есть подозрение на присутствие программы шифровальщика

[christian]

прошу посмотреть логи.

Addition.txt FRST.txt

[SQ]

 Здравствуйте,

Как злоумышлинники добрались до вашего сервера? У Вас сервера смотрят в интернет или открыты RDP и SMB?

Что из следующего Вам известно?
 

Task: {10E0AB7D-DAA9-46DD-92F8-FC823788F40C} - System32\Tasks\База МКУ => C:\Executor\Compiler.exe [7680 2020-11-12] (Microsoft) [Файл не подписан]
2021-09-12 15:07 - 2021-09-12 15:07 - 000441594 _____ C:\Windows\system32\mstsc.7z
2021-08-25 19:11 - 2021-08-25 19:11 - 000000000 ____D C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2

Похоже у Вас обнаружено одно и тот же на всех серверах - если верить статье то похоже на a distributed cryptominer AD worm:

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"SCM Event8 Log Consumer2\"",Filter="__EventFilter.Name=\"SCM Event8 Log Filter2\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"SCM Event8 Log Consumer\"",Filter="__EventFilter.Name=\"SCM Event8 Log Filter\"::
WMI:subscription\__EventFilter->SCM Event8 Log Filter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 13600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->SCM Event8 Log Filter2::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 AND TargetInstance.SystemUpTime < 301]

Вы ранее меняли все пароли как я ранее просил в теме 84480? Также вам желательно проверить политику безопасности GPO (gpt.ini) как указано в статье, возможно она распространяет криптомайнер.

Для чего используются следующие порты?

FirewallRules: [{A642B721-404E-41C7-B5DB-BE8CC31D26F4}] => (Allow) LPort=475
FirewallRules: [{9760DF81-8981-4C76-990A-65535703F7E5}] => (Allow) LPort=475
FirewallRules: [{86077278-5697-49E6-809A-0136286D941A}] => (Allow) LPort=15000
FirewallRules: [{56EF9EDD-9908-4A84-913F-5280E4B88389}] => (Allow) LPort=15000
FirewallRules: [{BA1DB31C-1F9E-4C7B-8A90-9A4A7861C9BA}] => (Allow) LPort=15000

 

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[christian]

только первая строчка

Task: {10E0AB7D-DAA9-46DD-92F8-FC823788F40C} - System32\Tasks\База МКУ => C:\Executor\Compiler.exe [7680 2020-11-12] (Microsoft) [Файл не подписан]

 

Пароли менял.

DC2_2021-09-13_10-00-40_v4.11.8.7z

как проверить политику?

[SQ]

56 minutes ago, christian said:

как проверить политику?

К сожалению не подскажу где и как искать, так как это первый случай, когда мне попадается этот тип криптомайнер. Попробуйте прочитать статью и проверить файлы которые там указаны.

 

Согласно статье, вам необходимо проверить следующее (файл политики и вредоносный файл во временом каталоге):
 

C:\Windows\SYSVOL\domain\Policies\GPT.ini
C:\Windows\temp\gpt.ps1

проверьте как минимум дату измения файлов. Если не знаете что проверять, то ничего не трогайте, чтобы не поламать функционирования домена.

 

 

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   File: C:\Windows\system32\mstsc.7z
   VirusTotal: C:\Windows\system32\mstsc.7z
   Folder: C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

В логах FRST и uVS не нашел активного шифровальщика. Почему вы думаете, что он присутствует? Имеются щифрованные файлы?
 

Для чего используются следующие порты? Вы сами их открывали ?

FirewallRules: [{A81928DC-9294-4BC9-A715-2328A9068767}] => (Allow) LPort=15000
FirewallRules: [{DA466711-730F-4E0D-AC38-384BF46C5BEE}] => (Allow) LPort=15000
FirewallRules: [{7FD8D5CD-3787-4C56-8133-B17D2AD904E3}] => (Allow) LPort=15000

 

[christian]

в свойствах брэндмауэра написано, что это порты агента касперского

если нет активного, то он и не появится?
на этой машине были добавлены левые пользователь в группы доступа: администратор, рдп и т.п.

C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2

и эта папка тоже к нему имеет отношение?

если он опять запустится?

Fixlog.txt

[SQ]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   Powershell: Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%SCM Event8 Log Consumer%'"
   Powershell: Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "name like '%SCM Event8 Log Consumer%'"
   Powershell: Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name like '%SCM Event8 Log Consumer%'"
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

5 hours ago, christian said:

если нет активного, то он и не появится?

Не факт. Обычно, злоумышлинники используют известные уязвимости, чтобы проникнуть в систему. Также Microsoft также официально не поддерживает Windows Server 2008 R2 Standard Service Pack 1 поэтому может не выпускать обновления безопасности для него, что может поставить под угрозу.

 

5 hours ago, christian said:

на этой машине были добавлены левые пользователь в группы доступа: администратор, рдп и т.п.

Для начало отключите всех неизвестных пользователей и понаблюдайте, если это не окажет не какого влияние на функционирование сервера то удалите их.

 

5 hours ago, christian said:

и эта папка тоже к нему имеет отношение?

если он опять запустится?

Обычно злоумышленники используют какие-то утилиты вместе с шифровальщиками, среди которых я замечал входит и эта папка. в этой папке находится только файл конфигурации, по идеи она не предоставляет угрозы.

Если на этом сервере появился майнер, который по описанию используют уязвимости/сканеры rdp и smb, то возможно и шифровальщики могут воспользоваться этим.

 

странно почему этого файла нет в системе хотя при первоначальных логах он присутствовал:
 

2021-09-12 15:07 - 2021-09-12 15:07 - 000441594 _____ C:\Windows\system32\mstsc.7z

антивирус мог его удалить?

[christian]

я удалил

[SQ]

21 minutes ago, christian said:

я удалил

А проверяли его, он был вредоносным? Если он еще в корзине могли бы его проверить на virustotal.com? 

[christian]

без корзины удалил

[SQ]

Могли бы пожалуйста предоставить ранее запрошенный лог FRST с командами powershell, чтобы убедиться во вредоности указанных записей WMI - ?

SCM Event8 Log Consumer

[christian]

Вдогонку, ip с которого было проникновение 176.123.1.86 С него подключались по созданным учеткам. Реальный или нет, не знаю. Но может кому то пригодится.

[SQ]

14 minutes ago, christian said:

Вдогонку, ip с которого было проникновение 176.123.1.86 С него подключались по созданным учеткам. Реальный или нет, не знаю. Но может кому то пригодится.

А как злоумышлинники приникли по RDP? Они создали учетнки в AD или локальные?

P.S.Похоже этот ip адрес принадлежит хостингу Alexhost. Возможно стоит обратится в правохранительные органы. Обычно хостинг компании хранят данные о своих клиентов несколько лет.

[christian]

Для работы на сервере были созданы локальные учетки temp и update.
Под ними тоже подключались по рдп. 
Но также был считан пароль учетки администратора (находил лог сканирования учеток, в котором у некоторых, в т.ч. и админа прописан пароль).
Мне думается, что был некий троян, который считал пароль и передал его хозяину, а тот уже подключился и продолжил работу.
в AD учеток не создавалось. Но для распространнеия использовалась учетка админская. Логи Касперского показали попытку запустить шифровальщик на всех компах включенных в это время.
К чести KES, он эти попытки пресек. До этого в KSC была настроена политика для борьбы с шифраторами по рекомендациям разработчика, может благодаря этому отработал.
хотя, как проверить, не знаю.
Органам сообщили. надеюсь они сделают свою работу, а не просто впишут в отчет.

[SQ]

Здравствуйте,

Мне коллега  показал похой случай как у Вас в испаской статье (работает, только в браузере  Firefox) -относится к варианту майнера WannaMine
 

Могли бы проверить на всех серверах наличие сдедующих возможных вредоносных файлов (Проверить их вредоносность можете на независимом сайте virustotal.com либо сравнить MD5-суммы с указанным в статье).
 

%windir%\syswow\WindowsPowerShell\v1.0\WinRing0x64.sys
%windir%\system32\mui.exe
%windir%\syswow\mui.exe
%windir%\11.vbs%windir%\info.vbs
%windir%\temp\sysupdater0.bat

Важно при этом не запускать не в коем случае эти файлы в случае находки.

Также убедить во вредносности записей wmi которые были замечены во всех ваших логах, запустив следующие команды в Powershell и проверив со значением в статье или сообщив тут на форуме.
 

Get-WMIObject -Namespace root\subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%SCM Event8 Log Consumer%'"
Get-WMIObject -Namespace root\subscription -Class __EventFilter -filter "Name LIKE'%SCM Event8 Log Filter%'"
Get-WMIObject -Namespace root\subscription -Class CommandLineEventConsumer -Filter ("Name like '%SCM Event8 Log Consumer%'")
Get-WMIObject -Namespace root\default -List | where {$_.Name –eq'systemcore_Updater8'}