Universal Virus Sniffer (uVS), Вопросы разработчику

[alamor 69]

Спойлер

--------------------------------------------------------
Проверка файлов по хэшу...
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.WEB\E0F1AA5AE849A43EE123D95E457EFC03\SYSTEM.WEB.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.CORE\D1DA4B8A843EC63BB8BE25F8202BEDC1\SYSTEM.CORE.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM\60B77585C8AA9CFD1B30A64092C81041\SYSTEM.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\MICROSOFT.E4121BBB9#\6209169BB65E8C748CD0CC7904835A65\MICROSOFT.EXCHANGE.UM.UCMAPLATFORM.NI.DLL
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.SECURITY\E629AF2F8417209404342BF320B481BF\SYSTEM.SECURITY.NI.DLL
Дата: 2017-10-18 [n/a]
Детектов: 0 из 11
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\MSCORLIB\F89061884B75DAB0E3967D7221E5290D\MSCORLIB.NI.DLL
Дата: 2017-10-18 [n/a]
Детектов: 0 из 11
Файл был чист на момент проверки.

 

Error:  [Ошибка номер 12002] - что означает? ЧТо слишком долго ждало ответа от сервера и не дождался?

[demkd 619]

43 минут назад, alamor сказал:

Error:  [Ошибка номер 12002] - что означает? ЧТо слишком долго ждало ответа от сервера и не дождался?

Да, это таймаут.

[грум 0]

Здравствуй demkd. Перестала запускаться uVS.

Выдает ошибку.

[demkd 619]

3 часа назад, грум сказал:

Перестала запускаться uVS.

проверить не запущен ли uVS и снять задачу или закрыть окно с ним

или если нужно запускать несколько uVS одновременно снять флажок bFixedName

[грум 0]

22 минут назад, demkd сказал:

проверить не запущен ли uVS

Нет не запущен. Компьютер перезагружал. Такая же ошибка.

Скачал заново, все работает. 

[demkd 619]

10 минут назад, грум сказал:

Скачал заново, все работает. 

значит uvsz по каким-то причинам не читался или был поврежден.

[грум 0]

2 минуты назад, demkd сказал:

значит uvsz по каким-то причинам не читался или был поврежден.

Вроде разобрался в чем дело. uVS перестал запускаться с рабочего стола. А из корня нормально. Буду разбираться почему так стало. Ничего вроде не делал. Только запускал uVS на виртуалке. После этого и началось.

[santy 153]

demkd, приветствую.

вопрос: есть ли риск при сетевом подключении к удаленному компутеру с помощью uVS  передачи парольного хэша, скажем активному специализированному трояну, типа mimikatz, поторый мониторит подключения на противоположной стороне?

 

[demkd 619]

4 часа назад, santy сказал:

вопрос: есть ли риск при сетевом подключении к удаленному компутеру с помощью uVS  передачи парольного хэша, скажем активному специализированному трояну, типа mimikatz, поторый мониторит подключения на противоположной стороне?

uVS сам не занимается передачей пароля по сети или его хэша ни в каком виде, а вызывает функцию api для подключения, т.е. если троян (на машине что осуществляет подключение) перехватывает вызов этой функции то он получает не то что хеш а сам пароль, а на удаленной машине uVS не получает ни хэш ни пароль.

[santy 153]

7 часов назад, demkd сказал:

uVS сам не занимается передачей пароля по сети или его хэша ни в каком виде, а вызывает функцию api для подключения, т.е. если троян (на машине что осуществляет подключение) перехватывает вызов этой функции то он получает не то что хеш а сам пароль, а на удаленной машине uVS не получает ни хэш ни пароль.

demkd,

имею ввиду, что троян находится на удаленной машине, к которой  юзер с чистой машины подключается с привилегиями администратора на удаленной машине.

при интерактивном входе на рабочий стол, на исследуемой машине остается профиль учетной записи исследователя, с которой было подключение, и здесь утилиты типа mimikatz, если они запущены (на исследуемой по сети машине), могут получить и парольный хэш, и сам пароль в чистом виде,

http://blog.gentilkiwi.com/mimikatz

в случае подключения uVS я не обращал внимание, остается на удаленной машине профиль учетной записи, с которой было подключение, или нет. Возможно, при сетевом входе на удаленную машину, он не создается на удаленной машине.

[santy 153]

demkd,

за счет чего uVS здесь обнаружил руткитный драйвер, загружающий в систему майнер?

https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection

в этой теме

https://forum.drweb.com/index.php?showtopic=329197

антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?

[demkd 619]

12 часов назад, santy сказал:

антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?

драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.

[demkd 619]

Разобрал логи почтовой рассылки, почтовики на базе icloud и rambler почту отпинывают, так что кому нужна рассылка пинайте ихних админов

[santy 153]

demkd,

есть такая возможность восстановить файл образа автозапуска, после того как он открыт в uVS (и uVS еще не закрыт), но с диска файл образа удален?

(причем открыт неупакованный в архив файл образа TXT)

[demkd 619]

24 минут назад, santy сказал:

есть такая возможность восстановить файл образа автозапуска, после того как он открыт в uVS (и uVS еще не закрыт), но с диска файл образа удален?

такой функции нет, файл то попробовать восстановить

[santy 153]

ок, восстановил с помощью R-studio. Причем еще старой версией 5.4 :). GetDATABack 4.33 не увидел удаленный файл.

[PR55.RP55 82]

Demkd

http://forum.esetnod32.ru/forum6/topic15174/

А можно на базе uVS создать программу которая бы автоматически блокировала заданный объект ?

Оператор указывает объект для блокировки по выбору: ЭЦП; SHA1; ИМЯ файла; полный путь; все новые исполняемые объекты  на общих сетевых ресурсах.  т.е. задаёт критерий поиска\обнаружения.

С Возможностью  задействовать сигнатуры  где оператор сможет задать каталоги\Исключение: Windows;  Program Files и т.д. ( или для определённого перечня каталогов задавать исключение по умолчанию )

 

 

[santy 153]

demkd, приветствую.

вопрос:

что в данном случае запускается через svchost.exe в командной строке?

C:\Windows\system32\svchost.exe -k netsvcs

netsvcs это системный сервис?

какая может быть в таком запуске угроза для системы, если через этот процесс мы видим что есть внедренные потоки?
 

Цитата

 

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1348], tid=4088

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1348], tid=2144

 

6-8 потоков подобных

 

как следствие, данный процесс является родительским для запуска майнера C:\WINDOWS\SYSTEM32\DLLHOSTEX.EXE

parentid=1348 : C:\WINDOWS\SYSTEM32\SVCHOST.EXE

-----------

образ автозапуска:

https://www.sendspace.com/file/gtxnfq

 

[demkd 619]

1 час назад, santy сказал:

что в данном случае запускается через svchost.exe в командной строке?

загружается сервисная DLL (сервисные модули в uVS) прописанная в реестре, для многих сетевых служб используется именно такая командная строка, можно просмотреть это раздел
хотя вот этот файл C:\WINDOWS\SYSTEM32\WINDOWSRPCHELPER.DLL и вызывает подозрение, но обычно внедрение потоков происходит с помощью процесса в автозапуске.
В uVS посмотреть какому svchost соответствует конкретная DLL невозможно, тут нужна специальная утилита.

[santy 153]

27 минут назад, demkd сказал:

загружается сервисная DLL (сервисные модули в uVS) прописанная в реестре, для многих сетевых служб используется именно такая командная строка, можно просмотреть это раздел
хотя вот этот файл C:\WINDOWS\SYSTEM32\WINDOWSRPCHELPER.DLL и вызывает подозрение, но обычно внедрение потоков происходит с помощью процесса в автозапуске.
В uVS посмотреть какому svchost соответствует конкретная DLL невозможно, тут нужна специальная утилита.

угу, по этой dll есть детект:

2019-03-27

Win32/Vools.L

https://www.virustotal.com/gui/file/a84e154efcc32a4c69105f672e900df04acdc81b/detection

можно будет проверить, есть ли эта dll в других подобных случаях

------------------

в другой теме, по этой же сигнатуре попал аналогичный файл, хотя и с другим именем.

HKLM\System\CurrentControlSet\Services\FunctionProtocolService\Parameters\ServiceDLL

C:\WINDOWS\SYSTEM32\FUNCTIONPROTOCOLSERVICE.DLL

размеры файлов одинаковы, SHA1 - отличаются.

 

 

[santy 153]

еще в одном примере фигурирует подобная dll

Win64/Vools.P (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2019-03-28

C:\WINDOWS\SYSTEM32\APPLICATIONTIMESYSTEM.DLL

HKLM\System\CurrentControlSet\Services\ApplicationTimeSystem\Parameters\ServiceDLL

-------------

а через procexplorer можно ее увидеть в svchost.exe с известным pid?

(рисунок взят с чистой системы)

 

[demkd 619]

20 минут назад, santy сказал:

а через procexplorer можно ее увидеть в svchost.exe с известным pid? 

В pe нет, он не показывает загруженные dll, а потоки никак с ней не связаны, во всяком случае в том образе,
dll можно посмотреть или в avz или даже в far, есть еще Svchost Process Analyzer, он немного кривенько работает, но может оказаться полезным.
Вообще да, иногда бывает желание добавить в uVS в каком-то виде сопоставление ключей реестра/служб на базе svchost с конкретными процессами, но там возни много, так что пока как приходит желание так и уходит.
Да и есть сомнения что вообще эта dll, несмотря на массу детектов, не есть обычный майкрософтовский файл... без подписи правда, но такое бывает.

[santy 153]

возможно, что процесс майнера рождается в результате сетевой атаки (и левый dll как результат сетевой атаки). судя по логам антивируса, он что-то выкашивает из вновь создаваемой после перезагрузки папки, с детектами

HEUR:Exploit.Win32.MS17-010.gen C:\Windows\NetworkDistribution\svchost.exe Высокая
26.03.2019 17:32:02 Удалено троянская программа Backdoor.Win32.ShadowBrokers.f C:\Windows\NetworkDistribution\spoolsv.exe

и эта папка C:\Windows\NetworkDistribution фигурирует в других темах

 

 

 

[santy 153]

20 минут назад, demkd сказал:

Вообще да, иногда бывает желание добавить в uVS в каком-то виде сопоставление ключей реестра/служб на базе svchost с конкретными процессами, но там возни много, так что пока как приходит желание так и уходит.

да, если это возможно, добавить в таких случаях pid процесса здесь

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\APPLICATIONTIMESYSTEM.DLL
Имя файла                   APPLICATIONTIMESYSTEM.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                            
Обнаруженные сигнатуры      
Сигнатура                   Win64/Vools.P (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2019-03-28
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
ВНЕДРЯЕМЫЙ DLL              (СТАТУС ~ АКТИВНЫЙ ВНЕДРЯЕМЫЙ СЕРВИСНАЯ_DLL В АВТОЗАПУСКЕ)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ВНЕДРЯЕМЫЙ сервисная_DLL в автозапуске [SVCHOST]
File_Id                     5C8F3A7225000
Linker                      14.0
Размер                      129024 байт
Создан                      14.07.2009 в 06:31:13
Изменен                     14.07.2009 в 08:39:46
                            
TimeStamp                   18.03.2019 в 06:28:02
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Оригинальное имя            Windows Core  Module
Версия файла                6.3.9600.16384
Версия продукта             6.3.9600.16384
Описание                    Windows Core  Module
Продукт                     Microsoft® Windows® Operating System
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
SHA1                        8E42DB5D1FB3114789A8501CC66C622605D0BD4E
MD5                         5FD6504D1F8CD4C025B240C8DAA8A81E
                            
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\SVCHOST.EXE (pid=nnn)
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ApplicationTimeSystem\Parameters\ServiceDLL
ServiceDLL                  C:\Windows\system32\ApplicationTimeSystem.dll
                            

 

[demkd 619]

56 минут назад, santy сказал:

возможно, что процесс майнера рождается в результате сетевой атаки

все возможно, но я таки сильно сомневаюсь, скорее стоит копать в сторону того кто запускает процессы из C:\Windows\NetworkDistribution\
у nirsoft вроде была утилита которая показывает кто кого и во сколько запускал, вообще такого тоже не хватает.
 

51 минут назад, santy сказал:

да, если это возможно, добавить в таких случаях pid процесса здесь

в принципе можно и это не сложно, хоть что-то будет