Что за почтовый ящик HealthMailboxLUTF212?

Question

[VasyaKerch]

Вечером (около 22:00 часов), пока администраторы спали, из под учётной записи с правами администратора домена прямо на единственном сервере Exchange 2016 была создана учётная запись и почтовый ящик HealthMailboxLUTF212, а затем экспортированы в PST. Внутри ящика ничего не оказалось.

При разборе полётов было выяснено, что администратор не работал в этом время, а почтовый ящик сильно выделяется на фоне других системных HealthMailbox (на скринах видно). Я всей своей паранойей подозреваю, что это какая-то неумелая маскировка действий человека, но не понимаю зачем это сделано. Я ошибаюсь или это злоумышленник?

Вот логи из системы аудита:

1. Attribute Modified : User account control
   Old Value : User is Disabled
   New Value : Account enabled
   
   
2. Mailbox created with following details :
   
   Name: HealthMailboxLUTF212
   Alias: HealthMailboxLUTF212
   Mailbox type: User Mailbox
   E-Mail addresses ( proxy addresses ): SMTP : HealthMailboxLUTF212@внутренний_домен
   Storage group: Databases
   Storage database: база_данных
   Organizational unit: внутренний_домен\Users
   
   

Comments

[msartaev]

огненный огонь!
я бы немножко забеспокоился:)
наверное все же стоит ставить сесюрити апдейты

[VasyaKerch]

Вот и наши администраторы сильно озадачены.

[msartaev]

VasyaKerch, тут какбе бежать уже надо)

Answer 1

[Роман Безруков]

Срочно сдавайте анализы:
1. HealthChecker.ps1
2.Test-ProxyLogon.ps1

Дополнительно:
July 2021 Exchange Server Security Updates - более свежих вроде пока нет

Comments

[VasyaKerch]

Спасибо, отправлю в работу.

[Роман Безруков]

VasyaKerch, еще занимательное чтиво - может пригодится...

[Роман Безруков]

VasyaKerch, админские пароли тоже меняйте :)

[VasyaKerch]

Роман Безруков, уже.

[VasyaKerch]

Роман Безруков так что это могло быть? Кто-то перебрал пароль администратора и начал делать гадости под его учётной записью?

[Роман Безруков]

VasyaKerch, мы точно не знаем, что именно у вас сработало, но симптомы похожи на ProxyLogon/HAFNIUM (или его производные).
Технические подробности - например, тут или тут

[VasyaKerch]

Роман Безруков, ясно. Первый тест показал тонну уязвимостей, сейчас идёт установкой обновлений и фиксов. Второй тест на прокси показал, что всё ок.

[Роман Безруков]

VasyaKerch, проверьте еще планировщик задач на Exchange на предмет посторонних сущностей и наличие zip-файлов в ProgramData

[VasyaKerch]

Роман Безруков, Большое спасибо за наводки, нужно поставить CU 20 и 21.

[Дядька Серёжа]

VasyaKerch, касперского поставить надо)
А вообще я бы перезалил сервак, вдруг хулиган закрепился

[VasyaKerch]

Роман Безруков, накатили CU21 на свой CU19. После успешной установки скрипт Health Checker всё ещё выдаёт 4 уязвимости: CVE-2021-31206, CVE-2021-31196, CVE-2021-33768, CVE-2021-1730. Это ошибка скрипта или CU21 прост не закрывает эти дыры?

[Роман Безруков]

VasyaKerch, еще нужен Security Update 1. Билд после этого должен стать 15.1.2308.14

[Роман Безруков]

VasyaKerch, нынче схема такая: ежеквартально (третий четверг последнего месяца каждого квартала) выходит очередной Cumulative Update. В остальные месяцы (тоже по третьим четвергам) - Security Updates для него. Иногда сроки сдвигаются - плюс-минус неделя, они об этом в блоге Exchange Team пишут...

[VasyaKerch]

Роман Безруков, да, вот этот патч докачали, сегодня установим. А что делать с CVE-2021-1730? Написано, что эта уязвимость закрыта очень давно, хотя проверка выдаёт алярм.

[Роман Безруков]

VasyaKerch, а дополнительные настройки, как описано в первоисточнике, сделаны?

[VasyaKerch]

Роман Безруков, Их пока не делали. Вот это был наш случай: https://youtu.be/xr3T1W3by7s . Просмотрели все этапы заражения, всё вычистили и гадость больше не ломает нас. Спасибо большое за советы!