От
Erd1nele
Здравствуйте уважаемые специалисты. Вот уже 2 дня у меня сгорает 5я точка от непонимания происходящего.
Логи приложу ниже. Но сначала краткий пролог.
я разработчик и слегка сис.админ. с безопасностью почти на "ты".,,
Позавчера (07.01.2023) мне принесли новые потроха железа хорошего я и собрал рабочую станцию своим коллегам с которым нахожусь (важно) - можно сказать живу 24/7 (живу). Это важно. этим я хотел сказать, что ничего запустить лишнего на ПК нельзя.
Рабочая станция с чистой лицензионной Windows 10 Pro. Лицензией KTS и коротким набором ПО для работы Adobe Cloud (лицензия и все входящие в него ПО в виде фотошопа, премьера и прочего). Телеграмм, Termius, Outline, Dolphyn Anty. Последний - в списке достаточно специфичное ПО которое на базе хромиума делает много браузеров со своими отпечатками и прочим. Это нужно для работы. Весь прошлый год у коллег он детектировался другими антивирусами как вирус, но таковым никогда не являлся. То есть еще раз: чистая как слеза Win10, все ПО лицензия.
С точки зрения безопасности: AppLocker c белым листом ПО (только то, что выше перечислил). Users (работа из под пользователя а не администраторов), запрет запуска VBS/VBE, KTS и так далее. Плюс конечно СИ - мои коллеги достаточно опытны, чтобы не заходить на сайты БеЗрЕгИсТрацИи и смс. Да и не нужно это - есть краткий и четкий набор софта для работы.
Теперь о нюансах. Наверняка все знают, что сейчас творится в мире и в моей стране идет война. Имея на руках один системный блок (всего один) и не имея средств на покупку второго и третьего (нас трое) мы нашли интересное решение как ASTER - это софт который позволяет аппаратно отделить мышки и клавиатуры с минимальным вмешательством в ОС и разбить мониторы. Таким образом на одном мощном ПК в условиях беженца можно работать втроем. Это радует.
И вот на такой истории вчера вылетела плашка "обнаружена вредоносная программа". системная память (то есть она УЖЕ там в системной памяти - а как мы помним от администратора коллеги не работают и там настройки до зубов + каспеский в режиме среднем + ни кто ничего левого не запускал, да и не возможно это сделать - политика настроена. Я остановил всю работу. перезагрузили с лечением. В логах касперского не было процесса конкретно - просто загружен в память. А это значит, что сигнатура была известна и по логике была запущена (нет, не возможно) и скачана (нет, не возможно). Соответственно так как мы работаем с данными, которые пролетают в буфере обмена, что являются важными для нас - мы просто обязаны расследовать инцидент. Моего скилла не хватает, не мой профиль - прошу помощи специалистов. Так как важно не только понять - ложное ли это срабатывание эвристики KTS или же это действительно неведомая зверушка (если так - то крайне важно понять какой магией она попала на рабочий ПК).
Согласно правилам оформления темы я должен был прикрепить логи - но параноидально проверив .exe сборщика логов получил 2 совпадения
https://www.virustotal.com/gui/file/5d7547003fb816def9769f9bcaec1ec297041e99535b8fbb27ced2170dcb52da/detection (это нормально для сборщика логов?)
Добавлю, что после перезагрузки с лечением сегодня (только что) эта штука опять "появилась" в памяти - при этом запущен стандартный набор ПО - Dolphyn Anty, Telegram, Termius, Chrome..
От Erd1nele
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.