Перейти к содержимому


Фотография
- - - - -

Исходящий трафик lsass.exe на шлюзе

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 OFF   iistsrspu

iistsrspu

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 22 Октябрь 2019 - 12:36

Имеется сервер на Windows 2012 R2 (лицензия, обновляется автоматом). На нем две сетевых карты, сервер является шлюзом, установлен Traffic Inspector. Внешняя сетевая имеет белый IP. Так же на сервере КД, ДНС. DHCP, файлсервер (да знаю что нельзя КД на шлюз ставить, но имеем что имеем). Такой конфиг жил без проблем 4.5 года, как в один прекрасный день сервер положил исходящим трафиком весь канал предприятия. В мониторе ресурсов были множественные подключения lsass.exe на рандомные внешние IP по 389 порту. Сканирование Kaspersky Endpoint Seсuriry 11, включение сетевого экрана ничего не давало (в т.ч. полное блокирование UDP 389). Сканирование Rescue Disk нашло пару троянов на файл сервере. Откат из бэкапа не помог. Помогло только блокирование UDP 389 на все адреса кроме локальной сети в политиках IP-безопасноcти. Сканирование AVZ прилагаю. Смущает:

 

Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->772A4F8E->776F1A10
Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->772A4FC1->776F1A40
 
Traffic Inspector зафиксировал исходящий трафик до блокировки порта. Спустя неделю сервер опять положил исходящий канал, однако в логах Traffic Inspector тишина. Если добавить промежуточный шлюз (убираем белый IP) - исходящего трафика нет даже при открытых портах.
Куда копать?
 

Лог AVZ

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 168

Отправлено 22 Октябрь 2019 - 12:42

Здравствуйте!

Порядок оформления запроса о помощи
  • 0
Изображение

#3 OFF   iistsrspu

iistsrspu

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 22 Октябрь 2019 - 17:08

Kaspersky Virus Removal Tool 2015 ничего не нашел.

Прилагаю лог автологгера 

Прикрепленные файлы


  • 0

#4 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 223

Отправлено 22 Октябрь 2019 - 19:34

Логи сделаны в терминальной сессии, сделайте их из консоли.
 

+ задание "BPA Scheduled Scan" - вам знакомо?

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 


  • 0

#5 OFF   iistsrspu

iistsrspu

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 23 Октябрь 2019 - 12:22

Если верить планировщику заданий:

Имя: BPA Scheduled Scan

Размещение: \Microsoft\Windows\Windows Server Essentials

Автор: Microsoft Corporation

Описание: Эта задача регулярно запускает BPA-проверку Windows Server Essentials

 

Ссылка на карантин: https://virusinfo.in...178A5A8D5673B87

 

Насчет логов из консоли не совсем понял.


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 168

Отправлено 23 Октябрь 2019 - 12:50

Это значит - запускать Автологер следует непосредственно на сервере, а не через терминальное соединение.
  • 0
Изображение

#7 OFF   iistsrspu

iistsrspu

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 23 Октябрь 2019 - 13:25

Лог напрямую с сервера

Прикрепленные файлы


  • 0

#8 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 223

Отправлено 23 Октябрь 2019 - 13:32


Если верить планировщику заданий: Имя: BPA Scheduled Scan Размещение: \Microsoft\Windows\Windows Server Essentials
То что она там находится ещё не значит, что она это делает. Нормальные проги не шифруют свою команду запуска через powershell.

 

Отключите пока это задание и понаблюдайте за проблемой.


  • 0

#9 OFF   iistsrspu

iistsrspu

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 23 Октябрь 2019 - 14:07

Отключил.

Скриншот действия задачи в приложении.

Так же был добавлен промежуточный шлюз.

Можно с уверенностью сказать что комп был скомпрометирован или всё же это могла это просто была атака извне на службу проверки подлинности подключения?

Прикрепленные файлы


  • 0

#10 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 223

Отправлено 23 Октябрь 2019 - 15:58

Да, похоже задание легальное. Не понятно только зачем надо было шифровать в base64 команду на запуск BPA.


Сообщение отредактировал regist: 23 Октябрь 2019 - 16:00

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных