Saved searches
Use saved searches to filter your results more quickly
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Beacons2 gvt2 com что это
Reddit and its partners use cookies and similar technologies to provide you with a better experience.
By accepting all cookies, you agree to our use of cookies to deliver and maintain our services and site, improve the quality of Reddit, personalize Reddit content and advertising, and measure the effectiveness of advertising.
By rejecting non-essential cookies, Reddit may still use certain cookies to ensure the proper functionality of our platform.
For more information, please see our Cookie Notice and our Privacy Policy .
Beacons2 gvt2 com что это
Сообщения: 50
Благодарности: 0
Добрый день! Сегодня обнаружил в логах касперского кучу обращений к beacons.gvt2.com
Установлен KIS 21, в качестве днс сервера используется SKYdns.
Прикрепил ниже лог KIS за последние 5 дней и скрин последнего установленного софта.
Плюс прикрепил скрин сертификата на который каспер так ругается.
Прошу помощи в понимании что это такое.
:UPD
Похоже разобрался:
gvt2.com — принадлежит гуглу
beacons1-6.gvt2.com — похоже часть гугл статистики или трекеров.
Одно не понятно, почему каспер сайчас начал реагировать на переадресацию.
Сообщения: 5237
Благодарности: 1315
——-
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Сообщения: 50
Благодарности: 0
| Здравствуйте! Если помощь ещё нужна, соберите логи по правилам: » |
Сообщения: 5237
Благодарности: 1315
| C:\APM_FuCKER\start_FUCKER.vbs |
- Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
- Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x — любая цифра).
- Прикрепите отчет к своему следующему сообщению.
——-
Сообщения: 50
Благодарности: 0
| Этот файл вам известен? » |
Сообщения: 5237
Благодарности: 1315
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
——-
Beacons2 gvt2 com что это
GVT1.com, подозрительные домены Google, которые мы видим в Chrome
При посещении веб-страницы, какой бы она ни была, одним из факторов, который может сказать нам, является ли это легитимным сайтом или нет, является домен. URL-адрес, само имя, а также то, зашифровано оно или нет. Во время плавания мы можем столкнуться с множеством угроз. Многие страницы претендуют на то, чтобы быть законными, но на самом деле пытаются украсть информацию. В этой статье мы повторяем некоторые домены, принадлежащие Google что многие сочли подозрительным.
GVT1.com, подозрительный URL Google
Эти подозрительные URL-адреса соответствуют GVT1.com . Это домены, принадлежащие Google, из-за которых Google Chrome пользователи браузеров и исследователи компьютерной безопасности подозревают, что они действительно представляют собой нечто опасное.
Эти домены соответствуют URL redirector.gvt1.com а также gvt2.com. Они принадлежат поисковому гиганту и обычно используются для обновления программного обеспечения, расширений и контента, связанного с браузером Google Chrome.
Например, при просмотре перенаправляет на эти домены может появиться. На самом деле это, как мы уже сказали, собственные сервисы Google. Возможно, вы просто пытаетесь доставить нам необходимое обновление браузера. Однако это вызвало тревогу у многих, и они начали анализировать домены.
Некоторые антивирусы, а также исследователи в области безопасности сочли эти URL-адреса вредоносными и заблокировали их. Когда мы видим GVT, который появляется в домене gvt1.com, это аббревиатура от Google Видео транскодирование . Он используется в качестве кеш-сервера для контента и загрузок, используемых приложениями и службами Google.
Используется для отправки официального контента
Таким образом, можно сказать, что Google использует эти домены только для доставлять официальный контент . Например, загрузка обновлений или исполняемых файлов, связанных с Android.
Теперь, как указывают исследователи безопасности, вызывает беспокойство то, что Google продолжает использовать незашифрованный URL-адрес, HTTP, для доставки официального контента. Это что-то, что немного противоречит текущему времени, когда все больше и больше страниц имеют шифрование HTTPS, и даже сами браузеры часто идентифицируют страницы, которые не так небезопасны. Важно уметь анализировать ссылки и избегать проблем.
В конечном итоге, если увидеть трафик, связанный с такими доменами, как .gvt1.com или .gvt2.com, в нашей сети, это не станет поводом для тревоги, а просто вызовет законный Chromium скачать. Конечно, Google должен переключиться на HTTPS, чтобы избежать возможных атак Man-in-The-Middle, а администраторы должны следовать лучшим практикам, таким как анализ URL-трафика.
Мы уже знаем, что этот URL-адрес может использоваться хакерами для проведения своих атак. Иногда мы сталкиваемся с попытками мошенничества, которые выдают себя за легитимные страницы, но на самом деле являются, например, фишинговыми атаками. Также в других случаях они могут даже атаковать законный сайт с простой целью рассылки вредоносного программного обеспечения. Следовательно, мы всегда должны иметь программы безопасности, постоянно обновлять оборудование и, конечно же, избегать ошибок, которые могут поставить под угрозу нашу конфиденциальность в сети.
Глава 5. Пример расследования PowerShell/ Python
Одной из сильнейших ключевых сторон PowerShell является наличие возможности получение удалённых действий при возникновении ситуации отклика в процессе происшествия. Предоставляемая самыми последними версиями PowerShell инфраструктура значительно снижает необходимые сетевые настройки и предлагает значительную безопасность.
Интеграция PowerShell и Python предоставляет некую жизнеспособную платформу для локальных или удалённых расследований. Наш "старый" способ удалённого подключения к машинам при помощи DCOM (Distributed Component Object Model) и/ или RPC (Remote Procedure Calls). Эти методы интеграции вовлекали существенные усложнения, а внекоторых случаях и уязвимости, основывающихся на большом числе портов, которое требовалось настраивать.
Наш новый метод имеет название Удалённого PowerShell. Вспомните его основы, которые мы рассматривали в Главе 3 при применении Invoke-Command CmdLet. В этой главе мы предпримем намного более глубокое рассмотрение Удалённого PowerShell. Однако, прежде чем мы начнём пользоваться такими новыми возможностями Удалённого PowerShell, это может потребовать включения в вашей среде. Одним из замечательных свойств Удалённого PowerShell является то, что он запускается через HTTPS и это делается через единственный порт — 5985.
Включение удалённого PowerShell
Самый первый шаг состоит во включении Удалённого PowerShell в вашей машине расследований (той, с которой вы осуществляете все изыскания). Вы скорее всего уже предвосхитили то, что это мы намерены выполнить при помощи CmdLet PowerShell. Достаточно интересно, что он имеет название Enable-PSRemoting. Как всегда, мы начинаем с Get-Help для понимания все параметров и вариантов Листинг 5-1.
Листинг 5-1. Get-Help Enable-PSRemoting
При исполнении PSRemoting применяйте параметр -Force чтобы исключать необходимость подтверждений пользователя для данного процесса. Рисунок 5-1. отображает исполнение этого CmdLet.
Так как он уже включён в вашей локальной машине, это предоставляет следующую обратную реакцию. Скорее всего при всключении PSremoting будет запрошен windows remote management (WinRM). Все системы, сетевые среды и настройки ОС имеют отличия, поэтому проконсультируйтесь со своим системным администратором на предмет поддержки. Microsoft и сторонние разработчики предоставляют информацию по надлежащей настройке. Обратитесь, пожалуйста, к этим руководствам за дополнительными сведениями. Кроме того, эти настройки следует выполнить в тех компьютерах, в которых вы также намерены проводить расследования.
Рисунок 5-1
Включение удалённого PowerShell
Одно заключительное замечание относительно Удалённого PowerShell. Настройка вашей сетевой среды для всех ваших адаптеров должна быть установлена Private, а не Public по причинам безопасности. Обратитесь, пожалуйста, снова к своему системному администратору для выполнения этих изменений, так как параметры могут зависеть от самой операционной системы и применяемой вами версии.
Сбор и анализ удалённых наблюдений
Применение сочетания PowerShell и Python для сбора свидетельств от отличных от той на которой мы работаем систем крайне важно для расширения сферы наших расследований. Давайте для начала рассмотрим крайне полезный для локальных и удалённых расследований CmdLet PowerShell: Get-DNSClientCache.
Кэш Клиента DNS, или иначе DNS преобразователь ( resolver ) является локальной базой данных, сопровождаемой самой операционной системой. Он содержит свидетельчтва последних посещений на веб сайты и прочие местоположения в Интернете. Проще говоря, кэш DNS Клиента это просто некая запись последних запросов DNS, которые ускоряют доступ к уже определённым IP- адресам вебсайтов. Имейте в виду, что очистка истории вашего веб браузеоа для сокрытия вашей активности не включает кэш преобразователя DNS самих Операционных систем. Многие программы очистки будут очищать этот кэш, однако пользователи могут его пропускать, а он может служить важным свидетельством недавней активности.
Сам DNS, или Doman Name System (Система доменных имён), предоставляет некую трансляцию из дружественных пользователю имён, таких как microsoft.com, google.com и python-forensic.org в IP- адреса, по которым они располагаются. Всякий раз когда вы вводите в своём браузере нечто подобное www.amazon.com, осуществляется поиск DNS для трансляции читаемого человеком адреса в некий IP адрес, по которому можно выполнить доступ.
Запуск процесса Get DNSClientCache после очистки имеющегося кэша приводит к следующим результатам.
Естественно, этим CmdLet ничего не возвращается, поскольку кэш пустой.
Для добавления данных в DnsClientCache откройте веб браузер и загрузите домашнюю странице Google, как это показано на Рисунке 5-2.
Рисунок 5-2
Запуск браузера и переход на домашнюю страницу Google
Теперь исполнение этого CmdLet доставляет некоторые ожидаемые и неожиданные результаты (Листинг 5-2).
Листинг 5-2. Результаты CmdLet Get-DnsClientCache
Разумеется, ожидаемым является DNS местоположение для google.com, так как открывался именно google.com. Однако что это за наведение справок о beacons.gcp.gvt.com? По результатам исследования в интернете, он принадлежит Пщщпдуи применяется ими для отслеживания активности и предоставления автоматической подсказки при вводе в окне поиска Google. Ссылка bolt.dropbox.com не имеет отношения к к доступу к www.google.com, скорее всего к нему выполнялось обращение из- за обычной синхронизации, так как в этой системе работает Dropbox.
Как и прочие CmdLets, Get-ClientDnsCache имеет дополнительные свойства и связанные с ним участвующие функции. Их можно опросить направив конвейером вывод Get-ClientDnsCache в Get-Member, как это показано на Рисунке 5-3.
Рисунок 5-3
Участвующие методы и свойства для Get-DnsClientCache
Одним из хороших примеров является свойство TimeToLive, которое предоставляет информацию, относящуюся к тому сколько времени в секундах будет пребывать определённая запись в кэше Клиента DNS. Знание о том, что эти записи присутствуют только ограниченное время, несомненно, требует определённой оперативности в сборе такой информации в процессе расследования. Рассмотрите Листинг 5-3.
Листинг 5-3. Получение значения времени жизни для всех записей DnsClientCache
Вызов удалённого доступа
Конечно же, более сцщественным приложением Get-DnsClientCache является удалённое исполнение этого CmdLet имея целью находящуюся в расследовании систему. Применяя Invoke-Command с указанием целью компьютера Lenovo-Upstairs для перехвата самых последних DnsClientCaches отображено в Листинге 5-4. Полученный вывод был урезан для выделения представляющих наибольший интерес местоположений, в частности, доступ к dfinews.com, forensicsmag.com и steganography.com.
Листинг 5-4. Удалённый вызов Get-DnsClientCache
Построение сценария PowerShell Script для получения DnsCache
К сожалению имеются сотни кэшированных записей для сортировки при запуске этого CmdLet. Фильтрация этих результатов может быть утомительным процессом при расследовании. Следовательно, почему бы не создать некий сценарий Python для поиска результатов на основании некого перечня подозрительных веб сайтов или представляющих интерес ключевых слов? Если воспользоваться созданной нами в Главе 4 моделью сценария PowerShell, нам здесь понадобятся лишь несколько простых настроек:
Поменять входные параметры
Воспользоваться CmdLet Get-ClientDnsCache
Листинг 5-5 показывает необходимый сценарий PowerShell.
Листинг 5-5. Сценарий PowerShell CacheAcquire.ps1
Одно важное замечание: При применении команды Invoke-Command любое создание файла вывода будет иметь место в самом удалённом компьютере. Следовательно, мы перехватываем полученный результат данного сценарий (в данном примере $r) и затем отправляем комвейером эту переменную в запрошенный локальный файл.
Пример исполнения данного сценария из ISE PowerShell отображено в Рисунках с 5-4 по 5-6.
Рисунок 5-4
Исполнение CacheAcquire.ps1 и ввод полномочий
Рисунок 5-5
Результирующий список кэша
Beacons2 gvt2 com что это
Сообщения: 50
Благодарности: 0
Добрый день! Сегодня обнаружил в логах касперского кучу обращений к beacons.gvt2.com
Установлен KIS 21, в качестве днс сервера используется SKYdns.
Прикрепил ниже лог KIS за последние 5 дней и скрин последнего установленного софта.
Плюс прикрепил скрин сертификата на который каспер так ругается.
Прошу помощи в понимании что это такое.
:UPD
Похоже разобрался:
gvt2.com — принадлежит гуглу
beacons1-6.gvt2.com — похоже часть гугл статистики или трекеров.
Одно не понятно, почему каспер сайчас начал реагировать на переадресацию.
Сообщения: 5164
Благодарности: 1302
——-
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Сообщения: 50
Благодарности: 0
| Здравствуйте! Если помощь ещё нужна, соберите логи по правилам: » |
Сообщения: 5164
Благодарности: 1302
- Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
- Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x — любая цифра).
- Прикрепите отчет к своему следующему сообщению.
——-
Сообщения: 50
Благодарности: 0
| Этот файл вам известен? » |
Сообщения: 5164
Благодарности: 1302
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
——-
What is ‘beacons.gcp.gvt2.com’ and why is signal using it?
I’ve been monitoring trackers in all my mobile apps and lately I was surprised to find the signal app was making calls to this .com location but internet search isn’t bringing up anything other than it could be a Google domain of some sort. Any ideas?
It is a google domain. Google play services.
It has three running services:
Google play store
Google play services
Google services framework
If you use glasswire on your phone (and you should) you can block access to these domains on demand.
Is TrackerControl a good option too?
I use netguard, but unfortunately I’d have to upgrade to block the domain. Is glasswire like netguard?
Why would you block them w/o knowing what they do? With these particular domains I guarantee you'll block something and something will break but you won't know why.
I do not know that domain, but if it is a Google one it could be Google Play Services push notification system. No metadata or message contents are shared according to signal. You can disable Play services but you'd need to reinstall Signal. This is just a rude guess, though.