Перейти к содержанию

деактивация KES без прав, возможна ли?

tianddu

Автор tianddu
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

tianddu

tianddu

Опубликовано
Опубликовано

Добрый день. Сегодня ночью прошел шифровальщик. Сервер был не доменный, имелось 3 учетных записи администратора, собственно для администрирования сервера, и 2 учетных записи для программистов 1С.

Политикой касперского отключение разрешено только учеткой KLAdmin со сложным паролем. Как могли положить KES? из последних логов каспер успел удалить

Название: not-a-virus:HEUR:RiskTool.Win32.PowerTool.gen

Название: not-a-virus:HEUR:RiskTool.Win32.PCH.gen

после чего связь потерялась с сервером.

Данных конечно не вернуть, логи винды пустые, хотелось бы как то уберечься на будущее..

tianddu

tianddu

Опубликовано
  • Автор
Опубликовано

В общем наверно вопрос отпал, оказывается есть и легальные ПО которые без проблем ставятся при включенной защите, и которые могут убивать процессы со статусом "отказано в доступе"..

mike 1

mike 1

Опубликовано
Опубликовано
13 часов назад, tianddu сказал:

Как могли положить KES?

Как вариант, могли удалить агента администрирования, а дальше политика на KES сбрасывается и его возможно удалить. С правами администратора это реально сделать. 

Friend

Friend

Опубликовано
Опубликовано (изменено)
14 часов назад, tianddu сказал:

Как могли положить KES?

Все возможно с правами администратора и зависимости от версии антивируса. Самое простое: подключится удаленно с правами админа, перезагрузить ПК в безопасный режим и там грохнуть ветки антивируса, либо воспользоваться утилитой удаления. Поэтому нужно настраивать систему и антивирус под себя: https://support.kaspersky.ru/10952

Изменено пользователем Friend
tianddu

tianddu

Опубликовано
  • Автор
Опубликовано
8 часов назад, Friend сказал:

Все возможно с правами администратора и зависимости от версии антивируса. Самое простое: подключится удаленно с правами админа, перезагрузить ПК в безопасный режим и там грохнуть ветки антивируса, либо воспользоваться утилитой удаления. Поэтому нужно настраивать систему и антивирус под себя: https://support.kaspersky.ru/10952

 

Судя по логам (которые остались) очень долго пытались подобрать учетку входа, перебирали очень много русских слов типа "сергей, иван, админ" итд. Потом неожиданно смогли зайти под "администратор" при том что пароль там был сгенерирован из 20 символов, и ни кому не сливался. Не знаю как он мог утечь, но ладно. А потом очень долго пытались повысить права, опять же зачем это было делать если получили доступ? Причем в первую ночь касперский увидел сетевую атаку, и видимо даже смогли подключиться, но встретили на пути не отключаемого касперского который сразу сожрал всякие processhacker программы. Дальше оставили на следующую ночь эту проблему и поставили Wise Force Deleter. Но манипуляции с повышением прав мне так и не понятны, зачем?... Ну и последнее что увидел каспер было удаление бэкап программ, видимо следом полетел агент администрирования...

Спасибо за овтеты, думал каспер все таки более защищенный, будем думать как обезопаситься в дальнейшем)

 

Goddeimos13

Goddeimos13

Опубликовано
Опубликовано
1 час назад, tianddu сказал:

Потом неожиданно смогли зайти под "администратор"

Такие учётки лучше сразу блокировать или переименовывать.

1 час назад, tianddu сказал:

Дальше оставили на следующую ночь эту проблему и поставили Wise Force Deleter.

Были целые сутки чтобы обнаружить нелегальную установку. Похоже у Вас это дело никак не мониторится.

 

1 час назад, tianddu сказал:

видимо следом полетел агент администрирования

Агент защищён паролем от удаления? В политике агента:

image.thumb.png.ce9a108a31f61d24eca1350dd1b7835d.png

1 час назад, tianddu сказал:

думал каспер все таки более защищенный, будем думать как обезопаситься в дальнейшем)

Плохо сконфигурированный KES бесполезен. И конечно это далеко не панацея. Но при должном использовании в комплексе с другими средствами защиты и мониторинга в принципе достаточно не плохое решение для борьбы с мелкими хакерами))) По-моему у Вас тот самый случай.

Friend

Friend

Опубликовано
Опубликовано (изменено)
2 часа назад, tianddu сказал:

Wise Force Deleter

Странно что с этим софтом смогли удалить антивирус, получается самозащита не сработала. Если так, тогда нужно обращаться в поддержку, чтобы пофиксили и не давали возможность вырубить процесс антивируса. https://companyaccount.kaspersky.com/account/login

 

Изменено пользователем Friend
tianddu

tianddu

Опубликовано
  • Автор
Опубликовано
23 часа назад, Goddeimos13 сказал:

Такие учётки лучше сразу блокировать или переименовывать.

Все начинается всегда с малого.. Раньше в нем не было RDP потом они появились, потом сотрудники начали меняться, а меня об этом не своевременно уведомляли. Я об этом уже не раз предупреждал.. Но ничего не меняется..

Понятно что узнать имя учетки это уже 50% успеха, но пароль там был совершенно случайный.

10.11.2022 в 10:01, Goddeimos13 сказал:

Были целые сутки чтобы обнаружить нелегальную установку. Похоже у Вас это дело никак не мониторится.

Если мы говорим о пойманных processhacker программах, то да не отслеживалось, события обрабатываются в режиме "когда есть время". В целом там работают программисты, и у них даже есть скрипты связанные с 1с которые KES считает вредоносными. И об этом тоже было уведомлено руководство, Но работать же надо, программист хороший...

10.11.2022 в 10:01, Goddeimos13 сказал:

Агент защищён паролем от удаления? В политике агента:

Галки стоят. 

Вообще странно что политика антивируса падает при сносе агента, но истинного расклада уже не узнаешь.

22 часа назад, Friend сказал:

Странно что с этим софтом смогли удалить антивирус, получается самозащита не сработала.

ну видимо это был легальный софт после которого уже логов к KSC не прилетало.

Friend

Friend

Опубликовано
Опубликовано
17 минут назад, tianddu сказал:

ну видимо это был легальный софт после которого уже логов к KSC не прилетало.

Стоит настроить белые и черные списки с помощью контроля программ, чтобы было так: «запрещено всё, что не разрешено» (Default Deny).

tianddu

tianddu

Опубликовано
  • Автор
Опубликовано (изменено)
2 минуты назад, Friend сказал:

Стоит настроить белые и черные списки с помощью контроля программ, чтобы было так: «запрещено всё, что не разрешено» (Default Deny).

на программы ставящиеся без админ прав по типу "яндекс браузера" они будут срабатывать?

Изменено пользователем tianddu
Goddeimos13

Goddeimos13

Опубликовано
Опубликовано
3 минуты назад, tianddu сказал:

на программы ставящиеся без админ прав по типу "яндекс браузера" они будут срабатывать?

Они будут срабатывать на любой исполняемый файл.

Замучаетесь добавлять белый список.

"Хорошие" программисты могут устроить тёмную)))

  • Улыбнуло 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • spb-co
      После установки Endpoint Secrity сразу повреждены базы.
      Автор spb-co
      Здравствуйте.
      При установке 12 версии KES на главной странице пишет, что повреждены базы. Вкладка лицензия недоступна, все элементы защиты в оранжевом цвете.
      Удаление утилитой, чистка реестра, файлов не помогает.
      Установка проходит без проблем.
    • Rgn
      Как обновить ПО с помощью KSC
      Автор Rgn
      Добрый день, коллеги
      Подскажите, как  можно производиться обновление ПО с помощью KSC.
      В разделе обновления программного обеспечения  одобрил   обновления Google Chrome.
      Требуется ли  создавать задачу на устранения, если да то как?
       
    • SkhodnyaRUS
      Отключение защиты на устройствах
      Автор SkhodnyaRUS
      Добрый день. Я начинающий специалист, пытающийся понять тонкости работы KES'a на практике.

      При просмотре состояния рабочих станций в их свойствах во вкладке "События", вижу что, постоянно отключается Защита
      Где-то от имени системной учетной записи NT\AUTHORITY, где-то от имени пользователя.

      Помогите, пожалуйста, разобраться в последовательности действий, чтобы понять, в чем может быть проблема.
      Есть предположение что на устройстве установлены 2 версии KES одновременно (допустим 12.10 и 12.9) и они между собой конфликтуют.

      Прикладываю скриншоты 
      1) на устройстве стоит 1 KES 12.7 - тут более менее понятно, защиту отключает пользователь, а задачи от имени системной учетки не удается выполнить.
      (это как понял я, поправьте если что-то мог пропустить)

      2) на устройстве стоит 2 KES'a *(12.9 и 12.8)
      Вот тут я не понимаю последовательность действий, вроде где-то события говорят о том что защита была отключена активным пользователем, а где-то системой

      Понимаю, что вопросы могут быть слишком простыми, но все же, если не сложно, помогите разобраться.

      Заранее благодарю!
       
       
    • Rgn
      После установки kas на mac начинает отключается WIfi
      Автор Rgn
      Добрый день
      после ecnfyjdrb антивирус на MacOS через каждые 30 минут начинает отключаться wifi,
      подскажите с чем возникнуть данная проблема ?
       
    • cybsecman
      Давно не подкючались в агентах администрирование на Сервере Администрирование KSC
      Автор cybsecman
      На агенты администрирование доходят обновление продукта.  Но сам Агент администрирование и kes выключены на них. Если смотреть на их статус на сервере администрирование выводит статус "Давно не подключались". Устройство периодически включается и происходит деятельность. Но Агент не включается. Вручную включить не могу не агента не kes. Оба кнопки активации не активны. 
×
×
  • Создать...