Virus che tenta di forzare gli attacchi degli utenti di Active Directory (in ordine alfabetico)?


8

Gli utenti hanno iniziato a lamentarsi della bassa velocità della rete, quindi ho acceso Wireshark. Qualche controllo e trovato molti PC che inviano pacchetti simili al seguente (screenshot):

http://imgur.com/45VlI.png

Ho sfocato il testo per il nome utente, il nome del computer e il nome del dominio (poiché corrisponde al nome del dominio Internet). I computer stanno inviando spam ai server di Active Directory cercando di forzare le password di hacking forzato. Inizierà con l'amministratore e scenderà l'elenco degli utenti in ordine alfabetico. Andare fisicamente al PC non trova nessuno vicino a sé e questo comportamento si diffonde attraverso la rete, quindi sembra essere un virus di qualche tipo. La scansione di computer che sono stati scoperti spamming sul server con Malwarebytes, Super Antispyware e BitDefender (questo è l'antivirus del client) non produce risultati.

Questa è una rete aziendale con circa 2500 PC, quindi fare una ricostruzione non è un'opzione favorevole. Il mio prossimo passo è contattare BitDefender per vedere quale aiuto possono fornire.
Qualcuno ha visto qualcosa del genere o ha qualche idea di cosa potrebbe essere?


Potrebbe essere qualcosa sulla falsariga di ciò che Google e tutti sono stati colpiti. Le società statunitensi sono state attaccate negli ultimi mesi o un anno da qualcuno in grado di scrivere i propri exploit e che sa come passare da un normale utente non amministratore a un amministratore di dominio. Cerca alcune storie tecniche relative ai recenti attacchi contro Google e altri.
Alex Holst,

Alex, questo non si adatta al modello di un attacco APT: gli attacchi APT sono molto precisi, specifici e chiari. Come è stato scoperto questo attacco? Perché ha creato un grande successo nelle prestazioni della rete - abbastanza per qualcuno da guardarci dentro - Sicuramente non APT; a meno che, forse, non sia una finta nascondere il vero vettore di attacco.
Josh Brower,

Risposte:


4

Siamo spiacenti, non ho idea di cosa si tratti, tuttavia in questo momento hai problemi più importanti.

Quante macchine lo stanno facendo? Li hai scollegati tutti dalla rete? (e se no, perché no?)

Riesci a trovare una prova di eventuali account di dominio compromessi (in particolare gli account di amministratore di dominio)

Posso capire che non vuoi costruire di nuovo i tuoi desktop, ma se non lo fai, non puoi essere sicuro che pulirai le macchine.

Primi passi:

  • Assicurati che password complesse siano abilitate sul tuo dominio
  • imposta un criterio di blocco: ciò causerà problemi se hai ancora macchine per la scansione, ma è meglio che vengano compromessi più account
  • Isolare una macchina cattiva conosciuta, sta cercando di parlare con il mondo esterno? Devi bloccarlo attraverso la tua rete sul tuo gateway
  • Tentativo di isolare tutte le macchine difettose conosciute.
  • Monitorare più macchine per la scansione.
  • Forza tutti i tuoi utenti a cambiare la loro password, controlla tutti i tuoi account di servizio.
  • Disabilita tutti gli account non più in uso.
  • Controlla le appartenenze al tuo gruppo su server e controller di dominio (amministratori di dominio, amministratori, ecc.)

Successivamente devi eseguire alcune analisi forensi sulle tue macchine conosciute per cercare di rintracciare ciò che è successo. Una volta che lo sai, hai maggiori possibilità di sapere qual è la portata di questo attacco. Usa il rivelatore del kit di root, forse anche l'immagine del disco rigido prima di distruggere qualsiasi prova. I CD Live Linux con supporto NTFS possono essere molto utili qui, in quanto dovrebbero permetterti di scoprire cosa potrebbe nascondere un kit di root.

Cose da considerare:

  • Hai una password di amministrazione locale standard (debole) su tutte le workstation?
  • I tuoi utenti hanno diritti di amministratore?
  • Tutti gli amministratori di dominio utilizzano account separati per le attività di DA? Prendi in considerazione la possibilità di impostare restrizioni su questi account (ad es. Workstation a cui puoi accedere).
  • Non fornisci alcuna informazione sulla tua rete. Hai dei servizi esposti pubblicamente?

Modifica: cercare di fornire maggiori informazioni è difficile, in quanto dipende davvero da ciò che trovi, ma essendo in una situazione simile diversi anni fa, devi davvero diffidare di tutto, specialmente macchine e account che sai essere compromessi.


Abbiamo buone password e politiche in atto. L'accesso esterno è già estremamente limitato (http solo tramite proxy, la maggior parte delle porte bloccate, ecc. Ecc.) - non è un problema. Non è possibile forzare tutti gli utenti a modificare le password, ma tutti gli utenti amministratori sono fattibili. Vedi il mio commento a Josh qui sotto per i dettagli sulla medicina legale. Nessun utente diverso da quello necessario ha diritti di amministratore. Nessun servizio pubblicamente esposto diverso dal traffico web verso la DMZ, ma queste macchine non sono state interessate - solo i desktop finora.
Nate Pinchot,

Vale anche la pena notare che mentre ho detto che la ricostruzione non è favorevole, sto principalmente cercando dati al momento in modo da poter proteggere l'immagine che stiamo usando per ricostruire poiché c'è ovviamente un buco da qualche parte. Se trovo dati più utili di "Worm.Generic", li inserirò in una risposta. Contrassegnare questa come risposta poiché questa è davvero la strada da percorrere.
Nate Pinchot,

Devi identificare il vettore in cui questo codice è stato introdotto nella tua rete. Non è sempre da Internet, eseguibile su chiavi USB e archiviazione personale. se non trovi il vettore, è probabile che ritorni.
Unix Janitor,

@Nate. Mi dispiace trascinare indietro questo vecchio thread, ma perché non sei riuscito a forzare tutti gli utenti a cambiare le password? Lo abbiamo fatto per 25.000 utenti senza troppi sforzi, inclusi utenti remoti. Confido che tutto sia andato bene per te comunque?
Bryan,

La rete è per un sistema scolastico, con circa 5k circa di studenti e molti insegnanti e personale scolastico non esperti di informatica. Avrebbe creato un bel po 'di mal di testa per richiedere a tutti gli utenti di cambiare la password al prossimo accesso. È andato tutto bene. Abbiamo modificato tutte le password amministrative, ripristinato i server dal backup in base alle esigenze e abbiamo ripreso l'immagine di tutti i PC.
Nate Pinchot,

2

Potrebbe essere qualsiasi cosa, da L0phtCrack a THC-Hydra o persino un'applicazione con codice personalizzato, anche se la tua soluzione AV avrebbe dovuto raccogliere le app più conosciute.

A questo punto, è necessario identificare tutti i sistemi infetti, metterli in quarantena (vlan, ecc.), Contenere e sradicare il malware.

Hai già contattato il tuo team di sicurezza IT?

Infine, capisco che non vuoi ricostruire, ma a questo punto, (con i pochi dati che hai fornito), direi che il rischio merita ricostruzioni.

-Josh


2
Grazie per i collegamenti. Probabilmente dovremo ricostruire, abbiamo immagini Ma, soprattutto, non vogliamo ricostruire e far accadere di nuovo la stessa cosa, quindi dobbiamo capire di cosa si tratta in modo da poter proteggere le immagini da esso e poi ricostruire. Usando GMER sono stato in grado di determinare l'esistenza di un rootkit e ho disabilitato i servizi che aveva installato. Quando ho riavviato, BitDefender lo ha rilevato come Worm.Generic.42619 (cercare su Google questo non è utile - né lo sta cercando nel loro db virus). Quindi aspetto che mi diano maggiori informazioni ora.
Nate Pinchot,

1
Nate- In realtà, Worm.Generic.42619 mi porta qui ( goo.gl/RDBj ), che mi porta qui ( goo.gl/n6aH ), che, se guardi al primo colpo ( goo.gl/Le8u ), ha alcune somiglianze con il malware che attualmente infetta la tua rete ....
Josh Brower

"Non vogliamo ricostruire e far succedere di nuovo la stessa cosa, quindi dobbiamo capire di cosa si tratta" garantisce un +1
Massimo Minimus

0

Prova a eseguire un programma di acquisizione diverso per assicurarti che i risultati confermino ciò che Wireshark sta vedendo. Wireshark ha avuto problemi in passato nella decodifica del traffico Kerberos. Assicurati che ciò che vedi non sia un'aringa rossa.

Stai vedendo altre "anomalie" nella cattura?


Sicuramente non un'aringa rossa, ha scoperto un virus: i commenti sulla risposta di Josh Brower hanno i dettagli.
Nate Pinchot,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.