Qualquer pessoa que tenha tentado executar uma máquina virtual na nuvem sabe muito bem que uma porta RDP padrão, se deixada aberta, será quase imediatamente atacada por ondas de tentativas de força bruta de senha de vários endereços IP em todo o mundo.
Neste artigo vou mostrar como Você pode configurar uma resposta automática à força bruta da senha adicionando uma nova regra ao firewall. InTrust é para coleta, análise e armazenamento de dados não estruturados, que já possuem centenas de reações predefinidas a diversos tipos de ataques.
No Quest InTrust você pode configurar ações de resposta quando uma regra é acionada. Do agente de coleta de logs, o InTrust recebe uma mensagem sobre uma tentativa de autorização malsucedida em uma estação de trabalho ou servidor. Para configurar a adição de novos endereços IP ao firewall, você precisa copiar uma regra personalizada existente para detectar múltiplas autorizações com falha e abrir uma cópia dela para edição:
Os eventos nos logs do Windows usam algo chamado InsertionString. (este é um login malsucedido no sistema) e você verá que os campos nos quais estamos interessados estão armazenados em InsertionString14 (Nome da estação de trabalho) e InsertionString20 (Endereço de rede de origem) Ao atacar pela Internet, o campo Nome da estação de trabalho provavelmente será estar vazio, portanto é importante substituir este local pelo valor do Endereço de Rede de Origem.
Esta é a aparência do texto do evento 4625:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Além disso, adicionaremos o valor do Endereço da Rede de Origem ao texto do evento.
Então você precisa adicionar um script que bloqueará o endereço IP no Firewall do Windows. Abaixo está um exemplo que pode ser usado para isso.
Script para configurar um firewall
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Agora você pode alterar o nome e a descrição da regra para evitar confusão posterior.
Agora você precisa adicionar este script como uma ação de resposta à regra, habilitar a regra e garantir que a regra correspondente esteja habilitada na política de monitoramento em tempo real. O agente deve estar ativado para executar um script de resposta e deve ter o parâmetro correto especificado.
Após a conclusão das configurações, o número de autorizações malsucedidas diminuiu 80%. Lucro? Que ótimo!
Às vezes, ocorre novamente um pequeno aumento, mas isso se deve ao surgimento de novas fontes de ataque. Então tudo começa a declinar novamente.
Ao longo de uma semana de trabalho, 66 endereços IP foram adicionados à regra do firewall.
Abaixo está uma tabela com 10 nomes de usuário comuns que foram usados para tentativas de autorização.
Nome de usuário
Número
Em porcentagens
administrador
1220235
40.78
admin
672109
22.46
usuário
219870
7.35
contoso
126088
4.21
contoso. com
73048
2.44
administrador
55319
1.85
servidor
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
administrateur
32377
1.08
sgazlabdc01
31259
1.04
Conte-nos nos comentários como você responde às ameaças à segurança da informação. Qual sistema você usa e quão conveniente é?
Se você estiver interessado em ver o InTrust em ação, no formulário de feedback em nosso site ou escreva para mim em uma mensagem pessoal.
Leia nossos outros artigos sobre segurança da informação:
(artigo popular)
Fonte: habr.com