如何處理刪除/根除我們網路上的未知蠕蟲?
TL; 博士
我很確定我們的小型網路已被某種蠕蟲/病毒感染。然而,它似乎只困擾著我們的 Windows XP 機器。Windows 7 機器和 Linux(嗯,是的)電腦似乎不受影響。防病毒掃描沒有顯示任何內容,但我們的域伺服器記錄了數以千計的各種有效和無效使用者帳戶(尤其是管理員)的失敗登錄嘗試。我怎樣才能阻止這種身份不明的蠕蟲傳播?
症狀
我們的一些 Windows XP 使用者報告了類似的問題,但並不完全相同。他們都經歷了由軟體啟動的隨機關機/重啟。在其中一台電腦上會彈出一個對話框,其中包含一個倒計時,直到系統重新啟動,顯然是由 NT-AUTHORITY\SYSTEM 啟動的,並且與 RPC 呼叫有關。尤其是該對話框與詳細介紹舊 RPC 漏洞利用蠕蟲的文章中描述的對話框完全相同。
當其中兩台電腦重新啟動時,它們在登錄提示符處重新啟動(它們是域電腦),但列出的使用者名是“admin”,即使它們沒有以管理員身份登錄。
在我們執行域的 Windows Server 2003 機器上,我注意到來自各種來源的數千次登錄嘗試。他們嘗試了所有不同的登錄名,包括管理員、管理員、使用者、伺服器、所有者等。
有些日誌列出了 IP,有些則沒有。在那些確實有源 IP 地址(用於登錄失敗)的那些中,其中兩個對應於兩台正在重啟的 Windows XP 機器。就在昨天,我注意到來自外部 IP 地址的一系列失敗的登錄嘗試。跟踪路由顯示外部 IP 地址來自加拿大 ISP。我們不應該從那裡建立連接(儘管我們確實有 VPN 使用者)。所以我仍然不確定來自外國 IP 的登錄嘗試發生了什麼。
很明顯,這些電腦上存在某種惡意軟體,它所做的部分工作是嘗試列舉域帳戶上的密碼以獲得訪問權限。
到目前為止我做了什麼
在意識到發生了什麼之後,我的第一步是確保每個人都在執行最新的防病毒軟體並進行了掃描。在受影響的電腦中,其中一台具有過期的防病毒客戶端,但另外兩台是諾頓的目前版本,對這兩個系統的全面掃描什麼也沒發現。
伺服器本身定期執行最新的防病毒軟體,並且沒有顯示任何感染。
因此,3/4 的基於 Windows NT 的電腦安裝了最新的防病毒軟體,但它沒有檢測到任何東西。但是,我確信正在發生一些事情,主要表現為各種帳戶的數千次失敗登錄嘗試。
我還注意到我們的主文件共享的根有相當開放的權限,所以我只是將它限制為普通使用者的讀取+執行。管理員當然具有完全訪問權限。我還將讓使用者更新他們的密碼(到強密碼),我將在伺服器上重命名為管理員並更改其密碼。
我已經把機器從網路上取下來了,一台正在被一台新的替換,但我知道這些東西可以通過網路傳播,所以我仍然需要弄清楚這一點。
此外,伺服器具有僅打開某些埠的 NAT/防火牆設置。由於我來自 Linux 背景,我還沒有完全調查一些開放埠的 Windows 相關服務。
怎麼辦?
所以所有現代和最新的防病毒軟體都沒有檢測到任何東西,但我絕對相信這些電腦有某種病毒。我將此基於 XP 機器的隨機重啟/不穩定以及源自這些機器的數千次登錄嘗試。
我打算做的是備份受影響機器上的使用者文件,然後重新安裝 Windows 並重新格式化驅動器。我還採取了一些措施來保護可能已用於傳播到其他機器的公共文件共享。
知道了這一切,我能做些什麼來確保這個蠕蟲不在網路上的其他地方,我怎樣才能阻止它傳播?
我知道這是一個很長的問題,但我在這裡超出了我的深度,可以使用一些指針。
感謝您的關注!
這些是我對這種過程的一般建議。我很感激您已經涵蓋了其中的一些內容,但最好被告知兩次而不是錯過重要的事情。這些說明面向在 LAN 上傳播的惡意軟體,但可以輕鬆縮減以處理更輕微的感染。
阻止腐爛,找到感染源。
- **確保您擁有該網路上企業關心的每個系統和每一位數據的最新備份。**請確保您注意到此恢復媒體可能已被盜用,這樣人們就不會在 3 個月內嘗試從它進行恢復,而您卻轉身並再次感染網路。如果您有感染髮生前的備份,請將其也安全地放在一側。
- 如果可能,請關閉實時網路(至少您可能需要在清理過程中這樣做)。至少,認真考慮讓這個網路(包括伺服器)與 Internet 斷開,直到你知道發生了什麼——如果這個蠕蟲正在竊取資訊怎麼辦?
- **不要超越自己。**在這一點上說乾淨建構一切,強迫每個人更改密碼等,並稱之為“足夠好”是很誘人的。雖然您遲早可能需要這樣做,但如果您不了解 LAN 上發生的情況,很可能會給您帶來感染。(如果您不想進一步調查感染,請轉到步驟 6)
- 將受感染的機器複製到某種虛擬環境中,在引導受感染的來賓之前將此虛擬環境與包括主機在內的所有其他事物隔離開來。
- 創建另外幾個乾淨的虛擬客戶機器以使其感染然後隔離該網路並使用諸如wireshark之類的工具來監視網路流量(是時候利用該linux背景並在該虛擬LAN上創建另一個可以監視所有這些流量的來賓被任何 Windows 蠕蟲感染!)和程序監視器來監視所有這些機器上發生的變化。還要考慮這個問題可能是一個隱藏得很好的rootkit - 嘗試使用一個有信譽的工具來找到這些,但請記住,這是一個艱難的鬥爭,所以什麼都找不到並不意味著那裡什麼都沒有。
- (假設您沒有/不能關閉主 LAN)在主 LAN 上使用 wireshark 查看發送到/從受感染機器的流量。將來自任何機器的任何無法解釋的流量視為潛在可疑 -沒有明顯的症狀並不是沒有任何妥協的證據。您應該特別擔心執行關鍵業務資訊的伺服器和任何工作站。
- 一旦您隔離了虛擬客人上的任何受感染程序,您應該能夠將樣本發送給製造您在這些機器上使用的防病毒軟體的公司。他們將熱衷於檢查樣本並為他們看到的任何新惡意軟體生成修復程序。事實上,如果你還沒有這樣做,你應該與他們聯繫,講述你的悲慘經歷,因為他們可能會提供一些幫助。
- 努力找出最初的感染媒介是什麼——這個蠕蟲可能是一個隱藏在某人訪問過的受感染網站中的漏洞,它可能是通過記憶棒從某人家中帶入或通過電子郵件收到的,等等但有幾種方法。該漏洞利用是否通過具有管理員權限的使用者破壞了這些機器?如果是這樣,以後不要給使用者管理員權限。您需要嘗試確保感染源是固定的,並且您需要查看是否可以進行任何程序更改,以使該感染途徑在未來更難被利用。
清理
其中一些步驟似乎太過分了。哎呀,其中一些可能超出了頂峰,特別是如果您確定只有幾台機器實際上受到了損害,但它們應該保證您的網路盡可能乾淨。老闆們也不會熱衷於其中的一些步驟,但對此沒有什麼可做的。
- **關閉網路上的所有機器。**所有工作站。所有伺服器。一切。是的,即使是老闆十幾歲的兒子的筆記型電腦,兒子在等待爸爸完成工作時偷偷進入網路,這樣兒子就可以在目前的社交媒體網站 du-jour 上玩“ dubious-javascript-exploit-Ville ” . 其實想了想,特地把這台機器關了。如果需要的話,用磚頭。
- **依次啟動每台伺服器。**應用您自己發現或由 AV 公司提供的任何修復程序。審核任何無法解釋的帳戶(本地帳戶和 AD 帳戶)的使用者和組,審核安裝的軟體是否有任何意外情況,並在另一個系統上使用 wireshark 來觀察來自該伺服器的流量(如果此時發現任何問題,請認真考慮重建該伺服器)。在啟動下一個系統之前關閉每個系統,以便受感染的機器無法攻擊其他系統。或者把它們從網路上拔下來,這樣你可以一次做幾個,但它們不能互相交談,這一切都很好。
- 一旦你確信你的所有伺服器都是乾淨的,啟動它們並使用wireshark、程序監視器等再次觀察它們是否有任何奇怪的行為。
- 重置每個使用者密碼。如果可能的話,還要提供服務帳戶密碼。是的,我知道這很痛苦。在這一點上,我們即將進入“可能超過頂部”的領域。你的來電。
- 重建所有工作站。一次做一個,這樣可能被感染的機器就不會閒置在 LAN 上,攻擊新重建的機器。是的,這需要一段時間,對此感到抱歉。
- 如果那不可能,那麼:
對所有“希望乾淨”的工作站上的伺服器執行我上面概述的步驟。
重建所有顯示任何可疑活動跡象的機器,並在所有“希望乾淨”的機器都關閉時這樣做。 7. 如果您還沒有考慮過集中式 AV,它將向伺服器報告問題,您可以在該伺服器上觀察問題、集中事件記錄、網路監控等。顯然,選擇哪些適合該網路的需求和預算,但這裡顯然有問題,對吧? 8. 檢查這些機器上的使用者權限和軟體安裝,並設置定期審核以確保事情仍然是您期望的樣子。還要確保鼓勵使用者盡快報告事情而不被抱怨,鼓勵解決 IT 問題而不是射擊信使的商業文化等。