Исследование образов серверов с целью поиска следов сетевой атаки
Проблема: предположительно произведенная сетевая атака и ее последствия. Экспертам RTM Group нужно провести расследование, выявить цель и источник атаки, а также дать рекомендации по обеспечению ИБ.
Результат экспертизы
Эксперты произвели исследование образов серверов заказчика с целью поиска следов сетевой атаки.
В результате исследования было установлено, что в определенную дату атакующим, выдавшим себя за администратора, была осуществлена аутентификация в панели ECP.
Затем им были получены сведения о конфигурации удаленных доменов, настроенных в организации, а также о существующих объектах получателей в организации, почтовые ящики, пользователей почты, почтовые контакты и группы рассылки.
Указанное было осуществлено путем загрузки на сервер веб-шелла, который в свою очередь обеспечивает произвольный доступ к данным, хранящимся в памяти для уже дальнейшей загрузки троянской программы, подменяющей служебные файлы Windows на cmd.exe или powershell.exe.
Атака не была целенаправленной, а носила массовый характер.
- Для устранения последствий атаки рекомендуется использовать лицензионную версию операционной системы Windows или обновить действующую версию до последней;
- обновить версию Microsoft Exchange Server до последней;
- воспользоваться набором решений от Microsoft по устранению уязвимостей CVE-2021-26855, CVE-2021-27065;
- провести сканирование рабочих машин несколькими антивирусами, так как вирусные базы у различных антивирусных ПО могут различаться, а также установить антивирусное ПО в качестве постоянного.
