Ας σας πούμε μια ωραία ιστορία για το πώς «τρίτοι» προσπάθησαν να παρέμβουν στη δουλειά των πελατών μας και πώς επιλύθηκε αυτό το πρόβλημα.
Πώς ξεκίνησαν όλα
Όλα ξεκίνησαν το πρωί της 31ης Οκτωβρίου, την τελευταία μέρα του μήνα, όταν πολλοί χρειάζονται απεγνωσμένα να έχουν χρόνο για να επιλύσουν επείγοντα και σημαντικά ζητήματα.
Ένας από τους συνεργάτες μας, ο οποίος φιλοξενεί αρκετές εικονικές μηχανές για τους πελάτες που εξυπηρετεί στο cloud μας, ανέφερε ότι από τις 9:10 έως τις 9:20 αρκετές WindowsΟι διακομιστές που εκτελούνται στον ουκρανικό ιστότοπό μας δεν δέχονταν συνδέσεις με την υπηρεσία απομακρυσμένης πρόσβασης και οι χρήστες δεν μπορούσαν να έχουν πρόσβαση στους επιτραπέζιους υπολογιστές τους. Ωστόσο, μετά από λίγα λεπτά, το πρόβλημα φάνηκε να λύνεται από μόνο του.
Ανεβάσαμε τα στατιστικά στοιχεία για τη λειτουργία των καναλιών επικοινωνίας, αλλά δεν βρήκαμε αυξήσεις ή βλάβες στην κυκλοφορία. Εξετάσαμε τα στατιστικά στοιχεία σχετικά με το φόρτο στους υπολογιστικούς πόρους - χωρίς ανωμαλίες. Και τι ήταν αυτό;
Στη συνέχεια, ένας άλλος συνεργάτης, ο οποίος φιλοξενεί περίπου εκατό ακόμη διακομιστές στο σύννεφο μας, ανέφερε τα ίδια προβλήματα που σημείωσαν ορισμένοι από τους πελάτες του και αποδείχθηκε ότι γενικά οι διακομιστές ήταν προσβάσιμοι (ανταποκρίνονταν σωστά στο τεστ ping και σε άλλα αιτήματα), αλλά η υπηρεσία απομακρυσμένης πρόσβασης σε αυτούς τους διακομιστές είτε δέχεται νέες συνδέσεις είτε τις απορρίπτει και μιλούσαμε για διακομιστές σε διαφορετικούς ιστότοπους, η κίνηση στους οποίους προέρχεται από διαφορετικά κανάλια μετάδοσης δεδομένων.
Ας δούμε αυτή την κίνηση. Ένα πακέτο με αίτημα σύνδεσης φτάνει στον διακομιστή:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Ο διακομιστής λαμβάνει αυτό το πακέτο, αλλά απορρίπτει τη σύνδεση:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Αυτό σημαίνει ότι το πρόβλημα σαφώς δεν προκαλείται από προβλήματα στη λειτουργία των υποδομών, αλλά από κάτι άλλο. Ίσως όλοι οι χρήστες αντιμετωπίζουν προβλήματα με την άδεια χρήσης απομακρυσμένης επιφάνειας εργασίας; Ίσως κάποιο είδος κακόβουλου λογισμικού κατάφερε να διεισδύσει στα συστήματά τους και σήμερα να ενεργοποιήθηκε, όπως έγινε πριν από μερικά χρόνια XData и Petya?
Ενώ το διευθετούσαμε, λάβαμε παρόμοια αιτήματα από αρκετούς ακόμη πελάτες και συνεργάτες.
Τι πραγματικά συμβαίνει σε αυτά τα μηχανήματα;
Τα αρχεία καταγραφής συμβάντων είναι γεμάτα από μηνύματα σχετικά με προσπάθειες να μαντέψετε τον κωδικό πρόσβασης:
Συνήθως, τέτοιες προσπάθειες καταγράφονται σε όλους τους διακομιστές όπου η τυπική θύρα (3389) χρησιμοποιείται για την υπηρεσία απομακρυσμένης πρόσβασης και η πρόσβαση επιτρέπεται από παντού. Το Διαδίκτυο είναι γεμάτο από bots που σαρώνουν συνεχώς όλα τα διαθέσιμα σημεία σύνδεσης και προσπαθούν να μαντέψουν τον κωδικό πρόσβασης (γι' αυτό συνιστούμε ανεπιφύλακτα να χρησιμοποιείτε σύνθετους κωδικούς πρόσβασης αντί για "123"). Ωστόσο, η ένταση αυτών των προσπαθειών εκείνη την ημέρα ήταν πολύ υψηλή.
Τι πρέπει να κάνω;
Συνιστάται στους πελάτες να ξοδεύουν πολύ χρόνο αλλάζοντας τις ρυθμίσεις για έναν τεράστιο αριθμό τελικών χρηστών μόνο και μόνο για να αλλάξουν σε διαφορετική θύρα; Δεν είναι καλή ιδέα. Οι πελάτες δεν θα μείνουν ευχαριστημένοι. Συνιστάται να επιτρέπεται η πρόσβαση μόνο μέσω VPN; Βιάζεστε να δημιουργήσετε συνδέσεις IPSec πανικόβλητοι όταν δεν τις έχουν σε λειτουργία—πιθανώς δεν θα ήταν ευχάριστο μέρος ούτε για τους πελάτες. Αν και, πρέπει να πούμε, αυτό είναι καλό σε κάθε περίπτωση. Συνιστούμε πάντα την απόκρυψη του διακομιστή σε ένα ιδιωτικό δίκτυο και είμαστε έτοιμοι να βοηθήσουμε με τη διαμόρφωση. Για όσους προτιμούν να τα βρίσκουν μόνοι τους, μοιραζόμαστε οδηγίες για τη ρύθμιση του IPSec/L2TP στο cloud μας σε λειτουργία site-to-site ή road-warrior. Και αν κάποιος θέλει να ρυθμίσει μια υπηρεσία VPN μόνος του, Windows-διακομιστής – πάντα έτοιμος να μοιραστεί συμβουλές για το πώς να βελτιώσετε το πρότυπο RAS ή OpenVPNΑλλά όσο ψύχραιμοι κι αν ήμασταν, δεν ήταν η καλύτερη στιγμή για να ενημερώσουμε τους πελάτες, καθώς έπρεπε να διορθώσουμε το πρόβλημα το συντομότερο δυνατό με την ελάχιστη δυνατή αναστάτωση στους χρήστες.
Η λύση που εφαρμόσαμε ήταν η εξής. Έχουμε δημιουργήσει μια ανάλυση της διέλευσης κίνησης με τέτοιο τρόπο ώστε να παρακολουθούμε όλες τις προσπάθειες δημιουργίας σύνδεσης TCP στη θύρα 3389 και να επιλέγουμε από αυτήν διευθύνσεις που, εντός 150 δευτερολέπτων, επιχειρούν να δημιουργήσουν συνδέσεις με περισσότερους από 16 διαφορετικούς διακομιστές στο δίκτυό μας - αυτές είναι οι πηγές της επίθεσης ( Φυσικά, εάν κάποιος από τους πελάτες ή τους συνεργάτες έχει πραγματική ανάγκη να δημιουργήσει συνδέσεις με τόσους πολλούς διακομιστές από την ίδια πηγή, μπορείτε πάντα να προσθέσετε τέτοιες πηγές στη "λευκή λίστα". εάν σε ένα δίκτυο κατηγορίας C για αυτά τα 150 δευτερόλεπτα, εντοπιστούν περισσότερες από 32 διευθύνσεις, είναι λογικό να αποκλειστεί ολόκληρο το δίκτυο. Ο αποκλεισμός ορίζεται για 3 ημέρες και εάν κατά τη διάρκεια αυτού του χρόνου δεν πραγματοποιήθηκαν επιθέσεις από μια δεδομένη πηγή, Αυτή η πηγή αφαιρείται αυτόματα από τη «μαύρη λίστα». Η λίστα των αποκλεισμένων πηγών ενημερώνεται κάθε 300 δευτερόλεπτα.
Αυτή η λίστα είναι διαθέσιμη σε αυτή τη διεύθυνση: , μπορείτε να δημιουργήσετε τα ACL σας με βάση αυτό.
Είμαστε έτοιμοι να μοιραστούμε τον πηγαίο κώδικα ενός τέτοιου συστήματος· δεν υπάρχει τίποτα υπερβολικά περίπλοκο σε αυτό (αυτά είναι πολλά απλά σενάρια που συγκεντρώνονται κυριολεκτικά σε μερικές ώρες στο γόνατο) και ταυτόχρονα μπορεί να προσαρμοστεί και να μην χρησιμοποιηθεί μόνο για την προστασία από μια τέτοια επίθεση, αλλά και για τον εντοπισμό και τον αποκλεισμό τυχόν προσπαθειών σάρωσης του δικτύου:
Επιπλέον, πραγματοποιήσαμε κάποιες αλλαγές στις ρυθμίσεις του συστήματος παρακολούθησης, το οποίο τώρα παρακολουθεί πιο προσεκτικά την αντίδραση μιας ομάδας ελέγχου εικονικών διακομιστών στο σύννεφο μας σε μια προσπάθεια δημιουργίας μιας σύνδεσης RDP: εάν η αντίδραση δεν ακολουθήσει εντός ενός Δεύτερον, αυτός είναι ένας λόγος να δώσουμε προσοχή.
Η λύση αποδείχθηκε αρκετά αποτελεσματική: δεν υπάρχουν πλέον παράπονα τόσο από πελάτες όσο και από συνεργάτες, καθώς και από το σύστημα παρακολούθησης. Νέες διευθύνσεις και ολόκληρα δίκτυα προστίθενται τακτικά στη μαύρη λίστα, γεγονός που υποδηλώνει ότι η επίθεση συνεχίζεται, αλλά δεν επηρεάζει πλέον την εργασία των πελατών μας.
Υπάρχει ασφάλεια στους αριθμούς
Σήμερα μάθαμε ότι άλλοι χειριστές έχουν αντιμετωπίσει παρόμοιο πρόβλημα. Κάποιος εξακολουθεί να πιστεύει ότι η Microsoft έκανε κάποιες αλλαγές στον κώδικα της υπηρεσίας απομακρυσμένης πρόσβασης (αν θυμάστε, υποψιαζόμασταν το ίδιο πράγμα την πρώτη μέρα, αλλά πολύ γρήγορα απορρίψαμε αυτήν την έκδοση) και υπόσχεται να κάνει ό,τι είναι δυνατό για να βρεθεί γρήγορα μια λύση . Μερικοί άνθρωποι απλώς αγνοούν το πρόβλημα και συμβουλεύουν τους πελάτες να προστατεύονται μόνοι τους (αλλαγή της θύρας σύνδεσης, απόκρυψη του διακομιστή σε ιδιωτικό δίκτυο κ.λπ.). Και την πρώτη κιόλας μέρα, όχι μόνο λύσαμε αυτό το πρόβλημα, αλλά δημιουργήσαμε και κάποια βάση για ένα πιο παγκόσμιο σύστημα ανίχνευσης απειλών που σκοπεύουμε να αναπτύξουμε.
Ιδιαίτερες ευχαριστίες στους πελάτες και τους συνεργάτες που δεν έμειναν σιωπηλοί και δεν κάθισαν στην όχθη του ποταμού περιμένοντας το πτώμα ενός εχθρού να επιπλεύσει κατά μήκος του μια μέρα, αλλά αμέσως επέστησαν την προσοχή μας στο πρόβλημα, το οποίο μας έδωσε την ευκαιρία να εξαλείψουμε την ίδια μέρα.
Πηγή: www.habr.com
