Перейти к содержанию

деактивация KES без прав, возможна ли?


Рекомендуемые сообщения

Добрый день. Сегодня ночью прошел шифровальщик. Сервер был не доменный, имелось 3 учетных записи администратора, собственно для администрирования сервера, и 2 учетных записи для программистов 1С.

Политикой касперского отключение разрешено только учеткой KLAdmin со сложным паролем. Как могли положить KES? из последних логов каспер успел удалить

Название: not-a-virus:HEUR:RiskTool.Win32.PowerTool.gen

Название: not-a-virus:HEUR:RiskTool.Win32.PCH.gen

после чего связь потерялась с сервером.

Данных конечно не вернуть, логи винды пустые, хотелось бы как то уберечься на будущее..

Ссылка на сообщение
Поделиться на другие сайты

В общем наверно вопрос отпал, оказывается есть и легальные ПО которые без проблем ставятся при включенной защите, и которые могут убивать процессы со статусом "отказано в доступе"..

Ссылка на сообщение
Поделиться на другие сайты
13 часов назад, tianddu сказал:

Как могли положить KES?

Как вариант, могли удалить агента администрирования, а дальше политика на KES сбрасывается и его возможно удалить. С правами администратора это реально сделать. 

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, tianddu сказал:

Как могли положить KES?

Все возможно с правами администратора и зависимости от версии антивируса. Самое простое: подключится удаленно с правами админа, перезагрузить ПК в безопасный режим и там грохнуть ветки антивируса, либо воспользоваться утилитой удаления. Поэтому нужно настраивать систему и антивирус под себя: https://support.kaspersky.ru/10952

Изменено пользователем Friend
Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, Friend сказал:

Все возможно с правами администратора и зависимости от версии антивируса. Самое простое: подключится удаленно с правами админа, перезагрузить ПК в безопасный режим и там грохнуть ветки антивируса, либо воспользоваться утилитой удаления. Поэтому нужно настраивать систему и антивирус под себя: https://support.kaspersky.ru/10952

 

Судя по логам (которые остались) очень долго пытались подобрать учетку входа, перебирали очень много русских слов типа "сергей, иван, админ" итд. Потом неожиданно смогли зайти под "администратор" при том что пароль там был сгенерирован из 20 символов, и ни кому не сливался. Не знаю как он мог утечь, но ладно. А потом очень долго пытались повысить права, опять же зачем это было делать если получили доступ? Причем в первую ночь касперский увидел сетевую атаку, и видимо даже смогли подключиться, но встретили на пути не отключаемого касперского который сразу сожрал всякие processhacker программы. Дальше оставили на следующую ночь эту проблему и поставили Wise Force Deleter. Но манипуляции с повышением прав мне так и не понятны, зачем?... Ну и последнее что увидел каспер было удаление бэкап программ, видимо следом полетел агент администрирования...

Спасибо за овтеты, думал каспер все таки более защищенный, будем думать как обезопаситься в дальнейшем)

 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, tianddu сказал:

Потом неожиданно смогли зайти под "администратор"

Такие учётки лучше сразу блокировать или переименовывать.

1 час назад, tianddu сказал:

Дальше оставили на следующую ночь эту проблему и поставили Wise Force Deleter.

Были целые сутки чтобы обнаружить нелегальную установку. Похоже у Вас это дело никак не мониторится.

 

1 час назад, tianddu сказал:

видимо следом полетел агент администрирования

Агент защищён паролем от удаления? В политике агента:

image.thumb.png.ce9a108a31f61d24eca1350dd1b7835d.png

1 час назад, tianddu сказал:

думал каспер все таки более защищенный, будем думать как обезопаситься в дальнейшем)

Плохо сконфигурированный KES бесполезен. И конечно это далеко не панацея. Но при должном использовании в комплексе с другими средствами защиты и мониторинга в принципе достаточно не плохое решение для борьбы с мелкими хакерами))) По-моему у Вас тот самый случай.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, tianddu сказал:

Wise Force Deleter

Странно что с этим софтом смогли удалить антивирус, получается самозащита не сработала. Если так, тогда нужно обращаться в поддержку, чтобы пофиксили и не давали возможность вырубить процесс антивируса. https://companyaccount.kaspersky.com/account/login

 

Изменено пользователем Friend
Ссылка на сообщение
Поделиться на другие сайты
23 часа назад, Goddeimos13 сказал:

Такие учётки лучше сразу блокировать или переименовывать.

Все начинается всегда с малого.. Раньше в нем не было RDP потом они появились, потом сотрудники начали меняться, а меня об этом не своевременно уведомляли. Я об этом уже не раз предупреждал.. Но ничего не меняется..

Понятно что узнать имя учетки это уже 50% успеха, но пароль там был совершенно случайный.

10.11.2022 в 10:01, Goddeimos13 сказал:

Были целые сутки чтобы обнаружить нелегальную установку. Похоже у Вас это дело никак не мониторится.

Если мы говорим о пойманных processhacker программах, то да не отслеживалось, события обрабатываются в режиме "когда есть время". В целом там работают программисты, и у них даже есть скрипты связанные с 1с которые KES считает вредоносными. И об этом тоже было уведомлено руководство, Но работать же надо, программист хороший...

10.11.2022 в 10:01, Goddeimos13 сказал:

Агент защищён паролем от удаления? В политике агента:

Галки стоят. 

Вообще странно что политика антивируса падает при сносе агента, но истинного расклада уже не узнаешь.

22 часа назад, Friend сказал:

Странно что с этим софтом смогли удалить антивирус, получается самозащита не сработала.

ну видимо это был легальный софт после которого уже логов к KSC не прилетало.

Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, tianddu сказал:

ну видимо это был легальный софт после которого уже логов к KSC не прилетало.

Стоит настроить белые и черные списки с помощью контроля программ, чтобы было так: «запрещено всё, что не разрешено» (Default Deny).

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Friend сказал:

Стоит настроить белые и черные списки с помощью контроля программ, чтобы было так: «запрещено всё, что не разрешено» (Default Deny).

на программы ставящиеся без админ прав по типу "яндекс браузера" они будут срабатывать?

Изменено пользователем tianddu
Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, tianddu сказал:

на программы ставящиеся без админ прав по типу "яндекс браузера" они будут срабатывать?

Они будут срабатывать на любой исполняемый файл.

Замучаетесь добавлять белый список.

"Хорошие" программисты могут устроить тёмную)))

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • badkempachi
      От badkempachi
      Добрый день,
      Имеется необходимость обновлять базы KES с локального сервера http, в крайнем случае, ftp.
      Имеется статья по данному поводу https://support.kaspersky.com/KESWin/11.1.1/ru-RU/176856.htm
      Но подробнее информации как реализовать данную схему или готовых кейсов не нашел.
      Просьба подсказать, как можно реализовать это или по возможности поделиться опытом кто решал такую проблему.
      На форуме таких вопросов с решением не нашел.
    • михаил123
      От михаил123
      При обновлени баз, обновляется версия самой программы kes. 
      каким образом отключить эту функцию? помогите пожалуйста
    • Kaspernoob
      От Kaspernoob
      В ksc14, в нераспределенных устройствах, хочу создать правило на перемещение устройств в определенную группу. В не распределенных устройствах много лишних устройств. Как я могу распределить устройства в группу по имени. Имена всех нужных устройств начинаются у всех одинокого. Например PC-IT-001. Можно ли просто в условии по имени написать PC* (знаю, что из-за cимвол звездочка (*) заменяет любой набор символов в имени). Или как это можно сделать?

    • l0l0l0zh
      От l0l0l0zh
      Добрый день
      Для получения доступа к жесткому диску захожу в веб-консоль и нажимаю "Предоставить доступ к устройству в автономном режим" на MacOS
      Появляется окошко, где выбрана версия постоянной защиты, нажимаю снова "Получить ключ восстановления" и ничего не происходит, ключ не отображается

    • Kaspernoob
      От Kaspernoob
      В ksc 13 не отображаются никакие устройства в закладке доверенные устройства. При вводе hwid устройства (usb носителя) и ввода имени компьютера результат также нулевой. При выборе способа добавления(по идентификатору, по модели, по маске идентификатора/модели) аналогично Что может помочь?

×
×
  • Создать...