Размещено 24.08.2022 15:53:47
| Цитата |
|---|
| Мария Чепурина написал: Написала в поддержку, номер обращения 0001473946, пока тишина. |
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Проблема с активацией лицензии, купленной в citilink.ru ., Проблема активации продукта
Неуловимый вирус. Автоматически просматривает видео в ютубе.
Размещено 16.08.2022 09:57:52
Сохраните из вложений нашего сообщения файл scr01.txt в папку с uVS
scr01.txt (24.96 КБ)
закройте все браузеры и почтовые программы, сохраните и закройте все открытые документы
далее,
запускаем start.exe из папки с uvs от иимени Администратора.
далее-текущий пользователь
в главном меню выбираем "Скрипт"-"выполнить скрипт из файла"
в диалоге выбираем файл scr01.txt из папки uVS
uVS автоматически выполнит очистку системы и перегрузит ее
далее в нормальном режиме
сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,
5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
scr01.txt (24.96 КБ)
закройте все браузеры и почтовые программы, сохраните и закройте все открытые документы
далее,
запускаем start.exe из папки с uvs от иимени Администратора.
далее-текущий пользователь
в главном меню выбираем "Скрипт"-"выполнить скрипт из файла"
в диалоге выбираем файл scr01.txt из папки uVS
uVS автоматически выполнит очистку системы и перегрузит ее
далее в нормальном режиме
сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,
5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
[ Закрыто] Win32/Spy.Agent.QGW в оперативной памяти
Размещено 04.08.2022 17:25:40
Спасибо, файл получили,
дата создания этих файлов в каталоге примерно соответствует дате первого детекта dll в оперативной памяти.
(Что интересно, при каждом детекте все время разные хэши у обнаруженной dll)
Каким образом эти файлы участвовали в создании угрозы Spy.Agent попробуем выяснить.
2022-07-07 13:54 - 2022-07-02 00:11 - 000002001 _____ C:\Users\Дмитрий\AppData\Roaming\idea.cfg
2022-07-07 13:54 - 2022-02-05 01:19 - 000058248 _____ C:\Users\Дмитрий\AppData\Roaming\java.exe
дата создания этих файлов в каталоге примерно соответствует дате первого детекта dll в оперативной памяти.
(Что интересно, при каждом детекте все время разные хэши у обнаруженной dll)
Каким образом эти файлы участвовали в создании угрозы Spy.Agent попробуем выяснить.
2022-07-07 13:54 - 2022-07-02 00:11 - 000002001 _____ C:\Users\Дмитрий\AppData\Roaming\idea.cfg
2022-07-07 13:54 - 2022-02-05 01:19 - 000058248 _____ C:\Users\Дмитрий\AppData\Roaming\java.exe
[ Закрыто] Win32/Spy.Agent.QGW в оперативной памяти
Размещено 04.08.2022 06:59:57
Дмитрий,
Судя по журналу проблема длится давно
[QUOTE][B]07.07.2022 17:02:27 [/B]Advanced memory scanner file Operating memory » C:\Users\Дмитрий\AppData\Local\Temp\e22442c8.dll a variant of Win32/Spy.Agent.QGW trojan cleaned by deleting COMP-BDA\Дмитрий C962268ECBC4842CF09CC10E5C322BC65FF667C0
[/QUOTE]
Можно и раньше было обратиться на форум. :)
Если после выполнения скрипта в папке с uVS есть файл ZOO_дата_время*, вышлите пожалуйста данный файл в почту [email protected]
Если файл получится большого размера, выложите файл на общедоступный диск.
И дайте нам ссылку в Вашем сообщении.
Судя по журналу проблема длится давно
[QUOTE][B]07.07.2022 17:02:27 [/B]Advanced memory scanner file Operating memory » C:\Users\Дмитрий\AppData\Local\Temp\e22442c8.dll a variant of Win32/Spy.Agent.QGW trojan cleaned by deleting COMP-BDA\Дмитрий C962268ECBC4842CF09CC10E5C322BC65FF667C0
[/QUOTE]
Можно и раньше было обратиться на форум. :)
Если после выполнения скрипта в папке с uVS есть файл ZOO_дата_время*, вышлите пожалуйста данный файл в почту [email protected]
Если файл получится большого размера, выложите файл на общедоступный диск.
И дайте нам ссылку в Вашем сообщении.
Операторы LockBit используют Windows Defender для загрузки Cobalt Strike
Размещено 30.07.2022 11:12:17
[SIZE=14pt]Злоумышленники, связанные с LockBit 3.0, злоупотребляют инструментом командной строки Защитника Windows, чтобы загружать маяки Cobalt Strike на скомпрометированные системы и избегать обнаружения программным обеспечением безопасности.[/SIZE]
[QUOTE]Cobalt Strike — это легитимный набор для тестирования на проникновение с обширными функциями, популярными среди злоумышленников, для скрытой разведки сети и горизонтального перемещения перед тем, как украсть данные и зашифровать их.[/QUOTE]
Однако решения по обеспечению безопасности стали лучше обнаруживать маяки Cobalt Strike, что заставляет злоумышленников искать инновационные способы развертывания инструментария.
В недавнем случае реакции на атаку LockBit исследователи из Sentinel Labs заметили злоупотребление инструментом командной строки Microsoft Defender «MpCmdRun.exe» для боковой загрузки вредоносных библиотек DLL, которые расшифровывают и устанавливают маяки Cobalt Strike.
Первоначальная компрометация сети в обоих случаях была осуществлена путем использования уязвимости Log4j на уязвимых серверах VMWare Horizon для запуска кода PowerShell.
Неопубликованная загрузка маяков Cobalt Strike на скомпрометированные системы не является чем-то новым для LockBit, поскольку есть сообщения о подобных цепочках заражения, основанных на злоупотреблении утилитами командной строки VMware.
Злоупотребление Microsoft Defender
После установления доступа к целевой системе и получения необходимых пользовательских привилегий злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла журнала.
[QUOTE] MpCmdRun.exe — это утилита командной строки для выполнения задач Microsoft Defender, которая поддерживает команды для сканирования на наличие вредоносных программ, сбора информации, восстановления элементов, выполнения диагностической трассировки и многого другого.[/QUOTE]
При выполнении MpCmdRun.exe загрузит законную DLL с именем «mpclient.dll», которая необходима для правильной работы программы.
В случае, проанализированном SentinelLabs, злоумышленники создали собственную версию mpclient.dll, предназначенную для использования в качестве оружия, и поместили ее в место, которое отдает приоритет загрузке вредоносной версии DLL-файла.
Исполняемый код загружает и расшифровывает зашифрованную полезную нагрузку Cobalt Strike из файла «c0000015.log», установленного вместе с двумя другими файлами на более ранней стадии атаки.
[IMG WIDTH=1215 HEIGHT=985]https://www.bleepstatic.com/images/news/u/1220909/Diagrams/exploit-chain.png[/IMG]
Хотя неясно, почему операторы LockBit переключились с VMware на инструменты командной строки Защитника Windows для боковой загрузки маяков Cobalt Strike, это может быть сделано для обхода целевых средств защиты, реализованных в ответ на предыдущий метод.
Использование легитимных инструментов для уклонения от обнаружения EDR и AV в наши дни чрезвычайно распространено; следовательно, организациям необходимо проверять свои средства управления безопасностью и проявлять бдительность, отслеживая использование законных исполняемых файлов, которые могут быть использованы злоумышленниками.
https://www.bleepingcomputer.com/news/security/lockbit-operator-abuses-windows-defender-to-load-cobalt-strike/
[QUOTE]Cobalt Strike — это легитимный набор для тестирования на проникновение с обширными функциями, популярными среди злоумышленников, для скрытой разведки сети и горизонтального перемещения перед тем, как украсть данные и зашифровать их.[/QUOTE]
Однако решения по обеспечению безопасности стали лучше обнаруживать маяки Cobalt Strike, что заставляет злоумышленников искать инновационные способы развертывания инструментария.
В недавнем случае реакции на атаку LockBit исследователи из Sentinel Labs заметили злоупотребление инструментом командной строки Microsoft Defender «MpCmdRun.exe» для боковой загрузки вредоносных библиотек DLL, которые расшифровывают и устанавливают маяки Cobalt Strike.
Первоначальная компрометация сети в обоих случаях была осуществлена путем использования уязвимости Log4j на уязвимых серверах VMWare Horizon для запуска кода PowerShell.
Неопубликованная загрузка маяков Cobalt Strike на скомпрометированные системы не является чем-то новым для LockBit, поскольку есть сообщения о подобных цепочках заражения, основанных на злоупотреблении утилитами командной строки VMware.
Злоупотребление Microsoft Defender
После установления доступа к целевой системе и получения необходимых пользовательских привилегий злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла журнала.
[QUOTE] MpCmdRun.exe — это утилита командной строки для выполнения задач Microsoft Defender, которая поддерживает команды для сканирования на наличие вредоносных программ, сбора информации, восстановления элементов, выполнения диагностической трассировки и многого другого.[/QUOTE]
При выполнении MpCmdRun.exe загрузит законную DLL с именем «mpclient.dll», которая необходима для правильной работы программы.
В случае, проанализированном SentinelLabs, злоумышленники создали собственную версию mpclient.dll, предназначенную для использования в качестве оружия, и поместили ее в место, которое отдает приоритет загрузке вредоносной версии DLL-файла.
Исполняемый код загружает и расшифровывает зашифрованную полезную нагрузку Cobalt Strike из файла «c0000015.log», установленного вместе с двумя другими файлами на более ранней стадии атаки.
[IMG WIDTH=1215 HEIGHT=985]https://www.bleepstatic.com/images/news/u/1220909/Diagrams/exploit-chain.png[/IMG]
Хотя неясно, почему операторы LockBit переключились с VMware на инструменты командной строки Защитника Windows для боковой загрузки маяков Cobalt Strike, это может быть сделано для обхода целевых средств защиты, реализованных в ответ на предыдущий метод.
Использование легитимных инструментов для уклонения от обнаружения EDR и AV в наши дни чрезвычайно распространено; следовательно, организациям необходимо проверять свои средства управления безопасностью и проявлять бдительность, отслеживая использование законных исполняемых файлов, которые могут быть использованы злоумышленниками.
https://www.bleepingcomputer.com/news/security/lockbit-operator-abuses-windows-defender-to-load-cobalt-strike/
Блокирует сайт
Принудительное обновление 8 версии
Размещено 29.07.2022 07:16:48
В любом случае,
развитие продукта диктуется не хотелками и привычками отдельных пользователей, а развитием в целом индустрии информационной безопасности.
С какого-то времени поддержка старых версий для любого производителя ПО становится делом нерентабельным, трудозатратным и бессмысленным.
https://support-eol.eset.com/en/policy_home/product_tables.html
развитие продукта диктуется не хотелками и привычками отдельных пользователей, а развитием в целом индустрии информационной безопасности.
С какого-то времени поддержка старых версий для любого производителя ПО становится делом нерентабельным, трудозатратным и бессмысленным.
https://support-eol.eset.com/en/policy_home/product_tables.html
поговорить о uVS, Carberp, планете Земля
Размещено 28.07.2022 14:00:00
Тяжелый случай с Powemet. Обычно проблема с этим майнером легко решается.
Но здесь решение затянулось почти на месяц.
https://www.cyberforum.ru/viruses/thread3003231.html
Надо отметить настойчивость и терпение хелперов (и пользователя) - все равно нашли решение для крайне нестандартного случая.
Но здесь решение затянулось почти на месяц.
https://www.cyberforum.ru/viruses/thread3003231.html
Надо отметить настойчивость и терпение хелперов (и пользователя) - все равно нашли решение для крайне нестандартного случая.
Невозможно активировать ESET Internet Security (Лицензия куплена в магазине, предназначена для русской версии, активирована в личном кабинете 25.07.2022 г.)
Размещено 28.07.2022 08:44:10
Напишите, пожалуйста, в техническую поддержку - [email protected]
Атака путем подделки записей кэша ARP