Virus, der versucht, Active Directory-Benutzer (in alphabetischer Reihenfolge) brutal anzugreifen?

8

Die Benutzer haben angefangen, sich über die langsame Netzwerkgeschwindigkeit zu beschweren, also habe ich Wireshark gestartet. Ich habe einige Überprüfungen durchgeführt und festgestellt, dass viele PCs Pakete gesendet haben, die den folgenden ähnlich sind (Screenshot):

http://imgur.com/45VlI.png

Ich habe den Text für den Benutzernamen, den Computernamen und den Domainnamen verwischt (da er mit dem Internet-Domainnamen übereinstimmt). Computer spammen die Active Directory-Server und versuchen, Hack-Passwörter brutal zu erzwingen. Es beginnt mit Administrator und geht die Liste der Benutzer in alphabetischer Reihenfolge durch. Wenn Sie physisch zum PC gehen, wird niemand in der Nähe gefunden, und dieses Verhalten ist über das Netzwerk verteilt, sodass es sich anscheinend um einen Virus handelt. Das Scannen von Computern, die beim Spammen des Servers mit Malwarebytes, Super Antispyware und BitDefender (dies ist das Antivirenprogramm des Clients) erwischt wurden, führt zu keinen Ergebnissen.

Dies ist ein Unternehmensnetzwerk mit etwa 2500 PCs, daher ist eine Neuerstellung keine günstige Option. Mein nächster Schritt besteht darin, BitDefender zu kontaktieren, um zu erfahren, welche Hilfe sie leisten können.
Hat jemand so etwas gesehen oder hat er irgendwelche Ideen, was es möglicherweise sein könnte?

Nate Pinchot
quelle
Könnte etwas in der Art sein, wie Google und alle davon betroffen waren. US-Unternehmen wurden in den letzten Monaten bis zu einem Jahr von jemandem angegriffen, der in der Lage ist, seine eigenen Exploits zu schreiben, und der weiß, wie man vom regulären Nicht-Administrator-Benutzer zum Domain-Administrator aufsteigt. Suchen Sie nach technischen Geschichten zu den jüngsten Angriffen gegen Google und andere.
Alex Holst
Alex, dies passt nicht zum Modell eines APT-Angriffs - APT-Angriffe sind sehr präzise, ​​spezifisch und zurückhaltend. Wie wurde dieser Angriff entdeckt? Weil es einen großen Einfluss auf die Leistung des Netzwerks hatte - genug, damit sich jemand damit befassen kann - definitiv nicht APT; es sei denn, es ist vielleicht eine Finte, den wirklichen Angriffsvektor zu verbergen.
Josh Brower

Antworten:

4

Entschuldigung, ich habe keine Ahnung, was das ist, aber Sie haben gerade wichtigere Probleme.

Wie viele Maschinen machen das? Haben Sie sie alle vom Netzwerk getrennt? (und wenn nicht, warum nicht?)

Können Sie Hinweise darauf finden, dass Domain-Konten kompromittiert wurden (insbesondere Domain-Administratorkonten)?

Ich kann verstehen, dass Sie Ihre Desktops nicht erneut erstellen möchten, aber wenn Sie dies nicht tun, können Sie nicht sicher sein, ob Sie die Maschinen reinigen werden.

Erste Schritte:

  • Stellen Sie sicher, dass komplexe Kennwörter in Ihrer Domain aktiviert sind
  • Festlegen einer Sperrrichtlinie - Dies führt zu Problemen, wenn Sie noch Scan-Computer haben. Dies ist jedoch besser, als wenn mehr Konten kompromittiert werden
  • Isolieren Sie eine bekannte schlechte Maschine. Versucht sie, mit der Außenwelt zu sprechen? Sie müssen dies in Ihrem Netzwerk an Ihrem Gateway blockieren
  • Versuchen Sie, alle bekannten fehlerhaften Maschinen zu isolieren.
  • Überwachen Sie nach weiteren Scan-Geräten.
  • Erzwingen Sie, dass alle Benutzer ihr Kennwort ändern, und überprüfen Sie alle Ihre Dienstkonten.
  • Deaktivieren Sie nicht mehr verwendete Konten.
  • Überprüfen Sie Ihre Gruppenmitgliedschaften auf Servern und Domänencontrollern (Domänenadministratoren, Administratoren usw.).

Als nächstes müssen Sie eine Forensik auf Ihren bekannten fehlerhaften Maschinen durchführen, um zu verfolgen, was passiert ist. Sobald Sie dies wissen, haben Sie eine bessere Chance zu wissen, wie weit dieser Angriff reicht. Verwenden Sie den Root-Kit-Enthüller und stellen Sie möglicherweise sogar ein Image der Festplatte bereit, bevor Sie Beweise zerstören. Linux Live-CDs mit NTFS-Unterstützung können hier sehr nützlich sein, da Sie damit herausfinden können, was ein Root-Kit möglicherweise versteckt.

Dinge, die man beachten muss:

  • Haben Sie auf allen Arbeitsstationen ein standardmäßiges lokales Administratorkennwort (schwach)?
  • Haben Ihre Benutzer Administratorrechte?
  • Verwenden alle Domain-Administratoren separate Konten für DA-Aktivitäten? Ziehen Sie in Betracht, Einschränkungen für diese Konten festzulegen (z. B. Arbeitsstationen, an denen Sie sich anmelden können).
  • Sie geben keine Informationen über Ihr Netzwerk. Haben Sie öffentlich zugängliche Dienste?

Bearbeiten: Der Versuch, mehr Informationen zu geben, ist schwierig, da es wirklich davon abhängt, was Sie finden. Nachdem Sie sich jedoch vor einigen Jahren in einer ähnlichen Situation befunden haben, müssen Sie wirklich allem misstrauen, insbesondere Maschinen und Konten, von denen Sie wissen, dass sie kompromittiert sind.

Bryan
quelle
Wir haben gute Passwörter und Richtlinien. Der Zugriff von außen ist bereits extrem eingeschränkt (http nur über Proxy, die meisten Ports blockiert usw. usw.) - kein Problem. Es können nicht alle Benutzer gezwungen werden, Kennwörter zu ändern, aber alle Administratorbenutzer sind machbar. Siehe meinen Kommentar zu Josh unten für Details zur Forensik. Keine anderen Benutzer als die erforderlichen haben Administratorrechte. Keine anderen öffentlich zugänglichen Dienste als der Webverkehr zur DMZ, aber diese Computer waren nicht betroffen - bisher nur Desktops.
Nate Pinchot
Es ist auch erwähnenswert, dass ich, obwohl ich sagte, dass eine Neuerstellung nicht günstig ist, im Moment hauptsächlich nach Daten suche, damit ich das Image, das wir für die Neuerstellung verwenden, schützen kann, da es offensichtlich irgendwo ein Loch gibt. Wenn ich nützlichere Daten als "Worm.Generic" finde, werde ich sie in einer Antwort veröffentlichen. Dies als Antwort markieren, da dies wirklich der richtige Weg ist.
Nate Pinchot
Sie müssen den Vektor identifizieren, mit dem dieser Code in Ihr Netzwerk eingeführt wurde. Es ist nicht immer aus dem Internet, ausführbar auf USB-Sticks und persönlichem Speicher. Wenn Sie den Vektor nicht finden, kommt er wahrscheinlich zurück.
Der Unix-Hausmeister
@Nate. Es tut mir leid, diesen alten Thread wieder nach oben zu ziehen, aber warum konnten Sie nicht alle Benutzer zwingen, Kennwörter zu ändern? Wir haben es für 25.000 Benutzer ohne allzu großen Aufwand gemacht, einschließlich Remotebenutzer. Ich vertraue darauf, dass dir sowieso alles gut gegangen ist?
Bryan
Das Netzwerk ist für ein Schulsystem gedacht, mit ungefähr 5.000 Schülern und vielen nicht so computererfahrenen Lehrern und Schulpersonal. Es hätte ziemlich viel Kopfschmerzen verursacht, wenn alle Benutzer ihr Passwort bei der nächsten Anmeldung ändern müssten. Alles lief gut. Wir haben alle Administratorkennwörter geändert, die Server nach Bedarf aus dem Backup wiederhergestellt und alle PCs neu abgebildet.
Nate Pinchot
2

Es kann sich um alles von L0phtCrack bis THC-Hydra oder sogar um eine benutzerdefinierte Anwendung handeln, obwohl Ihre AV-Lösung die bekannten Apps hätte übernehmen sollen.

Zu diesem Zeitpunkt müssen Sie alle infizierten Systeme identifizieren, unter Quarantäne stellen (vlan usw.) und die Malware enthalten und beseitigen.

Haben Sie Ihr IT-Sicherheitsteam bereits kontaktiert?

Schließlich verstehe ich, dass Sie nicht neu erstellen möchten, aber an diesem Punkt (mit den wenigen Daten, die Sie angegeben haben) würde ich sagen, dass das Risiko einen Neuaufbau rechtfertigt.

-Josh

Josh Brower
quelle
2
Danke für die Links. Wir werden wahrscheinlich neu erstellen müssen, wir haben Bilder. Aber was noch wichtiger ist, wir möchten nicht neu erstellen und das Gleiche noch einmal passieren lassen, also müssen wir herausfinden, was dies ist, damit wir die Bilder davor und dann schützen können wieder aufbauen. Mit GMER konnte ich feststellen, dass ein Rootkit vorhanden war, und die installierten Dienste deaktivieren. Beim Neustart hat BitDefender es als Worm.Generic.42619 erkannt (googeln ist nicht hilfreich - und es wird auch nicht in der Virus-Datenbank danach gesucht). Also warte darauf, dass sie mir jetzt mehr Informationen geben.
Nate Pinchot
1
Nate- Eigentlich führt mich Worm.Generic.42619 hierher ( goo.gl/RDBj ), was mich hierher führt ( goo.gl/n6aH ), was, wenn man sich den ersten Treffer ( goo.gl/Le8u ) ansieht Einige Ähnlichkeiten mit der Malware, die derzeit Ihr Netzwerk infiziert ....
Josh Brower
"Wir wollen nicht wieder aufbauen und das Gleiche noch einmal passieren lassen, also müssen wir herausfinden, was das ist", garantiert ein +1
Maximus Minimus
0

Versuchen Sie, ein anderes Erfassungsprogramm auszuführen, um sicherzustellen, dass die Ergebnisse bestätigen, was Wireshark sieht. Wireshark hatte in der Vergangenheit Probleme beim Entschlüsseln des Kerberos-Verkehrs. Stellen Sie sicher, dass es sich bei dem, was Sie sehen, nicht um einen roten Hering handelt.

Sehen Sie andere "Anomolien" in der Aufnahme?

Joeqwerty
quelle
Auf keinen Fall ein roter Hering, entdeckte einen Virus - die Kommentare zu Josh Browers Antwort enthalten die Details.
Nate Pinchot