Proceso malicioso camuflado como "explorer.exe" CPU 100%

[Rugamba]

Muy buenas a todos, os pongo en situación.
Tengo una maquina virtual con un windows server 2012 R2, el caso es que hace un tiempo, me vi el procesador al 100% por lo que todas las conexiones a esa maquina virtual iban lentísimas.
Miro el administrador de tareas y veo que tengo dos procesos "explorer.exe" uno con un uso de CPU normal y otro que consume un 70%.
Intento abrir la ruta y me lleva a la ubicación del explorer "C:\Windows.....", cierro el proceso o le doy a reiniciar y desaparece y el uso de CPU vuelve a sus valores normales. Ahora llevo un par de días que no hay manera de cerrarlo, en cuanto lo cierro se vuelve a abrir... así que me descargo el TaskManagerDeluxe a ver si tengo más info.
Lo bueno es que TaskManagerDeluxe me permite poner un proceso en pausa, así que ahí lo tengo sin consumir recursos.
Lo que me encuentro es que realmente es el explorer pero con "cositas":

He buscado esa conexión que aparece ahí y he encontrado lo siguiente:

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'http://51.79.175.139:8080/'

Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.

hybrid-analysis.com

vps-dc8b0481.vps.ovh.ca DNS information - who.is

vps-dc8b0481.vps.ovh.ca DNS information. DNS records such SOA, TTL, MX, TXT and more.

who.is

Discover Malicious IPs - Cyber Threat Intelligence | Guardicore | 51.79.175.139

The Guardicore Threat Intelligence website supplies unique information on the IP address 51.79.175.139. The data contains information derived from Guardicore Centra.

threatintelligence.guardicore.com

Sigo investigando y probando cositas, pero agradecería un montón todo lo que me podais aportar.

Muchas gracias por adelantado gente.

 

[Armadval]

Huy huy, uno de estos temas que me encantan

Lo mas probable es que tengas ahi un cripto miner. Te doy un par de consejos.

Descargate las herramientas "process monitor" y "process explorer" de sysinternals. Son bastante parecidas a lo que nos enseñas ahi

El process explorer te permitirá ver que conexiones está realizando ese proceso, simplemente lo buscas, doble click sobre el, y en la ventana que aparece verás que una de las pestañas indica "TCP/IP". Lo mas probable es que exista una conexion y esté tirando contra un servidor de mineria de XMR o alguna moneda basada en cryptonight. Si teneis un FW, intenta bloquear esas conexiones, lo mas probable es que intente saltar a otros servidores si tiene configurados, y si lo hace, bloquealos hasta que acabe.

Una vez atajes este problema y tus servidores dejen de arder, habrá que ver que está ejecutando este proceso. Para ello, en la misma ventana del proceso, en la pestaña "image" hay un apartado que pone "parent:". Ese será el proceso que lo ha ejecutado.

Vete pasandonos unas fotillos si puedes y vamos viendo, en su dia tuve que lidiar con uno que se instalaba como driver de sistema y... simplemente espero que no sea lo mismo que te está pasando a ti, porque a mi me tocó los huevos hasta la saciedad. Si se inicia tan rápido es posible que sea un servicio.

 

[Rugamba]

Huy huy, uno de estos temas que me encantan

Lo mas probable es que tengas ahi un cripto miner. Te doy un par de consejos.

Descargate las herramientas "process monitor" y "process explorer" de sysinternals. Son bastante parecidas a lo que nos enseñas ahi

El process explorer te permitirá ver que conexiones está realizando ese proceso, simplemente lo buscas, doble click sobre el, y en la ventana que aparece verás que una de las pestañas indica "TCP/IP". Lo mas probable es que exista una conexion y esté tirando contra un servidor de mineria de XMR o alguna moneda basada en cryptonight. Si teneis un FW, intenta bloquear esas conexiones, lo mas probable es que intente saltar a otros servidores si tiene configurados, y si lo hace, bloquealos hasta que acabe.

Una vez atajes este problema y tus servidores dejen de arder, habrá que ver que está ejecutando este proceso. Para ello, en la misma ventana del proceso, en la pestaña "image" hay un apartado que pone "parent:". Ese será el proceso que lo ha ejecutado.

Vete pasandonos unas fotillos si puedes y vamos viendo, en su dia tuve que lidiar con uno que se instalaba como driver de sistema y... simplemente espero que no sea lo mismo que te está pasando a ti, porque a mi me tocó los huevos hasta la saciedad. Si se inicia tan rápido es posible que sea un servicio.

Muchas gracias, sabía que aparecerías por aquí y me encanta que lo hagas, siempre explicas todo muy bien y sabes un rato de todos estos temas.

Me he encontrado una tarea programada, que ejecutaba un exe (SecurityAPP.exe) que estaba metido en Appdata/roaming/SecurityApp, con el icono de Adobe, como desencadenador tenia puesto al iniciar sesión y repetir al pasar 1s desde el cierre, lo he borrado todo, he matado el proceso y de momento no ha vuelto a arrancar.

El lunes pasé un par de antivirus y antimalware que se suponía ya habían solucionado el problema porque ese proceso dejó de aparecer, pero hoy a vuelto.

Me he bajado los programitas que me comentas, en cuanto vuelva a aparecer (si lo hace) hago lo que me dices y paso fotos.

Este finde también revisaré la maquina real por si acaso.


Cualquier cosa me paso por aquí a comentar lo que vaya encontrando.

 

[Armadval]

En el "appdata" de que usuario estaba? igual eso te puede dar alguna pista

De todas formas, revisa que la maquina no sea accesible desde fuera y esté actualizada, ya que un server 2012 sin actualizar es vulnerable a algunos exploits, de hecho tengo uno por aqui que un "intruso" se dejó por el servidor de un cliente y funciona sorprendentemente bien, pero solo en sistemas sin parchear.

 

[Rugamba]

En el "appdata" de que usuario estaba?

En mi usuario con privilegios de Admin. Mi pc está limpio y no accedo desde otros equipos. En la maquina virtual nunca he entrado a intenet, no acabo de entender de donde proviene...

De todas formas, revisa que la maquina no sea accesible desde fuera

A que te refieres? Lo digo porque SI es accesible desde fuera, es decir, yo desde casa me puedo conectar a través de la IP publica y un puerto que me redirecciona.
Ahora que tenemos montada una VPN lo podría hacer con la ip local, pero va lentísimo, ya que la VPN va contra otro centro de trabajo que está a 200km, por lo que desde casa pierdo bastante potencia, por ejemplo tengo configurado el archivo de thunderbird en un NAS y thunderbird acaba petando de lo que le cuesta acceder....

 

[Armadval]

A que te refieres? Lo digo porque SI es accesible desde fuera, es decir, yo desde casa me puedo conectar a través de la IP publica y un puerto que me redirecciona.

Desde hace 5 años, nosotros bloqueamos absolutamente el acceso a todos los servidores desde internet por la cantidad de criptovirus y mierdas que vienen de internet, solo dejamos abierto lo estrictamente necesario y aplicando reglas en los firewall para permitir el tráfico únicamente desde determinadas IPs o desde determinadas localizaciones geográficas (por ejemplo, solo desde españa). Entiendo que teneis un firewall, aunque no todos tienen capacidad de bloquear tráfico geográficamente, pero si solo accedes tu a esta máquina, haz una regla que solo permita el tráfico desde la ip de tu casa.

Puedes comprobar si te están atacando ese equipo desde el visor de eventos (eventvwr.msc). En la pestaña de seguridad, deberia estar practicamente limpia. Si ves un monton de eventos que indiquen "error de auditoria" lo mas probable es que alguien aleatoriamente esté intentando acceder al sistema desde fuera. Que ya hayan accedido no quiere decir que dejen de intentarlo, normalmente cuando te ataca 1 suelen venir varios detrás.

Si es una máquina en dominio, asegurate de que no existan otros usuarios con permisos para acceder remotamente a ella, o usuarios administradores antiguos que puedan haber quedado deshabilitados, o usuarios locales que se crean por defecto. Si existen, cambiales la clave, o deshabilitalos si tienes claro de que nunca los vas a necesitar, aunque yo dejaría alguno por si acaso algún dia tienes algun problema con las relaciones de confianza entre servidores

 

[Rugamba]

Puedes comprobar si te están atacando ese equipo desde el visor de eventos (eventvwr.msc). En la pestaña de seguridad, deberia estar practicamente limpia. Si ves un monton de eventos que indiquen "error de auditoria" lo mas probable es que alguien aleatoriamente esté intentando acceder al sistema desde fuera. Que ya hayan accedido no quiere decir que dejen de intentarlo, normalmente cuando te ataca 1 suelen venir varios detrás.

Pues esto ya lo vi hace unos días porque a un usuario se le bloqueaba la cuenta continuamente, le cambié las credenciales y dejó de pasar.
Hay cientos de errores de auditoria por minuto con hora 14:33:XX hay 120 errores....Estamos a la espera de montar un FW fisico....la mayoria de estos fallos de auditoria tienen nombres de usuario rusos, italianos, franceses, intentan acceder como Administrator (en lugar de Administrador)....No tengo ni idea de como podría evitar esto, bueno si, tal y como dices configurando el FW y capar por MAC o por IP o zona geografica...

 

[Rugamba]

he vuelto a pasar un antivirus y vuelvo a tener cosas en appdata...

 

[Armadval]

Yo si fuera tu bloqueaba el rdp cuanto antes.

Hay un software que se llama "softether VPN", que puedes instalar en algún equipo de tu empresa y puedes crear una VPN directa contra la red de tu empresa (o en ese servidor). Es bastante más seguro que tener el rdp abierto a lo loco. Tendrás que redirigir uno de los puertos que te sugiere por defecto, pero creo que es mejor que bloquees eso antes de que alguien te meta un cripto.

Si aún después de bloquear el rdp te sigue apareciendo el virus, habrá que buscar bien de dónde sale.