TL; DR
Я почти уверен, что наша маленькая сеть заражена каким-то червем / вирусом. Однако, похоже, это поражает только наши машины с Windows XP. Машины с Windows 7 и компьютеры с Linux (ну да), похоже, не пострадали. Антивирусное сканирование ничего не показывает, но наш сервер домена зарегистрировал тысячи неудачных попыток входа в систему для различных действительных и недействительных учетных записей пользователей, особенно администратора. Как я могу остановить распространение этого неопознанного червя?
Симптомы
Некоторые из наших пользователей Windows XP сообщали об аналогичных, хотя и не полностью идентичных, проблемах. Все они подвергаются случайным отключениям / перезапускам, инициированным программным обеспечением. На одном из компьютеров появляется диалоговое окно с обратным отсчетом до перезапуска системы, очевидно, запущенное NT-AUTHORITY \ SYSTEM и имеющее отношение к вызову RPC. В частности, это диалоговое окно точно такое же, как и те, что описаны в статьях, подробно описывающих старые черви-эксплойты RPC.
Когда два компьютера перезагружались, они возвращались к приглашению входа в систему (это компьютеры домена), но указанное имя пользователя было «admin», хотя они не вошли в систему как admin.
На нашей машине с Windows Server 2003, на которой запущен домен, я заметил несколько тысяч попыток входа в систему из разных источников. Они перепробовали все разные имена для входа, включая администратора, администратора, пользователя, сервера, владельца и других.
В некоторых журналах указаны IP-адреса, в некоторых - нет. Из тех, у которых был исходный IP-адрес (для неудачных попыток входа в систему), два соответствуют двум машинам с Windows XP, на которых произошла перезагрузка. Буквально вчера я заметил несколько неудачных попыток входа в систему с внешнего IP-адреса. Трассировка показала, что внешний IP-адрес принадлежит канадскому интернет-провайдеру. У нас никогда не должно быть соединений оттуда (хотя у нас есть пользователи VPN). Поэтому я до сих пор не уверен, что происходит с попытками входа в систему с чужого IP-адреса.
Кажется очевидным, что на этих компьютерах присутствует какая-то вредоносная программа, и частично она пытается перечислить пароли к учетным записям домена для получения доступа.
Что я сделал до сих пор
Осознав, что происходит, я первым делом убедился, что у всех установлена последняя версия антивируса, и провел сканирование. Из затронутых компьютеров на одном из них был просрочен антивирусный клиент, но два других были текущими версиями Norton, и полное сканирование обеих систем ничего не дало.
Сам сервер регулярно запускает антивирус в последней версии, заражений не обнаружил.
Итак, 3/4 компьютеров под управлением Windows NT имеют новейший антивирус, но он ничего не обнаружил. Однако я убежден, что что-то происходит, о чем свидетельствуют тысячи неудачных попыток входа в систему для различных учетных записей.
Я также заметил, что корень нашего основного файлового ресурса имеет довольно открытые разрешения, поэтому я просто ограничил его чтением и выполнением для обычных пользователей. Конечно, у администратора есть полный доступ. Я также собираюсь попросить пользователей обновить свои пароли (на надежные), и я собираюсь переименовать в Administrator на сервере и изменить его пароль.
Я уже отключил машины от сети, одна заменяется новой, но я знаю, что эти вещи могут распространяться по сети, поэтому мне все еще нужно разобраться в этом.
Кроме того, на сервере настроен NAT / брандмауэр, и открыты только определенные порты. Мне еще предстоит полностью изучить некоторые службы, связанные с Windows, с открытыми портами, так как я из Linux.
Что теперь?
Так что весь современный антивирус ничего не обнаружил, но я абсолютно уверен, что на этих компьютерах есть какой-то вирус. Я основываю это на случайных перезапусках / нестабильности машин XP в сочетании с тысячами попыток входа в систему, исходящих с этих машин.
Я планирую создать резервную копию пользовательских файлов на пораженных машинах, а затем переустановить Windows и заново отформатировать диски. Я также принимаю некоторые меры для защиты общих файловых ресурсов, которые могли использоваться для распространения на другие машины.
Зная все это, что я могу сделать, чтобы этого червя не было где-то еще в сети, и как я могу остановить его распространение?
Я знаю, что это затянувшийся вопрос, но я не в своих силах здесь и мог бы использовать некоторые указатели.
Спасибо, что посмотрели!
Это мои общие предложения для такого рода процесса. Я ценю, что вы уже рассмотрели некоторые из них, но лучше сказать что-то дважды, чем пропустить что-то важное. Эти примечания ориентированы на вредоносные программы, которые распространяются в локальной сети, но их можно легко уменьшить, чтобы справиться с более незначительными заражениями.
Убедитесь, что у вас есть актуальная резервная копия каждой системы и каждого бита данных в этой сети, о которых заботится бизнес. Обязательно обратите внимание на то, что этот носитель для восстановления может быть скомпрометирован, чтобы люди не пытались восстановить с него через 3 месяца, пока вы повернулись спиной, и снова заразили сеть. Если у вас есть резервная копия, сделанная до заражения, тоже отложите ее в сторону.
Выключите действующую сеть, если возможно (вам, вероятно, потребуется сделать это, по крайней мере, в процессе очистки). По крайней мере, серьезно подумайте о том, чтобы эта сеть, включая серверы, была отключена от Интернета, пока вы не узнаете, что происходит - что, если этот червь ворует информацию?
Не забегайте вперед. Заманчиво просто сказать на данном этапе «чистая сборка всего», заставить всех менять пароли и т. Д. И назвать это «достаточно хорошо». Хотя вам, вероятно, рано или поздно придется это сделать, это может оставить вас с очагами инфекции, если вы не понимаете, что происходит в вашей локальной сети. (Если вы не хотите дальше исследовать инфекцию, перейдите к шагу 6.)
Скопируйте зараженную машину в какую-то виртуальную среду, изолировать эту виртуальную среду от всего остального, включая хост-машину, перед загрузкой скомпрометированного гостя.
Создайте еще пару чистых виртуальных гостевых машин для заражения, затем изолируйте эту сеть и используйте такие инструменты, как WireShark для мониторинга сетевого трафика (время воспользоваться этим фоном Linux и создать другой гость в этой виртуальной локальной сети, который может наблюдать за всем этим трафиком, не будучи зараженным никакими Windows-червями!) и Монитор процесса для отслеживания изменений, происходящих на всех этих машинах. Также учтите, что проблема может быть хорошо скрытой. руткит - попробуйте использовать надежный инструмент для их поиска, но помните, что это довольно сложная задача, поэтому поиск ничего не означает, что там ничего нет.
(Предполагая, что вы не отключили / не можете выключить основную локальную сеть) Используйте wirehark в основной локальной сети для просмотра трафика, отправляемого на / с зараженных машин. Рассматривайте любой необъяснимый трафик с любого компьютера как потенциально подозрительный - отсутствие видимых симптомов не свидетельствует об отсутствии какого-либо компромисса. Вам следует особенно беспокоиться о серверах и любых рабочих станциях, на которых хранится важная для бизнеса информация.
После того, как вы изолировали все зараженные процессы на виртуальных гостях, вы сможете: отправьте образец в компанию, которая разработала антивирусное программное обеспечение, которое вы используете на этих машинах. Они будут стремиться изучить образцы и внести исправления для любых новых вредоносных программ, которые они увидят. Фактически, если вы еще этого не сделали, вам следует связаться с ними и рассказать о своих горестях, поскольку они могут чем-то помочь.
Очень постарайтесь выяснить, каким был исходный вектор заражения. - этот червь может быть эксплойтом, который был спрятан внутри взломанного веб-сайта, который кто-то посетил, он мог быть принесен из дома на карту памяти или получен по электронной почте, и это лишь несколько способов. Взломал ли эксплойт эти машины через пользователя с правами администратора? В таком случае не давайте пользователям права администратора в будущем. Вам нужно попытаться убедиться, что источник заражения исправлен, и вам нужно увидеть, есть ли какие-либо процедурные изменения, которые вы можете внести, чтобы усложнить этот путь заражения для эксплойтов в будущем.
Некоторые из этих шагов могут показаться излишними. Черт возьми, наверное, некоторые из них являются чрезмерно, особенно если вы определили, что на самом деле скомпрометированы только несколько машин, но они должны гарантировать, что ваша сеть настолько чиста, насколько это возможно. Боссам тоже не понравятся некоторые из этих шагов, но с этим ничего не поделаешь.
Выключите все машины в сети. Все рабочие места. Все сервера. Все. Да, даже ноутбук сына-подростка босса, который сын использует, чтобы проникнуть в сеть, ожидая, пока папа закончит работу, чтобы сын мог поиграть »сомнительный-javascript-exploit-Ville'на каком бы то ни было сайте du-jour в социальных сетях. Фактически, думая об этом, выключите эту машину особенно. С кирпичом, если это нужно.
Запустите каждый сервер по очереди. Примените любое исправление, которое вы обнаружили для себя или предоставили AV-компанией. Проверяйте пользователей и группы на предмет любых необъяснимых учетных записей (как локальных учетных записей, так и учетных записей AD), проверяйте установленное программное обеспечение на предмет непредвиденных обстоятельств и используйте wirehark в другой системе для отслеживания трафика, поступающего с этого сервера (если вы обнаружите любой проблемы на этом этапе, тогда серьезно подумайте о восстановлении этого сервера). Выключите каждую систему перед запуском следующей, чтобы скомпрометированная машина не могла атаковать другие. Или отключите их от сети, чтобы вы могли сделать несколько одновременно, но они не могут разговаривать друг с другом, все хорошо.
Как только вы убедитесь, что все ваши серверы чистые, запустите их и, используя wirehark, монитор процессов и т. Д., Снова проследите за ними на предмет странного поведения.
Сбросить каждый пароль пользователя. И, если возможно, пароли сервисных аккаунтов. Да, я знаю, что это боль. В этот момент мы собираемся выйти на территорию, "возможно, чрезмерную". Ваш звонок.
Восстановите все рабочие станции. Делайте это по очереди, чтобы возможно зараженные машины не сидели без дела в локальной сети, атакуя только что восстановленные. Да, это займет некоторое время, извините за это.
Если это невозможно, то:
Выполните описанные выше шаги для серверов на всех «надеюсь чистых» рабочих станциях.
Восстановите все те, которые показали любой намек на подозрительную активность, и делайте это, пока все «надеюсь чистые» машины выключены.
Если вы еще не рассмотрели централизованный AV, который будет сообщать о проблемах обратно на сервер, где вы можете наблюдать за проблемами, централизованная регистрация событий, мониторинг сети и т. Д. Очевидно, выберите и выберите, что из этого подходит для потребностей и бюджета этой сети, но здесь явно проблема, не так ли?
Проверьте права пользователей и установки программного обеспечения на этих машинах и настройте периодический аудит, чтобы убедиться, что все по-прежнему так, как вы ожидаете. Также убедитесь, что пользователей поощряют сообщать о вещах как можно скорее, не стоная, поощряйте бизнес-культуру исправления ИТ-проблем, а не стрельбы из мессенджера и т.
Вы сделали все, что сделал бы я (если бы я все еще был администратором Windows) - канонические шаги (или были, в прошлый раз, когда я работал с Windows):
Обратите внимание, что всегда есть вероятность, что вирус / червь / что-то скрывается в электронной почте (на вашем почтовом сервере) или внутри макроса в документе Word / Excel - если проблема вернется, вам, возможно, придется более агрессивно чистить в следующий раз.
Первый урок, который следует извлечь из этого, заключается в том, что решения AV не идеальны. Даже не близко.
Если вы в курсе последних новостей о поставщиках программного обеспечения AV, позвоните им. У всех есть номера поддержки именно для этого. На самом деле они, вероятно, будут очень заинтересованы в том, что вас поразило.
Как говорили другие, снимите каждую машину, протрите ее и переустановите. В любом случае вы можете воспользоваться этой возможностью, чтобы избавить всех от XP. Долгое время это была мертвая ОС. По крайней мере, это должно включать в себя уничтожение разделов HD и их переформатирование. Хотя похоже, что задействовано не так много машин, поэтому покупка полностью новых замен может быть лучшим вариантом.
Кроме того, сообщите своему начальнику, что это стало дорого.
Наконец, зачем вам все это запускать с одного сервера? (Риторически, я знаю, что вы "унаследовали" его) DC НИКОГДА не должен быть доступен из Интернета. Исправьте это, установив соответствующее оборудование, которое позаботится о необходимой вам функциональности.
Скорее всего, это руткит, если ваши аудио / видео программы ничего не показывают. Попробуйте бежать TDSSkiller и посмотрите, что вы найдете. Кроме того, сейчас самое время просто заменить устаревшие компьютеры с Windows XP на что-то менее десятилетней давности. Помимо программного обеспечения, такого как антивирусные программы, я очень мало встречал программ, которые нельзя было заставить работать с помощью прокладки или ослабления некоторых разрешений NTFS / реестра в Windows 7. На самом деле мало оправданий для продолжения. для запуска XP.