我们的环境中几乎每台机器都频繁地进行高带宽连接,且没有可识别的模式。
过去 24 小时内,我们通过 445 端口向/从主域控制器(10.223.3.35 和 10.223.3.14)传输了约 110GB 的数据
我们最近对我们的环境进行了以下更改:(但是这些更改是在网络问题首次发生后约 7 天进行的)
对安全通道数据进行数字加密或签名(总是) – 已启用 对
安全通道数据进行数字加密(可能时) – 已启用 对
安全通道数据进行数字签名(可能时) – 已启用
禁用计算机帐户密码更改 – 已禁用
计算机帐户密码最长使用期限 – 30 天
需要强(Windows 2000 或更高版本)会话密钥 – 已启用
发送未加密的密码以连接到第三方 SMB 服务器 – 已禁用
允许匿名 SID/名称转换 – 已
禁用 不允许匿名枚举 SAM 帐户 – 已启用
不允许匿名枚举 SAM 帐户和共享 – 已启用
限制对命名管道和共享的匿名访问 – 已启用
允许 LocalSystem NULL 会话回退 – 已禁用
下次更改密码时不存储 LAN Manager 哈希值 – 已启用
LAN Manager 身份验证级别 - 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM LDAP 客户端签名要求 - 协商签名 基于 NTLM SSP 的(包括安全 RPC)客户端的 最低
会话安全性 - 需要 NTLMv2 会话安全性,需要 128 位加密
基于 NTLM SSP(包括安全 RPC)的服务器 - 需要 NTLMv2 会话安全,需要 128 位加密
Snort 经常返回以下类型的日志:07/01-20:01:41.953634 [] [1:3276:2] NETBIOS DCERPC IActivation 小端绑定尝试 [] [分类:通用协议命令解码] [优先级:3] {TCP} redactedIP:55424 -> 10.223.3.35:135
事件查看器似乎记录了大量安全事件,但似乎没有一个突出。资源监视器中的磁盘利用率可能在 100MB/s 左右,网络上传速度有时似乎毫无理由地达到 150mbps 或更高。没有任何可识别的、有意的大量数据传输来自任何有问题的机器。
任何人若能提供任何见解都将不胜感激!
答案1
TCP 445是SMB,即Windows文件共享。
您应该监视 DC 上的 SMB 活动;您可以通过计算机管理 MMC 以图形方式执行此操作,也可以通过 PowerShell 使用Get-SmbXYX以下各种命令执行此操作中小企业共享。
这可以是一种通过网络共享传播的病毒;然而,这只是随机猜测,它实际上可能是其他任何东西。