Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 1728 След.
MS Exchange 2013 поймали заразу на двух серверах
[B]!!!если есть еще время для исследования данной ситуации!!![/B]
можно включить отслеживание событий, на сервере, где запускается майнер.
через твик 39
чтобы лучше изучить цепочку событий, в частности непонятно, какой процесс запустил rundll32 с майнером parentid: 16032
(подозреваю что через WMI это запускается)

пример скрипта с перезагрузкой системы:
[CODE];uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart[/CODE]
но сделать надо это актуальной версией uVS v4.11.7
скачать отсюда
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
поле перезагрузки, не закрывая запущенный процесс с майнером сделать новый образ автозапуска (новой версией)
затем процесс с майнером можно закрыть
MS Exchange 2013 поймали заразу на двух серверах
майнер запускался на одном сервере или на обоих?



скрипт для очистки: [B]Имя компьютера: IZTVMAIL01[/B]
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
[code]

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
unload %Sys32%\RUNDLL32.EXE
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.


скрипт для очистки [B]Имя компьютера: SPHVMAIL01[/B]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;

[code]

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F9UB5VQRL]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FIQKCTO1XV]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FTZOBNXGM1FP]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FY0LX5KT4]
apply

[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
Universal Virus Sniffer (uVS)
------------------------------------------------------------
4.11.7
------------------------------------------------------------
o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
[B]В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,[/B]
в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
промежуточные адреса будут отфильтрованы.
Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
(!) После включения функции требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию с момента загрузки системы.
(!) Только для активных и удаленных систем начиная с Vista (NT6.0).
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
(!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
+
---------------------------------------------------------
4.11.8
---------------------------------------------------------
[B]o Управление DNS логом вынесено в отдельные твики, #41 и #42.[/B]
  DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
  Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
  в последнем случае необходимо перезагрузить систему после 42 твика.
  (Win7 и ниже не поддерживается).
MS Exchange 2013 поймали заразу на двух серверах
по логу Пользователь: IZTVMAIL01\
с большой вероятностью удалена  легальная копия программы powershell.exe
[QUOTE]Файл: 2
Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\LMZXPAFTOT.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF­08E3
Misplaced.Legit.Powershell, C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\Y9WZPRDABW1.EXE, Помещено в карантин, 12106, 923566, 1.0.43628, , ame, , C031E215B8B08C752BF362F6D4C5D3AD, 840E1F9DC5A29BEBF01626822D7390251E9CF05BB3560BA7B68BDB8A41CF­08E3
[/QUOTE]
https://www.virustotal.com/gui/file/840e1f9dc5a29bebf01626822d7390251e9cf05bb3560ba­7b68bdb8a41cf08e3/detection
https://www.hybrid-analysis.com/sample/840e1f9dc5a29bebf01626822d7390251e9cf05bb3560ba7b­68bdb8a41cf08e3/5a4fb5b47ca3e119ff4814e8


здесь похоже на файлы, которые использовались для взлома:
Пользователь: SPHVMAIL01\
[QUOTE]Backdoor.Hafnium.Shell, C:\USERS\M.KONDRATENKO\APPDATA\ROAMING\Microsoft\Windows\Recent\iisstart.aspx.lnk, Помещено в карантин, 16927, 926908, , , , , ED05CFED65BC2E502E951C135327EBB7, 76988CB834B065119A6960092FF61CAF7FA24DBC9F65E8EF469A2F6EB22F6597
Backdoor.Hafnium.Shell, C:\INETPUB\WWWROOT\ASPNET_CLIENT\SYSTEM_WEB\IISSTART.ASPX, Помещено в карантин, 16927, 926908, 1.0.43628, , ame, , 0D5FB80F2F6ABF8182E82DC680F8F4B8, E9AB861970DDC99D06914A71D089EBA4E42F3216AEA3A43E1FD551FBDF9A­0E16
Generic.Trojan.Malicious.DDS, C:\WINDOWS\TEMP\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73­A942
Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.ORI, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, CDAAA7C3A3927AAF3BDB0432BDB7EFF2, 7510BBE920573A525BCD67B51B36702341B9F300D33B4DEBCAB199D1D266­C07C
Generic.Trojan.Malicious.DDS, C:\USERS\V.SHARKOVSKIY\DESKTOP\Новая папка\M6.BIN.EXE, Помещено в карантин, 1000002, 0, 1.0.43628, 73B8603323534CF7D56E9A17, dds, 01352004, 510DFF54B78AA85C65AB8B5829F6F94B, 4F80B6ACC31B5F7A0EF13C58635EAD3E1B86F5B3A20BD6BD4C02D3537F73­A942[/QUOTE]
пришлите карантин этих файлов прислать в почту safety@chklst.ru в архиве с паролем infected

но новые образы нужны для сверки,
что на втором сервере в секции WMI и проверить есть ли на втором сервере задание
C:\WINDOWS\SYSTEM32\TASKS\T.NETCATKIT.COM


[B]по первому образу[/B] можно выполнить скрипт в uVS без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply
QUIT

[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
+
добавить новый образ для контроля
стоит так же подумать о смене паролей к учетным записям на данных серверах
MS Exchange 2013 поймали заразу на двух серверах
да, это было в предыдущей атаке Proxylogon на эти же сервера,
но здесь еще есть новые задания WMI, потому лучше полный образ получить с нагруженным процессом rundll32.exe
и второй образ проверить, что в нем есть
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]Владимир Шариков написал:
Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.[/QUOTE]
не нужно,
как процесс запустится, сделайте образы автозапуска, потом процессы можно закрыть, вечером посмотрим образы, и напишем скрипты очистки
MS Exchange 2013 поймали заразу на двух серверах
да, T.NETCATKIT.COM тоже может быть частью заданий злоумышленников
MS Exchange 2013 поймали заразу на двух серверах
процесс rundll32.exe (с внедренным майнером) закрыли перед созданием  образа автозапуска?
может переделаете образ автозапуска с активным процессом, чтобы можно было увидеть какой процесс ему внедряет майнера?

пока что видно несколько заданий, запускаемых из WMI:
WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]

+
по второму серверу сделайте образ автозапуска, чтобы было с чем сравнить
Постоянно всплывает окно антивируса о заблокированном ресурсе
C:\PROGRAM FILES (X86)\LSZZPHV\EHLE4E.EXE                : [URL=https://www.virustotal.com/gui/file/955956e54f5c5c3ff8f0c87fc66a7f772ed91d10149de998205f005ad8b99bd4/detection]Win32/Formbook.AA[/URL]
C:\PROGRAM FILES (X86)\VTJQX5TB\KZAPR21TFILJLW.EXE: [URL=https://www.virustotal.com/gui/file/955956e54f5c5c3ff8f0c87fc66a7f772ed91d10149de998205f005ad8b99bd4/detection]Win32/Formbook.AA[/URL]
C:\PROGRAM FILES (X86)\QUHBHZLKP\_PSDTJ8TPQT.EXE  : [URL=https://www.virustotal.com/gui/file/955956e54f5c5c3ff8f0c87fc66a7f772ed91d10149de998205f005ad8b99bd4/detection]Win32/Formbook.AA[/URL]
Постоянно всплывает окно антивируса о заблокированном ресурсе
да потоков нет сейчас
выполните в uVS скрипт без перезагрузки системы

[CODE];uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES (X86)\XRVKTQHT\RBCDWPG4N.EXE
apply
REGT 40
QUIT
[/CODE]
понаблюдайте за системой, если детекты повторятся, добавьте новое сообщение в вашей теме
найденные файлы переданы в вирлаб, будут добавлены, как [B]Win32/Formbook.AA[/B]
Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 1728 След.