[OT] DFN Institut Opfer von Ragnar Verschlüsselung

[Jan.Schmidt]

Hi,

sorry für OT wir wurden gehackt und haben im Moment ganz schlechte Karten irgendwie zu kommunizieren.

Schaut bitte auf Euren Systemen nach, ob da Rechner sind, die eine virtual Box installiert haben.
Ob es Gruppen gibt, die Ihr nicht angelegt habt
Bei uns hiess die printer
Ob es Benutzer gibt, die Ihr nicht angelegt habt
Bei uns hiess der baeh

Wenn Ihr Rechner findet, wo es einen lokalen defau1t User mit einz statt T findet - ist es schon zu spät.

Achso "echte Offline" Backups wären eine tolle Sache.
Die VeeamServer aus der Domain zu nehmen kann man machen und ganz andere Passwörter (nur für den Falll das das nicht eh klar ist) zu nutzen aber das bringt haargenau gar nix solange das Windows Server sind.

Ja alle Server waren immer kurz (max. 3-5 Tage) nach erscheinen vom Patchday aktualisiert.
Vorgestern wurden wir verschlüsselt, seit dem 19.9 hatten die auf unserer AD diesen baeh Benutzer etabliert.

Überwachen der Gruppe domainadminsitratoren und dortige Änderungen kann was bringen (dachte ich) den Weg haben die in unserem Fall aber nicht genommen.

Da jetzt alles weg ist, also auch unser OPSI incl. unserer Wan Erweiterungs Lizenz (die lag auf dem OPSI und im Emailpostfach) werde ich hier in den nächsten Wochen nicht mehr stattfinden.

Gruß passt auf eure Rechner besser auf als ich

[m.radtke]

Moin,

das sind natürlich bescheidene Neuigkeiten am Morgen.

Danke für die Hinweise, ich hoffe die User hier lesen das uns schauen mal drüber.

Wegen der Lizenz: meld dich bei uns an der bekannten e-Mail Adresse und du kriegst eine neue.

Sind eure Clients auch betroffen?

Gruß
Mathias

[feltel]

Autsch. Ich wünsche euch viel Erfolg bei der Wiederherstellung eurer Systeme. Mir war diese Art Angriffsszenario auch noch nicht bekannt, aber wenn man drüber nachdenkt ist das ganz clever. So kann das Hostsystem nicht erkennen, das verdächtige Prozesse (in der VM) laufen und wenn die verschlüsselten Files auf dem Host entdeckt werden, dann ist es schon zu spät.

Ich habe zu dem Trojaner mal ein bisschen recherchiert, und die Analyse hier ist recht aufschlussreich: https://news.sophos.com/en-us/2020/05/2 ... -security/

Ich überlege jetzt hart die Ausführung von Virtualbox-Prozessen bzw. -Binaries bei uns im Netz irgendwie per GPO zu unterbinden.

[Jan.Schmidt]

WIederherstellung der Systeme Du meintest new from scratch - da ist nix mehr außer:
Die Blech AD Server, die haben die "in Ruhe" gelassen, weil Sie den für eine GPO und zur Validierung des Benutzers baeh an den Windowsmaschinen gebraucht haben.

Die GPO startet die Rechner im abgesicherten Modus neu meldet den lokalen admin defau1t an macht Ihr hexenwerk setzt die Registry runonce zurück- und rebotet danach die Kisten nochmal mit baeh.

Im Zweifel zur GPO auch im Bios die Hypervisoren funktionalität abklemmen!!!
Bei Notebooks geht das die waren aber auf unserem Terminalserverbroker.

Alles was Windows war auch Clients und während der Nacht eingeschaltet durch geootet wurde ist betroffen
Und weil wir denen - die echte Windowsprofis sein müssen - zuviele linuxxe hatten, haben die kurz danach einfach unsere Nimble so platt gedrückt, dass HP uns gesagt hat sh1t happens.

Das Veeam Immutable hats überlebt, das dumme ist nur die habe ich erst grade aufgesetzt und außer einem Job lief die noch nicht für alle VMs.
Die Veeam Replicas die auf einer asbachuralten HP MSA gespeichert wurden, hab ich noch - alles andere ist W.E.C.H.

Hätte ich nicht mein Notebook zuhause mit dem OPSI WAN Modul - hätte ich nicht mal ein einziges opsiscript/paket mehr.

@Mathias, danke ich melde mich irgendwann nächste Woche mal - oder du darfst den Key auch gerne als Text zu dem G9 beilegen ist glaub ich einfacher - falls das noch nicht unterwegs wäre.

Im Moment hab ich den Kopf voll ich muß die ganze AD mit ihren Sids dumpen schauen, wer außer baeh vielleicht noch da drin ist - alle GPOs auseinander rupfen usw um dann daraus eine neue Domain zu bauen und dann auf einem 33TB Datenmonster alles so zuordnen, damit ich den Betrieb wenigstens mit einem (von ehemals vielen) Fileservern wieder aufnehmen kann......

Und dann kommt der OPSI dran, denn ohne den kriegt mein Team die Notebooks nicht neu aufgesetzt.


Gruß
Jan

[Jan.Schmidt]

Achtung!

Ein

Code: Alles auswählen

dsquery user "DC=gehacktedomain,DC=de" -limit 8000|dsget user -samid findet den nicht (8000 Objekte haben wir nicht)

Genausowenig wie

Code: Alles auswählen

Get-ADUser -Filter * | Select-Object -Property Name,SID

Oder

Code: Alles auswählen

ldifde -f ExportUser.ldf -s adserverdergehacktendomain -r "(objectclass=user)"

Nur ein

Code: Alles auswählen

net user 
bzw. 
net user baeh

zeigt den überhaupt an!
Baeh kann bei euch pfuibaeh oder blablub sein "unser"Angriff wurde mit baeh gemacht

Passt bitte sehr genau auf - ich hab die beiden oberen Befehle täglich laufen lassen um meine div. 2dos mit Daten zu füllen und war ziemlich geplättet wieso ich das mit dem Benutzer übersehen konnte - ja lag an mir, weil ich die "falschen" Befehle genutzt habe

Später ist mal schlauer oder nach dem Angriff ist vor dem Angriff.

[Jan.Schmidt]

Hi
ich schon wieder...
Und ich hoffe einem hilft das

sucht den Benutzer NICHT mit dsquery user, Get-ADUser oder mit der mmc Ihr werdet den NICHT finden - selbst wenn er vorhanden ist !!!!!!!!!!!

Ausschliesslich net user findet den !!!!
Das bedeutet Ihr müsst mit sowas suchen - compiler zwischen den Ohren keine CPU involviert Tippfehler durchaus möglich

Code: Alles auswählen

dsquery user "DC=domain,DC=de" -limit 8000|dsget user -samid>dsquery.txt
for /f  "skip=1 tokens=1-3 %%a in ('net user') do (
	if not "%%a" == "Der" if not "%%b" == "Befehl" if not "%%c" == "wurde" findstr /i /c:"%%a" dsquery.txt || @echo %%a ist versteckt
	if not "%%a" == "Der" if not "%%b" == "Befehl" if not "%%c" == "wurde" findstr /i /c:"%%b" dsquery.txt || @echo %%b ist versteckt
	if not "%%a" == "Der" if not "%%b" == "Befehl" if not "%%c" == "wurde" findstr /i /c:"%%c" dsquery.txt || @echo %%c ist versteckt
	)	
 

[g.burck]

Wisst Ihr schon, über welchen Angriffsvektor die vorbei gekommen sind?

Grüße

Gregor

[Jan.Schmidt]

Wisst Ihr schon, über welchen Angriffsvektor die vorbei gekommen sind?

Grüße

Gregor

Nein aber die Truppe ist dafür bekannt Citrix (haben wir nicht) und RDP Lücken (Maschinen waren alle gepatcht) sehr gut zu kennen.
RDP von aussen war nicht aktiv, aber über vpn und irgendwas um die 70% der Benutzer war in irgendeiner rdp published app Gruppe drin.

Dann gabs diverse Passwortdiebstähle die erst am Montag (passiert am Freitag) gemeldet wurden.
Das kann / muß \ damit nix zu tun haben.

Die bösen buben haben sich auf unserem RDS Broker (zeigt wieder auf RDP Spezialisten) eingenistet - wie genau? Spuren sind zum grpßen Teil weg, weil Maschinen und die die logs haben alle irgendwie weg sind.

[Jan.Schmidt]

Sucht nach Dateien Ordnern in c:\users\public

sowas in der Art als opsi Paket bauen:

Code: Alles auswählen

[dosinanicon]
rem keine dateien - deutsches System enu ware findstr /c:"0 File"
dir c:\users\public|findstr /c:"0 Datei" || set ragnar=1
rem suche *.ra oder *.rar Datei auch in subdirs
dir /s c:\users\public\*.ra* && set ragnar=1
if "%ragnar%" == "1" echo shit> c:\opsi.org\log\ragnar.check
 

und dann bei einer existierenden c:\opsi.org\log\ragnar.check den opsi Paket error auf fatal stellen.

sorry ich hab keinen opsi mehr - aber daraus kriegt Ihr sicher ein Paket gebaut.

Gruß

[NorbertKoch]

Hallo,

warum so komliziert? Zumindest mit Windows-File-Verwaltung geht es recht einfach:

Microsoft bietet dafür den RessourcenManager an https://www.tech-faq.net/schutz-vor-ransomware/.
Mit Taskplaner und den im Artikel verlinkten Scripts bekommt man auch alle neuen Extensions mit; der Installations- / Wartungsaufwand ist sehr überschaubar, der Nutzen immens.