Jump to content

Recommended Posts

Добрый день.

Прошу подсказать, по какой причине KSWS 10.1.1.746 не удаляет все файлы, относящиеся к mimikatz?

В частности, при распаковке данной утилиты, АВ удаляет все файлы, кроме исполняемого файла из папки x64 - mimikatz.exe и данный файл удается запустить на выполнение!!! КАК ТАКОЕ ВОЗМОЖНО?!

Во вложении, политика, утилиту скачивал с github в формате zip.

Прошу срочно помочь разобраться!

Спасибо.

 

KSWS_10.1.klp

Share this post


Link to post
13 часов назад, fexig сказал:

Добрый день.

Прошу подсказать, по какой причине KSWS 10.1.1.746 не удаляет все файлы, относящиеся к mimikatz?

В частности, при распаковке данной утилиты, АВ удаляет все файлы, кроме исполняемого файла из папки x64 - mimikatz.exe и данный файл удается запустить на выполнение!!! КАК ТАКОЕ ВОЗМОЖНО?!

Во вложении, политика, утилиту скачивал с github в формате zip.

Прошу срочно помочь разобраться!

Спасибо.

 

KSWS_10.1.klp

Добрый день!

Пожалуйста приложите полный GSI отчет с машины.

Спасибо!

Share this post


Link to post
В ‎30‎.‎11‎.‎2018 в 18:14, fexig сказал:

Прошу подсказать, по какой причине KSWS 10.1.1.746 не удаляет все файлы, относящиеся к mimikatz?

В частности, при распаковке данной утилиты, АВ удаляет все файлы, кроме исполняемого файла из папки x64 - mimikatz.exe и данный файл удается запустить на выполнение!!! КАК ТАКОЕ ВОЗМОЖНО?!

Во вложении, политика, утилиту скачивал с github в формате zip.

Прошу срочно помочь разобраться!

Здравствуйте,

А что написано в отчёте KSWS?

По нашим тестам получается, что mimikatz.exe пропускается антивирусным движком из-за нашего дефолтного правила в TZ на исключение вердиктов "not-a-virus:*". Если это правило убрать, объект удалится.

 

Share this post


Link to post
15 часов назад, Oleg Bykov сказал:

Здравствуйте,

А что написано в отчёте KSWS?

По нашим тестам получается, что mimikatz.exe пропускается антивирусным движком из-за нашего дефолтного правила в TZ на исключение вердиктов "not-a-virus:*". Если это правило убрать, объект удалится.

 

Добрый день,

Подтверждаю, что если в параметрах политики отключить вердикт "not-a-virus:*", то удаление данной утилиты происходит успешно.

Однако:

1 - В событиях при обнаружении АВ относит данную утилиту к категории "HEUR:Trojan-PSW.Win64.Mimikatz.gen", а в параметрах выставлен "not-a-virus:*". Таким образом, прошу пояснить какие утилиты попадают в категорию с вердиктом "not-a-virus" и как выполнить корректную настройку? Отключить данный компонент? 

2 - При включенном параметре, из директории x32 утилита удаляется (Trojan-PSW.Win32.Mimikatz.gen), из x64 нет. Почему имеется какое-то различие?

Спасибо.

 

PS

думаю, что отчет GSI не нужен, если ошибаюсь прошу поправить.

Share this post


Link to post
40 минут назад, fexig сказал:

1 - В событиях при обнаружении АВ относит данную утилиту к категории "HEUR:Trojan-PSW.Win64.Mimikatz.gen", а в параметрах выставлен "not-a-virus:*". Таким образом, прошу пояснить какие утилиты попадают в категорию с вердиктом "not-a-virus" и как выполнить корректную настройку? Отключить данный компонент? 

2 - При включенном параметре, из директории x32 утилита удаляется (Trojan-PSW.Win32.Mimikatz.gen), из x64 нет. Почему имеется какое-то различие?

Мы сейчас сами пытаемся разобраться, почему вердикты разные - напишу здесь результат, как только он появится.

 

41 минуту назад, fexig сказал:

думаю, что отчет GSI не нужен, если ошибаюсь прошу поправить.

Спасибо, не нужен.

Share this post


Link to post

Спасибо, жду информацию.

Дополнительно,

прошу подсказать, что за вердикт "not-a-virus", какие туда программы попадают, Ваша рекомендация по настройке

 

Share this post


Link to post
20 минут назад, fexig сказал:

прошу подсказать, что за вердикт "not-a-virus", какие туда программы попадают, Ваша рекомендация по настройке

Вот официальная статья KL по этой теме с рекомендацией по её настройке:

https://support.kaspersky.ru/viruses/answers/852

Вот статья из вирусной Энциклопедии на эту тему:

https://encyclopedia.kaspersky.ru/knowledge/adware-pornware-and-riskware/

Что касается конкретно MimiKatz - это не вирус, но программа, которой могут воспользоваться вирусы или недобросовестные пользователи.

Share this post


Link to post

Хорошо, понятно.

Спасибо, думаю, можно считать тему закрытой.

Share this post


Link to post

По вердиктам KSWS - текущее поведение признано верным. Происходит следующее:

- базы выдают вердикт "not-a-virus", который мы пропускаем, руководствуясь настройкой из Trusted Zone

- если такого исключения в TZ нет, то мы лезем в KSN за доуточнением вердикта и, если пришёл другой вердикт (как в случае с Mimikatz.exe), выдаём именно уточнённый вердикт пользователю. Почему базы и облако выдают на этот файл разные вердикты - вопрос к другим людям, и думаю, что со временем вердикты синхронизируются.

Тем не менее, в следующей версии решили изменить сценарий работы с вердиктами. Теперь они сначала будут уточняться в облаке (если облако доступно) и только потом исключаться по TZ - уже с уточнённым вердиктом.

 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.