Come gestisco la rimozione / eradicazione di un worm sconosciuto sulla nostra rete?

13

TL; DR

Sono abbastanza sicuro che la nostra piccola rete sia stata infettata da una sorta di worm / virus. Tuttavia, sembra affliggere le nostre macchine Windows XP. Le macchine Windows 7 e i computer Linux (beh, sì) sembrano essere inalterati. Le scansioni antivirus non mostrano nulla, ma il nostro server di dominio ha registrato migliaia di tentativi di accesso non riusciti su vari account utente validi e non validi, in particolare l'amministratore. Come posso impedire a questo worm non identificato di diffondersi?

Sintomi

Alcuni dei nostri utenti di Windows XP hanno segnalato problemi simili, sebbene non del tutto identici. Tutti sperimentano arresti / riavvii casuali avviati dal software. Su uno dei computer viene visualizzata una finestra di dialogo con un conto alla rovescia fino al riavvio del sistema, apparentemente avviato da NT-AUTHORITY \ SYSTEM e relativo a una chiamata RPC. Questa finestra di dialogo, in particolare, è esattamente la stessa di quella descritta negli articoli che descrivono in dettaglio i vecchi worm di exploit RPC.

Quando due computer sono stati riavviati, sono tornati al prompt di accesso (sono computer di dominio) ma il nome utente elencato era "admin", anche se non avevano effettuato l'accesso come admin.

Sulla nostra macchina Windows Server 2003 che esegue il dominio, ho notato diverse migliaia di tentativi di accesso da varie fonti. Hanno provato tutti i diversi nomi di accesso tra cui amministratore, amministratore, utente, server, proprietario e altri.

Alcuni dei registri hanno elencato gli IP, altri no. Di quelli che avevano l'indirizzo IP di origine (per gli accessi non riusciti) due di essi corrispondono ai due computer Windows XP con riavvio. Proprio ieri ho notato un sacco di tentativi di accesso falliti da un indirizzo IP esterno. Un traceroute ha mostrato che l'indirizzo IP esterno proviene da un ISP canadese. Non dovremmo mai avere connessioni da lì (comunque abbiamo utenti VPN). Quindi non sono ancora sicuro di cosa stia succedendo con i tentativi di accesso provenienti da un IP foriegn.

Sembra ovvio che su questi computer sia presente una sorta di malware e parte di ciò che fa è cercare di enumerare le password sugli account di dominio per ottenere l'accesso.

Quello che ho fatto finora

Dopo aver realizzato ciò che stava accadendo, il mio primo passo è stato quello di assicurarmi che tutti avessero eseguito un antivirus aggiornato e fatto una scansione. Dei computer interessati, uno di essi ha un client antivirus scaduto, ma gli altri due erano le versioni correnti di Norton e le scansioni complete di entrambi i sistemi non hanno prodotto risultati.

Il server stesso esegue regolarmente un antivirus aggiornato e non ha mostrato alcuna infezione.

Pertanto, 3/4 dei computer basati su Windows NT dispongono di un antivirus aggiornato, ma non ha rilevato nulla. Tuttavia, sono convinto che qualcosa stia succedendo, evidenziato principalmente dalle migliaia di tentativi di accesso falliti per vari account.

Ho anche notato che la radice della nostra condivisione di file principale aveva autorizzazioni piuttosto aperte, quindi l'ho limitata a leggere + eseguire per gli utenti normali. L'amministratore ha ovviamente pieno accesso. Sto anche per fare in modo che gli utenti aggiornino le loro password (a quelle più sicure) e rinominerò Amministratore sul server e cambieranno la password.

Ho già tolto le macchine dalla rete, una è stata sostituita da una nuova, ma so che queste cose possono diffondersi attraverso le reti, quindi ho ancora bisogno di andare fino in fondo.

Inoltre, il server ha una configurazione NAT / Firewall con solo alcune porte aperte. Devo ancora approfondire alcuni dei servizi relativi a Windows con le porte aperte, poiché provengo da un background Linux.

E adesso?

Quindi tutto l'antivirus moderno e aggiornato non ha rilevato nulla, ma sono assolutamente convinto che questi computer abbiano una sorta di virus. Baso questo sui riavvii / instabilità casuali delle macchine XP combinati con le migliaia di tentativi di accesso provenienti da queste macchine.

Quello che intendo fare è il backup dei file utente sui computer interessati, quindi la reinstallazione di Windows e la formattazione recente delle unità. Sto anche adottando alcune misure per proteggere le condivisioni di file comuni che potrebbero essere state utilizzate per diffondersi ad altre macchine.

Sapendo tutto ciò, cosa posso fare per garantire che questo worm non sia da qualche altra parte della rete e come posso impedirne la diffusione?

So che questa è una domanda tirata fuori, ma sono fuori dalle mie profondità qui e potrei usare alcuni suggerimenti.

Grazie per aver guardato!

windows  windows-server-2003  security  network-monitoring  malware 
Mr. Shickadance
fonte
possibile duplicato di EMERGENCY
mailq
Non è esattamente lo stesso, ma si avvicina molto ....
mailq,
1
Il tuo server che sta visualizzando i tentativi di accesso non riusciti è accessibile su Internet o si trova sulla LAN interna?
MDMarra,
5
F..king sh.t. E nessuno ti ha ucciso per quello ?!
mailq
4
Beh, per fortuna non sono io quello che merita di essere ucciso, se n'è già andato. Sono qui solo per raccogliere i pezzi.
Mr. Shickadance,

Risposte:

18

Questi sono i miei suggerimenti generali per questo tipo di processo. Mi rendo conto che ne avrai già trattati alcuni, ma è meglio sentirsi dire due volte piuttosto che perdere qualcosa di importante. Queste note sono orientate verso i malware che si stanno diffondendo su una LAN ma potrebbero essere facilmente ridimensionati per far fronte a infezioni minori.

Fermare il marciume e trovare la fonte di infezione.

  1. Assicurati di disporre di un backup aggiornato di tutti i sistemi e di tutti i bit di dati su questa rete a cui l'azienda tiene. Assicurati di notare che questo supporto di ripristino potrebbe essere compromesso, in modo che le persone non provino a ripristinarlo da 3 mesi mentre le spalle sono rivolte e infettano di nuovo la rete. Se hai un backup prima dell'infezione, mettilo da parte in modo sicuro.

  2. Chiudi la rete live, se possibile (probabilmente dovrai farlo come parte del processo di pulizia, almeno). Per lo meno, considera seriamente di tenere questa rete, compresi i server, fuori da Internet fino a quando non sai cosa sta succedendo: cosa succede se questo worm ruba informazioni?

  3. Non andare oltre te stesso. È allettante dire semplicemente di costruire tutto a questo punto, costringere tutti a cambiare password, ecc. E chiamarlo "abbastanza buono". Anche se probabilmente dovrai farlo prima o poi , è probabile che ti lascerà con sacche di infezione se non capisci cosa sta succedendo sulla tua LAN. ( Se non si desidera indagare ulteriormente sull'infezione, andare al passaggio 6 )

  4. Copia una macchina infetta in un ambiente virtuale di qualche tipo, isola questo ambiente virtuale da tutto il resto, incluso il computer host, prima di avviare il guest compromesso .

  5. Crea un'altra coppia di macchine guest virtuali pulite da infettare, quindi isola quella rete e usa strumenti come WireShark per monitorare il traffico di rete (è tempo di sfruttare quel background di Linux e creare un altro ospite su questa LAN virtuale che può guardare tutto questo traffico senza essere infettato da qualsiasi worm Windows!) e Process Monitor per monitorare le modifiche in corso su tutte queste macchine. Considera anche che il problema potrebbe essere un rootkit ben nascosto : prova a utilizzare uno strumento affidabile per trovarli, ma ricorda che questo è un po 'una lotta in salita quindi trovare nulla non significa che non c'è nulla lì.

  6. (Supponendo che non si sia / non sia possibile arrestare la LAN principale) Utilizzare WireShark sulla LAN principale per esaminare il traffico inviato a / dalle macchine infette. Tratta qualsiasi traffico inspiegabile proveniente da qualsiasi macchina come potenzialmente sospetto: l' assenza di sintomi visibili non è la prova dell'assenza di alcun compromesso . Dovresti essere particolarmente preoccupato per i server e tutte le workstation che eseguono informazioni aziendali importanti.

  7. Dopo aver isolato i processi infetti negli ospiti virtuali, dovresti essere in grado di inviare un campione alla società che ha creato il software antivirus che stai utilizzando su questi computer . Saranno desiderosi di esaminare campioni e produrre correzioni per qualsiasi nuovo malware che vedono. In effetti, se non l'hai già fatto, dovresti contattarli con la tua storia di guai in quanto potrebbero avere un modo di aiutare.

  8. Cerca di capire qual è il vettore di infezione originale : questo worm potrebbe essere un exploit nascosto all'interno di un sito Web compromesso che qualcuno ha visitato, potrebbe essere stato portato da casa di qualcuno su una memory stick o ricevuto via e-mail, per nominare ma alcuni modi. L'exploit ha compromesso queste macchine tramite un utente con diritti di amministratore? In tal caso, non concedere agli utenti i diritti di amministratore in futuro. Devi cercare di assicurarti che l'origine dell'infezione sia corretta e devi vedere se ci sono cambiamenti procedurali che puoi fare per rendere la via dell'infezione più difficile per gli exploit in futuro.

Pulire

Alcuni di questi passaggi sembreranno esagerati. Diamine, alcuni di loro probabilmente sono esagerati, soprattutto se si determina che solo poche macchine sono effettivamente compromesse, ma dovrebbero garantire che la rete sia pulita come può essere. I capi non saranno entusiasti di alcuni di questi passaggi, ma non c'è molto da fare al riguardo.

  1. Arrestare tutte le macchine sulla rete. Tutte le stazioni di lavoro. Tutti i server Qualunque cosa. Sì, anche il laptop del figlio adolescente dei capi che il figlio usa per intrufolarsi nella rete in attesa che papà finisca il lavoro in modo che il figlio possa giocare a " dubious-javascript-exploit-Ville " su qualunque sia l'attuale sito di social media du-jour . In effetti, a pensarci bene, spegni questa macchina in particolare . Con un mattone se è quello che serve.

  2. Avviare ogni server a turno. Applica qualsiasi correzione che hai scoperto per te o che ti è stata data da una società AV. Audit gli utenti ei gruppi per qualsiasi account inspiegabili (entrambi gli account locali e account AD), audit installato il software per qualcosa di inaspettato e l'uso Wireshark su un altro sistema per guardare il traffico proveniente da questo server (Se trovate eventuali problemi, a questo punto, allora seriamente in considerazione la ricostruzione quel server). Spegni ogni sistema prima di iniziare il successivo, in modo che una macchina compromessa non possa attaccare gli altri. Oppure scollegali dalla rete, così puoi farne diversi contemporaneamente ma non possono parlare tra loro, va tutto bene.

  3. Una volta che sei sicuro che puoi essere sicuro che tutti i tuoi server siano puliti, avviali e usando WireShark, Process Monitor, ecc. Di nuovo osservali di nuovo per qualsiasi strano comportamento.

  4. Reimposta ogni singola password utente . E se possibile, anche le password degli account di servizio. Sì, lo so che è un dolore. A questo punto stiamo per entrare nel territorio "forse sopra le righe". La tua chiamata.

  5. Ricostruisci tutte le workstation . Fallo uno alla volta, in modo che le macchine eventualmente infette non rimangano inattive sulla LAN attaccando quelle appena ricostruite. Sì, ci vorrà un po ', mi dispiace per quello.

  6. Se ciò non è possibile, allora:

    Eseguire i passaggi che ho descritto sopra per i server su tutte le workstation "si spera pulite".

    Ricostruisci tutti quelli che hanno mostrato qualche indizio di attività sospette e fallo mentre tutte le macchine "si spera pulite" sono spente.

  7. Se non hai già preso in considerazione l'AV centralizzato che riporterà i problemi a un server in cui puoi guardare per problemi, registrazione degli eventi centralizzata, monitoraggio della rete, ecc. Ovviamente scegli e scegli quali di questi sono adatti alle esigenze e ai budget di questa rete, ma qui c'è chiaramente un problema, giusto?

  8. Esamina i diritti degli utenti e le installazioni di software su queste macchine e imposta un controllo periodico per assicurarti che le cose siano ancora come ti aspetti che siano. Assicurati anche che gli utenti siano incoraggiati a segnalare le cose al più presto senza essere lamentati, incoraggia una cultura aziendale a risolvere i problemi IT piuttosto che a sparare al messenger, ecc.

Rob Moir
fonte
3
E infine, signor Shickadance, buona fortuna.
Dan
7

Hai fatto tutte le cose che avrei fatto (se fossi ancora un amministratore di Windows) - I passaggi canonici sono (o erano, l'ultima volta che ero un ragazzo di Windows):

  1. Isolare le macchine interessate.
  2. Aggiorna definizioni antivirus
    Esegui AV / malware / ecc. scansiona su tutta la rete
  3. Soffiare via le macchine interessate (eliminare completamente le ventose) e reinstallare.
  4. Ripristina i dati utente dai backup (assicurandoti che siano puliti).

Nota che c'è sempre la possibilità che il virus / worm / qualunque cosa sia in agguato nell'e-mail (sul tuo server di posta) o all'interno di una macro in un documento word / excel - Se il problema si ripresenta potrebbe essere necessario essere più aggressivo nella pulizia la prossima volta.

voretaq7
fonte
3
Tutto scende per "reinstallare". Non provare a risolverlo.
mailq,
@mailq yup. Non esiste una "pulizia" di un sistema infetto o compromesso.
voretaq7,
Ho pensato che fosse così. Il mio problema è che non sono ancora riuscito a capire esattamente cosa sta succedendo e voglio solo assicurarmi che il nostro server e la nostra rete condividano la nostra pulizia. Almeno al meglio che posso. Proprio per FYI ho ereditato questo progetto e sono una specie di pulizia dopo l'assenza di un amministratore per molto tempo ...
Mr. Shickadance,
3
@ Mr.Shickadance Sfortunatamente, l'unico modo per " sapere " che l'ambiente è pulito è quello di costruirne uno nuovo completamente separato e migrare le persone al suo interno, senza avere alcun contatto con il vecchio ambiente. Non è realistico, quindi il meglio che puoi fare è essere "ragionevolmente fiducioso" di aver eliminato il problema.
voretaq7,
Bene, a quel punto in realtà sono in procinto di costruire un server Linux sostitutivo. Sfortunatamente, è già stato collegato a questa rete "contaminata", ma non è stato realmente utilizzato. Ci sto lavorando da solo e usando i suoi servizi. Continuerò e rimuoverò le mele danneggiate, aggiornerò il più possibile la sicurezza sul vecchio server e spero per il meglio.
Mr. Shickadance,
2

La prima lezione da trarre da questo è che le soluzioni AV non sono perfette. Neanche vicino.

Se sei aggiornato con i fornitori di software AV, chiamali. Tutti hanno numeri di supporto esattamente per questo genere di cose. È un dato di fatto che probabilmente saranno molto interessati a ciò che ti ha colpito.

Come altri hanno già detto, smontare ogni macchina, pulirla e reinstallarla. Potresti cogliere l'occasione per far uscire tutti da XP comunque. È un sistema operativo morto da un po 'di tempo. Per lo meno questo dovrebbe comportare la distruzione delle partizioni HD e la loro riformattazione. Anche se sembra che non ci siano molte macchine coinvolte, quindi l'acquisto di ricambi completamente nuovi potrebbe essere un'opzione migliore.

Inoltre, fai sapere al tuo capo che è diventato costoso.

Infine, perché nel mondo dovresti eseguire tutto questo da un singolo server? (Retorico, so che l'hai "ereditato") Un DC non dovrebbe MAI essere accessibile da Internet. Risolvi questo problema installando l'hardware appropriato per occuparti della funzionalità di cui hai bisogno.

Non me
fonte
Sì, in realtà ci sono ancora più problemi con questa configurazione. Probabilmente riderai quando dico che un vecchio router wireless domestico Netgear veniva usato come gateway, per l'intera rete.
Mr. Shickadance,
1
@ Mr.Shickadance - piangi, piuttosto che ridere. È stata colpa del tuo predecessore o l'azienda ha scelto di non investire correttamente nell'IT e ora sta pagando un prezzo?
Rob Moir,
2
Non ne sono sicuro, ma potrebbe essere stata una combinazione di entrambi. Ad ogni modo, sono qui per provare a risolverlo e ho il supporto, quindi abbiamo già investito in un nuovo hardware. In ogni caso ho rimosso i sistemi danneggiati dalla rete, anche se non riesco a smontare il vecchio server. Da quello che posso dire non è successo niente di strano, quindi dovrò continuare a seguire i consigli forniti qui.
Mr. Shickadance,
0

Molto probabilmente è un rootkit se i tuoi programmi A / V non mostrano nulla. Prova a eseguire TDSSkiller e vedi cosa trovi. Inoltre, questo sarebbe il momento perfetto per sostituire semplicemente i computer arcaici di Windows XP con qualcosa di meno di oltre un decennio. A parte software come programmi anti-virus, ho visto ben poco in termini di programmi che non potevano essere eseguiti con uno shim o allentando alcune autorizzazioni NTFS / Registro su Windows 7. Ci sono davvero poche scuse per continuare per eseguire XP.

Daniel Winks
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.