尝试暴力攻击Active Directory用户的病毒(按字母顺序排列)?

Modified on: Fri, 08 Nov 2019 16:40:02 +0800

用户开始抱怨网络速度慢,所以我解雇了Wireshark。做了一些检查,发现许多PC发送类似如下的数据包:
(截图)http://imgur.com/45VlI.png

我模糊了用户名,计算机名和域名的文本(因为它与互联网域名匹配)。
计算机正在向试图暴力破解密码的Active Directory服务器发送垃圾邮件。它将从Administrator开始,按字母顺序下载用户列表。物理上去PC找不到任何人靠近它,这种行为传播到整个网络,所以它似乎是某种病毒。使用Malwarebytes,Super Antispyware和BitDefender(这是客户端拥有的防病毒软件)扫描已经发现垃圾邮件的计算机不会产生任何结果。

这是一个拥有大约2500台PC的企业网络,因此进行重建并不是一个有利的选择。我的下一步是联系BitDefender以了解他们可以提供哪些帮助
有没有人见过这样的东西或者有任何想法可能是什么?

最佳答案

抱歉,我不知道这是什么,但是,你现在有更重要的问题。

有多少台机器正在这样做?你有没有从网络中断开它们? (如果没有,为什么不呢?)

您能否找到任何域帐户遭到入侵的证据(尤其是域名管理员帐户)

我可以理解您不想再次构建桌面,但除非您这样做,否则您无法确定是否要清理机器。

第一步:

  • 确保在您的域中启用复杂密码
  • 设置锁定策略 - 如果您仍然拥有扫描计算机,这会导致问题,但这比更多帐户受到攻击更好
  • 隔离一个已知的坏机器,是否试图与外界交谈?您需要通过网关在您的网络中阻止此操作
  • 尝试隔离所有已知的坏机器。
  • 监控更多扫描机器。
  • 强制所有您的用户更改密码,检查所有服务帐户。
  • 禁用任何不再使用的帐户。
  • 检查服务器和DC(域管理员,管理员等)上的组成员身份

接下来,您需要对已知的坏机器执行一些取证,以尝试跟踪发生的情况。一旦你知道这一点,你就有更好的机会知道这次攻击的范围是​​什么。使用root kit revealer,甚至可以在破坏任何证据之前对硬盘进行映像。支持NTFS的Linux Live CD在这里非常有用,因为它们可以让你找到root工具包可以隐藏的内容。

需要考虑的事项:

  • 您是否在所有工作站上都​​有标准的本地管理员(弱)密码?
  • 您的用户是否拥有管理员权限?
  • 是否所有域管理员都使用单独的帐户进行DA活动?考虑对这些帐户设置限制(例如,您可以登录的工作站)。
  • 您不会提供有关您的网络的任何信息。你有任何公开的服务吗?

编辑:尝试提供更多信息很困难,因为它实际上取决于你找到的东西,但几年前一直处于类似的情况,你真的需要不信任一切,特别是你知道被妥协的机器和账户

作者:,Bryan

相关问答

添加新评论