Перейти к содержанию
iistsrspu

Исходящий трафик lsass.exe на шлюзе

Рекомендуемые сообщения

Имеется сервер на Windows 2012 R2 (лицензия, обновляется автоматом). На нем две сетевых карты, сервер является шлюзом, установлен Traffic Inspector. Внешняя сетевая имеет белый IP. Так же на сервере КД, ДНС. DHCP, файлсервер (да знаю что нельзя КД на шлюз ставить, но имеем что имеем). Такой конфиг жил без проблем 4.5 года, как в один прекрасный день сервер положил исходящим трафиком весь канал предприятия. В мониторе ресурсов были множественные подключения lsass.exe на рандомные внешние IP по 389 порту. Сканирование Kaspersky Endpoint Seсuriry 11, включение сетевого экрана ничего не давало (в т.ч. полное блокирование UDP 389). Сканирование Rescue Disk нашло пару троянов на файл сервере. Откат из бэкапа не помог. Помогло только блокирование UDP 389 на все адреса кроме локальной сети в политиках IP-безопасноcти. Сканирование AVZ прилагаю. Смущает:

 

Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->772A4F8E->776F1A10
Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->772A4FC1->776F1A40
 
Traffic Inspector зафиксировал исходящий трафик до блокировки порта. Спустя неделю сервер опять положил исходящий канал, однако в логах Traffic Inspector тишина. Если добавить промежуточный шлюз (убираем белый IP) - исходящего трафика нет даже при открытых портах.
Куда копать?
 

Лог AVZ

avz_log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Логи сделаны в терминальной сессии, сделайте их из консоли.
 


+ задание "BPA Scheduled Scan" - вам знакомо?


+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если верить планировщику заданий:

Имя: BPA Scheduled Scan

Размещение: \Microsoft\Windows\Windows Server Essentials

Автор: Microsoft Corporation

Описание: Эта задача регулярно запускает BPA-проверку Windows Server Essentials

 

Ссылка на карантин: https://virusinfo.info/virusdetector/report.php?md5=4FCA718B0875616BA178A5A8D5673B87

 

Насчет логов из консоли не совсем понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это значит - запускать Автологер следует непосредственно на сервере, а не через терминальное соединение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


Если верить планировщику заданий: Имя: BPA Scheduled Scan Размещение: \Microsoft\Windows\Windows Server Essentials
То что она там находится ещё не значит, что она это делает. Нормальные проги не шифруют свою команду запуска через powershell.

 

Отключите пока это задание и понаблюдайте за проблемой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отключил.

Скриншот действия задачи в приложении.

Так же был добавлен промежуточный шлюз.

Можно с уверенностью сказать что комп был скомпрометирован или всё же это могла это просто была атака извне на службу проверки подлинности подключения?

post-56175-0-91315300-1571828656_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, похоже задание легальное. Не понятно только зачем надо было шифровать в base64 команду на запуск BPA.

Изменено пользователем regist

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...