Перейти к содержанию

есть подозрение на присутствие программы шифровальщика


Рекомендуемые сообщения

 Здравствуйте,

Как злоумышлинники добрались до вашего сервера? У Вас сервера смотрят в интернет или открыты RDP и SMB?


Что из следующего Вам известно?
 

Task: {10E0AB7D-DAA9-46DD-92F8-FC823788F40C} - System32\Tasks\База МКУ => C:\Executor\Compiler.exe [7680 2020-11-12] (Microsoft) [Файл не подписан]
2021-09-12 15:07 - 2021-09-12 15:07 - 000441594 _____ C:\Windows\system32\mstsc.7z
2021-08-25 19:11 - 2021-08-25 19:11 - 000000000 ____D C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2


Похоже у Вас обнаружено одно и тот же на всех серверах - если верить статье то похоже на a distributed cryptominer AD worm:

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"SCM Event8 Log Consumer2\"",Filter="__EventFilter.Name=\"SCM Event8 Log Filter2\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"SCM Event8 Log Consumer\"",Filter="__EventFilter.Name=\"SCM Event8 Log Filter\"::
WMI:subscription\__EventFilter->SCM Event8 Log Filter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 13600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->SCM Event8 Log Filter2::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 AND TargetInstance.SystemUpTime < 301]


Вы ранее меняли все пароли как я ранее просил в теме 84480? Также вам желательно проверить политику безопасности GPO (gpt.ini) как указано в статье, возможно она распространяет криптомайнер.

Для чего используются следующие порты?

FirewallRules: [{A642B721-404E-41C7-B5DB-BE8CC31D26F4}] => (Allow) LPort=475
FirewallRules: [{9760DF81-8981-4C76-990A-65535703F7E5}] => (Allow) LPort=475
FirewallRules: [{86077278-5697-49E6-809A-0136286D941A}] => (Allow) LPort=15000
FirewallRules: [{56EF9EDD-9908-4A84-913F-5280E4B88389}] => (Allow) LPort=15000
FirewallRules: [{BA1DB31C-1F9E-4C7B-8A90-9A4A7861C9BA}] => (Allow) LPort=15000

 

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Ссылка на комментарий
Поделиться на другие сайты

только первая строчка

Task: {10E0AB7D-DAA9-46DD-92F8-FC823788F40C} - System32\Tasks\База МКУ => C:\Executor\Compiler.exe [7680 2020-11-12] (Microsoft) [Файл не подписан]

 

Пароли менял.

DC2_2021-09-13_10-00-40_v4.11.8.7z

как проверить политику?

Ссылка на комментарий
Поделиться на другие сайты

56 minutes ago, christian said:

как проверить политику?

К сожалению не подскажу где и как искать, так как это первый случай, когда мне попадается этот тип криптомайнер. Попробуйте прочитать статью и проверить файлы которые там указаны.

 

Согласно статье, вам необходимо проверить следующее (файл политики и вредоносный файл во временом каталоге):
 

C:\Windows\SYSVOL\domain\Policies\GPT.ini
C:\Windows\temp\gpt.ps1

проверьте как минимум дату измения файлов. Если не знаете что проверять, то ничего не трогайте, чтобы не поламать функционирования домена.

 

 

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    File: C:\Windows\system32\mstsc.7z
    VirusTotal: C:\Windows\system32\mstsc.7z
    Folder: C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

В логах FRST и uVS не нашел активного шифровальщика. Почему вы думаете, что он присутствует? Имеются щифрованные файлы?
 

Для чего используются следующие порты? Вы сами их открывали ?

FirewallRules: [{A81928DC-9294-4BC9-A715-2328A9068767}] => (Allow) LPort=15000
FirewallRules: [{DA466711-730F-4E0D-AC38-384BF46C5BEE}] => (Allow) LPort=15000
FirewallRules: [{7FD8D5CD-3787-4C56-8133-B17D2AD904E3}] => (Allow) LPort=15000

 

Ссылка на комментарий
Поделиться на другие сайты

в свойствах брэндмауэра написано, что это порты агента касперского

если нет активного, то он и не появится?
на этой машине были добавлены левые пользователь в группы доступа: администратор, рдп и т.п.

C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2

и эта папка тоже к нему имеет отношение?

если он опять запустится?

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    Powershell: Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%SCM Event8 Log Consumer%'"
    Powershell: Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "name like '%SCM Event8 Log Consumer%'"
    Powershell: Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name like '%SCM Event8 Log Consumer%'"
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

5 hours ago, christian said:

если нет активного, то он и не появится?

Не факт. Обычно, злоумышлинники используют известные уязвимости, чтобы проникнуть в систему. Также Microsoft также официально не поддерживает Windows Server 2008 R2 Standard Service Pack 1 поэтому может не выпускать обновления безопасности для него, что может поставить под угрозу.

 

5 hours ago, christian said:

на этой машине были добавлены левые пользователь в группы доступа: администратор, рдп и т.п.

Для начало отключите всех неизвестных пользователей и понаблюдайте, если это не окажет не какого влияние на функционирование сервера то удалите их.

 

5 hours ago, christian said:

и эта папка тоже к нему имеет отношение?

если он опять запустится?

Обычно злоумышленники используют какие-то утилиты вместе с шифровальщиками, среди которых я замечал входит и эта папка. в этой папке находится только файл конфигурации, по идеи она не предоставляет угрозы.

Если на этом сервере появился майнер, который по описанию используют уязвимости/сканеры rdp и smb, то возможно и шифровальщики могут воспользоваться этим.

 

странно почему этого файла нет в системе хотя при первоначальных логах он присутствовал:
 

2021-09-12 15:07 - 2021-09-12 15:07 - 000441594 _____ C:\Windows\system32\mstsc.7z

антивирус мог его удалить?

Ссылка на комментарий
Поделиться на другие сайты

21 minutes ago, christian said:

я удалил

А проверяли его, он был вредоносным? Если он еще в корзине могли бы его проверить на virustotal.com

Ссылка на комментарий
Поделиться на другие сайты

Могли бы пожалуйста предоставить ранее запрошенный лог FRST с командами powershell, чтобы убедиться во вредоности указанных записей WMI - ?

SCM Event8 Log Consumer
Ссылка на комментарий
Поделиться на другие сайты

Вдогонку, ip с которого было проникновение 176.123.1.86 С него подключались по созданным учеткам. Реальный или нет, не знаю. Но может кому то пригодится.

Ссылка на комментарий
Поделиться на другие сайты

14 minutes ago, christian said:

Вдогонку, ip с которого было проникновение 176.123.1.86 С него подключались по созданным учеткам. Реальный или нет, не знаю. Но может кому то пригодится.

А как злоумышлинники приникли по RDP? Они создали учетнки в AD или локальные?

P.S.Похоже этот ip адрес принадлежит хостингу Alexhost. Возможно стоит обратится в правохранительные органы. Обычно хостинг компании хранят данные о своих клиентов несколько лет.

Ссылка на комментарий
Поделиться на другие сайты

Для работы на сервере были созданы локальные учетки temp и update.
Под ними тоже подключались по рдп. 
Но также был считан пароль учетки администратора (находил лог сканирования учеток, в котором у некоторых, в т.ч. и админа прописан пароль).
Мне думается, что был некий троян, который считал пароль и передал его хозяину, а тот уже подключился и продолжил работу.
в AD учеток не создавалось. Но для распространнеия использовалась учетка админская. Логи Касперского показали попытку запустить шифровальщик на всех компах включенных в это время.
К чести KES, он эти попытки пресек. До этого в KSC была настроена политика для борьбы с шифраторами по рекомендациям разработчика, может благодаря этому отработал.
хотя, как проверить, не знаю.
Органам сообщили. надеюсь они сделают свою работу, а не просто впишут в отчет.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Мне коллега  показал похой случай как у Вас в испаской статье (работает, только в браузере  Firefox) -относится к варианту майнера WannaMine
 

Могли бы проверить на всех серверах наличие сдедующих возможных вредоносных файлов (Проверить их вредоносность можете на независимом сайте virustotal.com либо сравнить MD5-суммы с указанным в статье).
 

%windir%\syswow\WindowsPowerShell\v1.0\WinRing0x64.sys
%windir%\system32\mui.exe
%windir%\syswow\mui.exe
%windir%\11.vbs%windir%\info.vbs
%windir%\temp\sysupdater0.bat

Важно при этом не запускать не в коем случае эти файлы в случае находки.

Также убедить во вредносности записей wmi которые были замечены во всех ваших логах, запустив следующие команды в Powershell и проверив со значением в статье или сообщив тут на форуме.
 

Get-WMIObject -Namespace root\subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%SCM Event8 Log Consumer%'"
Get-WMIObject -Namespace root\subscription -Class __EventFilter -filter "Name LIKE'%SCM Event8 Log Filter%'"
Get-WMIObject -Namespace root\subscription -Class CommandLineEventConsumer -Filter ("Name like '%SCM Event8 Log Consumer%'")
Get-WMIObject -Namespace root\default -List | where {$_.Name –eq'systemcore_Updater8'}

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ShadowIce449
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
    • Ilyambuss
      Автор Ilyambuss
      Скачал левак с торрента, после чего в диспетчере задач появились каких-то два процесса "setup", которых раньше не было. Думаю, майнер. После снятия задачи и перезагрузки компьютера они вновь появляются. Проверка касперским удалила каких-то три рекламных объекта.
      CollectionLog-2025.06.15-00.21.zip
    • GlibZabiv
      Автор GlibZabiv
      Здравствуйте, ЦП AMD Ryzen 5 3600 в простое греется до 65-75 градусов, ГП AMD Radeon RX 570 Series до 48-50 градусов. Насколько я знаю, в простое такая температура ненормальна. По диспетчеру задач нагрузка небольшая. Kaspersky Internet Security, Dr.Web CurIt! майнера не видят. Прошу вас сказать, заражен ли мой компьютер (данные брал из программы AIDA 64).
      CollectionLog-2025.05.31-12.01.zip
    • aminjik
      Автор aminjik
      Здравствуйте!
      Проверил систему на вирусы с помощью kvrt
      Были обнаружены два вируса
      Trojan.Win32.Agentb.kwqa
      Trojan.Win64.Reflo.his
      Один в Exe файле, другой в образе iso
      Образ использовался на виртуальной машине, а exe запускался давно и был он в игре.
      Сейчас оба удалены и по этой причине пишу сюда
      Спасибо
      CollectionLog-2025.06.15-19.17.zip
    • asmonekus
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
×
×
  • Создать...