试图强行攻击Active Directory用户的病毒（按字母顺序）？

用户开始抱怨网络速度慢，所以我启动了Wireshark。做了一些检查，发现许多PC发送类似于以下内容的数据包（屏幕截图）：

我模糊了用户名，计算机名和域名的文本（因为它与Internet域名匹配）。计算机向Active Directory服务器发送垃圾邮件，试图强行破解密码。它将以Administrator开头，并按字母顺序在用户列表中向下移动。物理上去PC时，在PC的任何地方都找不到人，而且这种行为散布在整个网络中，因此它似乎是某种病毒。扫描被发现使用Malwarebytes，Super Antispyware和BitDefender（这是客户端具有的防病毒软件）向服务器发送垃圾邮件的计算机不会产生任何结果。

这是一个拥有约2500台PC的企业网络，因此进行重建不是一个明智的选择。我的下一步是联系BitDefender，以了解他们可以提供什么帮助。
是否有人看到过这样的东西或有任何想法可能是什么？

抱歉，我不知道这是什么，但是，您现在有更重要的问题。

有多少台机器正在执行此操作？您是否已将它们全部与网络断开连接？（如果没有，为什么不呢？）

您是否可以找到任何域帐户（尤其是域管理员帐户）遭到入侵的证据？

我可以理解您不希望再次构建台式机，但是除非您这样做，否则无法确定是否要清洁机器。

第一步：

• 确保您的域上启用了复杂密码
• 设置锁定策略-如果您仍然拥有扫描机，这将给您带来问题，但是比被盗用的更多帐户更好
• 隔离已知的故障机器，是否要与外界对话？您需要在网关的整个网络中阻止它
• 尝试隔离所有已知的故障机器。
• 监视更多扫描机。
• 强制所有用户更改密码，检查所有服务帐户。
• 禁用任何不再使用的帐户。
• 检查服务器和DC上的组成员身份（域管理员，管理员等）

接下来，您需要对已知的故障机器执行一些取证，以尝试跟踪发生的情况。一旦知道了这一点，便有更多的机会知道这种攻击的范围。使用根工具包显示程序，甚至在销毁任何证据之前甚至对硬盘进行映像。带有NTFS支持的Linux Live CD在这里可能非常有用，因为它们应该允许您查找可能隐藏的根工具包。

注意事项：

• 您在所有工作站上都​​具有标准的本地管理员（弱）密码吗？
• 您的用户是否具有管理员权限？
• 是否所有域管理员都将单独的帐户用于DA活动？考虑对这些帐户设置限制（例如，您可以登录的工作站）。
• 您不提供有关网络的任何信息。您有任何公开曝光的服务吗？

编辑：尝试提供更多信息非常困难，因为它确实取决于您所找到的内容，但是几年前处于类似情况，您确实需要不信任所有内容，尤其是您知道会受到威胁的机器和帐户。

它可以是从L0phtCrack到THC-Hydra的任何东西，甚至可以是自定义编码的应用程序，尽管您的影音解决方案应该会选择知名的应用程序。

此时，您需要确定所有受感染的系统，将其隔离（VLAN等），并包含并消除该恶意软件。

您是否已联系您的IT安全团队？

最终，我了解到您不希望进行重建，但是在这一点上（使用您提供的少量数据），我会说有风险进行重建。

-乔什

尝试运行其他捕获程序，以确保结果确认Wireshark所见。过去，Wireshark在解码Kerberos流量时遇到问题。确保您看到的不是鲱鱼。

您是否在捕获中看到任何其他“臭气”？