Ağımızdaki bilinmeyen bir solucanın çıkarılması / ortadan kaldırılmasıyla nasıl başa çıkabilirim?

TL; DR

Küçük ağımıza bir tür solucan / virüs bulaştığından eminim. Ancak, sadece Windows XP makinelerimizi etkiliyor gibi görünüyor. Windows 7 makineleri ve Linux (iyi, evet) bilgisayarlar etkilenmemiş gibi görünüyor. Virüsten koruma taramaları hiçbir şey göstermiyor, ancak alan adı sunucumuz, başta yönetici olmak üzere çeşitli geçerli ve geçersiz kullanıcı hesaplarında binlerce başarısız oturum açma girişimi kaydetti. Bu tanımlanamayan solucanın yayılmasını nasıl durdurabilirim?

belirtiler

Windows XP kullanıcılarımızdan birkaçı tamamen aynı olmasa da benzer sorunlar bildirmiştir. Hepsi yazılım tarafından başlatılan rastgele kapanma / yeniden başlatma deneyimleri yaşarlar. Bilgisayarlardan birinde, sistem yeniden başlatılıncaya kadar NT-AUTHORITY \ SYSTEM tarafından başlatılan ve bir RPC çağrısı ile ilgili bir geri sayımla bir iletişim kutusu açılır. Özellikle bu diyalog eski RPC istismar solucanlarını detaylandıran makalelerde anlatılanlarla tamamen aynıdır.

İki bilgisayar yeniden başlatıldığında, oturum açma isteminde (etki alanı bilgisayarlarıdır) geri döndüler, ancak yönetici olarak oturum açmamış olsalar da, listelenen kullanıcı adı 'admin' idi.

Etki alanını çalıştıran Windows Server 2003 makinemizde, çeşitli kaynaklardan birkaç bin giriş denemesi fark ettim. Yönetici, yönetici, kullanıcı, sunucu, sahip ve diğerleri dahil olmak üzere tüm farklı giriş adlarını denediler.

Bazı günlükler IP'leri listeledi, bazıları yapmadı. Kaynak IP adresine sahip olanlardan (başarısız oturum açma bilgileri için) ikisi, yeniden başlatma yaşayan iki Windows XP makinesine karşılık gelir. Daha dün dışarıdaki bir IP adresinden bir sürü başarısız giriş denemesi fark ettim. Bir izleyici, IP adresinin Kanadalı bir ISS'den geldiğini gösterdi. Oradan bir bağlantımız olmamalı (yine de VPN kullanıcılarımız var). Bu yüzden hala bir yabancı IP gelen giriş denemeleri neler oluyor emin değilim.

Bu bilgisayarlarda bir tür kötü amaçlı yazılım olduğu açıktır ve yaptığı şeylerden biri erişim elde etmek için etki alanı hesaplarında şifreleri numaralandırmaya çalışmaktır.

Şimdiye Kadar Yaptığım

Olanları fark ettikten sonra, ilk adımım herkesin güncel bir antivirüs kullandığından ve bir tarama yaptığından emin olmaktı. Etkilenen bilgisayarlardan birinin süresi dolmuş bir antivirüs istemcisi vardı, ancak diğer ikisi Norton'un mevcut sürümleriydi ve her iki sistemin tam taramaları hiçbir şey yapmadı.

Sunucunun kendisi düzenli olarak güncel bir virüsten koruma yazılımı çalıştırır ve herhangi bir bulaşma göstermemiştir.

Bu nedenle, Windows NT tabanlı bilgisayarların 3 / 4'ünde güncel bir virüsten koruma yazılımı vardır, ancak hiçbir şey algılamadı. Ancak, temelde çeşitli hesaplar için binlerce başarısız giriş denemesinin kanıtladığı bir şey olduğuna ikna oldum.

Ayrıca, ana dosya paylaşımımızın kökünün oldukça açık izinlere sahip olduğunu fark ettim, bu yüzden normal kullanıcılar için okumak + yürütmek için kısıtladım. Yönetici elbette tam erişime sahiptir. Ayrıca kullanıcıların parolalarını (güçlü olanlara) güncellemesini sağlamak üzereyim ve sunucudaki Yönetici olarak yeniden adlandırıp parolasını değiştireceğim.

Zaten makineleri ağdan aldım, bir tanesi yenisiyle değiştirildi, ama bunların ağlar aracılığıyla yayılabileceğini biliyorum, bu yüzden hala bunun alt kısmına gitmem gerekiyor.

Ayrıca, sunucuda yalnızca belirli bağlantı noktaları açık olan bir NAT / Güvenlik Duvarı kurulumu bulunur. Linux arka planında olduğum gibi, bağlantı noktaları açık olan Windows ile ilgili bazı hizmetleri henüz tam olarak araştırmadım.

Şimdi ne olacak?

Yani tüm modern ve güncel bir anti-virüs hiçbir şey tespit etmedi, ama kesinlikle bu bilgisayarların bir çeşit virüsü olduğuna ikna oldum. Bunu, XP makinelerinin rastgele yeniden başlatma / kararsızlığı ve bu makinelerden kaynaklanan binlerce oturum açma denemesine dayandırıyorum.

Yapmayı planladığım şey, etkilenen makinelerde kullanıcı dosyalarını yedeklemek ve ardından pencereleri yeniden yüklemek ve sürücüleri yeni biçimlendirmektir. Ayrıca, diğer makinelere yayılmak için kullanılmış olabilecek ortak dosya paylaşımlarını güvence altına almak için birkaç önlem alıyorum.

Tüm bunları bilerek, bu solucanın ağda başka bir yerde olmamasını sağlamak için ne yapabilirim ve yayılmasını nasıl durdurabilirim?

Bunun çizilmiş bir soru olduğunu biliyorum, ama buradaki derinliklerimin dışındayım ve bazı işaretçiler kullanabilirim.

Baktığınız için teşekkürler!

Bunlar bu tür süreçler için genel önerilerim. Bazılarını zaten ele alacağınız için teşekkür ederim, ancak önemli bir şeyi kaçırmaktan iki kez bir şey söylenmesi daha iyi. Bu notlar, bir LAN'a yayılan ancak daha küçük enfeksiyonlarla başa çıkmak için kolayca ölçeklendirilebilen kötü amaçlı yazılımlara yöneliktir.

Çürüğü durdurma ve enfeksiyon kaynağını bulma.

1. İşletmenin önem verdiği her ağın ve bu ağdaki her veri bitinin güncel bir yedeğine sahip olduğunuzdan emin olun. Bu geri yükleme ortamının tehlikeye girebileceğini unutmayın, böylece insanlar sırtınız döndüğünde 3 ay içinde geri yüklemeyi denemez ve ağa tekrar bulaşır. Enfeksiyon gerçekleşmeden önceki bir yedeğiniz varsa, bunu güvenli bir şekilde bir tarafa da koyun.

2. Mümkünse canlı ağı kapatın (bunu en azından temizleme işleminin bir parçası olarak yapmanız gerekecektir). En azından, ne olduğunu bilinceye kadar sunucular da dahil olmak üzere bu ağı internetten uzak tutmayı düşünün - ya bu solucan bilgi çalıyorsa?

3. Önünüzden geçmeyin. Bu noktada her şeyi temiz inşa etmeyi, herkesi parolaları değiştirmeye vb. Zorlamak ve buna 'yeterince iyi' demek için cazip gelmek caziptir. Muhtemelen bunu er ya da geç yapmanız gerekecek olsa da , LAN'ınızda ne olduğunu anlamadıysanız, sizi enfeksiyon ceplerine bırakması muhtemeldir. ( Enfeksiyonu araştırmak istemiyorsanız 6. adıma geçin )

4. Virüs bulaşmış bir makineyi bir tür sanal ortama kopyalayın, bu sanal ortamı güvenliği ihlal edilen misafiri başlatmadan önce ana makine de dahil olmak üzere diğer her şeyden yalıtın .

5. Bu ağı enfekte etmek için başka bir çift temiz sanal konuk makinesi oluşturun ve ardından ağı izole edin ve ağ trafiğini izlemek için wireshark gibi araçları kullanın (bu linux arka planından yararlanma zamanı ve bu sanal LAN'da tüm bu trafiği olmadan izleyebilecek başka bir konuk oluşturma zamanı herhangi bir Windows solucanı tarafından enfekte olmak!) ve tüm bu makinelerde meydana gelen değişiklikleri izlemek için Process Monitor . Ayrıca sorunun iyi gizli bir rootkit olabileceğini düşünün - bunları bulmak için saygın bir araç kullanmayı deneyin, ancak bunun biraz yokuş yukarı bir mücadele olduğunu unutmayın, bu yüzden hiçbir şey bulmak orada hiçbir şey olmadığı anlamına gelmez.

6. (Ana LAN'ı kapatmadığınızı / kapatamadığınızı varsayarsak) Virüs bulaşmış makinelere / cihazlardan gönderilen trafiğe bakmak için ana LAN üzerindeki kablo demetini kullanın. Herhangi bir makineden açıklanamayan herhangi bir trafiği potansiyel olarak şüpheli olarak ele alın - görünür semptomların olmaması, herhangi bir uzlaşmanın olmadığının kanıtı değildir . Özellikle sunucular ve işle ilgili kritik bilgileri çalıştıran iş istasyonları konusunda endişelenmelisiniz.

7. Sanal konuklardaki virüs bulaşmış işlemleri izole ettikten sonra , bu makinelerde kullandığınız virüsten koruma yazılımını yapan şirkete bir örnek gönderebilmeniz gerekir . Örnekleri incelemeye ve gördükleri yeni kötü amaçlı yazılımlar için düzeltmeler yapmaya istekli olacaklar. Aslında, daha önce yapmadıysanız, bir şekilde yardımcı olabilecekleri için bunlarla tanışmanız gerekir.

8. Orijinal enfeksiyon vektörünün ne olduğunu çözmek için çok uğraşın - bu solucan, birinin ziyaret ettiği güvenliği ihlal edilmiş bir web sitesinde gizlenmiş bir istismar olabilir, birisinin evinden bir bellek çubuğuna getirilmiş veya e-posta ile alınmış olabilir. ama birkaç yolla. İstismar, yönetici haklarına sahip bir kullanıcı aracılığıyla bu makinelerin güvenliğini ihlal etti mi? Öyleyse, kullanıcılara gelecekte yönetici hakları vermeyin. Enfeksiyon kaynağının sabitlendiğinden emin olmanız ve bu enfeksiyon yolunu gelecekte istismarlar için daha zor hale getirmek için yapabileceğiniz herhangi bir prosedür değişikliği olup olmadığını görmeniz gerekir.

Temizlemek

Bu adımlardan bazıları en üstte görünecektir. Heck bazıları muhtemelen vardır sadece birkaç makineler aslında tehlikeye olduğunu belirlemek, ama onlar olabildiğince şebeke kadar temiz garanti etmelidir, özellikle üstünden. Patronlar da bu adımların bazılarına meraklı olmayacak, ancak bununla ilgili yapılacak çok şey yok.

1. Ağdaki tüm makineleri kapatın. Tüm iş istasyonları. Tüm sunucular. Her şey. Evet, oğlunun mevcut sosyal medya sitesi du-jour'da ne olursa olsun ' şüpheli-javascript-exploit-Ville ' oynayabilmesi için oğlunun ağa gizlice girdiği patronların 'genç oğlunun dizüstü bilgisayarı bile ağa gizlice giriyor' . Aslında, bunu düşünerek, özellikle bu makineyi kapatın . Eğer bir tuğla ile bu ne gerekiyorsa.

2. Her sunucuyu sırayla başlatın. Kendiniz için keşfettiğiniz veya bir AV şirketi tarafından verilen düzeltmeleri uygulayın. Açıklanamayan hesaplar (hem yerel hesaplar hem de AD hesapları) için kullanıcıları ve grupları denetleyin, yüklü yazılımı beklenmedik herhangi bir şey için denetleyin ve bu sunucudan gelen trafiği izlemek için başka bir sistemde wireshark kullanın ( Bu noktada herhangi bir sorun bulursanız , yeniden oluşturmayı düşünün. sunucu). Bir sonraki makineye başlamadan önce her sistemi kapatın, böylece güvenliği ihlal edilmiş bir makine diğerlerine saldıramaz. Ya da ağdan çıkarın, böylece aynı anda birkaç tane yapabilirsiniz, ancak birbirleriyle konuşamazlar, hepsi iyi.

3. Tüm sunucularınızın temiz olduğundan emin olduğunuzda, onları başlatın ve wireshark, süreç monitörü vb. Kullanın. Herhangi bir garip davranış için onları tekrar gözlemleyin.

4. Her kullanıcı şifresini sıfırlayın . Ve mümkünse, hizmet hesabı şifreleri de. Evet biliyorum bu bir acı. Bu noktada "muhtemelen en üstte" topraklarına gitmek üzereyiz. Çağrınız.

5. Tüm iş istasyonlarını yeniden oluşturun . Her seferinde bir tane yapın, böylece enfekte olmuş makineler, yeni inşa edilmiş olanlara saldıran LAN'da boşta durmazlar. Evet bu biraz zaman alacak, bunun için üzgünüm.

6. Bu mümkün değilse:

   Tüm "umarım temiz" iş istasyonlarındaki sunucular için yukarıda özetlediğim adımları uygulayın.

   Herhangi bir şüpheli etkinlik ipucu gösterenleri yeniden oluşturun ve "umarım temiz" makineler kapalıyken bunu yapın.

7. Sorunları, merkezi olay günlüğünü, ağ izlemeyi vb. İzleyebileceğiniz bir sunucuya geri bildirecek merkezi AV'yi daha önce düşünmediyseniz, açıkçası bunların hangilerinin bu ağın ihtiyaçları ve bütçeleri için uygun olduğunu seçin ve seçin, ama burada açıkça bir sorun var, değil mi?

8. Bu makinelerdeki kullanıcı haklarını ve yazılım yüklemelerini gözden geçirin ve işlerin hâlâ olmasını istediğiniz gibi olduğundan emin olmak için düzenli aralıklarla denetim yapın. Ayrıca, kullanıcıların inleme yapmadan en kısa zamanda şeyleri bildirmeye teşvik edildiğinden emin olun, messenger'ı vurmak yerine BT sorunlarını düzeltmek için bir iş kültürünü teşvik edin.

Yaptığım her şeyi yaptın (eğer hala bir Windows yöneticisi olsaydım) - Kanonik adımlar (ya da son kez bir Windows adamıydım):

1. Etkilenen makineleri izole edin.
2. Virüsten koruma tanımlarını güncelleme
   AV / Malware / etc'yi çalıştırın. tüm ağda tarama yapar
3. Etkilenen makineleri havaya uçurun (emicileri tamamen silin) ​​ve yeniden takın.
4. Kullanıcı verilerini yedeklemelerden geri yükleyin (temiz olduğundan emin olun).

Virüs / solucan / e-postada (posta sunucunuzda) veya bir kelime / excel belgesindeki bir makroda gizlenen her zaman bir şans olduğunu unutmayın - Sorun geri gelirse, temizlik işleminizde daha agresif olmanız gerekebilir bir dahaki sefere.

Bundan alınacak ilk ders AV çözümlerinin mükemmel olmadığıdır. Yakınında bile değil.

AV yazılım satıcılarıyla güncelseniz, onları arayın. Hepsinin tam da bu tür şeyler için destek numaraları var. Aslına bakarsanız, muhtemelen sizi neyin vurduğuyla çok ilgilenecekler.

Diğerlerinin söylediği gibi, her makineyi indirin, silin ve yeniden takın. Yine de herkesi XP'den kurtarmak için bu fırsatı kullanabilirsiniz. Bir süredir ölü bir işletim sistemi. En azından bu HD bölümlerini yok etmeyi ve onları yeniden biçimlendirmeyi içermelidir. Her ne kadar pek çok makinenin olmadığı anlaşılıyor olsa da, tamamen yeni yedek parça satın almak daha iyi bir seçenek olabilir.

Ayrıca, patronunuza bunun pahalı olduğunu bildirin.

Son olarak, neden tüm bunları tek bir sunucudan çalıştırıyorsunuz? (Retorik, "miras aldığınızı biliyorum") DC'ye ASLA internetten erişilmemelidir. İhtiyacınız olan işlevselliğe dikkat etmek için uygun donanımı yerleştirerek bunu düzeltin.

A / V programlarınız hiçbir şey yapmazsa büyük olasılıkla bir rootkittir. TDSSkiller'ı çalıştırmayı deneyin ve ne bulduğunuzu görün. Ayrıca, arkaik Windows XP bilgisayarları on yıldan daha eski bir şeyle değiştirmek için mükemmel bir zaman olurdu. Anti-virüs programları gibi yazılımların yanı sıra, bir şim yoluyla çalıştırılamayan veya Windows 7'de birkaç NTFS / Kayıt defteri izinlerini gevşetemeyen programların yolunda çok az şey gördüm. XP çalıştırmak için.