Jump to content
katbert

Каспер против Каспера, или ложные сетевые атаки

Recommended Posts

Posted (edited)

Вчера занимался плановым обновлением версий в одной из сетей. Обнаружил несколько машин c KES8 и старым агентом. Задачей KSC ставил новый агент 10.5 поверх, затем другой задачей удалял KES8, и после перезагрузки -третьей задачей накатывал KES10 SP2 MR4.

В процессе удаленной установки агента и удалнного удаления KES8 на машинах были зафиксированы сетевые атаки якобы с IP-адреса сервера KSC

Scan.Generic.SVCCTL.attacker.silent
Scan.Generic.SVCCTL.silent
Scan.Generic.SVCCTL.SMB2.a.silent

Вот события с одной из машин - ложная сетевая атаки по времени совпадала с установкой агента

Время			Событие				Задача				Описание																Программа						Номер версии	Уровень важности	Время регистрации

13.03.2019 14:22:02	Завершена			Установка агента 10.5		Удаленная установка на устройстве успешно завершена.											Сервер администрирования Kaspersky Security Center 10	10.5.1781	Информационное сообщение	13.03.2019 14:22:03
13.03.2019 14:22:10	Обнаружена сетевая атака	Защита от сетевых атак		Тип события: Обнаружена сетевая атака  													Программа\Название: Неизвестная программа  Компонент: Защита от сетевых атак  Результат\Описание: Разрешено  Результат\Название: Scan.Generic.SVCCTL.silent  Объект: TCP от 192.168.A.B на локальный порт 49178  Объект\Тип: Сетевой пакет  Объект\Название: TCP от 192.168.1.12 на локальный порт 49178  	Kaspersky Endpoint Security 8 для Windows	8.1.0.831	Критическое событие	13.03.2019 14:20:58
13.03.2019 14:20:55	Выполняется			Установка агента 10.5		На устройстве запущена инсталляционная служба. Пожалуйста, подождите...									Сервер администрирования Kaspersky Security Center 10	10.5.1781	Информационное сообщение	13.03.2019 14:20:55
13.03.2019 14:20:48	Выполняется			Установка агента 10.5		Устройство "XXX" разрешено в "192.168.Y.Z" для копирования данных. Копирование файлов на указанное устройство... (\\192.168.Y.Z\admin$)	Сервер администрирования Kaspersky Security Center 10	10.5.1781	Информационное сообщение	13.03.2019 14:20:48
13.03.2019 14:20:46	Ожидает выполнения		Установка агента 10.5																			Сервер администрирования Kaspersky Security Center 10	10.5.1781	Информационное сообщение	13.03.2019 14:20:46
13.03.2019 14:20:41	Ожидает выполнения		Установка агента 10.5																			Сервер администрирования Kaspersky Security Center 10	10.5.1781	Информационное сообщение	13.03.2019 14:20:41

 

Edited by katbert

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, чем вызван именно такой порядок действий при установке? 

Спасибо!

Share this post


Link to post
7 минут назад, Ivan.Ponomarev сказал:

Здравствуйте!

Уточните пожалуйста, чем вызван именно такой порядок действий при установке? 

Спасибо!

Для KES10 SP1 MR4 поддерживается установка поверх только для KES 8.1.0.1042, а в этой сети обнаружилось несколько устаревших машин с более ранней сборкой KES8. Поэтому сначала удалял KES8, затем на чистую машину ставил KES10.

А агенты явных ограничений при установке поверх не имеют, поэтому и ставил поверх

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, какой именно продукт увидел атаку? 

Была ли она зафиксирована версией 8 или 10?

Спасибо!

Share this post


Link to post
Posted (edited)

Атаку регистрировал Kaspersky Endpoint Security 8 для Windows, события в момент установки агента я приводил в первом посте

Edited by katbert

Share this post


Link to post

Здравствуйте!

В таком случае нужно получить фиксацию на последней версии KES, так как в старой версии это срабатывание может быть ложным. 

Спасибо!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.