EOMT.ps1 DNS Server wechselt jede Stunde auf 8.8.8.8 und 9.9.9.9

[magicpeter 9]

Moin,

ich habe vorgestern auf meinem Exchange 2013 CU23 Server das Microsoft Tool EOMT.ps1 benutzt.

Es wurden 2 Malware gefunden und entfernt.

 

Seit heute wechselt der DNS Server jede Stunde auf 8.8.8.8 und 9.9.9.9, dann ändere ich es wieder auf den eigentlich DNS-Server und nach einer Stunde sind wieder die beiden DNS-Server dort eingetragen.

 

Die IP-Adresse und der DNS sind natürlich fest vergeben bei dem Exchange Server.

 

Hat dieses Verhalten schon einmal jemand beobachtet nach dem Einsatz des Microsoft Tool EOMT.ps1?

Was würdet Ihr jetzt machen?

 

[zahni 521]

Nun, da ist wohl eine Neuinstallation angesagt. Wenn schon infiziert, dann wird das Tool auch nichts bringen.

[magicpeter 9]

vor 30 Minuten schrieb zahni:

Nun, da ist wohl eine Neuinstallation angesagt. Wenn schon infiziert, dann wird das Tool auch nichts bringen.

Wau, das wäre aber richtig schlecht...

Gibt es keine andere Vorgehensweise oder einen Workaround um den Server am Leben zuhalten?

 

[MurdocX 903]

vor 5 Minuten schrieb magicpeter:

Gibt es keine andere Vorgehensweise oder einen Workaround um den Server am Leben zuhalten?

Naja, um die Adressen zu ändern benötigt der Angreifer Admin-Berechtigung auf Domänen-Ebene. Er hatte also schon Zeit sich einzunisten. Für so etwas kenne ich keine Workarounds.  

[testperson 1.523]

vor 9 Minuten schrieb magicpeter:

Gibt es keine andere Vorgehensweise oder einen Workaround um den Server am Leben zuhalten?

Server ausschalten, ohne Netzwerk betreiben oder komplett vom Internet abschneiden. ;)

[magicpeter 9]

vor 50 Minuten schrieb MurdocX:

Naja, um die Adressen zu ändern benötigt der Angreifer Admin-Berechtigung auf Domänen-Ebene. Er hatte also schon Zeit sich einzunisten. Für so etwas kenne ich keine Workarounds.  

 

vor 49 Minuten schrieb testperson:

Server ausschalten, ohne Netzwerk betreiben oder komplett vom Internet abschneiden. ;)

 

Erst mal danke für euere Rückmeldung.

 

Folgende Bedrohungen wurden gefunden und entfernt:

Backdoor:MSIL/Chopper.F!dha

Backdoor:MSIL/Chopper.M!dha

Exploit:ASP/CVE-2021-27065

Backdoor:ASP\Chopper.R!dha

Trojaner:Win32/Amynex.A

 

Ich habe jetzt folgendes gemacht

 

1. den Exchange Server noch einmal neugestartet

2. .\EOMT.ps1 noch mal laufen lassen

Ergebnis: 2 Bedrohungen gefunden und entfernt wurden

Backdoor:ASP\Chopper.R!dha

Trojaner:Win32/Amynex.A

3. Server neugestartet

4. .\EOMT.ps1 noch mal laufen lassen

Ergebnis: keine Bedrohung wurde gefunden

5. .\EOMT.ps1 -RunFullScan -DoNotRunMitigation gestartet

Ergebnis: steht nicht aus

6. Microsoft Safety Scanner für den Scan des ServerDC ausgeführt

Ergebnis: keine Bedrohung gefunden

 

Mal schaun wie es weiter geht.

Hat jemand noch eine Idee? ;) 

 

 

 

[Dukel 436]

3 minutes ago, magicpeter said:

Mal schaun wie es weiter geht.

Hat jemand noch eine Idee? ;)

Die willst du ja nicht hören. Aber ich wiederhole mich aus einem anderen Thread:

 

Quote

 

Alte Umgebung vom Netz nehmen. Ursachenforschung betreiben.

Paralell dazu eine neue, saubere Umgebung aufsetzen. Dann die Backups (alles nichts ausführbare) zurückspielen. Diese Umgebung dann mit aktuellen Möglichkeiten absichern.

 

Daher, wenn man nicht das Gegenteil belegen kann, gilt die ganze Umgebung als korrumpiert und gehört neu aufgesetzt.

 

Spätestens jetzt hat man Budget für ein Notfallkonzept verfügbar.

 

 

[magicpeter 9]

vor 1 Minute schrieb Dukel:

Die willst du ja nicht hören. Aber ich wiederhole mich aus einem anderen Thread:

 

 

Danke Dunkel, ja das wäre die letzte Möglichkeit "NEUAUFSETZEN"

Aber vielleicht geht es ja auch einfacher und billiger. 

Mal schaun wo wir genau stehen und dann wird entschieden was geht und was nicht geht.

Nochmals Danke.

[MurdocX 903]

vor 24 Minuten schrieb magicpeter:

Danke Dunkel, ja das wäre die letzte Möglichkeit "NEUAUFSETZEN"

Aber vielleicht geht es ja auch einfacher und billiger. 

Mal schaun wo wir genau stehen und dann wird entschieden was geht und was nicht geht.

Hallo Peter,

 

ich kann Dir genau sagen wie das abläuft. Das habe ich gerade hinter mir, bzw. ist man eigentlich nie wirklich fertig. Je nach Umgebung kann man mit ca. 1 Monat Vollzeit, oder mehreren Monaten mit Tagesgeschäft rechnen. Und ja, auch alle vorhanden Firmencomputer wurden neu installiert.

 

Nachtrag:

Nach einer Infektion wird die Geschäftsebene auf die Risiken und Auswirkungen deutlich hingewiesen. Ab dann ist es - meiner Meinung nach - nicht mehr die eigene Entscheidung. Hier geht es um reale Arbeitsplätze und die Existenz der Firma. Das sollte nicht auf die leichte Schulter genommen werden.

 

Schöne Grüße

bearbeitet 19. März 2021 von MurdocX

[testperson 1.523]

Vielleicht gibt die Datenschutzbehörde / Datenschutzaufsichtsbehörde des entsprechenden Landes ja eine Empfehlung zum "Was jetzt tun" an den Kunden(?) und dessen Kunden(?) ab? Die gefundenen Webshells gelten sicherlich als Kompromittierung und werden AFAIK von jeder der Behörden als "meldepflichtig" eingestuft.

[magicpeter 9]

Kurzes Update:
Nach weiterer Überprüfung des Exchange Server habe ich verdächtige Aufgaben im Aufgabenplaner gefunden und gelöscht.
Diese Aufgaben wurden teilweise alle 40 Minuten durchgeführt, was auch der Änderungszeit der DSN-Server-Einträge entspricht.

vor 16 Minuten schrieb MurdocX:

Hallo Peter,

 

ich kann Dir genau sagen wie das abläuft. Das habe ich gerade hinter mir, bzw. ist man eigentlich nie wirklich fertig. Je nach Umgebung kann man mit ca. 1 Monat Vollzeit, oder mehreren Monaten mit Tagesgeschäft rechnen. Und ja, auch alle vorhanden Firmencomputer wurden neu installiert.

 

Nachtrag:

Nach einer Infektion wird die Geschäftsebene auf die Risiken und Auswirkungen deutlich hingewiesen. Ab dann ist es - meiner Meinung nach - nicht mehr die eigene Entscheidung. Hier geht es um reale Arbeitsplätze und die Existenz der Firma. Das sollte nicht auf die leichte Schulter genommen werden.

 

Schöne Grüße

Das sehe ich genauso und werde die Geschäftsführung auch entsprechend informieren.
Danke für deinen Kommentar.

vor 6 Minuten schrieb testperson:

Vielleicht gibt die Datenschutzbehörde / Datenschutzaufsichtsbehörde des entsprechenden Landes ja eine Empfehlung zum "Was jetzt tun" an den Kunden(?) und dessen Kunden(?) ab? Die gefundenen Webshells gelten sicherlich als Kompromittierung und werden AFAIK von jeder der Behörden als "meldepflichtig" eingestuft.

Das denke ich auch und werde die Geschäftsführung und den Datenschutzbeauftragten informieren.

Danke dir...

[MrCocktail 188]

vor 23 Stunden schrieb magicpeter:

Das sehe ich genauso und werde die Geschäftsführung auch entsprechend informieren.

Auch wenn ich mich nicht mehr äußern wollte, ich hoffe, das hast du vor dem Wochenende noch gemacht und wartest jetzt nicht ab ...

[daabm 1.183]

Am 19.3.2021 um 15:48 schrieb magicpeter:

Danke Dunkel, ja das wäre die letzte Möglichkeit "NEUAUFSETZEN"

Aber vielleicht geht es ja auch einfacher und billiger. 

Du wärst der erste, der "einfacher und billiger" erfolgreich umsetzt. Viel Glück damit, und wenn es klappt, wäre es ein prima Geschäftsmodell... Ich gehe nicht davon aus.

Du bist einer von denen, die mit dafür verantwortlich sind, daß sich Malware so leicht ausbreiten und so lange halten kann. jm2c

[magicpeter 9]

Moin, 
folgende Dateien werden immer wieder in das Windows Temp Verzeichnis geladen und dann ausgeführt.
 

knil.exe

m6.bin

n6.bin.ori

m6.bin.exe

Sind die euch Schin einmal untergekommen?

 

[testperson 1.523]

vor 12 Minuten schrieb magicpeter:

knil.exe

m6.bin

n6.bin.ori

m6.bin.exe

Der Serverbetreiber - also der, der das Ding kompromittiert hat - wird bald evtl. steinreich sein. Ein Teil davon scheint ein Coin Miner zu sein.