试图强力攻击 Active Directory 用户的病毒(按字母顺序)?
Nat*_*hot 8 security active-directory kerberos brute-force-attacks malware
用户开始抱怨网络速度慢,所以我启动了 Wireshark。查了一下,发现很多PC都在发送类似下面的数据包(截图):
我模糊了用户名、计算机名和域名的文本(因为它与互联网域名匹配)。计算机正在向 Active Directory 服务器发送垃圾邮件,试图暴力破解密码。它将以管理员开头,并按字母顺序向下排列用户列表。实际访问 PC 时发现附近没有任何人,而且这种行为会在网络上传播,因此它似乎是某种病毒。使用 Malwarebytes、Super Antispyware 和 BitDefender(这是客户端的防病毒软件)扫描被发现向服务器发送垃圾邮件的计算机不会产生任何结果。
这是一个拥有大约 2500 台 PC 的企业网络,因此重建不是一个有利的选择。我的下一步是联系 BitDefender,看看他们可以提供什么帮助。
有没有人看到过这样的事情或有任何想法可能是什么?
抱歉,我不知道这是什么,但是,您现在有更重要的问题。
有多少台机器在做这个?您是否已将它们全部与网络断开?(如果没有,为什么不呢?)
您能否找到任何域帐户被盗用的证据(尤其是域管理员帐户)
我可以理解您不想再次构建桌面,但除非您这样做,否则您无法确定是否会清理机器。
第一步:
- 确保您的域启用复杂密码
- 设置锁定策略 - 如果您仍然有扫描机器,这会给您带来问题,但这比更多帐户被盗要好
- 隔离一台已知的坏机器,它是否试图与外界对话?您需要在网关的网络中阻止此行为
- 尝试隔离所有已知的坏机器。
- 监控更多扫描机。
- 强制所有用户更改密码,检查所有服务帐户。
- 禁用不再使用的任何帐户。
- 检查服务器和 DC 上的组成员身份(域管理员、管理员等)
接下来,您需要对已知的坏机器执行一些取证,以尝试追踪发生的情况。一旦了解了这一点,您就有更好的机会了解这次攻击的范围。使用 Root Kit Revealer,甚至可以在销毁任何证据之前对硬盘进行映像。支持 NTFS 的 Linux Live CD 在这里非常有用,因为它们应该允许您找到 root 工具包可能隐藏的内容。
需要考虑的事项:
- 您是否在所有工作站上都有标准的本地管理员(弱)密码?
- 您的用户有管理员权限吗?
- 是否所有域管理员都使用单独的帐户进行 DA 活动?考虑对这些帐户设置限制(例如,您可以登录的工作站)。
- 您不提供有关您的网络的任何信息。您有任何公开的服务吗?
编辑:尝试提供更多信息很困难,因为这实际上取决于您发现的内容,但几年前遇到过类似的情况,您确实需要不信任一切,尤其是您知道受到损害的机器和帐户。