Перейти к содержанию

есть подозрение на присутствие программы шифровальщика


Рекомендуемые сообщения

 Здравствуйте,

Как злоумышлинники добрались до вашего сервера? У Вас сервера смотрят в интернет или открыты RDP и SMB?


Что из следующего Вам известно?
 

Task: {10E0AB7D-DAA9-46DD-92F8-FC823788F40C} - System32\Tasks\База МКУ => C:\Executor\Compiler.exe [7680 2020-11-12] (Microsoft) [Файл не подписан]
2021-09-12 15:07 - 2021-09-12 15:07 - 000441594 _____ C:\Windows\system32\mstsc.7z
2021-08-25 19:11 - 2021-08-25 19:11 - 000000000 ____D C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2


Похоже у Вас обнаружено одно и тот же на всех серверах - если верить статье то похоже на a distributed cryptominer AD worm:

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"SCM Event8 Log Consumer2\"",Filter="__EventFilter.Name=\"SCM Event8 Log Filter2\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"SCM Event8 Log Consumer\"",Filter="__EventFilter.Name=\"SCM Event8 Log Filter\"::
WMI:subscription\__EventFilter->SCM Event8 Log Filter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 13600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->SCM Event8 Log Filter2::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 AND TargetInstance.SystemUpTime < 301]


Вы ранее меняли все пароли как я ранее просил в теме 84480? Также вам желательно проверить политику безопасности GPO (gpt.ini) как указано в статье, возможно она распространяет криптомайнер.

Для чего используются следующие порты?

FirewallRules: [{A642B721-404E-41C7-B5DB-BE8CC31D26F4}] => (Allow) LPort=475
FirewallRules: [{9760DF81-8981-4C76-990A-65535703F7E5}] => (Allow) LPort=475
FirewallRules: [{86077278-5697-49E6-809A-0136286D941A}] => (Allow) LPort=15000
FirewallRules: [{56EF9EDD-9908-4A84-913F-5280E4B88389}] => (Allow) LPort=15000
FirewallRules: [{BA1DB31C-1F9E-4C7B-8A90-9A4A7861C9BA}] => (Allow) LPort=15000

 

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Ссылка на сообщение
Поделиться на другие сайты

только первая строчка

Task: {10E0AB7D-DAA9-46DD-92F8-FC823788F40C} - System32\Tasks\База МКУ => C:\Executor\Compiler.exe [7680 2020-11-12] (Microsoft) [Файл не подписан]

 

Пароли менял.

DC2_2021-09-13_10-00-40_v4.11.8.7z

как проверить политику?

Ссылка на сообщение
Поделиться на другие сайты
56 minutes ago, christian said:

как проверить политику?

К сожалению не подскажу где и как искать, так как это первый случай, когда мне попадается этот тип криптомайнер. Попробуйте прочитать статью и проверить файлы которые там указаны.

 

Согласно статье, вам необходимо проверить следующее (файл политики и вредоносный файл во временом каталоге):
 

C:\Windows\SYSVOL\domain\Policies\GPT.ini
C:\Windows\temp\gpt.ps1

проверьте как минимум дату измения файлов. Если не знаете что проверять, то ничего не трогайте, чтобы не поламать функционирования домена.

 

 

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    File: C:\Windows\system32\mstsc.7z
    VirusTotal: C:\Windows\system32\mstsc.7z
    Folder: C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

В логах FRST и uVS не нашел активного шифровальщика. Почему вы думаете, что он присутствует? Имеются щифрованные файлы?
 

Для чего используются следующие порты? Вы сами их открывали ?

FirewallRules: [{A81928DC-9294-4BC9-A715-2328A9068767}] => (Allow) LPort=15000
FirewallRules: [{DA466711-730F-4E0D-AC38-384BF46C5BEE}] => (Allow) LPort=15000
FirewallRules: [{7FD8D5CD-3787-4C56-8133-B17D2AD904E3}] => (Allow) LPort=15000

 

Ссылка на сообщение
Поделиться на другие сайты

в свойствах брэндмауэра написано, что это порты агента касперского

если нет активного, то он и не появится?
на этой машине были добавлены левые пользователь в группы доступа: администратор, рдп и т.п.

C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2

и эта папка тоже к нему имеет отношение?

если он опять запустится?

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    Powershell: Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%SCM Event8 Log Consumer%'"
    Powershell: Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "name like '%SCM Event8 Log Consumer%'"
    Powershell: Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name like '%SCM Event8 Log Consumer%'"
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

5 hours ago, christian said:

если нет активного, то он и не появится?

Не факт. Обычно, злоумышлинники используют известные уязвимости, чтобы проникнуть в систему. Также Microsoft также официально не поддерживает Windows Server 2008 R2 Standard Service Pack 1 поэтому может не выпускать обновления безопасности для него, что может поставить под угрозу.

 

5 hours ago, christian said:

на этой машине были добавлены левые пользователь в группы доступа: администратор, рдп и т.п.

Для начало отключите всех неизвестных пользователей и понаблюдайте, если это не окажет не какого влияние на функционирование сервера то удалите их.

 

5 hours ago, christian said:

и эта папка тоже к нему имеет отношение?

если он опять запустится?

Обычно злоумышленники используют какие-то утилиты вместе с шифровальщиками, среди которых я замечал входит и эта папка. в этой папке находится только файл конфигурации, по идеи она не предоставляет угрозы.

Если на этом сервере появился майнер, который по описанию используют уязвимости/сканеры rdp и smb, то возможно и шифровальщики могут воспользоваться этим.

 

странно почему этого файла нет в системе хотя при первоначальных логах он присутствовал:
 

2021-09-12 15:07 - 2021-09-12 15:07 - 000441594 _____ C:\Windows\system32\mstsc.7z

антивирус мог его удалить?

Ссылка на сообщение
Поделиться на другие сайты
21 minutes ago, christian said:

я удалил

А проверяли его, он был вредоносным? Если он еще в корзине могли бы его проверить на virustotal.com

Ссылка на сообщение
Поделиться на другие сайты

Могли бы пожалуйста предоставить ранее запрошенный лог FRST с командами powershell, чтобы убедиться во вредоности указанных записей WMI - ?

SCM Event8 Log Consumer
Ссылка на сообщение
Поделиться на другие сайты

Вдогонку, ip с которого было проникновение 176.123.1.86 С него подключались по созданным учеткам. Реальный или нет, не знаю. Но может кому то пригодится.

Ссылка на сообщение
Поделиться на другие сайты
14 minutes ago, christian said:

Вдогонку, ip с которого было проникновение 176.123.1.86 С него подключались по созданным учеткам. Реальный или нет, не знаю. Но может кому то пригодится.

А как злоумышлинники приникли по RDP? Они создали учетнки в AD или локальные?

P.S.Похоже этот ip адрес принадлежит хостингу Alexhost. Возможно стоит обратится в правохранительные органы. Обычно хостинг компании хранят данные о своих клиентов несколько лет.

Ссылка на сообщение
Поделиться на другие сайты

Для работы на сервере были созданы локальные учетки temp и update.
Под ними тоже подключались по рдп. 
Но также был считан пароль учетки администратора (находил лог сканирования учеток, в котором у некоторых, в т.ч. и админа прописан пароль).
Мне думается, что был некий троян, который считал пароль и передал его хозяину, а тот уже подключился и продолжил работу.
в AD учеток не создавалось. Но для распространнеия использовалась учетка админская. Логи Касперского показали попытку запустить шифровальщик на всех компах включенных в это время.
К чести KES, он эти попытки пресек. До этого в KSC была настроена политика для борьбы с шифраторами по рекомендациям разработчика, может благодаря этому отработал.
хотя, как проверить, не знаю.
Органам сообщили. надеюсь они сделают свою работу, а не просто впишут в отчет.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Мне коллега  показал похой случай как у Вас в испаской статье (работает, только в браузере  Firefox) -относится к варианту майнера WannaMine
 

Могли бы проверить на всех серверах наличие сдедующих возможных вредоносных файлов (Проверить их вредоносность можете на независимом сайте virustotal.com либо сравнить MD5-суммы с указанным в статье).
 

%windir%\syswow\WindowsPowerShell\v1.0\WinRing0x64.sys
%windir%\system32\mui.exe
%windir%\syswow\mui.exe
%windir%\11.vbs%windir%\info.vbs
%windir%\temp\sysupdater0.bat

Важно при этом не запускать не в коем случае эти файлы в случае находки.

Также убедить во вредносности записей wmi которые были замечены во всех ваших логах, запустив следующие команды в Powershell и проверив со значением в статье или сообщив тут на форуме.
 

Get-WMIObject -Namespace root\subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%SCM Event8 Log Consumer%'"
Get-WMIObject -Namespace root\subscription -Class __EventFilter -filter "Name LIKE'%SCM Event8 Log Filter%'"
Get-WMIObject -Namespace root\subscription -Class CommandLineEventConsumer -Filter ("Name like '%SCM Event8 Log Consumer%'")
Get-WMIObject -Namespace root\default -List | where {$_.Name –eq'systemcore_Updater8'}

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • christian
      От christian
      Лог с контроллера. Посмотрите есть ли что-то вредоносное. 
      CollectionLog-2021.09.12-23.13.zip
    • christian
      От christian
      на этом сервере были обнаружены логи сканирования сети, логины и пароли некоторых пользователей, а также папки с подозрительными утилитами.
      взломщик добавил себя в лок.администраторы, в группу доступа рдп и др.
      CollectionLog-2021.09.12-20.31.zip
×
×
  • Создать...