用户开始抱怨网络速度慢,所以我启动了 Wireshark。做了一些检查,发现许多 PC 发送的数据包类似于以下(截图):
我模糊了用户名、计算机名和域名的文本(因为它与互联网域名匹配)。计算机正在向 Active Directory 服务器发送垃圾邮件,试图暴力破解密码。它将以管理员开头,并按字母顺序排列在用户列表中。亲自前往 PC 附近找不到任何人,并且这种行为在网络中传播,因此它似乎是某种病毒。扫描被抓获的使用 Malwarebytes、Super Antispyware 和 BitDefender(这是客户端的防病毒软件)向服务器发送垃圾邮件的计算机不会产生任何结果。
这是一个拥有大约 2500 台 PC 的企业网络,因此重建不是一个有利的选择。我的下一步是联系 BitDefender,看看他们能提供什么帮助。
有没有人见过这样的事情或有任何想法可能是什么?
抱歉,我不知道这是什么,但是,您现在有更重要的问题。
有多少机器在做这个?您是否已将它们全部与网络断开连接?(如果没有,为什么不呢?)
您能否找到任何域帐户被盗用的证据(尤其是域管理员帐户)
我可以理解您不想再次构建您的桌面,但除非您这样做,否则您无法确定是否会清理机器。
第一步:
接下来,您需要对已知的坏机器执行一些取证,以尝试追踪发生的事情。一旦你知道了这一点,你就有更好的机会知道这次攻击的范围是什么。使用 root kit 揭示器,甚至在销毁任何证据之前对硬盘进行映像。支持 NTFS 的 Linux Live CD 在这里非常有用,因为它们应该可以让您找到根工具包可能隐藏的内容。
需要考虑的事项:
编辑:尝试提供更多信息很困难,因为这实际上取决于您发现了什么,但是几年前曾处于类似情况,您确实需要不信任一切,尤其是您知道会受到损害的机器和帐户。
它可以是从L0phtCrack到THC-Hydra的任何东西,甚至是自定义编码的应用程序,尽管您的 AV 解决方案应该已经选择了知名的应用程序。
此时,您需要识别所有受感染的系统,隔离它们(vlan 等),并遏制和根除恶意软件。
您是否联系过您的 IT 安全团队?
最后,我理解您不想重建,但在这一点上,(根据您提供的少量数据),我会说风险值得重建。
-乔什
尝试运行不同的捕获程序,以确保结果确认 Wireshark 看到的内容。Wireshark 在过去解码 Kerberos 流量时遇到过问题。确保你看到的不是红鲱鱼。
您是否在捕获中看到任何其他“异常”?