Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 59 60 61 62 63 64 65 66 67 68 69 ... 1784 След.
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.07.2021 11:02:31
майнер запускался на одном сервере или на обоих?



скрипт для очистки: [B]Имя компьютера: IZTVMAIL01[/B]
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
[code]

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
unload %Sys32%\RUNDLL32.EXE
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.


скрипт для очистки [B]Имя компьютера: SPHVMAIL01[/B]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;

[code]

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F9UB5VQRL]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FIQKCTO1XV]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FTZOBNXGM1FP]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FY0LX5KT4]
apply

[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
Перейти
Universal Virus Sniffer (uVS)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.07.2021 18:35:27
------------------------------------------------------------
4.11.7
------------------------------------------------------------
o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
[B]В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,[/B]
в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
промежуточные адреса будут отфильтрованы.
Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
(!) После включения функции требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию с момента загрузки системы.
(!) Только для активных и удаленных систем начиная с Vista (NT6.0).
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
(!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
+
---------------------------------------------------------
4.11.8
---------------------------------------------------------
[B]o Управление DNS логом вынесено в отдельные твики, #41 и #42.[/B]
  DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
  Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
  в последнем случае необходимо перезагрузить систему после 42 твика.
  (Win7 и ниже не поддерживается).
Перейти
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2021 15:40:28
по логу Пользователь: IZTVMAIL01\
с большой вероятностью удалена  легальная копия программы powershell.exe
[QUOTE]Файл: 2
Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\LMZXPAFTOT.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF­08E3
Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\Y9WZPRDABW1.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF­08E3
[/QUOTE]
https://www.virustotal.com/gui/file/840e1f9dc5a29bebf01626822d7390251e9cf05bb3560ba­7b68bdb8a41cf08e3/detection
https://www.hybrid-analysis.com/sample/840e1f9dc5a29bebf01626822d7390251e9cf05bb3560ba7b­68bdb8a41cf08e3/5a4fb5b47ca3e119ff4814e8


здесь похоже на файлы, которые использовались для взлома:
Пользователь: SPHVMAIL01\
[QUOTE]Backdoor.Hafnium.Shell, C:\USERS\M.KONDRATENKO\APPDATA\ROAMING\Microsoft\Windows\Recent\iisstart.aspx.lnk, Помещено в карантин, 16927, 926908, , , , , ED05CFED65BC2E502E951C135327EBB7, 76988CB834B065119A6960092FF61CAF7FA24DBC9F65E8EF469A2F6EB22F6597
Backdoor.Hafnium.Shell, C:\INETPUB\WWWROOT\ASPNET_CLIENT\SYSTEM_WEB\IISSTART.ASPX, Помещено в карантин, 16927, 926908, 1.0.43628, , ame, , 0D5FB80F2F6ABF8182E82DC680F8F4B8, E9AB861970DDC99D06914A71D089EBA4E42F3216AEA3A43E1FD551FBDF9A­0E16
Generic.Trojan.Malicious.DDS, C:\WINDOWS\TEMP\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73­A942
Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.ORI, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, CDAAA7C3A3927AAF3BDB0432BDB7EFF2, 7510BBE920573A525BCD67B51B36702341B9F300D33B4DEBCAB199D1D266­C07C
Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73­A942[/QUOTE]
пришлите карантин этих файлов прислать в почту [email protected] в архиве с паролем infected

но новые образы нужны для сверки,
что на втором сервере в секции WMI и проверить есть ли на втором сервере задание
C:\WINDOWS\SYSTEM32\TASKS\T.NETCATKIT.COM


[B]по первому образу[/B] можно выполнить скрипт в uVS без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply
QUIT

[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
+
добавить новый образ для контроля
стоит так же подумать о смене паролей к учетным записям на данных серверах
Перейти
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.07.2021 17:43:53
да, это было в предыдущей атаке Proxylogon на эти же сервера,
но здесь еще есть новые задания WMI, потому лучше полный образ получить с нагруженным процессом rundll32.exe
и второй образ проверить, что в нем есть
Перейти
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.07.2021 16:52:29
[QUOTE]Владимир Шариков написал:
Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.[/QUOTE]
не нужно,
как процесс запустится, сделайте образы автозапуска, потом процессы можно закрыть, вечером посмотрим образы, и напишем скрипты очистки
Перейти
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.07.2021 16:48:33
да, T.NETCATKIT.COM тоже может быть частью заданий злоумышленников
Перейти
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.07.2021 16:04:50
процесс rundll32.exe (с внедренным майнером) закрыли перед созданием  образа автозапуска?
может переделаете образ автозапуска с активным процессом, чтобы можно было увидеть какой процесс ему внедряет майнера?

пока что видно несколько заданий, запускаемых из WMI:
WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]

+
по второму серверу сделайте образ автозапуска, чтобы было с чем сравнить
Перейти
Постоянно всплывает окно антивируса о заблокированном ресурсе
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.07.2021 13:06:16
C:\PROGRAM FILES (X86)\LSZZPHV\EHLE4E.EXE                : [URL=https://www.virustotal.com/gui/file/955956e54f5c5c3ff8f0c87fc66a7f772ed91d10149de998205f005ad8b99bd4/detection]Win32/Formbook.AA[/URL]
C:\PROGRAM FILES (X86)\VTJQX5TB\KZAPR21TFILJLW.EXE: [URL=https://www.virustotal.com/gui/file/955956e54f5c5c3ff8f0c87fc66a7f772ed91d10149de998205f005ad8b99bd4/detection]Win32/Formbook.AA[/URL]
C:\PROGRAM FILES (X86)\QUHBHZLKP\_PSDTJ8TPQT.EXE  : [URL=https://www.virustotal.com/gui/file/955956e54f5c5c3ff8f0c87fc66a7f772ed91d10149de998205f005ad8b99bd4/detection]Win32/Formbook.AA[/URL]
Перейти
Постоянно всплывает окно антивируса о заблокированном ресурсе
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2021 15:43:59
да потоков нет сейчас
выполните в uVS скрипт без перезагрузки системы

[CODE];uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES (X86)\XRVKTQHT\RBCDWPG4N.EXE
apply
REGT 40
QUIT
[/CODE]
понаблюдайте за системой, если детекты повторятся, добавьте новое сообщение в вашей теме
найденные файлы переданы в вирлаб, будут добавлены, как [B]Win32/Formbook.AA[/B]
Перейти
Постоянно всплывает окно антивируса о заблокированном ресурсе
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.07.2021 18:09:58
актуальную версию uVS надо скачать,
https://chklst.ru/data/uVS%20latest/uvs_latest.zip

и выполнить в ней следующий скрипт:

[CODE];uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart[/CODE]

система перезагрузится, затем сделать новый образ автозапуска
[B]только сделайте образ актуальной версией uVS[/B]
Перейти
Пред. 1 ... 59 60 61 62 63 64 65 66 67 68 69 ... 1784 След.