Брутфорс с компьютера в домен

[Reanimator177]

Приветствую уважаемый форум!

С удаленного компьютера идет брутфорс в домен.
Если комп перезагрузить, брутфорс прекращается. Позже может возобновиться через час, а может через пару дней.

Лог вложил.
Прошу помощи!
Спасибо!

[Info_bot]

Уважаемый(ая) Reanimator177, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Здравствуйте.

Сначала определимся с терминами Удалённый компьютер - тот, с которого делались логи? Он не в локальной сети, подключается удалённо? Как именно
Домен - это сервер и компьютеры в локальной сети?

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Tasks: \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem141.0.7376.0{E6A308CA-6DAB-45B7-91A0-199452CE9AB6} - C:\Program Files (x86)\Google\GoogleUpdater\141.0.7376.0\updater.exe --wake --system (file missing)
O22 - Tasks: Opera scheduled Autoupdate 1657716552 - C:\Users\admin.it2\AppData\Local\Programs\Opera\autoupdate\opera_autoupdate.exe --scheduledtask --bypasslauncher $(Arg0) (file missing)

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System[(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Doctor Web" "Doctor Web.evtx"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Обновите 7-Zip: Обнаружена уязвимость в 7-Zip, которую могут использовать в атаках на пользователей архиватора.

[Reanimator177]

Удалённый компьютер - тот, с которого делались логи? Он не в локальной сети, подключается удалённо? Как именно
Домен - это сервер и компьютеры в локальной сети?

Компьютер у сотрудника дома, подключается к локальной сети компании по OpenVPN. Домен - два контроллера AD Win2022. Проблемный комп является членом этой AD. Все логи сделаны на нем конечно же.

Всё скрипты сделал. 7zip обновил. Запрашиваемый файл тут
Спасибо

[Vvvyg]

В чём именно выражается брутфорс? Подбор паролей? Или попытки авторизации какой-то одной учёткой, несуществующей или с неверным паролем?

На рабочей станции вредоносов не видно. По ассистенту к компьютеру есть возможность подключиться без взаимодействия с пользователем?

Dr.Web Agent и ESET Management Agent установлены. Eset не лишний?
Adobe Reader XI устарел и уязвим, использовать DC версию, или вообще браузер.

Все обновления установлены? Если нет - установить до упора, новых уже для 10-ки не будет.

Используется авторизация NTLMv1б давно уже несекурная, в журнале системы события с кодом 6038.

Лучше переключить на NTLMv2

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Reanimator177]

Сканирование сделал, логи вложил.

Esen агент лишний, удалить нет возможности (нужен физический доступ к компу)
Обновы устанавливаются периодично
Брутфорс выражается в безуспешных попытках авторизации в AD под разными аккаунтами типа:
ADMINISTRATOR
BUHGALTER
и.т.п.

Обнаружил, что комп получает белый IP от провайдера при соединении PPPoE, были открыты порты 3389 и 445. 3389 отключил
Но в локальном журнале безопасности всё равно много событий ID 4625 с белых IP со всего света
Пример:

Код:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> 
  <EventID>4625</EventID> 
  <Version>0</Version> 
  <Level>0</Level> 
  <Task>12544</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8010000000000000</Keywords> 
  <TimeCreated SystemTime="2025-11-20T20:25:35.2594596Z" /> 
  <EventRecordID>806871</EventRecordID> 
  <Correlation ActivityID="{a20da50e-5a1c-0002-bfa5-0da21c5adc01}" /> 
  <Execution ProcessID="980" ThreadID="1012" /> 
  <Channel>Security</Channel> 
  <Computer>WS-N111-VNK.admiral-tsv.ru</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="SubjectUserSid">S-1-0-0</Data> 
  <Data Name="SubjectUserName">-</Data> 
  <Data Name="SubjectDomainName">-</Data> 
  <Data Name="SubjectLogonId">0x0</Data> 
  <Data Name="TargetUserSid">S-1-0-0</Data> 
  <Data Name="TargetUserName">ADMINISTRATOR</Data> 
  <Data Name="TargetDomainName" /> 
  <Data Name="Status">0xc000006d</Data> 
  <Data Name="FailureReason">%%2313</Data> 
  <Data Name="SubStatus">0xc0000064</Data> 
  <Data Name="LogonType">3</Data> 
  <Data Name="LogonProcessName">NtLmSsp</Data> 
  <Data Name="AuthenticationPackageName">NTLM</Data> 
  <Data Name="WorkstationName">-</Data> 
  <Data Name="TransmittedServices">-</Data> 
  <Data Name="LmPackageName">-</Data> 
  <Data Name="KeyLength">0</Data> 
  <Data Name="ProcessId">0x0</Data> 
  <Data Name="ProcessName">-</Data> 
  <Data Name="IpAddress">14.136.73.18</Data> 
  <Data Name="IpPort">0</Data> 
  </EventData>
  </Event>

Постараюсь в ближайшее время переместить комп за роутер.
Спасибо

[Vvvyg]

Но в локальном журнале безопасности всё равно много событий ID 4625 с белых IP со всего света

Каюсь, доверился программе, через которую прогоняю журналы событий, а там правило по коду 4625 с уровнем info и при всех уровнях проверки результат не отображался Поправил, теперь ловит такой брутфорс.

Постараюсь в ближайшее время переместить комп за роутер.

Это обязательно, нельзя Windows голой ж... в интернет выставлять.

В принципе, причины ясны, решение понятно. Логи FRST неполные, возможно, Dr. Web помешал.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.