Security

試圖暴力攻擊 Active Directory 使用者的病毒(按字母順序)?

  • September 8, 2018

使用者開始抱怨網路速度慢,所以我啟動了 Wireshark。做了一些檢查,發現許多 PC 發送的數據包類似於以下(截圖):

http://imgur.com/45VlI.png

我模糊了使用者名、電腦名和域名的文本(因為它與網際網路域名匹配)。電腦正在向 Active Directory 伺服器發送垃圾郵件,試圖暴力破解密碼。它將以管理員開頭,並按字母順序排列在使用者列表中。親自前往 PC 附近找不到任何人,並且這種行為在網路中傳播,因此它似乎是某種病毒。掃描發現向伺服器發送惡意軟體字節、超級反間諜軟體和 BitDefender(這是客戶端的防病毒軟體)的電腦不會產生任何結果。

這是一個擁有大約 2500 台 PC 的企業網路,因此重建不是一個有利的選擇。我的下一步是聯繫 BitDefender,看看他們能提供什麼幫助。

有沒有人見過這樣的事情或有任何想法可能是什麼?

抱歉,我不知道這是什麼,但是,您現在有更重要的問題。

有多少機器在做這個?您是否已將它們全部與網路斷開連接?(如果沒有,為什麼不呢?)

您能否找到任何域帳戶被盜用的證據(尤其是域管理員帳戶)

我可以理解您不想再次建構您的桌面,但除非您這樣做,否則您無法確定是否會清理機器。

第一步:

  • 確保在您的域上啟用複雜密碼
  • 設置鎖定策略 - 如果您仍然有掃描機器,這會給您帶來問題,但這比更多帳戶受到損害要好
  • 隔離一台已知的壞機,它是在試圖與外界對話嗎?您需要在您的網關上通過您的網路阻止它
  • 嘗試隔離所有已知的壞機器。
  • 監控更多掃描機器。
  • 強制所有使用者更改密碼,檢查所有服務帳戶。
  • 禁用任何不再使用的帳戶。
  • 檢查您在伺服器和 DC 上的組成員身份(域管理員、管理員等)

接下來,您需要對已知的壞機器執行一些取證,以嘗試追踪發生的事情。一旦你知道了這一點,你就有更好的機會知道這次攻擊的範圍是什麼。使用 root kit 揭示器,甚至在銷毀任何證據之前對硬碟進行映像。支持 NTFS 的 Linux Live CD 在這裡非常有用,因為它們應該可以讓您找到根工具包可能隱藏的內容。

需要考慮的事項:

  • 您在所有工作站上都​​有標準的本地管理員(弱)密碼嗎?
  • 您的使用者有管理員權限嗎?
  • 是否所有域管理員都使用單獨的帳戶進行 DA 活動?考慮對這些帳戶設置限制(例如您可以登錄的工作站)。
  • 您沒有提供有關您的網路的任何資訊。你有任何公開的服務嗎?

編輯:嘗試提供更多資訊很困難,因為這實際上取決於您發現的內容,但是幾年前處於類似情況,您確實需要不信任一切,尤其是您知道會受到損害的機器和帳戶。

引用自:https://serverfault.com/questions/123618