Brute Forcing Domain Controller

Question

Brute Forcing Domain Controller

#1 de user20996 (0 votos)

1

Tengo un controlador de dominio MS-Server2K3 que también sirve como servidor de Exchange. Debido a la reciente pérdida de velocidad de la red y los problemas, comencé a buscar en los registros de eventos y noté un número excepcionalmente elevado de auditorías de faulure, lo que es un obvio ataque de diccionario que circula a través de los usuarios en orden alfabético. El nombre de la estación de trabajo era el mismo servidor que aloja el controlador de dominio. También el inicio de sesión fue advapi. Esto se detuvo

Además de esto, tengo un gran volumen de declaraciones de información de MSExcahnge AL en los registros de la aplicación de intercambio. 20-30 por segundo. Operaciones de Ldap, búsqueda de directorio y llamada completa al proveedor del grupo de políticas.

¿Qué podría estar causando esto y cómo prevenirlo? Tenemos protecciones antivirus consistentes en toda la red y hemos ejecutado rápidamente antimalware en este servidor.

Si hay algo que deba aclarar, por favor hágamelo saber. Soy relativamente nuevo en el directorio activo y el intercambio.

Gracias

brute-force active-directory

pregunta h8a 21.03.2013 - 20:16

fuente

1 respuesta

Lea otras preguntas en las etiquetas brute-force active-directory

¿Qué problemas de seguridad hay al leer una cookie con .htaccess? ¿Cuáles son los pros y los contras de SSL en todo el sitio (https)?

score 0 · Accepted Answer

Si está seguro de que es un ataque basado en fuerza bruta / diccionario contra la autenticación del controlador de dominio, es posible que el antivirus no lo ayude aquí. El antivirus funciona en una estrategia basada en firmas en la que los intentos fallidos de autenticación (parte del ataque) son simplemente intentos de conexión normales sin llevar datos maliciosos en ellos. Por lo tanto, el antivirus o el escáner de malware no podrán obtener ninguna información al respecto.

Debes intentar encontrar una fuente de trabajo / miembro de dominio que esté lanzando un ataque de fuerza bruta contra tu DC. Y se debe iniciar una investigación adicional sobre quién está utilizando esa estación de trabajo, dependiendo del tiempo de ataque, el uso válido / no válido de las credenciales, ya sea por un usuario interno autorizado o alguien en la red que intenta lanzar un ataque desde una perspectiva no autenticada.

Puede evitarlo mediante la capacidad de detección de intrusos basada en el host, donde dichos intentos masivos deben ser bloqueados por la dirección IP o cualquier software de monitoreo de red que le indique el aumento en el tráfico hacia el controlador de dominio desde una fuente en particular.