ESET CONNECT

Владимир, напишите по результату - помогло удаление заданий в WMI или нет

стоит обратить внимание на данное сообщение, возможно с этого ip было сканирование ресурсов и ip попал во временную блокировку

Цитата
29.07.2021 17:55:12 Security vulnerability exploitation Blocked 81.25.229.73:50624 81.25.225.130:3389 TCP EsetIpBlacklist C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE

Цитата

Олег Мишагли написал: При попытке подключения по RDP с любой из этих рабочих станций к серверу (независимо от версии RDP и операционной системы) срабатывает блокировка IP адреса (81.25.229.73) на котором стоит Mikrotik. IP адрес по информации с  https://www.dnsbl.info/  - чист, и в блеклистах не числится. Добавить в исключение на сервере этот IP не возможно, по причине политики безопасности хозяина сервера.

возможно на удаленном сервере есть белый список адресов, с которых разрешено подключаться по RDP из внешней сети.
все остальные адреса блокируются при подключении.
(и это правильная политика)

рабочие станции и сервер в одной локальной сети?
или сервер за пределами локальной сети (из рабочих станций), т.е удаленный сервер, к которому станции пытаются подключиться по RDP?

[QUOTE]Владимир Шариков написал:
пришлите карантин этих файлов прислать в почту  safety@chklst.ru  в архиве с паролем infectedМожете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе.[/QUOTE]
здесь может быть
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine
можно саму папку заархивировать с паролем infected

[B]!!!если есть еще время для исследования данной ситуации!!![/B]
можно включить отслеживание событий, на сервере, где запускается майнер.
через твик 39
чтобы лучше изучить цепочку событий, в частности непонятно, какой процесс запустил rundll32 с майнером parentid: 16032
(подозреваю что через WMI это запускается)

пример скрипта с перезагрузкой системы:
[CODE];uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart[/CODE]
но сделать надо это актуальной версией uVS v4.11.7
скачать отсюда
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
поле перезагрузки, не закрывая запущенный процесс с майнером сделать новый образ автозапуска (новой версией)
затем процесс с майнером можно закрыть

майнер запускался на одном сервере или на обоих?



скрипт для очистки: [B]Имя компьютера: IZTVMAIL01[/B]
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
[code]

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
unload %Sys32%\RUNDLL32.EXE
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.


скрипт для очистки [B]Имя компьютера: SPHVMAIL01[/B]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;

[code]

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F9UB5VQRL]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FIQKCTO1XV]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FTZOBNXGM1FP]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FY0LX5KT4]
apply

[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------

------------------------------------------------------------
4.11.7
------------------------------------------------------------
o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
[B]В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,[/B]
в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
промежуточные адреса будут отфильтрованы.
Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
(!) После включения функции требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию с момента загрузки системы.
(!) Только для активных и удаленных систем начиная с Vista (NT6.0).
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
(!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.

по логу Пользователь: IZTVMAIL01\
с большой вероятностью удалена  легальная копия программы powershell.exe
[QUOTE]Файл: 2
Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\LMZXPAFTOT.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF­08E3
Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\Y9WZPRDABW1.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF­08E3
[/QUOTE]
https://www.virustotal.com/gui/file/840e1f9dc5a29bebf01626822d7390251e9cf05bb3560ba­7b68bdb8a41cf08e3/detection
https://www.hybrid-analysis.com/sample/840e1f9dc5a29bebf01626822d7390251e9cf05bb3560ba7b­68bdb8a41cf08e3/5a4fb5b47ca3e119ff4814e8


здесь похоже на файлы, которые использовались для взлома:
Пользователь: SPHVMAIL01\
[QUOTE]Backdoor.Hafnium.Shell, C:\USERS\M.KONDRATENKO\APPDATA\ROAMING\Microsoft\Windows\Recent\iisstart.aspx.lnk, Помещено в карантин, 16927, 926908, , , , , ED05CFED65BC2E502E951C135327EBB7, 76988CB834B065119A6960092FF61CAF7FA24DBC9F65E8EF469A2F6EB22F6597
Backdoor.Hafnium.Shell, C:\INETPUB\WWWROOT\ASPNET_CLIENT\SYSTEM_WEB\IISSTART.ASPX, Помещено в карантин, 16927, 926908, 1.0.43628, , ame, , 0D5FB80F2F6ABF8182E82DC680F8F4B8, E9AB861970DDC99D06914A71D089EBA4E42F3216AEA3A43E1FD551FBDF9A­0E16
Generic.Trojan.Malicious.DDS, C:\WINDOWS\TEMP\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73­A942
Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.ORI, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, CDAAA7C3A3927AAF3BDB0432BDB7EFF2, 7510BBE920573A525BCD67B51B36702341B9F300D33B4DEBCAB199D1D266­C07C
Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73­A942[/QUOTE]
пришлите карантин этих файлов прислать в почту safety@chklst.ru в архиве с паролем infected

но новые образы нужны для сверки,
что на втором сервере в секции WMI и проверить есть ли на втором сервере задание
C:\WINDOWS\SYSTEM32\TASKS\T.NETCATKIT.COM


[B]по первому образу[/B] можно выполнить скрипт в uVS без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply
QUIT

[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
+
добавить новый образ для контроля
стоит так же подумать о смене паролей к учетным записям на данных серверах

да, это было в предыдущей атаке Proxylogon на эти же сервера,
но здесь еще есть новые задания WMI, потому лучше полный образ получить с нагруженным процессом rundll32.exe
и второй образ проверить, что в нем есть