lord-icon
Goto Top

Gehackter lokaler Server (passwort zurücksetzen nicht möglich)

Hi,

bei einen Kunden ist dessen Windows Server 2012 R2 gehackt worden und mittels randsom-software verschlüsselt worden.
Zusätzlich wurden 2 admin Account angelegt. Alle Benutzerkonten haben hoffensichtlich neue Kennwörter bekommen, sodass man keine Logs sichten kann.

Das war erstmal nicht schwierig zu umgehen.... dachte ich mir zumindest.
Setup DVD und utilman mit cmd austauschen. Der bekannte weg halt.

Wenn ich nun aber die cmd aufrufen dann fragt mich der prompt nach einen Benutzernamen und passwort.
Da ich das schon mehrmals gemacht habe, weiß ich, dass diese Abfrage nicht normal ist. Es KÖNNTE aber auch sein, das das ein Update mitunter unterbunden hatte (und ich auf einen alten Stand bin).
Sprich: erstmal bin ich auf diesen Wege nicht weiter gekommen.

Nun frage ich mich: Was ist, wenn der Hacker die cmd ausgetauscht hat und diesen Weg der Passwort neu setzung zu umgehen ?
Dann würde es doch reichen, wenn ich die cmd.exe von meinen sauberen System nehme und auf den kompr. Server überschreibe ?

Testen tu ich das morgen vor Ort auf alle Fälle mal... nur frage ich mich jetzt: Erzeugt die cmd diese Kennwortabfrage oder vlt. eine Gruppenrichtlinie oder eine andere Datei/Dienst sodass ich in diesen Bereich auf alle Fälle nicht weiterkommen werde ?

Danke schon mal für Tipps oder Erfahurngsberichte

Content-ID: 347736

Url: https://administrator.de/contentid/347736

Printed on: December 3, 2024 at 07:12 o'clock

MrCount
MrCount Aug 30, 2017 at 14:07:27 (UTC)
Goto Top
Servus,

um an die Logs zu kommen:
- Daten der Festplatte sichern und mit einer Linux-Live-Version deine Wahl drauf zugreifen


damit der Server wieder läuft:
- Backup einspielen
lord-icon
lord-icon Aug 30, 2017 at 14:12:16 (UTC)
Goto Top
Du hast gleich mein ersten Satz überlesen:

"... und mittels randsom-software verschlüsselt worden."

Ich muß ein neus Programm draufspielen um ein Log zu erzeugen das ESET sagt, wo das Problem liegt, was passiert ist (sofern ermittelbar) und andere Eckdaten um ein gegentool zu erstellen
Lochkartenstanzer
Lochkartenstanzer Aug 30, 2017 at 14:18:44 (UTC)
Goto Top
Zitat von @lord-icon:

Du hast gleich mein ersten Satz überlesen:

"... und mittels randsom-software verschlüsselt worden."

Ich muß ein neus Programm draufspielen um ein Log zu erzeugen das ESET sagt, wo das Problem liegt, was passiert ist (sofern ermittelbar) und andere Eckdaten um ein gegentool zu erstellen

Bevor Du irgendetwas installierst, solltes Du zunächst ein image ziehen und dann mit einer forensischen distribution oder einem forensischen tool die daten analysieren.

Auf das kompromittierte System irgendetwas zu installieren nützt nichts, weil eben die malware alles mögliche machen kann.

Ruf einen Spezialitden, wenn die Kiste analysiert werden muß. Und für das weiterarbeiten im betrieb machst Du ein recovery vom Backup.

lks
lks
MrCount
MrCount Aug 30, 2017 updated at 14:31:41 (UTC)
Goto Top
Alle Benutzerkonten haben hoffensichtlich neue Kennwörter bekommen, sodass man keine Logs sichten kann.

Diese Aussage erweckt den Eindruck, als wenn eben nicht ALLES verschlüsselt wurde.
Außerdem wird nirgendwo erwähnt, um WELCHE Logs es sich handelt.
Daher bin ich von den lokalen Logs ausgegangen.

Und, wie Lochkartenstanzer schon sagt:
Auf das kompromittierte System irgendetwas zu installieren nützt nichts, weil eben die malware alles mögliche machen kann.

Und bezüglich
um ein gegentool zu erstellen
... mach dir da mal keine großen Hoffnungen.
lord-icon
lord-icon Aug 30, 2017 at 14:40:48 (UTC)
Goto Top
janein.... auf dem Server lief ACRONIS als Backup Programm
Das Backup vom Server und auch von den Clients wurden per SMB auf den localen NAS gespeichert.
Um ein Standortunabhängiges Backup zu haben, wurde das Backup zusätzlich per SFTP ins RZ verschlüsselt gespeichert.

Beide Backuport sind verschlüsselt worden.

Dami ESET VERSUCHEN kann aktiv zu werden, benötigen die einmal den "Erpresserbrief", 1 mal eine verschlüsselte und eine unverschlüsselte Datei mit dem gleichen Stand ... <= bis hier alles vorhanden.... und dann von einen Programm das LOG

Erst wenn diese 4 Dinge vorliegen, fangen die überhaupt an was zu checken.
Letzteres kann aufgrund des fehlenden Passwort aber nicht erfolgen.

ESET wurde mitgeteilt, dass der Server verschlüsselt worden ist. Somit gehe ich davon aus, dass das Wissendlich hingenommen worden ist und das Tool dennoch irgendwas ermittelt. WAS das dann sein wird sei dahingestellt. Zumal die Windows Datein selbst logischerweise unverschlüsselt sind. Auch die beiden programm order sind unverschlüsselt. VLT... aber auch nur vlt sind ein paar Daten ermittelbar.

Zuvor müsste ich aber wissen, ob man über die Gruppenrichtlinen CMD soweit beeinflussen kann, das dort erstmal nach ein passwort gefragt wird.
Lochkartenstanzer
Lochkartenstanzer Aug 30, 2017 updated at 14:46:28 (UTC)
Goto Top
Zitat von @lord-icon:

Zuvor müsste ich aber wissen, ob man über die Gruppenrichtlinen CMD soweit beeinflussen kann, das dort erstmal nach ein passwort gefragt wird.

Mal ein ganz andere frage:

Hast Du das CMD von dem infizierten System genommen oder ein sauberes von einem anderen System? Wie gesagt: Jedes binary auf dem infozierten System ist nicht vertrauenswürdeig!

lks

PS: Hast Du denn überhapt ein offline-Image image von der Platte gezogen? Wenn nciht, solltest Du das jetzt schleunigst nachholen, um bei "Fehlern" den Stand zurücksetzen zu können.
lord-icon
lord-icon Aug 30, 2017 at 14:58:33 (UTC)
Goto Top
1: ja. Am Montag. Lief über 28h wegen 1TB Daten.
2: nein. ich hab das cmd vom infizierten System genommen. (war ja vorher nicht erkennbar, dass das System gehackt worden ist; entsprechend war ich drauf nicht vorbereitet).
Deshalb ja meine Frage: Wenn ich die cmd von mein sauberen System nehme, gibt es eine Gruppenrichtline die CMD dazu zwingt nach ein passwort zu fragen ?
certifiedit.net
certifiedit.net Aug 30, 2017 at 17:44:19 (UTC)
Goto Top
Zitat von @lord-icon:

janein.... auf dem Server lief ACRONIS als Backup Programm
Das Backup vom Server und auch von den Clients wurden per SMB auf den localen NAS gespeichert.
Um ein Standortunabhängiges Backup zu haben, wurde das Backup zusätzlich per SFTP ins RZ verschlüsselt gespeichert.

Beide Backuport sind verschlüsselt worden.

Sprich: clever geplant?

Nun, was erhoffst du dir von ESET? Ist die Firma noch arbeitsfähig? Wer haftet (ESET wird das nicht tun)?

Nein, es gibt keine GPO, die nach einem Password fragt. Abgesehen davon wird beim üblichen Verlauf keine GPO mehr ausgerollt. DIe sind nämlich dann wohl auch verschlüsselt. System schon neugestartet?
Vision2015
Vision2015 Aug 30, 2017 at 18:05:23 (UTC)
Goto Top
moin...
Zitat von @lord-icon:

janein.... auf dem Server lief ACRONIS als Backup Programm
aha
Das Backup vom Server und auch von den Clients wurden per SMB auf den localen NAS gespeichert.
und keiner kommt auf die idee mal was auf eine USB Platte etc zu schieben?
Um ein Standortunabhängiges Backup zu haben, wurde das Backup zusätzlich per SFTP ins RZ verschlüsselt gespeichert.
alle kopien sind verschlüsselt?

Beide Backuport sind verschlüsselt worden.
kaum zu glauben... und unverantwortlich!

Dami ESET VERSUCHEN kann aktiv zu werden, benötigen die einmal den "Erpresserbrief", 1 mal eine verschlüsselte und eine unverschlüsselte Datei mit dem gleichen Stand ... <= bis hier alles vorhanden.... und dann von einen Programm das LOG
was soll ESET deiner meinung nach machen?
was für eine datei endung haben die verschlüsselten Daten?
was für ein AV Program war da am Werk, und hat nix mitbekommen?

Erst wenn diese 4 Dinge vorliegen, fangen die überhaupt an was zu checken.
?
Letzteres kann aufgrund des fehlenden Passwort aber nicht erfolgen.
das wäre ja einfach... die Passwörter kannst du selber wieder ändern! ich darf hir nicht schreiben wie, aber google ist ja dein freund!
bitte mach ein Image vom System... vorher

ESET wurde mitgeteilt, dass der Server verschlüsselt worden ist. Somit gehe ich davon aus, dass das Wissendlich hingenommen worden ist und das Tool dennoch irgendwas ermittelt. WAS das dann sein wird sei dahingestellt. Zumal die Windows Datein selbst logischerweise unverschlüsselt sind. Auch die beiden programm order sind unverschlüsselt. VLT... aber auch nur vlt sind ein paar Daten ermittelbar.
wer hat was ESET mitgeteilt?

Zuvor müsste ich aber wissen, ob man über die Gruppenrichtlinen CMD soweit beeinflussen kann, das dort erstmal nach ein passwort gefragt wird.
kannst eine saubere Datei einspielen...

dein Gehackter lokaler Server ist zu 99 % durch selbstverschulden in seinem jetzigen zustand! warscheinlich per Mail!
oder steht der mit dem nackten hintern im Inet?

Frank
maretz
maretz Aug 30, 2017 at 18:28:02 (UTC)
Goto Top
Moin,

ehrlich gesagt - wenn ich das alles richtig verstehe hat $Kunde jetzt kein Backup mehr (da alle Versionen verschlüsselt - schön blöd das alle Backup-Versionen dauerhaft erreichbar sind, das is eigene blödheit!). Und du möchtest jetzt an der letzten verbleibenden Version rumbasteln? Nich schlecht, ich weiss nicht ob mutig oder blöd, aber in jedem fall davon mehr als genug!

Ich würde mir jetzt erst mal nen Image von dem Server ziehen - und NUR darauf arbeiten! Da kannst du mit der CMD rumprobieren - und wenn es schief geht, egal, Image neu drauf, neuer Versuch... Das man das Live-System bereits vom Netz getrennt haben sollte brauch man wohl nicht erwähnen, oder? Denn du weisst ja nicht ob derjenige der die Daten verschlüsselt hat nicht auch bereits die Daten kopiert und/oder fröhlich munter an ein erreichbares Adressbuch versendet.
certifiedit.net
certifiedit.net Aug 30, 2017 at 18:38:46 (UTC)
Goto Top
Beide Backuport sind verschlüsselt worden.
kaum zu glauben... und unverantwortlich!

Ne, das nicht, man wollte eben monatlich mit wenig Aufwand noch paar € für ein Onlinebackup abgreifen. Kann man machen, aber per SFTP - Daueronline? Yes! :D Professionalize IT.
MrCount
MrCount Aug 31, 2017 updated at 05:49:22 (UTC)
Goto Top
Das soll jetzt nicht herablassend klingen, aber als ENDUSER, mit Schwerpunkt Linux/Unix, solltest du da doch lieber einen (Windows-)Fachmann ran lassen, bevor du nachher mit einem System dastehst, welches hätte gerettet werden können, du es aber leider verbockt hast.

2017-08-31 07_43_02-lord-icon - profil - mrcount - administrator.de

Wie gesagt, nicht böse gemeint!

Was die angewandte Backup-"Strategie" angeht... da wurde eigentlich schon alles gesagt.

Zieh dir auf jeden Fall ein Image von der infizierten Platte, BEVOR du da irgendwas rumbastelst.
fredmy
fredmy Aug 31, 2017 updated at 06:34:59 (UTC)
Goto Top
Hallo,
da stehts doch Linux-Server User. Also so behandeln.
Win zu "reparieren" bringt eh fast nix wenn unbekannte Malware im Spiel ist , Platte putzen + neu aufsetzen!

Datenzugriff über Linux, NTFS mounten und ansehen. IIRR sind da etliche (alle?) Zugriffsrichtlinien ausser Kraft.

Bei den per SFTP gespeicherten Backups würde ich noch mal hinsehen, vorausgesetzt es gab bei jedem Transfer einen neuen Namen, na ja zumindest in vertretbaren Abständen, alternativ waren die Daten unwichtig und mit wenig Aufwand ersetzbar.
Bei SFTP Speicherung im RZ meintest du sicher/hoffentlich: von dir selbst verschlüsselt und du kannst das auch wieder entschlüsseln.

Datenlabore könnten evtl. Helfen beim Entschlüsseln der Serverplatte - brauchen aber oft die ganze Platte dazu.
Ach ja... und die infizierte Platte sollte nicht mit dem Netzwerk in Verbindung kommen, wie auch der Untersuchungsrechner!


Fred
lord-icon
lord-icon Sep 01, 2017 at 14:39:42 (UTC)
Goto Top
ahje... das man immer bei den Dinos anfangen muß, damit gewisse "beleidungen" ala: sowas ist dumm oder dähmlich oder so.

Zu Klarstellung:
  • Der "Kunde" ist ein bekannter von MEINEN Bekannten. Ich hab da weder was aufgesetzt noch irgendwelche Ratschläge gegeben. Bin also erst ins "Boot geholt worden" als der Schaden schon vorlag

  • Wie ich jetzt zum 3ten male geschrieben haben, muß auf windows ein Programm aufgespielt werden, damit gewisse Grundsatzdinge ermittelt werden. Das möchte nicht ich sondern ESET und Kaspersky. Diese wurden damit "beauftragt" ein KVA abzugeben zur entwicklung eines Gegentools. Und die fangen erst an, wenn bewisse Grundaten eingereicht sind.

  • Das der System im Nachgang platt gemacht wird und neu aufgesetzt wird, war von Anfang an klar.

  • Die Backups sind vom Kunden verschlüsselt werden, da dieses ja auch an einen anderen Standort liegt wo theoretisch jeder rankommt. DIESES kennwört ist klar. Der hacker hat aber das verschlüsselte Backup selbst nochmal verschlüsselt sodass man hier erstmal keine Daten draus gewinnen kann.

Bzgl: Backups: Da sind weitesgehend Offline Daten drauf. Bilder, Dokumente, Video-Streams , DB-Backups etc.
DIESE werden wieder benötigt. Das Windows-System selbst ist zwar da auch mit drin... aber hier werden aktuell keine Date benötigt.

Und jetzt nochmal: BEVOR IRGENDWAS am Sytem angefasst worden ist wurde ein Backup gemacht. Es wurde sogar die "Sektor für Sektor" kopie aktiviert, was zwar länger dauert, aber ebend ein 100%tige kopie darstellt.
Ablauf: Kundenterin Montag früh. Server war Kundenseitig schon ausgeschalten worden.
Server angeschalten. Windows Login Screen mit 1 x admin (NEU) 1 x administrator + 1 x Standard-user + 1 x neues Konto
Sprich: Lt. Kunde gab es 2 neue Benutzerkonten die es vorher definitiv nicht gab. Das erklärte dann auch das nicht funktionierende Passwort.
Daraufhin erklärte ich dem Kunden, was mit sein System vermutlich passiert ist. Darauf hin wollte er eine anzeige tätigen.
Daraufhin wurde die Kiste wieder runtergefahren und mittels boot-image eine sektor-kopie vorgenommen.

Egal: Ich starte jetzt zum Kunden und versuche mittels saubere CMD-Datein ein login zu erzwingen. Geht das nicht, scheint auch ne Gruppenrichtlinen oder an der SAM Datei wurde rummanipuliert... demnächst werde ich es wissen
Lochkartenstanzer
Lochkartenstanzer Sep 01, 2017 updated at 14:57:58 (UTC)
Goto Top
Zitat von @lord-icon:

Ablauf: Kundenterin Montag früh. Server war Kundenseitig schon ausgeschalten worden.
Server angeschalten. Windows Login Screen mit 1 x admin (NEU) 1 x administrator + 1 x Standard-user + 1 x neues Konto

Grober Fehler.

Bevor man die Kiste wieder einschaltet, baut man die Festplatten aus und macht ein Image. Alles andere birgt die gefahr, es ncoh schlimmer zu machen. moderne malware erkennt "Recovery-Versuche" und zerstört das ganze unwiederruflich.

Sprich: Lt. Kunde gab es 2 neue Benutzerkonten die es vorher definitiv nicht gab. Das erklärte dann auch das nicht funktionierende Passwort.
Daraufhin erklärte ich dem Kunden, was mit sein System vermutlich passiert ist. Darauf hin wollte er eine anzeige tätigen.
Daraufhin wurde die Kiste wieder runtergefahren und mittels boot-image eine sektor-kopie vorgenommen.

In diesem Zeitraum hatte das infizierte System mehr Gelegenheit mehr Böses anzustellen.

Egal: Ich starte jetzt zum Kunden und versuche mittels saubere CMD-Datein ein login zu erzwingen. Geht das nicht, scheint auch ne Gruppenrichtlinen oder an der SAM Datei wurde rummanipuliert... demnächst werde ich es wissen

Schau auf jeden Fall, daß die Kiste isoliert ist und vor allem, daß die Imagekopie auch wirklich sauber und komplett ist - und zwar bevor die Kiste wieder eingeschaltet wird!

lks