Перейти к содержанию

Recommended Posts

santy

Привет.

Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска)

или это уже работает сейчас?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
5 минут назад, santy сказал:

Привет.

Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI,

привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

здесь почему то нет потребителя события c5br1lMhB

Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\""

что это может быть? скрипт, который был недоступен на момент создания образа?

запуск майнера был:

C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON

но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)

Цитата

 

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
Имя файла                   .[F5BR1LMHB]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Filter_Name                 f5br1lMhB
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"";
    Filter = "__EventFilter.Name=\"f5br1lMhB\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    EventNamespace = "root\\cimv2";
    Name = "f5br1lMhB";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
    QueryLanguage = "WQL";
};

 

                            

IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
28 минут назад, santy сказал:

Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" 

что это может быть? скрипт, который был недоступен на момент создания образа?

да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.8
---------------------------------------------------------
 o Управление DNS логом вынесено в отдельные твики, #41 и #42.
   DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
   Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
   в последнем случае необходимо перезагрузить систему после 42 твика.
   (Win7 и ниже не поддерживается).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

demkd

А можно автоматически увязать время коннекта и время создания нового файла?

т.е. файл ХХХ.exe   обращался к HT*P://*RE*TIS.COM   с 05.08.2021 - 08:45:59  по 05.08.2021 - 08:47

05.08.2021 - 08:47 создан новый файл\процесс  ХХ1.exe

данные писать в ИНФО.  ( если файла два -  в ИНФО и того и другого файла )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 часов назад, PR55.RP55 сказал:

т.е. файл ХХХ.exe   обращался к HT*P://*RE*TIS.COM   с 05.08.2021 - 08:45:59  по 05.08.2021 - 08:47

такой инфы нет, но если у кокнретного имени указан в инфо процесс то это гарантирует то что именно это процесс именно с этим pid запрашивал разрешение этого имени и на этом все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Nirsoft  выпустил инструмент:  DNSLookupView

Позволяет регистрировать всю активность DNS на устройствах Windows

https://www.nirsoft.net/utils/dns_lookup_view.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
23 минут назад, PR55.RP55 сказал:

Nirsoft  выпустил инструмент:  DNSLookupView

uVS использует тот же источник данных.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

 Я тут не давно встретил встретил интересную тему,  когда можно закрепить программы на панели задач, что даже если их удалить вручную, они будут восстанавливаться после каждой перезагрузке.
Может стоит добавить детект следующего файла, на случай если указаные в нем настройки не по-умолчанию ?

%userprofile%\AppData\Local\Microsoft\Windows\Shell\LayoutModification.xml

Т.е. есть  вероятность, добавления вредоносной программы (adware) или веб-ярлыка, которая будет восстанавливаться после каждой загрузке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, SQx сказал:

Может стоит добавить детект следующего файла, на случай если указаные в нем настройки не по-умолчанию ?

посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

Тема:троян Trojan.Win32.SEPEH.gen
Логи:  https://1drv.ms/u/s!Aguwh-yruJSWmDiEufzPnleDlxAb?e=JNftXj


Могли бы пожалуйста уточнить, если возможно uVS получить шаблон CommandLineTemplate?

WMI:subscription\NTEventLogEventConsumer->SCM Event Log Consumer::[CommandLineTemplate => powershell.exe -NoP -NonI -W Hidden  -E <Encoded Base64 String>]

Похоже, была найдена следующая угроза, которую другие утилиты не видят. Remediation Script for WannaMine Infection
Хотелось иметь более полное описание угрозы в логе uVS.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
18 минут назад, SQx сказал:


Могли бы пожалуйста уточнить, если возможно uVS получить шаблон CommandLineTemplate?

В данном случае его нет, если бы он был, то он был бы в окне информации SCM Event Log Consumer-а, а тут он дефолтный без модификаций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
1 минуту назад, demkd сказал:

В данном случае его нет, если бы он был, то он был бы в окне информации SCM Event Log Consumer-а, а тут он дефолтный без модификаций.

Приветствую Дмитрий,

Могли бы уточнить, если в логе он вредоносный, если нет этого шаблона CommandLineTemplate?
Если не вредоносный, то не понятно, что в логе вредоносное? не понятно на что антивирус Касперского видит как угрозу - Trojan.Win32.SEPEH.gen?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 минуту назад, SQx сказал:

Могли бы уточнить, если в логе он вредоносный, если нет этого шаблона CommandLineTemplate?

приветствую, в логе он стандартный ничего вредоносного в нем нет, причина точно не в нем.
что видит касперский хз, может нащупал внедренный поток в один из файлов, например в vboxnetflt.exe, на который ругается uVS, а может это особенность его работы, я с ним не работал, но лог вообще плохой, масса защищенных файлов, какой-то левый драйвер в safe mode прописан, чистить и чистить его.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

 Спасибо за ответ, похоже статья антивируса Sophos меня ввела в заблуждение.
Запрошу проверить пользователя указанные файлы и запрошу у него лог в безопасном режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Дмитрий,

Похоже я ошибся и не внимательно прочитал статью Sophos:

Легитимная запись: "SCM Event Log Consumer" (type: NTEventLogEventConsumer) + "SCM Event Log Filter"
Вредоносная запись : "SCM Events Log Consumer" (type: CommandLineEventConsumer) + "SCM Events Log Filter"

Прошу прощения, что побеспокойл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
В 9/9/2021 at 2:25 PM, demkd сказал:

например в vboxnetflt.exe,

Приветствую Дмитрий,
Похоже вы были правы из-за этого файла vboxnetflt.exe и возникали проблемы. После его удаление антивирус Kaspersky не ругается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

Мне тут попалась интересная тема, которая может затронуть тысячи роутеров.
https://forum.kasperskyclub.ru/topic/84677-postojanno-vylazit-uvedomlenie-chto-ostanovlen-perehod-na-vredonosnuju-ssylku/page/3/

Как оказалось у многих роутеров указавается доменое имя по умолчанию domain.name
Rostelecom_1.png.804a2c870beb4f955e67403

Получается, что это доменное имя реальное, и оно содержит вренодоносные настройки которые Windows 7/10 автоматически подхвытывают,
http://185.38.111.1/wpad.dat или http://wpad.domain.name/wpad.dat
1.jpg.5758d895ae4bf74cd49126632dd63bcd.j
Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

В качестве решения, необходимо зайти на роутер и поменять домена имя с domain.name на my.router (в качестве примера или другое несуществующее имя домена).
Но было бы не плохо в uVS логах идентифицировать такие случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
21 часов назад, SQx сказал:

Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?

гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
20 часов назад, demkd сказал:

гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.

Мне ЛК, также написали:
 

Цитата

Кроме того, мы рекомендуем использовать эту статью для отключения прокси в Windows.
https://www.windowsdigitals.com/disable-proxy-settings-windows-10-permanently/
Обратите особое внимание на то, что тумблер «Автоматически определять настройки» также должен быть выключен (не так, как описано в статье).

Но пользователь сказал, что не было галочки на "Автоматически определять настройки".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

В моем случае я кажется нашел этот - DhcpDomain папаметр:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6}
    EnableDHCP    REG_DWORD    0x1
    Domain    REG_SZ    
    NameServer    REG_SZ    
    DhcpServer    REG_SZ    192.168.2.1
    Lease    REG_DWORD    0x3f480
    LeaseObtainedTime    REG_DWORD    0x6145e5fe
    T1    REG_DWORD    0x6147e03e
    T2    REG_DWORD    0x61495bee
    LeaseTerminatesTime    REG_DWORD    0x6149da7e
    AddressType    REG_DWORD    0x0
    IsServerNapAware    REG_DWORD    0x0
    DhcpConnForceBroadcastFlag    REG_DWORD    0x0
    DhcpNetworkHint    REG_SZ    8616070797
    RegistrationEnabled    REG_DWORD    0x1
    RegisterAdapterName    REG_DWORD    0x0
    IPAddress    REG_MULTI_SZ    
    SubnetMask    REG_MULTI_SZ    
    DefaultGateway    REG_MULTI_SZ    
    DefaultGatewayMetric    REG_MULTI_SZ    
    DhcpIPAddress    REG_SZ    192.168.2.103
    DhcpSubnetMask    REG_SZ    255.255.255.0
    DhcpDomain    REG_SZ    home
    DhcpNameServer    REG_SZ    192.168.2.1
    DhcpDefaultGateway    REG_MULTI_SZ    192.168.2.1
    DhcpSubnetMaskOpt    REG_MULTI_SZ    255.255.255.0
    DhcpInterfaceOptions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
    DhcpGatewayHardware    REG_BINARY    C0A8020106000000B8D94D42ED7E
    DhcpGatewayHardwareCount    REG_DWORD    0x1

также я могу его пинговать.

>ping -a home

Pinging home.home [192.168.2.1] with 32 bytes of data:
Reply from 192.168.2.1: bytes=32 time=1ms TTL=64
Reply from 192.168.2.1: bytes=32 time=1ms TTL=64

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
14 часов назад, SQx сказал:

Но пользователь сказал, что не было галочки на "Автоматически определять настройки".

а вот это странно, надо будет почитать может еще что-то отключать надо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
×