запуск майнера на серверах с MS Exchange 2013

RSS
Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.

Ответы

по логу Пользователь: IZTVMAIL01\
с большой вероятностью удалена  легальная копия программы powershell.exe
Цитата
Файл: 2
Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\LMZXPAFTOT.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF­08E3
Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\Y9WZPRDABW1.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF­08E3
https://www.virustotal.com/gui/file/840e1f9dc5a29bebf01626822d7390251e9cf05bb3560ba­7b68bdb8a41cf08e3/detection
https://www.hybrid-analysis.com/sample/840e1f9dc5a29bebf01626822d7390251e9cf05bb3560ba7b­68bdb8a41cf08e3/5a4fb5b47ca3e119ff4814e8


здесь похоже на файлы, которые использовались для взлома:
Пользователь: SPHVMAIL01\
Цитата
Backdoor.Hafnium.Shell, C:\USERS\M.KONDRATENKO\APPDATA\ROAMING\Microsoft\Windows\Recent\iisstar­t.aspx.lnk, Помещено в карантин, 16927, 926908, , , , , ED05CFED65BC2E502E951C135327EBB7, 76988CB834B065119A6960092FF61CAF7FA24DBC9F65E8EF469A2F6EB22F­6597
Backdoor.Hafnium.Shell, C:\INETPUB\WWWROOT\ASPNET_CLIENT\SYSTEM_WEB\IISSTART.ASPX, Помещено в карантин, 16927, 926908, 1.0.43628, , ame, , 0D5FB80F2F6ABF8182E82DC680F8F4B8, E9AB861970DDC99D06914A71D089EBA4E42F3216AEA3A43E1FD551FBDF9A­0E16
Generic.Trojan.Malicious.DDS, C:\WINDOWS\TEMP\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73­A942
Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.ORI, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, CDAAA7C3A3927AAF3BDB0432BDB7EFF2, 7510BBE920573A525BCD67B51B36702341B9F300D33B4DEBCAB199D1D266­C07C
Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73­A942
пришлите карантин этих файлов прислать в почту safety@chklst.ru в архиве с паролем infected

но новые образы нужны для сверки,
что на втором сервере в секции WMI и проверить есть ли на втором сервере задание
C:\WINDOWS\SYSTEM32\TASKS\T.NETCATKIT.COM


по первому образу можно выполнить скрипт в uVS без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply
QUIT


без перезагрузки, пишем о старых и новых проблемах.
------------
+
добавить новый образ для контроля
стоит так же подумать о смене паролей к учетным записям на данных серверах
пришлите карантин этих файлов прислать в почту safety@chklst.ru в архиве с паролем infected
Можете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе. На сайте нашел только это https://forum.esetnod32.ru/forum9/topic10688/
Пока не скрипт не выполнял.
Сегодня снова майнингИ были. Сделал образ двух дисков. Отправляю.
Изменено: Владимир Шариков - 30.07.2021 11:01:38
майнер запускался на одном сервере или на обоих?



скрипт для очистки: Имя компьютера: IZTVMAIL01
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
Код

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
unload %Sys32%\RUNDLL32.EXE
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.


скрипт для очистки Имя компьютера: SPHVMAIL01

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;

Код

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F9UB5VQRL]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FIQKCTO1XV]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FTZOBNXGM1FP]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FY0LX5KT4]
apply


без перезагрузки, пишем о старых и новых проблемах.
------------
!!!если есть еще время для исследования данной ситуации!!!
можно включить отслеживание событий, на сервере, где запускается майнер.
через твик 39
чтобы лучше изучить цепочку событий, в частности непонятно, какой процесс запустил rundll32 с майнером parentid: 16032
(подозреваю что через WMI это запускается)

пример скрипта с перезагрузкой системы:
Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart

но сделать надо это актуальной версией uVS v4.11.7
скачать отсюда
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
поле перезагрузки, не закрывая запущенный процесс с майнером сделать новый образ автозапуска (новой версией)
затем процесс с майнером можно закрыть
Цитата
Владимир Шариков написал:
пришлите карантин этих файлов прислать в почту  safety@chklst.ru  в архиве с паролем infectedМожете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе.
здесь может быть
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine
можно саму папку заархивировать с паролем infected
Владимир, напишите по результату - помогло удаление заданий в WMI или нет
На обоих серверах запускается. Но мы так же смотрим про ПроксиЛогон уязвимость, и пытаемся исправить всякими скриптами повершела и т.п. Но зараза запускается снова и снова. Иногда, очень редко, запускается на одном из двух серверов, а на втором нет. У меня вообще подозрения что команда запуска идет из вне, т.е. доступ запуска всё еще остался некий доступ. Хоть мы и поставили все обновления, заплатки от майкрософта.
Очень правильно что посоветовали программу для слежки, конечно же сейчас сделаю. У меня как раз был этот вопрос.
Скрипты сделал на двух серверах.  
Цитата
santy написал:
;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart
Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается... При нажатии Запуск под текущим пользователем ничего после не открывается. Сделал перезагрузку, не помогло. На IZTVMAIL01 запустил твик, ждем.
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine  - тут пусто.

Обязательно отпишусь!
Изменено: Владимир Шариков - 01.08.2021 12:05:41
ок.

1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.
2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение
3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)
4. если будет включено отслеживание событий - обязательно новой версией uVS 4.11.7  (твиком 39+перезагрузка системы)

Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart


надо иметь ввиду след. сообщение от разработчика:

Цитата
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
  (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.

т.е. образ нужно будеn сделать сразу после перезагрузки системы. и передать его для анализа.

+ отключить отслеживание (с перезагрузкой системы), чтобы лог DNS не занимал Гб на системном диске.
Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 40
restart
Цитата
Владимир Шариков написал:
Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается...
возможно причина в этом:
ответ разработчика
такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits
Читают тему (гостей: 1)