我该如何处理/根除我们网络上的未知蠕虫?

tag-icon tag-icon windows windows-server-2003 security network-monitoring malware
我该如何处理/根除我们网络上的未知蠕虫?

总结

我很确定我们的小型网络已被某种蠕虫/病毒感染。不过,它似乎只影响我们的 Windows XP 计算机。Windows 7 计算机和 Linux(嗯,是的)计算机似乎未受影响。防病毒扫描未显示任何内容,但我们的域服务器已记录了各种有效和无效用户帐户(尤其是管理员)的数千次登录失败尝试。我该如何阻止这种未知蠕虫传播?

症状

我们的一些 Windows XP 用户报告了类似的问题,尽管并不完全相同。他们都经历了由软件启动的随机关机/重启。在其中一台计算机上弹出一个对话框,显示系统重启倒计时,显然是由 NT-AUTHORITY\SYSTEM 启动的,与 RPC 调用有关。这个对话框与详细介绍旧版 RPC 漏洞蠕虫的文章中描述的对话框完全相同。

当两台计算机重新启动时,它们回到登录提示符处(它们是域计算机),但列出的用户名是“admin”,即使它们没有以管理员身份登录。

在运行域的 Windows Server 2003 机器上,我注意到来自不同来源的数千次登录尝试。他们尝试了各种不同的登录名,包括管理员、管理员、用户、服务器、所有者和其他。

有些日志列出了 IP,有些则没有。在那些有源 IP 地址的日志中(对于失败的登录),其中两个对应于两台正在重新启动的 Windows XP 计算机。就在昨天,我注意到来自外部 IP 地址的大量登录尝试失败。跟踪路由显示该外部 IP 地址来自加拿大 ISP。我们不应该从那里建立连接(但我们确实有 VPN 用户)。所以我仍然不确定来自外国 IP 的登录尝试是怎么回事。

很明显,这些计算机上存在某种恶意软件,其功能之一就是尝试枚举域帐户的密码以获取访问权限。

我目前所做的

意识到发生了什么事后,我第一步是确保每个人都在运行最新的防病毒软件,并进行了扫描。在受影响的计算机中,其中一台安装了过期的防病毒客户端,但另外两台安装了最新版本的诺顿,对两台系统进行全面扫描后,一无所获。

服务器本身定期运行最新的防病毒软件,并且没有出现任何感染。

因此,3/4 的 Windows NT 计算机都安装了最新的防病毒软件,但它却没有检测到任何病毒。然而,我确信一定有什么事情发生了,主要证据是各种帐户的数千次登录尝试失败。

我还注意到,我们主文件共享的根目录具有相当开放的权限,因此我只是将其限制为普通用户的读取+执行。管理员当然拥有完全访问权限。我还打算让用户更新他们的密码(改为强密码),我将在服务器上重命名为管理员并更改其密码。

我已经将机器从网络上移除,其中一台正在被一台新机器替换,但我知道这些东西可以通过网络传播,所以我仍然需要查明真相。

此外,服务器还设置了 NAT/防火墙,只开放了某些端口。由于我有 Linux 背景,因此我尚未全面调查一些开放端口的 Windows 相关服务。

怎么办?

因此,所有最新的现代防病毒软件都没有检测到任何病毒,但我完全确信这些计算机感染了某种病毒。我根据 XP 计算机的随机重启/不稳定情况以及来自这些计算机的数千次登录尝试得出了这一结论。

我计划备份受影响机器上的用户文件,然后重新安装 Windows 并重新格式化驱动器。我还采取了一些措施来保护可能用于传播到其他机器的公共文件共享。

了解了所有这些之后,我该怎么做才能确保该蠕虫不在网络上的其他地方,以及如何阻止它传播?

我知道这是一个冗长的问题,但我对此已经深有体会,需要一些指点。

谢谢你的观看!

答案1

这些是我对此类过程的一般建议。我很感激您已经介绍了其中的一些内容,但最好还是听两遍,以免错过重要内容。这些说明针对的是局域网上传播的恶意软件,但可以轻松缩减以处理较小的感染。

阻止腐烂,并找到感染源。

  1. 确保对企业关心的该网络上的每个系统和每一点数据都有最新的备份。请务必注意,此恢复媒体可能已遭破坏,这样人们就不会在您离开后的 3 个月内尝试从中恢复并再次感染网络。如果您在感染发生之前有备份,也请将其安全地放在一边。

  2. 如果可以的话,关闭实时网络(至少您可能需要将此作为清理过程的一部分)。至少,认真考虑将此网络(包括服务器)断开与互联网的连接,直到您知道发生了什么 - 如果此蠕虫正在窃取信息怎么办?

  3. 别太过分。此时,人们很容易只想到干净地构建一切,强迫每个人都更改密码等等,然后称之为“足够好”。虽然你迟早可能需要这样做,如果您不了解局域网上发生的情况,则很可能会给您带来感染。(如果你不想进一步调查感染情况,请转到步骤 6

  4. 将受感染的机器复制到某种虚拟环境中,在启动受感染的客户机之前,将此虚拟环境与主机等其他所有设备隔离

  5. 创建另外几台干净的虚拟机供其感染,然后隔离该网络并使用以下工具wireshark监控网络流量(利用 Linux 背景并创建其他这个虚拟 LAN 上的访客可以观看所有这些流量,而不会受到任何 Windows 蠕虫的感染!) 和进程监控监控所有这些机器上发生的变化。还要考虑这个问题可能是一个隐藏得很好的问题根工具包- 尝试使用信誉良好的工具来查找这些,但请记住,这是一项艰苦的努力,因此找不到任何东西并不意味着那里什么都没有。

  6. (假设您没有/无法关闭主 LAN)在主 LAN 上使用 wireshark 查看发送到/来自受感染机器的流量。将任何机器的任何无法解释的流量视为潜在可疑流量 -没有明显症状并不代表不存在任何损害. 您应该特别担心运行关键业务信息的服务器和任何工作站。

  7. 隔离虚拟客户机上所有受感染的进程后,你应该能够将样本寄送至你所使用的防病毒软件的制造商在这些机器上。他们会热衷于检查样本并修复他们发现的任何新恶意软件。事实上,如果你还没有这样做,你应该联系他们,告诉他们你的不幸遭遇,因为他们可能会提供一些帮助。

  8. 努力找出最初的感染媒介- 此蠕虫可能是一种漏洞,隐藏在某人访问的受感染网站中,也可能是通过记忆棒从某人家中带入或通过电子邮件接收的,这只是其中几种方式。漏洞是否通过具有管理员权限的用户感染了这些机器?如果是这样,以后不要授予用户管理员权限。您需要尝试确保感染源已修复,并且您需要查看是否可以进行任何程序更改,以使将来的感染途径更难以被漏洞利用。

清理

有些步骤看起来有点过分。有些步骤可能过分了,特别是如果你确定只有少数机器实际上受到威胁,但他们应该保证你的网络尽可能干净。老板们也不会热衷于这些步骤,但对此没有什么可做的。

  1. 关闭网络上的所有机器。所有工作站。所有服务器。一切。是的,甚至老板十几岁儿子的笔记本电脑,儿子在等爸爸下班时用它偷偷上网,这样他就可以玩了。可疑的 JavaScript 漏洞利用 Ville'无论当前社交媒体网站是什么。事实上,想想看,关掉这台机器尤其. 如果需要的话,用砖头。

  2. 依次启动每个服务器。应用您自己发现的或 AV 公司提供的任何修复程序。审核用户和组中是否存在任何无法解释的帐户(本地帐户和 AD 帐户),审核已安装的软件是否存在任何意外情况,并在另一个系统上使用 wireshark 来监视来自此服务器的流量(如果您发现任何如果此时出现问题,请认真考虑重建该服务器)。在启动下一个系统之前,请关闭每个系统,这样受感染的机器就无法攻击其他机器。或者将它们从网络上拔下,这样您可以同时启动多个系统,但它们无法相互通信,这样就很好了。

  3. 一旦您确信所有服务器都是干净的,请启动它们并再次使用 wireshark、进程监视器等观察它们是否有任何奇怪的行为。

  4. 重置每个用户的密码。如果可能的话,还要提供服务帐户密码。是的,我知道这很麻烦。此时我们即将进入“可能过分”的领域。您说了算。

  5. 重建所有工作站。一次执行一次,这样可能被感染的机器就不会闲置在 LAN 上攻击刚刚重建的机器。是的,这需要一段时间,对此深表歉意。

  6. 如果这不可能那么:

    在所有“希望干净”的工作站上执行我上面针对服务器概述的步骤。

    重建所有显示出可疑活动迹象的机器,并在关闭所有“希望干净”的机器时进行此操作。

  7. 如果您还没有,那么请考虑使用集中式 AV,它会将问题报告回服务器,您可以在服务器上观察问题、集中式事件日志记录、网络监控等。显然,选择其中哪一个最适合该网络的需求和预算,但这里显然存在问题,对吧?

  8. 审查这些机器上的用户权限和软件安装,并设置定期审核,以确保一切仍符合您的预期。此外,还要确保鼓励用户尽快报告问题,而不会受到抱怨,鼓励企业文化解决 IT 问题,而不是责怪信使,等等。

答案2

您已完成我会做的所有事情(如果我仍是 Windows 管理员的话)——规范步骤是(或者说,上次我是 Windows 用户时是这样的):

  1. 隔离受影响的机器。
  2. 更新防病毒定义
    在整个网络上运行 AV/恶意软件/等扫描
  3. 吹走受影响的机器(彻底清除吸盘)并重新安装。
  4. 从备份中恢复用户数据(确保其干净)。

请注意,病毒/蠕虫/其他东西总是有可能潜伏在电子邮件(在您的邮件服务器上)中,或者在 Word/Excel 文档中的宏中——如果问题再次出现,您可能需要在下次更积极地清理。

答案3

我们得到的第一个教训是 AV 解决方案并不完美,甚至还不够完美。

如果您了解 AV 软件供应商的最新动态,请致电他们。他们都有针对此类问题的支持电话。事实上,他们可能对您遇到的问题非常感兴趣。

正如其他人所说,关闭每台机器,擦除并重新安装。无论如何,您可以借此机会让每个人都摆脱 XP。它已经是一个死操作系统很长一段时间了。至少这应该涉及销毁硬盘分区并重新格式化它们。不过,听起来涉及的机器并不多,所以购买全新的替代品可能是更好的选择。

另外,让你的老板知道这件事的花费已经很高了。

最后,你为什么要在一台服务器上运行所有这些功能?(这是修辞,我知道你“继承”了这一点)DC 永远都不能通过互联网访问。通过安装适当的硬件来处理你所需的功能,可以解决这个问题。

答案4

如果你的 A/V 程序没有找到任何结果,那么它很可能是一个 rootkit。尝试运行TDSSkiller看看你能找到什么。此外,现在正是用不到十年的旧软件替换老旧的 Windows XP 计算机的绝佳时机。除了防病毒程序之类的软件外,我很少看到无法通过 shim 运行的程序,或者在 Windows 7 上放宽一些 NTFS/注册表权限。继续运行 XP 的理由实在不多。

相关内容