27/03/2024  

Сам собі sandbox або як перевіряти файли

Чому люди користуються VirusTotal неправильно та чому онлайн пісочниці не завжди корисні.

Давно не писав. Але нарешті зібрався поділитися своїм досвідом перевірки файлів.

26/03/24 в рамках співпраці з USAID Cybersecurity Activity провів вебінар. Ділюсь матеріалами.

Отже пропоную вам коротку інструкцію з перевірки файлів (документів) на наявність активного (шкідливого) вмісту:

  • Розглянув роботу з документами MS Office, PDF, LNK та архівами
  • Показав основні типи активної начинки, через яку пробують інфікувати системи
  • Показав роботу з онлайн інструментами та з інструментами статичного аналізу файлів
  • Дав поради по налаштуванню власного тестового середовища

Приємного перегляду:

Відео

Слайди

Кому не зручно дивитись на slideshare, можуть взяти pdf (~ 1,8 Mb)

Будьте здорові, уважні та обережні.

Слідкуйте за нашою сторінкою у Facebook

Слава Україні.

VR

11/11/2022  

McAfee – Trellix. Оновлення сертифікатів [UA]

Інформація для замовників/користувачів Trellix (McAfee).

Останнім часом  почастішали випадки звернень із помилками розгортання/оновлення продуктів.
Це пов’язано із заміною (оновленням) сертифікатів McAfee та Musaruba.

Більше подробиць про зміни внаслідок ребрендингу дивіться у KB95499 (REGISTERED – Trellix Solutions Rebranding)

А я хочу поділитися з вами шпаргалкою по усуненню проблем з оновленнями рішень Trellix

1. Якщо ви керуєте захистом через хмарний MVISION ePO
Заміна сертифікатів Agent через оновлення пакету MsgBusCertUpdater вже відбулася автоматично.
Можливо додатково знадобиться оновити кореневі сертифікати на окремих Windows системах див. KB87096 та KB91697
Якщо і після цього будуть помилки з оновленням AmCore – спробуйте оновлення MS Visual C++ Runtime 2015 див. KB95756

 

2. Якщо ви керуєте захистом через класичний (наземний) еРО
В першу чергу необхідно розгорнути оновлення пакету Agent MsgBus cert updater 5.7.7.435 див. KB95958
Можливо додатково знадобиться оновити кореневі сертифікати на окремих Windows системах див. KB87096 та KB91697
Якщо і після цього будуть помилки з оновленням AmCore – спробуйте оновлення MS Visual C++ Runtime 2015 див. KB95756

 

3. Якщо у вас проблеми з розгортанням/оновленням некерованих (unmanage/standalone) систем

  • Для Windows

Зупинити служби агенту, зробити бекап каталогу \ProgramData\McAfee\Agent\certstore, скопіювати сертифікати з пакету Agent MsgBus cert updater 5.7.7.435 у каталог \ProgramData\McAfee\Agent\certstore , запустити служби агенту
Можливо знадобиться оновити кореневі сертифікати на окремих ОС див. KB87096 та KB91697
Якщо і після цього будуть помилки з оновленням AmCore – спробуйте оновлення MS Visual C++ Runtime 2015 див. KB95756

  • Для NIX/macOS

Зупинити службу агенту, зробити бекап каталогу /var/McAfee/agent/certstore, скопіювати сертифікати з пакету Agent MsgBus cert updater 5.7.7.435 у каталог /var/McAfee/agent/certstore , запустити службу агенту див. допис у Trellix Community

 

– – – – – – – – – – – – – – – – – – //   Бонусний контент:

Приклад виправлення проблеми з оновленням  Trellix ENS  for Linux на unmanaged/standalone системі:

Отже вчора мені потрібно було розгорнути ENSL на одній із тестових систем. Звучить просто.

  • Перевірив чи підтримується обраний дистрибутив та версія ядра KB87073
  • Завантажив актуальні (крайні) версії TA 5.7.7 and ENSL 10.7.12-495
  • Встановив спершу ТА, потім ENSL

  • Перевірив версію DAT, отримав 999 (стокова, детектить тільки eicar)

  • Поліз в логи ENSL щоб побачити помилку 508

  • Поліз в логи Agent, побачив проблеми з сертифікатами MsgBus

  • Перезапустив служби mfetpd (ENSL) та cma (Agent), спробував оновити DAT вручну #./mfetpcli –runtask –index 3

  • Перезавантажив систему, заварив чайку, люки, зарився в документацію KB95924, KB94895, KB91697, KB95756, KB87096, KB95958 – чіткого рішення не виявив
  • Видалив ENSL та Agent, перезавантажив систему, встановив усе заново, спробував оновитись – знов отримав ту ж помилку
  • Завантажив пакет Agent MsgBus cert updater 5.7.7.435, розпакував #unzip MsgBusCertsUpdater.zip -d ./certs
  • Зупинив служби ENSL та Agent #sudo service mfetpd stop && sudo service cma stop
  • Вирішив спробувати замінити сертифікати Trellix Agent вручну #sudo cp ./certs *.cer /var/McAfee/agent/certstore 

  • Запустив служби Agent та ENSL  #sudo service cma start && sudo service mfetpd start
  • Знов ініціював вбудовану задачу оновлення DAT #./mfetpcli –runtask –index 3 , цього разу успішно

  • Перевірив стан MsgBus  – стабільно, помилок по сертифікатам нема

  •  Отримав оновлений робочий ENSL

  • Перевірив роботу OAS

// – – – – – – – – – – – – – – – – – –   кінець бонусного контенту

Сподіваюся, це полегшить ваше життя з Trellix.

Будьте здорові, уважні та обережні.
Вірте в ЗСУ.

Слава Україні.

#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#Trellix #McAfee #ePO #Agent #MsgBus

VR

« Older Posts