服务器上的某些东西会自动在端口 445 和其他几个端口上添加拒绝规则。这些规则出现在防火墙和 IP 安全策略中。它们阻止网络和打印机共享。
我尝试重命名、禁用、删除规则/策略,但它们又自行恢复了。
我已经对 3 个不同的 AV 程序(Windows Defender、Kaspersky、Malwarebytes)进行了病毒扫描,结果发现它们都是干净的。我卸载了所有不必要的程序。我检查了所有计划任务,它们都是合适的。我检查了所有启动任务(启动文件夹和注册表运行/运行一次),其中没有任何内容。没有设置 GPO。没有 VNC/RDP 服务,所以不是有人手动执行的。
我已经能够通过将防火墙规则和 IP Sec 策略的注册表文件夹中的权限设置为(所有人拒绝创建/更改/删除)来停止自动添加规则/策略。
我如何才能确定是什么在设置这些规则/策略?!事件查看器只是显示本地服务用户使用 netsh 创建了规则,但没有显示调用 netsh 的位置的详细信息。事件查看器中没有关于 IP Sec 策略的任何信息,但我最近启用了审核,但其中没有任何帮助。
答案1
您是否已针对 MS17-010 打补丁?您是否在运行 Server 2003?
-- 我的 TG 团队再次联系了我,我想传达他们的信息。URL 现已失效,因此他们无法访问 msi。
“该 DLL 是“adylkuzz”Monero 加密货币挖矿程序。它是使用 MS17-010 EternalBlue/DoublePulsar 进行交付的。
安装后,它会修改主机防火墙以阻止端口 445 并防止进一步的攻击尝试。它会将自身安装为名为“WLEM”的 Windows 服务,二进制文件位于 c:\Windows\Fonts\wuauserv.exe
接下来,它尝试通过联系公共 icanhazip.com 网站来确定主机 IP。向 C2 主机“08.super5566[.]com”发出 DNS 请求。
加密挖矿程序从 C2 下载并存储为 c:\windows\fonts\msiexev.exe。然后使用以下命令调用挖矿程序:
“-a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -px -u 42hDr4Lh2QbiLxrZbRZVmxgKGkMaSKWHSfTG6cBHb3yZ8NNEMuZKta74FqMvejvejyhvyT8C8pXY1TqpRS4czWvf744JjqP”
Windows 防火墙针对其他二进制文件添加了几个例外:
0x3ed5f8 (138): netsh advfirewall 防火墙添加规则名称="Windriver" dir=in 程序="%PROGRAMFILES%\Hardware Driver Management\windriver.exe" 操作=允许 0x3ed698 (131): netsh advfirewall 防火墙添加规则名称="Chrome" dir=in 程序="%PROGRAMFILES%\Google\Chrome\Application\chrome.txt" 操作=允许
除了挖掘加密货币外,该样本似乎没有做太多其他事情。