Вопрос: Вирус, который пытается принудительно атаковать пользователей Active Directory (в алфавитном порядке)?


Пользователи начали жаловаться на медленную скорость сети, поэтому я активировал Wireshark. Проделали некоторые проверки и обнаружили, что многие ПК отправляют пакеты, похожие на следующие: (Скриншот) http://imgur.com/45VlI.png 

Я размыл текст для имени пользователя, имени компьютера и имени домена (так как он соответствует доменному имени интернета). Компьютеры рассылают серверы Active Directory, пытаясь взломать взломанные пароли. Он начнется с администратора и спустит список пользователей в алфавитном порядке. Физический доступ к ПК не находит нигде рядом с ним, и это поведение распространяется по сети, поэтому он кажется вирусом какого-то рода. Сканирование компьютеров, которые были обнаружены при рассылке сервера с помощью Malwarebytes, Super Antispyware и BitDefender (это антивирус, который имеет клиент), не дает никаких результатов.

Это корпоративная сеть с примерно 2500 ПК, поэтому перестроение не является благоприятным вариантом. Мой следующий шаг - связаться с BitDefender, чтобы узнать, какую помощь они могут предоставить.
Кто-нибудь видел что-то подобное или имел какие-то идеи, что это могло быть?


7
2018-03-17 22:48


Источник


Может быть что-то вроде того, что Google и все были поражены. Американские компании за последние месяцы и год атаковали кого-то, кто мог написать свои собственные эксплойты, и кто знает, как поднять с обычного пользователя, не являющегося администратором, до администратора домена. Сделайте поиск некоторых технических историй, связанных с недавними атаками на Google и другие. - Alex Holst
Алекс, это не соответствует модели атаки APT. Атаки APT очень точны, конкретны и низки. Как было обнаружено это нападение? Потому что это создало большой успех в производительности сети - достаточно, чтобы кто-то заглянул в нее - определенно не APT; если, возможно, это финт, скрыть настоящий вектор атаки. - Josh Brower


Ответы:


Извините, я понятия не имею, что это такое, однако у вас есть более важные проблемы прямо сейчас.

Сколько машин это делает? Вы отключили их от сети? (И если нет, то почему?)

Можете ли вы найти доказательства того, что любые учетные записи домена подвергаются риску (особенно учетные записи администратора домена)

Я понимаю, что вы не хотите снова создавать свои рабочие столы, но если вы этого не сделаете, вы не можете быть уверены, что будете чистить машины.

Первые шаги:

  • Убедитесь, что в вашем домене включены сложные пароли
  • установите политику блокировки - это вызовет проблемы, если у вас все еще есть сканирующие машины, но это лучше, чем больше скомпрометированных учетных записей
  • Изолировать известную плохую машину, она пытается поговорить с внешним миром? Вам нужно заблокировать это через свою сеть на своем шлюзе
  • Попытайтесь изолировать все известные плохие машины.
  • Монитор для большего количества сканирующих машин.
  • сила все ваши пользователи, чтобы изменить свой пароль, проверьте все ваши учетные записи службы.
  • Отключите все аккаунты, которые больше не используются.
  • Проверьте членство в группах на серверах и контроллерах домена (Администраторы домена, Администраторы и т. Д.).

Затем вам нужно выполнить некоторые криминалистики на ваших известных плохих машинах, чтобы попытаться выяснить, что произошло. Как только вы это знаете, у вас будет больше шансов узнать, в чем заключается масштаб этой атаки. Используйте средство обнаружения корневого набора, возможно, даже изображение жесткого диска, прежде чем уничтожить любые доказательства. Linux Live CD с поддержкой NTFS может быть очень полезен здесь, так как они должны позволить вам найти то, что может скрыть корневой набор.

Что нужно учитывать:

  • У вас есть стандартный локальный администратор (слабый) пароль на всех рабочих станциях?
  • У ваших пользователей есть права администратора?
  • Все ли администраторы домена используют отдельные учетные записи для деятельности DA? Рассмотрите возможность установки ограничений для этих учетных записей (например, рабочих станций, на которые вы можете войти в систему).
  • Вы не сообщаете о своей сети. Есть ли у вас какие-либо публичные услуги?

Изменить: Попытка дать больше информации сложна, так как она действительно зависит от того, что вы находите, но несколько лет назад вы были в аналогичной ситуации, вам действительно нужно не доверять всему, особенно машинам и учетным записям, которые, как вы знаете, подвержены риску.


4
2018-03-17 23:12



У нас есть хорошие пароли и политики. Внешний доступ уже очень ограничен (http только через прокси, большинство заблокированных портов и т. Д.) - не проблема. Невозможно заставить всех пользователей изменять пароли, но все пользователи admin выполнимы. См. Мой комментарий Джошу ниже для подробностей о судебной экспертизе. Ни один пользователь, кроме необходимого, не имеет прав администратора. Никаких публично открытых сервисов, кроме веб-трафика, в DMZ, но эти машины не были затронуты - пока только настольные компьютеры. - Nate Pinchot
Также стоит отметить, что, хотя я и говорил, что восстановление не благоприятно, я в основном получаю данные на данный момент, чтобы я мог защитить изображение, которое мы используем, чтобы перестроить, так как там, очевидно, есть дыра. Если я найду более полезные данные, чем «Worm.Generic», я отправлю его в ответ. Отмечая это как ответ, так как это действительно путь. - Nate Pinchot
Вам нужно определить вектор, который этот код был введен в вашу сеть. Это не всегда из Интернета, исполняемый на USB-ключи и личное хранилище. если вы не найдете вектор, то он, скорее всего, вернется. - The Unix Janitor
@Nate. Извините, что перетащил этот старый поток, но почему вы не смогли заставить всех пользователей менять пароли? Мы сделали это для пользователей 25 тыс. Без особых усилий, включая удаленных пользователей. Я надеюсь, что все пошло хорошо для вас? - Bryan
Сеть предназначена для школьной системы, в которой учатся около 5 тыс. Учащихся и много учителей, не имеющих компьютера, и школьного персонала. Это создало бы довольно много головной боли, чтобы потребовать от всех пользователей изменить свой пароль при следующем входе в систему. Все прошло хорошо. Мы изменили все административные пароли, восстановили серверы из резервной копии по мере необходимости и повторно отобразили все ПК. - Nate Pinchot


Это может быть что угодно: L0phtCrack в THC-Hydra или даже приложение с настраиваемым кодом, хотя ваше AV-решение должно было найти известные приложения.

На этом этапе вам необходимо идентифицировать все зараженные системы, помещать их в карантин (vlan и т. Д.), А также содержать и уничтожать вредоносное ПО.

Вы связались с вашим I.T. Группа безопасности еще?

Наконец, я понимаю, что вы не хотите перестраивать, но на данный момент (с небольшими данными, которые вы дали), я бы сказал, что риск оправдывает восстановление.

-Josh


2
2018-03-17 23:15



Спасибо за ссылки. Нам, вероятно, придется перестраивать, у нас есть образы. Но что еще более важно, мы не хотим перестраивать и повторять одно и то же, поэтому нам нужно выяснить, что это такое, чтобы мы могли защитить изображения от него, а затем перестраивать. Используя GMER, я смог определить, что руткит был на месте, и отключил службы, которые он установил. Когда я перезагрузился, BitDefender обнаружил его как Worm.Generic.42619 (поиск в Google для этого не помогает - и не ищет его в своем вирусе db). Поэтому ждут, когда они дадут мне больше информации. - Nate Pinchot
Нейт. На самом деле, Worm.Generic.42619 приводит меня сюда (goo.gl/RDBj), что приводит меня сюда (goo.gl/n6aH), который, если вы посмотрите на первый хит (goo.gl/Le8u), он имеет некоторое сходство с вредоносным ПО, которое в настоящее время заражает вашу сеть .... - Josh Brower
«мы не хотим перестраивать и повторять одно и то же, поэтому нам нужно выяснить, что это такое» гарантирует +1 - Maximus Minimus
Похоже, это так, спасибо за это. - Nate Pinchot


Попробуйте запустить другую программу захвата, чтобы убедиться, что результаты подтверждают, что видит Wireshark. У Wireshark были проблемы с прошлым расширением трафика Kerberos. Убедитесь, что вы видите не красную селедку.

Вы видите какие-то другие «аномалии» в захвате?


0
2018-03-18 02:07



Определенно, не красная сельдь, не обнаружили вируса - комментарии к ответу Джоша Брауэра имеют детали. - Nate Pinchot