Анальные зонды на Windows 10 и прочие приключения офисной крысы.
Предистория:
Работаюофисной крысой в небольшом местном отделе большой западной компании.
Некотороевремя назад произошло заражение зловредом EMOTET майл сервера в основнойкомпании, сразу же начали обвинять дистанционные офисы (бранчи). Началасьтотальная проверка и учет всех машин и серверов в офисах и сканы всех локалок.
На тот момент проверил наши системы сторонними улилитами: AVZ, Kasper removal tool, EmoCheck и Malwarebytes AdwCleaner - ничего найдено не было.
По указке сверху на все машиныбыли установлены следующие анальные зонды:
- WirereShark,
- N-Ablewindows agent,
-SolarWinds,
- SentinelAgent.
Немногопогуглив выяснил что же это за дьявольские приблуды, все машины оказались под жесткимколпаком – сниффят траффик и запущенные приложения, а возможно и времяактивности в приложении. Как толькокто-то приносит ноут в офис и подключается к сети – сразу же «слышны» крики «Ойтищнегов»из главного офиса типа – «что там за машина у вас появилась – срочно анальнопокарать!», т.е. вставить вышеперечисленные зонды.
Когда шумихаспала, попытался избавиться от анальных зондов, WireSharkи агент от N-Able удалились через jv16 powertools, а вот Солнечный ветер и Sentinel– ни в какую, дело доходило до синихэкранов и полным отказом системы запускаться. Кое как систему восстановил, нозонды остались в жопе системе. Видимо утилита jv16 понадкусывала где смогла реестр и теперь Sentinel в режиме snoozed и больше не запускается никак, хотя до моих шаловливых ручек был активен.
Совсем недавноойтишнеги проснулись и начали жаловаться что не могут нащупать мой писюк мою станцию.
Прикинулся шлангоми пожаловался, что после обнов 20H2 и 21H1 были кое-какие проблемы, но думаюони что-то начали подозревать. Пришлось поставить снова анальные зонды исистема запестрила снифф-процессами как новогодняя елка.
![VI iwui.vnv
E)|7=l svchost.exe [■ ctfmon.exe [7=1 svchost.exe [7=1 svchost.exe 17=] svchost.exe
B RleCache Service Agent .exe Request HandlerAgent .exe m SecurityHealthService.exe fi=l svchost.exe [7=1 svchost.exe □ PME.Agent .exe [7=1 SgnnBroker.exe 17=1 svchost.exe [7=1 svchost.exe [7=1 Agent](http://img1.reactor.cc/pics/post/%D0%BF%D0%BE%D0%BC%D0%BE%D0%B3%D0%B8%D1%82%D0%B5-%D0%BF%D0%B8%D0%B4%D0%BE%D1%80%D1%8B-it-Windows-10-Windows-6876467.jpeg "помогите пидоры,it,Windows 10,Windows,Операционная система,анальный зонд,песочница")
Ойтишнеги покауспокоились.
Суть:
Есть идея поставитьна комп еще один ССД и накатить новую систему без анальных зондов и так-же ееобозвать, чтобы в локалке светилось точно такое-же имя станции. Подозреваюсниффер LAN на другой машине не заметит подмены (конфа не изменилась). Акогда ойтишеги забеспокоятся что нет сигнала от анального зонда – тупо перезагрузитьсяпод старой системой и сказать что у нас все норм – копайте у себя. Скорее всегоприйдется физически отключать новый ССДишник с новой системой, т.к. анальныйзонд, возможно, будет докладывать об измененной конфигурации. К счастьюойтишнеги к нам заглядывают не так часто.
Какиеподводные камни могут встретиться натаком тернистом пути?
Пишу ваммногоуважаемые реакторчане по AnyDesk с домашего, дабы око саурона не пронюхаломорально разложившегося нутра тянувшегося в реактор за новой порцией моральнойдеградации.
З.Ы. Особосвятых и непорочных просьба не беспокоить и не писать о том, что на работе надоработать.
Подробнее
КУПОН НА 1 ПОМОЩЬ
O Virus & threat protection Protection for your device against threats. Sentinel Agent Sentinel Agent is snoozed. Current threats Status unavailable, open Sentinel Agent for information. Protection settings A Sentinel Agent is snoozed. Turn on Protection updates Status unavailable, open Sentinel Agent for information. Open app
■ocess CPU Private Bytes Working Set PID Description Company Name riF1svchost.exe 0.06 146.900 K 149.616 K 3024 Host Process for Windows S... Microsoft Corporation riF1svchost.exe 4.640 K 9.932 K 3032 Host Process for Windows S... Microsoft Corporation riF1svchost.exe 5.516 K 13.664 K 3048 Host Process for Windows S... Microsoft Corporation riF1svchost.exe 5.888 K 11.816 K 2192 Host Process for Windows S... Microsoft Corporation ilFlsvchost.exe 5.504 K 10.476 K 2276 Host Process for Windows S... Microsoft Corporation (|||| SentinelHelperService.exe 9.296 K 15.684 K 3136 Sentinel Helper Service Sentinel Labs. Inc. [lF1svchost.exe 6.140 K 10.324 K 3200 Host Process for Windows S... Microsoft Corporation riF1svchost.exe 5.372 K 10.336 K 3564 Host Process for Windows S... Microsoft Corporation El l*SF| svchost.exe 7.404 K 16.436 K 3676 Host Process for Windows S... Microsoft Corporation ï~ audiodg.exe 0.14 14.860 K 17.980 K 15680 riF1CTAudSvc.exe 6.264 K 11.716 K 3748 Creative Audio Service Creative Technology Ltd riF1svchost.exe 4.896 K 9.012 K 3828 Host Process for Windows S... Microsoft Corporation riF1svchost.exe 6.000 K 12.024 K 3836 Host Process for Windows S... Microsoft Corporation [¡F] svchost.exe 5.972 K 16.176 K 3876 Host Process for Windows S... Microsoft Corporation spoolsv.exe <0.01 13.856 K 26.204 K 3964 Spooler Sub System App Microsoft Corporation riF1svchost.exe 15.384 K 16.860 K 4052 Host Process for Windows S... Microsoft Corporation riF1svchost.exe 5.348 K 10.828 K 4108 Host Process for Windows S... Microsoft Corporation ilFlsvchost.exe 6.136 K 14.444 K 4364 Host Process for Windows S... Microsoft Corporation n SolarWinds.MSP.Ecos>,stem.Windo... <0.01 47.328 K 56.488 K 4496 SolarWinds. MS P. Ecosystem.... N-able f®”! BASupSrvcUpdater.exe 0.09 19.284 K 18.948 K 4504 ^EI^^R^ÎôniroRgên^ N-able I ake Control Ate Q SolarWinds.MSP.Ecos>,stem.Windo... 25.644 K 26.640 K 4512 SolarWinds. MS P. Ecosystem.... N-able gj AnyDesk.exe <0.01 26.652 K 20.480 K riF1svchost.exe 5.872 K 11.432 K 4528 Host Process for Windows S... Microsoft Corporation riF1svchost.exe <0.01 40.6% K 38.024 K 4548 Host Process for Windows S... Microsoft Corporation riF1svchost.exe <0.01 23.412 K 31.212 K 4556 Host Process for Windows S... Microsoft Corporation riF1svchost.exe 8.312 K 17.780 K 4564 Host Process for Windows S... Microsoft Corporation 0 OfficeClickToRun.exe <0.01 39.336 K 45.848 K 4572 Microsoft Office Click-to-Run... Microsoft Corporation ilFlsvchost.exe 5.916 K 11.920 K 4588 Host Process for Windows S... Microsoft Corporation ^ B BASupSrvc.exe 0.17 17.148 K 25.688 K 4596 N-able Take Control Agent N-able Take Control [IF] dragon_updater.exe 16.304 K 16.452 K 46U4^ömö3ö^rägor^^^^^™ i^omoao [lFlsvchost.exe 4.924 K 8.952 K 4636 Host Process for Windows S... Microsoft Corporation [Tl FoxitConnectedPDFService.exe 0.03 8.892 K 19.704 K 4652 Foxit Reader Connected PDF... Foxit Software Inc. [Tl icedragon_updater.exe 7.348 K 15.4% K 4660 Ice Dragon Comodo Inc. ■flfe l|||| Sentinel Service Host .exe 25.516 K 14.616 K 4672 Sentinel Service Host Sentinel Labs. Inc. finsvchost.exe 5.736 K 13.412 K ■^E (|l|| SentinelStaticEngine.exe 26.124 K 16.944 K 4776 Sentinel Service Host Extern... Sentinel Labs. Inc. ■ SentinelStaticEngineScanner.exe 12.944 K 16.508 K 6344 11=1 ss_conn_service .exe <0.01 6.692 K 10.564 K 4836 MSS CS Connectivity Service DEVGURU Co.. LTD. rmsvchost.exe 5.880 K 11.932 K 4848 Host Process for Windows S... Microsoft Corporation ^ Ellinagent.exe I El V NableSixtyFourBitManager.exe 0.08 225.320 K 175.608 K 4956 Windows Agent N-able Technologies Inc. 32.328 K 27.264 K gj; conhost.exe 9.452 K 8.552 K 7056 1 BÏ~ NableReactiveManagement.exe 38.116 K 41.144 K 7100 gj conhost.exe 9.444 K 8.552 K 7076 rmsvchost.exe 4.612 K 9.692 K 4964 Host Process for Windows S... Microsoft Corporation rmsvchost.exe <0.01 5.676 K 9.568 K 4972 Host Process for Windows S... Microsoft Corporation Q TeamViewer_Service.exe <0.01 22.952 K 21.848 K 4988 Tearn Viewer Tearn Viewer Germany Gm... rmsvchost.exe 7.700 K 23.144 K 5044 Host Process for Windows S... Microsoft Corporation ^ Searchlndexer.exe <0.01 36.120 K 41.376 K 5052 Microsoft Windows Search I... Microsoft Corporation fmsvchost.exe 4.648 K 8.100 K 3124 Host Process for Windows S... Microsoft Corporation rmsvchost.exe <0.01 6.952 K 17.168 K 5628 Host Process for Windows S... Microsoft Corporation rmwmpnetwk.exe 12.484 K 25.852 K 6356 Windows Media Player Netw... Microsoft Corporation 'IJ Ikanp: 14.44% Commit Champ: 79.57% Prnre«ps: ?5fi Physical Ikane: 54.39%
VI iwui.vnv E)|7=l svchost.exe [■ ctfmon.exe [7=1 svchost.exe [7=1 svchost.exe 17=] svchost.exe B RleCache Service Agent .exe Request HandlerAgent .exe m SecurityHealthService.exe fi=l svchost.exe [7=1 svchost.exe □ PME.Agent .exe [7=1 SgnnBroker.exe 17=1 svchost.exe [7=1 svchost.exe [7=1 Agent Maint .exe [7=1 svchost.exe [7=1 svchost.exe rt ON/r-hne*! AVA 5.168 K 11.804 K 1412 7.792 K 24.5% K 2580 8.296 K 20.360 K 3864 <0.01 11.576 K 36.252 K 6156 5.616 K 12.8% K 8420 0.03 40.632 K 39.932 K 8016 0.01 59.288 K 48.156 K 9304 5.320 K 16.740 K 9464 8.364 K 14.900 K %72 5.240 K 12.860 K 10168 27.064 K 26.640 K 2436 5.012 K 7.904 K 11132 6.176 K 15.868 K 5128 7.808 K 18.700 K 8932 25.144 K 30.316 K 11952 3.536 K 11.680 K 8904 Host Process for Windows S... Microsoft Corporation Host Process for Windows S.. Host Process for Windows S.. Host Process for Windows S.. RleCacheServiceAgent Request Handler Agent Windows Security Health Se.. Host Process for Windows S.. Host Process for Windows S.. PME.Agent System Guard Runtime Monit. Host Process for Windows S.. Host Process for Windows S.. Windows Agent Maintenance Host Process for Windows S.. Microsoft Corporation Microsoft Corporation Microsoft Corporate N-able Technologies Ltd N-able Technologies Ltd Microsoft Corporation Microsoft Corporation Microsoft Corporation N^bl^eçhnoloqie^d iflîcroso^SrpôrâtîSr^™ Microsoft Corporation Microsoft Corporation ^bl^echnologie^nc . MTcrosoIrtorporatior^™ Command Line: "Г'ЛРгплгят Filp<î îyRFWN-îîNp Tprhnnlnnip4\Winrlnw<5 Anpnt\hin\AripntMpint pïp Microsoft Corporation MiV'rnonft Cr»rr»rira+inn
помогите пидоры,it,Windows 10,Windows,Операционная система,анальный зонд,песочница
2) Даже если ты и поставишь на другой диск систему то всё равно заметят что трафик от твоего ноута идёт а логов нихуя нет.
3) Можешь попробовать сделать виртуалку и закинуть туда wireshark но не думаю что сработает
Могут возникнуть вопросы.
С выводами в виде увольнения-штрафа-а то и срока.
Пили новый пост, если/когда уволят.