Вирус, который пытается грубо атаковать пользователей Active Directory (в алфавитном порядке)?

Пользователи начали жаловаться на медленную скорость сети, поэтому я запустил Wireshark. Сделал некоторую проверку и обнаружил, что многие ПК отправляют пакеты, подобные следующим (скриншот):

Я размыл текст для имени пользователя, имени компьютера и имени домена (так как оно соответствует имени интернет-домена). Компьютеры спамят серверы Active Directory, пытаясь взломать пароли. Он начнется с администратора и пойдет вниз по списку пользователей в алфавитном порядке. Физическое посещение ПК не находит никого рядом с ним, и это поведение распространяется по сети, поэтому он выглядит как какой-то вирус. Сканирование компьютеров, которые были уличены в спаме на сервере с помощью Malwarebytes, Super Antispyware и BitDefender (это антивирус, который есть у клиента), не дает результатов.

Это корпоративная сеть с около 2500 ПК, поэтому восстановление не является благоприятным вариантом. Мой следующий шаг - связаться с BitDefender, чтобы узнать, какую помощь они могут оказать.
Кто-нибудь видел что-то подобное или есть идеи, что это может быть?

Извините, я понятия не имею, что это, однако у вас сейчас есть более важные проблемы.

Сколько машин это делают? Вы отключили их всех от сети? (И если нет, то почему?)

Можете ли вы найти доказательства того, что какие-либо доменные учетные записи были взломаны (особенно учетные записи администраторов домена)

Я понимаю, что вы не хотите снова собирать свои рабочие столы, но если вы этого не сделаете, вы не можете быть уверены, что будете чистить машины.

Первые шаги:

• Убедитесь, что сложные пароли включены в вашем домене
• установить политику блокировки - это вызовет проблемы, если у вас все еще есть сканирующие машины, но это лучше, чем взломанный аккаунт
• Изолировать известную плохую машину, она пытается общаться с внешним миром? Вы должны заблокировать это через вашу сеть на вашем шлюзе
• Попытайтесь изолировать все известные неисправные машины.
• Монитор для большего количества сканирующих машин.
• Заставьте всех ваших пользователей сменить пароль, проверьте все учетные записи ваших служб.
• Отключите все учетные записи, которые больше не используются.
• Проверьте членство в группах на серверах и контроллерах домена (администраторы домена, администраторы и т. Д.)

Затем вам нужно выполнить некоторые экспертизы на ваших известных неисправных машинах, чтобы попытаться отследить, что произошло. Как только вы это узнаете, у вас появится больше шансов узнать масштаб этой атаки. Используйте средство обнаружения корневого набора, возможно, даже создайте образ жесткого диска, прежде чем уничтожать какие-либо улики. Здесь могут быть очень полезны Linux Live CD с поддержкой NTFS, поскольку они позволят вам найти то, что может скрывать корневой набор.

Что нужно учитывать:

• У вас есть стандартный локальный (слабый) пароль администратора на всех рабочих станциях?
• У ваших пользователей есть права администратора?
• Все ли администраторы домена используют отдельные учетные записи для действий DA? Подумайте об установке ограничений для этих учетных записей (например, рабочих станций, на которые вы можете войти).
• Вы не даете никакой информации о вашей сети. Есть ли у вас какие-либо общедоступные услуги?

Редактировать: пытаться дать больше информации сложно, поскольку это действительно зависит от того, что вы найдете, но, оказавшись в аналогичной ситуации несколько лет назад, вам действительно нужно не доверять всему, особенно машинам и учетным записям, которые, как вы знаете, могут быть скомпрометированы.

Это может быть что угодно, от L0phtCrack до THC-Hydra или даже приложение с индивидуальной кодировкой, хотя ваше AV-решение должно было подхватить известные приложения.

На этом этапе вам необходимо идентифицировать все зараженные системы, изолировать их (vlan и т. Д.), А также локализовать и уничтожить вредоносное ПО.

Вы уже связались с вашей командой IT Security?

Наконец, я понимаю, что вы не хотите восстанавливать, но на этом этапе (с небольшими данными, которые вы предоставили), я бы сказал, что риск требует восстановления.

-Josh

Попробуйте запустить другую программу захвата, чтобы убедиться, что результаты подтверждают то, что видит Wireshark. У Wireshark в прошлом были проблемы с декодированием трафика Kerberos. Убедитесь, что вы видите не красную сельдь.

Видите ли вы какие-либо другие "аномалии" в захвате?