов, какой-то левый драйвер в safe mode прописан, чистить и чистить его.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

 Спасибо за ответ, похоже статья антивируса Sophos меня ввела в заблуждение.
Запрошу проверить пользователя указанные файлы и запрошу у него лог в безопасном режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Дмитрий,

Похоже я ошибся и не внимательно прочитал статью Sophos:

Легитимная запись: "SCM Event Log Consumer" (type: NTEventLogEventConsumer) + "SCM Event Log Filter"
Вредоносная запись : "SCM Events Log Consumer" (type: CommandLineEventConsumer) + "SCM Events Log Filter"

Прошу прощения, что побеспокойл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
В 9/9/2021 at 2:25 PM, demkd сказал:

например в vboxnetflt.exe,

Приветствую Дмитрий,
Похоже вы были правы из-за этого файла vboxnetflt.exe и возникали проблемы. После его удаление антивирус Kaspersky не ругается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

Мне тут попалась интересная тема, которая может затронуть тысячи роутеров.
https://forum.kasperskyclub.ru/topic/84677-postojanno-vylazit-uvedomlenie-chto-ostanovlen-perehod-na-vredonosnuju-ssylku/page/3/

Как оказалось у многих роутеров указавается доменое имя по умолчанию domain.name
Rostelecom_1.png.804a2c870beb4f955e67403

Получается, что это доменное имя реальное, и оно содержит вренодоносные настройки которые Windows 7/10 автоматически подхвытывают,
http://185.38.111.1/wpad.dat или http://wpad.domain.name/wpad.dat
1.jpg.5758d895ae4bf74cd49126632dd63bcd.j
Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

В качестве решения, необходимо зайти на роутер и поменять домена имя с domain.name на my.router (в качестве примера или другое несуществующее имя домена).
Но было бы не плохо в uVS логах идентифицировать такие случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
21 часов назад, SQx сказал:

Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?

гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
20 часов назад, demkd сказал:

гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.

Мне ЛК, также написали:
 

Цитата

Кроме того, мы рекомендуем использовать эту статью для отключения прокси в Windows.
https://www.windowsdigitals.com/disable-proxy-settings-windows-10-permanently/
Обратите особое внимание на то, что тумблер «Автоматически определять настройки» также должен быть выключен (не так, как описано в статье).

Но пользователь сказал, что не было галочки на "Автоматически определять настройки".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

В моем случае я кажется нашел этот - DhcpDomain папаметр:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6}
    EnableDHCP    REG_DWORD    0x1
    Domain    REG_SZ    
    NameServer    REG_SZ    
    DhcpServer    REG_SZ    192.168.2.1
    Lease    REG_DWORD    0x3f480
    LeaseObtainedTime    REG_DWORD    0x6145e5fe
    T1    REG_DWORD    0x6147e03e
    T2    REG_DWORD    0x61495bee
    LeaseTerminatesTime    REG_DWORD    0x6149da7e
    AddressType    REG_DWORD    0x0
    IsServerNapAware    REG_DWORD    0x0
    DhcpConnForceBroadcastFlag    REG_DWORD    0x0
    DhcpNetworkHint    REG_SZ    8616070797
    RegistrationEnabled    REG_DWORD    0x1
    RegisterAdapterName    REG_DWORD    0x0
    IPAddress    REG_MULTI_SZ    
    SubnetMask    REG_MULTI_SZ    
    DefaultGateway    REG_MULTI_SZ    
    DefaultGatewayMetric    REG_MULTI_SZ    
    DhcpIPAddress    REG_SZ    192.168.2.103
    DhcpSubnetMask    REG_SZ    255.255.255.0
    DhcpDomain    REG_SZ    home
    DhcpNameServer    REG_SZ    192.168.2.1
    DhcpDefaultGateway    REG_MULTI_SZ    192.168.2.1
    DhcpSubnetMaskOpt    REG_MULTI_SZ    255.255.255.0
    DhcpInterfaceOptions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
    DhcpGatewayHardware    REG_BINARY    C0A8020106000000B8D94D42ED7E
    DhcpGatewayHardwareCount    REG_DWORD    0x1

также я могу его пинговать.

>ping -a home

Pinging home.home [192.168.2.1] with 32 bytes of data:
Reply from 192.168.2.1: bytes=32 time=1ms TTL=64
Reply from 192.168.2.1: bytes=32 time=1ms TTL=64

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
14 часов назад, SQx сказал:

Но пользователь сказал, что не было галочки на "Автоматически определять настройки".

а вот это странно, надо будет почитать может еще что-то отключать надо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

https://habr.com/ru/post/214953/

На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке.

Да и уязвимости...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×