Rise Company
20-05-2020, 15:23
الويندوز سيرفر معرض للاختراق دائما - قصة اختراق هاكر لويندوز سيرفر 2016
https://www.rise.company/forum/images/imported/2020/05/43.jpg
هذه تجربة حقيقية على سيرفر شركة عند عميل لدينا,
مشكلة العميل هو وقف الانتى فايروس اكثر من مرة بدون سبب ثم
البرنامج الموجود كان Symantec قام بعمل له Disable اكثر من مره
وكذلك قام بوقف Smadav من خلال Allow Windows-Script & Office-Macro `(permanent)
و بعد تفعيل Smadav اكتشف البرنامج بان الهاكر قام برفع برامج تم العثور عليها فى Temp
تهدف جميعها اى معرفة باسوردات مختلفة, شاهد بنفسك تقرير Smad هنا :
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\BulletsPassVie w64.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\netpass64.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\PasswordFox64. exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\WirelessKeyVie w64.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\ChromePass.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\Dialupass.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\empv.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\iepv.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\mailpv.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\mspass.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\NetRouteView.e xe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\OperaPassView. exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\PstPassword.ex e
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\rdpv.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\RouterPassView .exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\VNCPassView.ex e
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\WebBrowserPass View.exe
واضح ان الهدف الاساسى هنا هو معرفة باسوردات المتصفحات + الشبكة + السيرفر
عندما قمنا بتفعيل Smad مرة اخري ظنا منا انه كافي وبعد عمل اجراءات الحماية اللازمة
وجدنا ان الهاكر قام باخراج العميل من VPN و RDP ووضع نفسه مكان العميل بعد ان حذف Smadav تماما !!!
ومن هنا قمنا بمراجعة جميع ملفات النظام حتى عرفنا انه فايروس Epicnet inc Cloudnet Virus
لذلك جميع اجراءات الحماية مهما كانت وناكد مهما كانت لا تفيد مطلقا فى حالة الاصابة
حيث الحل الوحيد هو من خلال Safe Mode فقط وبالطبع انت لن تستطيع عمل اللازم
لتفادى الاصابة حيث ان الفايروس خفى بشكل احترافي, تخيل انه ياخذ اسم لنفس اسم النظام
اى تجد انه يبدل نفسه مكان services الويندوز وياخذ اسمها او مكانها.
كل ذلك كان فى وجود برنامج Symantec مع Smadav بالاضافة الى Firewall Fortigate
----------------------------------------------------------
الفيروس الذى تم العثور عليه فى السيرفر :
فيروس Virus ملفات Epicnet inc Cloudnet Virus و ملف C:/windows/rss (https://www.rise.company/forum/threads/56550-%D9%81%D9%8A%D8%B1%D9%88%D8%B3-Virus-%D9%85%D9%84%D9%81%D8%A7%D8%AA-Epicnet-inc-Cloudnet-Virus-%D9%88-%D9%85%D9%84%D9%81-C-windows-rss)
انتبه من فهو منتشر على اغلب اجهزة المستخدمين و السيرفرات
https://www.rise.company/forum/images/imported/2020/05/43.jpg
هذه تجربة حقيقية على سيرفر شركة عند عميل لدينا,
مشكلة العميل هو وقف الانتى فايروس اكثر من مرة بدون سبب ثم
البرنامج الموجود كان Symantec قام بعمل له Disable اكثر من مره
وكذلك قام بوقف Smadav من خلال Allow Windows-Script & Office-Macro `(permanent)
و بعد تفعيل Smadav اكتشف البرنامج بان الهاكر قام برفع برامج تم العثور عليها فى Temp
تهدف جميعها اى معرفة باسوردات مختلفة, شاهد بنفسك تقرير Smad هنا :
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\BulletsPassVie w64.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\netpass64.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\PasswordFox64. exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\WirelessKeyVie w64.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\ChromePass.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\Dialupass.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\empv.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\iepv.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\mailpv.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\mspass.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\NetRouteView.e xe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\OperaPassView. exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\PstPassword.ex e
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\rdpv.exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\RouterPassView .exe
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\VNCPassView.ex e
=> Fine(Level 1) as : 1 Process
-C:\Users\TEMP\Downloads\TRMSRV\User\WebBrowserPass View.exe
واضح ان الهدف الاساسى هنا هو معرفة باسوردات المتصفحات + الشبكة + السيرفر
عندما قمنا بتفعيل Smad مرة اخري ظنا منا انه كافي وبعد عمل اجراءات الحماية اللازمة
وجدنا ان الهاكر قام باخراج العميل من VPN و RDP ووضع نفسه مكان العميل بعد ان حذف Smadav تماما !!!
ومن هنا قمنا بمراجعة جميع ملفات النظام حتى عرفنا انه فايروس Epicnet inc Cloudnet Virus
لذلك جميع اجراءات الحماية مهما كانت وناكد مهما كانت لا تفيد مطلقا فى حالة الاصابة
حيث الحل الوحيد هو من خلال Safe Mode فقط وبالطبع انت لن تستطيع عمل اللازم
لتفادى الاصابة حيث ان الفايروس خفى بشكل احترافي, تخيل انه ياخذ اسم لنفس اسم النظام
اى تجد انه يبدل نفسه مكان services الويندوز وياخذ اسمها او مكانها.
كل ذلك كان فى وجود برنامج Symantec مع Smadav بالاضافة الى Firewall Fortigate
----------------------------------------------------------
الفيروس الذى تم العثور عليه فى السيرفر :
فيروس Virus ملفات Epicnet inc Cloudnet Virus و ملف C:/windows/rss (https://www.rise.company/forum/threads/56550-%D9%81%D9%8A%D8%B1%D9%88%D8%B3-Virus-%D9%85%D9%84%D9%81%D8%A7%D8%AA-Epicnet-inc-Cloudnet-Virus-%D9%88-%D9%85%D9%84%D9%81-C-windows-rss)
انتبه من فهو منتشر على اغلب اجهزة المستخدمين و السيرفرات