试图强行攻击Active Directory用户的病毒(按字母顺序)?


8

用户开始抱怨网络速度慢,所以我启动了Wireshark。做了一些检查,发现许多PC发送类似于以下内容的数据包(屏幕截图):

http://imgur.com/45VlI.png

我模糊了用户名,计算机名和域名的文本(因为它与Internet域名匹配)。计算机向Active Directory服务器发送垃圾邮件,试图强行破解密码。它将以Administrator开头,并按字母顺序在用户列表中向下移动。物理上去PC时,在PC的任何地方都找不到人,而且这种行为散布在整个网络中,因此它似乎是某种病毒。扫描被发现使用Malwarebytes,Super Antispyware和BitDefender(这是客户端具有的防病毒软件)向服务器发送垃圾邮件的计算机不会产生任何结果。

这是一个拥有约2500台PC的企业网络,因此进行重建不是一个明智的选择。我的下一步是联系BitDefender,以了解他们可以提供什么帮助。
是否有人看到过这样的东西或有任何想法可能是什么?


可能与Google et所遭受的一切相似。在过去的几个月到一年中,美国公司受到能够写自己的漏洞利用程序的人的攻击,他们知道如何将普通非管理员用户提升为Domain Admin。搜索与近期针对Google等的攻击有关的一些技术故事。
亚历克斯·霍尔斯特

Alex,这不适合APT攻击的模型-APT攻击非常精确,特定且低调。如何发现这种攻击?因为它对网络的性能造成了巨大的打击-足以让人们研究它-绝对不是APT;除非隐瞒真正的攻击媒介,否则可能是轻率的。
乔什·布劳

Answers:


4

抱歉,我不知道这是什么,但是,您现在有更重要的问题。

有多少台机器正在执行此操作?您是否已将它们全部与网络断开连接?(如果没有,为什么不呢?)

您是否可以找到任何域帐户(尤其是域管理员帐户)遭到入侵的证据?

我可以理解您不希望再次构建台式机,但是除非您这样做,否则无法确定是否要清洁机器。

第一步:

  • 确保您的域上启用了复杂密码
  • 设置锁定策略-如果您仍然拥有扫描机,这将给您带来问题,但是比被盗用的更多帐户更好
  • 隔离已知的故障机器,是否要与外界对话?您需要在网关的整个网络中阻止它
  • 尝试隔离所有已知的故障机器。
  • 监视更多扫描机。
  • 强制所有用户更改密码,检查所有服务帐户。
  • 禁用任何不再使用的帐户。
  • 检查服务器和DC上的组成员身份(域管理员,管理员等)

接下来,您需要对已知的故障机器执行一些取证,以尝试跟踪发生的情况。一旦知道了这一点,便有更多的机会知道这种攻击的范围。使用根工具包显示程序,甚至在销毁任何证据之前甚至对硬盘进行映像。带有NTFS支持的Linux Live CD在这里可能非常有用,因为它们应该允许您查找可能隐藏的根工具包。

注意事项:

  • 您在所有工作站上都​​具有标准的本地管理员(弱)密码吗?
  • 您的用户是否具有管理员权限?
  • 是否所有域管理员都将单独的帐户用于DA活动?考虑对这些帐户设置限制(例如,您可以登录的工作站)。
  • 您不提供有关网络的任何信息。您有任何公开曝光的服务吗?

编辑:尝试提供更多信息非常困难,因为它确实取决于您所找到的内容,但是几年前处于类似情况,您确实需要不信任所有内容,尤其是您知道会受到威胁的机器和帐户。


我们有完善的密码和政策。外部访问已经非常受限制(仅通过代理访问http,大部分端口被阻止,等等)-没问题。不能强制所有用户更改密码,但是所有管理员用户都是可行的。有关法医的详细信息,请参见下面我对Josh的评论。除了必要的用户外,没有其他用户具有管理员权限。除了通向DMZ的网络流量外,没有任何公开的服务,但是这些机器没有受到影响-到目前为止只有台式机。
Nate Pinchot 2010年

还值得注意的是,虽然我确实说过重建并不理想,但我目前主要是在关注数据,因此我可以保护我们用于重建的映像,因为显然某个地方存在漏洞。如果我发现比“ Worm.Generic”更有用的数据,我将其发布在答案中。将此标记为答案,因为这确实是要走的路。
Nate Pinchot 2010年

您需要确定将此代码引入网络的媒介。它并不总是来自互联网,可以在USB密钥和个人存储设备上执行。如果找不到向量,则很可能会回来。
Unix管理员

@Nate。抱歉,将旧线程拖回去,但是为什么不能强制所有用户更改密码?我们为包括远程用户在内的2万5千名用户做到了这一点。我相信无论如何,一切顺利吗?
布莱恩(Bryan)

该网络用于学校系统,大约有5,000名学生用户,并且有许多不太懂计算机的老师和学校工作人员。要求所有用户在下次登录时更改其密码会造成很多麻烦。一切进展顺利。我们更改了所有管理密码,根据需要从备份中还原了服务器,并重新镜像了所有PC。
Nate Pinchot

2

它可以是从L0phtCrackTHC-Hydra的任何东西,甚至可以是自定义编码的应用程序,尽管您的影音解决方案应该会选择知名的应用程序。

此时,您需要确定所有受感染的系统,将其隔离(VLAN等),并包含并消除该恶意软件。

您是否已联系您的IT安全团队?

最终,我了解到您不希望进行重建,但是在这一点上(使用您提供的少量数据),我会说有风险进行重建。

-乔什


2
感谢您的链接。我们可能必须重建,我们拥有图像,但更重要的是,我们不想重建并且同一件事再次发生,因此我们需要弄清楚这是什么,以便我们可以保护图像免受其侵害,然后重建。使用GMER,我能够确定rootkit到位并禁用了它已安装的服务。当我重新启动时,BitDefender将其检测为Worm.Generic.42619(对此进行搜索无济于事-也不在其病毒数据库中搜索它)。因此,等待他们现在给我更多信息。
Nate Pinchot 2010年

1
Nate-实际上,Worm.Generic.42619将我引到这里(goo.gl/RDBj),将我引到这里(goo.gl/n6aH),如果您查看第一个匹配项goo.gl/Le8u),一些相似的恶意软件感染当前网络....
约什-布劳尔

“我们不想重建,并且同样的事情会再次发生,所以我们需要弄清楚这是什么。” +1
Maximus Minimus

0

尝试运行其他捕获程序,以确保结果确认Wireshark所见。过去,Wireshark在解码Kerberos流量时遇到问题。确保您看到的不是鲱鱼。

您是否在捕获中看到任何其他“臭气”?


绝对不是红鲱鱼,而是发现了病毒-Josh Brower的回复评论中有详细信息。
Nate Pinchot 2010年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.