[ Закрыто ] запуск майнера на сервере с MS Exchange 2016

добрый день.
аналогичная проблема, запускается бяка на exchange. Нужна помощь. Ссылка на образ  
uVS v4.11.10 [http://dsrt.dyndns.org:8888]: Windows Server 2012 R2 Standard x64 (NT v6.3 SP0) build 9600  [C:\WINDOWS]
Microsoft Exchange Server 2016

проверьте, установлен ли у вас актуальный патч
Цитата
Exchange Server 2016
В таблице этого раздела приведены номера сборок и общие даты выпуска всех версий Microsoft Exchange Server 2016.
Exchange Server 2016
Название продукта Дата выпуска Номер сборки
(краткий формат) Номер сборки
(длинный формат)
  Exchange Server 2016 CU22 Oct21SU 12 октября 2021 г. 15.1.2375.12 15.01.2375.012
https://docs.microsoft.com/ru-ru/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
судя по образу uVS у вас может быть быть очень древний дистрибутив установлен.
Exchange Server 2016 RTM 1 октября 2015 г. 15.1.225.42 15.01.0225.042

1. пробуйте сделать образ автозапуска актуальной версией 4.11.12
скачать по ссылке:
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0

2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
regt 41
restart

перезагрузка,
------------
далее, надо дождаться запуска майнера, если появляется после загрузки системы, и сделать образ автозапуска не закрывая процесс с майнером
как только образ будет создан, процесс майнера можно закрыть
майнер запускается в выходные раз в две недели....
1. по обновлениям Exchange проверили -установлены актуальные патчи?

2. выполните скрипт проверки на уязвимость Test-ProxyLogon.ps1 на наличие новых атак на сервер
https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1

файл, который формирует скрипт в формате csv пришлите пожалуйста в почту safety@chklst.ru

3. 4. так же можно проверить наличие уязвимости из локальной сети используя nmap и спец скрипт,
Latest stable release self-installer: nmap-7.92-setup.exe
https://nmap.org/download.html
+ скрипт, добавить в каталог скриптов nse для nmap
https://github.com/microsoft/CSS-Exchange/releases/latest/download/http-vuln-cve2021-26855.nse

Цитата

-- @usage
-- nmap -p <port> --script http-vuln-cve2021-26855 <target>
--
-- @output
-- PORT STATE SERVICE
-- 443/tcp open https
-- | http-vuln-cve2021-26855:
-- | VULNERABLE
-- | Exchange Server SSRF Vulnerability
-- | State: VULNERABLE
-- | IDs: CVE:CVE-2021-26855
-- |
-- | Disclosure date: 2021-03-02
-- | References:
-- | http://aka.ms/exchangevulns
--
-- @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is "GET".

4. есть ли антивирусная защита на данном сервере (судя по образу - не обнаружена), есть ли какие то логи или журналы, которые фиксируют запуск майнера?

5. ждем в гости майнер - если есть четкое расписание его запуска, и фиксируем его запуск с помощью uVS. скрипт, в таком случае, добавленный выше с обнаружением процессов и задач и логов DNS можно выполнить накануне "визита".
добрый день.
1. поднял версию до предпоследнего (июньского) кумулятива.
2. образ UVS
3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло
антивируса пока нет там
Цитата
Сергей Шустов написал:
добрый день.
1. поднял версию до предпоследнего (июньского) кумулятива.
2.  образ UVS  
3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло

судя по образу версия обновилась.
Exchange Server 2016 CU21 29 июня 2021 г. 15.1.2308.8 15.01.2308.008



рекомендуется так же установить все критические обновления для системы.

да, здесь есть запуск майнера
Цитата
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON

192.168.90.52:46366 <-> 95.216.46.125:443
но жаль,  что вы не обратили внимание на просьбу
а), сделать образ актуальной версией uVS 4.11.12
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
перед созданием образа необходимо чтобы были выполнены твики 39 и  41, которые включают отслеживание создаваемых процессов и задач, с момента загрузки системы+ отслеживание логов DNS с целью определить (процесс или задачу) источник запуска майнера.

Цитата
3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло
файл лога был создан в данной папке? вот он и нужен для анализа.
проверить локальный сервер и скопировать идентифицированные журналы и файлы в OutPath:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs -CollectFiles
-------------------------

>>>антивируса пока нет там
проверьте систему сканерами:
1. Microsoft Safety Scanner
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
2. Malwarebytes
https://forum.esetnod32.ru/forum9/topic10688/
3. добавьте лог ESETlogCollector
https://forum.esetnod32.ru/forum9/topic10671/


>>>майнер запускается в выходные раз в две недели....
майнер запустился уже после установки куммулятивного обновления?


что нужно сделать:
1. скачаь актуальную версию uVS 4.11.12 отсюда

2. выполнить скрипт в uVS с перезагрузкой системы, в удобное для вас время, накануне предполагаемого запуска майнера.

Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
regt 41
restart

3. как только майнер запустится, создать образ автозапуска в uVS.
(uVS можно предварительно запустить, но образ создавать только после запуска процесса с майнером)

4. после создания образа автозапуска - процесс с майнером можно закрыть.

5. далее, уже анализируем (здесь) по образу, какая доп. информация попадет (по процессам, задачам, логам DNS)
образ UVS (скачан по ссылке )
лог скрипта на почту отправил
делал проверку Malwarebytes, ничего не нашёл. Завтра касперского поставлю
Сергей, спасибо,
файлы получил, некоторое время необходимо для анализа. в этот раз все получилось. отслеживание включено,
странно, что образ выполнен не последней версией. (4.11.11), проверю. --- обновил до 4.11.12
проверьте в папке C:\Windows\Temp есть указанные файлы?
C:\Windows\Temp\Rar.exe
C:\Windows\Temp\tmpVJSY.tmp
C:\Windows\Temp\tmpSCWT.tmp

Цитата
Полное имя                  C:\WINDOWS\TEMP\RAR.EXE
Имя файла                   RAR.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 8132                  NT AUTHORITY\SYSTEM
Процесс создан              09:36:07 [2021.11.07]
Процесс завершен            09:36:55 [2021.11.07]
CmdLine                     "C:\Windows\Temp\Rar.exe" C:\Windows\Temp\tmpVJSY.tmp C:\Windows\Temp\tmpSCWT.tmp
parentid = 12404            C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE
Читают тему (гостей: 1)