Włamanie na konto Administratora

[MegaTherion]

Dziś znajomy do mnie dzwonił ze na jego kompie ktoś się zalogował na konto administratora. Szybko zweryfikowałem temat i proszę o sugestię i pomoc przy analizie. Temat jest świeży.

Komputer to Windows XP SP3 + wszystkie najnowsze uaktualnienia. Zainstalowany ma antywirus + firewall. Dostęp do kont admina mam tylko ja !

Sprawdzałem logi. Logi zabezpieczeń wyczyszczone. Logi systemowe zachowane i w nich wpis ze ktoś działał z konta admina i próbował uruchomić proces i dziwnej mi nazwie 6to4. Logi z OTL nie mogę wygenerować z powodu błędu otwarcia pliku (exe, com i scr). Dodaje logi z DDS.

 

W załączniku pliki i notatki do sprawdzenia.

Proszę o pomoc i ewentualne wskazówki i pomoc przy ujęciu sprawcy ... o ile ot możliwe.

attach.txt

dds.txt

notatki.txt

[picasso]

Nie został dodany log pod kątem rootkitów (GMER).

 

 

Logi z OTL nie mogę wygenerować z powodu błędu otwarcia pliku (exe, com i scr).

 

Jaki błąd?

 

 

ktoś się zalogował na konto administratora (...) Logi zabezpieczeń wyczyszczone. Logi systemowe zachowane i w nich wpis ze ktoś działał z konta admina i próbował uruchomić proces i dziwnej mi nazwie 6to4.

 

W logu DDS nie widać wpisów infekcji w klasycznych miejscach ładowania, ale wskazują na nią te pliki:

 

=============== Created Last 30 ================
.
2011-12-19 14:53:08	359040	----a-w-	c:\windows\system32\tcpip.dat
2011-12-19 14:52:57	39424	----a-w-	c:\windows\system32\Sens32.dll

 

Została też złapana przez Ochronę plików Windows taka akcja:

 

==== Event Viewer Messages From Past Week ========
.
2011-12-19 15:53:16, ostrzeżenie: Windows File Protection [64008]  - Chroniony plik systemowy c:\windows\system32\drivers\tcpip.sys nie może być zweryfikowany jako prawidłowy, ponieważ Ochrona plików systemu Windows kończy działanie. Użyj narzędzia SFC, aby później sprawdzić integralność tego pliku.
2011-12-19 15:53:14, informacje: Windows File Protection [64001]  - Podjęto próbę zamiany chronionego pliku systemowego tcpip.sys. Dla zachowania stabilności systemu została przywrócona wersja oryginalna pliku. Wersja złego pliku: 5.1.2600.2180, wersja pliku systemowego: 5.1.2600.5512.

 

Obecność pliku sens32.dll, aktywacja 6to4 (IPv6), próba logowania jako Administrator i wyczyszczony Dziennik zdarzeń w gałązce Security = robak Morto: KLIK.

 

 

---

1. Wstępne uziemienie konta Administrator: nałożyć inne nieoczywiste hasło lub całkowicie wyłączyć konto via Start > Uruchom > lusrmgr.msc (gałąź Użytkownicy > właściwości konta pobrane przez dwuklik).

 

2. Uruchom SystemLook, w oknie wklej co poniżej i klik w Look. Przedstaw log wynikowy.

 

:filefind
tcpip.sys
 
:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4 /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sens /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows
HKEY_LOCAL_MACHINE\SYSTEM\Wpa /S

 

Gdyby wystąpił problem z uruchomieniem programu (błąd "...konfiguracja nie jest właściwa ..."), należy doinstalować Microsoft Visual C++ 2008 Redistributable (w systemie jest zainstalowana tylko wersja 2005, wersje bibliotek Visual nie działają "zastępczo").

 

 

.

[MegaTherion]

Na kontach admina od razu zmieniłem hasła.

Przesyłam logi z GMER'A http://wklej.org/id/652409/

Dane z SystemLock http://wklej.org/id/652410/

I jeszcze screen z błedu podczas otwarcie OTL'A

 

Uploaded with ImageShack.us

-----

Zeskanowałem system narzędziem od Micorsoft Safety Scanner i miałaś rację wykrył robak Morto/D

Teraz przekonałem się jak bardzo ważne jest skomplikowane hasło choć z drugiej strony prostego nie miałem (9 znaków małe litery i cyfry)

Z tego co czytałem o tym robaku to wykorzystuje port 3389 z RDP. Piszą, że jak już przejmie kontrolę (zainfekuje) trudno go wykryć (http://www.cert.pl/news/4201). Rozumiem, że jeśli mam wpis w logach systemowych, że coś lub ktoś próbował uruchomić proces z konta administratora = przejął konto admina ? Aby odgadnąc hasło 9 znakowe potrzeba trochę czasu tymbardziej robak musiał uważać na ilość połączeń aby go firewall nie przyblokował.

Edytowane 21 Grudnia 2011 przez MegaTherion

[picasso]

I jeszcze screen z błedu podczas otwarcie OTL'A

 

Niestety to ten błąd dla którego nie znam rozwiązania.

 

 

Zeskanowałem system narzędziem od Micorsoft Safety Scanner i miałaś rację wykrył robak Morto/D

 

Nic nie było jeszcze usuwane? Mogłeś podać gdzie on go znajduje dla porównania z tym co uzyskałam ze skanu.

 

 

Należy skorygować rejestr (przekierowanie usługi Sens z powrotem na prawidłowy plik + kasacja innych dodanych przez robaka wartości), skasować pliki robaka oraz wymienić sterownik tcpip.sys (wygląda na zmodyfikowany).

 

1. Przygotuj import do rejestru. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  73,00,65,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"NoPopUpsOnBoot"=-
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"=-
 
[HKEY_LOCAL_MACHINE\SYSTEM\Wpa]
"it"=-
"id"=-
"ie"=-
"md"=-
"sn"=-
"sr"=-
"dtk"=-
"rmd"=-
"lscan"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

2. Przejdź w Tryb awaryjny. Uruchom plik FIX.REG. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile:

C:\Windows\system32\sens32.dll
C:\Windows\system32\tcpip.dat
"C:\Windows\offline web pages\cache.txt"
 
CopyFile:
C:\WINDOWS\ServicePackFiles\i386\tcpip.sys C:\WINDOWS\system32\drivers\tcpip.sys

 

Klik w Execute Now. Zatwierdź restart komputera.

 

3. Po restarcie systemu zrób nowy skan w SystemLook na podane wcześniej warunki, z małą różnicą = w sekcji :filefind doklej jeszcze na szukanie plik sens.dll, oraz log z DDS. Dorzuć też log utworzony przez operację BlitzBlank.

 

 

 

 

.

[MegaTherion]

Niestety Micorsoft Safety Scanner to wersja nie instalowana. Zeskanował system w trybie szybkim znalazł robala i go usunął(nie podał ścieżki). Dodatkowo po skanie zrobiłem skan pełny i znalazł kolejne 2 robale 1. Trojan: WIN32/Bumat!rts 2.Trojan: WIN32/Dynamer!dtc

W sumie teraz chyba popełniłem błąd bo zainstalowałem po skanowaniu Program Microsoft Security Essentials (taki antywirus ze stajni Billa)

Jeszcze mogę dodać ze atak nastąpił parę dni po tym jak skonfigurowałem mój router o usługę www.no-ip.com bo nie mam zewn. IP. Przekierowałem port 3389 na mój IP komputera w sieci. Niestety nie mogę działać w trybie awaryjnym bo zdalnie działam na maszynie za pomocą zdalnego pulpitu. Dostęp do kompa będę miał dopiero w sobotę. Niepokoją mnie wpisy w logu. Dodam je do linka z krótkimi pytaniami. http://wklej.org/id/652706/

Kolejny dziwny objaw - nic nie tworzy log zabezpieczenia.

[MegaTherion]

Jestem już w lokalizacji gdzie znajduje się zarażony komputer. Niestety jak chce przejść w tryb awaryjny na monitorze pojawia się komunikat "OUT OF RANGE". Próbowałem zresetować ustawienia monitora LCD do najniższych możliwych - problem dalej występuje. W opcjach monitora brak ustawień odświeżania. System bez problemu działa w rozdz. 800x600 i 1024x768. Jakieś sugestie ?

[picasso]

Na szybko odpisuję, bo nie wiem ile jeszcze będziesz miał dostęp bezpośredni do tego systemu. W związku z niemożnością wykonania zadania z poziomu Trybu awaryjnego, podejmij się zadania w Trybie normalnym. Jeśli po użyciu BlitzBlank po restarcie zgłosi się jakiś błąd, można po raz drugi zaimportować FIX.REG.

 

 

 

.

[MegaTherion]

fix.reg zaimportowany BlitzBlany podmienił pliki. i podaje screen a SystemLook http://wklej.org/id/654023/

"C:\Windows\offline web pages\cache.txt" - to musiałem usunąć bo wywalał syntax error (pewnie nie mam takiego katalogu u siebie)

ps. do kompa będę miał dostęp przez 2-3 dni

[picasso]

"C:\Windows\offline web pages\cache.txt" - to musiałem usunąć bo wywalał syntax error (pewnie nie mam takiego katalogu u siebie)

 

Ścieżka tego pliku została pobrana z rejestru zainfekowanego systemu (wartość rejestru odpowiadająca za podmianę plików przy restarcie systemu):

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"="\??\c:\windows\offline web pages\cache.txt !\??\c:\windows\system32\sens32.dll"

 

Ścieżka ta jest widoczna także i w najnowszym raporcie z SystemLook:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters]
"ServiceDll"="C:\WINDOWS\Offline Web Pages\cache.txt"

 

Czyli robak przekonfigurował Parameters usługi pomocnika IPv6 z systemowego 6to4svc.dll na cache.txt robaka. Skoro BlitzBlank zwracał błąd, możliwe, że plik został już usunięty. Ale ścieżka na pewno w fazie początkowej musiała istnieć, modyfikacje rejestru z powietrza się nie wzięły.

 

1. Montuj nowy FIX.REG naprawiający wygląd usługi 6to4:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="IPv6 Helper Service"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,74,00,63,00,70,00,\
  69,00,70,00,36,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,00,\
  00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Provides DDNS name registration and automatic IPv6 connectivity over an IPv4 network.  If this service is stopped, other computers may not be able to reach it by name and the machine will only have IPv6 connectivity if it is connected to a native IPv6 network.  If this service is disabled, any other services that explicitly depend on this service will fail to start."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Config]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Interfaces]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  36,00,74,00,6f,00,34,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Security]
"Security"=hex:01,00,14,80,e8,00,00,00,f4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,b8,00,08,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
  02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,25,02,\
  00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,14,\
  00,40,00,00,00,01,01,00,00,00,00,00,05,13,00,00,00,00,00,14,00,40,00,00,00,\
  01,01,00,00,00,00,00,05,14,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,\
  00,00,05,20,00,00,00,2c,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00

 

2. Jeżeli IPv6 nie było wcześniej włączone: Panel sterowania > Połączenia sieciowe > Właściwości połączenia > w karcie Ogólne odznacz / odinstaluj TCP/IP w wersji 6. Ta operacja zlikwiduje usługę 6to4 z rejestru.

 

3. Wykonaj pełny skan systemu, może być użyty Microsoft Security Essentials. Przedstaw raport, o ile coś zostanie odnalezione.

 

 

 

.

Edytowane 1 Lutego 2012 przez picasso
1.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso