Virus yang mencoba brute force menyerang pengguna Active Directory (dalam urutan abjad)?

8

Pengguna mulai mengeluh tentang kecepatan jaringan yang lambat jadi saya menyalakan Wireshark. Apakah beberapa pengecekan dan menemukan banyak PC mengirim paket yang mirip dengan berikut (tangkapan layar):

http://imgur.com/45VlI.png

Saya mengaburkan teks untuk nama pengguna, nama komputer, dan nama domain (karena cocok dengan nama domain internet). Komputer melakukan spam pada server Active Directory yang mencoba brute force hack password. Ini akan mulai dengan Administrator dan turun daftar pengguna dalam urutan abjad. Secara fisik pergi ke PC tidak menemukan siapa pun di dekatnya dan perilaku ini menyebar di seluruh jaringan sehingga tampaknya menjadi semacam virus. Memindai komputer yang telah tertangkap melakukan spamming server dengan Malwarebytes, Super Antispyware dan BitDefender (ini adalah antivirus yang dimiliki klien) tidak membuahkan hasil.

Ini adalah jaringan perusahaan dengan sekitar 2500 PC sehingga melakukan pembangunan kembali bukanlah opsi yang menguntungkan. Langkah saya berikutnya adalah menghubungi BitDefender untuk melihat bantuan apa yang bisa mereka berikan.
Adakah yang melihat sesuatu seperti ini atau punya ide seperti apa itu?

security active-directory kerberos malware brute-force-attacks Nate Pinchot
sumber
Bisa jadi sesuatu yang sejalan dengan apa yang Google dan semua lakukan. Perusahaan-perusahaan AS selama beberapa bulan terakhir sampai setahun telah diserang oleh seseorang yang dapat menulis eksploitinya sendiri, dan siapa yang tahu bagaimana cara meningkatkan dari pengguna non-admin biasa ke Domain Admin. Lakukan pencarian untuk beberapa berita teknis terkait serangan terbaru terhadap Google dan lainnya.
Alex Holst
Alex, ini tidak cocok dengan model serangan APT - serangan APT sangat tepat, spesifik, dan rendah. Bagaimana serangan ini ditemukan? Karena itu menciptakan hit besar pada kinerja jaringan - cukup bagi seseorang untuk melihatnya - Jelas bukan APT; kecuali, mungkin, itu tipuan, untuk menyembunyikan vektor serangan yang sebenarnya.
Josh Brower

Jawaban:

4

Maaf, saya tidak tahu apa ini, namun, Anda memiliki masalah yang lebih penting sekarang.

Berapa banyak mesin yang melakukan ini? Sudahkah Anda memutus semuanya dari jaringan? (dan jika tidak, mengapa tidak?)

Dapatkah Anda menemukan bukti dari setiap akun domain yang dikompromikan (terutama akun admin domain)

Saya bisa mengerti Anda tidak ingin membangun desktop lagi, tetapi kecuali Anda melakukannya, Anda tidak bisa memastikan Anda akan membersihkan mesin.

Langkah pertama:

  • Pastikan kata sandi yang kompleks diaktifkan di domain Anda
  • menetapkan kebijakan penguncian - ini akan menyebabkan masalah jika Anda masih memiliki mesin pemindaian tetapi ini lebih baik daripada lebih banyak akun yang dikompromikan
  • Isolasi mesin yang dikenal buruk, apakah ia mencoba berbicara dengan dunia luar? Anda perlu memblokir ini di jaringan Anda di gateway Anda
  • Mencoba untuk mengisolasi semua mesin buruk yang dikenal.
  • Monitor untuk lebih banyak mesin pemindaian.
  • Paksa semua pengguna Anda untuk mengubah kata sandi mereka, periksa semua akun layanan Anda.
  • Nonaktifkan akun apa pun yang tidak lagi digunakan.
  • Periksa keanggotaan grup Anda di server dan DC (Admin Domain, Administrator, dll)

Selanjutnya Anda perlu melakukan beberapa forensik pada mesin yang dikenal buruk untuk mencoba dan melacak apa yang telah terjadi. Setelah Anda mengetahui hal ini, Anda memiliki peluang lebih baik untuk mengetahui apa ruang lingkup serangan ini. Gunakan pengungkap root kit, bahkan mungkin gambar hard disk sebelum Anda menghancurkan bukti. Linux Live CD dengan dukungan NTFS bisa sangat berguna di sini, karena mereka akan memungkinkan Anda menemukan apa yang bisa disembunyikan oleh root kit.

Hal yang perlu dipertimbangkan:

  • Apakah Anda memiliki kata sandi admin lokal (lemah) pada semua workstation?
  • Apakah pengguna Anda memiliki hak admin?
  • Apakah semua admin domain menggunakan akun terpisah untuk kegiatan DA? Pertimbangkan untuk menetapkan batasan pada akun ini (mis. Workstation yang dapat Anda masuki).
  • Anda tidak memberikan info apa pun tentang jaringan Anda. Apakah Anda memiliki layanan terbuka untuk umum?

Sunting: Mencoba untuk memberikan lebih banyak info sulit, karena sangat tergantung pada apa yang Anda temukan, tetapi setelah berada dalam situasi yang sama beberapa tahun yang lalu, Anda benar-benar harus tidak mempercayai semuanya, terutama mesin dan akun yang Anda tahu akan dikompromikan.

Bryan
sumber
Kami memiliki kata sandi dan kebijakan yang baik. Akses luar sudah sangat terbatas (hanya http melalui proxy, sebagian besar porta diblokir, dll.) - bukan masalah. Tidak dapat memaksa semua pengguna untuk mengubah kata sandi, tetapi semua pengguna admin bisa dilakukan. Lihat komentar saya kepada Josh di bawah ini untuk perincian tentang forensik. Tidak ada pengguna selain yang diperlukan memiliki hak admin. Tidak ada layanan terbuka untuk umum selain lalu lintas web ke DMZ tetapi mesin ini tidak terpengaruh - hanya desktop sejauh ini.
Nate Pinchot
Juga patut dicatat bahwa ketika saya mengatakan membangun kembali tidak menguntungkan, saya terutama mengejar data saat ini sehingga saya dapat melindungi gambar yang kami gunakan untuk membangun kembali karena jelas ada lubang di suatu tempat. Jika saya menemukan data yang lebih berguna daripada "Worm.Generic" saya akan mempostingnya dalam jawaban. Menandai ini sebagai jawaban karena ini memang jalan yang harus ditempuh.
Nate Pinchot
Anda perlu mengidentifikasi vektor yang diperkenalkan kode ini ke jaringan Anda. Ini tidak selalu dari internet, dapat dieksekusi pada kunci usb dan penyimpanan pribadi. jika Anda tidak menemukan vektor maka kemungkinan akan kembali.
The Unix Janitor
@Nate. Maaf untuk menyeret utas lama ini kembali, tetapi mengapa Anda tidak dapat memaksa semua pengguna untuk mengubah kata sandi? Kami melakukannya untuk 25k pengguna tanpa terlalu banyak usaha, termasuk pengguna jarak jauh. Saya percaya semua berjalan baik untuk Anda?
Bryan
Jaringan ini untuk sistem sekolah, dengan sekitar 5k atau lebih pengguna siswa dan banyak guru dan staf sekolah yang tidak terlalu paham komputer. Itu akan membuat sedikit sakit kepala untuk mengharuskan semua pengguna mengubah kata sandi mereka pada login berikutnya. Semuanya berjalan dengan baik. Kami mengubah semua kata sandi administratif, memulihkan server dari cadangan sesuai kebutuhan dan mencitrakan ulang semua PC.
Nate Pinchot
2

Itu bisa apa saja dari L0phtCrack ke THC-Hydra atau bahkan aplikasi kode khusus, meskipun solusi AV Anda seharusnya sudah mengambil aplikasi-aplikasi terkenal.

Pada titik ini, Anda perlu mengidentifikasi semua sistem yang terinfeksi, mengkarantina mereka (vlan, dll), dan mengandung dan membasmi malware.

Sudahkah Anda menghubungi tim Keamanan TI Anda?

Akhirnya, saya mengerti Anda tidak ingin membangun kembali, tetapi pada titik ini, (dengan sedikit data yang Anda berikan), saya akan mengatakan bahwa risiko memerlukan pembangunan kembali.

-Ya

Josh Brower
sumber
2
Terima kasih atas tautannya. Kita mungkin harus membangun kembali, kita memiliki gambar. Tetapi yang lebih penting, kita tidak ingin membangun kembali dan memiliki hal yang sama terjadi lagi, jadi kita perlu mencari tahu apa ini sehingga kita dapat melindungi gambar terhadapnya dan kemudian membangun kembali. Menggunakan GMER saya dapat menentukan bahwa rootkit sudah ada dan menonaktifkan layanan yang telah diinstal. Ketika saya reboot, BitDefender mendeteksinya sebagai Worm.Generic.42619 (googling untuk ini tidak membantu - juga tidak mencarinya di virus db). Jadi tunggu mereka memberi saya info lebih lanjut sekarang.
Nate Pinchot
1
Nate- Sebenarnya, Worm.Generic.42619 membawaku ke sini ( goo.gl/RDBj ), yang membawaku ke sini ( goo.gl/n6aH ), yang, jika Anda melihat hit pertama ( goo.gl/Le8u ) ia memiliki beberapa kesamaan dengan malware yang saat ini menginfeksi jaringan Anda ....
Josh Brower
"kami tidak ingin membangun kembali dan memiliki hal yang sama terjadi lagi, jadi kami perlu mencari tahu apa ini" waran +1
Maximus Minimus
0

Coba jalankan program penangkapan yang berbeda untuk memastikan hasil mengkonfirmasi apa yang dilihat Wireshark. Wireshark memiliki masalah dalam lalu lintas decoding lalu lintas Kerberos. Pastikan apa yang Anda lihat bukan herring merah.

Apakah Anda melihat "anomali" lain dalam penangkapan?

joeqwerty
sumber
Jelas bukan herring merah, menemukan virus - komentar pada balasan Josh Brower memiliki detailnya.
Nate Pinchot