запуск майнера на серверах с MS Exchange 2013 - Форум технической поддержки ESET NOD32

Сообщений: 17846

Баллов: 14276

Регистрация: 16.03.2010

Размещено 28.07.2021 15:40:28

по логу Пользователь: IZTVMAIL01\
с большой вероятностью удалена легальная копия программы powershell.exe

Цитата
Файл: 2 Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\LMZXPAFTOT.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF08E3 Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\Y9WZPRDABW1.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF08E3

Цитата

Файл: 2
Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\LMZXPAFTOT.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF08E3
Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\Y9WZPRDABW1.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF08E3

https://www.virustotal.com/gui/file/840e1f9dc5a29bebf01626822d7390251e9cf05bb3560ba7b68bdb8a41cf08e3/detection
https://www.hybrid-analysis.com/sample/840e1f9dc5a29bebf01626822d7390251e9cf05bb3560ba7b68bdb8a41cf08e3/5a4fb5b47ca3e119ff4814e8

здесь похоже на файлы, которые использовались для взлома:
Пользователь: SPHVMAIL01\

Цитата
Backdoor.Hafnium.Shell, C:\USERS\M.KONDRATENKO\APPDATA\ROAMING\Microsoft\Windows\Recent\iisstart.aspx.lnk, Помещено в карантин, 16927, 926908, , , , , ED05CFED65BC2E502E951C135327EBB7, 76988CB834B065119A6960092FF61CAF7FA24DBC9F65E8EF469A2F6EB22F6597 Backdoor.Hafnium.Shell, C:\INETPUB\WWWROOT\ASPNET_CLIENT\SYSTEM_WEB\IISSTART.ASPX, Помещено в карантин, 16927, 926908, 1.0.43628, , ame, , 0D5FB80F2F6ABF8182E82DC680F8F4B8, E9AB861970DDC99D06914A71D089EBA4E42F3216AEA3A43E1FD551FBDF9A0E16 Generic.Trojan.Malicious.DDS, C:\WINDOWS\TEMP\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73A942 Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.ORI, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, CDAAA7C3A3927AAF3BDB0432BDB7EFF2, 7510BBE920573A525BCD67B51B36702341B9F300D33B4DEBCAB199D1D266C07C Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73A942

Цитата

Backdoor.Hafnium.Shell, C:\USERS\M.KONDRATENKO\APPDATA\ROAMING\Microsoft\Windows\Recent\iisstart.aspx.lnk, Помещено в карантин, 16927, 926908, , , , , ED05CFED65BC2E502E951C135327EBB7, 76988CB834B065119A6960092FF61CAF7FA24DBC9F65E8EF469A2F6EB22F6597
Backdoor.Hafnium.Shell, C:\INETPUB\WWWROOT\ASPNET_CLIENT\SYSTEM_WEB\IISSTART.ASPX, Помещено в карантин, 16927, 926908, 1.0.43628, , ame, , 0D5FB80F2F6ABF8182E82DC680F8F4B8, E9AB861970DDC99D06914A71D089EBA4E42F3216AEA3A43E1FD551FBDF9A0E16
Generic.Trojan.Malicious.DDS, C:\WINDOWS\TEMP\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73A942
Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.ORI, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, CDAAA7C3A3927AAF3BDB0432BDB7EFF2, 7510BBE920573A525BCD67B51B36702341B9F300D33B4DEBCAB199D1D266C07C
Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73A942

пришлите карантин этих файлов прислать в почту [email protected] в архиве с паролем infected

но новые образы нужны для сверки,
что на втором сервере в секции WMI и проверить есть ли на втором сервере задание
C:\WINDOWS\SYSTEM32\TASKS\T.NETCATKIT.COM

по первому образу можно выполнить скрипт в uVS без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;---------command-block--------- delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB] delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR] delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK] delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4] delref T.NETCATKIT.COM apply QUIT

Код

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply
QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
+
добавить новый образ для контроля
стоит так же подумать о смене паролей к учетным записям на данных серверах

[ Как создать образ автозапуска? ]

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 30.07.2021 08:41:23

пришлите карантин этих файлов прислать в почту [email protected] в архиве с паролем infected
Можете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе. На сайте нашел только это https://forum.esetnod32.ru/forum9/topic10688/
Пока не скрипт не выполнял.
Сегодня снова майнингИ были. Сделал образ двух дисков. Отправляю.

Прикрепленные файлы

IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z (758.56 КБ)
SPHVMAIL01_2021-07-30_07-26-32_v4.11.6.7z (767.49 КБ)

Изменено: Владимир Шариков - 30.07.2021 11:01:38

Сообщений: 17846

Баллов: 14276

Регистрация: 16.03.2010

Размещено 30.07.2021 11:02:31

майнер запускался на одном сервере или на обоих?

скрипт для очистки: Имя компьютера: IZTVMAIL01
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;

Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;---------command-block--------- unload %Sys32%\RUNDLL32.EXE delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB] delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR] delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK] delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4] delref T.NETCATKIT.COM apply QUIT

Код

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
unload %Sys32%\RUNDLL32.EXE
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.

скрипт для очистки Имя компьютера: SPHVMAIL01

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;

Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;---------command-block--------- delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F9UB5VQRL] delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FIQKCTO1XV] delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FTZOBNXGM1FP] delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FY0LX5KT4] apply

Код

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F9UB5VQRL]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FIQKCTO1XV]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FTZOBNXGM1FP]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FY0LX5KT4]
apply

без перезагрузки, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 17846

Баллов: 14276

Регистрация: 16.03.2010

Размещено 30.07.2021 11:13:21

!!!если есть еще время для исследования данной ситуации!!!
можно включить отслеживание событий, на сервере, где запускается майнер.
через твик 39
чтобы лучше изучить цепочку событий, в частности непонятно, какой процесс запустил rundll32 с майнером parentid: 16032
(подозреваю что через WMI это запускается)

пример скрипта с перезагрузкой системы:

Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE regt 39 restart

но сделать надо это актуальной версией uVS v4.11.7
скачать отсюда
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
поле перезагрузки, не закрывая запущенный процесс с майнером сделать новый образ автозапуска (новой версией)
затем процесс с майнером можно закрыть

[ Как создать образ автозапуска? ]

Сообщений: 17846

Баллов: 14276

Регистрация: 16.03.2010

Размещено 30.07.2021 11:21:14

Цитата
Владимир Шариков написал: пришлите карантин этих файлов прислать в почту [email protected] в архиве с паролем infectedМожете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе.

Цитата

Владимир Шариков написал:
пришлите карантин этих файлов прислать в почту [email protected] в архиве с паролем infectedМожете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе.

здесь может быть
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine
можно саму папку заархивировать с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 17846

Баллов: 14276

Регистрация: 16.03.2010

Размещено 31.07.2021 08:53:38

Владимир, напишите по результату - помогло удаление заданий в WMI или нет

[ Как создать образ автозапуска? ]

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 01.08.2021 10:37:45

На обоих серверах запускается. Но мы так же смотрим про ПроксиЛогон уязвимость, и пытаемся исправить всякими скриптами повершела и т.п. Но зараза запускается снова и снова. Иногда, очень редко, запускается на одном из двух серверов, а на втором нет. У меня вообще подозрения что команда запуска идет из вне, т.е. доступ запуска всё еще остался некий доступ. Хоть мы и поставили все обновления, заплатки от майкрософта.
Очень правильно что посоветовали программу для слежки, конечно же сейчас сделаю. У меня как раз был этот вопрос.
Скрипты сделал на двух серверах.

Сообщений: 148

Баллов: 118

Регистрация: 25.03.2011

Размещено 01.08.2021 12:04:23

Цитата
santy написал: ;uVS v4.11.7 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE regt 39 restart

Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается... При нажатии Запуск под текущим пользователем ничего после не открывается. Сделал перезагрузку, не помогло. На IZTVMAIL01 запустил твик, ждем.
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine - тут пусто.

Обязательно отпишусь!

Изменено: Владимир Шариков - 01.08.2021 12:05:41

Сообщений: 17846

Баллов: 14276

Регистрация: 16.03.2010

Размещено 01.08.2021 12:07:50

ок.

1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.
2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение
3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)
4. если будет включено отслеживание событий - обязательно новой версией uVS 4.11.7 (твиком 39+перезагрузка системы)

Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE regt 39 restart

надо иметь ввиду след. сообщение от разработчика:

Цитата
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут, (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.

т.е. образ нужно будеn сделать сразу после перезагрузки системы. и передать его для анализа.

+ отключить отслеживание (с перезагрузкой системы), чтобы лог DNS не занимал Гб на системном диске.

Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE regt 40 restart

[ Как создать образ автозапуска? ]

Сообщений: 17846

Баллов: 14276

Регистрация: 16.03.2010

Размещено 01.08.2021 12:15:26

Цитата
Владимир Шариков написал: Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается...

возможно причина в этом:
ответ разработчика
такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits

[ Как создать образ автозапуска? ]

[ Закрыто ] запуск майнера на серверах с MS Exchange 2013

Ответы