Некорректно работают политики на некоторых устройствах.

[Borizz]

Добрый день!

KSC для Windows 15.1

На всех клиентских машинах установлен Kasperky Endpoint Security 12.9 (до этого был 12.7 -> 12.8)
Все через обновления
Агент администрирования установлен 15.4

В нашей организации используется собсвенная система установки обновлений Windows и прочего ПО на клиентских машинах [машины изолированны от интернет, wsus не используется принципиально, все обновления скачиваются вручную, тестируются в виртуальных машинах и только после этого отправляются в продакшен].
На сетевой шаре публикуются обновления
Через KES на клиентских машинах периодически запускается sfx-архив со скриптом внутри, который проверяет на шаре наличие обновлений и при необходимости скачивает
их с использованием bits, после чего либо он запускает установку, либо формирует notificmdline для bits в котором производится запуск установки (зависит от разных факторов).
В какой-то момент обнаружил (возможно после обновления KES 12.9), что независимо от наличия исключений в параметрах политики   ( Анализе Поведения, Исключения из проверки и Доверенные приложения ) на некоторых машинах (только на определенных) просходит срабатывание защиты и в отчете об обнаруженных угрозах появляется такие записи ( в Анализе поведения временно включил режим Информирования, что бы хоть как-то все работало и ничего не блокировалось )

Описание результата: Не обработано
Тип: Троянское приложение
Название: PDM:Trojan.Win32.Generic
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Объект: C:\Windows\Temp\KAV Remote Installations\6a7424f029b544279c937175fbad1de9_1\exec\UpdatePackSystemRootFilesUpdater.exe
SHA256: 5928EA3EB83C2D4F575E7540E1D5CF402E1B6FA0602F8656BDD272C17C51E7E8
MD5: 5A68E1178A3FC1DB3185C53D6E28473D

Тип события: Обнаружен вредоносный объект
Название: cmd.exe
Путь к приложению: C:\Windows\System32
ID процесса: 6488
Описание результата: Обнаружено
Тип: Троянское приложение
Название: PDM:Trojan.Win32.Generic
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Объект: C:\Windows\UpdatePackSystemRootFilesUpdater.cmd
Причина: Поведенческий анализ
Дата выпуска баз: 02.08.2025 11:40:00
SHA256: D8A6FF1CAE00EA528174D433D76B2FCC114C6B51DCB36C4A30531913881326AB
MD5: 51AB2375CFC85EC973616ECA58C2D096

UpdatePackSystemRootFilesUpdater.exe запускается через KSC (Удаленная установка)
Распаковывает UpdatePackSystemRootFilesUpdater.cmd в %SYSTEMROOT% который уже выполняет все остальные действия

В Анализе поведения исключения прописанны так:
Исключения по маске

В доверенных так

Исключение из проверки так

KES и Агента на проблемных машинах переустанавливал, перед новой установкой удалил все возможные следы KES из системы
Добавление ХЭША в исключения ни к чему так же не приводит - все-равно идет сработка

В чем может быть причина??? Как это побороть???

Спасибо

 

[Borizz]

Проблема решена
Админы не включили замок на исключениях из проверки, и если на старых все уже было на клиентах (тк до этого замок был включен), на новых клиентах исключения не применялись

Edited August 2 by Borizz

[Borizz]

Не

все равно сработка

Тип события: Обнаружен вредоносный объект
Название: cmd.exe
Путь к приложению: C:\Windows\System32
ID процесса: 5828
Описание результата: Обнаружено
Тип: Троянское приложение
Название: PDM:Trojan.Win32.Generic
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Объект: C:\Windows\UpdatePackSystemRootFilesUpdater.cmd
Причина: Поведенческий анализ
Дата выпуска баз: 02.08.2025 11:40:00
SHA256: 237B76D8194A0BD7949D25DF9F451CD644B7AC34303BE1F8848F7881CE9E53E5
MD5: 3A03F2D7ACA3805AA1A001DC3923319C

Тип события: Обнаружен вредоносный объект
Название: cmd.exe
Путь к приложению: C:\Windows\System32
ID процесса: 5828
Описание результата: Обнаружено
Тип: Троянское приложение
Название: PDM:Trojan.Win32.Generic
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Объект: C:\Windows\UpdatePackSystemRootFilesUpdater.cmd
Причина: Поведенческий анализ
Дата выпуска баз: 02.08.2025 11:40:00
SHA256: 237B76D8194A0BD7949D25DF9F451CD644B7AC34303BE1F8848F7881CE9E53E5
MD5: 3A03F2D7ACA3805AA1A001DC3923319C

 

[Borizz]

Теперь в оперделенном режиме работы обновлятора (когда запуск осуществаляется через notifycmdline (через сгенерированный скрипт, который дополнительно создает задание очистки в шедулере)) возникает такое - хотя все отрабатывает дальше (только задание не создается), машина получает статус критического

Тип события: Обнаружен вредоносный объект
Название: cmd.exe
Путь к приложению: C:\Windows\System32
ID процесса: 2948
Описание результата: Обнаружено
Тип: Троянское приложение
Название: PDM:Trojan.Win32.GenAutorunBitsNotifyCmdLineRun.a
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Объект: C:\Windows\System32\cmd.exe
Причина: Поведенческий анализ
Дата выпуска баз: 02.08.2025 15:47:00
SHA256: BADF4752413CB0CBDC03FB95820CA167F0CDC63B597CCDB5EF43111180E088B0
MD5: 2B40C98ED0F7A1D3B091A3E8353132DC

Тип события: Запрещено
Название: cmd.exe
Путь к приложению: C:\Windows\System32
ID процесса: 2948
Описание результата: Запрещено
Тип: Троянское приложение
Название: PDM:Trojan.Win32.GenAutorunBitsNotifyCmdLineRun.a
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Объект: C:\Windows\System32\cmd.exe
Причина: Опасное действие
Дата выпуска баз: 02.08.2025 15:47:00
SHA256: BADF4752413CB0CBDC03FB95820CA167F0CDC63B597CCDB5EF43111180E088B0
MD5: 2B40C98ED0F7A1D3B091A3E8353132DC

Исключение в политике есть


Исключение на клиенте применилось

Edited August 2 by Borizz

[Borizz]

Вобщем и целом
Исключение работает только если

Добавить путь (полный) и имя в Доверенные приложения
Исключения в Анализе поведения - не работают вообще
Исключения из проверки не работают для Анализа поведения
И только лишь добавление в Доверенные приложения срабатывает (странно, что тут ХЭШ не используется, использование хэша в доверенных приложениях было бы вполне логичным)

Может Касперские уже доработают сей функционал

Edited August 2 by Borizz