Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Kako pronaci proces koji inicira WMI query-je?
10 views
Skip to first unread message
Chupo
Apr 3, 2016, 8:30:02 PM4/3/16
to
Postao sam i na comp.programiranje jer posjecenost grupa nije velika a
ljudi koji se bave programiranjem cesto i OS koriste na napredijoj
razini od prosjecnih korisnika.
Iako se radio o Win XP (vise puta sam vec napisao zasto mi treba bas XP
i to bas SP2 a ne 3 tako da se nadam da se rasprava nece razviti u
smjeru 'zasto bas taj OS a ne noviji') WMI postoji i u Visti i Sedmici
tako da ce odgovor znati i ljudi s novijim OS-ovima.
Problem:
Cini se da se je netko na PC s Win XP uspio logirati kao administrator,
iskljuciti upozorenja u vezi firewall-a, iskljuciti firewall i
pokretanjem
wbemtest
zadati query-je pa procitati informacije koje su mu omogucile da putem
WMI mehanizma instalira zlanamjernu skriptu.
Posljedica je da u verbose log-u u:
system32\wbem\Logs\wbemcore.log
vidim da se svakih tocno 10 sekundi u parovima zadaju po dva query-ja
tipa:
(Sun Apr 03 22:34:25 2016.12808031) : CALL CWbemNamespace::ExecQuery
BSTR QueryFormat = WQL
BSTR Query = SELECT * FROM AntiVirusProduct
IEnumWbemClassObject **pEnum = 0x3254F50
(Sun Apr 03 22:34:25 2016.12808031) : CALL
CWbemNamespace::ExecQueryAsync
BSTR QueryFormat = WQL
BSTR Query = SELECT * FROM AntiVirusProduct
IWbemObjectSink* pHandler = 0x0
(Sun Apr 03 22:34:35 2016.12818031) : CALL CWbemNamespace::ExecQuery
BSTR QueryFormat = WQL
BSTR Query = SELECT * FROM AntiVirusProduct
IEnumWbemClassObject **pEnum = 0x3254F50
(Sun Apr 03 22:34:35 2016.12818031) : CALL
CWbemNamespace::ExecQueryAsync
BSTR QueryFormat = WQL
BSTR Query = SELECT * FROM AntiVirusProduct
IWbemObjectSink* pHandler = 0x0
U Framework.log se pojavljuje na desetke unosa tipa:
CWbemProviderGlue::AddRef, count is (approx) 2 04/04/2016 00:48:20.468
thread:4236 [d:\xpsprtm\admin\wmi\wbem\sdk\framedyn
\wbemglue.cpp.384]
CWbemProviderGlue::QueryInterface 04/04/2016 00:48:20.484 thread:4236
[d:\xpsprtm\admin\wmi\wbem\sdk\framedyn\wbemglue.cpp.319]
u wmiprov.log vidim:
WDM call returned error: 4200
Impersonation failed - Access denied
WDM call returned error: 4200
***************************************
BinaryMofEventChanged returned FALSE:
WDM call returned error: 4200
***************************************
BinaryMofsHaveChanged returned FALSE:
i slicno pa se cini da je aktivan neki proces koji zadaje query-je s
ciljem skupljanja podataka o systemu i da ih onda nekud salje.
U task manager-u su mi za oko zapeli:
wmiprvse.exe (koji moze biti i legitiman) i
unsecapp.exe (koji je povezan s WMI remote skriptiranjem)
wmiprvse.exe se javlja u dvije instance - pod user-om SYSTEM i user-om
NETWORK a ovaj s NETWORK nije prisutan stalno.
Ono sta me zanima je kako da lociram proces koji inicira WMI query-je i
kako da pronadjem mjesto gdje se on starta pa da to maknem.
Pitanje je znaci kako napraviti trace WMI query-ja i saznati podatke o
procesu koji ga inicira. Nasao sam kako se to moze napraviti na Visti:
http://tinyurl.com/gsy8dxr
ali na XP se tako ne moze.
Vjerojatno se moze koristenjem Process Explorer-a, Process Monitor-a,
TcpView-a i WireShark-a ali treba znati sta tocno napraviti.
--
Let There Be Light
Custom LED driveri prema specifikacijama
http://tinyurl.com/customleddriver
Chupo
ljudi koji se bave programiranjem cesto i OS koriste na napredijoj
razini od prosjecnih korisnika.
Iako se radio o Win XP (vise puta sam vec napisao zasto mi treba bas XP
i to bas SP2 a ne 3 tako da se nadam da se rasprava nece razviti u
smjeru 'zasto bas taj OS a ne noviji') WMI postoji i u Visti i Sedmici
tako da ce odgovor znati i ljudi s novijim OS-ovima.
Problem:
Cini se da se je netko na PC s Win XP uspio logirati kao administrator,
iskljuciti upozorenja u vezi firewall-a, iskljuciti firewall i
pokretanjem
wbemtest
zadati query-je pa procitati informacije koje su mu omogucile da putem
WMI mehanizma instalira zlanamjernu skriptu.
Posljedica je da u verbose log-u u:
system32\wbem\Logs\wbemcore.log
vidim da se svakih tocno 10 sekundi u parovima zadaju po dva query-ja
tipa:
(Sun Apr 03 22:34:25 2016.12808031) : CALL CWbemNamespace::ExecQuery
BSTR QueryFormat = WQL
BSTR Query = SELECT * FROM AntiVirusProduct
IEnumWbemClassObject **pEnum = 0x3254F50
(Sun Apr 03 22:34:25 2016.12808031) : CALL
CWbemNamespace::ExecQueryAsync
BSTR QueryFormat = WQL
BSTR Query = SELECT * FROM AntiVirusProduct
IWbemObjectSink* pHandler = 0x0
(Sun Apr 03 22:34:35 2016.12818031) : CALL CWbemNamespace::ExecQuery
BSTR QueryFormat = WQL
BSTR Query = SELECT * FROM AntiVirusProduct
IEnumWbemClassObject **pEnum = 0x3254F50
(Sun Apr 03 22:34:35 2016.12818031) : CALL
CWbemNamespace::ExecQueryAsync
BSTR QueryFormat = WQL
BSTR Query = SELECT * FROM AntiVirusProduct
IWbemObjectSink* pHandler = 0x0
U Framework.log se pojavljuje na desetke unosa tipa:
CWbemProviderGlue::AddRef, count is (approx) 2 04/04/2016 00:48:20.468
thread:4236 [d:\xpsprtm\admin\wmi\wbem\sdk\framedyn
\wbemglue.cpp.384]
CWbemProviderGlue::QueryInterface 04/04/2016 00:48:20.484 thread:4236
[d:\xpsprtm\admin\wmi\wbem\sdk\framedyn\wbemglue.cpp.319]
u wmiprov.log vidim:
WDM call returned error: 4200
Impersonation failed - Access denied
WDM call returned error: 4200
***************************************
BinaryMofEventChanged returned FALSE:
WDM call returned error: 4200
***************************************
BinaryMofsHaveChanged returned FALSE:
i slicno pa se cini da je aktivan neki proces koji zadaje query-je s
ciljem skupljanja podataka o systemu i da ih onda nekud salje.
U task manager-u su mi za oko zapeli:
wmiprvse.exe (koji moze biti i legitiman) i
unsecapp.exe (koji je povezan s WMI remote skriptiranjem)
wmiprvse.exe se javlja u dvije instance - pod user-om SYSTEM i user-om
NETWORK a ovaj s NETWORK nije prisutan stalno.
Ono sta me zanima je kako da lociram proces koji inicira WMI query-je i
kako da pronadjem mjesto gdje se on starta pa da to maknem.
Pitanje je znaci kako napraviti trace WMI query-ja i saznati podatke o
procesu koji ga inicira. Nasao sam kako se to moze napraviti na Visti:
http://tinyurl.com/gsy8dxr
ali na XP se tako ne moze.
Vjerojatno se moze koristenjem Process Explorer-a, Process Monitor-a,
TcpView-a i WireShark-a ali treba znati sta tocno napraviti.
--
Let There Be Light
Custom LED driveri prema specifikacijama
http://tinyurl.com/customleddriver
Chupo
![Matija Kapraljevic [Revenger]'s profile photo](https://lh3.googleusercontent.com/a/default-user=s40-c)
Matija Kapraljevic [Revenger]
Apr 4, 2016, 2:41:29 AM4/4/16
to
On Mon, 4 Apr 2016 02:14:16 +0200, Chupo wrote:
> Pitanje je znaci kako napraviti trace WMI query-ja i saznati podatke o
> procesu koji ga inicira. Nasao sam kako se to moze napraviti na Visti:
>
> http://tinyurl.com/gsy8dxr
>
> ali na XP se tako ne moze.
>
> Vjerojatno se moze koristenjem Process Explorer-a, Process Monitor-a,
> TcpView-a i WireShark-a ali treba znati sta tocno napraviti.
Uh... evo kobasica od posta...
> Pitanje je znaci kako napraviti trace WMI query-ja i saznati podatke o
> procesu koji ga inicira. Nasao sam kako se to moze napraviti na Visti:
>
> http://tinyurl.com/gsy8dxr
>
> ali na XP se tako ne moze.
>
> Vjerojatno se moze koristenjem Process Explorer-a, Process Monitor-a,
> TcpView-a i WireShark-a ali treba znati sta tocno napraviti.
Ja bih prvo pokrenuo autoruns od sysinternalsa i pogledao sto se starta i
odakle. Ako tu ne nadjes krivca, skini Avast (ili neki live AV) i okini
boot scan da ti preskenira stroj dok se Windowsi ne podignu. Ako tu ne
nadjes krivca, onda ides probati naci tko generira WMI query-je.
Wmiprvse i Unsecapp su legitimni procesi, pod uvjetom da ih nesto ne
imitira. Skini process explorer i process monitor. U procexp ukljuci
verificiranje potpisa pa ce ti javiti da li su Wmiprvse i Unsecapp
potpisani od strane Microsofta. Tako ces saznati da li su legitimni ili ih
nesto imitira. Isto tako ukljuci Scroll to new processes pa pricekaj da se
lansira proces koji radi WMI query (rekao si da se starta svakih 10 min pa
po zadnjem unosu iz loga mozes izracunati kad ce se iduci put pokrenuti i
tad gledaj process explorer), vidjet ces eventualno neki proces koji se
starta pa pokrece WMI query. Ako je proces vec startan, jbg...
Ako tu ne nadjes krivca, startaj process monitor i pusti ga da radi dok se
ne okine WMI query. On ima alat (Tools > Process tree) koji ce ti pokazati
stablo procesa, tko je sto startao, u koje vrijeme i koje operacije je
proces izvodio. Tu ces opet vidjeti ako se procesi pokrecu, ako je vec
startan, moras radit WMI monitoring. E sad, evo par linkova, nista od ovog
nisam probao, ali mozes prouciti pa ti mozda pomogne:
http://windowsitpro.com/windows-client/easier-way-view-incoming-wmi-queries
https://technet.microsoft.com/en-us/library/hh225034%28v=sc.12%29.aspx
https://blogs.technet.microsoft.com/askperf/2008/03/04/wmi-debug-logging/
https://msdn.microsoft.com/en-us/library/windows/desktop/aa826686%28v=vs.85%29.aspx
--
Pozdrav!
=========================
Bruno Babic
Apr 4, 2016, 4:30:02 AM4/4/16
to
On 4.4.2016. 2:14, Chupo wrote:
> Vjerojatno se moze koristenjem Process Explorer-a, Process Monitor-a,
> TcpView-a i WireShark-a ali treba znati sta tocno napraviti.
Sysinternalsov program koji pokazuje procese, ne znam sad kako se zove.
> Vjerojatno se moze koristenjem Process Explorer-a, Process Monitor-a,
> TcpView-a i WireShark-a ali treba znati sta tocno napraviti.
Uglavnom, dobijes stablo procesa pa ides od djeteta prema roditelju i to
je to.
--
bbabic(a)globalnet.hr
2b||!2b?
Chupo
Apr 4, 2016, 10:01:04 PM4/4/16
to
Saljem jos jednom ali na sve 3 grupe na koje sam poslao pitanje, zbog
Follow-up To: je post otiso samo na comp.os.winnt - ovako ce mozda
procitati vise ljudi pa netko napise jos informacija:
In article <3h9xyzs8go67$.1hfng71r1p0xj$.d...@40tude.net>, Matija
Kapraljevic [Revenger] <aha.kak...@mos.mislit.com> says...
> Ja bih prvo pokrenuo autoruns od sysinternalsa i pogledao sto se starta i
> odakle. Ako tu ne nadjes krivca, skini Avast (ili neki live AV) i okini
> boot scan da ti preskenira stroj dok se Windowsi ne podignu. Ako tu ne
> nadjes krivca, onda ides probati naci tko generira WMI query-je.
Imam oduvijek instalirane alate za Autorun management, to je bila jedna
od prvih stvari koje sam provjerio. Mislim da antivirus tu nece procaci
nista jer je WMI je alat za administrativno skrptiranje i sve sta je tu
podeseno s administratorskim ovlastima je legitimno. Medjutim WMI je
prilicno kompliciran:
https://technet.microsoft.com/en-us/library/ee692770.aspx
Stvari koje se odvijaju unutar WMI infrastrukture se u procesima nece
prikazati na uobicajen nacin pa ih tako nije moguce ni detektirati.
> Wmiprvse i Unsecapp su legitimni procesi, pod uvjetom da ih nesto ne
> imitira. Skini process explorer i process monitor. U procexp ukljuci
> verificiranje potpisa pa ce ti javiti da li su Wmiprvse i Unsecapp
> potpisani od strane Microsofta. Tako ces saznati da li su legitimni ili ih
> nesto imitira.
Potpisi su ispravni ali je problem da se remote skriptiranje odvija
preko legitimnih procesa - upravo im je to i svrha. WMI se pomocu:
net stop winmgmt
http://windowsxp.mvps.org/repairwmi.htm
moze iskljuciti ali se onda iskljuce i vazne komponente OS-a, na XP se
onda npr. iskljuci i firewall (na Visti mislim da ne).
> Isto tako ukljuci Scroll to new processes pa pricekaj da se
> lansira proces koji radi WMI query (rekao si da se starta svakih 10 min pa
> po zadnjem unosu iz loga mozes izracunati kad ce se iduci put pokrenuti i
> tad gledaj process explorer), vidjet ces eventualno neki proces koji se
> starta pa pokrece WMI query. Ako je proces vec startan, jbg...
Query se logira svakih 10 sekundi (ne minuta), u prvom postu sam
kopirao nekoliko reda iz log-a gdje se to vidi u timestamp-ovima.
Svi procesi vezani uz WMI su pokretnuti stalno tako da se nece uociti
pokretanje novog procesa.
> Ako tu ne nadjes krivca, startaj process monitor i pusti ga da radi dok se
> ne okine WMI query. On ima alat (Tools > Process tree) koji ce ti pokazati
> stablo procesa, tko je sto startao, u koje vrijeme i koje operacije je
> proces izvodio. Tu ces opet vidjeti ako se procesi pokrecu, ako je vec
> startan, moras radit WMI monitoring. E sad, evo par linkova, nista od ovog
> nisam probao, ali mozes prouciti pa ti mozda pomogne:
>
> http://windowsitpro.com/windows-client/easier-way-view-incoming-wmi-queries
> https://technet.microsoft.com/en-us/library/hh225034%28v=sc.12%29.aspx
> https://blogs.technet.microsoft.com/askperf/2008/03/04/wmi-debug-logging/
> https://msdn.microsoft.com/en-us/library/windows/desktop/aa826686%28v=vs.85%29.aspx
>
E tu bi se moglo naci rjesenje, hvala!! Prouciti cu to pa javim da li
je uspjelo. Vjerujem da bi se pomocu nekog query-ja postavljenog preko
konzole koja se otvori upisivanjem:
wbemtest
preko informacije iz log-a:
IEnumWbemClassObject **pEnum = 0x3254F50
moglo doci do nekih informacija ali je pitanje kako. Druga informacija
do koje ne mogu doci je da lije mozda postavljenje tog query-ja:
BSTR Query = SELECT * FROM AntiVirusProduct
uobicajen mehanizam a ne rezultata naknadne rekonfiguracije. Mozda
Windows-i tako provjeravaju da li je ukljucen antivirusni program mada
ne vjerujem da bi se to provjeravalo tako - a i upozorenje da je
antivirus iskljucen iskoci odmah a ne nakon 10 sekundi :-/
Follow-up To: je post otiso samo na comp.os.winnt - ovako ce mozda
procitati vise ljudi pa netko napise jos informacija:
In article <3h9xyzs8go67$.1hfng71r1p0xj$.d...@40tude.net>, Matija
Kapraljevic [Revenger] <aha.kak...@mos.mislit.com> says...
> Uh... evo kobasica od posta...
>
Kad si to napisao sam ocekivao 10 ekrana texta :-))
>
> Ja bih prvo pokrenuo autoruns od sysinternalsa i pogledao sto se starta i
> odakle. Ako tu ne nadjes krivca, skini Avast (ili neki live AV) i okini
> boot scan da ti preskenira stroj dok se Windowsi ne podignu. Ako tu ne
> nadjes krivca, onda ides probati naci tko generira WMI query-je.
od prvih stvari koje sam provjerio. Mislim da antivirus tu nece procaci
nista jer je WMI je alat za administrativno skrptiranje i sve sta je tu
podeseno s administratorskim ovlastima je legitimno. Medjutim WMI je
prilicno kompliciran:
https://technet.microsoft.com/en-us/library/ee692770.aspx
Stvari koje se odvijaju unutar WMI infrastrukture se u procesima nece
prikazati na uobicajen nacin pa ih tako nije moguce ni detektirati.
> Wmiprvse i Unsecapp su legitimni procesi, pod uvjetom da ih nesto ne
> imitira. Skini process explorer i process monitor. U procexp ukljuci
> verificiranje potpisa pa ce ti javiti da li su Wmiprvse i Unsecapp
> potpisani od strane Microsofta. Tako ces saznati da li su legitimni ili ih
> nesto imitira.
preko legitimnih procesa - upravo im je to i svrha. WMI se pomocu:
net stop winmgmt
http://windowsxp.mvps.org/repairwmi.htm
moze iskljuciti ali se onda iskljuce i vazne komponente OS-a, na XP se
onda npr. iskljuci i firewall (na Visti mislim da ne).
> Isto tako ukljuci Scroll to new processes pa pricekaj da se
> lansira proces koji radi WMI query (rekao si da se starta svakih 10 min pa
> po zadnjem unosu iz loga mozes izracunati kad ce se iduci put pokrenuti i
> tad gledaj process explorer), vidjet ces eventualno neki proces koji se
> starta pa pokrece WMI query. Ako je proces vec startan, jbg...
kopirao nekoliko reda iz log-a gdje se to vidi u timestamp-ovima.
Svi procesi vezani uz WMI su pokretnuti stalno tako da se nece uociti
pokretanje novog procesa.
> Ako tu ne nadjes krivca, startaj process monitor i pusti ga da radi dok se
> ne okine WMI query. On ima alat (Tools > Process tree) koji ce ti pokazati
> stablo procesa, tko je sto startao, u koje vrijeme i koje operacije je
> proces izvodio. Tu ces opet vidjeti ako se procesi pokrecu, ako je vec
> startan, moras radit WMI monitoring. E sad, evo par linkova, nista od ovog
> nisam probao, ali mozes prouciti pa ti mozda pomogne:
>
> http://windowsitpro.com/windows-client/easier-way-view-incoming-wmi-queries
> https://technet.microsoft.com/en-us/library/hh225034%28v=sc.12%29.aspx
> https://blogs.technet.microsoft.com/askperf/2008/03/04/wmi-debug-logging/
> https://msdn.microsoft.com/en-us/library/windows/desktop/aa826686%28v=vs.85%29.aspx
>
je uspjelo. Vjerujem da bi se pomocu nekog query-ja postavljenog preko
konzole koja se otvori upisivanjem:
wbemtest
preko informacije iz log-a:
IEnumWbemClassObject **pEnum = 0x3254F50
moglo doci do nekih informacija ali je pitanje kako. Druga informacija
do koje ne mogu doci je da lije mozda postavljenje tog query-ja:
BSTR Query = SELECT * FROM AntiVirusProduct
Windows-i tako provjeravaju da li je ukljucen antivirusni program mada
ne vjerujem da bi se to provjeravalo tako - a i upozorenje da je
antivirus iskljucen iskoci odmah a ne nakon 10 sekundi :-/
Chupo
Apr 4, 2016, 10:30:02 PM4/4/16
to
In article <ndt7d9$lb5$2...@ls237.t-com.hr>, Bruno Babic <a@b.c> says...
napisao Matiji - ako se sve odvija unutar WMI infrastrukture onda
izgleda da je jedina mogucnost da se pronadje sta se desava koristenje
upravo WMI-a pa da se informacije o skriptama koje se izvrsavaju
iscitaju zadavanjem raznih query-ja :-/
Ako sam dobro shvatio, kod koji se pokrece preko WMI skriptiranja se
smjesti u neki od mnogobrojnih svchost, njihov se sadrzaj s Process
Explorer-om moze izlistati ali pojedini svchost procesi sadrze toliko
raznih izvrsnih kodova da se u tome ne mogu snaci.
S obzirom da je WMI nuzan za rad OS-a (firewall, ICS, ...) ali ga osim
toga koriste i neki od instaliranih programa ce se i tu vjerojatno
trebati snaci. Medjutim, upravo zbog toga postoji i mogucnost da je taj
query rezultat nekog lose napisanog programa (a mozda je cak i
legitiman).
Postoji i mogucnost da je netko tko si je nakon logiranja ostavio neki
backdoor po nekim pokazateljima skuzio da sam primijetio da nesta nije
u redu pa da je i privremeno iskljucio procese koji bi se mogli
detektirati lakse.
Malo sam razmisljao kako bi netko mogo uopce doci na ideju da se pokusa
logirati na neciji kompjuter i cini mi se da je sa sigurnosnog gledista
jako losa cinjenica da se u header-u svake poruke poslane na news-e
ispisuje i IP adresa posiljatelja. Na takav nacin je nekome dovoljno
citati postove pa iz pitanja iscitati informacije o tome koji netko
koristi OS i/ili kakve su mu mrezne postavke pa nakon toga sam otici na
neku stranicu gdje su izlistani svi vulnerabilities za koje jos nije
izdan patch i pronaci neki exploit :-/
> Sysinternalsov program koji pokazuje procese, ne znam sad kako se zove.
>
> Uglavnom, dobijes stablo procesa pa ides od djeteta prema roditelju i to
> je to.
>
Da, ali *sta* traziti? Pogledaj odgvor kojega sam prije par minuta
>
> Uglavnom, dobijes stablo procesa pa ides od djeteta prema roditelju i to
> je to.
>
napisao Matiji - ako se sve odvija unutar WMI infrastrukture onda
izgleda da je jedina mogucnost da se pronadje sta se desava koristenje
upravo WMI-a pa da se informacije o skriptama koje se izvrsavaju
iscitaju zadavanjem raznih query-ja :-/
Ako sam dobro shvatio, kod koji se pokrece preko WMI skriptiranja se
smjesti u neki od mnogobrojnih svchost, njihov se sadrzaj s Process
Explorer-om moze izlistati ali pojedini svchost procesi sadrze toliko
raznih izvrsnih kodova da se u tome ne mogu snaci.
S obzirom da je WMI nuzan za rad OS-a (firewall, ICS, ...) ali ga osim
toga koriste i neki od instaliranih programa ce se i tu vjerojatno
trebati snaci. Medjutim, upravo zbog toga postoji i mogucnost da je taj
query rezultat nekog lose napisanog programa (a mozda je cak i
legitiman).
Postoji i mogucnost da je netko tko si je nakon logiranja ostavio neki
backdoor po nekim pokazateljima skuzio da sam primijetio da nesta nije
u redu pa da je i privremeno iskljucio procese koji bi se mogli
detektirati lakse.
Malo sam razmisljao kako bi netko mogo uopce doci na ideju da se pokusa
logirati na neciji kompjuter i cini mi se da je sa sigurnosnog gledista
jako losa cinjenica da se u header-u svake poruke poslane na news-e
ispisuje i IP adresa posiljatelja. Na takav nacin je nekome dovoljno
citati postove pa iz pitanja iscitati informacije o tome koji netko
koristi OS i/ili kakve su mu mrezne postavke pa nakon toga sam otici na
neku stranicu gdje su izlistani svi vulnerabilities za koje jos nije
izdan patch i pronaci neki exploit :-/
Chupo
Apr 4, 2016, 10:30:02 PM4/4/16
to
In article <MPG.316d3fa7c...@news.t-com.hr>, Chupo
<bad_...@yahoo.com> says...
velika je vjerojatnost da ce kompjuter s kojega je neka poruka poslana
jos barem neko vrijeme imati isti IP pa onda to otvara mogucnost da
netko jednostavno ukljuci watch na necije postove i ukljuci refresh
svakih 5-6 minuta pa onda kad cuje zvuk samo u header-u najnovije
poruke procita IP nad kojim ce onda pokrenuti neki exploit.
<bad_...@yahoo.com> says...
> cini mi se da je sa sigurnosnog gledista
> jako losa cinjenica da se u header-u svake poruke poslane na news-e
> ispisuje i IP adresa posiljatelja
>
Iako vecina poruka na news-e nije poslana sa statickih IP adresa,
> jako losa cinjenica da se u header-u svake poruke poslane na news-e
> ispisuje i IP adresa posiljatelja
>
velika je vjerojatnost da ce kompjuter s kojega je neka poruka poslana
jos barem neko vrijeme imati isti IP pa onda to otvara mogucnost da
netko jednostavno ukljuci watch na necije postove i ukljuci refresh
svakih 5-6 minuta pa onda kad cuje zvuk samo u header-u najnovije
poruke procita IP nad kojim ce onda pokrenuti neki exploit.
Matija Kapraljevic [Revenger]
Apr 5, 2016, 3:13:23 AM4/5/16
to
On Tue, 5 Apr 2016 03:57:42 +0200, Chupo wrote:
>> Ja bih prvo pokrenuo autoruns od sysinternalsa i pogledao sto se starta i
>> odakle. Ako tu ne nadjes krivca, skini Avast (ili neki live AV) i okini
>> boot scan da ti preskenira stroj dok se Windowsi ne podignu. Ako tu ne
>> nadjes krivca, onda ides probati naci tko generira WMI query-je.
>
>
> Imam oduvijek instalirane alate za Autorun management, to je bila jedna
> od prvih stvari koje sam provjerio. Mislim da antivirus tu nece procaci
> nista jer je WMI je alat za administrativno skrptiranje i sve sta je tu
> podeseno s administratorskim ovlastima je legitimno. Medjutim WMI je
> prilicno kompliciran:
>
> https://technet.microsoft.com/en-us/library/ee692770.aspx
>
> Stvari koje se odvijaju unutar WMI infrastrukture se u procesima nece
> prikazati na uobicajen nacin pa ih tako nije moguce ni detektirati.
Nece ti AV pokazati nista "unutar" WMI-a, ali ce ti pokazati ako postoji
>> Ja bih prvo pokrenuo autoruns od sysinternalsa i pogledao sto se starta i
>> odakle. Ako tu ne nadjes krivca, skini Avast (ili neki live AV) i okini
>> boot scan da ti preskenira stroj dok se Windowsi ne podignu. Ako tu ne
>> nadjes krivca, onda ides probati naci tko generira WMI query-je.
>
>
> Imam oduvijek instalirane alate za Autorun management, to je bila jedna
> od prvih stvari koje sam provjerio. Mislim da antivirus tu nece procaci
> nista jer je WMI je alat za administrativno skrptiranje i sve sta je tu
> podeseno s administratorskim ovlastima je legitimno. Medjutim WMI je
> prilicno kompliciran:
>
> https://technet.microsoft.com/en-us/library/ee692770.aspx
>
> Stvari koje se odvijaju unutar WMI infrastrukture se u procesima nece
> prikazati na uobicajen nacin pa ih tako nije moguce ni detektirati.
neki proces odnosno fajl koji tu ne bi trebao biti. Da bi nesto napravilo
WMI query, mora biti pokrenuto. Posto si na XP-u, jedino sto imas je WMI
Log, a tu, kao sto i sam vidis, nema puno informacija. Dakle, trebas
problemu pristupiti s druge strane. Pogledati sto je pokrenuto na sustavu i
sto bi moglo raditi te WMI query-je.
Meni je isto proslo kroz glavu da su to mozda legitimni query-ji od samog
OS-a ili nekog od legitimnog softvera... Zato predlazem boot scan, odnosno
mozda cak i boot sa npr. Hiren's bootom i onda iz MinWin-a pokrenuti
autoruns da vidis iz cistog okruzenja sto se pokrece...
>> Wmiprvse i Unsecapp su legitimni procesi, pod uvjetom da ih nesto ne
>> imitira. Skini process explorer i process monitor. U procexp ukljuci
>> verificiranje potpisa pa ce ti javiti da li su Wmiprvse i Unsecapp
>> potpisani od strane Microsofta. Tako ces saznati da li su legitimni ili ih
>> nesto imitira.
>
>
> Potpisi su ispravni ali je problem da se remote skriptiranje odvija
> preko legitimnih procesa - upravo im je to i svrha. WMI se pomocu:
>
> net stop winmgmt
> http://windowsxp.mvps.org/repairwmi.htm
>
> moze iskljuciti ali se onda iskljuce i vazne komponente OS-a, na XP se
> onda npr. iskljuci i firewall (na Visti mislim da ne).
legitimni proces tako sto se isto zove... dakle, ovo nije slucaj, idemo
dalje...
>> Isto tako ukljuci Scroll to new processes pa pricekaj da se
>> lansira proces koji radi WMI query (rekao si da se starta svakih 10 min pa
>> po zadnjem unosu iz loga mozes izracunati kad ce se iduci put pokrenuti i
>> tad gledaj process explorer), vidjet ces eventualno neki proces koji se
>> starta pa pokrece WMI query. Ako je proces vec startan, jbg...
>
>
> Query se logira svakih 10 sekundi (ne minuta), u prvom postu sam
> kopirao nekoliko reda iz log-a gdje se to vidi u timestamp-ovima.
>
> Svi procesi vezani uz WMI su pokretnuti stalno tako da se nece uociti
> pokretanje novog procesa.
onda umre, u sto sumnjam, ali ta opcija ti u ovom slucaju nece odmoci, moze
samo pomoci...
>> Ako tu ne nadjes krivca, startaj process monitor i pusti ga da radi dok se
>> ne okine WMI query. On ima alat (Tools > Process tree) koji ce ti pokazati
>> stablo procesa, tko je sto startao, u koje vrijeme i koje operacije je
>> proces izvodio. Tu ces opet vidjeti ako se procesi pokrecu, ako je vec
>> startan, moras radit WMI monitoring. E sad, evo par linkova, nista od ovog
>> nisam probao, ali mozes prouciti pa ti mozda pomogne:
>>
>> http://windowsitpro.com/windows-client/easier-way-view-incoming-wmi-queries
>> https://technet.microsoft.com/en-us/library/hh225034%28v=sc.12%29.aspx
>> https://blogs.technet.microsoft.com/askperf/2008/03/04/wmi-debug-logging/
>> https://msdn.microsoft.com/en-us/library/windows/desktop/aa826686%28v=vs.85%29.aspx
>>
>
> E tu bi se moglo naci rjesenje, hvala!! Prouciti cu to pa javim da li
> je uspjelo. Vjerujem da bi se pomocu nekog query-ja postavljenog preko
> konzole koja se otvori upisivanjem:
>
> wbemtest
>
> preko informacije iz log-a:
>
> IEnumWbemClassObject **pEnum = 0x3254F50
>
> moglo doci do nekih informacija ali je pitanje kako. Druga informacija
> do koje ne mogu doci je da lije mozda postavljenje tog query-ja:
biti ProcessID, a mozda je samo neki interni identifikator...
> BSTR Query = SELECT * FROM AntiVirusProduct
>
> uobicajen mehanizam a ne rezultata naknadne rekonfiguracije. Mozda
> Windows-i tako provjeravaju da li je ukljucen antivirusni program mada
> ne vjerujem da bi se to provjeravalo tako - a i upozorenje da je
> antivirus iskljucen iskoci odmah a ne nakon 10 sekundi :-/
AV, ti ne znas u kojem trenutku je on maknuo podatke iz WMI repository-ja i
koliko je vremena proslo dok Security Center javi da vise nemas AV. Uzmi
situaciju da kod deinstalacije AntiVirusa, procedura prvo makne
registraciju iz WMI repository-ja, a zatim nastavi uklanjati datoteke s
diska i unose iz registry-ja, itd... prodje 10 sekundi, OS napravi WMI
query da vidi imas li aktivan AV, vidi da ga nema, Security Center izbaci
alert, a tvoja deinstalacijska procedura jos nije uklonila datoteke s
diska... zato ti se mozda cini da Security Center javi "odmah", a ustvari
je proslo i vise od 10 sekundi...
Mozes probati raditi WMI Notification Query koji ce ti javiti kad se
instancira odredjena klasa unutar WMI-a, opet, ne znam koliko informacija
ce ti na XP-u takav query dati.
Ono sto mi pada na pamet je da odes na drugi XP stroj na kojem nista nije
dirano (nije ti sumnjiv kao ovaj) i pogledas u logovima da li se isti query
pojavljuje svakih 10 minuta. Ako se pojavljuje, sve ti je jasno, ako ga
nema, onda trazis dalje...
--
Pozdrav!
=========================
Chupo
Apr 5, 2016, 3:30:02 AM4/5/16
to
In article <ndt7d9$lb5$2...@ls237.t-com.hr>, Bruno Babic <a@b.c> says...
> Sysinternalsov program koji pokazuje procese, ne znam sad kako se zove.
>
> Uglavnom, dobijes stablo procesa pa ides od djeteta prema roditelju i to
> je to.
>
U jednom svchost-u s imenom DCOM server process launcher (WMI
>
> Uglavnom, dobijes stablo procesa pa ides od djeteta prema roditelju i to
> je to.
>
funkcionira preko DCOM objekata) su sadrzani:
wmiprvse.exe
unsecapp.exe
I oni se prikazuju u stablu od tog svchost-a.
To su programi iz system32\wbem i imaju vazece potpise (nisam ni
ocekivao da bi bili zamijenjeni nego ocekuje da se je netko posluzio
skriptiranjem koje WMI omogucava).
Za jedan svchost Process Explorrer ispisuje friendly name:
Remote Procedure Call (RPC) [RpcSs]]
Tu se u stablu ne prikazuje nista ali se u prozoru s podacima o
selektiranom procesu uz cijelu hrpu takodjer prikazuju:
wmiprvse.exe
unsecapp.exe
Tu vidim da Logon SID (S-1-5-5-X-Y) ima sve ovlasti ali mi sve te
informacije ne omogucavaju da vidim kod koji generira query-je :-/
Ako sam dobro shvatio, WMI skripta se moze napraviti bilo kojem jeziku
koji omogucava koristenje DCOM objekata a u system32\wbem je folder s
imenom Repository za kojega pretpostavljam da su iskompajlirane
skripte. Negdje sam procitao i da se rebuild repozitorija moze zadati s
komandom iz komandne linije ili preimenovanjem wbem folder-a ali ne
znam gdje je izvorni kod skripti na osnovu kojih se ponovo gradi
repozitorij.
U nekim log-ovima se spominje folder:
d:\xpsprtm\admin\wmi\wbem\sdk\framedyn\
se ne moze doci - izgleda da ga OS stiti od citanja.
Tako da sam i dalje na pocetku :-/
Bruno Babic
Apr 5, 2016, 4:01:03 AM4/5/16
to
On 5.4.2016. 9:04, Chupo wrote:
> Tako da sam i dalje na pocetku :-/
Instaliraj si Kerio Personal Firewall (v2.5, sve poslije te verzije je
> Tako da sam i dalje na pocetku :-/
smece), te na njemu podesi pravila o tome tko sto moze pa zatim prati u
logu sto jos zeli unutra ili van. Sam malware nije problematican ukoliko
ne moze van, a prije ili poslije ce se pojaviti u logu i onda imas barem
nekakav trag za pocetak.
--
bbabic(a)globalnet.hr
2b||!2b?
Zarko Cerovecki
Apr 5, 2016, 5:01:02 AM4/5/16
to
In article <ndvq8k$sa0$1...@ls237.t-com.hr>, a@b.c says...
Da li si mozda mislio na kerio-pf-2.1.5-en-win.exe (2.1 MB) iz 2003?
http://web.archive.org/web/20040404180545/http://www.kerio.com/dwn/kpf/k
erio-pf-2.1.5-en-win.exe
--
SET BLASTER=A220 I7 D1 T2
keyb yu,,C:\WINDOWS\COMMAND\keybrd2.sys
http://web.archive.org/web/20040404180545/http://www.kerio.com/dwn/kpf/k
erio-pf-2.1.5-en-win.exe
--
SET BLASTER=A220 I7 D1 T2
keyb yu,,C:\WINDOWS\COMMAND\keybrd2.sys
Bruno Babic
Apr 5, 2016, 5:30:01 AM4/5/16
to
On 5.4.2016. 10:58, Zarko Cerovecki wrote:
> Da li si mozda mislio na kerio-pf-2.1.5-en-win.exe (2.1 MB) iz 2003?
Da, to je taj. Znam da je bilo 2 i 5, ali sam zaboravio na onu jedinicu
> Da li si mozda mislio na kerio-pf-2.1.5-en-win.exe (2.1 MB) iz 2003?
izmedju. :)
BTW, to je IMHO najbolji firewall za XP.
--
bbabic(a)globalnet.hr
2b||!2b?
Matija Kapraljevic [Revenger]
Apr 5, 2016, 6:38:45 AM4/5/16
to
On Tue, 5 Apr 2016 09:04:26 +0200, Chupo wrote:
> In article <ndt7d9$lb5$2...@ls237.t-com.hr>, Bruno Babic <a@b.c> says...
>> Sysinternalsov program koji pokazuje procese, ne znam sad kako se zove.
>>
>> Uglavnom, dobijes stablo procesa pa ides od djeteta prema roditelju i to
>> je to.
>>
>
> U jednom svchost-u s imenom DCOM server process launcher (WMI
> funkcionira preko DCOM objekata) su sadrzani:
>
> wmiprvse.exe
> unsecapp.exe
>
> I oni se prikazuju u stablu od tog svchost-a.
>
> To su programi iz system32\wbem i imaju vazece potpise (nisam ni
> ocekivao da bi bili zamijenjeni nego ocekuje da se je netko posluzio
> skriptiranjem koje WMI omogucava).
>
> Za jedan svchost Process Explorrer ispisuje friendly name:
>
> Remote Procedure Call (RPC) [RpcSs]]
>
> Tu se u stablu ne prikazuje nista ali se u prozoru s podacima o
> selektiranom procesu uz cijelu hrpu takodjer prikazuju:
>
> wmiprvse.exe
> unsecapp.exe
wmiprvse.exe procesa moze biti vise, ovisi u kojem sigurnosnom kontekstu se
> In article <ndt7d9$lb5$2...@ls237.t-com.hr>, Bruno Babic <a@b.c> says...
>> Sysinternalsov program koji pokazuje procese, ne znam sad kako se zove.
>>
>> Uglavnom, dobijes stablo procesa pa ides od djeteta prema roditelju i to
>> je to.
>>
>
> U jednom svchost-u s imenom DCOM server process launcher (WMI
> funkcionira preko DCOM objekata) su sadrzani:
>
> wmiprvse.exe
> unsecapp.exe
>
> I oni se prikazuju u stablu od tog svchost-a.
>
> To su programi iz system32\wbem i imaju vazece potpise (nisam ni
> ocekivao da bi bili zamijenjeni nego ocekuje da se je netko posluzio
> skriptiranjem koje WMI omogucava).
>
> Za jedan svchost Process Explorrer ispisuje friendly name:
>
> Remote Procedure Call (RPC) [RpcSs]]
>
> Tu se u stablu ne prikazuje nista ali se u prozoru s podacima o
> selektiranom procesu uz cijelu hrpu takodjer prikazuju:
>
> wmiprvse.exe
> unsecapp.exe
izvrsavaju pa tako imaju i razlicite ovlasti.
RPC radi sto mu ime kaze, remote procedure call, a sluzi za komunikaciju
izmedju procesa. Dakle, neki proces preko RPC-a komunicira s drugim
procesom. Preko njega tvoj program moze kontaktirati WMI servis i zadati mu
query i dobiti nazad podatke, a koristi ga i sam OS za dobijanje odredjenih
informacija.
> Tu vidim da Logon SID (S-1-5-5-X-Y) ima sve ovlasti ali mi sve te
> informacije ne omogucavaju da vidim kod koji generira query-je :-/
sessiona mogu dobiti podatke od windows-station objekata od tog sessiona.
> Ako sam dobro shvatio, WMI skripta se moze napraviti bilo kojem jeziku
> koji omogucava koristenje DCOM objekata a u system32\wbem je folder s
> imenom Repository za kojega pretpostavljam da su iskompajlirane
> skripte. Negdje sam procitao i da se rebuild repozitorija moze zadati s
> komandom iz komandne linije ili preimenovanjem wbem folder-a ali ne
> znam gdje je izvorni kod skripti na osnovu kojih se ponovo gradi
> repozitorij.
kompajliranje WMI repositorija. Nakon sto instaliras neki program/driver,
on moze dodati svoju MOF skriptu, kompajlirati je i dodati u WMI
repozitorij cime "otkriva" svoj API preko kojeg kroz WMI mozes dobiti
odredjene informacije od tog providera...
Katkad se WMI repozitorij zna "ostetiti", tad imas proceduru za rebuild
koja je ustvari pronalazenje .mof datoteka i kompajliranje istih nakon cega
su ponovo dodane u WMI repozitorij.
> U nekim log-ovima se spominje folder:
>
> d:\xpsprtm\admin\wmi\wbem\sdk\framedyn\
>
> i taj folder vidim da se spominje i u .log-ovima na netu ali do njega
> se ne moze doci - izgleda da ga OS stiti od citanja.
>
> Tako da sam i dalje na pocetku :-/
WMI-u, ne mozes drugacije vidjeti tko kreira WMI upite osim kroz debugger.
Ako hoces, prikaci debugger na svchost.exe pa debugiraj. Onome tko je vican
sistemskom programiranju/administriranju i tko je strucan u debugiranju ce
to biti najbrzi nacin otkrivanja uzroka, medjutim, ja nisam taj i pokusao
bih se uvjeriti da mi je OS cist na nacin koji sam ti opisao u prethodnom
postu...
Ovo ti nece pomoci, ali da imas Vistu ili noviji OS, sve bi ti pisalo u
Trace logu...
--
Pozdrav!
=========================
Bubba
Apr 6, 2016, 9:20:56 AM4/6/16
to
Chupo's log on stardate pon 04 tra 2016 02:14:16a
> Pitanje je znaci kako napraviti trace WMI query-ja i saznati podatke
> o procesu koji ga inicira.
Mozda ti je za pocetak najjednostavnije privremeno ugasiti sve nepotrebne
servise na tom racunalu, uzeti Process Monitor, filtrirati procese i
threadove te vidjeti koji poziva DLL-ove iz system32/wbem foldera (obzirom
da bi to trebao raditi svakih 10 sekundi, kao sto kazes).
--
"If you lie to the compiler,
it will get its revenge."
Henry Spencer
http://www.pci-z.com/
> Pitanje je znaci kako napraviti trace WMI query-ja i saznati podatke
> o procesu koji ga inicira.
servise na tom racunalu, uzeti Process Monitor, filtrirati procese i
threadove te vidjeti koji poziva DLL-ove iz system32/wbem foldera (obzirom
da bi to trebao raditi svakih 10 sekundi, kao sto kazes).
--
"If you lie to the compiler,
it will get its revenge."
Henry Spencer
http://www.pci-z.com/
Matija Kapraljevic [Revenger]
Apr 7, 2016, 2:47:44 AM4/7/16
to
On 6 Apr 2016 13:20:55 GMT, Bubba wrote:
> Chupo's log on stardate pon 04 tra 2016 02:14:16a
>
>> Pitanje je znaci kako napraviti trace WMI query-ja i saznati podatke
>> o procesu koji ga inicira.
>
> Mozda ti je za pocetak najjednostavnije privremeno ugasiti sve nepotrebne
> servise na tom racunalu, uzeti Process Monitor, filtrirati procese i
> threadove te vidjeti koji poziva DLL-ove iz system32/wbem foldera (obzirom
> da bi to trebao raditi svakih 10 sekundi, kao sto kazes).
Vjerujem da ce vidjeti svchost.exe koji hosta wmi provider, a opet nece
> Chupo's log on stardate pon 04 tra 2016 02:14:16a
>
>> Pitanje je znaci kako napraviti trace WMI query-ja i saznati podatke
>> o procesu koji ga inicira.
>
> Mozda ti je za pocetak najjednostavnije privremeno ugasiti sve nepotrebne
> servise na tom racunalu, uzeti Process Monitor, filtrirati procese i
> threadove te vidjeti koji poziva DLL-ove iz system32/wbem foldera (obzirom
> da bi to trebao raditi svakih 10 sekundi, kao sto kazes).
znati tko je preko rpc-a dao nalog wmi provideru da napravi query... mozda
se varam, ali mi je ovakva situacija logicna. Ja bih usporedio s drugim
racunalom za koje zna da je cisto i ako tamo ima iste queryje, zavrsio bih
s tom pricom...
--
Pozdrav!
=========================
Bubba
Apr 7, 2016, 3:20:29 AM4/7/16
to
Matija Kapraljevic [Revenger]'s log on stardate cet 07 tra 2016
08:47:43a
> Vjerujem da ce vidjeti svchost.exe koji hosta wmi provider, a opet
> nece znati tko je preko rpc-a dao nalog wmi provideru da napravi
> query... mozda se varam, ali mi je ovakva situacija logicna. Ja bih
> usporedio s drugim racunalom za koje zna da je cisto i ako tamo ima
> iste queryje, zavrsio bih s tom pricom...
Ako ce vidjet ista vezano za WMI, onda je to (eventualno) WmiPrvSE;
IME&IMO, svchost ne radi load WMI vezanih DLL-ova. U konacnici, sve i da
radi, ako se ovo dogadja svakih 10 sekundi, nece mu biti problem sloziti
filtere i vidjeti sto se dogadja.
08:47:43a
> Vjerujem da ce vidjeti svchost.exe koji hosta wmi provider, a opet
> nece znati tko je preko rpc-a dao nalog wmi provideru da napravi
> query... mozda se varam, ali mi je ovakva situacija logicna. Ja bih
> usporedio s drugim racunalom za koje zna da je cisto i ako tamo ima
> iste queryje, zavrsio bih s tom pricom...
IME&IMO, svchost ne radi load WMI vezanih DLL-ova. U konacnici, sve i da
radi, ako se ovo dogadja svakih 10 sekundi, nece mu biti problem sloziti
filtere i vidjeti sto se dogadja.
Matija Kapraljevic [Revenger]
Apr 8, 2016, 1:47:18 AM4/8/16
to
On 7 Apr 2016 07:20:27 GMT, Bubba wrote:
> Matija Kapraljevic [Revenger]'s log on stardate cet 07 tra 2016
> 08:47:43a
>
>> Vjerujem da ce vidjeti svchost.exe koji hosta wmi provider, a opet
>> nece znati tko je preko rpc-a dao nalog wmi provideru da napravi
>> query... mozda se varam, ali mi je ovakva situacija logicna. Ja bih
>> usporedio s drugim racunalom za koje zna da je cisto i ako tamo ima
>> iste queryje, zavrsio bih s tom pricom...
>
> Ako ce vidjet ista vezano za WMI, onda je to (eventualno) WmiPrvSE;
> IME&IMO, svchost ne radi load WMI vezanih DLL-ova. U konacnici, sve i da
> radi, ako se ovo dogadja svakih 10 sekundi, nece mu biti problem sloziti
> filtere i vidjeti sto se dogadja.
Iz njegovog odgovora Bruni Babicu:
> Matija Kapraljevic [Revenger]'s log on stardate cet 07 tra 2016
> 08:47:43a
>
>> Vjerujem da ce vidjeti svchost.exe koji hosta wmi provider, a opet
>> nece znati tko je preko rpc-a dao nalog wmi provideru da napravi
>> query... mozda se varam, ali mi je ovakva situacija logicna. Ja bih
>> usporedio s drugim racunalom za koje zna da je cisto i ako tamo ima
>> iste queryje, zavrsio bih s tom pricom...
>
> Ako ce vidjet ista vezano za WMI, onda je to (eventualno) WmiPrvSE;
> IME&IMO, svchost ne radi load WMI vezanih DLL-ova. U konacnici, sve i da
> radi, ako se ovo dogadja svakih 10 sekundi, nece mu biti problem sloziti
> filtere i vidjeti sto se dogadja.
"U jednom svchost-u s imenom DCOM server process launcher (WMI
funkcionira preko DCOM objekata) su sadrzani:
wmiprvse.exe
unsecapp.exe
"
i u drugom odlomku istog posta:
funkcionira preko DCOM objekata) su sadrzani:
wmiprvse.exe
unsecapp.exe
"
"Za jedan svchost Process Explorrer ispisuje friendly name:
Remote Procedure Call (RPC) [RpcSs]]
Tu se u stablu ne prikazuje nista ali se u prozoru s podacima o
selektiranom procesu uz cijelu hrpu takodjer prikazuju:
wmiprvse.exe
unsecapp.exe"
Neka proba, ali na XP-u, ako nisu Remote WMI pozivi, bez debuggera ne
Remote Procedure Call (RPC) [RpcSs]]
Tu se u stablu ne prikazuje nista ali se u prozoru s podacima o
selektiranom procesu uz cijelu hrpu takodjer prikazuju:
wmiprvse.exe
unsecapp.exe"
vjerujem da ce dobiti ista korisno...
--
Pozdrav!
=========================
Bubba
Apr 8, 2016, 6:35:48 AM4/8/16
to
Matija Kapraljevic [Revenger]'s log on stardate pet 08 tra 2016 07:47:18a
> Neka proba, ali na XP-u, ako nisu Remote WMI pozivi, bez debuggera ne
> vjerujem da ce dobiti ista korisno...
Ako na "remote WMI pozive" podrazumijevas one uradjene s udaljene lokacije
(na/sa remote racunala), oni ionako nisu moguci na XP-u.
Ovo ce mu nedvojbeno pokazati koji proces zove DLL-ove jer za bilo koji
poziv mu treba barem (interno) CoInitializeSecurity() i CoCreateInstance()
koji ce mu dati pointer na WMI kontrolu preko (D)COM-a putem
IWbemLocator::ConnectServer metode, sto ce rezultirati pozivima na wbem
DLL-ove kako god okrenes.
> Neka proba, ali na XP-u, ako nisu Remote WMI pozivi, bez debuggera ne
> vjerujem da ce dobiti ista korisno...
(na/sa remote racunala), oni ionako nisu moguci na XP-u.
Ovo ce mu nedvojbeno pokazati koji proces zove DLL-ove jer za bilo koji
poziv mu treba barem (interno) CoInitializeSecurity() i CoCreateInstance()
koji ce mu dati pointer na WMI kontrolu preko (D)COM-a putem
IWbemLocator::ConnectServer metode, sto ce rezultirati pozivima na wbem
DLL-ove kako god okrenes.
Chupo
Apr 8, 2016, 2:01:02 PM4/8/16
to
Samo da se nakratko javim - sve dok ne utvrdim sta se tocno desava i da
li se je neki malware prosirio i po mrezi sam 99% vremena offline.
S obzirom da se radi o systemu koji se je uspio odrzati od 2006. sva
skeniranja zbog ogromnog broja file-ova traju prilicno dugo - dovoljno
ce biti da napomenem da 'normalno' skeniranje file-ova proskenira preko
milion i 78000 objekata a kad je ukljuceno rigorizno skeniranje (vise
extenzija, inside archives, vise tipova arhiva, NTFS sterams, ...) onda
se broj skeniranih objekata krece iznad 4 miliona i 250000 :-) tako da
svaka od radnji traje od 4 do 7 sati a do sad sam pokrenuo nekoliko
alata u raznim mode-ovima. Posebno je naporan boot scan mode koji traje
7 sat a ne moze se ostaviti jer svako toliko treba stisnuti tipku da bi
se poduzela odredjena akcija (nikad ne stavljam na automatsko
unistavanje pronadjenih file-ova).
Kad bude sve gotovo cu napisati detalje, za sad cu napisati samo da
process:
avgwdvsvc.exe
upisuje u neke od .log file-ova u:
system32\wbem\Logs\
sta bi moglo (ali i ne mora) znaciti da isti proces inicira i query:
SELECT * FROM AntiVirusProduct
S obzirom da je to proces od AVG antivirusa bi to moglo znaciti da
svakih 10 sekundi provjerava da li ga system registrira (mada mi to ne
djeluje logicno).
Inace sam na slobodan SATA kanal spojio hard s Win 7 instaliranima na
istom kompjuteru pa sam onda diskove od XP (izmedju ostalog) skenirao i
dok OS kojega se skenira nije bio aktivan.
Vec i dok sam system skenirao iz samih XP je bilo detektiranih
zarazenih file-ova na c: disku, kad sam skenirao iz Win 7 ih je
pronaslo jos, a boot scan (scan prije pokretanja OS-a) ih je onda nasao
jos tako da postoji i (mada mala) vjerojatnost da bi virus bio i u
samom AVG-ovom file-u (avgwdvsvc.exe). Jer ako se je netko spojio na PC
pa najprije preko WMI doznao sve detalje konfiguracije, onda je mogo
napraviti svasta. Naravno, to bi znacilo i da je napad bio ciljano
usmjeren bas na mene - to je trenutno i ono sta me najvise zanima.
li se je neki malware prosirio i po mrezi sam 99% vremena offline.
S obzirom da se radi o systemu koji se je uspio odrzati od 2006. sva
skeniranja zbog ogromnog broja file-ova traju prilicno dugo - dovoljno
ce biti da napomenem da 'normalno' skeniranje file-ova proskenira preko
milion i 78000 objekata a kad je ukljuceno rigorizno skeniranje (vise
extenzija, inside archives, vise tipova arhiva, NTFS sterams, ...) onda
se broj skeniranih objekata krece iznad 4 miliona i 250000 :-) tako da
svaka od radnji traje od 4 do 7 sati a do sad sam pokrenuo nekoliko
alata u raznim mode-ovima. Posebno je naporan boot scan mode koji traje
7 sat a ne moze se ostaviti jer svako toliko treba stisnuti tipku da bi
se poduzela odredjena akcija (nikad ne stavljam na automatsko
unistavanje pronadjenih file-ova).
Kad bude sve gotovo cu napisati detalje, za sad cu napisati samo da
process:
avgwdvsvc.exe
upisuje u neke od .log file-ova u:
system32\wbem\Logs\
sta bi moglo (ali i ne mora) znaciti da isti proces inicira i query:
SELECT * FROM AntiVirusProduct
S obzirom da je to proces od AVG antivirusa bi to moglo znaciti da
svakih 10 sekundi provjerava da li ga system registrira (mada mi to ne
djeluje logicno).
Inace sam na slobodan SATA kanal spojio hard s Win 7 instaliranima na
istom kompjuteru pa sam onda diskove od XP (izmedju ostalog) skenirao i
dok OS kojega se skenira nije bio aktivan.
Vec i dok sam system skenirao iz samih XP je bilo detektiranih
zarazenih file-ova na c: disku, kad sam skenirao iz Win 7 ih je
pronaslo jos, a boot scan (scan prije pokretanja OS-a) ih je onda nasao
jos tako da postoji i (mada mala) vjerojatnost da bi virus bio i u
samom AVG-ovom file-u (avgwdvsvc.exe). Jer ako se je netko spojio na PC
pa najprije preko WMI doznao sve detalje konfiguracije, onda je mogo
napraviti svasta. Naravno, to bi znacilo i da je napad bio ciljano
usmjeren bas na mene - to je trenutno i ono sta me najvise zanima.
Matija Kapraljevic [Revenger]
Apr 11, 2016, 3:56:42 PM4/11/16
to
On 8 Apr 2016 10:35:47 GMT, Bubba wrote:
> Matija Kapraljevic [Revenger]'s log on stardate pet 08 tra 2016 07:47:18a
>
>> Neka proba, ali na XP-u, ako nisu Remote WMI pozivi, bez debuggera ne
>> vjerujem da ce dobiti ista korisno...
>
> Ako na "remote WMI pozive" podrazumijevas one uradjene s udaljene lokacije
> (na/sa remote racunala), oni ionako nisu moguci na XP-u.
Ne znam zasto mislis da nisu moguci Remote WMI pozivi, ja sam to radio i to
> Matija Kapraljevic [Revenger]'s log on stardate pet 08 tra 2016 07:47:18a
>
>> Neka proba, ali na XP-u, ako nisu Remote WMI pozivi, bez debuggera ne
>> vjerujem da ce dobiti ista korisno...
>
> Ako na "remote WMI pozive" podrazumijevas one uradjene s udaljene lokacije
> (na/sa remote racunala), oni ionako nisu moguci na XP-u.
radi... Doduse, ja sam na domeni i preko group policy-ja omogucim remote
DCOM i pokrenem WMI servis pa mi je zivot laksi :-) S home editionima se
nisam puno sretao...
> Ovo ce mu nedvojbeno pokazati koji proces zove DLL-ove jer za bilo koji
> poziv mu treba barem (interno) CoInitializeSecurity() i CoCreateInstance()
> koji ce mu dati pointer na WMI kontrolu preko (D)COM-a putem
> IWbemLocator::ConnectServer metode, sto ce rezultirati pozivima na wbem
> DLL-ove kako god okrenes.
mi konfigurirani, tako da sam vjerojatno nekad nesto gadno kopao, al se
vise ne sjecam sto... :-)
U imena procedura necu ulaziti jer nisam programer, ali sam vican
programiranju i skriptiranju, samo nisam radio sistemsko programiranje pa
to nije bas moje podrucje.
Nego, napravio sam sad procmon log i okinuo jednu od svojih skripti i da,
vidi se trazenje i pravljenje file mappinga na dll-ove u WBEM direktoriju
pa bi to moglo pomoci.
Citajuci njegov zadnji post, ili je gadno paranoican ili ce imati hrpu
forenzike za odradit, a ja cu probati pomoci koliko mogu...
I ja sam nesto upravo naucio, a tome newsi i sluze.
--
Pozdrav!
=========================
Bubba
Apr 12, 2016, 2:04:04 AM4/12/16
to
Matija Kapraljevic [Revenger]'s log on stardate pon 11 tra 2016
09:56:42p
> Ne znam zasto mislis da nisu moguci Remote WMI pozivi, ja sam to
> radio i to radi... Doduse, ja sam na domeni
^^^^^^^^^^^^^^^^^
Lako tako, IT burzuazijo! :p ;)
> Nego, napravio sam sad procmon log i okinuo jednu od svojih skripti i
> da, vidi se trazenje i pravljenje file mappinga na dll-ove u WBEM
> direktoriju pa bi to moglo pomoci.
To mi je prvo palo na pamet, mozda je malo sirovo, ali ce sigurno pokazati
koji proces crcka po WMI-ju. Tim bolje ako je svakih 10 sekundi.
> Citajuci njegov zadnji post, ili je gadno paranoican ili ce imati
> hrpu forenzike za odradit, a ja cu probati pomoci koliko mogu...
Pa dobro, mozda uzelo covjeka malo, vidis da stiti tu XP SP2 masinu ko
Golum prsten!
> I ja sam nesto upravo naucio, a tome newsi i sluze.
:) lijepo je vidjeti da uopce ima ljudi na hr Usenetu koji zele tipkati
bilo sto. ;)
09:56:42p
> Ne znam zasto mislis da nisu moguci Remote WMI pozivi, ja sam to
> radio i to radi... Doduse, ja sam na domeni
Lako tako, IT burzuazijo! :p ;)
> Nego, napravio sam sad procmon log i okinuo jednu od svojih skripti i
> da, vidi se trazenje i pravljenje file mappinga na dll-ove u WBEM
> direktoriju pa bi to moglo pomoci.
koji proces crcka po WMI-ju. Tim bolje ako je svakih 10 sekundi.
> Citajuci njegov zadnji post, ili je gadno paranoican ili ce imati
> hrpu forenzike za odradit, a ja cu probati pomoci koliko mogu...
Golum prsten!
> I ja sam nesto upravo naucio, a tome newsi i sluze.
bilo sto. ;)
Matija Kapraljevic [Revenger]
Apr 12, 2016, 7:51:24 AM4/12/16
to
On 12 Apr 2016 06:04:03 GMT, Bubba wrote:
> Matija Kapraljevic [Revenger]'s log on stardate pon 11 tra 2016
> 09:56:42p
>
>> Ne znam zasto mislis da nisu moguci Remote WMI pozivi, ja sam to
>> radio i to radi... Doduse, ja sam na domeni
> ^^^^^^^^^^^^^^^^^
> Lako tako, IT burzuazijo! :p ;)
:-) Lako se naviknuti na dobro... :-)
> Matija Kapraljevic [Revenger]'s log on stardate pon 11 tra 2016
> 09:56:42p
>
>> Ne znam zasto mislis da nisu moguci Remote WMI pozivi, ja sam to
>> radio i to radi... Doduse, ja sam na domeni
> ^^^^^^^^^^^^^^^^^
> Lako tako, IT burzuazijo! :p ;)
>> Nego, napravio sam sad procmon log i okinuo jednu od svojih skripti i
>> da, vidi se trazenje i pravljenje file mappinga na dll-ove u WBEM
>> direktoriju pa bi to moglo pomoci.
>
> To mi je prvo palo na pamet, mozda je malo sirovo, ali ce sigurno pokazati
> koji proces crcka po WMI-ju. Tim bolje ako je svakih 10 sekundi.
ideju!
<cut>
>> I ja sam nesto upravo naucio, a tome newsi i sluze.
>
> :) lijepo je vidjeti da uopce ima ljudi na hr Usenetu koji zele tipkati
> bilo sto. ;)
ces... :-)
--
Pozdrav!
=========================
Bubba
Apr 12, 2016, 4:54:45 PM4/12/16
to
Matija Kapraljevic [Revenger]'s log on stardate uto 12 tra 2016
01:51:23p
> Old habits die hard... prve postove sam slao preko BBS-a, uzelo i
> mene, sta ces... :-)
Kako ekipa lagano odljepljuje na vintage pizdarije, mozda se danas-sutra
(hr) newsi i revitaliziraju. I ovi "stari" s newsa su jos uvijek dovoljno
mladi za to... :)
01:51:23p
> Old habits die hard... prve postove sam slao preko BBS-a, uzelo i
> mene, sta ces... :-)
(hr) newsi i revitaliziraju. I ovi "stari" s newsa su jos uvijek dovoljno
mladi za to... :)
Chupo
Apr 12, 2016, 6:30:02 PM4/12/16
to
In article <XnsA5E8E91F0CE9...@130.133.4.11>, Bubba
<nick...@banelli.biz.invalid> says...
http://telehack.com/
Uputstvo:
http://telehack.com/telehack.html
:-)
Sta se tice topic-a - vraticu se za koji dan s par dodatnih pitanja dok
jos malo proanaliziram Wireshark capture-ove.
<nick...@banelli.biz.invalid> says...
> Kako ekipa lagano odljepljuje na vintage pizdarije, mozda se danas-sutra
> (hr) newsi i revitaliziraju. I ovi "stari" s newsa su jos uvijek dovoljno
> mladi za to... :)
>
http://tinyurl.com/zeuecra
> (hr) newsi i revitaliziraju. I ovi "stari" s newsa su jos uvijek dovoljno
> mladi za to... :)
>
http://telehack.com/
Uputstvo:
http://telehack.com/telehack.html
:-)
Sta se tice topic-a - vraticu se za koji dan s par dodatnih pitanja dok
jos malo proanaliziram Wireshark capture-ove.
0 new messages