Что-то на сервере автоматически добавляет правила запрета на порт 445 и еще пару портов. Правила появляются в политиках межсетевого экрана и IP-безопасности. Они блокируют совместное использование сети и принтера.
Я пробовал переименовывать, отключать, удалять правила / политики, но они возвращаются сами по себе.
Я провел сканирование на вирусы в трех различных антивирусных программах (Защитник Windows, Kaspersky, Malwarebytes), и они вернулись чистыми. Я удалил ВСЕ ненужные программы. Я проверил ВСЕ запланированные задачи, и они подходят. Я проверил ВСЕ задачи запуска (папка автозагрузки и запуск / запуск реестра), в них ничего нет. Нет набора GPO. Нет сервисов VNC / RDP, поэтому никто не делает это вручную.
Мне удалось остановить автоматическое добавление правил / политик, установив для разрешения в папках реестра правил брандмауэра и политик IP Sec значение (Все запрещают создание / изменение / удаление).
Как я могу точно определить, что устанавливает эти правила / политики?!? Средство просмотра событий просто сообщает, что пользователь локальной службы использовал netsh для создания правил, но не сообщает подробностей о том, где был вызван netsh. Ничего в средстве просмотра политик IP Sec, но я недавно включил аудит, но ничего там не помогает.
Вы исправили MS17-010? Вы используете Server 2003?
- Моя команда TG снова обратилась ко мне, я хотел передать их информацию. URL-адрес теперь не функционирует, поэтому они не смогли получить доступ к msi.
«Библиотека DLL - это майнер криптовалюты« adylkuzz »Monero. Она поставляется с использованием MS17-010 EternalBlue / DoublePulsar.
После установки он изменяет брандмауэр хоста, чтобы заблокировать порт 445 и предотвратить дальнейшие попытки эксплуатации. Он устанавливается как служба Windows под именем «WLEM» с двоичным файлом в c: \ Windows \ Fonts \ wuauserv.exe.
Затем он пытается определить IP-адрес хоста, связавшись с общедоступным сайтом icanhazip.com. Запросы DNS выполняются для хоста C2 «08.super5566 [.] Com».
Криптомайнер загружается с C2 и сохраняется как c: \ windows \ fonts \ msiexev.exe. Затем майнер вызывается с помощью следующей команды:
«-A cryptonight -o stratum + tcp: //xmr.crypto-pool.fr: 443 -p x -u 42hDr4Lh2QbiLxrZbRZVmxgKGkMaSKWHSfTG6cBHb3yZ8NNEMuZKta74FqMvejTJQVPHP»
В брандмауэр Windows добавлено несколько исключений для других двоичных файлов:
0x3ed5f8 (138): netsh advfirewall firewall add rule name = "Windriver" dir = in program = "% PROGRAMFILES% \ Hardware Driver Management \ windriver.exe" action = allow 0x3ed698 (131): netsh advfirewall firewall add rule name = "Chrome "dir = in program ="% PROGRAMFILES% \ Google \ Chrome \ Application \ chrome.txt "действие = разрешить
Кроме майнинга криптовалюты, этот образец, похоже, не делает ничего другого.