June 9th, 2009

404

жопа жопа жопа жопа

Оно продолжается. Машины реинфицируют друг друга. Основная проблема: адекватное лечение может быть только при полном выключении _ВСЕХ_ компьютеров под виндами от сети. Вылечил все - тогда включай.

Кроме того, не понятно, лечатся ли они вообще "из-под себя" или их можно лечить только в оффлайне?

Пока купировал проблему (симптомы), лечить, во-первых, попробую сервера сегодня вечером/ночью, во-вторых, если не поможет, на выходных уже всю сеть тогда. Отдельный вопрос - удалённые офисы.

Плюс, в течение дня надо будет точно выяснить методы размножения, может, можно будет остановить сам процесс, не нарушая процесс работы...

Всё ещё не понятно, каким образом жив видеосервер - ничем не примечательный сервер без каких-то особенностей. Единственное - на него R2 ставилась с нуля... Так же как и на эксчейнж. А вот на остальные сервера R2 накатывалась пост-фактум на живую систему с апдейтами.

Гипотеза: снести все апдейты, какие можно, и накатать их уже на р2 сверху.
404

стратегия лечения

Заводится группа пользователей, каждый из которых является админом только для одной заданной машины. Каждая машина лечится из-под этого пользователя.
404

вирус

Одолел на живой системе (без выключения серверов и станций), поняв, как размножается. Подробности позже.
404

drweb

Минимум дважды он пропускал существование kiddo в системе при проверках. Один раз это мне стоило неверной гипотезы о поведении вируса (+ несколько часов раздумий, плюс дурацкий эксперимент со сносом обновлений (и повторное заражение)).
404

Подробнее о Kiddo/ShadowBase

Предысторию драмы я уже расказал. Сегодня утром я имел сеть, в которой все сервера были заражены (веб был неправ, и считал, что три машины здоровы, что меня поставило в мыслительную позицию о том, почему некоторые машины не заражаются).

Методов размножения у Kiddo три: с сменного носителя, через дыру в непатченной сети и через административные шары. Размножение в сети началось в тот момент, когда я залогинился на заражённой машине ИЛИ в тот момент, когда заразили мою непатченную машину (да, лентяй, я уже говорил, что "вот-вот поменяю" - и дождался-таки).

После запуска с админскими правами был заражён контроллер домена. Дальнейшие попытки чистки приводили к круговому синдрому: как только машина чистится, на неё (через шару) снова кладётся копия. Для чистки машины на неё нужно залогиниться (в тот момент, с использованием кьюрита было так), что приводило к запуску копии трояна.

У него, соответственно, есть два состояния: свежескопированный (неактивный) и после перезагрузки (активный).

Активная форма пытается себя раскладывать и перебирает пароли на машинах (и/или даже на контроллере домена). Пассивная просто лежит.

Дополнительно, в сети, у большинства машин и второстепенных серверов были одинаковые пароли администраторов - так, что после логина от имени администратора появлялась возможность логиниться на другие машины с тем же паролем (я не уверен, что это можно, но проверять уже реально лень).

Дополнительно, в тот момент, когда я убил все найденные копии (как минимум, активные), кьюрит не сработал на видеосервер, который и стал новым эпицентром размножения.

Метод лечения:
уязвимая машина (на которую не ставились апдейты) была выведена из сети (намертво), на контроллере домена была создана резервная учётная запись администратора домена, на машины были выставлены различные пароли локальных администраторов (через остнастку). На выключенных машинах смена пароля выглядела так: выключить сеть, включить машину, сменить пароль, включить сеть.

Удаление трояна производилось kiddokiller'ом (kk.exe). Сначала были очищены контроллеры домена (после этого появилась возможность зайти на них из-под резервной учётной записи администратора).

После очистки контроллеров домена дальнейшее было просто и скучно: на каждой машине из-под локального админа был запущен kk.exe.

В настоящий момент эта операция выполнена с ~90% машин, оставшиеся будут включены/дочищены завтра.