Установка касперского: Инструкция по установке Kaspersky Internet Security 2021

Удаленная установка программ через Kaspersky Security Center

Одним из несомненных преимуществ для системного администратора в Kaspersky Security Center является возможность удаленного распространения инсталляционных пакетов на компьютеры в локальной сети. Изначально данная функция задумывалась Лабораторией Касперского для доставки антивируса на машины в локальной сети. Но развертывание антивирусной защиты — лишь малая толика того, чем может помочь KSC системному администратору.

Kaspersky Security Center поддерживает следующие типы файлов: exe, msi, msp, cmd и bat. Последние два формата очень важны для сисадмина, так как позволяют распространять через KSC различного вида скрипты, причем незаметно для пользователя.

В прошлый раз мы рассматривали создание bat-файла для включения локальной групповой политики по очистке файла подкачки виртуальной памяти. Используем этот файл в качестве примера и распространим его посредством Kaspersky Security Center. Для этого перейдем в консоли KSC в раздел задачи и выберем Создать задачу.

Запустится Мастер создания задачи. Внизу списка находим тип задачи Удаленная установка программы.

Так как мы добавляем на сервер свой файл, естественно, что его не будет в списке, и нужно нажать кнопку Новый.

В данном случае наш bat-файл не относится к продуктам Лаборатории Касперского, поэтому выбираем второй вариант.

Что касается остальных двух вариантов, то первый позволяет загрузить инсталлятор ПО Лаборатории Касперского из exe-файла или специальных файлов описания программы kud или kpd. Внутри файла заданы версия продукта, имя программы инсталлятора, параметры установки и описание ошибок. Разница между двумя форматами только в используемой кодировке: kpd-файл использует кодировку ANSI, kud — Unicode. Одного только kpd или kud-файла для создания пакета недостаточно. Данные файлы идут в составе дистрибутива.

Третий вариант позволяет формировать инсталляционный пакет на основе записей о продуктах в базе Лаборатории Касперского.

Следующим шагом является задание имени инсталляционному пакету. По этому имени пакет будет отображаться среди других пакетов на сервере KSC.

После этого надо указать непосредственно файл, из которого будет сформирован пакет. Напомню, что Kaspersky Security Center поддерживает файлы exe, msi, msp, cmd и bat. Для продуктов Лаборатории Касперского возможно использование специальных файлов kud и kpd.

Выбираем файл, из которого хотим сформировать инсталляционный пакет.

На следующем шаге можно добавить специальные параметры запуска. Также Kaspersky Security Center может скопировать всю папку, в которой находится исполняемый файл. Это бывает необходимо, если папка содержит необходимые для установки файлы. В случае с нашим bat-файлом никаких дополнительных манипуляций не требуется.

После всех настроек файл будет загружен на сервер KSC.

Об успешной загрузке оповестит следующее окно:

После этого возвращаемся к задаче удаленной установки. Наш пакет появился в списке. Выбираем его.

Как правило, форсирование установки средствами Агента администрирования и Сервера администрирования вполне достаточно. Если Вы хотите принудительно установить программу, даже если она уже установлена, снимите галочку «Не устанавливать программу, если она уже установлена».

На следующем шаге требуется выбрать компьютеры, на которые нужно установить программу (в нашем случае — распространить скрипт). Имя или адрес компьютеров можно ввести вручную, либо же выбрать уже сформированные сервером KSC группы, выборки или отдельные машины.

В нашем примере мы выбираем компьютер, который уже добавлен на сервер администрирования.

Если на компьютере установлен Агент администрирования KSC, то указывать учетную запись, от имени которой будет запускаться установка, не обязательно. Помните, что в абсолютном большинстве случаев учетная запись должна обладать администраторскими правами на компьютерах, где будет проводиться установка.

Следующий шаг — выбор расписания запуска.

Ну и под конец — выбор имени для задачи.

На последнем шаге Мастер создания задачи предложит Вам запустить задачу сразу по завершении процедуры создания.

Если процесс установки пройдет успешно, вы увидите следующую картину:

В целом, удаленная установка приложений через Kaspersky Security Center — задача очень простая и сильно упрощающая жизнь системному администратору.

Удаленная установка программ с использованием Kaspersky Security Center / Хабр

Большое количество статей описывает  — как удаленно установить приложение на несколько компьютеров в доменной сети (AD). Но многие сталкиваются с проблемой поиска или создания подходящих пакетов установки Windows Installer (MSI).

Действительно. Для того что бы установить всем пользователям группы, например, FireFox — необходимо или собрать MSI-пакет самостоятельно (довольно подробно описано в данной статье), или скачать на соответствующем сайте подходящий. Единственное, в первом случае — на самом-то деле — задача, весьма не тривиальная, а во втором — мы получаем пакет настроенные таким образом, как захотелось его создателю, да еще и по факту модифицированный (сомнительный, но минус).

Если в вашей организации в качестве антивирусной защиты используются продукты компании «Лаборатория Касперского» — и вы используете сервер администрирования — вы можете устанавливать удаленно программы даже из *.exe пакетов, используя ключи — для управления параметрами установки.

Параметры тихой установки


Большинство программ можно установить в «тихом» режиме, например тут есть таблица с большим количеством часто используемых программ, и поддерживаемые передаваемые параметры — при установке. Так же здесь можно найти большое количество передаваемых параметров установки.

Таким образом нам нужно:

  • Скачать стандартный дистрибутив нужной нам программы с сайта разработчика (или откуда вы их обычно берете)

  • Найти в интернете какие ключи «тихой» установки поддерживает используемая программа

  • Установить программу на пользовательский ПК, используя Kaspersky Security Center

Для этого нужно подготовить пакет установки в Kaspersky Administration Kit (KSC). И задачей или вручную установить на нужные компьютеры.

Панель администрирования — дает полную управляемость (при установке) сравнимую с администрированием через групповые политики Win-server’а, а для меня даже удобнее — меньше всяких фокусов — меньше шансов ошибиться 😉

Если вы будете назначать установку программ вручную, или у вас все пользователи используют одинаковый набор программ — то можете пропустить этот раздел, но если же у вас в организации разным отделам устанавливается разное ПО — этим отделам можно назначить разные группы, для которых будут использоваться разные задачи.

Группы пользователей в KSC разделяются — аналогично структуре используемой в AD — каталоги и под каталоги. Задачи и политики используемые в родительских группах применяются всем дочерним группам.

Таким образом можно, например, всем пользователям компании установить FireFox и Chrome, и только дизайнерам Photoshop.

Итак приступим:


1) Для создания инсталляционного пакета необходимо перейти в подраздел «Инсталляционные пакеты» раздела «Хранилища» в панели управления KSC. Там мы увидим список созданных ИП, возможность создать новый, а так же редактировать или удалить существующий.

Новый инсталляционный пакет создается просто: вы указываете его имя (то как он будет отображаться в KSC), выбираете «ИП для программы, указанной пользователем», указываете пусть к программе (exe, bat, cmd, msi) и указываете параметры запуска (ключи тихой установки).

Затем указанный пакет можно будет использовать для установки на удаленные компьютеры.

2) Теперь нам нужно создать задачу для установки созданного пакета. Если вы раньше работали с KSC, или с его предыдущим аналогом Adminkit. То сам процесс создания задачи — для вас не составит труда.

Можно либо создать задачу перейдя в папку соответствующей группы, и перейдя на вкладку «Задачи» — создать новую задачу. Либо Перейдя в Раздел «Задачи для наборов компьютеров» — создать новую задачу.

Задаем имя созданной задачи, и выбираем тип задачи «Удаленная установка программы».

Выбираем программу которую мы хотим устанавливать, каким группам пользователей будет назначена эта задача, и указываем пользователя которому позволено устанавливать ПО на все из используемых компьютеров (обычно — администратор домена).

Единственное, в плане настроек — мы ограничиваемся только теми параметрами, которые разрешает передавать разработчик при установки программы, и настроить прокси-сервер в браузере через командную строку нам вряд ли удастся. Но тут нам на помощь идут уже стандартные групповые политики AD. Ведь обычно у альтернативных браузеров -используются системные настройки прокси, а их мы можем назначить нужным пользователям через AD. 😉

В вирусе Stuxnet обнаружен код Flame: эксперты

Джим Финкл, Джозеф Менн оружие, которое, по широко распространенному мнению, использовалось Соединенными Штатами и Израилем для нападения на ядерную программу Ирана.

Евгений Касперский, председатель и главный исполнительный директор «Лаборатории Касперского», выступает на конференции по кибербезопасности в Тель-Авивском университете 6 июня 2012 г. REUTERS/Baz Ratner

Евгений Касперский, исполнительный директор московской «Лаборатории Касперского», которая обнаружила Flame в прошлом месяце, заявил в понедельник на саммите Reuters Global Media and Technology Summit, что его исследователи с тех пор обнаружили, что часть кода программы Flame почти идентична коду, найденному в версия Stuxnet 2009 года.

Позже в тот же день крупнейшая компания по обеспечению безопасности Symantec Corp заявила, что подтвердила, что некоторый исходный код был опубликован.

Новое исследование может укрепить уверенность многих экспертов по безопасности в том, что Stuxnet был частью киберпрограммы под руководством США, которая все еще действует на Ближнем Востоке и, возможно, в других частях мира.

Flame — самая сложная из когда-либо обнаруженных программ компьютерного шпионажа, нацеленная на правительственные и энергетические учреждения Ирана, Израиля, палестинских территорий и Судана. Он имеет возможность украсть или изменить электронные документы. Flame имеет в 20 раз больше кода, чем Stuxnet, и использует процесс автоматического обновления Microsoft, чтобы установить себя.

Хотя ни Kaspersky, ни Symantec не сказали, кто, по их мнению, создал Flame, новостные организации, включая Reuters и The New York Times, сообщили, что США и Израиль стояли за Stuxnet, который был обнаружен в 2010 году после того, как он повредил центрифуги, использовавшиеся для обогащения урана в объект в Натанзе, Иран.

Вместо того, чтобы давать опровержения, власти Вашингтона недавно начали расследование утечек информации о строго засекреченном проекте. Белый дом отказался от комментариев.

Над Stuxnet и Flame «сотрудничали две разные команды», заявил Касперский на саммите Reuters в Лондоне.

Flame — очень сложный компьютерный вирус, который маскируется под обычное программное обеспечение для бизнеса. Он был развернут не менее пяти лет назад и может подслушивать разговоры на зараженных им компьютерах и красть данные.

Эксперты по безопасности подозревают связи между Flame, Stuxnet и Duqu — еще одним вредоносным ПО, обнаруженным в прошлом году, — но «Лаборатория Касперского» первой заявила, что нашла веские доказательства.

Поздно вечером в понедельник менеджер по исследованиям Symantec Лайам О Мурчу согласился, используя название своей компании для новейшего вируса, Flamer. «Symantec Security Response подтверждает, что Flamer и Stuxnet используют часть своего исходного кода», — написал О Мурчу, добавив, что анализ будет продолжен.

Если будет доказано, что Соединенные Штаты являются силой, стоящей за Flame, это подтвердит, что страна, изобретшая Интернет, занимается кибершпионажем, за что она критикует Китай, Россию и другие страны.

В прошлогоднем отчете Пентагона, в котором описывается все еще развивающаяся киберстратегия США, говорится, что экономический шпионаж может оказаться самой большой угрозой долгосрочным интересам США, указывая на кражу промышленных и оборонных секретов с помощью интернет-шпионов.

«Происходит балканизация киберпространства, и компаниям необходимо выбирать, на чьей они стороне, — сказал Дмитрий Альперович, соучредитель американской охранной фирмы CrowdStrike.

Лаборатория Касперского заявила, что Flame был разработан с использованием другого набора инструментов, чем Stuxnet, хотя ее анализ только начинается и займет много месяцев.

Покопавшись поглубже, «Лаборатория Касперского» заявила в понедельник, что ее исследователи выявили почти идентичные сегменты Flame и версии Stuxnet, выпущенной в 2009 году. Это позволяет предположить, что инженеры, создавшие два вируса, имели доступ к одному и тому же набору исходного кода.

Это предполагает тесное сотрудничество между командами, создавшими два вируса. Евгений Касперский сказал, что было ясно, что было две или более команд с разными стилями, и что в Flame в целом могло работать 100 человек.

Исследователи искали связь между Stuxnet и Flame, поскольку оба вируса заражали машины, используя уязвимость Windows для запуска функции «автозапуска», и заражали персональные компьютеры с небольшого диска, вставленного через USB-разъем.

Раздел кода, который сейчас цитируется как соединяющий две части вредоносного программного обеспечения, не только касается этой уязвимости, но и делает это в том же стиле.

Уязвимость Windows была неизвестна до открытия Stuxnet в 2010 году, по словам Роэля Шувенберга, одного из исследователей «Лаборатории Касперского», который помог обнаружить вирус Flame.

Исследователи «Лаборатории Касперского» не обнаружили компонентов Flame в более продвинутых версиях Stuxnet, добавил Шувенберг.

«Flame использовался как своего рода толчок для запуска проекта Stuxnet», — предположил Шувенберг. «Как только у команды Stuxnet был готов код, они пошли своим путем».

Он подозревал, что создатели Stuxnet удалили заимствованные компоненты из более поздних версий, чтобы программа Flame не была скомпрометирована в случае обнаружения атаки на иранскую ядерную программу.

Stuxnet был обнаружен в 2010 году и был тщательно изучен самыми умными кибер-сыщиками в мире. Тем не менее, Flame оставался скрытым до прошлого месяца, когда агентство ООН попросило «Лабораторию Касперского» найти вирус, который, по словам Ирана, саботировал его компьютеры, удаляя ценные данные.

Когда команда Касперского начала искать подозрительные файлы на Ближнем Востоке, они обнаружили Flame.

Евгений Касперский заявил на саммите Reuters, что его фирма недавно согласилась консультировать Международный союз электросвязи ООН по вопросам геополитической безопасности в Интернете. Россия и другие страны хотят, чтобы группа играла более активную роль в управлении Интернетом.

Шувенберг сказал, что он подозревает, что Flame может удалять данные и атаковать промышленные системы управления, которые управляют такими заводами, как завод по обогащению урана в Натанзе, но он еще не нашел доказательств.

Исследователи «Лаборатории Касперского» все еще пытаются понять функцию более 100 таинственных файлов, встроенных в обнаруженные ими образцы Flame, сказал он.

Следите за саммитами Reuters в Твиттере @Reuters_Summits.

Редактирование Олден Бентли, Джеффри Бенко Стив Орлофски

Подпольный рынок полностью необнаруживаемых (FUD) криптографов

Быстро развивающиеся угрозы в области кибербезопасности противостоят сложным методам, таким как «FUD» (полностью необнаруживаемые) криптографы , которые представляют собой передовые инструменты шифрования, используемые киберпреступниками. Это сложное программное обеспечение делает вредоносный код необнаружимым, позволяя злоумышленникам тайно проникнуть .

В этом исследовательском документе мы подробно рассмотрим некоторые из рынков FUD 9.0072, работающий в преступном мире глубокой сети, и функционирование полностью необнаруживаемых криптографов, предлагаемых на этих рынках, и оценить влияние этой угрозы кибербезопасности.

Существует процветающий рынок для удовлетворения потребностей киберпреступников в FUD Crypter. На этом рынке разработчики FUD Crypter предлагают программное обеспечение, которое можно настроить в соответствии с потребностями киберпреступников. Telegram Каналы , в частности, стали серьезной платформой для киберпреступной деятельности, а услуги FUD Crypter предлагаются также через форумы. Киберпреступники общаются друг с другом на этих форумах, обмениваются информацией об услугах FUD Crypter и становятся клиентами Продавцы криптографов FUD .

Судя по последним сообщениям новостей, важно сосредоточиться на программах шифрования FUD, используемых для обхода или отключения продуктов кибербезопасности. Например, «Terminator[.]exe» и «AuKill Malware» имеют возможность нейтрализовать антивирусные и EDR (Endpoint Detection and Response) системы. Такие инструменты являются важным ориентиром для нашего исследования, поскольку они позволяют нам понять уязвимости традиционных мер безопасности и то, как киберпреступники используют методы, ориентированные на конфиденциальность, для нападения на пользователей.

Если вы хотите узнать больше о «Terminator[.]exe» и «AuKill Malware», перейдите по ссылкам.

Подпольные форумы и каналы Telegram

Подпольные форумы — это цифровое сообщество , где киберпреступники собираются вместе анонимно . На этих форумах продавцы и пользователи FUD Crypter собираются вместе, чтобы общаться и делиться информацией об услугах FUD Crypter. Таким образом, киберпреступники могут найти подходящие решения для удовлетворения своих потребностей в FUD Crypter.

Телеграм-каналы

также являются широко используемым средством коммуникации среди киберпреступников. Эти каналы представляют собой платформы для обмена и продажи информации, связанной с киберпреступностью, через частные чаты, группы и каналы. Поставщики FUD Crypter достигают клиентов, продвигая свои услуги в каналах Telegram. Эти каналы обмениваются информацией о FUD Crypters, такой как подробные спецификации , видео, скриншоты и цены .

В процессе исследования мы обращались к различным подпольным форумам и каналам Telegram и тщательно анализировали сообщения на этих платформах. В частности, переговоры с продавцами FUD Crypter и отзывы клиентов дали нам важные сведения о том, как работают эти платформы. Мы также провели подробный анализ таких факторов, как функции FUD Crypters, предлагаемые на этих платформах, ценовая политика и степень удовлетворенности клиентов.

Благодаря этому исследованию мы лучше поняли, какую важную роль играют подпольные форумы и каналы Telegram на рынке FUD Crypter и как киберпреступники общаются через эти платформы. Мы также получили обширные знания о разнообразии FUD Crypters, предлагаемых на этих платформах, и их возможности настройки в соответствии с требованиями клиентов.

Скриншот поста пользователя для маяка Cobalt Strike

Как ясно видно из скриншота, пользователь с именем «SpyBoy» создает Cobalt Strike beacon и предоставляет информацию о том, как обойти антивирусные решения и решения EDR (Endpoint Detection and Response). Этого пользователя можно идентифицировать как поставщика процесса-убийцы EDR под названием «Terminator[.]exe», упомянутого в начале нашего исследовательского документа.

Мы искали в каналах Telegram шифровальщик FUD, который можно было бы использовать для тестирования, и обнаружили, что цены у многих злоумышленников были довольно неустойчивыми. Например, в то время как злоумышленники, продающие определенные категории вредоносных программ, могут предоставить статистику средней цены за ежемесячно или годовое использование , невозможно определить такую ​​статистику для FUD Crypter.

В ходе нашего исследования мы смогли определить несколько субъектов угроз и связались с каждым из них в отдельности, чтобы узнать о ценах и возможностях тестирования. Мы решили нацелиться на участников угроз, которые постоянно предоставляли обновления и информацию. В наших обсуждениях с каждым участником угроз мы пытались получить более подробную информацию об услугах FUD Crypter и вариантах покупки 9.0072, который будет более подробно рассмотрен в следующих разделах.

Первый FUD-шифровальщик

Информация, которую мы получили о Crypter, которая предлагает услугу использования за 300 долларов в месяц , подробно описана в следующих статьях и на снимках экрана.

  • Руткит
  • Шелл-код
  • AVAST — обход EDR
  • ESET NOD32 — обход EDR
  • Касперский — обход EDR
  • Avira — обход EDR
  • Защитник Windows — обход EDR
  • EPP – Обход

Пост о продаже FUD в Telegram

Поддерживается постоянными обновлениями и пытается завоевать доверие потенциальных покупателей, делясь видеоконтентом с каждым новым обновлением. Это логичный подход, и он важен для того, чтобы FUD Crypter служил своей цели, учитывая, что сигнатуры файлов будут обнаружены многими охранными фирмами в течение нескольких дней. Однако, как исследователи кибербезопасности, мы всегда обращаем внимание на детали по этим вопросам. Важно проверить , что обновления действительно были сделаны, и сосредоточиться на том, где были сделаны обновления. Мы подробно рассмотрим каждое обновление. В своем Telegram-канале продавец делится видео и результатами нескольких вредоносных программ, тестирующих адреса.

Продавец делится видео и результатами тестирования вредоносного ПО для FUD

В видеоконтенте создана виртуальная машина с операционной системой Windows 10 и установлен антивирус Касперского. Виртуальная машина была настроена с полная защита и FUD (Fully Undetectable) были выполнены на примере вредоносной программы DcRAT . Затем образец файла FUD DcRAT был загружен на виртуальную машину и выполнен. В результате вредоносная программа смогла успешно установить соединение, и «Лаборатория Касперского» не генерировала никаких тревог . Среди изученных нами FUD Crypter первый Crypter был самым выдающимся с точки зрения его акций и возможностей. В нашем последующем обзоре мы провели много переговоров с продавцом полученного нами второго Криптера, но он указал, что ничего не будет предлагать для тестирования и предложил посмотреть видео в его Telegram-канале в текущей ситуации. Однако было несколько моментов, которые привлекли наше внимание во время бесед. Когда мы задавали продавцам вопросы о EDR, по их ответам мы могли сказать, что существует серьезная проблема.0071 недостаток знаний .

Второй FUD-шифровальщик

Второй FUD

После того, как мы начали разговор, продавец сказал, что сделает видео для тестирования и прислал нам видео, показывающее Криптер в действии . Поставщик прислал нам видео в виде PoC (Proof-of-Concept) и сказал, что опубликует его на своем канале YouTube.

Видео тестирования второго ФУД

Пока хотелось бы узнать средние цены, бесплатное тестирование обычно не предлагается, а котировки обычно составляют около 100 долларов с ограничением по времени для тестирования. Однако после успешных переговоров с первым поставщиком Crypter мы смогли получить FUD Crypter с 12-часовым лимитом времени для тестирования.

Третий FUD-шифровальщик

Третий FUD

В разговоре с третьим поставщиком Криптера мы узнали, что тестирование не предлагается. В отличие от других поставщиков FUD Crypter, у этого поставщика есть собственный веб-сайт и Профиль GitHub . Он также отличается от других аналогичных поставщиков ценовой политикой 100 долларов в месяц . Подробная информация о ценах:

Шифровщик

Цена

Продолжительность использования

Первый шифровальщик

100$

12 часов

Второй шифровальщик

30$

1 неделя

Третий шифровщик

100$

1 месяц

Он содержит тот же контент на своем веб-сайте и адресе GitHub, и мы можем сказать, что поставщик поддерживает его в актуальном состоянии для третьего FUD Crypter, постоянно обновляя его. В Underground мы знаем, что продавцы совершают такие транзакции, как покупка и продажа более криптовалюты . После этого этапа мы поделимся результатами нашего исследования движений в криптокошельках продавцов и из них.

Анализ транзакций в блокчейне

В рамках нашего исследования мы решили проанализировать транзакции для адреса LTC (LiteCoin) , используемого первым продавцом криптовалюты , и адреса BTC (биткойн) , используемого третьим продавцом криптовалюты . Второй продавец Crypter через некоторое время перестал отвечать на наши сообщения, поэтому мы не смогли найти никаких адресов. Для нашего исследования мы использовали Blockchain.com и Litecoin Explorer , а также инструмент анализа и исследования данных под названием Maltego . Maltego — это инструмент, который может визуализировать информацию из различных источников данных, понимать взаимосвязи и отслеживать связи, помогая нам понять сложные сетевые структуры .

Для First Crypter монета, переведенная на аккаунт, не хранится в одном кошельке, а передается на разные адреса. Есть 52 транзакции передачи всего, и замечено, что было введено 26 транзакций . Было 26 записей транзакций и 26 выходов транзакций, и транзакции, введенные в учетную запись, были переведены на разные адреса. Вы можете изучить детали в Litecoin-explorer, а также просмотреть результаты нашего исследования на изображении ниже. Всего было введено 14.82376836 LTC (1382,76 USD) и было замечено, что одна и та же сумма была переведена на разные адреса. В таблице ниже показаны результаты для сумм, введенных в 2023 году.

LTC-транзакции Дополнительная информация о LTC-транзакциях

Когда мы просмотрели адреса, опубликованные на веб-сайте третьего продавца, мы смогли сделать прямые запросы, не запрашивая информацию об учетной записи.

Способы оплаты и адреса для третьего продавца

В исследовании, которое мы провели через Maltego по адресу BTC, мы изучили транзакции, совершенные на счет продавца. Мы заметили, что деньги были переведены на два разных адреса через эти транзакции. Это показывает, что продавец не держит деньги на одном счету и переводит между разными адресами.

Продавец переводит деньги между разными адресами

Как видно из схемы на изображении, логинов 9 и они переводят деньги в основном кошельке на два разных адреса. Смотрите более подробные результаты на Blockchain.com

Вы можете просмотреть его, посетив наш веб-сайт. Всего 0,06161425 BTC (1866,79USD) было списано и такая же сумма списана со счета.

Транзакции BTC

Тестирование и анализ FUD

Благодаря нашим исследованиям и обсуждениям с поставщиками мы пришли к успешному завершению с первым FUD Crypter, который мы смогли протестировать в течение ограниченного периода времени. Поставщик предоставил нам установочный файл с именем «Build[.]exe» для тестирования и заявил, что Брандмауэр Windows должен быть отключен во время установки и запуска программы.

Следуя этим шагам, мы начали процесс тестирования QuasarRAT , RAT с открытым исходным кодом, установив файл «Build[.]exe» в среде виртуальной машины. Ниже представлены изображения Crypter.

Информационная панель FUD Crypter Параметры FUD Crypter

На снимке экрана с разделом «Шифрование параметров» мы заметили, что существует множество параметров и что могут быть перечислены юридические процессы Windows, предназначенные для Внедрение процесса . Мы также заметили, что у нас есть возможность использовать этот инструмент Crypter в качестве Загрузчик . Хотя наличие опций «Anti-Sandbox» и «Anti-VMWare-VBox» интересно, мы обнаружили, что они были доступны только как «флажок» в видеороликах поставщика и в среде виртуальной машины, которую мы используется для тестирования. Однако, когда мы активировали эти параметры во время анализа и запустили вредоносное ПО на виртуальной машине с Windows 10, мы не столкнулись с какими-либо проблемами и смогли успешно проанализировать вредоносное ПО. В этом случае мы заметили, что функции Anti-Sandbox и Anti-VMWare-VBox не работают.

Варианты обхода FUD Crypter

Как показано в Crypter, существует вариантов обхода для нескольких продуктов безопасности. В качестве примера мы рассмотрели функцию Avast , связанную с Crypter. На скриншоте ниже вы можете найти список функций для разделов флажков.

Список функций для разделов флажков. Функция Guna2CheckBox

Общая логика работы антивируса сегодня использует поведенческий анализ и обновленные базы сигнатур вредоносных программ . Таким образом, вновь созданное вредоносное ПО FUD будет обнаружено многими поставщиками средств защиты через несколько дней. По этим причинам поставщики средств защиты должны поддерживать свои приложения в актуальном состоянии , чтобы избежать проблем со своими постоянными пользователями.

Окно изменения сборки FUD Crypter

Наконец, изменения также можно внести в флажок в разделе «Изменить сборку» . Интерфейсы для Crypter такие же, как указано выше, и мы протестировали QuasarRAT, RAT с открытым исходным кодом, который мы создали в этих интерфейсах. Причина, по которой мы выбрали QuasarRAT, заключается в том, что она входит в число наиболее часто используемых RAT APT-групп в нашем предыдущем исследовании под названием «RAT с открытым исходным кодом, используемом APT-группами».

Наш тестовый файл отправлен на Antiscan.me получил только совпадения вредоносного ПО ESED NOD32 среди 26 продуктов безопасности.

Результаты сканирования Antiscan.me

После запроса на основе подписи мы провели динамическое тестирование на нашей виртуальной машине, установив антивирусные приложения Avast и Kaspersky, бесплатные версии которых доступны на нашей виртуальной машине. Хотя было нет захвата антивирусом Avast, мы начали получать предупреждающие уведомления о принятии необходимых мер предосторожности антивирусом Касперского.

Результаты сканирования Avast

Наш зашифрованный файл был не обнаружен бесплатной версией Avast Antivirus во время выполнения. Это результат для бесплатной версии Avast, но не для бесплатной версии Kaspersky. Бесплатная версия Kaspersky сообщает об обоих файлах как вредоносных и выдает нам предупреждения об их удалении.

Результаты проверки Касперского

Кроме того, при включении Real-Time Protection брандмауэр Windows столкнулся с ограничением на сбор данных. При дальнейшем изучении исходного кода мы обнаружили два примечательных результата. Одним из заслуживающих внимания выводов было присутствие адреса GitHub в ссылках на строки.

Профиль пользователя GitHub: abdullah3993

Когда мы изучаем профиль и используемый репозиторий «go-runpe» , мы можем понять, что он пытался использовать Техника выдалбливания .

«go-runpe» репозиторий (Источник: Github )

Ответ SOCRadar

Это исследование четко выявило методы, примененные в результате трех шифровальщиков , которые мы выбрали в результате нашего исследования рынка шифровальщиков FUD. В результате нашего исследования стало понятно, что методы обхода были общими для исследованных нами Криптеров. Мы смогли заметить, что новые методы не использовались, как в «Терминатор[.]exe». Как команда SOCRadar Threat Research, мы продолжаем проводить исследования, чтобы повысить нашу осведомленность о безопасности и принять более эффективные меры против киберпреступлений в постоянно меняющейся среде угроз.

Модуль новостей SOCRadar Dark Web

Благодаря службе мониторинга , которую мы предоставляем на метро , мы можем обнаруживать такие действия. Мы информируем наших клиентов об этих обнаружениях и упрощаем их отслеживание через нашу платформу. Наша цель — обеспечить безопасность наших клиентов и дать им возможность действовать осознанно против потенциальных угроз. Таким образом, наши клиенты могут чувствовать себя безопаснее и минимизируют риски , принимая необходимые меры предосторожности.