Форум Рутокен — Вся сеть заражена ruToken

Re: Вся сеть заражена ruToken

null@example.com (Фатеева Светлана) — Tue, 08 Apr 2025 10:38:12 +0000

Здравствуйте, entirewanda.
Верно, особенность протокола RDP в том, что при таком подключении "пробрасываются" локально подключенные токены (в том числе виртуальные считыватели) на удаленный компьютер и при этом перестают быть доступными токены, подключенные в удаленный компьютер.
Если же использовать программы для удаленного подключения, которые не используют протокол RDP, тогда будут доступны токены подключенные в удаленный компьютер.
Также не стоит забывать об ограничении в операционных системах семейства Windows на общее количество устройств чтения смарт-карт в "Диспетчере устройств" - не более 10 устройств.

Re: Вся сеть заражена ruToken

null@example.com (entirewanda) — Sun, 06 Apr 2025 19:22:31 +0000

Все понятно, разобрался. Это даже немного смешно. Кард-ридеры "установлены" на всех серверах, потому что я захожу на них через RDP, а ruToken установлен на моей собственной машине. Это редирект через RDP. Не знал об этом механизме, что редирект прям вот так встраивается в реестр и затем ведет себя как полноценное устройство.

Прошу прощения за беспокойство)

UPD: VSC работают. Как ни странно, через RDP доступны смарт-карты клиента, но недоступны сервера, так задумано. Поэтому создается впечатление, что ruToken "блокирует" серверные смарт-карты, которые доступны, к сожалению, только, например, через iLO

Вся сеть заражена ruToken

null@example.com (entirewanda) — Sun, 06 Apr 2025 18:24:13 +0000

Мы, несомненно, используем на каких-то компьютерах ruToken, но сегодня я обнаружил, что виртуальные кард-ридеры " Aktiv Co. ruToken" установлены абсолютно на всех компьютерах, включая сервера.

Хуже того, эти артефакты делают невозможным использование оригинальных виртуальных смарт-карт (VSC) Microsoft, т.к. судя по всему перехватывают или маскируют вызовы к ним.

В реестре создаются несколько ключей, в частности:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\ScDeviceEnum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\ScDeviceEnumBus
HKLM\System\CurrentControlSet\Control\DeviceClasses\{deebe6ad-9e01-47e2-a3b2-a66aa2c036c9} (всегда этот GUID)

Удалить их совершенно невозможно - они создаются заново при перезагрузке.
Целый день борьбы с участием ProcMon ничего не дали: все ключи создаются стандартными средствами Windows, такими как dwm.exe. ScDeviceEnum.dll и cfgmgr32.dll. Вообще нигде ни одного упоминания вызова к нестандартным файлам. Источник заражения непонятен.

Также на всем компьютере нет ни единого упоминания "Aktiv" или "ruToken" ни в одном файле. Несмотря на это, ключи в реестре с этими названиями упорно пересоздаются.

Позже обнаружил, что на виртуальные машины эти рутокены пропагируются через сервис интеграции (вероятно, проброс карт средствами Windows с последующей установкой), т.е. устанавливаешь новую виртуалку - все норм, чистенько, но стоит включить интеграцию с хостом - бац, опять рутокены. Но как они оказались установлены на всех физических серверах - ума не приложу.

Вы, несомненно, талантливые программисты, позавидует любой писатель malware :)
Но как избавиться???
PS. rtDrvRemover.exe использовал - не помогло