Обзор услуг кибербезопасности от Kaspersky - Выбор корпоративных средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Обзор услуг кибербезопасности от Kaspersky

Автор AM_Bot, в Выбор корпоративных средств защиты

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано
Обзор услуг кибербезопасности от Kaspersky
Дефицит кадров на рынке ИБ привёл к увеличению количества услуг, предоставляемых как интеграторами, так и вендорами. «Лаборатория Касперского» тоже предлагает ряд сервисов: выявление кибератак, реагирование на инциденты в ИБ, анализ защищённости, мониторинг цифровых рисков и другие.      ВведениеKaspersky Digital Footprint IntelligenceKaspersky Compromise AssessmentKaspersky Security AssessmentKaspersky SOC ConsultingKaspersky Tabletop ExerciseKaspersky Adversary Attack EmulationKaspersky Cybersecurity TrainingKaspersky Managed Detection and ResponseKaspersky Incident ResponseKaspersky Ask The AnalystВыводыВведение«Лаборатория Касперского» активно развивает перечень сервисов по информационной безопасности, предоставляемых ею. Основная предпосылка для этого — недостаток квалифицированных кадров с богатым опытом на рынке ИБ. Так, согласно исследованию Kaspersky, 42 % компаний обращаются к поставщикам управляемых ИБ-услуг (MSSP) в связи с нехваткой собственных специалистов, а 36 % опрошенных отметили недостаток опыта в сфере кибербезопасности внутри своей организации.Услуги, предоставляемые «Лабораторией Касперского», охватывают весь цикл работы с киберугрозами: прогнозирование, предотвращение, обнаружение и реагирование. Рисунок 1. Услуги Kaspersky в соответствии с циклом киберугроз Kaspersky Digital Footprint IntelligenceВ рамках услуги предоставляется комплексный мониторинг цифровых рисков, который помогает компаниям отслеживать свои цифровые активы и обнаруживать угрозы на теневых ресурсах (дипвеб, даркнет и дарквеб).Сервис позволяет оперативно реагировать на возникающие в отношении цифровых активов угрозы, что снижает вероятность нанесения репутационного ущерба бренду, потери доверия клиентов и остановки бизнес-операций в целом.Типы угроз, с которыми работает услуга, включают в себя:угрозы связанные с сетевым периметром, такие как неправильно настроенные службы, незакрытые уязвимости, повреждённые или скомпрометированные ресурсы;угрозы связанные с даркнетом, в том числе схемы мошенничества и планы киберпреступников, украденные кредитные карты, инсайдерская деятельность, продажа доступов и баз данных;угрозы связанные с вредоносным кодом, включая фишинговые атаки, целевые атаки и APT-кампании;утечки данных и конфиденциальной информации, в том числе скомпрометированные учётные записи партнёров, сотрудников и клиентов;неправомерное использование бренда, заключающееся в подделке веб-сайтов компании, учётных записей в соцсетях и мобильных приложений, размещённых в Google Play и App Store.Kaspersky Compromise AssessmentKaspersky Compromise Assessment (CA) позволяет выявить активные кибератаки, а также обнаружить следы прошлых взломов, не зафиксированных и не предотвращённых средствами защиты информации. CA повышает возможности защиты от киберугроз без необходимости инвестировать в дополнительный персонал или экспертизу: обнаруживает и анализирует происходящие в данный момент и произошедшие в прошлом инциденты, а также составляет список систем, затронутых этими инцидентами. Эксперты «Лаборатории Касперского» обеспечивают проактивное обнаружение и расследование целевых атак, чтобы обеспечить безопасность бизнес-активов в любой отрасли.Проведение подобных работ может потребоваться, если есть косвенные признаки, указывающие на взлом инфраструктуры компании. К таким признакам относятся:атака на сети партнёров или подрядчиков;пристальное внимание злоумышленников к сектору экономики, в котором функционирует компания;подозрение на компрометацию сети организации или появление непроверенной информации о таком инциденте.Кроме того, поиск следов компрометации может понадобиться, если есть требование регулятора проводить такие работы на периодической основе или нужна оценка интегрируемой инфраструктуры в процессе слияния и поглощения. Полезен он и после реагирования на инцидент, когда есть необходимость удостовериться, что сеть не взломана другими группировками, использующими иные техники и инструменты.Работы проводятся в несколько этапов: сбор данных, анализ и активный поиск угроз, валидация инцидента и раннее реагирование, подготовка отчётности.По результатам работы сервиса заказчик получает заключение о выявленных следах взлома сети, релевантные аналитические данные и индикаторы компрометации (IoC), рекомендации по устранению последствий и по защите ресурсов от аналогичных атак в будущем.Kaspersky Security AssessmentАнализ защищённости — популярный у многих компаний формат поиска уязвимостей в инфраструктуре и векторов атак, которые могут быть применены злоумышленниками. В сервис от «Лаборатории Касперского» входят как привычное тестирование на проникновение, так и анализ защищённости приложений, промышленных сетей, банкоматов, POS-терминалов и оценка безопасности беспроводных сетей.Результатом работ является подробный отчёт о процессе тестирования, его результатах и обнаруженных уязвимостях, с рекомендациями по их устранению.Анализ защищённости промышленных системЭто направление анализа особенно актуально в связи с участившимися атаками на промышленный сектор. В ходе работ проводится анализ защищённости как всей инфраструктуры АСУ ТП, так и её компонентов.Сервис позволяет выявить недостатки защиты АСУ ТП, обеспечить её соответствие внутренним, отраслевым и государственным стандартам, а также избежать потенциального ущерба и угроз для жизни и здоровья людей за счёт своевременного обнаружения и устранения уязвимостей, которые могут быть использованы при проведении атак на АСУ ТП. Кроме того, проводимые работы дают возможность выявить уязвимости компонентов АСУ ТП, таких как SCADA, ПЛК и другие.Анализ защищённости банкоматов и POS-терминаловСервис позволяет обнаружить уязвимости, использование которых поможет злоумышленникам несанкционированно снимать наличные, проводить неавторизованные транзакции, собирать данные платёжных карт клиентов или проводить DoS-атаки. Также сервис даёт возможность выявить проблемы в системе защиты банкоматов и POS-терминалов, найти неизвестные ранее уязвимости в управляющем ПО банкомата (в т. ч. позволяющие выйти из режима киоска и получить доступ к ОС), проанализировать возможность развития атаки на смежные устройства, процессинговый центр и банковскую сеть.Анализ защищённости приложенийРаботы по анализу защищённости приложений проводятся с использованием методов чёрного, серого и белого ящиков, что позволяет как эмулировать действия внешних злоумышленников, так и разбирать недостатки приложения, зная его код. Также возможно проведение тестирования при включённых и выключенных механизмах превентивной защиты брандмауэра веб-приложений (WAF) для проверки эффективности обнаружения и блокирования атак.Kaspersky SOC ConsultingСоздание собственного центра мониторинга (SOC) — ответственный и долгосрочный проект, который трудно реализовать без экспертной поддержки. Услуга по SOC-консалтингу предназначена для компаний, которые планируют строить и развивать внутренний центр мониторинга. Цель сервиса — разработка дизайн-концепции SOC, которая будет учитывать задачи и инфраструктуру клиента, а также обеспечит эффективную эксплуатацию и дальнейшее развитие центра.В рамках работ решаются следующие задачи:разработка общей концепции SOC в части технических средств, команды и сервисной модели;определение детальной организационно-штатной структуры SOC, ролей, задач, режима работы, программы обучения, планирование численности команды и т. д.;разработка технической архитектуры в части средств самого SOC, источников и потоков данных, смежных и внешних систем;разработка сервисов и процессов SOC, а также соответствующих процедур для их реализации;разработка специфичных сценариев детектирования угроз ИБ (use cases) и реагирования на инциденты (playbooks);разработка метрик и индикаторов (KPI) для контроля эффективности деятельности SOC и шаблонов отчётности для аудиторий разного уровня;разработка стратегии и плана развития SOC, постпроектная поддержка и консультирование.Работы проводятся в несколько этапов, включающих в себя сбор информации, проектирование SOC, сопровождение внедрения и развёртывания технических средств, а также комплексную поддержку и консультирование заказчика в течение оговорённого времени после введения SOC в эксплуатацию. При этом поддерживаются проекты по созданию SOC как на продуктовой линейке решений «Лаборатории Касперского», так и на сторонних разработках.Результатом оказания услуги является согласованная адаптированная концепция, охватывающая все аспекты создания, эксплуатации и развития SOC на основе опыта «Лаборатории Касперского» и лучших практик (best practices).Kaspersky Tabletop ExerciseТренинг Kaspersky Tabletop Exercise помогает улучшать процессы связанные с реагированием на инциденты, а также оптимизировать взаимодействия между командами, участвующими в этих процессах.В рамках тренинга эксперты международной команды «Лаборатории Касперского» GERT (Global Emergency and Response Team) разрабатывают сценарий инцидента, учитывающий актуальный ландшафт угроз, а также специфику компании и производственные нужды. Особенно интересно, что сценарии максимально приближены к реальным и основаны на собственном опыте команды.После этого эксперты распределяют роли среди участников и объясняют им сценарий атаки, а затем проверяют работу команд: соответствуют ли принятые ими решения по устранению последствий инцидентов той стратегии реагирования, которая установлена в компании.Kaspersky Adversary Attack EmulationKaspersky Adversary Attack Emulation позволяет регулярно проверять, насколько хорошо средства детектирования SOC могут обнаруживать атаки, соответствующие различным техникам. Кроме того, с помощью сервиса можно обучать специалистов центра мониторинга и реагирования работе с конкретными сценариями и типами угроз, проверять способность специалистов обнаруживать атаки конкретных APT-группировок и строить карту охвата правил детектирования SOC.Ключевыми преимуществами Kaspersky Adversary Attack Emulation являются широкий набор сценариев с опорой на базу MITRE ATT&CK, возможность комплексной оценки сильных и слабых сторон системы обнаружения и проведение регулярных эмуляций в рамках сервиса.Kaspersky Cybersecurity TrainingПроцесс повышения осведомлённости пользователей стал привычным для компаний с высоким уровнем зрелости. Однако на рынке отмечается дефицит курсов по информационной безопасности для ИТ- и ИБ-специалистов. Немногие учебные центры и онлайн-площадки дают актуальный материал, проверенный на практике, и реальную экспертную поддержку по обучающему контенту.«Лаборатория Касперского» обладает обширным опытом обнаружения и исследования угроз, а также большой экспертной базой. На основе этого опыта сформированы следующие курсы: цифровая криминалистика (стандартный и экспертный курсы), анализ и обратная разработка вредоносных программ (стандартный и экспертный курсы), реагирование на инциденты, YARA, а также курсы посвящённые Kaspersky Anti Targeted Attack (KATA) — администрирование и анализ инцидентов.Kaspersky Managed Detection and ResponseKaspersky MDR представляет круглосуточную управляемую защиту: от мониторинга и проактивного поиска угроз до автоматизированного и управляемого реагирования как на целевые атаки, так и на скрытые угрозы, не использующие вредоносных программ и имитирующие легитимную активность.В рамках решения у клиента есть возможность самостоятельно зарегистрировать инцидент при подозрении на компрометацию для дальнейшей проверки экспертами SOC «Лаборатории Касперского», при условии, что затронутые инцидентом хосты входят в охват мониторинга. Встроенные механизмы искусственного интеллекта (ИИ) в Kaspersky MDR помогают минимизировать число ложноположительных срабатываний и ускорить процесс обработки событий в безопасности. В решение Kaspersky MDR входят: круглосуточный мониторинг и проактивный поиск угроз (Threat Hunting) силами экспертов «Лаборатории Касперского», автоматический поиск угроз с применением IoA-правил, сценарии реагирования и автоматическое реагирование на инциденты, консультации аналитиков SOC «Лаборатории Касперского», обзор всех защищаемых ресурсов с их текущим статусом, консоль управления услугой и отчётами, хранение истории инцидентов в течение одного года, прикладной интерфейс (API) для интеграции с платформами реагирования и автоматизации (IRP / SOAR), хранение необработанной телеметрии в течение трёх месяцев. Рисунок 2. Принцип работы Kaspersky MDR Kaspersky MDR обеспечивается командой SOC «Лаборатории Касперского», эксперты которой обладают многочисленными сертификатами, подтверждающими их высокий уровень экспертизы и знаний в индустрии ИБ: CHFI, CEH, GCFA, OSCP, CISM, OSCE, GNFA, CISA, GCIH, GCTI, CISSP и другими.Kaspersky Incident ResponseKaspersky Incident Response — сервис по реагированию на инциденты в информационной безопасности, начиная с этапа сбора доказательств и заканчивая подготовкой комплексного отчёта с описанием результатов расследования, а также рекомендациями по устранению последствий атаки.Результатом оказания услуги является подробный отчёт о случившемся инциденте, в котором будут:краткое описание инцидента с определением природы атаки и затронутых информационных активов, а также действий по незамедлительному реагированию, углублённый анализ инцидента с полной хронологией событий, анализ действий атакующих и используемых ими инструментов, описание использованных уязвимостей, возможных источников атаки и затронутых сетевых ресурсов, результаты анализа вредоносных программ, заключение о наличии или отсутствии признаков компрометации, рекомендации по устранению последствий атаки и предотвращению подобных атак в будущем.Расследования «Лаборатории Касперского» проводятся высококвалифицированными аналитиками и экспертами команды GERT. Члены GERT — специалисты по управлению инцидентами, компьютерной криминалистике, анализу вредоносного кода, сетевой безопасности и анализу рисков, обладающие широким набором признанных в отрасли сертификатов, таких как GREM, GRID, GCFE, GCFA, eCTHP, eCIR, CISM и другие.Kaspersky Ask The AnalystKaspersky Ask The Analyst — сервис, который будет полезен для дальнейшего повышения уровня кибербезопасности: те организации, у которых нет специалистов с достаточной экспертной квалификацией, будут обеспечены всесторонней коммуникацией с экспертами, а также расширенными возможностями в области анализа угроз и реагирования на инциденты за счёт знаний и ресурсов «Лаборатории Касперского».В рамках сервиса заказчик получает:дополнительную информацию об опубликованных отчётах по сложным угрозам (APT) и вредоносному коду (crimeware),комплексный отчёт об анализе образца / образцов вредоносных программ или других технических индикаторов,анализ вредоносного кода,информацию о конкретной активности в даркнете,информацию по запросам связанным с АСУ ТП (уязвимости, сведения о нормативных требованиях и стандартах, статистика угроз для АСУ ТП и др.).Преимущество услуги — поддержка профессионалов, которая позволит обойтись без поиска и найма узких специалистов, ускорить расследование инцидентов, оперативно реагировать на угрозы и уязвимости, блокируя известные векторы атак.Выводы«Лаборатория Касперского» обладает не только известными продуктами, направленными на обеспечение безопасности систем разного класса, но и международной экспертизой, используя которую можно выстроить защиту как на основании имеющихся в компании компетенций, так и с применением сервисов вендора. При этом компания имеет признание в индустрии, которое подтверждается многочисленными наградами и отзывами клиентов. Экспертиза «Лаборатории Касперского» может применяться в организациях с любым уровнем ИБ и в любой сфере деятельности: в промышленном сегменте, финансовом, ИТ, СМИ и других.

Читать далее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ИИ — полезная штука, но, к сожалению, бесплатные версии, как тот же Google Gemini Flash, тупенькие на уровне 12b моделей, делают колоссальное число ошибок по мелочам. Яблочко от яблони... Мало того, "новое" у них обычно старое с отставанием на год, и это в лучшем случае. Я сейчас как раз занимаюсь новой, уже 3-й версией своего "Клавиатурного помощника". В нём будет поддержка локального ИИ, горячих ИИ-клавиш, голосовых команд, голосового ввода и вспомогательной LLM для переводов, правки текста и т.п. Именно локального ИИ без необходимости обращения в сеть и сопутствующих утечек данных И это не для старого железа — нужно как минимум много памяти и современный процессор, в идеале хотя бы RTX 5060 Ti 16 ГБ в качестве ускорителя. А результат, ну, такой себе. ИИ слишком склонен ошибаться, и доверять ему что-то серьёзное пока не стоит, даже код пишет, который как-то работает, но в нём масса мелких и незаметных ошибок и уязвимостей. 
      Текст исправлен с помощью Google Gemma 4 E4B. 
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Вы сказали: "Найди все новые ключи которые появились 2026 г. и ранее не использовались... Можешь ?"
      *Да, я могу помочь* составить список новых ключей реестра и путей
      автозагрузки, которые вредоносное ПО использует в текущих кампаниях
      (включая модификации 2026 года), маскируясь под легальные системные
      компоненты. ( скопирую частично) :   * *|HKLM\SOFTWARE\Classes\Protocols\Filter|* и *|\Handler|* — новые
          модификации Adware перехватывают протоколы edge:// или msproedg://
          для подмены поисковой выдачи.   * *|HKCU\Software\Microsoft\Windows\CurrentVersion\Lxss|* —
          использование подсистемы WSL для скрытого автозапуска
          Linux-ориентированных рекламных модулей, незаметных для стандартных
          триггеров автозагрузки Windows. Современные зловреды (особенно Adware и майнеры) научились прописываться
      в тихий автозапуск без создания классических ключей |Run| или
      |Services|. Они используют встроенный механизм Windows 10/11 —
      *псевдонимы выполнения приложений*.   * *Суть*: В реестре создается связь в ветке
          |HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths| или через
          механизм |AppXPackage|. Зловред подменяет вызов легальной команды
          (например, при наборе пользователем |notepad| или |calc| в строке
          «Выполнить») и запускает свое тело.
        * *Что добавить в памятку*: Обращать внимание на появление кастомных
          записей в блоке «Псевдонимы приложений» и проверять, куда
          перенаправляются стандартные системные вызовы. 2. Подмена через каталоги |Lxss| (WSL — Windows Subsystem for Linux)
      Это одна из самых опасных современных тенденций, так как многие
      антивирусы до сих пор слабо сканируют Linux-среду внутри Windows.   * *Суть*: Майнеры и стилеры прописывают свой запуск внутри
          дистрибутива WSL (ключ реестра
          |HKCU\Software\Microsoft\Windows\CurrentVersion\Lxss|). При старте
          Windows запускается скрытая фоновая сессия WSL, которая активирует
          ELF-бинарник (Linux-вирус). В логах автозапуска Windows это выглядит
          как легальный старт службы |wsl.exe|, но с хитрыми аргументами.
        * *Что добавить в памятку*: Формула «А+В+С»: если |wsl.exe|
          запускается автоматически с флагами |-d| (конкретный дистрибутив)
          или скрытыми bash-скриптами — это 100% повод для изоляции и проверки
          содержимого виртуального диска VHDX. 3. Продвинутый Timestomping с подделкой под апдейты ОС
      Раньше вирусописатели просто копировали даты у соседних файлов
      (|kernel32.dll| и т.д.). Теперь они действуют умнее:   * *Суть*: Дата создания файла выставляется ровно на день/час крупного
          официального обновления Windows (например, подстраиваются под график
          Patch Tuesday от Microsoft). Аналитик смотрит на лог uVS, видит дату
          (например, |14.10.2025|) и думает: «А, ну это тогда накопительный
          апдейт прилетел, файл чистый».
        * *Что добавить в памятку*: Правило проверки контрольных сумм. Не
          верить датам, даже если они идеально совпадают со временем
          системного обновления. Если у файла из папки |System32| с
          «правильной» датой обновления отсутствует валидная ЭЦП (или статус
          |Цифр. подпись: НЕТ|) — это критический триггер. 4. Атаки типа Living off the Land (LotL) через новые системные утилиты
      Вместо использования заезженных |powershell.exe| или |cmd.exe|, которые
      сейчас жестко блокируются любым EDR/антивирусом, малварь перешла на
      легальные, но редкие утилиты Windows (LOLBins).   * *Суть*: Для скачивания и запуска вредоносного кода используются
          системные компоненты:
            o |curl.exe| (теперь встроен в Windows) — для скрытой загрузки
              полезной нагрузки.
            o |tar.exe| — для распаковки зашифрованных архивов со стилерами
              прямо «на лету».
            o |winget.exe| (Windows Package Manager) — для скачивания
              вредоносных утилит из легальных репозиториев.
        * *Что добавить в памятку*: В uVS нужно тщательно анализировать
          параметры запуска командной строки в Планировщике задач (|TASKS|),
          если там фигурируют |curl|, |tar| или |bitsadmin|, качающие что-то с
          внешних IP-адресов. 6. Скрытые модификации через COM-объекты (COM Hijacking без изменения
      файлов)
      Вместо перезаписи файлов в |System32| или создания явных ключей |Run|,
      малварь перехватывает легальные системные интерфейсы через реестр.   * *Суть*: Зловред прописывает путь к своей вредоносной DLL в ветку
          *|HKCU\Software\Classes\CLSID\{GUID}\InprocServer32|*. При этом
          берется GUID легального и часто используемого компонента Windows
          (например, Проводника, контекстного меню или планировщика). Как
          только система или пользователь совершает обычное действие
          (открывает папку, кликает правой кнопкой мыши), Windows
          автоматически подгружает вредоносную DLL.
        * *Что добавить в памятку*: В uVS такие объекты часто попадают в
          категорию «Подозрительные CLSID» или скрытые расширения оболочки.
          Если в ветке |HKCU| (пользовательский уровень) переопределяется
          системный GUID, который по умолчанию должен жить только в |HKLM|
          (уровень системы) — это явный признак перехвата. 7. Спуфинг цифровой подписи через уязвимости каталогов (Catalog Signing
      Spoofing)
      Малварь научилась обходить базовую проверку подписей, из-за чего в логах
      некоторых утилит файл может ошибочно помечаться как «Подписан Microsoft».   * *Суть*: Используются уязвимости в механизме проверки файлов через
          каталоги безопасности Windows (|.cat| файлы). Вредоносный бинарник
          модифицируется таким образом, что его хэш совпадает с хэшем
          легального файла в базе данных каталогов (используются коллизии или
          специфические уязвимости парсинга).
        * *Что добавить в памятку*: Правило двойной проверки. Если файл
          находится в нетипичном месте (например,
          |C:\Users\...\Temp\svchost.exe|), но uVS или ОС рапортует, что у
          него «Валидная подпись Microsoft» — необходимо принудительно
          отправлять хэш файла на VirusTotal через встроенную функцию uVS или
          проверять подпись сторонними утилитами (например, |Sigcheck| от
          Sysinternals) с проверкой отзывов сертификатов. 8. Эксплуатация механизма «Служб доставки обновлений» браузеров
      (Edge/Chrome Maintenance)
      Рекламное ПО (Adware) и кликеры ушли от создания собственных явных служб
      и теперь паразитируют на легальных планировщиках браузеров.   * *Суть*: Вредоносный скрипт не создает новую задачу в Планировщике.
          Вместо этого он модифицирует параметры /уже существующей/ легальной
          задачи, например, |MicrosoftEdgeUpdateTaskMachineCore|. В
          оригинальную команду дописывается скрытый аргумент
          (аргумент-паразит), который раз в сутки скачивает или запускает
          рекламный модуль. Аналитик видит знакомое имя задачи Edge, видит
          легальный путь к апдейтеру и пропускает её.
        * *Что добавить в памятку*: При анализе задач Планировщика (|TASKS|) в
          uVS нужно смотреть не только на имя файла, но и *полностью
          разворачивать строку аргументов*. Любые добавленные URL-адреса,
          вызовы |cmd /c|, или сторонние пути в параметрах легальных служб
          обновления — это стопроцентный признак компрометации. 10. Фейковые системные переменные в путях автозапуска
      Обман визуального восприятия аналитика через манипуляцию переменными среды.   * *Суть*: В реестре или планировщике путь к файлу прописывается как
          |%SystemRoot%\System32\drivers\malware.sys|. Но перед этим на уровне
          пользователя (|HKCU\Environment|) создается кастомная переменная
          |%SystemRoot%|, которая указывает вовсе не на |C:\Windows|, а на
          |C:\Users\Public\Documents|. В итоге аналитик глазами видит
          «безопасный» системный путь, а система при загрузке идет в скрытую
          пользовательскую папку.
        * *Что добавить в памятку*: Всегда проверять блок «Переменные
          окружения» в начале лога uVS. Любые попытки переопределить
          стандартные переменные вроде |%SystemRoot%|, |%WinDir%| или
          |%ProgramFiles%| на уровне текущего пользователя — это критическая
          угроза.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Сейчас дал ИИ задание напиши скрипт и... Вот:  ( взял Инфо. из одного из старых образов) Скрипт лечения для uVS Чтобы полностью удалить эту службу, связанные с ней файлы и очистить ссылки в реестре, выполните следующий скрипт: text ; uVS v4.15.1 [Script] ; Target OS: Windows ; Удаление вредоносной службы и основного файла апдейтера delref %Network%\C:\PROGRAM FILES (X86)\YONTOO\Y2DESKTOP.UPDATER.EXE ; Удаление исполняемого файла в AppData, вызываемого через параметры службы delref %AppData%\YONTOO\YONTOODESKTOP.EXE ; Принудительное удаление самой службы из реестра delsrv Yontoo Desktop Updater ; Очистка остаточных путей и каталогов Yontoo deldir C:\Program Files (x86)\Yontoo deldir C:\Users\cappu44ino\AppData\Roaming\Yontoo ; Перезагрузка для применения изменений restart --------- Я сильно не увлекался - так для примера.  
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      santy Модели ИИ ( я делал запрос к google ) - есть возможность задать вопрос ( дать задание ) по заранее выбранным настройкам: настройки: yaml [SYSTEM_OVERRIDE] ---------- Код он сам себе напишет :)  Главное задать нужные вопросы и потом попросить\ сохранить настройки в виде кода ) Единственно - не все ИХ модели нормально работают. Результаты тоже нужно проверять... Например:  получить Резюме... По записи - ( как в моём примере в Новые функции ) С заранее заданными параметрами - что нам нужно.  Это и для обучения и для экономии времени и когда оператор устал, для написания отчёта - по работе на семинар, при обсуждении на форуме, анализ новых угроз или появился новый ключ автозапуска; там где есть сомнение - что это... Построить цепочку - чтобы увидеть механику процесса\заражения. Увидеть аномалии - как то, что браузер "подписан" но это ЭЦП не головного офиса - а ЭЦП - пусть и "легитимное" - но смежников.  Аномалии пути; размера; схожесть имени и т.д. Никакие настройки uVS этого не дадут.  Можно увидеть никогда ранее неиспользуемый ключ запуска ( или его нестандартное применение ).  Если железо современное - то возможно? - локальные модели ИИ. Можно попробовать например дать задание: Найди все новые ключи которые появились 2026 г. и ранее не использовались...  
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Как гипотетические варианты действий: ---------------------- - получить детальную расшифровку выбранного антивирусного детекта по результату проверки файла на VT из экрана ИНФО. Здесь я бы обратил внимание на три основных детекта: у Kaspersky, DrWeb, ESET, возможно + Microsoft. - получить расшифровку по цифровой подписи файла, насколько известна, и надежна. -  может стоит продумать свою классификацию детектов, и потом уже на основании данной классификации находить другие примеры/способы запуска и т.п.
×