¿Virus que intenta atacar por fuerza bruta a los usuarios de Active Directory (en orden alfabético)?

8

Los usuarios comenzaron a quejarse de la lenta velocidad de la red, así que encendí Wireshark. Hice algunas comprobaciones y encontré muchas PC que envían paquetes similares a los siguientes (captura de pantalla):

http://imgur.com/45VlI.png

Borré el texto para el nombre de usuario, el nombre de la computadora y el nombre de dominio (ya que coincide con el nombre de dominio de Internet). Las computadoras están enviando spam a los servidores de Active Directory que intentan hackear contraseñas por fuerza bruta. Comenzará con el Administrador y bajará la lista de usuarios en orden alfabético. Ir físicamente a la PC no encuentra a nadie cerca y este comportamiento se extiende a través de la red, por lo que parece ser un virus de algún tipo. El escaneo de computadoras que han sido atrapadas enviando spam al servidor con Malwarebytes, Super Antispyware y BitDefender (este es el antivirus que tiene el cliente) no arroja resultados.

Esta es una red empresarial con aproximadamente 2500 PC, por lo que reconstruir no es una opción favorable. Mi próximo paso es contactar a BitDefender para ver qué ayuda pueden proporcionar.
¿Alguien ha visto algo como esto o tiene alguna idea de lo que podría ser?

Nate Pinchot
fuente
Podría ser algo similar a lo que Google y todos fueron golpeados. En los últimos meses o un año, las compañías estadounidenses han sido atacadas por alguien capaz de escribir sus propios exploits y que sabe cómo pasar de ser un usuario no administrador habitual a un administrador de dominio. Haga una búsqueda de algunas historias técnicas relacionadas con los recientes ataques contra Google y otros.
Alex Holst
Alex, esto no se ajusta al modelo de un ataque APT: los ataques APT son muy precisos, específicos y discretos. ¿Cómo se descubrió este ataque? Debido a que creó un gran éxito en el rendimiento de la red, suficiente para que alguien lo examine, definitivamente no es APT; a menos que, tal vez, sea una finta, ocultar el vector de ataque real.
Josh Brower

Respuestas:

4

Lo siento, no tengo idea de qué se trata, sin embargo, tienes problemas más importantes en este momento.

¿Cuántas máquinas están haciendo esto? ¿Los ha desconectado todos de la red? (¿Y si no, Pórque no?)

¿Puede encontrar evidencia de que alguna cuenta de dominio se vea comprometida (especialmente las cuentas de administrador de dominio)

Puedo entender que no quieras volver a construir tus escritorios, pero a menos que lo hagas, no puedes estar seguro de que limpiarás las máquinas.

Primeros pasos:

  • Asegúrese de que las contraseñas complejas estén habilitadas en su dominio
  • establecer una política de bloqueo: esto le causará problemas si todavía tiene máquinas de escaneo, pero esto es mejor que más cuentas comprometidas
  • Aislar una mala máquina conocida, ¿está tratando de hablar con el mundo exterior? Necesita bloquear esto a través de su red en su puerta de enlace
  • Intente aislar todas las máquinas malas conocidas.
  • Monitor para más máquinas de escaneo.
  • Obligue a todos sus usuarios a cambiar su contraseña, verifique todas sus cuentas de servicio.
  • Deshabilite cualquier cuenta que ya no esté en uso.
  • Verifique las membresías de su grupo en servidores y DC (administradores de dominio, administradores, etc.)

A continuación, debe realizar algunos análisis forenses en sus máquinas defectuosas conocidas para intentar rastrear lo que sucedió. Una vez que sepa esto, tendrá una mejor oportunidad de saber cuál es el alcance de este ataque. Use el revelador del kit raíz, quizás incluso visualice el disco duro antes de destruir cualquier evidencia. Los CD Live de Linux con soporte NTFS pueden ser muy útiles aquí, ya que deberían permitirle encontrar lo que un kit raíz podría estar ocultando.

Cosas para considerar:

  • ¿Tiene una contraseña de administrador local estándar (débil) en todas las estaciones de trabajo?
  • ¿Sus usuarios tienen derechos de administrador?
  • ¿Todos los administradores de dominio usan cuentas separadas para las actividades de DA? Considere establecer restricciones en estas cuentas (por ejemplo, estaciones de trabajo en las que puede iniciar sesión).
  • No das ninguna información sobre tu red. ¿Tiene algún servicio expuesto públicamente?

Editar: Tratar de dar más información es difícil, ya que realmente depende de lo que encuentre, pero después de haber estado en una situación similar hace varios años, realmente necesita desconfiar de todo, especialmente de las máquinas y cuentas que sabe que están comprometidas.

Bryan
fuente
Tenemos buenas contraseñas y políticas vigentes. El acceso externo ya es extremadamente limitado (http solo a través de proxy, la mayoría de los puertos bloqueados, etc., etc.), no es un problema. No se puede obligar a todos los usuarios a cambiar las contraseñas, pero todos los usuarios administradores son factibles. Vea mi comentario a Josh a continuación para obtener detalles sobre forense. Ningún usuario que no sea el necesario tiene derechos de administrador. No hay servicios expuestos públicamente que no sean tráfico web a la DMZ, pero estas máquinas no se vieron afectadas, solo computadoras de escritorio hasta ahora.
Nate Pinchot
También vale la pena señalar que si bien dije que la reconstrucción no es favorable, estoy principalmente buscando datos en este momento para poder proteger la imagen que estamos usando para reconstruir, ya que obviamente hay un agujero en alguna parte. Si encuentro más datos útiles que "Worm.Generic", lo publicaré en una respuesta. Marcar esto como la respuesta ya que este es realmente el camino a seguir.
Nate Pinchot
Debe identificar el vector en el que este código se introdujo en su red. No siempre es de Internet, ejecutable en claves USB y almacenamiento personal. Si no encuentra el vector, es probable que regrese.
The Unix Janitor
@Nate. Lamento volver a arrastrar este viejo hilo, pero ¿por qué no pudiste obligar a todos los usuarios a cambiar las contraseñas? Lo hicimos para 25k usuarios sin demasiado esfuerzo, incluidos los usuarios remotos. ¿Confío en que todo te fue bien de todos modos?
Bryan
La red es para un sistema escolar, con aproximadamente 5k usuarios de estudiantes y muchos maestros y personal de la escuela no tan expertos en informática. Hubiera creado bastante dolor de cabeza exigir a todos los usuarios que cambien su contraseña en el próximo inicio de sesión. Todo salió bien. Cambiamos todas las contraseñas administrativas, restauramos los servidores de la copia de seguridad según sea necesario y reimpresionamos todas las PC.
Nate Pinchot
2

Puede ser cualquier cosa, desde L0phtCrack hasta THC-Hydra o incluso una aplicación codificada a medida, aunque su solución AV debería haber elegido las aplicaciones más conocidas.

En este punto, debe identificar todos los sistemas infectados, ponerlos en cuarentena (vlan, etc.) y contener y erradicar el malware.

¿Ya ha contactado a su equipo de seguridad de TI?

Finalmente, entiendo que no quieres reconstruir, pero en este punto, (con los pocos datos que has proporcionado), diría que el riesgo justifica la reconstrucción.

-Josh

Josh Brower
fuente
2
Gracias por los enlaces. Probablemente tendremos que reconstruir, tenemos imágenes. Pero lo que es más importante, no queremos reconstruir y hacer que vuelva a ocurrir lo mismo, así que tenemos que descubrir qué es esto para poder proteger las imágenes contra él y luego reconstruir. Usando GMER pude determinar que un rootkit estaba en su lugar y deshabilité los servicios que había instalado. Cuando reinicié, BitDefender lo detectó como Worm.Generic.42619 (buscar en Google esto no es útil, ni lo está buscando en su virus db). Esperando que me den más información ahora.
Nate Pinchot
1
Nate- En realidad, Worm.Generic.42619 me lleva aquí ( goo.gl/RDBj ), que me lleva aquí ( goo.gl/n6aH ), que, si nos fijamos en el primer golpe ( goo.gl/Le8u ) tiene algunas similitudes con el malware que actualmente infecta su red ...
Josh Brower
"No queremos reconstruir y que vuelva a ocurrir lo mismo, así que tenemos que descubrir qué es esto" garantiza un +1
Maximus Minimus
0

Intente ejecutar un programa de captura diferente para asegurarse de que los resultados confirmen lo que Wireshark está viendo. Wireshark ha tenido problemas en el pasado decodificando el tráfico Kerberos. Asegúrate de que lo que estás viendo no sea un arenque rojo.

¿Estás viendo otras "anomolias" en la captura?

joeqwerty
fuente
Definitivamente no es un arenque rojo, descubrió un virus: los comentarios sobre la respuesta de Josh Brower tienen los detalles.
Nate Pinchot