не определен есть подозрение на присутствие программы шифровальщика

13 сентября, 2021

прошу посмотреть логи.

13 сентября, 2021

Здравствуйте,

Как злоумышлинники добрались до вашего сервера? У Вас сервера смотрят в интернет или открыты RDP и SMB?

Что из следующего Вам известно?

Task: {10E0AB7D-DAA9-46DD-92F8-FC823788F40C} - System32\Tasks\База МКУ => C:\Executor\Compiler.exe [7680 2020-11-12] (Microsoft) [Файл не подписан]
2021-09-12 15:07 - 2021-09-12 15:07 - 000441594 _____ C:\Windows\system32\mstsc.7z
2021-08-25 19:11 - 2021-08-25 19:11 - 000000000 ____D C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2

Похоже у Вас обнаружено одно и тот же на всех серверах - если верить статье то похоже на a distributed cryptominer AD worm:

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"SCM Event8 Log Consumer2\"",Filter="__EventFilter.Name=\"SCM Event8 Log Filter2\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"SCM Event8 Log Consumer\"",Filter="__EventFilter.Name=\"SCM Event8 Log Filter\"::
WMI:subscription\__EventFilter->SCM Event8 Log Filter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 13600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->SCM Event8 Log Filter2::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 AND TargetInstance.SystemUpTime < 301]

Вы ранее меняли все пароли как я ранее просил в теме 84480? Также вам желательно проверить политику безопасности GPO (gpt.ini) как указано в статье, возможно она распространяет криптомайнер.

Для чего используются следующие порты?

FirewallRules: [{A642B721-404E-41C7-B5DB-BE8CC31D26F4}] => (Allow) LPort=475
FirewallRules: [{9760DF81-8981-4C76-990A-65535703F7E5}] => (Allow) LPort=475
FirewallRules: [{86077278-5697-49E6-809A-0136286D941A}] => (Allow) LPort=15000
FirewallRules: [{56EF9EDD-9908-4A84-913F-5280E4B88389}] => (Allow) LPort=15000
FirewallRules: [{BA1DB31C-1F9E-4C7B-8A90-9A4A7861C9BA}] => (Allow) LPort=15000

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

13 сентября, 2021

только первая строчка

Task: {10E0AB7D-DAA9-46DD-92F8-FC823788F40C} - System32\Tasks\База МКУ => C:\Executor\Compiler.exe [7680 2020-11-12] (Microsoft) [Файл не подписан]

Пароли менял.

DC2_2021-09-13_10-00-40_v4.11.8.7z

как проверить политику?

13 сентября, 2021

56 minutes ago, christian said:

как проверить политику?

К сожалению не подскажу где и как искать, так как это первый случай, когда мне попадается этот тип криптомайнер. Попробуйте прочитать статью и проверить файлы которые там указаны.

Согласно статье, вам необходимо проверить следующее (файл политики и вредоносный файл во временом каталоге):

C:\Windows\SYSVOL\domain\Policies\GPT.ini
C:\Windows\temp\gpt.ps1

проверьте как минимум дату измения файлов. Если не знаете что проверять, то ничего не трогайте, чтобы не поламать функционирования домена.

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Start::
File: C:\Windows\system32\mstsc.7z
VirusTotal: C:\Windows\system32\mstsc.7z
Folder: C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

В логах FRST и uVS не нашел активного шифровальщика. Почему вы думаете, что он присутствует? Имеются щифрованные файлы?

Для чего используются следующие порты? Вы сами их открывали ?

FirewallRules: [{A81928DC-9294-4BC9-A715-2328A9068767}] => (Allow) LPort=15000
FirewallRules: [{DA466711-730F-4E0D-AC38-384BF46C5BEE}] => (Allow) LPort=15000
FirewallRules: [{7FD8D5CD-3787-4C56-8133-B17D2AD904E3}] => (Allow) LPort=15000

13 сентября, 2021

в свойствах брэндмауэра написано, что это порты агента касперского

если нет активного, то он и не появится?
на этой машине были добавлены левые пользователь в группы доступа: администратор, рдп и т.п.

C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2

и эта папка тоже к нему имеет отношение?

если он опять запустится?

Fixlog.txt

13 сентября, 2021

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Start::
Powershell: Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%SCM Event8 Log Consumer%'"
Powershell: Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "name like '%SCM Event8 Log Consumer%'"
Powershell: Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name like '%SCM Event8 Log Consumer%'"
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

5 hours ago, christian said:

если нет активного, то он и не появится?

Не факт. Обычно, злоумышлинники используют известные уязвимости, чтобы проникнуть в систему. Также Microsoft также официально не поддерживает Windows Server 2008 R2 Standard Service Pack 1 поэтому может не выпускать обновления безопасности для него, что может поставить под угрозу.

5 hours ago, christian said:

на этой машине были добавлены левые пользователь в группы доступа: администратор, рдп и т.п.

Для начало отключите всех неизвестных пользователей и понаблюдайте, если это не окажет не какого влияние на функционирование сервера то удалите их.

5 hours ago, christian said:

и эта папка тоже к нему имеет отношение?

если он опять запустится?

Обычно злоумышленники используют какие-то утилиты вместе с шифровальщиками, среди которых я замечал входит и эта папка. в этой папке находится только файл конфигурации, по идеи она не предоставляет угрозы.

Если на этом сервере появился майнер, который по описанию используют уязвимости/сканеры rdp и smb, то возможно и шифровальщики могут воспользоваться этим.

странно почему этого файла нет в системе хотя при первоначальных логах он присутствовал:

2021-09-12 15:07 - 2021-09-12 15:07 - 000441594 _____ C:\Windows\system32\mstsc.7z

антивирус мог его удалить?

13 сентября, 2021

я удалил

13 сентября, 2021

21 minutes ago, christian said:

я удалил

А проверяли его, он был вредоносным? Если он еще в корзине могли бы его проверить на virustotal.com?

14 сентября, 2021

без корзины удалил

14 сентября, 2021

Могли бы пожалуйста предоставить ранее запрошенный лог FRST с командами powershell, чтобы убедиться во вредоности указанных записей WMI - ?

SCM Event8 Log Consumer

16 сентября, 2021

Вдогонку, ip с которого было проникновение 176.123.1.86 С него подключались по созданным учеткам. Реальный или нет, не знаю. Но может кому то пригодится.

16 сентября, 2021

14 minutes ago, christian said:

Вдогонку, ip с которого было проникновение 176.123.1.86 С него подключались по созданным учеткам. Реальный или нет, не знаю. Но может кому то пригодится.

А как злоумышлинники приникли по RDP? Они создали учетнки в AD или локальные?

P.S.Похоже этот ip адрес принадлежит хостингу Alexhost. Возможно стоит обратится в правохранительные органы. Обычно хостинг компании хранят данные о своих клиентов несколько лет.

17 сентября, 2021

Для работы на сервере были созданы локальные учетки temp и update.
Под ними тоже подключались по рдп.
Но также был считан пароль учетки администратора (находил лог сканирования учеток, в котором у некоторых, в т.ч. и админа прописан пароль).
Мне думается, что был некий троян, который считал пароль и передал его хозяину, а тот уже подключился и продолжил работу.
в AD учеток не создавалось. Но для распространнеия использовалась учетка админская. Логи Касперского показали попытку запустить шифровальщик на всех компах включенных в это время.
К чести KES, он эти попытки пресек. До этого в KSC была настроена политика для борьбы с шифраторами по рекомендациям разработчика, может благодаря этому отработал.
хотя, как проверить, не знаю.
Органам сообщили. надеюсь они сделают свою работу, а не просто впишут в отчет.

23 сентября, 2021

Здравствуйте,

Мне коллега показал похой случай как у Вас в испаской статье (работает, только в браузере Firefox) -относится к варианту майнера WannaMine

Могли бы проверить на всех серверах наличие сдедующих возможных вредоносных файлов (Проверить их вредоносность можете на независимом сайте virustotal.com либо сравнить MD5-суммы с указанным в статье).

%windir%\syswow\WindowsPowerShell\v1.0\WinRing0x64.sys
%windir%\system32\mui.exe
%windir%\syswow\mui.exe
%windir%\11.vbs%windir%\info.vbs
%windir%\temp\sysupdater0.bat

Важно при этом не запускать не в коем случае эти файлы в случае находки.

Также убедить во вредносности записей wmi которые были замечены во всех ваших логах, запустив следующие команды в Powershell и проверив со значением в статье или сообщив тут на форуме.

Get-WMIObject -Namespace root\subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%SCM Event8 Log Consumer%'"
Get-WMIObject -Namespace root\subscription -Class __EventFilter -filter "Name LIKE'%SCM Event8 Log Filter%'"
Get-WMIObject -Namespace root\subscription -Class CommandLineEventConsumer -Filter ("Name like '%SCM Event8 Log Consumer%'")
Get-WMIObject -Namespace root\default -List | where {$_.Name –eq'systemcore_Updater8'}

не определен есть подозрение на присутствие программы шифровальщика

Рекомендуемые сообщения

christian

SQ

christian

SQ

christian

SQ

christian

SQ

christian

SQ

christian

SQ

christian

SQ

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum