Jak radzić sobie z usuwaniem / eliminacją nieznanego robaka w naszej sieci?

TL; DR

Jestem prawie pewien, że nasza mała sieć została zainfekowana przez robaka / wirusa. Wydaje się jednak, że dotyka tylko nasze maszyny z Windows XP. Wydaje się, że nie ma to wpływu na komputery z systemem Windows 7 i komputery z systemem Linux (no tak). Skany antywirusowe nic nie pokazują, ale nasz serwer domeny zarejestrował tysiące nieudanych prób logowania na różnych prawidłowych i niepoprawnych kontach użytkowników, w szczególności administratora. Jak powstrzymać rozprzestrzenianie się tego niezidentyfikowanego robaka?

Objawy

Kilku naszych użytkowników systemu Windows XP zgłosiło podobne problemy, choć nie do końca identyczne. Wszyscy doświadczają przypadkowych wyłączeń / restartów inicjowanych programowo. Na jednym z komputerów pojawia się okno dialogowe z odliczaniem do ponownego uruchomienia systemu, najwyraźniej uruchomione przez NT-AUTHORITY \ SYSTEM i związane z wywołaniem RPC. To okno dialogowe jest dokładnie takie samo, jak opisane w artykułach opisujących starsze robaki wykorzystujące RPC.

Kiedy dwa komputery zostały zrestartowane, wróciły po znaku zachęty (są to komputery domeny), ale nazwa użytkownika na liście to „admin”, mimo że nie zalogowali się jako admin.

Na naszym komputerze z systemem Windows Server 2003, na którym działa domena, zauważyłem kilka tysięcy prób logowania z różnych źródeł. Próbowali różnych nazw logowania, w tym administratora, administratora, użytkownika, serwera, właściciela i innych.

Niektóre dzienniki zawierały adresy IP, niektóre nie. Spośród tych, które miały źródłowy adres IP (w przypadku nieudanych prób logowania) dwa z nich odpowiadają dwóm komputerom z systemem Windows XP, które ponownie uruchamiają się. Jeszcze wczoraj zauważyłem kilka nieudanych prób logowania z zewnętrznego adresu IP. Trackeroute wykazał, że zewnętrzny adres IP pochodzi od kanadyjskiego dostawcy usług internetowych. Nigdy nie powinniśmy mieć stamtąd połączeń (chociaż mamy użytkowników VPN). Więc nadal nie jestem pewien, co się dzieje z próbami logowania pochodzącymi z adresu IP foriegn.

Wydaje się oczywiste, że na tych komputerach znajduje się jakiś rodzaj złośliwego oprogramowania, a częścią jego działań jest próba wyliczenia haseł do kont domeny, aby uzyskać dostęp.

Co do tej pory zrobiłem

Po uświadomieniu sobie, co się dzieje, moim pierwszym krokiem było upewnienie się, że wszyscy korzystają z aktualnego programu antywirusowego i wykonali skanowanie. Z komputerów, których dotyczy problem, jeden z nich ma wygasłego klienta antywirusowego, ale dwa pozostałe były aktualnymi wersjami Nortona, a pełne skanowanie obu systemów nic nie wykazało.

Sam serwer regularnie uruchamia aktualne oprogramowanie antywirusowe i nie wykazuje żadnych infekcji.

Tak więc 3/4 komputerów z systemem Windows NT ma aktualne oprogramowanie antywirusowe, ale niczego nie wykryło. Jestem jednak przekonany, że coś się dzieje, czego dowodem są tysiące nieudanych prób logowania dla różnych kont.

Zauważyłem również, że katalog główny naszego głównego udziału plików miał dość otwarte uprawnienia, więc po prostu ograniczyłem go do odczytu + wykonywania dla zwykłych użytkowników. Administrator ma oczywiście pełny dostęp. Mam również zamiar, aby użytkownicy zaktualizowali swoje hasła (do silnych) i zamierzam zmienić nazwę na Administrator na serwerze i zmienić jego hasło.

Już wyjąłem maszyny z sieci, jedna jest zastępowana nową, ale wiem, że te rzeczy mogą rozprzestrzeniać się w sieci, więc wciąż muszę przejść do sedna.

Ponadto serwer ma konfigurację NAT / Firewall z otwartymi tylko niektórymi portami. Muszę jeszcze szczegółowo zbadać niektóre usługi związane z Windows z otwartymi portami, ponieważ jestem z Linuksa.

Co teraz?

Więc wszystkie nowoczesne i aktualne antywirusy niczego nie wykryły, ale jestem absolutnie przekonany, że na tych komputerach jest jakiś wirus. Opieram to na losowych restartach / niestabilności maszyn XP w połączeniu z tysiącami prób logowania pochodzących z tych maszyn.

Planuję wykonać kopię zapasową plików użytkownika na zaatakowanych komputerach, a następnie ponownie zainstalować system Windows i ponownie sformatować dyski. Podejmuję również kilka działań w celu zabezpieczenia wspólnych udziałów plików, które mogły zostać wykorzystane do rozprzestrzeniania się na inne komputery.

Wiedząc o tym wszystkim, co mogę zrobić, aby upewnić się, że tego robaka nie ma gdzie indziej w sieci i jak mogę go powstrzymać przed rozprzestrzenianiem się?

Wiem, że jest to wyciągnięte pytanie, ale jestem tutaj z głębi i mogę użyć pewnych wskazówek.

Dzięki za opiekę!

To są moje ogólne sugestie dotyczące tego rodzaju procesu. Rozumiem, że już niektóre z nich omówiłeś, ale lepiej powiedzieć coś dwa razy, niż przegapić coś ważnego. Te uwagi są ukierunkowane na złośliwe oprogramowanie rozprzestrzeniające się w sieci LAN, ale można je łatwo skalować w celu zmniejszenia liczby drobnych infekcji.

Zatrzymanie zgnilizny i znalezienie źródła infekcji.

1. Upewnij się, że masz aktualną kopię zapasową każdego systemu i każdej części danych w tej sieci, na których zależy firmie. Pamiętaj, aby pamiętać, że ten nośnik przywracania może być zagrożony, aby ludzie nie próbowali przywracać z niego w ciągu 3 miesięcy, gdy twoje plecy są odwrócone i ponownie zainfekują sieć. Jeśli masz kopię zapasową sprzed infekcji, odłóż ją bezpiecznie na bok.

2. Zamknij sieć na żywo, jeśli to możliwe (prawdopodobnie będziesz musiał to zrobić przynajmniej w ramach procesu czyszczenia). Przynajmniej poważnie zastanów się nad utrzymaniem tej sieci, w tym serwerów, poza Internetem, dopóki nie dowiesz się, co się dzieje - co, jeśli ten robak kradnie informacje?

3. Nie wyprzedzaj siebie. Kuszące jest po prostu powiedzenie, że wszystko w tym momencie jest czyste, zmusza wszystkich do zmiany haseł itp. I nazywa to „wystarczająco dobrym”. Chociaż prawdopodobnie będziesz musiał to zrobić wcześniej czy później , prawdopodobnie nie pozostaniesz z infekcją, jeśli nie zrozumiesz, co dzieje się w twojej sieci LAN. ( Jeśli nie chcesz badać infekcji, przejdź do kroku 6 )

4. Skopiuj zainfekowaną maszynę do pewnego rodzaju wirtualnego środowiska, odizoluj to wirtualne środowisko od wszystkiego innego, w tym maszyny hosta, przed uruchomieniem zainfekowanego gościa .

5. Utwórz kolejną parę czystych wirtualnych maszyn gości, aby ją zainfekować, a następnie odizoluj tę sieć i użyj narzędzi, takich jak wireshark, do monitorowania ruchu sieciowego (czas, aby skorzystać z tego tła linuksa i utworzyć kolejnego gościa w tej wirtualnej sieci LAN, który może obserwować cały ten ruch bez zainfekowany przez dowolnego robaka Windows!) i Process Monitor do monitorowania zmian zachodzących na wszystkich tych komputerach. Weź również pod uwagę, że problemem może być dobrze ukryty rootkit - spróbuj użyć sprawdzonego narzędzia do ich znalezienia, ale pamiętaj, że jest to trochę trudna walka, więc znalezienie niczego nie oznacza, że ​​nic tam nie ma.

6. (Zakładając, że nie / nie możesz zamknąć głównej sieci LAN) Użyj Wireshark w głównej sieci LAN, aby sprawdzić ruch wysyłany do / z zainfekowanych maszyn. Traktuj każdy niewyjaśniony ruch z dowolnej maszyny jako potencjalnie podejrzany - brak widocznych objawów nie jest dowodem braku jakiegokolwiek kompromisu . Powinieneś szczególnie martwić się serwerami i wszelkimi stacjami roboczymi, na których działają ważne informacje biznesowe.

7. Po odizolowaniu zainfekowanych procesów od gości wirtualnych powinieneś być w stanie wysłać próbkę do firmy, która stworzyła oprogramowanie antywirusowe, którego używasz na tych komputerach. Będą chcieli zbadać próbki i opracować poprawki dla każdego nowego złośliwego oprogramowania, które zobaczą. W rzeczywistości, jeśli jeszcze tego nie zrobiłeś, powinieneś skontaktować się z nimi ze swoją opowieścią o nieszczęściu, ponieważ mogą oni w jakiś sposób pomóc.

8. Spróbuj bardzo ciężko ustalić, jaki był pierwotny wektor infekcji - ten robak może być exploitem ukrytym w zainfekowanej witrynie, którą odwiedził ktoś, może zostać sprowadzony z czyjegoś domu na kartę pamięci lub otrzymany pocztą e-mail, aby wymienić ale na kilka sposobów. Czy exploit naruszył te maszyny przez użytkownika z uprawnieniami administratora? Jeśli tak, nie udzielaj użytkownikom uprawnień administratora w przyszłości. Musisz spróbować upewnić się, że źródło infekcji jest naprawione, i sprawdź, czy możesz wprowadzić jakieś zmiany proceduralne, aby utrudnić wykorzystanie tej infekcji w przyszłości.

Sprzątać

Niektóre z tych kroków wydają się przesadne. Heck, niektóre z nich prawdopodobnie są przesadzone, szczególnie jeśli stwierdzisz, że tylko kilka komputerów jest zagrożonych, ale powinny one zagwarantować, że twoja sieć jest tak czysta, jak to tylko możliwe. Bossowie też nie będą zachwyceni niektórymi z tych kroków, ale niewiele można z tym zrobić.

1. Zamknij wszystkie maszyny w sieci. Wszystkie stacje robocze. Wszystkie serwery. Wszystko. Tak, nawet laptop nastoletniego syna szefa, którego syn wkrada się do sieci, czekając, aż tata skończy pracę, aby syn mógł zagrać w „ wątpliwy-javascript-exploit-Ville ” na dowolnym portalu społecznościowym . Myśląc o tym, wyłącz tę maszynę, szczególnie . Z cegłą, jeśli tego właśnie potrzeba.

2. Uruchom kolejno każdy serwer. Zastosuj dowolną poprawkę, którą odkryłeś dla siebie lub otrzymałeś od firmy AV. Audytuj użytkowników i grupy pod kątem niewyjaśnionych kont (zarówno kont lokalnych, jak i AD), kontroluj zainstalowane oprogramowanie pod kątem nieoczekiwanych i używaj Wireshark w innym systemie, aby obserwować ruch przychodzący z tego serwera (jeśli znajdziesz jakieś problemy w tym momencie, poważnie rozważ przebudowę ten serwer). Wyłącz każdy system przed uruchomieniem następnego, aby zaatakowana maszyna nie mogła atakować innych. Lub odłącz je od sieci, abyś mógł zrobić kilka jednocześnie, ale nie mogą ze sobą rozmawiać, to wszystko dobrze.

3. Gdy będziesz mieć pewność, że wszystkie twoje serwery są czyste, uruchom je i za pomocą wireshark, monitorowania procesu itp. Ponownie obserwuj je pod kątem dziwnych zachowań.

4. Zresetuj każde hasło użytkownika . I jeśli to możliwe, również hasła do kont serwisowych. Tak, wiem, że to ból. W tym momencie zamierzamy wkroczyć na terytorium „być może ponad szczyt”. Twoja decyzja.

5. Odbuduj wszystkie stacje robocze . Rób to pojedynczo, aby potencjalnie zainfekowane maszyny nie siedziały bezczynnie w sieci LAN atakując świeżo przebudowane. Tak, to potrwa chwilę, przepraszam za to.

6. Jeśli nie jest to możliwe, to:

   Wykonaj kroki opisane powyżej dla serwerów na wszystkich „miejmy nadzieję czystych” stacjach roboczych.

   Odbuduj wszystkie te, które wykazywały jakąkolwiek podejrzaną aktywność, i rób to, gdy wszystkie „miejmy nadzieję, że” czyste maszyny są wyłączone.

7. Jeśli jeszcze nie rozważasz scentralizowanego systemu AV, który zgłosi problemy z powrotem do serwera, na którym możesz obserwować problemy, scentralizowane rejestrowanie zdarzeń, monitorowanie sieci itp. Oczywiście wybierz i wybierz, które z nich są odpowiednie dla potrzeb i budżetu tej sieci, ale jest tutaj wyraźny problem, prawda?

8. Przejrzyj prawa użytkownika i instalacje oprogramowania na tych komputerach oraz skonfiguruj okresowy audyt, aby upewnić się, że wszystko nadal jest zgodne z oczekiwaniami. Upewnij się również, że użytkownicy są zachęcani do zgłaszania rzeczy jak najszybciej bez narzekania, zachęcaj kulturę biznesową do rozwiązywania problemów IT zamiast strzelania do komunikatora itp.

Zrobiłeś wszystko, co bym zrobił (gdybym nadal był administratorem systemu Windows) - kanoniczne kroki to (lub były, kiedy byłem facetem Windows):

1. Odizoluj zaatakowane maszyny.
2. Zaktualizuj definicje antywirusowe
   Uruchom AV / Malware / itp. skanuje w całej sieci
3. Zdmuchnij uszkodzone maszyny (całkowicie wyczyść przyssawki) i zainstaluj ponownie.
4. Przywróć dane użytkownika z kopii zapasowych (upewniając się, że są czyste).

Pamiętaj, że zawsze istnieje szansa, że ​​wirus / robak / cokolwiek czai się w wiadomości e-mail (na serwerze pocztowym) lub w makrze w dokumencie Word / Excel - jeśli problem powróci, być może będziesz musiał być bardziej agresywny w czyszczeniu następnym razem.

Pierwszą lekcją, jaką można z tego wyciągnąć, jest to, że rozwiązania AV nie są idealne. Nawet nie blisko.

Jeśli jesteś na bieżąco z dostawcami oprogramowania AV, zadzwoń do nich. Wszystkie mają numery wsparcia dla dokładnie tego rodzaju rzeczy. W rzeczywistości prawdopodobnie będą bardzo zainteresowani tym, co cię uderzyło.

Jak powiedzieli inni, zdejmij każdą maszynę, wytrzyj ją i zainstaluj ponownie. W każdym razie możesz skorzystać z okazji, aby pozbyć się wszystkich XP. To był martwy system operacyjny od dłuższego czasu. Przynajmniej powinno to obejmować zniszczenie partycji HD i ich ponowne sformatowanie. Chociaż wygląda na to, że nie ma w tym zbyt wiele maszyn, więc zakup zupełnie nowych zamienników może być lepszym rozwiązaniem.

Poinformuj także swojego szefa (szefów), że stało się to drogie.

Wreszcie, dlaczego, u licha, miałbyś to wszystko uruchomić z jednego serwera? (Retoryczne, wiem, że to „odziedziczyłeś”) DC NIGDY nie powinien być dostępny z Internetu. Napraw to, przygotowując odpowiedni sprzęt do obsługi potrzebnych funkcji.

Najprawdopodobniej jest to rootkit, jeśli twoje programy A / V nic nie pokazują. Spróbuj uruchomić TDSSkiller i zobacz, co znajdziesz. Byłby to także idealny czas, aby po prostu zastąpić archaiczne komputery z systemem Windows XP czymś mniej niż dziesięcioletnim. Oprócz oprogramowania, takiego jak programy antywirusowe, widziałem bardzo niewiele na temat programów, których nie można było uruchomić przez shim lub poluzowanie kilku uprawnień NTFS / rejestru w systemie Windows 7. Naprawdę niewiele jest wymówek, aby kontynuować uruchomić XP.