Exchange Server unterschiedliche Patchstände sendet gesendete Mails erneut

Seit letzter Woche gibt es eine neue Exchange Angriffsvariante egal welcher Patchstand und welche Version von 2013 bis 2019. Nach langer Recherche haben wir den Angriffspunkt gefunden, hierbei wird der httpProxy als Eintrittspunkt benutzt.

Folgende Einstellung muss geändert werden damit der Mailserver wieder funktioniert und das senden gestoppt wird:

 

  1. Exchange Management Shell öffnen (wird nicht funktionieren Fehler mit WIN-RM Client)
  2. IIS öffnen -> Server -> Sites -> Default Web Site -> Powershell öffnen
  3. Rechts oben auf „Grundeinstellungen öffnen“
  4. Physische Pfad zeigt momentan auf Frontend und HttpProxy gehöhrt aber standardmäßig auf:
    1. „C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Powershell“
    2. Einstellung anpassen und IISreset durchführen
  5. Exchange Management Shell erneut als Admin Starten

Für die Kontrolle gibt es noch den Exchange Health Checker diesen am besten von GitHub herunterladen https://github.com/dpaulson45/HealthChecker/releases/tag/v3.3.9

 

Ransomeware durch Bewerbung

Aktuell gibt es eine neue/alte Bedrohung durch Mails mit Bewerbungen. Diese hatten wir jetzt bei 3 Kunden und es ist schwer es zu erkennen.

(Bilder der E-Mail die versendet wird folgen noch)

Die Bewerbung selbst ist gut gemacht und das Bild im Anhang ist kein Problem. Problematisch ist die .zip Datei in der die Bewerbung sitzen soll. Sobald die Datei entpackt ist und man die Datei ausführt passiert folgendes:

– Direkt auf dem Profil auf dem Desktop erscheint eine Encrypt_crab.txt (Diese sagt später auch wer die Ransomeware/Malware ausgeführt hat, denn die Datei wir nur bei dem ausführenden Benutzer auf dem Desktop erstellt).

– Es werden von ALLEN Ordnern die Vorgängerversionen und Schattenkopien gelöscht! (Noch bevor bzw. während die Dateien verschlüsselt werden)!

– In jeden Unterordner wird oben genannte Datei gelegt. Explizit werden Daten angegriffen mit allen Endungen von Office/PDF/Bilddokumente/usw.

– Die Funktion des PCs bleibt bestehen. Nachdem auf dem PC alle Dateien unbrauchbar sind geht es weiter mit den Netzlaufwerken und (falls vorhanden) Backups die auf dem Netzlaufwerk liegen. Auch können wir durch einen selbsttest bestätigen, dass die Ransomeware das Netz komplett durchleuchtet.

– Ist das System infiziert und es wird zu spät gemerkt gibt es KEINE Möglichkeit die Daten wiederherzustellen. Eine Entschlüsselung gibt es von den Anbietern noch nicht.

 

Schutz gegen diese Angriffsart:

– Netz unabhängige Backups (z.B. auf Netzlaufwerke die NUR während des Backups zugänglich sind und ohne Domain Authentifizierung)

– Backups auf Wechseldatenträger die nur für das Backup angeschlossen werden

– Aktuellen Virenschutz der Ransomeware beinhaltet (TrendMicro und GData wurden von uns getestet beide haben die Ransomeware erkannt und entfernt)

– Wenn unter einemZip Ordner eine komische Datei liegt NICHT ausführen, falls doch und man sieht eine TXT Datei auf dem Desktop SOFORT Stromstecker ziehen und PC NICHT wieder anschalten!

 

Anmerkung: Rückverfolgung ist nicht möglich das wurde von uns probiert. Die Kommunikation ist verschlüsselt und somit nicht brauchbar.