8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Исследование образов серверов с целью поиска следов сетевой атаки

Проблема: предположительно произведенная сетевая атака и ее последствия.

Результат экспертизы

Эксперты произвели исследование образов серверов заказчика с целью поиска следов сетевой атаки.
В результате исследования было установлено, что в определенную дату атакующим, выдавшим себя за администратора, была осуществлена аутентификация в панели ECP.

Затем им были получены сведения о конфигурации удаленных доменов, настроенных в организации, а также о существующих объектах получателей в организации, почтовые ящики, пользователей почты, почтовые контакты и группы рассылки.

Указанное было осуществлено путем загрузки на сервер веб-шелла, который в свою очередь обеспечивает произвольный доступ к данным, хранящимся в памяти для уже дальнейшей загрузки троянской программы, подменяющей служебные файлы Windows на cmd.exe или powershell.exe.

Атака не была целенаправленной, а носила массовый характер.

  • Для устранения последствий атаки рекомендуется использовать лицензионную версию операционной системы Windows или обновить действующую версию до последней;
  • обновить версию Microsoft Exchange Server до последней;
  • воспользоваться набором решений от Microsoft по устранению уязвимостей CVE-2021-26855, CVE-2021-27065;
  • провести сканирование рабочих машин несколькими антивирусами, так как вирусные базы у различных антивирусных ПО могут различаться, а также установить антивирусное ПО в качестве постоянного.