Jump to content
  • entries
    16
  • comments
    22
  • views
    6450

Ξαφνικό κλείδωμα πολλών Active Directory Accounts


SOF

580 views

 Share

Αρχικά έρχεται στο μυαλό μας ότι κάτι δεν πάει καλά με το Account Lockout Policy, ή κάποιες υπηρεσίες στις  οποίες υπάρχει καταχωρημένος ένας κωδικός που έχει λήξει. Όταν όμως αυτή η συμπεριφορά όσο πάει και χειροτερεύει και δεν αφορά έναν μοναδικό λογαριασμό αλλά περισσότερους, είναι πιθανό να έχουμε μια επίθεση στο δίκτυό μας.

Όταν για παράδειγμα ένα πρόγραμμα ή ένα Malware προσπαθεί να σπάσει τους κωδικούς διάφορων χρηστών με Brute Force Attack. Όταν μια τέτοια επίθεση είναι αυτοματοποιημένη , τότε κλειδώνονται πολύ γρήγορα ένας μεγάλος αριθμός από λογαριασμούς, λόγω λάθος εισαγωγής κωδικού.

                                                                          

Ένα παράδειγμα είναι το MalWare Win32/Conficker.B (Downandup)  το οποίο είναι αυτήν την στιγμή σε έξαρση.

Περισσότερες πληροφορίες για το Malware θα βρείτε εδώ: http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

Το Malware επιτίθεται σε συστήματα που δεν έχουνε εγκατεστημένο το patch MS08-067, http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

 

Στα μηχανήματα που έχουν προσβληθεί από τον ιό ξεκινά μια υπηρεσία με τυχαίο όνομα, και απενεργοποιεί τα services „Automatic Updates“, „Background Intelligent Transfer Service“  και „Error Reporting Service“. Στο System Event Protocol καταγράφεται η εξής ακολουθία.

12/29/2008         16:00:04               4             0             7035      Service Control Manager             NT AUTHORITY\SYSTEM   CLIENTNAME    RANDOΜ_NAME start

12/29/2008         16:00:05               4             0             7035      Service Control Manager             NT AUTHORITY\SYSTEM   CLIENTNAME    Automatic Updates stop

12/29/2008         16:00:06               4             0             7036      Service Control Manager             N/A                                 CLIENTNAME    Automatic Updates stopped

12/29/2008         16:00:10               4             0             7040      Service Control Manager             NT AUTHORITY\SYSTEM   CLIENTNAME    Automatic Updates auto start disabled

12/29/2008         16:00:10               4             0             7040      Service Control Manager             NT AUTHORITY\SYSTEM   CLIENTNAME    Background Intelligent Transfer Service demand start disabled

12/29/2008         16:00:10               4             0             7035      Service Control Manager             NT AUTHORITY\SYSTEM   CLIENTNAME    Error Reporting Service stop

12/29/2008         16:00:10               4             0             7036      Service Control Manager             N/A                                 CLIENTNAME    Error Reporting Service stopped

12/29/2008         16:00:14               4             0             7040      Service Control Manager             NT AUTHORITY\SYSTEM   CLIENTNAME    Error Reporting Service auto start disabled

 

Στα Services η υπηρεσία του ιού δεν είναι ορατή, γιατί είναι hidden.

Το Service τρέχει κάτω από το Service Host SVCHOST

 

Troubleshooting steps.

1) Καταρχάς θα πρέπει να βρούμε τα μηχανήματα που έχουν είδη προσβληθεί, θα πρεπει να ενεργοποιήσουμε το Neltlogon logging σε όλους τους DCs.

http://support.microsoft.com/kb/109626

 Τα Account Lockout Tools είναι σε αυτή την περίπτωση επίσης πολύ χρήσιμα.

http://www.microsoft.com/downloads/details.aspx?familyid=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

2) Απενεργοποίηση του Server Service για να αποφύγουμε το re-infection.

3) Ενεργοποιούμε το Windows Update και το BITS

4) Κάνουμε reset όλους τους admin passwords με πολύπλοκους κωδικούς.

5) Κατεβάζουμε το GMER Tool για να βρούμε και να απενεργοποιήσουμε την υπηρεσία. http://www.gmer.net/gmer.zip

6) Ενεργοποιούμε το Server Service ξανά.

7) Τρέχουμε το gmer, θα βρεί τον ιο με ένα quick scan.

8) Κάνουμε ένα full scan.

9) Σημειώνουμε το dll που επιστρέφεται από το gmer.

10) Δεξί κλικ στην κόκκινη γραμμή και απενεργοποιούμε την υπηρεσία.

11) Επανεκκίνηση του συστήματος.

12) Μόλις το σύστημα ξεκινήσει, βρίσκουμε το dll που σημειώσαμε προηγουμένως στο εξής path:

c:\windows\system32 (ίσως χρειαστεί να αλλάξουμε τα view settings για να το δούμε)

13) Ανοίγουμε το gpedit στον DC και δημιουργούμε μια software restriction policy βασισμένη στο hash του  dll που βρήκαμε. http://technet.microsoft.com/en-us/library/cc786154.aspx

 (Μπορούμε επίσης να δημιουργήσουμε ένα local policy για το συγκεκριμένο μηχάνημα

14) Τα παραπάνω βήματα θα σταματήσουν τον ιο τώρα μπορούμε να Patchάρουμε τα μηχανήματά μας!

 

Καλή επιτυχία!!

 Share

0 Comments


Recommended Comments

There are no comments to display.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...