Soucis avec Processus de Minage sur Serveur ..

[j.coquillet]

Bonjour,
J'ai un soucis sur un serveur Exchange d'un de mes clients, j'ai un processus qui se lance tous les soirs et qui sature le processeur et du coup le serveur.
Après quelque recherche, c'est un processus rundll32, qui lance une connection à priori de minage vers pool.supportxmr.com. J'ai pour le moment bloqué l'accès à ce site mais le processus se lance toujours.
Pour info, ce serveur a été attaqué par Hafnium en mars et nous avons uniquement restaurer le serveur à la date antérieure avec nettoyage et application de toutes les MAJ nécessaire.
Avez vous une solution pour voir comment ce processus se lance et surtout éviter qu'il continue. Ou bien vaut il mieux refaire un serveur complet avec tous les désavantage que cela incombe.
Merci de votre aide
Serveur en Windows 2016 / Exchange 2016
Johann

[angelique]

Bonjour/Bonsoir,

https://www.fireeye.com/blog/fr-threat- ... iners.html

ça doit être une tache planifiée .

Le serveur ne doit pas être redémarré je suppose ?

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!! Par commodité
  
  -------------
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer tes rapports, et poste les liens dans ta prochaine réponse pour analyse.

[j.coquillet]

Bonjour,
Merci.
Ci joints les liens
https://pjjoint.malekal.com/files.php?i ... 6q15e5f7i9
Mais le fichier addition, je n'arrive pas à récupérer un lien.
Est ce que cela suffit ?
Merci de ton aide,

[angelique]

Faudrait voir avec https://www.malekal.com/process-explore ... es-avance/ si tu peux identifier ce que rundll32 lance, quel fichier ?

y'a pas mal d'analyse sur ce XMR monero

https://news.sophos.com/en-us/2021/04/1 ... e-servers/
https://www.incibe-cert.es/sites/defaul ... 021_v1.pdf

Apparemment, c'est même pas une tache planifiée, c'est un payload qui injecte un processus légitime de Microsoft.

[j.coquillet]

Voici ce qu'il lance le processus !!
Ce n'est même pas un fichier, c'est directement une commande :
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON

[Malekal_morte]

Essaye de lister les tâches planifiées avec Autoruns, voir : https://www.malekal.com/autoruns/
Tu dois pouvoir isoler la commande rundll32 et ainsi trouver la tâche planifiée.
En espérant qu'elle se lance par cette méthode.

Une recherche texte sur le disque sur pool.supportxmr.com serait pas mal aussi, des fois que ce soit un script batch ou powershell qui le lance.

[j.coquillet]

Ces deux recherches ne donnent rien avec les infos de la ligne de commande lancée.
Je suis vraiment dans l'impasse sur ce coup !
Je sens que cela va être un rechargement ..
Si une autre idée, je suis preneur.
Merci

[Malekal_morte]

C'est bizarre que rundll32.exe ne lance pas de DLL.
Il est exécuté avec quel utilisateur ?
Admin ?

Tu as scanné C:\Windows\System32\rundll32.exe sur https://www.virustotal.com pour s'assurer que le fichier n'a pas été remplacé ?

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

[j.coquillet]

Avec virustotal sur rundll32, pas de détection positive. Fichier ok.
Processus lancé par système (ci joint image du processus https://pjjoint.malekal.com/files.php?i ... i15j15j7w9).
Le lien du résultat EsetOnline https://pjjoint.malekal.com/files.php?i ... 6v14y66l12
Merci,

[Malekal_morte]

Ca semble venir de IIS.
Si tu regardes le rundll32, le chemin de lancement est : C:\Windows\system32\inetsrv

De plus NOD32 a détecté des éléments dedans.
Notamment un Trojan.CoinMiner supprimé.

C:\inetpub\wwwroot\aspnet_client\system_web\iisstart.aspx ASP/Agent.X cheval de troie nettoyé par suppression
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\ecp\auth\Logout.aspx ASP/Agent.X cheval de troie nettoyé par suppression
C:\ProgramData\CON\hwDmZ\bAFFyS.aspx ASP/Webshell.CK cheval de troie nettoyé par suppression
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.-w5te1qy.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.hdzg0hhx.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.ilu0l99z.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.jen8-qsr.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.l90bjd8p.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.mbnbej0r.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.ny6stnh2.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.o9pdacvq.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.oob_ylwl.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.qog3mwya.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.rkc4qpcy.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.vgy5advm.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ecp\1cd810a3\710c31b6\App_Web_logout.aspx.f5dba9b9.z3tswcgl.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression (après le prochain redémarrage)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_baffys.aspx.a04ebe95.jugq_hlv.dll variante de MSIL/Webshell.AS cheval de troie nettoyé par suppression
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_iisstart.aspx.2bd5d753.wbgglpcf.dll variante de MSIL/Webshell.AB cheval de troie nettoyé par suppression
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Libs\sihost64.exe variante de MSIL/CoinMiner.BIP cheval de troie nettoyé par suppression
C:\Windows\System32\inetsrv\run.bat BAT/KillAV.NFL cheval de troie nettoyé par suppression
Emplacements de démarrage automatique variante de MSIL/Webshell.AB cheval de troie,est OK contenait des fichiers infectés

Apparemment le site a un WebShell : MSIL/Webshell.AB
Faudrait inspecter le site... car ca peut être le point de départ qui a ensuite donné la main sur le serveur.
A lire : https://www.malekal.com/comment-detecte ... eb-shells/
Mais la page c'est plutôt pour les backdoor PHP, là ce sont des Backdoor ASPX, jamais rencontré pour ma part (jamais utilisé IIS).
S'il reste des backdoor ou des vulnérabilités sur le site, il va être réattaqué et rebelotte.

Sinon Windows et Exchange sont à jour ?
Y a eu des vulnérabilités sur Exchange récemment.

[j.coquillet]

Exhange a bien été mis à jour pour contrer Hafnium une fois le serveur attaqué et après une restauration de la VM.
Par contre tout est à jour.
Pas de site web dessus, uniquement la partie pour Exchange, alors pour voir ou il y a un soucis, ça va être chaud.

[Malekal_morte]

C'est bizarre la présence de webshell s'il n'y a pas de site.
En plus c'est un serveur dans un LAN ? Le serveur WEB n'est pas accessible depuis internet ?

Faudrait faire un scan NOD32 sur le disque C, tous jours, pour voir si ça revient.

[Malekal_morte]

Lis cela : https://www.bleepingcomputer.com/news/m ... patch-now/
La capture correspond à tes détections NOD32.
Ton Exchange possède encore des vulnérabilités semble-t-il ou l'infection date d'avant la mise en place des correctifs.