Перейти к содержанию

деактивация KES без прав, возможна ли?


Рекомендуемые сообщения

Добрый день. Сегодня ночью прошел шифровальщик. Сервер был не доменный, имелось 3 учетных записи администратора, собственно для администрирования сервера, и 2 учетных записи для программистов 1С.

Политикой касперского отключение разрешено только учеткой KLAdmin со сложным паролем. Как могли положить KES? из последних логов каспер успел удалить

Название: not-a-virus:HEUR:RiskTool.Win32.PowerTool.gen

Название: not-a-virus:HEUR:RiskTool.Win32.PCH.gen

после чего связь потерялась с сервером.

Данных конечно не вернуть, логи винды пустые, хотелось бы как то уберечься на будущее..

Ссылка на сообщение
Поделиться на другие сайты

В общем наверно вопрос отпал, оказывается есть и легальные ПО которые без проблем ставятся при включенной защите, и которые могут убивать процессы со статусом "отказано в доступе"..

Ссылка на сообщение
Поделиться на другие сайты
13 часов назад, tianddu сказал:

Как могли положить KES?

Как вариант, могли удалить агента администрирования, а дальше политика на KES сбрасывается и его возможно удалить. С правами администратора это реально сделать. 

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, tianddu сказал:

Как могли положить KES?

Все возможно с правами администратора и зависимости от версии антивируса. Самое простое: подключится удаленно с правами админа, перезагрузить ПК в безопасный режим и там грохнуть ветки антивируса, либо воспользоваться утилитой удаления. Поэтому нужно настраивать систему и антивирус под себя: https://support.kaspersky.ru/10952

Изменено пользователем Friend
Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, Friend сказал:

Все возможно с правами администратора и зависимости от версии антивируса. Самое простое: подключится удаленно с правами админа, перезагрузить ПК в безопасный режим и там грохнуть ветки антивируса, либо воспользоваться утилитой удаления. Поэтому нужно настраивать систему и антивирус под себя: https://support.kaspersky.ru/10952

 

Судя по логам (которые остались) очень долго пытались подобрать учетку входа, перебирали очень много русских слов типа "сергей, иван, админ" итд. Потом неожиданно смогли зайти под "администратор" при том что пароль там был сгенерирован из 20 символов, и ни кому не сливался. Не знаю как он мог утечь, но ладно. А потом очень долго пытались повысить права, опять же зачем это было делать если получили доступ? Причем в первую ночь касперский увидел сетевую атаку, и видимо даже смогли подключиться, но встретили на пути не отключаемого касперского который сразу сожрал всякие processhacker программы. Дальше оставили на следующую ночь эту проблему и поставили Wise Force Deleter. Но манипуляции с повышением прав мне так и не понятны, зачем?... Ну и последнее что увидел каспер было удаление бэкап программ, видимо следом полетел агент администрирования...

Спасибо за овтеты, думал каспер все таки более защищенный, будем думать как обезопаситься в дальнейшем)

 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, tianddu сказал:

Потом неожиданно смогли зайти под "администратор"

Такие учётки лучше сразу блокировать или переименовывать.

1 час назад, tianddu сказал:

Дальше оставили на следующую ночь эту проблему и поставили Wise Force Deleter.

Были целые сутки чтобы обнаружить нелегальную установку. Похоже у Вас это дело никак не мониторится.

 

1 час назад, tianddu сказал:

видимо следом полетел агент администрирования

Агент защищён паролем от удаления? В политике агента:

image.thumb.png.ce9a108a31f61d24eca1350dd1b7835d.png

1 час назад, tianddu сказал:

думал каспер все таки более защищенный, будем думать как обезопаситься в дальнейшем)

Плохо сконфигурированный KES бесполезен. И конечно это далеко не панацея. Но при должном использовании в комплексе с другими средствами защиты и мониторинга в принципе достаточно не плохое решение для борьбы с мелкими хакерами))) По-моему у Вас тот самый случай.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, tianddu сказал:

Wise Force Deleter

Странно что с этим софтом смогли удалить антивирус, получается самозащита не сработала. Если так, тогда нужно обращаться в поддержку, чтобы пофиксили и не давали возможность вырубить процесс антивируса. https://companyaccount.kaspersky.com/account/login

 

Изменено пользователем Friend
Ссылка на сообщение
Поделиться на другие сайты
23 часа назад, Goddeimos13 сказал:

Такие учётки лучше сразу блокировать или переименовывать.

Все начинается всегда с малого.. Раньше в нем не было RDP потом они появились, потом сотрудники начали меняться, а меня об этом не своевременно уведомляли. Я об этом уже не раз предупреждал.. Но ничего не меняется..

Понятно что узнать имя учетки это уже 50% успеха, но пароль там был совершенно случайный.

10.11.2022 в 10:01, Goddeimos13 сказал:

Были целые сутки чтобы обнаружить нелегальную установку. Похоже у Вас это дело никак не мониторится.

Если мы говорим о пойманных processhacker программах, то да не отслеживалось, события обрабатываются в режиме "когда есть время". В целом там работают программисты, и у них даже есть скрипты связанные с 1с которые KES считает вредоносными. И об этом тоже было уведомлено руководство, Но работать же надо, программист хороший...

10.11.2022 в 10:01, Goddeimos13 сказал:

Агент защищён паролем от удаления? В политике агента:

Галки стоят. 

Вообще странно что политика антивируса падает при сносе агента, но истинного расклада уже не узнаешь.

22 часа назад, Friend сказал:

Странно что с этим софтом смогли удалить антивирус, получается самозащита не сработала.

ну видимо это был легальный софт после которого уже логов к KSC не прилетало.

Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, tianddu сказал:

ну видимо это был легальный софт после которого уже логов к KSC не прилетало.

Стоит настроить белые и черные списки с помощью контроля программ, чтобы было так: «запрещено всё, что не разрешено» (Default Deny).

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Friend сказал:

Стоит настроить белые и черные списки с помощью контроля программ, чтобы было так: «запрещено всё, что не разрешено» (Default Deny).

на программы ставящиеся без админ прав по типу "яндекс браузера" они будут срабатывать?

Изменено пользователем tianddu
Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, tianddu сказал:

на программы ставящиеся без админ прав по типу "яндекс браузера" они будут срабатывать?

Они будут срабатывать на любой исполняемый файл.

Замучаетесь добавлять белый список.

"Хорошие" программисты могут устроить тёмную)))

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • ping_pig
      От ping_pig
      Добрый день!
       
      Могли бы подсказать по такому вопросу, касательно настройки KES на Linux.
      Используется KSC 14.2.0.26967 и KES 12.1.0.506
      На Linux пробовал на - AstraLinux и Ubuntu
       
      Есть ли возможность настройки для просмотра через Реестр программ в свойствах Устройства, списка установленного ПО на компьютере с Linux?
      С Windows список установленного ПО в KSC подтягивается нормально.
      А вот с Linux в Реестре программ пусто.
      Есть ли вообще такая возможность или для Linux это не реализовано?
    • jobsdata
      От jobsdata
      Добрый день. Столкнулся с такой проблемой.
      На 2024 год купили лицензию на 100 ПК, скачал с оф. сайта установщик 12 версии.
      Ставлю чистую Windows 8.1, ставлю Агента администрирования, ставлю KES 12.
      При установке драйверов на принтера (один по USB, другой по сети), все ставится, принтера печатают пробные страницы, НО в Устройствах и принтерах их НЕ видно!
      Зайти в программу, например в Word, в списке принтеров их можно выбрать, они печатают.
      Потом через какое то время они появляются в Устройствах и принтера.
      Ставил так на 4 компьютера (Windows 8.1, Агента, KES) - вроде жалоб пока нет, что не видно принтера.
       
      Сейчас поставил на 2 ПК (Windows 8.1, Агента, KES) - пробные страницы ОК. На следующий день отваливается Сетевой принтер - не доступен.
       
      В общем что я хотел спросить, где в KSC отключить так, чтоб Kaspersky вообще не приставал к принтерам? Не к сетевым, не по USB которые...
       
      Я в KSC, в Политике, добавил все принтера (см. картинку)
       
      Поможет мне это?

    • korsun
      От korsun
      Здравствуйте,
      есть задача получить отчёт о посещённых (не только запрещённых) сайтах пользователей. kes 11.6 ksc 12.
      много перечитал, но везде говорят о том что такой отчёт возможен только в локальном интерфейсе пользователя. и он там у меня создается, но задача в другом, нужно в ksc.
      может в более новых версиях такое есть?
       
    • Nova Blossom
      От Nova Blossom
      Добрый день!
      Подскажите, можно ли сделать связность от ксц до кесов только по tcp? В обратную сторону не интересует.
      В документации не нашел информации, но мало ли...
    • МаркМанагер
      От МаркМанагер
      Здравствуйте.
       
      На Astra Linux 1.7 не удается установить KES 11.3.
      При выполнении настройки /opt/kaspersky/kesl/bin/kesl-setup.pl
      завершается ошибкой:
      Fatal error: Соединение запрещено. Неверные данные пользователя для '/var'. Только пользователи root должны иметь права на запись по этому пути.
      Советы из поменять права на / или /var  777либо 755 не помогли.
       
      Помогите разобраться.
       
×
×
  • Создать...