Un virus qui tente d'attaquer par force les utilisateurs d'Active Directory (par ordre alphabétique)?

8

Les utilisateurs ont commencé à se plaindre de la lenteur du réseau, j'ai donc lancé Wireshark. A vérifié et trouvé de nombreux PC envoyant des paquets similaires à ce qui suit (capture d'écran):

http://imgur.com/45VlI.png

J'ai brouillé le texte du nom d'utilisateur, du nom de l'ordinateur et du nom de domaine (car il correspond au nom de domaine Internet). Les ordinateurs spamment les serveurs Active Directory en essayant de pirater les mots de passe par force brute. Il commencera par l'administrateur et descendra la liste des utilisateurs par ordre alphabétique. Aller physiquement sur le PC ne trouve personne à proximité et ce comportement est répandu sur le réseau, il semble donc être un virus quelconque. L'analyse des ordinateurs qui ont été surpris en train de spammer le serveur avec Malwarebytes, Super Antispyware et BitDefender (c'est l'antivirus du client) ne donne aucun résultat.

Il s'agit d'un réseau d'entreprise avec environ 2500 PC, donc une reconstruction n'est pas une option favorable. Ma prochaine étape consiste à contacter BitDefender pour voir quelle aide ils peuvent fournir.
Est-ce que quelqu'un a vu quelque chose comme ça ou a une idée de ce que cela pourrait être?

security active-directory kerberos malware brute-force-attacks Nate Pinchot
la source
Cela pourrait être quelque chose dans le sens de ce que Google et tous ont été touchés. Au cours des derniers mois à un an, les entreprises américaines ont été attaquées par une personne capable d'écrire leurs propres exploits et qui sait comment passer d'un utilisateur non administrateur ordinaire à un administrateur de domaine. Faites une recherche de quelques histoires techniques liées aux récentes attaques contre Google et autres.
Alex Holst
Alex, cela ne correspond pas au modèle d'une attaque APT - les attaques APT sont très précises, spécifiques et discrètes. Comment cette attaque a-t-elle été découverte? Parce que cela a créé un gros coup sur les performances du réseau - assez pour que quelqu'un puisse l'examiner - Certainement pas APT; à moins, peut-être, que ce soit une feinte, de cacher le vrai vecteur d'attaque.
Josh Brower

Réponses:

4

Désolé, je n'ai aucune idée de ce que c'est, cependant, vous avez des problèmes plus importants en ce moment.

Combien de machines font cela? Les avez-vous tous déconnectés du réseau? (et si non, pourquoi pas?)

Pouvez-vous trouver une preuve que des comptes de domaine sont compromis (en particulier les comptes d'administrateur de domaine)

Je peux comprendre que vous ne vouliez pas reconstruire vos bureaux, mais à moins que vous ne le fassiez, vous ne pouvez pas être sûr de nettoyer les machines.

Premiers pas:

  • Assurez-vous que les mots de passe complexes sont activés sur votre domaine
  • définir une politique de verrouillage - cela vous posera des problèmes si vous avez encore des machines à scanner, mais c'est mieux que plus de comptes compromis
  • Isoler une mauvaise machine connue, essaie-t-il de parler au monde extérieur? Vous devez bloquer cela sur votre réseau à votre passerelle
  • Essayez d'isoler toutes les machines défectueuses connues.
  • Surveillez davantage de machines de numérisation.
  • Forcez tous vos utilisateurs à changer leur mot de passe, vérifiez tous vos comptes de service.
  • Désactivez tous les comptes qui ne sont plus utilisés.
  • Vérifiez les appartenances à votre groupe sur les serveurs et les contrôleurs de domaine (administrateurs de domaine, administrateurs, etc.)

Ensuite, vous devez effectuer des analyses judiciaires sur vos mauvaises machines connues pour essayer de retracer ce qui s'est passé. Une fois que vous le savez, vous avez de meilleures chances de savoir quelle est la portée de cette attaque. Utilisez le révélateur du kit racine, peut-être même l'image du disque dur avant de détruire toute preuve. Les CD Live Linux avec prise en charge NTFS peuvent être très utiles ici, car ils devraient vous permettre de trouver ce qu'un kit racine pourrait cacher.

Choses à considérer:

  • Avez-vous un mot de passe administrateur local (faible) standard sur tous les postes de travail?
  • Vos utilisateurs ont-ils des droits d'administrateur?
  • Tous les administrateurs de domaine utilisent-ils des comptes distincts pour les activités DA? Pensez à définir des restrictions sur ces comptes (par exemple, les postes de travail auxquels vous pouvez vous connecter).
  • Vous ne donnez aucune information sur votre réseau. Avez-vous des services exposés publiquement?

Edit: Essayer de donner plus d'informations est difficile, car cela dépend vraiment de ce que vous trouvez, mais ayant été dans une situation similaire il y a plusieurs années, vous devez vraiment vous méfier de tout, en particulier des machines et des comptes que vous savez compromis.

Bryan
la source
Nous avons de bons mots de passe et de bonnes politiques en place. L'accès extérieur est déjà extrêmement limité (http uniquement via proxy, la plupart des ports bloqués, etc.) - ce n'est pas un problème. Impossible de forcer tous les utilisateurs à changer de mot de passe, mais tous les utilisateurs administrateurs sont réalisables. Voir mon commentaire à Josh ci-dessous pour les détails sur la criminalistique. Aucun utilisateur autre que ce qui est nécessaire n'a de droits d'administrateur. Aucun service exposé publiquement autre que le trafic Web vers la DMZ, mais ces machines n'ont pas été affectées - seuls les ordinateurs de bureau jusqu'à présent.
Nate Pinchot
Il convient également de noter que, même si j'ai dit que la reconstruction n'est pas favorable, je recherche principalement des données pour le moment afin de pouvoir protéger l'image que nous utilisons pour la reconstruction, car il y a évidemment un trou quelque part. Si je trouve des données plus utiles que "Worm.Generic", je les posterai dans une réponse. Marquer cela comme la réponse, car c'est vraiment la voie à suivre.
Nate Pinchot
Vous devez identifier le vecteur de l'introduction de ce code dans votre réseau. Ce n'est pas toujours à partir d'Internet, exécutable sur les clés USB et le stockage personnel. si vous ne trouvez pas le vecteur, il est probable qu'il revienne.
The Unix Janitor
@Nate. Désolé de faire remonter cet ancien fil, mais pourquoi n'avez-vous pas pu forcer tous les utilisateurs à changer de mot de passe? Nous l'avons fait pour 25 000 utilisateurs sans trop d'efforts, y compris les utilisateurs distants. J'espère que tout s'est bien passé pour toi de toute façon?
Bryan
Le réseau est destiné à un système scolaire, avec environ 5 000 élèves utilisateurs et beaucoup d'enseignants et de personnel scolaire peu avertis en informatique. Cela aurait créé pas mal de maux de tête pour obliger tous les utilisateurs à changer leur mot de passe lors de la prochaine connexion. Tout s'est bien passé. Nous avons changé tous les mots de passe administratifs, restauré les serveurs à partir de la sauvegarde selon les besoins et réimagé tous les PC.
Nate Pinchot
2

Cela pourrait être n'importe quoi de L0phtCrack à THC-Hydra ou même une application codée sur mesure, bien que votre solution AV ait dû prendre les applications bien connues.

À ce stade, vous devez identifier tous les systèmes infectés, les mettre en quarantaine (vlan, etc.), et contenir et éradiquer le malware.

Avez-vous déjà contacté votre équipe de sécurité informatique?

Enfin, je comprends que vous ne vouliez pas reconstruire, mais à ce stade, (avec le peu de données que vous avez fournies), je dirais que le risque justifie des reconstructions.

-Josh

Josh Brower
la source
2
Merci pour les liens. Nous devrons probablement reconstruire, nous avons des images Mais plus important encore, nous ne voulons pas reconstruire et que la même chose se reproduise, nous devons donc comprendre de quoi il s'agit afin de pouvoir protéger les images contre elle, puis reconstruire. En utilisant GMER, j'ai pu déterminer qu'un rootkit était en place et désactiver les services qu'il avait installés. Lorsque j'ai redémarré, BitDefender l'a détecté sous le nom de Worm.Generic.42619 (la recherche sur Google n'est pas utile - ni la recherche dans leur base de données de virus). Alors, attendez qu'ils me donnent plus d'informations maintenant.
Nate Pinchot
1
Nate- En fait, Worm.Generic.42619 me conduit ici ( goo.gl/RDBj ), ce qui me conduit ici ( goo.gl/n6aH ), qui, si vous regardez le premier hit ( goo.gl/Le8u ) qu'il a quelques similitudes avec les logiciels malveillants qui infectent actuellement votre réseau ....
Josh Brower
"nous ne voulons pas reconstruire et que la même chose se reproduise, nous devons donc comprendre de quoi il s'agit" garantit un +1
Maximus Minimus
0

Essayez d'exécuter un autre programme de capture pour vous assurer que les résultats confirment ce que Wireshark voit. Wireshark a eu des problèmes dans le passé pour décoder le trafic Kerberos. Assurez-vous que ce que vous voyez n'est pas un hareng rouge.

Voyez-vous d'autres "anomalies" dans la capture?

joeqwerty
la source
Certainement pas un hareng rouge, a découvert un virus - les commentaires sur la réponse de Josh Brower ont les détails.
Nate Pinchot