á¡ááºáá¬áááºááá¯á·ááœáá·áºáá¬ážááá·áº RDP (Remote Desktop Protocol) port ááá¯áá¬ážááŸáááŒááºážááẠá¡ááœááºá¡áá¹ááá¬ááºáááºážááŒá®áž ááá¯ááºááá·áºáᯠáá»áœááºá¯ááºáááŒá¬áááááºáá°ážáááºá ááá¯á·áá±á¬áº áááºááẠRDP ááᯠââVPN ááŸáááá·áºááŒá áºá á± ááá¯á·ááá¯áẠá¡áá»áá¯á·áá±á¬ âá¡ááŒá°áá±á¬ááºâ IP ááááºá á¬áá»á¬ážááŸáá¬áá»áŸáẠáááºáá±á¬ááºááœáá·áºáá±ážááẠááá¯á¡ááºáááºá
á á¬áááºážááá¯ááºáá»á¬ážá¡ááœáẠWindows Server ááᯠá¡áá±ážááŸáááºáá±á¬ááºááœáá·áº áá±ážáá±á¬ááºááẠáá¬áááºáá±ážáá¬ážáá±á¬ áá¯ááºáááºážáááºáá»á¬ážá¡ááœáẠWindows Server á¡áá»á¬ážá¡ááŒá¬ážááᯠáá»áœááºá¯áẠá á®áá¶ááá·áºááœá²áá«áááºá á€áááºááŸá¬ á¡áááºááŸá¡áá¯ááºáá¯ááºáá±á¬ áá±ááºáá®áááºážááŒá±á¬ááºážááŒá áºáááºá VPN á á¬áááºážááá¯ááºáá»á¬ážááᯠááŸááºážáááºážááŸáááºá ááºááŒááºážááẠáá»á±ážáá°ážááááºážáá±á¬ á¡áá¯ááºááŒá áºáááºá áá°áá»á¬ážá IP ááááºá á¬áá»á¬ážááẠáááºááŒáœáá±áá±á¬ááŒá±á¬áá·áº á¡ááŒá°á á¬áááºážá¡ááœáẠIP á¡á¬ážáá¯á¶ážááᯠá á¯áá±á¬ááºážááŒááºážááŸá¬ á¡áá¯ááºáááŒá áºááŒá±á¬ááºáž ááŒááºááŒááºááá±á¬áá±á«ááºáá«áááºá
ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááẠá¡ááá¯ážááŸááºážáá¯á¶ážáááºážááŒá±á¬ááºážááá¯áá°á RDP port ááᯠááŒááºáááá¯á· áááºááá·áºááá¯á·áááºá áááºáá±á¬ááºááœáá·áºááááºá á á¬áááºážááá¯ááºáá»á¬ážááẠááᯠRDP ááá¯ááœáá·áºááŒá®áž áááºáá¶áááºá¡ááẠ(ááááºáááºážá¡áá«á¡áááº) á¡áá¯á¶ážááŒá¯áá°á¡áááºááŸáá·áº á áá¬ážááŸááºááá¯á·ááᯠááá¯ááºááá·áºááẠááá¯á¡ááºáááºá
á€áá±á¬ááºážáá«ážááœáẠáá»áœááºá¯ááºá á¡ááœá±á·á¡ááŒá¯á¶ (á¡ááŒá¯ááá±á¬ááŸáá·áº á¡ááŒá¯ááá±á¬ááá¯ááº) ááŸáá·áº á¡ááŒá¶ááŒá¯áá»ááºáá»á¬ážááᯠáá»áŸáá±áá«áááºá
á¡áá¹ááá¬ááºáá»á¬áž
RDP port ááá¯ááœáá·áºááŒááºážááŒáá·áºáááºáá¬ááá¯á¡áá¹ááá¬ááºááŒá áºá á±ááááºážá
1) ááááœááºááŸááœáẠáá±áá¬ááᯠááœáá·áºááŒá¯áá»ááºáááŸááá² áááºáá±á¬ááºááœáá·áº
áá
áºá
á¯á¶áá
áºáŠážááẠRDP á
áá¬ážááŸááºááᯠááá·áºááŸááºážáá«áá áááºážááá¯á·ááẠáááºáá®ážááá·áºáá¬ážááá¯áá±á¬ áá±áá¬ááᯠáááŸáááá¯ááºáááá·áºáááº- á¡áá±á¬áá·áºá¡ááŒá±á¡áá±á áááºáá»ááºááœá±áá»á¬ážá áá±á¬ááºáááºáá±áá¬á ...
2) Data áá¯á¶ážááŸá¯á¶ážááŒááºážá
á¥ááá¬á¡á¬ážááŒáá·áºá ransomware ááá¯ááºážáááºá
áºááŒá±á¬áá·áºá
ááá¯á·ááá¯áẠááá¯ááºááá¯ááºáá°á ááááºáááºááẠáá¯ááºáá±á¬ááºááŸá¯á
3) workstation áá¯á¶ážááŸá¯á¶ážááŒááºážá
á¡áá¯ááºááá¬ážáá»á¬áž á¡áá¯ááºáá¯ááºááẠááá¯á¡ááºáá±á¬áºáááºáž á
áá
áºááẠá¡áá¹ááá¬ááºááŸáááŒá®áž ááŒááºáááºááá·áºááœááºážáááº/ááŒááºáááºááŒááºáááºáááº/ááŒááºáááºáá¬ážááẠááá¯á¡ááºáá«áááºá
4) áá±áááœááºážááœááºáááºáá¡áá±ážá¡áá°
á¡áááºá ááá¯ááºááá¯ááºáá°ááẠWindows ááœááºááŒá°áá¬ááá¯á· áááºáá±á¬ááºááœáá·áº áááŸááá«áá áááºážááœááºáá»á°áá¬á០ááŒááºáá០áááºáá±á¬ááºá ááááá¯ááºáá±á¬ á
áá
áºáá»á¬ážááᯠá¡ááºáá¬áááºá០áááºáá±á¬ááºááá¯ááºáááºááŒá
áºáááºá á¥ááá¬á¡á¬ážááŒáá·áºá áá»áŸáá±ááŸá¯áá»á¬ážááᯠááá¯ááºáááºáááºá ááœááºáááºááááºáá¬áá»á¬áž á
áááºááŒáá·áºá
Windows Server á ransomware ááá¯áááºážáááá²á·ááá á¹á áá áºáá¯ááŸááá²á·áá«áááºá
ဠransomware ááẠC: drive áá±á«áºááŸá ááá¯ááºá¡áá»á¬ážá á¯ááᯠáŠážá áœá¬ áá¯ááºááŸááºáá¬ážááŒá®áž NAS áá±á«áºááŸá ááá¯ááºáá»á¬ážááᯠááœááºáááºáá±á«áºááœáẠá á¬ááŸááºááŒááºáž á áááºáá²á·áááºá NAS ááẠSynology ááŒá áºáá±á¬ááŒá±á¬áá·áºá áá»áŸááºáá áºááŒááºáá¯á¶áá»á¬ážááᯠconfigured ááŒáá·áºá áá»áœááºá¯ááºááẠNAS ááᯠ5 áááá áºá¡ááœááºážááŒááºáááºááá°ááŒá®áž Windows Server ááᯠá¡á ááŸááŒááºáááºááá·áºááœááºážáá²á·áááºá
áá±á·áá¬ááœá±á·ááŸááá»ááºáá»á¬ážááŸáá·áº á¡ááŒá¶ááŒá¯áá»ááºáá»á¬áž
áá»áœááºá¯ááºááẠWindows Server áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á á
á±á¬áá·áºááŒáá·áºáá«áááºá
á
á±á¬áá·áºááŒáá·áºááŒááºážááá¯ááºááá¯ááºá ááá¬ááœááºááá¯ááºáá±á¬áºáááºáž ááá¯á¡ááºáá±á¬á¡á
á®á¡áá¶áá»á¬ážááᯠáá¯á¶ážááŒááºáá±ážáááºá
á€áááºááŸá¬ áááááŒá¯á
áá¬á¡áá»áá¯á·ááŒá
áºáááºá
á) RDP ááẠáááºá
ááºááŒááºážááŒá¯ááºá
áœá¬ ááá¯ááºážá
á±ááŒááºážáá¶ááááá·áºáááºá
áá¬áá¬áá»á¬ážáá²ááŸáá
áºáá¯ááœááºá RDP ááᯠââá
ᶠport 3389 ááœááºáááá·áºááœááºážáá² 443 ááœááºá áá»áœááºá¯ááºááẠHTTPS á¡ááŒá
Ạá¡ááœááºááŒá±á¬ááºážáá«áááºá áááºážááẠá
á¶ááŸá¯ááºážáá
áºáá¯á០ááááºáááºážááᯠááŒá±á¬ááºážááá»áá¯ážáááºááœááºááŸááá±á¬áºáááºáž áááºážááẠáá»á¬ážá
áœá¬áá±á¬ááºážááœááºáááºááá¯ááºáá«á á€áááºááŸá¬ á€áá¬áá¬á០á
á¬áááºážá¡ááºážáá»á¬ážááŒá
áºáááº-
áá
áºáááºá¡ááœááºáž RDP ááŸáá
áºááá·áº áááºáá±á¬ááºááẠááŒáá¯ážáááºážááŸá¯ 400 áá®ážáá«áž áá¡á±á¬ááºááŒááºáá²á·ááŒá±á¬ááºáž ááœá±á·ááŒááºááá¯ááºáááºá
55 IP ááááºá
á¬áá»á¬ážá០áááºáá±á¬ááºááẠááŒáá¯ážáááºážááŸá¯áá»á¬áž ááŸááá²á·ááẠ(á¡áá»áá¯á·áá±á¬ IP ááááºá
á¬áá»á¬ážááᯠáá»áœááºá¯ááºá ááááºááá¯á·áá¬ážááŒá®ážááŒá
áºáááº)á
áááºážááẠáááºááẠfail2ban áááºááŸááºááẠááá¯á¡ááºááŒá±á¬ááºáž áááá¯á¶ážáá»á¯ááºáá»ááºááᯠááá¯ááºááá¯áẠááœáŸááºááŒáá±áá±á¬áºáááºážá
Windows á¡ááœáẠááá¯áá²á·ááá¯á·áá±á¬ á¡áá¯á¶ážáááºááŸá¯ áááŸááá«á
Github ááœáẠá€áá²á·ááá¯á·áá¯ááºáá±á¬ááºáá¯á¶áá±á«áºáá±á¬ á
áœáá·áºáá
áºáá¬ážáá±á¬ ááá±á¬áá»ááºá¡áá»áá¯á·ááŸááá±á¬áºáááºáž áááºážááá¯á·ááᯠááá·áºááœááºážááẠáá»áœááºá¯ááºááẠáááŒáá¯ážá
á¬ážáá²á·áá«á
á¡áááŒá±ážááœá±áá±ážáááá·áº á¡áá¯á¶ážáááºááŸá¯áá»á¬ážáááºáž ááŸááá±á¬áºáááºáž áááºážááá¯á·ááᯠáá»áœááºá¯áẠááá·áºááœááºážá ááºážá á¬ážááááá«á
á€áááºááœááºáá»ááºá¡ááœáẠopen source utility ááá¯áááºáááá«ááááºážááá¯ááŸááºáá»ááºáá»á¬ážááœááºáá»áŸáá±áá«á
Update ááá¯: port 443 ááẠááá¯ážááœá¬ážáá±á¬ááœá±ážáá»ááºááŸá¯ááŒá áºáááºáᯠááŸááºáá»ááºáá»á¬ážá á¡ááŒá¶ááŒá¯áá¬ážááŒá®áž 32000 ááᯠáááŒá¬ááá áááºááºáááºááŒá®áž á€ááá¯á·ááºááŸá RDP ááᯠââá¡ááá¡ááŸááºááŒá¯ááŒááºážááẠááŒá¿áá¬ááá¯ááºáá«á
á) ááá¯ááºááá¯ááºáá°áá»á¬áž ááŸá
áºáááºáá±á¬ á¡áá»áá¯á·áá±á¬ áá¯á¶ážá
áœá²áá°á¡áááºáá»á¬áž ááŸááá«áááºá
ááŸá¬ááœá±ááŸá¯ááᯠá¡áá»áá¯ážáá»áá¯ážáá±á¬á¡áááºáá»á¬ážááŒáá·áº á¡áááá¬ááºááœáẠááŒá¯áá¯ááºáááºááᯠááœá±á·ááŒááºááá¯ááºáááºá
ááá¯á·áá±á¬áº á€áá±áá¬ááœáẠáá»áœááºá¯ááºáááááŒá¯áááááº- áá»á¬ážá
áœá¬áá±á¬ááŒáá¯ážá
á¬ážááŸá¯áá»á¬ážá
áœá¬ááẠáá¬áá¬á¡áááºááᯠáá±á¬á·ááºá¡ááºá¡ááŒá
Ạá¡áá¯á¶ážááŒá¯áá«áááºá á¡ááŒá¶ááŒá¯áá»ááº- ááœááºáá»á°áá¬ááŸáá·áº á¡áá¯á¶ážááŒá¯áá°á¡ááœáẠáá°áá®áá±á¬á¡áááºááᯠááá¯á¶ážáá«ááŸáá·áºá ááá¯á·á¡ááŒááºá áá
áºáá«áá
áºáá¶ááœáẠáááºážááá¯á·ááẠáá¬áá¬á¡áááºááᯠáá
áºáááºážáááºážááŒáá·áº ááœá²ááŒááºážá
áááºááŒá¬ááẠááŒáá¯ážá
á¬ážáá±áá¯á¶áá±á«áºáááº- á¥ááá¬á DESKTOP-DFTHD7C á¡áááºááŸááá±á¬ á
áá
áºá¡ááœááºá áááºáá±á¬ááºááẠááŒáá¯ážáááºážááŸá¯ á¡áá»á¬ážáá¯á¶ážááŸá¬ DFTHD7C á¡áááºááŒáá·áº ááŒá
áºáááº-
ááá¯á·ááŒá±á¬áá·áºá ááá·áºááœáẠDESKTOP-MARIA ááœááºáá»á°áá¬áá áºáá¯á¶ážááŸááá«áá áááºááẠMARIA á¡áá¯á¶ážááŒá¯áá°á¡ááŒá Ạáá±á¬á·ááºá¡ááºáááºááẠááŒáá¯ážá á¬ážáá±áá±áááá·áºáááºá
ááŸááºáááºážáá»á¬ážá០áááááŒá¯áááá±á¬ áá±á¬ááºáá
áºáá»ááº- á
áá
áºá¡áá»á¬ážá
á¯ááœááºá áá±á¬á·ááºá¡ááºáááºááẠááŒáá¯ážáááºážááŸá¯ á¡áá»á¬ážá
á¯ááŸá¬ "á
á®áá¶ááá·áºááœá²áá°" á¡áááºááŒáá·áº ááŒá
áºáááºá áááºážááẠá¡ááŒá±á¬ááºážááŒáá»ááºáááŸááá²ááá¯ááºáá«á Windows áá¬ážááŸááºážáá»á¬ážá
áœá¬ááœáẠá€á¡áá¯á¶ážááŒá¯áá°ááŸááá±áá±á¬ááŒá±á¬áá·áºááŒá
áºáááºá ááá¯á·á¡ááŒááºáááºážááá¯áá»ááºááááá«á áááºážááẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡ááœáẠáá¯ááºáá±á¬ááºá
áá¬ááᯠááá¯ážááŸááºážá
á±áááº- á¡áááºááŸáá·áº á
áá¬ážááŸááºááᯠááá·áºááŸááºážááá·áºá¡á
á¬ážá áááºááẠá
áá¬ážááŸááºááᯠááá·áºááŸááºážáááºáᬠááá¯á¡ááºáááºá
á
áá¬ážáá
ááºá ransomware ááá¯áááºážáááá±á¬á
áá
áºááœááºá¡áá¯á¶ážááŒá¯áá°á
á®áá¶ááá·áºááœá²áá°ááŸáá·áºá
áá¬ážááŸáẠMurmansk #9 ááŸááááºá áá®á
áá
áºááᯠáááºááᯠhack áá¶ááá²ááá¯áá¬áá±á¬á· áá»áœááºáá±á¬áº áááááá±ážáá«áá°ážá áá¬ááŒá±á¬áá·áºáá² ááá¯áá±á¬á· á¡á²áá® á¡ááŒá
áºá¡áá»ááºá¡ááŒá®ážááŸá¬ á
ááẠá
á±á¬áá·áºááŒáá·áºáá±áá±ááá·áº ááœááºááœááºáá²áá² ááŒá
áºááá¯ááºáááºááá¯á· áá»áœááºáá±á¬áº áááºáá«áááºá
áá«ááᯠAdministrator á¡áá¯á¶ážááŒá¯áá°ááᯠáá»ááºááá¯á·ááááẠáá¬áá¯ááºááá·áºáá²á á¡áááºááŒá±á¬ááºážááá¯ááºáá«áááºá
á€á á¬ááá¯ááºá០á¡ááŒá¶ááŒá¯áá»ááºáá»á¬áž-
- ááœááºáá»á°áá¬á¡áááºááœáẠá¡áá¯á¶ážááŒá¯áá°á¡áááºááᯠááá¯á¶ážáá«ááŸáá·áº
- á áá áºááœáẠá á®áá¶ááá·áºááœá²áá°á¡áá¯á¶ážááŒá¯áá° áááŸáááŒá±á¬ááºáž áá±áá»á¬áá«á á±á
- ááá¯ááºáá¬áá±á¬ á áá¬ážááŸááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá«á
ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááẠáá»áœááºá¯ááºáááááºážáá»á¯ááºááŸá¯á¡á±á¬ááºááœáẠáááºá ááºááŒááºážááŒá¯ááºá áœá¬ á¡áááºážá¡ááŒááºá¡áááºážá¡ááŒááºáá¶áá±ááá±á¬ Windows Server á¡áá»á¬ážá¡ááŒá¬ážááᯠááŒáá·áºááŸá¯áá²á·áááºááŸá¬ ááŸá áºááŸá áºááá·áºááŸáááŒá®ááŒá áºááŒá®áž áá¡á±á¬ááºááŒááºáá²á·áá«á
áá¡á±á¬ááºááŒááºáá°ážááá¯áᬠáááºááá¯ááááá¯ááºááá²á
á¡áááºáá±á¬áºááŒáá« áááºáá¬ážááŒááºáá¬ááºáá¯á¶áá»á¬ážááœáẠá¡áá»ááºá¡áááºáá«áááºááá·áº á¡á±á¬ááºááŒááºáá±á¬ RDP áá±á«áºááá¯ááŸá¯ááŸááºáááºážáá»á¬áž áá«ááŸááááºááᯠáááºááœá±á·ááá¯ááºáá±á¬ááŒá±á¬áá·áºááŒá
áºáááº-
- ááẠIP ááŸ
- áááºááá·áºááœááºáá»á°áá¬á០(á¡áááºááŸááºá¡áááº)
- á¡áá¯á¶ážááŒá¯áá°á¡áááº
- GeoIP á¡áá»ááºá¡áááº
ááŒá®ážáá±á¬á· áá»áœááºáá±á¬áº á¡á²áá®áá±áá¬ááᯠáá¯á¶ááŸááºá á áºáá±ážááẠ- ááœá²ááœá²áá»ááºááœá± áááœá±á·áá°ážá
á áá¬ážáá ááºá á¡áá°ážáááŒáá·áº IP áá áºáá¯áá¯ááᯠááŒááºážáááºážá áœá¬ á¡áááºážá¡ááŒááºááá¯ááºážá á±áá«áá PowerShell ááœáẠá€áá²á·ááá¯á·áá±á¬ IP áá áºáá¯áá»ááºážá á® (ááá¯á·ááá¯áẠsubnets) áá»á¬ážááᯠáááºááááºááá¯á·ááá¯ááºáááºá
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action Block
á
áá¬ážáá
ááºá Elasticá Winlogbeat á¡ááŒááºá
áá±á¬ááºážááŒá®á áá±á¬ááºáá¯á¶ážá¡ááŒá¶ááŒá¯áá»ááºáá»á¬áž
- áá¯á¶ááŸááºá¡ááá¯á¡áá»á±á¬áẠá¡áááºááááºážáááºážááŸá¯áá»á¬áž ááŒá¯áá¯ááºáá«á
- áá¯á¶ááŒá¯á¶áá±ážá¡ááºááááºáá»á¬ážááᯠá¡áá»áááºáá® ááá·áºááœááºážáá«á
á¡ááá¯áá¯- RDP á¡áá±á¬áá·áºáááºááẠááŒáá¯ážáááºážááŸá¯áá»á¬ážááœáẠá¡áá»á¬ážáá¯á¶ážá¡áá¯á¶ážááŒá¯áá²á·áá±á¬ á¡áá¯á¶ážááŒá¯áá° 50 á á¬áááºáž
"á¡áá¯á¶ážááŒá¯áá°á¡áááº- ááŒá®ážá
ááºáááºááá¯ááº"
áá±ááœááº
dfthd7c (á¡áááºááŸááºá¡áááº)
842941
winsrv1 (á¡áááºááŸááºá¡áááº)
266525
á
á®áá¶ááá·áºááœá²áá°
180678
á¡á¯ááºáá»á¯ááºáá°
163842
á¡á¯ááºáá»á¯ááºáá°
53541
Michael
23101
áá¬áá¬á
21983
á
ááááº
21936
áá»áœááº
21927
ááŸááºáá±á«áá¯
21913
á§áá·áºáááºáž
21909
mike
21899
áá¯á¶áž
21888
á
áááºáá¬
21887
á
áááº
21867
áá«ááááºáááº
21865
Chris
21860
ááá¯ááºááá¯ááºáá°
21855
áááºáá±áá»á¬
21852
á¡á¯ááºáá»á¯ááºáá°
21841
Brian
21839
á¡á¯ááºáá»á¯ááºáá°
21837
á¡ááŸááº
21824
áááºáááºážáá»á¬áž
21806
ADMIN
12748
ROOT
7772
á
á®áá¶ááá·áºááœá²áá°
7325
á¡ááœááºá¡áá±á¬ááºá¡áá¶á·
5577
á¡ááœááºá¡áá±á¬ááºá¡áá¶á·
5418
á¡áá¯á¶ážááŒá¯áá°ááá¯
4558
admin áá²á·
2832
á
ááºážáááºááŒááºáž
1928
MySql
1664
admin
1652
áá·áºáááº
1322
US1
1179
á
áááºáá¬
1121
á
áááºáááºá
á
áºáá±ážááŒááºáž
1032
á
á®áá¶ááá·áºááœá²áá°
842
á
á®áá¶ááá·áºááœá²áá° á
525
á¡áááºáá°áž
518
MySqlAdmin
518
áá·áºááŒáá¯
490
US2
466
TEMP
452
SQLADMIN
450
US3
441
1
422
áááºáá±áá»á¬
418
OWNER á
410
source: www.habr.com