Serveur d'impression

Débarrassez-vous du logiciel Attacker – Bien choisir son serveur d impression

Par Titanfall , le 18 avril 2020 - 9 minutes de lecture

Salut à tous,

L'attaquant a réussi à accéder à mes administrateurs de domaine d'utilisation du système, heureusement, je les ai trouvés avant qu'ils ne commencent à crypter les données.

La plupart des serveurs ont été réinstallés à partir de zéro, mais un serveur semble avoir été restauré, nous l'avons donc conservé, mais après avoir examiné le journal d'audit, il semble que le pirate ait toujours son outil en cours d'exécution.

Veuillez indiquer ce qu'ils essaient de faire et comment puis-je m'en débarrasser.

hjiackthis:

Fichier journal de Trend Micro HijackThis v2.0.5

Scan enregistré à 12:42:17 PM, le 4/8/2020

Plateforme: Windows inconnu (WinNT 6.02.1008)

MSIE: Internet Explorer v11.0 (11.00.14393.2007)

Mode de démarrage: Normal

Processus en cours:

C: Program Files Webroot WRSA.exe

C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcCnfg.exe

C: Users wisdom.services01 Downloads spybotsd-2.8.67.0.exe

C: Users WISE ~ 1.SER AppData Local Temp 2 is-H9ASS.tmp spybotsd-2.8.67.0.tmp

C: Users sages.services01 Téléchargements HijackThis.exe

C: Program Files (x86) Spybot – Search & Destroy 2 SDUpdate.exe

R0 – HKLM Software Microsoft Internet Explorer Search, SearchAssistant =

R0 – HKLM Software Microsoft Internet Explorer Search, CustomizeSearch =

R0 – HKCU Software Microsoft Internet Explorer Main, Page locale =% 11% blank.htm

R0 – HKLM Software Microsoft Internet Explorer Main, Local Page = C: Windows SysWOW64 blank.htm

R0 – HKCU Software Microsoft Internet Explorer Toolbar, LinksFolderName =

F2 – REG: system.ini: UserInit =

O2 – BHO: Webroot Filtering Extension – C9C42510-9B41-42c1-9DCD-7282A2D07C61 – C: Program Files (x86) Common Files Webroot WebFiltering wrflt.dll

O4 – HKLM .. Run: [BASupSrvcCnfg_N-Central] "C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcCnfg.exe" / silent

O4 – HKLM .. Run: [WRSVC] "C: Program Files (x86) Webroot WRSA.exe" -ul

O11 – Groupe d'options: [ACCELERATED_GRAPHICS] Graphiques accélérés

O15 – Zone de confiance ESC: http: //*.windowsupdate.com (HKLM)

O17 – HKLM System CCS Services Tcpip Parameters: Domain = threepillars.local

O17 – HKLM System CCS Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202

O17 – HKLM System CS1 Services Tcpip Parameters: Domain = threepillars.local

O17 – HKLM System CS1 Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202

O17 – HKLM System CS2 Services Tcpip Parameters: Domain = threepillars.local

O17 – HKLM System CS2 Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202

O18 – Protocole: tbauth – 14654CA6-5711-491D-B89A-58E571679951 – C: Windows SysWOW64 tbauth.dll

O18 – Protocole: windows.tbauth – 14654CA6-5711-491D-B89A-58E571679951 – C: Windows SysWOW64 tbauth.dll

O23 – Service: @% SystemRoot% system32 Alg.exe, -112 (ALG) – Propriétaire inconnu – C: Windows System32 alg.exe (fichier manquant)

O23 – Service: SolarWinds Take Control Updater Service (N-Central) (BASupportExpressSrvcUpdater_N_Central) – SolarWinds Take Control – C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcUpdater.exe

O23 – Service: SolarWinds Take Control Agent (N-Central) (BASupportExpressStandaloneService_N_Central) – SolarWinds Take Control – C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvc.exe

O23 – Service: Service d'agent de sauvegarde Datto (DattoBackupAgentService) – Datto Inc. – C: Program Files Datto Datto Windows Agent DattoBackupAgent.exe

O23 – Service: @% SystemRoot% system32 DiagSvcs DiagnosticsHub.StandardCollector.ServiceRes.dll, -1000 (diagnosticshub.standardcollector.service) – Propriétaire inconnu – C: Windows system32 DiagSvcs DiagnosticsHub.StandardCollector.Service.exe (dossier manquant)

O23 – Service: @% SystemRoot% system32 efssvc.dll, -100 (EFS) – Propriétaire inconnu – C: Windows System32 lsass.exe (fichier manquant)

O23 – Service: @ keyiso.dll, -100 (KeyIso) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)

O23 – Service: @ comres.dll, -2797 (MSDTC) – Propriétaire inconnu – C: Windows System32 msdtc.exe (fichier manquant)

O23 – Service: @% SystemRoot% System32 netlogon.dll, -102 (Netlogon) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)

O23 – Service: Ninite Agent (NiniteAgent) – Secure By Design Inc. – C: Program Files (x86) Ninite Agent NiniteAgent.exe

O23 – Service: Graphisoft BIMcloud Manager 19.0 (PortalServerService-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Manager TeamworkPortalServerManager.exe

O23 – Service: RDP Defender (RDPDefender) – JWTS – C: Program Files (x86) RDP Defender RDPDefender-service.exe

O23 – Service: @% systemroot% system32 Locator.exe, -2 (RpcLocator) – Propriétaire inconnu – C: Windows system32 locator.exe (fichier manquant)

O23 – Service: @% SystemRoot% system32 samsrv.dll, -1 (SamSs) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)

O23 – Service: ScreenConnect Client (1192ae73f8a17fcc) – Propriétaire inconnu – C: Program Files (x86) ScreenConnect Client (1192ae73f8a17fcc) ScreenConnect.ClientService.exe

O23 – Service: ScreenConnect Client (1a2a43c9de9468c5) – Propriétaire inconnu – C: Program Files (x86) ScreenConnect Client (1a2a43c9de9468c5) ScreenConnect.ClientService.exe

O23 – Service: @% SystemRoot% system32 SensorDataService.exe, -101 (SensorDataService) – Propriétaire inconnu – C: Windows System32 SensorDataService.exe (fichier manquant)

O23 – Service: @% SystemRoot% system32 snmptrap.exe, -3 (SNMPTRAP) – Propriétaire inconnu – C: Windows System32 snmptrap.exe (fichier manquant)

O23 – Service: service de cache SolarWinds MSP (SolarWinds.MSP.CacheService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP CacheService SolarWinds.MSP.CacheService.exe

O23 – Service: Agent SolarWinds MSP PME (SolarWinds.MSP.PME.Agent.PmeService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP PME SolarWinds.MSP.PME.Agent.exe

O23 – Service: Serveur SolarWinds MSP RPC (SolarWinds.MSP.RpcServerService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP RpcServer SolarWinds.MSP.RpcServerService.exe

O23 – Service: @% systemroot% system32 spoolsv.exe, -1 (Spouleur) – Propriétaire inconnu – C: Windows System32 spoolsv.exe (fichier manquant)

O23 – Service: @% SystemRoot% system32 sppsvc.exe, -101 (sppsvc) – Propriétaire inconnu – C: Windows system32 sppsvc.exe (fichier manquant)

O23 – Service: Graphisoft BIMcloud Server 19.0 (TeamworkApplicationServerMonitor-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Server 19 TeamworkApplicationServerMonitor.exe

O23 – Service: Agent Graphisoft Service Process Manager 19.0 (TeamworkServiceProcessManagerAgent-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Manager TeamworkServiceProcessManagerAgent.exe

O23 – Service: @% SystemRoot% system32 TieringEngineService.exe, -702 (TieringEngineService) – Propriétaire inconnu – C: Windows system32 TieringEngineService.exe (fichier manquant)

O23 – Service: @% SystemRoot% system32 ui0detect.exe, -101 (UI0Detect) – Propriétaire inconnu – C: Windows system32 UI0Detect.exe (fichier manquant)

O23 – Service: @% SystemRoot% system32 vaultsvc.dll, -1003 (VaultSvc) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)

O23 – Service: @% SystemRoot% system32 vds.exe, -100 (vds) – Propriétaire inconnu – C: Windows System32 vds.exe (fichier manquant)

O23 – Service: VMware Alias ​​Manager et Ticket Service (VGAuthService) – VMware, Inc. – C: Program Files VMware VMware Tools VMware VGAuth VGAuthService.exe

O23 – Service: VMware Tools (VMTools) – VMware, Inc. – C: Program Files VMware VMware Tools vmtoolsd.exe

O23 – Service: Service de communication VMware CAF AMQP (VMwareCAFCommAmqpListener) – Propriétaire inconnu – C: Program Files VMware VMware Tools VMware CAF pme bin CommAmqpListener.exe

O23 – Service: Service d'agent de gestion VMware CAF (VMwareCAFManagementAgentHost) – Propriétaire inconnu – C: Program Files VMware VMware Tools VMware CAF pme bin ManagementAgentHost.exe

O23 – Service: @% systemroot% system32 vssvc.exe, -102 (VSS) – Propriétaire inconnu – C: Windows system32 vssvc.exe (fichier manquant)

O23 – Service: Service de maintenance de l'agent Windows – N-able Technologies Inc. – C: Program Files (x86) N-able Technologies Windows Agent bin AgentMaint.exe

O23 – Service: Service d'agent Windows – N-able Technologies Inc. – C: Program Files (x86) N-able Technologies Windows Agent bin agent.exe

O23 – Service: @% Systemroot% system32 wbem wmiapsrv.exe, -110 (wmiApSrv) – Propriétaire inconnu – C: Windows system32 wbem WmiApSrv.exe (fichier manquant)

O23 – Service: WRSVC – Webroot – C: Program Files Webroot WRSA.exe

Fin de fichier – 8880 octets

===

Événement de pirate

Un compte n'a pas pu se connecter.

Matière:

ID de sécurité: SYSTÈME

Nom du compte: EDG-SRV-BIM $

Domaine du compte: (cacher pour des raisons de sécurité)

ID de connexion: 0x3E7

Type de connexion: 4

Compte pour lequel la connexion a échoué:

ID de sécurité: NULL SID

Nom du compte: technologie

Domaine du compte: (cacher pour des raisons de sécurité)

Informations sur l'échec:

Raison de l'échec: Compte actuellement désactivé.

Statut: 0xC000006E

Sous-statut: 0xC0000072

Traitement de l'information:

ID du processus de l'appelant: 0x3d8

Nom du processus de l'appelant: C: Windows System32 svchost.exe

Informations sur le réseau:

Nom du poste de travail: EDG-SRV-BIM

Adresse réseau source:

Port source:

Informations d'authentification détaillées:

Processus de connexion: Advapi

Package d'authentification: Négocier

Services transités:

Nom du package (NTLM uniquement):

Longueur de clé: 0

Cet événement est généré lorsqu'une demande de connexion échoue. Il est généré sur l'ordinateur sur lequel l'accès a été tenté.

Les champs Objet indiquent le compte sur le système local qui a demandé la connexion. Il s'agit le plus souvent d'un service tel que le service Serveur ou d'un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Les champs Informations sur le processus indiquent le compte et le processus sur le système qui ont demandé l'ouverture de session.

Les champs Informations réseau indiquent d'où provient une demande de connexion à distance. Le nom du poste de travail n'est pas toujours disponible et peut être laissé vide dans certains cas.

Les champs d'informations d'authentification fournissent des informations détaillées sur cette demande de connexion spécifique.

– Les services transités indiquent quels services intermédiaires ont participé à cette demande de connexion.

– Le nom du package indique le sous-protocole utilisé parmi les protocoles NTLM.

– La longueur de clé indique la longueur de la clé de session générée. Ce sera 0 si aucune clé de session n'a été demandée.

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.