Comment gérer la suppression / éradication d'un ver inconnu sur notre réseau?

13

TL; DR

Je suis sûr que notre petit réseau a été infecté par une sorte de ver / virus. Cependant, cela ne semble affecter que nos machines Windows XP. Les machines Windows 7 et les ordinateurs Linux (enfin, oui) ne semblent pas être affectés. Les analyses antivirus ne montrent rien, mais notre serveur de domaine a enregistré des milliers de tentatives de connexion infructueuses sur divers comptes d'utilisateurs valides et invalides, en particulier l'administrateur. Comment puis-je empêcher ce ver non identifié de se propager?


Symptômes

Quelques-uns de nos utilisateurs de Windows XP ont signalé des problèmes similaires, mais pas entièrement identiques. Ils subissent tous des arrêts / redémarrages aléatoires initiés par logiciel. Sur l'un des ordinateurs, une boîte de dialogue s'affiche avec un compte à rebours jusqu'au redémarrage du système, apparemment démarré par NT-AUTHORITY \ SYSTEM et concerne un appel RPC. Cette boîte de dialogue en particulier est exactement la même que celles décrites dans les articles détaillant les vers d'exploitation RPC plus anciens.

Lorsque deux des ordinateurs ont redémarré, ils sont revenus à l'invite de connexion (ce sont des ordinateurs de domaine) mais le nom d'utilisateur répertorié était «admin», même s'ils ne s'étaient pas connectés en tant qu'administrateur.

Sur notre machine Windows Server 2003 exécutant le domaine, j'ai remarqué plusieurs milliers de tentatives de connexion provenant de diverses sources. Ils ont essayé tous les différents noms de connexion, notamment administrateur, administrateur, utilisateur, serveur, propriétaire et autres.

Certains journaux ont répertorié les adresses IP, d'autres non. Parmi ceux qui avaient une adresse IP source (pour les connexions ayant échoué), deux d'entre eux correspondent aux deux machines Windows XP qui subissent des redémarrages. Pas plus tard qu'hier, j'ai remarqué un tas de tentatives de connexion infructueuses à partir d'une adresse IP extérieure. Un traceroute a montré que l'adresse IP extérieure provenait d'un FAI canadien. Nous ne devrions jamais avoir de connexions à partir de là (nous avons cependant des utilisateurs VPN). Je ne suis donc toujours pas sûr de ce qui se passe avec les tentatives de connexion provenant d'une adresse IP foriegn.

Il semble évident qu'une sorte de malware se trouve sur ces ordinateurs, et une partie de ce qu'il fait est d'essayer d'énumérer les mots de passe sur les comptes de domaine pour y accéder.

Ce que j'ai fait jusqu'à présent

Après avoir réalisé ce qui se passait, ma première étape a été de m'assurer que tout le monde exécutait un antivirus à jour et effectuait une analyse. Parmi les ordinateurs concernés, l'un d'eux avait un client antivirus expiré, mais les deux autres étaient des versions actuelles de Norton et les analyses complètes des deux systèmes n'ont rien révélé.

Le serveur lui-même exécute régulièrement un antivirus à jour et n'a montré aucune infection.

Donc, 3/4 des ordinateurs Windows NT ont un antivirus à jour, mais il n'a rien détecté. Cependant, je suis convaincu que quelque chose se passe, principalement mis en évidence par les milliers de tentatives de connexion infructueuses pour divers comptes.

J'ai également remarqué que la racine de notre partage de fichiers principal avait des autorisations assez ouvertes, je l'ai donc restreint à lire + exécuter pour les utilisateurs normaux. L'administrateur a bien sûr un accès complet. Je suis également sur le point de demander aux utilisateurs de mettre à jour leurs mots de passe (avec des mots forts), et je vais renommer Administrateur sur le serveur et changer son mot de passe.

J'ai déjà retiré les machines du réseau, une est remplacée par une nouvelle, mais je sais que ces choses peuvent se propager à travers les réseaux, je dois donc aller au fond des choses.

De plus, le serveur a une configuration NAT / pare-feu avec seulement certains ports ouverts. Je n'ai pas encore étudié tous les services liés à Windows avec les ports ouverts, car je suis issu de Linux.

Maintenant quoi?

Donc, tous les antivirus modernes et à jour n'ont rien détecté, mais je suis absolument convaincu que ces ordinateurs ont une sorte de virus. Je base cela sur les redémarrages / instabilités aléatoires des machines XP combinés aux milliers de tentatives de connexion provenant de ces machines.

Ce que je prévois de faire, c'est de sauvegarder les fichiers utilisateur sur les machines concernées, puis de réinstaller Windows et de formater les disques. Je prends également quelques mesures pour sécuriser les partages de fichiers communs qui ont pu être utilisés pour se propager à d'autres machines.

Sachant tout cela, que puis-je faire pour m'assurer que ce ver ne se trouve pas ailleurs sur le réseau et comment puis-je l'empêcher de se propager?

Je sais que c'est une question longue, mais je suis hors de mes profondeurs ici et je pourrais utiliser quelques pointeurs.

Merci d'avoir regardé!

M. Shickadance
la source
doublon possible de Mon serveur a été piraté URGENCE
mailq
Ce n'est pas exactement la même chose, mais
ça s'en
1
Votre serveur qui affiche les tentatives de connexion ayant échoué est-il accessible sur Internet ou est-il sur le réseau local interne?
MDMarra
5
F..king sh.t. Et personne ne vous a tué pour ça?!
mailq
4
Eh bien, heureusement, je ne mérite pas d'être tué, il est déjà parti. Je suis juste là pour ramasser les morceaux.
M. Shickadance

Réponses:

18

Ce sont mes suggestions générales pour ce genre de processus. J'apprécie que vous en ayez déjà couvert certains, mais il vaut mieux se faire dire deux fois que manquer quelque chose d'important. Ces notes sont orientées vers les logiciels malveillants qui se propagent sur un réseau local, mais pourraient facilement être réduits pour faire face à des infections plus mineures.

Arrêter la pourriture et trouver la source d'infection.

  1. Assurez-vous que vous disposez d'une sauvegarde à jour de chaque système et de chaque bit de données sur ce réseau qui intéresse l'entreprise. Assurez-vous de noter que ce support de restauration peut être compromis, afin que les gens n'essaient pas de restaurer à partir de lui dans les 3 mois lorsque votre dos est tourné et infectent à nouveau le réseau. Si vous disposez d'une sauvegarde antérieure à l'infection, mettez-la également de côté.

  2. Arrêtez le réseau en direct, si vous le pouvez (vous devrez probablement le faire dans le cadre du processus de nettoyage, au moins). À tout le moins, envisagez sérieusement de garder ce réseau, y compris les serveurs, hors d'Internet jusqu'à ce que vous sachiez ce qui se passe - et si ce ver vole des informations?

  3. Ne prenez pas de l'avance sur vous-même. Il est tentant de dire simplement que tout est propre à ce stade, de forcer tout le monde à changer les mots de passe, etc., et d'appeler cela «assez bien». Bien que vous deviez probablement le faire tôt ou tard , cela vous laissera probablement des poches d'infection si vous ne comprenez pas ce qui se passe sur votre réseau local. ( Si vous ne souhaitez pas enquêter davantage sur l'infection, passez à l'étape 6 )

  4. Copiez une machine infectée dans un environnement virtuel quelconque, isolez cet environnement virtuel de tout le reste, y compris la machine hôte avant de démarrer l'invité compromis .

  5. Créez un autre couple de machines invitées virtuelles propres à infecter, puis isolez ce réseau et utilisez des outils tels que Wireshark pour surveiller le trafic réseau (il est temps de profiter de cet arrière-plan Linux et de créer un autre invité sur ce LAN virtuel qui peut surveiller tout ce trafic sans être infecté par un ver Windows!) et Process Monitor pour surveiller les changements qui se produisent sur toutes ces machines. Considérez également que le problème peut être un rootkit bien caché - essayez d'utiliser un outil réputé pour les trouver, mais rappelez-vous que c'est un peu difficile, donc ne rien trouver ne signifie pas qu'il n'y a rien.

  6. (En supposant que vous n'avez pas / ne pouvez pas fermer le réseau local principal) Utilisez Wirehark sur le réseau local principal pour examiner le trafic envoyé vers / depuis les machines infectées. Traitez tout trafic inexplicable de n'importe quelle machine comme potentiellement suspect - l' absence de symptômes visibles n'est pas la preuve d'une absence de compromis . Vous devez être particulièrement préoccupé par les serveurs et les postes de travail exécutant des informations critiques pour l'entreprise.

  7. Une fois que vous avez isolé les processus infectés sur les invités virtuels, vous devriez pouvoir envoyer un échantillon à la société qui a créé le logiciel antivirus que vous utilisez sur ces machines. Ils seront désireux d'examiner des échantillons et de produire des correctifs pour tout nouveau malware qu'ils voient. En fait, si vous ne l'avez pas déjà fait, vous devriez les contacter avec votre histoire de malheur, car ils pourraient avoir un moyen de vous aider.

  8. Essayez très fort de déterminer quel était le vecteur d'infection d'origine - ce ver peut être un exploit caché dans un site Web compromis que quelqu'un a visité, il peut avoir été ramené du domicile de quelqu'un sur une clé USB ou reçu par e-mail, pour ne nommer que mais de plusieurs façons. L'exploit at-il compromis ces machines via un utilisateur avec des droits d'administrateur? Si c'est le cas, ne donnez plus de droits d'administrateur aux utilisateurs à l'avenir. Vous devez essayer de vous assurer que la source d'infection est corrigée et vous devez voir s'il y a un changement de procédure que vous pouvez apporter pour rendre cette route d'infection plus difficile à exploiter à l'avenir.

Nettoyer

Certaines de ces étapes sembleront excessives. Heck certains d'entre eux sont probablement au-dessus, surtout si vous déterminez que seules quelques machines sont réellement compromises, mais elles devraient garantir que votre réseau est aussi propre que possible. Les patrons ne voudront pas non plus certaines de ces étapes, mais il n'y a pas grand-chose à faire à ce sujet.

  1. Arrêtez toutes les machines du réseau. Tous les postes de travail. Tous les serveurs. Tout. Oui, même l'ordinateur portable du fils adolescent des patrons que le fils utilise pour se faufiler sur le réseau en attendant que papa finisse de travailler pour que le fils puisse jouer `` dubious-javascript-exploit-Ville '' sur tout le site de médias sociaux actuel du-jour. . En fait, en y réfléchissant, arrêtez particulièrement cette machine . Avec une brique si c'est ce qu'il faut.

  2. Démarrez chaque serveur tour à tour. Appliquez tout correctif que vous avez découvert par vous-même ou qui vous a été fourni par une société audiovisuelle. Auditez les utilisateurs et les groupes pour tous les comptes inexpliqués (à la fois les comptes locaux et les comptes AD), auditez les logiciels installés pour tout événement inattendu et utilisez Wireshark sur un autre système pour surveiller le trafic provenant de ce serveur (si vous rencontrez des problèmes à ce stade, envisagez sérieusement de reconstruire ce serveur). Arrêtez chaque système avant de démarrer le suivant, afin qu'une machine compromise ne puisse pas attaquer les autres. Ou débranchez-les du réseau, vous pouvez donc en faire plusieurs à la fois mais ils ne peuvent pas se parler, c'est très bien.

  3. Une fois que vous êtes aussi certain que vous pouvez être sûr que tous vos serveurs sont propres, démarrez-les et utilisez à nouveau WireShark, Process Monitor, etc., observez-les à nouveau pour tout comportement étrange.

  4. Réinitialisez chaque mot de passe utilisateur . Et si possible, les mots de passe des comptes de service également. Ouais je sais que c'est une douleur. Nous sommes sur le point d'entrer dans un territoire "peut-être au-dessus" à ce stade. Ton appel.

  5. Reconstruisez tous les postes de travail . Faites-le un à la fois, afin que les machines potentiellement infectées ne restent pas inactives sur le LAN, attaquant celles qui viennent d'être reconstruites. Oui, cela prendra un certain temps, désolé.

  6. Si ce n'est pas possible, alors:

    Effectuez les étapes décrites ci-dessus pour les serveurs sur tous les postes de travail "espérons-le propres".

    Reconstruisez tous ceux qui ont montré un soupçon d'activité suspecte, et faites-le alors que toutes les machines "si tout va bien" sont éteintes.

  7. Si vous ne l'avez pas déjà fait, envisagez une AV centralisée qui signalera les problèmes à un serveur où vous pourrez surveiller les problèmes, la journalisation centralisée des événements, la surveillance du réseau, etc. mais il y a clairement un problème ici, non?

  8. Passez en revue les droits des utilisateurs et les installations de logiciels sur ces machines et configurez un audit périodique pour vous assurer que les choses sont toujours comme vous vous attendez. Assurez-vous également que les utilisateurs sont encouragés à signaler les choses dès que possible sans être gémis, encouragez une culture d'entreprise de résolution des problèmes informatiques plutôt que de tirer sur le messager, etc.

Rob Moir
la source
3
Et enfin, M. Shickadance, bonne chance.
Dan
7

Vous avez fait tout ce que je ferais (si j'étais encore un administrateur Windows) - Les étapes canoniques sont (ou étaient, la dernière fois que j'étais un gars Windows):

  1. Isolez les machines concernées.
  2. Mettre à jour les définitions antivirus
    Exécutez AV / Malware / etc. scanne sur l'ensemble du réseau
  3. Soufflez les machines concernées (essuyez complètement les ventouses) et réinstallez.
  4. Restaurez les données utilisateur à partir des sauvegardes (en vous assurant qu'elles sont propres).

Notez qu'il y a toujours une chance que le virus / ver / quoi que ce soit se cache dans les e-mails (sur votre serveur de messagerie), ou dans une macro dans un document word / excel - Si le problème revient, vous devrez peut-être être plus agressif dans votre nettoyage la prochaine fois.

voretaq7
la source
3
Tout revient pour "réinstaller". N'essayez pas de le réparer.
mailq
@mailq yup. Il n'y a pas de "nettoyage" d'un système infecté ou compromis.
voretaq7
J'ai pensé que c'était le cas. Mon problème est que je n'ai toujours pas pu comprendre exactement ce qui se passe, et je veux juste m'assurer que notre serveur et notre réseau partagent notre propre. Du mieux que je peux. Juste pour info, j'ai hérité de ce projet et je suis en train de nettoyer après l'absence d'un administrateur depuis longtemps ...
M. Shickadance
3
@ Mr.Shickadance Malheureusement, la seule façon de " savoir " que l'environnement est propre est d'en construire un nouveau, complètement séparé et d'y migrer, sans aucun contact avec l'ancien environnement. Ce n'est pas réaliste, donc le mieux que vous puissiez faire est d'être "raisonnablement confiant" que vous avez éliminé le problème.
voretaq7
Eh bien, à ce stade, je suis en train de construire un serveur Linux de remplacement. Malheureusement, il a déjà été connecté à ce réseau «corrompu», mais il n'a pas vraiment été utilisé. J'ai travaillé avec lui-même et j'utilise ses services. Je vais juste continuer et supprimer les mauvaises pommes, mettre à jour la sécurité sur l'ancien serveur autant que possible et espérer le meilleur.
M. Shickadance
2

La première leçon à tirer de cela est que les solutions AV ne sont pas parfaites. Pas même près.

Si vous êtes à jour avec les fournisseurs de logiciels AV, appelez-les. Tous ont des numéros de support pour exactement ce genre de chose. En fait, ils seront probablement très intéressés par ce qui vous a frappé.

Comme d'autres l'ont dit, démontez chaque machine, essuyez-la et réinstallez-la. Vous pourriez profiter de cette occasion pour retirer tout le monde de XP de toute façon. C'est un OS mort depuis un certain temps. Cela devrait au moins impliquer la destruction des partitions HD et leur reformatage. Bien qu'il semble qu'il n'y ait pas beaucoup de machines impliquées, l'achat de remplacements entièrement nouveaux pourrait être une meilleure option.

Faites également savoir à votre (vos) patron (s) que cela vient de coûter cher.

Enfin, pourquoi diable voudriez-vous exécuter tout cela sur un seul serveur? (Rhétorique, je sais que vous en avez "hérité") Un DC ne devrait JAMAIS être accessible depuis Internet. Corrigez cela en mettant en place le matériel approprié pour prendre en charge les fonctionnalités dont vous avez besoin.

Pas moi
la source
Oui, il y a encore plus de problèmes avec cette configuration. Vous allez probablement rire quand je dis qu'un vieux routeur sans fil domestique Netgear était utilisé comme passerelle, pour l'ensemble du réseau.
M. Shickadance
1
@ Mr.Shickadance - pleurer, plutôt que rire. Était-ce la faute de votre prédécesseur ou l'entreprise a-t-elle choisi de ne pas investir correctement dans les TI et paie maintenant un prix?
Rob Moir
2
Je ne suis pas sûr, mais c'était peut-être une combinaison des deux. Quoi qu'il en soit, je suis ici pour essayer de le réparer, et j'ai du support, nous avons donc déjà investi dans du nouveau matériel. En tout cas, j'ai supprimé les mauvais systèmes du réseau, bien que je ne puisse pas supprimer l'ancien serveur. D'après ce que je peux dire, rien d'étrange ne s'est passé, je vais donc devoir continuer à suivre les conseils donnés ici.
M. Shickadance,
0

C'est très probablement un rootkit si vos programmes A / V ne tournent à rien. Essayez d'exécuter TDSSkiller et voyez ce que vous trouvez. En outre, ce serait le moment idéal pour simplement remplacer les ordinateurs archaïques de Windows XP par quelque chose de moins de plus d'une décennie. Mis à part les logiciels comme les programmes antivirus, j'ai vu très très peu de programmes qui ne pouvaient pas être exécutés via un shim ou desserrer quelques autorisations NTFS / Registry sous Windows 7. Il n'y a vraiment pas d'excuse pour continuer pour exécuter XP.

Daniel Winks
la source