Перейти к содержанию

деактивация KES без прав, возможна ли?


Рекомендуемые сообщения

Добрый день. Сегодня ночью прошел шифровальщик. Сервер был не доменный, имелось 3 учетных записи администратора, собственно для администрирования сервера, и 2 учетных записи для программистов 1С.

Политикой касперского отключение разрешено только учеткой KLAdmin со сложным паролем. Как могли положить KES? из последних логов каспер успел удалить

Название: not-a-virus:HEUR:RiskTool.Win32.PowerTool.gen

Название: not-a-virus:HEUR:RiskTool.Win32.PCH.gen

после чего связь потерялась с сервером.

Данных конечно не вернуть, логи винды пустые, хотелось бы как то уберечься на будущее..

Ссылка на комментарий
Поделиться на другие сайты

В общем наверно вопрос отпал, оказывается есть и легальные ПО которые без проблем ставятся при включенной защите, и которые могут убивать процессы со статусом "отказано в доступе"..

Ссылка на комментарий
Поделиться на другие сайты

13 часов назад, tianddu сказал:

Как могли положить KES?

Как вариант, могли удалить агента администрирования, а дальше политика на KES сбрасывается и его возможно удалить. С правами администратора это реально сделать. 

Ссылка на комментарий
Поделиться на другие сайты

14 часов назад, tianddu сказал:

Как могли положить KES?

Все возможно с правами администратора и зависимости от версии антивируса. Самое простое: подключится удаленно с правами админа, перезагрузить ПК в безопасный режим и там грохнуть ветки антивируса, либо воспользоваться утилитой удаления. Поэтому нужно настраивать систему и антивирус под себя: https://support.kaspersky.ru/10952

Изменено пользователем Friend
Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, Friend сказал:

Все возможно с правами администратора и зависимости от версии антивируса. Самое простое: подключится удаленно с правами админа, перезагрузить ПК в безопасный режим и там грохнуть ветки антивируса, либо воспользоваться утилитой удаления. Поэтому нужно настраивать систему и антивирус под себя: https://support.kaspersky.ru/10952

 

Судя по логам (которые остались) очень долго пытались подобрать учетку входа, перебирали очень много русских слов типа "сергей, иван, админ" итд. Потом неожиданно смогли зайти под "администратор" при том что пароль там был сгенерирован из 20 символов, и ни кому не сливался. Не знаю как он мог утечь, но ладно. А потом очень долго пытались повысить права, опять же зачем это было делать если получили доступ? Причем в первую ночь касперский увидел сетевую атаку, и видимо даже смогли подключиться, но встретили на пути не отключаемого касперского который сразу сожрал всякие processhacker программы. Дальше оставили на следующую ночь эту проблему и поставили Wise Force Deleter. Но манипуляции с повышением прав мне так и не понятны, зачем?... Ну и последнее что увидел каспер было удаление бэкап программ, видимо следом полетел агент администрирования...

Спасибо за овтеты, думал каспер все таки более защищенный, будем думать как обезопаситься в дальнейшем)

 

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, tianddu сказал:

Потом неожиданно смогли зайти под "администратор"

Такие учётки лучше сразу блокировать или переименовывать.

1 час назад, tianddu сказал:

Дальше оставили на следующую ночь эту проблему и поставили Wise Force Deleter.

Были целые сутки чтобы обнаружить нелегальную установку. Похоже у Вас это дело никак не мониторится.

 

1 час назад, tianddu сказал:

видимо следом полетел агент администрирования

Агент защищён паролем от удаления? В политике агента:

image.thumb.png.ce9a108a31f61d24eca1350dd1b7835d.png

1 час назад, tianddu сказал:

думал каспер все таки более защищенный, будем думать как обезопаситься в дальнейшем)

Плохо сконфигурированный KES бесполезен. И конечно это далеко не панацея. Но при должном использовании в комплексе с другими средствами защиты и мониторинга в принципе достаточно не плохое решение для борьбы с мелкими хакерами))) По-моему у Вас тот самый случай.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, tianddu сказал:

Wise Force Deleter

Странно что с этим софтом смогли удалить антивирус, получается самозащита не сработала. Если так, тогда нужно обращаться в поддержку, чтобы пофиксили и не давали возможность вырубить процесс антивируса. https://companyaccount.kaspersky.com/account/login

 

Изменено пользователем Friend
Ссылка на комментарий
Поделиться на другие сайты

23 часа назад, Goddeimos13 сказал:

Такие учётки лучше сразу блокировать или переименовывать.

Все начинается всегда с малого.. Раньше в нем не было RDP потом они появились, потом сотрудники начали меняться, а меня об этом не своевременно уведомляли. Я об этом уже не раз предупреждал.. Но ничего не меняется..

Понятно что узнать имя учетки это уже 50% успеха, но пароль там был совершенно случайный.

10.11.2022 в 10:01, Goddeimos13 сказал:

Были целые сутки чтобы обнаружить нелегальную установку. Похоже у Вас это дело никак не мониторится.

Если мы говорим о пойманных processhacker программах, то да не отслеживалось, события обрабатываются в режиме "когда есть время". В целом там работают программисты, и у них даже есть скрипты связанные с 1с которые KES считает вредоносными. И об этом тоже было уведомлено руководство, Но работать же надо, программист хороший...

10.11.2022 в 10:01, Goddeimos13 сказал:

Агент защищён паролем от удаления? В политике агента:

Галки стоят. 

Вообще странно что политика антивируса падает при сносе агента, но истинного расклада уже не узнаешь.

22 часа назад, Friend сказал:

Странно что с этим софтом смогли удалить антивирус, получается самозащита не сработала.

ну видимо это был легальный софт после которого уже логов к KSC не прилетало.

Ссылка на комментарий
Поделиться на другие сайты

17 минут назад, tianddu сказал:

ну видимо это был легальный софт после которого уже логов к KSC не прилетало.

Стоит настроить белые и черные списки с помощью контроля программ, чтобы было так: «запрещено всё, что не разрешено» (Default Deny).

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, Friend сказал:

Стоит настроить белые и черные списки с помощью контроля программ, чтобы было так: «запрещено всё, что не разрешено» (Default Deny).

на программы ставящиеся без админ прав по типу "яндекс браузера" они будут срабатывать?

Изменено пользователем tianddu
Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, tianddu сказал:

на программы ставящиеся без админ прав по типу "яндекс браузера" они будут срабатывать?

Они будут срабатывать на любой исполняемый файл.

Замучаетесь добавлять белый список.

"Хорошие" программисты могут устроить тёмную)))

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tianddu
      От tianddu
      Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:
      Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.
      Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?
    • androv
      От androv
      Подключаюсь к серверу через Radmin VPN и нет доступа к KES. Помогите как это исправить.
    • zimok
      От zimok
      Коллеги, Добрый день!
      Прошу подсказать, а был ли опыт по возможности установки Kaspersky Endpoint Security for Windows по средством ansible ? Именно установкой по средством ansible роли и ОС Windows.
    • Asya
      От Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
    • К Дмитрий
      От К Дмитрий
      Добрый день,
      Служба поддержки не отвечает на мой запрос INC000017019830:
      "Для Управление сведениями учетной записи пришло сообщение с инструкцией. К сожалению, нет никакой возможности войти в личный кабинет пользуясь https://shop.kaspersky.ru/enduser-portal/login, так как учетные данные не воспринимаются. При сбросе пароля на почту ничего не приходит. Прошу исправить ошибку. При этом вход через MyKaspersky выполняется без проблем с теми же данными." Есть ли возможность исправить ошибку? Может ли служба поддержки ответить на вопрос?
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов
×
×
  • Создать...