Wie gehe ich mit der Entfernung / Beseitigung eines unbekannten Wurms in unserem Netzwerk um?

13

TL; DR

Ich bin mir ziemlich sicher, dass unser kleines Netzwerk von einer Art Wurm / Virus infiziert wurde. Es scheint jedoch nur unsere Windows XP-Maschinen zu treffen. Windows 7-Computer und Linux-Computer (na ja) scheinen nicht betroffen zu sein. Antiviren-Scans zeigen nichts an, aber unser Domain-Server hat Tausende fehlgeschlagene Anmeldeversuche für verschiedene gültige und ungültige Benutzerkonten protokolliert, insbesondere für den Administrator. Wie kann ich verhindern, dass sich dieser unbekannte Wurm verbreitet?

Symptome

Einige unserer Windows XP-Benutzer haben ähnliche Probleme gemeldet, die jedoch nicht vollständig identisch sind. Sie alle erfahren zufällige Herunterfahren / Neustarts, die von der Software initiiert werden. Auf einem der Computer erscheint ein Dialog mit einem Countdown bis zum Neustart des Systems, der anscheinend von NT-AUTHORITY \ SYSTEM gestartet wurde und mit einem RPC-Aufruf zu tun hat. Insbesondere dieser Dialog ist genau der gleiche wie der, der in Artikeln beschrieben wird, in denen ältere RPC-Exploit-Würmer beschrieben werden.

Wenn zwei der Computer neu gestartet wurden, wurden sie an der Anmeldeaufforderung wieder angezeigt (es handelt sich um Domänencomputer), der aufgeführte Benutzername lautete jedoch "admin", obwohl sie sich nicht als admin angemeldet hatten.

Auf unserem Windows Server 2003-Computer, auf dem die Domäne ausgeführt wird, habe ich mehrere tausend Anmeldeversuche aus verschiedenen Quellen festgestellt. Sie haben alle unterschiedlichen Anmeldenamen ausprobiert, einschließlich Administrator, Administrator, Benutzer, Server, Besitzer und andere.

Einige der Protokolle haben IPs aufgelistet, andere nicht. Von denen, die eine Quell-IP-Adresse hatten (für die fehlgeschlagenen Anmeldungen), entsprechen zwei den beiden Windows XP-Computern, auf denen Neustarts durchgeführt wurden. Erst gestern habe ich eine Reihe von fehlgeschlagenen Anmeldeversuchen von einer externen IP-Adresse bemerkt. Eine Traceroute zeigte, dass die externe IP-Adresse von einem kanadischen ISP stammt. Wir sollten niemals eine Verbindung von dort haben (wir haben jedoch VPN-Benutzer). Ich bin mir also immer noch nicht sicher, was mit den Anmeldeversuchen von einer gefälschten IP-Adresse los ist.

Es scheint offensichtlich, dass sich auf diesen Computern Malware befindet, und ein Teil der Aufgabe besteht darin, Kennwörter für Domänenkonten aufzulisten, um Zugriff zu erhalten.

Was ich bisher gemacht habe

Nachdem ich begriffen hatte, was vor sich ging, musste ich zunächst sicherstellen, dass alle auf dem neuesten Stand sind und einen Scan durchführen. Von den betroffenen Computern hat einer einen abgelaufenen Antiviren-Client, bei den beiden anderen handelte es sich um aktuelle Versionen von Norton, und bei vollständigen Scans beider Systeme wurde nichts gefunden.

Der Server selbst führt regelmäßig ein aktuelles Virenschutzprogramm aus und weist keine Infektionen auf.

Also haben 3/4 der Windows NT-basierten Computer ein aktuelles Antivirenprogramm, das jedoch nichts erkannt hat. Ich bin jedoch überzeugt, dass etwas los ist, was sich hauptsächlich in den Tausenden fehlgeschlagenen Anmeldeversuchen für verschiedene Konten zeigt.

Mir ist auch aufgefallen, dass das Stammverzeichnis unserer Hauptdateifreigabe ziemlich offene Berechtigungen hatte, sodass ich es nur auf das Lesen und Ausführen für normale Benutzer beschränkte. Der Administrator hat natürlich vollen Zugriff. Ich möchte auch, dass die Benutzer ihre Kennwörter aktualisieren (auf sichere Kennwörter), und ich werde mich auf dem Server in Administrator umbenennen und das Kennwort ändern.

Ich habe die Maschinen bereits aus dem Netzwerk entfernt, eine wird durch eine neue ersetzt, aber ich weiß, dass sich diese Dinge über Netzwerke ausbreiten können, also muss ich dem immer noch auf den Grund gehen.

Außerdem verfügt der Server über ein NAT / Firewall-Setup, bei dem nur bestimmte Ports geöffnet sind. Ich habe einige der Windows-bezogenen Dienste mit offenen Ports noch nicht vollständig untersucht, da ich einen Linux-Hintergrund habe.

Was jetzt?

Alle modernen und aktuellen Antivirenprogramme haben also nichts entdeckt, aber ich bin absolut davon überzeugt, dass diese Computer mit Viren infiziert sind. Ich begründe dies mit dem zufälligen Neustart / der Instabilität der XP-Computer in Kombination mit den Tausenden von Anmeldeversuchen, die von diesen Computern ausgehen.

Ich plane, Benutzerdateien auf den betroffenen Computern zu sichern, Windows neu zu installieren und die Laufwerke neu zu formatieren. Ich ergreife auch einige Maßnahmen, um die gemeinsamen Dateifreigaben zu sichern, die möglicherweise zur Verbreitung auf anderen Computern verwendet wurden.

Wenn ich das alles weiß, was kann ich tun, um sicherzustellen, dass dieser Wurm nicht irgendwo anders im Netzwerk ist, und wie kann ich seine Ausbreitung verhindern?

Ich weiß, dass dies eine langwierige Frage ist, aber ich bin hier nicht in der Tiefe und könnte einige Hinweise gebrauchen.

Danke fürs schauen!

windows windows-server-2003 security network-monitoring malware Mr. Shickadance
quelle
Möglicherweise wurde ein Duplikat meines Servers im
Notfall
Es ist nicht genau dasselbe, kommt aber sehr nahe ....
mailq
1
Ist Ihr Server, auf dem die fehlgeschlagenen Anmeldeversuche angezeigt werden, über das Internet erreichbar oder befindet er sich im internen LAN?
MDMarra
5
F..king sh.t. Und niemand hat dich dafür getötet ?!
mailq
4
Nun, zum Glück bin ich nicht derjenige, der es verdient getötet zu werden, er ist bereits gegangen. Ich bin nur hier, um die Stücke abzuholen.
Mr. Shickadance

Antworten:

18

Dies sind meine allgemeinen Vorschläge für diese Art von Verfahren. Ich schätze, dass Sie einige bereits behandelt haben, aber es ist besser, sich zweimal etwas sagen zu lassen, als etwas Wichtiges zu verpassen. Diese Notizen richten sich an Malware, die sich in einem LAN ausbreitet, aber leicht zurückgefahren werden kann, um kleinere Infektionen zu behandeln.

Stoppen der Fäule und Auffinden der Infektionsquelle.

  1. Stellen Sie sicher, dass Sie über eine aktuelle Sicherung aller Systeme und Daten in diesem Netzwerk verfügen, um die sich das Unternehmen kümmert. Stellen Sie sicher, dass Sie feststellen, dass dieses Wiederherstellungsmedium möglicherweise gefährdet ist, sodass Benutzer nicht versuchen, es innerhalb von drei Monaten wiederherzustellen, während Sie sich umdrehen, und das Netzwerk erneut infizieren. Wenn Sie eine Sicherungskopie von vor der Infektion haben, legen Sie diese ebenfalls sicher beiseite.

  2. Fahren Sie das Live-Netzwerk herunter, wenn Sie dies können (dies muss wahrscheinlich zumindest im Rahmen des Bereinigungsprozesses erfolgen). Denken Sie zumindest ernsthaft darüber nach, dieses Netzwerk, einschließlich der Server, vom Internet fernzuhalten, bis Sie wissen, was los ist - was ist, wenn dieser Wurm Informationen stiehlt?

  3. Geh nicht über dich hinaus. Es ist verlockend zu sagen, dass an diesem Punkt alles sauber gebaut ist, dass jeder das Passwort ändern muss usw. und dass dies als "gut genug" bezeichnet wird. Während Sie dies wahrscheinlich früher oder später tun müssen , es ist jedoch wahrscheinlich, dass Sie Infektionsherde haben, wenn Sie nicht verstehen, was in Ihrem LAN vor sich geht. ( Wenn Sie die Infektion nicht weiter untersuchen möchten, fahren Sie mit Schritt 6 fort. )

  4. Kopieren Sie eine infizierte Maschine in eine virtuelle Umgebung. isolieren Sie diese virtuelle Umgebung von allem anderen, einschließlich der Host-Maschine, bevor Sie den gefährdeten Gast starten .

  5. Erstellen Sie ein anderes Paar von sauberen virtuellen Gastmaschinen für sie dann zu infizieren isolieren , die Netzwerk und benutzen Werkzeuge wie wireshark den Netzwerkverkehr (Zeit zu überwachen Vorteil , dass Linux Hintergrund zu nehmen und erstellen einen anderen Gast auf diesem virtuellen LAN , die alle diesen Verkehr beobachten kann , ohne von einem Windows-Wurm infiziert werden!) und Process Monitor , um Änderungen auf all diesen Computern zu überwachen. Bedenken Sie auch, dass das Problem möglicherweise ein gut verstecktes Rootkit ist - versuchen Sie, ein seriöses Tool zu verwenden, um diese zu finden, aber denken Sie daran, dass dies ein harter Kampf ist. Wenn Sie also nichts finden, heißt das nicht, dass es nichts gibt.

  6. (Vorausgesetzt, Sie können das Haupt-LAN ​​nicht herunterfahren.) Verwenden Sie wireshark im Haupt-LAN, um den Datenverkehr zu überprüfen, der von / zu den infizierten Computern gesendet wird. Behandeln Sie unerklärlichen Datenverkehr von einem Computer als potenziell verdächtig - das Fehlen sichtbarer Symptome ist kein Hinweis auf das Fehlen eines Kompromisses . Sie sollten sich insbesondere Gedanken über Server und Workstations machen, auf denen geschäftskritische Informationen ausgeführt werden.

  7. Sobald Sie infizierte Prozesse auf den virtuellen Gästen isoliert haben, sollten Sie in der Lage sein , ein Muster an das Unternehmen zu senden, das die Antivirensoftware erstellt hat, die Sie auf diesen Computern verwenden. Sie werden gerne Beispiele untersuchen und Korrekturen für jede neue Malware erstellen, die sie sehen. In der Tat, wenn Sie dies noch nicht getan haben, sollten Sie sie mit Ihrer Leidensgeschichte kontaktieren, da sie vielleicht irgendwie helfen können.

  8. Versuchen Sie sehr genau herauszufinden, was der ursprüngliche Infektionsvektor war genau - dieser Wurm ist möglicherweise ein Exploit, der in einer manipulierten Website versteckt ist, die jemand besucht hat. Möglicherweise wurde er von jemandem zu Hause auf einem Memory Stick eingespielt oder per E-Mail erhalten, um nur einige zu nennen aber ein paar möglichkeiten. Hat der Exploit diese Computer über einen Benutzer mit Administratorrechten kompromittiert? Wenn ja, geben Sie Benutzern in Zukunft keine Administratorrechte mehr. Sie müssen versuchen, sicherzustellen, dass die Infektionsquelle behoben ist, und Sie müssen prüfen, ob Sie Verfahrensänderungen vornehmen können, um diesen Infektionsweg für zukünftige Exploits zu erschweren.

Aufräumen

Einige dieser Schritte scheinen übertrieben. Heck einige von ihnen wahrscheinlich sind übertrieben, vor allem , wenn Sie feststellen , dass nur wenige Maschinen tatsächlich gefährdet sind, aber sie sollten garantieren , Ihr Netzwerk ist so sauber , wie es sein kann. Die Bosse werden auch nicht auf einige dieser Schritte scharf sein, aber es gibt nicht viel zu tun.

  1. Fahren Sie alle Computer im Netzwerk herunter. Alle Arbeitsplätze. Alle Server. Alles. Ja, sogar der Laptop des jugendlichen Sohnes des Chefs, mit dem sich der Sohn ins Netzwerk schleicht, während er darauf wartet, dass der Vater seine Arbeit beendet, damit der Sohn auf der aktuellen Social-Media-Site du-jour ' dubious-javascript-exploit-Ville ' spielen kann . In der Tat, darüber nachzudenken, schloß diese Maschine nach unten besonders . Mit einem Ziegel, wenn es das ist.

  2. Starten Sie nacheinander jeden Server. Wenden Sie alle Korrekturen an, die Sie selbst entdeckt haben oder die Sie von einem AV-Unternehmen erhalten haben. Revidieren Sie die Benutzer und Gruppen für ungeklärte Konten (sowohl lokale Konten und AD - Konten), installiert Prüfsoftware für etwas Unerwartetes und Verwendung wireshark auf einem anderen System Datenverkehr von diesem Server kommt zu beobachten (Wenn Sie finden alle Probleme an dieser Stelle dann ernsthaft in Erwägung ziehen Wiederaufbau dieser Server). Fahren Sie jedes System herunter, bevor Sie das nächste starten, damit ein kompromittierter Computer die anderen nicht angreifen kann. Oder trennen Sie sie vom Netzwerk, damit Sie mehrere gleichzeitig ausführen können, aber sie können nicht miteinander sprechen.

  3. Sobald Sie sicher sind, dass alle Ihre Server sauber sind, starten Sie sie und verwenden Sie Wireshark, Prozessmonitor usw. Beobachten Sie sie erneut auf merkwürdiges Verhalten.

  4. Setzen Sie jedes einzelne Benutzerpasswort zurück . Und wenn möglich auch Service-Account-Passwörter. Ja, ich weiß, es ist ein Schmerz. Wir sind dabei, "möglicherweise über dem obersten" Territorium zu landen. Ihr Anruf.

  5. Erstellen Sie alle Arbeitsstationen neu . Führen Sie dies nacheinander durch, damit möglicherweise infizierte Computer nicht im Leerlauf im LAN sitzen und neu erstellte angreifen. Ja, das wird eine Weile dauern, tut mir leid.

  6. Wenn das nicht möglich ist, dann:

    Führen Sie die oben beschriebenen Schritte für Server auf allen "hoffentlich sauberen" Arbeitsstationen aus.

    Erstellen Sie alle neu, die Hinweise auf verdächtige Aktivitäten enthielten, und schalten Sie dabei alle "hoffentlich sauberen" Computer aus.

  7. Wenn Sie noch nicht über zentrales AV nachgedacht haben, das Probleme an einen Server zurückmeldet, auf dem Sie nach Problemen, zentraler Ereignisprotokollierung, Netzwerküberwachung usw. suchen können. aber hier liegt eindeutig ein problem vor, oder?

  8. Überprüfen Sie die Benutzerrechte und Softwareinstallationen auf diesen Computern und richten Sie ein periodisches Audit ein, um sicherzustellen, dass die erwarteten Bedingungen weiterhin erfüllt sind. Stellen Sie außerdem sicher, dass Benutzer ermutigt werden, umgehend Meldungen abzugeben, ohne sich darüber zu beschweren, und fördern Sie die Unternehmenskultur, IT-Probleme zu beheben, anstatt den Messenger abzuschießen.

Rob Moir
quelle
3
Und zum Schluss, Mr. Shickadance, viel Glück.
Dan
7

Sie haben alle Dinge getan, die ich tun würde (wenn ich noch ein Windows-Administrator wäre).

  1. Isolieren Sie die betroffenen Maschinen.
  2. Antivirendefinitionen aktualisieren
    Führen Sie AV / Malware / etc. Scannt im gesamten Netzwerk
  3. Blasen Sie die betroffenen Maschinen weg (wischen Sie die Saugnäpfe vollständig aus) und installieren Sie sie erneut.
  4. Stellen Sie Benutzerdaten von Sicherungen wieder her (stellen Sie sicher, dass sie sauber sind).

Beachten Sie, dass der Virus / Wurm / was auch immer in E-Mails (auf Ihrem Mail-Server) oder in einem Makro in einem Word- / Excel-Dokument lauert das nächste mal.

voretaq7
quelle
3
Es kommt alles für "Neuinstallation". Versuchen Sie nicht, das Problem zu beheben.
mailq
@mailq yup. Es gibt keine Möglichkeit, ein infiziertes oder gefährdetes System zu "säubern".
voretaq7
Ich nahm an, dass dies der Fall war. Mein Problem ist, dass ich immer noch nicht genau feststellen konnte, was gerade passiert, und ich möchte nur sicherstellen, dass unser Server und unser Netzwerk sauber sind. Zumindest so gut ich kann. Nur
räume
3
@ Mr.Shickadance Leider ist die einzige Möglichkeit, "zu wissen ", dass die Umgebung sauber ist, die Erstellung einer neuen, vollständig getrennten Umgebung und die Einwanderung von Personen, die keinen Kontakt zur alten Umgebung haben. Das ist nicht realistisch. Das Beste, was Sie tun können, ist, "einigermaßen zuversichtlich" zu sein, dass Sie das Problem behoben haben.
Voretaq7
Nun, bis zu diesem Punkt bin ich gerade dabei, einen Ersatz-Linux-Server aufzubauen. Leider wurde es bereits mit diesem "verdorbenen" Netzwerk verbunden, aber es wurde nicht wirklich verwendet. Ich habe selbst daran gearbeitet und seine Dienste genutzt. Ich werde einfach weitermachen und die schlechten Äpfel entfernen, die Sicherheit auf dem alten Server so weit wie möglich aktualisieren und auf das Beste hoffen.
Mr. Shickadance
2

Die erste Lehre daraus ist, dass AV-Lösungen nicht perfekt sind. Nicht einmal annähernd.

Wenn Sie mit den AV-Softwareanbietern auf dem neuesten Stand sind, rufen Sie diese an. Alle von ihnen haben Unterstützungsnummern für genau diese Art von Dingen. In der Tat werden sie wahrscheinlich sehr interessiert sein, was Sie getroffen hat.

Nehmen Sie, wie bereits erwähnt, jede Maschine herunter, wischen Sie sie ab und installieren Sie sie neu. Sie könnten diese Gelegenheit nutzen, um jeden von XP zu befreien. Es ist schon seit einiger Zeit ein totes Betriebssystem. Zumindest sollten dabei die HD-Partitionen zerstört und neu formatiert werden. Es hört sich zwar so an, als wären nicht so viele Maschinen beteiligt, daher ist der Kauf eines komplett neuen Ersatzteils möglicherweise die bessere Option.

Lassen Sie auch Ihren Chef / Ihre Chefs wissen, dass dies gerade teuer wurde.

Warum um alles in der Welt würden Sie all das von einem einzigen Server aus ausführen? (Rhetorisch, ich weiß, dass Sie es "geerbt" haben) Ein DC sollte NIEMALS über das Internet zugänglich sein. Beheben Sie dieses Problem, indem Sie die entsprechende Hardware installieren, um die von Ihnen benötigten Funktionen zu gewährleisten.

Nicht ich
quelle
Ja, es gibt tatsächlich noch mehr Probleme mit diesem Setup. Sie werden wahrscheinlich lachen, wenn ich sage, dass ein alter Netgear-Heim-WLAN-Router als Gateway für das gesamte Netzwerk verwendet wurde.
Mr. Shickadance
1
@ Mr.Shickadance - weinen, anstatt zu lachen. War das die Schuld Ihres Vorgängers oder hat sich das Unternehmen dafür entschieden, nicht richtig in IT zu investieren und zahlt jetzt einen Preis?
Rob Moir
2
Ich bin nicht sicher, aber es könnte eine Kombination aus beiden gewesen sein. In jedem Fall bin ich hier, um das Problem zu beheben, und ich habe Support, sodass wir bereits in neue Hardware investiert haben. Auf jeden Fall habe ich die fehlerhaften Systeme aus dem Netzwerk entfernt, obwohl ich den alten Server nicht ausschalten kann. Soweit ich weiß, ist nichts Ungewöhnliches passiert, also werde ich einfach weiter den hier gegebenen Ratschlägen folgen müssen.
Mr. Shickadance
0

Es ist höchstwahrscheinlich ein Rootkit, wenn Ihre A / V-Programme nichts auftauchen. Versuchen Sie, TDSSkiller auszuführen, und sehen Sie, was Sie finden. Dies wäre auch der perfekte Zeitpunkt, um die archaischen Windows XP-Computer durch weniger als ein Jahrzehnt alte Computer zu ersetzen. Abgesehen von Software wie Antivirenprogrammen habe ich nur sehr wenig von Programmen gesehen, die nicht über ein Shim ausgeführt werden konnten oder bei denen einige NTFS / Registry-Berechtigungen unter Windows 7 gelockert wurden XP ausführen.

Daniel Winks
quelle