Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

Проблема с активацией лицензии, купленной в citilink.ru ., Проблема активации продукта
Цитата
Dmitry Kharitonov написал:
обращение 0001473931 зарегистрировано 15 августа, ответа нет.
Специалист ответил на Ваше обращение, проверьте пожалуйста почту
Проблема с активацией лицензии, купленной в citilink.ru ., Проблема активации продукта
Цитата
W W написал:
Номер обращения 0001477862. Нет ответа. Что надо сделать? :
Ответили на Ваше обращение. Проверьте пожалуйста почту.
Техподдержка не отвечает!, Сбой активации, отменённая лицензия.
Цитата
IRUNA HUSEVA написал:
В техподдержку  обратилась 17.08,номер обращения 0001474921.  
Обращение принято в работу, ждем ответ специалиста.
Eset server security и модуль фаервола
Цитата
Postal Dude написал:
Прошу помощи
Вы можете написать в техническую поддержку через форму на сайте:
https://www.esetnod32.ru/support/
номер обращения можно опубликовать затем здесь
Проблема с активацией лицензии, купленной в citilink.ru ., Проблема активации продукта
Цитата
Василий Шустряков написал:
Такая же история - ответа нет.обращение 0001477487.Надо с ним завязывать.
Ваше обращение в работе, ждем ответ.
Проблема с активацией лицензии, купленной в citilink.ru ., Проблема активации продукта
Цитата
Мария Чепурина написал:
Написала в поддержку, номер обращения 0001473946, пока тишина.
Техническая поддержка ответила по Вашему обращению. Если остались вопросы или проблемы, напишите ответ с вашей электронной почты.
Неуловимый вирус. Автоматически просматривает видео в ютубе.
Сохраните из вложений нашего сообщения файл scr01.txt в папку с uVS
scr01.txt (24.96 КБ)
закройте все браузеры и почтовые программы, сохраните и закройте все открытые документы
далее,
запускаем start.exe из папки с uvs от иимени Администратора.
далее-текущий пользователь
в главном меню выбираем "Скрипт"-"выполнить скрипт из файла"
в диалоге выбираем файл scr01.txt из папки uVS
uVS автоматически выполнит очистку системы и перегрузит ее

далее в нормальном режиме
сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
[ Закрыто] Win32/Spy.Agent.QGW в оперативной памяти
Спасибо, файл получили,
дата создания этих файлов в каталоге примерно соответствует дате первого детекта dll в оперативной памяти.
(Что интересно, при каждом детекте все время разные хэши у обнаруженной dll)
Каким образом эти файлы участвовали в создании угрозы Spy.Agent попробуем выяснить.

2022-07-07 13:54 - 2022-07-02 00:11 - 000002001 _____ C:\Users\Дмитрий\AppData\Roaming\idea.cfg
2022-07-07 13:54 - 2022-02-05 01:19 - 000058248 _____ C:\Users\Дмитрий\AppData\Roaming\java.exe
[ Закрыто] Win32/Spy.Agent.QGW в оперативной памяти
Дмитрий,

Судя по журналу проблема длится давно
Цитата
07.07.2022 17:02:27 Advanced memory scanner file Operating memory » C:\Users\Дмитрий\AppData\Local\Temp\e22442c8.dll a variant of Win32/Spy.Agent.QGW trojan cleaned by deleting COMP-BDA\Дмитрий C962268ECBC4842CF09CC10E5C322BC65FF667C0
Можно и раньше было обратиться на форум. :)

Если после выполнения скрипта в папке с uVS есть файл ZOO_дата_время*, вышлите пожалуйста данный файл в почту safety@chklst.ru
Если файл получится большого размера, выложите файл на общедоступный диск.
И дайте нам ссылку в Вашем сообщении.
Операторы LockBit используют Windows Defender для загрузки Cobalt Strike
Злоумышленники, связанные с LockBit 3.0, злоупотребляют инструментом командной строки Защитника Windows, чтобы загружать маяки Cobalt Strike на скомпрометированные системы и избегать обнаружения программным обеспечением безопасности.

Цитата
Cobalt Strike — это легитимный набор для тестирования на проникновение с обширными функциями, популярными среди злоумышленников, для скрытой разведки сети и горизонтального перемещения перед тем, как украсть данные и зашифровать их.

Однако решения по обеспечению безопасности стали лучше обнаруживать маяки Cobalt Strike, что заставляет злоумышленников искать инновационные способы развертывания инструментария.

   В недавнем случае реакции на атаку LockBit исследователи из Sentinel Labs заметили злоупотребление инструментом командной строки Microsoft Defender «MpCmdRun.exe» для боковой загрузки вредоносных библиотек DLL, которые расшифровывают и устанавливают маяки Cobalt Strike.

Первоначальная компрометация сети в обоих случаях была осуществлена ​​путем использования уязвимости Log4j на уязвимых серверах VMWare Horizon для запуска кода PowerShell.

Неопубликованная загрузка маяков Cobalt Strike на скомпрометированные системы не является чем-то новым для LockBit, поскольку есть сообщения о подобных цепочках заражения, основанных на злоупотреблении утилитами командной строки VMware.

Злоупотребление Microsoft Defender

После установления доступа к целевой системе и получения необходимых пользовательских привилегий злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла журнала.

Цитата
   MpCmdRun.exe — это утилита командной строки для выполнения задач Microsoft Defender, которая поддерживает команды для сканирования на наличие вредоносных программ, сбора информации, восстановления элементов, выполнения диагностической трассировки и многого другого.

При выполнении MpCmdRun.exe загрузит законную DLL с именем «mpclient.dll», которая необходима для правильной работы программы.

   В случае, проанализированном SentinelLabs, злоумышленники создали собственную версию mpclient.dll, предназначенную для использования в качестве оружия, и поместили ее в место, которое отдает приоритет загрузке вредоносной версии DLL-файла.

Исполняемый код загружает и расшифровывает зашифрованную полезную нагрузку Cobalt Strike из файла «c0000015.log», установленного вместе с двумя другими файлами на более ранней стадии атаки.



Хотя неясно, почему операторы LockBit переключились с VMware на инструменты командной строки Защитника Windows для боковой загрузки маяков Cobalt Strike, это может быть сделано для обхода целевых средств защиты, реализованных в ответ на предыдущий метод.

Использование легитимных инструментов для уклонения от обнаружения EDR и AV в наши дни чрезвычайно распространено; следовательно, организациям необходимо проверять свои средства управления безопасностью и проявлять бдительность, отслеживая использование законных исполняемых файлов, которые могут быть использованы злоумышленниками.

https://www.bleepingcomputer.com/news/security/lockbit-operator-abuses-windows-defender-to-load-cobalt-strike/