الويندوز سيرفر معرض للاختراق دائما - تم اختراق ويندوز سيرفر 2016

[Rise Company]

الويندوز سيرفر معرض للاختراق دائما - قصة اختراق هاكر لويندوز سيرفر 2016



هذه تجربة حقيقية على سيرفر شركة عند عميل لدينا,

مشكلة العميل هو وقف الانتى فايروس اكثر من مرة بدون سبب ثم

البرنامج الموجود كان Symantec قام بعمل له Disable اكثر من مره

وكذلك قام بوقف Smadav من خلال Allow Windows-Script & Office-Macro `(permanent)

و بعد تفعيل Smadav اكتشف البرنامج بان الهاكر قام برفع برامج تم العثور عليها فى Temp

تهدف جميعها اى معرفة باسوردات مختلفة, شاهد بنفسك تقرير Smad هنا :

كود:

=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\BulletsPassView64.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\netpass64.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\PasswordFox64.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\WirelessKeyView64.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\ChromePass.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\Dialupass.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\empv.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\iepv.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\mailpv.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\mspass.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\NetRouteView.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\OperaPassView.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\PstPassword.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\rdpv.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\RouterPassView.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\VNCPassView.exe
=> Fine(Level 1) as  : 1 Process
   -C:\Users\TEMP\Downloads\TRMSRV\User\WebBrowserPassView.exe

واضح ان الهدف الاساسى هنا هو معرفة باسوردات المتصفحات + الشبكة + السيرفر

عندما قمنا بتفعيل Smad مرة اخري ظنا منا انه كافي وبعد عمل اجراءات الحماية اللازمة

وجدنا ان الهاكر قام باخراج العميل من VPN و RDP ووضع نفسه مكان العميل بعد ان حذف Smadav تماما !!!

ومن هنا قمنا بمراجعة جميع ملفات النظام حتى عرفنا انه فايروس Epicnet inc Cloudnet Virus

لذلك جميع اجراءات الحماية مهما كانت وناكد مهما كانت لا تفيد مطلقا فى حالة الاصابة

حيث الحل الوحيد هو من خلال Safe Mode فقط وبالطبع انت لن تستطيع عمل اللازم

لتفادى الاصابة حيث ان الفايروس خفى بشكل احترافي, تخيل انه ياخذ اسم لنفس اسم النظام

اى تجد انه يبدل نفسه مكان services الويندوز وياخذ اسمها او مكانها.

كل ذلك كان فى وجود برنامج Symantec مع Smadav بالاضافة الى Firewall Fortigate

----------------------------------------------------------

الفيروس الذى تم العثور عليه فى السيرفر :

فيروس Virus ملفات Epicnet inc Cloudnet Virus و ملف C:/windows/rss

انتبه من فهو منتشر على اغلب اجهزة المستخدمين و السيرفرات