Перейти к содержанию

Вся активность

This stream auto-updates     

  1. Yesterday
  2. В категории установленные программы необходимо добавить распределение по типу программ. ( актуальных для темы лечения ) Браузеры Антивирусы VPN - Сервисы Порой у некоторых пользователей установлено буквально по 200 программ и сидеть искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...
  3. Последняя неделя
  4. ничего нового --------------------------------------------------------- 4.99.5 --------------------------------------------------------- o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска. Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой. Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки". Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки", после появления меню выберите: Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске, поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция. В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка. При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу". o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть, если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет). (!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе (!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются. (!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы (!) с отрисовкой окон и без удаленного доступа. (!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет. (!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон. o Добавлены новые модули: o файл rein/rein.x64 отвечает за запуск uVS из меню. o файл usvc.x64 отвечает за запуск uVS под LocalSystem. o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem. o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы, запуску uVS и файлового менеджера. o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024). (!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится. (!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt) o Улучшена функция создания загрузочных дисков. ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате, т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI. Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO. Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается. (!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена, (!) флешки теперь мультизагрузочные. o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI. o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать. o Теперь окно лога передачи файла можно свернуть вместе с основным окном. o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически. o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь всегда имеет фиксированное имя "uvsrdp". Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме. o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если при этом исходный файл хотя бы частично попал в файловый кэш. o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки. Уменьшено максимально возможное число файлов в списке для x86 систем до 100000. o uVS теперь совместим со штатной средой восстановления Windows 8. o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit). o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V. o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов" если был выбран режим захвата экрана GDI или DDA1. o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши в удаленную систему. o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило к неправильному расчету координат мыши на виртуальном дисплее удаленной системы. o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки. o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения. o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден"). o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.
  5. Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] - [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO - [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
  6. В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067
  7. И не должен работать, такое удалять разрешено только вручную.
  8. Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
  9. Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически, а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?
  10. Earlier
  11. ESET Cyber Security был обновлён до версии 8.2.3000.
  12. Это можно. Хотя можно ведь просто нажать Enter.
  13. Да, но... ( как мне кажется ) Можно кнопку " Перезагрузить и запустить до запуска эксплорера " поместить после: Проверять весь HKCR ( больше файлов в списке ) на размер это не повлияет, а вот случайно ткнуть уже не выйдет.
  14. тут увы, уже слишком много кнопок, а окошко должно помещаться в экран и при низком разрешении, а будут еще 2 кнопки.
  15. Demkd По поводу интеграции в Windows, бала такая программа ( до санкций ) Antisms там имели место быть ряд полезных функций. В том числе и автоматические действия - ( блокировка файлов по ЭЦП ); Удаляются файлы autorun.inf в корне каждого логического диска и т.д. ------ По поводу меню: Запустить под текущим пользователем и Перезагрузить и запустить до запуска эксплорера Кнопки находятся слишком близко - я уже несколько раз случайно жал не ту кнопу. Мало приятного.
  16. Пока готовится новое обновление, можно ознакомиться с будущей функцией интеграции uVS в меню дополнительных параметров загрузки Windows, аналогичная функция реализована в моем новом проекте dclone для клонирования дисков с максимально возможной скоростью. Интеграция позволяет встроить программу в среду восстановления Windows (которая по умолчанию есть в любой установленной версии Win8-Win11) и работать с неактивной системой из не зараженной среды, во всяком случае пока случаев заражения образа WinRE я лично не наблюдал. Т.е. для работы с неактивной системой больше не нужны загрузочные диски.
  17. Здравствуйте, в новом году выйдет уже 5.0 версия. Адрес сайта вот такой: http://dsrt.dyndns.org:8888/ А обновлять то что работает не надо, там обновляется лишь сам софт.
  18. Только непонятно, почему Дмитрий Кузнецов свой сайт обновлял 11 лет назад?))) Или у меня глюки? Как бы то ни было - это прекрасная прога, большое спасибо за неё!! Жаль, что мало кто оценит такие глубокие познания..
  19. demkd, Здравствуйте, не думал что uVS до сих пор существует!)) Очень приятно. Как вспомню - я его юзал во времена "блокировщиков" - лет 10 назад))) А сейчас сам по дурости убил свою ОС старой версией uVS))) Хорошо, что я давно выучил слово "бэкап" и "бэкап бэкапа")))))))
  20. а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
  21. Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
  22. --------------------------------------------------------- 4.99.4 --------------------------------------------------------- o Исправлена функция автоматического переключения удаленных рабочих столов. Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения от имени администратора не происходило автоматическое переключение на защищенный рабочий стол. (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было). o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS. Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS. Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD. (!) Выявлена проблема совместного использования uVS и системного рабочего стола. (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет (!) отбразить рабочий стол логона пользователя (Winlogon). (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
  23. --------------------------------------------------------- 4.99.3 --------------------------------------------------------- o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы. (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1, (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью (!) старой версии uVS. o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру. (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом. Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой. Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и физическая возможность подключения к удаленному компьютеру. Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования. o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS). o Передаваемые кадры теперь не только сжимаются, но и шифруются, целостность передаваемых файлов защищена проверочным хэшем и шифрованием. o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P. o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP. o Подключение возможно к компьютеру, где активирован VPN. (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется. o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается при начальной настройке. При запуске start.exe теперь вам доступны три новые кнопки: o Управление удаленным компьютером и обмен файлами. Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру. Варианты подключения: o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]). Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию. Если же в списке нет белых IP то вам следует выбрать другую опцию подключения. После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне. При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения. Поддерживается и IPv4 и IPv6. (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт". o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения. o Разовый удаленный доступ к моему компьютеру [админ] (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб. Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать разрешения для другой стороны. Доступны 3 варианта: o Управление - доступно: мышь, клавиатура, просмотр экрана и обмен файлами. o Просмотр - доступно: просмотр экрана и обмен файлами. o Обмен файлами - доступно: обмен файлами. Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del. o Разовый удаленный доступ к моему компьютеру [не админ] Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов. o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны. Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне удаленного рабочего стола нажмите кнопку со стрелкой вверх. Передача изображения автоматически отключится и откроется окно с логом передачи файлов. В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска). По окончании передачи файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и средней скорости передачи. Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете вставить их из буфера в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога. Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\* точный путь до которого выводится в лог на удаленном компьютере. Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера и вы можете перенести их в любую нужную папку. Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования. (!) При закрытии окна лога передача файлов будет остановлена. (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения, (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново. (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки. (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой. (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно (!) сократит время передачи. (!) Состоянии кнопки CS никак не влияет на данный функционал. o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети IPv4 позволяет достичь более высокой скорости передачи данных. o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации. o В случае разрыва соединения повторное подключение происходит автоматически без запроса. o Снижен инпут лаг при работе с удаленным рабочим столом. o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов в обе стороны. o Обновлена функция передачи движений мыши в удаленную систему. Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM) Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше), в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши. При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей клавише RWin. o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS. o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора. Кнопка 1:1 применяется автоматически при первом выборе монитора. Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем, где размер окна включает в себя тень. o Добавлен выбор метода захвата экрана, доступно 3 варианта: o GDI - медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps. (единственный доступный метод для Win2k-Win7) o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия, переменный fps в зависимости от экранной активности. (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2. o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера, работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности. Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров. (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности). (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше (!) из-за низкого коэффициента сжатия. (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше. o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров. (отжатая кнопка соответствует нулевой задержке) Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг, однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить, в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд. Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата. Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале. Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг. Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS. Выбранная цветовая битность теперь тоже сохраняется. o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы, Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно. Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами. o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя. (только если открыто окно удаленного рабочего стола) o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме. (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола, (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана. o Добавлена поддержка браузера Microsoft Edge. o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge. Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений. Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью. Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на отсутствующие файлы. o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта. o Улучшена совместимость с системами с малым количеством оперативной памяти. o Исправлена функция захвата экрана в GDI режиме. o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу. o Исправлена ошибка в функции смены рабочего стола o Исправлены ошибки инициализации COM. o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска. o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом. o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой до повторного открытия окна удаленного рабочего стола. o Исправлена ошибка при открытии окна информации о компьютере. Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение ее производительности. o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или через контекстное меню. (!) Недоступно при работе с образом автозапуска.
  24. Домашние антивирусы для Windows были обновлены до версии 18.0.12.
  25. Онлайн-симулятор Standoff Cyberbones позволяет специалистам по ИБ оттачивать навыки расследования инцидентов на примерах реальных атак, реализованных на кибербитвах Standoff. Симулятор содержит разные типы заданий и подходит даже для начинающих. Standoff Cyberbones призван помочь организациям создать сильные команды по защите ИТ-инфраструктур и подготовиться к отражению угроз. ВведениеЧто такое Standoff Cyberbones2.1. Для кого предназначен Standoff CyberbonesТипы заданий Standoff Cyberbones3.1. Атомарный инцидент3.1.1. Вредоносный файл «wtf.exe»3.1.2. Расследование фишинговой атаки3.2. Критическое событие3.2.1. Реализация критического события3.2.2. Получение доступа через RDP-сессию3.2.3. Дамп LSASS и исследование процесса «rr2.exe»3.2.4. Обнаружение фишингаВыводыВведениеИсследование Positive Technologies показало, что количество кибератак на страны СНГ продолжает расти: во втором квартале 2024 года их было в 2,6 раза больше, чем за аналогичный период 2023 года. По данным компании, 73 % всех нападений пришлись на Россию.Основными причинами роста активности киберпреступников являются успешная цифровизация государств региона и геополитическая нестабильность. Целями хакеров чаще всего становятся государственные учреждения, промышленные предприятия и телекоммуникационные компании. Чтобы противостоять злоумышленникам, необходимо иметь не только передовые средства защиты, но и хорошо подготовленную команду специалистов по ИБ.Как показывает практика, для создания эффективной команды по выявлению угроз и реагированию на них необходимы три составляющие:Регулярная проверка базовых знаний в части ИТ и ИБ.Дополнительное обучение с акцентом на практике.Оттачивание навыков на киберполигонах с применением реальных данных о действиях хакеров. Проверка базовых знаний, как правило, не составляет проблемы, однако второй и третий пункты нередко создают сложности. С одной стороны, в открытом доступе не так просто найти данные о действиях хакеров, основанные на реальных атаках. С другой — тренировки на киберполигоне рассчитаны на опытных специалистов и слаженные команды, а не на новичков. Для того чтобы помочь компаниям в подготовке специалистов по ИБ, мы разработали Standoff Cyberbones.Что такое Standoff CyberbonesStandoff Cyberbones — это онлайн-симулятор для практической подготовки специалистов по ИБ. Задания опираются на данные мониторинга, собираемые во время кибербитв Standoff со средств защиты информации, таких как SIEM, NTA, WAF, Sandbox и др. Упражнения в симуляторе группируются в соответствии с матрицей MITRE ATT&CK и сопровождаются описанием объектов отраслевой инфраструктуры, которых касается та или иная угроза. Рисунок 1. Интерфейс Standoff Cyberbones Рисунок 2. Выбор заданий Для кого предназначен Standoff CyberbonesStandoff Cyberbones — онлайн-симулятор с реальными кейсами, собранными по итогам кибербитвы Standoff. Здесь любой специалист по ИБ может расследовать инциденты в удобное для него время, чтобы лучше понимать, как выявлять подобные ситуации и реагировать на них в повседневной работе.Типы заданий Standoff CyberbonesСимулятор Standoff Cyberbones включает в себя задания двух типов.Первая разновидность — атомарный инцидент. В рамках задач этого типа аналитику необходимо успешно выявить индикаторы компрометации. Например, это могут быть название и полностью определённое доменное имя (fully qualified domain name, FQDN) узла или же данные пользователя, который запустил вредоносный файл.Второй тип — критическое событие. В таком задании специалист сталкивается с несколькими атомарными инцидентами, которые были спровоцированы в инфраструктуре организации. Цель аналитика — восстановить цепочку атаки и сформировать отчёт по итогам расследования.Атомарный инцидентДля наглядности рассмотрим несколько примеров заданий по поиску атомарных инцидентов. Вредоносный файл «wtf.exe» Согласно условию задачи, в интервале между 10:00 22 ноября 2022 года и 18:00 24 ноября 2022 года по московскому времени атакующие доставили в инфраструктуру компании нагрузку в виде файла «wtf.exe». Защитникам необходимо определить FQDN узла с вредоносным объектом.Для решения задачи можно использовать систему класса SIEM и выставить в ней интервал времени, в течение которого по условию произошёл инцидент. Рисунок 3. Настройка интервала в интерфейсе MaxPatrol SIEM Далее необходимо определить поле нормализации, которое поможет обнаружить следы атаки. Поскольку нам известно имя файла, следует указать «wtf.exe» в поле «object.name» и выполнить поиск. Для удобства можно отсортировать результаты по времени — от старых событий к новым. Рисунок 4. Результаты поиска Результаты поиска в SIEM-системе показали, что первым файл «wtf.exe» обнаружила система PT Network Attack Discovery (PT NAD). Затем объект был выявлен на узле «comp-0660.city.stf» — это и есть искомый FQDN, который нужно указать в качестве ответа. Рисунок 5. Результат выполнения задания Успех, задание выполнено.Расследование фишинговой атакиЦелью этого задания является поиск FQDN конечного устройства, на котором пользователь «d_jensen» запустил вредоносный файл. Известно, что тот был прикреплён к электронному письму, открытому 23 ноября 2022 года.Согласно условию нам известно имя пользователя, чьи действия привели к инциденту. Его следует указать в поле нормализации «subject.account.name». Рисунок 6. Поиск событий по имени аккаунта Чтобы сузить охват поиска, можно узнать количество журналов этой учётной записи с помощью оператора группировки по столбцу «event_src.host». Рисунок 7. Добавление дополнительных фильтров Можно добиться ещё более точных результатов, если дополнить фильтр «subject.account.name = "d_jensen"» параметрами «action = "start"» и «object = "process"». Это позволит определить, на каком устройстве указанный пользователь запускал процессы от имени своей учётной записи. Рисунок 8. Запуск процессов от имени пользователя «d_jensen» После этого в результатах поиска отображается только один узел, данные о котором и будут ответом к задаче.Критическое событиеРазберём теперь пример задачи по расследованию критического события. Чтобы выполнить это задание, необходимо проанализировать всю цепочку атаки (kill chain) и заполнить отчёт с указанием каждого шага атакующих. Для начала рассмотрим действия в обратном порядке.Реализация критического событияАтака злоумышленников привела к тому, что они получили доступ к конфиденциальному файлу с именем «resfin.docx». Известно, что документ находился на узле «esoto.uf.city.stf» и был открыт от имени пользователя «r_hewwit_admin». В первую очередь подозрение должно вызвать то, что точкой подключения стал именно «r_hewwit_admin», а не учётная запись с «esoto».Чтобы выяснить это, стоит начать с анализа процесса «winword.exe» программы Microsoft Word. Как видно, пользователь «r_hewwit_admin» открыл указанный файл «resfin.docx». Рисунок 9. Процесс «winword.exe» на узле «esoto.uf.city.stf» Получение доступа через RDP-сессиюАтакующие получили доступ к узлу «esoto.uf.city.stf» с помощью сессии Remote Desktop Protocol (RDP) от имени пользователя «r_hewwit_admin». Именно во время активности этой сессии реализовано критическое событие. Необходимо выяснить, откуда «белые» хакеры узнали данные учётной записи «r_hewwit_admin» для подключения по протоколу RDP. Рисунок 10. Атакующие создали RDP-сессию Рисунок 11. Данные RDP-сессии Дамп LSASS и исследование процесса «rr2.exe»Далее аналитик может заметить событие связанное с дампом LSASS — выгрузкой рабочей памяти одноимённого процесса. Это — популярный среди хакеров способ кражи данных, с помощью которого и был получен доступ к учётной записи «r_hewitt_admin».Обычно для снятия дампа необходимо обладать системными правами, однако в этом случае дамп LSASS был получен при помощи подозрительной утилиты «rr2.exe». Рисунок 12. Изучение утилиты «rr2.exe» Помимо дампа, от имени процесса «rr2.exe» злоумышленники запустили командную строку с системными правами. При этом файл «rr2.exe» был открыт от имени пользователя «l_mayo», который также не обладает повышенными привилегиями. Рисунок 13. Процесс «rr2.exe» Необходимо выяснить, откуда взялась эта утилита, позволившая развить атаку. В поле «object.process.cmdline» можно заметить команду на скачивание файла «rr2.exe» через Wget с подозрительного адреса. Рисунок 14. Загрузка «rr2.exe» с помощью команды PowerShell Осталось найти событие, которое подтверждает повышение привилегий для дампа. Подробный анализ «rr2.exe» показывает, что с его помощью атакующие создали файл «chisel.exe» для построения туннеля. Рисунок 15. Информация о создании файла «chisel.exe» Теперь можно увидеть все команды «белых» хакеров: отображение списка файлов и каталогов, а также управление запланированной задачей и запуск файла «rr.exe». Рисунок 16. Цепочка команд злоумышленников Рисунок 17. Просмотр файлов Рисунок 18. Управление запланированной задачей Как выясняется далее, злоумышленники воспользовались техникой Named Pipe Impersonation и локально повысили свои привилегии в системе. Рисунок 19. Применение техники Named Pipe Impersonation Подробнее узнать о технике Named Pipe Impersonation можно в любом поисковике. Результаты показывают, что аналогичный приём используют в нагрузке Meterpreter для повышения привилегий с помощью команды «getsystem». Рисунок 20. Применение техники Named Pipe Impersonation в Meterpreter Далее рассмотрим процесс, который привёл к созданию файла «rr2.exe». Рисунок 21. Процесс «powershell.exe» создал файл «rr2.exe» Рисунок 22. Команда запуска файла «rr2.exe» Как показывает анализ, файл «rr2.exe» был создан оболочкой PowerShell от имени пользователя «l_mayo». Это свидетельствует о том, что первоначальным вектором атаки, скорее всего, был фишинг.Обнаружение фишингаИзучение процесса «winword.exe» позволяет понять, что через Microsoft Word был открыт файл «cv_resume_1». Вероятно, в документе был размещён вредоносный макрос, который и позволил «белым» хакерам получить доступ к оболочке PowerShell. Рисунок 23. Открытие файла «cv_resume_1» Источник фишингового письма можно обнаружить в песочнице. Поиск по названию документа показывает, что сообщение отправили с адреса «rudnic@city.stf». Рисунок 24. Скомпрометированная учётная запись Там же содержится и вредоносный документ, открытие которого положило начало атаке и позволило получить доступ к узлу «l_mayo.city.stf». Его обнаружение и является решением задачи. Рисунок 25. Исходный вредоносный файл ВыводыАктивность хакеров продолжает нарастать, а значит, бизнес и государственные организации должны задуматься о повышении своей киберустойчивости. Защита каждого конкретного предприятия требует от команды SOC специфических навыков, которые эффективнее всего развиваются на практике.Онлайн-симулятор позволяет обучить специалистов по ИБ с опорой на реальные примеры хакерских атак на различные ИТ-инфраструктуры. С помощью Standoff Cyberbones специалисты могут повышать квалификацию и получать опыт расследования реальных киберинцидентов. В течение месяца с момента запуска бесплатной версии исследователи успешно сдали более 600 заданий. Бесплатно «прокачать» свои навыки можно уже сейчас.Для тех, кто не хочет останавливаться на достигнутом, уже доступна расширенная платная версия: внутри — 70 заданий и 5 расследований, основанных на самых интересных атаках в истории кибербитв Standoff.Реклама, АО "Позитив Текнолоджиз", ИНН 7718668887, 16+Читать далее
  26. Компания ESET (/исэ́т/) — лидер в области информационной безопасности — представляет обновленные продукты для обеспечения еще более мощной защиты домашних устройств Windows, macOS, Android и iOS, а также конфиденциальных данных на них. Теперь пользователям доступны новые функции – многопотоковое сканирование и ESET Folder Guard для защиты папок, а также другие улучшения для защиты устройств домашней сети от программ-вымогателей, фишинга и онлайн-мошенничества. Обновленные решения с улучшенным функционалом помогут защитить устройства от новых сложных киберугроз, которые постоянно развиваются. Несмотря на применение новейших технологий, решения ESET остаются простыми в использовании благодаря платформе ESET HOME для управления безопасностью, доступной для всех основных операционных систем. «Как прогрессивный поставщик цифровых решений по безопасности, ESET стремится всегда быть на шаг впереди злоумышленников. Наши эксперты создали мощные цифровые решения, которые объединяют более чем 30-летний человеческий опыт с искусственным интеллектом, многоуровневыми технологиями по безопасности и облачной защитой. Следуя подходу, направленному на предотвращение угроз, решения ESET обеспечивают конфиденциальность и безопасность, оставаясь при этом удобными, мощными, легкими и быстрыми», — комментирует вице-президент ESET в сегментах продуктов для домашних пользователей и устройств Интернета вещей. Новые функции для более мощной защиты ESET Folder Guard обеспечивает защиту ценных данных пользователей Windows от вредоносных программ и угроз, таких как программы-вымогатели, черви и программы для уничтожения данных. Пользователи могут создать список защищенных папок, файлы которых не могут быть изменены или удалены ненадежными программами. Следует отметить, что новая функция доступна только в премиум-подписке ESET HOME Security Premium. Многопотоковое сканирование улучшает производительность сканирования для многоядерных процессоров, которые используют устройства Windows, путем распределения запросов на сканирование между доступными ядрами ЦП. Потоков сканирования может быть столько, сколько и ядер процессора устройства. Сканер ссылок, доступный в программе ESET Mobile Security, улучшает защиту пользователей мобильных устройств путем блокирования потенциальных атак фишинга с веб-сайтов или доменов из базы данных ESET. Кроме того, это дополнительный уровень защиты для владельцев смартфонов Android, который проверяет каждую ссылку при попытке открытия пользователем. Например, если пользователь получает и открывает фишинговую ссылку в игре, ссылка сначала перенаправляется в программу ESET для проверки, а затем в браузер. Если пользователь использует неподдерживаемый браузер, сканер заблокирует вредоносную ссылку. Важные улучшения существующих функций Обновленная функция «Игровой режим» позволяет пользователям создавать список приложений, после открытия которых запускается игровой режим. Для осторожных игроков также есть новая опция для отображения интерактивных уведомлений при работе игрового режима. Следует отметить, что эта функция предназначена для пользователей, нуждающихся в непрерывном использовании программного обеспечения без всплывающих окон и желают минимизировать использование ресурсов. Функция «Управление паролями» теперь содержит опцию удаленного выхода при входе на других устройствах. Пользователи могут проверить свой пароль со списком взломанных паролей и просмотреть отчет о безопасности, который информирует пользователей об использовании слабых или повторяющихся паролей для сохраненных учетных записей. Управление паролями позволяет использовать программы сторонних разработчиков, такие как дополнительная двухфакторная аутентификация (2FA). Благодаря улучшению защиты устройств Mac, у решений теперь есть новый унифицированный брандмауэр с базовыми и расширенными параметрами настройки в основном графическом интерфейсе в соответствии с различными потребностями пользователей без лишних настроек. Подписки ESET идеально подходят пользователям, которые требуют к базовым функциям безопасности также обеспечить защиту устройств домашней сети и умного дома, безопасность конфиденциальных и личных данных, а также оптимизацию производительности. Подробнее о подписках для домашних пользователей читайте по ссылке. Пресс-выпуск.
  1. Load more activity
×