Анальные зонды на Windows 10 и прочие приключения офисной крысы.
Предистория:
Работаюофисной крысой в небольшом местном отделе большой западной компании.
Некотороевремя назад произошло заражение зловредом EMOTET майл сервера в основнойкомпании, сразу же начали обвинять дистанционные офисы (бранчи). Началасьтотальная проверка и учет всех машин и серверов в офисах и сканы всех локалок.
На тот момент проверил наши системы сторонними улилитами: AVZ, Kasper removal tool, EmoCheck и Malwarebytes AdwCleaner - ничего найдено не было.
По указке сверху на все машиныбыли установлены следующие анальные зонды:
- WirereShark,
- N-Ablewindows agent,
-SolarWinds,
- SentinelAgent.
Немногопогуглив выяснил что же это за дьявольские приблуды, все машины оказались под жесткимколпаком – сниффят траффик и запущенные приложения, а возможно и времяактивности в приложении. Как толькокто-то приносит ноут в офис и подключается к сети – сразу же «слышны» крики «Ойтищнегов»из главного офиса типа – «что там за машина у вас появилась – срочно анальнопокарать!», т.е. вставить вышеперечисленные зонды.
Когда шумихаспала, попытался избавиться от анальных зондов, WireSharkи агент от N-Able удалились через jv16 powertools, а вот Солнечный ветер и Sentinel– ни в какую, дело доходило до синихэкранов и полным отказом системы запускаться. Кое как систему восстановил, нозонды остались в жопе системе. Видимо утилита jv16 понадкусывала где смогла реестр и теперь Sentinel в режиме snoozed и больше не запускается никак, хотя до моих шаловливых ручек был активен.
Совсем недавноойтишнеги проснулись и начали жаловаться что не могут нащупать мой писюк мою станцию.
Прикинулся шлангоми пожаловался, что после обнов 20H2 и 21H1 были кое-какие проблемы, но думаюони что-то начали подозревать. Пришлось поставить снова анальные зонды исистема запестрила снифф-процессами как новогодняя елка.
Ойтишнеги покауспокоились.
Суть:
Есть идея поставитьна комп еще один ССД и накатить новую систему без анальных зондов и так-же ееобозвать, чтобы в локалке светилось точно такое-же имя станции. Подозреваюсниффер LAN на другой машине не заметит подмены (конфа не изменилась). Акогда ойтишеги забеспокоятся что нет сигнала от анального зонда – тупо перезагрузитьсяпод старой системой и сказать что у нас все норм – копайте у себя. Скорее всегоприйдется физически отключать новый ССДишник с новой системой, т.к. анальныйзонд, возможно, будет докладывать об измененной конфигурации. К счастьюойтишнеги к нам заглядывают не так часто.
Какиеподводные камни могут встретиться натаком тернистом пути?
Пишу ваммногоуважаемые реакторчане по AnyDesk с домашего, дабы око саурона не пронюхаломорально разложившегося нутра тянувшегося в реактор за новой порцией моральнойдеградации.
З.Ы. Особосвятых и непорочных просьба не беспокоить и не писать о том, что на работе надоработать.
Отличный комментарий!