Pengguna mulai mengeluh tentang kecepatan jaringan yang lambat jadi saya menyalakan Wireshark. Apakah beberapa pengecekan dan menemukan banyak PC mengirim paket yang mirip dengan berikut (tangkapan layar):
Saya mengaburkan teks untuk nama pengguna, nama komputer, dan nama domain (karena cocok dengan nama domain internet). Komputer melakukan spam pada server Active Directory yang mencoba brute force hack password. Ini akan mulai dengan Administrator dan turun daftar pengguna dalam urutan abjad. Secara fisik pergi ke PC tidak menemukan siapa pun di dekatnya dan perilaku ini menyebar di seluruh jaringan sehingga tampaknya menjadi semacam virus. Memindai komputer yang telah tertangkap melakukan spamming server dengan Malwarebytes, Super Antispyware dan BitDefender (ini adalah antivirus yang dimiliki klien) tidak membuahkan hasil.
Ini adalah jaringan perusahaan dengan sekitar 2500 PC sehingga melakukan pembangunan kembali bukanlah opsi yang menguntungkan. Langkah saya berikutnya adalah menghubungi BitDefender untuk melihat bantuan apa yang bisa mereka berikan.
Adakah yang melihat sesuatu seperti ini atau punya ide seperti apa itu?
sumber
Jawaban:
Maaf, saya tidak tahu apa ini, namun, Anda memiliki masalah yang lebih penting sekarang.
Berapa banyak mesin yang melakukan ini? Sudahkah Anda memutus semuanya dari jaringan? (dan jika tidak, mengapa tidak?)
Dapatkah Anda menemukan bukti dari setiap akun domain yang dikompromikan (terutama akun admin domain)
Saya bisa mengerti Anda tidak ingin membangun desktop lagi, tetapi kecuali Anda melakukannya, Anda tidak bisa memastikan Anda akan membersihkan mesin.
Langkah pertama:
Selanjutnya Anda perlu melakukan beberapa forensik pada mesin yang dikenal buruk untuk mencoba dan melacak apa yang telah terjadi. Setelah Anda mengetahui hal ini, Anda memiliki peluang lebih baik untuk mengetahui apa ruang lingkup serangan ini. Gunakan pengungkap root kit, bahkan mungkin gambar hard disk sebelum Anda menghancurkan bukti. Linux Live CD dengan dukungan NTFS bisa sangat berguna di sini, karena mereka akan memungkinkan Anda menemukan apa yang bisa disembunyikan oleh root kit.
Hal yang perlu dipertimbangkan:
Sunting: Mencoba untuk memberikan lebih banyak info sulit, karena sangat tergantung pada apa yang Anda temukan, tetapi setelah berada dalam situasi yang sama beberapa tahun yang lalu, Anda benar-benar harus tidak mempercayai semuanya, terutama mesin dan akun yang Anda tahu akan dikompromikan.
sumber
Itu bisa apa saja dari L0phtCrack ke THC-Hydra atau bahkan aplikasi kode khusus, meskipun solusi AV Anda seharusnya sudah mengambil aplikasi-aplikasi terkenal.
Pada titik ini, Anda perlu mengidentifikasi semua sistem yang terinfeksi, mengkarantina mereka (vlan, dll), dan mengandung dan membasmi malware.
Sudahkah Anda menghubungi tim Keamanan TI Anda?
Akhirnya, saya mengerti Anda tidak ingin membangun kembali, tetapi pada titik ini, (dengan sedikit data yang Anda berikan), saya akan mengatakan bahwa risiko memerlukan pembangunan kembali.
-Ya
sumber
Coba jalankan program penangkapan yang berbeda untuk memastikan hasil mengkonfirmasi apa yang dilihat Wireshark. Wireshark memiliki masalah dalam lalu lintas decoding lalu lintas Kerberos. Pastikan apa yang Anda lihat bukan herring merah.
Apakah Anda melihat "anomali" lain dalam penangkapan?
sumber