Вирус, который пытается грубо атаковать пользователей Active Directory (в алфавитном порядке)?

8

Пользователи начали жаловаться на медленную скорость сети, поэтому я запустил Wireshark. Сделал некоторую проверку и обнаружил, что многие ПК отправляют пакеты, подобные следующим (скриншот):

http://imgur.com/45VlI.png

Я размыл текст для имени пользователя, имени компьютера и имени домена (так как оно соответствует имени интернет-домена). Компьютеры спамят серверы Active Directory, пытаясь взломать пароли. Он начнется с администратора и пойдет вниз по списку пользователей в алфавитном порядке. Физическое посещение ПК не находит никого рядом с ним, и это поведение распространяется по сети, поэтому он выглядит как какой-то вирус. Сканирование компьютеров, которые были уличены в спаме на сервере с помощью Malwarebytes, Super Antispyware и BitDefender (это антивирус, который есть у клиента), не дает результатов.

Это корпоративная сеть с около 2500 ПК, поэтому восстановление не является благоприятным вариантом. Мой следующий шаг - связаться с BitDefender, чтобы узнать, какую помощь они могут оказать.
Кто-нибудь видел что-то подобное или есть идеи, что это может быть?

security active-directory kerberos malware brute-force-attacks Нейт Пинчот
источник
Может быть что-то вроде того, что Google et все были поражены. Американские компании в течение последних месяцев или года подвергались нападкам со стороны кого-то, кто может написать свои собственные эксплойты, и кто знает, как подняться от обычного пользователя без прав администратора к администратору домена. Выполните поиск некоторых технических историй, связанных с недавними атаками на Google и другие.
Алекс Холст
Алекс, это не соответствует модели APT-атаки - APT-атаки очень точные, специфичные и сдержанные. Как была обнаружена эта атака? Потому что это сильно повлияло на производительность сети - достаточно, чтобы кто-то в нее заглянул - определенно не APT; если, возможно, это не обман, чтобы скрыть настоящий вектор атаки.
Джош Брауэр

Ответы:

4

Извините, я понятия не имею, что это, однако у вас сейчас есть более важные проблемы.

Сколько машин это делают? Вы отключили их всех от сети? (И если нет, то почему?)

Можете ли вы найти доказательства того, что какие-либо доменные учетные записи были взломаны (особенно учетные записи администраторов домена)

Я понимаю, что вы не хотите снова собирать свои рабочие столы, но если вы этого не сделаете, вы не можете быть уверены, что будете чистить машины.

Первые шаги:

  • Убедитесь, что сложные пароли включены в вашем домене
  • установить политику блокировки - это вызовет проблемы, если у вас все еще есть сканирующие машины, но это лучше, чем взломанный аккаунт
  • Изолировать известную плохую машину, она пытается общаться с внешним миром? Вы должны заблокировать это через вашу сеть на вашем шлюзе
  • Попытайтесь изолировать все известные неисправные машины.
  • Монитор для большего количества сканирующих машин.
  • Заставьте всех ваших пользователей сменить пароль, проверьте все учетные записи ваших служб.
  • Отключите все учетные записи, которые больше не используются.
  • Проверьте членство в группах на серверах и контроллерах домена (администраторы домена, администраторы и т. Д.)

Затем вам нужно выполнить некоторые экспертизы на ваших известных неисправных машинах, чтобы попытаться отследить, что произошло. Как только вы это узнаете, у вас появится больше шансов узнать масштаб этой атаки. Используйте средство обнаружения корневого набора, возможно, даже создайте образ жесткого диска, прежде чем уничтожать какие-либо улики. Здесь могут быть очень полезны Linux Live CD с поддержкой NTFS, поскольку они позволят вам найти то, что может скрывать корневой набор.

Что нужно учитывать:

  • У вас есть стандартный локальный (слабый) пароль администратора на всех рабочих станциях?
  • У ваших пользователей есть права администратора?
  • Все ли администраторы домена используют отдельные учетные записи для действий DA? Подумайте об установке ограничений для этих учетных записей (например, рабочих станций, на которые вы можете войти).
  • Вы не даете никакой информации о вашей сети. Есть ли у вас какие-либо общедоступные услуги?

Редактировать: пытаться дать больше информации сложно, поскольку это действительно зависит от того, что вы найдете, но, оказавшись в аналогичной ситуации несколько лет назад, вам действительно нужно не доверять всему, особенно машинам и учетным записям, которые, как вы знаете, могут быть скомпрометированы.

Bryan
источник
У нас есть хорошие пароли и политики. Внешний доступ уже крайне ограничен (http только через прокси, большинство портов заблокировано и т. Д.) - не проблема. Невозможно заставить всех пользователей сменить пароли, но все пользователи-администраторы выполнимы. Смотрите мой комментарий к Джошу ниже для деталей о судебной экспертизе. Ни один пользователь, кроме того, что необходимо, не имеет прав администратора. Никаких общедоступных сервисов, кроме веб-трафика к DMZ, но эти машины не пострадали - пока только настольные компьютеры.
Нейт Пинчот
Также стоит отметить, что, хотя я и сказал, что перекомпоновка не является благоприятной, я в основном следую за данными на данный момент, чтобы я мог защитить изображение, которое мы используем для перестройки, поскольку где-то явно есть дыра. Если я найду больше полезных данных, чем «Worm.Generic», я опубликую их в ответе. Отметить это как ответ, так как это действительно путь.
Нейт Пинчот
Вам необходимо определить вектор, в который этот код был введен в вашу сеть. Это не всегда из интернета, исполняемый на USB-ключах и в личном хранилище. если вы не найдете вектор, он может вернуться.
Дворник Unix
@Nate. Извините, что перетащил эту старую ветку обратно, но почему вы не смогли заставить всех пользователей сменить пароли? Мы сделали это для 25 000 пользователей без особых усилий, включая удаленных пользователей. Я верю, что все прошло хорошо для вас?
Брайан
Сеть предназначена для школьной системы, с примерно 5 тысячами учеников и множеством не слишком разбирающихся в компьютерах учителей и школьного персонала. Это вызвало бы немалую головную боль, требующую от всех пользователей смены пароля при следующем входе в систему. Все прошло хорошо. Мы изменили все административные пароли, восстановили серверы из резервной копии по мере необходимости и заново создали образ всех компьютеров.
Нейт Пинчот,
2

Это может быть что угодно, от L0phtCrack до THC-Hydra или даже приложение с индивидуальной кодировкой, хотя ваше AV-решение должно было подхватить известные приложения.

На этом этапе вам необходимо идентифицировать все зараженные системы, изолировать их (vlan и т. Д.), А также локализовать и уничтожить вредоносное ПО.

Вы уже связались с вашей командой IT Security?

Наконец, я понимаю, что вы не хотите восстанавливать, но на этом этапе (с небольшими данными, которые вы предоставили), я бы сказал, что риск требует восстановления.

-Josh

Джош Брауэр
источник
2
Спасибо за ссылки. Нам, вероятно, придется перестраивать, у нас есть изображения. Но что более важно, мы не хотим перестраивать и повторять одно и то же снова, поэтому нам нужно выяснить, что это такое, чтобы мы могли защитить изображения от этого, а затем перестраивать. Используя GMER, я смог определить наличие руткита и отключить установленные службы. Когда я перезагружался, BitDefender обнаружил его как Worm.Generic.42619 (поиск по гуглу для этого не помогает - и не ищет его в их вирусной базе данных). Так что ждем их, чтобы дать мне больше информации сейчас.
Нейт Пинчот
1
Nate- На самом деле, Worm.Generic.42619 приводит меня сюда ( goo.gl/RDBj ), что приводит меня сюда ( goo.gl/n6aH ), что, если вы посмотрите на первый удар ( goo.gl/Le8u ), имеет некоторые сходства с вредоносным ПО, которое в настоящее время заражает вашу сеть ....
Джош Брауэр
«мы не хотим перестраивать и повторять одно и то же снова, поэтому нам нужно выяснить, что это такое» гарантирует +1
Maximus Minimus
0

Попробуйте запустить другую программу захвата, чтобы убедиться, что результаты подтверждают то, что видит Wireshark. У Wireshark в прошлом были проблемы с декодированием трафика Kerberos. Убедитесь, что вы видите не красную сельдь.

Видите ли вы какие-либо другие "аномалии" в захвате?

joeqwerty
источник
Определенно не красная сельдь, обнаруженный вирус - комментарии к ответу Джоша Брауэра содержат детали.
Нейт Пинчот