Windows RDP: Атака на реальные имена учетных записей
У нас есть сервер Windows 2012 R2, размещенный в центре обработки данных, и мы используем RDP для его администрирования. Включены автоматические обновления.
Вход RDP не разрешен для учетной записи администратора, и есть несколько учетных записей пользователей с включенным RDP.
Недавно я обнаружил в журналах, что продолжалась атака методом грубой силы, нацеленная на одну из учетных записей, которые действительно существуют на сервере. Заглянув глубже в журналы, я обнаружил, что в последнее время целью было как минимум 3 аккаунта. И это не может быть совпадением, поскольку имена в аккаунте сложны.
Теперь я ограничил подключение IP-адресами моей компании, и проблема решена (я знаю, что это должно было быть сделано раньше, но у нас были причины не делать этого).
Однако мне все еще интересно, как злоумышленнику (-ам) удалось получить имена учетных записей.Является ли это известным недостатком безопасности RDP?
РЕДАКТИРОВАТЬ: Есть несколько элементов, которые я не упомянул: Этот сервер является виртуальной машиной, и эта виртуальная машина и гипервизор (также Windows 2012 R2) находятся за маршрутизатором и использовать один и тот же общедоступный IP-адрес. RDP преобразован через NAT с общедоступным портом, который не является портом по умолчанию, и это единственный порт с NAT. На этом компьютере размещен HTTP-сервер (пустельга), доступ к которому можно получить только через обратный прокси-сервер (nginx), установленный на другом компьютере.
Обзор
Мы не можем знать наверняка, как они получили имена учетных записей, не зная более подробной информации. Исходя из своего личного опыта, я расскажу вам о самых распространенных способах получения этой информации плохими парнями.
Предположим нарушение
В области продвинутой кибербезопасности есть поговорка:
Существуют два типа организаций: те, которые взломаны, и те, которые не знают, что они взломаны.
Поскольку вы используете среду доменных служб Active Directory, злоумышленник может легко вывести список всех учетных записей и использовать приложение, такое как BloodHound, чтобы проложить курс к админ домена.
Легкий доступ
Злоумышленник может скомпрометировать одну рабочую станцию, присоединенную к домену (может быть, с помощью фишинга или чего-то еще), а затем вывести список всех пользователей и компьютеров из экземпляра AD DS. Вы не можете легко защититься от чего-то подобного, поскольку это поведение является основой работы AD DS. Вы можете легко сбросить все как обычный пользователь, для этого не нужны специальные или привилегированные права.
Периметр идентичности
Безопасность через неизвестность больше не вариант, еще в начале 2000-х и 90-х, возможно, это было, но с автоматизацией и такими инструментами, как BloodHound, вы получаете картину .
Безопасность должна быть на уровне сети и идентификации.Сетевой периметр безопасности просто глуп, как Безопасность Сквозь Неизвестность. Журнал Wired поместил статью об этом еще в 2013 году.
Примером элемента управления безопасностью, который может помочь взломам на уровне идентификации, является многофакторная аутентификация. Их гораздо больше, но это ответ на другой вопрос.
Сброс учетных записей RDP/SMB
Насколько мне известно, мне неизвестны какие-либо атаки через RDP или SMB, которые могли бы сбрасывать имена пользователей с компьютера как прямой результат атаки. Я в курсе атак которые могут получить доступ к компу как админа потом с такими правами могли бы свалить, но не прямая атака которая могла бы свалить.