Bagaimana cara saya menangani penghapusan / pemberantasan worm yang tidak dikenal di jaringan kami?

TL; DR

Saya cukup yakin jaringan kecil kami telah terinfeksi oleh semacam worm / virus. Namun, tampaknya itu hanya menimpa mesin-mesin Windows XP kami. Mesin Windows 7 dan komputer Linux (yah) tampaknya tidak terpengaruh. Pemindaian anti-virus tidak menunjukkan apa-apa, tetapi server domain kami telah mencatat ribuan upaya login yang gagal pada berbagai akun pengguna yang valid dan tidak valid, khususnya administrator. Bagaimana saya bisa menghentikan penyebaran cacing tak dikenal ini?

Gejala

Beberapa pengguna Windows XP kami telah melaporkan masalah yang sama, meskipun tidak sepenuhnya identik. Mereka semua mengalami shutdown / restart acak yang dimulai perangkat lunak. Di salah satu komputer, dialog muncul dengan hitung mundur hingga restart sistem, tampaknya dimulai oleh NT-AUTHORITY \ SYSTEM dan berkaitan dengan panggilan RPC. Dialog ini khususnya persis sama dengan yang dijelaskan dalam artikel yang merinci cacing exploit RPC yang lebih lama.

Ketika dua komputer di-boot ulang, mereka muncul kembali di prompt login (mereka adalah komputer domain) tetapi nama pengguna yang tercantum adalah 'admin', meskipun mereka belum masuk sebagai admin.

Pada mesin Windows Server 2003 kami yang menjalankan domain, saya perhatikan beberapa ribu upaya masuk dari berbagai sumber. Mereka mencoba semua nama login yang berbeda termasuk Administrator, admin, pengguna, server, pemilik dan lainnya.

Beberapa log mencantumkan IP, beberapa tidak. Dari yang memiliki sumber alamat IP (untuk login gagal) dua di antaranya sesuai dengan dua mesin Windows XP yang mengalami reboot. Baru kemarin saya melihat banyak upaya login gagal dari alamat IP luar. Traceroute menunjukkan bahwa alamat IP luar berasal dari ISP Kanada. Kami seharusnya tidak memiliki koneksi dari sana, (kami memang memiliki pengguna VPN). Jadi saya masih tidak yakin apa yang terjadi dengan upaya masuk yang datang dari IP foriegn.

Tampak jelas bahwa semacam malware ada di komputer ini, dan bagian dari apa yang dilakukannya adalah mencoba menghitung kata sandi pada akun domain untuk mendapatkan akses.

Yang Telah Saya Lakukan Sejauh Ini

Setelah menyadari apa yang terjadi, langkah pertama saya adalah memastikan semua orang menjalankan antivirus terbaru dan melakukan pemindaian. Di antara komputer yang terpengaruh, salah satunya memiliki klien anti-virus yang kedaluwarsa, tetapi dua lainnya adalah versi Norton saat ini dan pemindaian penuh kedua sistem tidak menghasilkan apa-apa.

Server itu sendiri secara teratur menjalankan anti-virus terbaru, dan belum menunjukkan adanya infeksi.

Jadi 3/4 dari komputer berbasis Windows NT memiliki anti virus terbaru, tetapi tidak mendeteksi apa pun. Namun saya yakin ada sesuatu yang terjadi, terutama dibuktikan dengan ribuan upaya login gagal untuk berbagai akun.

Saya juga memperhatikan bahwa root dari berbagi file utama kami memiliki izin yang cukup terbuka, jadi saya hanya membatasi untuk membaca + mengeksekusi untuk pengguna normal. Administrator tentu saja memiliki akses penuh. Saya juga akan meminta pengguna memperbarui kata sandi mereka (ke kata sandi yang kuat), dan saya akan mengganti nama menjadi Administrator di server dan mengubah kata sandinya.

Saya sudah mengambil mesin dari jaringan, satu digantikan oleh yang baru, tetapi saya tahu hal-hal ini dapat menyebar melalui jaringan sehingga saya masih perlu sampai ke bagian bawah ini.

Juga, server memiliki pengaturan NAT / Firewall dengan hanya port tertentu yang terbuka. Saya belum sepenuhnya menyelidiki beberapa layanan terkait Windows dengan port terbuka, karena saya berasal dari latar belakang Linux.

Sekarang apa?

Jadi semua anti-virus modern dan terbaru tidak mendeteksi apa-apa, tetapi saya sangat yakin komputer ini memiliki semacam virus. Saya mendasarkan ini pada restart acak / ketidakstabilan mesin XP dikombinasikan dengan ribuan upaya login yang berasal dari mesin ini.

Apa yang saya rencanakan lakukan adalah membuat cadangan file pengguna pada mesin yang terpengaruh, dan kemudian menginstal ulang windows dan baru memformat drive. Saya juga mengambil beberapa langkah untuk mengamankan pembagian file umum yang mungkin telah digunakan untuk menyebar ke mesin lain.

Mengetahui semua ini, apa yang bisa saya lakukan untuk memastikan bahwa worm ini tidak berada di tempat lain di jaringan, dan bagaimana saya bisa menghentikan penyebarannya?

Saya tahu ini adalah pertanyaan yang sulit, tetapi saya berada di luar jangkauan saya di sini dan dapat menggunakan beberapa petunjuk.

Terima kasih telah melihat!

Ini adalah saran umum saya untuk proses semacam ini. Saya menghargai Anda sudah membahas beberapa dari mereka tetapi lebih baik diberi tahu dua kali daripada melewatkan sesuatu yang penting. Catatan ini berorientasi pada malware yang menyebar pada LAN tetapi dapat dengan mudah diperkecil untuk menangani infeksi yang lebih kecil.

Menghentikan pembusukan, dan menemukan sumber infeksi.

1. Pastikan Anda memiliki cadangan terbaru untuk setiap sistem dan setiap bit data di jaringan ini yang menjadi perhatian bisnis. Pastikan Anda mencatat bahwa media pemulihan ini dapat dikompromikan, sehingga orang tidak mencoba dan mengembalikannya dalam waktu 3 bulan saat punggung Anda diputar dan menginfeksi jaringan lagi. Jika Anda memiliki cadangan dari sebelum infeksi terjadi, letakkan ini dengan aman di satu sisi juga.

2. Matikan jaringan langsung, jika memungkinkan (setidaknya Anda harus melakukan ini sebagai bagian dari proses pembersihan). Paling tidak, serius mempertimbangkan menjaga jaringan ini, termasuk server, dari internet sampai Anda tahu apa yang sedang terjadi - bagaimana jika worm ini mencuri info?

3. Jangan terlalu cepat. Sangat menggoda untuk mengatakan bersih saja membangun semuanya pada titik ini, memaksa semua orang untuk mengubah kata sandi, dll, dan menyebutnya 'cukup baik'. Meskipun Anda mungkin perlu melakukan ini cepat atau lambat , kemungkinan akan meninggalkan Anda dengan kantong infeksi jika Anda tidak mengerti apa yang terjadi pada LAN Anda. ( Jika Anda tidak ingin menyelidiki infeksi lebih lanjut, lanjutkan ke langkah 6 )

4. Salin mesin yang terinfeksi ke lingkungan virtual dari beberapa jenis, isolasi lingkungan virtual ini dari yang lainnya termasuk mesin host sebelum Anda mem-boot tamu yang dikompromikan .

5. Buat pasangan lain dari mesin virtual guest bersih untuk menginfeksi kemudian mengisolasi jaringan itu dan menggunakan alat seperti wireshark untuk memantau lalu lintas jaringan (waktu untuk mengambil keuntungan dari latar belakang linux itu dan membuat tamu lain di LAN virtual ini yang dapat menonton semua lalu lintas ini tanpa terinfeksi oleh cacing Windows!) dan Monitor Proses untuk memantau perubahan yang terjadi pada semua mesin ini. Juga pertimbangkan bahwa masalah ini mungkin merupakan rootkit yang tersembunyi - coba gunakan alat yang memiliki reputasi baik untuk menemukan ini, tetapi ingat bahwa ini adalah sedikit perjuangan yang berat sehingga menemukan tidak ada artinya tidak ada.

6. (Dengan asumsi Anda belum / tidak dapat mematikan LAN utama) Gunakan wireshark pada LAN utama untuk melihat lalu lintas yang dikirim ke / dari mesin yang terinfeksi. Perlakukan lalu lintas yang tidak dapat dijelaskan dari mesin apa pun yang berpotensi mencurigakan - tidak adanya gejala yang terlihat bukan bukti tidak adanya kompromi . Anda harus sangat khawatir tentang server dan workstation yang menjalankan informasi penting bisnis.

7. Setelah Anda mengisolasi semua proses yang terinfeksi pada tamu virtual, Anda harus dapat mengirim sampel ke perusahaan yang membuat perangkat lunak antivirus yang Anda gunakan pada mesin ini. Mereka akan tertarik untuk memeriksa sampel dan menghasilkan perbaikan untuk setiap malware baru yang mereka lihat. Bahkan, jika Anda belum melakukannya, Anda harus menghubungi mereka dengan kisah celaka Anda karena mereka mungkin memiliki beberapa cara untuk membantu.

8. Berusaha sangat keras untuk mengetahui apa itu vektor infeksi asli - worm ini mungkin eksploit yang disembunyikan di dalam situs web yang dikompromikan yang dikunjungi seseorang, mungkin dibawa dari rumah seseorang pada memory stick atau diterima melalui email, untuk menyebutkan nama tetapi beberapa cara. Apakah mengeksploitasi kompromi mesin ini melalui pengguna dengan hak admin? Jika demikian, jangan berikan hak admin pengguna di masa mendatang. Anda perlu mencoba dan memastikan sumber infeksi telah diperbaiki dan Anda perlu melihat apakah ada perubahan prosedural yang dapat Anda buat untuk membuat rute infeksi lebih sulit untuk dieksploitasi di masa depan.

Membersihkan

Beberapa langkah ini akan tampak di atas. Heck beberapa dari mereka mungkin adalah atas, terutama jika Anda menentukan bahwa hanya beberapa mesin yang benar-benar terganggu, tetapi mereka harus menjamin jaringan Anda sebersih mungkin. Atasan tidak akan tertarik pada beberapa langkah ini juga, tetapi tidak banyak yang bisa dilakukan tentang itu.

1. Matikan semua mesin di jaringan. Semua workstation. Semua server. Segala sesuatu. Ya, bahkan laptop putra remaja bos yang digunakan sang putra untuk menyelinap ke jaringan sambil menunggu ayah menyelesaikan pekerjaan sehingga putranya dapat bermain ' meragukan-javascript-exploit-Ville ' pada apa pun yang saat ini situs media sosial du-jour adalah . Bahkan, memikirkannya, matikan mesin ini terutama . Dengan batu bata jika itu yang dibutuhkan.

2. Mulai setiap server secara bergantian. Terapkan perbaikan apa pun yang Anda temukan sendiri atau telah diberikan oleh perusahaan AV. Mengaudit pengguna dan kelompok untuk setiap akun yang tidak dapat dijelaskan (kedua account lokal dan rekening AD), pemeriksaan menginstal perangkat lunak untuk apa pun yang tak terduga dan penggunaan wireshark pada sistem lain untuk menonton lalu lintas yang datang dari server ini (Jika Anda menemukan setiap masalah pada saat ini maka serius mempertimbangkan membangun kembali server itu). Matikan setiap sistem sebelum Anda memulai yang berikutnya, sehingga mesin yang dikompromikan tidak dapat menyerang yang lain. Atau cabut mereka dari jaringan, sehingga Anda dapat melakukan beberapa sekaligus tetapi mereka tidak dapat berbicara satu sama lain, semuanya baik-baik saja.

3. Setelah Anda yakin bahwa semua server Anda bersih, mulai dan gunakan wireshark, proses monitor, dll. Lagi amati mereka lagi untuk setiap perilaku aneh.

4. Setel ulang setiap kata sandi pengguna tunggal . Dan jika memungkinkan, layanan kata sandi akun juga. Ya saya tahu ini menyebalkan. Kami akan menuju ke wilayah "mungkin di atas" pada saat ini. Panggilanmu.

5. Bangun kembali semua workstation . Lakukan satu per satu, sehingga mesin yang mungkin terinfeksi tidak duduk diam di LAN menyerang yang baru dibangun kembali. Ya ini akan butuh waktu, maaf soal itu.

6. Jika itu tidak memungkinkan, maka:

   Lakukan langkah-langkah yang saya uraikan di atas untuk server di semua workstation "semoga bersih".

   Bangun kembali semua yang menunjukkan sedikit aktivitas mencurigakan, dan lakukan itu sementara semua mesin "semoga bersih" dimatikan.

7. Jika Anda belum mempertimbangkan AV terpusat yang akan melaporkan masalah kembali ke server tempat Anda dapat melihat masalah, logging acara terpusat, pemantauan jaringan, dll. Pilih dan pilih yang mana yang tepat untuk kebutuhan dan anggaran jaringan ini, tapi jelas ada masalah di sini, kan?

8. Tinjau hak pengguna dan penginstalan perangkat lunak pada mesin ini, dan buat audit berkala untuk memastikan semuanya masih seperti yang Anda harapkan. Juga pastikan bahwa pengguna didorong untuk melaporkan hal-hal sesegera mungkin tanpa mengeluh, mendorong budaya bisnis memperbaiki masalah TI daripada menembak pembawa pesan, dll.

Anda telah melakukan semua hal yang akan saya lakukan (jika saya masih menjadi admin Windows) - Langkah-langkah kanonik adalah (atau dulu, terakhir kali saya menjadi pria Windows):

1. Isolasi mesin yang terpengaruh.
2. Perbarui definisi anti-virus
   Jalankan AV / Malware / dll. memindai seluruh jaringan
3. Meniup mesin yang terkena dampak (benar-benar menghapus pengisap) dan pasang kembali.
4. Pulihkan data pengguna dari cadangan (pastikan bersih).

Perhatikan bahwa selalu ada kemungkinan virus / worm / apa pun yang bersembunyi di email (di server email Anda), atau di dalam makro dalam dokumen word / excel - Jika masalah muncul kembali, Anda mungkin harus lebih agresif dalam pembersihan Anda lain kali.

Pelajaran pertama yang dapat diambil dari ini adalah bahwa solusi AV tidak sempurna. Bahkan tidak dekat.

Jika Anda mutakhir dengan vendor perangkat lunak AV, hubungi mereka. Semua dari mereka memiliki nomor dukungan untuk hal semacam ini. Sebenarnya mereka mungkin akan sangat tertarik dengan apa yang menimpa Anda.

Seperti yang orang lain katakan, hancurkan setiap mesin, bersihkan dan pasang kembali. Anda mungkin mengambil kesempatan ini untuk membebaskan semua orang dari XP. Sudah OS mati untuk beberapa waktu. Paling tidak ini harus melibatkan penghancuran partisi HD dan memformatnya kembali. Meskipun, sepertinya tidak ada banyak mesin yang terlibat, jadi membeli penggantian yang sama sekali baru mungkin merupakan pilihan yang lebih baik.

Juga, beri tahu atasan Anda bahwa ini baru saja mahal.

Akhirnya, mengapa Anda menjalankan semua itu dari satu server? (Retorika, saya tahu Anda "mewarisi" itu) DC harus TIDAK PERNAH diakses dari internet. Perbaiki ini dengan menyiapkan perangkat keras yang sesuai untuk menjaga fungsionalitas yang Anda butuhkan.

Kemungkinan besar rootkit jika program A / V Anda tidak menghasilkan apa-apa. Coba jalankan TDSSkiller dan lihat apa yang Anda temukan. Juga, ini akan menjadi waktu yang tepat untuk hanya mengganti komputer Windows XP kuno dengan sesuatu yang kurang dari lebih dari satu dekade. Selain dari perangkat lunak seperti program anti-virus, saya telah melihat sangat sedikit di jalan program yang tidak dapat dibuat untuk dijalankan melalui shim atau melonggarkan beberapa izin NTFS / Registry pada Windows 7. Ada benar-benar ada sedikit alasan untuk melanjutkan untuk menjalankan XP.