GETOVERX FORUM Community Support
ProxyShellMiner – Cryptominer/Loader – 2023 - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Cryptojackers (https://forum.getoverx.com/forumdisplay.php?fid=27)
+--- Thread: ProxyShellMiner – Cryptominer/Loader – 2023 (/showthread.php?tid=82)

ProxyShellMiner – Cryptominer/Loader – 2023 - mrwebfeeder - 11-29-2025

Nombre:
ProxyShellMiner

Categoría:
Cryptominer (Monero/XMR) / Loader (post-explotación en servidores)

Fecha de descubrimiento:
Febrero 2023 (campaña observada públicamente)

Comportamiento (lo que hace y archivos que infecta):
- ProxyShellMiner es una campaña/malware orientado a comprometer Microsoft Exchange on-prem explotando la cadena conocida como ProxyShell para obtener ejecución remota.
- Vía de entrada:
- Explotación de vulnerabilidades ProxyShell en servidores Exchange expuestos o sin parches (típicamente sobre HTTPS/443).
- Acciones posteriores:
- Uso de PowerShell (frecuentemente ofuscado) para descargar y ejecutar componentes adicionales (scripts/binaries).
- Instalación/ejecución de mineros de criptomonedas (Monero/XMR) y, en algunos casos, componentes de “backdoor” o webshell para mantener acceso.
- Consumo anómalo y sostenido de CPU/RAM en el servidor comprometido.
- Puede dejar artefactos en rutas temporales o de sistema (scripts, EXE/DLL) y crear tareas/procesos para relanzar el minero si se detiene.

Persistencia:
- Persistencia típica observada en campañas de cryptomining post-explotación:
- Tareas programadas para ejecución recurrente o al inicio.
- Claves Run/RunOnce (cuando aplica) para relanzar loaders.
- Servicios o “watchdogs” simples que monitorean y reinician el minero.
- En escenarios Exchange, es común el uso de webshells (ASPX) o archivos “drop” para retomar control si se pierde la sesión.
- En algunas intrusiones se ha reportado abuso de recursos compartidos internos (por ejemplo, rutas accesibles por la organización) para facilitar ejecución repetida.

Hash real de referencia (SHA-256):
Code:
91d2bf94a96f1b02014fbf57c6c2f01d4fbf7a9620f8daebbc846a7f99fc3f16

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan del servidor para identificar:
    - Payloads de minado (binaries tipo miner) y scripts descargados.
    - Herramientas auxiliares (droppers, loaders) dejadas en rutas temporales o de sistema.
    - Poner en cuarentena el ejecutable principal y cualquier “watchdog”/relanzador asociado.
    - Repetir el escaneo tras limpieza para confirmar que no reaparecen artefactos (señal de persistencia activa).

  • Firewall:
    - Restringir acceso a Exchange únicamente a orígenes autorizados (IP/VPN/segmentos definidos) y bloquear intentos no autorizados al frontend web.
    - Bloquear egress sospechoso:
    - Conexiones salientes no justificadas desde el servidor Exchange hacia Internet.
    - Tráfico a destinos no autorizados (muy útil para cortar comunicación con infraestructura de minado/C2).
    - Si se confirma compromiso, aislar el host temporalmente mientras se erradica la persistencia.

  • HIPS/EDR:
    - Activar detecciones de comportamiento centradas en Exchange:
    - CPU anómalo sostenido (picos prolongados) en procesos no esperados.
    - PowerShell con indicios de descarga/ejecución remota (IEX/EncodedCommand/ofuscación), y cadenas: IIS/Exchange → cmd.exe → powershell.exe.
    - Creación de tareas programadas o servicios nuevos sin cambio aprobado.
    - Escritura de archivos inusuales en rutas web de Exchange/IIS (posibles webshells ASPX).
    - Respuesta recomendada:
    - Kill process del miner/loader.
    - Bloqueo por hash del binario identificado.
    - Registrar evidencia (árbol de procesos + artefactos creados) para hunting interno y validación de erradicación.

  • Sandbox:
    - Usar Sandbox para analizar de forma aislada:
    - Scripts/archivos descargados encontrados durante la respuesta (dropper, PS1, EXE sospechosos).
    - Adjuntos/instaladores no confiables si el incidente se originó por ejecución manual adicional.
    - Objetivo: confirmar si el artefacto intenta descargar payloads, crear tareas/servicios, o iniciar minado.

  • Medidas posteriores al incidente:
    - Aplicar parches de Exchange que corrigen ProxyShell y validar el nivel de CU/SU correspondiente.
    - Rotar credenciales administrativas y revisar accesos privilegiados, especialmente si hubo ejecución remota.
    - Revisar persistencia:
    - Tareas programadas, servicios, rutas temporales, y directorios web de Exchange/IIS.
    - Auditoría de integridad:
    - Verificar archivos de configuración críticos, y revisar logs de IIS/Exchange para detectar el vector y la ventana temporal del compromiso.

Notas opcionales:
- ProxyShellMiner suele encajar en intrusiones “rápidas” orientadas a monetización (minado), pero la explotación de Exchange también puede habilitar cargas más severas si el atacante decide pivotar o desplegar otros payloads.