Virus cố gắng tấn công người dùng Active Directory (theo thứ tự bảng chữ cái)?

8

Người dùng bắt đầu phàn nàn về tốc độ mạng chậm nên tôi đã kích hoạt Wireshark. Đã kiểm tra và tìm thấy nhiều PC gửi các gói tương tự như sau (ảnh chụp màn hình):

http://imgur.com/45VlI.png

Tôi làm mờ văn bản cho tên người dùng, tên máy tính và tên miền (vì nó phù hợp với tên miền internet). Máy tính đang spam các máy chủ Active Directory đang cố gắng phá vỡ mật khẩu hack. Nó sẽ bắt đầu với Administrator và đi xuống danh sách người dùng theo thứ tự bảng chữ cái. Về mặt vật lý, PC sẽ không tìm thấy ai ở gần nó và hành vi này được lan truyền trên mạng nên nó dường như là một loại virus. Quét các máy tính đã bị bắt gặp đang spam máy chủ bằng Malwarebytes, Super Antispyware và BitDefender (đây là chương trình chống vi-rút mà khách hàng có) không mang lại kết quả.

Đây là một mạng doanh nghiệp với khoảng 2500 PC nên việc xây dựng lại không phải là một lựa chọn thuận lợi. Bước tiếp theo của tôi là liên hệ với BitDefender để xem họ có thể giúp gì.
Có ai nhìn thấy bất cứ điều gì như thế này hoặc có bất kỳ ý tưởng về những gì nó có thể có thể?

security  active-directory  kerberos  malware  brute-force-attacks 
Nate Pinchot
nguồn
Có thể là một cái gì đó dọc theo dòng của Google và tất cả đã được đánh vào. Các công ty Mỹ trong nhiều tháng qua đã bị tấn công bởi một người nào đó có thể tự viết các khai thác của mình và biết cách nâng cấp từ người dùng không phải quản trị viên thông thường lên Quản trị viên tên miền. Thực hiện tìm kiếm một số câu chuyện kỹ thuật liên quan đến các cuộc tấn công gần đây chống lại Google và những người khác.
Alex Holst
Alex, điều này không phù hợp với mô hình của một cuộc tấn công APT - các cuộc tấn công APT rất chính xác, cụ thể và khóa thấp. Cuộc tấn công này được phát hiện như thế nào? Bởi vì nó tạo ra một cú hích lớn về hiệu suất của mạng - đủ để ai đó nhìn vào nó - Chắc chắn không phải là APT; trừ khi, có lẽ, đó là một điểm yếu, để che giấu các vectơ tấn công thực sự.
Josh Brower 17/03/2016

Câu trả lời:

4

Xin lỗi, tôi không biết đây là gì, tuy nhiên, hiện tại bạn có nhiều vấn đề quan trọng hơn.

Có bao nhiêu máy đang làm điều này? Bạn đã ngắt kết nối tất cả chúng khỏi mạng? (và nếu không, tại sao không?)

Bạn có thể tìm thấy bằng chứng về bất kỳ tài khoản miền nào bị xâm phạm (đặc biệt là tài khoản quản trị viên tên miền)

Tôi có thể hiểu rằng bạn không muốn xây dựng máy tính để bàn của mình một lần nữa, nhưng trừ khi bạn làm vậy, bạn không thể chắc chắn bạn sẽ làm sạch máy.

Những bước đầu tiên:

  • Đảm bảo mật khẩu phức tạp được bật trên miền của bạn
  • đặt chính sách khóa - điều này sẽ gây ra sự cố cho bạn nếu bạn vẫn có máy quét nhưng điều này tốt hơn so với việc nhiều tài khoản bị xâm phạm
  • Cô lập một máy xấu được biết đến, nó đang cố gắng nói chuyện với thế giới bên ngoài? Bạn cần chặn điều này trên mạng của bạn tại cổng của bạn
  • Cố gắng cô lập tất cả các máy xấu được biết đến.
  • Giám sát nhiều máy quét hơn.
  • Buộc tất cả người dùng của bạn thay đổi mật khẩu của họ, kiểm tra tất cả các tài khoản dịch vụ của bạn.
  • Vô hiệu hóa bất kỳ tài khoản không còn được sử dụng.
  • Kiểm tra tư cách thành viên nhóm của bạn trên máy chủ và DC (Quản trị viên tên miền, Quản trị viên, v.v.)

Tiếp theo, bạn cần thực hiện một số pháp y trên các máy xấu đã biết của mình để thử và theo dõi những gì đã xảy ra. Một khi bạn biết điều này, bạn sẽ có cơ hội tốt hơn để biết phạm vi của cuộc tấn công này là gì. Sử dụng trình tiết lộ bộ root, thậm chí có thể hình ảnh đĩa cứng trước khi bạn phá hủy bất kỳ bằng chứng nào. Các đĩa Linux Live với sự hỗ trợ NTFS có thể rất hữu ích ở đây, vì chúng sẽ cho phép bạn tìm thấy những gì một bộ công cụ gốc có thể ẩn.

Những điều cần cân nhắc:

  • Bạn có mật khẩu quản trị viên cục bộ (yếu) tiêu chuẩn trên tất cả các máy trạm không?
  • Người dùng của bạn có quyền quản trị?
  • Có phải tất cả quản trị viên tên miền sử dụng tài khoản riêng cho các hoạt động DA? Xem xét việc đặt các hạn chế trên các tài khoản này (ví dụ: các máy trạm bạn có thể đăng nhập).
  • Bạn không cung cấp bất kỳ thông tin nào về mạng của bạn. Bạn có bất kỳ dịch vụ tiếp xúc công khai?

Chỉnh sửa: Cố gắng cung cấp thêm thông tin là khó khăn, vì nó thực sự phụ thuộc vào những gì bạn tìm thấy, nhưng đã ở trong tình huống tương tự vài năm trước, bạn thực sự cần phải mất lòng tin vào mọi thứ, đặc biệt là máy móc và tài khoản mà bạn biết bị xâm phạm.

Bryan
nguồn
Chúng tôi có mật khẩu và chính sách tốt tại chỗ. Truy cập bên ngoài đã rất hạn chế (chỉ http qua proxy, hầu hết các cổng bị chặn, v.v.) - không phải là vấn đề. Không thể buộc tất cả người dùng thay đổi mật khẩu, nhưng tất cả người dùng quản trị đều có thể thực hiện được. Xem bình luận của tôi cho Josh dưới đây để biết chi tiết về pháp y. Không có người dùng nào khác ngoài những gì cần thiết có quyền quản trị. Không có dịch vụ tiếp xúc công khai nào ngoài lưu lượng truy cập web đến DMZ nhưng các máy này không bị ảnh hưởng - cho đến nay chỉ có máy tính để bàn.
Nate Pinchot 17/03/2016
Cũng đáng lưu ý rằng trong khi tôi đã nói xây dựng lại không thuận lợi, tôi chủ yếu theo dõi dữ liệu vào lúc này để tôi có thể bảo vệ hình ảnh mà chúng tôi đang sử dụng để xây dựng lại vì rõ ràng có một lỗ hổng ở đâu đó. Nếu tôi tìm thấy nhiều dữ liệu hữu ích hơn "Worm.Generic" tôi sẽ đăng nó trong câu trả lời. Đánh dấu đây là câu trả lời vì đây thực sự là con đường để đi.
Nate Pinchot
Bạn cần xác định vectơ mà mã này đã được đưa vào mạng của bạn. Không phải lúc nào cũng từ internet, có thể thực hiện được trên các phím usb và bộ nhớ cá nhân. nếu bạn không tìm thấy véc tơ thì nó có khả năng quay lại.
Unix Janitor
@Nate. Xin lỗi để kéo chủ đề cũ này sao lưu, nhưng tại sao bạn không thể buộc tất cả người dùng thay đổi mật khẩu? Chúng tôi đã làm điều đó cho 25k người dùng mà không cần quá nhiều nỗ lực, kể cả người dùng từ xa. Tôi tin tưởng tất cả đã tốt cho bạn anyway?
Bryan
Mạng dành cho hệ thống trường học, với khoảng 5 nghìn người dùng học sinh và rất nhiều giáo viên và nhân viên trường học không rành về máy tính. Nó sẽ tạo ra khá nhiều đau đầu để yêu cầu tất cả người dùng thay đổi mật khẩu của họ trong lần đăng nhập tiếp theo. Mọi thứ đã diễn ra tốt đẹp. Chúng tôi đã thay đổi tất cả mật khẩu quản trị, máy chủ được khôi phục từ bản sao lưu khi cần và sao chép lại tất cả các PC.
Nate Pinchot
2

Nó có thể là bất cứ thứ gì từ L0phtCrack đến THC-Hydra hoặc thậm chí là một ứng dụng được mã hóa tùy chỉnh, mặc dù giải pháp AV của bạn đã chọn các ứng dụng nổi tiếng.

Tại thời điểm này, bạn cần xác định tất cả các hệ thống bị nhiễm, cách ly chúng (vlan, v.v.) và chứa và xóa phần mềm độc hại.

Bạn đã liên hệ với nhóm Bảo mật CNTT của bạn chưa?

Cuối cùng, tôi hiểu rằng bạn không muốn xây dựng lại, nhưng tại thời điểm này, (với ít dữ liệu bạn đã cung cấp), tôi sẽ nói rằng các bảo đảm rủi ro được xây dựng lại.

-Josh

Josh Brower
nguồn
2
Cảm ơn các liên kết. Chúng tôi có thể sẽ phải xây dựng lại, chúng tôi có hình ảnh Nhưng quan trọng hơn, chúng tôi không muốn xây dựng lại và điều tương tự lại xảy ra một lần nữa, vì vậy chúng tôi cần tìm hiểu xem đây là gì để chúng tôi có thể bảo vệ hình ảnh chống lại nó và sau đó xây dựng lại. Sử dụng GMER tôi đã có thể xác định rằng rootkit đã được cài đặt và vô hiệu hóa các dịch vụ mà nó đã cài đặt. Khi tôi khởi động lại, BitDefender đã phát hiện ra nó là Worm.Generic.42619 (googling cho việc này không hữu ích - cũng không tìm kiếm nó trong db virus của họ). Vì vậy, chờ đợi họ cho tôi thêm thông tin bây giờ.
Nate Pinchot 17/03/2016
1
Nate- Trên thực tế, Worm.Generic.42619 dẫn tôi đến đây ( goo.gl/RDBj ), trong đó dẫn tôi đến đây ( goo.gl/n6aH ), trong đó, nếu bạn nhìn vào các hit đầu tiên ( goo.gl/Le8u ) nó có một số điểm tương đồng với phần mềm độc hại hiện đang lây nhiễm vào mạng của bạn ....
Josh Brower 17/03/2016
"Chúng tôi không muốn xây dựng lại và điều tương tự lại xảy ra một lần nữa, vì vậy chúng tôi cần tìm hiểu xem đây là gì" đảm bảo +1
Maximus Minimus 18/03/2016
0

Hãy thử chạy một chương trình chụp khác để đảm bảo kết quả xác nhận những gì Wireshark đang nhìn thấy. Wireshark đã có vấn đề trong quá khứ giải mã lưu lượng Kerberos. Hãy chắc chắn rằng những gì bạn nhìn thấy không phải là cá trích đỏ.

Bạn có nhìn thấy bất kỳ "dị thường" nào khác trong chụp không?

joeqwerty
nguồn
Chắc chắn không phải là cá trích đỏ, đã phát hiện ra virus - các bình luận về câu trả lời của Josh Brower có thông tin chi tiết.
Nate Pinchot
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.