Conta de administrador de domínio de bloqueio de origem desconhecida e nomes de usuários aleatórios

0

No meu domínio eu tenho uma máquina virtual que eu posso ver uma fonte desconhecida está constantemente tentando autenticar. Eu posso pará-lo bloqueando as portas RPC no firewall local da VM, mas isso causa muitos problemas para mim.

Quando eu verifico meu arquivo netlogon.log, ele se parece com isso para o logout do administrador

11/29 13:47:32 [LOGON] [4100] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 13:49:36 [LOGON] [5364] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 13:52:32 [LOGON] [6436] COMPANY: SamLogon: Transitive Network logon of (null)\Administrator from WIN-L1JIA2E591R (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 13:52:40 [LOGON] [6436] COMPANY: SamLogon: Transitive Network logon of TRENDSALES\Zucchini from 'MyPCHostname' (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:02:34 [LOGON] [5364] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:04:16 [LOGON] [1216] COMPANY: SamLogon: Transitive Network logon of (null)\Administrator from WIN-L1JIA2E591R (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:14:34 [LOGON] [5364] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:16:02 [LOGON] [5364] COMPANY: SamLogon: Transitive Network logon of (null)\Administrator from WIN-L1JIA2E591R (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:18:11 [LOGON] [3628] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:27:50 [LOGON] [5364] COMPANY: SamLogon: Transitive Network logon of (null)\Administrator from WIN-L1JIA2E591R (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:33:47 [LOGON] [2244] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:37:41 [LOGON] [892] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:41:18 [LOGON] [7012] COMPANY: SamLogon: Transitive Network logon of (null)\Administrator from WIN-L1JIA2E591R (via MyVirtualMachineHostname) Returns 0xC000006A

Ele também tenta uma grande variedade de nomes de usuários aleatórios parecidos com isso

11/29 14:28:12 [LOGON] [3884] COMPANY: SamLogon: Transitive Network logon of (null)\RCSSupport from FreeRDP (via MyVirtualMachineHostname) Returns 0xC0000064 11/29 14:28:16 [LOGON] [3884] COMPANY: SamLogon: Transitive Network logon of (null)\RCSSupport from FreeRDP (via MyVirtualMachineHostname) Returns 0xC0000064 11/29 14:28:35 [LOGON] [7120] COMPANY: SamLogon: Transitive Network logon of (null)\pos from FreeRDP (via MyVirtualMachineHostname) Returns 0xC0000064 11/29 14:28:47 [LOGON] [4436] COMPANY: SamLogon: Transitive Network logon of (null)\pos from FreeRDP (via MyVirtualMachineHostname) Returns 0xC0000064 11/30 11:53:04 [LOGON] [3048] COMPANY: SamLogon: Transitive Network logon of (null)\MSSQLSERVER from (via MyVirtualMachineHostname) Returns 0xC0000064 11/30 11:54:19 [LOGON] [3048] COMPANY: SamLogon: Transitive Network logon of (null)\IUSR_QA from (via MyVirtualMachineHostname) Returns 0xC0000064

Como descubro de onde vêm as tentativas? Parece que o nome do host está sendo falsificado?

Eu também não tenho certeza se o problema é malware na máquina 'MyVirtualMachineHostname' ou se estou procurando um computador infectado na minha rede.

    
por Zucchini 30.11.2016 / 13:58

1 resposta

0

Primeiro, descubra quais portas TCP (e / ou UDP) estão sendo usadas. Meu palpite é TCP porta 135, mas acredito que RPC pode ser uma coisa complicada, possivelmente usando outras portas. Se o seu firewall permitir que você desabilite essas portas especificando determinadas regras, observe essas regras para ver quais portas estão envolvidas.

Em seguida, procure por conexões ativas. Uma maneira é através de uma linha de comando. Aqui estão os comandos para a linha de comando tradicional:
netstat -na
netstat -na | find /i "135" | more
(Se estiver usando o PowerShell, você precisará colocar um caractere / caractere de retorno antes de cada uma dessas aspas).

Outra maneira: no Windows 10 (e talvez tão cedo quanto o Vista?), clique com o botão direito do mouse na barra de tarefas e escolha Gerenciador de Tarefas. Na guia Desempenho, clique em "Gerenciador de recursos". (Ou, pode haver algumas outras maneiras de chegar ao Gerenciador de Recursos.) Vá para a guia Rede e expanda a seção "Conexões TCP" (preferencial). Ou, se o UDP estiver envolvido, a seção "Listening Ports" poderá ter mais informações.

O que isto faz é começar a identificar o endereço IP do invasor. Depois disso, talvez você não consiga obter mais informações, a menos que você comece a interagir com essa máquina. (Você pode precisar de permissões nessa máquina para encontrar mais detalhes.) Bem, você pode obter mais informações cheirando a conexão de rede (por exemplo, com TCPDump ou o mais gráfico Wireshark), mas é melhor tentar usar essa máquina ( através do seu teclado, ou através de ferramentas de gerenciamento remoto como o Gerenciamento do Computador ou WMIC).

Se o endereço IP remoto for de loopback (começa com "127." para IPv4, ou é ":: 1" para IPv6), então você provavelmente terá duas entradas (uma para a conexão de saída e outra para a conexão de recepção). Nesse caso, execute netstat -nab em um prompt de comando. Certifique-se de que o prompt de comando esteja elevado (se você tiver o UAC ativado). Isso lhe dará um PID que pode ser usado para identificar qual programa local está sendo usado. Para fazer isso, em um prompt de comando elevado, use:

WMIC PROCESS GET Name,ProcessID /FORMAT:LIST

(Novamente, os usuários do PowerShell fazem um back-tick, desta vez antes da vírgula.) (Para obter mais informações, desative a parte "Nome, ProcessID"). Para um ProcessID / PID específico, por exemplo, 12345, você poderia usar:

WMIC PROCESS GET Name,ProcessID /FORMAT:TABLE | FIND /I "12345"

    
por 30.11.2016 / 15:46