Перейти к содержанию

деактивация KES без прав, возможна ли?


Рекомендуемые сообщения

Добрый день. Сегодня ночью прошел шифровальщик. Сервер был не доменный, имелось 3 учетных записи администратора, собственно для администрирования сервера, и 2 учетных записи для программистов 1С.

Политикой касперского отключение разрешено только учеткой KLAdmin со сложным паролем. Как могли положить KES? из последних логов каспер успел удалить

Название: not-a-virus:HEUR:RiskTool.Win32.PowerTool.gen

Название: not-a-virus:HEUR:RiskTool.Win32.PCH.gen

после чего связь потерялась с сервером.

Данных конечно не вернуть, логи винды пустые, хотелось бы как то уберечься на будущее..

Ссылка на сообщение
Поделиться на другие сайты

В общем наверно вопрос отпал, оказывается есть и легальные ПО которые без проблем ставятся при включенной защите, и которые могут убивать процессы со статусом "отказано в доступе"..

Ссылка на сообщение
Поделиться на другие сайты
13 часов назад, tianddu сказал:

Как могли положить KES?

Как вариант, могли удалить агента администрирования, а дальше политика на KES сбрасывается и его возможно удалить. С правами администратора это реально сделать. 

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, tianddu сказал:

Как могли положить KES?

Все возможно с правами администратора и зависимости от версии антивируса. Самое простое: подключится удаленно с правами админа, перезагрузить ПК в безопасный режим и там грохнуть ветки антивируса, либо воспользоваться утилитой удаления. Поэтому нужно настраивать систему и антивирус под себя: https://support.kaspersky.ru/10952

Изменено пользователем Friend
Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, Friend сказал:

Все возможно с правами администратора и зависимости от версии антивируса. Самое простое: подключится удаленно с правами админа, перезагрузить ПК в безопасный режим и там грохнуть ветки антивируса, либо воспользоваться утилитой удаления. Поэтому нужно настраивать систему и антивирус под себя: https://support.kaspersky.ru/10952

 

Судя по логам (которые остались) очень долго пытались подобрать учетку входа, перебирали очень много русских слов типа "сергей, иван, админ" итд. Потом неожиданно смогли зайти под "администратор" при том что пароль там был сгенерирован из 20 символов, и ни кому не сливался. Не знаю как он мог утечь, но ладно. А потом очень долго пытались повысить права, опять же зачем это было делать если получили доступ? Причем в первую ночь касперский увидел сетевую атаку, и видимо даже смогли подключиться, но встретили на пути не отключаемого касперского который сразу сожрал всякие processhacker программы. Дальше оставили на следующую ночь эту проблему и поставили Wise Force Deleter. Но манипуляции с повышением прав мне так и не понятны, зачем?... Ну и последнее что увидел каспер было удаление бэкап программ, видимо следом полетел агент администрирования...

Спасибо за овтеты, думал каспер все таки более защищенный, будем думать как обезопаситься в дальнейшем)

 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, tianddu сказал:

Потом неожиданно смогли зайти под "администратор"

Такие учётки лучше сразу блокировать или переименовывать.

1 час назад, tianddu сказал:

Дальше оставили на следующую ночь эту проблему и поставили Wise Force Deleter.

Были целые сутки чтобы обнаружить нелегальную установку. Похоже у Вас это дело никак не мониторится.

 

1 час назад, tianddu сказал:

видимо следом полетел агент администрирования

Агент защищён паролем от удаления? В политике агента:

image.thumb.png.ce9a108a31f61d24eca1350dd1b7835d.png

1 час назад, tianddu сказал:

думал каспер все таки более защищенный, будем думать как обезопаситься в дальнейшем)

Плохо сконфигурированный KES бесполезен. И конечно это далеко не панацея. Но при должном использовании в комплексе с другими средствами защиты и мониторинга в принципе достаточно не плохое решение для борьбы с мелкими хакерами))) По-моему у Вас тот самый случай.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, tianddu сказал:

Wise Force Deleter

Странно что с этим софтом смогли удалить антивирус, получается самозащита не сработала. Если так, тогда нужно обращаться в поддержку, чтобы пофиксили и не давали возможность вырубить процесс антивируса. https://companyaccount.kaspersky.com/account/login

 

Изменено пользователем Friend
Ссылка на сообщение
Поделиться на другие сайты
23 часа назад, Goddeimos13 сказал:

Такие учётки лучше сразу блокировать или переименовывать.

Все начинается всегда с малого.. Раньше в нем не было RDP потом они появились, потом сотрудники начали меняться, а меня об этом не своевременно уведомляли. Я об этом уже не раз предупреждал.. Но ничего не меняется..

Понятно что узнать имя учетки это уже 50% успеха, но пароль там был совершенно случайный.

10.11.2022 в 10:01, Goddeimos13 сказал:

Были целые сутки чтобы обнаружить нелегальную установку. Похоже у Вас это дело никак не мониторится.

Если мы говорим о пойманных processhacker программах, то да не отслеживалось, события обрабатываются в режиме "когда есть время". В целом там работают программисты, и у них даже есть скрипты связанные с 1с которые KES считает вредоносными. И об этом тоже было уведомлено руководство, Но работать же надо, программист хороший...

10.11.2022 в 10:01, Goddeimos13 сказал:

Агент защищён паролем от удаления? В политике агента:

Галки стоят. 

Вообще странно что политика антивируса падает при сносе агента, но истинного расклада уже не узнаешь.

22 часа назад, Friend сказал:

Странно что с этим софтом смогли удалить антивирус, получается самозащита не сработала.

ну видимо это был легальный софт после которого уже логов к KSC не прилетало.

Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, tianddu сказал:

ну видимо это был легальный софт после которого уже логов к KSC не прилетало.

Стоит настроить белые и черные списки с помощью контроля программ, чтобы было так: «запрещено всё, что не разрешено» (Default Deny).

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Friend сказал:

Стоит настроить белые и черные списки с помощью контроля программ, чтобы было так: «запрещено всё, что не разрешено» (Default Deny).

на программы ставящиеся без админ прав по типу "яндекс браузера" они будут срабатывать?

Изменено пользователем tianddu
Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, tianddu сказал:

на программы ставящиеся без админ прав по типу "яндекс браузера" они будут срабатывать?

Они будут срабатывать на любой исполняемый файл.

Замучаетесь добавлять белый список.

"Хорошие" программисты могут устроить тёмную)))

  • Улыбнуло 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Timur644
      От Timur644
      Доброго дня всем.
      Антивирус KES последний раз активировал 3 года назад, сейчас забыл как происходит активация.
      Нынешней работе стоит KES 12.6, Kaspersky Security for Linux Mail Server 8.0.3.30. для нескольких доменов. (про него прочитал что тоже через Сервер активируется)
      Лицензия истекает 13.10.2024, ключ уже есть.
      Подскажите пожалуйста как быть с активацией, ближе к дате надо запустить задачу или в тот день?
    • tianddu
      От tianddu
      Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:
      Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.
      Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?
    • ГГеоргий
      От ГГеоргий
      В процессе локальной установки  КЕС на устройство, оно выключилось и включилось уже с синим экраном
      error code 0xc00000f 
       "The operating system couldnt be loaded because a critical driver  missing or contains error" File: \Windows\System32\DRIVERS\Klelam.sys.
      в Safemode зайти не удается - всё равно выкидывает ошибку
      точки восстановления нет
      что делать? 
      мы ставили на два идентичных устройства до этого - всё прошло успешно
       
    • rumslava
      От rumslava
      Добрый день,
      У нас используется лицензия Kaspersky Endpoint Security для бизнеса Стандартный
      После обновления KES до версии 12.6 на серверных ОС стали недоступны некоторые компоненты:
      - Контроль устройств;
      - Контроль приложений;
      - Веб контроль;
      - Защита от веб угроз;
      - Защита от почтовых угроз.
      Из-за этого значок Касперского в трее подсвечен теперь серым цветом, что немного раздражает. Как это исправить? Произошли какие-то изменения в лицензионной политике серверных ОС?  На клиентских ОС такой проблемы не наблюдается. 
    • Виталий Чебыкин
      От Виталий Чебыкин
      Добрый день, хотел бы поинтересоваться почему после обновления версии в моем случае с KES 11.8 до 12.3 версия для Window, ПК просит перезагрузку? Хотя компьютер периодически выключается и включается но все равно требует перезагрузку. Можно ли как то включить обновление версии при выключении/включении ПК? как например это происходит с обновлениями Windows. 
       
      PS  Стоит ли задача перед разработчиками о возможности обновлений при выключении/включении ПК?
×
×
  • Создать...