Jump to content

Recommended Posts

Здравствуйте!

Месяц назад столкнулся с вирусом, который в процессе своей установки отключает (выгружает) процесс антивируса и антивирус сообщает, что необходима переустановка. Ручная очистка компьютера с загрузочной флешки возвращает функциональность антивируса, правда он при этом сбрасывает настройки в заводские. 

Тема про лечение вируса тут: https://forum.kasperskyclub.ru/index.php?showtopic=58277

Share this post


Link to post

Здравствуйте, 

Уточните, пожалуйста, на данный момент проблема воспроизводится?

Спасибо!

Share this post


Link to post
3 минуты назад, Nikolay Arinchev сказал:

Уточните, пожалуйста, на данный момент проблема воспроизводится?

Здравствуйте.

Да, в настоящее время зловред работает на компьютере. Каждую ночь он проникает повторно, мы параллельно ищем способ предотвращения его проникновения.

Share this post


Link to post

Уточните, пожалуйста, полная проверка детектирует что-либо?

Помогли ли вам советы в ветеке, где вы создали запрос изначально?

Спасибо!

Share this post


Link to post

Полная проверка не запускается, по причине того, что зловред не позволяет антивирусу запуститься. Запущенный KVRT вируса также не видит, а вирлаб упорно не хочет признавать в файле зловреда.

Советы, указанные в ветке по лечению (кроме рекомендации о смене паролей), пользы не принесли.

Share this post


Link to post

Да, пробовал. Вирус не обнаруживается. 

Share this post


Link to post

Я склонен считать, что процесс заражения инициируется при помощи сервера RDP/RDS через интернет (на указанном сервере открыт порт RDP (нестандартный)). Злоумышленник или некое ПО подключается к серверу, получает ограниченный доступ, а затем повышает свои привилегии и производит установку вредоносного ПО. 

По крайней мере именно так выглядит ситуация для меня. 

Share this post


Link to post

Уточните, пожалуйста, закрыть RDP хотя бы временно, в целях диагностики возможно?

Спасибо!

Share this post


Link to post

Да, сегодня на ночь RDP отключим. Именно ночью заражения и происходит. 

Share this post


Link to post
9 hours ago, vimin said:

Полная проверка не запускается, по причине того, что зловред не позволяет антивирусу запуститься. Запущенный KVRT вируса также не видит, а вирлаб упорно не хочет признавать в файле зловреда.

Советы, указанные в ветке по лечению (кроме рекомендации о смене паролей), пользы не принесли.

Здравствуйте.

Не вполне понятно, о каком конкретно файле речь. Какой файл отправлялся в Вирусную лабораторию? Известен ли номер KLAN? Что дает основание предполагать, что именно этот файл является вредоносным?

Какая используется версия KES? Включена ли самозащита, парольная защита остановки программы?

Спасибо.

Share this post


Link to post

Попробую внести ясность. После заражения на компьютере устанавливается драйвер KProcessHacker (файл x64.sys), служба "Plug-and-Play Service 1.0" (файл umpnpsvc.exe), а также набор библиотек выполняющих крипто-майнинг (файлы имеют псевдо-случайное имя и расширение). После своего запуска, служба Plug-and-Play Service 1.0, при помощи "легитимного" драйвера KProcessHacker блокируется запуск антивирусов, а затем производит внедрение кода библиотек крипто-майнинга в легитимные процессы (services.exe, winlogon.exe и т.д.). Это не однозначный вердикт, я возможно ошибаюсь, т.к. не являюсь вирусным аналитиком, но в подтверждение своей теории могу констатировать, что на мой взгляд система возвращается к нормальной работе, именно после удаления регистрации указанных выше службы и драйвера и их файлов. Разумеется это производится с загрузочного носителя, так как попытка завершения вредоносного процесса приводит к перезагрузке ОС.

Прошлые запросы в вирлаб не сохранились, но я отправил новые и получил тот же вердикт - все чисто (KLAN-7545229932 и KLAN-7545231724).

Используемая версия антивируса 10.2.4.674, самозащита естественно включена, пароль на остановку программы не помогает.

Edited by vimin

Share this post


Link to post
2 hours ago, vimin said:

Попробую внести ясность. После заражения на компьютере устанавливается драйвер KProcessHacker (файл x64.sys), служба "Plug-and-Play Service 1.0" (файл umpnpsvc.exe), а также набор библиотек выполняющих крипто-майнинг (файлы имеют псевдо-случайное имя и расширение). После своего запуска, служба Plug-and-Play Service 1.0, при помощи "легитимного" драйвера KProcessHacker блокируется запуск антивирусов, а затем производит внедрение кода библиотек крипто-майнинга в легитимные процессы (services.exe, winlogon.exe и т.д.). Это не однозначный вердикт, я возможно ошибаюсь, т.к. не являюсь вирусным аналитиком, но в подтверждение своей теории могу констатировать, что на мой взгляд система возвращается к нормальной работе, именно после удаления регистрации указанных выше службы и драйвера и их файлов. Разумеется это производится с загрузочного носителя, так как попытка завершения вредоносного процесса приводит к перезагрузке ОС.

Прошлые запросы в вирлаб не сохранились, но я отправил новые и получил тот же вердикт - все чисто (KLAN-7545229932 и KLAN-7545231724).

Используемая версия антивируса 10.2.4.674, самозащита естественно включена, пароль на остановку программы не помогает.

Описанное здесь (и на форуме фан-клуба) поведение похоже на целевую атаку. Для предотвращения и выявления таких инцидентов ЛК предлагает комплекс KATAP (Kaspersky Anti Targeted Attack Platform); к сожалению, это довольно ресурсоемкое решение. Средствами KES можно попробовать ограничить активность вредоносного ПО, однако вероятно, что для получения административных привилегий используется некоторая уязвимость ОС.

Для продолжения исследования проблемы рекомендуется создать инцидент в CompanyAccount.

Спасибо.

 

Share this post


Link to post

EMET 5.52 стоит на сервере? Если нет, то можно попробовать. Только будьте готовы что при включении всех защитных механизмов процентов на 20 упадет производительность. Также я замечал что иногда начинает падать 1С - для неё приходится делать индивидуальные настройки.

Совет дан, т.к. вы явно указали на Windows Server 2008R2. На Windows Server 2012/ 2012R2 он дает меньше эффекта, т.к. часть защитных механизмов уже по-умолчанию включены, а на Windows Server 2016 (Windows 10 всех редакций) и новее от него нет толку, т.к. в самой ОС реализованы более современные и расширенные защитные механизмы.

Клиентские ОС тоже защищает, в частности полезен и применим на Windows XP-8.1. На Windows 10 или ОС старее Windows XP ставить не следует.

Edited by Kommunist7304

Share this post


Link to post
13 часов назад, Kirill Tsapovsky сказал:

Описанное здесь (и на форуме фан-клуба) поведение похоже на целевую атаку. Для предотвращения и выявления таких инцидентов ЛК предлагает комплекс KATAP (Kaspersky Anti Targeted Attack Platform); к сожалению, это довольно ресурсоемкое решение. Средствами KES можно попробовать ограничить активность вредоносного ПО, однако вероятно, что для получения административных привилегий используется некоторая уязвимость ОС.

А что Вы вкладываете в термин "целевая атака"? Атака на конкретный компьютер? На организацию, где этот компьютер используется? На используемую версию ОС? Возможно я не вижу всю картинку целиком, но пока создается впечатление, что целью является получение ресурсов максимально возможного числа компьютера для организации ботнета и "добычи" крипто-валюты. Как я говорил ранее, я не являюсь вирусным аналитиком, однако по динамике развития инцидента полагаю, что некое программное обеспечение (возможно размещенное на таких же зараженных компьютерах) занимается сканированием сетей и поиском уязвимых компьютеров, которые в автоматическом режиме пытается "взломать и заразить". В пользу этого факта является появление детектов со стороны более-менее известных антивирусных вендоров (ESET, DrWeb и т.д.), а значит данное ПО использовали и против других компьютеров и организаций. 

Мне хотелось бы получить еще один ответ. Ранее я указывал идентификаторы запросов в вирлаб (KLAN) и мне очень интересно есть ли какие-то подвижки в анализе этих запросов. Указанные файлы антивирусом Касперского не определяются как вредоносные, однако определяются другими вендорами. Я всегда был лоялен продуктам Лаборатории Касперского, однако факт, что спустя месяц (или уже больше) вредоносные (на мой взгляд) файлы не определяются меня настораживает. Это может говорить или о том, что файлы не вредоносные или о том, что в процесс обработки вкралась ошибка. Прошу разъяснить этот момент.

12 часов назад, Kommunist7304 сказал:

EMET 5.52 стоит на сервере? Если нет, то можно попробовать.

Нет, но предложение интересное, спасибо. Хотя по-хорошему, наверное, надо обновляться до WinSrv2016, все равно поддержка для WinSrv2008R2 уже скоро закончится.

PS: Уже после отправки сообщения нашел на сайте Microsoft, что поддержка EMET будет прекращена летом 2018 и клиентам также рекомендуется обновиться до Win10. Чтд.

Edited by vimin

Share this post


Link to post
13 часов назад, Kirill Tsapovsky сказал:

Средствами KES можно попробовать ограничить активность вредоносного ПО

Как понимаю главный вопрос ТС, почему по факту KES оказался бесполезным? То есть злоумышленних без труда каждую ночь удалённо обходит самозащиту антвируса и отключает его. а KES спокойно это позволяет? Если бы через уявимость ОС постоянно забрасывали вирусню, а KES её удалял/отбивал атаки и т.д. по кругу, то было бы понятно. А так конечно можно поставить EMET или другие защитные решения или вообще перейти на другой антивирус... который способен себя защитить.

Share this post


Link to post

И врядли для того чтобы установить на компьютер майнер используют APT.

Share this post


Link to post
13 минут назад, regist сказал:

Как понимаю главный вопрос ТС, почему по факту KES оказался бесполезным?

На самом деле я просто хочу понимание того, что произошло с компьютером. Потому что в целях эксперимента я ставил Dr.Web для серверов и результат был тот же самый, самозащита не помогла и антивирус был отключен. Я прекрасно понимаю, что вирусописатели не сидят на месте, существует немалое количество неизвестных пока еще уязвимостей и антивирус не панацея (на память почему-то приходит Lovesan\MsBlast). И мне важно не виноватого искать (антивирус, уязвимая ОС, неправильные настройки при администрировании), а предотвратить повторение инцидента и однозначно убедиться, что на компьютере не осталось компонентов вируса и "черных ходов". Только недавно я понял, что драйвер KProcessHacker это не наследие от прошлых процедур администрирования, а просто компонент вируса, который вполне возможно и использовался для отключения самозащиты антивируса. Поэтому я так настойчиво и интересуюсь по поводу указанных запросов в вирлаб.

Share this post


Link to post

Здравствуйте,

вы используете KES с ограниченной поддержкой.

На серверной ОС рекомендуется использовать KSWS 10 c последними патчами.

Вы отпаравляли подозрительные файлы на анлиз вирусным аналитикам.

Но уверенности нет, что именно эти файлы являются вредоносными, а не другие.

Сотрудники техподдержки не могут сделать официальных заключений  о реальности проникновения, вредоносных файлах и о сценарии проникновения в сеть.

Если вы заинтересованы в расследовании инцедента, то можно воспользоваться сервисом - https://www.kaspersky.ru/enterprise-security/cybersecurity-services

По номерам KLAN мы запросили информацию.

Спасибо.

 

 

Share this post


Link to post

Здравствуйте, vimin.

Очень интересная у Вас история.

Действительно ли на сервер установлены все необходимые обновления, пусто ли, если посмотреть в KSC в свойствах сервера в Информация о системе > Неустановленные обновления?

Учётные записи (локальные и доменные), с использованием которых разрешён вход в систему по RDP, легко ли угадываемы (может стоит подкрутить политику по сложности паролей)?

 

Edited by yurasek

Share this post


Link to post

Здравствуйте yurasek .

5 минут назад, yurasek сказал:

Действительно ли на сервер установлены все необходимые обновления, пусто ли, если посмотреть в KSC в свойствах сервера в Информация о системе > Неустановленные обновления?

В данной инфраструктуре не используется консоль администрирования, только KES, обновления на него установлены все, однако это не помогает. 

8 минут назад, yurasek сказал:

Учётные записи (локальные и доменные), с использованием которых разрешён вход в систему по RDP, легко ли угадываемы (может стоит подкрутить политику по сложности паролей)?

Дело не в паролях, следы перебора я не обнаружил и неавторизованных (или подозрительных) входов на сервер также не нашел.

32 минуты назад, Dmitry Eremeev сказал:

Но уверенности нет, что именно эти файлы являются вредоносными, а не другие.

100% уверенности не было, но была уверенность на личном опыте + детекты от других достаточно известных антивирусов. К тому же вирлаб только что подтвердил мои предположения:  HackTool.MSIL.Agent.gnl и Trojan.MSIL.Miner.vwt . Это свежие вердикты, у Вас должны быть копии этих писем, если судить по заголовкам.

34 минуты назад, Dmitry Eremeev сказал:

Сотрудники техподдержки не могут сделать официальных заключений  о реальности проникновения, вредоносных файлах и о сценарии проникновения в сеть.

Официальных заключений я не прошу, это форум пользователей и мне достаточно предварительного заключения от специалиста. 

Share this post


Link to post

Добрый день. 

Детектирование будет включено в очередное обновление антивирусных баз. Спасибо за образцы. 

Share this post


Link to post

vimin Dmitry Eremeev Kirill Tsapovsky Nikolay Arinchev у продуктов ЛК есть какая-то уязвимость?  Аналогичная проблема наблюдается на Servere 2012 с KSOS 5, где вирус спокойно вырубает антивирус и маскируется под одну из системных служб.

Share this post


Link to post

vimin Насчет снятия с поддержки EMET 31 июля 2018 года:

Ну как бы понятно что они не выпустят новую версию, т.к. давно уже об этом сообщили, но по большому счету и выбора у пользователей кроме перехода на Windows Server 2016 и Windows 10 в плане добавления функционала защиты "из коробки" тоже нет.

Либо использовать сторонние решения для актуальности защитных механизмов, либо быть готовым к рискам. 100% вероятности защиты никто не дает, поэтому приходится комбинировать защитные механизмы ОС и сторонних решений даже на последних версиях ОС. На предыдущие ОС Microsoft выпускает патчи только уже имеющихся решений, даже если они малоэффективны сейчас - это тонкий намек на необходимость миграции.

EMET решает часть проблем, которые антивирусы не могут решить самостоятельно, но без антивируса чудес от него тоже ждать не следует (хотя наличие EMET гораздо повышает вероятность отражения атак).

Edited by Kommunist7304

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.