Este VM-ul meu atacat sau este o automatizare care a mers prost?

georgiosd

15.02.2023, 13:22

Am observat că VM-urile noastre Windows Server 2019, găzduite pe GCP, atingeau adesea 100% utilizarea procesorului, ceea ce a fost ciudat și a început să investigheze. Se pare că există o serie de comenzi PowerShell care rulează în mod repetat și care consumă tot procesorul.

Aceste comenzi par să scaneze pentru obiecte utilizator cu anumite nume, așa că este fie un gardian GCP, fie un fel de vierme/virus. am urmărit aceste instrucțiuni pentru a înregistra totul despre PowerShell, dar nu aruncă multă lumină deoarece nu există un fișier script, comenzile sunt transmise ca argumente către PowerShell și sunt întotdeauna rulate de SISTEM utilizator.

Exemple de comenzi:

CommandInvocation(Export-ModuleMember): „Export-ModuleMember”
ParameterBinding(Export-ModuleMember): name="Function"; value="Unregister-ClusteredScheduledTask"
ParameterBinding(Export-ModuleMember): name="Alias"; valoare="**"


Context:
        Severitate = Informațional
        Nume gazdă = ConsoleHost
        Versiunea gazdă = 5.1.17763.2183
        ID gazdă = f786eeed-384f-4544-9869-0a9e6d414274
        Aplicație gazdă = powershell Get-ScheduledTask | Where-Object { ($_.Principal.userid -cum ar fi „*administrator*”) -și (($_.Principal.LogonType -eq „Parolă”) -sau ($_.Principal.LogonType -eq „InteractiveOrPassword”) ) } | Select-Object TaskName, @{n='Execute'; e={[System.IO.Path]::GetFileName([System.Environment]::ExpandEnvironmentVariables($_.Actions.Execute).Trim(""""))}}, @{n='Argumente'; e={[System.Environment]::ExpandEnvironmentVariables($_.Actions.Arguments)}}

CommandInvocation(Out-Default): „Out-Default”


Context:
        Severitate = Informațional
        Nume gazdă = ConsoleHost
        Versiunea gazdă = 5.1.17763.2183
        ID gazdă = aa27bff6-1e9f-482f-9e6f-bfb8b0a0648a
        Aplicație gazdă = powershell Get-WmiObject Win32_Service | Unde-Obiect {$_.startname -Like '*INSPECTION*'}

Am încercat să scanez VM cu Trend Micro Housecall și MBAM, dar ambele programe nu au găsit amenințări, cu excepția solicitărilor repetate către portul 3389, care probabil sunt încercări de forță brută.

Acesta este un atac? Dacă da, cum îl dezactivez?

0 + 0

firewall

mașini-virtuale

google-cloud-platform

windows-server-2019

Puncte:0

Server

user3192295

15.02.2023, 14:26

seamănă mai mult cu chestii din jurnalul de sistem, ca și cum ceva nu a mers așa cum ar trebui. Poate asta te ajuta pe drumul tau... https://docs.microsoft.com/en-us/powershell/module/scheduledtasks/unregister-clusteredscheduledtask?view=windowsserver2019-ps

0 + 0

georgiosd

17.02.2023, 15:51

Ce te face să spui asta? Un alt exemplu pe care l-am văzut au fost scanările pentru anumite nume de utilizator. Deci asta este fie o apărare a unei infracțiuni.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Is my VM under attack or is this an automation gone wrong?

TH: VM ของฉันถูกโจมตีหรือนี่เป็นการทำงานอัตโนมัติที่ผิดพลาดหรือไม่

RO: Este VM-ul meu atacat sau este o automatizare care a mers prost?

RU: Моя виртуальная машина атакована или это автоматизация пошла не так?

VI: Máy ảo của tôi đang bị tấn công hay đây là lỗi tự động hóa?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.