Страницы блога

суббота, 26 января 2019 г.

Продолжение истории про вирусы, хакеров и атаки на сеть

В последние несколько дней наблюдалась странная ситуация с одним из пользователей в рабочей сети - он постоянно блокировался из-за неправильного ввода пароля. В Active Directory настроена блокировка пользователя на 30 минут при пяти неправильных вводах пароля. Сначала никак не мог догадаться, в чем дело - единственное, что можно было найти в событиях - только предупреждение на одном из контроллеров домена про неудачную попытку синхронизации учетной записи пользователя, при проверке она оказывалась заблокированной. 

Помни, админ - хакер не дремлет!

После разблокировки учетной записи все работало, проверки репликации между контроллерами домена и принудительная репликация проходили без ошибок и предупреждений. Как говорится, мистика, но мистики в IT не бывает, шаманы с бубном возле компьютера - это миф из далёкого прошлого, когда компьютеры были большими.

Найти причину помогла подсказка на одном из англоязычных сайтов - найти ссылку уже не получится, но идея в следующем - надо  найти компьютер, с которого происходит событие авторизации, в данном случае приводящее к блокировке учетной записи пользователя. Для этого в журнале событий на том контроллере домена, на котором появляется ошибка репликации надо в журнале аудита сделать фильтр по событию 4740 - в событии будет виден компьютер, с которого произошла попытка авторизации пользователя. В моём случае это был почтовый сервер, что меня удивило.

При анализе логов почтового сервера оказалось, что учетная запись этого пользователя каким-то образом все же утекла наружу, правда, без пароля, и по ней идёт постоянный подбор паролей, а так как авторизация пользователя реализована через Active Directory - то политика безопасности успешно блокировала пользователя - наконец-то причина найдена. Попытки настроить безопасность для скопрометированной учетной записи успехом не увенчались - если учетка утекла, то защищать её уже поздно. В итоге пользователю была создана  новая учетная запись, перенесены данные, старая учетная запись удалена везде - после чего попытки подбора и блокировки естественно, прекратились.

При аккуратном разговоре с пользователем выяснилось, что было открыто непонятное приложение из почты - вот и причина утечки учетной записи. Вообще - это проблема последнего времени в почте - приходит письмо с псевдоофициальным текстом, очень похожим на рабочее письмо, а в приложении лежит подарок, делающий своё черное дело.

По итогам - проведено разъяснение с конкретным пользователем и со всеми пользователями сети, повышена безопасность почтового сервера, кроме того - убедился, что угрозы информационной безопасности становятся всё более реальными.

Комментариев нет:

Отправить комментарий