Vírus que tenta atacar com força bruta os usuários do Active Directory (em ordem alfabética)?

8

Os usuários começaram a reclamar sobre a velocidade lenta da rede, então iniciei o Wireshark. Verifiquei e encontrei muitos PCs enviando pacotes semelhantes ao seguinte (captura de tela):

http://imgur.com/45VlI.png

Esbatei o texto do nome de usuário, nome do computador e nome de domínio (já que ele corresponde ao nome de domínio da Internet). Os computadores estão enviando spam para os servidores do Active Directory que tentam fazer com que as senhas de hackers com força bruta. Ele começará com o Administrador e descerá a lista de usuários em ordem alfabética. Ir fisicamente para o PC não encontra ninguém em qualquer lugar próximo e esse comportamento se espalha pela rede e, portanto, parece ser algum tipo de vírus. A verificação de computadores que foram pegos enviando spam pelo servidor com Malwarebytes, Super Antispyware e BitDefender (este é o antivírus que o cliente possui) não produz resultados.

Esta é uma rede corporativa com cerca de 2500 PCs, portanto, fazer uma reconstrução não é uma opção favorável. Meu próximo passo é entrar em contato com o BitDefender para ver que ajuda eles podem oferecer.
Alguém viu algo assim ou teve alguma idéia do que poderia ser?

security active-directory kerberos malware brute-force-attacks Nate Pinchot
fonte
Pode ser algo parecido com o que o Google e todos foram atingidos. Nos últimos meses, as empresas norte-americanas foram atacadas por alguém capaz de escrever suas próprias explorações, e quem sabe como elevar de usuário normal não administrador para administrador de domínio. Pesquise algumas histórias técnicas relacionadas aos ataques recentes contra o Google e outros.
quer
Alex, este não é o modelo de ataque do APT - os ataques do APT são muito precisos, específicos e discretos. Como esse ataque foi descoberto? Porque criou um grande impacto no desempenho da rede - o suficiente para alguém investigar - definitivamente não é o APT; a menos que, talvez, seja uma simulação, ocultar o vetor de ataque real.
Josh Brower

Respostas:

4

Desculpe, não tenho idéia do que é isso, no entanto, você tem problemas mais importantes no momento.

Quantas máquinas estão fazendo isso? Você desconectou todos eles da rede? (E se não, por que não?)

Você pode encontrar uma evidência de qualquer conta de domínio comprometida (especialmente contas de administrador de domínio)

Entendo que você não deseja construir seus desktops novamente, mas, a menos que você o faça, não poderá ter certeza de que limpará as máquinas.

Primeiros passos:

  • Verifique se as senhas complexas estão ativadas no seu domínio
  • definir uma política de bloqueio - isso causará problemas se você ainda tiver máquinas de digitalização, mas isso é melhor do que mais contas sendo comprometidas
  • Isolar uma máquina ruim conhecida, ela está tentando conversar com o mundo exterior? Você precisa bloquear isso na sua rede no seu gateway
  • Tente isolar todas as máquinas defeituosas conhecidas.
  • Monitore para mais máquinas de digitalização.
  • Forçar todos os seus usuários a alterar sua senha, verifique todas as suas contas de serviço.
  • Desative as contas que não estão mais em uso.
  • Verifique a participação no grupo em servidores e controladores de domínio (administradores de domínio, administradores, etc.)

Em seguida, você precisa executar algumas análises forenses em suas máquinas defeituosas conhecidas para tentar rastrear o que aconteceu. Depois que você souber disso, terá mais chances de saber qual é o escopo desse ataque. Use o revelador do kit raiz, talvez até crie uma imagem do disco rígido antes de destruir qualquer evidência. Os Linux Live CDs com suporte a NTFS podem ser muito úteis aqui, pois devem permitir que você encontre o que um kit raiz pode estar ocultando.

Coisas a considerar:

  • Você tem uma senha de administrador local padrão (fraca) em todas as estações de trabalho?
  • Seus usuários têm direitos de administrador?
  • Todos os administradores de domínio estão usando contas separadas para atividades de DA? Considere definir restrições nessas contas (por exemplo, estações de trabalho nas quais você pode fazer logon).
  • Você não fornece nenhuma informação sobre sua rede. Você tem algum serviço exposto publicamente?

Editar: tentar fornecer mais informações é difícil, pois realmente depende do que você encontra, mas tendo estado em uma situação semelhante há vários anos, você realmente precisa desconfiar de tudo, especialmente de máquinas e contas que você sabe que estão comprometidas.

Bryan
fonte
Temos boas senhas e políticas em vigor. O acesso externo já é extremamente limitado (http apenas via proxy, a maioria das portas bloqueadas, etc etc) - não é um problema. Não é possível forçar todos os usuários a alterar senhas, mas todos os usuários administrativos são factíveis. Veja meu comentário para Josh abaixo para obter detalhes sobre forense. Nenhum usuário além do necessário possui direitos de administrador. Nenhum serviço exposto publicamente além do tráfego da Web na DMZ, mas essas máquinas não foram afetadas - apenas os desktops até o momento.
Nate Pinchot
Também vale a pena notar que, embora eu tenha dito que a reconstrução não é favorável, estou principalmente atrás dos dados no momento, para poder proteger a imagem que estamos usando para reconstruir, pois obviamente há um buraco em algum lugar. Se eu encontrar dados mais úteis que "Worm.Generic", eu os postarei em uma resposta. Marcando isso como a resposta, já que esse é realmente o caminho a percorrer.
Nate Pinchot
Você precisa identificar o vetor em que esse código foi introduzido na sua rede. Nem sempre é da internet, executável em chaves USB e armazenamento pessoal. se você não encontrar o vetor, é provável que ele volte.
The Unix Janitor
@Nate. Desculpe arrastar esse thread antigo de volta, mas por que você não conseguiu forçar todos os usuários a alterar senhas? Fizemos isso para 25 mil usuários sem muito esforço, incluindo usuários remotos. Eu confio que tudo correu bem para você, afinal?
Bryan
A rede é para um sistema escolar, com cerca de 5 mil usuários estudantes e muitos professores e funcionários da escola que não são tão conhecedores de computadores. Isso criaria um pouco de dor de cabeça para exigir que todos os usuários alterassem sua senha no próximo login. Tudo correu bem. Alteramos todas as senhas administrativas, restauramos os servidores do backup, conforme necessário, e criamos novamente imagens de todos os PCs.
Nate Pinchot
2

Pode ser qualquer coisa, desde L0phtCrack a THC-Hydra ou até um aplicativo com código personalizado, embora sua solução AV deva ter escolhido os aplicativos conhecidos.

Neste ponto, você precisa identificar todos os sistemas infectados, colocá-los em quarentena (vlan, etc) e conter e erradicar o malware.

Você já entrou em contato com sua equipe de segurança de TI?

Por fim, entendo que você não deseja reconstruir, mas neste momento (com os poucos dados que você forneceu), eu diria que o risco justifica a reconstrução.

-Josh

Josh Brower
fonte
2
Obrigado pelos links. Provavelmente teremos que reconstruir, temos imagens. Mas, mais importante, não queremos reconstruir e acontecer a mesma coisa novamente. Por isso, precisamos descobrir o que é isso, para que possamos proteger as imagens contra elas e depois reconstruir. Usando o GMER, eu pude determinar que um rootkit estava instalado e desabilitei os serviços instalados. Quando reiniciei, o BitDefender o detectou como Worm.Generic.42619 (pesquisar no Google por isso não é útil - nem procurar por isso no vírus db). Então, esperando que eles me dêem mais informações agora.
Nate Pinchot
11
Nate- Na verdade, o Worm.Generic.42619 me leva aqui ( goo.gl/RDBj ), o que me leva aqui ( goo.gl/n6aH ), que, se você olhar para o primeiro hit ( goo.gl/Le8u ), ele algumas semelhanças com o malware atualmente infectar sua rede ....
Josh Brower
"não queremos reconstruir e fazer com que a mesma coisa aconteça novamente, então precisamos descobrir o que é isso" garante um +1
Maximus Minimus
0

Tente executar um programa de captura diferente para garantir que os resultados confirmem o que o Wireshark está vendo. O Wireshark teve problemas no passado ao decodificar o tráfego Kerberos. Verifique se o que você está vendo não é um arenque vermelho.

Você está vendo outras "anomolias" na captura?

joeqwerty
fonte
Definitivamente não é um arenque vermelho, descobriu um vírus - os comentários na resposta de Josh Brower têm os detalhes.
Nate Pinchot