Jump to content

EOMT.ps1 DNS Server wechselt jede Stunde auf 8.8.8.8 und 9.9.9.9


Go to solution Solved by magicpeter,

Recommended Posts

vor 5 Minuten schrieb fmsmuc:

Bin auch am entfernen von dem Mist.

1.) Scheduler die komischen Tasks Löschen

2.) mit Taskmanger die powershell tasks killen

3.) windows/temp Löschen

4.) Microsoft saftey scanner drüber laufen

5.) m6.bin mit taskmanger killen

6.) Sophos virus removal downloaden und starten (löscht den miner)

7.) wenn owa nicht gebraucht wird am router port für http zugriffe sperren

8.) neu starten - tasks und sheduler kontrollieren

9.)  Bitdefender-PR-Whitepaper-LemonDuck-creat4826-en-EN-GenericUse.pdf  laden und logfiles anschauen wie im pdf beschrieben 

10.) sophos auch bei anderen  rechnern laufen lassen - kann sein dass der miner auf mehreren rechnern ist

11.) Passwörter ändern

 

bei mir schaut es schon ganz gut aus - hatte einen pc vergessen und schon ist es wieder aufgetaucht. Darum sophos auf allen PCs / virt Maschinen laufen lassen

Moin, ich arbeite auch noch auf auf ein paar Servern und PCs gegen den Mist an :grins2:
Danke für deinen Kommentar und den Input.

Hat der Sophos virus removal etwas bei dir gefunden?

Link to post
vor 1 Stunde schrieb fmsmuc:

11.) Passwörter ändern

 

Welche Passwörter? Auch der des KRBTGT (https://www.msxfaq.de/windows/kerberos/krbtgt_keyrollover.htm) ?

https://www.msxfaq.de/exchange/update/hafnium-exploit.htm#was_tun_bei_erkanntem_einbruch_

 

Zitat

Stellen Sie sich vor, sie haben eine PowerShell auf einem Server mit "LocalSystem" und "ExchangeTrustedSubsystem" in einem fremden Netzwerk und sie haben kriminelle Energie. Was könnten sie alles anstellen? Ziemlich viel und auf ziemlich vielen Servern.

 

Eigentlich hat das Gesamtsystem als kompromittiert zu gelten. Es kann keine allgemein gültige Empfehlung geben, den Sie wissen ja nicht, wie tief der Angriff war und welche "Hinterlassenschaften" in ihrem System zu finden sind.

 

  • Like 1
Link to post

Im Gegensatz zu dem Microsoft Security Scanner, findet das Sophos Tool den Miner M6.Bin und entfernt diesen.

 

In dem PDF von bitdefender ist ja gut beschrieben wie das Zeug arbeitet. Man kann das auch von Hand entferen. Sophos  war für mich einfacher, weil aus welchen Gründen auch immer das Bitdefender tool nicht mit meinem OS funktionierte.

 

such mal mit google nach: LemonDuck Crypto-Miner exchange

 

Bisher schaute es gut aus, obwohl mehrere Server betroffen waren.

Scheint funktioniert zu haben

 

Man muss natürlich berücksichtigen, dass mehrere Hacker Gruppen die Exchange Lücke verwendet haben. Anzeichen für den Crypto Miner ist task m6.bin (hohe Prozesorleistung) und DNS Wechsel auf die Google DNS Server. Der Wechsel störte zwar das system, hatte aber den Vorteil, dass die server dann nicht mehr mit der domain arbeiten. Alles was nicht domain ist, blockt bei meiner Konfiguration der windows firewall auf dem jeweiligen server.

 

/Edit

Nein war nicht erfolgreich

ziel ist praktisch Rechenleistung für den miner zu bekommen

 

bei bitdefender steht zwar wie das mit dem miner funktioniert, die Beschreibung der download malware findet man hier:

https://vms.drweb.com/virus/?i=21342844&lng=en

 

 

dr.web läuft allerdings nicht auf server. 

Link to post

So, bei mir ist es weg. Die Kombination Avira und dann malewarebyte hat das Zeug entfernt. Hatte alle rechner aus, dann immer einen bearbeitet und gleich wieder ausgeschaltet.

 

Der microsoft security scanner findet zwar aber beseitigt nicht die Ursache

 

Läuft wieder 1a.

 

Nein neu aufsetzen ist in komplexen Umgebungen nicht so einfach. Exchange, connectoren für smtp versand von apps, firewallregeln, spamfilter Programme Regeln und und und - domain controller usw.

Das Zeug hatte sich in ganz kurzer Zeit über 10 Server verbreitet

Alle neu aufsetzen wäre mit Sicherung der netto daten ein riesen Aufwand gewesen.

 

 

 

 

Link to post
Am 23.3.2021 um 09:29 schrieb testperson:

Der Serverbetreiber - also der, der das Ding kompromittiert hat - wird bald evtl. steinreich sein. Ein Teil davon scheint ein Coin Miner zu sein.

:grins2: Genau so ist es....

Link to post
vor 43 Minuten schrieb fmsmuc:

Nein neu aufsetzen ist in komplexen Umgebungen nicht so einfach. Exchange, connectoren für smtp versand von apps, firewallregeln, spamfilter Programme Regeln und und und - domain controller usw.

Das Zeug hatte sich in ganz kurzer Zeit über 10 Server verbreitet

Alle neu aufsetzen wäre mit Sicherung der netto daten ein riesen Aufwand gewesen.

Man muss aber auch einmal davon ausgehen, die komplette Umgebung neu aufzubauen. Hier ist jetzt die Chance dafür ein Konzept zu erstellen.

Wenn die Umgebung zu komplex zum neu Aufsetzen ist, dann muss das ändern.

 

Das ist immer noch ein großes Risiko (welches man Eingehen kann, würde ich aber nicht ohne GL entscheiden!) das so zu bereinigen.

Link to post
Am 19.3.2021 um 14:31 schrieb magicpeter:

Wau, das wäre aber richtig schlecht...

Gibt es keine andere Vorgehensweise oder einen Workaround um den Server am Leben zuhalten?

 

Keine verantwortungsvolle und sinnvolle 

Link to post

Es gibt von Sysinternals ein Autostart Tool. Da habe ich verschiedene WMIC Einträge gefunden, die immer wieder was nachgeladen haben. Seitdem ich die entfernt habe, ist Ruhe.

Vorher am besten noch die Schritte aus dem zweiten Link durchführen. Das mit WMI hat MBAM gefunden.

 

Zur Not kann man erstmal ausgehenden Traffik auf Port 80/443 in der WF oder Firewall blockieren.

 

https://www.msxfaq.de/exchange/update/hafnium-nachbereitung.htm

https://www.microsoft.com/security/blog/2021/03/25/analyzing-attacks-taking-advantage-of-the-exchange-server-vulnerabilities/

 

Natürlich weiß niemand was sonst noch passieren kann. Im Zweifelsfall ist eine Neuinstallation mit Sicherheit angebracht. Wer ein gutes Sicherungskonzept hat, ist wahrscheinlich deutlich schneller wieder online. Mein System war nach 3 Stunden Überprüfung wieder sauber. Wenn Daten abgegriffen sind, dann sind sie sowieso weg.

 

Link to post

Natürlich erstmal Ports blockieren

Auch wenn ich hier nur wenig Beiträge habe, bin ich sicher kein Neuling.

Ich war so wirklich einer der Allersten, der vor über 20 Jahren die Beta von dem ersten Exchange aufsetzte mit ca. 100 Usern. Dies war dann kurz drauf weltweit das erstes Referenz System von MS mit mehreren tausend Usern.

Wurde damals sogar von MS USA aufgefordert Fragen für den ersten MS Exchange Test einzureichen.

 

Natürlich hatte ich nach dem Patch die Microsoft Scripts laufen lassen und ach sieh mal da, es hatte nichts gefunden. 

 

Die Problem sind erst zum Vorschein gekommen als es aktiv wurde .

Das Microsoft saftey tool hatte minimal gefunden aber keine Abhilfe.

 

Wenn jemand sagt, das wäre der Zeitpunkt komplexe Umgebung zu überdenken und neu zu machen, dann muss ich widersprechen.

Natürlich ist alles virtualisert aber es gibt viele Parameter. Was Sicherung betrifft, weiss man in dem Fall auch nicht was betroffen ist oder was nicht.

Hier war es nicht nur Exchange sondern eine ganze Reihe von Servern. Da die Lücke von mehreren Gruppen ausgenutzt wurde, war in dem Fall das "Glück", dass es nur die Gruppe war die Rechenzeit, in Form von Mining stehlen.

 

Was das Zeug mach kann man bei DR Web nachlesen. 

 

Vielleicht gehöre ich noch zur Sorte, aufgeben gibts nicht.

 

Was man hier Microsoft ankreiden muss ist, dass der Patch so spät nach Bekanntwerden der Lücke kam. Das Gleiche betrifft das BSI, welche es auch schon vorher wusste. Hätte man die Infos gehabt, wäre halt Port zugemacht worden und OWA deaktiv.

 

Selbst heute gibt es noch offene Exchange Server weil zwar das Online Update alle Updates installiert aber viele kleine Exchange Betreiber nicht wissen, dass erst die CU den Schutz bringen. Dass Microft beim Online Update keinen Hinweis auf CUs bringt ist mehr als nachlässig.

 

vor 3 Stunden schrieb Dukel:

Das ist immer noch ein großes Risiko (welches man Eingehen kann, würde ich aber nicht ohne GL entscheiden!)

Natürlich bespricht ma solche Sachen mit der GL

 

Am 20.3.2021 um 22:33 schrieb daabm:

Du wärst der erste, der "einfacher und billiger" erfolgreich umsetzt. Viel Glück damit, und wenn es klappt, wäre es ein prima Geschäftsmodell... Ich gehe nicht davon aus.

Du bist einer von denen, die mit dafür verantwortlich sind, daß sich Malware so leicht ausbreiten und so lange halten kann. jm2c

Das sind Aussagen wo ich komplett widerspreche. Natürlich blockt man am Firewall und kontrolliert nach Entfernung was am Firewall abläuft. 

Was ich hier vermisse sind echte Ratschläge - nur Neuaufsetzen ist kein Ratschlag. Manchmal sind selbst kleine Tipps hilfreich.

Der Grund für die Ausbreitung war in dem Fall die Politik von MS - Hallo, zu überprüfen welche CU und beim Update eine Warnmeldung zu senden wäre wirklich banal.

Von der Zeit bis zur Verfügbarkeit des Patch, brauchen wir nicht zu reden.

 

 

  • Like 1
Link to post

Entweder ich bin sicher, dass es keine Malware auf meinen Systemen gibt, dann kann ich das so belassen.

Oder ich bin mir nicht sicher, dann hat man eine Risiko Analyse zu erstellen mit der Option, die Umgebung neu zu installieren.

 

Da es immer zu dem Fall kommen kann, dass einem nichts anderes übrig bleibt die Umgebung neu aufzubauen, sollte man so was geplant haben.

Link to post
  • Solution
Posted (edited)

So alle Server laufen wieder und die Malware ist weg.
Danke an alle für Ihre konstruktiven Eingaben :grins2: War halt wie immer. :grins2:
Hier meine Vorgehensweise. Vielleicht hilft es ja jemanden bei der gleichen Aufgabenstellung / Bedrohung. 

 

Datensicherung aller Server - Veeam B&R

Einspielen der MS Sicherheitsupdates - KB5000871 
Überprüfung ob Angriff stattgefunden hat - Test-ProxyLogon.ps1
Isolierung Ihres Exchange Servers - Ports auf der Firewall geschlossen (443, 80, 987)
Anwendung des MS Tool - Exchange On-Premises Minderungstool (EOMT)
Überprüfen und Bereinigung des Aufgabenplaners
Automatische Scripte erstellt - DNS-Updater, MS Safety Scanner, Malware Deleter
Informationsschreiben erstellt und an alle betroffenen Kunden verschickt 
Systemüberprüfung auf Hacker & Malware - Thor Lite Scanner
Monitoring-Tool installiert und system überwacht - Sysmon
Überprüfung Active Directory - Benutzerberechtigung und - Änderung - repadmin
Server mit Virus Removal Tool geprüfen und bereinigen - Sophos Removal Tool
Server mit Virus Removal Tool prüfen und bereinigen - Kaspersky Removal Tool
Server mit Virus Removal Tool prüfen und bereinigen - Microsoft Removal Tool
Server mit Virus Removal Tool prüfen und bereinigen - ESET Removal Tool
Server mit Virus Removal Tool prüfen und bereinigen - McAfee Removal Tool
Server mit Virus Removal Tool prüfen und bereinigen - Norton Removal Tool
Server mit Virus Removal Tool prüfen und bereinigen - Malwarebytes (hat die meisten Schädlinge gefunden und entfernt!!!!)
Windows Firewall auf blockierte Ports & Veränderungen (Port 135 & 445) überprüfen
VM mit Recovery Tool überprüft und bereinigt
E-Mail Informationsspeicher auf Bedrohung überprüft 
Passwörter im Active Directory ändern sobald die Malware entfernt wurde

Tägliche Überprüfung der Server auf weitere Bedrohung
Weltweite permanente Recherche - Internet, Foren, Expertengruppen, Herstellerseiten, Kollegen, News Auswertung, Fachgespräche

 

Edited by magicpeter
Link to post

Meine Vorgehensweise war sehr ähnlich.

Da alles virtualisiert war etwas anders

 

- Ports geschlossen (Router und Firewall)

-  Export der virtuellen Maschinen

- alles runter gefahren und einzeln bearbeitet

(auf einem Server diverse anti Virus/malware Scanner versucht und zum Ergebnis gekommen dass die Kombination der drei reicht)

- ms safety Scanner (minimal Fund)

- sophos (minimaler Fund)

- malwarebytes (viele Treffer und auch RAM Treffer)

auch wichtig, lokale defender Firewalls auf den Servern überprüfen da malware die unter Umständen ändert 

 

Server runter gefahren und nächsten server

 

ganz wichtig dass alles aus ist und jeweils nur 1 Server bearbeitet wird

 

- informationsspeicher bei Exchange wird sowieso mit vier versch. Antivirus Programmen online gescannt

 

nachdem alle Server abgearbeitet waren hochgefahren und beobachtet - dann Ports geöffnet und jeweils malwarebytes nochmals laufen lassen.

Prozesse auf den jeweiligen Servern überprüft.

 

firewall Filter eingerichtet und überwacht

 

läuft wieder 1a

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...