ฉันจะจัดการกับการลบ / กำจัดหนอนที่ไม่รู้จักในเครือข่ายของเราได้อย่างไร

TL; DR

ฉันค่อนข้างมั่นใจว่าเครือข่ายขนาดเล็กของเราติดไวรัส / ไวรัสบางชนิด ดูเหมือนว่าจะทำให้เครื่อง Windows XP ของเราเจ็บปวดเท่านั้น เครื่อง Windows 7 และลีนุกซ์ (ก็ใช่) ดูเหมือนว่าจะไม่ได้รับผลกระทบ การสแกนป้องกันไวรัสไม่แสดงอะไรเลย แต่เซิร์ฟเวอร์โดเมนของเราได้บันทึกการเข้าสู่ระบบล้มเหลวหลายพันครั้งในบัญชีผู้ใช้ที่ถูกต้องและไม่ถูกต้องโดยเฉพาะอย่างยิ่งผู้ดูแลระบบ ฉันจะหยุดการแพร่กระจายของหนอนที่ไม่ปรากฏชื่อได้อย่างไร

อาการ

ผู้ใช้ Windows XP ของเราสองสามคนรายงานปัญหาที่คล้ายกันแม้ว่าจะไม่เหมือนกันทั้งหมด พวกเขาทั้งหมดพบกับการปิด / รีสตาร์ทแบบสุ่มที่เริ่มต้นจากซอฟต์แวร์ ในคอมพิวเตอร์หนึ่งเครื่องไดอะล็อกจะปรากฏขึ้นพร้อมกับนับถอยหลังจนกระทั่งระบบรีสตาร์ทโดยเริ่มจาก NT-AUTHORITY \ SYSTEM และต้องเกี่ยวข้องกับการเรียก RPC ไดอะล็อกนี้โดยเฉพาะตรงตามที่อธิบายไว้ในบทความที่แสดงรายละเอียด RPC ที่เก่ากว่าใช้ประโยชน์จากเวิร์ม

เมื่อคอมพิวเตอร์สองเครื่องรีบูตพวกเขากลับมาที่พรอมต์การเข้าสู่ระบบ (เป็นคอมพิวเตอร์โดเมน) แต่ชื่อผู้ใช้ที่ระบุไว้คือ 'admin' แม้ว่าพวกเขาจะไม่ได้เข้าสู่ระบบในฐานะผู้ดูแลระบบ

บนเครื่อง Windows Server 2003 ของเราที่ใช้งานโดเมนผมสังเกตเห็นว่ามีความพยายามเข้าสู่ระบบหลายพันครั้งจากแหล่งต่าง ๆ พวกเขาลองชื่อเข้าสู่ระบบที่แตกต่างกันทั้งหมดรวมถึงผู้ดูแลระบบผู้ดูแลระบบผู้ใช้เซิร์ฟเวอร์เจ้าของและอื่น ๆ

บันทึกบางรายการแสดง IP บางอันไม่ได้บันทึก หนึ่งในนั้นที่มีที่อยู่ IP ต้นทาง (สำหรับการเข้าสู่ระบบที่ล้มเหลว) สองรายการนั้นสอดคล้องกับเครื่อง Windows XP สองเครื่องที่มีการรีบูต เมื่อวานนี้ฉันสังเกตเห็นว่ามีความพยายามในการเข้าสู่ระบบล้มเหลวจากที่อยู่ IP ภายนอก ผู้ติดตามแสดงให้เห็นว่าที่อยู่ IP ภายนอกนั้นมาจาก ISP ของแคนาดา เราไม่ควรมีการเชื่อมต่อจากที่นั่น (เรามีผู้ใช้ VPN) ดังนั้นฉันยังไม่แน่ใจว่าเกิดอะไรขึ้นกับความพยายามในการเข้าสู่ระบบที่มาจาก foriegn IP

ดูเหมือนว่ามัลแวร์บางประเภทอยู่ในคอมพิวเตอร์เหล่านี้และเป็นส่วนหนึ่งของสิ่งที่พยายามระบุรหัสผ่านในบัญชีโดเมนเพื่อเข้าถึง

สิ่งที่ฉันทำจนถึงตอนนี้

หลังจากทราบว่าเกิดอะไรขึ้นขั้นตอนแรกของฉันคือเพื่อให้แน่ใจว่าทุกคนกำลังใช้โปรแกรมป้องกันไวรัสที่ทันสมัยและทำการสแกน คอมพิวเตอร์ได้รับผลกระทบหนึ่งในนั้นเป็นไคลเอ็นต์ป้องกันไวรัสที่หมดอายุแล้ว แต่อีกสองรายการเป็น Norton เวอร์ชันปัจจุบันและการสแกนทั้งสองระบบของทั้งสองระบบไม่ปรากฏอะไรเลย

เซิร์ฟเวอร์ทำงานเป็นประจำป้องกันไวรัสล่าสุดและไม่แสดงการติดเชื้อใด ๆ

ดังนั้นคอมพิวเตอร์ 3/4 เครื่องที่ใช้ Windows NT จึงมีโปรแกรมป้องกันไวรัสที่ทันสมัย ​​แต่ไม่พบสิ่งใดเลย อย่างไรก็ตามฉันเชื่อว่ามีบางอย่างเกิดขึ้นส่วนใหญ่เห็นได้จากการพยายามลงชื่อเข้าใช้ที่ล้มเหลวหลายพันครั้งสำหรับบัญชีต่างๆ

ฉันยังสังเกตเห็นว่ารูทของการแชร์ไฟล์หลักของเรานั้นมีสิทธิ์เปิดอยู่ค่อนข้างมากดังนั้นฉันจึง จำกัด ให้อ่าน + ดำเนินการสำหรับผู้ใช้ปกติ ผู้ดูแลระบบมีสิทธิ์เข้าถึงแบบเต็ม ฉันกำลังจะให้ผู้ใช้อัปเดตรหัสผ่านของพวกเขา (เป็นคนที่แข็งแกร่ง) และฉันจะเปลี่ยนชื่อเป็นผู้ดูแลระบบบนเซิร์ฟเวอร์และเปลี่ยนรหัสผ่าน

ฉันเอาเครื่องออกจากเครือข่ายแล้วเครื่องหนึ่งถูกแทนที่ด้วยเครื่องใหม่ แต่ฉันรู้ว่าสิ่งเหล่านี้สามารถแพร่กระจายผ่านเครือข่ายได้ดังนั้นฉันจึงต้องไปที่จุดต่ำสุดของสิ่งนี้

นอกจากนี้เซิร์ฟเวอร์ยังมีการตั้งค่า NAT / ไฟร์วอลล์ที่เปิดเฉพาะพอร์ตที่แน่นอนเท่านั้น ฉันยังไม่ได้ตรวจสอบบริการบางอย่างของ Windows ที่เกี่ยวข้องกับพอร์ตที่เปิดอยู่เนื่องจากฉันมาจากพื้นหลัง Linux

ตอนนี้คืออะไร

ดังนั้นโปรแกรมป้องกันไวรัสที่ทันสมัยและทันสมัยทั้งหมดจึงไม่ได้ตรวจพบอะไรเลย แต่ฉันเชื่อว่าคอมพิวเตอร์เหล่านี้มีไวรัสบางประเภท ฉันใช้วิธีนี้ในการสุ่มรีสตาร์ท / instability ของเครื่อง XP รวมกับการพยายามลงชื่อเข้าใช้นับพันครั้งจากเครื่องเหล่านี้

สิ่งที่ฉันวางแผนจะทำคือการสำรองไฟล์ของผู้ใช้บนเครื่องที่ได้รับผลกระทบจากนั้นทำการติดตั้ง windows ใหม่และฟอร์แมตไดรฟ์ใหม่ ฉันยังใช้มาตรการเล็กน้อยเพื่อรักษาความปลอดภัยการแชร์ไฟล์ทั่วไปที่อาจใช้เพื่อแพร่กระจายไปยังเครื่องอื่น ๆ

รู้ทั้งหมดนี้ฉันจะทำอย่างไรเพื่อให้แน่ใจว่าหนอนตัวนี้ไม่ได้อยู่ที่อื่นในเครือข่ายและฉันจะหยุดยั้งการแพร่กระจายได้อย่างไร

ฉันรู้ว่านี่เป็นคำถามที่ดึงออกมา แต่ฉันออกมาจากส่วนลึกของฉันที่นี่และสามารถใช้ตัวชี้บางอย่างได้

ขอบคุณที่มอง!

นี่เป็นคำแนะนำทั่วไปสำหรับกระบวนการประเภทนี้ ฉันขอขอบคุณคุณจะได้ครอบคลุมบางส่วนของพวกเขาแล้ว แต่มันจะดีกว่าที่จะบอกสิ่งที่สองกว่าพลาดสิ่งที่สำคัญ โน้ตเหล่านี้มีทิศทางที่มุ่งไปสู่มัลแวร์ที่แพร่กระจายบน LAN แต่สามารถปรับขนาดกลับได้อย่างง่ายดายเพื่อจัดการกับการติดเชื้อเล็กน้อย

หยุดเน่าและค้นหาแหล่งที่มาของการติดเชื้อ

1. ตรวจสอบให้แน่ใจว่าคุณมีการสำรองข้อมูลล่าสุดของทุกระบบและข้อมูลทุกบิตในเครือข่ายนี้ที่ธุรกิจให้ความสำคัญ ตรวจสอบให้แน่ใจว่าคุณทราบว่าสื่อการกู้คืนนี้อาจถูกบุกรุกดังนั้นผู้คนจะไม่ลองและเรียกคืนจากสื่อนั้นในเวลา 3 เดือนในขณะที่หลังของคุณถูกเปิดใช้งานและติดเชื้อเครือข่ายอีกครั้ง หากคุณมีข้อมูลสำรองก่อนที่การติดเชื้อจะเกิดขึ้น

2. ปิดเครือข่ายสดหากคุณสามารถทำได้ (คุณอาจต้องทำเช่นนี้เป็นส่วนหนึ่งของกระบวนการล้างข้อมูลอย่างน้อย) อย่างน้อยที่สุดให้พิจารณาการรักษาเครือข่ายนี้รวมถึงเซิร์ฟเวอร์ออกนอกอินเทอร์เน็ตอย่างจริงจังจนกว่าคุณจะรู้ว่าเกิดอะไรขึ้น - เวิร์มนี้ถ้าเกิดอะไรขึ้นถ้าขโมยข้อมูล?

3. อย่าก้าวไปข้างหน้าของตัวคุณเอง มันเป็นการดึงดูดให้พูดว่า clean build ทุกอย่าง ณ จุดนี้บังคับให้ทุกคนเปลี่ยนรหัสผ่าน ฯลฯ และเรียกว่า 'ดีพอ' ในขณะที่คุณอาจจำเป็นต้องทำสิ่งนี้ไม่ช้าก็เร็วมีแนวโน้มที่จะทำให้คุณติดเชื้อถ้าคุณไม่เข้าใจว่าเกิดอะไรขึ้นบน LAN ของคุณ ( หากคุณไม่ต้องการตรวจสอบการติดเชื้อให้ไปที่ขั้นตอนที่ 6 )

4. คัดลอกเครื่องที่ติดไวรัสไปยังสภาพแวดล้อมเสมือนจริงบางอย่างแยกสภาพแวดล้อมเสมือนนี้จากทุกสิ่งรวมถึงเครื่องโฮสต์ก่อนที่คุณจะบูตผู้เยี่ยมชมที่ไม่ปลอดภัย

5. สร้างเครื่องเสมือนแขกใหม่อีกสองตัวเพื่อให้มันติดเชื้อแล้วแยกเครือข่ายนั้นและใช้เครื่องมือเช่นwiresharkเพื่อตรวจสอบปริมาณการใช้เครือข่าย (เวลาใช้ประโยชน์จากพื้นหลัง linux นั้นและสร้างแขกอีกคนบน LAN เสมือนนี้ที่สามารถรับชมทั้งหมด มีการติดเชื้อโดยหนอน Windows ใด ๆ !) และการตรวจสอบกระบวนการเพื่อตรวจสอบการเปลี่ยนแปลงที่เกิดขึ้นในเครื่องเหล่านี้ทั้งหมด พิจารณาด้วยว่าปัญหาอาจเป็นรูทคิทที่ซ่อนอยู่ได้ดี- ลองใช้เครื่องมือที่มีชื่อเสียงในการค้นหาสิ่งเหล่านี้ แต่โปรดจำไว้ว่านี่เป็นการต่อสู้ที่ยากลำบากดังนั้นการค้นหาสิ่งใดไม่ได้หมายความว่าไม่มี

6. (สมมติว่าคุณยังไม่ได้ / ไม่สามารถปิด LAN หลัก) ใช้ wireshark บน LAN หลักเพื่อดูปริมาณการใช้งานที่ส่งไปยัง / จากเครื่องที่ติดไวรัส รักษาจราจรเมือใด ๆ จากเครื่องใด ๆ ที่เป็นที่น่าสงสัยที่อาจเกิดขึ้น - กรณีที่ไม่มีอาการมองเห็นไม่ได้เป็นหลักฐานของการขาดของการประนีประนอมใด ๆ คุณควรกังวลเป็นพิเศษเกี่ยวกับเซิร์ฟเวอร์และเวิร์คสเตชั่นที่ใช้งานข้อมูลสำคัญทางธุรกิจ

7. เมื่อคุณแยกกระบวนการที่ติดไวรัสใด ๆ บนแขกเสมือนคุณควรจะสามารถส่งตัวอย่างไปยัง บริษัท ที่สร้างซอฟต์แวร์ป้องกันไวรัสที่คุณใช้ในเครื่องเหล่านี้ พวกเขาจะกระตือรือร้นที่จะตรวจสอบตัวอย่างและสร้างการแก้ไขมัลแวร์ใหม่ ๆ ที่พวกเขาเห็น ในความเป็นจริงหากคุณยังไม่ได้ทำเช่นนั้นคุณควรติดต่อกับพวกเขาด้วยเรื่องราวความฉิบหายเพราะพวกเขาอาจมีวิธีช่วยเหลือบ้าง

8. พยายามอย่างหนักเพื่อหาว่าเวกเตอร์ติดเชื้อตัวดั้งเดิมคืออะไรเวิร์มนี้อาจเป็นช่องโหว่ที่ซ่อนอยู่ในเว็บไซต์ที่ถูกบุกรุกซึ่งมีผู้เยี่ยมชมอาจถูกนำเข้ามาจากบ้านของใครบางคนในเมมโมรี่สติ๊กหรือได้รับอีเมล แต่ไม่กี่วิธี การใช้ช่องโหว่นี้ทำให้เครื่องเหล่านี้ผ่านผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบหรือไม่? ถ้าเป็นเช่นนั้นอย่าให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้ในอนาคต คุณต้องลองและตรวจสอบให้แน่ใจว่าแหล่งที่ติดเชื้อนั้นได้รับการแก้ไขแล้วและคุณต้องดูว่ามีการเปลี่ยนแปลงขั้นตอนใดที่คุณสามารถทำได้เพื่อทำให้เส้นทางการติดเชื้อนั้นยากขึ้นสำหรับการหาช่องโหว่ในอนาคต

ทำความสะอาด

บางขั้นตอนเหล่านี้จะปรากฏอยู่ด้านบน Heck บางคนอาจจะอยู่ด้านบนโดยเฉพาะถ้าคุณพิจารณาว่ามีเพียงไม่กี่เครื่องจริง ๆ แต่พวกเขาควรรับประกันเครือข่ายของคุณจะสะอาดเท่าที่ควร ผู้บังคับบัญชาจะไม่กระตือรือร้นในบางขั้นตอนเหล่านี้เช่นกัน แต่ไม่มีอะไรที่ต้องทำมากนัก

1. ปิดเครื่องทั้งหมดในเครือข่าย เวิร์กสเตชันทั้งหมด เซิร์ฟเวอร์ทั้งหมด ทุกอย่าง ใช่แม้แล็ปท็อปลูกชายวัยรุ่นของบอสซึ่งลูกชายใช้ในการแอบเข้าสู่เครือข่ายในขณะที่รอพ่อทำงานจนเสร็จเพื่อให้ลูกชายสามารถเล่น ' dubious-javascript-exploit-Ville ' ได้ทุกที่บนเว็บไซต์โซเชียลมีเดียในปัจจุบัน . ในความเป็นจริงคิดเกี่ยวกับมันปิดเครื่องนี้ลงโดยเฉพาะอย่างยิ่ง ด้วยอิฐถ้านั่นคือสิ่งที่จะต้องใช้

2. เริ่มต้นเซิร์ฟเวอร์แต่ละเครื่องพร้อมกัน ใช้การแก้ไขใด ๆ ที่คุณค้นพบด้วยตัวคุณเองหรือได้รับจาก บริษัท AV ตรวจสอบผู้ใช้และกลุ่มสำหรับบัญชีที่ยังไม่ได้อธิบาย (ทั้งบัญชีท้องถิ่นและบัญชี AD) ตรวจสอบซอฟต์แวร์ที่ติดตั้งสำหรับสิ่งที่ไม่คาดคิดและใช้ wireshark ในระบบอื่นเพื่อรับชมปริมาณข้อมูลที่มาจากเซิร์ฟเวอร์นี้ (หากคุณพบปัญหาใด ๆเซิร์ฟเวอร์นั้น) ปิดระบบแต่ละระบบก่อนที่คุณจะเริ่มต้นระบบถัดไปเพื่อให้เครื่องที่ถูกบุกรุกไม่สามารถโจมตีระบบอื่นได้ หรือถอดปลั๊กออกจากเครือข่ายคุณจึงสามารถทำหลาย ๆ อย่างพร้อมกัน แต่พวกเขาไม่สามารถพูดคุยกันได้มันเป็นเรื่องที่ดี

3. เมื่อคุณมั่นใจว่าเซิร์ฟเวอร์ของคุณสะอาดแล้วให้เริ่มต้นและใช้ wireshark ตรวจสอบกระบวนการ ฯลฯ ตรวจสอบอีกครั้งเพื่อสังเกตพฤติกรรมแปลก ๆ

4. รีเซ็ตรหัสผ่านของผู้ใช้ทุกคนเดียว และถ้าเป็นไปได้รหัสผ่านของบัญชีบริการก็เช่นกัน ใช่ฉันรู้ว่ามันเจ็บปวด เรากำลังจะมุ่งหน้าไปยังดินแดน "อาจเหนือ" ที่จุดนี้ การโทรของคุณ

5. สร้างเวิร์คสเตชั่ทั้งหมด ทำทีละครั้งเพื่อที่ว่าเครื่องที่ติดเชื้ออาจไม่ได้อยู่ที่นั่นโดยไม่ได้ใช้งานบน LAN เพื่อโจมตีเครื่องที่สร้างขึ้นใหม่ ใช่มันจะใช้เวลาสักครู่ขอโทษด้วย

6. หากไม่สามารถทำได้:

   ทำตามขั้นตอนที่อธิบายไว้ข้างต้นสำหรับเซิร์ฟเวอร์ในเวิร์กสเตชัน "หวังว่าจะสะอาด" ทั้งหมด

   สร้างรายการทั้งหมดที่แสดงคำใบ้ของกิจกรรมที่น่าสงสัยและทำเช่นนั้นในขณะที่เครื่อง "หมดหวัง" ถูกปิด

7. หากคุณยังไม่ได้พิจารณา AV แบบรวมศูนย์ที่จะรายงานปัญหากลับไปยังเซิร์ฟเวอร์ที่คุณสามารถดูปัญหาการบันทึกเหตุการณ์จากส่วนกลางการตรวจสอบเครือข่าย ฯลฯ เลือกและเลือกสิ่งที่เหมาะกับความต้องการและงบประมาณของเครือข่ายนี้ แต่มีปัญหาชัดเจนที่นี่ใช่ไหม

8. ตรวจสอบสิทธิ์ของผู้ใช้และการติดตั้งซอฟต์แวร์ในเครื่องเหล่านี้และตั้งค่าการตรวจสอบเป็นระยะเพื่อให้แน่ใจว่าสิ่งต่าง ๆ ยังคงเป็นอย่างที่คุณคาดหวัง ตรวจสอบให้แน่ใจว่าได้รับการสนับสนุนให้ผู้ใช้รายงานสิ่งโดยเร็วโดยไม่ต้องคร่ำครวญสนับสนุนวัฒนธรรมทางธุรกิจในการแก้ไขปัญหาด้านไอทีแทนที่จะยิงผู้ส่งสาร ฯลฯ

คุณได้ทำทุกสิ่งที่ฉันจะทำ (ถ้าฉันยังเป็นผู้ดูแลระบบ Windows) - ขั้นตอนที่เป็นที่ยอมรับ (หรือเป็นครั้งสุดท้ายที่ฉันเป็นผู้ชายที่ใช้ Windows):

1. แยกเครื่องที่ได้รับผลกระทบ
2. อัปเดตคำจำกัดความต่อต้านไวรัส
   เรียกใช้ AV / มัลแวร์ / อื่น ๆ สแกนบนเครือข่ายทั้งหมด
3. เป่าเครื่องที่ได้รับผลกระทบออก (เช็ดที่ดูดออกจนหมด) แล้วติดตั้งใหม่
4. กู้คืนข้อมูลผู้ใช้จากการสำรองข้อมูล (ทำให้แน่ใจว่าสะอาดแล้ว)

โปรดทราบว่ามีโอกาสไวรัส / หนอน / อะไรก็ตามที่แฝงตัวอยู่ในอีเมล (บนเซิร์ฟเวอร์อีเมลของคุณ) หรือภายในแมโครในเอกสาร word / excel - หากปัญหากลับมาคุณอาจต้องก้าวร้าวมากขึ้นในการทำความสะอาด ครั้งต่อไปรอบ ๆ

บทเรียนแรกที่เราควรทำคือการแก้ปัญหา AV นั้นไม่สมบูรณ์แบบ ไม่ได้ใกล้เคียง.

หากคุณเป็นผู้ค้าซอฟต์แวร์ AV อยู่แล้วโปรดโทรหาพวกเขา พวกเขาทั้งหมดมีหมายเลขสนับสนุนสำหรับสิ่งนี้ ตามความเป็นจริงพวกเขาอาจจะสนใจในสิ่งที่ทำให้คุณ

อย่างที่คนอื่นพูดเอาเครื่องแต่ละเครื่องเช็ดและติดตั้งใหม่ คุณอาจใช้โอกาสนี้เพื่อให้ทุกคนออกจาก XP อยู่ดี มันเป็นระบบปฏิบัติการที่ตายแล้วมาระยะหนึ่งแล้ว อย่างน้อยที่สุดสิ่งนี้ควรเกี่ยวข้องกับการทำลายพาร์ติชัน HD และทำการฟอร์แมตใหม่ แม้ว่าดูเหมือนว่าจะมีเครื่องไม่มากนัก แต่การซื้อการเปลี่ยนใหม่อย่างสมบูรณ์อาจเป็นทางเลือกที่ดีกว่า

นอกจากนี้ให้เจ้านายของคุณรู้ว่าสิ่งนี้มีราคาแพง

ในที่สุดทำไมคุณถึงเรียกใช้เซิร์ฟเวอร์ทั้งหมดในเซิร์ฟเวอร์เดียว (วาทศิลป์ฉันรู้ว่าคุณ "สืบทอด" มัน) DC ไม่ควรสามารถเข้าถึงได้จากอินเทอร์เน็ต แก้ไขปัญหานี้โดยการติดตั้งฮาร์ดแวร์ที่เหมาะสมเพื่อดูแลการใช้งานที่คุณต้องการ

เป็นไปได้มากว่ารูทคิทหากโปรแกรม A / V ของคุณไม่มีอะไรเกิดขึ้น ลองใช้TDSSkillerแล้วดูสิ่งที่คุณค้นหา นอกจากนี้ยังเป็นเวลาที่เหมาะสมในการเปลี่ยนคอมพิวเตอร์ Windows XP รุ่นเก่าด้วยสิ่งที่มีอายุน้อยกว่าหนึ่งทศวรรษ นอกเหนือจากซอฟต์แวร์เช่นโปรแกรมป้องกันไวรัสฉันได้เห็นน้อยมากเกี่ยวกับโปรแกรมที่ไม่สามารถเรียกใช้ผ่านทาง shim หรือคลายสิทธิ์ NTFS / Registry บางอย่างใน Windows 7 มีข้อแก้ตัวเล็กน้อยสำหรับการดำเนินการต่อไป เพื่อเรียกใช้ XP