Los usuarios comenzaron a quejarse de la lenta velocidad de la red, así que encendí Wireshark. Hice algunas comprobaciones y encontré muchas PC que envían paquetes similares a los siguientes (captura de pantalla):
Borré el texto para el nombre de usuario, el nombre de la computadora y el nombre de dominio (ya que coincide con el nombre de dominio de Internet). Las computadoras están enviando spam a los servidores de Active Directory que intentan hackear contraseñas por fuerza bruta. Comenzará con el Administrador y bajará la lista de usuarios en orden alfabético. Ir físicamente a la PC no encuentra a nadie cerca y este comportamiento se extiende a través de la red, por lo que parece ser un virus de algún tipo. El escaneo de computadoras que han sido atrapadas enviando spam al servidor con Malwarebytes, Super Antispyware y BitDefender (este es el antivirus que tiene el cliente) no arroja resultados.
Esta es una red empresarial con aproximadamente 2500 PC, por lo que reconstruir no es una opción favorable. Mi próximo paso es contactar a BitDefender para ver qué ayuda pueden proporcionar.
¿Alguien ha visto algo como esto o tiene alguna idea de lo que podría ser?
fuente
Respuestas:
Lo siento, no tengo idea de qué se trata, sin embargo, tienes problemas más importantes en este momento.
¿Cuántas máquinas están haciendo esto? ¿Los ha desconectado todos de la red? (¿Y si no, Pórque no?)
¿Puede encontrar evidencia de que alguna cuenta de dominio se vea comprometida (especialmente las cuentas de administrador de dominio)
Puedo entender que no quieras volver a construir tus escritorios, pero a menos que lo hagas, no puedes estar seguro de que limpiarás las máquinas.
Primeros pasos:
A continuación, debe realizar algunos análisis forenses en sus máquinas defectuosas conocidas para intentar rastrear lo que sucedió. Una vez que sepa esto, tendrá una mejor oportunidad de saber cuál es el alcance de este ataque. Use el revelador del kit raíz, quizás incluso visualice el disco duro antes de destruir cualquier evidencia. Los CD Live de Linux con soporte NTFS pueden ser muy útiles aquí, ya que deberían permitirle encontrar lo que un kit raíz podría estar ocultando.
Cosas para considerar:
Editar: Tratar de dar más información es difícil, ya que realmente depende de lo que encuentre, pero después de haber estado en una situación similar hace varios años, realmente necesita desconfiar de todo, especialmente de las máquinas y cuentas que sabe que están comprometidas.
fuente
Puede ser cualquier cosa, desde L0phtCrack hasta THC-Hydra o incluso una aplicación codificada a medida, aunque su solución AV debería haber elegido las aplicaciones más conocidas.
En este punto, debe identificar todos los sistemas infectados, ponerlos en cuarentena (vlan, etc.) y contener y erradicar el malware.
¿Ya ha contactado a su equipo de seguridad de TI?
Finalmente, entiendo que no quieres reconstruir, pero en este punto, (con los pocos datos que has proporcionado), diría que el riesgo justifica la reconstrucción.
-Josh
fuente
Intente ejecutar un programa de captura diferente para asegurarse de que los resultados confirmen lo que Wireshark está viendo. Wireshark ha tenido problemas en el pasado decodificando el tráfico Kerberos. Asegúrate de que lo que estás viendo no sea un arenque rojo.
¿Estás viendo otras "anomolias" en la captura?
fuente