можно подвести некоторые итоги:
1. файлы отправленные в вирлаб по прежнему на ВирусТоал чисты (хотя ответа по этому поводу от вирлабов нет)
2. после блокировки на маршрутизаторе ip адресом, с которых были направлены запросы на сервер MS Exchange
скрипт проверки на уязвимость [B]Test-ProxyLogon.ps1[/B] не показал новых атак на сервер
https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1
хотя и показывает что уязвимость обнаружена.
3. актуальный патч для "Exchange Server\V15\" установлен, но необходимо проверить логи установки, успешно было установлено актуальное кумулятивное обновление или нет.
Exchange Server 2013
В таблице этого раздела приведены номера сборок и общие даты выпуска всех версий Microsoft Exchange Server 2013.
Exchange Server 2013
Название продукта Дата выпуска Номер сборки
(краткий формат) Номер сборки
(длинный формат)
[SIZE=12pt] Exchange Server 2013 CU23 Jul21SU 13 июля 2021 г. 15.0.1497.23 15.00.1497.023
[/SIZE]
4. так же можно проверить наличие уязвимости используя nmap и спец скрипт,
[B]Latest stable release self-installer: nmap-7.92-setup.exe[/B]
https://nmap.org/download.html
+ скрипт, добавить в каталог скриптов nse для nmap
https://github.com/microsoft/CSS-Exchange/releases/latest/download/http-vuln-cve2021-26855.nse
[QUOTE]-- @usage
-- nmap -p <port> --script http-vuln-cve2021-26855 <target>
--
-- @output
-- PORT STATE SERVICE
-- 443/tcp open https
-- | http-vuln-cve2021-26855:
-- | VULNERABLE
-- | Exchange Server SSRF Vulnerability
-- | State: VULNERABLE
-- | IDs: CVE:CVE-2021-26855
-- |
-- | Disclosure date: 2021-03-02
-- | References:
-- | http://aka.ms/exchangevulns
--
-- @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is "GET".
[/QUOTE]
5. вопрос с регулярным детектированием (через каждые три часа) антивирусом группы вредоносных скриптом был решен
проверка задач по образу uVS из нормального режима и из под winpe ничего не показала.
внешние атаки не наблюдались;
по логу procmon в момент срабатывания антивируса была обнаружена активность касперского с регулярным обновлением. наступил час Сократа.
админы приняли решение очистить карантин, куда антивирус регулярно добавлял файлы каждые три часа.
после очистки карантина детекты прекратились. что это было? вопрос к знатокам.
6. собственно следующая задача - добиться централизованного управления и контроля через веб-консоль по всем установленным антивирусных клиентам, и оперативная очистка возможно оставшихся неочищенными узлов.
рекомендуем для ознакомления:
[B]ESET Protect[/B]
https://help.eset.com/protect_admin/81/ru-RU/
7. можно проверить в работе данную утилиту на предмет аудита по журналам.
Новый инструмент[B] Chainsaw[/B] помогает командам IR анализировать журналы событий Windows
https://github.com/countercept/chainsaw/releases/download/v1.0.2/chainsaw_x86_64-pc-windows-msvc.zip
