Исходящий трафик lsass.exe на шлюзе

[iistsrspu 0]

Имеется сервер на Windows 2012 R2 (лицензия, обновляется автоматом). На нем две сетевых карты, сервер является шлюзом, установлен Traffic Inspector. Внешняя сетевая имеет белый IP. Так же на сервере КД, ДНС. DHCP, файлсервер (да знаю что нельзя КД на шлюз ставить, но имеем что имеем). Такой конфиг жил без проблем 4.5 года, как в один прекрасный день сервер положил исходящим трафиком весь канал предприятия. В мониторе ресурсов были множественные подключения lsass.exe на рандомные внешние IP по 389 порту. Сканирование Kaspersky Endpoint Seсuriry 11, включение сетевого экрана ничего не давало (в т.ч. полное блокирование UDP 389). Сканирование Rescue Disk нашло пару троянов на файл сервере. Откат из бэкапа не помог. Помогло только блокирование UDP 389 на все адреса кроме локальной сети в политиках IP-безопасноcти. Сканирование AVZ прилагаю. Смущает:

 

Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->772A4F8E->776F1A10

Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->772A4FC1->776F1A40

 

Traffic Inspector зафиксировал исходящий трафик до блокировки порта. Спустя неделю сервер опять положил исходящий канал, однако в логах Traffic Inspector тишина. Если добавить промежуточный шлюз (убираем белый IP) - исходящего трафика нет даже при открытых портах.

Куда копать?

 

Лог AVZ

avz_log.txt

[Sandor 1 253]

Здравствуйте!

 

Порядок оформления запроса о помощи

[iistsrspu 0]

Kaspersky Virus Removal Tool 2015 ничего не нашел.

Прилагаю лог автологгера 

CollectionLog-2019.10.22-17.02.zip

[regist 617]

Логи сделаны в терминальной сессии, сделайте их из консоли.
 

+ задание "BPA Scheduled Scan" - вам знакомо?

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

[iistsrspu 0]

Если верить планировщику заданий:

Имя: BPA Scheduled Scan

Размещение: \Microsoft\Windows\Windows Server Essentials

Автор: Microsoft Corporation

Описание: Эта задача регулярно запускает BPA-проверку Windows Server Essentials

 

Ссылка на карантин: https://virusinfo.info/virusdetector/report.php?md5=4FCA718B0875616BA178A5A8D5673B87

 

Насчет логов из консоли не совсем понял.

[Sandor 1 253]

Это значит - запускать Автологер следует непосредственно на сервере, а не через терминальное соединение.

[iistsrspu 0]

Лог напрямую с сервера

CollectionLog-2019.10.23-13.23.zip

[regist 617]

 

 

Если верить планировщику заданий: Имя: BPA Scheduled Scan Размещение: \Microsoft\Windows\Windows Server Essentials

То что она там находится ещё не значит, что она это делает. Нормальные проги не шифруют свою команду запуска через powershell.

 

Отключите пока это задание и понаблюдайте за проблемой.

[iistsrspu 0]

Отключил.

Скриншот действия задачи в приложении.

Так же был добавлен промежуточный шлюз.

Можно с уверенностью сказать что комп был скомпрометирован или всё же это могла это просто была атака извне на службу проверки подлинности подключения?

[regist 617]

Да, похоже задание легальное. Не понятно только зачем надо было шифровать в base64 команду на запуск BPA.

Изменено 23 октября, 2019 пользователем regist