ブルートフォース攻撃を試みるウイルスは、Active Directoryユーザー(アルファベット順)を攻撃しますか?


8

ネットワーク速度が遅いという不満がユーザーから寄せられたため、Wiresharkを起動しました。いくつかのチェックを行ったところ、次のようなパケットを送信する多くのPCが見つかりました(スクリーンショット):

http://imgur.com/45VlI.png

ユーザー名、コンピューター名、ドメイン名のテキストをぼかしました(インターネットのドメイン名と一致しているため)。コンピューターは、ブルートフォースハッキングパスワードを試行するActive Directoryサーバーにスパムを送信しています。それは管理者から始まり、アルファベット順にユーザーのリストを下に行きます。物理的にPCにアクセスしても、PCの近くにはだれも見つかりません。この動作はネットワーク全体に広がるため、何らかのウイルスのように見えます。Malwarebytes、Super Antispyware、およびBitDefender(これはクライアントが持っているアンチウイルスです)を使ってサーバーにスパムを送信しているのを発見されたコンピューターをスキャンしても、結果は得られません。

これは約2500台のPCを備えたエンタープライズネットワークであるため、再構築を行うことは好ましくありません。次のステップは、BitDefenderに連絡して、彼らが提供できる支援を確認することです。
誰かがこのようなものを見たことがありますか、それが何であるかについて何か考えを持っていますか?


グーグルらすべてが打たれたものの線に沿った何かかもしれない。米国の企業は、過去数か月から1年にわたって、独自のエクスプロイトを記述でき、通常の非管理者ユーザーからドメイン管理者に昇格する方法を知っている誰かに攻撃されています。最近のGoogleに対する攻撃やその他の攻撃に関連するいくつかのテクニカルストーリーを検索します。
Alex Holst 2010年

アレックス、これはAPT攻撃のモデルには適合しません-APT攻撃は非常に正確で、特異的で、重要度が低いです。この攻撃はどのようにして発見されましたか?ネットワークのパフォーマンスに大きな打撃を与えたので、誰かがそれを調べるのに十分なほど、間違いなくAPTではない。本当の攻撃ベクトルを隠すことは、おそらくフェイントでない限り。
Josh Brower 2010年

回答:


4

申し訳ありませんが、これが何であるかはわかりませんが、今より重要な問題があります。

何台のマシンがこれを行っていますか?それらをすべてネットワークから切断しましたか?(そうでなければ、なぜそうではないのですか?)

侵害されているドメインアカウントの証拠を見つけることができますか(特にドメイン管理者アカウント)

デスクトップの再構築を望まないことは理解できますが、そうしないと、マシンをクリーンアップできるかどうか確信が持てません。

最初のステップ:

  • ドメインで複雑なパスワードが有効になっていることを確認してください
  • ロックアウトポリシーを設定する-スキャンマシンがまだある場合に問題が発生しますが、これは、より多くのアカウントが侵害されるよりも優れています。
  • 既知の不良マシンを分離します。それは外界と話をしようとしているのですか?ゲートウェイでネットワーク全体でこれをブロックする必要があります
  • 既知のすべての不良マシンを分離してみます。
  • 他のスキャンマシンを監視します。
  • すべてのユーザーにパスワードの変更を強制、すべてのサービスアカウントを確認します。
  • 使用されなくなったアカウントを無効にします。
  • サーバーとDC(ドメイン管理者、管理者など)のグループメンバーシップを確認する

次に、既知の不良マシンでフォレンジックを実行して、何が起こったかを追跡する必要があります。これを知ると、この攻撃の範囲が何であるかを知るチャンスが高まります。証拠を破棄する前に、ルートキットリビールを使用して、おそらくハードディスクのイメージを作成します。NTFSをサポートするLinux Live CDは、ルートキットが隠している可能性があるものを見つけることができるため、ここで非常に役立ちます。

考慮すべきこと:

  • すべてのワークステーションに標準のローカル管理(弱い)パスワードがありますか?
  • ユーザーに管理者権限がありますか?
  • すべてのドメイン管理者がDAアクティビティに個別のアカウントを使用していますか?これらのアカウント(ログオンできるワークステーションなど)に制限を設定することを検討してください。
  • あなたはあなたのネットワークについて何の情報も与えません。公開されているサービスはありますか?

編集:見つけた情報に依存するため、より多くの情報を提供することは困難ですが、数年前に同様の状況にあったため、すべて、特に侵害されているとわかっているマシンやアカウントを本当に信用する必要があります。


適切なパスワードとポリシーがあります。外部アクセスはすでに非常に制限されています(プロキシ経由のhttpのみ、ほとんどのポートがブロックされているなど)-問題ではありません。すべてのユーザーにパスワードの変更を強制することはできませんが、すべての管理ユーザーは実行可能です。フォレンジックの詳細については、以下のJoshへのコメントを参照してください。必要なもの以外のユーザーには管理者権限がありません。DMZへのWebトラフィック以外の公に公開されたサービスはありませんが、これらのマシンは影響を受けません。これまでのところ、デスクトップのみが影響を受けました。
Nate Pinchot

また、再構築は好ましくないと言いましたが、明らかにどこかに穴があるため、再構築に使用しているイメージを保護できるように、現時点では主にデータを求めています。「Worm.Generic」よりも有用なデータを見つけたら、回答で投稿します。これは実際に進むべき道なので、これを答えとしてマークします。
Nate Pinchot

このコードがネットワークに導入されたベクトルを識別する必要があります。それは常にインターネットからではなく、USBキーと個人用ストレージで実行可能です。ベクターが見つからない場合は、戻ってくる可能性があります。
Unix Janitor

@ネイト。この古いスレッドを元に戻して申し訳ありませんが、なぜすべてのユーザーにパスワードの変更を強制できなかったのですか?私たちは、リモートユーザーを含め、あまり努力することなく、25,000人のユーザーのためにそれを行いました。とにかくすべてがうまくいったと思いますか?
ブライアン

ネットワークは学校システム用で、約5,000人の学生ユーザーと、それほどコンピュータに精通していない教師と学校のスタッフが多数います。すべてのユーザーに次回のログイン時にパスワードを変更するよう要求するのは、かなりの頭痛の種でした。すべてうまくいきました。すべての管理パスワードを変更し、必要に応じてバックアップからサーバーを復元し、すべてのPCのイメージを再作成しました。
Nate Pinchot、2011年

2

L0phtCrackからTHC-Hydraまで、またはカスタムコーディングされたアプリケーションまで何でも可能ですが、AVソリューションはよく知られているアプリを取得しているはずです。

この時点で、感染したすべてのシステムを特定し、それらを隔離(vlanなど)し、マルウェアを封じ込めて根絶する必要があります。

ITセキュリティチームに連絡しましたか?

最後に、私はあなたが再構築を望まないことを理解していますが、この時点で(あなたが与えた少しのデータがあれば)、リスクは再構築を保証するものだと私は言うでしょう。

-ジョシュ


2
リンクをありがとう。おそらく再構築する必要がありますが、イメージがありますが、さらに重要なのは、再構築したくなく、同じことが何度も発生することです。これを理解して、イメージを保護する必要があります。再構築。GMERを使用して、ルートキットが配置されていることを確認し、インストールされているサービスを無効にできました。私が再起動したとき、BitDefenderはWorm.Generic.42619としてそれを検出しました(これをグーグルで検索しても役に立ちません-ウイルスデータベースで検索もしていません)。彼らが私にもっと情報を提供するのを待っています。
Nate Pinchot

1
Nate-実際には、Worm.Generic.42619がここに私を導き(goo.gl/RDBj)、それがここに私を導き(goo.gl/n6aH)、最初のヒット(goo.gl/Le8u)を見ると、現在ネットワークに感染しているマルウェアとのいくつかの類似点...
Josh Brower '17

「私たちは再構築したくなく、同じことが何度も起こるので、これが何であるかを理解する必要があります」+1
Maximus Minimus

0

別のキャプチャプログラムを実行して、Wiresharkが表示している結果を確認してください。Wiresharkは、過去にKerberosトラフィックのデコードに問題がありました。あなたが見ているものは赤いニシンではないことを確認してください。

キャプチャに他の「異常」が見られますか?


間違いなく赤いニシンではなく、ウイルスを発見しました-Josh Browerの返答へのコメントには詳細があります。
Nate Pinchot
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.