Как начать практически использовать Universal Virus Sniffer

2»

Комментарии

  • safety написал: »
    2. помимо майнера есть еще объекты, которые желательно удалить из системы.
    отладчик,
    C:\WINDOWS\SYSTEM32\SVCHOST.EXE

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCleaner64.exe\Debugger
    Натыкался на подобные отладчики. Что интересно, имена у всех вполне легитимные.
    А это точно зловредная запись?
    В задачах нашел OVERBTC13. Как я понимаю, это часть того же майнера. Если я не ошибаюсь, то удаление по сигнатуре самого майнера не затронет этого зловреда.
    Не пойму, по какому критерию можно забраковать расширения Chrome. Расширения IE по CLSID/файлу проверяю. А остальные как бракуют?
    З.Ы.: Не подскажите, как тут часть сообщения цитировать?
    Или только из полной цитаты лишнее удалять?
  • отредактировано September 2017 PM
    ScriptMakeR написал: »
    safety написал: »
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCleaner64.exe\Debugger
    Натыкался на подобные отладчики. Что интересно, имена у всех вполне легитимные.
    А это точно зловредная запись?
    таким образом как правило блокируется запуск полезных утилит.
    ScriptMakeR написал: »

    В задачах нашел OVERBTC13. Как я понимаю, это часть того же майнера. Если я не ошибаюсь, то удаление по сигнатуре самого майнера не затронет этого зловреда.
    да, это часть майнера. бывает что не все вредоносные объекты сразу попадут в категорию вирусы и подозрительные", поэтому дополнительно имеет смысл проверить и другие категории: процессы, сервисы, драйвера, секции браузеров, загрузчики, задачи.
    Полное имя C:\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE
    Имя файла CTFHOST.EXE
    Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

    Обнаруженные сигнатуры
    Сигнатура Win32/BitCoinMiner (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-09-09

    Удовлетворяет критериям
    FOLDERS.LIST (ПОЛНОЕ ИМЯ ~ \CTFHOST)(1) [deldirex (2)]

    Сохраненная информация на момент создания образа
    Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
    File_Id 561598F19C000
    Linker 12.0
    Размер 612864 байт
    Создан 13.10.2015 в 12:14:03
    Изменен 13.10.2015 в 12:14:03

    TimeStamp 07.10.2015 в 22:13:05
    EntryPoint +
    OS Version 0.0
    Subsystem Windows graphical user interface (GUI) subsystem
    IMAGE_FILE_DLL -
    IMAGE_FILE_EXECUTABLE_IMAGE +
    Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
    Цифр. подпись Отсутствует либо ее не удалось проверить

    Оригинальное имя CTFHOST.EXE
    Версия файла 6,1,7600,16385
    Описание Microsoft © Windows © Operating System
    Copyright © Microsoft Corporation. All rights reserved.
    Производитель Microsoft ©

    Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
    Путь до файла Типичен для вирусов и троянов

    Доп. информация на момент обновления списка
    CmdLine OVERBTC13.
    SHA1 83F469AFD3D80024BD9267FDFD2ACD1C8A4D9EA4
    MD5 99370611FAEF289D28FF59E3FF7B9474

    Ссылки на объект
    Ссылка C:\WINDOWS\SYSTEM32\TASKS\CTF HOST

    скорее всего OVERBTC13. содержит код запуска для CTFHOST.EXE.
    ScriptMakeR написал: »

    Не пойму, по какому критерию можно забраковать расширения Chrome. Расширения IE по CLSID/файлу проверяю. А остальные как бракуют?
    это например, по Extension_name
    Полное имя C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2
    Имя файла SEARCH APP BY ASK V2
    Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ Chrome/Yandex

    Удовлетворяет критериям
    EXT.LIST (EXTENSION_NAME ~ SEARCH APP BY ASK)(1) [auto (1)]

    Сохраненная информация на момент создания образа
    Статус Google_Chrome

    Extension_ID aaaaaiabcopkplhgaedhbloeejhhankf
    Extension_name Search App By Ask v2
    Extension_state 2
    Extension_version 55.11
    Extension_installDate 2015-04-29 17:22
    Extension_description Convenient browsing tools and links. Disabling this extension won't uninstall the associated program; for instructions: help.ask.com
    Extension_homepageURL https://clients2.google.com/service/update2/crx

    открываете инфо по объекту, и отмечаете по каким полям можно создать рабочее правило для детектирования подобных объектов.
    ScriptMakeR написал: »

    З.Ы.: Не подскажите, как тут часть сообщения цитировать?
    Или только из полной цитаты лишнее удалять?
    да, или разбивать сообщение на части. :).

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2017 PM
    Натыкался на подобные отладчики. Что интересно, имена у всех вполне легитимные.
    А это точно зловредная запись?
    Отладчик это системный элемент.
    Файл\ы
    C:\WINDOWS\SYSTEM32\SVCHOST.EXE
    C:\WINDOWS\SYSWOW64\SVCHOST.EXE
    Системные и легитимные.

    https://msdn.microsoft.com/ru-ru/library/a329t4ed(v=vs.100).aspx

    Как правило используется для блокировки работы той, или иной программы ( чаще всего антивирусы, сканеры, программы для просмотра автозапуска )
    В задачах нашел OVERBTC13. Как я понимаю, это часть того же майнера. Если я не ошибаюсь, то удаление по сигнатуре самого майнера не затронет этого зловреда.
    C:\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE
    в инфо. по файлу есть запись:
    ссылка: C:\WINDOWS\SYSTEM32\TASKS\CTF HOST
    т.е. сигнатура данную запись удалит - как имеющею отношение к CTFHOST.EXE
    Но, в случае сомнения такие объекты нужно дополнительно удалять.
    Не пойму, по какому критерию можно забраковать расширения Chrome. Расширения IE по CLSID/файлу проверяю. А остальные как бракуют?
    Для объектов типа: HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2
    У меня критерий: Содержит: CLIENTS2.GOOGLE.COM
  • отредактировано September 2017 PM
    +
    Я работаю несколько по другому. ( в сравнении с safety )
    Убираю из списка весь мусор.
    А затем работаю со значимыми объектами.
    Видео пример: ( в .exe формате )
    https://www.sendspace.com/file/v93k4h

    https://virustotal.com/ru/file/78e7ae999cf02f1d8be405330081038fae9abf5efc4a48869b6c6cd34cd277cb/analysis/1504986842/

    Я считаю, что так ниже вероятность пропустить нужный\опасный объект.
    Но это требует доп. времени.


  • отредактировано September 2017 PM
    rp55rp55 написал: »
    +
    Я считаю, что так ниже вероятность пропустить нужный\опасный объект.
    Но это требует доп. времени.
    Соглашусь с rp55rp55 в том, что количество объектов в секции "подозрительные и вирусы" определяется тем, насколько качественная база сигнатур и критериев уже создана на момент текущего анализа. Если сигнатуры могут частично фолсить, то критерии могут избыточно присваивать объектам статус ?ВИРУС?
    Сигнатуры можно уточнять (увеличивать длину активной части от 8 до 64 байт), или удалять в случае если множественный фолс наблюдается, так же объекты можно скрывать от проверки с помощью команды hide, если вы абсолютно уверены в том что он чист.

    критерии можно уточнять, дополнять, менять автоматическое действие и т.д.

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2017 PM
    +
    Нужно иметь копию своих личных файлов\настроек.
    Чтобы иметь возможность быстро откатить внесённые изменения.

  • safety написал: »
    таким образом как правило блокируется запуск полезных утилит.
    rp55rp55 написал: »
    Как правило используется для блокировки работы той, или иной программы ( чаще всего антивирусы, сканеры, программы для просмотра автозапуска )
    Так из образа автозапуска не получается узнать значение параметра =Debugger=. Мы знаем только то, что он есть.
    Хотя, он, скорее всего, зловредный.
    safety написал: »
    да, это часть майнера.
    ...
    скорее всего OVERBTC13. содержит код запуска для CTFHOST.EXE.
    rp55rp55 написал: »
    C:\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE
    в инфо. по файлу есть запись:
    ссылка: C:\WINDOWS\SYSTEM32\TASKS\CTF HOST
    На сколько я понял, в задаче =CTF HOST= есть ссылки на оба объекта. Но сигнатурным удалением мы удалим только первый объект и задачу, их запускающую.
    А как второй объект удалить средствами uVS?
    safety написал: »
    это например, по Extension_name
    ...
    открываете инфо по объекту, и отмечаете по каким полям можно создать рабочее правило для детектирования подобных объектов.
    rp55rp55 написал: »
    Для объектов типа: HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2
    У меня критерий: Содержит: CLIENTS2.GOOGLE.COM
    Так вот я никак и не пойму, по какому принципу их браковать.
    Расширения IE можно на sestemlookup по CLSID/имени_файла пробить, по MD5 файла на VT пробить. А с этими расширениями как играют?



  • отредактировано September 2017 PM
    Так из образа автозапуска не получается узнать значение параметра =Debugger=. Мы знаем только то, что он есть.
    Хотя, он, скорее всего, зловредный.
    Да, _любая запись здесь с вероятностью в 99% относиться к зловредной активности.
    Нужно смотреть, что прописано.
    Сколько всего в параметре записей.
    На сколько я понял, в задаче =CTF HOST= есть ссылки на оба объекта. Но сигнатурным удалением мы удалим только первый объект и задачу, их запускающую.
    А как второй объект удалить средствами uVS?
    Применима любая команда на удаление.
    delref OVERBTC13.
    или
    del %Sys32%\TASKS\CTF HOST
    ( в данном случае команда: del %Sys32%\TASKS\CTF HOST
    отдаётся из меню: Инфо. файла: CTFHOST.EXE
    Так вот я никак и не пойму, по какому принципу их браковать.
    Расширения IE можно на sestemlookup по CLSID/имени_файла пробить, по MD5 файла на VT пробить. А с этими расширениями как играют?
    Принцип простой: _Автоматически удаляются _все объекты...
    ( здесь нужно настроить автоскрипт )
    типа: HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2
    По сути это мусор.
  • отредактировано September 2017 PM
    ScriptMakeR написал: »
    Так из образа автозапуска не получается узнать значение параметра =Debugger=. Мы знаем только то, что он есть.
    Хотя, он, скорее всего, зловредный.
    svchost.exe как раз и есть в параметре Debugger, иначе бы эта ссылка с HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCleaner64.exe\Debugger
    не попала в инфо для svchost.exe
    ScriptMakeR написал: »
    Так вот я никак и не пойму, по какому принципу их браковать.
    Расширения IE можно на sestemlookup по CLSID/имени_файла пробить, по MD5 файла на VT пробить. А с этими расширениями как играют?
    расширение в Chrome - это же не один файл, какое брать MD5, если там может быть несколько десятков различных файлов.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2017 PM
    Помимо sgns, snms, VT/Virusscan base +встроенная логика uVS - которые работают в сторону увеличения числа объектов со статусом ?ВИРУС?/Sign_detected и подозрительный, есть файлы, которые работают в сторону уменьшения подозрительных в секции "подозрительные и вирусы".

    это:
    MAIN/VT1 (в подкаталоге SHA) - содержат хэши проверенных файлов, которые издаются разработчиком. для всех пользователей они открываются только для чтения. Но пользователь может вести свой файл SHA1 в текущем каталоге, куда могут быть добавлены хэши проверенных файлов, которых нет в списках MAIN/VT1

    WDSL - белый список цифровых сертификатов. добавлен в связи с тем, что в настоящее время многие adware/troj так же подписаны сертификатами и автоматически получают статус проверенных. Поэтому проверка по WDSL автоматически снимает статус ПРОВЕРЕННЫЙ со всех объектов, сертификат которых не добавлен в белый список.
    +
    проверка по хэшам на VT/Virusscan так же работает и в сторону уменьшения подозрительных.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2017 PM
    добавил видео по созданию критериев поиска вредоносных объектов.
    CRC32: 8548A78E
    MD5: FE72334F15B7CCF76E6984DB397051D0
    SHA-1: 5C8D01F55A9C3120E701F6CAB6B0A6D28A9C9293

    https://www.sendspace.com/file/ufgx6n

    проверка файла на Virustotal.com
    https://www.virustotal.com/en/file/29edef6f0c7064b5429c37b86bcb8ff1a65c6cf2fb46af43570ee96b1b17863b/analysis/1505561134/

    видео снято по образу:
    https://www.sendspace.com/file/c7034k
    краткая анотация к видео. наличие базы критериев вместе с базой сигнатур автоматически отсеивает найденные вредоносные объекты в секцию "подозрительные и вирусы". После этого обнаруженные объекты можно проанализировать по инфо, а так же проверить на ВирусТотал, чтобы вы могли убедиться, что детект был правильным. Или снять статус ?ВИРУС? и уточнить сигнатуру в том случае, если имеет место ложный детект.

    помимо детектирования в критерии можно добавить действия (команды), которые будут добавлены в скрипт функцией автоскрипта при обработке списка объектов со статусом ?ВИРУС?. Если это действие не добавлено, или выставлен флаг "по умолчанию", в этом случае функция автоскрипта добавил по данному объекту команду, которая определена в settings.ini
    o Новый параметр в settings.ini
    [Settings]
    ; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции
    ; автоскрипта.
    ImgAutoDelMethod1 (по умолчанию 1)
    0 - игнорировать
    1 - применить delall
    2 - применить delref
    3 - применить delref+del

    o Новый параметр в settings.ini
    [Settings]
    ; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции
    ; автоскрипта с виртуализацией реестра.
    ImgAutoDelMethod2 (по умолчанию 3)
    0 - игнорировать
    1 - применить delall
    2 - применить delref
    3 - применить delref+del

    объять необъятное в кратком сообщении не получится, поэтому часть информации может быть получена практическим путем, или методом вы нам вопросы - мы вам ответы.
    update:
    критерий, который был создан в видео_примере отредактировал.

    ye5ebdzj1cfq.jpg

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2017 PM
    В связи с этим:
    Авторы SafeBrowse, расширения Chrome с более чем 140 000 пользователей, встроили библиотеку JavaScript в код расширения, который запускает майнер криптовалют Monero с использованием компьютеров пользователей без их согласия.
    https://www.bleepingcomputer.com/news/security/chrome-extension-embeds-in-browser-monero-miner-that-drains-your-cpu/

    мы можем добавить расширение SafeBrowse в список левых расширений для детектирования в uVS

    osyphaf8fdvr.jpg

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2017 PM
    здесь пример работы с сигнатурой и без нее.

    http://www.tehnari.ru/f183/t255673/

    сигнатурное удаление будет выглядеть так:
    ;------------------------autoscript---------------------------
    
    zoo %Sys32%\DRIVERS\SMSS.EXE
    addsgn 9252770ADE6AC1CC0B541A4E334BDFFACEB06C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/AutoRun.Delf 7
    
    zoo %SystemDrive%\1\ 1.SCR
    zoo %SystemDrive%\8888888888888888888\ 111111111111111111111111.SCR
    zoo %Sys32%\DRIVERS\CACHE\NEW.SCR
    zoo %Sys32%\DRIVERS\CACHE\BCKP.TRJ
    chklst
    delvir
    .....
    

    без_сигнатурное удаление:
    ...
    delall %SystemDrive%\1\ 1.SCR
    delall %SystemDrive%\8888888888888888888\ 111111111111111111111111.SCR
    delall %Sys32%\DRIVERS\CACHE\BCKP.TRJ
    delall %Sys32%\DRIVERS\SMSS.EXE
    ...
    

    разница в коде как будто бы и не большая, но в первом случае добавленная (в скрипт и в базу хелпера) сигнатура еще неоднократно сработает на детект, а во втором случае нет. не сработает.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2018 PM
    @ScriptMakeR,
    по автоскрипту уже ранее была добавлена статья: "Механизм автоскрипта в Universal Virus Sniffer"
    где подробно описано, как последовательно создавался механизм автоскрипта в uVS. добавлю, что работать с функцией автоскрипта комфортно при наличии настроенной базы критериев, и проверенной базы сигнатур. В рамках видео не получится показать данный процесс, поскольку он продолжителен по времени.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.