Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
--------------------------------------------------------- 4.11.9 --------------------------------------------------------- o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации. Только для Windows 8.1/Windows Server 2012 R2 и старше.
o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.
o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.
[ Закрыто] Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
по сути инцидента с распространением майнера в корпоративной сети есть отличный апрельский отчет от INCIBE_CERT:
Это исследование предназначено для профессионалов в области ИТ и кибербезопасности, исследователей и технических аналитиков, заинтересованных в анализе и исследованиях такого типа угроз, а также администраторов ИТ-сетей и системных администраторов с целью своевременного обновления своих компьютеров и защиты их от этой угрозы.
кратное изложение:
3. Исходный файл - многослойный обфусцированный и закодированный в base64 файл Powershell. вектор входа (откуда) во время первого заражения неизвестен. (в нашем случае, понятно, что через уязвимость в MS Exchange Server 2013. После анализа было установлено, что это вредоносное ПО из семейства WannaMine, чья основная цель - криптомайнинг (использование пораженных машин для майнинга криптовалюты), который пытается распространиться по пораженной сети.
эта вредоносная программа состоит из нескольких компонент(артефактов) и имеет возможность извлекать учетные данные из уязвимых систем, используя Mimikatz, а также эксплуатарует уязвимость CVE-2017-01441, известной как EternalBlue, чтобы получить доступ к другим машинам в сети, где вы не можете сделать это с помощью учетных данных, полученных с помощью собственных механизмов удаленного выполнения в Windows. Атака частично безфайловая, чтобы обойти антивирус и программы сканирования, автоматический запуск в песочницах, так как он использует PowerShell, чтобы попытаться запустить все в объем памяти.
исходный файл: int6.ps1 Дроппер, который осуществляет первоначальное заражение на каждой из пораженных машин.
"Funs" Этот артефакт представляет собой сценарий PowerShell, который содержит множество вспомогательных функций, и функциональность бокового движения.
«mimi»: Mimikatz Это двоичный файл Mimikatz, который выполняется путем отраженной инъекции, избегая таким образом записи на диск и используется для получения учетных данных системы.
«mon»: miner XMRig Это двоичный файл программного обеспечения XMRig, майнера криптовалюты с открытым исходным кодом. популярен в атаках криптоджекинга. Он работает в памяти с помощью PowerShell, поэтому что двоичный файл не записывается на диск.
WinRing0x64.sys Этот компонент является легальным и подписанным драйвером, используемым майнером XMRig, который позволяет настроить регистры MSR для оптимизации производительности майнинга. Известно, что этот драйвер содержит уязвимости, которые позволяют эскалацию привилегии.
mue.exe Этот компонент записывается на диск во время заражения, и его задача - инжектировать полезную нагрузку в легальный процесс
"Sc": Shellcode EternalBlue. Этот компонент был идентифицирован как шелл-код для эксплуатации уязвимости. EternalBlue, и его задача - заразить новую машину WannaMine во время бокового движения.
Данная угроза способна выполнять следующие действия:
* Обойти интерфейс сканирования на наличие вредоносных программ (AMSI). * Поддерживать устойчивость в системе, создав подписку на события WMI. * Извлекать токены NTLM. *Сканировать на наличие уязвимости EternalBlue. * Распространение на другие системы с помощью EternalBlue. * Распространение на другие системы путем удаленного выполнения WMI с функцией Pass-the-Hash. * Распространение на другие системы путем удаленного выполнения SMB с помощью функции Pass-the-Hash. * Установить программное обеспечение для добычи криптовалюты с безфайловым исполнением (PowerShell). * Установить программное обеспечение для майнинга криптовалют путем инъекции (Process Hollowing) * Изменить настройки Windows, чтобы оптимизировать производительность майнинга. * Изменить настройки Windows для сохранения. * Оставить систему в уязвимом состоянии с целью локального повышения привилегий
[ Закрыто] Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
1. файлы отправленные в вирлаб по прежнему на ВирусТоал чисты (хотя ответа по этому поводу от вирлабов нет)
2. после блокировки на маршрутизаторе ip адресом, с которых были направлены запросы на сервер MS Exchange скрипт проверки на уязвимость Test-ProxyLogon.ps1 не показал новых атак на сервер
хотя и показывает что уязвимость обнаружена. 3. актуальный патч для "Exchange Server\V15\" установлен, но необходимо проверить логи установки, успешно было установлено актуальное кумулятивное обновление или нет. Exchange Server 2013
В таблице этого раздела приведены номера сборок и общие даты выпуска всех версий Microsoft Exchange Server 2013.
Exchange Server 2013 Название продукта Дата выпуска Номер сборки (краткий формат) Номер сборки (длинный формат) Exchange Server 2013 CU23 Jul21SU 13 июля 2021 г. 15.0.1497.23 15.00.1497.023
4. так же можно проверить наличие уязвимости используя nmap и спец скрипт, Latest stable release self-installer: nmap-7.92-setup.exe
+ скрипт, добавить в каталог скриптов nse для nmap
Цитата
-- @usage -- nmap -p <port> --script http-vuln-cve2021-26855 <target> -- -- @output -- PORT STATE SERVICE -- 443/tcp open https -- | http-vuln-cve2021-26855: -- | VULNERABLE -- | Exchange Server SSRF Vulnerability -- | State: VULNERABLE -- | IDs: CVE:CVE-2021-26855 -- | -- | Disclosure date: 2021-03-02 -- | References: -- | -- -- @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is "GET".
5. вопрос с регулярным детектированием (через каждые три часа) антивирусом группы вредоносных скриптом был решен проверка задач по образу uVS из нормального режима и из под winpe ничего не показала. внешние атаки не наблюдались; по логу procmon в момент срабатывания антивируса была обнаружена активность касперского с регулярным обновлением. наступил час Сократа. админы приняли решение очистить карантин, куда антивирус регулярно добавлял файлы каждые три часа. после очистки карантина детекты прекратились. что это было? вопрос к знатокам.
6. собственно следующая задача - добиться централизованного управления и контроля через веб-консоль по всем установленным антивирусных клиентам, и оперативная очистка возможно оставшихся неочищенными узлов.
рекомендуем для ознакомления: ESET Protect
7. можно проверить в работе данную утилиту на предмет аудита по журналам. Новый инструмент Chainsaw помогает командам IR анализировать журналы событий Windows
Новый инструмент Chainsaw помогает командам IR анализировать журналы событий Windows
У специалистов по реагированию на инциденты есть новый инструмент под названием Chainsaw, который ускоряет поиск в записях журнала событий Windows для выявления угроз.
Инструмент предназначен для оказания помощи на этапе первого реагирования при взаимодействии с безопасностью, а также может помочь отсортировать записи, имеющие отношение к расследованию. Создан для специалистов по реагированию на инциденты
Журналы событий Windows - это реестр действий системы, содержащий сведения о приложениях и логинах пользователей.
Сложность проверки этих записей заключается в том, что их много, особенно в системах с высоким уровнем ведения журнала; поиск нужной информации может и может быть трудоемкой задачей.
Созданная Джеймсом Д., ведущим специалистом по поиску угроз в подразделении Countercept F-Secure, Chainsaw - это утилита командной строки на основе Rust, которая может просматривать журналы событий и выделять подозрительные записи или строки, которые могут указывать на угрозу.
Инструмент использует логику обнаружения Sigma rule для быстрого поиска журналов событий, имеющих отношение к расследованию.
«Chainsaw также содержит встроенную логику для обнаружения вариантов использования, которые не подходят для правил Sigma, и предоставляет простой интерфейс для поиска в журналах событий по ключевому слову, шаблону регулярного выражения или по конкретным идентификаторам событий».
F-Secure заявляет, что Chainsaw специально разработан для быстрого анализа журналов событий в средах, где решение для обнаружения и реагирования (EDR) отсутствовало во время взлома.
В таких случаях специалисты, реагирующие на инциденты могут использовать функции поиска Chainsaw для извлечения из журналов Windows информации, относящейся к вредоносной деятельности.
Пользователи могут использовать этот инструмент для следующих действий:
Поиск в журналах событий по идентификатору события, ключевому слову и шаблонам регулярных выражений Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV. Обнаружение очистки журналов ключевых событий или остановки службы журнала событий Обнаружение пользователей, которые создаются или добавляются в конфиденциальные группы пользователей Брутфорс локальных учетных записей пользователей Логины RDP, сетевые логины и т. д.
Chainsaw, доступный как инструмент с открытым исходным кодом, использует библиотеку синтаксического анализатора EVTX и логику обнаружения, обеспечиваемую библиотекой TAU Engine от F-Secure Countercept. Он может выводить результаты в таблице ASCII, CSV или JSON.
пробуйте через uVS включить запись DNS лога, чтобы в образ попали вероятные ip адреса, с которых возможно идет атака на сервер. это можно сделать в режиме uVS - alt+T (твики). 41 включить DNS лог
[ Закрыто] Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
Рабочий процесс информационных служб Интернета (IIS) - это windows процесс (w3wp.exe), который запускает веб-приложения и отвечает за обработку запросов, отправленных на веб-сервер для определенного пула приложений.
Это рабочий процесс для IIS. Каждый пул приложений создает по крайней мере один экземпляр w3wp.exe , и именно он фактически обрабатывает запросы в вашем приложении
собственно, видим, что Полное имя C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE Имя файла W3WP.EXE Тек. статус АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
Цифр. подпись Действительна, подписано Microsoft Windows Загруженные DLL НЕИЗВЕСТНЫЕ
Код
APP_BROWSERS.CM1GY-YR.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_GLOBAL.ASAX.9ROHC7PQ.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_GLOBAL.ASAX.B43PI4NY.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\RPC\296C8D2F\5A4276D8
APP_GLOBAL.ASAX.CQHP4HAL.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\1E0EBF5E\81BBFD0C
APP_GLOBAL.ASAX.F82CQ-3M.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\82CED47D\9F9837FE
APP_GLOBAL.ASAX.FJON4ZRX.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA_CALENDAR\50586ABB\43FE3563
APP_GLOBAL.ASAX.GFOSMOYG.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI\236CA80D\613D0742
APP_GLOBAL.ASAX.LOVEIRWB.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\AUTODISCOVER\B455E468\CBAAC37D
APP_GLOBAL.ASAX.N3CT8VNU.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B
APP_GLOBAL.ASAX.P7BTXYGD.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\F1907565\9FA11D9F
APP_GLOBAL.ASAX.QXTXGCN5.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OAB\5A665F22\C3DD660B
APP_GLOBAL.ASAX.RGDBHA8I.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\EWS\9BF2358A\E86A63DA
APP_GLOBAL.ASAX.T_-RLTDU.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\MAPI_EMSMDB\FF130E68\58BD4667
APP_GLOBAL.ASAX.VOPJ5BFR.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\POWERSHELL\788CBAD3\5ED4F687
APP_GLOBAL.ASAX.ZIGCDRV_.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\1CD810A3\710C31B6
APP_THEME_DEFAULT._PA_PVFA.DLLC:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_0EXSSJHG.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_2X1TGTE0.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_2ZYUFYVK.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_BZJN21B2.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_DPLFNAEX.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_FHHKYG34.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_FRZ2LSJQ.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_HHL3EFGE.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_LUOS5NMH.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_MT1YTSHN.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_O5BJKYBG.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\OWA\8E05B027\E164D61B
APP_WEB_OCV4TGXS.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_QDEJ0KXZ.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
APP_WEB_WKYXHA1V.DLL C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A
MSERVCLIENT.DLL C:\PROGRAM FILES\MICROSOFT\EXCHANGE SERVER\V15\BIN
OSAFEHTM.DLL C:\PROGRAM FILES\MICROSOFT\EXCHANGE SERVER\V15\BIN
[ Закрыто] Заражение корпоративной сети вирусом-майнером через уязвимость ProxyLogon на сервере Exchange 2013, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065), Trojan.Win32.Generic, Trojan.Multi.GenAutorunReg.c, Trojan.Multi.GenAutorunWMI.a, PowerShellMulDrop.129 + PowerShellDownLoader.1452, HEUR:Trojan.Multi.GenAutorunSvc.ksws
Полное имя C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V4.0.30319\TEMPORARY ASP.NET FILES\ECP\67F1AD38\E5546D0A\APP_WEB_QDEJ0KXZ.DLL Имя файла APP_WEB_QDEJ0KXZ.DLL Тек. статус АКТИВНЫЙ DLL
Сохраненная информация на момент создания образа Статус АКТИВНЫЙ DLL File_Id 6132493F28000 Linker 11.0 Размер 140288 байт Создан 03.09.2021 в 19:11:43 Изменен 03.09.2021 в 19:11:44
TimeStamp 03.09.2021 в 16:11:43 EntryPoint + OS Version 4.0 Subsystem Windows character-mode user interface (CUI) subsystem IMAGE_FILE_DLL + IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Доп. информация на момент обновления списка SHA1 496888AF336F11C54580B8DA6178D639A1A1AF2A MD5 459A9B4D05142528E55B721C73E7C8CE
Процессы на момент обновления списка Процесс C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE [16888]
надо понять, что это за файлы: свежие, без цифровой, загружены легитимным процессов
