Загрузка...

Intezer - мощный инструмент для поиска скрытых угроз

Тема в разделе Вирусология создана пользователем Doklsi 8 апр 2023. (поднята 9 апр 2023) 7242 просмотра

  1. Doklsi
    Doklsi Автор темы 8 апр 2023 Ночной лолз - это ебаный даркнет 8382 26 июн 2021
    Всем привет, в настоящее время очень часто можно найти такие темы на форуме по типу:
    "Помогите, как понять есть ли майнер", "рат", и так далее. Мы знаем, что такие вирусы обычно находятся почти что всегда в оперативной памяти
    вашего компьютера, в последствии для нашего инструмента будут легки в обнаружении.​

    Многие знают, что ратники,майнеры, находятся обычно всегда в "активности", но на их сокрытие могут использоваться несколько средств, таких как: закрытие билда при включении пользователем различных утилит, как диспетчер задач, процессхакер и тому подобные, следовательно, их обнаружение значительно усложняется, есть еще более хитрые процессы, они инжектят себя в другой совершенно процесс: хром, свцхост и так далее, что делает их почти что нереальными для обнаружения.

    Немного поговорим об intezer:
    Intezer - это сайт, предоставляющих свои технологии для обнаружения различных угроз как ваших одиночных файлов, так и сканирования всей цепочки файлов в вашей оперативе, посредством создания дампа и дальнейшего его анализа. Сайт использует свои облачные технологии и методы (а не привычный нищий скантайм, который уже обходит любой крипт чуть ли не за 5 долларов), что усложняет жизнь вашему вирусу, который достаточно хорошо скрыт.
    Вид главной страницы сайта:
    [IMG]
    Регистрация на сайте довольно простая, поэтому объяснять я ее не буду, все делается достаточно просто по этой ссылке: https://analyze.intezer.com/create-account

    В чем же основная суть данного сайта? Данный проект предоставляет нам доступ к утилите, которая легко, сканируя всю память на своих виртуальных машинах, посредством анализа, определяет, как ведет себя файл и выявляет в нем угрозу, причем, файл определяет также и DLL, которые могут скрыто инжектить себя в безобидные процессы.
    Endpoint Analyze:
    [IMG]
    1) Переходим по этой ссылке https://analyze.intezer.com/scan?tab=endpoint
    2) Нажимаем на кнопку Scan Endpoint
    3) Нас перекидывает на следующую страницу: [IMG]
    *Как же все это работает?​


    Сканирование: Сканер собирает работающий код из памяти и отправляет его в Intezer Analyze. Сканирование занимает примерно пять-десять минут. Первое сканирование может занять больше времени. Обратите внимание: сканер собирает только исполняемый код, а не ********* или любые другие данные, которые не являются двоичным кодом.
    Анализ: Собранные модули анализируются с помощью технологии Genetic Malware Analysis.
    Просмотр результатов: Система предоставляет отчет об анализе конечной точки​
    4) Скачиваем Endpoint Scanner по кнопке
    [IMG]
    Итак, перейдем к основной сути, мы рассмотрим все на примере угрозы майнера, который скрывается при открытии задач, можно заметить, что при открытии особой нагрузки в диспетчере задач не наблюдается, следовательно, создается чувство, что все безопасно, но мы скачаем и запустим нашу утилиту. [IMG]
    5) После установки у нас есть такой файл [IMG]
    6) Запускаем его, затем появляется такая консоль [IMG]
    7)Заходим на https://analyze.intezer.com/account-details и жмем кнопку generate api key
    [IMG]
    8) Берем и вставляем его в программу и видим, что все работает.
    [IMG]
    9) Затем переходим по этой ссылке https://analyze.intezer.com/history?tab=endpoint
    И видим свой анализ[IMG]
    10) Анализируем! [IMG]
    11) Как видите, это склейка малваря Amadey, который был внедрен в системный процесс conhost, плюсом еще одного неизвестного файла ss31, хотя казалось, что вроде как диспетчер задач чистый.
    12) Тут показывается полная информация о нем (просто кликните на процесс), где и как файл хранится, что он пытался делать, как взаимодействовал
    [IMG]
    На этом статья окончена, спасибо за чтение, надеюсь, что это будет как-то да полезно вам.
    *******
    У тех, у кого темпайл не работает, используйте вот этот сервис с обновленными доменами почт - https://tmailor.com/ru
     
    8 апр 2023 Изменено
    1. Посмотреть предыдущие комментарии (5)
    2. Doklsi Автор темы
      Y4sperMaglot, походу гг, из за массовой реги они ручную проверку поставили
    3. Y4sperMaglot
      Doklsi, во гады, зажали антивирусник :muted:
    4. Doklsi Автор темы
      Y4sperMaglot, есть ещё один другой вариант, на подобии этого, мб потом статью запилю
  2. MouseJ
    MouseJ 8 апр 2023 Телеграм: @mousej123 77 14 июн 2022
    Интересный сканер :+rep:
     
  3. SKINSLOL
    SKINSLOL 8 апр 2023 услуги кодера: zelenka.guru/threads/6892475/ 49 24 сен 2021
    Прикольный сканер, :+rep:
     
  4. Ruinerlife
    Ну а инструмент подгружает свой *******, и потом ищи себя в паблик даун изи лог фри клауд?
     
    1. Doklsi Автор темы
      Ruinerlife, что за бред ты сейчас написал, эта компания имеет кучу партнеров, в том числе из разряда мировых лидеров, плюсом сканер берет только дамп активных приложений, папки, итп не сканирует
  5. krutyshkin
    krutyshkin 8 апр 2023 148 1159 6 фев 2019
    Воркает читы ток нашел
     
    1. Doklsi Автор темы
      krutyshkin, можешь скриншот приложить? Интересно что он про них представил
  6. MouseJ
    MouseJ 9 апр 2023 Телеграм: @mousej123 77 14 июн 2022
    [IMG]дополню, у друга клиппер нашел, всё работает.
     
  7. MoLd0Y
    MoLd0Y 24 апр 2023 Гений, миллиардер, плейбой, филантроп 28 14 окт 2020
    [IMG]
    Ошибку выдало
     
    1. Doklsi Автор темы
      MoLd0Y, потому что в пути, где хранится сканер есть русские символы, перенеси сканер на диск C и создай папку с любым названием строго на английском и запусти
    2. MoLd0Y
      Doklsi, Согласен тоже об этом подумал. Спасибо.:podumai:
  8. ghetto_hokage
    ghetto_hokage 24 апр 2023 Удача - это миф 6779 24 ноя 2019
    [IMG] Вроде-бы норм воркает
     
    1. Doklsi Автор темы
      ghetto_hokage, та не вроде бы, а работает) Просто активных угроз, у тебя нет в активности
  9. MoLd0Y
    MoLd0Y 24 апр 2023 Гений, миллиардер, плейбой, филантроп 28 14 окт 2020
    [IMG]
    Всегда пользуюсь пиратским софтом и скачиваю всякую дичь. Но как показывает приложение либо у меня вирус за 10000000$ который не детектится, либо я везунчик.

    Создателю темы :+rep:
    *Интересная идея для видео на YouTube*
     
  10. Harizeas
    Harizeas 25 апр 2023 €€€ 2482 10 мар 2021
    [IMG] тестанул на старом ноуте, втф вообще) не думал шо там настолько всё хуево, сканер сильный однако
     
  11. inletah
    inletah 2 май 2023 Реклама от Модератора Инлетаха - lolz.live/threads/7756293/
    Полезная штука. Только если бы еще была возможность юзать софт после 14 дней, а то у меня уже не идет :С
     
    1. Посмотреть предыдущие комментарии (3)
    2. inletah
      Doklsi, так откат же есть, не?
      типо спуфанул, заюзал, получил результат и откат спуфа.
    3. Doklsi Автор темы
      inletah, ну в любом случае, я не пробовал, спасибо за идею - тестану
    4. Doklsi Автор темы
      inletah, в общем, нашёл я обход, нужно удалить файлы в том месте, где запускался intezer: следующие, intezer64.exe intezer.exe и папку лог, затем создать новый акк и запустить сканнер и он пройдет)
  12. UMBRELLA_CORP
    UMBRELLA_CORP 2 май 2023 Заблокирован(а) 2375 7 мар 2023
    Ага настолько интересный что через апи ебать полный доступ к своему пк отдаете xD :shreklol:
     
    1. Посмотреть предыдущие комментарии (1)
    2. Doklsi Автор темы
      UMBRELLA_CORP, еще один появился, если ты не доверяешь им - не запускай софт, какая нахуй разница, ты можешь тому же Билл Гейтсу предъявить, что он собирает у тебя через телиметрию в своей винде, опять же, интезер - большая компания, твои 200 рублей на **** им не нужны
    3. UMBRELLA_CORP
      Doklsi, Я на ЛИНУКСЕ :pepePonyalDa:
    4. Doklsi Автор темы
    5. Посмотреть следующие комментарии (1)
  13. kekch127
    kekch127 2 май 2023 826 5 окт 2020
    Нормальная штука вроде как хаха . Вердикт Unknown почти на все повесило, хотя конкретно процесс, расположение и тд определило. [IMG]
     
    1. Doklsi Автор темы
      kekch127, trusted процессы - это в основном системные процессы, которые имеют подтвержденную подпись, Остальные - драйверы итп, которые не имеют основной подписи, ты можешь на нажать процесс и узнать подробнее компанию, которая его сделала, как и на скрине подставлено\
  14. xaversia
    сколько примерно по времени будет проверять?
     
    5 май 2023 Изменено
    1. Посмотреть предыдущие комментарии (1)
    2. xaversia
      Doklsi, [IMG] че то долго
    3. Doklsi Автор темы
    4. Doklsi Автор темы
      xaversia, ты надеюсь консоль не закрыл?
    5. Посмотреть следующие комментарии (2)
  15. id797541604
    id797541604 7 май 2023 0 24 апр 2023
  16. Si1entsuicide
    [IMG]
    Все работает, спасибо автору.
     
    11 май 2023 Изменено
  17. blokedlord
    blokedlord 12 май 2023 0 24 апр 2023
    [IMG]ошибка
     
    1. Посмотреть предыдущие комментарии (4)
    2. blokedlord
      Doklsi, корочке я установил гпедит но навигацичя не слишком понятна[IMG]
    3. Doklsi Автор темы
      blokedlord, тут не в редакторе реестра дело, скорее всего у тебя учетка ограничена, либо что то лочит процесс, ну или в винде
    4. VAGUNE555
      Doklsi, у него винда 7 стоит о чем ты мб под системные требования софт не подходит спасибо за сканер кстати вреденос по инжекчущая к процессу системный очень скрытный а этот помогает разоблачить это
      2 мар 2024 Изменено
  18. изменить
    изменить 17 май 2023 wow. 252 24 авг 2021
    Сканировал около 1.5 часа, слава рутрекеру, ничего нет. :pepeshapka:
    [IMG]
     
    1. EVOLUTION
      изменить, 1.5 часа? Что-то очень долго , у меня максимум 4 минуты
  19. N0th1ngExtra
    N0th1ngExtra 19 май 2023 neverwillrise 3443 17 фев 2022
    По-моему уже не пашет
     
    1. Посмотреть предыдущие комментарии (3)
    2. Doklsi Автор темы
    3. Doklsi Автор темы
    4. N0th1ngExtra
      Doklsi, я уже понял
  20. dirtyoff
    dirtyoff 9 июн 2023 Заблокирован(а) 9 18 май 2020
    1. Посмотреть предыдущие комментарии (1)
    2. Doklsi Автор темы
      dirtyoff, выше уже описывал проблему, в пути к твоему файлу содержатся русские символы, перенеси на диск c создай там папку на английском строго и все заработает
Загрузка...
Top