Ξαφνικό κλείδωμα πολλών Active Directory Accounts
Αρχικά έρχεται στο μυαλό μας ότι κάτι δεν πάει καλά με το Account Lockout Policy, ή κάποιες υπηρεσίες στις οποίες υπάρχει καταχωρημένος ένας κωδικός που έχει λήξει. Όταν όμως αυτή η συμπεριφορά όσο πάει και χειροτερεύει και δεν αφορά έναν μοναδικό λογαριασμό αλλά περισσότερους, είναι πιθανό να έχουμε μια επίθεση στο δίκτυό μας.
Όταν για παράδειγμα ένα πρόγραμμα ή ένα Malware προσπαθεί να σπάσει τους κωδικούς διάφορων χρηστών με Brute Force Attack. Όταν μια τέτοια επίθεση είναι αυτοματοποιημένη , τότε κλειδώνονται πολύ γρήγορα ένας μεγάλος αριθμός από λογαριασμούς, λόγω λάθος εισαγωγής κωδικού.
Ένα παράδειγμα είναι το MalWare Win32/Conficker.B (Downandup) το οποίο είναι αυτήν την στιγμή σε έξαρση.
Περισσότερες πληροφορίες για το Malware θα βρείτε εδώ: http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
Το Malware επιτίθεται σε συστήματα που δεν έχουνε εγκατεστημένο το patch MS08-067, http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Στα μηχανήματα που έχουν προσβληθεί από τον ιό ξεκινά μια υπηρεσία με τυχαίο όνομα, και απενεργοποιεί τα services „Automatic Updates“, „Background Intelligent Transfer Service“ και „Error Reporting Service“. Στο System Event Protocol καταγράφεται η εξής ακολουθία.
12/29/2008 16:00:04 4 0 7035 Service Control Manager NT AUTHORITY\SYSTEM CLIENTNAME RANDOΜ_NAME start
12/29/2008 16:00:05 4 0 7035 Service Control Manager NT AUTHORITY\SYSTEM CLIENTNAME Automatic Updates stop
12/29/2008 16:00:06 4 0 7036 Service Control Manager N/A CLIENTNAME Automatic Updates stopped
12/29/2008 16:00:10 4 0 7040 Service Control Manager NT AUTHORITY\SYSTEM CLIENTNAME Automatic Updates auto start disabled
12/29/2008 16:00:10 4 0 7040 Service Control Manager NT AUTHORITY\SYSTEM CLIENTNAME Background Intelligent Transfer Service demand start disabled
12/29/2008 16:00:10 4 0 7035 Service Control Manager NT AUTHORITY\SYSTEM CLIENTNAME Error Reporting Service stop
12/29/2008 16:00:10 4 0 7036 Service Control Manager N/A CLIENTNAME Error Reporting Service stopped
12/29/2008 16:00:14 4 0 7040 Service Control Manager NT AUTHORITY\SYSTEM CLIENTNAME Error Reporting Service auto start disabled
Στα Services η υπηρεσία του ιού δεν είναι ορατή, γιατί είναι hidden.
Το Service τρέχει κάτω από το Service Host SVCHOST
Troubleshooting steps.
1) Καταρχάς θα πρέπει να βρούμε τα μηχανήματα που έχουν είδη προσβληθεί, θα πρεπει να ενεργοποιήσουμε το Neltlogon logging σε όλους τους DCs.
http://support.microsoft.com/kb/109626
Τα Account Lockout Tools είναι σε αυτή την περίπτωση επίσης πολύ χρήσιμα.
2) Απενεργοποίηση του Server Service για να αποφύγουμε το re-infection.
3) Ενεργοποιούμε το Windows Update και το BITS
4) Κάνουμε reset όλους τους admin passwords με πολύπλοκους κωδικούς.
5) Κατεβάζουμε το GMER Tool για να βρούμε και να απενεργοποιήσουμε την υπηρεσία. http://www.gmer.net/gmer.zip
6) Ενεργοποιούμε το Server Service ξανά.
7) Τρέχουμε το gmer, θα βρεί τον ιο με ένα quick scan.
8) Κάνουμε ένα full scan.
9) Σημειώνουμε το dll που επιστρέφεται από το gmer.
10) Δεξί κλικ στην κόκκινη γραμμή και απενεργοποιούμε την υπηρεσία.
11) Επανεκκίνηση του συστήματος.
12) Μόλις το σύστημα ξεκινήσει, βρίσκουμε το dll που σημειώσαμε προηγουμένως στο εξής path:
c:\windows\system32 (ίσως χρειαστεί να αλλάξουμε τα view settings για να το δούμε)
13) Ανοίγουμε το gpedit στον DC και δημιουργούμε μια software restriction policy βασισμένη στο hash του dll που βρήκαμε. http://technet.microsoft.com/en-us/library/cc786154.aspx
(Μπορούμε επίσης να δημιουργήσουμε ένα local policy για το συγκεκριμένο μηχάνημα
14) Τα παραπάνω βήματα θα σταματήσουν τον ιο τώρα μπορούμε να Patchάρουμε τα μηχανήματά μας!
Καλή επιτυχία!!
0 Comments
Recommended Comments
There are no comments to display.