¿Cómo trato con la eliminación / erradicación de un gusano desconocido en nuestra red?

TL; DR

Estoy bastante seguro de que nuestra pequeña red ha sido infectada por algún tipo de gusano / virus. Sin embargo, parece que solo afecta a nuestras máquinas con Windows XP. Las máquinas con Windows 7 y las computadoras con Linux (bueno, sí) parecen no verse afectadas. Los análisis antivirus no muestran nada, pero nuestro servidor de dominio ha registrado miles de intentos fallidos de inicio de sesión en varias cuentas de usuario válidas e inválidas, particularmente el administrador. ¿Cómo puedo evitar que este gusano no identificado se propague?

Síntomas

Algunos de nuestros usuarios de Windows XP han reportado problemas similares, aunque no del todo idénticos. Todos experimentan apagados / reinicios aleatorios que son iniciados por el software. En una de las computadoras aparece un cuadro de diálogo con una cuenta regresiva hasta que se reinicia el sistema, aparentemente iniciado por NT-AUTHORITY \ SYSTEM y tiene que ver con una llamada RPC. Este diálogo en particular es exactamente el mismo que el descrito en los artículos que detallan los antiguos gusanos de explotación RPC.

Cuando se reiniciaron dos de las computadoras, volvieron a aparecer en el indicador de inicio de sesión (son computadoras de dominio) pero el nombre de usuario que figuraba en la lista era 'admin', a pesar de que no habían iniciado sesión como admin.

En nuestra máquina con Windows Server 2003 que ejecuta el dominio, noté varios miles de intentos de inicio de sesión de varias fuentes. Probaron todos los nombres de inicio de sesión diferentes, incluidos Administrador, administrador, usuario, servidor, propietario y otros.

Algunos de los registros enumeraron IP, otros no. De los que tenían dirección IP de origen (para los inicios de sesión fallidos) dos de ellos corresponden a las dos máquinas con Windows XP que experimentan reinicios. Justo ayer noté un montón de intentos fallidos de inicio de sesión desde una dirección IP externa. Un traceroute mostró que la dirección IP externa era de un ISP canadiense. Nunca deberíamos tener conexiones desde allí (aunque sí tenemos usuarios de VPN). Por lo tanto, todavía no estoy seguro de qué sucede con los intentos de inicio de sesión provenientes de una IP extranjera.

Parece obvio que hay algún tipo de malware en estas computadoras, y parte de lo que hace es intentar enumerar las contraseñas en las cuentas de dominio para obtener acceso.

Lo que he hecho hasta ahora

Después de darme cuenta de lo que estaba sucediendo, mi primer paso fue asegurarme de que todos ejecutaran un antivirus actualizado e hicieran un análisis. De las computadoras afectadas, una de ellas tenía un cliente antivirus caducado, pero las otras dos eran versiones actuales de Norton y los análisis completos de ambos sistemas no dieron resultado.

El servidor mismo ejecuta regularmente un antivirus actualizado y no ha mostrado ninguna infección.

Por lo tanto, 3/4 de las computadoras basadas en Windows NT tienen un antivirus actualizado, pero no ha detectado nada. Sin embargo, estoy convencido de que algo está sucediendo, principalmente por los miles de intentos fallidos de inicio de sesión para varias cuentas.

También noté que la raíz de nuestro recurso compartido de archivos principal tenía permisos bastante abiertos, por lo que simplemente lo restringí a leer + ejecutar para usuarios normales. El administrador tiene acceso completo, por supuesto. También estoy a punto de hacer que los usuarios actualicen sus contraseñas (a las seguras), y voy a cambiar el nombre a Administrador en el servidor y cambiar su contraseña.

Ya saqué las máquinas de la red, una está siendo reemplazada por una nueva, pero sé que estas cosas pueden extenderse a través de las redes, así que todavía necesito llegar al fondo de esto.

Además, el servidor tiene una configuración NAT / Firewall con solo ciertos puertos abiertos. Todavía tengo que investigar a fondo algunos de los servicios relacionados con Windows con puertos abiertos, ya que soy de un entorno Linux.

¿Ahora que?

Por lo tanto, todos los antivirus modernos y actualizados no han detectado nada, pero estoy absolutamente convencido de que estas computadoras tienen algún tipo de virus. Baso esto en los reinicios aleatorios / inestabilidad de las máquinas XP combinadas con los miles de intentos de inicio de sesión que se originan en estas máquinas.

Lo que planeo hacer es hacer una copia de seguridad de los archivos de usuario en las máquinas afectadas, y luego reinstalar Windows y formatear recientemente las unidades. También estoy tomando algunas medidas para asegurar los recursos compartidos de archivos comunes que pueden haberse utilizado para extenderse a otras máquinas.

Sabiendo todo esto, ¿qué puedo hacer para asegurarme de que este gusano no esté en otro lugar de la red y cómo puedo evitar que se propague?

Sé que esta es una pregunta prolongada, pero estoy fuera de mis profundidades aquí y podría usar algunos consejos.

¡Gracias por mirar!

Estas son mis sugerencias generales para este tipo de proceso. Aprecio que ya hayas cubierto algunos de ellos, pero es mejor que te digan algo dos veces que perder algo importante. Estas notas están orientadas al malware que se está propagando en una LAN pero que podría reducirse fácilmente para tratar más infecciones menores.

Detener la podredumbre y encontrar la fuente de infección.

1. Asegúrese de tener una copia de seguridad actualizada de cada sistema y cada bit de datos en esta red que le interesa a la empresa. Asegúrese de tener en cuenta que este medio de restauración puede verse comprometido, de modo que las personas no intenten restaurarlo dentro de 3 meses mientras su espalda está vuelta e infectar la red nuevamente. Si tiene una copia de seguridad antes de que ocurriera la infección, póngala a un lado de manera segura también.

2. Apague la red en vivo, si es posible (probablemente necesitará hacer esto como parte del proceso de limpieza, al menos). Por lo menos, considere seriamente mantener esta red, incluidos los servidores, fuera de Internet hasta que sepa lo que está pasando, ¿qué pasa si este gusano está robando información?

3. No te adelantes. Es tentador decir simplemente construir todo en este momento, obligar a todos a cambiar las contraseñas, etc., y llamar a eso "lo suficientemente bueno". Si bien es probable que tenga que hacer esto tarde o temprano , es probable que lo deje con focos de infección si no comprende lo que está sucediendo en su LAN. ( Si no desea investigar la infección, vaya al paso 6 )

4. Copie una máquina infectada en un entorno virtual de algún tipo, aísle este entorno virtual de todo lo demás, incluida la máquina host, antes de iniciar el invitado comprometido .

5. Cree otro par de máquinas virtuales virtuales limpias para que infecte, luego aísle esa red y use herramientas como wireshark para monitorear el tráfico de la red (es hora de aprovechar ese fondo de Linux y crear otro invitado en esta LAN virtual que pueda ver todo este tráfico sin estar infectado por cualquier gusano de Windows!) y Process Monitor para monitorear los cambios que ocurren en todas estas máquinas. También considere que el problema puede ser un rootkit bien oculto : intente usar una herramienta confiable para encontrarlos, pero recuerde que esta es una lucha cuesta arriba, por lo que no encontrar nada no significa que no haya nada allí.

6. (Suponiendo que no haya / no pueda apagar la LAN principal) Use wireshark en la LAN principal para ver el tráfico que se envía a / desde las máquinas infectadas. Trate cualquier tráfico inexplicable de cualquier máquina como potencialmente sospechoso: la ausencia de síntomas visibles no es evidencia de una ausencia de compromiso . Debería estar especialmente preocupado por los servidores y las estaciones de trabajo que ejecutan información crítica del negocio.

7. Una vez que haya aislado los procesos infectados en los invitados virtuales, debería poder enviar una muestra a la compañía que creó el software antivirus que está utilizando en estas máquinas. Estarán interesados ​​en examinar muestras y producir soluciones para cualquier nuevo malware que vean. De hecho, si aún no lo ha hecho, debe contactarlos con su historia de aflicción, ya que podrían tener alguna forma de ayudar.

8. Esfuércese por averiguar cuál era el vector de infección original : este gusano puede ser un exploit oculto dentro de un sitio web comprometido que alguien visitó, puede haber sido traído de la casa de alguien en un dispositivo de memoria o recibido por correo electrónico, por nombrar pero de algunas maneras ¿El exploit comprometió estas máquinas a través de un usuario con derechos de administrador? Si es así, no otorgue a los usuarios derechos de administrador en el futuro. Debe intentar asegurarse de que el origen de la infección esté corregido y debe ver si hay algún cambio de procedimiento que pueda hacer para que esa ruta de infección sea más difícil de explotar en el futuro.

Limpiar

Algunos de estos pasos parecerán exagerados. Es probable que algunos de ellos sean exagerados, especialmente si determina que solo unas pocas máquinas están realmente comprometidas, pero deberían garantizar que su red esté tan limpia como sea posible. Los jefes tampoco estarán interesados ​​en algunos de estos pasos, pero no hay mucho que hacer al respecto.

1. Apague todas las máquinas en la red. Todas las estaciones de trabajo. Todos los servidores Todo. Sí, incluso la computadora portátil del hijo adolescente del jefe que el hijo usa para colarse en la red mientras espera que papá termine el trabajo para que el hijo pueda jugar ' dudoso-javascript-exploit-Ville ' en cualquier sitio de redes sociales du-jour. . De hecho, pensando en ello, cierra esta inactividad de la máquina en especial . Con un ladrillo si eso es lo que se necesita.

2. Inicie cada servidor a su vez. Aplique cualquier solución que haya descubierto por usted mismo o que le haya dado una compañía AV. Audite a los usuarios y grupos en busca de cuentas inexplicables (tanto cuentas locales como cuentas de AD), audite el software instalado para detectar cualquier cosa inesperada y use wirehark en otro sistema para ver el tráfico proveniente de este servidor (si encuentra algún problema en este momento, considere seriamente la reconstrucción ese servidor). Apague cada sistema antes de iniciar el siguiente, para que una máquina comprometida no pueda atacar a los demás. O desconéctelos de la red, para que pueda hacer varios a la vez pero no pueden hablar entre sí, todo está bien.

3. Una vez que esté tan seguro como pueda estar seguro de que todos sus servidores están limpios, enciéndalos y utilice wirehark, monitor de proceso, etc., vuelva a observarlos por cualquier comportamiento extraño.

4. Restablece cada contraseña de usuario . Y si es posible, también contraseñas de cuentas de servicio. Sí, sé que es un dolor. Estamos a punto de dirigirnos al territorio "posiblemente exagerado" en este punto. Tu llamada.

5. Reconstruir todas las estaciones de trabajo . Hágalo uno a la vez, para que las máquinas posiblemente infectadas no estén inactivas en la LAN atacando a las recién reconstruidas. Sí, esto llevará un tiempo, perdón por eso.

6. Si eso no es posible, entonces:

   Realice los pasos que describí anteriormente para los servidores en todas las estaciones de trabajo "con suerte limpias".

   Reconstruya todos los que mostraron indicios de actividad sospechosa, y hágalo mientras todas las máquinas "con suerte limpias" están apagadas.

7. Si aún no lo ha hecho, considere AV centralizado que informará los problemas a un servidor donde puede observar problemas, registro de eventos centralizado, monitoreo de red, etc. Obviamente, elija y elija cuáles son los adecuados para las necesidades y presupuestos de esta red, pero claramente hay un problema aquí, ¿verdad?

8. Revise los derechos de usuario y las instalaciones de software en estas máquinas, y configure una auditoría periódica para asegurarse de que las cosas siguen como espera que sean. Además, asegúrese de alentar a los usuarios a informar lo antes posible sin quejarse, alentar a una cultura empresarial a solucionar los problemas de TI en lugar de disparar al mensajero, etc.

Has hecho todas las cosas que haría (si aún fuera administrador de Windows): los pasos canónicos son (o fueron la última vez que fui un chico de Windows):

1. Aislar las máquinas afectadas.
2. Actualice las definiciones de antivirus
   Ejecute AV / Malware / etc. escanea en toda la red
3. Sople las máquinas afectadas (limpie completamente las ventosas) y vuelva a instalar.
4. Restaure los datos del usuario de las copias de seguridad (asegurándose de que estén limpios).

Tenga en cuenta que siempre existe la posibilidad de que el virus / gusano / lo que sea que esté al acecho en el correo electrónico (en su servidor de correo), o dentro de una macro en un documento de Word / Excel: si el problema regresa, es posible que deba ser más agresivo en su limpieza la próxima vez

La primera lección que podemos sacar de esto es que las soluciones AV no son perfectas. Ni siquiera cerca.

Si está actualizado con los proveedores de software AV, llámelos. Todos ellos tienen números de soporte para exactamente este tipo de cosas. De hecho, probablemente estarán muy interesados ​​en lo que te golpeó.

Como han dicho otros, desmonte cada máquina, límpiela y vuelva a instalarla. De todos modos, puede aprovechar esta oportunidad para sacar a todos de XP. Ha sido un sistema operativo muerto durante bastante tiempo. Como mínimo, esto debería implicar la destrucción de las particiones HD y volver a formatearlas. Sin embargo, parece que no hay muchas máquinas involucradas, por lo que comprar reemplazos completamente nuevos podría ser una mejor opción.

Además, informe a su (s) jefe (es) que esto se volvió caro.

Finalmente, ¿por qué en el mundo ejecutarías todo eso desde un único servidor? (Retórica, sé que la "heredó"). Nunca se debe poder acceder a un DC desde Internet. Solucione esto instalando el hardware adecuado para ocuparse de la funcionalidad que necesita.

Es muy probable que sea un rootkit si sus programas de A / V no muestran nada. Intente ejecutar TDSSkiller y vea lo que encuentra. Además, este sería un momento perfecto para simplemente reemplazar las arcaicas computadoras con Windows XP por algo de menos de una década de antigüedad. Aparte del software como los programas antivirus, he visto muy poco en el camino de los programas que no pueden ejecutarse a través de una cuña o aflojar algunos permisos NTFS / Registry en Windows 7. Hay muy pocas excusas para continuar para ejecutar XP.