Question Virus qui tente d'attaquer de force les utilisateurs d'Active Directory (par ordre alphabétique)?


Les utilisateurs ont commencé à se plaindre de la lenteur du réseau, j'ai donc lancé Wireshark. Un peu de vérification et trouvé de nombreux PC envoyant des paquets similaires à ce qui suit (capture d'écran):

http://imgur.com/45VlI.png

J'ai brouillé le texte du nom d'utilisateur, du nom de l'ordinateur et du nom de domaine (car il correspond au nom de domaine Internet). Les ordinateurs polluent les serveurs Active Directory en essayant de forcer brutalement les mots de passe. Il commencera par Administrateur et descendra dans la liste des utilisateurs par ordre alphabétique. Aller physiquement sur le PC ne trouve personne près de lui et ce comportement est répandu sur le réseau, ce qui en fait un virus. L'analyse des ordinateurs détectés en train de spammer le serveur avec Malwarebytes, Super Antispyware et BitDefender (c'est l'antivirus dont dispose le client) ne produit aucun résultat.

Il s’agit d’un réseau d’entreprise comptant environ 2 500 ordinateurs. Une reconstruction n’est donc pas une option à privilégier. Ma prochaine étape consiste à contacter BitDefender pour savoir quelle aide ils peuvent fournir.
Quelqu'un a-t-il déjà vu quelque chose de semblable ou une idée de ce que cela pourrait être?


8
2018-03-17 22:48


origine


Pourrait être quelque chose du genre de ce que Google et tous ont été touchés. Les entreprises américaines ont été attaquées au cours des derniers mois à un an par une personne capable d'écrire leurs propres exploits et qui sait comment passer d'un utilisateur non administrateur ordinaire à un administrateur de domaine. Effectuez une recherche sur certains récits techniques liés aux récentes attaques contre Google et d’autres. - Alex Holst
Alex, cela ne correspond pas au modèle d'une attaque APT - les attaques APT sont très précises, spécifiques et discrètes. Comment cette attaque a-t-elle été découverte? Parce que cela créait un impact important sur les performances du réseau - suffisamment pour que quelqu'un puisse l'examiner - Absolument pas APT; sauf peut-être une feinte, pour cacher le véritable vecteur d'attaque. - Josh Brower


Réponses:


Désolé, je n'ai aucune idée de ce que c'est, cependant, vous avez des problèmes plus importants en ce moment.

Combien de machines font cela? Les avez-vous tous déconnectés du réseau? (et si non, pourquoi pas?)

Pouvez-vous trouver une preuve de la compromission d'un compte de domaine (en particulier de comptes d'administrateur de domaine)?

Je peux comprendre que vous ne vouliez pas reconstruire vos bureaux, mais à moins que vous ne le fassiez, vous ne pouvez pas être sûr de nettoyer les machines.

Premiers pas:

  • Assurez-vous que les mots de passe complexes sont activés sur votre domaine.
  • définir une stratégie de verrouillage - cela vous posera des problèmes si vous avez encore des machines à analyser, mais cela vaut mieux que davantage de comptes étant compromis
  • Isoler une mauvaise machine connue, essaie-t-il de parler au monde extérieur? Vous devez bloquer ceci sur votre réseau à votre passerelle
  • Essayez d'isoler toutes les mauvaises machines connues.
  • Surveiller pour plus de machines à numériser.
  • Obliger tout vos utilisateurs de changer leur mot de passe, vérifiez tous vos comptes de service.
  • Désactiver tous les comptes qui ne sont plus utilisés.
  • Vérifiez les appartenances à vos groupes sur les serveurs et les contrôleurs de domaine (administrateurs de domaine, administrateurs, etc.)

Ensuite, vous devez effectuer des analyses judiciaires sur vos mauvaises machines connues pour essayer de retracer ce qui s'est passé. Une fois que vous savez cela, vous avez une meilleure chance de savoir quelle est la portée de cette attaque. Utilisez le révélateur de kit racine, peut-être même créez une image du disque dur avant de détruire toute preuve. Les Live CD Linux avec support NTFS peuvent être très utiles ici, car ils devraient vous permettre de trouver ce qu’un kit racine pourrait cacher.

Choses à considérer:

  • Avez-vous un mot de passe administrateur local standard (faible) sur tous les postes de travail?
  • Vos utilisateurs ont-ils des droits d'administrateur?
  • Tous les administrateurs de domaine utilisent-ils des comptes distincts pour les activités DA? Envisagez de définir des restrictions sur ces comptes (par exemple, des postes de travail auxquels vous pouvez vous connecter).
  • Vous ne donnez aucune information sur votre réseau. Avez-vous des services publiquement exposés?

Edit: Essayer de donner plus d’informations est difficile, car cela dépend vraiment de ce que vous trouvez, mais après avoir été dans une situation similaire il ya plusieurs années, vous devez vraiment vous méfier de tout, en particulier des machines et des comptes que vous savez être compromis.


4
2018-03-17 23:12



Nous avons de bons mots de passe et politiques en place. L’accès extérieur est déjà extrêmement limité (http uniquement via un proxy, la plupart des ports bloqués, etc.) - ce n’est pas un problème. Impossible de forcer tous les utilisateurs à changer de mot de passe, mais tous les utilisateurs admin sont réalisables. Voir mon commentaire à Josh ci-dessous pour plus de détails sur l'investigation. Aucun utilisateur autre que ce qui est nécessaire n'a les droits d'administrateur. Aucun service publiquement exposé autre que le trafic Web vers la zone démilitarisée, mais ces machines n'ont pas été affectées - seuls les ordinateurs de bureau jusqu'à présent. - Nate Pinchot
Il convient également de noter que même si j’ai dit que la reconstruction n’était pas favorable, je suis principalement après les données pour le moment afin de pouvoir protéger l’image que nous utilisons pour reconstruire car il y a évidemment un trou quelque part. Si je trouve des données plus utiles que "Worm.Generic", je les posterai dans une réponse. Marquer cela comme la réponse car c'est vraiment la voie à suivre. - Nate Pinchot
Vous devez identifier le vecteur que ce code a été introduit dans votre réseau. Ce n'est pas toujours à partir d'Internet, exécutable sur des clés USB et de stockage personnel. Si vous ne trouvez pas le vecteur, il est susceptible de revenir. - The Unix Janitor
@ Nate. Désolé de faire glisser ce vieux fil vers le haut, mais pourquoi n'avez-vous pas pu forcer tous les utilisateurs à changer de mot de passe? Nous l'avons fait pour 25 000 utilisateurs sans trop d'effort, y compris les utilisateurs distants. J'espère que tout s'est bien passé pour toi de toute façon? - Bryan
Le réseau est destiné à un système scolaire, avec environ 5 000 utilisateurs d’élèves et beaucoup d’enseignants et d’équipes peu avertis en informatique. Cela aurait créé un peu de maux de tête d'exiger que tous les utilisateurs changent leur mot de passe lors de la prochaine connexion. Tout s'est bien passé. Nous avons modifié tous les mots de passe administratifs, restauré les serveurs à partir de la sauvegarde et reconfiguré tous les ordinateurs. - Nate Pinchot


Cela pourrait être n'importe quoi de L0phtCrack à THC-Hydra ou même une application codée sur mesure, bien que votre solution audiovisuelle ait dû récupérer les applications bien connues.

À ce stade, vous devez identifier tous les systèmes infectés, les mettre en quarantaine (vlan, etc.), puis contenir et supprimer le malware.

Avez-vous contacté votre I.T. L'équipe de sécurité encore?

Enfin, je comprends que vous ne voulez pas reconstruire, mais à ce stade (avec le peu de données que vous avez fourni), je dirais que le risque justifie une reconstruction.

-Josh


2
2018-03-17 23:15



Merci pour les liens. Nous aurons probablement à reconstruire, nous avons des images. Mais plus important encore, nous ne voulons pas reconstruire et que la même chose se reproduise, nous devons donc déterminer ce dont il s'agit afin de pouvoir protéger les images contre elle, puis reconstruire. En utilisant GMER, j'ai pu déterminer qu'un rootkit était en place et désactiver les services qu'il avait installés. Lorsque j'ai redémarré, BitDefender l'a détectée sous le nom de Worm.Generic.42619 (googler pour cela n'est d'aucune utilité - ni pour le rechercher dans leur base de données de virus). Donc, attendre qu'ils me donnent plus d'informations maintenant. - Nate Pinchot
Nate - En fait, Worm.Generic.42619 me mène ici (goo.gl/RDBj), ce qui me conduit ici (goo.gl/n6aH), qui, si vous regardez le premier coup (goo.gl/Le8u) il présente certaines similitudes avec les programmes malveillants qui infectent actuellement votre réseau .... - Josh Brower
"nous ne voulons pas reconstruire et faire en sorte que la même chose se reproduise, nous devons donc comprendre ce que c'est", justifie un +1 - Maximus Minimus
Cela semble être le cas, merci pour cela. - Nate Pinchot


Essayez d’exécuter un programme de capture différent pour vous assurer que les résultats confirment ce que Wireshark voit. Wireshark a déjà eu des problèmes de décodage du trafic Kerberos. Assurez-vous que ce que vous voyez n'est pas un hareng.

Voyez-vous d'autres "anomalies" dans la capture?


0
2018-03-18 02:07



Ce n’est certainement pas un hasard, découvre un virus - les commentaires sur la réponse de Josh Brower ont les détails. - Nate Pinchot