Назад | Перейти на главную страницу

Вирус, который пытается атаковать пользователей Active Directory (в алфавитном порядке)?

Пользователи начали жаловаться на медленную скорость сети, поэтому я запустил Wireshark. Проверил и обнаружил много компьютеров, отправляющих пакеты, похожие на следующие (снимок экрана):

Я размыл текст для имени пользователя, имени компьютера и имени домена (так как он соответствует имени домена в Интернете). Компьютеры рассылают спам на серверы Active Directory, пытаясь взломать пароли методом перебора. Он начнется с администратора и будет идти вниз по списку пользователей в алфавитном порядке. При физическом обращении к ПК никого поблизости нет, и это поведение распространяется по сети, поэтому кажется, что это какой-то вирус. Сканирование компьютеров, которые были пойманы на рассылке спама на сервере с помощью Malwarebytes, Super Antispyware и BitDefender (это антивирус, установленный у клиента), не дает результатов.

Это корпоративная сеть, насчитывающая около 2500 ПК, поэтому восстановление - не лучший вариант. Мой следующий шаг - связаться с BitDefender, чтобы узнать, какую помощь они могут оказать.
Кто-нибудь видел что-нибудь подобное или имел какие-либо идеи, что это могло быть?

Извините, я понятия не имею, что это такое, но у вас сейчас есть более важные проблемы.

Сколько машин это делают? Вы отключили их все от сети? (И если нет, то почему?)

Можете ли вы найти доказательства взлома учетных записей домена (особенно учетных записей администратора домена)

Я понимаю, что вы не хотите снова создавать свои рабочие столы, но если вы этого не сделаете, вы не можете быть уверены, что очистите машины.

Первые шаги:

  • Убедитесь, что в вашем домене включены сложные пароли
  • установить политику блокировки - это вызовет проблемы, если у вас все еще есть сканирующие машины, но это лучше, чем компрометация большего количества учетных записей
  • Изолировать заведомо плохую машину, пытается ли она разговаривать с внешним миром? Вам необходимо заблокировать это в своей сети на своем шлюзе.
  • Попытка изолировать все известные неисправные машины.
  • Следите за другими сканирующими машинами.
  • Сила все ваши пользователи, чтобы изменить свой пароль, проверьте все свои учетные записи служб.
  • Отключите все аккаунты, которые больше не используются.
  • Проверьте свое членство в группах на серверах и контроллерах домена (администраторы домена, администраторы и т. Д.)

Затем вам нужно провести криминалистическую экспертизу на известных вам неисправных машинах, чтобы попытаться отследить, что произошло. Как только вы это узнаете, у вас будет больше шансов узнать масштаб этой атаки. Используйте средство обнаружения корневого комплекта, возможно, даже создайте образ жесткого диска, прежде чем уничтожать какие-либо улики. Здесь могут быть очень полезны Linux Live CD с поддержкой NTFS, так как они должны позволить вам найти, что может скрываться за корневым комплектом.

Что следует учитывать:

  • У вас есть стандартный пароль локального администратора (слабый) на всех рабочих станциях?
  • Есть ли у ваших пользователей права администратора?
  • Все ли администраторы домена используют отдельные учетные записи для действий DA? Рассмотрите возможность установки ограничений для этих учетных записей (например, рабочих станций, на которые вы можете войти).
  • Вы не даете никакой информации о своей сети. Есть ли у вас какие-либо публичные услуги?

Изменить: попытаться предоставить больше информации сложно, так как это действительно зависит от того, что вы найдете, но, оказавшись в подобной ситуации несколько лет назад, вам действительно нужно не доверять всему, особенно машинам и учетным записям, которые, как вы знаете, были скомпрометированы.

Это может быть что угодно из L0phtCrack к THC-Hydra или даже приложение с настраиваемым кодом, хотя ваше антивирусное решение должно было включать в себя хорошо известные приложения.

На этом этапе вам необходимо определить все зараженные системы, поместить их в карантин (vlan и т. Д.), А также локализовать и уничтожить вредоносное ПО.

Вы связались со своим I.T. Команда безопасности еще?

Наконец, я понимаю, что вы не хотите перестраивать, но на данном этапе (с учетом предоставленных вами небольших данных) я бы сказал, что риск требует перестройки.

-Джош

Попробуйте запустить другую программу захвата, чтобы убедиться, что результаты подтверждают то, что видит Wireshark. В прошлом у Wireshark были проблемы с декодированием трафика Kerberos. Убедитесь, что то, что вы видите, не отвлекает.

Видите ли вы еще какие-нибудь «аномалии» в захвате?