Conta de administrador de domínio de bloqueio de origem desconhecida e tentativas de nomes aleatórios

-1

No meu domínio eu tenho uma máquina virtual que eu posso ver uma fonte desconhecida está constantemente tentando autenticar.

Eu posso pará-lo bloqueando as portas RPC no firewall local da VM, mas isso causa muitos problemas para mim.

Quando eu verifico meu netlogon.logarquivo, é assim para o administrador logout

11/29 13:47:32 [LOGON] [4100] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ ADMINISTRADOR de (via MyVirtualMachineHostname) retorna 0xC000006A 11/29 13:49:36 [LOGON] [5364] EMPRESA: SamLogon: Logon de rede transitório de (nulo) \ ADMINISTRADOR de (via MyVirtualMachineHostname) Retorna 0xC000006A 11/29 13:52:32 [LOGON] [6436] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ Administrador de WIN-L1JIA2E591R ( via MyVirtualMachineHostname) Retorna 0xC000006A 11/29 13:52:40 [LOGON] [6436] EMPRESA: SamLogon: logon de rede transitório de TRENDSALES \ Zucchini de 'MyPCHostname' (via MyVirtualMachineHostname) retorna 0xC000006A 11/29 14:02:34 [LOGON ] [5364] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ ADMINISTRADOR de (via MyVirtualMachineHostname) retorna 0xC000006A 11/29 14:04:16 [LOGON] [1216] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ Administrador de WIN-L1JIA2E591R (via MyVirtualMachineHostname) Retorna 0xC000006A 11/29 14:14:34 [LOGON] [5364] EMPRESA: SamLogon: Rede Transitiva logon de (nulo) \ ADMINISTRADOR de (via MyVirtualMachineHostname) retorna 0xC000006A 11/29 14:16:02 [LOGON] [5364] empresa: SamLogon: logon de rede transitório de (nulo) \ Administrator de WIN-L1JIA2E591R (via MyVirtualMachineHostname) retorna 0xC000006A 11/29 14:18:11 [LOGON] [3628] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ ADMINISTRADOR de (via MyVirtualMachineHostname) retorna 0xC000006A 11/29 14:27:50 [LOGON] [5364] EMPRESA : SamLogon: logon de rede transitório de (nulo) \ Administrator de WIN-L1JIA2E591R (via MyVirtualMachineHostname) retorna 0xC000006A 11/29 14:33:47 [LOGON] [2244] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ ADMINISTRADOR de (via MyVirtualMachineHostname) retorna 0xC000006A 11/29 14:37:41 [LOGON] [892] EMPRESA: SamLogon: logon de rede transitório de ( null) \ ADMINISTRADOR de (via MyVirtualMachineHostname) Retorna 0xC000006A 11/29 14:41:18 [LOGON] [7012] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ Administrador de WIN-L1JIA2E591R (via MyVirtualMachineHostname) retorna 0xC000006ALogon de rede transitório de (nulo) \ Administrador de WIN-L1JIA2E591R (via MyVirtualMachineHostname) Retorna 0xC000006ALogon de rede transitório de (nulo) \ Administrador de WIN-L1JIA2E591R (via MyVirtualMachineHostname) Retorna 0xC000006A

Ele também tenta uma grande variedade de nomes de usuários aleatórios com esta aparência:

29/11/11 14:28:12 [LOGON] [3884] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ RCSSupport de FreeRDP (via MyVirtualMachineHostname) Retorna 0xC0000064 29/11 14:28:16 [LOGON] [3884] EMPRESA : SamLogon: logon de rede transitiva de (nulo) \ RCSSupport de FreeRDP (via MyVirtualMachineHostname) retorna 0xC0000064 11/29 14:28:35 [LOGON] [7120] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ pos de FreeRDP ( via MyVirtualMachineHostname) Retorna 0xC0000064 11/29 14:28:47 [LOGON] [4436] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ pos de FreeRDP (via MyVirtualMachineHostname) retorna 0xC0000064 30/11 11:53:04 [LOGON ] [3048] EMPRESA: SamLogon: logon de rede transitório de (nulo) \ MSSQLSERVER de (via MyVirtualMachineHostname) retorna 0xC0000064 11/30 11:54:19 [LOGON] [3048] EMPRESA: SamLogon:Logon de rede transitiva de (nulo) \ IUSR_QA de (via MyVirtualMachineHostname) retorna 0xC0000064

Como faço para descobrir de onde as tentativas estão vindo? Parece que o nome do host está sendo falsificado?

Eu também não tenho certeza se o problema é malware na máquina MyVirtualMachineHostnameou se estou procurando por um computador infectado na minha rede.

Abobrinha
fonte
Você desligou a VM MyVirtualMachineHostnamepara ver sempre que ela para?
Seth

Respostas:

0

Primeiro, descubra quais portas TCP (e / ou UDP) estão sendo usadas. Meu palpite é TCP porta 135, mas acredito que RPC pode ser uma coisa complicada, possivelmente usando outras portas. Se o seu firewall permitir que você desabilite essas portas especificando determinadas regras, observe essas regras para ver quais portas estão envolvidas.

Em seguida, procure por conexões ativas. Uma maneira é através de uma linha de comando. Aqui estão os comandos para a linha de comando tradicional:

netstat -na
netstat -na | find /i "135" | more

(Se estiver usando o PowerShell, você precisará colocar um caractere / caractere de retorno antes de cada uma dessas aspas.)

Outra maneira: no Windows 10 (e talvez tão cedo quanto o Vista?), Clique com o botão direito do mouse na barra de tarefas e escolha Gerenciador de Tarefas. Na guia Desempenho, clique em "Gerenciador de recursos". (Ou, pode haver algumas outras maneiras de chegar ao Gerenciador de Recursos.) Vá para a guia Rede e expanda a seção "Conexões TCP" (preferencial). Ou, se o UDP estiver envolvido, a seção "Listening Ports" poderá ter mais informações.

O que isto faz é começar a identificar o endereço IP do atacante. Depois disso, talvez você não consiga obter mais informações, a menos que você comece a interagir com essa máquina. (Você pode precisar de permissões nessa máquina para encontrar mais detalhes.) Bem, você poderia obter mais informações cheirando a conexão de rede (por exemplo, com TCPDump ou o mais gráfico Wireshark), mas é melhor tentar usar essa máquina ( através do seu teclado, ou através de ferramentas de gerenciamento remoto como o Gerenciamento do Computador ou WMIC).

Se o endereço IP remoto for de loopback (começa com "127." para IPv4 ou é ":: 1" para IPv6), então você provavelmente terá duas entradas (uma para a conexão de saída e outra para a conexão de recebimento) . Nesse caso, execute a netstat -nabpartir de um prompt de comando. Certifique-se de que o prompt de comando esteja elevado (se você tiver o UAC ativado). Isso lhe dará um PID que pode ser usado para identificar qual programa local está sendo usado. Para fazer isso, em um prompt de comando elevado, use:

WMIC PROCESS GET Name,ProcessID /FORMAT:LIST

(Novamente, os usuários do PowerShell fazem um back-tick, desta vez antes da vírgula.) (Para obter mais informações, desative a parte "Nome, ProcessID".) Para um ProcessID / PID específico, por exemplo, 12345, você pode usar:

WMIC PROCESS GET Name,ProcessID /FORMAT:TABLE | FIND /I "12345"
TOOGAM
fonte