CONSEQUENCES OF PROXYLOGON VULNERABILITY IN THE EXCHANGE SERVER
ฝัง
- เผยแพร่เมื่อ 13 ก.ย. 2024
- In this video, I analyze the malicious code that was poured into me through the ProxyLogon vulnerability in Exchange Server using global logging of PowerShell scripts, autoruns and sysmon utilities from Sysinternals, as well as AnVir TastManager.
The first part of the video. HOW MY EXCHANGE SERVER WAS HACKED THROUGH THE PROXYLOGON VULNERABILITY • КАК ВЗЛОМАЛИ МОЙ EXCHA...
#proxylogon #ExchangeServer #hafnium #microsoft #hack #exploit #vulnerability #zeroday
Видео оставило много вопросов,
▶️ Зачем они переименовывали PowerShell? Чтобы не вызывать подозрение, что запущено одновременно несколько копий?
▶️ Зачем обфусцировать код, ведь три раза завернули, но развернуть ведь просто. Чтобы антивирусы не обнаруживали?
▶️ Зачем осуществлять поиск по 192.168. * сетке, если её нет на компе?
А вам что осталось непонятно?
может чтобы пустить по ложному следу? а смысл вообще в другом?😂
Годное видео! Спасибо за проделанную работу!
Спасибо, стараюсь.
Забавный момент: автором pingcastle является Винсент Ле Ту, друг и партнер по некоторым проектам разработки всем известного Бенджамина Делпи (gentilkiwi), который, в свою очередь, является автором mimikatz :)
Нормально чё, скоро будет софт или может уже есть - с одной кнопкой "взломать сервак" и оно там само дальше. :-)
Павел, а какой софт посоветуешь для ежедневного отчёта о создании новых учётных записей в AD?
Знаком с NetWrix, можно и скриптами наколхозить :-)
Павел, я по одному из твоих советов начал пользоваться OneNote для хранения знаний.
Поделись опытом, пожалуйста. Как организовать структуру? Как быстро интересные веб страницы сохранять себе в OneNote? Сколько книг завести?
Видимо надо записать видосик.
я поставил мартовские обновления на следующий день после их выхода, прогнал скрипт testproxlogon - сказал всё чисто, 26 апреля сработал мониторинг на сервере по процессору, работал процесс cmd.exe от имени SYSTEM, в этот момент выскочило окно со свежими обновлениями, в тч для exchange (CVE-2021-28480,CVE-2021-28483,CVE-2021-28482, CVE-2021-28481) после установки обнов и перезагрузки появилось окно WMRT об успешном удалении 3х бэкдор-чопперов с разными индексами и одним exploit:ASP/CVE-2021-27065, сегодня мониторинг по процессору сработал ещё раз....drweb-cureit нашёл то же самое, попросил перезагрузки для удаления....
в task`ах кстати было пусто, смотрел вашим ps-скриптом, все задачи родные
ах,да... думал кто-то поможет в чатике с котами, там посмеялись, назвали боянистом и посоветовали посмотреть ваше видео и поставить мартовские обновления) и не запускать майнеры в проде)
У меня была похожая ситуация, апдейты установил виндовс апдейт и запуск скрипта произошел нормально, типа апдейты установлены, но заражение произошло чуть раньше и сервер с апдейтами майнил :-)
Полезно! Можно скриптом Sheduled.ps1 поделиться?
Get-ScheduledTask | ?{$_.author -ne "Microsoft" -and $_.actions -match "TaskExec"} |
select date,taskname,state,uri,taskpath,`
@{Name="UserID";Expression={$_.Principal.UserID}},`
@{Name="GroupId";Expression={$_.Principal.GroupId}},`
@{Name="Actions";Expression={$_.actions.execute}},`
@{Name="Arguments";Expression={$_.actions.arguments}} |
sort date -Descending | ogv
Skycmd - интересно CLI к one drive
и mimikatz очень интересная
чат забавный: весь в гифках, котах и посыланием людей в гугл)
Ну да, периодически бывает, куда уж без этого. Но там сидят реально практикующие хорошие инженеры и помогали не раз мне и остальным.
в vmware чат зайди., только скафандр одень.
Говорят, что похоже на эту штуку vms.drweb.ru/virus/?i=21387793&lng=ru