web-dev-qa-db-ja.com

ブルートフォース攻撃を試みるウイルスは、Active Directoryユーザー(アルファベット順)を攻撃しますか?

ユーザーがネットワーク速度の低下について不満を漏らし始めたので、Wiresharkを起動しました。いくつかのチェックを行ったところ、次のようなパケットを送信しているPCが多数見つかりました(スクリーンショット)。

http://imgur.com/45VlI.png

ユーザー名、コンピューター名、ドメイン名のテキストをぼかしました(インターネットのドメイン名と一致しているため)。コンピューターは、ブルートフォースハッキングパスワードを試みているActiveDirectoryサーバーにスパムを送信しています。それは管理者から始まり、アルファベット順にユーザーのリストを下に行きます。物理的にPCにアクセスしても、PCの近くには誰もいないため、この動作はネットワーク全体に広がっており、何らかのウイルスのように見えます。 Malwarebytes、Super Antispyware、およびBitDefender(これはクライアントが持っているアンチウイルスです)でサーバーをスパムしていることが検出されたコンピューターをスキャンしても、結果は得られません。

これは約2500台のPCを備えたエンタープライズネットワークであるため、再構築を行うことは好ましい選択肢ではありません。私の次のステップは、BitDefenderに連絡して、彼らが提供できる支援を確認することです。
誰かがこのようなものを見たことがありますか、それが何である可能性があるかについて何か考えを持っていますか?

securityactive-directorykerberosmalwarebrute-force-attacks
8
Nate Pinchot

申し訳ありませんが、これが何であるかはわかりませんが、現在、より重要な問題があります。

何台のマシンがこれを行っていますか?それらすべてをネットワークから切断しましたか? (そうでない場合、なぜそうではないのですか?)

ドメインアカウント(特にドメイン管理者アカウント)が侵害されている証拠を見つけることができますか

デスクトップの再構築を望まないことは理解できますが、そうしないと、マシンをクリーンアップできるかどうか確信が持てません。

最初のステップ:

  • ドメインで複雑なパスワードが有効になっていることを確認する
  • ロックアウトポリシーを設定します-スキャンマシンがまだある場合は問題が発生しますが、より多くのアカウントが侵害されるよりはましです
  • 既知の不良マシンを分離します。それは外界と話をしようとしているのですか?ゲートウェイでネットワーク全体でこれをブロックする必要があります
  • 既知のすべての不良マシンを分離してみます。
  • 他のスキャンマシンを監視します。
  • 強制allユーザーにパスワードの変更を強制し、すべてのサービスアカウントを確認します。
  • 使用されなくなったアカウントを無効にします。
  • サーバーとDC(ドメイン管理者、管理者など)のグループメンバーシップを確認する

次に、既知の不良マシンでフォレンジックを実行して、何が起こったかを追跡する必要があります。これを知ったら、この攻撃の範囲を知る可能性が高くなります。ルートキットリビールを使用します。証拠を破棄する前に、ハードディスクのイメージを作成することもできます。 NTFSをサポートするLinux Live CDは、ルートキットが隠している可能性があるものを見つけることができるため、ここで非常に役立ちます。

考慮事項:

  • すべてのワークステーションに標準のローカル管理者(弱い)パスワードがありますか?
  • ユーザーに管理者権限がありますか?
  • すべてのドメイン管理者がDAアクティビティに個別のアカウントを使用していますか?これらのアカウントに制限を設定することを検討してください(たとえば、ログオンできるワークステーション)。
  • ネットワークに関する情報は提供しません。公開されているサービスはありますか?

編集:より多くの情報を提供しようとすることは、実際には何を見つけるかに依存するため困難ですが、数年前に同様の状況にあったため、すべて、特に侵害されていることがわかっているマシンとアカウントを信用しない必要があります。

4
Bryan

L0phtCrack から THC-Hydra まで、またはカスタムコード化されたアプリケーションでもかまいませんが、AVソリューションは有名なアプリを選択する必要があります。

この時点で、感染したすべてのシステムを特定し、それらを隔離(vlanなど)し、マルウェアを封じ込めて根絶する必要があります。

I.T.に連絡しましたかセキュリティチームはもう?

最後に、あなたが再構築したくないことを理解していますが、この時点で(あなたが提供したわずかなデータで)、リスクは再構築を正当化すると言います。

-ジョシュ

2
Josh Brower

別のキャプチャプログラムを実行して、Wiresharkが表示している結果を確認してください。 Wiresharkは、過去にKerberosトラフィックのデコードに問題がありました。あなたが見ているものが赤いニシンではないことを確認してください。

キャプチャに他の「異常」が見られますか?

0
joeqwerty