Вопросы Теги

Вирус, который пробует Пользователям Active Directory атаки перебором (в алфавитном порядке)?

Похож на Вас, пытаются сделать аутентификацию "двойного транзитного участка". Обычно это происходит в контексте бэкенда сервис SQL, но он мог относиться к отдельному сервису, работающему на том же сервере, я думаю (я не на 100% уверен хотя). Поиск в MSKB для того термина, "удваивают транзитный участок" и Вы получите несколько документов, которые объясняют, как установить делегацию, чтобы позволить этому работать. Вот один для начала, http://support.microsoft.com/kb/326985

То, в чем Вы нуждаетесь, - чтобы сервер IIS был установлен для "Разрешенной Делегации". Когда пользователь аутентифицируется с помощью Windows Integrated Authentication, они должны получить билет Kerberos (это НЕ будет работать, если Вы получите аутентификацию NTLM).

Чтобы сделать делегацию, необходимо будет добавить SPN к серверу. Удостоверьтесь, что пользователи добираются до веб-страницы с фактическим FQDN, для которого сервер имеет SPN в AD. Сервисное имя принципала (SPN) - то, что пользователя агент Kerberos будет использовать для создания правильного билета Kerberos, который позволит серверу IIS исполнять роль пользователя когда это руки прочь от запроса к следующему сервису.

8
задан 8 September 2018 в 06:40
3 ответа

Извините, я понятия не имею, каково это, однако, у Вас есть более важные проблемы прямо сейчас.

Сколько машин делает это? Вы разъединили их всех от сети? (и в противном случае почему нет?)

Можно ли найти доказательство каких-либо учетных записей домена поставленным под угрозу (учетные записи особенно администратора домена)

Я могу понять Вас, не желая создать Ваши рабочие столы снова, но если Вы не делаете, Вы не можете быть уверены, что уберете машины.

Первые шаги:

  • Удостоверьтесь, что сложные пароли включены на Вашем домене
  • установите политику блокировки - это вызовет Вас проблемы, если у Вас все еще будут машины сканирования, но это лучше, чем больше поставленных под угрозу учетных записей
  • Изолируйте известное устройство с неисправностями, оно пытается говорить с внешним миром? Необходимо заблокировать это через сеть в шлюзе
  • Попытайтесь изолировать все известные устройства с неисправностями.
  • Монитор для большего количества машин сканирования.
  • Вынудите всех своих пользователей изменить свой пароль, проверить все Ваши сервисные учетные записи.
  • Отключите любые учетные записи, больше не используемые.
  • Проверьте свои составы группы на серверах и DCS (Администраторы домена, Администраторы, и т.д.)

Затем необходимо выполнить некоторую судебную экспертизу на известных устройствах с неисправностями, чтобы попытаться проследить то, что произошло. После того как Вы знаете это, Вы получаете лучшую возможность знания, каков объем этого нападения. Используйте корневой набор revealer, возможно, даже отобразите жесткий диск перед уничтожением любого доказательства. Живые CD Linux с поддержкой NTFS могут быть очень полезными здесь, поскольку они должны позволить Вам находить то, что мог скрывать корневой набор.

Вещи рассмотреть:

  • У Вас есть типичный локальный администратор (слабым) паролем на всех рабочих станциях?
  • У Ваших пользователей есть права администратора?
  • Все администраторы домена используют отдельные счета на операции DA? Рассмотрите ограничения установки на эти учетные записи (например, рабочие станции, можно войти в систему).
  • Вы не даете информации о своей сети. У Вас есть какие-либо публично подвергнутые сервисы?

Править: Попытка дать больше информации является трудной, поскольку она действительно зависит от того, что Вы находите, но находиться в аналогичной ситуации несколько лет назад, действительно необходимо не доверить всему, особенно машины и учетные записи, которые Вы знаете для взлома.

4
ответ дан 2 December 2019 в 23:05
  • 1
    Мы имеем в распоряжении хорошие пароли и политики. Вне доступа уже чрезвычайно ограничен (http только через прокси, большинство заблокированных портов, и т.д. и т.д.) - не проблема. Can' t вынуждают всех пользователей изменить пароли, но все администраторские пользователи являются выполнимыми. См. мой комментарий Josh ниже для получения дополнительной информации о судебной экспертизе. Ни у каких пользователей кроме того, что необходимо, нет прав администратора. Никакие публично подвергнутые сервисы кроме веб-трафика к демилитаризованной зоне, но этим машинам не были затронуты - только рабочие столы до сих пор. –  Nate Pinchot 18 March 2010 в 01:58
  • 2
    Также стоящий замечания, что, в то время как, как я сказал, восстанавливают, не благоприятно, я главным образом после данных в данный момент так, чтобы я мог защитить изображение, которое мы используем для восстановления с тех пор, где-нибудь существует, очевидно, дыра. Если я нахожу более полезные данные, чем " Червь. Generic" I' ll отправляют его в ответе. При отмечании этого как ответ, так как это действительно - способ пойти. –  Nate Pinchot 18 March 2010 в 02:01
  • 3
    Необходимо определить вектор, что этот код был введен в сеть. It' s не всегда из Интернета, исполняемого файла на флеш-картах и персональном устройстве хранения данных. если Вы don' t находят вектор затем it' s, вероятно, для возвращения. –  The Unix Janitor 18 March 2010 в 17:30

Это могло быть что-либо от L0phtCrack до THC-Гидры или даже пользовательски кодированного приложения, хотя Ваше решение AV должно было забрать известные приложения.

На данном этапе необходимо определить все зараженные системы, изолировать их (VLAN, и т.д.), и содержать и уничтожить вредоносное программное обеспечение.

Вы связались со своим I.T. Служба безопасности уже?

Наконец, я понимаю Вас, не желая восстановить, но в этой точке, (с небольшими данными, которые Вы дали), я сказал бы, что ордеры риска восстанавливают.

- Josh

2
ответ дан 2 December 2019 в 23:05
  • 1
    Спасибо за ссылки. Мы должны будем, вероятно, восстановить, у нас есть изображения, Но что еще более важно, мы don' t хотят восстановить и иметь то же самое, происходят снова и снова, таким образом, мы должны выяснить то, что это так, мы можем защитить изображения от него и затем восстановить. Используя GMER я смог решить, что руткит существовал и отключил сервисы, которые он установил. Когда я перезагрузил, BitDefender обнаружил его как Червь. Универсальный 42619 (гуглящий для этого isn' t полезный - ни ищет его в их вирусном дб). Так ожидая их, чтобы дать мне больше информации теперь. –  Nate Pinchot 18 March 2010 в 01:54
  • 2
    Nate - На самом деле, Червь. Универсальный 42619 приводит меня сюда ( goo.gl/RDBj), который приводит меня сюда ( goo.gl/n6aH), который при рассмотрении первого хита ( goo.gl/Le8u) он имеет некоторые общие черты вредоносному программному обеспечению, в настоящее время заражающему сеть.... –  Josh Brower 18 March 2010 в 01:59
  • 3
    " мы don' t хотят восстановить и иметь то же самое, происходят снова и снова, таким образом, мы должны выяснить что этот is" гарантирует +1 –  Maximus Minimus 18 March 2010 в 06:37

Попытайтесь запустить другую программу получения, чтобы удостовериться, что результаты подтверждают то, что видит Wireshark. Wireshark имел проблемы в прошлом декодировании трафик Kerberos. Удостоверьтесь, что Вы видите, не отвлекающий маневр.

Вы видите какой-либо другой "anomolies" в получении?

0
ответ дан 2 December 2019 в 23:05
  • 1
    Определенно не отвлекающий маневр, обнаруженный вирус - комментарии к Josh Brower' s ответ имеют детали. –  Nate Pinchot 18 March 2010 в 16:22

Теги

Похожие вопросы