MS Exchange 2013 поймали заразу на двух серверах

RSS
Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.

Ответы

Владимир,

сделайте еще лог ESETlogCollector на IZTVMAIL01, может в журналах событий что-то будет на момент запуска 30.07
(надо было конечно пораньше запросить, вместе с образом автозапуска)
https://forum.esetnod32.ru/forum9/topic10671/

+
статья о примере мониторинга событий в WMI,
https://www.fireeye.com/blog/threat-research/2016/08/wmi_vs_wmi_monitor.html
Цитата
santy написал:
сделайте еще лог ESETlogCollector на IZTVMAIL01, может в журналах событий что-то будет на момент запуска 30.07(надо было конечно пораньше запросить, вместе с образом автозапуска) https://forum.esetnod32.ru/forum9/topic10671/
Сделал.
Сегодня снова в ночь запустился майнер. Сегодня ночью\либо утром сделаю твик 39 + образ после перезагрузки от применения твика. А там будем надеяться что снова запустится майнер. Отпишусь.
Изменено: Владимир Шариков - 04.08.2021 11:28:46 (Забыл прикрепить фаил)
можно новой версией UVS 4.11.8 включить только отслеживание процессов (только твик 39+перезагрузка)
и дождаться запуска майнера.
затем сделать образ автозапуска (с уже включенным отслеживанием)
(+ можно добавить новые логи autoruns и Esetlogcollector)



лог DNS в новой версии вынесен отдельно.
4.11.8

 
Цитата
 o Управление DNS логом вынесено в отдельные твики, #41 и #42.
   DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
   Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
   в последнем случае необходимо перезагрузить систему после 42 твика.
   (Win7 и ниже не поддерживается).
если не поможет отслеживание процессов, после можно будет еще и добавить логгирование DNS
Наконец то отловил.
Новая версия, без ДНСов.
В SPHVMAIL01
Есть: RemoteAdmin
Полное имя                  C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE
Имя файла                   ROMSERVER.EXE

Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ
File_Id                     573EB6C862B000
Linker                      2.25
Размер                      5890016 байт
Создан                      20.05.2016 в 10:06:30
Изменен                     20.05.2016 в 10:06:30
                           
TimeStamp                   20.05.2016 в 07:03:36
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            ROMSERVER.EXE
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Yakhnovets Denis Aleksandrovich IP
                           
Версия файла                4.7.2.0
                           
Доп. информация             на момент обновления списка
SHA1                        1D3A7A4B1A57192A9187D5901D38495B0F7888CB
MD5                         1A0C89DC5D3814C030DCAC5BD88349F9
                           
Ссылки на объект            
SHORTCUT                    C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LITEMANAGER PRO - SERVER\Settings for LM-Server.lnk
SHORTCUT                    C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LITEMANAGER PRO - SERVER\Start LM-Server.lnk
SHORTCUT                    C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LITEMANAGER PRO - SERVER\Stop LM-Server.lnk
                           
Вы с ним работаете ?
Цитата
DNS лог: 0
Отслеживание задач: 0
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1
отслеживание задач - не поддерживается для данной системы, только отсл процессов+возможно лог DNS.

на первом сервере (Имя компьютера: IZTVMAIL01)
Цитата
pid=7260 NT AUTHORITY\СИСТЕМА
17:43:35 [2021.08.07]
cmdline=C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
CPU 1013,99%
parentid=13100 не определился, или был закрыт после запуска майнера.
192.168.24.26:38069 <-> 95.216.46.125:443


на втором сервере (Имя компьютера: SPHVMAIL01) запуск примерно в это же время.
Цитата
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
17:34:15 [2021.08.07]
parentid=27320
192.168.10.26:51537 <-> 95.216.46.125:443
----------------
отфильтровать процессы, которые были запущены в этом интервале - не найдено других процессов в данный промежуток времени (17:**:** [2021.08.07].
в WMI - чисто

в пред. образе от 30.07
NT AUTHORITY\СИСТЕМА
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
03:48:12 [2021.07.30]
1001,31%
192.168.24.26:60064 <-> 95.216.46.125:443 /WHOIS: country:        FI/
----------------

итого:
1. запуск происх примерно в одно и тоже время на обоих серверах.
2. запуск майнера идентичный на обоих серверах
3. удаленный адрес подкл - один и тот же, повторяется при новых запусках.


4. нужны новые логи ESETlogCollector (с обоих серверов), чтобы выполнить поиск по журналам, есть ли инфо в журналах по процессу с pid=13100, pid=27320

5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512  - пойдет перезапись файла лога,
Цитата
RP55 RP55 написал:
Вы с ним работаете ?
Да. Установил на всякий случай, если вдруг удаленка по РДП будет пропадать (у нас при первой атаке так было).
Цитата
santy написал:
1. запуск происх примерно в одно и тоже время на обоих серверах.
я бы не сказал, 03:48:12 [2021.07.30] и 17:34:15 [2021.08.07]
Цитата
santy написал:
3. удаленный адрес подкл - один и тот же, повторяется при новых запусках.
Заблокировал на сетевом адресе подсеть 95.216.46.0
Цитата
santy написал:
5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512  - пойдет перезапись файла лога,
Это самое сложное "В нужный момент". Я так понял что если перезаписывает лог каждый час, необходимо попасть(не спать) в этот час?  
Я все же думаю что эксплойт запускается с "внешнего мира", т.е. есть какая то дыра, которая позволяет удаленно запускать на серваке заразу. Т.к. фаилы создаются самопроизвольно, под пользователем СИСТЕМА, и смысла нет искать на самом серваке. Если только с помощью чего запустили они этот процесс, но мы вроде как это выяснили.
В идеале прикрыть 443 порт, но закрыть ну не как не реально. Сейчас заблокировал хетцнерскую сеть, понаблюдаю. Думаю поможет НА ВРЕМЯ. Но дыру как отыскать...
Цитата
Владимир Шариков написал:
santy  написал:1. запуск происх примерно в одно и тоже время на обоих серверах.

я бы не сказал, 03:48:12 [2021.07.30] и 17:34:15 [2021.08.07]Цитата

нет,
имел ввиду, что когда происходит запуск какой-то день, то запуске происходят примерно в одно и то же время на обоих серверах.

по 2021.07.30 у нас были логи только с одного сервера

а вот 2021.08.07 есть логи от обоих серверов, и здесь видно, что время запуска примерно одинаковое

17:34:15 [2021.08.07] на SPHVMAIL01
17:43:35 [2021.08.07] на IZTVMAIL01

с другой стороны, согласен, что четкого расписания по времени нет в разные дни

склоняюсь к версии, либо проникновение возможно в сеть, либо удаленный запуск через доступную уязвимость
+ имеет смысл проверить дату изменения паролей учетных записей (если не было изменений после взлома, то сменить пароли)
---------
вот опять недавно пишут про новую обнаруженную уязвимость ProxyShell

ProxyShell - это название трех уязвимостей, которые при объединении в цепочку выполняют удаленное выполнение кода без проверки подлинности на серверах Microsoft Exchange.

Эти связанные уязвимости используются удаленно через службу клиентского доступа (CAS) Microsoft Exchange, работающую на порту 443 в IIS.

В атаках ProxyShell используются три связанных уязвимости:

CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (исправлено в апреле KB5001779)
CVE-2021-34523 - Повышение привилегий для серверной части Exchange PowerShell (исправлено в апреле, KB5001779)
CVE-2021-31207 - Запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435)

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

если есть возможность, проверьте по журналам было ли вторжение в локальную сеть (проникновение  или удаленное выполнение кода  в данных интервалах времени
17:34:15 [2021.08.07] на SPHVMAIL01
17:43:35 [2021.08.07] на IZTVMAIL01

Цитата
Это самое сложное "В нужный момент". Я так понял что если перезаписывает лог каждый час, необходимо попасть(не спать) в этот час?  

да, успеть создать образ автозапуска пока система не затерла в логах DNS нужные записи, связанные с запуском процесса.
в принципе, можно создать скрипт с созданием образа автозапуска из uVS, который бы сработал на запуск майнера.
автоматически сразу после обнаружения процесса запуска майнера.
(важно, чтобы отслеживание на сервере было уже включено: и процессов и DNS)
ну, собственно прописать в скрипте:
"создать образ автозапуска"
выгрузить процесс майнера после завершения создания образа автозапуска"
и "отключить отслеживание".


или создать задачу, которая бы с определенной периодичностью запускала скрипт,
скрипт сканирует список процессов
если находит процесс с майнером, то запускает uVS на создание образа автозапуска, после завершения выгружает процесс майнера,
закрывает отслеживание
+
отправляет сообщение на почту администратору.

важно определить сколько по времени займет однократный процесс сканирования, чтобы определить с какой периодичностью можно запускать задачу.
Владимир,
стоит еще выполнить поиск в сети по след. параметрам:
Код
44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX

возможно, это адрес кошелька
+
pool.supportxmr.com:443

Apr 29 2021
Цитата
Exchange Server Vulnerability - Still Having Issues after all Patch and CU20 Updates

Hello everyone,

As per Microsoft Recommendations, we already installed all security patches earlier in the March and installed CU 20 updates. Here are the details about our issues. Any help on this will be appreciated:

Issue: High CPU utilization due to cmd.exe process

Exchange 2016 Standard

Work done so far:
All patches installed, CU 20 installed, Performed multiple scan with Microsoft Safety Scanner, every time it finds and remove "Backdoor:MSIL/Chopper.F!dha " but next day same issue occurs

Opened CMD.exe file with process explorer today and found following scripts:
Код
C:\Windows\System32\cmd.exe -o 95.216.46.125:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON

Also ran Exchange Mitigation Tool and it did not found anything.

https://docs.microsoft.com/en-us/answers/questions/376174/exchange-server-vulnerability-still-having-issues.html
Читают тему (гостей: 2)