iT邦幫忙

0

[AD/DC/SOC]請教內部主機對DC進行密碼暴力破解的原因

舜~ 2020-10-20 14:16:121136 瀏覽

各位前輩們請教一下

經常發生SOC通報,內部主機對DC進行密碼暴力破解,皆是針對AD的445port,
事件大多發生在剛開機、登出後再登入時,
經了解很多人並沒有打錯登入密碼,有打錯的通常在3次內就會輸入正確,
不知道為什麼會觸發這個通告?
目前沒人找到原因,
想關掉規則但又不敢關掉
(SOC密碼暴力破解觸發條件:2秒鐘35次)

請問我要怎麼找出問題來?

環境如下
AD有8台,用nslookup domain去查每次順序都不一樣
另外有AD有啟用共享資料夾(網芳)、DC、DNS
Nmap掃描AD結果,對服務進行大致分類如下

53/tcp open domain Microsoft DNS
88/tcp open kerberos-sec Windows 2003 Kerberos
139/tcp open netbios-ssn Microsoft Windows 98 netbios-ssn
445/tcp open microsoft-ds (primary domain: TAINAN)
464/tcp open kpasswd5?

389/tcp open ldap
636/tcp open ssl/ldap
3268/tcp open ldap
3269/tcp open ssl/ldap

135/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49158/tcp open msrpc Microsoft Windows RPC
49163/tcp open msrpc Microsoft Windows RPC


我猜....會不會剛好遇到AD驗證機制忙線中或是剛好配發的IP與原先不一致?

比如說 第一次握手要求身分驗證
第二次握手進行身分驗證,但這時因為原本AD忙線負載平衡到另一台AD,解析的IP與第一次握手的IP不一樣了?


目前討論誤判的機會很高,
很可能只是因為單位時間內的連線數量過多而觸發PA(Palo Alto防火牆)的規則,
送出事件到soc,
又歸屬於低風險事件,
所以暫時先不錄案處理,
只是還是找不到原因...
沒有剛好同時懂AD+DC+DNS+WSUS+憑證+PA的人,
都是略懂略懂XD

jeles51 iT邦研究生 3 級 ‧ 2020-10-20 15:14:40 檢舉
沒看清問題,自刪~~~~~
舜~ iT邦高手 1 級 ‧ 2020-10-20 15:27:39 檢舉
ㄜ...抱歉有看沒懂@@....account lock?? 但用戶沒被鎖阿!!
harrytsai iT邦新手 3 級 ‧ 2020-10-21 04:12:32 檢舉
檢查一下AD複寫,感覺是用戶在登入不同的AD主機
4
raytracy
iT邦大神 1 級 ‧ 2020-10-20 14:30:09

SoC 是你們自己管的嗎?

如果不是的話, 發函給 SoC 主管說:

你們多次誤報, 請提供 Raw Data 佐證你們的警報正確性.
如無法提供佐證, 請暫時關閉此項警報, 直到查證屬實為止.

不需要 SoC 說甚麼, 你們就信甚麼; SoC 很多 OP 人員也只是傻傻的白目, 看到自動警報出現, 腦袋都不判斷一下就轉發...

他如果能查出, 我都查不出來的現象, 那我當然是要虛心的, 邀請他來現場, 指導我相關技巧, 讓我以後可以自己查出來.

但若他只是胡亂唬爛喊狼來了, 又不敢舉證讓所有人信服的話, 我會把他發的警告, 從他嘴裡塞回去....

IT 做事講證據, 不是比職級大小...

舜~ iT邦高手 1 級 ‧ 2020-10-20 14:42:35 檢舉

但就算是誤判非破解攻擊,2秒鐘發生35次連線也很怪...
(SOC密碼暴力破解觸發條件:2秒內發生35次)
RAW DATA我要要看~~

舜~ iT邦高手 1 級 ‧ 2020-10-22 13:54:37 檢舉

該SOC通報是Palo Alto防火牆送出的,目前評估是因為短時間內連線次數過高而通報(低風險通報)

1
loke0204
iT邦新手 4 級 ‧ 2020-10-20 15:54:09

看看是不是有人掛網路硬碟(有吃domain users驗證) 改密碼忘了?

看更多先前的回應...收起先前的回應...
舜~ iT邦高手 1 級 ‧ 2020-10-20 15:55:33 檢舉

!!! 有可能,下次發生時我問問看

loke0204 iT邦新手 4 級 ‧ 2020-10-21 16:55:37 檢舉

dc 查log 從4776[驗證失敗] 查起

舜~ iT邦高手 1 級 ‧ 2020-10-22 10:28:37 檢舉

好主意!! 不過事件檢視器裡的紀錄只保留一天就被洗掉了...只能等下次發生了

loke0204 iT邦新手 4 級 ‧ 2020-10-22 11:21:45 檢舉

=_=log server 表示:.......

1
CyberSerge
iT邦好手 1 級 ‧ 2020-10-20 20:52:54

內部主機對DC進行密碼暴力破解,皆是針對AD的445port,....事件大多發生在剛開機、登出後再登入時

這樣看來其實是知道那台主機,可以請SOC提供Raw Data
比較常見的如前輩所說網路硬碟,另一種是主機的某個服務有設定登入帳密log on as service

我要發表回答

立即登入回答