• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Поиск в Windows следов взлома

ndrjjzbv

Местный
Сообщения
114
Реакции
203
0 руб.
[URL='https://kali.tools/?p=3250']Loki[/url] – это несложная программа для выявления признаков компрометации. Она поможет увидеть явные признаки проникновения и заражения компьютера. Также она является хорошим инструментом для изучения и понимания своей операционной системы, происходящих в ней процессов.


В этой заметке будет рассказано о [URL='https://kali.tools/?p=3250']Loki[/url] – простом сканере для обнаружения признаков взлома. У Loki открыт исходный код, программа бесплатна, является кроссплатформенной, включает в себя возможности ряда бесплатных инструментов и открытых баз данных по вредоносным файлам. На данный момент программа активно развивается и постоянно пополняется новыми сигнатурами.

Вы можете проверить свой компьютер или сервер как на Linux, так и на Windows.

Я рассмотрю запуск и анализ результатов на Windows.

Скачайте последний выпуск программы с официальной страницы релизов. Распакуйте архив. Программа не требует установки, достаточно распаковать скаченный архив. Для запуска откройте командную строку: нажмите Win+x и выберите «Командная строка (администратор)». Начните с обновления программы и сигнатур, для этого перетащите в открывшееся окно командной строки файл loki-upgrader.exe, нажмите ENTER и дождитесь завершения процесса.

После этого перетащите в командную строку файл loki.exe и нажмите ENTER — начнётся сканирование всего компьютера.

Если вы не доверяете исполнимым файлам, то на странице программы описано, как самостоятельно скомпилировать её из исходного кода.

В первую очередь, нужно обращать внимание на сообщения, выделенные красным:
614.png

В поле DESCRIPTION дано описание файла и причины его подозрительности. Обычно это вирусы, бэкдоры и другие подобные программы, которые не могут присутствовать на компьютерах большинства пользователей (если они не занимаются анализом вредоносного ПО).

Далее следует обратить внимание на жёлтые предупреждения:
63.jpg

На первом сркиншоте – найден инструмент для восстановления Wi-Fi паролей.

Найдена программа для дампа учётных данных, паролей:
611.jpg

Если вы их не скачивали, то подобных программ не должно быть в вашей системе. Их мог забыть человек, который пытался извлечь сведения из вашего компьютера.

Здесь:
610.jpg

подозрительный владелец процесса (возможно, проблема в кириллице).

Уведомления, помеченные синим, могут означать вполне легитимную деятельность. Например, на этом скриншоте подключения работающего веб-браузера:
68.jpg

Далее Tor и приложение для VoIP:
69.jpg

67.jpg

В данном случае они являются легитимными – установлены владельцем. Тем не менее, стоит просмотреть, какие программы прослушивают порты или устанавливают соединения.

Далее пример исполнимого файла, который расположен в директории, где обычно не должно быть исполнимых файлов. Это не обязательно вредоносные файлы, но на них стоит обратить внимание:
612.jpg

Судя по всему, ложное срабатывание (файл идентифицирован по одному только имени файла), тем не менее, стоит хотя бы посмотреть дату создания, цифровые подписи, наличие активности и т.д.:
64.jpg

Программа нашла исполнимый файл Nmap:
65.jpg

Вероятно, ложное срабатывание (слишком общий паттерн поиска для Cloud Hopper):
66.jpg


Файл Microsoft Office содержащий функцию AutoOpen (такое редко встречается в нормальных офисных файлах):
Notice:
FILE: C:\Users\Alex\Downloads\INFO_0323310510_alexey\9806.doc SCORE: 40 TYPE: OLE SIZE: 90112
FIRST_BYTES: d0cf11e0a1b11ae1000000000000000000000000 /
MD5: 31746eb6e63d4d3dc913121b0a4f3146
SHA1: 49cb5f309931a282c466a8f4e0bc60773731fb76
SHA256: e5a489137478adc100409ca51e69f957991c3e0aad477a4de3bfea1fc41b10ee CREATED: Tue Jan 17 08:20:49 2017 MODIFIED: Tue Jan 17 06:05:01 2017 ACCESSED: Tue Jan 17 08:20:49 2017
REASON_1: Yara Rule MATCH: Office_AutoOpen_Macro SUBSCORE: 40 DESCRIPTION: Detects an Microsoft Office file that contains the AutoOpen Macro function MATCHES: Str1: AutoOpen Str2: Macros
 

Nopelus

Новичок
Сообщения
19
Реакции
1
0 руб.
Telegram
Огромное спасибо, давно искал подобный софт. Поставил бы симпу, если мог(

А такой вопрос что оно имеет ввиду. svhost.exe подозрительный владелец процесса? И как адекватно можно проверить что с данным файлом?
 

ndrjjzbv

Местный
Сообщения
114
Реакции
203
0 руб.
файл svhost.exe может быть запущен только от имени «Local Service, Система, Network Service» (можно посмотреть в диспетчере задач).
 

Nopelus

Новичок
Сообщения
19
Реакции
1
0 руб.
Telegram
файл svhost.exe может быть запущен только от имени «Local Service, Система, Network Service» (можно посмотреть в диспетчере задач).
Так и есть, я чекнул в диспетчере задач, но в логе там еще применяются команды к файлу.
 
Сверху Снизу