Как мне решить проблему удаления / уничтожения неизвестного червя в нашей сети?

TL; DR

Я уверен, что наша маленькая сеть была заражена каким-то червем / вирусом. Однако, похоже, это только поражает наши машины с Windows XP. Компьютеры с Windows 7 и Linux (да), похоже, не подвержены изменениям. Антивирусная проверка ничего не показывает, но наш сервер домена зарегистрировал тысячи неудачных попыток входа в систему с различными действительными и недействительными учетными записями пользователей, особенно с правами администратора. Как я могу остановить распространение этого неопознанного червя?

симптомы

Несколько наших пользователей Windows XP сообщили о похожих проблемах, хотя и не полностью идентичных. Все они испытывают случайные выключения / перезапуски, которые инициируются программным обеспечением. На одном из компьютеров появляется диалоговое окно с обратным отсчетом времени до перезагрузки системы, которое, очевидно, запускается NT-AUTHORITY \ SYSTEM и связано с вызовом RPC. Этот диалог, в частности, точно такой же, как описанный в статьях, описывающих старые черви, использующие RPC

Когда два компьютера перезагрузились, они вернулись в приглашении для входа в систему (они являются компьютерами домена), но имя пользователя в списке было «admin», даже если они не вошли в систему как admin.

На нашей машине с Windows Server 2003, на которой запущен домен, я заметил несколько тысяч попыток входа в систему из разных источников. Они испробовали все разные имена входа, включая администратора, администратора, пользователя, сервера, владельца и других.

Некоторые журналы перечислены IP-адреса, некоторые нет. Из тех, которые имели IP-адрес источника (для неудачных входов в систему), два из них соответствуют двум машинам Windows XP, испытывающим перезагрузки. Буквально вчера я заметил кучу неудачных попыток входа с внешнего IP-адреса. Трассировка маршрута показала, что внешний IP-адрес должен быть от канадского интернет-провайдера. У нас никогда не должно быть соединений оттуда (хотя у нас есть пользователи VPN). Так что я до сих пор не уверен, что происходит с попытками входа с чужого IP.

Кажется очевидным, что на этих компьютерах находится какое-то вредоносное ПО, и часть того, что он делает, - пытается перечислить пароли учетных записей домена для получения доступа.

Что я сделал до сих пор

После того, как я понял, что происходит, первым делом я убедился, что все установили новейший антивирус и провели сканирование. Из затронутых компьютеров один из них имел антивирусный клиент с истекшим сроком действия, но два других были текущими версиями Norton, и полное сканирование обеих систем ничего не дало.

Сам сервер регулярно запускает новейшие антивирусные программы и не показывает никаких инфекций.

Таким образом, на 3/4 компьютеров под управлением Windows NT установлены новейшие антивирусные программы, но они ничего не обнаружили. Однако я убежден, что что-то происходит, о чем свидетельствуют тысячи неудачных попыток входа в систему для различных учетных записей.

Я также заметил, что корень нашего основного файлового ресурса имеет довольно открытые разрешения, поэтому я просто ограничил его для чтения + выполнения для обычных пользователей. Администратор имеет полный доступ, конечно. Я также собираюсь попросить пользователей обновить свои пароли (до надежных), и я собираюсь переименовать администратор на сервере и изменить его пароль.

Я уже отключил машины от сети, одну заменяют новой, но я знаю, что эти вещи могут распространяться через сети, поэтому мне все еще нужно докопаться до сути.

Кроме того, на сервере есть настройка NAT / Firewall с открытыми только определенными портами. Мне еще предстоит полностью изучить некоторые службы, связанные с Windows, с открытыми портами, так как я из Linux.

Что теперь?

Так что все современные и современные антивирусы ничего не обнаружили, но я абсолютно уверен, что на этих компьютерах есть какой-то вирус. Я основываю это на случайных перезапусках / нестабильности машин XP в сочетании с тысячами попыток входа в систему с этих машин.

Я планирую создать резервную копию пользовательских файлов на зараженных компьютерах, а затем переустановить Windows и заново отформатировать диски. Я также принимаю несколько мер для защиты общих файловых ресурсов, которые могли быть использованы для распространения на другие машины.

Зная все это, что я могу сделать, чтобы этот червь не находился где-то еще в сети, и как я могу остановить его распространение?

Я знаю, что это затянувшийся вопрос, но я здесь не в своей тарелке и могу использовать некоторые указатели.

Спасибо за внимание!

Это мои общие предложения для такого рода процессов. Я ценю, что вы уже рассмотрели некоторые из них, но лучше сказать что-то дважды, чем пропустить что-то важное. Эти заметки ориентированы на вредоносные программы, распространяющиеся по локальной сети, но их можно легко уменьшить, чтобы справиться с более незначительными инфекциями.

Остановить гниль и найти источник инфекции.

1. Убедитесь, что у вас есть актуальная резервная копия каждой системы и каждого бита данных в этой сети, которые заботятся о бизнесе. Убедитесь, что вы заметили, что этот носитель восстановления может быть скомпрометирован, чтобы люди не пытались восстановить его через 3 месяца, пока ваша спина поворачивалась, и снова заразили сеть. Если у вас есть резервная копия до того, как произошло заражение, сохраните ее в безопасном месте.

2. Завершите работу действующей сети, если это возможно (вам, вероятно, потребуется сделать это как минимум в процессе очистки). По крайней мере, серьезно подумайте о том, чтобы отключить эту сеть, включая серверы, от интернета, пока не узнаете, что происходит - что, если этот червь крадет информацию?

3. Не забегай вперед. Соблазнительно просто сказать, что на этом этапе все готово, заставить всех сменить пароли и т. Д. И назвать это «достаточно хорошо». Хотя вам, вероятно, придется делать это рано или поздно , вероятно, у вас останутся очаги заражения, если вы не понимаете, что происходит в вашей локальной сети. ( Если вы не хотите расследовать инфекцию, перейдите к шагу 6 )

4. Скопируйте зараженный компьютер в какую-либо виртуальную среду, изолируйте эту виртуальную среду от всего остального, включая хост-компьютер, прежде чем загружать скомпрометированный гость .

5. Создайте еще пару чистых виртуальных гостевых машин для ее заражения, затем изолируйте эту сеть и используйте такие инструменты, как wireshark, для мониторинга сетевого трафика (время воспользоваться преимуществами этого фона Linux и создать еще одного гостя в этой виртуальной ЛВС, который может наблюдать весь этот трафик без заражен любым червем Windows!) и Process Monitor для отслеживания изменений, происходящих на всех этих машинах. Также учтите, что проблема может быть в хорошо скрытом рутките - попробуйте использовать авторитетный инструмент для их поиска, но помните, что это немного нелегкая борьба, поэтому поиск ничего не означает, что там ничего нет.

6. (Предполагая, что вы не можете / не можете выключить основную локальную сеть) Используйте wireshark в основной локальной сети, чтобы посмотреть трафик, отправляемый на / с зараженных компьютеров. Рассматривайте любой необъяснимый трафик с любого компьютера как потенциально подозрительный - отсутствие видимых симптомов не свидетельствует об отсутствии какого-либо компромисса . Вы должны быть особенно обеспокоены серверами и любыми рабочими станциями, на которых работает критически важная информация.

7. После того как вы изолировали все зараженные процессы на виртуальных гостях, вы сможете отправить образец компании, которая создала антивирусное программное обеспечение, которое вы используете на этих компьютерах. Они будут стремиться изучить образцы и подготовить исправления для любого нового вредоносного ПО, которое они увидят. На самом деле, если вы еще этого не сделали, вам следует обратиться к ним со своим рассказом о горе, поскольку они могут оказать некоторую помощь.

8. Старайтесь изо всех сил выяснить, каким был исходный вектор заражения - этот червь может быть эксплойтом, который был спрятан в скомпрометированном веб-сайте, который кто-то посетил, возможно, он был принесен из чьего-то дома на карту памяти или получен по электронной почте, чтобы назвать но несколько способов. Эксплойт скомпрометировал эти машины через пользователя с правами администратора? Если это так, не предоставляйте пользователям права администратора в будущем. Вам нужно убедиться, что источник заражения исправлен, и вам необходимо выяснить, есть ли какие-либо процедурные изменения, которые вы можете внести, чтобы сделать этот путь заражения более трудным для эксплойтов в будущем.

Очистка

Некоторые из этих шагов покажутся чрезмерными. Черт возьми, некоторые из них, вероятно , перегружены, особенно если вы решите, что на самом деле скомпрометированы лишь несколько машин, но они должны гарантировать, что ваша сеть настолько чиста, насколько это возможно. Боссы тоже не будут увлечены некоторыми из этих шагов, но с этим ничего не поделаешь.

1. Выключите все машины в сети. Все рабочие станции. Все серверы. Все. Да, даже ноутбук босса-подростка, который сын использует, чтобы проскользнуть в сеть, ожидая, пока папа закончит работу, чтобы сын мог играть в « сомнительный-javascript-exploit-Ville » на любом из существующих сайтов социальных сетей du-jour. , На самом деле, подумав об этом, выключите эту машину особенно . С кирпичом, если это то, что нужно.

2. Запустите каждый сервер по очереди. Примените все исправления, которые вы обнаружили для себя или которые были предоставлены AV-компанией. Аудит пользователей и групп для любых необъяснимых учетных записей (как локальных учетных записей, так и учетных записей AD), аудит установленного программного обеспечения для любых непредвиденных ситуаций и использование wireshark в другой системе для отслеживания трафика, поступающего с этого сервера (если вы обнаружите какие-либо проблемы на этом этапе, тогда серьезно подумайте о восстановлении этот сервер). Перед запуском следующей системы отключите каждую систему, чтобы скомпрометированная машина не могла атаковать другие. Или отключите их от сети, чтобы вы могли сделать несколько одновременно, но они не могут общаться друг с другом, все хорошо.

3. Как только вы убедитесь, что все ваши серверы чисты, запустите их и используйте wireshark, монитор процессов и т. Д. И снова наблюдайте за ними на предмет странного поведения.

4. Сбросить каждый пароль пользователя . И, если возможно, служебные пароли учетных записей тоже. Да, я знаю, это боль. В этот момент мы собираемся отправиться на территорию «возможно, через верх». Ваш звонок.

5. Восстановите все рабочие станции . Делайте так по одному, чтобы, возможно, зараженные машины не сидели без дела в локальной сети, нападая на недавно восстановленные. Да, это займет некоторое время, извините за это.

6. Если это невозможно, тогда:

   Выполните шаги, которые я описал выше, для серверов на всех «чистых» рабочих станциях.

   Восстановите все те, которые показали какой-либо намек на подозрительную активность, и делайте это, пока все «надежно чистые» машины выключены.

7. Если вы еще этого не сделали, подумайте о централизованном AV, который будет сообщать о проблемах обратно на сервер, где вы сможете наблюдать за проблемами, вести централизованную регистрацию событий, мониторинг сети и т. Д. Очевидно, выберите и выберите, какие из них подходят для потребностей и бюджетов этой сети, но здесь явно есть проблема, верно?

8. Просмотрите права пользователей и установки программного обеспечения на этих компьютерах и установите периодический аудит, чтобы убедиться, что все по-прежнему так, как вы ожидаете. Также удостоверьтесь, что пользователям предлагается сообщать о событиях как можно быстрее, не поддаваясь стонам, поощряйте деловую культуру решения проблем ИТ, а не стрельбы по мессенджеру и т. Д.

Вы сделали все, что я бы сделал (если бы я все еще был администратором Windows) - канонические шаги (или были, когда я был парнем в Windows):

1. Изолировать пострадавшие машины.
2. Обновите антивирусные определения.
   Запустите AV / Malware / etc. сканирование по всей сети
3. Продуйте пораженные машины (полностью вытрите присоски) и переустановите.
4. Восстановите пользовательские данные из резервных копий (убедитесь, что они чистые).

Обратите внимание, что всегда есть вероятность, что вирус / червь / что-то скрывается в электронной почте (на вашем почтовом сервере) или в макросе в документе Word / Excel. Если проблема возвращается, вам может потребоваться более агрессивная очистка в следующий раз

Первый урок, который следует извлечь из этого, заключается в том, что AV-решения не идеальны. Даже не близко.

Если вы знакомы с поставщиками программного обеспечения AV, позвоните им. Все они имеют номера поддержки именно для такого рода вещей. На самом деле они, вероятно, будут очень заинтересованы в том, что вас поразило.

Как уже говорили другие, снимите каждую машину, вытрите ее и переустановите. В любом случае, вы можете воспользоваться этой возможностью, чтобы вывести всех из XP. Это была мертвая ОС в течение достаточно долгого времени. По крайней мере, это должно включать уничтожение разделов HD и их переформатирование. Хотя, похоже, не так много машин, поэтому покупка совершенно новых замен может быть лучшим вариантом.

Кроме того, сообщите своему боссу (-ам), что это просто дорого.

Наконец, почему в мире вы запускаете все это с одного сервера? (Риторика, я знаю, что вы «унаследовали» это) DC никогда не должен быть доступен из Интернета. Исправьте это, установив соответствующее оборудование для обеспечения необходимой вам функциональности.

Скорее всего, это руткит, если ваши A / V-программы ничего не показывают. Попробуйте запустить TDSSkiller и посмотрите, что вы найдете. Кроме того, это было бы идеальное время для простой замены устаревших компьютеров с Windows XP чем-то более чем десятилетним. Помимо таких программ, как антивирусные программы, я видел очень мало программ, которые не могут быть запущены через шим или ослабление некоторых разрешений NTFS / Registry в Windows 7. На самом деле оправданий для продолжения практически нет. запустить XP.