Размещено 30.08.2022 15:57:48
| Цитата |
|---|
| Dmitry Kharitonov написал: обращение 0001473931 зарегистрировано 15 августа, ответа нет. |
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Проблема с активацией лицензии, купленной в citilink.ru ., Проблема активации продукта
Проблема с активацией лицензии, купленной в citilink.ru ., Проблема активации продукта
Техподдержка не отвечает!, Сбой активации, отменённая лицензия.
Размещено 29.08.2022 16:47:47
| Цитата |
|---|
| IRUNA HUSEVA написал: В техподдержку обратилась 17.08,номер обращения 0001474921. |
Eset server security и модуль фаервола
Размещено 25.08.2022 14:25:13
| Цитата |
|---|
| Postal Dude написал: Прошу помощи |
номер обращения можно опубликовать затем здесь
Проблема с активацией лицензии, купленной в citilink.ru ., Проблема активации продукта
Размещено 24.08.2022 16:02:09
| Цитата |
|---|
| Василий Шустряков написал: Такая же история - ответа нет.обращение 0001477487.Надо с ним завязывать. |
Проблема с активацией лицензии, купленной в citilink.ru ., Проблема активации продукта
Размещено 24.08.2022 15:53:47
| Цитата |
|---|
| Мария Чепурина написал: Написала в поддержку, номер обращения 0001473946, пока тишина. |
Неуловимый вирус. Автоматически просматривает видео в ютубе.
Размещено 16.08.2022 09:57:52
Сохраните из вложений нашего сообщения файл scr01.txt в папку с uVS
scr01.txt (24.96 КБ)
закройте все браузеры и почтовые программы, сохраните и закройте все открытые документы
далее,
запускаем start.exe из папки с uvs от иимени Администратора.
далее-текущий пользователь
в главном меню выбираем "Скрипт"-"выполнить скрипт из файла"
в диалоге выбираем файл scr01.txt из папки uVS
uVS автоматически выполнит очистку системы и перегрузит ее
далее в нормальном режиме
сделайте проверку в АдвКлинере
*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,
5.сделайте проверку в FRST
scr01.txt (24.96 КБ)
закройте все браузеры и почтовые программы, сохраните и закройте все открытые документы
далее,
запускаем start.exe из папки с uvs от иимени Администратора.
далее-текущий пользователь
в главном меню выбираем "Скрипт"-"выполнить скрипт из файла"
в диалоге выбираем файл scr01.txt из папки uVS
uVS автоматически выполнит очистку системы и перегрузит ее
далее в нормальном режиме
сделайте проверку в АдвКлинере
*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,
5.сделайте проверку в FRST
[ Закрыто] Win32/Spy.Agent.QGW в оперативной памяти
Размещено 04.08.2022 17:25:40
Спасибо, файл получили,
дата создания этих файлов в каталоге примерно соответствует дате первого детекта dll в оперативной памяти.
(Что интересно, при каждом детекте все время разные хэши у обнаруженной dll)
Каким образом эти файлы участвовали в создании угрозы Spy.Agent попробуем выяснить.
2022-07-07 13:54 - 2022-07-02 00:11 - 000002001 _____ C:\Users\Дмитрий\AppData\Roaming\idea.cfg
2022-07-07 13:54 - 2022-02-05 01:19 - 000058248 _____ C:\Users\Дмитрий\AppData\Roaming\java.exe
дата создания этих файлов в каталоге примерно соответствует дате первого детекта dll в оперативной памяти.
(Что интересно, при каждом детекте все время разные хэши у обнаруженной dll)
Каким образом эти файлы участвовали в создании угрозы Spy.Agent попробуем выяснить.
2022-07-07 13:54 - 2022-07-02 00:11 - 000002001 _____ C:\Users\Дмитрий\AppData\Roaming\idea.cfg
2022-07-07 13:54 - 2022-02-05 01:19 - 000058248 _____ C:\Users\Дмитрий\AppData\Roaming\java.exe
[ Закрыто] Win32/Spy.Agent.QGW в оперативной памяти
Размещено 04.08.2022 06:59:57
Дмитрий,
Судя по журналу проблема длится давно
Можно и раньше было обратиться на форум. 
Если после выполнения скрипта в папке с uVS есть файл ZOO_дата_время*, вышлите пожалуйста данный файл в почту safety@chklst.ru
Если файл получится большого размера, выложите файл на общедоступный диск.
И дайте нам ссылку в Вашем сообщении.
Судя по журналу проблема длится давно
| Цитата |
|---|
| 07.07.2022 17:02:27 Advanced memory scanner file Operating memory » C:\Users\Дмитрий\AppData\Local\Temp\e22442c8.dll a variant of Win32/Spy.Agent.QGW trojan cleaned by deleting COMP-BDA\Дмитрий C962268ECBC4842CF09CC10E5C322BC65FF667C0 |
Если после выполнения скрипта в папке с uVS есть файл ZOO_дата_время*, вышлите пожалуйста данный файл в почту safety@chklst.ru
Если файл получится большого размера, выложите файл на общедоступный диск.
И дайте нам ссылку в Вашем сообщении.
Операторы LockBit используют Windows Defender для загрузки Cobalt Strike
Размещено 30.07.2022 11:12:17
Злоумышленники, связанные с LockBit 3.0, злоупотребляют инструментом командной строки Защитника Windows, чтобы загружать маяки Cobalt Strike на скомпрометированные системы и избегать обнаружения программным обеспечением безопасности.
Однако решения по обеспечению безопасности стали лучше обнаруживать маяки Cobalt Strike, что заставляет злоумышленников искать инновационные способы развертывания инструментария.
В недавнем случае реакции на атаку LockBit исследователи из Sentinel Labs заметили злоупотребление инструментом командной строки Microsoft Defender «MpCmdRun.exe» для боковой загрузки вредоносных библиотек DLL, которые расшифровывают и устанавливают маяки Cobalt Strike.
Первоначальная компрометация сети в обоих случаях была осуществлена путем использования уязвимости Log4j на уязвимых серверах VMWare Horizon для запуска кода PowerShell.
Неопубликованная загрузка маяков Cobalt Strike на скомпрометированные системы не является чем-то новым для LockBit, поскольку есть сообщения о подобных цепочках заражения, основанных на злоупотреблении утилитами командной строки VMware.
Злоупотребление Microsoft Defender
После установления доступа к целевой системе и получения необходимых пользовательских привилегий злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла журнала.
При выполнении MpCmdRun.exe загрузит законную DLL с именем «mpclient.dll», которая необходима для правильной работы программы.
В случае, проанализированном SentinelLabs, злоумышленники создали собственную версию mpclient.dll, предназначенную для использования в качестве оружия, и поместили ее в место, которое отдает приоритет загрузке вредоносной версии DLL-файла.
Исполняемый код загружает и расшифровывает зашифрованную полезную нагрузку Cobalt Strike из файла «c0000015.log», установленного вместе с двумя другими файлами на более ранней стадии атаки.
Хотя неясно, почему операторы LockBit переключились с VMware на инструменты командной строки Защитника Windows для боковой загрузки маяков Cobalt Strike, это может быть сделано для обхода целевых средств защиты, реализованных в ответ на предыдущий метод.
Использование легитимных инструментов для уклонения от обнаружения EDR и AV в наши дни чрезвычайно распространено; следовательно, организациям необходимо проверять свои средства управления безопасностью и проявлять бдительность, отслеживая использование законных исполняемых файлов, которые могут быть использованы злоумышленниками.
| Цитата |
|---|
| Cobalt Strike — это легитимный набор для тестирования на проникновение с обширными функциями, популярными среди злоумышленников, для скрытой разведки сети и горизонтального перемещения перед тем, как украсть данные и зашифровать их. |
Однако решения по обеспечению безопасности стали лучше обнаруживать маяки Cobalt Strike, что заставляет злоумышленников искать инновационные способы развертывания инструментария.
В недавнем случае реакции на атаку LockBit исследователи из Sentinel Labs заметили злоупотребление инструментом командной строки Microsoft Defender «MpCmdRun.exe» для боковой загрузки вредоносных библиотек DLL, которые расшифровывают и устанавливают маяки Cobalt Strike.
Первоначальная компрометация сети в обоих случаях была осуществлена путем использования уязвимости Log4j на уязвимых серверах VMWare Horizon для запуска кода PowerShell.
Неопубликованная загрузка маяков Cobalt Strike на скомпрометированные системы не является чем-то новым для LockBit, поскольку есть сообщения о подобных цепочках заражения, основанных на злоупотреблении утилитами командной строки VMware.
Злоупотребление Microsoft Defender
После установления доступа к целевой системе и получения необходимых пользовательских привилегий злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла журнала.
| Цитата |
|---|
| MpCmdRun.exe — это утилита командной строки для выполнения задач Microsoft Defender, которая поддерживает команды для сканирования на наличие вредоносных программ, сбора информации, восстановления элементов, выполнения диагностической трассировки и многого другого. |
При выполнении MpCmdRun.exe загрузит законную DLL с именем «mpclient.dll», которая необходима для правильной работы программы.
В случае, проанализированном SentinelLabs, злоумышленники создали собственную версию mpclient.dll, предназначенную для использования в качестве оружия, и поместили ее в место, которое отдает приоритет загрузке вредоносной версии DLL-файла.
Исполняемый код загружает и расшифровывает зашифрованную полезную нагрузку Cobalt Strike из файла «c0000015.log», установленного вместе с двумя другими файлами на более ранней стадии атаки.
Хотя неясно, почему операторы LockBit переключились с VMware на инструменты командной строки Защитника Windows для боковой загрузки маяков Cobalt Strike, это может быть сделано для обхода целевых средств защиты, реализованных в ответ на предыдущий метод.
Использование легитимных инструментов для уклонения от обнаружения EDR и AV в наши дни чрезвычайно распространено; следовательно, организациям необходимо проверять свои средства управления безопасностью и проявлять бдительность, отслеживая использование законных исполняемых файлов, которые могут быть использованы злоумышленниками.