ネットワーク上の未知のワームの除去/根絶にどのように対処しますか?


13

TL; DR

私たちの小さなネットワークは、ある種のワーム/ウイルスに感染していると確信しています。ただし、Windows XPマシンを苦しめているだけのようです。Windows 7マシンとLinux(そうです)コンピューターは影響を受けていないようです。ウイルス対策スキャンでは何も表示されませんが、ドメインサーバーは、さまざまな有効および無効なユーザーアカウント、特に管理者でのログイン試行の失敗を数千回記録しています。この未確認のワームの拡散を防ぐにはどうすればよいですか?


症状

一部のWindows XPユーザーは、完全に同一ではありませんが、同様の問題を報告しています。これらはすべて、ソフトウェアによって開始されるランダムなシャットダウン/再起動を経験します。いずれかのコンピューターで、NT-AUTHORITY \ SYSTEMによって明らかに開始され、RPC呼び出しに関係するシステムの再起動まで、カウントダウンのダイアログがポップアップします。特に、このダイアログは、古いRPCエクスプロイトワームの詳細についての記事で説明されているものとまったく同じです。

2台のコンピューターが再起動すると、ログインプロンプト(ドメインコンピューター)で再起動しましたが、管理者としてログインしていなくても、リストされているユーザー名は「admin」でした。

ドメインを実行しているWindows Server 2003マシンで、さまざまなソースからの数千のログイン試行に気付きました。管理者、管理者、ユーザー、サーバー、所有者など、さまざまなログイン名をすべて試しました。

一部のログにはIPがリストされていましたが、一部はリストされていませんでした。(失敗したログインの)ソースIPアドレスを持っていたもののうち、2つはリブートが発生している2台のWindows XPマシンに対応しています。ちょうど昨日、外部IPアドレスからのログイン試行の失敗に気づきました。tracerouteは、外部IPアドレスがカナダのISPからのものであることを示しました。そこから接続するべきではありません(VPNユーザーもいます)。そのため、外国のIPからのログイン試行で何が起こっているのかまだわかりません。

これらのコンピューターにはある種のマルウェアが存在することは明らかであり、その目的の一部は、ドメインアカウントのパスワードを列挙してアクセスを試みることです。

これまでに行ったこと

何が起こっているのかを理解した後、私の最初のステップは、すべての人が最新のアンチウイルスを実行し、スキャンを行ったことを確認することでした。影響を受けたコンピュータのうち、1台は期限切れのウイルス対策クライアントを持っていますが、他の2台はノートンの現在のバージョンであり、両方のシステムの完全スキャンでは何も見つかりませんでした。

サーバー自体は定期的に最新のアンチウイルスを実行しており、感染は確認されていません。

そのため、Windows NTベースのコンピューターの3/4は最新のアンチウイルスを使用していますが、何も検出していません。しかし、主にさまざまなアカウントへのログイン試行が何千回も失敗したことから明らかなように、何かが起こっていると確信しています。

また、メインファイル共有のルートにはかなりオープンなアクセス許可があることに気づいたので、通常のユーザーの読み取りと実行に制限しました。管理者にはもちろんフルアクセスがあります。また、ユーザーにパスワードを(強力なパスワードに)更新してもらい、サーバーの管理者に名前を変更してパスワードを変更します。

私はすでにネットワークからマシンを取り出し、新しいマシンに交換されていますが、これらのことはネットワークを介して拡散する可能性があることを知っているので、まだこの最下部に到達する必要があります。

また、サーバーには特定のポートのみが開かれたNAT /ファイアウォール設定があります。Linuxのバックグラウンドであるため、ポートが開いているWindows関連サービスの一部についてはまだ完全に調査していません。

それで?

そのため、すべての最新のアンチウイルスは何も検出しませんでしたが、これらのコンピューターには何らかのウイルスがあると確信しています。これは、XPマシンのランダムな再起動/不安定性と、これらのマシンから発生する何千ものログイン試行に基づいています。

私がやろうとしているのは、影響を受けるマシンでユーザーファイルをバックアップし、次にウィンドウを再インストールして、ドライブを新しくフォーマットすることです。また、他のマシンへの拡散に使用された可能性のある共通ファイル共有を保護するために、いくつかの対策を講じています。

このすべてを知って、このワームがネットワーク上の他の場所にないことを確認するために私は何ができますか?そして、どのようにそれが広がるのを止めることができますか?

私はこれが描かれた質問であることを知っています、しかし、私はここの私の深さから出ていて、いくつかのポインターを使うことができました。

見てくれてありがとう!



それは....まったく同じではありませんが、非常に接近して
のmailq

1
ログイン試行の失敗を表示しているサーバーはインターネットにアクセス可能ですか、それとも内部LAN上ですか?
MDマーラ

5
F..king sh.t. それで誰もあなたを殺しませんでしたか?!
mailq

4
幸いなことに、私は殺されるに値する人ではない、彼はすでに去った。私はここにいるだけです。
Mr. Shickadance

回答:


18

これらは、この種のプロセスに関する一般的な提案です。すでにそれらのいくつかをカバーしていることを感謝しますが、重要なものを見逃すよりも、何かを二回話す方が良いです。これらのメモは、LAN上で拡散しているマルウェアを対象としていますが、より小規模な感染に対処するために簡単に縮小できます。

腐敗を停止し、感染源を見つけます。

  1. すべてのシステムと、ビジネスが気にするこのネットワーク上のすべてのデータの最新のバックアップがあることを確認してください。この復元メディアが危険にさらされる可能性があることに注意してください。そうすることで、3か月以内に人々がそれを復元しようとして、背中を向けてネットワークに再び感染することを防ぎます。感染が発生する前のバックアップがある場合は、これも安全に片側に置いてください。

  2. 可能であれば、ライブネットワークをシャットダウンします(少なくともクリーンアッププロセスの一部としてこれを行う必要があるでしょう)。少なくとも、何が起こっているのかがわかるまで、サーバーを含むこのネットワークをインターネットから遮断することを真剣に検討してください。このワームが情報を盗んでいる場合はどうでしょうか。

  3. 自分より先に進まないでください。この時点ですべてをクリーンビルドし、全員にパスワードの変更などを強制し、それを「十分」と呼びたくなるだけです。おそらく遅かれ早かれこれを行う必要がありますが、LANで何が起こっているのか理解していない場合、感染のポケットが残る可能性があります。(感染をさらに調査したくない場合は、ステップ6に進みます

  4. 感染したマシンをある種の仮想環境にコピーし、この仮想環境をホストマシンを含む他のすべてから隔離してから、侵害されたゲストを起動します

  5. 感染するクリーンな仮想ゲストマシンをもう2つ作成してから、そのネットワークを隔離し、wiresharkなどのツールを使用してネットワークトラフィックを監視します(そのLinuxバックグラウンドを利用して、このすべてのトラフィックを監視せずにこのトラフィックを監視できる別のゲストをこの仮想LANに作成しますWindowsワームに感染している!)およびこれらすべてのマシンで発生する変更を監視するプロセスモニター。また、この問題は隠れたルートキットである可能性があることも考慮してください。信頼できるツールを使用してこれらを見つけてみてください。ただし、これは少し苦労するため、何も見つけなくても意味がないことを忘れないでください。

  6. (メインLANをシャットダウンしていない/シャットダウンできないと仮定)メインLANでwiresharkを使用して、感染したマシンとの間で送受信されるトラフィックを調べます。潜在的に疑わしいとして、マシンからの説明できないトラフィックを処理します。目に見える症状がないことは、妥協がないことの証拠ではありません。特に、サーバーや、ビジネスに不可欠な情報を実行しているワークステーションについて心配する必要があります。

  7. 仮想ゲストで感染したプロセスを分離したら、これらのマシンで使用ているウイルス対策ソフトウェアを作成した会社にサンプルを送信できるはずです。彼らは、サンプルを調べて、発見した新しいマルウェアの修正プログラムを作成することに熱心です。実際、まだ行っていない場合は、何らかの助けになる可能性があるため、悲惨な話を伝えてください。

  8. 元の感染ベクターが何であるかを非常に一生懸命試してみてください -このワームは、誰かがアクセスした侵害されたWebサイト内に隠されたエクスプロイトである可能性があります。しかし、いくつかの方法。このエクスプロイトは、管理者権限を持つユーザーを介してこれらのマシンを侵害しましたか?その場合、今後ユーザーに管理者権限を付与しないでください。感染源が修正されていることを確認する必要があります。また、将来のエクスプロイトに対して感染経路をより困難にするために、手順を変更できるかどうかを確認する必要があります。

掃除

これらの手順のいくつかは、上に見えるでしょう。ヘックそれらのいくつかは、おそらくあるあなただけの数台のマシンが実際に危険にさらされていることを決定、しかし、彼らはそれができるよう、あなたのネットワークがクリーンであることを保証すべきである場合は特に、トップの上に。ボスもこれらのステップのいくつかに熱心ではありませんが、それについて多くを行うことはありません。

  1. ネットワーク上のすべてのマシンをシャットダウンします。すべてのワークステーション。すべてのサーバー。すべて。はい、父親が仕事を終えるのを待っている間に息子がネットワークに忍び込むために使用する上司の10代の息子のラップトップでさえ、息子が現在のソーシャルメディアサイトで何でも「dubious-javascript-exploit-Ville」をプレイできるようにします。実際、それについて考えて、特にこのマシンをシャットダウンします。それが必要な場合はレンガで。

  2. 各サーバーを順番に起動します。自分で発見した、またはAV会社から提供された修正を適用します。あなたが見つけた場合、トラフィックは(このサーバーから見て、別のシステム上の任意の原因不明のアカウントのユーザーとグループ(ローカルアカウントとADアカウントの両方)何も予期しないと使用wiresharkのために、監査インストールしたソフトウェアを監査する任意の後、真剣に再構築を検討この時点で問題をそのサーバー)。次のシステムを起動する前に各システムをシャットダウンして、侵害されたマシンが他のマシンを攻撃できないようにします。または、ネットワークからプラグを抜いて、一度に複数の操作を行うことができますが、お互いに会話することはできません。

  3. すべてのサーバーがクリーンであることを確認したら、それらを起動し、wireshark、プロセスモニターなどを使用して、再び奇妙な動作がないか再度観察します。

  4. すべてのシングルユーザーパスワードをリセットします。そして、可能であれば、サービスアカウントのパスワードも。ええ、私はその痛みを知っています。私たちは、この時点で「おそらくトップ」の領域に向かっています。あなたの電話。

  5. すべてのワークステーションを再構築します。感染したマシンがLAN上でアイドル状態にならないようにして、新たに再構築されたマシンを攻撃しないようにします。はい、これにはしばらく時間がかかりますが、ごめんなさい。

  6. それが不可能な場合:

    すべての「うまくいけば」きれいなワークステーション上のサーバーに対して、上記で概説した手順を実行します。

    不審なアクティビティのヒントを示したものをすべて再構築し、すべての「うまくいけばクリーン」なマシンの電源がオフになっている間に行います。

  7. 集中型AVをまだ検討していない場合は、問題を監視できるサーバーに問題を報告します。集中型イベントログ、ネットワーク監視など。明らかに、これらのネットワークのニーズと予算に適したものを選択してください。しかし、明らかに問題がありますよね?

  8. これらのマシンにインストールされているユーザー権限とソフトウェアを確認し、定期的な監査を設定して、期待どおりの状態であることを確認します。また、ユーザーにうめき声を出さずにできるだけ早く報告するように促し、メッセンジャーを撃つのではなく、IT問題を解決するビジネス文化を奨励するようにします。


3
そして最後に、Shickadance氏、幸運を祈ります。
ダン

7

あなたは私がすることをすべてやりました(私がまだWindows管理者だった場合)-正規の手順は次のとおりです(または、前回私がWindowsの男だった場合):

  1. 影響を受けるマシンを分離します。
  2. ウイルス対策定義の更新
    AV /マルウェア/などを実行します。ネットワーク全体をスキャンします
  3. 影響を受けるマシンを吹き飛ばし(吸盤を完全に拭き取ります)、再インストールします。
  4. バックアップからユーザーデータを復元します(クリーンであることを確認します)。

ウイルス/ワーム/メール(メールサーバー上)に潜んでいるもの、または単語/ Excelドキュメント内のマクロ内にある可能性が常にあることに注意してください-問題が再発した場合は、クリーニングをより積極的に行う必要があるかもしれません次回は。


3
すべてが「再インストール」のためにダウンします。修正しようとしないでください。
mailq

@mailqはい。感染または感染したシステムを「クリーニング」するようなものはありません。
voretaq7

これが事実だと思いました。私の問題は、何が起こっているのかを正確に把握することができず、サーバーとネットワークがクリーンな状態を共有できるようにすることです。少なくともできる限り。...ちょうどFYI私はこのプロジェクトを継承し、長い時間のための管理者の不在後のクリーンアップの一種だ
氏Shickadanceに

3
@ Mr.Shickadance残念ながら、環境がクリーンであることを「知る」唯一の方法は、新しい完全に分離した環境を構築し、古い環境と接触せずにその環境に人を移行することです。それは現実的ではないので、あなたができる最善のことは、あなたが問題を排除したことを「合理的に確信」することです。
voretaq7

まあ、その時点で、私は実際に代替のLinuxサーバーを構築するプロセスにいます。残念ながら、この「汚染された」ネットワークには既に接続されていますが、実際には使用されていません。私は自分自身で作業し、サービスを使用しています。続けて悪いリンゴを削除し、可能な限り古いサーバーのセキュリティを更新し、最善を望みます。
Mr.シカダンス

2

これから得られる最初の教訓は、AVソリューションは完璧ではないということです。程遠い。

AVソフトウェアベンダーの最新情報を入手している場合は、電話してください。それらはすべて、まさにこの種のサポート番号を持っています。実際のところ、彼らはおそらくあなたを襲ったものに非常に興味があるでしょう。

他の人が言ったように、各マシンを降ろし、拭いて再インストールします。とにかく、この機会を利用して、XPから全員を降ろしてください。それはかなり長い間、死んだOSでした。少なくともこれには、HDパーティションを破壊して再フォーマットする必要があります。しかし、それほど多くのマシンが関係していないように思えるので、完全に新しい交換品を購入する方が良い選択肢かもしれません。

また、上司にこれがただ高価になったことを知らせてください。

最後に、なぜ世界でそれらすべてを単一のサーバーから実行するのでしょうか?(修辞的な、私はあなたがそれを「継承した」ことを知っています)DCは決してインターネットからアクセスできないはずです。これを修正するには、適切なハードウェアを用意して、必要な機能を処理します。


ええ、実際にはこのセットアップにはさらに多くの問題があります。古いお尻のNetgearホームワイヤレスルーターが、ネットワーク全体のゲートウェイとして使用されていたと言ったら、おそらく笑うでしょう。
Mr. Shickadance

1
@ Mr.Shickadance-笑うのではなく、泣く。それはあなたの前任者のせいだったのでしょうか、それともビジネスがITに適切に投資しないことを選択し、現在価格を支払っていますか?
ロブ・モイア

2
よくわかりませんが、両方の組み合わせであった可能性があります。いずれにせよ、私はそれを試して修正するためにここに来ており、サポートを持っているので、すでにいくつかの新しいハードウェアに投資しています。いずれにしても、古いサーバーをダウンさせることはできませんが、ネットワークから不良システムを削除しました。奇妙なことは何も起きていないと言えるので、ここで与えられたアドバイスに従う必要があります。
Mr.シカダンス

0

A / Vプログラムが何も起動しない場合、おそらくルートキットです。TDSSkillerを実行して、見つけたものを確認してください。また、これは、古くなったWindows XPコンピューターを10年以上前のものに置き換えるだけの絶好の機会です。ウイルス対策プログラムなどのソフトウェアは別として、シム経由で実行することができなかったり、Windows 7でNTFS /レジストリのアクセス許可をいくつか緩めたりすることができなかったプログラムについては、ごくわずかしか見ていません。 XPを実行します。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.