Comments 11
Вся статья тянет на школьный реферат.
Подобрав пару логин-пароль, злоумышленники получают полный доступ к скомпрометированной системе.Ну у Вас там видимо все под локальными админами работают.
Например, часто предусматривают блокировку учетной записи после нескольких безуспешных попыток входа.Передаю привет вашим административным учетным записям находящимися под целенаправленной атакой.
Событие 4624 — для успешного входа, 4625 — для неудачного входаПонимаю, в Security лог зайти зашли, почитали что первое попалось, и зафигачили в статью. Смотреть удачные события в входу и выходу из системы нужно по событиям
Get-WinEvent -ComputerName $Computer -FilterHashTable @{LogName="Security";id=4801,4800,4778,4779}
В статье описаны ситуации из реальных расследований хакерских атак, которые зачастую заканчивались запуском шифровальщиков из под имени доменного администратора на множестве систем во внутренней сети. И вы правы, не всегда похищенные учетные данные сразу давали локального администратора на системе, но получить эти привилегии для злоумышленников не составляло проблемы.
По поводу событий входа. Перечисленные вами события — это частные случаи, покрывающие не все сценарии. Лучше ориентироваться именно на перечисленные нами — они покрывают все описанные случаи. Про события 4624, 4625, 4778, 4634 в контексте RDP хорошо написано тут:
— ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation
— www.andreafortuna.org/2020/06/04/windows-forensic-analysis-some-thoughts-on-rdp-related-event-ids
По поводу событий входа. Перечисленные вами события — это частные случаи, покрывающие не все сценарии. Лучше ориентироваться именно на перечисленные нами — они покрывают все описанные случаи. Про события 4624, 4625, 4778, 4634 в контексте RDP хорошо написано тут:
— ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation
— www.andreafortuna.org/2020/06/04/windows-forensic-analysis-some-thoughts-on-rdp-related-event-ids
Если бы я не занимался этим вопросом достаточно плотно, особенно глубоко с началом ковидной эпидемии, я бы с Вами наверняка согласился. Но дьявол кроется в нюансах, и события 4624-4625 это как проверка насколько глубоко специалист копал тему. Если Вы цепляетесь за 4624-4625 то это не очень глубоко, эти события просто пыль закрывающая истинную цель. Это уже не говоря о том, что отслеживание неудачных попыток входа через RDP в Get-WinEvent для ОС Windows 2008R2 / 2012R2 / 2016 + 2019 довольно ощутимо различается. Код показывающий подлецов в 2008R2 слеп на 2019, и это правило взаимообратно. Но Вы не копали настолько глубоко.
А ругаюсь, потому что Вы отправляете людей грызть гранит не с той стороны.
А ругаюсь, потому что Вы отправляете людей грызть гранит не с той стороны.
Так в чём эксперимент-то? В том, что машину в выставленным наружу RDP начинают пячить? Тоже мне бином Ньютона. Кроме того, смена порта не панацея, а лишь отсрочка катастрофы.
Я предлагаю подходить к этой проблеме со стороны 2FA, но при этом второй фактор делать порткнокингом или его развитием.
Это довольно просто со стороны пользователя — он перед подключением просто открывает урл в браузере, который и активирует порткнокинг. Часть маршрутизаторов уже умеют это из коробки (у микротика, кажется, есть такая функция), но в целом это не так уж сложно в реализации и самостоятельно.
А также к достоинствам можно отнести, что это будет работать везде в отличие от впн, когда встречаются провайдеры, его блокирующие (особенно смешно, когда провы объясняют блокировку впн заботой о нашей безопасности).
Это довольно просто со стороны пользователя — он перед подключением просто открывает урл в браузере, который и активирует порткнокинг. Часть маршрутизаторов уже умеют это из коробки (у микротика, кажется, есть такая функция), но в целом это не так уж сложно в реализации и самостоятельно.
А также к достоинствам можно отнести, что это будет работать везде в отличие от впн, когда встречаются провайдеры, его блокирующие (особенно смешно, когда провы объясняют блокировку впн заботой о нашей безопасности).
Не так сложно?
Я искал варианты решений. Есть много сайтов, которые предлагают сделать это за $$$, но например как прикрутить 2FA к Windows я так и не нашёл.
С порт-кнокингом тоже было бы зачётно, но и тут: простых и понятный решений не нашёл.
Так что, реквестирую статью на Хабре на этим темам.
Своим опытом с RDP я уже делился вот тут:
habr.com/ru/post/487056
Я искал варианты решений. Есть много сайтов, которые предлагают сделать это за $$$, но например как прикрутить 2FA к Windows я так и не нашёл.
С порт-кнокингом тоже было бы зачётно, но и тут: простых и понятный решений не нашёл.
Так что, реквестирую статью на Хабре на этим темам.
Своим опытом с RDP я уже делился вот тут:
habr.com/ru/post/487056
Способ защиты от брутфорса на уровне вышеупомянутого реферата: перенести всё на нестандартные порты, и прямо на входе блокировать сразу все ІР которые лезут на 22,3389, и что там у вас ещё.
Почему нет совета выпускать rdp в интернет только через шлюз удаленных рабочих столов?
Какие риски возникают, когда пользователь запускает rdp сессию с домашнего ПК, на котором нелицензионная Windows и нет антивируса?
Sign up to leave a comment.
RDP: слабые места протокола и эксперимент с развертыванием ханипота