Як мені боротися зі видаленням / викоріненням невідомого хробака в нашій мережі?

TL; DR

Я впевнений, що наша маленька мережа була заражена якимось хробаком / вірусом. Однак, здається, це впливає лише на наші машини Windows XP. Машини Windows 7 та комп’ютери Linux (ну, так) не впливають на це. Антивірусні сканування нічого не показують, але наш сервер домену зареєстрував тисячі невдалих спроб входу в різні дійсні та недійсні облікові записи користувачів, зокрема адміністратора. Як я можу зупинити розповсюдження цього невстановленого хробака?

Симптоми

Кілька наших користувачів Windows XP повідомили про подібні проблеми, хоча і не зовсім однакові. Всі вони відчувають випадкові відключення / перезавантаження, які починаються програмним забезпеченням. На одному з комп'ютерів з'являється діалогове вікно із зворотним відліком до перезавантаження системи, очевидно, запущене NT-AUTHORITY \ SYSTEM і пов'язане з викликом RPC. Зокрема, цей діалог точно такий же, як описаний у статтях, де детально описуються старі експлуатаційні хробаки RPC.

Коли два комп’ютери перезавантажилися, вони повернулися до запиту для входу (це доменні комп'ютери), але вказане ім’я користувача було "адміністратор", хоча вони не ввійшли як адміністратор.

На нашій машині Windows Server 2003, на якій працює домен, я помітив кілька тисяч спроб входу з різних джерел. Вони спробували всі різні імена для входу, включаючи адміністратора, адміністратора, користувача, сервера, власника та інших.

Деякі з журналів перераховували IP-адреси, деякі - ні. З тих, у кого була вихідна IP-адреса (для невдалого входу), дві з них відповідають двом машинам Windows XP, які відчувають перезавантаження. Лише вчора я помітив купу невдалих спроб входу з зовнішньої IP-адреси. Простеження виявило, що зовнішня IP-адреса має бути від канадського провайдера. Ми ніколи не повинні мати з’єднання звідти (хоча у нас є користувачі VPN). Тож я все ще не впевнений, що відбувається із спробами входу, що надходять із попереднього IP.

Здається очевидним, що на цих комп’ютерах є якась зловмисна програма, і частина того, що вона робить, - це спробувати перерахувати паролі в облікових записах домену, щоб отримати доступ.

Що я робив поки що

Після усвідомлення того, що відбувається, першим моїм кроком було переконатись у тому, що всі працюють із сучасним антивірусом та зробили сканування. З комп’ютерів, що постраждали, один з них має клієнт з антивірусним терміном закінчення, але інші два були поточними версіями Нортона, і повне сканування обох систем не виявило нічого.

Сам сервер регулярно запускає сучасний антивірус і не виявляє ніяких інфекцій.

Тож 3/4 комп'ютерів на базі Windows NT мають сучасний антивірус, але він нічого не виявив. Однак я переконаний, що щось відбувається, в основному свідчать тисячі невдалих спроб входу для різних облікових записів.

Я також помітив, що корінь нашого основного спільного файлу мав досить відкриті дозволи, тому я просто обмежив його для читання + виконання для звичайних користувачів. Звичайно, адміністратор має повний доступ. Я також збираюся, щоб користувачі оновлювали свої паролі (до сильних), і я збираюся перейменувати в адміністратор на сервері та змінити його пароль.

Я вже зняв машини з мережі, одну замінюють новою, але я знаю, що ці речі можуть поширюватися через мережі, тому мені все одно потрібно дійти до цього.

Також на сервері встановлено NAT / брандмауер з відкритими лише певними портами. Я ще не маю повного дослідження деяких служб, пов’язаних з Windows, з відкритими портами, оскільки я з Linux.

А тепер що?

Тож усі сучасні та сучасні антивіруси нічого не виявили, але я абсолютно переконаний, що ці комп’ютери мають якийсь вірус. Я базую це на випадкових перезапусках / нестабільності машин XP у поєднанні з тисячами спроб входу з цих машин.

Що я планую робити - це резервне копіювання файлів користувачів на постраждалих машинах, а потім перевстановлення вікон та свіже форматування накопичувачів. Я також вживаю декілька заходів для забезпечення загальних файлових файлів, які, можливо, використовувались для поширення на інші машини.

Знаючи все це, що я можу зробити, щоб цей черв’як не був десь у мережі, і як я можу запобігти його поширенню?

Я знаю, що це витягнутий питання, але я перебуваю поза глибиною і можу використати деякі покажчики.

Дякуємо, що подивилися!

Це мої загальні пропозиції щодо подібного процесу. Я ціную, що ви вже висвітлили деякі з них, але краще сказати щось двічі, ніж пропустити щось важливе. Ці нотатки орієнтовані на зловмисне програмне забезпечення, яке поширюється в локальній мережі, але його можна легко змінити, щоб боротися з більш незначними інфекціями.

Зупинення гнилі та пошук джерела інфекції.

1. Переконайтеся, що у вас є актуальне резервне копіювання кожної системи та кожного біта даних у цій мережі, про який піклується бізнес. Не забудьте зауважити, що цей носій для відновлення може бути порушений, щоб люди не намагалися відновити його протягом 3 місяців, поки ваша спина повернута та знову заразить мережу. Якщо у вас є резервне копіювання до того, як зараження трапилося, покладіть це безпечно і на одну сторону.

2. Вимкніть живу мережу, якщо це можливо (вам, мабуть, доведеться це зробити, як мінімум, як частина очищення). Принаймні, серйозно подумайте про те, щоб цю мережу, включаючи сервери, вимкнути в Інтернеті, поки не дізнаєтеся, що відбувається - що робити, якщо цей черв'як краде інформацію?

3. Не випереджайте себе. Привабливо просто сказати, як скласти все на цьому етапі, змусити всіх змінювати паролі тощо тощо і називати це "досить добре". Хоча вам, мабуть, доведеться це зробити рано чи пізно , ймовірно, ви залишите кишені інфекції, якщо ви не розумієте, що відбувається у вашій локальній мережі. ( Якщо ви не хочете досліджувати інфекцію, перейдіть до кроку 6 )

4. Скопіюйте заражену машину у якесь віртуальне середовище, ізолюйте це віртуальне середовище від усього іншого, включаючи головну машину, перш ніж завантажувати компрометованого гостя .

5. Створіть ще пару чистих віртуальних гостьових машин для зараження, а потім ізолюйте цю мережу та використовуйте такі інструменти, як wireshark для моніторингу мережевого трафіку (час скористатися цим фоном Linux та створити ще одного гостя у цій віртуальній локальній мережі, який зможе дивитись увесь цей трафік без заражається будь-яким хробаком Windows!) та Process Monitor для моніторингу змін, що відбуваються на всіх цих машинах. Також врахуйте, що ця проблема може бути добре прихованим руткітом - спробуйте використовувати надійний інструмент для їх пошуку, але пам’ятайте, що це трохи непроста боротьба, тому пошук нічого не означає, що там нічого немає.

6. (Припустимо, що ви не можете / не можете вимкнути основну локальну мережу) Використовуйте проводку в основній локальній мережі, щоб переглянути трафік, що надсилається на / із заражених машин. Трактуйте будь-який незрозумілий трафік з будь-якої машини як потенційно підозрілий - відсутність видимих ​​симптомів не є свідченням відсутності компромісу . Вам слід особливо турбуватися про сервери та будь-які робочі станції, де працює важлива інформація про бізнес.

7. Вилучивши будь-які заражені процеси у віртуальних гостей, ви зможете надіслати зразок компанії, яка виготовила антивірусне програмне забезпечення, яке ви використовуєте на цих машинах. Вони будуть зацікавлені вивчити зразки та виправити будь-які нові зловмисні програми, які вони бачать. Насправді, якщо ви цього ще не зробили, вам слід зв’язатись із ними зі своєю казкою про горе, оскільки вони можуть допомогти.

8. Постарайтеся дуже важко розібратися, яким був оригінальний вектор зараження - цей хробак може бути подвигом, який був прихований на порушеному веб-сайті, який хтось відвідував, його, можливо, привезли з дому чиїсь на пам'яті або отримали електронною поштою, щоб назвати але декілька способів. Чи компрометував цей компроміс ці машини через користувача з правами адміністратора? Якщо так, не надайте користувачам прав адміністратора в майбутньому. Вам потрібно спробувати переконатися, що джерело зараження зафіксовано, і вам потрібно перевірити, чи є якісь процедурні зміни, які ви можете зробити, щоб ускладнити цей шлях зараження в майбутньому.

Прибирати

Деякі з цих кроків здадуться зверху. Чорт забирає, що деякі з них, ймовірно , перебувають на вершині, особливо якщо ви визначите, що лише кілька машин дійсно порушені, але вони повинні гарантувати, що ваша мережа є такою ж чистою, наскільки це можливо. Боси також не будуть захоплені деякими з цих кроків, але з цим робити не багато.

1. Вимкніть всі машини в мережі. Всі робочі станції. Усі сервери. Все. Так, навіть ноутбук сина-підлітка начальника, який син використовує, щоб прокрастися до мережі, чекаючи, коли тато закінчить роботу, щоб син міг грати у " сумнівний-javascript-експлуатувати-Віль " на будь-якому веб-сайті соціальних медіа du-jour . Насправді, думати про це, закрив цю машину вниз особливо . З цеглою, якщо це потрібно.

2. Запускайте по черзі кожен сервер. Застосовуйте будь-які виправлення, які ви виявили для себе або вам надала компанія AV. Аудит користувачів і груп для будь-яких незрозумілих рахунків (як місцеві рахунки і рахунки AD), аудиту встановлено програмне забезпечення для нічого несподіваного і використовувати Wireshark в іншій системі , щоб подивитися трафік з цього сервера (Якщо ви знайшли якісь - або питання , на даний момент , то серйозно розглянути питання про відновлення той сервер). Вимкніть кожну систему перед початком наступної, щоб компрометована машина не могла атакувати інших. Або від'єднайте їх від мережі, так що ви можете зробити відразу декілька, але вони не можуть спілкуватися один з одним, все це добре.

3. Як тільки ви переконаєтесь у тому, що всі ваші сервери чисті, запустіть їх та за допомогою дроту, монітора процесу тощо знову спостерігайте за ними за будь-якою дивною поведінкою.

4. Скиньте кожен пароль користувача . І, якщо можливо, паролі облікового запису служби. Так, я знаю, що це біль. Зараз ми збираємося відправитися на територію "можливо над вершиною". Твій дзвінок.

5. Відновіть усі робочі станції . Зробіть це по черзі, щоб, можливо, заражені машини не сиділи в режимі бездіяльності в локальній мережі, що атакували свіжозбудовані. Так, це займе певний час, пробачте про це.

6. Якщо це неможливо, то:

   Виконайте описані вище кроки для серверів на всіх робочих станціях, «які сподіваються чистими».

   Відновіть усі ті, хто виявив будь-який натяк на підозрілу активність, і робіть це, поки всі "сподіваюсь чисті" машини вимкнені.

7. Якщо ви до цього часу не розглядали централізований AV, який буде повідомляти про проблеми на сервері, де ви можете спостерігати за проблемами, централізованим веденням журналів подій, моніторингом мережі тощо. але тут явно проблема, правда?

8. Перегляньте права користувачів та встановлення програмного забезпечення на цих машинах та встановіть періодичний аудит, щоб переконатися, що все ще залишається таким, яким ви їх очікуєте. Також переконайтеся, що користувачам пропонується якнайшвидше повідомляти про речі без стогнання, заохочуйте ділову культуру виправлення проблем з ІТ, а не зйомку месенджера тощо.

Ви зробили все, що я б робив (якби я був адміністратором Windows) - Канонічні кроки - це (або були, востаннє, коли я був хлопцем Windows):

1. Ізолюйте уражені машини.
2. Оновіть антивірусні визначення
   Запустіть AV / Malware / тощо. сканування по всій мережі
3. Здуйте уражені машини (повністю витріть присоски) та встановіть наново.
4. Відновіть дані користувачів із резервних копій (переконайтесь, що вони чисті).

Зауважте, що завжди є шанс, що вірус / хробак / що завгодно ховається в електронній пошті (на вашому поштовому сервері) або всередині макросу в документі word / excel. наступного разу навколо.

Перший урок з цього - це те, що рішення AV не є ідеальними. Навіть близько не.

Якщо ви в курсі постачальників програм AV, зателефонуйте їм. Усі вони мають номери підтримки саме для подібних речей. Власне кажучи, вони, ймовірно, будуть дуже зацікавлені в тому, що вас вдарило.

Як говорили інші, зніміть кожну машину, витріть її та встановіть наново. Ви можете скористатися цією можливістю, щоб все одно зняти XP. Це була мертва ОС досить довгий час. Принаймні, це повинно включати руйнування розділів HD та їх переформатування. Хоча, це здається, що не так багато машин задіяно, тому купівля абсолютно нових замінників може бути кращим варіантом.

Крім того, повідомте вашому начальнику (службовцям), що це просто дорого.

Нарешті, чому б у світі ви запустили все це з одного сервера? (Риторичне, я знаю, що ви його "успадкували". Постійний постійний струм повинен ніколи не бути доступним з Інтернету. Виправте це, отримавши відповідне обладнання для того, щоб подбати про необхідну функціональність.

Це, швидше за все, руткіт, якщо ваші A / V програми нічого не створюють. Спробуйте запустити TDSSkiller і подивіться, що ви знайдете. Також це був би ідеальний час просто замінити архаїчні комп’ютери Windows XP на щось менше, ніж понад десятиліття. Окрім програмного забезпечення, як антивірусні програми, я дуже мало бачив на шляху програм, які не вдалося запустити через пробіг або послабити кілька дозволів NTFS / реєстру в Windows 7. Насправді мало приводу для продовження для запуску XP.