Использование портативного сканера (v4.0) Типовые сценарии и пост обработка
В этой статье рассмотрены ключевые сценарии применения портативного сканера. Для начала работы с утилитой необходимо выполнить подготовительные действия:
- Запустите командную строку с правами администратора и выполните переход на диск, на котором расположен сканер (например, e:).
- Перейдите в каталог сканера: cd E:/Kavscan.
- При первом запуске рекомендуется выполнить проверку пустого каталога или тестовой файловой системы. Это позволит инициализировать сканер: будут распакованы и подготовлены к работе антивирусные сигнатуры, заложенные на этапе создания носителя. На последующих сеансах сканирования данная процедура не требуется (за исключением случаев обновления баз).
Следующим шагом очистим отчет сканирования:
Теперь приступим непосредственно к самому сканированию и проанализируем результаты.
По итогам сканирования были выявлены заражённые, а также потенциально заражённые объекты. Рассмотрим процедуру анализа полученных результатов.
В портативном сканере, развёрнутом на стандартном USB-накопителе, все отчёты сохраняются в каталоге Kavscan\Result. Внутри этого каталога для каждого проверенного устройства создаётся отдельная папка, в которой может содержаться несколько отчётов — в зависимости от того, сколько раз проводилось сканирование данного узла.
Первоочередная задача — провести анализ угроз, обнаруженных портативным сканером. Для этого необходимо открыть файл detects.json, который содержит полный перечень выявленных объектов с указанием их статуса и классификации.
Обнаруженные вредоносные файлы представляет собой серьезную угрозу, так как могут содержать вредоносный код, что может указывать на многоэтапную атаку. Поэтому первым делом необходимо идентифицировать и проанализировать их.
Например, рассмотрим обнаруженную угрозу hta_server_x86_calc.hta.
Данный файл содержит два разных трояна:
- HEUR:Trojan.Script.Generic: Это эвристическое обнаружение вредоносного скрипта. Трояны этого типа предназначены для выполнения неавторизованных действий на системе, таких как удаление, блокировка, изменение или копирование данных. Уровень угрозы оценивается как высокий.
- HEUR:Trojan.PowerShell.Generic: Это эвристическое обнаружение вредоносного скрипта, использующего PowerShell. Такие трояны часто применяются для загрузки и выполнения дополнительных вредоносных компонентов из интернета.
Статус "threatStatus": "Untreated" с причиной "untreatedReason": "ReportOnly" означает, что сканер обнаружил, но не удалил и не поместил в карантин зараженный файл. Это стандартное поведение для портативного сканера KICS, который работает в режиме «только обнаружение» (Report Only). Его основная задача — выявить угрозы для последующего анализа, а не автоматическое лечение.
Так как угроза не была автоматически устранена, необходимо предпринять следующие шаги:
- Изолировать зараженный узел: Отключить компьютер от промышленной сети для предотвращения распространения атаки. Если отключение не предоставляется возможным, то убедиться, что вирус не распространился на другие системы. Выполнить сканирование систем портативным сканером.
- Удалить зараженный файл: Вручную удалить файл hta_server_x86_calc.hta с рабочего стола.
- Провести полное сканирование: Выполнить полное сканирование всей системы с помощью портативного сканера или основного антивирусного решения, чтобы убедиться в отсутствии других зараженных объектов.
- Проанализировать цепочку заражения: Выяснить, как файл попал на компьютер. Это могло быть следствием фишинга, загрузки с вредоносного сайта или распространения через другой носитель.
- Проверить сетевую активность: Проанализировать сетевые соединения с зараженного узла для выявления возможной утечки данных или связи с командно-контрольными (C2) серверами.
Для анализа угроз, выявленных портативным сканером KICS, можно использовать несколько типов источников. Они различаются по назначению: одни помогут понять природу угрозы, другие — провести глубокое расследование инцидента.
Давайте рассмотрим некоторые источники:
· Kaspersky Threat Intelligence: Платформа «Лаборатории Касперского» предоставляет актуальные данные по веб-адресам, хешам файлов, названиям угроз и поведенческим данным. (https://opentip.kaspersky.com/)
· Аналитические отчеты (ICS CERT): «Лаборатория Касперского» публикует глубокие технические отчеты о кибератаках на промышленные предприятия. (https://ics-cert.kaspersky.com/)
· База угроз безопасности и уязвимостей ПО «Лаборатории Касперского» (https://threats.kaspersky.com/ru/)
· VirusTotal: Онлайн-сервис, который сканирует файл или хеш (SHA256/MD5) десятками антивирусных движков и показывает результаты от всех вендоров. Это позволяет увидеть, насколько широко файл детектируется как вредоносный (https://www.virustotal.com/gui/home/upload).





No comments to display
No comments to display