Vírus que tenta atacar a força bruta Usuários do Active Directory (em ordem alfabética)?

8

Os usuários começaram a reclamar sobre a velocidade lenta da rede, então eu liguei o Wireshark. Fiz algumas verificações e encontrei muitos PCs enviando pacotes semelhantes ao seguinte (captura de tela):

Eu apaguei o texto para o nome de usuário, nome do computador e nome de domínio (pois ele corresponde ao nome de domínio da Internet). Os computadores estão enviando spam para os servidores do Active Directory que tentam invadir senhas de invasão de força bruta. Começará com o Administrador e percorrerá a lista de usuários em ordem alfabética. Fisicamente indo para o PC não encontra ninguém em qualquer lugar perto dele e esse comportamento é espalhado pela rede, por isso parece ser um vírus de algum tipo. A verificação de computadores que foram detectados como spam no servidor com Malwarebytes, Super Antispyware e BitDefender (este é o antivírus que o cliente possui) não produz resultados.

Esta é uma rede corporativa com cerca de 2.500 PCs, portanto, fazer uma reconstrução não é uma opção favorável. Meu próximo passo é contatar a BitDefender para ver que ajuda eles podem oferecer. Alguém viu algo assim ou tem alguma ideia do que poderia ser?

    
por Nate Pinchot 17.03.2010 / 23:48

3 respostas

4

Desculpe, não faço ideia do que é isso, no entanto, você tem problemas mais importantes agora.

Quantas máquinas estão fazendo isso? Você desconectou todos eles da rede? (e se não, por que não?)

Você pode encontrar uma evidência de comprometimento de qualquer conta de domínio (especialmente contas de administrador de domínio)

Posso entender que você não deseja criar suas áreas de trabalho novamente, mas, a menos que o faça, não pode ter certeza de que limpará as máquinas.

Primeiros passos:

  • Garantir que senhas complexas sejam ativadas em seu domínio
  • definir uma política de bloqueio - isso causará problemas se você ainda tiver máquinas de verificação, mas isso é melhor do que o comprometimento de mais contas
  • Isolar uma má máquina conhecida, está tentando falar com o mundo exterior? Você precisa bloquear isso na sua rede no seu gateway
  • Tente isolar todas as máquinas ruins conhecidas.
  • Monitore mais máquinas de digitalização.
  • Forçar todos seus usuários a alterarem suas senhas, verifique todas as suas contas de serviço.
  • Desative as contas que não estão mais em uso.
  • Verifique suas associações de grupo em servidores e DCs (administradores de domínio, administradores, etc.)

Em seguida, você precisa executar alguns exames forenses em suas máquinas ruins conhecidas para tentar rastrear o que aconteceu. Uma vez que você sabe disso, você tem mais chances de saber qual é o alcance desse ataque. Use o revelador do kit de raiz, talvez até mesmo imagine o disco rígido antes de destruir qualquer evidência. Os Live CDs do Linux com suporte a NTFS podem ser muito úteis aqui, já que eles devem permitir que você descubra o que um kit raiz pode estar escondendo.

Coisas a considerar:

  • Você tem uma senha de administrador local padrão (fraca) em todas as estações de trabalho?
  • Seus usuários têm direitos de administrador?
  • Todos os administradores de domínio estão usando contas separadas para atividades do DA? Considere a possibilidade de definir restrições para essas contas (por exemplo, estações de trabalho nas quais você pode fazer login).
  • Você não fornece informações sobre sua rede. Você tem algum serviço exposto publicamente?

Editar: tentar dar mais informações é difícil, pois depende muito do que você encontra, mas, em uma situação semelhante há vários anos, você realmente precisa desconfiar de tudo, especialmente de máquinas e contas que você sabe que estão comprometidas. .

    
por 18.03.2010 / 00:12
2

Poderia ser qualquer coisa de L0phtCrack para THC-Hydra ou até mesmo um aplicativo personalizado, embora sua solução antivírus tenha escolhido os aplicativos mais conhecidos.

Neste ponto, você precisa identificar todos os sistemas infectados, colocá-los em quarentena (vlan, etc) e conter e erradicar o malware.

Você entrou em contato com o seu I.T. Equipe de segurança ainda?

Finalmente, eu entendo que você não quer reconstruir, mas neste ponto, (com os poucos dados que você deu), eu diria que o risco garante a reconstrução.

-Josh

    
por 18.03.2010 / 00:15
0

Tente executar um programa de captura diferente para garantir que os resultados confirmem o que o Wireshark está vendo. O Wireshark teve problemas no passado ao decodificar o tráfego Kerberos. Certifique-se de que o que você está vendo não seja um arenque vermelho.

Você está vendo outras "anomalias" na captura?

    
por 18.03.2010 / 03:07