Hola Mobiplayer
Muy interesante lo que cuentas.
Tienes suerte. En mi caso, primero que no es mi trabajo -ojalá lo fuera- y segundo que la cantidad de ordenadores es muy elevada... Aunque supongo que todo sería ponerse. Me encantaría que describieras, en la medida de lo posible, cómo has llegado -o eso crees hasta falta de confirmación- hasta 'el caso cero'. Supongo que a través de 'mucho WireShark', pero... Lo dicho, toda explicación será bienvenida. Mera curiosidad.
Hola,
Pues al final de la manera más tonta: Revisando logs del cortafuegos. Filtrando por servicio (ftp), origen (red corporativa) y destino (listado de ftp's a los que se conecta el virus). He ido haciendo marcha atrás en los logs hasta que ya no había rastro de estas conexiones, por lo que la primera que aparece en el tiempo es el "caso cero".
¿Y no pudiste hallar la máquina en la red? Lo digo porque hubiese sido interesabte escanearla para poder observar qué tipo de software/malware tenía instalado.
Mmm... Si 'nuestro amigo' aprovecha netBios para propagarse, a saber si también está 'programado' para eso. Puede que la información recopilada no lo describa, pero... quién sabe. Lo dicho anteriormente, hubiera sido interesante hallar esa máquina para escanearla.
Sí, se la pasé al personal de IT y ahí quedó la cosa. Yo seguí a lo mío... No pensé que me llegara a ser muy útil la información que me pudiera dar esta máquina y, además, soy más de redes que de sistemas
por lo que aunque pudiera proporcionarme información, no soy el más hábil en ese campo. Lo que sí hice fue lanzarle yo un portscan y reconocer los servicios que corría, por si tenía algún RAT o similar. IT me confirmó que los servicios descubiertos eran normales. No ahondé mucho más ya que, además, no aparecía ningún servicio como filtrado (señal de filtro por IP origen por ejemplo).
En esto no había pensado... Intersante...
A bote pronto no he encontrado nada ahí.
Cuando lo hayas terminado, ojalá lo quieras compartir con nosotros.
Muchas gracias por la información!
Saludos.
No creo que pueda/deba, pero sí -sin duda- echar una mano en lo que necesitéis ya que por fin he conseguido todo lo que quería: Caso cero, métodos de propagación, vector de infección. Una máquina (caso cero) se conectó una mañana a la fatídica IP 91.213.8.192, siendo infectado tras explotarse la vulnerabilidad de Adobe Reader y a los 30 segundos ya estaba intentando subir datos a uno de los FTP de la lista. La conexión a la IP estaba permitida pero para encontrarla he tenido que cambiar el filtro origen por la IP del proxy, ya que navegan por proxy. Ahora esa IP ya está denegada en el propio proxy.
La verdad es que me ha ayudado mucho la información de NovLucker (¡gracias fiera!) ya que me ha ahorrado tiempo de búsqueda entre gigaBytes de logs
Si puedes, haz lo siguiente: Mediante GPO (no sé si se puede) filtra el tráfico entrante a los puertos 137, 139 y 445 de las estaciones de trabajo. Así contienes la amenaza. Luego limpia con el McAfee (a mi cliente tuvieron que suministrarle un ExtraDAT al principio, mira de contactar con McAfee si tu VirusScan no limpia) y finalmente recórrete los logs del cortafuegos en busca de conexiones http a las webs que explotan la vulnerabilidad y conexiones FTP a los servidores donde se sube la información.
Si tienes cualquier pregunta y crees que te puedo ser de ayuda ya sabes, dispara
Voy a escribir el informe.
Saludos
Autor
En línea
De todas formas, ya me estás diciendo suficiente. Gracias!
