Alle som har prøvd å kjøre en virtuell maskin i skyen er godt klar over at en standard RDP-port, hvis den står åpen, nesten umiddelbart vil bli angrepet av bølger av passord-brute force-forsøk fra forskjellige IP-adresser rundt om i verden.
I denne artikkelen vil jeg vise hvordan Du kan konfigurere et automatisk svar på passord brute force ved å legge til en ny regel i brannmuren. InTrust er for innsamling, analyse og lagring av ustrukturerte data, som allerede har hundrevis av forhåndsdefinerte reaksjoner på ulike typer angrep.
I Quest InTrust kan du konfigurere responshandlinger når en regel utløses. Fra logginnsamlingsagenten mottar InTrust en melding om et mislykket autorisasjonsforsøk på en arbeidsstasjon eller server. For å konfigurere å legge til nye IP-adresser til brannmuren, må du kopiere en eksisterende egendefinert regel for å oppdage flere mislykkede autorisasjoner og åpne en kopi av den for redigering:
Hendelser i Windows-logger bruker noe som heter InsertionString. (dette er en mislykket pålogging til systemet) og du vil se at feltene vi er interessert i er lagret i InsertionString14 (Workstation Name) og InsertionString20 (Source Network Address) Ved angrep fra Internett vil feltet Workstation Name mest sannsynlig være tom, så dette stedet er viktig å erstatte verdien fra Source Network Address.
Slik ser teksten til hendelse 4625 ut:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
I tillegg vil vi legge til Source Network Address-verdien i hendelsesteksten.
Deretter må du legge til et skript som vil blokkere IP-adressen i Windows-brannmuren. Nedenfor er et eksempel som kan brukes til dette.
Skript for å sette opp en brannmur
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Nå kan du endre regelnavnet og beskrivelsen for å unngå forvirring senere.
Nå må du legge til dette skriptet som en responshandling til regelen, aktivere regelen og sørge for at den tilsvarende regelen er aktivert i sanntidsovervåkingspolicyen. Agenten må være aktivert for å kjøre et svarskript og må ha riktig parameter spesifisert.
Etter at innstillingene var fullført, gikk antallet mislykkede autorisasjoner ned med 80 %. Profitt? For en flott en!
Noen ganger oppstår en liten økning igjen, men dette er på grunn av fremveksten av nye angrepskilder. Så begynner alt å synke igjen.
I løpet av en arbeidsuke ble 66 IP-adresser lagt til brannmurregelen.
Nedenfor er en tabell med 10 vanlige brukernavn som ble brukt til autorisasjonsforsøk.
Brukernavn
Nummer
I prosenter
administrator
1220235
40.78
admin
672109
22.46
bruker
219870
7.35
contoso
126088
4.21
contoso.com
73048
2.44
administrator
55319
1.85
server
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
administrateur
32377
1.08
sgazlabdc01
31259
1.04
Fortell oss i kommentarfeltet hvordan du reagerer på trusler om informasjonssikkerhet. Hvilket system bruker du og hvor praktisk er det?
Hvis du er interessert i å se InTrust i aksjon, i tilbakemeldingsskjemaet på nettsiden vår eller skriv til meg i en personlig melding.
Les våre andre artikler om informasjonssikkerhet:
(populær artikkel)
Kilde: www.habr.com